Whats­App vs. Three­ma – ein Ver­gleich zum The­ma Daten­schutz

Whats­App ist heut­zu­ta­ge in aller Mun­de. Durch die Mög­lich­keit, den Chat­dienst mit Datei­en wie Fotos, Vide­os und Sprach­nach­rich­ten zu schmü­cken, bekommt die App viel Zuspruch und lässt die Nut­zer­zahl enorm stei­gen. Schein­bar anonym bewegt man sich im gro­ßen Raum des World Wide Web und meint, sei­ne sen­si­blen Daten nur mit selbst aus­ge­wähl­ten Kon­takt­per­so­nen aus­zu­tau­schen. Gera­de im Zeit­al­ter des Inter­nets machen sich die wenigs­ten Gedan­ken über die Siche­rung der Pri­vat­sphä­re. Whats­App zählt aktu­ell mehr als 600 Mil­lio­nen Nut­zer. Gegrün­det wur­de Whats­App Inc. im Jah­re 2009 von dem ukrai­nisch-us-ame­ri­ka­ni­schen Unter­neh­mer Jan Koum und dem us-ame­ri­ka­ni­schen Pro­gram­mie­rer Bri­an Action. Am 19. Febru­ar 2014 wur­de Whats­App für 19 Mil­li­ar­den US Dol­lar an Face­book Inc. ver­kauft. Nun­mehr lie­gen die Ver­fü­gungs­rech­te bei die­sem. Face­book, Whats­App und Goog­le sind wohl die bes­ten Bei­spie­le für US-ame­ri­ka­nisch ent­wi­ckel­te Kom­mu­ni­ka­ti­ons­me­di­en. Was dies bedeu­tet, soll­te jeder ver­stän­di­ge Mensch seit den Ent­hül­lun­gen von Edward Snow­den und den Umgang mit Big Data ver­stan­den haben. Ist es da nicht rat­sam, über Daten­schutz nach­zu­den­ken?

Die Nut­zung des Whats­App-Ser­vice setzt die Zustim­mung zu den Nut­zungs­be­din­gun­gen und Daten­schutz­hin­wei­sen vor­aus. Zu den frag­wür­digs­ten Bevoll­mäch­ti­gun­gen gehö­ren unter ande­rem, dass Bil­der, Vide­os, Adress­bü­cher, Kon­ver­sa­tio­nen und Loka­li­sie­run­gen gespei­chert und ver­kauft wer­den dür­fen, ohne dass man dar­über infor­miert wird. Den meis­ten Anwen­dern dürf­te auch nicht bekannt sein, dass Whats­App Such­ma­schi­nen­be­trei­bern wie Goog­le, Bing oder Yahoo gestat­tet, Indi­zes der Whats­App Benut­zer zu erzeu­gen. Durch die Daten­aus­wer­tung von Whats­App und damit ein­her­ge­hend von Face­book kann man für jeden Nut­zer ein ziem­lich genau­es Ver­hal­tenspro­fil erstel­len, ganz egal, wie vie­le Infor­ma­ti­on man preis­gibt. Denn mit die­sen Daten­sam­mel­me­tho­den sind Kom­mu­ni­ka­ti­ons­strö­me in einem ganz ande­ren Maß­stab ana­ly­sier­bar, näm­lich unheim­lich prä­zi­se. Die­se sind dann für zahl­rei­cher Unter­neh­men und ihre geziel­ten Mar­ke­ting­in­ter­es­sen sehr nütz­lich. Je nach Bran­che kön­nen die­se ihre Kon­di­tio­nen anglei­chen. Bei­spiels­wei­se hat eine Bank gro­ßes Inter­es­se an die­sen Daten­men­gen und damit an dem Ver­hal­tens­mus­ter sei­ner Kun­den, um dar­auf auf­bau­end ihre Zin­sen auf Kre­di­te anzu­pas­sen. Erwirbt eine Bank die­se Daten, so kann sie einer Fami­lie, die bei­spiels­wei­se einen Haus­kre­dit auf­neh­men möch­te, höhe­re Zin­sen auf Grund­la­ge der trans­pa­ren­ten Infor­ma­tio­nen über das Kauf- oder Spar­ver­hal­ten der Kun­den berech­nen.

Die­ses Ver­fah­ren kann für jeg­li­che All­tags­si­tua­tio­nen aus­ge­wei­tet wer­den. Die­se Aus­wer­tun­gen sind für vie­le Unter­neh­men wie Ver­si­che­run­gen oder Auto­mo­bil­her­stel­ler und ande­ren sehr lukra­tiv. Der ein­zel­ne Bür­ger ist in sei­nem gan­zen Ver­hal­ten abschätz­bar und ver­fügt über kei­ne Daten­si­cher­heit mehr. Dies haben Unter­neh­men bereits erkannt und sind bereit, gro­ße Sum­men für die Erlan­gung die­ser Daten aus­zu­ge­ben. Lei­der hat der ein­zel­ne Bür­ger die­se enor­me Gefahr noch nicht erkannt. Die­se Gefahr betrifft jeden ein­zel­nen Bür­ger jeder Alters­klas­se. Um die Gefahr der Daten­wei­ter­ga­be spitz aus­zu­for­mu­lie­ren: Whats­App betreibt Big Data in der schlimmst mög­li­chen Aus­prä­gung, näm­lich der Total­über­wa­chung. So sind Argu­men­te wie „Ich habe nichts zu ver­ber­gen“ purer Leicht­sinn und ermög­li­chen den Unter­neh­men ein leich­tes Spiel für ihre Machen­schaf­ten.

Den meis­ten Men­schen fehlt das Bewusst­sein für Daten­schutz. Es ist Whats­App Nut­zern daher anzu­ra­ten, einen Umstieg auf eine alter­na­ti­ve Ver­si­on des Mes­sen­gers in Erwä­gung zu zie­hen. Eine Alter­na­ti­ve ist hier Three­ma. Fak­tisch betrach­tet hat der Instant-Mes­sen­ger-Dienst Three­ma bis Ende 2014 mehr als drei Mil­lio­nen Nut­zer zu ver­zeich­nen. Die Zahl fällt im Ver­gleich zu den 600 Mil­lio­nen Whats­app Nut­zern beschei­den aus. Aller­dings fal­len ca. 80 Pro­zent der Three­ma Nut­zer auf Deutsch­land, was rund 2,5 Mil­lio­nen Nut­zern ent­spricht.

Three­ma ist nur für Andro­id ab Ver­si­on 4.0, iOS, Win­dows Pho­ne und iPad ver­füg­bar. Für die Nut­zung von Three­ma fal­len ein­ma­lig 1,90 Euro an. Three­ma wur­de von dem Schwei­zer Manu­el Kas­per 2012 gegrün­det und wird seit­her von der Schwei­zer Three­ma GmbH betrie­ben.

Zunächst ein­mal wirbt Three­ma damit, dass man im Gegen­satz zu Whats­App ohne die Ver­knüp­fung mit der Han­dy­num­mer oder der E-Mail Adres­se die App nut­zen kann. Bei Whats­App ist dies eine not­wen­di­ge Vor­aus­set­zung. Three­ma ver­wen­det zum Iden­ti­täts­nach­weis eine Sicher­stel­lung mit bis zu drei Fak­to­ren. Zunächst wird die anony­me Three­ma-ID loka­li­siert, dar­auf­hin wird die Kon­takt­lis­te nach Über­schnei­dun­gen mit ande­ren IDs gesucht und anschlie­ßend mit einem Vor-Ort-Scan des 2D-Codes das Han­dy authen­ti­fi­ziert. Die Anony­mi­tät wäre somit gewähr­leis­tet.

Weit­aus schär­fer wird bei Whats­App kri­ti­siert, dass Infor­ma­tio­nen über die Kon­tak­te der Nut­zer über­tra­gen wer­den. Somit ist die Pri­vat­sphä­re des Nut­zers unzu­rei­chend geschützt. Außer­dem kön­nen auch Daten über Bezie­hungs­net­ze gene­riert wer­den. Three­ma dage­gen löst die­ses Pro­blem mit einer Ende-zu-Ende-Ver­schlüs­se­lung, d.h. Inhal­te zwi­schen Sen­der und Emp­fän­ger wer­den ver­schlei­ert. Auch wenn Daten gesam­melt wer­den, kön­nen die­se nicht kon­kret ent­schlüs­selt wer­den. Die Fak­to­ren der Kon­takt­ve­ri­fi­ka­ti­on sind die roten, oran­ge­nen und grü­nen Punk­te, die jeweils signa­li­sie­ren, wie sicher die Nut­zer sind. Rot ist der Punkt dann, wenn die Three­ma-ID bekannt ist. Dies ist am unsi­chers­ten. Wenn der Kon­takt zusätz­lich die Han­dy­num­mer und die E-Mail angibt wer­den die Punk­te oran­ge. Am sichers­ten kom­mu­ni­zie­ren die Nut­zer bei grü­nen Punk­ten. Grün wer­den die Punk­te erst dann, wenn sich die Kom­mu­ni­ka­ti­ons­teil­neh­mer per­sön­lich tref­fen und die QR-Codes jeweils gescannt haben. So soll auch der Iden­ti­täts­dieb­stahl ver­hin­dert wer­den kön­nen, der bei Whats­App mög­lich ist, indem man die Han­dy- und IMEI-Num­mern des Nut­zers kennt. Die­ses Pro­blem lässt sich mit Three­ma ver­mei­den, indem man im Vor­feld ein Wider­rufs­pass­wort fest­legt. Soll­te das Han­dy ver­lo­ren gehen, kann man auf der Three­ma Web­sei­te sei­ne Nut­zer-ID, die Three­ma-ID und das Wider­rufs­kenn­wort ein­ge­ben, damit der Account gelöscht wird. Die Three­ma-ID wird in den Kon­takt­lis­ten der ande­ren Nut­zer inner­halb von 24 Stun­den gelöscht. Die­ser Vor­gang ist damit auch nicht rück­gän­gig zu machen. Somit ist sicher­ge­stellt, dass nicht län­ger Nach­rich­ten auf dem Account gespei­chert sind, auf den man gar nicht mehr zugrei­fen kann.

Auch wenn es um die Funk­tio­nen von Three­ma geht, so steht die­se App Whats­App in nichts nach. Wie bei Whats­App ist auch bei Three­ma ein Grup­pen­chat mög­lich. Die Medi­en wer­den dabei für jeden Emp­fän­ger sepa­rat ver­schlüs­selt und ein­zeln zuge­stellt, so wie das Ver­sen­den im Ein­zel­chat. Somit weiß Three­ma weder, wel­che Grup­pen es gibt, noch wel­che Mit­glie­der in einer Grup­pe sind. Außer­dem sam­melt Three­ma kei­ne Daten. Die App spei­chert den ver­schlüs­sel­ten Daten­ver­kehr nur tem­po­rär für das Zusen­den der Nach­richt an den Emp­fän­ger. Jedoch las­sen die­se Daten kei­ne Rück­schlüs­se auf die Netz­wer­ke von Nut­zern zu, zum Bei­spiel dar­über, wie häu­fig sie mit­ein­an­der kom­mu­ni­zie­ren. Der Nach­rich­ten­ver­kehr kann somit nicht mit­ge­le­sen wer­den, weil Three­ma selbst kei­nen lang­fris­ti­gen Zugriff auf die Inhal­te des Daten­ver­kehrs hat. Eine Aus­wer­tung von Daten ist also nicht mög­lich. Wer sei­ne Three­ma-ID, Chat­ver­läu­fe und rest­li­chen Daten auf ein ande­res Gerät über­tra­gen will, muss ein Back­up sei­ner Daten erstel­len. So ist die Pri­vat­sphä­re des Nut­zers opti­mal geschützt.

Obwohl in Deutsch­land Daten­schutz nach der Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts ein Grund­recht ist, wird auf inter­na­tio­na­ler Ebe­ne wie in Ame­ri­ka natio­na­les Daten­schutz­recht außer Kraft gesetzt, wenn die Ser­ver die­ser Unter­neh­men sich auf ame­ri­ka­ni­schem Boden befin­den. Somit wird Big Data exzes­siv betrie­ben. Dar­auf weist Whats­App gezielt in sei­nen AGB hin, dass der Ser­vice aus den USA gebo­ten wird und somit unab­ding­bar dem US-Recht unter­liegt. Die vol­le Ver­ant­wor­tung der Nut­zung wird auf den Nut­zer über­wälzt. Bei Three­ma ist dies wie­der­um etwas anders. Nach Anga­ben des Her­stel­lers befin­den sich die Ser­ver aus­schließ­lich in der Schweiz, sodass die Three­ma GmbH dem schwei­ze­ri­schen Bun­des­ge­setz über den Daten­schutz unter­liegt. Im Febru­ar 2014 bewer­te­te die Stif­tung Waren­test Three­ma als ein­zi­ge von fünf getes­te­ten Mes­sen­ger Diens­te als unkri­tisch in Sachen Daten­schutz, Whats­App schnitt mit der Bewer­tung sehr kri­tisch am schlech­tes­ten ab.

Ange­sichts die­ser Tat­sa­che und des­sen, das sich die Chat­diens­te funk­tio­nell nur sehr gering­fü­gig unter­schei­den, soll­te man Three­ma auf­grund der Fokus­sie­rung auf den Schutz der Pri­vat­sphä­re des Nut­zers nicht aus Bequem­lich­keit abtun. Zwar denkt man, etwas „Frei­heit“ abge­ben zu müs­sen, gewinnt aber dadurch eine viel grö­ße­re Frei­heit zurück.

Quel­len /​links

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Siche­rer Umgang mit IT für All­tag und Beruf – Grund­la­gen mobi­ler Kom­mu­ni­ka­tion im beruf­li­chen Umfeld” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) in siche­rer Aus­füh­rung mit siche­rer Ver­schlüs­se­lung — in den USA sehr gefragt!
Ich bin heu­te den letz­ten Tag in Deutsch­land, mor­gen geht es für 10 Tage in die USA. War­um? Ich wer­de dort unser Geschäft ver­tie­fen, ver­brei­tern und aus­bau­en. Wir haben in den letz­ten Mona­ten gelernt, dass es in den USA einen inter­es­san­ten Markt für euro­päi­sches Mobi­le Device Manage­ment (MDM) gibt. …
datomo Mobi­le Device Manage­ment — Welt­weit als ers­te MDM Lösung und Ser­vice kom­plett TÜV zer­ti­fi­ziert
Das TÜV-Sie­gel garan­tiert Daten­schutz und Daten­si­cher­heit bei datomo Mobi­le Device Manage­ment in allen Berei­chen: Her­stel­ler – Soft­ware – Mana­ged Ser­vice datomo Mobi­le Device Manage­ment ist als welt­weit ers­te MDM-Lösung kom­plett durch­gän­gig TÜV-zer­ti­fi­ziert hin­sicht­lich Daten­si­cher­heit sowie den re…
WELTNEUHEIT für datomo Mobi­le Device Manage­ment — App­Che­cker vom TÜV Trust IT welt­weit erst­ma­lig in ein MDM-Sys­tem inte­griert
Sicher­heit und Daten­schutz mobi­ler Appli­ka­tio­nen auf mobi­len End­ge­rä­ten mit datomo MDM und dem App­Che­cker vom TÜV Trust IT bie­tet ein inte­grier­tes, App-Repu­ta­ti­on Manage­ment mit TÜV-garan­tier­ter Sicher­heit. Eine stän­dig wach­sen­de Zahl mobi­ler Gerä­te und mobi­ler Anwen­dun­gen muss in die Unter­neh­mens-…
datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert – Anfor­de­rungs­kri­te­ri­en der tech­ni­schen Ana­ly…
Wir freu­en uns über die offi­zi­el­le Zer­ti­fi­zie­rung von datomo Mobi­le Device Manage­ment (wie wir im Bei­trag datomo Mobi­le Device Manage­ment ist als ers­te MDM Lösung kom­plett durch­gän­gig TÜV zer­ti­fi­ziert schon aus­führ­lich berich­tet haben). Damit ist datomo Mobi­le Device Manage­ment der­zeit die ers­te…
Neu­es Release von datomo MDM 3.22.1 mit ver­bes­ser­tem Gerä­te­kenn­wort­schutz für Sam­sung Andro­id Gerä­te
 Kurz nach dem Major Release 3.22 im Dezem­ber 2015 ver­öf­ent­li­chen wir schon wie­der ein Update von datomo Mobi­le Device Manage­ment — dies­mal mit neu­en Gerä­te­funk­tio­nen für den Andro­id Base Agent 3.14.1. zum einen die Strong Swan VPN KNOX Kon­fi­gu­ra­ti­on betref­fend und dann geht es vor alle…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.