Thought Leadership
Seit Mitte 2014 verspricht der Krypto-Messenger „Sicher“ nicht nur Ende-zu-Ende-verschlüsselte Nachrichten, die sich selbst zerstören können, sondern auch verschlüsselten Datei-Transfer sowie Clients für unterschiedliche Mobil-Betriebssysteme. Die IT-Sicherheitsexperten der PSW GROUP haben den Messenger in einem Test genauer unter die Lupe genommen.
„Optik, Bedienbarkeit, Features, Grundgedanken zur Privatsphäre und Sicherheit: All das stimmt bei der Messenger-App Sicher. Dass unverschlüsselte Nachrichten weder versendet noch empfangen werden können, ist großartig. Wenngleich die Applikation mit Ende-zu-Ende-Verschlüsselung für Nachrichten und Dateien, Selbstzerstörungs-Mechanismus für Nachrichten, lokale Verschlüsselung, Transportverschlüsselung für den Versand und Server in Deutschland in Sachen Sicherheit zunächst einen sehr guten Eindruck macht, wird dieser durch den Gedanken der unsicheren 1.024 Bit langen RSA-Schlüssel zerstört. Hier wäre eine effizientere Verschlüsselungsmethode wünschenswert“, fasst Christian Heutger, Geschäftsführer der PSW GROUP, zusammen. RSA-Schlüssel mit 1.024 Bit Länge gelten bereits seit 2003 als nicht mehr sicher.
[widgetkit id=”12″]
Kritik gibt es vom Experten auch für die fehlende Passwortsicherheit beim Registrierungsprozess: Bei der Wahl des Passwortes existiert leider keine Sicherheitsampel, sodass auch das Passwort „123456“ genutzt werden kann. „Anwender müssen sich bewusst machen, dass sämtliche Daten, die sie auf ihrem Mobilgerät speichern, mit dem gewählten Passwort verschlüsselt werden. Es sollte deshalb eines eingesetzt werden, das wirklich sicher ist. Denn je stärker das Passwort, umso sicherer die lokale Verschlüsselung“, ergänzt Heutger. Auch das Schnüffeln der App im Adressbuch der Anwender kommt nicht gut an: Nicht nur einmalig bei Anmeldung, sondern auch immer wieder zwischendurch durchforstet „Sicher“ die Adressbücher seiner User. „Namen und Mobilfunknummern werden abgeglichen, wenn auch nicht gespeichert. Dass es beim Scannen des Adressbuchs keinerlei Möglichkeit gibt, dem zu widersprechen, ist aus Datenschutzsicht ärgerlich“, so Heutger.
Punkten kann „Sicher“ dann wieder mit beeindruckender Funktionsvielfalt. Kompatibel ist „Sicher“ zu Android, iOS sowie Windows Phone, für BlackBerry OS existiert die App nicht. Während sich Android-User auf In-App-Käufe einstellen, den Messenger dafür jedoch kostenfrei herunterladen können, zahlen Windows Phone-User 1,49 € und iOS-User 1,99 €. Allerdings warten die User langsam aber sicher auch auf ein Update: Seit Juni 2014 ist in der Android-App, seit Oktober 2014 in der iOS-App und seit November 2014 in der Windows Phone-App nichts mehr passiert.
Sehr positiv von den Testern aufgenommen wurde ebenfalls, dass die Entwicklerfirma, die SHAPE GmbH, weder persönliche noch nicht-identifizierende Daten an Dritte weitergibt. Es werden keine Nutzungsstatistiken erstellt, keine Absturz- oder Fehlerberichte gesammelt, es existiert keine Werbung und keine Verbindung zu sozialen Netzwerken. „Das finden wir richtig gut. Es ist zudem das erste Mal, dass wir dies explizit so in Datenschutzrichtlinien gelesen haben“, ergänzt Christian Heutger und resümiert: „Wir sind uns sicher, dass in der Messenger-App ein riesiges Potenzial schlummert, jedoch müssten sich die Entwickler zum Nutzen dieses Potenzials etwas mehr mit der aktuellen Verschlüsselung auseinandersetzen und den Nutzern gelegentliches Futter in Form von Funktions- und Sicherheitsupdates spendieren.“
