Text

|
Lesezeit 2 Minuten

Der Boom ist nicht ganz nachvollziehbar. Oder doch? Nur weil Nutzer von Whatsapp bis Anfang Februar neue Geschäftsbedingungen akzeptieren müssen, verzeichnen andere Messengerdienste wie Signal, Telegram oder Threema plötzlich Millionen neuer Downloads. Dabei ändert sich vor allem in der EU wenig am Umgang Facebooks mit den Nutzerdaten. Dennoch ist die neue Diversität bei Messengerdiensten zu begrüßen, selbst wenn sie aus den falschen Gründen erfolgt.

Es war von Anfang an klar, dass Facebook sein Versprechen nicht halten würde, nach der Übernahme von Whatsapp die Daten nicht mit seinen anderen Diensten zu verschmelzen. Warum sollte Mark Zuckerberg fast 22 Milliarden US-Dollar für den Kauf eines Unternehmens ausgeben, wenn er dessen Nutzerdaten nicht kommerzialisieren kann?

Daher tauscht Whatsapp schon seit August 2016 die Daten mit anderen Facebook-Diensten aus. Selbst das Inkrafttreten der EU-Datenschutz-Grundverordnung im Mai 2018 hat daran nichts geändert. Zwar sprach Facebook immer wieder davon, dass Nutzer der Datenweitergabe widersprechen könnten. Doch das hat offenbar trotz DSGVO keinerlei Effekt. Ein klares Verbot der Datenweitergabe durch die irische Datenschutzbehörde steht leider noch aus.

Rätselhafter Fluchtreflex

Es ist daher nicht ganz nachvollziehbar, warum die neue Zustimmung plötzlich bei den Nutzern einen solchen Fluchtreflex auslöst. Wer bisher in der EU die Datenschutzbestimmungen von Whatsapp akzeptiert hat, kann es im Grunde auch weiterhin tun. Beziehungsweise sollte es eben nicht tun, wenn er nicht zulassen will, dass ein einzelnes Unternehmen wie Facebook einen zu großen Überblick über die eigene Kommunikation oder andere Internetaktivitäten bekommt.

Wobei es zwar umständlich, aber dennoch möglich ist, Whatsapp zu nutzen, ohne der App den Zugriff auf die eigenen Kontakte zu erlauben. Hilfreich ist auch, kein eigenes Facebook- oder Instagram-Konto zu haben oder diese zumindest nicht mit seiner Telefonnummer zu verknüpfen. Aber leider ist völlig undurchsichtig, auf welch vielfältige Weise Facebook an die Daten von Nutzern kommt und diese miteinander verknüpft. Daher ist ein zunehmender Wechsel zu anderen Diensten wie Signal oder Threema auf jeden Fall besser, als eine Monopolstellung von Whatsapp zu zementieren.

Ausgerecht Facebook beklagt Falschinformation

Ein Treppenwitz der Geschichte ist zudem, wenn Facebook nun „die Ausbreitung falscher Informationen“ beklagt und deswegen die Einführung der neuen Datenschutzregeln um gut drei Monate verschiebt. Das Unternehmen hat leider oft genug bewiesen, dass seine Beteuerungen zum Datenschutz nicht die Tastatur wert sind, auf der sie getippt wurden.

Solange Facebook nicht zerschlagen ist, reagiert das Unternehmen offenbar nur auf eine spürbare Abwanderung von Nutzern zur Konkurrenz. Ein selbst geschaffenes Dilemma, denn mit der stärkeren Integration der Dienste will Zuckerberg offenbar eine drohende Zerschlagung verhindern. Diese Integration scheint aber vielen Nutzern nun langsam bedenklich zu werden.

Wenn die Behörden trotz erdrückender Argumente nicht in der Lage sind, Facebook zu zerschlagen, sollten es die Nutzer mit ihren Füßen tun.

Text

|
Lesezeit 3 Minuten

Vergangene Woche informierte Whatsapp seine Nutzer, dass sie ab dem 8. Februar einige persönliche Daten mit dem Mutterkonzern Facebook teilen müssen. Dies führte zu einem enormen Anstieg der Downloads bei den verschlüsselten Messaging-Apps Signal. Signal verzeichnete in der vergangenen Woche 7,5 Millionen Downloads, eine Steigerung von 4200 Prozent gegenüber der Vorwoche.

Signal erhielt nach der Ankündigung von WhatsApp außerdem viel Werbung, da Persönlichkeiten des öffentlichen Lebens wie Elon Musk

und Edward Snowden

die App befürworteten.

Zeit sich Signal mal genauer an zu sehen

Der Messenger Signal wurde von Moxie Marlinspike und Stuart Andersen entwickelt. Die beiden Amerikaner arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation.

Anfang 2018 investierte der WhatsApp-Mitgründer Brian Acton, der inzwischen bei WhatsApp ausgestiegen ist, 50 Millionen Dollar in eine neu gegründete Signal-Stiftung. Durch die neue Stiftungsstruktur solle dem Messenger der Druck genommen werden, profitabel zu sein.

Das Ende-zu-Ende-Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.

Die „perfekte Geheimhaltung“?

Die Verschlüsselungssysteme der meisten Apps erstellen ein permanentes Schlüsselpaar für die Ver- und Entschlüsselung von Nachrichten. Der öffentliche Schlüssel wird zur Identifizierung des Benutzers verwendet und an den Nachrichtenserver gesendet. Der private Schlüssel verbleibt im Telefon des Benutzers. Wenn der private Schlüssel aufgrund von Hack oder Diebstahl kompromittiert wird, sind die Nachrichten für die Entschlüsselung anfällig.

Das Verschlüsselungsprotokoll von Signal kombiniert den Double Ratchet-Algorithmus mit dem Diffie Hellman-Handshake mit dreifacher elliptischer Kurve.

Der Absender und der Empfänger verwenden den Double Ratchet-Algorithmus, um verschlüsselte Nachrichten basierend auf einem gemeinsamen geheimen Schlüssel auszutauschen. Für jede Nachricht wird ein neuer Schlüssel generiert, und die früheren Schlüssel können aus den nachfolgenden nicht herausgefunden werden. Diese Methode wird auch als perfekte Vorwärtsgeheimnis bezeichnet. Im Zentrum dieses Algorithmus steht das Konzept der KDF-Kette (Key Derivation Function). KDF ist eine kryptografische Hash-Funktion, die einen geheimen Zufallsschlüssel und Eingabedaten verwendet, um die Ausgabe zu generieren. Der geheime Schlüssel wird aus einem geheimen Wert wie einem Passwort oder einer Passphrase unter Verwendung einer Pseudozufallsfunktion abgeleitet.

Darüber hinaus verwenden die beiden Parteien neben dem Doppelratschenalgorithmus auch das erweiterte Schlüsselvereinbarungsprotokoll Triple Diffie-Hellman (X3DH). X3DH bietet Vorwärtsgeheimnis und kryptografische Verleugnung. Dieses Protokoll wird zum Einrichten eines gemeinsamen Schlüssels zwischen Absender und Empfänger verwendet, die sich gegenseitig mit öffentlichen Schlüsseln authentifizieren.

Das perfekte Vorwärtsgeheimnis allein ist jedoch keine vollständige Strategie. Im Falle eines Diebstahls sind die Nachrichten weiterhin für jeden sichtbar, der das Gerät besitzt. Zu diesem Zweck hat die Signal App eine zeitgebundene Funktion zum Verschwinden von Nachrichten hinzugefügt.

Los gehts

Beim ersten Start der Signal-App muss man sich mit einer Handynummer anmelden, man kann den Dienst nicht ohne nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere Nutzer*innen zu finden.

Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.

Desktop- und Tablet-Versionen von Signal müssen mit einem Account mit Telefonnummer verknüpft sein.

Mit der App lassen sich Texte und Dateien an eine Person oder an Gruppen schicken. Auch verschlüsselte Audio- und Video-Anrufe sind möglich – seit Ende 2020 auch für Gruppen.

Die Nachrichten werden über die Server von der Betreiber-Organisation Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden und sind auch vor Behörden sicher.

Nutzerzahlen des Messengers veröffentlicht Open Whisper Systems nicht.

2020 führte Signal eine PIN ein, die bei Neuinstallation der App das Importieren der eigenen Profileinstellungen ermöglicht. Wer keinen Zugriff mehr auf die Nummer hat, mit der er oder sie das Signal-Profil erstellt hat, kann sich so trotzdem authentifizieren. Chat-Inhalte sind mit der PIN nicht abrufbar, da die Nachrichten nur lokal gespeichert werden.

Wer seine Signal-Inhalte von einem Gerät auf ein anderes überspielen will, kann das von iPhone zu iPhone unkompliziert mit Hilfe eines QR-Codes tun. Auf Android muss dazu zunächst ein lokales Backup erstellt werden.

Beim Android-Backup werden alle App-Daten in einem verschlüsselten Dateiordner auf dem eigenen Gerät abgelegt. Diesen Ordner muss man auf das neue Gerät überspielen – zum Beispiel per USB-Kabel über den PC oder über einen Cloud-Speicher. Da die Datei selbst gut verschlüsselt ist, können Cloud-Speicher wie Google-Drive dabei keinen Zugang zu Ihren Daten erhalten.

Bei Neuinstallation findet die App dieses Backup dann auf dem neuen Gerät.