Cybersecurity 101: Wie man eine verschlüsselte Messaging-App auswählt und verwendet
Image Credits: Getty Images
Textnachrichten gibt es seit den Anfängen der Mobilfunktechnologie, und sie haben ihre eigene, einzigartige Sprache entwickelt. Aber es ist an der Zeit, das Versenden normaler SMS-Nachrichten in den Ruhestand zu schicken.
Wenn Sie ein iPhone haben, sind Sie bereits auf dem richtigen Weg. iPhones (wie auch iPads und Macs) verwenden iMessage, um Nachrichten zwischen Apple-Geräten zu versenden. Dabei handelt es sich um ein datenbasiertes Nachrichtensystem, das auf 3G, 4G und Wi-Fi angewiesen ist, im Gegensatz zu SMS, die ein altes, veraltetes, aber universelles 2G-Mobilfunknetz nutzt. iMessage hat an Beliebtheit gewonnen, aber Android-Geräte und andere Computer im Dunkeln gelassen.
Da haben andere Nachrichtendienste eine Marktlücke gefüllt.
Apps wie Signal, WhatsApp, Wire und Wickr sind ebenfalls datenbasiert und funktionieren plattformübergreifend. Das Beste daran ist, dass sie Ende-zu-Ende-verschlüsselt sind, was bedeutet, dass gesendete Nachrichten an einem Ende der Konversation – dem Gerät – verschlüsselt und am anderen Ende auf dem Gerät des Empfängers wieder entschlüsselt werden. Das macht es für jeden – selbst für den App-Hersteller – nahezu unmöglich, das Gesagte zu sehen.
Viele beliebte Apps wie Instagram, Skype, Slack und Snapchat bieten überhaupt keine Ende-zu-Ende-Verschlüsselung. Facebook Messenger hat die Option, „geheime“ Ende-zu-Ende-verschlüsselte Nachrichten zu verwenden, ist aber nicht standardmäßig aktiviert.
Hier ist, was Sie wissen müssen.
Warum hassen Sie SMS?
SMS, oder Kurznachrichtendienst, ist mehr als drei Jahrzehnte alt. Er ist im Allgemeinen zuverlässig, aber er ist veraltet, veraltet und teuer. Es gibt auch mehrere Gründe, warum SMS-Nachrichten unsicher sind.
SMS-Nachrichten sind nicht verschlüsselt, d. h. der Inhalt jeder Textnachricht ist für Mobilfunkbetreiber und Regierungen einsehbar und kann sogar von organisierten und halbwegs geschickten Hackern abgefangen werden. Das bedeutet, dass Ihre Codes gestohlen werden können, selbst wenn Sie Ihre Online-Konten mit der Zwei-Faktor-Authentifizierung per SMS schützen. Das sind Informationen über die Nachricht, aber nicht der Inhalt der Nachricht selbst, wie z. B. die Telefonnummer des Absenders und des Empfängers, mit denen die an der Unterhaltung beteiligten Personen identifiziert werden können.
SMS-Nachrichten können auch gefälscht werden, d. h. man kann nie ganz sicher sein, dass eine SMS-Nachricht von einer bestimmten Person stammt.
Und eine kürzlich getroffene Entscheidung der Federal Communications Commission (FCC) gibt den Mobilfunkanbietern nun größere Befugnisse, SMS-Nachrichten zu blockieren. Die FCC sagte, dass dies den SMS-Spam eindämmen wird, aber viele befürchten, dass dies dazu benutzt werden könnte, die freie Meinungsäußerung zu unterdrücken.
In all diesen Fällen ist die Antwort eine verschlüsselte Messaging-App.
Was sind die besten verschlüsselten Messaging-Apps?
Die einfache Antwort ist Signal, eine quelloffene, durchgängig verschlüsselte Messaging-App, die als Goldstandard für sichere Messaging-Dienste für Verbraucher gilt.
Signal unterstützt und verschlüsselt alle Ihre Nachrichten, Anrufe und Videochats mit anderen Signal-Nutzern. Einige der klügsten Sicherheitsexperten und Kryptographie-Experten der Welt haben sich den Code angesehen und verifiziert und vertrauen auf die Sicherheit. Die App verwendet Ihre Handynummer als Kontaktpunkt – was einige kritisiert haben, aber es ist einfach, die App mit einer speziellen Telefonnummer einzurichten, ohne Ihre eigene Handynummer zu verlieren. Abgesehen von Ihrer Telefonnummer ist die App von Grund auf so konzipiert, dass sie so wenig Metadaten wie möglich sammelt.
Eine kürzliche Anfrage der Regierung nach den Daten von Signal hat gezeigt, dass der App-Hersteller fast nichts herausgeben muss. Die Nachrichten sind nicht nur verschlüsselt, sondern jeder Gesprächsteilnehmer kann auch festlegen, dass die Nachrichten verfallen – selbst wenn ein Gerät kompromittiert wird, können die Nachrichten so eingestellt werden, dass sie bereits verschwunden sind. Sie können auch einen separaten Sperrbildschirm für die App einrichten, um die Sicherheit zu erhöhen. Und die App wird immer leistungsfähiger. Kürzlich hat Signal eine neue Funktion eingeführt, die die Telefonnummer des Absenders einer Nachricht verbirgt und so die Anonymität des Absenders verbessert.
Aber eigentlich gibt es eine weitaus differenziertere Antwort als „nur Signal“.
Jeder Mensch hat andere Bedürfnisse, Wünsche und Anforderungen. Je nachdem, wer du bist, was dein Job ist und mit wem du sprichst, hängt es davon ab, welche verschlüsselte Messaging-App für dich am besten geeignet ist.
Signal mag die bevorzugte App für risikoreiche Jobs sein – wie Journalismus, Aktivismus und Regierungsmitarbeiter. Viele werden feststellen, dass WhatsApp zum Beispiel für die große Mehrheit gut genug ist, die einfach nur mit ihren Freunden und ihrer Familie sprechen wollen, ohne sich Sorgen zu machen, dass jemand ihre Nachrichten lesen könnte.
Sie haben in den letzten Jahren vielleicht einige Fehlinformationen über WhatsApp gehört, die vor allem durch falsche und irreführende Berichte ausgelöst wurden, in denen behauptet wurde, es gäbe eine „Hintertür“, die es Dritten ermöglicht, Nachrichten zu lesen. Diese Behauptungen waren unbegründet. WhatsApp sammelt einige Daten über seine 1,5 Milliarden Nutzer, z. B. Metadaten darüber, wer wann mit wem in Kontakt tritt. Diese Daten können an die Polizei weitergegeben werden, wenn diese sie mit einem gültigen Gerichtsbeschluss anfordert. Nachrichten können jedoch nicht gelesen werden, da sie Ende-zu-Ende verschlüsselt sind. WhatsApp kann diese Nachrichten nicht herausgeben, selbst wenn es das wollte.
Obwohl viele nicht wissen, dass WhatsApp zu Facebook gehört, das im vergangenen Jahr mit einer Reihe von Sicherheits- und Datenschutzskandalen konfrontiert war, hat Facebook erklärt, dass es sich verpflichtet hat, WhatsApp-Nachrichten standardmäßig Ende-zu-Ende-verschlüsselt zu halten. Es ist jedoch durchaus möglich, dass Facebook seine Meinung in Zukunft ändern könnte, so Sicherheitsforscher. Es ist richtig, vorsichtig zu bleiben, aber WhatsApp ist immer noch besser für den Versand verschlüsselter Nachrichten als gar nicht.
Der beste Rat ist, niemals etwas auf einer Ende-zu-Ende-verschlüsselten Messaging-App zu schreiben und zu senden, von dem man nicht möchte, dass es vor Gericht erscheint – nur für den Fall!
Wire wird auch von vielen genutzt, die der quelloffenen, plattformübergreifenden App für den Austausch von Gruppenchats und Anrufen vertrauen. Die App verlangt keine Telefonnummer, sondern entscheidet sich für Benutzernamen, was viele, die mehr Anonymität wünschen, ansprechender finden als alternative Apps. Wire hat seine Behauptungen zur Ende-zu-Ende-Verschlüsselung untermauert, indem es Forscher gebeten hat, ein externes Audit seiner Kryptographie durchzuführen, aber die Nutzer sollten sich darüber im Klaren sein, dass eine Gegenleistung für die Nutzung der App auf anderen Geräten bedeutet, dass die App eine Aufzeichnung aller Personen, mit denen man jemals in Kontakt getreten ist, im Klartext speichert.
iMessage ist ebenfalls Ende-zu-Ende-verschlüsselt und wird von Millionen von Menschen auf der ganzen Welt genutzt, die wahrscheinlich nicht einmal wissen, dass ihre Nachrichten verschlüsselt sind.
Andere Apps sollten mit Vorsicht behandelt oder ganz vermieden werden.
Apps wie Telegram wurden von Experten für ihre fehleranfällige Kryptographie kritisiert, die als „wie ein Stich ins Auge mit einer Gabel“ beschrieben wurde. Und Forscher haben herausgefunden, dass Apps wie Confide, einst ein Favorit unter den Mitarbeitern des Weißen Hauses, Nachrichten nicht richtig verschlüsseln, so dass es für die Macher der App ein Leichtes ist, Gespräche heimlich abzuhören.
Wie überprüft man die Identität einer Person?
Eine Kernfrage beim verschlüsselten End-to-End-Messaging ist: Woher weiß ich, dass eine Person die ist, für die sie sich ausgibt?
Jede App für verschlüsseltes End-to-End-Messaging behandelt die Identität eines Nutzers anders. Signal nennt sie eine „Sicherheitsnummer“ und WhatsApp nennt sie einen „Sicherheitscode“.
Jeder Nutzer hat seinen eigenen einzigartigen „Fingerabdruck“, der mit seinem Benutzernamen, seiner Telefonnummer oder seinem Gerät verknüpft ist. Er besteht in der Regel aus einer Reihe von Buchstaben und Zahlen. Am einfachsten ist es, den Fingerabdruck einer Person persönlich zu überprüfen. Es ist ganz einfach: Sie holen beide Ihre Telefone heraus, eröffnen eine Konversation in der verschlüsselten Messaging-App Ihrer Wahl und stellen sicher, dass die Fingerabdrücke auf beiden Geräten identisch sind. Normalerweise drücken Sie dann auf die Schaltfläche „Verifizieren“ – und das war’s.
Die Verifizierung des Fingerabdrucks eines Kontakts aus der Ferne oder über das Internet ist komplizierter. Oft muss man seinen Fingerabdruck (oder einen Screenshot) über einen anderen Kanal – wie eine Twitter-Nachricht, auf Facebook oder per E-Mail – teilen und sicherstellen, dass sie übereinstimmen. (Micah Lee von The Intercept hat eine einfache Anleitung, wie man eine Identität verifiziert.)
Wenn Sie die Identität einer Person verifiziert haben, muss sie nicht erneut verifiziert werden.
Wenn Ihre App Sie warnt, dass sich der Fingerabdruck eines Empfängers geändert hat, könnte das einen harmlosen Grund haben – er hat vielleicht eine neue Telefonnummer oder hat eine Nachricht von einem neuen Gerät aus gesendet. Das könnte aber auch bedeuten, dass jemand versucht, sich als die andere Person in Ihrer Unterhaltung auszugeben. Sie sollten vorsichtig sein und versuchen, die Identität der Person erneut zu überprüfen.
Einige Anwendungen machen sich gar nicht erst die Mühe, die Identität eines Benutzers zu überprüfen. So kann man zum Beispiel nicht sicher sein, dass nicht jemand heimlich Ihre iMessage-Unterhaltungen ausspäht, weil Apple Sie nicht benachrichtigt, wenn jemand heimlich Ihre Konversation überwacht oder einen Nachrichtenempfänger irgendwie durch eine andere Person ersetzt hat.
Sie können mehr darüber lesen, wie Signal, WhatsApp, Telegram und Wire es Ihnen ermöglichen, Ihre Schlüssel zu verifizieren und Sie vor Schlüsseländerungen zu warnen. (Spoiler-Alarm: Signal ist die sicherste Wahl.)
Es gibt noch einige andere Tipps, die Sie kennen sollten:
Verschlüsselte Nachrichtensicherungen werden normalerweise nicht in der Cloud verschlüsselt: Ein sehr wichtiger Punkt hier – oft sind Ihre verschlüsselten Nachrichten nicht verschlüsselt, wenn sie in der Cloud gesichert werden. Das bedeutet, dass die Regierung von Ihrem Cloud-Anbieter – wie Apple oder Google – verlangen kann, dass er Ihre verschlüsselten Nachrichten von seinen Servern abruft und herausgibt. Sie sollten Ihre Nachrichten nicht in der Cloud sichern, wenn dies ein Grund zur Sorge ist.
Vorsicht bei Desktop-Anwendungen: Einer der Vorteile vieler verschlüsselter Messaging-Apps ist, dass sie auf einer Vielzahl von Plattformen, Geräten und Betriebssystemen verfügbar sind. Viele bieten auch Desktop-Versionen an, um schneller reagieren zu können. In den letzten Jahren wurden jedoch die meisten größeren Sicherheitslücken in der fehlerhaften Desktop-Software gefunden. Vergewissern Sie sich, dass Sie über App-Updates auf dem Laufenden sind. Wenn eine Aktualisierung einen Neustart der App oder Ihres Computers erfordert, sollten Sie dies sofort tun.
Setzen Sie Ihre Nachrichten auf Verfallsdatum: Verschlüsselung ist keine Zauberei; sie erfordert Bewusstsein und Überlegung. Eine Ende-zu-Ende-Verschlüsselung von Nachrichten schützt Sie nicht, wenn Ihr Telefon kompromittiert oder gestohlen wird und auf den Inhalt zugegriffen werden kann. Sie sollten unbedingt in Erwägung ziehen, für Ihre Unterhaltungen eine Ablaufzeit einzustellen, um sicherzustellen, dass ältere Nachrichten gelöscht werden und verschwinden.
Halten Sie Ihre Anwendungen auf dem neuesten Stand: Eine der besten Möglichkeiten, um sicherzustellen, dass Sie sicher bleiben (und neue Funktionen erhalten!), besteht darin, dafür zu sorgen, dass Ihre Desktop- und Mobil-Apps auf dem neuesten Stand sind. Sicherheitslücken werden häufig gefunden, aber Sie erfahren vielleicht nicht immer davon. Wenn Sie Ihre Anwendungen auf dem neuesten Stand halten, können Sie am besten sicherstellen, dass diese Sicherheitslücken so schnell wie möglich behoben werden, wodurch das Risiko, dass Ihre Nachrichten abgefangen oder gestohlen werden, verringert wird.
{{Titel}}
{{Datum}}{{Autor}}