Datenschutz und Datensicherheit
 
Signal, Threema, Wire – wer setzt sich durch?

Signal, Threema, Wire – wer setzt sich durch?


Was macht einen guten Messenger aus?

Eine wesentliche Anforderung ist ein hoher Verbreitungsgrad, da ein Messenger für den Einzelnen nur dann einen Wert bringt, wenn viele Personen aus seinem Netzwerk diesen aktiv nutzen. Darüber hinaus gewinnt der Datenschutz bei zunehmender Digitalisierung stark an Bedeutung. Ausreichende Funktionalität und Benutzerfreundlichkeit sollten selbstverständlich sein. Abschließend ist das persönliche Vertrauen in Produkt und Firma von entscheidender Bedeutung.

Erst einmal ein Blick in die Gegenwart:

Warum sollten wir uns überhaupt Gedanken über einen anderen Messenger machen? Es gibt doch bereits einen Messenger mit einem hohem Verbreitungsgrad, der einfach zu bedienen ist und mindestens die notwendigen Funktionalitäten enthält. Doch wie steht es zum Beispiel um den Datenschutz bei dieser App?

Mit dem Aufkauf durch die Facebook Inc., für 19 Milliarden US$, wurde das Produkt konsequent zu einer Sammelmaschine von Daten entwickelt. Schon der Kaufpreis lässt erahnen, wie wertvoll diese Daten sind. Im Jahr 2016 wurde die Ende-zu-Ende Verschlüsselung bei WhatsApp eingeführt. Vordergründig wurde eine gute Verschlüsselungsarchitektur gewählt. Sie enthält Elemente der Verschlüsselung, wie sie auch bei Signal zum Einsatz kommen. Der Hersteller beteuert, dass er keinen Einblick in die Inhalte hat. Dann ist doch alles gut? Leider Nein, denn es werden nur die Inhalte der Mitteilungen zwischen Empfänger und Sender verschlüsselt. Es sind jedoch primär die Metadaten, die sich gut auswerten und vermarkten lassen. So hat der Hersteller des Produktes weiterhin umfassenden Zugriff auf die mit jeder Nachricht anfallenden Metadaten. Im Klartext – welche Person kommuniziert mit wem unter Angabe von Telefonnummer und Namen, von wo, wohin, zu welcher Uhrzeit, in welchem Umfang und mit welchem Gerät. All diese Daten werden bei WhatsApp Inc. gespeichert.

Noch ein wichtiger Hinweis mit Blick auf die DS-GVO. Personen, die ihr Smartphone geschäftlich nutzen und WhatsApp installiert haben, riskieren eine Bußgeldzahlung für Ihr Unternehmen und eventuell auch eine Strafe für sich selbst. Die App wünscht Ihre Zustimmung, um auf Ihre gesamten im Adressbuch enthaltenen Kontakte zugreifen zu dürfen. Ist diese erteilt, werden alle im Adressbuch befindlichen Kontakte (auch derer die kein WhatsApp einsetzen) an WhatsApp Inc. übermittelt. Die Rufnummern mit den Namen der Person gehören zu den übertragenen Daten. Für die Verarbeitung von personenbezogenen Daten verlangt die DS-GVO die vorherige Einwilligung der Betroffenen. Wird diese Bedingung nicht erfüllt, so liegt ein Verstoß gegen die DS-GVO vor.

Die Ankündigung von WhatsApp Inc., dass sich die Nutzungsbedingungen geändert haben, hat viele erneut aufhorchen lassen. Zusammengefasst stimmt man der Weiterverwendung von Daten im gesamten Facebook-Konzern und deren Werbepartnern zu.  Für WhatsApp Benutzer in der Europäischen Union (EU) wird es richtig paradox. Sie sollen etwas zustimmen, von dem Facebook behauptet, dass dieses für Bürger in der EU sowieso nicht von Relevanz ist.

Welche Alternativen haben wir?

Wir installieren alle drei folgenden Apps – Signal, Threema und Wire – auf unseren Smartphones. Die meisten sind ja kostenlos verfügbar oder zumindest bezahlbar. Doch ist jeder bereit, drei Messenger auf seinem Gerät zu installieren? Die Frage kann man mit hoher Wahrscheinlichkeit mit „Nein“ beantworten. Bei der gleichzeitigen Nutzung von drei verschiedenen Messengern muss man sich permanent Gedanken darüber machen, mit wem kommuniziere ich über welche App. Wenn man mit Gruppen arbeitet, dann wird es noch komplexer. Wie bekomme ich alle Mitglieder dazu, die gleiche App zu installieren? Ein einziger „Ausreißer“ kann eine einfache Aufgabe deutlich aufwendiger machen. Ziel sollte es deshalb sein, dass das Netzwerk eines jeden Einzelnen sich auf einen Messenger zur Kommunikation einigt. Doch welcher könnte das sein?

Wire – Alternative 1.

Ein tolles Produkt von Beginn an. Monetär unterstützt wird die Firma weiterhin von dem Skype Mitbegründer Janus Friis. Man hat einen vollständigen Open Source Ansatz gewählt. Das Produkt ist einfach zu bedienen. Es konnte Gruppenchats und Videotelefonie, und es gab von Anfang an eine Desktopversion für macOS. Zur Registrierung reichte die E-Mail Adresse. Einzig der Ladevorgang der App kam mir, zumindest früher, wie eine Ewigkeit vor. Objektiv betrachtet waren es nur wenige Sekunden und die Smartphones sind inzwischen auch performanter geworden.

Immerhin 10 meiner Kontakte haben diesen Messenger zumindest installiert und mehr oder weniger aktiv genutzt. Mit zweien aus dieser Kontaktliste kommunizierte ich eine ganze Weile relativ regelmäßig über dieser Dienst. Aus organisatorischer Datenschutzsicht ist dieser Messenger ganz vorne mit dabei. Der Firmensitz ist in der Schweiz (einem als „Sicher“ eingestuftes Drittland) und die Server befinden sich in der EU. Er war lange Zeit bei mir die erste Wahl unter den hier erwähnten Alternativen. Der größte Nachteil von Wire war und ist seine geringe Verbreitung. In den letzten 2 Wochen hat es, trotz dem aktuellen Momentum im Markt, keinen Zuwachs in meiner Wire Kontaktliste gegeben. Er wird es vermutlich, bei all seinen Vorzügen, schwer haben, sich am Markt als Standard Messenger durchzusetzen. Vertrauen in Produkt und Unternehmen ist für mich gegeben. Allerdings gilt auch hier, der Verbreitungsgrad ist in der Regel das Wertvollste an einem Messenger. Sollte sich der Verbreitungsgrad stark erhöhen oder nur die Spekulation darauf, so könnte auch das verschiedene Begehrlichkeiten auslösen.

Threema – Alternative 2.

Funktional gibt es kaum etwas an diesem Produkt auszusetzen. Im deutschsprachigen Raum genießt Threema zudem eine relativ hohe Verbreitung. Ich selbst habe Threema seit den Anfängen dieser App auf meinem Mobiltelefon installiert. Er gilt als sicherer Messenger in den Köpfen vieler Menschen.

Firmensitz und Standort der Server befinden sich in der Schweiz. Im Jahr 2020 ist die Afinum AG bei Threema als Kapitalinvestor eingestiegen. Das Firmenkonstrukt mit einem solchen Investor ließ mich persönlich hellhörig werden. Wenn ich mir dann anschaue, dass eines der Investments (ein traditionsreicher Hersteller von Trinkflaschen in der Schweiz) der Afinum AG inzwischen seinen Eigentümer in China gefunden hat, dann stärkt das mein persönliches Vertrauen in das Unternehmen nicht besonders.

Signal – Alternative 3.

Dieser Messenger ist bei mir ebenfalls schon seit vielen Jahren im Einsatz. Er fristete bisher ein sehr ruhiges Dasein. Nur wenige meiner Kontakte hatten diesen Mitteilungsdienst im Einsatz. Selbst als vor Jahren Edward Snowden ankündigte, dass er diesen Dienst nutzt, änderte sich an der Verbreitung so gut wie nichts (zumindest bei meinen Kontakten). Seit etwa einem Jahr wird Signal bei uns in der Familie als Messenger eingesetzt. Anfangs mit Skepsis. Man hatte zudem den Eindruck, dass der Messenger bei geringer Nutzung einen nicht immer umgehend über eingehende Nachrichten auf dem Laufendem gehalten hat. Funktional genügt dieser Messenger meinen Ansprüchen. Die Bedienung ist im Großen und Ganzen einfach. Die gute Verschlüsselung, gepaart mit der Selbstzerstörungsfunktionalität von Nachrichten, sorgen dafür, dass sich der Messenger auch für die gelegentliche Übertragung von Passwörtern eignet. Aus organisatorischer Sicht eines Datenschutzbeauftragten ist Signal auf den ersten Blick der Super-GAU. Firmensitz und Serverstandorte befinden sich in den USA. Ganz anders fällt die technische Bewertung in Bezug auf Datenschutz und Datensicherheit aus. Da ist dieser Messenger ganz vorne mit dabei.

Äußerst positiv zu bewerten ist dagegen die gewählte Gesellschaftsform. Sie ist identisch mit der von Wikipedia gewählten Form, eine gemeinnützige Stiftung. Fairerweise muss man ebenfalls festhalten, dass die USA ein hohes Datensicherheitsniveau hat. Viele ausgewiesene Datensicherheitsexperten kommen aus den USA. Nur die Thematik, dass US-Unternehmen bei Anfragen von US-Sicherheitsbehörden den Zugang auf Daten, die im In- und Ausland generiert werden, gewähren müssen, sorgt aktuell für große Unsicherheit bei Unternehmen in der EU.

Aus technischer Sicht ist Signal zum jetzigen Zeitpunkt sehr positiv zu beurteilen. Es werden rundum leistungsfähige Verschlüsselungsmechanismen eingesetzt. Die Telefonnummern, die aktuell noch zur Registrierung und zum Datenabgleich notwendig sind, werden gehasht (Wert wird in einem mathematischen Verfahren in einen anderen Wert umgewandelt) und sind somit für Dritte nicht lesbar. Insgesamt dürfte es Sicherheitsbehörden schwer fallen, in diese Softwarearchitektur einzubrechen.

Für die geschäftliche Kommunikation eignen sich Threema und Wire. Beide Firmen bieten gute Geschäftsmodelle für die innerbetriebliche Kommunikation und positionieren sich entsprechend. Bei Threema nennt sich die Lösung ThreemaWork. Bei Wire unterscheidet man zwischen WirePro und WireEnterprise. Dass sich einer von beiden als Standard Messenger in der westlichen Welt durchsetzen könnte, sehe ich nicht.

Für die private Kommunikation empfiehlt sich Signal. Signal hat nach meiner persönlichen Erfahrung momentan das mit Abstand größte Wachstum an Benutzern. Waren es bei mir vor 2 Wochen maximal 25 Kontakte mit denen ich über Signal kommunizieren konnte, so sind es heute schon über 70 Kontakte. In Sachen Kryptographie ist der Messenger ein Vorreiter. Mit Moxie Marlinspike als CEO, einem weltweit anerkannten Kryptographieexperten an der Spitze des Unternehmens, stehen die Themen Datenschutz und Datensicherheit ganz oben auf der Prioritätenliste. Nicht zuletzt die gewählte Gesellschaftsform verspricht Kontinuität und Sicherheit.

Warum nicht Telegram?

Ich habe nur Messenger in Betracht gezogen, die ich auf meinen Systemen installiert und über Jahre selbst genutzt habe. Telegram gehörte nie dazu, weil für mich die dahinter stehenden Firmen nicht transparent waren und ich nie Vertrauen in dieses Konstrukt aufbauen konnte. Wo befinden sich die Server? Ist die Entwicklung ausschließlich in den Vereinigte Arabische Emirate (VAE)? Ist der Firmensitz ebenfalls in den VAE? Welche Rolle spielen die Standorte USA, UK oder Belize? Wann ist was verschlüsselt?

Was würde ich mir für die Zukunft wünschen? Die Bildung eines Ablegers der Signal Messenger LLC in der EU, der stärker die regionalen Interessen vertritt, ähnlich dem Vorbild von Wikipedia.