Unter den zahlreichen Apps, die der durchschnittliche Handybesitzer auf dem Smartphone regelmäßig nutzt, sticht eine besonders heraus: der Instant Messenger. Und obwohl die meisten Nutzer auf den Schutz ihrer Privatsphäre sicherlich Wert legen, setzen sie sich mit dem Gebrauch dieser Dienste einem beträchtlichen Risiko aus. Das ‚Warum’ und ‚Wie’ haben Forscher der Technischen Universität Darmstadt und der Universität Würzburg gerade in einer groß angelegten Studie untersucht. Die Ergebnisse sind so eindeutig wie beunruhigend.
60 Milliarden Botschaften pro Tag
Ob per WhatsApp, (Facebook-) Messenger, Signal, Telegram oder WeChat: Es ist ungeheuer praktisch, mit einzelnen Personen oder Gruppen blitzschnell Informationen auszutauschen. Was vor wenigen Jahren noch schwer vorstellbar war, ist für sehr viele Menschen inzwischen zur Selbstverständlichkeit geworden. So kommt der absolute Marktführer WhatsApp weltweit inzwischen auf 2 Milliarden Nutzer, gefolgt vom FB Messenger mit 1,3 Milliarden und dem chinesischen WeChat mit 1,1 Milliarden aktiven Nutzern. Zusammen produzieren die Messenger-Nutzer 41 Millionen Kurzmitteilungen – pro Minute. Das sind knapp 60 Milliarden Botschaften pro Tag.
Die Nutzung der Messenger ist denkbar einfach: App downloaden, mit eigener Telefon-Nummer registrieren – und schon kann’s losgehen. Wenn man der App dann noch den Zugriff auf die eigenen Kontakte gewährt, braucht man nicht einmal mühsam die Telefonnummern von Freunden zu suchen und einzugeben. Anfangsbuchstaben des Namens eingeben, den richtigen Treffer per Klick auswählen – fertig. Ungeheuer praktisch. Und sehr bedenklich.
„Ein Schuft, wer Böses dabei denkt“
Was den meisten Nutzern entweder nicht bewusst oder gleichgültig ist: Viele Messenger einschließlich WhatsApp und Telegram laden das komplette Adressbuch auf ihre Server hoch. Unter anderem, um dem Nutzer mitzuteilen, dass ab sofort ein neuer Teilnehmer aus dem Adressbuch über den Messenger erreichbar ist: „Heiße xyz als neuen Nutzer willkommen“ fordert die App dann ganz freundlich auf. Honi soit qui mal y pense – ein Schuft, wer Böses dabei denkt.
Die Forscher haben getestet, welche Informationen sie mit verhältnismäßig einfachen und völlig legalen Mitteln über die Nutzer der Dienste WhatsApp, Signal und Telegram herausfinden können. Dabei machten sie sich den Umstand zunutze, dass sich bei den Diensten problemlos zahlreiche fiktive Nutzer anlegen lassen. Parallel haben sie eine umfangreiche Datenbank mit möglichen Handy-Telefonnummern aufgebaut. Um dann die fiktiven User – sprich Bots – auf die Suche nach Kontaktinformationen zu schicken, im Fachjargon „crawling“ genannt. Dabei haben sie 10 Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal abgefragt.
Eine wesentliche erste Erkenntnis war, dass nur sehr wenige Nutzer in ihrer App die recht großzügig ausgelegten Standardeinstellungen zur Privatsphäre einengen. Für rund die Hälfte der WhatsApp-User in den USA konnten die Forscher deshalb neben dem Namen und dem Zeitpunkt „zuletzt online“ auch auf ein Profilbild zugreifen und bei 90 Prozent auf einen öffentlichen Infotext. Bei Telegram fanden die Forscher sogar sensible Informationen von Handybesitzern, die selbst gar nicht bei dem Dienst registriert sind.
Mithilfe der Telefonnummern und Nutzernamen ließen sich zudem aussagekräftige plattformübergreifende Statistiken erstellen. So gelten Signal-Nutzer als überdurchschnittlich sensibel im Hinblick auf ihre Privatsphäre. Die Forscher fanden allerdings heraus, dass 40 Prozent von ihnen auch bei WhatsApp registriert sind. Und davon die Hälfte dort ein öffentliches Profilbild bereithält.
Nutzerprofile mit beängstigender Aussagekraft
Eine Momentaufnahme mag auf Basis dieser Daten mäßig interessant sein – bei einer Beobachtung über einen längeren Zeitraum, angereichert durch öffentliche Informationen aus anderen sozialen Netzwerken, entstehen jedoch Nutzerprofile mit beängstigender Aussagekraft.
In der Studie schreiben die Forscher hierzu:
„Das wesentliche Problem in Bezug auf die Privatsphäre liegt darin, dass sensible Kontaktbeziehungen ermittelt und zu Betrugszwecken, zur Diskriminierung oder Erpressung verwendet werden können, um den Ruf eines Nutzers zu beschädigen oder ihn zum Ziel einer Ermittlung werden zu lassen. Zudem kann der Server erfolgreich angegriffen werden, so dass sensible Informationen missbraucht werden, selbst wenn der Provider selbst ehrlich ist.“
Verschlüsselung der Daten kann helfen. Der Dienst Signal zum Beispiel überträgt Telefonnummern nur als verschlüsselte Hashwerte. Doch auch das bereitete den Forschern im Rahmen ihrer Untersuchung keine sonderliche Mühe. Sie konnten ihre völlig legale Entschlüsselungsmethode auf Millisekunden pro Telefonnummer optimieren.
Einstellungen zur Privatsphäre dringend überprüfen
Für den Nutzer bedeuten die Erkenntnisse aus der Studie – unabhängig davon, welcher Dienst genutzt wird – zunächst einmal eines: Dringend die Einstellungen zur Privatsphäre zu überprüfen. Alle Informationen, die als „öffentlich“ eingestellt sind, können nicht nur von Fremden eingesehen, sondern maschinell gecrawlt, verdichtet, angereichert und missbraucht werden.
Nachdrücklich zu empfehlen ist darüber hinaus, bei der Auswahl des verwendeten Dienstes Sorgfalt walten zu lassen. Das gilt nicht nur im Interesse der eigenen Privatsphäre, sondern auch im Hinblick auf die Freunde und Bekannten, deren Kontaktdaten bei vielen Diensten mit dem eigenen Adressbuch auf fremde Server geladen werden.
ownChat: ein Höchtmaß an Sicherheit
Für uns bei ownChat ist Datensicherheit nicht nur ein wichtiges Anliegen, sondern hat oberste Priorität. Weil wir uns speziell an Kunden wenden, bei denen die Handhabung sensibler persönlicher Daten zum Berufsalltag gehört. Deshalb will unsere App keinen Zugriff auf ein persönliches Adressbuch. Deshalb nutzt und speichert ownChat keine Telefonnummer. Bei ownChat gibt es einen Nutzernamen, ein Passwort und einen Sicherheitscode. Jeder Kunde hat eine eigene Datenbank für seine Nachrichten und der Serverstandort ist Deutschland. Das reicht und gewährleistet ein Höchstmaß an Sicherheit.
Im privaten Bereich muss jeder selbst entscheiden. Für Unternehmen und Organisationen empfehlen wir allerdings, die Entscheidungen bezüglich des Gebrauchs von Instant Messengern sorgfältig zu treffen. Schon alleine aufgrund der gesetzlichen Vorgaben wie z.B. der DSGVO. ownChat ist speziell für den Einsatz in Unternehmen und Organisationen konzipiert.
_________
Eine Vorab-Veröffentlichung der Studie (in englischer Sprache), die die Forscher Anfang kommenden Jahres auf dem 28. ‚Network and Distributed Systems Security Symposium’ in Kalifornien vorstellen werden, steht hier zum Downloadbereit. Eine Zusammenfassung in deutscher Sprache ist hier verfügbar.