Welche Gefahren birgt die dienstliche und private Nutzung von WhatsApp & Co? Was sind die technischen Grundlagen moderner Messenger-Dienste und wo sind ihre Schwachstellen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu Infos zu mit dem Schwerpunkt auf Sicherheit und Datenschutz veröffentlicht.
Instant-Messenger, allen voran der mit Abstand am häufigsten genutzte Dienst WhatsApp, sind aus dem Alltag vieler Menschen nicht mehr wegzudenken. Sie haben andere Formen des Nachrichtenaustauschs, wie etwa die SMS, teilweise schon verdrängt. Allerdings reagieren nicht nur Datenschützer, sondern auch Unternehmen und Behörden zunehmen allergisch auf ihren dienstlichen Einsatz (→ Kein WhatsApp mehr auf Diensthandys von DFB-Mitarbeitern, Deutsche Bank verbannt Messenger-Dienst von dienstlich genutzten Smartphones)
Messenger-Nutzer zumeist ahnungslos bezüglich Sicherheit und Vertraulichkeit der Kommunikation
Trotz der weiten Verbreitung dieser Dienste wissen viele Anwender nur sehr eingeschränkt darüber Bescheid, wie diese Messenger-Dienste genau funktionieren. Insbesondere im Hinblick auf Sicherheit und Vertraulichkeit der Kommunikation ist oftmals nur ein unzureichendes Wissen vorhanden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollte auf wichtige Fragen zur technischen Funktionsweise der Dienste und vor allem auch zur Datensicherheit und zum Datenschutz Antworten geben. BSI-Präsident Arne Schönbohm begründete neues Informationsmaterial:
„Die Wählscheibe auf dem Telefon, das Fax, das gedruckte Reiseticket mit der Bahn – alles einst alltägliche Begleiter, die wir heute schon unseren Kindern erklären müssen. In den enorm beliebten Messenger-Diensten teilen wir Alltägliches, Emotionales, immer aber Privates. Als BSI stehen wir zum Grundsatz: Private Kommunikation geht niemanden etwas an.“
Informationen zum Thema Messenger-Sicherheit und Datenschutz
Das jetzt veröffentlichte Paper des BSI befasst sich auf 19 Seiten vor allem aus einer technischen Perspektive mit Sicherheitsthemen und erläutert dabei schwerpunktmäßig die verschiedenen Faktoren, die für die Gesamtsicherheit der Messenger entscheidend sind. Dabei werden vor allem die grundlegenden Funktionen der Anwendungen erklärt und beispielsweise die dabei genutzten Kommunikationsprotokolle und deren Sicherheitseigenschaften dargestellt. Auch auf das Thema Datenschutz wird ausführlich eingegangen.
Sicherheit der Messenger beurteilen können
Die Leser sollen somit in die Lage versetzt werden, sich umfassend zum Thema „Sichere Messenger“ zu informieren, um somit letztlich auch die Sicherheit der Dienste selbst beurteilen zu können. Damit dürften die Erläuterungen des BSI nicht nur für Privatanwender interessant sein, sondern auch für Entscheidungsträger in Unternehmen oder sonstigen Organisationen von Bedeutung sein, denn auch dort kommen Instant Messanger immer häufiger zum Einsatz, wird aber auch zunehmend skeptischer gesehen, zumal immer mehr Datenschutzbeauftragte mahnen( Ziele des neuen Datenschutzbeauftragten).
Verschiedene Sicherheitsaspekte bei der Nutzung von Messaging-Diensten
Beim Schwerpunktthema Sicherheit geht das Paper auf fünf verschiedene Aspekte ein:
- So geht es zunächst um die relativ bekannten Themen wie Transport- und Ende-zu-Ende-Verschlüsselung.
- Anschließend behandelt es weitere Bereiche, wie etwa das derzeit in den meisten Diensten eingesetzte Double-Ratched-Protokoll zur sicheren Verschlüsselung,
- aber auch die Weiterentwicklung MLS (Messaging-Layer-Security), durch die eine Interoperabilität zwischen verschiedenen Messaging-Diensten unter Aufrechterhaltung eines hohen Sicherheitsstandards ermöglicht werden soll.
- Weitere Kapitel befassen sich mit den kryptografischen Eigenschaften der Messenger-Protokolle,
- weiteren Sicherheitseigenschaften und -mechanismen wie etwa der Zwei-Faktor-Authentifizierung oder der Ablageverschlüsselung. Letztere soll sicherstellen, dass lokal gespeicherte Daten (wie etwa Nachrichtenverläufe) ausschließlich von der entsprechenden Messenger-App ausgelesen und verwendet werden können.
Schließlich befasst sich das Paper noch mit Fragen zur Zertifizierung und Sicherheitsaudits sowie den Vorteilen von Open-Source-Lösungen gegenüber proprietären Verfahren. Ein eigenes Kapitel geht schließlich noch ausführlich auf die Datenschutzaspekte im Hinblick auf die bei der Kommunikation anfallenden Meta-Daten ein.
EU-Pläne als Gefahr für sichere Kommunikation
Während sich also das BSI für mehr Sicherheit und Datenschutz bei der Nutzung von Instant-Messaging ausspricht, droht gleichzeitig eine Gefahr für eben diese Eigenschaften durch EU-Pläne zur Überwachung von Online-Kommunikation im Zuge der Bekämpfung von Straftaten, insbesondere der Kinderpornografie.
EU plant umfassenden, automatisierten Überwachung der ausgetauschten Nachrichten
So überlegt die EU-Kommission derzeit, Anbieter von Instant-Messaging aber auch von E-Mail-Diensten und Videokonferenzsystemen zu einer umfassenden, automatisierten Überwachung der ausgetauschten Nachrichten zu verpflichten. Auf diese Weise soll etwa der Kindesmissbrauch verhindert werden.
Derartige Pläne stoßen allerdings bei Bürgerrechtlern und Datenschützern auf Ablehnung, die in diese Maßnahmen beispielsweise als Grundrechtsverstoß einstufen, wie etwa die Gesellschaft für Informatik. Auch wir befürchtet, dass die Nutzung der Überwachungsergebnisse, wie schon in ähnlichen Situationen geschehen, später über den ursprünglichen Bekämpfungsansatz hinaus ausgeweitet wird.
BSI-Paper zu Sicherheitsapekten bei Messenger-Diensten
Weitere Beiträge zum Thema:
EU verfolgt Pläne zur Umgehung der Messenger-Verschlüsselungen
Apples Pläne für Foto-Kontrolle auf Mobilgeräten stoßen weiterhin auf Widerstand
Unzulänglichkeiten beim Datenschutz in Sozialen Netzwerken
Hintergrund: Ende der Ende-zu-Ende-Verschlüsselung?
Um eine vertrauliche und abhörsichere Kommunikation zu ermöglichen, bieten Kommunikationsdienste wie etwa WhatsApp, Signal, Facebook oder Threema die Option der Ende-zu-Ende-Verschlüsselung. Hierbei werden die Nachrichten direkt auf den Endgeräten, also etwa
- auf dem Smartphone etc. des Senders bereits vor der Übertragung verschlüsselt
- und erst auf dem Gerät des Empfängers wieder entschlüsselt.
Während der Übertragung und auch bei einer eventuellen Speicherung, etwa auf den Servern des Dienstes, bleibt die Verschlüsselung intakt mit der Folge, dass auch die Dienstanbieter diese Nachrichten nicht mehr entschlüsseln können.
Abhörsichere Kommunikation behördlich zunehmend unerwünscht?
Im Zuge der Kriminalitäts- und Terrorismusbekämpfung ist eine abhörsichere Kommunikation jedoch unerwünscht, denn damit entfällt für die Sicherheitsbehörden ein wichtiges Instrument zur Aufklärung und Verhinderung von Straftaten oder etwa Terroranschlägen, da auch die Kommunikation der Täter nicht mehr abgehört werden kann.
Immer wieder versuchen Sicherheitsbehörden und Politiker daher, durch erweiterte Überwachungsmöglichkeiten, doch noch einen Zugriff auf die verschlüsselte Kommunikation zu bekommen. Wie der Österreichische Rundfunk (ORF) berichtet, haben sich die Regierungen der Mitgliedsstaaten auf ein Vorgehen geeinigt, das in der Folge jedoch quasi das komplette Aus für eine effektive Ende-zu-Ende-Verschlüsselung bedeuten könnte.