Filter:
Resilient Business

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Artikel

16.04.2021

In Zeiten von Social Distancing hat die digitale Kommunikation über Messenger-Dienste stark zugenommen. Doch wie steht es um die Sicherheit der großen Messenger-Apps? Was ist ein „Muss“, um die Sicherheit der Nutzerdaten zu gewährleisten? Wir stellen fünf Messenger-Dienste auf dem Prüfstand.

Auf dem aktuellen Instant-Messenger-Markt gibt es rund 80 Anbieter. Das bekannteste und meistfrequentierte Beispiel ist WhatsApp. Der Messenger-Dienst unter dem Konzern Facebook wurde laut Statista 2019 von rund 79 Prozent der Deutschen genutzt. Weltweit kommt WhatsApp auf über zwei Milliarden Nutzer. Nach wie vor gibt es jedoch in Sachen Datenschutz viel Kritik zum an dem Messenger-Riesen.

Anfang des Jahres 2021 kündigte WhatsApp Änderungen in den Nutzungsbedingungen an – was durch weltweite Kritik vorerst verschoben wurde. Geplant ist unter anderem, dass gewisse Chat- und Nutzerdaten automatisch an Facebook weitergeleitet werden, um beispielsweise Werbung auf der Plattform zu optimieren. Der Haken: Wer die neuen Nutzungsbedingungen nicht bestätigt, wird den Dienst nicht mehr oder nur sehr eingeschränkt nutzen können. Dieser Schritt stieß auf harsche Kritik in sozialen Medien und öffnete den virtuellen Raum für Fragen zur geschäftlichen Nutzung von WhatsApp & Co.

Messenger im Unternehmenseinsatz

Schließlich sind heutzutage Instant Messenger zur privaten und geschäftlichen Kommunikation auf fast jedem Smartphone Standard. Jeden Tag werden große Mengen an Daten ganz bequem mit einem Fingerdruck über eine App versendet. Doch was verbirgt sich eigentlich hinter den Apps? Wie wird die Sicherheit meiner Daten gewährleistet? Und wer hat auf die sensiblen und persönlichen Daten Zugriff?

Aus Sicht der Informationssicherheit gibt es viele Punkte, auf die Privatpersonen und Unternehmen achten sollten, damit sensible persönliche und geschäftliche Daten nicht in die falschen Hände geraten. Was einmal versendet, gepostet oder öffentlich zugänglich gemacht wird, ist fast schon verloren und für jeden einsehbar. Das ist im B2B-Bereich, speziell aber in der internen Kommunikation mit oft sensibelsten Daten wichtig. Cyberkriminelle wittern in den Kommunikationsdiensten große Beute.

Einfallstor für Social Engineering

Das bestätigt auch das Bundesamt für Sicherheit in der Informationssicherheit (BSI). 2020 seien Social-Engineering-Attacken mit Corona-Bezug auch auf Messenger-Dienste massiv gestiegen. In Zeiten von Social Distancing und Homeoffice bemerke man, „wie flexibel die Online-Kriminalität auf neue Themen und Gegebenheiten reagiert und diese für ihre kriminellen Zwecke ausnutzt“, so BSI-Präsident Arne Schönbohm.

Geschäftlicher oder privater Schaden droht in großem Umfang. Die Frage ist nicht, ob ich getroffen werde, sondern wann. Wenn Attacken folgen, sollte schnell, automatisch oder manuell gelöscht werden können. Doch bleiben Informationen auf den Servern der Anbieter gespeichert? Können WhatsApp & Co. oder sogar eine nicht autorisierte Person darauf zugreifen?

Das Bild zeigt eine grafische Darstellung eines Smartphones mit fünf Fragen, die sich auf die Sicherheitsaspekte von App-Messenger-Diensten beziehen. Die Fragen sind in farbigen Blasen dargestellt, die von grün (oben) nach gelb und rot (unten) verlaufen. Hier sind die Details: ### Fragen: 1. **Grüne Blase:** - **Frage:** "Was ist aus unserer Sicht ein 'Muss' für einen App-Messenger-Dienst?" 2. **Grüne Blase:** - **Frage:** "Welche technischen Sicherheitsbestimmungen müssen zwingend vorhanden sein?" 3. **Gelbe Blase:** - **Frage:** "Welche Sicherheitsbestimmungen müssen für den privaten Bereich gegeben sein?" 4. **Gelbe Blase:** - **Frage:** "Ist der Instant Messenger DSGVO-konform? Werden Nutzerdaten gesammelt und genutzt?" 5. **Rote Blase:** - **Frage:** "Welche Daten werden von dem App-Messenger-Dienst gesammelt und welche Daten werden an Dritte/Behörden weitergegeben?" ### Zusammenfassung: - Die Fragen decken verschiedene Aspekte der Sicherheit und Datenschutzanforderungen für App-Messenger-Dienste ab. - Die erste Frage bezieht sich auf die grundlegenden Anforderungen, die ein Messenger-Dienst erfüllen sollte. - Die zweite Frage fokussiert sich auf die technischen Sicherheitsbestimmungen. - Die dritte Frage behandelt die Sicherheitsanforderungen für den privaten Bereich. - Die vierte Frage fragt nach der DSGVO-Konformität und der Nutzung von Nutzerdaten. - Die fünfte Frage untersucht, welche Daten gesammelt und an Dritte weitergegeben werden. Diese Darstellung hilft dabei, die wichtigsten Sicherheits- und Datenschutzfragen zu identifizieren, die bei der Bewertung von App-Messenger-Diensten berücksichtigt werden sollten.

(Quelle: metafinanz)

Hard Facts: Was ist ein „Muss“ für Messenger-Dienste?

In erster Linie müssen Instant-Messenger-Dienste den Fokus auf Sicherheit und Privatsphäre legen. Der Schutz von persönlichen Informationen sollte für sie die zentrale Rolle spielen.

Folgende Standards sind wichtig:

  • Fokus auf Sicherheit und Schutz der Privatsphäre
  • Durchgängige Ende-zu-Ende-Verschlüsselung
  • Höchstmaß an Metadaten-Sparsamkeit
  • Keine Verwendung von Nutzerdaten zu Werbezwecken
  • Volle Transparenz und Offenheit des Quellcodes
  • Anonyme Nutzung, sodass kein Konto erforderlich ist
  • Keine Speicherung von Daten auf den Servern
  • Gespeicherte Chats und Medien auf dem Handy müssen stark verschlüsselt sein
  • Schutz vor dem Abhören der Verbindung zwischen App und Server
  • Sämtliche Verschlüsselung und Entschlüsselung erfolgen direkt auf dem Gerät
  • DSGVO-Konformität
  • Standort, letzte Nutzung, Nachrichten gelesen etc. muss eigenständig einstellbar sein
  • Es sollte kein Adressbuch-Upload nötig sein
  • Kein Tracking von Nutzenden mit Hilfe zusätzlicher Softwareprogramme
  • Unabhängiges Audit zur Überprüfung von Sicherheitslücken der Instant-Messenger- Software
  • Verwendung einer nachvollziehbaren Kryptografie

Messenger-Dienste unter der Lupe

In dieser Tabelle zeigen wir, wie fünf Instant-Messenger zu diversen Sicherheitsaspekten aufgestellt sind:

Das Bild zeigt eine Tabelle mit dem Titel "Überblick der Sicherheitsaspekte". Die Tabelle vergleicht verschiedene Messaging-Apps hinsichtlich ihrer Sicherheitsmerkmale. Die Apps, die verglichen werden, sind Signal, Telegram, Threema, iMessage und WhatsApp. Hier sind die Details: ### Sicherheitsaspekte: 1. **Ende-zu-Ende-Verschlüsselung (E2EE)** 2. **E2EE auch für Gruppen-Chats** 3. **E2EE auch für Anrufe** 4. **E2EE auch für Videoanrufe** 5. **E2EE auch für Dateien** 6. **E2EE auch für Statusmeldungen** 7. **E2EE auch für Metadaten** 8. **Open Source** 9. **Verifizierung der Kontakte** 10. **Selbstzerstörende Nachrichten** 11. **Zwei-Faktor-Authentifizierung (2FA)** 12. **Sicherheits-Benachrichtigungen bei Schlüsseländerungen** 13. **Sicherheits-Audits** 14. **Serverstandort** ### Apps: - **Signal** - **Telegram** - **Threema** - **iMessage** - **WhatsApp** ### Symbole: - **Blitzsymbol:** Kennzeichnet das Vorhandensein eines Sicherheitsmerkmals. - **Schlosssymbol:** Kennzeichnet das Vorhandensein eines Sicherheitsmerkmals. - **Kreuzsymbol:** Kennzeichnet das Fehlen eines Sicherheitsmerkmals. - **Herzsymbol:** Kennzeichnet das Vorhandensein eines Sicherheitsmerkmals. - **Weltkugelsymbol:** Kennzeichnet den Serverstandort. ### Zusammenfassung: - **Signal:** Hat die meisten Sicherheitsmerkmale, einschließlich E2EE für alle Kommunikationsformen, Open Source, Verifizierung der Kontakte, selbstzerstörende Nachrichten, 2FA, Sicherheits-Benachrichtigungen und Sicherheits-Audits. Serverstandort: USA. - **Telegram:** Hat einige Sicherheitsmerkmale, aber nicht alle. E2EE ist nicht standardmäßig aktiviert. Serverstandort: UAE. - **Threema:** Hat viele Sicherheitsmerkmale, einschließlich E2EE für alle Kommunikationsformen, Open Source, Verifizierung der Kontakte, selbstzerstörende Nachrichten, 2FA, Sicherheits-Benachrichtigungen und Sicherheits-Audits. Serverstandort: Schweiz. - **iMessage:** Hat viele Sicherheitsmerkmale, einschließlich E2EE für alle Kommunikationsformen, Verifizierung der Kontakte, selbstzerstörende Nachrichten, 2FA und Sicherheits-Benachrichtigungen. Serverstandort: USA. - **WhatsApp:** Hat viele Sicherheitsmerkmale, einschließlich E2EE für alle Kommunikationsformen, Verifizierung der Kontakte, selbstzerstörende Nachrichten, 2FA, Sicherheits-Benachrichtigungen und Sicherheits-Audits. Serverstandort: USA. Diese Tabelle bietet einen umfassenden Überblick über die Sicherheitsmerkmale verschiedener Messaging-Apps und hilft den Nutzern, eine informierte Entscheidung über die sicherste App für ihre Bedürfnisse zu treffen.

(Quelle: metafinanz)

Fazit

Wer all seine Kontakte in nur einem Messenger-Dienst haben möchte, kommt um die Nutzung des Marktführers nicht herum. Privatpersonen sollten sich wenigstens der Sicherheitslücken bewusst sein. Unternehmen sollten sehr genau abwägen, ob sie dem Wunsch vieler Mitarbeitenden entsprechen und WhatsApp auf dienstlich genutzten Smartphones zulassen. Wer in der digitalen Welt anonym bleiben und als Unternehmen datensicher agieren möchte, wird um WhatsApp einen Bogen machen, wie unser Sicherheits-Check zeigt.

Quelle Titelbild: iStock/theasis

Verwandte Einträge

Eine Bergsteigerin geht über eine grüne Wiese. Im Hintergrund sind teilweise mit Schnee bedeckte Berge zu sehen.

DORA-Umsetzung – wo liegen die größten Herausforderungen?

Der Digital Operational Resilience Act (DORA) für Finanzdienstleister und Versicherer kommt. Viele Mittelständler werden die Anforderungen zum Stichtag im Januar 2025 jedoch nicht vollständig umg...

Mehr erfahren
Das Bild zeigt eine Luftaufnahme von Segelbooten, die über das glitzernde, wellige Meer gleiten.

DORA-Umsetzung – wie weit ist der Mittelstand?

Bis zum 17. Januar 2025 müssen Finanzdienstleister, Banken und Versicherer den Digital Operational Resilience Act (DORA) umgesetzt haben und ihre Cyberrisiken entsprechend managen. In den meisten U...

Mehr erfahren
Freunde, die Paddle-Tennis auf dem blauen Außenplatz spielen

DORA und TLPT: Digitale Resilienz durch simulierte Cyberangriffe

Die digitale betriebliche Resilienz muss steigen, nicht nur wegen des Digital Operational Resilience Act (DORA): Regelmäßige Threat-led Penetration Tests (TLPT) sollen helfen, Finanzinstitute besser...

Mehr erfahren
Auf dem Bild sind eine Frau und zwei Männer zu sehen, die auf Kisten sitzen und sich unterhalten. Die Atmosphäre ist locker.

Business Continuity Management: Strategien gegen den Fachkräftemangel

Der Fachkräftemangel hat das Business Continuity Management (BCM) erreicht und Unternehmen kämpfen mit unbesetzten Stellen und hohen Gehaltsvorstellungen. Statt auf das Abwerben fertiger Fachkräfte...

Mehr erfahren
Person mit gestreiftem Oberteil ist von hinten zu sehen, wie sie einen gelben, halbgeöffneten Schirm über ihren Kopf hält.

BCM-Trainingshandbuch für den Ernstfall

Krisenlagen sind momentan präsenter denn je: Cyber-Attacken, Kriege und angespannte Lieferketten erfordern dringend ein Umdenken im Business Continuity Management (BCM). Konkret bedeutet das: Unterne...

Mehr erfahren
Eine Frau mit schwarzem Oberteil schaut in die Kamera und lächelt. Ihren Arm hat sie auf ein grünes Sofa angelehnt.

Was die NIS2-Richtlinie für die Geschäftsführung bedeutet

Vor allem die Geschäftsleitung ist von der kommenden NIS2-Richtlinie zur Netzwerk- und Informationssicherheit betroffen. Sie muss dafür Sorge tragen, dass die Vorgaben eingehalten werden. Was sich e...

Mehr erfahren