Wie sicher sind Instant Messenger?

 

Immer wieder taucht die Frage auf, wie sicher Instant Messanger, wie z.B. WhatsApp, Telegram oder Signal sind.

Zunächst die Definition von Sicherheit bei Instant Messenger:

  • Datenschutz, dabei sind die Fragen relevant:
    • Wer kann außer dem Absender oder dem Enpfänger einer Nachricht noch auf die Nachricht oder deren Metadaten zugreifen?
    • Was ist mit Ermittlungsbehörden außerhalb des Geltungsbereichs des Grundgesetzes der Bundesrepublik Deutschland?
    • Was ist mit dem Betreiber der Infrastruktur?
  • Die Widerstandsfähigkeit der App und der Infrastruktur gegen Angriffe
    • Handelt es sich um eine zentrale Infrastruktur, oder um eine dezentrale Architektur? 
    • Der Software Entwicklungsprozess, wie einfach kann in das Repository Schadcode eingeschleust werden?
    • Ist der Source-Code aller beteiligten Komponenten öffentlich einsehbar?

Die letzte Frage ist sehr leicht zu beantworten, offensichtlich ist hier Open-Source ein sehr guter Anfang. Wenn dann zumindest jemand sich den Source-Code regelmäßig anschaut, dann ist man auf einem guten Weg. Im Idealfall wurde eine Ende2Ende Verschlüsselung implmentiert, deren Korrektheit ausreichend geprüft wurde.

Eine Peer2Peer Architektur ist auf jeden Fall auch einer zentralen Architektur vorzuziehen, denn so wird das Abhören schon durch die Nichtvorhersagbarkeit der Kommunikationsverbindungen deutlich erschwert.

Messenger

Es werden einige, wichtige Vertreter verschiedener Architekturen vorgestellt.

Signal

Auf den ersten Blick wirkt Signal sicher, allerdings liegt auch hier der Schwachpunkt in der Server Infrastruktur. So gilt zwar das verwendete Signal Protokoll als sicher, allerdings können bei einer zentralen Server Infrastruktur Manipulationen nie ausgeschlossen werden. Im einfachsten Fall wird im Rahmen der Implementierung durch ein Feature-Flag für den Nutzer unbemerkt einfach das Protokoll gezielt geschwächt. Inzwischen nutzen auch andere Instant-Messenger das Signal-Protokoll, aber auch hier gelten die Bedenken bzgl. der zentralen Infrastruktur. Neuerdings hat Signal eine Zahlungsfunktion. Dadurch entstehen Überwachungspflichten in Hinblick auf Geldwäsche, die man allerdings in einem Instant-Messenger nicht haben will. Signal ist eine Non-Profit Organisation, allerdings in den USA.

Threema

Threema ist ein kostenpflichtiges, kommerzielles Produkt. Das Unternehmen dahinter befindet sich in der Schweiz, die DSGVO ist da vollumfänglich gültig. Der Service ist kostenpflichtig, daher kann hier von der Annahme ausgegangen werden, dass der Nutzer der Kunde und nicht das Produkt ist. Wer Briar nicht nutzen kann oder will, sollte sich also Threema ansehen.

Telegram

Der Instant Messenger Telegram ist ein etwas spezieller Fall, dort gibt auch öffentliche Foren, die bei Behörden in Deutschland für "Aufmerksamkeit" gesorgt haben, wobei bei Behörden offenbar die Meinung besteht, dass deutsche Gesetze auch außerhalb des Geltungsbereichs des Grundgesetzes und auch bei ausländischen Staatsbürgern mit einem Aufenthalt außerhalb der EU anzuwenden sind. Im betroffenen Ausland sieht man das offenbar anders... In diesem Zusammenhang interessiert allerdings nur die Tatsache, dass sich die Betreiber mit ihrer Server Infrastruktur ebenfalls sehr bedeckt halten. Die Nichtzensierbarkeit der Foren ist sicher ein Pluspunkt, wenn man Repressalien durch den Staat befürchten muss. Für die private Kommunikation gelten hier auch die Bedenken wegen der zentralen Infrastruktur.

WhatsApp

Das ist zwar der Marktführer, aber das hat bekanntlich nichts zu sagen, das Zitat "..., Milliarden Fliegen können nicht irren..." ist sicher allgemein bekannt. Dass der größte Datenverwurster der Betreiber ist, stärkt nicht gerade das Vertrauen in diese Plattform. Meta ist jedenfalls keine Non-Profit Organisation, dass der Service für den Nutzer kostenlos ist, dann kann der Nutzer - seine Daten - nur das Produkt sein.

Briar

Offensichtlich ist Briar der Messenger der Wahl, wenn es um Sicherheit und Datenschutz geht, weil Briar auf einer reinen Peer2Peer Architektur basiert. Weiterhin wird Tor für die Anonymisierung genutzt. Auf Grund der Architektur kann Briar derzeit nicht auf dem iPhone genutzt werden.

Plattformen

Irgendwo müssen die Apps laufen. Die Betriebssysteme spielen in Hinblick auf die Sicherheit auch eine zentrale Rolle. Deshalb sollen hier auch die Betriebsplattformen einer Bewertung unterzogen werden.

Android

Bei Android ist ein halbwegs sicherer Betrieb tatsächlich möglich, wenn eine Google freie Implemetierung wie z.B. Graphene OS genutzt wird. Smartphone, bei denen das vorinstalliert ist, gibt es inzwischen auch zu kaufen, z.B. das Nitrophone. Bleiben noch mögliche Backdoors in der Hardware oder dessen Treiber, daran kann auch Graphene-OS nichts ändern.

Apple

Das Thema Briar hat sich bei Apple iPhone wohl erledigt, denn Briar gibt es für das iPhone nicht. Die Gründe dafür sind in einem Issue ganz gut beschrieben. Zu MacOS gibt es auch ein Issue, allerdings gibt es da keine technischen Gründe dafür, dass Briar für MacOS nicht verfügbar ist, es muss nur "jemand" implementieren.

Linux Desktop

Mit einem Linux als Desktop Plattform sollte ein sicherer Betrieb von Briar auch möglich sein, allerdings gibt es von Briar noch keine Desktop Lösung. Es gab mal einen GTK Client, aber der wird offenbar nicht weiter gepflegt.

Windows Desktop

Windows ist nicht vertrauenswürdig, bis heute ist nicht geklärt, welche "Telemetriedaten" Windows an Microsoft sendet, zudem gibt es bei Windows aufgrund seiner Verbreitung und seiner Standardeinstellungen massive Probleme mit Schadsoftware. So lange Microsoft Windows nicht mit sicheren Standardeinstellungen und vollständig deaktivierter Telemetrie ausliefert, muss von diesem Betriebssystem grundsätzlich abgeraten werden.

Fazit

And the winner is:

Briar Logo

Briar wurde von Anfang an sehr konsequent in Hinblick auf Sicherheit und Anonymität entwickelt, wobei auch die Netzinfrastruktur betrachtet wurde. Hier ist die Wahl auf Tor (The Onion Routing) gefallen. Das funktioniert natürlich nur, wenn die Plattform ebenfalls zumindest einigermaßen sicher ist. Das ist derzeit leider nur machbar mit einem Custom ROM, die Wahl ist hier auf GrapheneOS gefallen. Die Sicherheit der App ist aber leider auch nur ein Teil der Wahrheit, denn die App muss erst einmal auf einer Plattform laufen, damit man Nachrichten erhalten oder versenden kann. Da beginnen dann die Probleme, denn die Plattform muss ebenfalls sicher sein. Das Betriebssystem kann im Zweifel auf alles zugreifen. Diese Einschränkung gilt auch für alle anderen Instant-Messenger.

Grundsätzlich kann man Smartphones nicht vertrauen, weil dort ein sehr umfangreiches Tracking stattfindet und eine Unmenge von Daten mit mehr oder weniger unbekannten Inhalt an alle möglichen Adressen im In- und Ausland übertragen wird. Außer bei Briar erfordern alle Instant Messenger die Nutzung einer Server Infrastruktur, deren Sicherheit für den Anwender nicht überprüfbar ist. Die Betreiber halten sich mit Informationen dazu sehr bedeckt.

Sinnvoll ist die Installation einer Panic-Button App, die beim Zusammentreffen vorbestimmter Ereignisse das Smartphone automatisch sperrt und sofort mit dem Löschen kritischer Daten beginnt. Bei einem normalen Linux würde es normalerweise schon reichen, alle Keys des LUKS Devices zu löschen, was in weniger als einer Sekunde abläuft. Leider scheint aber Android LUKS nicht zu nutzen. Wenn man Glück hat, kann man allenfalls externe Datenträger mit LUKS verschlüsseln und dann mit Android einzubinden.