Die SMS zählt zu den unsichersten Kommunikationswegen. Es ist Zeit, dass wir uns von ihr verabschieden.
Geschätzte Lesezeit für diesen Artikel: 2 Minuten
Die SMS hält sich erstaunlich hartnäckig. Die Zahl der verschickten Nachrichten ist zwar zwischen 2012 und 2015 um ca. 75% zurückgegangen. Trotzdem wurden 2015 in Deutschland immer noch fast 40 Millionen SMS pro Tag verschickt. Zum Vergleich: Im selben Jahr wurden pro Tag 667 Millionen WhatsApp-Nachrichten verschickt – mehr als das 16fache. Die SMS stirbt also, aber sie stirbt langsam. Das könnte daran liegen, dass es sich um einen Kommunikationsweg handelt, der mit ausnahmslos allen Mobiltelefonen funktioniert. Niemand muss eine spezielle App installieren, um eine SMS zu senden oder zu empfangen. Sogar uralte Geräte kommen mit einer SMS spielend klar. Das gilt ansonsten nur noch für eine andere Basisfunktion von Mobiltelefonen: dem Telefonieren.
Die SMS hat jedoch einen entscheidenden Nachteil: Sie wird ungesichert verschickt. Daher können Netzbetreiber oder Behörden sie mühelos abfangen. Aber auch andere Mitleser können unsere SMS-Nachrichten vergleichsweise leicht ausspionieren. Hierfür müssen sie nur einen Handy-Mast simulieren. Handys in der Umgebung leiten ihre Daten dann über diesen falschen Mast, der die übertragenen Daten im Klartext mitschneidet und verrät (erfahre mehr).
Ein weiterer Nachteil der SMS ist ihre Begrenzung auf auf 160 Zeichen. Aber auch ihre sonstigen Möglichkeiten sind sehr überschaubar. Beispielsweise lassen sich per SMS keine Fotos verschicken.
Trotzdem – manchmal muss man eine SMS verschicken oder empfangen. Ein “harter” Ausstieg ist bei der SMS kaum machbar. Wie also können wir uns sanft von diesem unsicheren Kommunikationsweg verabschieden?
Hier bietet die Messenger-Anwendung Signal eine interessante Perspektive. Sie hat folgende Merkmale:
- sie ist sicher (Ende-zu-Ende-verschlüsselt)
- sie beachtet höchste Datenschutzstandards (z. B. keine Weitergabe von Handynummern wie bei WhatsApp)
- sie ist auf den Desktop oder Laptop synchronisierbar (mit einer Chrome-Erweiterung), wo sich Nachrichten wesentlich schneller tippen lassen
- sie bietet eine Backup-Möglichkeit
- sie ist für Android-Handys und iPhones kostenlos verfügbar
Es kommt aber noch eine besonders praktische Funktion hinzu: Man kann mit Signal auch (unsichere) SMS verschicken und empfangen. So kann man mit allen Kontakten, die noch SMS benutzen, sofort über Signal kommunizieren. Sobald ein Kontakt die App ebenfalls installiert, kann man die Kommunikation mit ihm oder ihr nahtlos von unsicheren SMS- auf sichere Signal-Nachrichten umstellen.
Verschickst Du noch viele SMS? Hinterlass einen Kommentar!
Findest Du diesen Beitrag interessant?
→ Teile ihn mit Deinen Freunden (klicke unten auf einen der Buttons)
→ Folge dem Autor auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)
→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate”)
Sag beim Abschied leise Servus by Jochen Plikat is licensed under CC BY-NC-ND 4.0
Bildnachweis: Frog Farewell by Alexas_Fotos is licensed under CC0 Public Domain
Über welchen Weg kann man Kennwörter sicher versenden, die man an andere weitergeben muss? Dafür extra Signal beim Sender und Empfänger einzurichten, ist nicht sinnvoll. Vor allem, wenn es sich um einen einmaligen Vorgang handelt. PGP, etc. scheidet aus dem gleichen Grund aus. Gibt es für dieses Problem eine praktikable Lösung?
Eine sehr interessante Frage! Wie kann man über unsichere Kanäle (unverschlüsselte E-Mail, SMS, Telefon, etc.) einen Schlüssel oder ein Passwort verchicken, ohne dass dieser für einen Lauschangriff missbraucht werden kann? Darauf gibt es mehrere Antworten:
1. Asymmetrische Verschlüsselung verwenden (Beispiel E-Mail mit PGP oder S/MIME) (weil der öffentliche Teil des Schlüssels bedenkenlos auf unsicherem Weg verschickt werden kann)
2. Passwort auf nicht-digitalem, sicherem Weg verschicken (z. B. a) Passwort in einem verschlossenen Umschlag zuschicken oder b) Passwort wählen, das der Empfänger durch Hinweise erraten kann, die auf unsicherem Weg übermittelt werden können)
3. App installieren, die das Problem löst (z. B. Signal)
Option 1 ist sehr gut, braucht aber ein wenig Zeit für die Konfiguration.
Option 2 ist umständlich und anfällig, z.B. b) für “Social Engineering”
Option 3 ist vermutlich am einfachsten.
Die Pointe bei der sicheren Kommunikation ist, dass immer beide Seiten auf eine bestimmte Art (z.B. PGP) vorbereitet sein müssen. Mit anderen Worten: Das schwächste Glied in der Kette legt das Datenschutzniveau für alle beteiligten fest. (vgl. https://jochen-plikat.com/2015/11/23/it-takes-two-to-encrypt/ ) Ich plädiere daher dafür, allen Kontakten mindestens 3-4 sichere Kommunikationswege anzubieten, z. B. 2-3 Messaging-Apps mit Ende-zu-Ende-Verschlüsselung zu installieren (z. B. Signal, Telegram, meinetwegen auch WhatsApp) und zusätzlich E-Mail-Verschlüsselung z. B. mit S/MIME zu konfigurieren. So haben alle, die aus bestimmten Gründen einen Kommunikationskanal nicht nutzen möchten (z. B. weil sie WhatsApp nicht mögen oder E-Mail-Verschlüsselung kompliziert finden) 2-3 Ausweichmöglichkeiten.
Tja, und so sieht es mal wieder aus, wenn Nerds was konstruieren, was sie selber für “leicht anwendbar” halten.
Noch ein Messenger, den keiner nutzt. Dieser Kombi-Trick hat schon bei Hangouts nicht funktioniert. Die SMS wird als Minimalbasis textorientierter Kommunikation so schnell nicht aussterben, weil wirklich überall verfügbar. Außerdem finde ich diese Art von Sicherheitsdenke mittlerweile ziemlich krank.
Lebt ihr auch in einem Hochsicherheitstrakt, mit Wachdienst, und stellt eure Aktenordner in einen extra Tresor, nur weil der Staat sich sonst heimlichen Zugang verschaffen könnte? In meinem Rechenzentrum verstehe ich es ja, aber privat ist das eine ziemliche Überreaktion.
Vielen Dank für Deinen Kommentar. Das kann man so sehen. Ich sehe es anders, und zwar u.a. aus folgenden Gründen.
Du schreibst: „Tja, und so sieht es mal wieder aus, wenn Nerds was konstruieren, was sie selber für „leicht anwendbar“ halten.“
Falls Du damit Signal meinst, kann ich Deinen Kommentar nicht nachvollziehen. Die App ist weder schwerer noch leichter anwendbar als vergleichbare Apps, allen voran WhatsApp. Die wird aktuell von ca. 1 Milliarde Menschen genutzt. Der Grund, warum konkurrierende (und in mancher Hinsicht bessere) Apps wenige Nutzer haben, ist in vielen Fällen das „The winner takes it all“-Prinzip im Internet.
Du schreibst: „Dieser Kombi-Trick hat schon bei Hangouts nicht funktioniert.“ Stimmt, aber Hangouts konkurrierte von Anfang an (wie auch Signal) mit WhatsApp, allerdings ohne einen nennenswerten Mehrwert zu liefern. Dieser Mehrwert heißt bei Signal 1. hoher Datenschutz durch Ende-zu-Ende-Verschlüsselung (das hat WhatsApp inzwischen auch) und 2. Verzicht auf Weitergabe von Daten (das hat WhatsApp inzwischen nicht mehr). Wenn WhatsApp auch die SMS verwalten würde, würde ich die App ebenso als SMS-Alternative empfehlen. (Fast) alles ist besser als ungeschützte SMS zu verschicken.
Du schreibst: „Außerdem finde ich diese Art von Sicherheitsdenke mittlerweile ziemlich krank.“
Das steht Dir zu – so wie es Dir zusteht, Deine Wohnungstür offenstehen zu lassen, so dass jeder jederzeit Zugang hat, auch ohne Dein Wissen: Nachbarn, Passanten, Kriminelle, Behörden. Du solltest aber bedenken, dass in der digitalen Welt Deine Entscheidungen immer auch Deine Kommunikationspartner betreffen. Wenn sie mit Dir in vertraulicher Umgebung kommunizieren wollen, können sie das nur, wenn Du ihnen einen entsprechenden Kanal anbietest (z. B. Signal, WhatsApp, etc.). Außerdem vergisst das Internet nichts: Was heute legal ist, kann morgen illegal sein. Du solltest also auch immer potentielle zukünftige Entwicklungen in Deine Überlegungen mit einbeziehen. Hier ein paar weiterführende Gedanken dazu: https://www.wired.com/2013/06/why-i-have-nothing-to-hide-is-the-wrong-way-to-think-about-surveillance/
Du schreibst: „Lebt ihr auch in einem Hochsicherheitstrakt, mit Wachdienst, und stellt eure Aktenordner in einen extra Tresor, nur weil der Staat sich sonst heimlichen Zugang verschaffen könnte?“
Du hast insofern Recht, als man im Bereich digitale Sicherheit immer eine Abwägung zwischen Nutzbarkeit und Sicherheit machen muss. Dazu gibt es ein paar gute Überlegungen der EFF.
Das Problem in der digitalen Welt ist aber, dass ein paar andere Regeln gelten als in der analogen Welt. Die Überwachung der digitalen Kommunikation ist extrem billig. So können Staaten ihre Bürger inzwischen flächendeckend überwachen – und tun es auch. Der Bundestag hat eine entsprechende bisher illegale Praxis gerade legalisiert. Die Frage ist, ob wir diese Überwachung billigend in Kauf nehmen oder ob wir dann, wenn wir mit kleinen Verhaltensänderungen eine große Wirkung erzielen können, diese Verhaltensänderungen auf uns nehmen. Also z.B. SMS vermeiden und stattdessen Krypto-Messenger wie Signal oder WhatsApp verwenden. Die Wohnungstür abzuschließen ist auch nervig – und bietet natürlich keinen 100%igen Schutz vor Einbrechern. Trotzdem tun es die meisten von uns, damit sich jeder Eindringling zumindest ein wenig anstrengen muss.