Vielen ist ja E-Mail mittlerweile zu langsam geworden. Ausserdem ist es ja so was von Web 1.0. Also muss was schnelleres her. ICQ kennt schon fast keiner mehr und IRC kennen viele (leider) nur mehr aus Gruselgeschichten von anno dazumal. Wer also nicht nur vom Handy aus kommunizieren und sich damit zwischen teuren (und schon fast wieder retro-chicen) SMS und dem sicherheitstechnischen Alptraum Whatsapp entscheiden will, dem bleibt ausser dem Apple-only iMessage nur ein (Instant) Messenger.

Da es ja viele verschiedene Messenger Dienste und Protokolle gibt (nun doch wieder ICQ, AIM, Jabber über eigene Server, Jabber über Facebook, Jabber über Gtalk, Skype, …) empfiehlt sich eine Multimessenger Applikation wie Pidgin oder sein Mac OS X Ableger Adium. Darin kann man dann Instant Messenger (und IRC, für alle, die noch wissen was gut ist) Accounts sammeln und alle Kontakte, die geekig genug sind, mehrere Zugänge zu haben, zu einem Meta-Kontakt zusammenfassen. Der Messenger kümmert sich dann um die Auswahl des Dienstes.

Bleibt nur das Problem, dass die Daten ja wieder über die Server eines der Anbieter laufen und der zumindest theoretisch mitlesen könnte. Ausgenommen, man betreibt seinen eigenen Jabber/IRC Server, aber es dürfte doch noch User geben, die das nicht tun. Wer dennoch sichergehen will, dass Instant Messages geheim zwischen Sender und Empfänger bleiben, sollte sich OTR ansehen. Kurz zusammengefasst wird die Message im Client mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und erst der Schlüsseltext über das Messagingprotokoll verschickt. Aus Sicht des Messengerdienstes sieht es aus, als würde man selbst den verschlüsselten Text eintippen, weshalb es völlig wurscht ist, über welchen Dienst man sendet. Dabei kann die Identität des Empfängers zuvor durch Vergleichen des Fingerprints überprüft werden. Kennt man schon? Hat hier jemand PGP|GnuPG|S/MIME gesagt? Ganz oberflächlich betrachtet funktionieren die Lösungen aus Anwendersicht gleich. Der vielleicht wichtigste Unterschied ist, dass der Fingerprint nur zur Überprüfung der Verbindung verwendet wird, die Nachrichten selbst werden nicht signiert. Es kann also im Nachhinein nicht mehr sicher festgestellt werden, wer eine Nachricht verschickt hat.

Adium hat ein OTR Plugin bereits an Bord, für Pidgin gibt’s eines bei den Cypherpunks. Dass beide Kommunikationsteilnehmer einen OTR fähigen Messenger brauchen, versteht sich. Es gibt auch diverse OTR fähige Messenger für Smartphones, aber da besteht derzeit wohl noch etwas Aufholbedarf.

Grösster Nachteil: Viele Messenger (man denke an Facebook oder Google Talk) sind in alle mögliche Software integriert und auch meist aktiv, ohne, dass man sie extra anwerfen müsste. Zwar ist OTR eine hervorragende Möglichkeit, sogar über den Facebook Chat sicher zu kommunizieren, aber wer mehrere Messenger für Facebook aktiv hat, wird leicht mal zugespammt, wenn nicht alle OTR fähig sind und den gleichen Schlüssel haben. Wenn ein Messenger eine Antwort nicht entschlüsseln kann, fordert er meist die Nachricht noch mal an, mit anderem Schlüssel verschlüsselt oder gar nicht verschlüsselt. So entsteht ein netter Pingpong Effekt und jeder Messenger erhält die Nachricht x-mal, mal verschlüsselt lesbar, mal verschlüsselt unlesbar, mal entschlüsselt. Das kann einfach umgangen werden, in dem man wirklich alle Messenger abdreht, die man im Moment nicht benutzt oder sich mit den Kommunikationspartnern auf ein Protokoll bzw. einen Dienst einigt, der nicht in jedem zweiten Smartphone integriert ist.

Noch ein Tip aus der Praxis: Die Messenger legen Protokolle über geführte Unterhaltungen an und die sind normalerweise im Klartext. Wer also sichergehen will, dass die Informationen nicht irgendwann von der Festplatte gekratzt werden, sollte den Messenger (oder das OTR Plugin) so konfigurieren, dass OTR gesicherte Unterhaltungen nicht gespeichert werden.

Thomas Widhalm

Autor: Thomas Widhalm

Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 möchte er aber lieber die große weite Welt sehen und hat sich deshalb dem Netways Consulting Team angeschlossen.
Er möchte ausserdem möglichst weit verbreiten, wie und wie einfach man persönliche Kommunikation sicher verschlüsseln kann, damit nicht dauernd über fehlenden Datenschutz gejammert, sondern endlich was dagegen unternommen wird.
Mittlerweile wird er zum logstash – Guy bei Netways und hält Schulungen und erstellt Schulungsunterlagen zu diesem faszinierenden Tool.