Profitorientierte Unternehmen, Geheimdienste, Hacker: Alle haben ein potenzielles Interesse an unseren Kommunikationsdaten. Verschiedene Tools versprechen Schutz davor – doch wer hält sein Versprechen? Und welche Programme lassen sich mit vernünftigem Aufwand und ohne Vorwissen benutzen?
Dazu gibt es einige Untersuchungen, wie die von Amnesty International kürzlich publizierte . Doch diese fokussiert nur auf einen technischen Aspekt, die sogenannte Ende-zu-Ende-Verschlüsselung. Und die « Secure Messaging Scorecard » der US-amerikanischen Electronic Frontier Foundation (EFF), die Messaging-Apps auf Sicherheitsaspekte untersucht, ist nicht mehr aktuell.
Die Digitale Gesellschaft Schweiz schafft nun Abhilfe: Sie untersucht sämtliche Kommunikationsmittel, von der Briefpost, dem Festnetztelefon und SMS über Whatsapp, dem Facebook Messenger und Skype bis hin zum Cryptophone. Im Fokus stehen auch Schweizer Produkte, etwa Threema, die iO-App der Swisscom oder Incamail der Schweizer Post.
Was taugt für mich und dich?
Anstoss gaben die vielen Anfragen, wie Geschäftsführer Erik Schönenberger erklärt: «Viele wollten wissen, was die Digitale Gesellschaft an Kommunikationsmitteln empfiehlt.» Das Ziel war also, einen Leitfaden zu schaffen, der sich explizit an die Alltagskommunikation von Nutzerinnen und Nutzer richtet.
Fünf Mitglieder der Digitalen Gesellschaft, alle mit einem Hintergrund in der Informatik oder der Informationssicherheit, haben dazu zehn Kategorien ausgearbeitet, die alle gleich gewichtet wurden. Die Benutzerfreundlichkeit ist eine davon, was sich auch in den Resultaten niederschlägt: Die Lösung der Schweizer Post, Incamail, ist nur im Mittelfeld. «Incamail hat einen anderen Ansatz als die Kriterien, nach denen die Digitale Gesellschaft geprüft hat – es ist für die Behördenkommunikation vorgesehen», wie Schönenberger erklärt. Deswegen zielt Incamail nicht auf den täglichen Gebrauch im Massenmarkt.
Qualität der E-Mail überrascht
Das sind die Ergebnisse in der Übersicht:
- Empfehlenswert : E-Mail mit Ende-zu-Ende-Verschlüsselung über GnuPG oder pEp , Jabber/XMPP mit OTR , Retroshare , Tox . Anmerkung: Die pEp-Foundation ist Mitglied der Digitalen Gesellschaft (E-Mail mit pEp).
- Bedingt empfehlenswert: Konventionelle E-Mail, Privasphere , ProtonMail , Threema , Signal , Wire , Mumble, Briefpost.
- Nicht empfehlenswert: Festnetztelefonie, Mobiltelefon, konventionelle SMS, Incamail , Whatsapp , Apples iMessage, Telegram , Viber , Swisscom iO , Facebook Messenger/Chat , Snapchat , Direktnachrichten (zum Beispiel in Instagram, Twitter usw.), Skype , Google Hangouts , Blackphone , Cryptophone .
Erik Schönenberger empfiehlt die mittlere Kategorie «Bedingt empfehlenswert» für die Alltagskommunikation: «Sie ist eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit». Wem es um sensiblere Kommunikation geht, etwa der zwischen einer Journalistin und ihren Quellen, soll etwas aus der «Empfehlenswert»-Gruppe wählen.
Besonders überraschend war für Schönenberger, dass die E-Mail trotz aller Kritik relativ gut abschneidet: «Das ist der Tatsache geschuldet, dass man durch die Wahl des Dienstanbieters auch die Metadatenspeicherung umgehen kann. Zudem wird immer mehr die Verschlüsselung auf dem Transportweg eingesetzt.»
Gerade deswegen ist es wichtig, sich bei der Wahl des E-Mail-Anbieters auch zu informieren. Dazu gehört, ob dieser Metadaten – also zum Beispiel, wer mit wem zu welcher Tageszeit E-Mails austauscht – speichert oder Transportverschlüsselung einsetzt, damit niemand den Inhalt einer E-Mail abgreifen kann.
Kein «Security Audit» bei der Schweizer Post
Was ebenfalls überrascht: Bei der Lösung der Schweizer Post, Incamail, fehlt ein so genannter Security Audit . Das ist eine umfassende Analyse der Schwachstellen eines IT-Systems, einer Organisation, oder in diesem Fall des Quellcodes eines Kommunikationstools.
Auf Anfrage erklärt Oliver Flüeler von der Schweizer Post, dass Incamail durchaus nach gängigen, standardisierten Audits geprüft werde. Für die Digitale Gesellschaft ist das aber nicht genug: «Die Ergebnisse sind nicht öffentlich einsehbar, insbesondere nicht der Softwarecode und die verwendete Verschlüsselung.» Zum Vergleich: Die Verschlüsselung von Threema wird in einem White Paper detailliert erklärt, die App von einer externen Firma geprüft .
Swisscom-App nicht empfehlenswert – Unternehmen weist Vorwürfe zurück
Ein weiteres Ergebnis überrascht: Die App «Swisscom iO», die seit 2013 erhältlich ist. Sie gehört zur «Nicht empfehlenswert»-Gruppe und erhält eine schlechte Bewertung. Bemängelt wird allerlei: Die Ende-zu-Ende-Verschlüsselung; es gibt keinen (öffentlich einsehbaren) Security Audit; die Identifikation innerhalb der App ist abhängig von äusseren Faktoren, etwa einer Telefonnummer; es findet eine Synchronisation mit dem Adressbuch statt; die App verwendet keinen offenen Standard, basiert auf einer zentralen Architektur und der Code ist nicht einsehbar.
Das Unternehmen erklärt auf Anfrage: «Die Swisscom kann die Beurteilungen im Test nicht nachvollziehen. Wir erachten die einzelnen Bewertungen teilweise als nicht korrekt. Die Beurteilung lässt wichtige Rahmenbedingungen aussen vor. So ist Swisscom als Telekommunikationsanbieter gemäss dem Fernmeldegesetz zum Beispiel zur Vorratsdatenspeicherung verpflichtet, zudem werden die Daten in der Schweiz gespeichert. Auch berücksichtigt der Test Optionen nicht, die dem Nutzer von der App geboten werden: so ist ein Adressbuchupload beispielsweise optional.»
Whatsapp ist nicht empfehlenswert
Das dürfte am meisten schmerzen: Whatsapp fällt in die Katgeorie «Nicht empfehlenswert». Das liegt vor allem daran, dass Whatsapp Metadaten speichert, die Identifikation an die Telefonnummer gekoppelt ist und die App auf das Adressbuch zugreifen kann. Auch nachhaltig ist Whatsapp nicht.
Wer also umsteigen möchte – und seinen Freundes- und Verwandtenkreis überzeugen kann – greift also zu einem Messenger wie Threema, Wire, Signal oder Tox. Oder schreibt wieder Briefe.
Korrektur vom 7.11.2016, 19:30 Uhr: Uns lag im Vorfeld eine frühere Version vor, die Snapchat irrtümlicherweise zu «bedingt empfehlenswert» zuordnete, in der publizierten Version der Digitalen Gesellschaft nicht. Wir haben den Fehler korrigiert. (siem)
SRF 4 News, 7.11.16, ab 10:00 Uhr; siem;grot;koua