IT Security

Wie sich WhatsApp, Threema, Signal und Telegram in Datenschutz und Sicherheit unterscheiden – eine Analyse

Element, WhatsApp, Threema, Signal, Telegram, Vibr, Wickr Me und Wire sind keine Rockbands oder Fashion Labels. Sie sind Instant Messenger, welche den sofortigen Austausch einer Text-, Video- oder Sprachnachricht mit einem oder mehreren Empfänger über das Internet erlauben.[1],[2] Durch Smartphones erfahren diese Messenger eine enorme Beliebtheit im privaten wie auch im beruflichen Umfeld, denn das Teilen von Daten ist im Handumdrehen gemacht. Spätestens die Ankündigung von WhatsApp zu Beginn dieses Jahres, dass die Nutzungsbedingungen aktualisieren werden, stellte den Datenschutz und die Sicherheit der Messenger in den Fokus. WhatsApp wird neu die gesammelten Daten mit anderen Facebook-Unternehmen wie Instagram teilen. Doch was bedeutet das für WhatsApp Nutzer? Wie sicher sind Messenger im Allgemeinen? Und wie werden die Nachrichten sicher gespeichert und übermittelt?

Dieser Artikel vergleicht vier populäre Messenger – WhatsApp, Threema, Signal und Telegram – um diese Fragen zu beantworten. [1]-[3]

1

Abbildung 1: Welcher der populären Messenger WhatsApp, Signal, Threema oder Telegram schneidet in Datenschutz und Sicherheit am besten ab? [4]

Was macht einen Messenger sicher?

Auf den ersten Blicken unterscheiden sich WhatsApp, Threema, Signal und Telegram in Aussehen und Handhabung kaum. Schaut man aber genauer hin, werden deutliche Unterschiede sichtbar. Die vier Messenger grenzen sich in den folgenden Punkten ab, welche auch in Tabelle 1 zusammengefasst sind: [1]

  1. Schutz der Privatsphäre (Nutzung der Meta- und Telemetriedaten)
  2. Finanzierung der Applikation
  3. Transparenz des Quellcodes (Open Source)
  4. Ende-zu-Ende Verschlüsselung der übermittelten Nachricht
  5. Speicherung der Nachrichtenverläufe
  6. Architektur
  7. Dienstanbieter, welcher die Server betreibt
  8. Jurisdiktion

Tabelle 1: Vom Aussehen und der Funktion unterscheiden sich WhatsApp, Threema, Signal und Telegram kaum, jedoch in Datenschutz und Sicherheit. Graphik ist adaptiert von [1].

Threema ist ohne personenbezogene Angaben nutzbar

Bei der Nutzung eines Messengers stellt sich die Frage, ob der Nutzer gegenüber anderen Nutzern sowie dem Anbieter anonym ist, also ob personenbezogene Angaben wie Name, Telefonnummer oder E-Mail-Adresse preisgegeben werden. Beim Schutz der Privatsphäre unterscheiden sich die Messenger stark. Der Dienst von Threema ist der Einzige, der sich vollkommen ohne personenbezogene Angaben nutzen lässt. Einzig eine zufällig generierte ID (QR-Code) wird gegenüber einem anderen Nutzer angezeigt. Die anderen Dienste wie Signal, WhatsApp und Telegram setzten die Angabe einer Handynummer oder E-Mail-Adresse voraus.[1]

WhatsApp nutzt Metadaten und Telemetriedaten fürs Profiling

WhatsApp speichert auch GPS, Zeit- und Datenstempel – so genannte Metadaten – von zugestellten Nachrichten. Das heisst, WhatsApp kann aufzeigen, welche Nummer zu welcher Uhrzeit und wo gechattet hat. Ausserdem sammelt die App noch Telemetriedaten wie Nutzungs- und Diagnoseinformationen. Die Metadaten und Telemetriedaten helfen ein Profil der Nutzer zu erstellen, was mit dem Term “Profiling” beschrieben wird. Auch Telegram sammelt die Metadaten und Telemetriedaten und es ist nicht transparent was mit ihnen geschieht.[5],[6] Im Gegensatz dazu nutzen Threema und Signal keine Metadaten. [7], [8]

Die Non-Profit Organisation “Signal Technology Foundation” finanziert den Signal Dienst

Eigentümer von WhatsApp ist der Facebook-Konzern, welcher sich durch den Verkauf von individuell zugeschnittener Werbung finanziert. Dafür sind detaillierte Nutzer-Informationen essentiell und können für Marketingzwecke benutzt werden. Das bedeutet, dass die gesammelten Metadaten aus der WhatsApp Applikation mit anderen Diensten des Facebook-Konzerns kombiniert werden können und so kann das Profiling verfeinert werden.[5],[6] Threema, gegründet und betrieben vom Schweizer Unternehmen Kasper Systems GmbH, hingegen finanzieren sich durch App-Verkäufe und Telegram durch private Russische Investoren. Der Dienst von Signal wird von der Non-Profit Organisation “Signal Technology Foundation” bereitgestellt, welche “Meinungsfreiheit” und eine “sichere globale Kommunikation” ermöglichen will.[9]

Die Ende-zu-Ende Verschlüsselung von Signal and Threema können nicht umgangen werden

Threema, Signal und WhatsApp benutzen eine Ende-zu-Ende-Verschlüsselung der übertragenen Nachrichten, welche sich technisch nur minimal unterscheiden – Signal und WhatsApp benutzen beide das Signal-Protokoll.[8],[10],[11] Das heisst, die zu übertragenden Nachrichten und Daten werden auf Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Das bedeutet, dass ausschliesslich Sender und Empfänger die Nachricht lesen können, der Dienstbetreiber selbst jedoch nicht. Diese Messenger verschlüsseln also nach dem Zero-Knowledge-Prinzip, was State-of-the-Art ist. [8],[10],[11]

Abbildung 2: Signal, Threema und WhatsApp schützen den Nachrichteninhalt durch Ende-zu-Ende Verschlüsselung gegenüber Drittparteien. [4]

Die Ende-zu-Ende Verschlüsselung lässt sich bei Telegram optional in Einzelchats aktivieren, ist aber “by Default” deaktiviert und für Gruppenchats nicht verfügbar.[1],[2] Ausserdem werden die Nachrichten bei Telegram standardmässig langfristig auf einem Server gespeichert, wo sie der Betreiber jederzeit lesen kann. Bei den anderen Diensten wie Signal oder Threema werden die verschlüsselten Nachrichten nur vorübergehend auf einem Server gespeichert und sofort nach der Zustellung der Nachricht gelöscht. Das Zero-Knowledge-Protokoll erlaubt Signal auch die Nutzung von Server-Infrastrukturen mit zweifelhaftem Datenschutzniveau, da keinen Schlussfolgerungen über die Nutzer und deren Aktivitäten getroffen werden können – der Inhalt einer Nachricht kann ja nicht entschlüsselt werden und es kann nicht nachverfolgt werden wer eine Nachricht zu welchem Zeitpunkt an wen gesendet hat. [8],[10],[11]

Bei Signal und Threema ist sichergestellt, dass keine Umgehung der Ende-zu-Ende-Verschlüsselung möglich ist. Beispielsweise erlauben diese Dienste keine Kopien unverschlüsselter Nachrichten auf dem Endgerät oder das Speichern der Status-Funktion auf dem Server. Im Gegensatz dazu erlaubt WhatsApp die Erstellung unverschlüsselter Backups auf Cloud-Computer Dienstleistungen wie Google-Cloud oder iCloud.[1]

Signal und Threema lassen ihre Quellcodes von unabhängigen Experten auditieren

Das Besondere an Signal ist, dass der Quellcode der Applikation gratis und als “Open-Source” jedem zugänglich ist. Dies erlaubt, dass die Applikation von vielen unabhängigen Parteien – inklusive führenden Kryptologen – auditiert und verifiziert wird. Basierend auf diesen Analysen verbessert Signal ihren Dienst kontinuierlich. Kürzlich hat auch Threema ihren Quellcode der IT Gemeinschaft zur Bewertung freigegeben. Open Source ist auch der Quellcode von Telegram. Es ist jedoch nicht viel bekannt, wie das unabhängige auditieren umgesetzt wird. [8],[10],[11]

Threema und Signal erleichtern das Identifizieren vor Man-in-the-Middle-Angriffen

Steht ein Angreifer zwischen zwei Kommunikationspartnern, hat er oft vollständige Kontrolle über den Datenverkehr zwischen den Teilnehmern und kann so den Informationsaustausch nach Belieben manipulieren – ein sogenannter Man-in-the-Middle Angriff.[12] Um vor solchen Angriffen zu schützen ermöglicht Threema den Austausch eines persönlichen Schlüssels. Dafür müssen sich die Kommunikationspartner persönlich treffen und überprüfen, in dem Sie ihre QR-Codes Scannen.[1] Signal erlaubt ebenfalls eine Überprüfung von sogenannten Sicherheitsnummern über einen Aussenchannel (nicht Signal, sonder beispielsweise via Telefon). Stimmen diese Sicherheitsnummern mit dem Kommunikationspartner überein, kann ein Man-in-the-Middle Angriff ausgeschlossen werden.[13],[14]

Telegram speichert die Daten zentral auf ihren Servern

Threema, Signal und WhatAapp speichern Daten wie Kontaktlisten, Gruppen und Benutzerprofile dezentral direkt auf den Endgeräten und diese werden nicht auf einem zentralen Server verwaltet. Wechseln Threema Nutzer beispielsweise das Smartphone, müssen sie selbst ein Backup machen und die Daten dann wieder neu importieren. Der Vorteil ist, dass nur der Nutzer selbst darauf Zugriff hat. Sollte das Smartphone allerdings gestohlen werden ohne dass ein Backup gespeichert wurde, sind auch alle Daten weg. Auch Signal und WhatsApp speichern ihre Daten dezentral auf dem Smartphone und eine Wiederherstellung ist ohne Backup nicht möglich. Bei Telegram können sich Nutzer von jedem Ort der Welt einloggen und haben Zugriff auf ihre Chats. Dies ist nur möglich, weil die Daten zentral auf den Servern gespeichert werden.[1]

Rechtsprechung

Die Zuständigkeit der Rechtsprechung ist ein letzter Punkt, der in der Analyse nicht fehlen darf. Abhängig vom Land, dessen Rechtsprechung der Dienst unterliegt, dürfen die Behörden auf die Daten der Dienstleister zugreifen, selbst dann, wenn die Daten nicht in dem jeweiligen Land gespeichert werden. Die Jurisdiktion von WhatsApp und Signal obliegt den USA, die von Threema der Schweiz und die von Telegram wahrscheinlich Russland. Der CLOUD Act – ein in 2018 in Kraft gesetztes amerikanische Gesetzt – verpflichtet amerikanische Firmen und IT-Dienstleister, den Behörden Zugriff auf gespeicherte Daten zu gewährleisten, selbst dann, wenn die Daten nicht in den USA gespeichert sind.[1]

Fazit – Signal und Threema sind in Datenschutz und Sicherheit WhatsApp und Telegram weit überlegen

Signal, Threema und Whatsapp unterscheiden sich in der Sicherheit nur minimal. Alle drei Dienste haben eine State-of-the-Art Ende-zu-Ende Verschlüsselung ihrer Nachrichten. Was aber den Datenschutz betrifft, liegen grosse Unterschiede vor. Threema hat klar die Nase vorn. Es ist der einzige Dienst, der sich anonym, das heisst ohne Angabe personenbezogener Daten wie Telefonnummer oder E-Mail-Adresse nutzen lässt. Signal ist ebenfalls auf Datenschutz ausgelegt, da es wie Threema keine Meta- und Telemetriedaten sammelt, aber Angaben zu personenbezogenen Daten sind trotzdem erforderlich.

WhatsApp ist im Datenschutz sehr schwach. Die Datenschutzerklärung von WhatsApp sieht eine Verwendung von Nutzerdaten sowie Meta- und Telemetriedaten vor, welche in Kombination mit anderen Facebook-Applikation zu Werbezwecken benutzt werden. Besonders die Telemetrie-Daten sind sehr kritisch zu betrachten. Telegram ist ein Messenger, welcher unter keiner gängigen Definition als sicher gelten kann, da die Nachrichten standardmässig nicht Ende-zu-Ende verschlüsselt sind und langfristig auf einem Server gespeichert werden, wo sie der Dienstbetreiber oder mögliche Angreifer lesen könnten. Als Fazit: Threema und Signal sind in Bezug auf Datenschutz und Sicherheit gegenüber WhatsApp und Telegram überlegen. Oder wie es Edward Snowden ausdrückte warum er Signal nutzt: “I use it every day and I’m not dead yet.” [15]

Referenzen

[1] Threema, “Messenger-Vergleich – Erfahren Sie, wie sich die beliebtesten Chat-Apps voneinander unterscheiden.”, 2021. https://threema.ch/de/messenger-vergleich, aufgerufen am 17. Februar 2021

[2] M. Williams, “ Secure Messaging Apps Comparison”, 2021. https://www.securemessagingapps.com, aufgerufen am 17. Februar 2021.

[3] M. Mehner, “Sind Messenger wie Whatsapp oder Threema wirklich sicher?”, 2021. https://www.messengerpeople.com/de/sind-messenger-wie-whatsapp-oder-threema-wirklich-sicher, aufgerufen 17.02.2021

[4] Attributed to Technology vector created by pch.vector – www.freepik.com and Clouds vector created by vectorjuice – www.freepik.com

[5] M. Spehr, “Facebook und Whatsapp: Die geheime Macht der Metadaten”, Frankfurter Allgemeine, 2020. https://www.faz.net/aktuell/technik-motor/digital/facebook-und-whatsapp-die-geheime-macht-der-metadaten-16762262.html, aufgerufen am 18. Februar 2021.

[6] D. Fischer, “WhatsApp ist alles andere als geheim – womit uns der Messenger ausspioniert”, 2020. https://www.smartdroid.de/whatsapp-metadaten-verschluesselung-spionage, aufgerufen 18. Februar 2021.

[7] J. Lund, “Technology preview: Sealed sender for Signal”, 2018.  https://signal.org/blog/sealed-sender/, aufgerufen 18. Februar 2021.

[8] Threema, “Threema. Cryptography Whitepaper”, 2020. https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf, aufgerufen 16.02.2021

[9] “Signal Technology Foundation”. Nonprofit Explorer. Pro Publica Inc. Retrieved 6 June 2019.

[10] T. Perrin, M. Marlinspike, “The X3DH Key Agreement Protocol,” 2016. https://signal.org/docs/specifications/x3dh/, aufgerufen 17. Februar 2021

[11] M. Tremmel, S. Grüner, “Warum es okay ist, dass Signal Google-Server nutzt”, 2021. https://www.golem.de/specials/instantmessenger, aufgerufen am 17. Februar 2021.

[12] T. Grüner, “ Was ist eigentlich eine Man-in-the-Middle-Attacke?”, 2018. https://blog.to.com/man-in-the-middle-attacke/ , aufgerufen 18. Februar 2021.

[13] Signal, “What is a safety number and why do I see that it changed?”, 2021. https://support.signal.org/hc/en-us/articles/360007060632-What-is-a-safety-number-and-why-do-I-see-that-it-changed-, aufgerufen 18. Februar 2021.

[14] M. Marlinspike, “Simplifying OTR deniability.”, 2013. https://signal.org/blog/simplifying-otr-deniability, aufgerufen 17.02.2021.

[15] E. Snowden, Twitter, 2021, https://twitter.com/Snowden/status/1347217810368442368?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1347217810368442368%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.indiatoday.in%2Ftechnology%2Fnews%2Fstory%2Fhow-secure-is-signal-it-s-good-enough-for-edward-snowden-so-good-enough-for-you-1757596-2021-01-10, aufgerufen 18.02.2021.

DER AUTOR
INSIGHTS
MIT ANDEREN TEILEN
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on pinterest
Share on email
Share on print

IMMER UP TO DATE

AKANA NEWSLETTER