50 Internet-Mythen
IFG UNO
Mythos #16 Kapitel II

Mythos #16: Ende-zu-Ende-verschlüsseltes Messaging garantiert perfekten Datenschutz.
Ilja Sperling

Mythos: In Zeiten, in denen der Schutz von Daten ständig durch staatliche und nichtstaatliche Akteure bedroht ist, verlassen sich die Menschen auf eine durchgängig verschlüsselte Kommunikation. Beliebte Dienste wie beispielsweise WhatsApp, iMessage oder Telegram versprechen den Schutz unserer Privatsphäre und versichern uns, dass unsere Kommunikation „davor geschützt ist, in falsche Hände zu geraten“.

 

Stimmt’s? Ende-zu-Ende-Verschlüsselung (E2EE) ist ein starkes Versprechen, das Nutzer*innen (und deren Kommunikationspartnern*innen) ein trügerisches Gefühl von Sicherheit und Datenschutz vermittelt. Während E2EE an sich ein hervorragendes Sicherheitskonzept darstellt, ist es den Nutzer*innen vermutlich weniger klar, dass die Übertragung verschlüsselter Nachrichten lediglich ein Teil, aber nicht die Gesamtheit der Datenschutzgleichung ist. Während Strafvollstreckungsbehörden oder Unternehmen wie beispielsweise die NSO Group aktiv nach Endpunktschwächen suchen, wird der Datenschutz durch sorgloses Nutzer*innenverhalten (d. h. ungeschützte Geräte, unverschlüsselte Sicherungskopien) und fehlerhaft entwickelte Apps (d. h. Speicherung von Nachrichten in entschlüsselter Form) noch weiter geschwächt (# 45).

Weniger offensichtlich sind Bedrohungen der folgenden Art: Haben Sie jemals WhatsApp, Telegram oder iMessage verwendet, um einen Onlinenachrichtenartikel, einen Facebook-Post oder einen Website-Link im Allgemeinen zu teilen? Haben Sie sich jemals gewundert, dass die Vorschau der von Ihnen weitergeleiteten Inhalte anders aussieht? Normalerweise handelt es sich dabei um ein unauffälliges Element, das den Titel, einen Teaser, die URL und eine Miniaturansicht anzeigt.

Tatsächlich handelt es sich jedoch um externe Inhalte, die Ihre Messaging-App von einem entfernten Server abgerufen hat, ohne Sie um Erlaubnis zu bitten, ohne Ihre Identität vor Dritten zu verbergen und in der Regel auch, ohne Ihnen die Möglichkeit eines Opt-out anzubieten. Die Linkvorschau mag zwar bequem erscheinen, stellt jedoch eine erstzunehmende Bedrohung Ihrer Privatsphäre und der Privatsphäre des Empfängers Ihrer verschlüsselten Nachricht dar.

Die eigentliche Bedrohung besteht darin, dass die Linkvorschau Ihre öffentliche IP-Adresse und den User-Agent Ihrer App an einen Dritten (den Host des Inhalts) weitergibt. Während Desktop-E-Mail-Clients Sie in der Regel bei Remote-Inhalten warnen, tun dies mobile Messaging-Apps seltsamerweise nicht. Wenn Sie nur einer von Millionen von Besuchern einer Website sind, mag Sie das nicht unbedingt stören. Wenn jedoch investigative Journalist*innen oder LGBT-Aktivist*innen Ziel einer Phishing-Kampagne werden, ist zu überlegen, ob sie nicht gerade in Ihrer Privatsphäre verletzt und von den verwendeten Messaging-App unbemerkt in Gefahr gebracht wurden.

Es sind diverse schädliche Szenarien denkbar, bei denen ein Akteur mit Zugang zur Logdatei eines Servers oder ein autoritäres Regime mit der Fähigkeit zur Überwachung des Netzwerk-Traffics in der Lage ist, die Linkvorschau zu einem Instrument gezielter Überwachung zu machen. Wie dies möglich ist, zeigt Justin Seitz (2019) mit seiner Dokumentation des Verhaltens diverser Messaging-Apps für die investigative Plattform Bellingcat.

 

Stimmt also nicht! Die Linkvorschaufunktion in beliebten Messaging-Apps mit Ende-zu-Ende-Verschlüsselung wie beispielsweise WhatsApp, Telegram oder iMessage gibt die Identität der Kommunikationpartner*innen an Dritte weiter. Noch schwerer wiegt dieses Problem bei Messaging-Tools ohne E2EE wie beispielsweise Instagram oder Slack. Es besteht die Möglichkeit, diese Datenschutzverletzung zum Schaden von Nutzer*innen in ein Überwachungs und Verfolgungsinstrument zu verwandeln.

 

Quelle: Justin Seitz, How To Blow Your Online Cover With URL Previews, Bellingcat (2019), https://www.bellingcat.com/resources/how-tos/2019/01/04/how-to-blow-your-online-cover-with-url-previews; Justin Wu und Daniel Zappala, When is a Tree Really a Truck? Exploring Mental Models of Encryption, Fourteenth Symposium on Usable Privacy and Security, SOUPS (2018), https://www.usenix.org/conference/soups2018/presentation/wu.