Warum ich meinen Freunden gesagt habe, sie sollen WhatsApp und Telegram nicht mehr benutzen
Read original blog post in English.
Translated by Joern Bielewski.
Trotz Ende-zu-Ende Verschlüsselung spioniert Big-Brother dein Handy aus: Durch Meta-Daten.
Heute Morgen habe ich meinen Freunden gesagt, sie sollen aufhören, WhatsApp und Telegram zu benutzen und habe ihnen eine Aufforderung geschickt, zum Signal Messenger zu wechseln.
Das ist der Grund:
Verschlüsselungs-Protokolle: Das Signal-Protokoll im Vergleich zu Telegrams MTProto
Es ist dir vielleicht nicht bewusst, aber wahrscheinlich benutzt du bereits das Signal-Protokoll - genau, wie mehr als einer Milliarde Menschen dies jeden Tag tun.
Das Signal Protokoll wird von WhatsApp, Facebook Messenger, Google Allo und Signals eigener App verwendet. Aber was ist eigentlich das Signal-Protokoll?
Das Signal-Protokoll ist ein kryptographisches Kommunikationsprotokoll für Ende-zu-Ende-verschlüsselten Nachrichtenaustausch wie zum Beispiel bei Instant Messaging. - Wikipedia
Ende-zu-Ende Verschlüsselung bedeutet, dass jede Nachricht zunächst auf dem Gerät des Senders verschlüsselt wird und nur auf dem Gerät des Empfängers wieder entschlüsselt werden kann.
Das ist die Technologie, die WhatsApp seit ein paar Monaten benutzt, nachdem sie folgende Nachricht in deinem Chat angezeigt haben:
Das Signal-Protokoll wurde von Open Whisper Systems entwickelt, einer 2013 vom früheren Twitter-Sicherheitschef Moxie Marlinspike gegründeten Non-Profit-Organisation, die entstand, nachdem der 140-Zeichen Dienst die erste sichere Kurznachrichten-Firma von Open Whispers übernommen hatte.
Open Whisper Systems konzentriert sich auf die Entwicklung des Signal-Protokolls und betreut außerdem eine Kurzmitteilungs-App namens „Signal“. Die Firma finanziert sich aus einer Mischung von Spenden und Fördermitteln.
Das Signal-Protokoll wurde im Oktober 2016 von einem Team internationaler Sicherheitsexperten untersucht und bekam überschwängliche Bewertungen.1
Also sollte man meinen, dass man als Benutzer von WhatsApp, Facebook Messenger und Google Allo auf der sicheren Seite ist, da sie auch das Signal-Protokoll benutzen.
Nunja, nicht wirklich.
Da beim Facebook Messenger und Google Allo die Verschlüsselung standardmäßig deaktiviert ist, muss man beim Facebook Messenger erst manuell „Secret Conversations“, bzw. bei Allo den „Incognito Modus“ aktivieren.
Telegram, eine von 100-Millionen Usern verwendete App, die von Pavel Durov, dem Gründer des Social Media Netzwerks VK entwickelt wurde, benutzt ein eigenes Verschlüsselungsprotokoll: Das MTProto-Protokoll.
Nach einigen kontroversen Diskussionen über das Verschlüsselungsprotokoll hat ein Sicherheitsexperte 2015 einige „grundlegende Sicherheitsmängel“ in diesem Papier veröffentlicht und kam zu dem Ergebnis, dass es besser gewesen wäre, wenn MTProto kein eigenes Verschlüsselungsprotokoll entwickelt hätte.
Damit bleiben WhatsApp und Signal die einzigen beiden Anwendungen, die das Signal-Protokoll standardmäßig verwenden.
Also warum nicht einfach weiter WhatsApp benutzen?
Die Antwort liegt in der Verwendung von Meta-Daten.
Datensammlung und Meta-Daten
Über Meta-Daten und Datensammeln hat es viele Diskussionen gegeben, wobei häufig Aussagen nach folgendem Motto gemacht werden:
Wir können die Inhalte der Kommunikation nicht mitlesen, weil wir Ende-zu-Ende-Verschlüsselung benutzen, wir können lediglich Meta-Daten sammeln.
Der Begriff Meta-Daten ist ofmals recht schwammig. Der Einfachheit halber folgt hier eine klare Begriffs-Definition:
Solltest du dir unsicher sein, was es damit auf sich hat, lies diesen Artikel von EFFs Kurt Opsahl. Er nennt einige Beispiele dafür, was Firmen und Regierungen wissen, wenn sie Meta-Daten sammeln2:
“Sie wissen, dass du um 2:24 Uhr eine Sex-Hotline angerufen hast und 18 Minuten lang „gesprochen“ hast. Aber sie wissen natürlich nicht worüber.
Sie wissen, dass du eine Telefon-Seelsorge von der Golden-Gate Brücke aus angerufen hast, aber das Thema des Anrufes bleibt natürlich ein Geheimnis.
Sie wissen, dass du mit einem Dienstleister für HIV-Tests telefoniert hast und in der gleichen Stunde dann mit deinem Arzt und deiner Krankenversicherung. Aber worüber ihr gesprochen habt, wissen sie wahrscheinlich nicht.”
Nachdem du nun weißt, was Meta-Daten sind, lass es mich noch einmal wiederholen: Ende-zu-Ende Verschlüsselung hindert die Betreiber von Instant-Messenger Diensten nicht daran, Meta-Daten zu sammeln.
Lasst uns mal einen Blick darauf werfen, was sie genau sammeln:
Die FAQ von WhatsApp sagt3, dass die Anwendung Zugang zu allen Telefonnummern in deinem Telefonbuch hat und dass sie jede Menge Informationen4 über dich sammeln.
Interessanterweise werden deine Nachrichten nicht auf den WhatsApp Servern, sondern auf deinem Telefon gespeichert. Wenn du nun den Fehler machst, ein (unverschlüsseltes) Backup von deinem Handy (in der Cloud) zu speichern, können die Nachrichten unter Umständen gelesen werden.
Bezüglich der Daten, die WhatsApp von dir sammelt, äußern sie sich etwas vage. Allerdings geben sie zu, dass sie Informationen über deine Aktivitäten sammeln.
“Benutzungs- und Ereignisinformationen. Wir sammeln dienstbezogene, diagnostische und Leistungsdaten. Dies beinhaltet Informationen über deine Aktivitäten (z.B. wie du den Dienst benutzt, wie du mit anderen Benutzern interagierst u.s.w.), Ereignisprotokolle und Diagnose-, Absturz-, Webseiten- und Leistungsdaten und Berichte.” (translated)
Außerdem sammelt WhatsApp Daten über dein Gerät, wenn du die App installierst, dich mit dem Server verbindest oder den Dienst benutzt — z.B. das Handymodell, sein Betriebssystem, Informationen von deinem Webbrowser, IP-Adresse, Mobilfunknetzwerk — deine Telefonnummer eingeschlossen.
Und wenn sie an deine Daten nicht direkt herankommen, dann sammeln sie sie, wenn deine Freunde dir schreiben, da sie auch Zugang zu den Aktivitätsprotokollen aller deiner Freunde haben.
Neben den unverschlüsselten Backups wurden auch andere Bedenken von der Electronic Frontier Foundation geäußert. Dies betrifft Mitteilungen über Änderungen des Schlüssels, WhatsApps Web-App und das Teilen von Daten mit Facebook, die WhatsApp 2014 übernommen haben.
Apropos Facebook…
Facebook Messenger
Das “MIT Technology Review” schrieb:
“Facebook sammelt den weitreichendsten Datensatz, der jemals über menschliches Sozialverhalten angelegt wurde.”5
Ich muss nicht genau aufschlüsseln, welche Daten Facebook sammelt. Facebook ist dein Freund, also machen sie es dir leicht nachzuvollziehen, was für ein guter Freund sie sind:
Google Allo
Googles Messenger Allo ist von Sicherheitsexperten scharf kritisiert worden6.
Google kann nicht nur jede Nachricht mitlesen, sondern sie speichern auch alle Unterhaltungen.
Ganz einfach.
Hier ist Edward Snowdens ironisch gemeinte Werbung für Allo:
Telegram
Wie ich erwähnt habe, ist das Verschlüsselungs-Protokoll von Telegram nicht sicher. Lassen wir das einen Moment außer Acht und fragen uns, was für Daten sie von ihren Nutzern sammeln?
Nachrichten, Bilder, Videos und Dokumente (bis auf die „Secret Chat“-Nachrichten) werden verschlüsselt auf den Telegram-Servern gespeichert. Genau wie Whatsapp und Facebook greift Telegram auf dein Adressbuch zu und speichert deine Kontaktliste auf deren Server. Nur so können sie dir eine Benachrichtigung schicken, wenn jemand aus deinem Adressbuch sich neu bei Telegram anmeldet. Nett von ihnen, oder?
Signal
Edit June 2022: I no longer use Signal. I deleted my account, mainly because it is a walled garden.
Die einzigen Daten, die Signal erhebt, sind deine Telefonnummer und wann du zuletzt mit dem Server verbunden warst.7
Das ist alles.
Sie speichern nicht einmal die Stunde, Minute oder Sekunde — Nur den Tag.
Wenn du dich schelmisch fühlst, bietet Signal sogar sogenannte Disappearing Messages an, verschwindende Nachrichten, die nach einer frei wählbaren Zeit automatisch gelöscht werden.
Und Signal ist kostenlos. Wirklich kostenlos. Das bedeutet, dass sie nicht versuchen, deine Daten an die Werbeindustrie zu verkaufen wie Facebook und Google das mit ihren Messenger-Apps vorhaben. Du kannst für die Weiterentwicklung von Signal hier spenden.
Außerdem ist der Code von Signal frei verfügbar, open-source und kann von jedem auf GitHub eingesehen und überprüft werden. 8.
Why should you care about your privacy?
Es könnte sein, dass du der Meinung bist:
“Wen kümmert’s? Ich habe nichts zu verbergen!”
Wenn Sie denken, dass Sie nichts zu verbergen haben, probieren Sie eines: Geben Sie das Passwort Ihrer Mailbox an Ihre Freunde weiter.
Edit 24/01/2017: previously we stated that “[Telegram’s] encryption protocol [was] not secure”. Telegram brought some clarification by publishing a blog post commenting on the finding of J. Jakobsen.9
https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎
https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎
https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎
https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎
www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎