Sicher chatten 

Sicher chatten – geht das? Oder muss man damit rechnen, dass alles, was man in „vertraulichen“ Gruppen gesagt und geschrieben hat, irgendwann in unbefugte Hände gerät? Mit dem Chatten ist es wie mit der Ehe: Es kommt darauf an, was man daraus macht. Man kann das Risiko zu scheitern nicht völlig ausschließen, aber minimieren, wenn man sich Mühe gibt.

Von Burkhard Schröder

Im März 2025 wurde bekannt, dass Mitglieder der Trump-Regierung, darunter Verteidigungsminister Pete Hegseth, Vizepräsident J.D. Vance und Außenminister Marco Rubio, über die Messaging-App Signal operative Details zu bevorstehenden Luftangriffen im Jemen austauschten. Ein Journalist las mit. Warum? Weil jemand dessen Telefonnummer versehentlich hinzugefügt hatte. Niemand kontrollierte also, wer mitlas. Ursache für das Leak: Schlamperei.

Der Verteidigungsminister hatte Signal sowohl auf dem Büro-Rechner als auch auf seinen privaten Geräten installiert. Die Software glich die Teilnehmer ab. Das ist eines ihrer Features. Daher bekamen die Ehefrau, der Bruder und der Anwalt von Rubio sicherheitsrelevante Informationen zu lesen. Also wieder menschliches Versagen.

Bei der Taurus-Abhöraffäre 2024 benutzten die Teilnehmer der Bundeswehr die Videokonferenz-Software Webex des US-amerikanischen Anbieters Cisco. Der Dienst ermöglicht per Telefonanruf oder Webbrowser zugeschaltete Gesprächsteilnehmer; diese Einwahlmethoden bieten jedoch keine Ende-zu-Ende-Verschlüsselung. Die Russen hörten einfach mit. Das ist so, als wenn man laut in einem Raum telefonierte und die Tür offenließe, sodass alle Umstehenden nur zuhören müssten. Nicht nur menschliches Versagen, sondern grobe Fahrlässigkeit.

Was muss man beachten? Die schlechte Nachricht zuerst: Es gibt kein technisches Mittel, zu verhindern, dass Inhalte vertraulicher Chats an diejenigen weitergegeben werden, die das gar nichts angeht. Das gilt sogar für sicher verschlüsselte E-Mails: Ein Empfänger, der eine Nachricht bekommt, die nur er selbst lesen kann (das Prinzip der asymmetrischen Kryptografie), kann sich immer entscheiden, diese im Klartext an andere zu schicken.

Jetzt das Minimieren der Risiken:

1. Kriterium: Messenger- und Chat-Programme, die das Prinzip der Ende-zu-Ende-Verschlüsselung (EE2E) nicht als Standard beherrschen, sind ungeeignet. Damit fällt das beliebte Telegram weg: Dort ist EE2E-Verschlüsselung ein Sonderfall.

Ende-zu-Ende-Verschlüsselung ist wichtig, weil sie dafür sorgt, dass nur die Gesprächspartner selbst die Nachrichten lesen können – niemand sonst, auch nicht der Betreiber des Messengers. Bei Telegram liegen die Nachrichten auf den Servern des Betreibers, und niemand weiß, wer wann und warum Zugriff erhält.

Sogar der Anbieter Meta (Facebook, Instagram etc.) hat das Prinzip EE2E in den Messenger integriert, obwohl dort das Thema Datenschutz und Privatsphäre eher grenzwertig behandelt wird.

2. Kriterium: Wenn nicht sichergestellt ist, ob staatliche Stellen – etwa per Gerichtsbeschluss – auf die Server des Anbieters zugreifen können, besteht immer ein Risiko, dass dies auch geschieht. Die Server von Zoom, WhatsApp und Discord stehen in den USA. Nachteil: Die US-Datenschutzgesetze sind weniger streng, als es die in Europa sind. Wer Zoom nutzt, handelt ohnehin nicht automatisch DSGVO-konform.

3. Kriterium: Kann man die Chat-Software anonym nutzen oder wird man verpflichtet, eine Telefonnummer anzugeben? Dieses Kriterium erfüllen nur Threema und ein paar andere Programme wie Element X: Ignition und SimpleX Chat, die eher etwas für Nerds sind. Threema ist zudem nicht kostenlos. Die Server stehen in der Schweiz, aber wer hat den Zugriff darauf?

Signal, Viber (von der japanischen Firma Rakuten) und WhatsApp nutzen die Telefonnummer der Nutzer als Alias. Mobilfunknummern sind aber in Deutschland nur unter Vorlage eines Ausweises zuhaben, sodass diese Messenger nicht anonym nutzbar sind.

4. Kriterium: Nutzerfreundlichkeit (Usability). Für Datenschutz-Paranoiker eignet sich zum Beispiel der Messenger Briar. Dieser implementiert nicht nur einen sicheren Chat mit Ende-zu-Ende-Verschlüsselung, sondern verzichtet gänzlich auf Server, im ärgsten Fall sogar auf das Internet selbst. Damit eignet sich Briar besser als viele andere Messenger für Dissidenten, Journalisten und Aktivisten in autoritären Staaten. Aber der „normale“ Nutzer wird nicht in der Lage sein, diese Software zu nutzen, weil Briar viel zu kompliziert ist und ein gehobenes technisches Wissen voraussetzt.

5. Kriterium: Die Messenger- bzw. Chat-Software muss für alle Betriebssysteme verfügbar sein und auch als Desktop-Version. WhatsApp zum Beispiel steht für Linux-PCs nicht zur Verfügung – man ist gezwungen, ein Smartphone zu nutzen, und muss unter Umständen sehr umständlich und auf Umwegen Daten auf den Rechner „beamen“.

Fazit: Alle Kriterien zusammengefasst, bleiben Signal und BigBlueButton (für Video-Chats) klare Sieger.

Signal von der Signal Foundation verfolgt einen klaren Kurs: Datenschutz ist kein Feature, sondern die Basis. Signal setzt durchgehend auf das Signal-Protokoll, das auch von WhatsApp und dem Facebook-Messenger von Meta verwendet wird. Unterschied: Bei Signal ist E2EE dauerhaft aktiv und nicht optional.

Signal speichert keine Metadaten über Gespräche. Nachrichten, Kontakte und Nutzerinformationen bleiben auf dem Gerät. Der einzige serverseitig gespeicherte Datenpunkt ist die Telefonnummer. Signal arbeitet an Alternativen, um selbst diese zu umgehen.

BigBlueButton (BBB) ist erste Wahl für Videokonferenzen, obwohl die Software nicht so viele Nutzer verarbeiten kann wie Zoom. BBB ist komplett quelloffen und kann auf eigenen Servern betrieben werden (die leistungsfähig sein müssen). BBB ist kostenlos, Zoom nicht. Die Oberfläche und die Funktionen von BBB können individuell angepasst werden, was bei Zoom nur begrenzt möglich ist.

Leider ist es so gut wie aussichtslos, Nutzer, die sich an eine Software gewöhnt haben, dazu zu bringen, auf etwas anderes umzusteigen – man hat bekanntlich nie etwas zu verbergen …

Wichtige Begriffe kurz erklärt:

E2EE (Ende-zu-Ende-­Verschlüsselung)

Nur Sender und Empfänger können Nachrichten lesen – nicht mal der ­Anbieter.

NaCl
Hochsichere Kryptobibliothek, zum Beispiel verwendet von Threema.

Double Ratchet („Sperrklinke“)„Ratchet“ bedeutet hier „Sperrklinke“ oder „Mechanismus, der nur in eine Richtung funktioniert“. Beim ­Double Ratchet gibt es zwei solcher Me­cha­nismen: Schlüsselratchet (für jede neue Nachricht wird ein neuer ­Schlüssel erzeugt).

Diffie-Hellman-Ratchet
Bei neuen Schlüsseln vom Kommu­nikationspartner wird zusätzlich neu ausgehandelt (Signal-Protokoll).

TLS (Transport Layer Security)­Verschlüsselt die Übertragung zwischen Nutzer und Server – aber nicht die Inhalte auf dem Server.

Megolm (Gruppenchats)
E2EE für Gruppenkommunikation bei Matrix (skalierbar, aber etwas weniger vertraulich als Olm (1:1 Chat).

AES-256
Starke Industriestandard-­Symmetrieverschlüsselung.

Burkhard Schröder

Vom Autor erschien 2008 das Buch „Die Online-­Durchsuchung: Rechtliche Grundlagen, Technik, Medienecho“ (Telepolis) ­(zusammen mit Claudia Schröder).