EFF: Nur 6 von 39 Messaging-Apps bieten grundlegende Sicherheitsfunktionen

Die amerikanische Nichtregierungsorgansiation Electronic Frontier Foundation (EFF), die sich für Grundrechte im Digitalzeitalter einsetzt, hat die Sicherheit von 39 Messaging-Anwendungen untersucht. Ihr zufolge garantieren nur 6 Apps die für die Kommunikation über das Internet benötigte Sicherheit. Auch beliebte Angebote wie Facebook Chat, Apples FaceTime und iMessage, Microsofts Skype und Yahoo Messenger erfüllen laut Ars Technica nicht alle sieben Kriterien, die die EFF für eine sichere Messaging-App aufgestellt hat.

Unter anderem fordert die EFF die Implementierung von Perfect Forward Secrecy sowie eine unabhängige Sicherheitsprüfung des Quellcodes einer Anwendung. Ersteres soll verhindern, dass ein kompromittierter geheimer Langzeitschlüssel benutzt werden kann, um damit ausgehandelte Sitzungsschlüssel zu erraten.

Die Forderung begründet Peter Eckersley, bei der EFF für Technologieprojekte zuständig, mit der zunehmenden Überwachung durch Regierungsorganisationen. Die Studie wiederum solle Anbietern helfen, sichere Kommunikationssoftware zu entwickeln.

„Wir beobachten ein noch nie dagewesenes Interesse an der Lösung dieser Probleme“, zitiert Ars Technica Eckersley. „Wir wissen zwar noch nicht, wie die beste Lösung aussehen wird, deswegen versuchen wir eine Liste aufzustellen, damit jeder die Regeln kennt, die es zu befolgen gilt.“

Fast jede der untersuchten Apps verschlüsselt die Kommunikation während der Übertragung. Darüber hinaus prüfte die EFF auch, ob die Verschlüsselung auch verhindert, dass ein Provider die Nachrichten lesen kann, ob die Identität von Kontakten ermittelt werden kann und ob die Sicherheitsfunktionen dokumentiert wurden.

Unter den sechs Anwendungen, die alle sieben Kriterien erfüllen, findet sich jedoch keiner der großen Anbieter: ChatSecure, CryptoCat, Signal-App für Redphone, Silent Phone, Silent Text und TextSEcure. Von den massenhaft genutzten Messaging-Apps seien Apples FaceTime und iMessage die sichersten. Aber auch die Anwendungen, die alle geforderten Sicherheitsfunktionen enthielten, könnten in einem autoritären Staat keine vertrauliche Kommunikation garantieren, ergänzte Eckersley.

„Eine perfekte Wertung ist mehr ein erster Schritt als ein endgültiger Sieg“, sagte Eckersley. Es fehlten noch Machbarkeitsstudien, der Schutz von Metadaten, unabhängige Prüfungen und weitere Sicherheitsmaßnahmen, bevor man zu einer anderen Anwendung wechseln könne. „Ein gutes kryptografisches Design sollte keine erheblichen Unannehmlichkeiten verursachen, und es sollte auch keine zusätzliche Arbeit als Voraussetzung für die Nutzung des Systems verursachen.“

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago