Zweifelhafte Ergebnisse in aktueller Untersuchung – Apple und Google schneiden auch gut ab

Angesichts der globalen Überwachung des Internets, stellen sich immer mehr Nutzer die Frage: Bei welchem Messenger sind meine Konversationen wirklich sicher vor jeglichen unerwünschten Mitlesern? Insofern ist es erfreulich, dass sich die Menschenrechtsorganisation Amnesty International in einem aktuellen, fünfzigseitigen Bericht ausführlich diesem Thema widmet. Die daraus resultierenden Ergebnisse sorgen nun aber unter Sicherheitsexperten für einige Verwunderung.

Facebook???

Im "Message Privacy Ranking" von Amnesty steht ein Unternehmen an der Spitze, von dem es wohl nur wenig erwartet haben: Facebook. Dieses kommt mit seinem Facebook Messenger sowie mit WhatsApp auf einen Wert von 73 von 100 möglichen Punkten. An zweiter Stelle folgt dann Apple mit seinem iMessage sowie FaceTime ex aequo mit Telegramm, beide kommen auf 67 Punkte. Bereits an der vierten Position dann ein Unternehmen, das viele wohl auch nicht in so prominenter Position erwartet hätten, und zwar Google.



grafik: amnesty international Die bestplatzierten Unternehmen in der Wertung von Amnesty.

Das insgesamt aus elf Anbietern bestehende Ranking wurde anhand einer Reihe von Kriterien erstellt, etwa der Frage, ob Ende-zu-Ende-Verschlüsselung von Haus aus aktiviert ist. Wie der Hersteller auf Regierungsanfragen reagiert, und wie transparent man mit diesen Dingen umgeht, ist ebenfalls Teil der Wertung.

Seltsamer Blickwinkel

Bei näherer Betrachtung fallen schnell mehrere Defizite des Ansatzes von Amnesty auf, allen voran wer aller nicht in das Ranking aufgenommen wurde. So wurde etwa das als besonders sicher geltende – und wiederholt von NSA-Whistleblower Edward Snowden empfohlene – Signal nicht getestet. Die Studienautoren sprechen von einer zu kleinen Nutzerbasis, da man nur Dienste untersuchen wollte, die mehr als 100 Millionen Nutzer haben. Angesichts dieser Argumentation verblüfft allerdings, dass dann Googles neuer Messenger Allo sowie der Video-Chat-Client Duo in dem Ranking zu finden sind, da beide längst nicht auf entsprechend vielen Geräten zu finden sind. Dies ergibt sich offenbar durch die Organisation der Bewertung in Unternehmen, da Allo und Duo damit mit Hangouts zusammengerechnet wurden.

Überhaupt führt diese Art der Betrachtung, also alle Messenger und Chat-Produkte eines Unternehmens zusammenzufassen, zu einem guten Teil zu dem verblüffenden Ergebnis. So bietet etwa Googles Hangouts keinerlei Ende-zu-Ende-Verschlüsselung während diese bei Googles Video-Chat-Client Duo von Haus aus – und als einzige Option – aktiviert ist, und Allo ein solches Feature optional anbietet. Im Schnitt ergibt sich also ein mittleres Ergebnis, das freilich nichts über die einzelnen Produkte aussagt. Dass es beim Facebook Messenger und WhatsApp ebenfalls signifikante Unterschiede in Hinblick auf den realen Schutz der Daten gibt, geht unter diesem Aspekt ebenfalls verloren.

Fehlende Details

Ein weiterer problematischer Punkt der Studie: Auf fortgeschrittene Fragen zur Verschlüsselung wird gar nicht eingegangen, also etwa zur Qualität der Umsetzung. So hat keinerlei Einfluss, ob die Schlüssel der Diskussionspartner verglichen werden können. Auch komplexere Fragen, wie dass bei WhatsApp die – unverschlüsselte – Backup-Funktion die Ende-zu-Ende-Verschlüsselung oftmals effektiv unterwandert, haben keinen Einfluss auf die Wertung.

Weniger umstritten ist hingegen das Ende des Rankings: Dort positioniert sich der chinesische Messenger WeChat, von dem de facto keinerlei Privatsphäre zu erwarten sei. Auch für Snapchat und Microsoft (Skype) gibt es aufgrund fehlender Ende-zu-Ende-Verschlüsselung schlechte Noten.

Trotzdem lohnt es sich für all jene, die intensiver an der Thematik interessiert sind, den Bericht zu lesen, hat man doch dafür renommierte Verschlüsselungsexperten wie Matthew Green von der Johns Hopkins Universität befragt. Das Ranking selbst sollte man aber aufgrund all der methodischen Probleme lieber nicht allzu ernst nehmen. (apo, 27.10.2016)