Mit dem neuen Nachrichtendienstgesetz (NDG) und der drohenden Weitergabe der Nutzerdaten von WhatsApp an Facebook ist die Wahl des «richtigen» Kommunikationsmittels wichtiger als je zuvor. Nicht nur Geheimdienste, auch Kriminelle haben ein Interesse mitzulauschen – und tun dies auch.
Während bei Alltagsgesprächen jeder selbst wissen muss, wie viel ihm abhörsichere Kommunikation wert ist, sind bei vertraulichen Informationen (in Unternehmen) sichere Kommunikationsmittel Pflicht.
Auch Schweizer Unternehmen dämmert's langsam, dass Interna oder gar Firmengeheimnisse in Zeiten der (staatlich unterstützten) Online-Spionage nicht über unverschlüsselte E-Mails oder Chat-Apps diskutiert werden sollten.
Die Digitale Gesellschaft Schweiz hat in einem umfassenden Vergleichstest gängige und weniger bekannte Chat-Apps und E-Mail-Programme auf Sicherheit und Nachhaltigkeit geprüft und mit herkömmlichen Diensten wie SMS, Briefpost oder Fax verglichen. Nebst WhatsApp, Snapchat oder Apples iMessage wurden auch Schweizer Chat-Apps wie Threema oder Swisscoms iO-Messenger unter die Lupe genommen.
Alle getesteten Apps, Programme und Verschlüsselungs-Methoden wurden in zehn Kategorien bewertet (siehe Übersicht am Ende des Artikels).
Sehr gut schneiden ab:
Hinweis: Die pEp-Foundation ist Mitglied der Digitalen Gesellschaft.
Gut schneiden ab:
Nicht empfehlenswert sind:
Wer Vertrauliches mitteilt, sollte einen Kommunikations-Dienst aus der ersten, sichersten Kategorie wählen. Dazu zählen mit GnuPG oder pEp verschlüsselte E-Mails. Bei den Chat-Programmen überzeugt Jabber/XMPP mit OTR. Leider sei hier die Benutzerfreundlichkeit noch vergleichsweise schlecht.
Die Digitale Gesellschaft empfiehlt für die Kommunikation im Alltag die mittlere Kategorie «Gute Sicherheit». Dazu gehören die Schweizer Messenger-App Threema sowie die altbekannte Briefpost und E-Mail. Diese Kommunikationsmittel gewährten eine gute Balance zwischen Sicherheit, Privatsphäre und Benutzerfreundlichkeit. Bei der Briefpost etwa wird in der Regel nicht gespeichert, wer, wann mit wem kommuniziert und natürlich erfolgt anders als bei WhatsApp auch kein Zugriff auf das Adressbuch bzw. die Kontakte.
Für vertrauliche Nachrichten nicht zu empfehlen sind Festnetz- und Mobilfunktelefonie sowie SMS-Nachrichten. Schlechte Verschlüsselung und die Vorratsdatenspeicherung (Swisscom, Sunrise und Co. speichern wer, wann, wo mit wem telefoniert oder chattet) führen zu einem ungenügenden Resultat.
Durchs Band schlecht beurteilt werden die Chat-Apps bekannter Anbieter wie Apple, Microsoft, Facebook, Google oder Swisscom. Deren Apps verschlüsseln zwar die Nachrichten, sind aber laut Digitaler Gesellschaft nicht nachhaltig. Das heisst, sie nutzen keine offenen Standards oder Open Source Software. Apps wie iMessage, WhatsApp, Facebook Messenger und Swissoms iO können daher von unabhängigen Sicherheitsexperten nicht vollständig eingesehen und geprüft werden.
WhatsApp und iMessage fallen trotz Ende-zu-Ende-Verschlüsselung (die Nachrichten können nur von den beteiligten Kommunikationspartnern gelesen werden, nicht aber von WhatsApp oder Apple selbst) in der Schlussbewertung durch.
Dies liegt vor allem daran, dass iMessage und der zu Facebook gehörende Messenger Metadaten speichern (wer, wann mit wem kommuniziert). WhatsApp greift zudem auf das Adressbuch zu, während die Verschlüsselung von iMessage von unabhängigen Experten nicht geprüft werden kann.
Auch Skype und Google Hangouts überzeugen nicht: «Für Video-Telefonie können Skype und Hangouts nicht empfohlen werden», schreiben die Schweizer IT-Sicherheitsexperten der Digitalen Gesellschaft. «Hingegen stellen die beiden Open-Source-Projekte Retroshare und Tox sehr gute wenngleich noch wenig verbreitete Alternativen dar.»
E-Mail galt lange als unsicher, da unverschlüsselte E-Mails einfach mitgelesen werden können. Inzwischen wird die elektronische Post von den Mail-Anbietern immer öfter verschlüsselt übertragen, was das verpönte Kommunikationsmittel auch für sensible Inhalte attraktiver macht.
«Mit zusätzlichen Erweiterungen, wie GnuPG oder pEp, kann die Sicherheit der E-Mail weiter verbessert werden», schreibt die Digitale Gesellschaft. Dies gehe im Fall von GnuPG aber auf Kosten einer weniger benutzerfreundlichen Bedienung.
Wichtig: Durch die sorgfältige Wahl des Mail-Anbieters lässt sich auch die Speicherung verräterischer Metadaten verhindern. Empfohlen werden zum Beispiel posteo.de oder mailbox.org. Schweizer Provider hingegen sind gesetzlich verpflichtet, von allen Nutzern auf Vorrat zu speichern, wann sie mit wem kommuniziert haben (siehe unten stehende Infobox).
Mit solchen Metadaten können Bewegungs-, Beziehungs- und Persönlichkeitsprofile aller Handy-Nutzer erstellt werden, wie in diesem interaktiven Beispiel erklärt wird.
Fünf Mitglieder der Digitalen Gesellschaft Schweiz, alle mit einem Hintergrund in der Informatik oder der Informationssicherheit, haben die zehn getesteten Kategorien ausgearbeitet.
Für den Vergleich wurden folgende Kriterien herangezogen.
Sicherheit und Privatsphäre:
Nachhaltigkeit:
Sonstiges:
Eine detailliertere Beschreibung des Testverfahrens und der gewählten Kriterien findet sich am Ende dieses Artikels.
Weiterführende Informationen zum Thema sowie eine Übersicht mit sicheren E-Mail-Anbietern findest du auf der Webseite privacytutor.de.