Pseudosicherheit

- Lesezeit: 7 Minuten -

Grundsätzlich gilt:
Man muß den Menschen vertrauen, denen man Informationen zusendet - nicht einer technischen Funktion beim Empfänger, die dem Absender nur Pseudosicherheit suggeriert.

Gedanken zur „Sicherheit/Pseudosicherheit bei Messengersystemen“

Bevor man Pseudosicherheit versteht und erkennen kann, muß man sich zunächst kurz mit Sicherheit bei der Kommunikation und der damit zusammenhängenden Funktionalität auseinandersetzen …

Sicherheit

Immer wieder wird in Berichten, Übersichten und Empfehlungen zu Messengersystemen „Sicherheit“ als besonderes Merkmal hervorgehoben. Durch „beste“ Sicherheit sollen Nutzer oft dazu bewegt werden, ein bestimmtes System zu nutzen. Aber:

  • Was ist „Sicherheit“?
  • Ist „Sicherheit“ für jeden das Selbe?
  • Benötigt jeder eine verordnete Dosis „Sicherheit“ z.B. in Form von Ende-zu-Ende-Verschlüsselung?

Um diese Fragen beantworten zu können, sollte man kurz in sich gehen und überlegen, was man selbst unter Sicherheit überhaupt versteht. Ganz allgemein kann man Sicherheit unterscheiden in:

  • Informationssicherheit/Kriminalprävention (=Security) bei der Maschinen/Technik vor Menschen geschützt werden soll und
  • Betriebssicherheit / Unfallvermeidung (=Safety). Hier geht es darum, Maschinen/Technik so einzurichten und zu betreiben, um Menschen zu schützen.

Verschiedene Beispiele aus der Praxis:

  • Sicherheit im Datenschutz?
  • Sicherheit und Respektieren der Privatsphäre (Geheimnisse)?
  • Sicherung des freien und freiheitlichen Denkens und Entscheidens?
  • Rechtssicherheit?
  • Übertragungssicherheit?
  • Technische Sicherheit (Rückfallebenen, Datensicherungen, …)?
  • Physische (z.B baulich) oder organisatorische Sicherheit (z.B. Benutzerrechte)?
  • Sicherheit vor anlasslosem Mitlesen von staatlichen Stellen?
  • Kompromittierte Sicherheit durch menschliche Fehler/Irrtümer?
  • Ausfallsicherheit von Systemen?

oder einfach * Zukunftssicherheit?
Denn sollte letztendlich nicht alles Handeln darauf ausgerichtet sein!?

Pseudosicherheit

In der Kürze:
Pseudosicherheit entsteht, wenn (technische) Sicherheit nur vorgegaukelt oder versprochen wird.

Viele Maßnahmen und Funktionen, die den Zugriff auf gesendete/empfangene Informationen regeln wollen bzw. die Anzeige und Weiterverarbeitung technisch beschränken sollen, gaukeln „Sicherheit“ nur vor oder sind kaum einhaltbare Versprechungen. Sie haben nichts mit Übertragungssicherheit (Verschlüsselung) oder tatsächlicher Zugriffssicherheit (Passwörter, Zutrittssysteme, …) zu tun.

Funktionen die technisch versuchen, dem Empfänger Nachrichten nur eingeschränkt zur Verfügung zu stellen sind beispielsweise:

  • Bildschirmkopie-Sperre in Apps
  • keine Weiterleitung von Nachrichten ermöglichen („Weiterleitung verbieten“)
  • keine Speicherung auf Datenträger ermöglichen
  • „selbstzerstörende“ Nachrichten
  • automatische Nachrichtenlöschung nach bestimmter Zeit („Auto-Zerstörungs-Timer“)
  • „Autolöschen“ bei Abmeldung

Manche dieser Funktionen können jedoch für die eigene Speicherplatzorganisation sehr hilfreich sein.

Erklärung

„Mission-Impossible“-Funktionen wie z.B. selbstzerstörende Nachrichten werden gern geglaubt und lassen sich gut verkaufen! Allerdings können alle genannten technischen Möglichkeiten dem Absender nur gefühlte Sicherheit geben können. Das bedeutet, daß eine gefährliche Pseudosicherheit suggeriert und vermarktet wird!

Es liegt in der Natur der Sache, daß einmal versandte Informationen zumindest kurz im Einflußbereich des Empfängers sind (deshalb werden sie schließlich auch versendet!). Und da der Absender in der Regel keinerlei Kontrolle über den Empfänger, dessen Umfeld und das Endgerät selbst hat, gibt es viele Möglichkeiten, durch die die genannten Funktionen in Punkto Sicherheit wirkungslos bleiben oder wirkungslos werden:

Gruppe Methode
Normalnutzer
  • Mitlesen durch Dritte (wird oft unterschätzt!)
  • Weiterleiten
  • Bildschirmkopie
  • Für Clevere
  • Fotografieren
  • Kopieren über Zwischenspeicher
  • Sicherungskopie in Cloud
  • Kopie/Zugriff per „Fremdapp“
  • Für Spezialisten
  • Sicherungsvorgänge am Gerät („Backup“)
  • Sicherung auf 2. Gerät (Parallelinstallation)
  • Für Android:
  • Sicherungen am/auf PC mittels ADB (Android Debug Bridge)
  • auch ganz schön - und ganz schön einfach - ist das Deaktivieren der Sperre für Bildschirmkopien (extern)
    Zitat: „This lets you take screenshots and do screen capture in apps that normally won’t let you.“
  • Für Experten/Forensiker
  • Direktes Auslesen von Speicherinhalten
  • Erstellen von gerichtsfesten Speicherabbildern für Analysezwecke
  • Es ist deshalb nicht nur schwierig, sondern unmöglich einen Messenger zu finden, der einen funktionierenden Schutz vor Informationsweitergabe bieten soll und bei dem der Absender die Kontrolle über einmal versendete Inhalte behält. Wenn Inhalte angezeigt werden sollen, müssen sie an den Empfänger übertragen werden - und wenn sie einmal angekommen sind, findet sich wie aufgezeigt mindestens ein Weg …

    Nachrichtenkorrektur

    Ein Sonderfall ist die Nachrichtenkorrektur, denn selbst hierdurch kann Sicherheit suggeriert werden. Die Funktion ist eigentlich für eine nachträgliche Korrektur z.B. von Rechtschreibfehlern oder inhaltlichen Änderungen vorgesehen. Einmal gesendete Nachrichten können aber auch durch eine Nachrichtenkorrektur nicht gelöscht werden.

    Funktionsweise:
    Die ursprüngliche (erste) Nachricht bleibt auch beim Empfänger weiterhin erhalten, und die zuletzt nachfolgende „Korrektur“-Nachricht kann dann an Stelle der vorherigen angezeigt werden. Das hängt jedoch von den jeweiligen Einstellungen und Möglichkeiten der verwendeten Programme/Apps ab. Je nachdem werden beim Empfänger also alle vom Absender gesendeten Nachrichten angezeigt oder bei der Nachricht erscheint eine optische Kennzeichnung, daß diese korrigiert wurde.

    Das kann weitreichende Folgen haben wie dieses Beispiel zeigt: Man steht gemeinsam in einer Gruppe, erhält eine Nachricht und sagt: „Hey schaut mal, was xy verbreitet!“ Der Absender löscht die Nachricht und denkt „Das hat zum Glück keiner gesehen …“

    Diese Funktion ist also nett und praktische, um beispielsweise Rechtschreibfehler in versendeten Nachrichten optisch zu „korrigieren“. In Verbindung mit Sicherheit sollte dies jedoch nicht gebracht werden.

    Lesebestätigungen

    Ergänzend noch der Hinweis, daß es oft relativ einfach ist, die äußerst praktischen Lesebestätigungen zu unterdrücken oder zu verfälschen: Einfach nach dem Nachrichtenempfang die Internetverbindung trennen und dann erst lesen.

    Wenn also ein „Gelesen“-Haken noch nicht zu sehen ist, hat das gar nichts zu bedeuten und man hat diesbezüglich auch keine Sicherheit.

    Entscheidungsträger

    Werbeaussagen, die Pseudosicherheit versprechen, sind wie Blendgranaten. Solche „Sicherheitsfunktionen“ sollten wenn überhaupt, dann nur mit größter Vorsicht als Entscheidungskriterium verwendet werden. Denn je nach Standpunkt kann eine solche Funktion als Vorteil oder auch als Nachteil gesehen werden. Auf alle Fälle darf ein solches Kriterium nicht überbewertet werden.

    Zusammenfassung/Fazit

    Grundsätzlich gilt:
    Man muß den Menschen vertrauen, denen man Informationen zusendet - nicht einer technischen Funktion beim Empfänger, die dem Absender nur Pseudosicherheit suggeriert.

    Ergänzende Informationen:

    Datum: 22.04.2022
    Rechte: CC BY-SA
    Autoren: Diverse (Initiative Freie Messenger)


    Alle Artikel/Gedanken rund um das Thema Messenger: