Seite 3: Security-Checkliste Messenger

Inhaltsverzeichnis

WhatsApp, Signal, Threema, Matrix, Telegram oder auch der Facebook-Messenger: Die Liste populärer Messenger-Apps ist lang. "Sicher" sind sie angeblich alle, aber in Wahrheit gibt es erhebliche Unterschiede, auf die man ein Auge haben sollte.

Verschlüsselung an!

Grundsätzlich sollten Sie Daten nur Ende-zu-Ende-verschlüsselt austauschen (end-to-end encryption, E2EE), sodass niemand mitlesen kann, nicht einmal der Server, der die Nachrichten vermittelt. Auch wenn es seitens der EU immer wieder Bestrebungen gibt, hier Löcher zu bohren: Noch ist eine lückenlose Ende-zu-Ende-Verschlüsselung legal und bei Messengern erfreulich weit verbreitet. Die meisten Apps nutzen sie standardmäßig oder bieten sie zumindest als Option an. Viele Messenger bauen auf das von Signal eingeführte Double-Ratchet-Verfahren, das einige Vorzüge hat. Aber auch Apps mit anderen Verfahren bieten in aller Regel ausreichend Schutz.

Viel wichtiger als die technische Umsetzung ist, dass E2EE tatsächlich zum Einsatz kommt. Einige Apps, allen voran Telegram, nutzen E2EE nämlich nur, wenn Sie als Nutzer eine spezielle Art von Chat eröffnen (oft "geheime Unterhaltung" oder ähnlich genannt) oder sie beherrschen E2EE in manchen Arten von Chats nicht, etwa in Gruppenchats. Beispielsweise verschlüsselt der Facebook-Messenger zwar mehr und mehr Arten von Chats Ende-zu-Ende, aber noch nicht alle. Achten Sie also gut darauf, ob und unter welchen Umständen Ihr Messenger ordentlich verschlüsselt!

Eine Ausnahme von der Regel stellen übrigens "Kanäle" dar, wie es sie seit Langem bei Telegram und auch bei WhatsApp gibt. Diese sind in aller Regel nicht Ende-zu-Ende-verschlüsselt, weil das technisch schwierig und von zweifelhaftem Nutzen ist: Bei Tausenden oder sogar Hunderttausenden Chatteilnehmern sind Geheimnisse ohnehin kaum zu wahren.

Wer mithört

Viele Messenger bieten Web- oder Desktop-Clients zusätzlich zur App. Gerade am Arbeitsplatz ist das praktisch, dann muss man nicht ständig zum Handy greifen, wenn ein Kollege etwas schreibt. Bei den meisten Messengern lassen sich – einmal auf dem Rechner eingerichtet – dann sämtliche Konversationen bis auf Weiteres am Computer mitlesen. Die Messenger-Apps auf dem Smartphone zeigen daher (meist in den Einstellungen), welche Geräte verknüpft sind. Prüfen Sie diese Liste regelmäßig und löschen Sie, was Sie nicht mehr brauchen.

Backups richtig einstellen

Backups können essenziell sein, aber sie sind auch eine mögliche Schwachstelle. Überlegen Sie sich, von welchen Messengern und Chats Sie Backups brauchen und wofür. Manche Apps wie zum Beispiel Signal und WhatsApp legen automatisch oder auf Wunsch verschlüsselte Backups auf dem Smartphone an. Das ist gut, hilft aber nicht, falls das Smartphone selbst kaputtgeht; Sie müssen solche Backups regelmäßig auf ein anderes Gerät laden. Bei Backups in die Cloud, die manche Messenger anbieten, sollten Sie skeptisch sein: Prüfen Sie, ob die Daten dort so verschlüsselt sind, dass nur Sie Zugriff haben.

Viele Apps erlauben auch, Nachrichten nach einer einstellbaren Zeit automatisch zu löschen. "Selbstzerstörende", "selbstlöschende" oder "verschwindende" Nachrichten nennen die Messenger das. Vorsicht: Das Feature kann nicht zuverlässig verhindern, dass der Gesprächspartner die Nachricht dauerhaft speichert. Aber es eignet sich gut, um Chatverläufe kurz und Backups klein zu halten.

Account sichern

Viele Messenger binden Benutzerkonten an eine Handynummer. Das ist nicht unproblematisch, auch wenn es dafür gute Gründe gibt. Anders handhabt das beispielsweise der Messenger Threema, der auch ohne Telefonnummer auskommt. Bei Apps, die eine Nummer verlangen, wird sie meist per SMS bestätigt, was sich manipulieren lässt. Schlimmstenfalls können Dritte dadurch Konten übernehmen. Viele Messenger erlauben daher, den Registrierungsprozess mit einer zusätzlichen PIN abzusichern. Das Feature sollten Sie nutzen, bewahren Sie aber die PIN gut auf. Sonst werden Sie selber Probleme bekommen, wenn Sie eines Tages Ihr Handy austauschen.

Achten Sie außerdem darauf, Ihre Accounts bei einem Nummernwechsel umzuziehen und nicht unter der alten Nummer weiterzubetreiben. Die kann nämlich wieder vergeben werden. Falls der neue Besitzer denselben Messenger nutzen will, scheitert er entweder, weil Sie noch ein Konto mit der Nummer halten, oder er hat Erfolg – und sperrt Sie unbeabsichtigt aus Ihrem Account aus. (syt@ct.de)