(Un)Sicherheit bei Instant Messengern

In den letzten Jahren wurden immer wieder neue Messenger Applikationen entwickelt. Jedoch wurden die meisten davon ohne Rücksicht auf Konzepte für hohe Sicherheit und die Gewährleistung der Privatsphäre entwickelt. Der Snowden-Fall hat unsere schlimmsten Befürchtungen wahrgemacht: Die Regierung/öffentliche Hand spioniert unser „digitales Leben“ aus.

Die Frage der Datensicherheit spielt in der heutigen Zeit des Social Webs und der immer wichtiger werdenden Instant Messenger eine große Rolle. Auch wenn mittels Verschlüsselungen Sicherheit angepriesen wird, lässt sich nicht wissen, ob die Daten nicht doch von Dritten eingesehen werden oder sogar Gegenstand von Datenhandel werden.

Hysterie oder doch Gleichgültigkeit?
WhatsApp wurde 2012 für 19 Milliarden US-Dollar von Facebook gekauft. Dieser Kauf führte bei einigen Nutzern zu großen Unsicherheiten, sie fühlten sich hintergangen und hatten plötzlich Angst um ihre Daten. Doch waren die bei WhatsApp wirklich besser aufgehoben?
Nein. WhatsApp war noch nie „sicher“ oder sind die Speicherungen der unverschlüsselten Backups auf den Servern schon in Vergessenheit geraten? Oder dass die Nachrichten bis August 2012 völlig unverschlüsselt transportiert wurden? Dass WhatsApp sämtliche Telefonnummern auf ihren Servern gespeichert hat?
War der NSA-Skandal ein Grund für das plötzliche Erwachen? Wenn ja, wäre es doch gut, wenn sich mehr Menschen Gedanken über deren Datenschutz machen würden und darüber nachdenken, welche Applikationen sie verwenden und welche Daten sie preisgeben.
Es ändert jedoch nichts an der Sache, dass es weder ein globales Datenschutzrecht noch ein globales Kontrollorgan gibt, das unsere Daten schützt, wo auch immer sie gespeichert sind. Mit dem Austausch einer Instant-Messaging-App behandeln wir nur ein Symptom und nicht die Krankheit.
Doch solange Firmen über unsere Daten verfügen und sie weiterverkaufen dürfen, liegt es an den Nutzern, wichtige Daten nicht über solche Dienste zu verbreiten. Somit sind die Nutzer selbst die wichtigste Bastion im Kampf gegen die missbräuchliche Verwendung von Daten. Es macht also keinen Unterschied, für welche Alternative man sich entscheidet, denn niemand kann garantieren, dass persönliche Daten – auch in Zukunft – geschützt werden.
Wer sich bei Facebook, WhatsApp und diversen anderen Online-Plattformen oder deren Dienstleistungsprogrammen anmeldet, muss zunächst den Datenschutzerklärungen zustimmen. Diese ähneln eher einem Freibrief zum Sammeln und Speichern von Daten. „Daten und Nutzerprofile gelten als das Gold des Internets. Sie sind bares Geld wert!“ so Verbraucherschützer.

Verschlüsselung top, Closed Source flop
Die gute Nachricht dabei: WhatsApp verschlüsselt richtig gut! Die schlechte: Es macht das nur manchmal. Und noch schlechter: Man sieht nicht, wann Nachrichten geschützt sind und wann nicht.
Seit April 2016, gibt WhatsApp an, dass es bei allen Betriebssystemen eine end-to-end Verschlüsselung verwendet wird.
Ein Team von heise hat der Verschlüsselung auf den Zahn gefühlt und kam zu dem Ergebnis, dass die end-to-end Verschlüsselung über Gerätegrenzen hinweg konsequent durchgezogen wird. Hierbei wurde zwar kein Punkt gefunden, dass die Verschlüsselung nicht so funktionieren würde, wie sie sollte, jedoch ist es ein großes Problem, man nie wirklich sicher weiß, ob eine Verschlüsselung tatsächlich zum Einsatz kommt. Denn weder beim Verschicken noch beim Empfang zeigt ein regulärer WhatsApp-Client an, ob die Nachricht E2E-verschlüsselt wurde. Die hier durchgeführten Tests belegen lediglich, dass das prinzipiell schon geschieht. Genug, um sich drauf zu verlassen, ist das leider nicht.

Wo kommt das Geld her?
Da das Thema der Monetarisierungsmöglichkeiten für Instant Messenger selten erläutert wird, hier ein kleiner Überblick davon.

B2C-Kommunikation: WhatsApp erwägt, die Kommunikation zwischen Unternehmen und Verbrauchern zu monetarisieren, ein Beispiel dafür wäre, dass Onlineshops Versandbestätigungen schicken.
Exit-Wachstum: Hierbei wird ein massives Wachstum angesteuert, um das App dann einem Strategen zu verkaufen, wie bei WhatsApp, das für 19 Mrd. $ von Facebook gekauft wurde.
Werbung: Einblendung von Werbung im Nachrichten-Stream, womöglich sogar per Push-Nachricht.
Datenverkauf: Hierbei werden anonymisierter Nutzerdaten für Auswertungen, Marketingaktivitäten oder Ähnliches verkauft.
Affiliate-Links: Wann immer Nutzer einen Link miteinander teilen, wandelt der Messenger diesen in einen Affiliate-Link und erhält für vermittelte Käufe eine Provision. Diese wurden beispielsweise von Pinterest ins Spiel gebracht, aufgrund von zu viel Spam aber wieder verbannt.
In-App-Purchases: Dies bedeutet, dass Extras innerhalb des Messengers verkauft werden, wie Spiele oder virtuelle Sticker.
App-Store-Modell: App-Store-Modell, bei dem Drittanbieter neue Funktionen entwickeln und diese als Zusatzfeatures gegen Geld anbieten. Telegram erlaubt beispielsweise Entwicklern über eine API eigene Telegram-Dienste zu entwickeln.
Pro-Variante: Diese ist mit einem Premium-Account gleichzusetzten, das heißt, dass in einer Pro-Variante, weitere Funktionen gegen Bezahlung angeboten werden. Skype bietet für Geschäftskunden spezielle Sonderfunktionen an.

Neben den vielfältigen Erlösmodellen für kostenlose Apps, haben auch die Gründer verschiedener Apps Stellung zu deren Erlösmodellen genommen:
„Hier bei WhatsApp verbringen unsere Ingenieure ihre ganze Zeit damit, Fehler zu beheben, neue Funktionen hinzuzufügen und komplexe Probleme zu lösen. Und das mit dem Ziel, einen reichhaltigen, erschwinglichen und zuverlässigen Messenger auf jedem Handy der Welt zu bieten. Das ist unser Produkt. Das ist unsere Leidenschaft. Daten über dich persönlich, deine Interessen oder dein Kaufverhalten spielen für uns keine Rolle. Wir sind einfach nicht daran interessiert.“, so die Gründer von WhatsApp.
Es wird zwar nicht über Anzeigenschaltung nachgedacht, jedoch gibt es bereits Überlegungen zur Monetarisierung von WhatsApp. Hierbei wird aus unternehmerischer Sicht an one-to-one Kommunikation gedacht. Dies würde einen direkten Kundendialog ermöglichen und kennt folge dessen die Bedürfnisse des Kunden; es könnte ihm personalisierte Werbung ausspielen.

Telegram ist ein Berliner Start-Up und wurde von den Brüdern Durov entwickelt. Einer der Brüder ist Gründer des russischen Facebook-Pendants, VKontakte. Angeblich wird diese App allein aus einer Spende, die ein Verkauf von VKontakte-Anteilen ermöglicht haben soll, finanziert.

Der Threema -Gründer Manuel Kasper über die Finanzierung von Threema: „Vorerst finanziert sich Threema aus den laufenden Einnahmen der App-Verkäufe; wir können uns aber gut vorstellen, in Zukunft auf ein nachhaltigeres Modell mit einer geringen Jahresgebühr zu wechseln.“

Auch bei Signal, das über Förderungen finanziert wird, fehlt ein langfristig gewinnbringendes Finanzierungsmodell. Kurzzeitig kommt bestimmt einiges an Geld zusammen, aber eine langfristige Lösung ist auch das nicht.

Messenger der Zukunft
Der Mitgründer von WhatsApp Jan Koum plant zukünftig in den Bereich der Kommunikation zwischen Unternehmen und Verbrauchern vorzustoßen. „Wenn man an die SMS zurückdenkt, ging es dabei um zwei Dinge: die Kommunikation von Menschen untereinander und zwischen Unternehmen und Menschen. Den ersten Teil haben wir geschafft. Aber wir denken, dass der zweite Teil auch groß werden kann“, so Koum.
Auch Berger von c’t sieht da Potential: „Ich glaube, dass WhatsApp und der Facebook Messenger immer mehr zu Plattformen werden, auf denen man auch Dienstleistungen in Anspruch nehmen kann – zum Beispiel einen Tisch im Restaurant zu reservieren“. Außerdem sei es in Asien bereits möglich via Instant Messenger einzukaufen, zu bezahlen, Geld zu verschicken und seine Freunde zu orten. Diese Entwicklung wird es in naher Zukunft wahrscheinlich auch im europäischen Raum geben.

Um einen exklusiveren Einblick in die Datensicherheit von Instant Messengern zu erhalten, wurde ein Interview mit dem IT-Security-Experten Christoph Rottermanner geführt :
Als wie sicher kann man Messenger heutzutage einschätzen?
Ich persönlich würde Signal als sicher ansehen, da Signal immer die neuesten und besten Algorhytmen verwendet. Im Prinzip sollte WhatsApp dank der end-to-end Verschlüsselung auch sicher sein, jedoch kann man die Verschlüsselung nicht einsehen. Der Grund dafür ist, dass WhatsApp Closed Source verwendet und somit die Verschlüsselung für Privatpersonen nicht ersichtlich ist. Folge dessen kann niemand hundertprozentig sagen, was im Hintergrund tatsächlich passiert. Ein Kollege und ich haben uns die Verschlüsselungen von Singal angesehen, Auch bei WhatsApp haben wir versucht sie anzusehen, dies war bei WhatsApp aber unmöglich. Grundsätzlich ist WhatsApp, wie vorhin erwähnt dank der end-to-end Verschlüsselung sicher, jedoch kann Facebook mitlesen, wenn sie möchten. Im Vergleich dazu hat man als „Hacker“ keine Chance.
Bei Telegram gibt es sogenannte private Chats – Funktionieren diese?
Ja im Prinzip schon, aber Telegram hat die Verschlüsselungsprotokolle selbst geschrieben, das sollte man eigentlich nie machen, weil die Wahrscheinlichkeit sehr hoch ist, dass sie eine Schwachstelle beinhalten. Es gibt sehr starke Verschlüsselungsprotokolle, die mehrmals von Experten geprüft werden, weshalb es sicherer wäre diese zu verwenden. Telegram ermöglicht aber, die Verschlüsselung einzusehen. Sollte man einen Fehler entdecken, verdient man damit sogar Geld – bis jetzt ist dies aber noch nicht vorgekommen.
Und wie steht es um die Sicherheit von Threema?
Threema, sollte auch „sicher“ sein, jedoch verwendet Threema ident wie WhatsApp, Closed Source, somit ist es schier unmöglich die Verschlüsselung einzusehen.
Sind kostenpflichtige Instant Messenger gleichzeitig sicherer?
Nein. Signal bekommt beispielsweise viele Förderungen, deshalb können sie das App kostenlos anbieten. Jedoch dauerte die Entwicklung in eine userfreundliche Oberfläche länger, da die Förderungen nur nach und nach eingingen.
Da Threema ein kostenpflichtiger Instant Messenger ist, konnte es sich mithilfe der finanziellen Mittel schnell entwickeln.
Grundsätzlich gilt aber, dass kostenpflichtige Instant Messenger dadurch nicht gleichzeitig sicherer sind. Aber wenn jemand sagt: „Ich hätte es gern sicher und bezahle dafür € x“, warum auch nicht?
Welche gravierenden Änderungen gab es in den letzten Jahren bezüglich des Datenschutzes?
Immer mehr Unternehmen tendieren zu end-to-end Verschlüsselung. Ausschlaggebend dafür war der Fall von Snowden. Eine weitere Entwicklung ist die Verschlüsselung am Device selbst –Daten werden direkt am Handy verschlüsselt, dadurch ist es auch hierbei schwieriger, Daten einfach „abziehen“ zu können.
Laut einer Umfrage von Kaspersky denken 40%, dass IM sicher sind – Ist das gerechtfertigt?
Leider wissen viele Personen nicht, ob die App end-to-end verschlüsselt ist oder ob alles am Server mitlesbar wäre. Da in den letzten Jahren, abgesehen vom „Snowden-Fall“, nichts über etwaige Sicherheitslecks in den Medien berichtet wurde, gehen die meisten davon aus, dass es sicher ist. Ein weiterer ausschlaggebender Grund ist, dass viele User zu wenig informiert darüber sind, was im Hintergrund passiert. Wenn Sicherheitslücken in die Öffentlichkeit kämen, würde sich vielleicht am Bewusstsein etwas ändern – oder auch nicht. Selbst wenn Facebook sagen würde, sie lesen bewusst mit, wäre es vielen wahrscheinlich egal.
Wird sich Datensicherheit in Bezug auf Messenger in Zukunft verbessern oder verschlechtern?
Es gibt eine starke Tendenz zu end-to-end Verschlüsselung, deshalb denke ich schon, dass sich viele verbessern möchten. Dazu kommt, dass sich doch immer mehr Menschen für Datensicherheit interessieren. Messenger-Anbieter selbst müssen darauf achten, dass sie nicht angegriffen werden, weil sie sonst Nutzer verlieren würden.
Ein gutes Beispiel für Veränderung: Vor 3 Jahren war es noch möglich, dass „jeder“ die WhatsApp Nachrichten von anderen Studentenheimbewohnern las. Das ist mittlerweile unmöglich.

Mehr Bewusstsein
Nach wie vor ist Datensicherheit ein großes Thema, womit jede Person konfrontiert wird, sich aber viele, zu wenige Gedanken machen. In den letzten Jahren haben sich aber auch einige Dinge hinsichtlich des Datenschutzes verbessert. Das Internet ist eine Infrastruktur, die mittlerweile so selbstverständlich geworden ist, dass es immer weniger Bereiche des Alltags gibt, in der es nicht präsent ist, jedoch ist Internet kaum zu kontrollieren. Hundertprozentige Sicherheit im Internet bleibt eine Illusion und kann weder technisch noch juristisch hergestellt werden. Schlussendlich bleibt es jedem selbst überlassen, wie er über seine Daten entscheidet. Der beste Datenschutz ist, keine Daten abzugeben.

Über die Autorin
Jutta Köppel ist Studentin des Bachelorstudiengangs Medienmanagement an der FH St.Pölten. Als Ausbildungsschwerpunkte hat sie Contentmanagement, Marketing und Sales sowie Bewegtbild und Online gewählt. Außerdem engagiert sie sich in der Österreichischen Hochschülerschaft der FH St.Pölten als Jahrgangsvertretung und Referentin für Öffentlichkeitsarbeit.

Artikel verfasst im Sommersemester 2016.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.