Seit unserem Beitrag zu WhatsApp wurde viel über alternative Messenger diskutiert. Datenschützer empfehlen vorwiegend zwei Alternativen: Zum einen den nicht-kommerziellen Signal-Messenger und zum anderen den Messenger der jungen schweizer Firma Threema. Aber was genau finden die Datenschützer an diesen WhatsApp-Alternativen so gut? Das wollen wir in diesem Beitrag erklären.
Um zu verstehen, warum Signal und Threema die Lieblings-Messenger der Datenschützer sind, muss man ganz genau in die Technik der Anbieter schauen. Auf den ersten Blick sind die Grundstrukturen bei WhatsApp, Signal und Threema nämlich sehr ähnlich. In Internetgeschichten Teil #8 – Einfach erklärt: Die Technik hinter WhatsApp haben wir erklärt wie die Nachrichtenübertragung bei WhatsApp läuft: Alle Nachrichten werden über einen zentralen WhatsApp-Server in den USA übertragen. Die WhatsApp-Teilnehmer bilden somit ein „zentrales Nachrichtennetzwerk“. Auch bei Signal und Threema läuft das nicht anders. Threema betreibt zu diesem Zweck eigene Server in einem schweizer Rechenzentrum, während Signal auf Server von Google, Amazon und Microsoft in den USA setzt.
Wenn sich die Messenger so ähnlich sind, wie kommt es dann zu solch unterschiedlicher Beurteilung hinsichtlich Datenschutz? Dafür müssen wir einerseits verstehen, was genau „Datenschutz“ im Internet eigentlich bedeutet und andererseits tiefer in die technischen Details der Anbieter abtauchen, wo wir dann auch Unterschiede finden werden. Ziehen wir uns also die Brille eines Datenschützers auf und nehmen die Messenger unter die Lupe.
Datenschutz im Internet: Gilt das Briefgeheimnis?
Klären wir erst einmal, wonach ein Datenschützer überhaupt entscheidet, ob ein Messenger gut oder schlecht ist. Das ist zunächst relativ simpel erklärt: Er prüft, ob sich der Anbieter an bestehende Gesetze hält. Das Internet ist kein rechtsfreier Raum, zumindest hinsichtlich der Nachrichtenübertragung. Für die Bundesrepublik Deutschland regelt unter anderem das Telekommunikationsgesetz die Rechte von Sendern und Empfängern von Nachrichten und die Pflichten der Nachrichtenüberbringer. Es besagt klipp und klar in Paragraph 88:
Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. […] Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. […] Den [Diensteanbietern] ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.
Was man umgangssprachlich immer noch als „Briefgeheimnis“ bezeichnet, gilt auch für E-Mails und Chat-Nachrichten, die über einen Internetdienstleister übertragen werden. Genausowenig wie der Postbote die Inhalte der Briefe lesen oder sich Notizen über Absender und Adressat machen darf, dürfen die Messenger-Anbieter die elektronischen Inhalte und Daten von Sender bzw. Empfänger für ihre eigenen Zwecke verwenden.
Gesetze sind gut, Technik ist besser
Leichter gesagt als getan. Denken wir an Postkarten. Der Postbote darf den Text auf einer Postkarte nicht lesen. Aber habt Ihr schon einmal versucht, einen Text direkt vor euren Augen nicht zu lesen? Wenn man private Dinge in Postkarten schreibt, muss man dem Postboten schon sehr viel vertrauen schenken. Ein Brief ist schon einmal deutlich sicherer. Die Art der Übertragung ist also über das reine Gesetz hinaus entscheidend für einen wirksamen Datenschutz. Bei der elektronischen Übertragung kann man das herunterbrechen auf die Frage: Gibt es eine wirksame Ende-zu-Ende-Verschlüsselung?
Die Wichtigkeit einer Ende-zu-Ende-Verschlüsselung haben wir hier im Blog ja bereits vielfach erläutert, z.B. in Internetgeschichten Teil #7 – Einfach erklärt: Verschlüsselung. Sie stellt grundsätzlich sicher, dass nur Sender- und Empfänger den Inhalt einer Nachricht lesen können. Für alle anderen dazwischen bleibt die Nachricht Buchstabensalat. Hier trennt sich bei den Messenger-Anbietern sehr schnell die Spreu vom Weizen. Der derzeit ebenfalls beliebte Messenger „Telegram“ zum Beispiel kann das nicht durchgängig bieten und fällt damit bei einer Datensicherheitsprüfung durch.
Die Ende-zu-Ende-Verschlüsselung bei WhatsApp, Signal und Threema
WhatsApp und Signal verschlüsseln die Nachrichten basierend auf dem Signal-Protokoll (daher auch der Name des Messengers). Das haben wir bereits im Artikel Internetgeschichten Teil #8 – Einfach erklärt: Die Technik hinter WhatsApp ausführlich beschrieben. Threema nutzt dagegen eine andere Methode namens „NaCl“. Das steht offiziell für „Networking and Cryptography Library“, auf Deutsch also etwa „Netzwerk- und Verschlüsselungsbibliothek“. Es ist aber mehr ein Wortspiel, denn NaCl ist auch die chemische Formel für Speisesalz und als „Salz“ bezeichnet man das Hinzufügen von zusätzlichen Zeichen beim Verschlüsseln von Passwörtern, was die Verschlüsselung sicherer macht.
Grundsätzlich sind beide Methoden starke Verschlüsselungen, die dem aktuellen Stand der Technik entsprechen. Aber das Signal-Protokoll berücksichtigt auch den zukünftigen Stand der Technik und erfüllt damit das Kriterium der sogenannten „Perfect Forward Secrecy“. Konkret heißt das: Sollte jemand auf dem Threema-Server die Nachrichten heute abgreifen und irgendwo abspeichern, könnte er sie in einigen Jahren mit schnelleren Computern nachträglich entschlüsseln. Es könnte also später alles ans Tageslicht kommen, was heute noch in vermeintlich geheimen Chats preisgegeben wird. Die Threema-Entwickler argumentieren, dass ein derartiges Abgreifen von Nachrichten von innerhalb ihres schweizer Rechenzentrums aufgrund der hohen Zutritts- und Zugriffskontrollen extrem unwahrscheinlich seien. Sie erklären außerdem, dass eine Umsetzung der Perfect Forward Secrecy die Komplexität und damit die Fehleranfälligkeit derart steigern würde, dass es das Risiko nicht wert ist. Das ist nicht ganz von der Hand zu weisen, aber der Punkt für die stärkere Ende-zu-Ende-Verschlüsselung geht dann doch an WhatsApp und Signal.
Schutz von Kontaktdaten
Neben dem Nachrichteninhalt sind auch die Absender- und Empfängerdaten zu schützen. Der Dienstanbieter darf diese laut Gesetz zu nichts anderem verwenden als zur Zustellung der Nachrichten. Bei Smartphone-Apps betrifft das konkret die Kontaktdaten aus dem Adressbuch, vor allem die Telefonnummern. Damit die Apps anzeigen können, welcher der Kontakte den jeweiligen Messenger nutzt, müssen die Kontaktdaten zum Dienstleister hochgeladen werden. Dieser gleicht dann mit seinem Nutzerregister ab und sendet dem Smartphone eine entsprechende Antwort zurück. Sind die Kontakte aber einmal beim Dienstleister, könnte dieser weiter Kapital daraus schlagen.
Dies wird konkret WhatsApp vorgeworfen, da die Erläuterungen zur Verwendung der Daten einiges an Interpretationsspielraum zulässt. WhatsApp schreibt zum Beispiel:
Wir arbeiten mit Drittanbietern und anderen Facebook-Unternehmen zusammen, die uns dabei helfen, unsere Dienste zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten. […] Wenn wir Informationen mit in dieser Funktion agierenden Drittanbietern und anderen Facebook-Unternehmen teilen, verlangen wir von ihnen, dass sie deine Informationen in unserem Auftrag gemäß unseren Anweisungen und Bedingungen verwenden.
Ich will WhatsApp gar nichts unterstellen, aber aufzeigen, was möglich wäre: WhatsApp weiß anhand der Kontakte auf dem Smartphone, wer mit welchen Personen vernetzt ist. WhatsApp gehört zum Facebook-Konzern. Anhand der Benutzerprofile auf Facebook kann man die Interessen einer Person erkennen. Nun kann man annehmen, dass Leute, die viel miteinander zu tun haben, ähnliche Interessen haben. Führt man die Interessen und die Kontakte einer Person zusammen, kann man also Listen mit Telefonnummern und zugehörigen Interessen an passende, werbetreibende Unternehmen verkaufen. Und auf der Liste stehen dann auch Telefonnummern, die weder bei WhatsApp noch bei Facebook angemeldet sind. Die Besitzer dieser Telefonnummern dürfen sich dann trotzdem über „passende“ Werbung freuen.
Damit wir einem Anbieter also nicht blind vertrauen müssen, wäre es besser, wenn dieser erst gar nicht in den Besitz der Daten kommt. Beim Datenschutz muss also die Frage gestellt werden: Welche Kontaktdaten muss ich dem Dienstleister geben und wie geht er damit um?
Abgleich von Telefonnummern ohne die Telefonnummern
Schauen wir uns also an, wie man bei Signal und Threema mit den Kontaktdaten umgeht. Genau wie WhatsApp bieten beide einen Abgleich der Telefonnummern im Adressbuch an. Anders als bei WhatsApp werden aber nicht die Telefonnummern an den zentralen Server gesendet, sondern sogenannte „Hashwerte“. Der Hashwert ist ein Mix aus Buchstaben und Zahlen, den man zu jeder Telefonnummer durch eine Reihe komplizierter Rechenschritte berechnen kann. Ist auch nur eine einzige Ziffer in der Telefonnummer anders, kommt ein komplett anderer Hashwert heraus. Anstatt die Telefonnummern zu vergleichen kann man also auch die Hashwerte der Telefonnummern vergleichen. Rückwärts funktioniert es allerdings nicht. Die Umkehrung der Rechenschritte ist so aufwändig, dass nicht einmal der schnellste (derzeit existierende) Computer die ursprüngliche Telefonnummer wieder ausrechnen könnte. Die Telefonnummern bleiben also theoretisch geheim.
Allerdings nur theoretisch. Das Problem ist: Telefonnummern sind nicht besonders lang und ihre Anzahl ist beschränkt. Das heißt, jemand könnte sich relativ schnell zu allen möglichen Telefonnummern die Hashwerte ausrechnen und in eine Tabelle schreiben. Bekommt er nun einen Hashwert in die Finger, kann er einfach mit den Werten in seiner vorgefertigten Tabelle abgleichen und wird dort eine passende Telefonnummer finden. Solche sogenannten „Regenbogen-Tabellen“ gibt es bereits, man muss sich nicht einmal mehr die Mühe zum Berechnen machen. Der Hashwert-Abgleich bietet also tatsächlich keine absolute Sicherheit.
Wie Threema und Signal mit dem Hashwert-Problem umgehen
Sowohl die Signal- als auch die Threema-Entwickler machen keinen Hehl aus diesem Problem, gehen aber sehr unterschiedlich damit um. Threema argumentiert erneut mit der Sicherheit des schweizer Rechenzentrums und den in Europa anerkannten Zutritt- und Zugriffskontrollen. Niemand könnte unberechtigt so nahe heran, dass er während des Abgleichs die Hashwerte mitlesen könnte. Das Argument schießt hier auch scharf gegen den Standort der Signal-Server in den USA in Rechenzentren der als „Datenkraken“ bekannten Großkonzerne Amazon, Google und Microsoft. Damit sei man mit Signal auch nicht besser dran als mit WhatsApp und Facebook.
Die Threema-Argumentation überzeugt auch (europäische) Datenschützer. Das Gegenargument von Signal ist, dass grundsätzlich jeder Server in jedem Rechenzentrum mit Spionageprogrammen infiziert werden kann. Oder der Server-Betreiber wird von einer staatlichen Behörde per Gesetz gezwungen, eine Hintertür zu Überwachungszwecken offen zu lassen. Das passiert in den USA, in der Schweiz, in der EU … überall. Gerade erst hat beispielsweise die deutsche Bundesregierung das alte Telekommunikationsgesetz überarbeitet um auch größere E-Mail- und Messenger-Anbieter ähnlich wie die klassischen Telefonanbieter zum Bereitstellen von „Abhörschnittstellen“ zu verpflichten (siehe Kurz zu … den zusätzlichen Überwachungsmaßnahmen im Windschatten des „Rechts auf schnelles Internet“). Deswegen geht man bei Signal einen Schritt weiter nach dem Motto „du musst Signal nicht vertrauen um Signal sicher zu nutzen“.
Um die unterschiedliche Argumentation bildlich zu verdeutlichen: Threema sieht sich im Datenschutz-Auenland, in dem nur brave Hobbits wohnen. Darum herum gibt es große Mauern, die alles Böse fernhalten. Im Auenland kann man problemlos sensible Kontakte abgleichen. Signal dagegen sieht sich selbst im finsteren Land Mordor, wo es von fiesen Orks und anderen Monstern nur so wimmelt und ein riesiges böses Auge von einem hohen Turm aus alles beobachtet. Und in dieser Umgebung muss der Kontaktabgleich funktionieren. Wie schafft Signal das?
Stellen wir uns vor, zu jedem Signal-Benutzer liegt ein Zettel mit der Telefonnummer unter einem Stein auf dem Boden Mordors. Nun kommt ein neuer Signal-Nutzer namens Frodo nach Mordor hineinspaziert. Was passiert? Frodo hat eine Liste mit Telefonnummern (bzw. deren Hashwerte) seiner Freunde in der Hosentasche. Er könnte die Liste herausnehmen und reinschauen. Dann würde er die erste Telefonnummer auf der Liste nehmen und mit den Telefonnummern unter den Steinen vergleichen. Dann die zweite Telefonnummer und so weiter. Bei dieser Vorgehensweise könnte das böse Auge jedoch Frodos gesamte Liste sehen. Die Telefonnummern aller Freunde Frodos – egal ob sie Signal nutzen oder nicht – wären nun in den Händen des Fürsten der Finsternis.
Frodo benötigt also einen sicheren Ort, an dem er auf seine Liste schauen kann, ohne dass ihm jemand dabei zusieht. Nicht einfach, mitten in Mordor. Doch es gibt eine Lösung: Frodo besitzt einen magischen, elbischen Tarnmantel. Immer wenn er auf seine Liste schauen muss, zieht er den Mantel über und schafft somit innerhalb von Mordor einen winzig kleinen Bereich, in den das böse Auge nicht hereinsehen kann. In der realen Welt ist der Tarnmantel eine speziell in Computerchips der Firma Intel zur Verfügung stehende Sicherheits-Funktion. Die sogenannte „Software Guard Extension“ (kurz SGX, auf Deutsch etwa „Erweiterung zum Schutz von Computerprogrammen“) wurde durch Intel entwickelt, damit Computer Programme aus dem Internet herunterladen und in einem abgetrennten Bereich ausführen können, der sogenannten „sicheren Enklave“. Nicht einmal das (möglicherweise von Spionageprogrammen infizierte) Betriebssystem des Servers kann den Vorgang innerhalb der Enklave mitverfolgen.
Der Fürst der Finsternis ist aber nicht dumm. Er kann zwar jetzt nicht mehr alle Freunde auf Frodos Liste sehen, aber er kann immmer noch herausfinden, wer von den Signal-Benutzern mit Frodo befreundet ist. Dazu muss er Frodo nur beim Hochheben der Steine beobachten: Wenn Frodo unter seinem Mantel verschwindet, dann unter einige Steine schaut und dann wieder stoppt, weiß das böse Auge: Unter dem letzten Stein muss die Nummer eines Freundes gewesen sein. Frodo muss daher komplizierter vorgehen: Er muss unter jeden Stein schauen und die darunterliegende Nummer (unter dem Zaubermantel) mit seiner Liste vergleichen. Das macht den Abgleich deutlich langsamer, aber lässt für das böse Auge keine Rückschlüsse mehr zu.
Es gibt noch einige weitere Beispiele, die jetzt zu weit führen würden. Unter dem Strich muss man sagen: Gerade weil Signal unter den Bedingungen der laschen us-amerikanischen Datenschutzgesetzen entwickelt wird, hat man sich deutlich mehr Gedanken über den Schutz der Nutzerdaten gemacht und geht einige Schritte weiter als Threema.
Zusätzlich bietet SGX noch eine weiteren Vorteil: Die Signal-Entwickler haben das gesamte Programm, das zum Abgleich der Telefonnummern verwendet wird im Internet veröffentlicht. Technik-affine Signal-Nutzer oder Verbraucherschützer können von außen prüfen, ob das Programm, was in der SGX-Enklave ausgeführt wurde, mit der veröffentlichten Version übereinstimmt. Sollten uns die Signal-Entwickler belügen, unbemerkt gehackt worden sein oder von der NSA zum Einbau einer Hintertür gezwungen worden sein, könnte man das auf diese Weise enttarnen. Man muss Signal also tatsächlich nicht blind vertrauen.
Absolute Sicherheit gibt es aber natürlich auch bei Signal nicht: Auch in Intel-Computerchips wurden in den letzten Jahren einige Sicherheitsprobleme gefunden. Unter anderem wurde die Möglichkeit aufgezeigt, dass ein Hacker auf dem Server eine scheinbar sichere SGX-Enklave vortäuschen könnte. Frodo würde sich dann sozusagen statt eines Zaubermmantels einen ganz normalen Mantel überziehen, durch den das böse Auge durchsehen kann. Diese Sicherheitslücke wurde zwar geschlossen, aber möglicherweise gibt es noch andere, die man nur noch nicht gefunden hat.
Auf Telefonnummern verzichten
Threema kam jetzt möglicherweise etwas schlecht weg. Bei allen oben genannten Sicherheitsmaßnahmen muss man aber auch noch erwähnen, dass Threema ganz ohne Telefonnummer genutzt werden kann. Man sieht dann eben nicht direkt, welche Kontakte ebenfalls Threema nutzen, sondern muss das auf anderem Wege herausfinden (z.B. durch ein gutes altes persönliches Gespräch). Da Threema etwas kostet, bedeutet das ironischerweise, dass man Geld bezahlt, um eine Komfortfunktion abschalten zu können. Dennoch ist das ein klarer Pluspunkt für Threema, denn diese Option hat man – jedenfalls ohne zu tricksen – mit Signal nicht.
Wir bleiben dran
Wir haben nun gesehen, dass Threema und Signal im Detail mit sehr unterschiedlichen Konzepten arbeiten, aber beide mit dem gleichen Ziel: Maximaler Schutz der Daten vor dem Zugriff durch Unbefugte. Beide Konzepte überzeugen Datenschützer und deswegen werden sie zurecht gegenüber anderen Messengern empfohlen. Das Threema-Konzept kann man als eher klassisch bezeichnen: Das Geld fließt in die Sicherheit des Rechenzentrumsgebäudes, also quasi hohe Mauern, Stacheldraht, Kameras, Wachpersonal und natürlich das technische Equipment für Zutrittskontrollen. Das ist vergleichbar mit den Kontrollen am Flughafen: Es ist sehr schwer unberechtigt oder mit einer Waffe bis zum Flugzeug zu gelangen. Bist du allerdings erst einmal dort, kann man maximalen Schaden anrichten. Signal geht darüber hinaus neue Wege und setzt anspruchsvolle Ideen um, damit das Flugzeug selbst mit einem Terroristen an Bord noch sicher landen kann.
Es wird spannend sein, wie der Wettlauf um den sichersten Messenger weitergeht und ob sich „Sicherheit“ überhaupt als wesentliches Kriterium bei den Nutzern durchsetzt, wenn man dafür möglicherweise auf Komfort und Funktionen verzichten muss. Interessant wird auch sein, wie sich die Gesetzgeber positionieren. Wird man einem vielgenutzten, vielleicht sogar „system-relevanten“ Messenger überhaupt erlauben, dass über die Nutzer keine Daten gespeichert werden, also eine nahezu anonyme Telekommunikation gestatten? Die größte Befürchtung bei Signal und Threema ist vermutlich, dass sie den staatlichen Ermittlungsbehörden „zu sicher“ und in kriminellen Kreisen zu beliebt werden. Dann kommt die alte Frage wieder, was schwerer wiegt: Datenschutz oder Gefahrenabwehr. Wir bleiben jedenfalls dran und berichten, wenn es etwas Neues gibt.
Um keinen Beitrag zu verpassen, kann man die Internetgeschichten mittlerweile auch bei Facebook abonnieren. Wenn Ihr den Blog unterstützen wollt, gebt ihm dort ein „Gefällt mir“.
