Messenger nutzen wir alle, aber wie sicher sind sie?
Fast jeder nutzt heutzutage Messenger täglich. Privat oder beruflich sind diverse Apps das Fundament der digitalen Kommunikation. Messenger werden dabei meist aus Bequemlichkeit gewählt, da sie bereits im Umfeld verbreitet sind, aber oft lohnt sich auch ein Blick hinter die technischen Kulissen.
Was macht einen Messenger wirklich sicher und worauf solltest du achten, wenn du dich für einen entscheidest?
Über Messenger werden meist private Informationen wie private Nachrichten, Bilder, Adressen, Telefonnummern und Sprachnachrichten geteilt. Wenn solche Daten in falsche Hände kommen, kann das zu großen Problemen führen.
Gleichzeitig speichern viele Messenger zusätzliche Informationen über die Nutzer, auch wenn die Nachrichten verschlüsselt sind. Diese Informationen nennt man Metadaten und sind leicht gesagt „Daten über Daten“. Dazu später aber noch mehr.
Deshalb ist Verschlüsselung bei Messengern noch nicht alles, sondern der Datenschutz der Nutzer:innen und Transparenz in Umgang mit Daten und Sicherheitsverfahren.
Ende-zu-Ende-Verschlüsselung (kurz E2EE) ist bei Messengern heutzutage Standard. Dabei wird eine Nachricht direkt auf deinem Gerät verschlüsselt und nur in dieser Form über das Internet übertragen. Erst auf dem Gerät des Empfängers wird sie wieder entschlüsselt.
Das bedeutet: Selbst der Anbieter kann den Inhalt der Nachrichten nicht lesen.
Bei Apps wie Signal, Threema und WhatsApp ist diese Verschlüsselung standardmäßig aktiviert. Bei Telegram muss das manuell in „Secret Chats“ aktiviert werden.
Metadaten sagen viel über dich aus, zum Beispiel...
Das alles wird nicht durch Verschlüsselung geschützt und wird von den verschiedenen Messengern unterschiedlich stark ausgewertet und eventuell weitergeleitet/verkauft.
Die meisten Datenschutz Experten raten zu Apps wie Signal und Threema, da diese Apps datensparsamer sind. Dienste wie WhatsApp stehen häufig in der Kritik, da sie umfangreichere Daten erheben und diese mit anderen Diensten des Meta-Konzerns verknüpfen.
Ein wichtiger Punkt bei sicheren Messengern ist Transparenz.
Viele Datenschutzfachleute bevorzugen Open-Source-Apps, weil der Quellcode öffentlich überprüft werden kann. Sicherheitsforscher können dadurch Schwachstellen finden oder kontrollieren, ob Verschlüsselung wie versprochen funktioniert.
Signal gilt hier für viele als positives Beispiel, da große Teile der App Open Source sind und regelmäßig von Sicherheitsforschern untersucht werden. Telegram ist nur teilweise Open Source, während WhatsApp selbst nicht vollständig öffentlich überprüfbar ist.
Gerade neue Messenger werben oft mit Datenschutz und Sicherheit. Ohne unabhängige Audits oder öffentlich nachvollziehbare technische Informationen bleibt es für Nutzer allerdings schwierig einzuschätzen, wie sicher eine Plattform tatsächlich ist.
Begriffe wie „unknackbar“ oder „100 % sicher“ gelten unter vielen Sicherheitsexperten deshalb eher als Warnsignal und weniger als Qualitätsmerkmal.
Ein Audit ist eine unabhängige Sicherheitsprüfung durch Experten. Dabei wird untersucht, ob eine App wirklich so sicher ist, wie sie behauptet.
Selbst der technisch sicherste Messenger schützt nicht automatisch vor Betrug. Viele erfolgreiche Angriffe richten sich heute nicht gegen die Verschlüsselung selbst, sondern gegen die Nutzer.
Das nennt man Social-Engineering-Angriff
Errare humanum est = Irren ist menschlich
Schon die Römer wussten von der Fehlbarkeit des Menschen und so sitzt die Schwachstelle bei Angriffen auf Messenger auch meist vor dem Display oder Bildschirm und nicht in einer Lücke im Code.
Dabei werden die User von den Angreifern gezielt manipuliert ihre Passwörter und PINs weiterzugeben. Sozusagen ein moderner Enkeltrick, wo sich die Angreifer z. B. als IT-Support ausgeben und nach Daten zur Verifikation fragen.
Da die Angreifenden oft mit überzeugenden Nachrichten und echt aussehenden Absenderadressen arbeiten sowie gezielten Druck oder Zeitnot vermitteln, gehen viele Betroffene darauf ein, bevor sich Skepsis regt.
Um davor zu schützen, betonen viele Dienste, dass nie Mitarbeiter nach Passwörtern oder ähnlichem fragen würden.
Bei dem Signal-Hack auf deutsche Politiker:innen wurde auch nicht Signal als App gehackt, sondern deutsche Politiker:innen haben an Angreifenden Passwörter und PINs rausgegeben und so ihre Accounts selbst kompromittiert.
Solche Vorfälle zeigen, dass nicht die App selbst gehackt wurde, sondern Nutzer:innen manipuliert wurden. Schlagzeilen über „unsichere Apps“ sind in solchen Fällen daher oft irreführend.
Derartige Angriffe sind meistens auf Menschen in Politik und der Presse gerichtet, aber können auch dich betreffen.
Letztendlich musst du selbst entscheiden, welchen Messenger du nutzen willst und somit auch an wen du deine Daten dort weitergibst. In einer Zeit, in der du selbst zum Produkt für große Firmen wirst, lohnt es sich, von der bequemsten Lösung abzusehen und sich ordentlich zu informieren.
Leichte Sprache
