Warum WhatsApp & Co im Unternehmensumfeld problematisch sein können
Die zahlreichen Messenger wie Signal und – allen voran – WhatsApp gehören für die meisten Nutzenden zum Alltag. Und längst sind diese Kommunikationsmittel auch im geschäftlichen Bereich angekommen. Doch die hohe Verbreitung macht sie zum attraktiven Ziel für Datensammler und Angriffe.
In dieser Datenschutz-Info zeigen wir, welche Datenschutzprobleme es bei populären Diensten gibt und welche Messenger als besonders datenschutzfreundlich gelten.
Wo Datenschutz in Messengern typischerweise leidet
Nutzende sehen bei der Verwendung von Messengern in erster Linie die Nachrichten selbst. Tatsächlich fallen jedoch bei der Kommunikation mit WhatsApp & Co. weitere Daten an. Denn selbst wenn Inhalte Ende-zu-Ende verschlüsselt sind, fallen Metadaten an. Aus diesen lässt sich nachvollziehen, wer mit wem, wann, wie oft und von wo Nachrichten ausgetauscht hat. Diese Daten können trotz Verschlüsselung für ein Profiling genutzt werden.
Auch das Adressbuch des Smartphones sollten Sie berücksichtigen. Viele Apps greifen darauf zu und gleichen das Telefonbuch ab. Zwar werden die Daten oft nur gehasht, also als Zeichenfolge codiert. Dennoch entstehen sensible Kontaktgraphen.
Eine besondere Bedeutung für den Datenschutz haben die Backupfunktionen der Messenger. Oft werden Sicherungskopien in der Cloud abgelegt. Dabei sollten Sie berücksichtigen, dass die Speicherorte oftmals außerhalb der EU liegen, was im Zweifel zu Konflikten mit den Anforderungen der DS-GVO führt.
Messenger gehören zu den beliebtesten Apps überhaupt. Doch die wenigsten Nutzenden sind sich
darüber bewusst, dass viele dieser Apps ein erhebliches Datenschutzrisiko darstellen können.
Viele Messenger bieten nicht nur Apps, sondern auch Versionen für den Computer. WhatsApp und Signal lassen sich beispielsweise als Desktop-Anwendungen betreiben. Bei einer solchen Mehr-Geräte-Nutzung kann eine fehlerhafte Multi-Device-Architektur die Ende-zu-Ende-Verschlüsselung untergraben, wenn der Schlüssel nicht allein auf den Endgeräten verbleibt.
Eine wenig beachtete, jedoch ernstzunehmende Schwachstelle ist die Telefonnummer Ihres Smartphones, wenn diese als Identitätsmerkmal des jeweiligen Messengers verwendet wird. Bei einem Angriff namens „SIM-Swapping“ übernehmen Angreifer durch geschicktes Ausspähen von Informationen die Telefonnummer des Opfers. Dadurch können sie Zugriff auf alle Informationen erlangen, die mit der jeweiligen Telefonnummer in Verbindung stehen.
Bedenken Sie jedoch auch, dass eine nicht mehr genutzte Telefonnummer bei einem anderen Nutzenden durch den Anbieter erneut vergeben werden kann.
Sicherheitsrisiko Messenger
Wie jede andere Software kann auch der Code eines Instant Messengers Fehler enthalten. Im besten Fall funktioniert die App dann nicht wie gewünscht. Im schlimmsten Fall wird der Messenger zum Einfallstor für Angreifer.
2018 wurde beispielsweise das iPhone von Amazon-Gründer Jeff Bezos mit einer Spionagesoftware infiziert. Die Quelle war ein Video, welches über WhatsApp versendet wurde. Bei einem solchen Angriff muss der Nutzende noch selbst aktiv werden und das Video öffnen.
Anders hingegen verhielt es sich mit der Spionagesoftware „Graphite“. Diese nistete sich – ebenfalls über WhatsApp – ohne Zutun des Nutzenden auf dem Smartphone ein. Ein sogenannter Zero-Click-Exploit ermöglichte die heimliche Installation auf dem Gerät.
Auch Phishing per Instant Message ist eine gängige Methode von Cyberkriminellen, Geld oder Zugangsdaten von den Opfern zu erhalten. In gefälschten Nachrichten geben sie sich als Freunde und Bekannte aus. Mit einem Hyperlink in einer Nachricht wird der Empfänger der Nachricht dann auf eine gefälschte Website geleitet, auf denen Zugangsdaten zu Onlinebanking oder anderen Accounts abgefragt werden.
Messenger im Datenschutz-Check
WhatsApp ist sicher das Flaggschiff unter den Messenger-Apps. Und sehr oft wird die App in Verbindung mit Datenschutzproblemen genannt, was durchaus auch berechtigt ist.
WhatsApp verarbeitet Textnachrichten, Fotos und Videos. Alle diese Inhalte sind durch die Ende-zu-Ende-Verschlüsselung geschützt. Die anfallenden Metadaten sind es jedoch nicht und können zu Tracking-Zwecken verwendet werden. Weitaus schwerwiegender ist der weitreichende Zugriff der App. Während der Installation erlangt WhatsApp Zugriff auf das Telefonbuch, wodurch alle Telefonnummern an WhatsApp übermittelt werden. Dies geschieht ohne Einwilligung der betroffenen Dritten, was datenschutzrechtlich problematisch ist.
Optional sind hingegen die Backups, die WhatsApp anlegt. Werden diese aktiviert, kann die Speicherung unverschlüsselt in der Cloud erfolgen, womit Backups potenziell für Dritte zugänglich werden.
Die meisten Instant Messenger liefern im Hinblick auf den Datenschutz ein schlechtes Bild.
Doch es gibt positive Ausnahmen, wie z. B. Signal oder Threema.
Allein aus diesen Gründen ist die Nutzung von WhatsApp in Unternehmen mit Risiken verbunden. Es kann zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kommen.
Der Facebook Messenger war lange das Sorgenkind der Datenschützer. Und er ist es noch. Zwar hat auch Meta erkannt, dass eine Ende-zu-Ende-Verschlüsselung notwendig ist und hat diese 2023/2024 eingeführt. Die App sammelt jedoch weiterhin Nutzungsdaten. Und es ist nicht auszuschließen, dass diese Daten zwischen den Meta-Diensten ausgetauscht werden.
Im Gegensatz zu den beiden genannten Anwendungen ist Signal ein Open-Source-Messenger. Der vollständige Quellcode sowohl der App als auch des Servers sind über GitHub abrufbar. Das bringt diesem Messenger den Vorteil, dass potenziell jeder Mensch überprüfen kann, was dieser Messenger tut und wie er funktioniert.
Tatsächlich hat Signal in einem Test der Stiftung Warentest im Jahre 2022 am besten abgeschnitten, wenngleich auch hier vor allem die mangelhafte Datenschutzerklärung kritisiert wurde. Dennoch ist Signal im Hinblick auf den Datenschutz einer der zuverlässigsten Messenger auf dem Markt.
Wer es noch ein wenig datenschutzfreundlicher möchte, greift zu Threema. Diese in der Schweiz entwickelte App setzt Maßstäbe im Hinblick auf Datenschutz und Anonymität. Denn Sie benötigen weder E-Mailadresse noch Telefonnummer, um einen Account zu eröffnen.
Die Herkunft des Entwicklers ist auch ein Pluspunkt. Im Gegensatz zum Meta-Konzern können Daten der Threema-Nutzenden nicht ohne Weiteres weitergegeben werden – schon gar nicht ohne deren Wissen. Hierfür ist eine Anordnung eines Schweizer Gerichts notwendig.
Metadaten werden von Threema nur im absolut notwendigen Umfang erzeugt und verworfen, wenn deren Zweck erfüllt ist. Zudem bestimmen die Nutzenden, wo und wie Backups gespeichert werden – entweder auf den Servern in den ISO27001-zertifizierten Rechenzentren in der Schweiz oder auf Ihrem eigenen Server.
„Leider gibt es ja keine Anbieter aus der EU!“
Ja, es stimmt. Das weite Feld der Messenger ist weitgehend in der Hand US-amerikanischer Anbieter, allen voran Meta. Trotzdem gibt es auch in der EU und sogar in Deutschland Anbieter von Messaging-Apps.
Ginlo wird von den Machern des E-Maildienstes GMX entwickelt und ist ein solcher Messenger. Sämtliche Server stehen in deutschen Rechenzentren, die nach IT-Grundschutz und ISO27001-zertifiziert sind.
Ginlo ist ein in Deutschland entwickelter Messenger mit besonderen
Vorkehrungen für eine sichere und datenschutzfreundliche Nutzung.
Eine Besonderheit: Ginlo nutzt nicht nur Ende-zu-Ende-Verschlüsselung. Auch die Daten auf den Endgeräten sind verschlüsselt. Um private und geschäftliche Kommunikation strikt zu trennen, bietet der Hersteller zwei Varianten der App an.
Was Sie tun können
Bei der Nutzung von Messengern im geschäftlichen (aber auch im privaten) Umfeld gibt es einige einfache Maßnahmen, mit denen Sie die Sicherheit und den Datenschutz angemessen berücksichtigen können.
- Sofern nicht standardmäßig aktiv: Ende-zu-Ende-Verschlüsselung einschalten. Nutzen Sie den Messenger Telegram, achten Sie auf „Secret Chats“.
- Speichern Sie Backups lokal oder auf einem eigenen Server, nicht in der Cloud des Anbieters, auch wenn dies einfacher und komfortabler erscheint.
- Aktivieren Sie Mehrfaktor-Authentifizierung, wenn das möglich ist.
- Achten Sie darauf, sowohl die App als auch das Betriebssystem des Smartphones bzw. Computers aktuell zu halten.
- Schalten Sie bei Smartphones die Displaysperre ein und sorgen Sie für eine starke PIN oder ein starkes Passwort.
- Laden Sie niemals Apps aus unsicheren Quellen, sondern immer über die offiziellen App-Stores. Das ist zwar keine Garantie, reduziert jedoch das Risiko für schadhafte Apps deutlich.
- Erteilen Sie Apps nur die Freigaben, die wirklich nötig sind. Eine ToDo-Liste benötigt keinen Zugriff auf die Kamera oder das Telefonbuch.
- Im Ausland unterwegs? Nutzen Sie Messenger, die ohne Telefonnummer und E-Mailadresse auskommen oder dezentral (ohne zentrale Server) betrieben werden.
Wenn Sie Fragen zu diesem Thema haben oder die von Ihnen genutzte Messenger-App auf Datenschutzfreundlichkeit oder Sicherheit testen lassen möchten, sprechen Sie uns an. Unser Expert:innen-Team hilft Ihnen schnell und unkompliziert.
Bleiben Sie sicher!
Das @-yet Datenschutzteam