Verschlüsselte Kommunikation – Eine Bestandsaufnahme

Immer wieder werde ich gefragt welche Software ich für eine sichere Kommunikation empfehlen würde. Sichere Kommunikation ist ein sehr weitläufiger Begriff und braucht etwas Erklärung. Sprechen wir hier von Textkommunikation (wie SMS, WhatsApp, E-Mails etc) oder von Audio Kommunikation (wie Telefon, Skype, etc)?

Ebenfalls müssen wir definieren was „sicher“ im Kontext zu Kommunikation heisst.

Ich habe mir lange überlegt ob ich die ganzen Informationen in einen Beitrag quetschen möchte. Habe mich dann aber dagegen entschieden. Damit ich die einzelnen Punkte detailierter Erklären kann, werde ich eine kleine Artikelserie starten. Wenn diese Serie durch ist, werdet ihr alle die Grundlagen der „sicheren Kommunikation“ kennen und anwenden können.

In diesem Artikel klären wir was ich unter sicherer Kommunikation verstehe. Ebenfalls werde ich über die meist genutzten Apps / Messenger die Pro und Kontras auflisten.

Sichere Kommunikation Ganz wichtig zu wissen ist, absolute Sicherheit gibt es nicht. Einige Informationen können so gut wie nicht versteckt werden. Wir sprechen hier von den sogenannten Meta-Daten. Grob gesagt sind Meta-Daten folgendes:

„Wer nimmt mit Wem Kontakt auf inklusive Datum und Uhrzeit.“

Wenn ich hier von „Wer“ und „Wem“ spreche, meine ich grundsätzlich einen „Client“. Der Facebook oder WhatsApp Messenger den ihr auf eurem Smartphone installiert habt ist z.B. ein Client. Eurer Webbrowser mit dem diese Seite angezeigt wird ist ebenfalls ein Client.

Kurz und einfach ein Client empfängt und sender Inhalte über ein – für den Client angepasstes – Protokoll (beim Webbrowser ist das http://) und zeigt entsprechend einen Inhalt an.

Wenn ich von sicherer Kommunikation spreche geht es mir um den Inhalt der Kommunikation.

Um es sehr vereinfacht zu erklären. Sichere Kommunikation ist für mich wie die traditionelle Briefpost. Empfänger und Absender und Versanddatum sind von aussen einsehbar und nicht privat. Der Inhalt des Briefes geht aber niemanden etwas an.

Haben wir überhaupt ein Problem?

Kurz. Ja haben wir. Unsere Nachrichten die wir empfangen und versenden werden von mehreren Stellen aus unterschiedlichen Motiven mitgelesen und analyisiert. Entweder sind es verschiedene Geheimdienste auf der Welt (auch der Schweizer Geheimdienst). Die Geheimdienste haben das Motiv Überwachung. Es sind auch viele private Akteure die unsere Inhalte lesen und analyiseren. Hier geht es weniger um Überwachung sondern mehr um Vermarktung. Es geht darum ein Persönlichkeitsprofil von dir zu erstellen. Diese Daten sind wertvoll, weil man dir damit z.B. Werbung anzeigen kann die dich sicher interessiert.

Ein Beispiel, wenn ich von Basel (Schweiz) die Webseite http://facebook.com aufrufe. Wird diese Aufruf über folgende Server geleitet:

  • Wedel, Deutschland (213.191.64.137)
  • Hamburg, Deutschland (62.109.111.30)
  • Wedel, Deutschland (213.191.66.17)
  • Oeste, Spanien (84.16.7.233)
  • Madrid, Spanien (94.142.119.90)
  • Palo Alto, USA (204.15.23.216)
  • Tyler, USA (173.252.110.27

Ein einfacher Aufruf auf Facebook wird durch 3 verschiedene Länder gleeitet. Theoretisch können damit der Schweizer, Deutsche, Spanische und Amerikanische Geheimdienst die Inhalte lesen die wir an Facebook senden. Diese Server werden oft von privaten Firmen betrieben, diese Firmen können diese Daten ebenfalls abgreifen und analysieren.

Jede private Nachricht die wir über den Facebook Messenger einer Person senden, wird erst durch 3 Länder geleitet bevor sie beim Empfänger ankommt. Facebook dient hier als Beispiel, bei WhatsApp, Twitter, etc sieht die Situation ähnlich, gleich oder schlimmer aus.

Wenn man sich dieser Tatsache bewusst ist, wird es auch klar wie wichtig eine sichere Verschlüsselung ist. Wenn die Nachrichteninhalte verschlüsselt sind, werden sie zwar immer noch quer durch mehrere Kontinente geleitet – aber die jeweiligen Empfänger können diese Nachricht nicht mehr lesen. Man kann auch sagen Verschlüsselung ist das selbe wie ein Briefumschlag mit Siegel – um nochmals den Vergleich mit der Briefpost aufzunehmen.

Welche elektronischen Kommunikationsmittel nutzen wir?

Text-Nachrichten

SMS

Die SMS geht heute gerne vergessen. Die Zahl vershcickter SMS ist von Jahr zu Jahr stark rückläufig. Dennoch kann man über SMS natürlich immer noch private Nachrichten versenden. Sicher ist das allerdings nicht. SMS werden weder verschlüsselt noch sonst wie abgesichert. Sowohl der Provider der die SMS versendet, wie auch der Provider der die SMS empfängt kann diese problemlos mitlesen.

WhatsApp

Es ist schlicht eine Tatsache, dass die SMS durch WhatsApp abgelöst wurde. WhatsApp gehört inzwischen Facebook. Lange waren die Nachrichten zwischen den WhatsApp Nutzern nicht verschlüsselt. Einige Nachrichten werden heute „von Client zu Client“ verschlüsselt. Die Verschlüsselung wurde nach den Edward Snowden Enthüllungen in WhatsApp eingebaut – allerdings nur durch öffentlichen Druck und auch nur halbherzig.

Nachrichten von WhatsApp Nutzern die ein Android Smartphone haben, die eine Nachricht an eine andere Person mit Android-Smartphone senden sind verschlüsselt. Nachrichten die von oder an Personen mit einem iPhone gesendet werden sind nicht verschlüsselt. Gruppenchats sind ebenfalls nicht verschlüsselt. Android User sollten sich aber nicht in zu grosser Sicherheit wiegen. Die Verschlüsselung die WhatsApp eingebaut hat diverse Schwachstellen und Lücken. Die Experten von „heise“ haben die Verschlüsselung von WhatsApp analysiert, die Details sind hier nachlesbar.

Ebenfalls schlecht ist, das innerhalb der App nicht ersichtlich ist ob die Nachrichten gerade verschlüsselt werden oder nicht.

Facebook Messenger

Facebook dürfte neben WhatsApp der meist genutze Messenger sein. Er bietet ebenfalls keine Verschlüsselung und ist daher nicht sicher.

Threema

Threema ist eine Schweizer Messenger App. Die erste App in dieser Vorstellungsrunde, die nicht kostenlos ist. Das liegt daran, das Threema keine persönlichen Daten sammelt und vermarktet. Deswegen müssen sie die Kosten (Infrastruktur, App-Entwicklung, etc) direkt über den Kaufpreis (2 CHF) finanzieren.

Nach eigenen Angaben ist die Kommunikation von Threema komplett verschlüsselt. Ein externes Audit vom November 2015 bestätigt das die Threema Verschlüsselung ohne Schwachstellen funktioniert.

Auch hier sehe ich ein Problem. Als Nutzer hat man nur die Wahl der Firma hinter der Threema App zu vertrauen. Ob die Verschlüsselung heute immer noch fehlerlos ist? Ob sie es auch noch Morgen sein wird?

Threema könnte enorm viel Vertrauen schaffen, wenn sie ihren Quellcode offenlegen würde. Somit könnte die Allgmeinheit jederzeit den Programmcode begutachten und die gute Verschlüsselung bestätigen.

Telegramm

Der Telegramm Messenger ist kostenlos. Und kann auf Wunsch Nachrichten verschlüsseln. Allerdings unterstützen nicht alle Clients den verschlüsselten Nachrichtenversand. Wenn ihr die Verschlüsselung nutzt solltet ihr euch nicht zu sicher fühlen. Die Verschlüsselung hat diversen Schwächen.

iMessage

iMessage ist ein Dienst von Apple der nur mit anderen Apple Nutzern genutzt werden kann. Man kann damit Nachrichten zu Apple Geräten senden. Die Nachrichten sind sehr hart verschlüsselt. Apple weigert sich (bis jetzt), bei der Entschlüsselung der Nachrichten zu helfen.

Telefon Verschlüsselung

Festnetz und Mobiltelefonie

Kurz und bündig. Lasst die Finger davon! Bei beidem ist es extrem leicht die Gespräche in Echtzeit mitzuhören.

Skype

Skype dürfte so der erste App mit Telefonfunktion sein die bei der breiten Masse ankam. Der Skype Chat ist brandgefährlich. In den Datenschutzerklärungen steht klar drin, das Microsoft (Inhaber von Skype) alle Nachrichten lesen darf. Wie dieser Bericht zeigt, macht das Microsoft auch regelmässig.

Die Telefonfunktion von Skype ist ebenfalls ein Trauerspiel. Weleches Verschlüsselungsprotokoll Skype genau verwendet ist niemanden so klar. Ein wirklich sicheres ist es nicht. Es ist inzwischen gesichert und bekannt, dass mehrer europäische Geheimdienste die Skype Gespräche problemlos abhören können.

WhatsApp und Facebook

Sowohl WhatsApp und Facebook bieten eine Telefonie Funktion in ihrem Messenger an. WhatsApp Anrufe werden ebenfalls über die Facebook Server gesendet. Einfach gesagt im Hintergrund wird die selbe Technologie gebraucht. Die Technologie die Facebook braucht basiert auf der von Skype und wurde mithilfe von Skype in Facebook implementiert. Daher gibt es hier keine Empfehlung von mir.

Apple FaceTime

Wie iMessage kann man mit FaceTime direkt von Apple Nutzer zu Apple Nutzer telefonieren. Die Verschlüsselung ist gut und empfehlenswert.

Fazit

Das grösste Problem das all diese Dienste (bis auf SMS und Mobil- oder Festnetztelefonie) haben ist die Zentralisierung. Alle WhatsApp Nachrichten werden über die WhatsApp Server geleitet. Sicherheit funktioniert nur mit einer starken dezentralisierung – verschiedene Server von verschiedenen Anbieter machen die Überwachungen von allen Chatverläufen schwierig. Wenn diese Chatverläufe auch noch stark verschlüsselt sind so gut wie unmöglich.

Dieser erster Beitrag zu diesem Thema sollte einen kurzen Überblick bringen. Hier gibt es einen neuen Beitrag, bei denen ich einige Alternativen die dezentral und verschlüsselt sind vorstelle.


Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.