Menü
Security

Checkliste beleuchtet Sicherheit von Messengern

Die Auswahl an Messenger-Programmen ist groß, aber welchen kann man wirklich vertrauen? Die EFF hat plattformübergreifend 39 Programme untersucht und präsentiert ihre Ergebnisse übersichtlich in ihrer Secure Messaging Scorecard.

Von
vorlesen Drucken Kommentare lesen 77 Beiträge
Checkliste beleuchte Sicherheit von Messengern

Die Secure Messaging Scorecard der Electronic Frontier Foundation (EFF) liefert einen plattformübergreifenden Überblick über die Sicherheitseigenschaften von Messaging-Apps. So erfährt man leicht, ob ein Messenger die Nachrichten grundsätzlich verschlüsselt überträgt und ob er Ende-zu-Ende-Verschlüsselung einsetzt – also sichergestellt ist, dass nur der legitime Empfänger die Nachrichten wieder entschlüsseln kann.

Zudem erfährt man, welche Kandidaten Perfect Forward Secrecy bieten. Dies gewährleistet, dass die Nachrichten auch in Zukunft nicht von Dritten entschlüsselt werden können, wenn der verschlüsselte Datenverkehr aufgezeichnet wurde und der private Krypto-Schlüssel eines Gesprächsteilnehmers zu einem späteren Zeitpunkt kompromittiert wird.

Nicht weniger wichtig ist der Punkt, ob die kryptografischen Verfahren ausreichend dokumentiert werden und ob der Quellcode zwecks Überprüfung öffentlich einsehbar ist. Last but not least erfährt man, ob der Code von einer unabhängigen Instanz geprüft wurde – unabhängig davon, ob es nun eine Open-Source-Anwendungen ist oder nicht. Die EFF gibt an, die Angaben in der Scorecard auch überprüft zu haben, macht zur genauen Vorgehensweise jedoch keine Angaben.

Von den 39 gelisteten Messengern können immerhin 6 in allen Kategorien punkten: Signal und RedPhone, TextSecure, ChatSecure mit dem Orbot-Plugin, Silent Text, Silent Phone, sowie CryptoCat. In letzteren hatten Forscher mehrfach signifikante Probleme entdeckt, die inzwischen anscheinend jedoch behoben wurden. Apples Dienste iMessage (Nachrichten) und FaceTime erfüllen immerhin fünf der sieben Kriterien. Die verbreitetsten Messenger wie WhatsApp, Facebook Messenger und Google Hangouts kommen bei der EFF erwartungsgemäß schlecht weg.

Erst kürzlich haben vier Forscher der Ruhr Uni Bochum den Messenger TextSecure en Detail auf seine Sicherheit untersucht (PDF). Sie stießen dabei zwar auf eine Angriffsmöglichkeit, beschreiben jedoch auch, wie sich diese recht einfach beseitigen ließe. Wird diese Verbesserung umgesetzt, liefere TextSecure Verschlüsselung sehr hoher Qualität, lautet ihr Fazit. Vergleichbare Untersuchungen für andere Messenger sind rar. Für Apps wie Threema, Surespot und Slient Circles SCIMP gibt es keine öffentlichen Analysen.

Siehe hierzu auch:

(rei)