Sicherheit, WhatsApp, Messenger

Die Spinne spinnt ihr Netz...

von Tobias Lamers vom 16.01.2021 // 17:39 Uhr, überarbeitet am 24.02.2021 // 7:52 Uhr

Wie jedes Jahr im Januar überkommt mich dieses Gefühl, zu wenig für meine Rechte auf informationelle Selbstbestimmung und den Schutz meiner Daten zu tun. Die Wochen nach dem Chaos Communication Congress^1 sind geprägt von Begeisterung für Technik und der Erkenntnis, dass das Leben im Netz gefährlich ist. Deshalb gilt:

IT'S DANGEROUS TO GO ALONE! TAKE THIS.

  • Old Man

Zum selben Zeitpunkt überlegt sich Facebook "WhatsApp" doch näher an die interne Datamining-Plattform heranzuziehen. Natürlich geht es Facebook dabei nicht um meine bzw. eure Daten. Facebook verweist darauf, dass die Privatsphäre von Chats in Europa durch dieses Vorhaben keineswegs beeinträchtigt wird^2. Entgegen Facebooks Verweis

[...]There are no changes to WhatsApp's data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.[..]

  • Niamh Sweeny (Director of Policy for WhatsApp) auf Twitter

darauf, die Privatssphäre zu achten, besteht kein Schutz meiner bzw. eurer Daten, sofern ihr den Dienst nutzt. Denn das Privacy Shield Abkommen, welches aufgrund des mangelnden Datenschutzesniveaus vom Europäishen Gerichtshof (EGH) für ungültig erklärt wurde, sichert die Europäischen Datenschutzstandards nicht mehr.

Also lieber selbst aktiv werden und eine passende Alternative zu Whatsapp suchen.

Welchen Einfluss Facebook hat, habt ihr wohl auch schon gemerkt haben. Facebook hat eine enorme Macht über Informationen und deren Steuerung. So nutzen 2,7 Milliarden Menschen einen der Facebookdienstn ^3. Das sind 34,7 % der Weltbevölkerung ^4 bzw. 59,4 % derjenigen mit einem Zugang zum Internet^5. Die Dimension hat mich erschreckt. Eine derart monopolistische Position verzerrt nicht nur wirtschaftliche Prozesse (z.B. Marktchancen von Alternativen), mit diesem Durchdringungsgrad ist Facebook in der Lage politische Entscheidungsprozesse zu beeinflussen ^6.

Die Aussagen des Konzerns zu WhatsApp sind zunächst beruhigend formuliert. Die verschlüsselten Chats (also die Inhalte) sind weiter sicher™, doch tatsächlich ist das aufgrund der ungeheuren Datenmengen auch eher ein nachrangiges Ziel. Wichtiger für Facebook sind eure Metadaten, also mit wem kommuniziert ihr und zu welcher Zeit an welchem Ort? Wie viele Fotos und Videos verschickt ihr, welche Nachrichten bzw. Inhalte haben denselben Hash, welches Endgerät nutzt ihr usw.

Der Hash ist ein auf die Daten errechneter Wert, der mit hoher Wahrscheinlichkeit eindeutig ist. Ein Hash kann auch über verschlüsselte Daten hergestellt werden. Damit ist einfach zu überprüfen, ob eine Nachricht denselben Inhalt hat, ohne den Inhalt zu kennen.

Ein Beispiel:

Photo 1: md5-hash 6a0816dc6a75d6e17fbacbbe3806e91e

Photo 2: md5-hash 90eda14638a2495c7cb71a3b62bee2db

Der Hash verändert sich nicht, solange das Photo nicht verändert wird. Wenn das Photo nun geteilt, wird kann sehr einfach nachvollzogen werden, wie sich ein Photo verbreitet. Wenn das Photo nun z.B. auf Facebook durch eine einzelne Person unverschlüsselt veröffentlicht wird, kann Facebook trotz Verschlüsselung in Whatsapp erkennen, welcher Inhalt zwischen welchen Personen geteilt wird - also doch nicht so ganz geheim.

Ich höre in Diskussionen oft, dass Facebook mit diesen Daten nichts anfangen könne. Doch das ist nicht richtig. Facebook (u.a.) geht es gerade darum, Netzwerke zu erkennen und die Datenpunkte einer WhatsApp mit den vorhandenen Daten ihrer anderen Dienste zu verknüpfen. So entstehen Profile, mit denen sich Geld verdienen lässt. Wer teilt Inhalte mit wem, welche Medien werden geteilt und welche Inhalte werden oft auf Instagram angeklickt. Diese Daten lassen sich nun verkaufen oder stehen Sicherheitsbehörden^7 und Kriminellen ^8 zur Verfügung. Facebook steuert meine Interessen, indem es Informationen auf seinen Diensten einblendet und so eine informationelle Blase schafft, die zwar meine Interessen abbildet, mich aber bewusst auf diese beschränkt.

Seit Jahren benutze ich nun Threema, einen Dienst, den ich für mich als sicher™ eingestuft habe. Mittlerweile ist der Quellcode veröffentlicht ^9 und grundsätzlich gilt der Ansatz: Wenn ich für ein Produkt bezahle, bin ich nicht selber das Produkt. Allerdings erlebe ich mit Threema in der täglichen Nutzung immer wieder Probleme. Zum einen ist die Benutzer:innen-Basis ziemlich klein (liegt wohl am unverschämt hohen Preis von ca. 4,00 € 😉 ); zum andern kommen Push-Nachrichten (die Meldungen im Homescreen) verzögert an, die Verbindung baut nicht adhoc auf oder bricht sogar ab. Schlecht um Freunde:innen, Familienmitglieder und Kollegen:innen von meiner Leidenschaft für datenschutzkonformes Kommunizieren zu überzeugen.

Signal habe ich auch schon vor Jahren ausprobiert, der Dienst war zu der Zeit nicht weit verbreitet und ich konnte niemanden aus meinem sozialen Umfeld über Signal erreichen. Die derzeitige Immigration von WhatsApp hat das verändert.

Aus folgenden Gründen ist Signal für mich eine gute Alternative:

Es gibt jedoch einen klaren Nachteil zu Threema. Um Signal nutzen zu können müsste ihr euch mit einer Telefonnummer verifizieren (die aber nicht die eigene sein muss ^12). Im eigentlichen Sinn handelt es sich um ein eindeutiges Identifizierungsmerkmal, welches aus Gründen der Vereinfachung die Telefonnummer ist. Der Datenaustausch erfolgt verschlüsselt und gehasht (s.o.) ^13

Erlaubt ihr Signal zusätzlich auf eure Kontakte zuzugreifen, synchronisiert der Dienst die Daten. Dies führt dazu, dass die in eurem Adressbuch gespeicherten Kontakte (gehasht und verschlüsselt) ohne euer Zutun eine Information darüber erhalten, dass ihr Signal nutzt. Benutzt ihr eine „fremde“ Telefonnummer ^12, fällt dieser Service weg, allerdings taucht diese Nummer dann bei euren Kontakten als weitere Kontaktinformation in eurem Profil auf, was ungünstig sein kann. Gleichzeitig zeigt ihr durch diesen automatischen Service allen Kontakten, dass ihr den Messenger nutzt und eure Nummer aktiv ist. Ich finde das teilweise unangenehm!

Derzeit wachsen die Nutzer:innenzahlen stetig an; zurzeit so stark, dass es teilweise zu Ausfällen auf den Servern kommt. Die Signal Foundation nimmt unablässig neue Server in Betrieb, um dem Ansturm zu bewältigen. Somit empfehle ich nicht direkt aufzugeben, sondern sich zu freuen, dass jetzt so viele Kontakte über Signal erreichbar sind.

Verschlüsselt kommunizieren zu können, ermöglicht es uns vertrauensvoll auch schwierige, kritische und sehr persönliche Dinge mit anderen zu teilen. Signal bietet uns - wie auch anderne Dienste - eine sichere™ Plattform für diesen Dienst und das kostenlos. Damit die Signal Foundation das leisten kann, ist sie auf Spenden angewiesen, zwar hab ich keine 50 Millionen Dollar übrig aber 2€^14 im Monat tun es auch.

Signal steht für iOS^15 und Android^16 zur Verfügung und bietet darüber hinaus eine gute Desktop-App^17.


perma-link: 202101161739_Die_Spinne.md