Nachdem Verschlüsselung zunehmend zum Standard bei Instant Messengern wird, hat auch Facebook nachgezogen. Seit kurzem können die Nutzer von Facebooks Chat-App verschlüsselt kommunizieren. Die Verschlüsselung als solche basiert auf dem Signal-Protokoll und ist somit durchaus überzeugend umgesetzt. Allerdings muss sie für jede Konversation einzeln aktiviert werden. Diese Design-Entscheidung ist fragwürdig und hat womöglich negative Konsequenzen. Verschlüsselung sollte zum Standard in der digitalen Kommunikation werden, doch Facebook versäumt es, diesen Schritt zu machen.
Facebook Messenger führt Verschlüsselung ein
Bereits im Juli hatte Facebook angekündigt, seine Chat-Funktion – auch als Facebook Messenger bekannt und auf Mobilgeräten durch eine eigene App realisiert – mit einem Verschlüsselungs-Feature auszustatten. Bis alle Benutzer dieses Feature tatsächlich zur Verfügung gestellt bekamen, dauerte es dann allerdings noch eine Weile. Mittlerweile ist es aber soweit: Auch per Facebook-Messenger lassen sich nun verschlüsselte Konversationen führen.
Verschlüsselung auf dem Weg in den Mainstream
Facebook reagiert mit seiner Entscheidung wahrscheinlich auf die sich verändernde Marktsituation der letzten Jahre. Im Umfeld des NSA-Skandals erkennen immer mehr Menschen, wie gefährdet ihre Privatsphäre gerade bei der Nutzung von Telekommunikation ist. In der Folge erlebt die Nutzung von Verschlüsselung einen langsamen, aber stetigen Aufschwung. Mittlerweile sind fast alle bedeutenden Instant Messenger verschlüsselt. Auch der extrem beliebte – und mittlerweile selbst zu Facebook gehörende – Smartphone-Messenger WhatsApp führte bereits im April die standardmäßige Verschlüsselung seiner Chats ein. Dem konnte sich Facebook nun wohl nicht mehr entziehen. Das ist nicht verwunderlich, insbesondere, da in den letzten Monaten von Sicherheitsexperten immer wieder kritisiert wurde, dass Facebook nach wie vor kein überzeugendes Sicherheitskonzept bot.
Sichere Verschlüsselung, fragwürdige Umsetzung
Die Verschlüsselung der Chats im Facebook-Messenger funktioniert (wie auch bei WhatsApp) nach dem von Open Whisper Systems entwickelten Signal-Protokoll. Diese Verschlüsselung wird von Experten als äußerst durchdacht und zuverlässig eingestuft. Allerdings gibt es dennoch einige Probleme mit Facebooks Umsetzung der Verschlüsselung (von der Tatsache, dass Facebook eine Datenkrake ist und in großem Umfang das soziale Umfeld und das eigene Nutzerverhalten analysiert, einmal abgesehen). Wer nämlich im Facebook-Messenger verschlüsselt chatten will, muss die Verschlüsselung zunächst für jede Konversation eigens aktivieren. Das ist eine fragwürdige Design-Entscheidung. In der Praxis tun sich hier einige Probleme auf, die verhindern, dass der Facebook Messenger zur ersten Wahl für sicherheitsbewusste Nutzer wird.
Wer nichts zu verbergen hat…
Das erste Problem, das der Aufbau des Facebook Messenger aufwirft, ist politischer Natur. Wenn eine Verschlüsselung erst aktiviert werden muss, muss der Benutzer dazu das Bewusstsein haben, dass seine Privatsphäre gefährdet ist und eine Verschlüsselung diese Gefährdung minimiert. Allerdings verdienen auch Nutzer mit weniger technischem und politischem Know-How, dass ihre Privatsphäre geschützt wird. Datenschutz ist ein Menschenrecht. Dienstleister sollten alles dafür tun, dass alle ihre Kunden dieses Recht auch wahrnehmen können. Sind alle Daten verschlüsselt, fällt es den Überwachern zudem weitaus schwerer, tatsächlich vertrauliche Gespräche zu erkennen und gezielt anzugreifen. Bislang ist beispielsweise die Nutzung verschlüsselter E-Mails für die NSA ein Grund, diese E-Mails (auf unbegrenzte Zeit) zu archivieren. Sind alle Konversationen standardmäßig verschlüsselt, fällt diese Möglichkeit weg. Wichtiges ist von unwichtigem nicht äußerlich zu unterscheiden und der gesamte verschlüsselte Datenberg auch mit Geheimdienst-Mitteln nicht zu entschlüsseln. Zudem ist problematisch, dass die bewusste Entscheidung, eine Verschlüsselung zu verwenden, den Benutzern mit mehr Datenschutz-Bewusstsein womöglich negativ ausgelegt werden könnte. In Zeiten, in denen trotz des steigenden Datenschutz-Bewusstseins auch vieler „Normalos“ immer wieder versucht wird, die Nutzung von Verschlüsselung zu kriminalisieren oder als Verhaltensweise von Terroristen und anderen Kriminellen zu diskreditieren, ist das ein unnötiger Angriffspunkt. Würde die Verschlüsselung standardmäßig für alle Nutzer aktiviert, läge die Verantwortlichkeit allein bei Facebook – das eventuelle Angriffe, seien sie rhetorisch oder juristisch, wohl als Großkonzern weitaus besser verkraften kann.
Der menschliche Faktor
Auch rein praktisch gibt Facebooks Design-Entscheidung zur Kritik Anlass. Selbst wenn die verwendete Technik einen überzeugenden Sicherheitsstandard bietet, ist jedes Sicherheitssystem bekanntermaßen nur so gut wie die Menschen, die es benutzen. Geschichtsinteressierte kennen womöglich die Geschichte der (technisch überlegenen) deutschen Enigma, die von den Briten zeitweise vor allem deswegen entschlüsselt werden konnte, weil deutsche Funker immer wiederkehrende Floskeln (unter anderem „Heil Hitler“) benutzten. Auch in der Jetztzeit gibt es immer wieder Berichte über Fälle, in denen durch fahrlässiges Verhalten oder schlichten Irrtum Sicherheitssysteme kompromittiert wurden und sensible Daten in die unbefugte Hände gelangten. Ein gutes Sicherheitssystem muss daher nicht nur technisch überzeugen, es muss auch möglichst wenig Möglichkeiten für fatale Benutzerfehler bieten. In dieser Hinsicht ist der Facebook Messenger der Konkurrenz deutlich unterlegen: Wenn eine Verschlüsselung erst aktiviert werden muss, kann sie im entscheidenden Moment vergessen werden. Wird sie immer ganz automatisch verwendet, werden alle Konversationen gleichermaßen abgesichert und so dafür gesorgt, dass in jedem Fall auch die tatsächlich vertraulichen Gespräche sicher sind.
Licht und Schatten
Grundsätzlich ist Facebooks Entscheidung, in Sachen Verschlüsselung nachzurüsten, natürlich uneingeschränkt begrüßenswert. Ebenso ist es löblich, dass mit dem Signal-Protokoll eine bekanntermaßen gut durchdachte Technologie gewählt wurde. Durch den Verzicht auf eine standardmäßige Verschlüsselung aller Kommunikationsvorgänge wurde allerdings die Chance verschenkt, diesen Schritt zu einem wirklich großen zu machen. Es bleibt allerdings zu hoffen, dass hier zukünftig noch nachgebessert wird.
Image (adapted) „facebook messenger portable“ by downloadsource.fr (CC BY 2.0)
Artikel per E-Mail verschicken
Schlagwörter: APP NEWS, chat, chat app, Datenschutz, facebook, Facebook Messenger, kommunikation, Medien, sicherheit, Social Media, Standard, Technologie, Überwachung, Verschlüsselung
1 comment