- Anzeigen -


Sicherheit und Datenschutz


Test - WhatsApp unter der Lupe: Modern verschlüsselnder Messenger mit Datenschutzproblemen
Experten kritisieren den nicht offen liegende Quellcode, so dass Nutzer nie ganz sicher sein können, ob der Anbieter ihnen nicht doch eine manipulierte App unterschiebt, die die Verschlüsselung untergräbt

- Anzeigen -





Von der NSA für die Hosentasche zu einem hochmodern verschlüsselnden Messenger: So würde Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group, WhatsApp heute bezeichnen: "Seit 2014 hat sich WhatsApp deutlich zum Positiven gewandelt. Mit Einführung einer belastbaren und plattformübergreifenden Ende-zu-Ende Verschlüsselung sämtlicher Inhalte inklusive Multimediadateien und Anrufe hat der Messenger einen riesigen Schritt in Richtung Privatsphäre getan." Noch vor zwei Jahren zeigte sich Heutger entsetzt über den Messenger-Dienst, der mit RC4 einen schwachen Algorithmus und denselben Schlüssel, Initialisierungsvektor sowie HMAC-Schlüssel sowohl für ein- als auch ausgehende Nachrichten nutzte.

Das Fuldaer Unternehmen mit Schwerpunkt auf der IT-Sicherheit hat sich die Facebook-Tochter nun noch einmal genauer angesehen. Das Fazit: Neben der umfassenden Ende-zu-Ende-Verschlüsselung hat sich auch ergeben, dass die App nun für alle kostenfrei ist und dass eine Desktop-Version für Windows und Mac existiert. "Hier hat sich also einiges getan. Dennoch bleibt noch Luft nach oben, insbesondere, was Sicherheit und Datenschutz betrifft", so Christian Heutger. Denn nach wie vor sammelt WhatsApps Server Metadaten. Ein reines WhatsApp-Problem ist dies freilich nicht, denn alle modernen und ansonsten sicheren Kommunikationsprodukte kennen dieses technisch schwer lösbare Problem. Deutlich schwergewichtiger wiegt für den Experten der nicht offen liegende Quellcode, so dass Nutzer nie ganz sicher sein können, ob der Anbieter ihnen nicht doch eine manipulierte App unterschiebt, die die Verschlüsselung untergräbt.

Dass obendrein eine zweite Sicherheitsfunktion, nämlich die Sicherheitsnummer, nicht per Default aktiviert ist und die Mobilfunknummern aus dem Adressbuch des Mobiltelefons auf US-Servern landen, ist dem Experten ein Dorn im Auge. Gravierend ist auch eine neu entdeckte Sicherheitslücke, nach der Datendiebe lediglich Zugang zum iPhone oder zu einem nicht verschlüsselten Backup benötigen, um Chatinhalte auszulesen. Übrigens: Noch immer stehen AGB und Datenschutzrichtlinien nur in englischer Sprache zur Verfügung und nach wie vor gibt WhatsApp kein Impressum auf der Site an.

Kritisch sieht Heutger auch etliche Zugriffsberechtigungen, die der Messenger-Dienst fordert: "Viele Berechtigung werden zwar benötigt, um die App vollumfänglich nutzen zu können. Dennoch sollten Anwender sich immer auch fragen, ob sie wirklich alle Zugriffe erlauben möchten. Die Berechtigung zum Nachrichtenempfang und -versand beispielsweise ist notwendig, damit die Mobilfunknummer verifiziert werden kann und sich der Nutzer mit seiner Nummer anmelden kann. Diese Berechtigung führt aber dahin, dass WhatsApp auch alle empfangenen SMS mitlesen könnte. Warum WhatsApp auch SMS versenden möchte, ist mir ein Rätsel."

Ähnlich verhält es sich mit der Berechtigung auf Netzwerke & WLAN zuzugreifen. Diese ist zwar unabdingbar, um Internet nutzen zu können. Warum aber WhatsApp das WLAN ein- und ausschalten möchte, ist unklar. Auch erhöhen Berechtigungen rund um personenbezogene Daten wie Telefonnummern oder -status zwar den Komfort ungemein, sind aus datenschutzrechtlicher Sicht jedoch zweifelhaft. "Bei anderen Messengern mag es schwieriger sein, Kontakte hinzuzufügen, jedoch lassen diese die Kontakte des Nutzers in Ruhe", gibt Christian Heutger zu bedenken. Auch nur in Teilen sinnvoll erachtet er die Berechtigung "Informationen zu Ihren Apps": "Dass sich WhatsApp beim Start selbstständig ausführt, ist verständlich, um Nachrichten nicht erst beim Starten der App zu erhalten. Warum der Messenger jedoch aktuelle oder kürzlich ausgeführte Apps abrufen können möchte, ist mir schleierhaft. Sicher würde WhatsApp auch ohne die Berechtigung funktionieren, die es theoretisch erlaubt, mit Daten zum Nutzungsverhalten gekoppelt zu werden."

Wer seine Daten ungern US-Servern mit Facebook im Hintergrund anvertraut, für den lohnt sich nach Einschätzung der PSW Group der Schweizer Messenger-Dienst Threema: "Threema hat sich weiter entwickelt und ist neben iOS und Android längst auch in einer Windows Phone-Version erhältlich. Optik und Bedienbarkeit lassen keine Wünsche offen und die saubere, klare Datenschutzerklärung des Schweizers darf gerne als Vorbild angesehen werden", informiert Christian Heutger.

Zwar geht den Schweizer Entwicklern die Sicherheit und Privatsphäre seiner User vor, was sich zulasten eines Funktionsumfanges, wie man ihn beispielsweise beim Spaßmessenger WeChat kennt, auswirkt. Aber mit seinem Abstimmungstool und der Option, sämtliche Medien zu senden, hat Threema deutlich aufgeholt. "Wenn Threema beizeiten noch bei der Anruffunktion nachjustieren könnte, vielleicht mit einer gut abgesicherten Alternative ohne Verknüpfung von Threema-ID und Mobilfunknummer, würden sich sicher noch deutlich mehr Nutzer als bisher für den Messenger begeistern können", schätzt Christian Heutger. Übrigens: Dem großen Kritikpunkt des nicht veröffentlichten Quellcodes ist Threema endlich durch ein externes Audit begegnet. Somit dürften die Gerüchte um etwaige Hintertüren oder Fehlimplementierungen nun ein Ende haben. (PSW Group: ra)

eingetragen: 26.09.16
Home & Newsletterlauf: 18.10.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Tests

  • Familie vor Online-Bedrohungen schützen

    "Hacker würden mit oder ohne Security-Lösungen Wege ins System finden" bemerkte Brian Dye, seines Zeichens Executive Vice President bei McAfee, schon vor einigen Jahren. Nun setzte Cybersecurity-Experte John McAfee mit seiner Aussage, jeder Router, der in den USA zum Einsatz kommt, sei kompromittiert, noch einen oben drauf. Seiner Meinung nach gelänge es Hackern, WLAN-Verbindungen der Geräte zu verwenden, um ihre Besitzer auszuspionieren. Diese Bemerkung veranlasste die IT-Sicherheitsexperten der PSW Group dazu, sich das Sicherheitspaket "Total Protection 2017" des Herstellers genauer anzusehen. Ob McAfees AV-Suite es schafft, die ganze Familie vor Online-Bedrohungen zu schützen und jedes Gerät gegen Angriffe abzusichern?

  • Guter Selbstschutz der AV-Lösung

    Wenn es um Virenschutz geht, ist Kaspersky Lab einer der Marktführer in Europa. Mit ihrer Antiviren-Suite "Kaspersky Total Security 2017" verspricht der Entwickler die Privatsphäre, alle persönlichen Daten sowie Finanzen der ganzen Familie auf jeder Plattform zu schützen. Nun haben sich die IT-Sicherheitsexperten der PSW Group die Antiviren-Lösung in einem Test genauer angesehen - und kommen zu gemischten Ergebnissen. "Kaspersky wartet mit guten und umfangreichen Features auf, dennoch gibt es eine wesentliche Einschränkung: Nicht jedes Feature existiert für alle Systeme; vielfach greifen Schutzfunktionen lediglich auf Mac und PC. Damit erweist sich die Lösung leider nicht als echte Multiplattform-Suite, wie es der Hersteller verspricht. Auf 64-Bit-Systemen gibt es sogar noch einige weitere Funktionseinschränkungen, auf die Kaspersky aber immerhin auf seinen Produktseiten hinweist", sagt Christian Heutger, Geschäftsführer der PSW Group.

  • Lob auch für die Botnet-Erkennung

    "Antivirus ist keinesfalls tot, jedoch müssen die Hersteller von AV-Suiten umdenken", ist Christian Heutger, Geschäftsführer der PSW Group, überzeugt. Er bezieht sich damit auf die Meinung von Brian Dye, Executive Vice President bei McAfee, dass kommerzielle Antiviren-Lösungen tot seien. Um seine Überzeugung zu untermauern, hat Christian Heutger gemeinsam mit seinem Team einige Virenscanner, darunter das Multi-Device Security Pack vom Hersteller Eset einem Test unterzogen. Immerhin verspricht der Entwickler idealen Rundum-Schutz für alle Geräte.

  • Sicherheitsparameter stimmen

    Beim kostenpflichtigen E-Mail Dienst der Heinlein Support GmbH steht Privatsphäre ganz oben und Datenschutz ist das Steckenpferd des Service. Grund genug für die IT-Sicherheitsexperten der PSW Group, mailbox.org in einem Test unter die Lupe zu nehmen. "Die Verschlüsselung - und damit die Sicherheit - ist vom Login bis zum Backend ausgezeichnet. mailbox.org-Kunden greifen ausschließlich verschlüsselt auf den gesamten Service zu. Für die Verschlüsselung werden zudem nur aktuelle Technologien eingesetzt: Seit Januar 2017 ist das TLS in der Version 1.2; die Versionen 1.0 und 1.1 werden von mailbox.org nicht mehr verwendet. TLS 1.2 gibt es nur mit PFS, jedoch keinesfalls mit SHA-1 als Hash-Algorithmus", lobt Christian Heutger, Geschäftsführer der PSW Group.

  • Großer Umfang an Registrierungsdaten

    Nach Angaben von Convios Consulting sind für den privaten E-Mail-Verkehr GMX und Web.de mit zusammen über 50 Prozent Marktanteil bei den privaten Primär-Konten am populärsten. Die PSW Group hat sich die beiden kostenlosen Freemail-Dienste der 1&1 Mail & Media GmbH genauer angesehen - und kann die hohe Beliebtheit nicht völlig nachvollziehen. "Schon von Beginn an zeigen sich Web.de und GMX aufgrund des ständigen Weiterklickens von Werbung, ehe man nach der Registrierung zum Postfach kommt, anstrengend. Auch das Durchlassen unsicherer Passwörter, die Verwendung unsicherer SHA-1-Zertifikate und ein recht großer Umfang an Registrierungsdaten stört", so Christian Heutger, Geschäftsführer der PSW Group, und sagt weiter: "Pflichtnewsletter, die nicht abbestellt werden können, sind leider genauso lästig wie die Tatsache, dass bei beiden Diensten eine umfassende Seitenverschlüsselung Glückssache ist."