Andreas Unkelbach
Werbung


Sonntag, 21. Oktober 2018
10:46 Uhr

Ein datenschutzfreundlicher Messenger am Smartphone - Threema

Das Thema Messenger ist unter mehreren Gesichtspunkten relevant. Der erste Punkt bei der Wahl eines passenden Messenger ist hier sicherlich an welcher Stelle auch die meisten Menschen sind mit denen Nachrichten ausgetauscht werden sollen. Zur Wahl des richtigen Messenger sind schon an verschiedenen anderen Stellen Artikel geschrieben worden die ich hier gerne als Ausgangspunkt verlinke.
  • Dasnuf.de "[Anzeige] Let’s talk – about Messenger"
    Patricia Cammarata (dasnuf) setzt sich in einer Artikelserie mit den Themen Medienkompetenz zum Thema Kinder und digitale Medien auseinander und stellt im verlinkten Teil einige Punkte zum Theme "Messener-Apps" vor.
  • Mobilegeeks.de "Top 10 Alternativen zu Whatsapp"
    Auch Mobilegeeks stellt einige Alternativen zum Messenger Whatsapp dar und gibt eine gute Übersicht über alternative Messenger.
Persönlich sehe ich hier tatsächlich eine Abwägung zwischen Datenschutz, Komfort, Sicherheit und tatsächlich die Frage, welche Messnger andere nutzen.

Problematisch bei den meisten Anbietern ist das Prinzip der Identifikation der Kontakte. Viele populäre Anbieter identifizieren die einzelnen Teilnehmende dadurch, dass die Handynummer als ID verwandt wird. Dabei wird dann auch noch das Theme "Wie finde ich Kontakte" relevant. Viele Messenger laden dabei die Kontaktdaten (bzw. so Aussage der meisten) einen Hashwert über die hinterlegte Mobilfunknummer hoch, so dass diese dann auf einen Server hinterlegt ist und hier vermutlich nicht für alle Kontakte eine entsprechende Einwilligung für das Übertragen der Kontaktdaten auf einen Server (selbst als Hashwert über die Telefonnummer) nicht vorliegt.

Hier haben allerdings auch einige Messenger reagiert, so dass zumindest die Kontaktdaten optional nicht mehr synchronisiert werden oder auch synchronisierte Daten gelöscht werden. Als Beispiel dazu ein Screenshot vom Messenger Telegram.

Kontakte bei Telegram

Telegram ermöglicht es übrigens neben der Verwendung der Telefonnummer ebenfalls die Einrichtung eines Benutzernamen, so dass hier statt der Telefonnummer für einen Kontakt auch ein individueller Benutzername weiter gegeben werden kann.

Der Vorteil dieses Messenger in meinen Augen ist aber ein ganz anderer, da hier mehr als ein Device genutzt werden kann. Ebenso wie Skype, ICQ oder AIM (um auch mal ein paar alte Geister zu nenen) besteht hier die Möglichkeit den Client auf mehr als einen Client einzurichten und sogar portabel per USB Stick der Messenger genutzt werden kann. Damit ist eine Nutzung am PC ebenso wie am Smartphone möglich, was andere Messenger wiederum nur per Webfrontend ermöglichen. Der Nachteil ist die Verknüpfung mit der Telefonnummer und das die meisten Personen wohl ihre Kontakte über eine Synchronisiation mit Adressbuch verteilen... dieses Problem dürfte aber bei den meisten Messengerdiensten der Fall sein. In jeden Fall sind durch die Verwendung der Telefonnummer als ID sowohl bei Telegram als auch bei Whatsapp beim Betreiber die Telefonnummer bekannt und gespeichert.

Zur rechtlichen Einschätzung dieser Problematik verweise ich gerne auf den Podcast Rechtsbelehrung siehe "Podcasthinweis: WhatsApp, Messenger und der Abmahnungen – Rechtsbelehrung Folge 47".

 

Messenger App Threema

Durch einen datenschutzsensiblen Kollegen an der Arbeit bin ich dann jedoch noch auf einen datenschutzfreundlicheren Messenger hingewiesen worden und nutze diesen nun sehr gerne im beruflichen Kontext. Mittlerweile sind, gerade im kirchlichen Umfeld, auch einige Personen zu diesen Messenger gewechselt und dennoch möchte ich diesen hier gerne einmal näher vorstellen.

Bezugsquelle und APK Installation


Threema
Threema
Martket Link / Google Play Neben der Möglichkeit im Store des jeweiligen Anbieters kann die kostenpflichtige App auch auf der Seite von Threema selbst bezogen werden und entsprechend die App hier heruntergeladen werden. Im Onlineshop auf https://shop.threema.ch/ können direkt Lizenzschlüssel bezogen werden und auch an andere Personen weiter gegeben werden. Auf diese Weise habe ich dann ebenfalls meinen Lizenzschlüssel erhalten und konnte die App herunterladen und mir Threema auch ohne Google Konto bzw. außerhalb des jeweiligen Store installieren. Interessant kann, gerade für größere Gruppen oder Unternehmen, auch das Model ThreemaWork sein. Hier sind Lizenzen übertragbar und es können auch mehrere Lizenzen erworben werden.

Von der Seite shop.threema.ch/download kann nach Angabe des Lizenzschlüssels direkt die App heruntergeladen werden.
Download und Sicherheit

Gerade wenn die App als APK heruntergeladen worden ist, muss im Anschluss, für spätere Updates, unter Gerätesicherheit der Punkt "Unbekannte Apps installieren" zugelassen sein. Hier wird, wie unter 3 in der oberen Abbildung, die Eigene Dateien als zugelassene App Quelle temporär aktiviert, so dass hier die App ein heruntergeladenes Update, was über Threema selbst heruntergeladen werden kann, durchgeführt werden kann. Dieses ist dann tatsächlich der Preis für eine hohe Anonymität. Die Alternative ist die Installation über eine der Anbieter Quellen (Google Play als Beispiel) worüber dann auch automatisch Updates ausgerollt werden.

Threema-ID

Im nächsten Schritt wird der eigene Account installiert. Sowie bei AIM, ICQ oder auch Skype erhält man bei Threema im Laufe der Registrierung eine ID (Benutzerkennung) so dass der Account nicht direkt mit der Telefonnummer registriert werden muss. Dieses ist auch der Unterschied zu Telegram (welches optional einen Benutzernamen hat der weiter gegeben werden kann ohne dass die Telefonnummer verraten werden muss) oder eben Messenger wie WhatsApp die direkt mit der eigenen Rufnummer verknüpft sind.

Im Rahmen der Einrichtung wird ein Schlüssel erzeugt über den die Kommunikation verschlüsselt. Dabei gibt es einen öffentlichen Schlüssel der an die Kontakte über die Threema-ID verteilt wird und ein privater Schlüssel der am Gerät gespeichert wird.

Public and private key

Auch hier ist darauf zu achten, dass man im Rahmen der Einrichtung auch einen Wiederherstellungsschlüssel angelegt wird der empfehlenswert zu speichern ist, sollte Threema einmal auf einen neuen Gerät gespeichert werden.

Dieses wird als ID-Backup bezeichnet und sollte tatsächlich irgendwo sicher verwahrt werden.

Im Ergebnis liegt dann eine achtstellige Threema-ID vor unter der kommunziert werden kann.

Kontaktdaten oder wie werden Kontakte gefunden

Optional kann ein Nickname, Telefonnummer und Mailanschrift mit angegeben werden.
Eigene Kontaktdaten optional angeben

Damit wird die Handynummer und/oder E-Mail-Adresse automatisch mit der Threema-ID verknüpft und es kann leichter ein Kontakt gefunden werden. Somit sind Kontakte aus ihren Adressbuch ebenfalls schnell in Threema zu finden. Dabei werden die Mailanschriften und Telefonnummer in gehashter Form (einwegverschlüsselt) gespeichert bevor diese später zum Kontaktabgleich auf den Threemaserver hochgeladen werden und es ist auch möglich diese Angaben zu überspringen, so dass Threema auch vollkommen anonym verwendet werden kann.

Der Nickname wird verwendet um diesen statt der Threema-ID in einer Kommunikation anzuzeigen, kann aber auch bei ihren Kontakten in der Kontaktliste geändert werden.

Im Ergebnis werden am Ende alle Daten zur Kontrolle angezeigt und natürlich ist es auch möglcih sich ein Profilbild später noch zuzulegen.Darüber hinaus können Threema Kontakte auch mit Adressbucheinträgen verknüpft werden, so dass hier eigene Profilbilder oder Kontaktdaten hinterlegt sind.

Neue Kontakte hinzufügen

Neben den Kontakten aus den Adressbuch können aber auch manuell KOntakte hinzugefügt werden.

Beim Start von Threema habe ich im linken Hamburgermenü (das mit den drei gestapelten Strichen) hier als 1 in der folgenden Abbildung markiert.

Neue Kontakte

Im direkten Kontakt kann über 2 ein QR Code generiert werden der von anderne Kontakt direkt über 3 eingescant werdne kann. Dadurch, dass beide dieses so gemacht haben ist dieser Kontakt dann als bestätigter Kontakt hinterlegt.

Alternativ kann natürlich auch die Threema-ID des gewünschten Kontakts eingetragen werden. Hierzu muss auf den Abschnitt Kontakte gewechselt werden und über das + Symbol kann eine ID direkt eingegeben oder auch gescant werden.

Kontaktpflge per Threema-ID

Kontakte erhalten je nach Zertifizierungsstufe unterschiedliche Punkte.
Zwei orangene Punkte bedeutet, dass der Kontakt nur über die Zusatzinfos (Telefonnummer oder Mailanschrift) im Adressbuch gefunden wurde. Drei Punkte werden vergeben, wenn der Kontakt durch Scanen des QR Codes (oder Austausch der Threema-ID) hinzugefügt worden ist.

Kontaktabgleich mit Adressbuch

Auch bei Threema ist es möglich die Privatsphäre der eigenen Kontakte noch ein Stück mehr zu schützen und im Abschnitt Privatsphäre und Sicherheit in den Einstellungen sowohl die Synchronisation der Kontaktdaten abzustellen als auch die bereits synchronisierten Addressbuchdaten zu löschen.

Datenschutz bei Kontakte

Webnutzung - Portable Apps

Während ich Telegram als portable App (wie auch Skype) am PC nutzen kann ist dieses bei Threema aber auch Whatsapp schwieriger. Hier ist tatsächlich nur die App am Endgerät (Smartphone) nutzbar und jeweils nur auf einen Gerät.

Allerdings bieten beide Dienste die Möglichkeit der Webnutzung an.

Unter einer URL kann ein QR Code eingescannt werden und in Threema über Threema Web dieser eingescant werden, so dass im Browser direkt der Messenger genutzt werden kann.

Dieses ist bei Threema unter https://web.threema.ch und bei Whatsapp unter https://web.whatsapp.com/ möglich.

Wer nutzt Threema

Persönlich würde ich das Konzept von Threema tatsächlich als sehr durchdacht betrachten und den Nachteil dass ich Threema nur auf einen Gerät nutzen kann wird sicherlich durch Datenschutz und der Möglichkeit der Webnutzung aufgehoben,

Die größere Hürde ist wohl eigene Kontakte zum "kostenpflichtigen" (einmalig 2,99 Euro) zu überreden oder eben, wie mein datenschutzbegeisteter Kollege, entsprechende Lizenzschlüssel zu verschenken.

Die größte Verbreitung von Threema bekomme ich tatsächlich durch drei Gruppen meiner Kontakte zustande:
  • Ehrenamt
    Gerade im kirchlichen Umfeld wird Datenschutz von je her groß geschrieben, so dass es nicht weiter verwunderlich ist, dass die meisten hauptamtlichen Personen über Threema zu finden sind
  • Arbeit
    Hier sind doch die ein oder andere Kollegin oder Kollege online zu finden
  • Fido
    Klar wenn schon Technik vorhanden ist fehlen auch die Kontakte aus den FidoNet nicht

Ein schöner Artikel ist hier unter "Neue Datenschutz-Grundverordnung betrifft auch die Gemeindearbeit" zu finden.

Zitat Giessen-evangelisch.de:
Es müssen datenschutzkonforme Messenger-Dienste verwendet werden, erklärt der Gießener Stadtjugendpfarrer Alexander Klein. „Ich tausche mich mit den vielen ehrenamtlichen Mitarbeitenden ab jetzt mit dem Dienst „Threema“ aus.“ Die einmaligen Kosten von 2,99 Euro für die Anschaffung der App will er den Jugendlichen erstatten. „Ich probiere in den kommenden Monaten auch, so viele Kollegen wie möglich zu diesem Dienst zu lotsen, der nicht sämtliche Kontakte auf den Handys ausliest und kommerziell nutzt.“


Die Motivation zum Einsatz des Messenger ist sicherlich sehr unterschiedlich, aber insgesamt freue ich mich tatsächlich, dass hier mehrere mittlerweile online zu finden sind und sich das Thema Datenschutz ganz konkret auch in solchen Messenger und der bewusten Entscheidung dafür wieder findet.

Fazit


Teilweise gibt es regelrechte Glaubensstreitigkeiten welcher Messenger nun am besten Datenschutz umsetzt (Threema, Wire, Signal etc.). Insgesamt ist die Wahl eines Messenger aber auch wo befinden sich meine Kontakte, wie möchte ich mit ihnen kommunizieren und kann sich eine wichtige Gruppe tatsächlich auf einen Messenger einlassen und diesen dann tatsächlich gemeinsam nutzen.

Die Alternative einen eigenen Jabber Dienst oder Teamspek zu betreiben würde ich hier als nicht sachgerecht sehen.

Dennoch empfinde ich es als sehr positiv, dass gerade im Ehrenamt sich bewust für einen datenschutzfreundlichen Messenger entschieden worden ist und auch sonst hier ein Bewustsein in desier Richtung verbreitet ist.

Was ich persönlich faszinierend finde ist dass bspw. bei Bekannten in Frankreich noch immer SMS stärker verbreitet ist als Messenger und in Österreich die Voice-Chat Funktion eines Messenger teilweise schon Telefon ersetzt hat... :-) Dieses mag aber auch an der unterschiedlichen Verbreitung von Internetzugängen (egal ob LTE oder WiFi) liegen.

Datenschutz und Instant Messenger (Transparenz und Verschlüsselung)

So man den Datenschutz ausserordentlich ernst nehmen möchte kann ich ebenfalls einen Artikel vom Verein digitalcourage empfehlen. Diesen Verein hatte ich schon in einen Vortrag am "Rückblick THM Datenschutztag 2017" erwähnt.

Der Verein Digitalcourage e. V.  (ehemals unter den Namen FoeBuD (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.)) bekannt engagiert sich nicht nur durch den BigBrotherAward sondern setzt sich ganz praktisch in großen und kleinen Projekten für die Themen Datenschutz und Informationsfreiheit ein. Dieses kann sowohl durch eine Verfasssungsklage (Stichwort Vorratsdatenspeicherung) als auch durch praktische Maßnahmen zur digitalen Selbstverteidigung sein.

Im Artikel "Alternativen zu WhatsApp und Threema – Instant Messenger" setzt sich dieser auch mit der Frage auseinander, welches, unter Datenschutzaspekten, empfohlene und nicht empfohlene sichere Instant Messenger sind. Dabei ist jedoch zu beachten, dass der Artikel aus 2016 stammt.

Wobei ich den gesetzten Schwerpunkt auf offene Schnittstellen sowie die nicht Nachpürüfbarkeit über die verwendete Verschlüsselung schwierig finde, da eine Offenlegung des Softwarecodes auch wieder andere Probleme für die Betreiber offenbaren kann. Ein unabhängiger Audit der Sicherheit der Verschlüsselung wäre aber tatsächlich ein wünschenswerter Punkt (wenn dieses nicht ohnehin schon erfolgt ist - ist es "Unabhängiger Sicherheits-Audit bestätigt: Threema hält, was es verspricht").

Im Rahmen der EU-DSGVO dürfte aber sicherlich die Meldung "Threema ist DSGVO-konform" die ein oder andere Kollegin zum Wechsel auf Threema überzeugt habe. Hier verweise ich auch gerne noch einmal auf meine Linksammlung im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)".

Auf die erwähnte Kritik der fehlenden Offenlegung des Quelltextes und der verbundenen Verschlüsselung findet sich auf Twitter auch ein Hinweis einer Rückmeldung seitens des Supports von Threema  (siehe .https://twitter.com/dSchwarzeWolf/status/1053924132335874049 ).

Persönlich ist es wohl auch bei diesen Thema eine Frage, wie intensiv man sich mit den Thema auseinander setzen mag und wieviel Aufwand für Datenschutz betrieben werden mag.

Nachtrag Stellungnahme Beauftragte für den Datenschutz der EKD (Evangelische Kirche in Deutschland)

In der "Ergänzende Stellungnahme des  Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland  zum Einsatz von Messenger-Diensten" auf https://datenschutz.ekd.de/2018/10/30/ergaenzende-stellungnahme-zum-einsatz-von-messenger-diensten/ werden mit Blick auf den dienstlichen Einsatz allgemeine Hinweise  zu einzelnen Messenger-Diensten gegeben und sich auch für datenschutzkonforme Messenger in der Kommunikation ausgesprochen. Da hier Signal und WhatsApp ebenfalls kritisch betrachtet werden ist hier zumindest auf Twitter ene rege Diskussion entstanden. Immerhin wird Threema hier tatsächlich für den dienstlichen Einsatz empfohlen. Es fragt sich jedoch ob auch die Zielgruppe zum Einsatz dieses Messenger überzeugt werden kann.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Espresso Tutorial - die digitale SAP Bibliothek

Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Keine Kommentare

Kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert; die angegebene E-Mail wird nicht veröffentlicht: beim Versenden als "Normaler Kommentar" ist die Angabe eines Namen erforderlich, gerne kann hier auch ein Pseudonyme oder anonyme Angaben gemacht werden (siehe auch Kommentare und Beiträge in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)

Name (sofern kein Name angegeben wird erscheint Anonym):



Ich nutze zum Schutz vor Spam-Kommentaren (reine Werbeeinträge) eine Wortliste, so dass diese Kommentare nicht veröffentlicht werden. Sollte ihr Kommentar nicht direkt veröffentlicht werden, kann dieses an einen entsprechenden Filter liegen.

Im Zweifel besteht auch immer die Möglichkeit eine Mail zu schreiben oder die sozialen Medien zu nutzen. Meine Kontaktdaten finden Sie auf »Über mich«. Ansonsten antworte ich tatsächlich sehr gerne auf Kommentare und freue mich auf einen spannenden Austausch.

Normaler Kommentar

Name:

E-Mail (wird nicht veröffentlicht und ist nicht erforderlich):

Homepage:

Kommentar:





* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Hinauf




Werbung



Logo Andreas-Unkelbach.de
© 2004 - 2018 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter Google+

»Schnelleinstieg ins SAP Controlling (CO)« und »Berichtswesen im SAP ® ERP Controlling«
Privates

Kaffeekasse 📖 Wunschliste