11 unsichere Internet- und Mobile-Messaging-Dienste

20 Nov 2014

In der letzten Woche warfen wir einen Blick auf den von der Electronic Frontier Foundation veröffentlichten Bericht zur Sicherheit von Messengern und stellten Ihnen die neun sichersten Internet- und Mobile-Messaging-Dienste vor. In dieser Woche geht es um die Dienste, die bei dem Test schlecht abschnitten haben.

11 APP

Auch wenn die Liste der sicheren Messenger, die Schutz und Privatsphäre wichtig nehmen, aus vielen Diensten bestand, die wenig bekannt sind, so ist die Liste dieser Woche leider mit vielen Apps und Diensten bestückt, die nur allzu bekannt sind, jedoch im Bereich der Sicherheit versagen. Aus diesem Grund konzentrieren wir uns auf die beliebtesten Messenger, nennen aber auch die Noten von weniger bekannten Vertretern.

Kontext

Die EFF hat die Dienste in sieben Kategorien mit Punkten bewertet. Für unsere Liste der unsichersten Dienste wurden jene gewählt, die keinen oder nur ein oder zwei Punkte in den folgenden Kategorien erreichen konnten:

  1. Werden die Daten bei der Übertragung verschlüsselt?
  2. Werden die Daten so verschlüsselt, dass nicht einmal der Dienstanbieter sie lesen kann?
  3. Kann man die wahre Identität von Kontakten prüfen?
  4. Bietet der Anbieter die so genannte Perfect Forward Secrecy, also flüchtige Verschlüsselungs-Keys, so dass ein gestohlener Key die existierende Kommunikation nicht entschlüsseln kann?
  5. Ist der Code des Dienstes Open Source und kann damit öffentlich geprüft werden?
  6. Sind die Verschlüsselungs-Implementation und -Prozesse dokumentiert?
  7. Wurde in den letzten 12 Monaten ein unabhängiges Sicherheits-Audit durchgeführt?

Diese sieben Punkte zeigen, welcher Dienst den besten Schutz vor Überwachung, krimineller Spionage und Datensammlung durch Firmen bietet. Erwähnen müssen wir noch, dass weder die EFF noch Kaspersky Lab die genannten Produkte offiziell bewirbt, die Liste soll nur zeigen, welche Programme die Sicherheit der Anwender nicht wichtig nehmen.

Die Schlusslichter: Null Punkte

Nur die mobilen Messenger Mxit und QQ haben keinen Punkt bekommen, aber wahrscheinlich nutzen Sie diese sowieso nicht. Und das sollten Sie auch nicht tun: Diese Apps sind nicht sicher.

Nicht viel besser: Ein Punkt

Leider gibt es vier Messenger-Dienste, die die von vielen Anwendern genutzt werden, aber nicht gerade sicher sind und nur einen von sieben Punkten erhalten haben.

Der Langzeit-Verschlüsselungs-Nachzügler Yahoo Messenger verschlüsselt die Nutzerkommunikation nur bei der Übertragung. Das bedeutet, dass Yahoo (die Firma) Ihre Nachrichten lesen oder jederzeit weitergeben kann, zum Beispiel an Strafverfolgungsbehörden. Der Fairness halber muss erwähnt werden, dass Yahoo halbjährliche Transparenzberichte veröffentlicht, in denen ausführlich dargelegt wird, wie viele Informationen auf Anforderung von Regierungen und Behörden weitergegeben wurden.

Allerdings kann man die Identität der Kontakte im Yahoo Messenger nicht prüfen, zudem bietet der Dienst keine Perfect Forward Secrecy, öffnet den Code nicht für unabhängige Prüfungen und dokumentiert die Sicherheitsfunktionen auch nicht ordentlich. Und schließlich macht die Firma auch keine unabhängigen Audits. Man muss aber auch sagen, dass sich Yahoos breitgefächerte Web-Angebote bei der Verschlüsselung stark entwickelt haben, verglichen mit dem Stand vor zwei Jahren. Es gibt also auch für den Yahoo Messenger noch Hoffnung.

Microsofts fast überall anzutreffender Anruf- und Messaging-Dienst Skype schneidet genau so schlecht ab, wie der Yahoo Messenger und hat ebenfalls nur einen (den gleichen) Punkt für die Verschlüsselung der Daten bei der Übertragung erhalten. Wenn es um die Kommunikationsintegrität und Überwachungsanschuldigungen geht, hat Skype auch keine reine Weste. Der Dienst wurde von Kritikern vor allem wegen angenommener Anfälligkeit für Spionage angegriffen. Microsoft hat diese Behauptungen stets zurückgewiesen.

Der BlackBerry Messenger hat den gleichen Punkt wie der Yahoo Messenger und Skype erhalten. Der Dienst der Firma RIM (früher bekannt als Research In Motion) verschlüsselt ebenfalls die Kommunikation bei der Übertragung, was schon ganz gut ist. Allerdings verschlüsselt er die gespeicherte Kommunikation nicht, so dass der Anbieter sie dennoch lesen kann. Zudem können Anwender ihre Kontakte nicht verifizieren oder alte Kommunikationen schützen. Auch unabhängige Code-Prüfungen, genaue Dokumentation der Sicherheitsfunktionen oder unabhängige Audits gibt es hier nicht.

AIM, der America Online Instant Messenger, ist ein alter Hase. Man kann davon ausgehen, dass er von den späten 1990er Jahren bis Ende der 2000er Jahre konkurrenzlos war. Und auch wenn er heute, vor allem bei der Jugend, nicht mehr so beliebt ist, wird er dennoch nach wie vor von vielen Menschen verwendet. Leider tut auch dieser Dienst nicht viel mehr für die Sicherheit, als die Daten bei der Übertragung zu verschlüsseln.

Und auch die plattformübergreifende Secret-Message-App bewirbt sich als „sicher“, während der Mail-Client Hushmail als „privat“ bezeichnet wird – doch beide verschlüsseln die Daten nur während der Übertragung. Die XMS-Plattformen Kik und eBuddy werden gar nicht mit Sicherheitsbegriffen beworben, haben aber ebenfalls einen Punkt für die Verschlüsselung der Daten bei der Übertragung erhalten.

Besser, aber nicht gut genug: Zwei Punkte

Die beliebte Foto- und Video-Sharing-App SnapChat hat zwei Punkte erhalten. Einen für die Verschlüsselung der Daten bei der Übertragung vom Absender, über die SnapChat-Server, bis zum Empfänger. Der zweite Punkt wurde vergeben, da im vergangenen Jahr ein Sicherheits-Audit durchgeführt worden ist.

Wie viele andere Dienste auf dieser Liste, stand auch SnapChat in der Kritik, nicht nur wegen fehlender Sicherheitsmaßnahmen, sondern auch dafür, seinem obersten Grundsatz nicht zu folgen. Dieser besagt, dass Nachrichten, Fotos oder Videos nur für eine bestimmte, vom Absender festgelegte Zeit zur Verfügung stehen und dann für immer verschwinden. Allerdings kann der Empfänger die Bilder speichern, indem er Screenshots anfertigt, wobei der Absender darüber aber nicht informiert wird. Noch besorgniserregender ist eine App namens SnapHack, die die Flüchtigkeit der Inhalte von SnapChat komplett umgeht, indem sie den Empfängern erlaubt, diese ganz einfach zu speichern. Zudem haben Forscher immer wieder darauf hingewiesen, dass die Bilder nach der vorgegebenen Zeit nicht einfach gelöscht werden, sondern nur schwerer zu finden sind.

Google Hangouts ist wahrscheinlich eine der beliebtesten Apps, doch auf der Liste der EFF hat sie nur zwei Punkte bekommen. Hangouts ist ein plattformübergreifender Dienst, der nicht nur in den Gmail-Chat-Client eingebunden ist, sondern auch bei Google Plus und auf Android-Geräten der native Chat-Client ist. Google verschlüsselt die Daten bei der Übertragung und hat im letzten Jahr ein unabhängiges Audit durchführen lassen, allerdings kann das Unternehmen Ihre Nachrichten lesen, die Anwender können die wahre Identität von Kontakten nicht verifizieren, es gibt keine Perfect Forward Secrecy, der Code kann nicht von unabhängiger Seite geprüft werden und die Sicherheitsfunktionen sind nicht dokumentiert.

Der Facebook Chat, die mobile Variante des Messaging-Dienstes von Facebook, bekam ebenfalls nur zwei Punkte. Der beliebte Dienst verschlüsselt Daten bei der Übertragung und wurde einem unabhängigen Audit unterzogen. Mehr wurde für die Sicherheit bisher aber nicht getan.

Viber ist wohl der unbekannteste Dienst der Zwei-Punkte-Kategorie. Obwohl er als privater Messenger beworben wird, bekommt er dennoch nur zwei Punkte für die Verschlüsselung der Daten während der Übertragung und ein unabhängiges Audit.

Damit kommen wir zum seltsamen Fall von WhatsApp, dem wahnsinnig beliebten mobilen Messaging-Dienst. Er ist eine Art Alternative zu SMS-Nachrichten (sprich: der Service läuft über das Internet, nicht über Handy-Netzwerke). Die EFF hat dem Dienst die gleichen zwei Punkte wie den oben genannten Services gegeben, doch das könnte sich ändern. Der Grund dafür ist, dass sich WhatsApp mit Open Whisper Systems zusammengetan hat und eine Standard-Verschlüsselung für Ihre Android-App einführt. Der Grund, warum sich WhatsApp noch weiter verbessern könnte ist, dass die Dienste Signal, RedPhone, SilentText und SilentPhone von Open Whisper Systems alle Punkte im EFF-Test erreichen konnten. Man kann also davon ausgehen, dass WhatsApp in den nächsten Monaten viel sicherer werden wird.