Nutzer haben geringes Bewusstsein für Verschlüsselung von Chats
Seit kurzem bieten eine Reihe von Instant-Messaging-Diensten wie WhatsApp und Facebook Messenger Ende-zu-Ende-Verschlüsselung als Standard-Feature an, um Gespräche vertraulich zu halten. Das ist nicht nur für private Chats vorteilhaft, sondern auch in der Geschäftswelt, da Messaging-Apps immer öfter auch für geschäftliche Kommunikation genutzt werden.
Aber: Verstehen die Anwender wirklich, welche Schutzmassnahmen aktiv sind? Und selbst wenn, ist dieser Schutz für sie überhaupt ein wichtiges Kriterium bei der Wahl eines Dienstes?
Geringes Verständnis
Auf diese Fragen gibt eine im Rahmen des ‚2016 Symposium on Usable Privacy and Security‘ vorgestellte Studie Antwort. Autoren sind die Google-Forscher Alexander De Luca, Martin Ortlieb, Iulia Ion, Ben Laurie sowie Sauvik Das von der Carnegie Mellon University. Sie zeigen, dass viele Nutzer gar nicht wissen, ob ihre Apps Verschlüsselung nutzen.
Im Rahmen der Studie wurden Personen in den USA, im Vereinigten Königreich und in Deutschland befragt. In allen drei Ländern waren die am meisten genutzten Dienste WhatsApp, Facebook Messenger und Google Hangouts – wobei WhatsApp in den USA weit weniger beliebt war als die anderen beiden Messenger.
Die Ergebnisse deuten auf ein geringes Bewusstsein für verschlüsselte Sofortnachrichten im Vereinigten Königreich und den USA hin, denn mehr als die Hälfte der Befragten in beiden Ländern hatten zuvor noch nie etwas darüber gehört. Und, sogar von denen mit der Thematik vertrauten Personen nutzt nur eine kleine Minderheit regelmässig verschlüsselte Dienste.
In Deutschland war die Situation etwas besser, dort hatte die Mehrheit bereits von sicheren mobilen Instant-Messaging-Lösungen gehört. Aber – obwohl die regelmässige Nutzung dieser Dienste höher war als in den USA und im Vereinigten Königreich – wurde auch in Deutschland nur ein Bruchteil der Chats verschlüsselt.
Allerdings wurde die Studie durchgeführt, kurz bevor WhatsApp ankündigte, von nun an Ende-zu-Ende-Verschlüsselung als Standard einzuführen. Die tatsächliche Nutzung verschlüsselter Dienste sollte jetzt also etwas höher liegen, selbst wenn den Endanwendern oft nicht bewusst ist, dass sie Verschlüsselung nutzen.
Interessant, aber beunruhigend: Etwa sieben Prozent der Befragten dachten, dass sie eine sichere, verschlüsselte App nutzten, obwohl das gar nicht der Fall war. Die Instant-Messaging-Anbieter haben also noch einiges zu tun, um ihre Nutzer über die tatsächlichen Funktionalitäten zu informieren.
Warum wird Verschlüsselung ignoriert?
Das mag nicht überraschend sein, denn insgesamt ist ein besserer Schutz der Nachrichten den meisten IM-Nutzern kein wichtiges Anliegen. So sagten nur 5,6 Prozent der befragten Amerikaner und 3,4 Prozent der Briten, dass sie ihre bevorzugte App aufgrund der Sicherheitsfunktionalitäten gewählt hatten – in Deutschland traf dies immerhin auf 13,1 Prozent der Befragten zu.
So war der wichtigste Grund für die Wahl einer bestimmten App die Nutzung durch Freunde und Bekannte. Danach folgte die Begründung, dass der Dienst kostenlos und bereits auf dem Endgerät vorinstalliert war. Anzeichen dafür, dass für die meisten Menschen bei Chat-Apps Bequemlichkeit vorrangig ist, nicht Sicherheit.
„Bei unserer Untersuchung war Usability der Hauptgrund, aus dem Anwender von der Nutzung sicherer IM-Dienste absahen“, heisst es im Bericht. „Bietet ein sicherer Dienst nicht die gewünschten Features oder ist er schwieriger zu nutzen als ein gängiger Messenger, verzichten die Nutzer lieber darauf.“
Wollen wir Verschlüsselung weiter voran bringen, muss sie also so unaufdringlich wie möglich umgesetzt sein und natürlich auch gerade in den Apps, die die meisten Menschen täglich nutzen – es bringt nicht viel, wenn eine sehr sichere, verschlüsselte App angeboten wird, ich damit aber keinen meiner Bekannten erreiche, weil die etwas anderes nutzen.
Deswegen ist es so wichtig, dass WhatsApp und Co. Verschlüsselung als Default und nicht als optionales Feature, das man extra anschalten muss, anbieten. Möglichst alle Chat-Dienste sollten es ihnen nachmachen.
Irgendwas mit Datenschutz und InfoSec...
8 JahreWir haben auch gerade wieder unsere Wiederholung des großen Messangertests gestartet ( https://lnkd.in/bWuzmqq) und legen unseren Fokus da natürlich vor allem auf die Verschlüsselung und Datensicherheit. Ich muss gestehen, ich besitze nicht mal ein Smartphone, eben aus diesen Gründen - Diese Datengier von allem und jedem geht mir auf den Zünder.
Die eben angesprochene Thematik E-Mail/Telefon haben ebenfalls seine dazugehörigen Schwachstellen. Sämtlichen Attacken können über Man-in-the-Middle Angriff lanciert werden. Hier gibt es unzähligen angriffe die ebenfalls versucht werden können. Schwache Verschlüsselungen Algorithmen und Hashfunktionen. Unverschlüsselt (MTA) Mail Server Kommunikation Oft wird bei VOIP Telefonie Unverschlüsselt Kommuniziert. Wie bereits beschrieben, weil nur ent-to-end Verschlüsselung steht heisst nicht das es eben Sicher ist.
„Du selbst zu sein, in einer Welt die dich ständig anders haben will, ist die größte Errungenschaft.“
8 JahreDarum nutze ich so wenig wie möglich IM's. Es würde ja nicht reichen wenn nur eine Seite verschlüsselt sendet. Auch wenn es mittlerweile einigen nicht passt, müssen sie bei mir mit E-Mail, Telefon oder Skype vorlieb nehmen. Wem das nicht gefällt, der muss sich halt andere Leute suchen. Sicherheit geht nun mal vor.
Vielen ist die Verschlüsselung evt. auch egal, da sie sich denken : "Meine Gespräche interessieren eh keinen. Die liest eh keiner!". Ich mache mir da auch wenig Sorgen, wenn ich mit meiner Frau schreibe, was wir abends essen sollen.