Warum man Signal verwenden sollte, statt WhatsApp & Co.

Erst einmal freue mich darüber, dass das Thema deine Aufmerksamkeit erregt hat. Datenschutz sollte uns, grade in Zeiten von Facebook & Co. tatsächlich alle Interessieren.

In diesem Artikel möchte ich erklären warum WhatsApp, Telegram und Weitere problematisch sind, welche Alternativen sich bieten und meine eigene Meinung und zukünfigte Verwendung dieser Messenger erklären.

Inhalte dieses Artikels
1. Kurz und knapp
2. Was ist das Problem?
3. Signal
4. Persönliche Meinung
5. Weitere Informationen

1. Kurz und knapp

Aufgrund von Datenschutz-Problemen mit WhatsApp & Telegram möchte ich versuchen beide Apps nicht mehr zu benutzten.
Telegram werde ich weiter in der Verwendung haben bis Signal Bots mit entsprechenden Accounts verfügbar macht.

Die Alternativen über die man mich am besten (asynchron) erreichen kann: Signal & Email.

2. Was ist das Problem?

Man ließt es öfter in den Nachrichten; Wieder ein Datenschutz-Problem mit WhatsApp oder einem vergleichbaren Messenger. Dabei sind diese Dienste nicht mehr aus unserem Alltag weg zu denken. Aktuell gibt es auch einen Trend zu Telegram. Doch auch dieser Messenger hat seine Tücken.

Generell kommt das Problem des Datenschutzes daher, dass die Messenger die gesamte, eigene Kontaktliste auf die Server des Dienstes hochladen. Dies geschieht um die Kontakte gegenseitig wissen zu lassen, das der Andere den Messenger ebenfalls verwendet. So können sich Benutzer leichter finden und den Kontakt untereinander herstellen.

So kann der Anbieter zwar eine einfache Nutztung gewährleisten, hat aber auch alle Informationen darüber, mit wem wir in Kontakt stehen. Diese sog. Meta-Daten können dazu verwendet werden ein Benutzerprofil zu erzeugen welches einiges über den jeweiligen Benutzer verrät.
Folgende Daten gehören, unter anderen, zu den Meta-Daten, die durch die Messenger gesammelt werden:

  • Standort
  • Profilbild
  • Rechnungsdaten
  • Kontakte | Gruppen

Bei WhatsApp, welches seit 2014 zu Facebook gehört, bedeutet das auch, das die ausgeleiteten Meta-Daten mit den Daten auf Facebook abgeglichen werden könn(t)en. Dadurch könnte hier ein noch genaueres Profil erstellt werden.

Bei Telegram besteht ein sehr ähnliches Problem.
Zwar leitet dieser Messenger keine Daten aus, allerdings wird hier ebenfalls die vollständige Kontaktliste hochgeladen.
Diese Funktionalität lässt sich zwar abschalten, was dann allerdings dafür sorgt das man Kontakte manuell anschreiben muss bevor man sich über den Messenger finden bzw. „sehen“ kann. Dadurch ist der Messenger nicht mehr „trivial“ zu nutzten.

Außerdem besteht ein noch viel größeres Problem:
Der Chat ist nicht standartmäßig Ende-zu-Ende-Verschlüssselt.
Sprich; Der Provider (oder Angreifer) könn(t)en den gesamten Verlauf lesen, wenn Zugriff auf das Konto erlangt wird.
Dies gilt ebenfalls für Gruppen, nicht nur für den normalen Chat.
In den ABG’s wird zwar gesagt, das die Nachrichten nicht analysiert und ausgewertet werden (z.B für personalisierte Werbung), aber ABGs können geändert werden.
Um die Kommunikation über Telegram zu verschlüsseln müssen „Geheime Chats“ verwendet werden, was einen extra Aufwand darstellt.

3. Signal

Was nun macht Signal anders um ebenfalls den Komfort zu bieten und trotzdem den Datenschutz zu respektieren?

Chats sind Ende-zu-Ende-Verschlüsselt
In Signal ist es die Standard-Einstellung, dass die Chats Ende-zu-Ende-Verschlüsselt werden.

Kontakt-Synchronisation
Signal informiert ebenfalls darüber, wenn ein bekannter Kontakt nun ebenfalls den Dienst verwendet.
Dabei wird allerdings nicht das gesamte Telefonbuch im Klartext auf die Server von Signal übertragen (Was ja ein Datenschutzproblem darstellen würde) sondern die Nummern der Kontakte werden gehashed auf die Server übertragen.

Ein kurzer Exkurs:
Ein Hash ist eine einmalige Prüfsumme, die sich nicht ohne weiteres zurück rechnen lässt.
Hashes werden überall dort eingesetzt, wo man sensible Daten speichern, diese jedoch nicht in Klartext (also leserlich) haben möchte. Ein Beispiel für die Anwendung wäre zum Beispiel Benutzer-Passwörter auf einer Website. Wird die Datenbank mit den Passwörtern gehacked hat der Angreifer nicht direkt die Passwörter im Klartext und muss ggf. noch imensen Rechenaufwand betreiben um den Klartext zu erhalten.
Ein wenig Praxis:
Im folgenden wird der Text „P4ssw0r7“ in einen MD5-Hash umgerechnet, welches exemplarisch für ein Passwort steht.
MD5 wird zwar in der Praxis nicht mehr als sicher angesehen, reicht aber für die folgende Veranschaulichung.

motion@the-empty-space:~$ md5sum <<< P4ssw0r7
9ee340523584098721f32d671e20d987  - 

Der Original-Text „P4ssw0r7“ lässt sich nun nicht mehr erkennen oder (ohne weiteres) zurück rechnen.
Allerdings kann man jetzt das Passwort bei Eingabe in die Anmeldung wieder Hashen und dann die beiden Hashes vergleichen, wodurch ein sicheres Speichern und Abgleichen möglich wird.

Nach diesem Verfahren werden nun bei Signal die Hashes der Telefonnummern verglichen und geprüft, ob sich Kontakte kennen, ohne das die Rufnummern im Klartext übertragen werden müssen.

4. Persönliche Meinung

Trotz allem ist es natürlich schwer den Messenger (oder eher die Messenger) zu deinstallieren und nicht mehr zu nutzten.
Schlicht die Tatsache das manche Kontakte nicht wechseln möchten bindet einen an die einzellnen Dienste, da sonst oft der Verlust eines Kontaktes droht.

Aktuell habe ich tatsächlich noch alle 3 Dienste im Einsatz,
arbeite aber daran zumindest WhatsApp so bald wie möglich ablegen zu können.

Telegram betreibe ich in der restriktivsten Konfiguration. Sprich: Kontakte werden nicht automatisch synchronisiert. Es wird nicht geprüft welcher meiner Kontakte Telgeram benutzt und es gibt auch kein Announcement für neue Kontakte, dass ich über Telegram erreichbar bin. Telegram nutze ich ebenfalls lediglich weil Signal noch keine Funktionalitäten für Bots bietet. Wenn dies der Fall ist, werde ich auch Telegram wieder deinstallieren. Bitte lasst mich auf einem anderen Kanal wissen, das Ihr über Telegram mit mir in Kontakt treten wollt – Dann kann Ich eure Nummer hinzufügen und so den Kontakt trotzdem herstellen.

Die Option die ich aktuell als „den Messenger meiner Wahl“ bezeichnen würde ist Signal, aus den oben erläuterten Gründen.

Zum Abschluss noch ein paar Worte zu Threema:
So gut Threema auch sein möge, die Hürde „kostenpflichtig“ ist zu hoch. Nicht, das ich nicht bereit wäre das Geld für einen solchen Dienst auszugeben. Es geht dabei eher darum, andere Kontakte davon zu überzeugen Geld für einen solchen Messenger auszugeben wo es doch kostenlose Alternativen gibt. Das sorgt dafür, das die meisten nicht einsehen einen neuen Messenger einzusetzten und lieber bei dem aktuellen Dienst zu bleiben.

Über Kommentare zu dem Beitrag freue ich mich immer. Eure Meinung zu dem Thema und über die Messenger interessiert mich sehr! Gerne könnt ihr den Link auch weiter Teilen, falls ihr den Inhalt für sinnvoll haltet!

Stay save!
Motion

5. Weitere Informationen

Im Anschluss noch ein paar weiterführende Links die mehr Informationen zu dem Thema enthalten.

trojaner-info.de
inside-digital.de
heise.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.