Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Marcus Stührenberg - metaMind
Experte für IT-Security & Awareness
Mehr erfahren

In Zeiten von Social Distancing hat die digitale Kommunikation über Messenger-Dienste stark zugenommen. Doch wie steht es um die Sicherheit der großen Messenger-Apps? Was ist ein „Muss“, um die Sicherheit der Nutzerdaten zu gewährleisten? Wir stellen fünf Messenger-Dienste auf dem Prüfstand.

Auf dem aktuellen Instant-Messenger-Markt gibt es rund 80 Anbieter. Das bekannteste und meistfrequentierte Beispiel ist WhatsApp. Der Messenger-Dienst unter dem Konzern Facebook wurde laut Statista 2019 von rund 79 Prozent der Deutschen genutzt. Weltweit kommt WhatsApp auf über zwei Milliarden Nutzer. Nach wie vor gibt es jedoch in Sachen Datenschutz viel Kritik zum an dem Messenger-Riesen.

Messenger-Dienste sind in der digitalen Kommunikation nicht mehr weg zu denken; insbesondere die Messenger-App WhatsApp. Doch was steckt dahinter? (iStock: Enes Evren).

Anfang des Jahres 2021 kündigte WhatsApp Änderungen in den Nutzungsbedingungen an – was durch weltweite Kritik vorerst verschoben wurde. Geplant ist unter anderem, dass gewisse Chat- und Nutzerdaten automatisch an Facebook weitergeleitet werden, um beispielsweise Werbung auf der Plattform zu optimieren. Der Haken: Wer die neuen Nutzungsbedingungen nicht bestätigt, wird den Dienst nicht mehr oder nur sehr eingeschränkt nutzen können. Dieser Schritt stieß auf harsche Kritik in sozialen Medien und öffnete den virtuellen Raum für Fragen zur geschäftlichen Nutzung von WhatsApp & Co.

Messenger im Unternehmenseinsatz

Schließlich sind heutzutage Instant Messenger zur privaten und geschäftlichen Kommunikation auf fast jedem Smartphone Standard. Jeden Tag werden große Mengen an Daten ganz bequem mit einem Fingerdruck über eine App versendet. Doch was verbirgt sich eigentlich hinter den Apps? Wie wird die Sicherheit meiner Daten gewährleistet? Und wer hat auf die sensiblen und persönlichen Daten Zugriff?

Aus Sicht der Informationssicherheit gibt es viele Punkte, auf die Privatpersonen und Unternehmen achten sollten, damit sensible persönliche und geschäftliche Daten nicht in die falschen Hände geraten. Was einmal versendet, gepostet oder öffentlich zugänglich gemacht wird, ist fast schon verloren und für jeden einsehbar. Das ist im B2B-Bereich, speziell aber in der internen Kommunikation mit oft sensibelsten Daten wichtig. Cyberkriminelle wittern in den Kommunikationsdiensten große Beute.

Einfallstor für Social Engineering

Das bestätigt auch das Bundesamt für Sicherheit in der Informationssicherheit (BSI). 2020 seien Social-Engineering-Attacken mit Corona-Bezug auch auf Messenger-Dienste massiv gestiegen. In Zeiten von Social Distancing und Homeoffice bemerke man, „wie flexibel die Online-Kriminalität auf neue Themen und Gegebenheiten reagiert und diese für ihre kriminellen Zwecke ausnutzt“, so BSI-Präsident Arne Schönbohm.

Geschäftlicher oder privater Schaden droht in großem Umfang. Die Frage ist nicht, ob ich getroffen werde, sondern wann. Wenn Attacken folgen, sollte schnell, automatisch oder manuell gelöscht werden können. Doch bleiben Informationen auf den Servern der Anbieter gespeichert? Können WhatsApp & Co. oder sogar eine nicht autorisierte Person darauf zugreifen?

(Quelle: metafinanz)

Hard Facts: Was ist ein „Muss“ für Messenger-Dienste?

In erster Linie müssen Instant-Messenger-Dienste den Fokus auf Sicherheit und Privatsphäre legen. Der Schutz von persönlichen Informationen sollte für sie die zentrale Rolle spielen.

Folgende Standards sind wichtig:

  • Fokus auf Sicherheit und Schutz der Privatsphäre
  • Durchgängige Ende-zu-Ende-Verschlüsselung
  • Höchstmaß an Metadaten-Sparsamkeit
  • Keine Verwendung von Nutzerdaten zu Werbezwecken
  • Volle Transparenz und Offenheit des Quellcodes
  • Anonyme Nutzung, sodass kein Konto erforderlich ist
  • Keine Speicherung von Daten auf den Servern
  • Gespeicherte Chats und Medien auf dem Handy müssen stark verschlüsselt sein
  • Schutz vor dem Abhören der Verbindung zwischen App und Server
  • Sämtliche Verschlüsselung und Entschlüsselung erfolgen direkt auf dem Gerät
  • DSGVO-Konformität
  • Standort, letzte Nutzung, Nachrichten gelesen etc. muss eigenständig einstellbar sein
  • Es sollte kein Adressbuch-Upload nötig sein
  • Kein Tracking von Nutzenden mit Hilfe zusätzlicher Softwareprogramme
  • Unabhängiges Audit zur Überprüfung von Sicherheitslücken der Instant-Messenger- Software
  • Verwendung einer nachvollziehbaren Kryptografie

Messenger-Dienste unter der Lupe

In dieser Tabelle zeigen wir, wie fünf Instant-Messenger zu diversen Sicherheitsaspekten aufgestellt sind:

Überblick der Sicherheitsaspekte von unterschiedlichen Messenger-Diensten (Quelle: metafinanz).

Fazit

Wer all seine Kontakte in nur einem Messenger-Dienst haben möchte, kommt um die Nutzung des Marktführers nicht herum. Privatpersonen sollten sich wenigstens der Sicherheitslücken bewusst sein. Unternehmen sollten sehr genau abwägen, ob sie dem Wunsch vieler Mitarbeitenden entsprechen und WhatsApp auf dienstlich genutzten Smartphones zulassen. Wer in der digitalen Welt anonym bleiben und als Unternehmen datensicher agieren möchte, wird um WhatsApp einen Bogen machen, wie unser Sicherheits-Check zeigt.

Der Trend zu Remote Work, beschleunigt durch die Corona-Krise, hat auch Schwachstellen offenbart, die Cyberkriminelle ausnutzen. Doch wie kann das Risikoempfinden der Mitarbeitenden gestärkt werden? Mit unseren Leistungen zur Mobile Security & Security Awareness unterstützen wie Sie dabei – gemeinsam mit der richtigen Security-Software bleiben so auch die Daten im Homeoffice und Smartphone vor Cyberkriminellen sicher.

Quelle Titelbild: iStock/theasis

Marcus Stührenberg - metaMind
Experte für IT-Security & Awareness
Mehr erfahren

Weitere Beiträge

Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Warum Meinungsvielfalt eine Chance ist

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security