EFF: Nur 6 von 39 Messaging-Apps bieten grundlegende Sicherheitsfunktionen

Die amerikanische Nichtregierungsorgansiation Electronic Frontier Foundation (EFF), die sich für Grundrechte im Digitalzeitalter einsetzt, hat die Sicherheit von 39 Messaging-Anwendungen untersucht. Ihr zufolge garantieren nur 6 Apps die für die Kommunikation über das Internet benötigte Sicherheit. Auch beliebte Angebote wie Facebook Chat, Apples FaceTime und iMessage, Microsofts Skype und Yahoo Messenger erfüllen laut Ars Technica nicht alle sieben Kriterien, die die EFF für eine sichere Messaging-App aufgestellt hat.

Unter anderem fordert die EFF die Implementierung von Perfect Forward Secrecy sowie eine unabhängige Sicherheitsprüfung des Quellcodes einer Anwendung. Ersteres soll verhindern, dass ein kompromittierter geheimer Langzeitschlüssel benutzt werden kann, um damit ausgehandelte Sitzungsschlüssel zu erraten.

Die Forderung begründet Peter Eckersley, bei der EFF für Technologieprojekte zuständig, mit der zunehmenden Überwachung durch Regierungsorganisationen. Die Studie wiederum solle Anbietern helfen, sichere Kommunikationssoftware zu entwickeln.

„Wir beobachten ein noch nie dagewesenes Interesse an der Lösung dieser Probleme“, zitiert Ars Technica Eckersley. „Wir wissen zwar noch nicht, wie die beste Lösung aussehen wird, deswegen versuchen wir eine Liste aufzustellen, damit jeder die Regeln kennt, die es zu befolgen gilt.“

Fast jede der untersuchten Apps verschlüsselt die Kommunikation während der Übertragung. Darüber hinaus prüfte die EFF auch, ob die Verschlüsselung auch verhindert, dass ein Provider die Nachrichten lesen kann, ob die Identität von Kontakten ermittelt werden kann und ob die Sicherheitsfunktionen dokumentiert wurden.

Unter den sechs Anwendungen, die alle sieben Kriterien erfüllen, findet sich jedoch keiner der großen Anbieter: ChatSecure, CryptoCat, Signal-App für Redphone, Silent Phone, Silent Text und TextSEcure. Von den massenhaft genutzten Messaging-Apps seien Apples FaceTime und iMessage die sichersten. Aber auch die Anwendungen, die alle geforderten Sicherheitsfunktionen enthielten, könnten in einem autoritären Staat keine vertrauliche Kommunikation garantieren, ergänzte Eckersley.

„Eine perfekte Wertung ist mehr ein erster Schritt als ein endgültiger Sieg“, sagte Eckersley. Es fehlten noch Machbarkeitsstudien, der Schutz von Metadaten, unabhängige Prüfungen und weitere Sicherheitsmaßnahmen, bevor man zu einer anderen Anwendung wechseln könne. „Ein gutes kryptografisches Design sollte keine erheblichen Unannehmlichkeiten verursachen, und es sollte auch keine zusätzliche Arbeit als Voraussetzung für die Nutzung des Systems verursachen.“

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de