Kommunikation, Email, Messenger, Telefone, Chats, VOIP 1.243 Themen, 8.008 Beiträge

News: Fragwürdige Bewertungen

Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet

Michael Nickles / 9 Antworten / Baumansicht Nickles

Als Facebook den Messenger-Dienst Whatsapp für sensationelle 19 Milliarden Dollar geschluckt hat, sind über Nacht auch andere Messenger-Systeme bekannt geworden, von denen viele zuvor wohl noch nie etwas gehört haben. Und ein Teil der Messenger-Nutzer hat gar gelernt, dass das mit der Privatsphäre eine durchaus bedenkliche Sache ist.

Vertrauenswürdig ist ein Messenger-System nur dann, wenn es eine Ende-zu-Ende Verschlüsselung hat, auf dem Weg zwischen den "Gesprächspartnern" niemand im Klartext mitlesen kann. Eine Verschlüsselung wiederum ist nur dann glaubhaft, wenn ein Messenger vollständig Open Souce ist, jeder seinen Programmcode überprüfen kann.

Dem aktuellen Trend Folge leistend, hat die Stiftung Warentest jetzt Whatsapp und die Alternativen untersucht, einem "Datenschutztest" unterzogen. Die Stiftung weißt ausdrücklich darauf hin, dass es beim Test ausnahmslos um den Datenschutzfaktor ging. Funktionsvielfalt und Bedienbarkeit spielten keine Rolle.

Das (gewiss völlig überraschende) Testergebnis: Whatsapp ist durchgefallen, der Datenschutz wurde als "sehr kritisch" eingestuft. Es gibt keine Ende-zu-Ende-Verschlüsselung, keine Quelloffenheit und auch die AGB fielen im Test wegen zahlreicher verbraucherfeindlicher Passagen auf.

Als unkritisch bei Datenschutz wurde die kostenpflichtige Alternative Threema bewertet. Hier reichte es der Stiftung Warentest, dass Threema eine Ende-zu-Ende-Verschlüsselung hat. Es wurde darauf hingewiesen, dass Threema zwar keine quelloffene Software ist, aber das hat die Testnote "unkritisch" nicht getrübt.

Die kostenlose Alternative "Telegram" erntete das Testurteil "kritisch". Und zwar, weil die Ende-zu-Ende-Verschlüsselung zwar vorhanden ist, aber erst aktiviert werden muss. Gestört hat die Stiftung auch, dass es bei Telegramm kein Impressum und auch keine Kontaktadresse für Datenschutzfragen gibt. Auch die Tatsache, dass Telegram die einzige der getesteten Lösungen ist, die zumindest teilweise quelloffen ist, konnte die schlechte Bewertung nicht verhindern. Die Tester teilten mit, dass sie die Datenverschlüsselung mangels nicht komplett offenen Quellcodes nicht analysieren konnten. Dennoch können sie (wie auch immer) ausschließen, dass Daten unverschlüsselt transportiert werden.

Zu den Testverlierern (Bewertung "sehr kritisch!") zählt der Blackberry Messenger. Der ist nicht quelloffen und es konnte nicht verifiziert werden, ob eine Ende-zu-Ende-Verschlüsselung stattfindet. Abwertend war auch, dass sich in den AGB mehrere Klauseln fanden, die als problematisch eingestuft wurden. Blackberry bewillige sich recht üppige Informationssammlung und auch großzügige Rechte zur Datenweitergabe an Dritte.

"Sehr kritisch" kassierte auch die eher unbekannte Alternative "Line": keine Quelloffenheit, keine Ende-zu-Ende-Verschlüsselung. Gekrönt wird das dann noch von den AGB, in denen sich der Anbieter das Recht herausnimmt, Bestimmungen jederzeit sofort zu ändern, ohne seine Nutzer darüber zu informieren.

Michael Nickles meint:
(Foto: mn)

Was für ein Scheiß! Testsieger (einziger mit Bewertung "unkritisch") wurde Threema, eine Lösung, die nicht quelloffen ist. Das ist nicht akzeptabel. Die Stiftung Warentest sollte diese Bewertung schleunigst ändern, oder besser: den kompletten unsinnigen Bericht einfach wegschmeißen.

So wurde beispielsweise mit keinem Wort auch nur angemerkt, dass es auch diverse Open Source Lösungen gibt, die beide entscheidenden Voraussetzungen erfüllen: Quelloffen und mit Ende-zu-Ende-Verschlüsselung. Das sind aber halt eher exotische Messenger, die kaum wer kennt  und nutzt - und die damit leider eher sinnlos sind.

Komplett auf der Strecke bleibt beim "Test" schließlich die ernüchternde Tatsache, dass kein Messenger-System auch nur den Hauch einer Chance hat, "unkritisch" zu sein. Alles, was bei einem Gerät auf einem Display erscheint oder irgendwie eingegeben wird, das kann auch problemlos durch eine "Hintertür" mitgelesen werden.

Basis für einen Datensicherheits-unkritischen Messenger ist also ein Betriebssystem, auf dem sich garantiert keine Viren und Trojaner einschleusen lassen. Wer eins kennt: bitte melden!

bei Antwort benachrichtigen
jueki Michael Nickles

„Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet“

Optionen

Nein, ich kenne kein solches System.
Nur aber kann ich mich daran erinnern, das anfangs eine direkte ICQ- Verbindung von PC zu PC möglich war. Erst vor einigen Jahren wurde das geändert - der Datenstrom wurde plötzlich über deren Server geleitet. Angeblich, um die unbedarften User zu schützen. Was ich sofort vollinhaltlich glaubte und mir einen eigenen Server bastelte...

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
RW1 jueki

„Nein, ich kenne kein solches System. Nur aber kann ich mich ...“

Optionen

Datenschutz bei Postkarten! Lächelnd

Etwas anderes sollen doch SMS und WhatsApp überhaupt nicht sein!

Bei allen Systemen werden die Adressbücher zum Abgleich "befreundeter" Nutzer an den Server des Betreibers übertragen. Was dort dann damit geschieht entzieht sich dem Anwender vollkommen.

Nun kommt es zur "Nachricht". Wer glaubt denn ernsthaft hierbei "vertrauliche" Dokumente bzw. Informationen austauschen zu können, die dann auch vertraulich bleiben? Bei Threema scheint dies zwar der Fall zu sein, aber hier weiß niemand, ausser den Betreibern, was auf den Servern mit den Nachrichten geschieht. Wir glauben denen mal, dass sie nicht reingucken (können?). Aber auch damit würde ich niemals vertrauliche Mitteilungen ausstauschen.

In so fern geb ich Dir, Mike, 100% Recht mit:

Was für ein Scheiß! Testsieger (einziger mit Bewertung "unkritisch") wurde Threema, eine Lösung, die nicht quelloffen ist. Das ist nicht akzeptabel.

Für einen vertraulichen Datenaustausch gibt es Lösungen, die aber m.E. niemals WhatsApp & Co. heissen können.

Helau uns Allaf usw.

Gruß

Ralf

bei Antwort benachrichtigen
Fetzen Michael Nickles

„Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet“

Optionen

Mal ohne Gewehr, Gewähr und Garantie, aber wie wäre es mit Sailfish? 100% dürfte es niemals geben, es sei denn, man flüstert es sich vor einem aufgedrehten Lautsprecher im dunklen Raum ins Ohr. Ich glaube aber, dass Sailfish die bessere Richtung eingeschlagen hat. Mal sehen, ob das so bleibt.

https://sailfishos.org/

Das wahre Leben ist nicht der Kampf zwischen Gut und Böse, sondern zwischen Böse und noch Schlimmeren!(Joseph Brodsky)
bei Antwort benachrichtigen
mi~we Michael Nickles

„Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet“

Optionen
jeder seinen Programmcode überprüfen kann.

Und wer sagt mir, daß irgendein Programmcode der irgendwo veröffentlicht wird, auch tatsächlich der ist, der beim Kompilieren verwendet wird? Oder ist das jetzt zu paranoid?

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
mawe2 mi~we

„Und wer sagt mir, daß irgendein Programmcode der irgendwo ...“

Optionen

Die gleiche Überlegung hatte ich vor ein paar Monaten auch schon mal geäußert. Da wurde mir von einigen Vertretern der Open-Source-Sparte versichert, dass jegliche Manipulation dieser Art sofort auffallen würde.

Ich habe da dennoch auch weiterhin Zweifel (so wie Du) und kann mir sehr gut vorstellen, dass z.B. gängige OS-Software in Umlauf kommen kann, die nicht von den geprüften (und für sicher befundenen) Quelltexten abstammt sondern die vor dem Compilieren noch "verunsichert" wurde.

Vielleicht fällt das dann wirklich irgendwann mal auf. Die Frage ist: Wie lange dauert es bis dahin? Und wird der Benutzer auch wirklich gewarnt?

Klar: Wenn man die Downloads immer von den Original-Servern macht, sollten die Compilate schon einigermaßen OK sein. Aber oft genug wird man gar nicht zweifelsfrei wissen können, welcher Server nun der "Orignal-Server" ist. Bzw. man "kauft" die Katze im Sack, in dem man eine Distribution XYZ installiert und kann nicht wirklich sicher sein, dass der Herausgeber dieser Distribution nur Gutes im Schilde führt.

Zwar ist Closed-Source-Software keineswegs eine brauchbare Alternative dazu; so leicht, wie man allerdings Open-Source-Software manipulieren und in Umlauf bringen kann, ist es bei Closed-Software nicht!

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Maybe mawe2

„Die gleiche Überlegung hatte ich vor ein paar Monaten auch ...“

Optionen

Moin,

ich weiß, ist sicherlich OT, aber dennoch.

Ich streite nicht ab, mit Linux sicherer zu fahren, nicht umsonst nutze ich nur noch Debian für z.B. Online-Banking, ebay und Co.

Aber nehmen wir mal an, ich lade mir ein kompromitiertes Image vielleicht nicht von debian.org runter und installiere dieses. Auch wenn danach auffallen mag, dass es kompromitiert ist, habe ich es dennoch auf dem Rechner. Wenn ich jetzt nicht fleißig in der Community mitlese, wer bitte warnt mich denn dann?

Das diese Veränderungen durch ein Update behoben wird, wage ich auch zu bezweifeln.

Das viele Augen wachen, macht lediglich die Wahrscheinlichkeit kleiner, aber nicht unmöglich.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
mawe2 Michael Nickles

„Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet“

Optionen
Basis für einen Datensicherheits-unkritischen Messenger ist also ein Betriebssystem, auf dem sich garantiert keine Viren und Trojaner einschleusen lassen. Wer eins kennt: bitte melden!

Mit Messengern habe ich keinerlei Erfahrung.

Aber: Wenn man die Prämisse, dass kein momentan existierendes OS sicher vor Malware ist, als Grundlage für die Abschätzung der Datensicherheit bei irgendwelchen Programmen macht, dann braucht man bei keinem Programm mehr nach Datensicherheit fragen (oder sie hinterfragen).

Es geht ja wohl weniger darum, dass der Datenschutz im Falle eines Malwarebefalls in Frage gestellt wird sondern dass er bei den o.g. Programmen auch ohne Zutun von Malware nicht gewährleistet wird!

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
reader Michael Nickles

„Stiftung Warentest hat Datenschutz bei Whatsapp und Co getestet“

Optionen

wurde stiftung warentest auch mal getestet? weil ADAC schon mal durchgefallen ist.

bei Antwort benachrichtigen
OlliRecter reader

„wurde stiftung warentest auch mal getestet? weil ADAC schon ...“

Optionen

Also ich traue Facebook mit WhatsApp nicht über den Weg, und fände es unerhört, wenn die dort genau wie bei Facebook ALLE privaten Gespräche/Emails auf Ihren Servern speichern würden.

Finde ich schlimmer, als Trojaner, lach ! 

bei Antwort benachrichtigen