Message in a bottle: Messenger

Basics der digitalen Selbstverteidigung #2:

Mobile Kommunikation hat unseren Alltag revolutioniert. Nicht nur kann immer und überall kommunziziert werden, sondern diese Kommunikation ist das Geschäftsmodell von Telekommunikationsfirmen wie der Telekom und verschiedener Internet- und StartUp-Firmen. Mit verschiedenen Angeboten wird versucht Nutzer_innen anzulocken und diese an die eigene Plattform zu binden. Entweder weil die Entwickler_innen vom Verkauf ihrer App leben oder weil sie am Verkauf der Nutzer_innendaten verdienen.
Wozu dies führen kann, lässt sich aktuell eindrucksvoll an den Prozessen gegen die Nazis der „Gruppe Freital“ und der „Oldschool Society“ beobachten. Hier konnte anhand der Kommunikation mit verschiedenen Messagern nachvollzogen werden, wer alles dazu gehört und auch die Nachrichten wurden abgefangen. Während das Urteil bei der Gruppe Freital noch nicht gesprochen ist, wurden Mitglieder der Old School Society jüngst zu langjährigen Haftstrafen verurteilt.
Auch wenn Smartphones insgesamt ein hohes Gefahrenpotiential aufweisen, ist deren Nutzung auch aus linksradikalen Kreisen kaum mehr wegzudenken. Um wenigstens die Kommunikation nicht unsicherer zu machen als nötig, werden wir im Folgenden einige Apps beleuchten, die von sich selbst behaupten eine Verschlüsselung anzubieten. Dennoch ein paar warnende Worte: Die Repressionsorgane wollen nicht nur wissen, was ihr schreibt, sondern vor allem mit wem. Dadurch werden Einblicke in Strukturen möglich. Und diese Verbindungsdaten sind im allgemeinen kaum zu verschleiern, ob verschlüsselt kommuniziert wird oder nicht, ist dabei egal. Und nur weil Verschlüsselung irgendwo dran steht, heißt es noch lange nicht, dass diese sicher ist. Dies kannn nur getestet werden, wenn der Quellcode zur Verfügung steht und eine Überprüfung der verwendeten Methoden möglich ist.
Whatsapp und der (facebook) Messenger sind die beliebtesten und meistgenutzen Kommunkations-Apps. Vom Versand von Textnachrichten, Bildern und Sprachnachrichten zu Gruppenchats ist alles möglich. Seit einiger Zeit rühmen sich beide mit der Nutzung einer end-to-end Verschlüsselung, die auf dem Protokoll von Signal (siehe unten) aufbaut. Was verschwiegen wird ist, dass mindestens eine Backdoor eingebaut wurde, die es erlaubt Nachrichten, die beim Versand immer auf einem Server zwischengespeichert werden, zu entschlüsseln. Und das Geschäftsmodell von Facebook basiert auf den gesammelten Nutzer_innendaten (Whatsapp wurde von Facebook geschluckt). Von daher: Finger weg von diesen beiden Apps!
Die kostenpflichtige App Threema bietet viele Features wie wir es von Whatsapp gewohnt sind. Positiv hervorzuheben ist, dass Threema einen Mechanismus gegen „Man-in-the-Middle-Attacks“ (also die Möglichkeit unbemerkt zwischen den Kommunizierenden zu agieren) bietet und eine eigene ID anstelle der Telefonnummer an die Kontakte weitergegeben werden kann. Laut den Entwickler_inen läuft die Verschlüsselung end-to-end und die Kommunikation zwischen den Servern und dem Endgerät ist ebenfalls gesichert. Dummerweise lässt sich das nicht so ohne weiteres überprüfen. Threema ist nämlich kein Open Source. Dass heißt, der Quellcode ist nicht offen und kann so von den Nutzer_innen auch nicht auf Fehler und Gefahrenquellen untersucht werden.
Auch wenn ein Audit einer Schweizer IT-Sicherheitsfima keine Lücken gefunden hat, so heißt dies nicht, dass keine existieren. Denn mit jedem Update kann eine entstehen oder sogar böswillig eingebaut werden, und das Audit war 2015. Dicker Punktabzug. Ein weiteres Manko ist der Verzicht auf die komplette Integration von „Forward Secrecy“, die verhindert, dass eine früher geführte Kommunikation durch ein nachträgliches Bekanntwerden des geheimen Schlüssels geknackt werden kann. Zu empfehlen ist Threema also nicht wirklich.
Telegram ist wegen der tollen Sticker, die verschickt werden können, zwar recht beliebt, bei Crypto-Nerds jedoch ziemlich verrufen und das aus guten Gründen. Zunächst ist die App nicht standardmäßig verschlüsselt. Selbst wenn die Verschlüsselung aktiviert wird, ist diese nicht sonderlich überzeugend, da anstatt auf bewährte Kryptomethoden zu setzen, eine eigene entwickelt wurde. Wenn die Programmierer keine Profs an einem Kryptolehrstuhl sind, ist dies schon ein Supergau! Dazu kommen fehlende Authentifizierungsmöglichkeiten und der Verzicht auf „ForwardSecrecy“, sowie die Tatsache, dass die Nachrichten auf den Telegram-Servern und den Geräten im Klartext gespeichert werden. Beispiel gefällig? Dann schauen wir uns den eingangs erwähnten Prozess gegen die „Oldschool Society“ vor dem Oberlandesgericht München mal etwas genauer an: Die Nazigruppe hatte sich zunächst vor allem auf Facebook präsentiert und via Whatsapp zusammengeschlossen, um dort gemeinsam in Gewaltphantasien zu schwelgen. Aus Sicherheitsgründen verlagerte sich die OSS schließlich auf den Dienst Telegram. Dort wurden, neben allerlei erstmal belanglos scheinendem Hassgeschwätz, auch zunehmend konkretere Maßnahmen ins Auge gefasst. Neben Waffenbeschaffung und Sprengstoffanschlägen wurde etwa auch eine Attacke auf den Kölner Dom diskutiert, die später Islamisten in die Schuhe geschoben werden könne. Was die Nazis nicht wussten: Das BKA las zu diesem Zeitpunkt längst mit. Dabei nutzte das Amt den Umstand, dass Telegram die gleichzeitige Anmeldung auf verschiedenen Geräten ermöglicht. Durch die Registrierung eines eigenen Gerätes im Account eines OSS-Mitgliedes, das Abfangen der SMS mit dem Authentifizierungscode und die Anmeldung mit diesem Code, konnte das BKA vergleichsweise easy in seinen Account eindringen. Im Anschluss wurden die Geräte des Nutzers entregistriert, damit die Aktion nicht auffliegt. Damit konnten jedoch nicht nur eingehende Nachrichten mitgelesen werden: Da Telegram Nachrichten auf den Servern speichert, konnte sogar auf die zurückliegenden Messages zugegriffen werden. Zwar konnten damit nur die Nachrichten gelesen werden, die nicht End-to end verschlüsselt waren, doch war diese Funktion wie bereits erwähnt, nicht standardmäßig aktiviert, und was noch gravierender ist, bei Gruppenchats ist sie gar nicht vorhanden. Dass ein derartiges Vorgehen nicht nur bei Nazis eine Option darstellt, liegt auf der Hand. Fazit also auch hier: Pfoten weg!
Die aktuell beste Wahl ist auf jeden Fall Signal. Das ehemalige TextSecure gilt kundigen Verschlüsselungsfreund_innen immer noch als das Nonplusultra: Signal punktet mit standardmäßiger und vor allem guter Verschlüsselung, „Man-in-the-Middle“-Schutz, „Forward Secrecy“ und weiteren guten Features. Hier ist auch der Gruppenchat verschlüsselt. Mit dem Programm lässt sich sicher telefonieren, und es verbirgt wichtige Informationen – etwa Kontaktlisten und an wen Nachrichten versendet wurden. Ein weiteres Feature ist, dass sich für jeden Chat einstellen lässt, wie lange Nachrichten gespeichert werden. Diese Einstellung gilt dann auch auf der Empfangsseite. Signal lässt sich zumindest unter Android mit Passwort schützen, eine Funktion, die unbedingt zu empfehlen ist. Ein weiteres gutes Argument für Signal ist der offene Quellcode. Und für Leute, die schwer von Telegram lassen können: Bei Signal können auch Bilder und allerlei spaßige Sachen wie GIFs oder Sticker verschickt werden.
Das wichtigste ist aber: Eine rundum sichere mobile Kommunikation ist nicht möglich. Gefährlich wird es spätestens dann, wenn das Endgerät in die falschen Hände gerät. Hier bietet ein Passwort statt einer einfachen Pin und eingeschaltete Verschlüsselung einen rudimentären Schutz, auf den ihr aber nicht vertrauen solltet (Für Menschen mit Iphones: Verwendet mindestens eine sechstellige Pin und aktiviert das Feature, dass nach 10 Fehleingaben das Gerät sich selber löscht). Bei allem Nutzen der technischen Innovationen im Hosentaschenformat gilt immer noch der Grundsatz, dass Datensicherheit am besten durch Vermeidung von Daten zu haben ist. Dies bedeutet: Besprecht wichtige Sachen nicht über das Handy, sondern unter vier Augen. Im Idealfall lasst ihr das Smartphone gleich zu Hause, denn Bewegungsprofile können auch so erstellt werden. Aber das ist ein anderes Thema.

Werbeanzeigen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s