Signal – meine Empfehlung für sichere Kommunikation

Bei aller Hysterie um beA und DSGVO dürfen wir nicht vergessen, dass die Deklaration von Datenschutz und das Abheften von Dokumenten nur bedingt hilft. Was also tun, wenn wir z. B. mit einem Mandanten wirklich mal ungestört kommunizieren müssen – sagen wir, weil die Mafia oder das Finanzamt hinter ihm her ist?

Aus Krimis weiß man, dass man sich dann am besten persönlich auf dem Parkplatz trifft – oder halt in der Kanzlei. Ist das zu gefährlich oder einfach nur zu umständlich, stellt sich die Frage nach möglichst sicherer elektronischer Kommunikation.

Ende-zu Ende-Verschlüsselung

Was man will, ist Ende-zu Ende-Verschlüsselung, d.h. die Nachricht liegt unverschlüsselt nur auf den Geräten – in  unserem Fall des Mandanten und des Anwalts – vor. Wobei im Idealfall die Nachricht nur solange unverschlüsselt ist, wie sie von den Berechtigten geschrieben bzw. gelesen wird.

Schwierig wird es bei den sog. Verkehrsdaten, d. h. in aller Regel können Außenstehende auch bei verschlüsselten Nachrichten sehen, dass und mit wem eine Kommunikation stattgefunden hat und wann die war.

Mögliche Kandidaten

Für den  E-Mail-Verkehr haben sich PGP und S/MIME bewährt – wenn auch leider nicht wirklich etabliert.

Auch mit den üblichen Messengern (WhatsApp, iMessage) lässt sich inzwischen sicher kommunizieren – sagen jedenfalls Facebook und Apple.

Edward Snowden empfiehlt Signal auf Twitter

Wer denen nicht traut, sollte einen Blick auf alternative Messenger wie Signal, Telegram oder Threema werfen. Mir war aufgefallen, dass meine Bekannten, die sich am besten mit IT-Sicherheit auskennen, offenbar alle Signal bevorzugen und das selbst Edward Snowden den Messenger empfiehlt.

Signal ist freie Software und läuft überall

Signal ist freie Software und läuft unter Windows, macOS und Linux sowie iOS und Android, also quasi überall. Die Installation und die Bedienung des Messengers sind problemlos ohne Spezialkenntnisse möglich.

Soweit ich das verstanden habe, benötigt man zwingend jedenfalls die Handy-Version und ist letztlich auch unter der Handynummer erreichbar. Das finde ich nicht ganz so toll, denn wenn ich jedermann die Möglichkeit geben will, sicher per Signal mit mir zu kommunzieren, muss ich meine Handynummer veröffentlichen. Aus meiner Sicht ist das aber auch das einzige Manko.

Rest-Unsicherheit bleibt immer

Letzen Endes bleiben immer ein paar Fragezeichen: Findet die OpenSource-Community eventuelle Schwachstellen im Quellcode? Ist das Betriebssystem überhaupt sicher? Gibt es sonst Software auf meinem Gerät, die die Sicherheit untergräbt? Sind meine Passwörter hinreichend sicher?

Das ist bei der sicheren Kommunikation nicht anders als sonst im Leben, wenn ich z. B. in ein Flugzeug steige oder Lebensmittel einkaufe: Ich muss mich auf andere verlassen. Und dabei gilt es, die Balance zu finden zwischen Naivität und Paranoia.

Mein Fazit

Ich schließe mich also Edward Snowden an und empfehle als Messenger Signal. Daneben bin ich aber auch per Telegram und Skype erreichbar, siehe Kontaktseite. Threema ist mir zu umständlich, weil ich hier keine Desktop-Anbindung habe. Verschlüsselte E-Mail geht natürlich auch wunderbar.

6 Kommentare
  1. Andreas Sutor
    Andreas Sutor sagte:

    Da kann ich Ralf Zosel uneingeschränkt zustimmen. Signal ist ein zwar spartanischer, aber sicherer Messenger. Weitere Details:

    – vollständig Opensource. D. h., wenn es eine Schwachstelle geben sollte, wird sie früher oder später entdeckt. Und dann zügig gefixt. Es gibt keine Hintertüren für „interessierte Dienste“.

    – keine Aufzeichnung von Metadaten. Sehr wichtig. Signal sagte, sie haben keine Probleme damit, wenn eine Organisation an sie heranträte mit dem Verlangen um Datenherausgabe. Denn sie zeichnen schlichtweg nichts (nicht lange) auf.

    – Das Binden an die Telefonnummer ist OK. Signal will nicht anonym sein, sondern sicher. Für anonyme Kommunikationswege gibt es andere Verfahren.

    – Nicht zuletzt gibt es bei Android die Möglichkeit, Signal als SMS App einzusetzen. Ein Export des Datenstroms in eine verschlüsselte oder Klartextdatei ist möglich (xml).

    – Die App ist kostenlos, wie auch Telegram (ebenfalls Opensource).

    Meine Empfehlung ist, sich beide Apps zu installieren. Telegram hat derzeit noch den Vorteil einer größeren Nutzergemeinschaft.

  2. Martin Steiger
    Martin Steiger sagte:

    Telegram ist nicht empfehlenswert. Die App ist seit Jahren in den Schlagzeilen wegen Sicherheitsproblemen.

    Threema: Mit «Threema Web» gibt es eine Desktop-Version. Jene für Android ist seit einiger Zeit verfügbar, jene für iOS befindet sich in der Beta-Phase (siehe https://threema.ch/de/threema-web).

    Leider gibt es ein generelles Problem mit Instant Messaging in einer Anwaltskanzlei: Wie legt man Mitteilungen ab und wie teilt man sie im Unternehmen?

  3. Ralf Zosel
    Ralf Zosel sagte:

    @Andreas Sutor: Vielen Dank für das Feedback. reCAPTCHA spinnt manchmal. Ich hab’s jetzt ausgeschaltet und werde mir was überlegen. Danke, dass du so hartnäckig warst und deinen Kommentar trotzdem veröffentlich hast!

  4. Ralf Zosel
    Ralf Zosel sagte:

    @Martin Steiger: Vielen Dank für Ihre interessanten Hinweise – war beides an mir vorbeigegangen. Was die Ablage solcher Messages betrifft, geht derzeit wohl nur Copy & Paste ins CRM bzw. in die Kanzleisoftware – dann in aller Regel wohl unverschlüsselt.

  5. RA Michael Seidlitz
    RA Michael Seidlitz sagte:

    Ich halte Signal in technischer Hinsicht für sicher.

    Allerdings stehen die Signal-Rechner wohl in den USA.

    Ein Datentransfer in die USA wäre daher nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau herrschen und die Einhaltung von Datenschutzvorgaben garantiert würden.

    Ein angemessenes Datenschutzniveau wäre nur dann zu bejahen, wenn Signal Privacy Shield „zertifiziert“ wäre, was es jedoch nicht ist.

    Darüber hinaus müsste mit Signal ein AVV bzw. ein Vertrag mit EU-Standardvertragsklausel abgeschlossen werden können, was jedoch ebenfalls nicht möglich ist.

    In rechtlicher Hinsicht dürfte man daher Signal wohl (noch) nicht dsgvo-konform einsetzen können.

    Anders sieht das wohl bei Threema Work aus:

    „Threema Work ist mit der Europäischen Datenschutz-Grundverordnung (DSGVO) konform. Als Schweizer Unternehmen ist Threema zusätzlich dem strengen Schweizer Datenschutzgesetz (DSG) sowie der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) unterworfen.

    Eine Datenübermittlung aus der EU in die Schweiz ist ohne Überprüfung rechtlich zulässig. Gemäss Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie ist das Datenschutzniveau des schweizerischen Gesetzes äquivalent zum europäischen Recht.

    Threema Work setzt keine Angabe personenbezogener Daten (wie z.B. Handynummer oder E-Mail-Adresse) voraus und kann ohne Zugriff auf das Adressbuch genutzt werden.“

    https://work.threema.ch/de/faq#legal

    Threema ist der einzige Messenger-Anbieter der – im Business-Tarif – überhaupt einen AVV anbietet.

    https://work.threema.ch/de/faq#avv

    Falls jemand einwenden will, die Nachrichten seien doch Ende-zu-Ende verschlüsselt.

    Würde es sich tatsächlich um anonyme Daten handeln, würden angemessenes Datenschutzniveau und Verträge zur Einhaltung von Datenschutzvorgaben keine Rolle (mehr) spielen.

    Zwischen den Datenschutzaufsichtsbehörden besteht jedoch Streit darüber, ob es sich bei der Ende-zu-Ende-Verschlüsselung um eine Anonymisierung ( = DSGVO findet keine Anwendung auf anonyme Daten) oder nur um eine Pseudonymisierung (DSGVO gilt auch für pseudonyme Daten) handelt.

    Argumentiert wird unter anderem damit, dass die zwischen Absender und Empfänger versandten Nachrichten zwar für den Messenger-Dienst anonyme Daten, aber für die Beteiligten nur pseudonyme Daten seien, denn diese beiden könnten die Daten lesen.

    Da ist noch sehr vieles derzeit ungeklärt und unausgegoren.

    Genau deswegen dürfte Threema sicherheitshalber auch einen AVV angeboten haben.

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert