1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen
Politik

Die (un)sichere Welt der Messenger-Dienste

Christopher Nehring
15. April 2020

Die Zeit des Corona-Homeoffice wird als Antriebsmotor für digitale Kommunikation in Erinnerung bleiben. Dort, wo sensible und geheime Informationen zusammenlaufen, haben staatliche Stellen aber besondere Anforderungen.

WhatsApp - Instant-Messaging-Dienst
Bild: picture-alliance/dpa/C. Rehder

Man kennt das Problem: privat greift jeder auf (unterschiedliche) Messenger- und Kommunikationstools zurück, doch bei der Arbeit sind Email, Telefon und Meeting immer noch die Standards. Am weitesten hinken dabei - so kann man oft den Eindruck gewinnen - die Behörden zurück. Besonders dort, wo - wie im Sicherheitsbereich oder der Regierung - sensible und geheime Informationen zusammenlaufen, haben staatliche Stellen aber auch besondere Anforderungen: Hier müssen Messenger-Dienste nicht nur funktional sein, sondern gegen geheimes Abhören und ungewünschte Informationsabflüsse genauso geschützt sein wie sie auch den Datenschutzbestimmungen genügen müssen. Darauf war vor Corona keine Regierung vorbereitet, nicht in Deutschland und nicht in der EU. Doch Not macht erfinderisch - und könnte der Digitalisierung einen dringend benötigten Schub geben. Zeit für eine (sichere) Rundumschau der Messenger-Apps.

Von Whatsapp zu Signal & Co

Ohne Zweifel war und ist "WhatsApp" der Messenger-Dienst, an dem sich alle anderen messen lassen müssen. In der EU-Kommission machte das Stichwort von der "WhatsApp-Diplomatie" die Runde. Über WhatsApp verhandelt wurde zum Beispiel der Brexit. Dann empfahl die EU-Kommission ihren Mitarbeitern im Februar 2020, zum ebenfalls weitverbreiteten Messenger "Signal" zu wechseln. Der Grund: Sicherheits- und Datenschutzbedenken gegen WhatsApp. Trotz der oftmals gelobten Ende-zu-Ende-Verschlüsselung, die es nur dem Sender und Empfänger einer Nachricht erlaubt, den Inhalt zu erkennen, kam es zu mehreren gravierenden Sicherheitsvorfällen. Die israelische Sicherheitsfirma "NSO Group" zum Beispiel soll nach übereinstimmenden Berichten von Netzaktivisten wie netzpolitk.org oder dem Citizen Lab Toronto ein Programm ("Pegasus") entwickelt haben, das Sicherheitslücken in WhatsApp ausnutzen kann, um Inhalte abzugreifen. 2018 wurde zum Beispiel der WhatsApp-Account von Amazon-Chef Jeff Bezos gehackt. Dessen Sicherheitsberater macht das saudische Königshaus für den Hack verantwortlich, ein privates Gutachten von FTI Consulting brachte die "Pegasus"-Software ins Spiel. Die NSO-Group bestreitet die Verwendung ihrer Software im Bezos-Fall, da die Software bei "amerikanische Telefonnummern nicht funktioniere und überhaupt nur zur Aufdeckung von Verbrechen und Terror" lizensiert sei. Experten von netzpolitik.org oder dem Citizen Lab Toronto bringen hingegen Anschuldigungen vor, die "Pegasus"-Software würde regelmäßig zur Überwachung von Dissidenten und Journalisten eingesetzt.

Doch was macht Signal anders? Zunächst einmal ist die Signal-App nicht wie WhatsApp eine kommerzielle Entwicklung eines Kommunikationskonzerns, sondern von Datenschutzaktivisten und Cyber-Sicherheitsexperten. Daher steht der Programmcode von Signal als Open-Source-Software online, sodass ständig weiterentwickelt und verbessert werden kann. Außerdem setzt Signal seit mehr als einem Jahr auf das Prinzip des versteckten Senders ("sealed sender"), bei dem auch die sogenannten Metadaten einer Nachricht, also das Wer? Wann? An wen? geschützt werden sollen. Dazu speichert Signal, nach eigenen Angaben, auch keine IP-Adresse eines Absenders.

Ähnlich geht auch die "Threema"-App vor. Auch sie verschlüsselt Ende-zu-Ende und verzichtet auf Metadaten. Das geht bei Threema so weit, dass Nutzer kein Profil mit hinterlegter Email oder Telefonnummer einrichten müssen, sondern eine anonyme ID zugewiesen bekommen. Dafür ist der Threema-Programmcode im Vergleich zu Signal nicht vollständig quelloffen.

Messenger-Dienste: Es kann keine hundertprozentige Sicherheit gebenBild: picture-alliance/dpa/W. Kastl

Viber, ICQ und Zoom

Dass Sicherheit alleine nicht unbedingt ausreicht, zeigt die Kommunikationsapp "Viber". Sie bietet kostenlose Chats und Telefonie, die ebenfalls Ende-zu-Ende verschlüsselt sind. Nach ersten Beschwerden trifft dies mittlerweile auch für Bilder und Videos zu. Stark kritisiert wurde Viber jedoch für seinen Umgang mit Datenschutzprinzipien. Denn hier zeigt sich das Geschäftsmodell der weitgehend kostenlosen App: Nutzer mussten nämlich jahrelang zustimmen, dass Viber persönliche Daten des Geräts wie Adressbuch und andere erhalten, nutzen und an Dritte übermitteln darf.

Ähnliche Bedenken gab es auch gegen die neue Version von "ICQ" (ICQ New), die mittlerweile zur russischen Mail.Ru Group gehört. ICQ zählt dabei zu jenen Diensten, die Edward Snowden bereits 2013 in die Reihe von Unternehmen einordnete, die Nutzerdaten auch an Geheimdienste weitergaben. ICQ und Mail.Ru bestritten dies.

Sicherheitsbedenken gibt es übrigens auch bei dem als "Corona-Held" gefeierten "Zoom". Die Videokonferenz-App erlebte einen Boom, da sie zu Beginn der Corona-Krise das versprach, was alle brauchten: Eine stabile und leicht zu bedienende App für Video-Konferenzen mit bis zu 100 Teilnehmern. Mittlerweile wirkt es jedoch, als wäre Zoom ein nicht ausgereifter Schnellschuss, denn gravierende Sicherheitsbedenken mehren sich.

Die Sicherheitsvorkehrungen waren so lückenhaft, dass plötzlich fremde und unautorisierte Teilnehmer in private Videokonferenzen platzten. Dazu gab das FBI offiziell einen Spionagegefahr-Alarm für Zoom heraus, als bekannt wurde, dass die Verschlüsselungscodes über Server in China gingen. Vergangene Woche dann wurde bekannt, dass der Tech-Gigant Google seine Mitarbeiter offiziell dazu anhält, Zoom nicht auf Arbeits-PCs zu installieren - aus Sicherheitsgründen.

Neuer Trend: Eigenentwicklungen

Behörden haben - anders als private Nutzer - allerdings noch eine weitere Option: Sie können eigene Kommunikationstools entwickeln lassen. Dies scheint der Trend der Stunde zu sein. So empfahl die EU-Kommission ihren Mitarbeitern im Februar 2020 nicht nur den Wechsel zu Signal, sondern versuchte auch geheim zu halten, dass bereits an einem eigenen EU-Messenger-Dienst gearbeitet wird.

Die deutsche Bundesregierung gab Ende März auf Nachfragen ebenfalls bekannt, dass das Bundeskanzleramt in der Corona-Krise für seine Mitarbeiter die App des Berliner Unternehmens "Wire" teste. Dieses sitzt in Berlin und wirbt nicht nur mit besonderer technischer Sicherheit, sondern auch dem physischen Standort in der EU, der ein Einhalten der strengen Datenschutzrichtlinien garantieren soll.

Darauf zu achten empfiehlt auch der oberste Datenschützer Deutschlands, Ulrich Kelber, in seinen Handreichungen zur sicheren Kommunikation. Mit ähnlichen Sicherheits- und Datenschutzfeatures wirbt daher auch das in Hannover beheimatete Unternehmen "Stashcat". Dort werden bereits seit längerem Kommunikationsdienste unter anderem für die Polizei in Niedersachsen entwickelt. Messenger aus dem Hause Stashcat soll in der Corona-Krise auch das deutsche Verteidigungsministerium und die Bundeswehr testen.

Es gibt viele Pros und Contras für die einzelnen ProdukteBild: picture-alliance/N. Ansell

Fazit: Es bleibt unübersichtlich

Und welcher Messenger ist nun wirklich zu hundert Prozent sicher? Die Antwort darauf ist so einfach wie ernüchternd: keiner. Auch bei den WhatsApp-Alternativen wurden bereits Sicherheitslücken bekannt. Ohnehin ist es ein Mantra von Hackern und Cyber-Sicherheitsforschern, dass es keine hundertprozentige Sicherheit geben kann. Stattdessen gibt es ein Mehr oder Weniger an Sicherheit und Privatheit.

Darüber hinaus gibt es viele Pros und Contras für die einzelnen Produkte. Denn auch die größte Sicherheit und strengsten Datenschutzrichtlinien bringen wenig, wenn die App nur wenige Nutzer hat, teuer ist oder schlecht funktioniert. Gerade in diesen Punkten kommen kleinere Messenger-Dienste schwerer gegen Google, Apple und Facebook an.

Nicht alle Messenger- und Kommunikationstools, die für private Zwecke gut funktionieren, sind deshalb auch für Behörden, Ärzte oder Unternehmen zu gebrauchen. Eigenentwicklungen sind aber nur für große Unternehmen und staatliche Stellen eine Alternative. Die Realität wird für die meisten Nutzer in der nahen Zukunft also so aussehen: ein bis drei Messenger-Dienste für private Kontakte in verschiedenen Ländern, einer für die Arbeit, einer für Gruppen, einer für Videochats - und noch einer, nur zum Ausprobieren.

Den nächsten Abschnitt Mehr zum Thema überspringen