Sind alle verschlüsselten Chat-Apps gleich sicher?

13. Februar 2019

Heute verschlüsseln alle gängigen Instant Messenger die Nachrichten ihrer Nutzer, also ist unerheblich, welchen Dienst man verwendet. Richtig? Nicht ganz. Einerseits bestehen wesentliche Unterschiede, was Art und Umfang der Verschlüsselung betrifft, anderseits ist Verschlüsselung zwar wichtig, aber nur ein Teilaspekt von umfassender Sicherheit.

Ende-zu-Ende-Verschlüsselung

Wer von einem «sicheren Instant Messenger» spricht, meint in der Regel einen, der die Nachrichten Ende-zu-Ende-verschlüsselt überträgt. Das heisst, dass neben dem beabsichtigten Empfänger niemand die Nachrichten entschlüsseln und lesen kann – weder der Dienst-Betreiber selbst, noch ein Dritter, der die Nachrichten unterwegs abfängt. Nicht alle populären Chat-Dienste setzen diese Form der Verschlüsselung ein. Und selbst unter den Diensten, die gemeinhin als sicher gelten, gibt es solche, die nicht standardmässig oder nicht alle Nachrichten Ende-zu-Ende-verschlüsseln.

Ein sicherer Instant Messenger sollte nicht bloss ausgewählte Einzelchats, sondern jegliche Kommunikation (auch Sprachanrufe, Medien, Gruppen- und Steuernachrichten) mit einem anerkannten Verfahren Ende-zu-Ende-verschlüsseln.

Umgang mit Metadaten

Ebenso wichtig für umfassende Sicherheit wie die Verschlüsselung der Nachrichten ist der Umgang mit Metadaten. «Metadaten» sind alle Informationen bzgl. der Kommunikation ausser die Nachrichteninhalte selbst, z.B. Identität von Sender und Empfänger, deren IP-Adressen, Zeitpunkt, Ort und Häufigkeit von Nachrichtenversand und -empfang, Kontaktlisten, Gruppen-Zugehörigkeiten, Profile usw. Diese Daten lassen aufschlussreiche Rückschlüsse über die Nutzer zu und werden von bestimmten Diensten systematisch gesammelt und mit Datensätzen aus anderen Quellen kombiniert. Mit der Handynummer als gemeinsamem Nenner gestaltet sich die Zuordnung von Nutzerdaten aus verschiedenen Quellen besonders einfach.

Ein sicherer Instant Messenger sollte von vornherein nur Daten entstehen lassen, die für den Nachrichtenversand zwingend nötig sind; denn wo keine Daten sind, können auch keine missbraucht werden.

Security by Design

Im Gegensatz zu vielen Chat-Diensten, die nachträglich Ende-zu-Ende-Verschlüsselung eingeführt haben (und nach wie vor Nutzerdaten erheben), wurde Threema von Grund auf mit Fokus auf Sicherheit und Datensparsamkeit konzipiert. Während z.B. herkömmliche Messaging-Apps die Telefonnummer zur Identifikation verwenden, dient bei Threema eine anonyme ID als Adressierungselement, was eine Nutzung ganz ohne Angabe personenbezogener Daten und ohne Adressbuch-Zugriff ermöglicht.

Neben der Verschlüsselung der Inhalte und dem Umgang mit Metadaten hängt die Sicherheit eines Chat-Diensts von diversen weiteren Faktoren ab. Die unabhängige Webseite «Secure Messaging Apps Comparison» vergleicht populäre Instant Messenger anhand einer Vielzahl dieser Kriterien. Threema schneidet dabei besonders gut ab: Es ist der Dienst, der in den meisten Kategorien als «unbedenklich» eingestuft wird.

Instant Messenger auf securemessagingapps.com vergleichen