Messenger Dienste und Datenschutz – natürliche Feinde?

IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Im Freundeskreis, der Familie, in sozialen Medien – WhatsApp ist derzeit in aller Munde. Der Grund: Facebook und WhatsApp tauschen ab Februar Daten aus (so scheint es zumindest auf den ersten Blick).

Derzeit poppt bei vielen WhatsApp-Nutzern ein Fenster auf. „WhatsApp aktualisiert seine Nutzungsbedingungen und seine Datenschutzrichtlinie“. Bis zum 15. Mai 2021 müssen Nutzer zustimmen. Eine Möglichkeit die App weiter zu nutzen, ohne Zustimmung gibt es nicht. Wer das also nicht möchte, dem bleibt nur eines: deinstallieren. 

Was es jedoch genau mit der Änderung der Nutzungsbedingungen auf sich hat - wir klären die wichtigsten Fragen:

2,6 Milliarden Menschen nutzen Dienste des Facebook Konzerns täglich (Stand Jänner 2021). Dazu zählt auch der Messenger Dienst WhatsApp, welcher bereits seit 2014 Teil davon ist. Beginnend ist zu betonen, dass Medien sprichwörtlich häufig aus einer Mücke einen Elefanten machen. Uns scheint, als wäre dies auch hier der Fall. Wie wir genau darauf kommen: es gibt in der für die EU und Großbritannien geltenden, überarbeiteten Richtlinie keine Änderungen, die das Teilen von Daten mit anderen Facebook-Unternehmen betreffen.

Dies ist jedoch global nicht der Fall, denn für den Rest der Welt gilt, dass WhatsApp Nutzerdaten zu Werbezwecken oder zur Verbesserung von Produkten an Facebook übermittelt werden. Aber auch nicht erst seit gestern (oder mit der neuen Richtlinie), sondern bereits seit dem Jahr 2016.

Doch welche Änderungen gibt es nun in der Datenschutzerklärung, welche für Großbritannien und die EU ab dem 15. Mai 2021 gilt? Als „zentrale“ Änderungen stellt der Konzern „klarer formulierte, detailliertere Nutzer-Informationen, wie und warum Daten verarbeitet werden“ vor, sowie Informationen darüber, wie Unternehmen, die über WhatsApp mit ihren Kundinnen und Kunden kommunizieren, Chats speichern und verwalten können.

Die Sicherheit von WhatsApp stand schon des Öfteren in der Kritik. Seitdem wurden jedoch Maßnahmen umgesetzt und die Sicherheitsstandards erhöht. Dies liegt auch daran, dass Sicherheit mehr und mehr zum ausschlaggebenden Verkaufsargument wurde. 

WhatsApp führte 2016 Ende-zu-Ende-Verschlüsselung ein. Eine Maßnahme, welche die Sicherheit des Dienstes wesentlich verbesserte. Doch was heißt Ende-zu-Ende Verschlüsselung? Es bedeutet, dass nur Sender und Empfänger einer Nachricht diese lesen können, nicht etwa der Betreiber eines Servers dazwischen. Dies bedeutet, dass niemand Chats mitlesen kann, nicht einmal WhatsApp selbst. Jeder Kontakt verfügt zudem über eine eigene Sicherheitsnummer, mit der sich feststellen lässt, ob man tatsächlich mit derjenigen Person schreibt, mit der man glaubt, zu schreiben. Negativ hierbei ist, dass diese Funktion extra aktiviert werden muss – ansonsten wird man über einen Wechsel der Sicherheitsnummer nicht informiert. Der Einsatz der Sicherheitsnummer ist ein Schutz vor Man-in-the-Middle-Attacken.

Aus Datenschutzsicht problematisch ist, dass die App bei der Installation alle Daten aus dem Smartphone-Telefonbuch herunterlädt. In den AGB’s ist festgehalten, dass die User dafür verantwortlich, die Einverständniserklärung jedes Kontaktes einzuholen. Dass es sich hierbei um keinen praxistauglichen Ansatz handelt versteht sich von selbst. 

Trotz dieser Fakten steigen die Downloadzahlen alternativer Messenger, allen voran Signal, Threema und Telegram. Doch was machen diese Anbieter in Hinblick auf Sicherheit und Datenschutz anders als WhatsApp? 

Wir haben einige reine Messenger analysiert, wobei nur Apps welche

  • für die beliebtesten Betriebssysteme in den offiziellen Stores verfügbar sind und
  • Ende-zu-Ende Verschlüsselung bieten 

berücksichtigt werden.

Zwei beliebte Apps, werden bereits hier aus unserer Analyse ausgeschlossen. Zum einen Snapchat, weil die Ende-zu-Ende-Verschlüsselung fehlt. Nachrichteninhalte könnten somit also nicht nur vom Versender und Empfänger gelesen werden, sondern zum Beispiel auch vom Anbieter. Die zweite beliebte App ist iMessage, hier ist zwar die Ende-zu-Ende-Verschlüsselung vorhanden, der Dienst ist jedoch nur für Apple Nutzer verfügbar. 

Folgende Apps werden wir nun im Folgenden näher betrachten:

  • Signal
  • Threema
  • Telegram

SIGNAL – beliebt bei Promis

Der Messenger gilt als Pionier der Ende-zu-Ende-Verschlüsselung. Der Signal-Eigentümer Open Whisper Systems liefert die Basis der Ende-zu-Ende-Verschlüsselungssoftware, deren Quellcode offen ist und mit der auch WhatsApp, Telegram und Threema ihre Verschlüsselung entwickelt haben. Aus Sicht des Datenschutzes wird dadurch die Transparenz erhöht. Open Whisper Systems ist durch Stipendien und Spenden finanziert und ist somit nicht auf Werbung oder eine Nutzergebühr angewiesen. Zu erwähnen ist, dass dieses US-amerikanische Unternehmen jedoch keine Datenschutzerklärung auf Deutsch zur Verfügung stellt.

Der Messenger Signal erfordert vom Nutzer zwingend die Angabe der Telefonnummer und eines Nutzernamens. Hierbei zu erwähnen ist, dass der Nutzername auch aus Emojis oder Nicknames bestehen kann und nicht zwingend personenbezogene Daten wie Vor- und Nachname enthalten muss. Ein Negativpunkt für die Sicherheit ist, dass eine Nutzung ohne Handynummer nicht möglich ist und für die Nutzung des Messengers das Teilen der Kontaktliste mit Signal verpflichtend ist. Die Telefonnummer wird jedoch nur anonymisiert („gehashed“) an den Server übermittelt.

Signal speichert nur geringe Metadaten, insbesondere keine Informationen darüber, wer mit wem kommuniziert. Gespeichert wird nur, ob jemand den Service nutzt. Ein Pluspunkt für Signal ist, dass es per Einstellung ermöglicht wird, dass Nachrichten pro Chat nach einem definierten Zeitraum vom Endgerät gelöscht werden.

Signal bietet die Möglichkeit Daten von einem Gerät auf ein anders zu sichern nur für Android. Der Vorteil hierbei ist, dass die Daten nicht in fremde Hänge gelangen können, der Nachteil ist die umfassende Zeitdauer. Zudem gibt es diese Übertragungsmöglichkeiten nicht für iOS User.

Auch Promis nutzen Signal – die Nutzerzahlen stiegen zuletzt nach Empfehlungen von Tesla-Chef Elon Musk und dem US-Whistleblower Edward Snowden. Nach der Empfehlung dieser war der Ansturm teilweise so groß, dass die Signal Server überlastet waren.

THREEMA - überzeugt mit Anonymität

Eine beliebte WhatsApp Alternative ist der kostenpflichtige, werbefreie Schweizer Messenger Dienst Threema. Die Chats sind standardmäßig Ende-zu-Ende verschlüsselt und werden nach der erfolgreichen Übermittlung vom Server gelöscht. Auch verschlüsselte Telefonate sind möglich. 

Threema erfordert keine Nutzerregistrierung mit Namen – aus Datenschutz Sicht ist dies natürlich vorbildlich. Threema Nutzer werden für Andere mit einer zufällig generierten ID aus Ziffern und Buchstaben angezeigt. Die Telefonnummer und / oder E-Mail-Adresse wird hierbei von Threema nur verschlüsselt („gehashed“) gespeichert. Threema garantiert hierbei, dass die Daten der gespeicherten Kontakte des Nutzers nicht dauerhaft gespeichert werden, da der Abgleich über einen temporären Hash funktioniert. Das bedeutet, dass die Kontaktdaten des Nutzers nur anonymisiert übermittelt werden und Threema diese nach dem Abgleich unverzüglich löscht. 

Ein weiterer positiver Aspekt ist die Schweizer Herkunft, denn die dortigen Datenschutzregelungen gelten als hoch. Auch speichert Threema, im Gegensatz zu WhatsApp, keine Metadaten darüber, wer wann mit wem kommuniziert und nimmt somit Datenschutz deutlich ernster als die Konkurrenz. 

Threema zeigt sich nicht nur positiv im Sinne des Datenschutzes, sondern auch in Bezug auf Features – so besteht beispielsweise die Möglichkeit das User Umfragen erstellen. Ein weiteres zu erwähnendes Feature ist die PIN-Sperrfunktion für private Chats.

Threema bietet die Möglichkeiten Daten mittels eines Back-ups von einem Endgerät zu einem anderen mit demselben Betriebssystem übertragen. Wechselt man das Betriebssystem gibt es die Möglichkeit, einzelne Chats zu exportieren.  Im Vergleich zu anderen WhatsApp Alternativen ist Threema nicht kostenlos. 3,99 Euro kostet es für iOS als auch für Android. 
 

Telegram dient zunehmend als Hort für Extremisten

Viele WhatsApp Nutzer wechseln nach den derzeitigen Schlagzeilen zu Telegram. Auf den ersten Blick locken Vorteile wie die Werbefreiheit, die Kostenlosigkeit sowie der Zugriff von verschiedenen Endgeräten. Aus Datenschutzsicht ist Telegram jedoch undurchsichtig. Das Unternehmen bietet keine Datenschutzerklärung auf Deutsch.  Ein Impressum ist online nicht verfügbar. Laut IT-Portal Heise ist Telegram der "Datenschutz-Albtraum".

Um Telegram nutzen zu können besteht die Notwendigkeit der Verknüpfung mit der Telefonnummer. Zudem wird die Eingabe des Vornamens gefordert. Ob es sich hierbei um eine wahrheitsgemäße Angabe handelt, wird nicht überprüft. Ob andere User die Telefonnummer sehen, kann in den Einstellungen entschieden werden. 

Zuletzt hat Telegram zunehmend Schlagzeilen gemacht - aber nicht als Messenger Dienst. Während Plattformen wie Twitter, Youtube oder Facebook extremistische Inhalte zunehmend sperren, verbreiten sich Verschwörungstheorien und bisweilen illegale Inhalte weitgehend ungefiltert über Telegram. Dazu trägt die Fähigkeit Telegrams bei, Gruppen mit bis zu 250.000 Mitgliedern zu bilden.

Dies wird zusätzlich dadurch unterstützt, dass Telegram cloudbasiert ist. Dadurch ist die Menge an Daten, welche versendet werden können, nicht begrenzt – im Vergleich zu WhatsApp bei welchem die Kapazität des Endgeräts – also in der Regel des Smartphones – begrenzt ist. Ein weiterer Vorteil für Nutzer ist hierbei, dass Telegram-Inhalte auf diversen mobilen Geräten wie auch auf dem Computer abgerufen werden können.

Ein Pluspunkt aus Datenschutzsicht ist, dass bei Inaktivität von sechs Monaten die Nutzerdaten automatisch gelöscht werden. Der Zeitraum lässt sich in den Einstellungen ändern.  Das Verschwinden einzelner Nachrichten kann nur in "Secret-Chats" mit unterschiedlichen Zeitstufen aktiviert werden und wirkt sich dann auf alle künftigen Nachrichten dieses Chats aus.

Doch wie sieht die Verschlüsselung bei diesem Dienst aus? 
Verschlüsselte Gruppenchats wie bei Signal oder WhatsApp gibt es nicht. Für alle privaten und Gruppenchats gibt es nur die Server-Client-Verschlüsselung, welche die Nachrichten auf dem Weg von Sender zum Server und vom Server zum Empfänger verschlüsselt. Telegram selbst hat auf dem Server aber Zugang zum Inhalt der Chats, und könnte diese theoretisch weitergeben. 

Da Gruppenchats und Kanäle cloudbasiert sind kann Telegram diese nicht Ende-zu-Ende verschlüsseln – dies bietet den bereits oben genannten Vorteil der Nutzung auf diversen Endgeräten sowie den großen Umfang der Datenmenge. Für diese größere Benutzerfreundlichkeit geht Telegram Kompromisse beim Datenschutz ein.

Umgekehrt ist es bei den sogenannten „Secret Chats“, welche Ende-zu-Ende verschlüsselt sind. Hier sind die Vor- und Nachteile der Gruppenchats und Kanäle als umgekehrt zu sehen. Aufgrund dieser Art der Verschlüsselung können Nachrichten dieser Chats auch nur auf dem entsprechenden Gerät abgerufen werden, da diese nicht cloudbasiert sind, dafür ist ein angemessenes Sicherheitsniveau gegeben.

Ein weiterer Grund für den „Datenschutzalbtraum“ ist, dass Telegram zum Beispiel Internetadressen, welche User eintippen, bereits vor dem Absenden an Telegram-Server gesendet werden- was darauf hindeutet, dass auch andere Inhalte vorab an die Server von Telegram kommuniziert werden.

Fazit

Die Liste der WhatsApp-Alternativen ist lange – die Frage, welche man als User jetzt verwenden sollte ist gar nicht so einfach zu beantworten.

In den Punkten Sicherheit und Datenschutz, ist Threema klar der Spitzenreiter. Handelt es sich hierbei schließlich um den einzigen Dienst, der sich anonym, d.h. ohne Angabe personenbezogener Daten (wie Telefonnummer oder E-Mail-Adresse) nutzen lässt. Signal ist ebenfalls auf Sicherheit und Datenschutz fokussiert. Problematisch ist, dass es sich um einen US-Dienst handelt, zudem ist die Angabe personenbezogener Daten erforderlich.

Telegram kann nicht als sicher angesehen werden, zum einen werden Nachrichten standardmäßig nicht Ende-zu-Ende-verschlüsselt. Problematisch ist auch, dass diese langfristig auf einem Server gespeichert werden, wo der Anbieter des Dienstes wie ggf. Hacker sie jederzeit lesen könnten.

Für welchen Messenger Dienst man sich schlussendlich entscheidet wird häufig vom persönlichen Umfeld beeinflusst. Viele möchten das vertraute WhatsApp-Umfeld nicht verlassen. Und dann noch einen weiteren Messenger zu installieren und ihn auch noch zu nutzen, dürfte oft schwerfallen.

Aber was spricht dagegen mehrere Apps zu nutzen? Ich persönlich setze auf eine Kombination, über die ich mit anderen in Verbindung bleibe. WhatsApp verwende ich nur, wenn es sein muss. Zudem ohne Profilbild und einem Nick Name. Stattdessen setze ich auf eine Kombination aus Threema und Signal.