Apps für eine sichere Kommunikation
Chat-Applikationen sind im privaten Umfeld stark verbreitet. Aber auch für die berufliche Kommunikation machen diese Smartphone-Apps Sinn. Nur: sicher und vertraulich sollten sie arbeiten.
Sichere Chat-Kommunikation mit der richtigen App
Chat – mehr als Geschwätz
Den schnellen und unkomplizierten Austausch kurzer Informationen machen Chat-Anwendungen zur sinnvollen Ergänzung der Mail-Nutzung im beruflichen Umfeld. Das rasche Ping-Pong an Fragen und Informationen sollte aber gerade im beruflichen Umfeld auf einer vertraulichen Plattform stattfinden. Und hier ist WhatsApp schnell aus dem Rennen. „Nichts zu verbergen“ ist nicht nur eine dumme Reaktion, sondern im Rahmen der unternehmerischen Nutzung fahrlässig.
Das Adressbuch
Ein erster Punkt im Rahmen der Chat-Vertraulichkeit ist das vielfach übersehene Adressbuch des Chat-Anwenders. Dort befinden sich nicht nur Daten fremder Personen. Aus der Zusammenstellung lassen sich leicht weitere Informationen erschließen. Alles Daten, die weder den Hersteller der App noch dessen Hoster etwas angehen. Dass die Nutzung der Kontaktdaten dennoch möglich ist, beweisen einige App-Anbieter, indem sie die Inhalte einwegverschlüsselt auf den Servern ablegen.
Die Ende-zu-Ende-Verschlüsselung
Verschlüsselung liegt im Trend. Ein genauerer Blick bringt aber schnell zutage, dass nicht jede Verschlüsselung auch das gewünschte Ergebnis für die Nutzer bedeutet. Wie im richtigen Leben ist auch hier entscheidend, wer denn die Schlüssel besitzt. Nicht selten wird auf „Zwischenstationen“ entschlüsselt, dann neuerlich kodiert und an den Empfänger zugestellt. Die Problematik ist von prominenten Maildiensten bekannt.
Nur Ende-zu-Ende bietet höchstmögliche Sicherheit
Die Endpunkte der Kommunikation
Der sicherste Datenaustausch ist immer dann gegeben, wenn das sendende Gerät verschlüsselt und erst das empfangende Device die Nachricht dekodieren kann. So bleibt dem Anbieter oder Hoster nur die Rolle des Pakettransports – ohne Einblick in die Daten zu haben. Wer nicht mitlesen kann, kann auch keine Informationen auswerten oder weitergeben.
Bestätigung der Mailadresse
Diese End-to-End-Kodierung hat aber auch einen Nachteil. Nur eben diese zwei Geräte (Chat-Applikationen) können an der Kommunikation teilnehmen. Die Nutzung der App auf einem zweiten Gerät – z.B. wenn Sie sowohl auf dem iPhone wie auf dem iPad den Chatverlauf begleiten wollen – ist damit nicht möglich. Dort kann schließlich nicht entschlüsselt werden. Gleiches gilt für die Nutzung des Browser am PC oder Mac. Wenn eine solche Variante gewünscht wird, bleibt also nur noch der Abstrich hinsichtlich Sicherheit. Dann müssen die Nachrichten auf einem Server zwischengespeichert werden. Von dort erfolgt zwar eine weitere Verschlüsselung bei der Übermittlung an den Empfänger, aber damit auch das Ende von End-To-End. Hier ist Vertrauen an den Anbieter angesagt.
Threema – die erste Wahl?
Eine Chat-App, die (fast) allen Anforderungen genügt, kommt aus der Schweiz: Threema. Bereits bei der Einrichtung der App auf dem Smartphone werden sowohl der private wie auch der öffentliche Schlüssel des Anwenders generiert. Während der öffentliche Schlüssel verbreitet werden muss, damit verschlüsselte Botschaften versendet werden können, verbleibt der private auf dem genutzten Endgerät.
Die Threema-ID
Sämtliche andere Angaben des Chat-Teilnehmers sind optional zu erstellen: Telefonnummer und E-Mail-Adresse können hinterlegt werden, um es anderen Threema-Anwendern zu erleichtern, sich gegenseitig zu finden. Daten zum Abgleich des eigenen Adressbuchs werden einwegverschlüsselt („gehasht“) zum Server übertragen, abgeglichen und wieder vom Server gelöscht. Entscheidend für den Nutzer und dessen Kommunikationspartner ist aber ausschließlich die Threema-ID.
Kontaktverifizierung
Eine schönen Zusatz bietet die Kontaktfunktion in Threema. Während eine manuelle Erfassung ja fehleranfällig ist (und damit rot angezeigt wird), ist mit dem automatischen Abgleich des Adressbuchs schon etwas mehr an Sicherheit gegeben. Schließlich muss dazu jeder Anwender via SMS oder E-Mail seinen eigenen Kontakt bestätigen. Höchste Gewissheit verschafft aber der Identitätsabgleich bei einem persönlichen Treffen. Jede Threema-ID wird auf dem eigenen Smartphone auch als QR-Code dargestellt. Der Chat-Partner kann diese einfach mit seiner App abfotografieren und schon erscheint der Kontakt in der Sicherheitsstufe grün. Schnell und effizient.
Open-Source und Vertrauen
Ihre Chat-App verspricht die höchste Verschlüsselung, Ende-zu-Ende und keine Hintertürchen? Schön. Aber stimmt das? In diesem Punkt ist ein offener Quellcode hilfreich, den jeder Interessierte einsehen und damit die Aussagen des Herstellers selbst prüfen kann. Threema ist hier nur teilweise gewillt, einen Einblick zu geben (Details finden sie im Whitepaper des Herstellers). Vertrauen in den Anbieter bleibt also eine Voraussetzung und hier spricht aktuell nichts gegen den schweizer Anbieter. Die kostenpflichtigen Apps (unter 2 Euro) gibt es für Windows Phone, iOS () und Android. Eine Vielzahl von Fragen zur App beantwortet das FAQ auf deren Website.
Telegram – Offen und kostenlos
Ein Chat-Anwendung, die auch Open-Source-Fans zufriedenstellen wird, könnte Telegram sein. Signifikanter Unterschied zu Threema ist hier, dass der Ende-zu-Ende verschlüsselte Chat explizit – pro Chat – gewählt werden muss. Dies hat allerdings einen Grund: Telegram bietet auch den Zugang über eine Webbrowser. Wie oben erwähnt, kann dies nur funktionieren, wenn die Nachrichten hier auf dem Server zwischengespeichert werden. Keine Angst: Der Transfer zum Server und von diesem zum Empfänger wird verschlüsselt. Details zur Verschlüsselung finden Sie im FAQ von Telegram.
Telegram: Der geheime Chat
Wer steck dahinter?
Viel unnötiges Forum-Gemauschel gibt es im Internet über die Leute hinter der Telegram-App. Die Anwendung (für Windows Phone, iOS und Android) gibt es kostenlos und ohne Werbung. Sie ist schick gestaltet, und sehr schnell (über Telegram lassen sich auch Dateien versenden). Wie kann dies gehen? Wer seine Zweifel hat und etwas mehr über die Leute hinter Telegram wissen will, der sollte hier oder hier weiterlesen.
Sie sind eine Nummer
In Telegram läuft die Identifikation über die Telefonnummer des Smartphones. Nach einer Registrierung erfordert die zugestellte SMS eine Verifizierung mittels Code. Ein Name kann optional gewählt werden, um es anderen leichter zu machen, die eigene Telegram-Kontaktliste zu füllen. Die Telefonnummer sieht der Chat-Partner aber nicht. Der Vorteil frei wählbaren Namens: Auch über eine eigene „Telegram.me“-Adresse kann man erreichbar sein – gut für Visitenkarten oder die eigene Homepage.
WhatsApp-Alternativen
Sie sehen also, es muss nicht WhatsApp sein. Ein Stück mehr an Vertraulichkeit ist machbar und sollte auch beansprucht werden. Für die Übermittlung von heiklen Daten (Kennwörter, Zugangsdaten, etc.) führt ohnehin kein Weg an einer Ende-zu-Ende-Verschlüsselung vorbei und sollte auch so in der IT-Richtlinie für Unternehmen festgeschrieben sein. Welche Anwendung letztlich Ihren Zuschlag findet, ist meist von zusätzlichen Faktoren abhängig. Auch Signal (für iOS) oder TextSecure könnte ein Kandidat sein. Alles besser als „offen“ zu kommunizieren – denn Sie haben etwas zu verbergen.
Eine Antwort
[…] Kommunikation dient. Telegram und Threema sind die ersten Kandidaten, wie bereits in diesem Blog an anderer Stelle ausführlicher beschrieben wurde. Wer Chat-Kommunikation etwas projektbezogener haben will, der sei […]