Messaging- Datensicherheit und Datenschutz sind mangelhaft

Mitte Februar ging die Meldung durch die Presse, dass der Messenger-Dienst Whatsapp von Facebook übernommen wurde, wodurch die datenschutzrechtlichen Unzulänglichkeiten von Instant Messaging verstärkt in den Blickpunkt geraten sind. procado hat, wie viele andere auch, die derzeit gefragten Messenger-Dienste aus der Perspektive Datenschutz und IT-Sicherheit unter die Lupe genommen. In unserem Vergleich stellten wir WhatsApp, Telegram, Line, ChatSecure, Threema, ChatOn und BBM gegenüber. Unser Ziel ist es, unsere Kunden umfassend zu informieren und bei der Entwicklung und Umsetzung einer auf die Unternehmenssituation abgestimmten BYOD-Strategie zu unterstützen.

Unser Infoblatt „Instant Messaging – Sicherheitsrisiko?“ senden wir Ihnen gerne auf Nachfrage zu.

Messaging – aber sicher

Messenger-Apps sind als SMS-Ersatz weit verbreitet und sehr beliebt, weil sie das schnelle und komfortable Austauschen von Nachrichten, Fotos, Audiodateien oder Videos über das Internet ermöglichen. Im Gegensatz zur kostenpflichtigen SMS, können über die Messanger-Apps beliebig viele Nachrichten über die Internetverbindung verschickt werden.
Es gibt viele Anbieter auf dem Markt, die unterschiedlich mit Datenschutz und IT-Sicherheit umgehen. Im privaten Umfeld liegt die Entscheidung beim Nutzer, ob Datenschutz- und IT-Sicherheitsaspekte eine Rolle spielen. Im Unternehmensumfeld dagegen sollten diese im Mittelpunkt stehen. Für Unternehmen ist es daher wichtig, Regeln aufzustellen, ob und unter welchen Bedingungen Messenger-Apps auf dienstlichen Smartphones oder privaten Geräten im Rahmen des Bring-Your-Own-Device-Modells (BYOD) genutzt werden dürfen.

Problem 1: mangelnde Datensicherheit
Viele Messenger-Apps verzichten auf die Verschlüsselung der Kommunikation. Diese Sicherheitslücke ist zumindest im Unternehmensumfeld nicht hinnehmbar. Abgesehen davon, dass der Kommunikationsweg nicht geschützt ist, stehen die Inhaltsdaten dem App-Anbieter zur Verfügung. Viele Anbieter behalten sich die Nutzung von Anfang an oder im Falle eines Firmenverkaufs vor.
Ein weiteres Sicherheitsrisiko stellen die in Drittländern angesiedelten Kommunikationsserver der App-Anbieter dar. Ein dem EU-Recht vergleichbares Datenschutzniveau ist in Drittländern nicht gegeben, eine Übermittlung personenbezogener Daten ist damit unzulässig.
Im Falle der USA ist zusätzlich zu beachten, dass die dort ansässigen Unternehmen, inkl. ihrer ausländischen Töchter, dem Patriot Act unterliegen. Das im Oktober 2001 erlassene Anti-Terrorgesetz ermöglicht US-amerikanischen Behörden und Gerichten, anlasslos und intransparent auf Telefon-, E-Mail- und Internetkommunikationsdaten von Personen zuzugreifen. Telefongesellschaften und Internetunternehmen müssen auf Verlangen der US-Bundesbehörden ihre Daten offenlegen. Im Zuge der NSA-Affäre wurde öffentlich bekannt, dass potenziell alle Daten internationaler Nutzer durch US-Provider an die NSA weitergeleitet werden.

Problem 2: mangelnder Datenschutz
Viele Messenger-Anbieter informieren den Nutzer nicht oder unzureichend über ihre Datenschutzbestimmungen. Nur der informierte, fachkundige Nutzer wird so Informationen in seine Entscheidung einfließen lassen können, ob die App vertrauenswürdig ist und installiert werden kann. Aus datenschutzrechtlicher Sicht ist insbesondere der Komplettzugriff des Anbieters auf das persönliche Adressbuch des Nutzers zu bemängeln. Bspw. Whatsapp macht diesen Zugriff zur Grundvoraussetzung, um den Dienst überhaupt installieren zu können. In Folge dessen wird das Adressbuch des Nutzers auf den Server des App-Anbieters übertragen, wovon auch immer unmittelbar Daten von unbeteiligten Dritten betroffen sind. Ebenfalls ungefragt bieten einige App-Anbieter daraufhin die automatische Kontaktsynchronisation an. Der Nutzer erhält damit automatisch die Information, welche Kontakte seines Adressbuchs die gleiche App verwenden.
Aus datenschutzrechtlicher Sicht ebenfalls nicht ganz unkritisch werden die Funktionen Lesebestätigung und die online-/ offline-Statusanzeige angesehen. Sie erlauben Rückschlüsse auf das Nutzungsverhaltens des Betroffenen.
Stand lange Zeit primär die fehlende Verschlüsselung der Kommunikationsinhalte im Mittelpunkt der kritischen Betrachtung, so rückt zunehmend die Möglichkeit der persönlichen Profilbildung in den Fokus der Datenschützer. Die Vernetzungsdaten, wer mit welchem Kontakt, wie viel und von wo aus kommuniziert, können aufschlussreicher sein, als die Gesprächsinhalte selbst. Diese Auffassung legte der Chaos Computer Club in einem Gutachten zur Vorratsdatenspeicherung für das Bundesverfassungsgericht bereits 2009 dar.
Auf die Unternehmenskommunikation übertragen dürfe es in vielen Fällen eher unerwünscht sein, wenn unberechtigte Dritte Einblicke in die Adressbücher der Mitarbeiter erhalten, die Rückschlüsse auf Kollegen und Geschäftspartner ermöglichen.

Fazit für Unternehmen:
Der Einsatz von Messenger-Diensten auf dienstlichen Smartphones oder privaten mobilen Geräten im Rahmen von BYOD ist als kritisch zu bewerten. Unternehmensinterne Daten können über solche Dienste abgefangen und missbräuchlich verwendet werden. Zusätzlich zu den Gesprächsinhalten können auch die Vernetzungsdaten, d.h. wer mit welchem Kontakt, wie viel und von wo aus kommuniziert, für unbefugte Dritte einen hohen Informationswert besitzen.
Die dem Messenger-Anbieter zur Verfügung stehenden Informationen ermöglichen weitreichende Rückschlüsse auf private und dienstliche Kontakte des Smartphone-Besitzers. Aus Unternehmenssicht ist diese Transparenz gegenüber Dritten in der Mehrzahl der Fälle unerwünscht. Durch ein geeignetes BYOD-Konzept sind technische und organisatorische Maßnahmen zu etablieren, die den Schutz von personenbezogenen und geschäftlichen Daten sicherstellen. Die Nutzung von Apps, wie z.B. Messenger-Diensten, ist hierbei einer der Regelungsschwerpunkte.