In einer Zeit, in der wir gezwungen sind, uns physisch, aber nicht sozial, voneinander so gut wie möglich zu distanzieren, reden wir zwangsläufig nicht mehr persönlich Auge-in-Auge miteinander. Wir weichen daher auf Telefon- und Online-Dienste aus. Dinge, die wir sonst nur persönlich unter vier Augen besprochen haben, teilen wir nun noch bereitwilliger über das Internet. Das ist im Prinzip so, als würden wir mit einem Megafon auf dem Marktplatz schreien. Aber was, wenn wir ein Gespräch führen müssen, als würden wir mit dem Arzt oder mit unserem Anwalt reden? Dann wollen wir, dass die Inhalte vertraulich bleiben.
Wir sollten daher nicht vergessen, dass die jeweiligen Dienste ein unterschiedliches Verständnis von Vertrauen und Privatsphäre haben. Wir sollten nun vermehrt auf die Qualität der „Verschlüsselung“ setzen.
Edward Snowden hat bereits häufig darauf hingewiesen, wie wichtig die Verschlüsselung unserer Daten und unserer Kommunikation ist. Zum Beispiel hier oder hier.
Beim Vergleich der Dienste müssen wir beachten, dass es einen Unterschied macht, ob nur die Transportwege vom Sender bis zum Server und dann wieder vom Server zum Empfänger verschlüsselt werden, aber auf den Servern unverschlüsselt verarbeitet oder weitergeleitet werden, oder ob eine Ende-zu-Ende-Verschlüsselung sicherstellt, so dass nur Sender und Empfänger eine Nachricht entschlüsseln können.
Regel 1: Nutze keine Dienste von Facebook oder Google, wenn Deine Geheimnisse Geheimnisse bleiben sollen. Punkt.
Login mit Facebook und Login mit Google
Diese Dienste locken uns damit, dass man sich so nur sein Facebook-Passwort merken muss. Das stimmt durchaus, aber gleichzeitig melden diese Dienste immer Daten zurück ins Hauptquartier, bei welchem anderen Dienst oder Website man sich angemeldet hat. Meiden.
Google Hangouts
Google Hangouts wird unverschlüsselt über amerikanische Server gesendet. Meiden.
Google Duo
Google Duo bietet eine Ende-zu-Ende-Verschlüsselung für maximal 18 Teilnehmer an und ist auf vielen Betriebssysteme verfügbar. Aber, es ist von Google.
Facebook Messenger
Facebook Messenger wird unverschlüsselt über amerikanische Server gesendet. Meiden. Facebook bietet neuerdings „Facebook’s Secret Conversations“ an, die das Signal-Protokoll (siehe unten) verwenden. Man muss diese aber zusätzlich aktivieren. Diese Option scheint aber nicht leicht zu finden zu sein. Es gibt Aussagen, die behaupten, Facebook hätte Spyware in ihren Diensten nutzen wollen.
Facebook verspricht zwar eine Ende-zu-Ende-Verschlüsselung von Text, Audio- und Video mittels des Signal-Protokolls, jedoch gibt es Vermutungen, dass Facebook die Daten vor der Verschlüsselung auf Seiten des Senders analysiert. Meiden.
Regel 2: Sei wachsam bei den „alten Diensten“
SMS
SMS ist generell unverschlüsselt. Meiden.
Telefon
Das Telefon ist unverschlüsselt. Das betrifft sowohl das Festnetz wie auch das Mobilfunknetz. Meiden.
E-Mails sind unverschlüsselt. Es gibt jedoch die Möglichkeit einer Ende-zu-Ende-Verschlüsselung mittels S/MIME oder PGP/GPG. Dies ist mit einem kleinen Aufwand zu erreichen. Hier erfährst Du, wie das geht.
Regel 3: Schaue bei den neueren Diensten genau hin
iMessage
Apple’s iMessage besitzt eine Ende-zu-Ende-Verschlüsselung. Es unterstützt Text-, Gruppen- und Audionachrichten. Der Dienst funktioniert nur zwischen Apple-Nutzern. Da der Quellcode nicht offen ist, kann man zwar nicht nachprüfen, ob Apple keine Hintertür eingebaut hat. Aber Apple hat in der Vergangenheit erfolgreich für die Privatsphäre ihrer Nutzer gekämpft, selbst gegen das FBI und die US-Regierung.
FaceTime
Apple’s FaceTime besitzt eine Ende-zu-Ende-Verschlüsselung. Es unterstützt Audio- und Videoanrufe auch für Gruppenbild zu 32 Personen. Der Dienst funktioniert nur zwischen Apple-Nutzern. Keine zusätzliche Applikation muss installiert werden. Da der Quellcode nicht offen ist, kann man zwar nicht nachprüfen, ob Apple keine Hintertür eingebaut hat. Aber Apple hat in der Vergangenheit erfolgreich für die Privatsphäre ihrer Nutzer gekämpft, selbst gegen das FBI und die US-Regierung.
Signal
Signal besitzt eine Ende-zu-Ende-Verschlüsselung. Es unterstützt Text und Audio auf vielen Plattformen, aber Video nur mittels iOS oder Android. Es ist kostenlos für alle Plattformen. Signal ist einer der wenigen Dienste, der keine Meta-Daten über die geführten Gespräche dokumentiert. Edward Snowden empfiehlt Signal, weil der Source Code offengelegt ist und daher überprüft werden kann.
Threema
Threema besitzt eine Ende-zu-Ende-Verschlüsselung und ist ein schweizer Produkt. Anders als Signal kann man sich für diesen Dienst auch ohne Telefonnummer registrieren, was einen weiteren Schritt zur Anonymität zulässt. Threema unterstützt Textnachrichten, Gruppen und Audio-Anrufe. Es ist für viele Plattformen verfügbar. Mit einmaligen 3.- CHF ist es kostengünstig.
Skype
Microsoft Skype besitzt im Standard keine Ende-zu-Ende-Verschlüsselung, sondern nur eine Transportverschlüsselung und wird über amerikanische Server verarbeitet. Es unterstützt Textnachrichten, sowie Audio- und Videoanrufe, auch in Gruppen. Eine Ende-zu-Ende-Verschlüsselung unter Verwendung des Signal-Protokolls ist jedoch möglich: Die anrufende Person muss hierzu eine Private Unterhaltung nutzen. Dann unterstützt Skype Textnachrichten sowie Audioanrufe, auch für Gruppen, aber keine Videoanrufe. Der Dienst ist für Skype-zu-Skype-Verbindungen kostenlos. Es unterstützt auch gebührenpflichtige Skype-zu-Telefon-Verbindungen, die dann allerdings auch nicht mehr verschlüsselt werden können.
Teams
Microsoft Teams ist der Nachfolger von Microsoft Lync und Skype for Business. Es unterstützt Text, Audio und Video und bietet Kollaborationswerkzeuge, wie das Teilen des Bildschirms oder ein Whiteboard. Es weist eine Ende-zu-Ende-Verschlüsselung auf, solange nur Teams-Applikationen verwendet werden. Man kann sich zwar „kostenlos“ registrieren, braucht dann aber trotzdem ein teures Office365-Abo, um es auch zu nutzen.
Zoom
Zoom besitzt laut eigener Aussage eine Ende-zu-Ende-Verschlüsselung, sofern alle Teilnehmer eine Zoom App verwenden und die Konferenz nicht aufgezeichnet wird. Eine Gesprächsaufzeichnung findet in der Zoom-Cloud statt, sodass nur noch die Transportwege in und aus der Cloud verschlüsselt werden können. Sobald Gesprächsteilnehmer andere kompatible Dienste nutzen, wie Microsoft Skype for Business, ist die Ende-zu-Ende-Verschlüsselung ebenfalls nicht mehr gewährleistet. Die Nutzung des Plug-Ins im Google-Chrome-Browser birgt vermutlich auch zusätzliche Risiken. Zoom ist dennoch HIPAA-zertifiziert für Patienten- und Gesundheitsdaten. Allerdings gehört zu einer echten Ende-zu-Ende-Verschlüsselung auch, dass nur die Teilnehmern die Schlüssel kennen. Zoom verwaltet allerdings die Schlüssel selber und könnte daher Zugriff nehmen. Der Dienst liefert eine hohe Qualität und ist für grosse Videokonferenzen ausgelegt. Er ist sehr leistungsfähig und kostenlos für zwei Teilnehmer oder wenn Gruppen bis 100 Personen sich auf maximal 40 Minuten beschränken. (Während der Coronakrise hat Zoom die zeitliche Begrenzung freundlicherweise aufgehoben.) Zoom hat einen weiteren entscheidenden Vorteil vor anderen Diensten: der Initiator kann das Gespräch moderieren und administrieren und somit ein zusätzliches Eintrittspasswort vergeben, Teilnehmer aus einem „Warteraum“ einzeln eintreten lassen, nur eingeladene Gäste in das Gespräch lassen, einzelne Teilnehmer aus dem Gespräch entfernen, keine weiteren Teilnehmer nach Beginn der Konferenz zulassen und einzelne oder alle Teilnehmer stumm schalten. Allerdings ist der Dienst in der letzten Zeit in Verruf geraten, worauf Zoom reagiert hat. Wired hat eine objektive Betrachtung des Stands der Verschlüsselung bei Zoom geschrieben und auch eine Beschreibung, welche Massnahmen man ergreifen sollte, um private Dinge privat zu halten (ähnlich wie diese hier), verfasst.
WebEx
Cisco WebEx bietet laut eigener Aussage eine echte Ende-zu-Ende-Verschlüsselung für Audio- und Videogespräche an. Es besitzt einige der Administrationsfunktionen wie Zoom, aber auch die gleichen Limitationen der Verschlüsselung. Der Dienst ist derzeit bis zu 100 Personen kostenlos. Allerdings nutzt WebEx bei der Installation ähnliche Praktiken, die Zoom vorgeworfen werden: Zumindest unter MacOS installiert sich das Programm nicht im Programme-Ordner, sondern versteckt sich in der Library und ist damit nicht wieder leicht auffindbar. Vielleicht hat bei mir der Installer auch nicht funktioniert. Es verteilt sich über die Festplatte und legt vorsorglich Dateien für diverse Browser an, die nicht installiert sind. Darüberhinaus bietet Cisco zwar ein angebliches Deinstallationswerkzeug an. Dieses ist jedoch fragwürdig, weil es eine Zip-Datei anstelle der angekündigten DMG-Datei ist und dazu noch auf einer anderen, nicht als Cisco ersichtlichen Domain liegt. In der Beschreibung für die manuelle Deinstallation sind diverse Dateien nicht aufgeführt. So agiert sonst nur Malware oder eine Applikation, die für Windows konzipiert wurde.
Fazit
Eine Videokonferenz mit einer echten Ende-zu-Ende-Verschlüsselung, bei der nur die Teilnehmer Zugriff auf die Schlüssel haben und man sich sicher sein kann, dass Unternehmen wie Facebook nicht mithören und -sehen, gibt es derzeit nur mit Signal, allerdings nur auf iOS und Android, und letzteres birgt eine Vielzahl weiterer Probleme. Bleibt man bei iOS, kann man auch gleich FaceTime nutzen. Hier muss man allerdings Apple vertrauen. Will man ein über Betriebssystemgrenzen hinausgehendes Gruppengespräch mit der Möglichkeit, den Bildschirm zu teilen, führt kaum ein Weg an Zoom vorbei.
(Dieser Artikel wurde am 3.4.2020, 5.4.2020 und 26.4.2020 aktualisiert.)
Photo by Clem Onojeghuo on Unsplash
Olav's Blog 