Weblösungen am Puls der Zeit, innovativ und massgeschneidert.

#Blog

Intersim AG Mobile Apps Security

vor einem Monat

Heutzutage ist (fast) das komplette Leben digitalisiert. Die private Kommunikation wurde schnell vom In-stant Messenger WhatsApp übernommen. Die Texte, welche man dabei an Bekannte und Familie schickt, sind privat und sollten vom Anbieter dementsprechend mit einer hohen Sicherheit und Sorgfalt behandelt werden.

PATRICK PIGUET Trainee Software Engineering
Article Image

Messenger & Privatsphäre

Worum geht es?

Am Anfang der Zeit war das SMS. Mit dem Durchbruch von WhatsApp im Jahre 2009 wurden dieser Service jedoch mehr und mehr verdrängt. Seit 2014 ist WhatsApp Teil der Facebook Inc und stand dabei immer wieder in der Kritik.

In den letzten Jahren wurde der Eingriff in digitale Strukturen von verschiedenen Regierungen und Unternehmen auf der ganzen Welt verstärkt. Dabei entstanden teils intensive Diskussionen zwischen Befürwortern und Gegner dieser Massnahmen. Ich bekam aus meinem Umfeld oft folgenden Satz zu hören:

 

„… aber ich habe doch nichts zu verheimlichen.“

 

Damit äussert die gegenüberliegende Person vor allem ihr Unwissen in diesem Bereich und nach meinen Erfahrungen, enden die Diskussionen hier oft. Dabei wäre es genau an diesem Punkt wichtig, die Mitmenschen zu informieren:

 

„Doch das hast du, jeder hat etwas zu verheimlichen, man könnte es auch Privatsphäre nennen.“

 

Bei solchen Gesprächen sollte man dem Gegenüberliegenden erklären, was Metadaten sind und wieso diese sehr relevant sind, um Benutzerprofile erstellen zu können. Doch was sind Metadaten überhaupt?

 

Metadaten und deren Schutz

Metadaten, bzw. Metainformationen sind strukturierte Daten, welche Informationen über andere Ressourcen enthalten. Ein spezielles Merkmal der Metadaten ist, dass sie maschinell lesbar und auswertbar sind. Ein Beispiel für Metadaten an einem Buch wären folgende:

  • Autor
  • Titel
  • Anzahl der Seiten
  • Erscheinungsdatum
  • Auflage

 

Bei einem Instant Messenger Dienst können andere Metadaten gesammelt werden.

  • Name
  • Telefonnummer
  • Zuletzt online
  • Standort
  • Smartphone-Modell
  • Akkustand
  • Usw.

 

Einzeln sind diese nicht relevant. Fängt man jedoch an die Metadaten zu analysieren, kann man bereits mit einfacher Logik ein sehr aussagekräftiges Profil über dich erstellen.

 

Nehmen wir an, man würde alle 15 Minuten eine Standortabfrage an dein Smartphone machen. Man hätte am Ende eines Tages insgesamt 96 Standorteinträge in der Datenbank und die passende Zeit dazu. Daraus könnten z.B. bereits folgende Schlüsse gezogen werden:

 

  • Dort wo dein Smartphone über Nacht liegt, wohnst du wahrscheinlich
  • Wann du ungefähr aufstehst und aus dem Haus gehst
  • Bei welcher Firma, resp. an welchem Standort du angestellt bist und wie lange dein Arbeitstag ungefähr dauert
  • Wenn du nach dem Arbeiten noch auf den Vita Parcours gehst, bist du wahrscheinlich eher sportlich
  • Wann du wieder nach Hause kommst und ob du danach nochmals aus dem Haus gehst

 

Das war ein Beispiel für einen einzigen Tag. Wenn man dies aber über Tage, Wochen und Monate analysiert, kennt man nur anhand des Standortes und dem dazugehörenden Zeitstempel deinen Wohnort, Arbeitsplatz, weitere Tätigkeiten & Interessen, deine Gewohnheiten, wann und wo du einkaufst, in eine Therapie, in die Massage oder ins Fitnesscenter gehst, wann du Freunde und Bekannte triffst, wie oft und wie lange du Zuhause bist, usw.

 

Hast du bereits ein leicht komisches Gefühl im Bauch, ein paar Bedenken vielleicht? Es geht aber noch weiter.

 

Die richtig spannenden Auswertungen kommen erst wenn man nicht nur deinen Standort, sondern auch noch den, all deiner Freunde, Familie und Arbeitskolleginnen kennt.

 

Die Möglichkeiten sind praktisch grenzenlos. Je mehr Daten ein Anbieter hat und je besser dessen Auswertungen sind, desto genauer ist das Profil, welches über dich erstellt werden kann.

Doch wieso machen Firmen das?

 

Die kurze und einfache Antwort lautet: Profit!

Jede Firma will Ihr Zielpublikum kennen, das war schon immer so. Wenn du ein Auto kaufst, will der Verkäufer wissen, ob du eher Interesse an einem Porsche oder an einem Smart hast. Das findet dieser in Beratungsgesprächen heraus, oder er weiss bereits etwas über dich, da du seit vielen Jahren immer wieder in dieselbe Garage gehst.

 

So verhält es sich auch mit der personalisierten Werbung. Man möchte dir nur noch Dinge zeigen, welche dich wirklich interessieren, um dich so unter anderem zu Spontankäufen anzuregen. Ein anderes Ziel könnte sein, deine politischen Interessen zu kennen und dir nur noch dazu passende Berichte zu zeigen.

 

An diesem Punkt besteht die Gefahr der Manipulation. Dein Weltbild wird beeinflusst von dessen, was du tagtäglich hörst, siehst und liest. Wenn man dir nur noch Sachen zeigt, welche dich interessieren, wirst du stetig in deiner Meinung bestärkt.

Wie sollst du ein objektives Bild zu einer politischen Debatte haben, wenn du sowieso nur das mitbekommst was du sowieso bereits für richtig hälst?

 

Im Sinne eines objektiven Weltbildes und einer relativierten Ansicht zu bestehenden Diskussionen und Konflikten ist es also enorm wichtig, sich selbst vor solchem Einfluss zu schützen.

Deshalb sollte man sich besser zweimal überlegen, welche Daten man von sich Preis gibt und welchem Anbieter man vertraut.

 

Die neuste Aktualisierung der Datenschutzbestimmungen von WhatsApp hat für viel Aufsehen gesorgt. Es ist nicht definitiv geklärt, welche Daten WhatsApp mit Facebook teil, analysiert, auswertet und vermarktet. In einer allgemeinen Informationsseite von WhatsApp steht dazu nur folgendes: „Unter Umständen teilen wir Informationen über dich innerhalb unserer Unternehmensgruppe, um verschiedene Aktivitäten zu erleichtern, zu unterstützen und zu integrieren».

  • Welche Informationen werden geteilt?
  • Wer gehört alles zur Unternehmensgruppe?
  • Welche Aktivitäten sollen erleichtert werden?

All diese Fragen bleiben offen. Dazu kommt, dass Facebook in der Vergangenheit mehrfach negativ durch Datenskandale aufgefallen ist. Viele Menschen sind deswegen auf Telegram, Signal und Threema gewechselt. Doch sind diese Alternativen sicher? Und zu welchem sollte man wechseln?

 

Um dieser Frage nach zu gehen, vergleichen wir vier ausgewählte Dienste miteinander.

 

 

WhatsApp

Telegram

Threema

Signal

Keine Angabe von Rufnummer oder E-Mail nötig

X

X

X

Ende-zu-Ende-Verschlüsselung

X
Nicht standardmässig aktiviert /
In Gruppenchats nicht möglich

Alle Server werden vom Anbieter selbst betrieben. Kein Amazon AWS oder Google Cloud.

X

X

X

Nachrichten werden nach der Zustellung umgehend vom Server gelöscht.

X
Erstellt unverschlüsselte Chat-Backups auf Google-Cloud/iCloud

X

Ausnahme sind bereits Ende-zu-Ende verschlüsselte Einzelchats

Kontaktlisten und Benutzerprofile werden direkt auf den Endgeräten und nicht auf einem zentralen Server verwaltet.

X

X

Open Source. Der App-Quellcode ist öffentlich einsehbar.

X

Land, dessen Rechtsprechung der Dienst unterliegt.

USA *

n/a

Schweiz

USA *

* Signal, WhatsApp: Der CLOUD Act berechtigt US-Behörden auf Daten von US-amerikanischen IT-Dienstleistern zuzugreifen (selbst dann, wenn die Daten nicht in den USA gespeichert sind

Fazit

  • Man sieht sofort, wie schlecht WhatsApp in einem direkten Vergleich mit anderen Anbietern abschneidet.
  • Threema ist von der Optik eher unübersichtlich und für Nutzer ohne technisches Verständnis schwierig zu bedienen.
  • Signal ist einfach zu bedienen, unterliegt jedoch wie WhatsApp dem CLOUD Act.
  • Telegram stellt keine echte Alternative zu WhatsApp dar da zu diesem Dienst diverse Punkte entweder nicht bekannt oder mangelhaft sind.

 

Meine Empfehlungen gehen klar Richtung Threema und Signal.

Schlussendlich ist jeder Dienst, in Bezug auf Datenschutz, deutlich besser als WhatsApp.

Am besten machst du dir aber selbst ein Bild, indem du die verschiedenen Messenger einfach einmal ausprobierst.

Quellen:

https://www.whatsapp.com/about/

https://faq.whatsapp.com/general/security-and-privacy/the-facebook-companies/

https://de.wikipedia.org/wiki/Metadaten

https://threema.ch/de/messenger-vergleich