Leider lassen die Standards für mobile Netzwerke noch immer sehr schwache Verschlüsselungsalgorithmen zu und können daher nicht als wirklich sicher erachtet werden. So ist es für Angreifer relativ einfach, z. B. verschlüsselte SMS-Nachrichten zu knacken und zu lesen. In mobilen Netzwerken ist der Datenverkehr nur zwischen Ihrem Mobiltelefon und der Basisstation verschlüsselt, wo die Nachricht entschlüsselt und dann in Klartext übermittelt wird.
Immer mehr Anwendungen unterstützen heute Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE). Dabei werden die Daten auf Ihrem Computer oder Handy verschlüsselt und bleiben es auch bei der Übertragung, sodass sie erst beim Empfänger entschlüsselt werden. Bei einer sicheren Verschlüsselung können Dritte die Nachricht ohne den Schlüssel, der nur auf dem Empfängergerät gespeichert ist, nicht entschlüsseln. Um die Nachricht dennoch zu knacken, müsste ein Angreifer den Computer des Senders oder des Empfängers hacken. Wie bei den Beispielen mit Chiffren im vorherigen Kapitel gilt: Wenn die Chiffre sicher ist und der Schlüssel geheim bleibt, kann nur der Empfänger die Nachrichten entschlüsseln.
Beispiele für Kommunikationsapps mit Ende-zu-Ende-Verschlüsselung:
Signal
Telegram
WhatsApp
Facebook Messenger
Signal setzt auf Open Source, d. h. der Quellcode kann öffentlich eingesehen werden (das Gegenteil von Security trough Obscurity). Die Algorithmen von Signal wurden ausführlich untersucht und gelten als sicher. Der Vorteil eines geprüften Open-Source-Quellcodes ist: Wenn die Sicherheit bestätigt wurde, können ihn auch andere Anbieter nutzen. So wird das Signal-Protokoll wird beispielsweise von WhatsApp eingesetzt.
Aufgrund der Art der Nutzung von WhatsApp-Gruppen gibt es allerdings bei neuen Mitgliedern einer bestehenden Gruppe keine Ende-zu-Ende-Verschlüsselung, sodass Angreifer durch Hacken der WhatsApp-Server Zugriff erhalten könnten.
Telegram hingegen brach die erste Regel der Kryptografie, indem es sein eigenes Protokoll entwickelte. Es gab reichlich Kritik am Protokoll und manche Experten sehen es als geknackt an. Tatsächlich wurden einige Schwachstellen gefunden. Diese wurden zwar behoben, doch manche meinen weiterhin, dass man sich nicht auf die Sicherheit von Telegrams Verschlüsselungsmethode verlassen könne. Zum jetzigen Stand gibt es allerdings keine bekannte Sicherheitslücke in der Implementierung von Telegram.
Facebook Messenger hat einen Modus namens „Geheime Unterhaltungen“, der Ende-zu-Ende-Verschlüsselung unterstützt. Dies ist jedoch nicht die Standardvariante, sondern optional. Gruppenchat sind nicht Ende-zu-Ende-verschlüsselt und daher nicht sicher.
Wenn Sie eine sichere Messenger-App suchen, sind Signal und mit einigen Einschränkungen auch WhatsApp am ehesten zu empfehlen. SMS-Nachrichten sollten nicht für vertrauliche Informationen genutzt werden.
Warum ist die Sicherheit meiner Nachrichten wichtig?
Sie fragen sich vielleicht, wieso Sie Ihre Kommunikation schützen sollten, wenn Sie doch nichts Illegales tun. Denken Sie einmal nach, welche Informationen Sie kommunizieren. Während die meisten Inhalte wohl nicht vertraulich sind, gibt es doch gewisse Informationen, die in Kombination einem Angreifer genug mitteilen, um eines Ihrer Konten zu knacken oder Identitätsdiebstahl zu begehen.
Beispiele für diese Informationen sind:
Bankinformationen
Kreditkartennummern
Kombination aus E-Mail-Adresse und Passwort
Sozialversicherungsnummer
Adressen
Telefonnummern
Antworten auf die Sicherheitsfragen Ihrer Konten
Cookies, mit denen ein Angreifer Ihre Browser-Sitzung übernehmen und sich in Ihrem Konto anmelden könnte
Einige dieser Informationen hinterlassen Sie selbst, während andere von Ihren Geräten gesammelt werden. Dazu gehören Daten wie GPS-Koordinaten, App-Nutzung, Aktivzeiten und Gesundheitsdaten wie die Herzfrequenz. Mit diesen Informationen kann ein Angreifer sich ein recht vollständiges Bild Ihres täglichen Lebens machen, von Ihrem Wohnort, Ihrem Arbeitsplatz und Orten, an denen Sie oft sind, über Menschen, die sie treffen, bis hin zu möglichen Gesundheitsproblemen usw.
Bei manchen Ländern ist anzunehmen, dass sie die Kommunikation ihrer Bürger überwachen, um den Informationsfluss zu kontrollieren und Dissidenten ausfindig zu machen. In einigen dieser Länder ist Ende-zu-Ende-Verschlüsselung sogar verboten oder die Regierung zwingt Technologiehersteller zum Einbau von Backdoors oder Schwachstellen, um die Verschlüsselung knacken und Nachrichten lesen zu können. Um zu prüfen, ob dieses Risiko für Sie besteht, sollten Sie sich mit den Gesetzen des Landes auseinandersetzen, in dem Sie sich befinden oder mit dem Sie Daten austauschen.
Sicherheitsempfehlungen
Empfohlen wird:
zu überprüfen, ob die Verbindung verschlüsselt wird, was sich z. B. im Browser am Vorhängeschloss-Symbol erkennen lässt;
vor der Verwendung der Kreditkarte zu überlegen, ob die Website vertrauenswürdig ist;
darauf zu achten, welche Daten Ihre Apps freigeben.
Nicht empfohlen wird:
Sicherheitsfragen zu verwenden, da die Antworten einfach herauszufinden sind;
sich unbewusst von Apps tracken zu lassen und das Teilen von Daten automatisch eingeschaltet zu lassen;
vertrauliche persönliche Informationen und Daten in SMS-Nachrichten zu schicken, da diese nicht als sicher gelten.
