Überblick über die
Sicherheit von Messenger

22. November 2018, Kire

digiges.ch/slides/messenger.html

Digitale Gesellschaft

Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.

Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.

Inhalt

  • Was ist die Bedrohung?
  • Bewertungskriterien
  • Briefpost, Fax und Telefon
  • E-Mail und Messenger
  • Telefonie und Tools zur Zusammenarbeit
  • Crypto-Handys
  • Fazit & Zusammenfassung

Was ist die Bedrohung?

  • Zugriff auf Kommunikationsinhalt
    • Gespräch, Fax, Mail
    • Tiefer Eingriff in die Grundrechte
    • Jedoch aufwändig in der Auswertung

Was ist die Bedrohung?

  • Zugriff auf Rand-/Metadaten
    • Wer, wann, wo, mit wem, wie lange
    • Beziehungsnetz, Bewegungsprofil
    • Einfach maschinell auszuwerten

Was ist die Bedrohung?

  • Zugriff durch Strafverfolgungsbehörden
  • Auswertung durch Geheimdienste
  • Datenverwendung/-herausgabe durch Dienstanbieter
  • Daten werden entwendet

Was ist die Bedrohung?

Wenn Gesetz und Verfassung unsere Rechte auf Privatsphäre, Quellenschutz und Berufsgeheimnisse nicht mehr garantieren können, hilft Verschlüsselung

Comparaison des applications de messagerie

Bewertungskriterien

Keine Metadatenspeicherung: Es findet keine (bekannte) Speicherung von Metadaten durch den Anbieter für eigene Zwecke oder für Strafuntersuchungsbehörden resp. Geheimdienste statt (Vorratsdatenspeicherung). Achtung: Bei der Verwendung auf dem Handy per Mobilfunknetz fallen zusätzlich Vorratsdaten an.

Bewertungskriterien

Transportverschlüsselung: Die Nachrichten sind während dem Transport wirkungsvoll verschlüsselt; können vom Dienstanbieter aber eingesehen werden. Die Metadaten sind bei der Übertragung geschützt.

Bewertungskriterien

Ende-zu-Ende-Verschlüsselung: Die Nachrichten können nur von den beteiligten Kommunikationspartnern gelesen werden. Diese können sich gegenseitig verifizieren (authentisieren).

Bewertungskriterien

Security-/Code-Audits: Es gibt aktuelle und unabhängige Untersuchungen des Source Codes zu den verwendeten Verschlüsselungsmethoden. Open Source Software ohne aktuelle Untersuchung erfüllt die Anforderung zur Hälfte.

Briefpost, Fax und Telefon

Keine Metadaten-
speicherung
Transport-
verschlüsselung
Ende-zu-Ende-
Verschlüsselung
Security-/
Code-Audits
Briefpost ☆☆ ☆☆☆ ☆☆
Fax ☆☆
Festnetztelefon ☆☆
Mobiltelefon ☆☆
SMS ☆☆

E-Mail

Keine Metadaten-
speicherung
Transport-
verschlüsselung
Ende-zu-Ende-
Verschlüsselung
Security-/
Code-Audits
Email mit pEp ☆☆ ☆☆ ☆☆☆ ☆☆☆
Email mit GnuPG ☆☆ ☆☆ ☆☆☆ ☆☆
Email ☆☆ ☆☆ ☆☆
ProtonMail ☆☆ ☆☆☆ ☆☆ ☆☆
Email mit S/MIME ☆☆ ☆☆ ☆☆☆ ☆☆

Messenger

Keine Metadaten-
speicherung
Transport-
verschlüsselung
Ende-zu-Ende-
Verschlüsselung
Security-/
Code-Audits
Jabber/XMPP mit
OTR oder OMEMO
☆☆☆ ☆☆ ☆☆☆ ☆☆☆
Wire ☆☆☆ ☆☆☆ ☆☆☆ ☆☆
Signal ☆☆☆ ☆☆☆ ☆☆☆ ☆☆☆
Threema ☆☆ ☆☆☆ ☆☆☆ ☆☆☆
Telegram ☆☆☆ ☆☆☆ ☆☆ ☆☆
Snapchat ☆☆☆
WhatsApp ☆☆☆ ☆☆☆ ☆☆
Facebook Messenger ☆☆☆ ☆☆
iMessage ☆☆☆ ☆☆

Telefonie und Tools zur Zusammenarbeit

Keine Metadaten-
speicherung
Transport-
verschlüsselung
Ende-zu-Ende-
Verschlüsselung
Security-/
Code-Audits
Tox ☆☆☆ ☆☆☆ ☆☆☆ ☆☆
RetroShare ☆☆☆ ☆☆☆ ☆☆☆ ☆☆
Mumble ☆☆☆ ☆☆☆ ☆☆
Skype ☆☆☆
Hangouts ☆☆ ☆☆☆

Fazit - empfehlenswert

  • E-Mail mit GnuPG, pEp oder S/MIME
    • Sorgfältige Auswahl des Mailproviders ist wichtig

Fazit - empfehlenswert

Fazit - nicht empfehlenswert

Fazit

  • Sicherheit und Nachhaltigkeit stehen oft im Widerspruch zur Benutzerfreundlichkeit
  • Die Gewichtung sollte den eigenen Präferenzen und dem individuellen Anwendungsfall angepasst werden

Zusammenfassung

  • Briefpost aber nicht Telefon/Fax/SMS verwenden
  • Sorgfältige Auswahl des E-Mailproviders und Verschlüsselung sind wichtig
  • Anstatt WhatsApp die «Alternativen» Wire oder Signal

Vielen Dank für das Interesse

Slides: digiges.ch/slides/messenger.html

Website: www.digitale-gesellschaft.ch

Facebook: DigitaleGesellschaftSchweiz

Twitter: @digiges_ch

Digitale Gesellschaft
4000 Basel
Schweiz


Konto CH15 0900 0000 6117 7451 1

CC by SA 4.0