Skype auf einem Smartphone © Asif Hassan/AFP/Getty Images

Mehr als ein Jahr nach den Enthüllungen von Edward Snowden über den Überwachungsapparat der NSA hat sich etwas getan in Sachen Datensicherheit – jedenfalls auf den ersten Blick. Dutzende Messenger gibt es mittlerweile, die (abhör)sichere Kommunikation versprechen. Auch die großen Unternehmen der Branche reagieren. Google überlegt, wie es Verschlüsselung in Gmail integrieren kann. Apple ärgert gerade das FBI, weil es seine Nutzerdaten besser sichert. Und Facebook hat inzwischen auch eine Adresse im Tor-Netzwerk.

Auf den zweiten Blick allerdings wird deutlich: Trotz einiger positiver Entwicklungen hat sichere Kommunikation keine Priorität bei den meisten Unternehmen. Das unterstreicht die am Mittwoch vorgestellte Secure Messaging Scorecard der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF). Die Liste enthält knapp 40 verschiedene Chatdienste und bewertet anhand von sieben Kriterien deren Sicherheit. Während einige vergleichsweise kleine Projekte gut abschneiden, fallen die beliebtesten Dienste in den meisten Punkten durch.

Die Kriterien der EFF betreffen zum einen die Verschlüsselung und die Authentifizierung: Sind die Inhalte (aber nicht zwangsweise die Metadaten) auf dem Verkehrsweg verschlüsselt? Sind sie vor den Einblicken der Anbieter sicher, indem die Schlüssel auf den Geräten der Nutzer und nicht den Servern gespeichert sind? Sind ältere Nachrichten unter Umständen nachträglich einsehbar oder sind sie durch kurzlebige Schlüssel geschützt? Weitere Kriterien betreffen den Code: Sind die Dienste quelloffen? Ist die verwendete Kryptografie dokumentiert und gab es in den vergangenen zwölf Monaten eine unabhängige Prüfung (Audit)?

Schlechte Bewertungen für Yahoo, WhatsApp und Facebook

Grünes Licht in allen sieben Punkten haben sechs Dienste bekommen: ChatSecure, Cryptocat, Silent Text und Silent Phone, Text Secure und Signal von Whisper Systems. Einige dieser Apps haben wir auch auf ZEIT ONLINE bereits näher vorgestellt. Ebenfalls gut schneiden die Clients Adium und Pidgin mit aktivierter Off-the-Record-Verschlüsselung (OTR) ab, sowie Retroshare, Jitsi und die auf PGP beziehungsweise GPG basierenden Dienste Mailvelope und GPGTools. Das Schweizer Projekt Threema erhielt von der EFF fünf von sieben Punkten, da der Quellcode nicht offen ist und es noch kein Audit gab.

Erwartungsgemäß schlecht schnitten die meisten großen proprietären Messenger ab: AIM und Yahoo ermöglichen zwar eine Verschlüsselung der Nachrichten zwischen zwei Nutzern, weitere Kriterien erfüllen sie aber nicht. Mit Facebook Chat, WhatsApp und Snapchat können sich drei der beliebtesten Chat-Dienste zwar zusätzlich auf ein Audit stützen, die mangelnde Dokumentation und Offenheit sowie immer wiederkehrende Sicherheitslücken und Hacks lassen sie aber als wenig sichere Kommunikationskanäle dastehen.

Überraschend gut wurden dagegen die Apple-Dienste Facetime und iMessage mit jeweils fünf von sieben bestandenen Kriterien bewertet. In einem anderen, größeren Bericht in diesem Jahr lobte die EFF Apple bereits für dessen Initiative in Sachen Datenschutz. Einige Experten bezweifeln allerdings, dass iMessage tatsächlich so sicher ist, wie Apple behauptet. So ist unklar, wie lange Apple die – verschlüsselten – Nachrichten auf den eigenen Servern speichert und ob sie nicht doch darauf zugreifen können.

Kritik an der Aussagekraft

Die wenig kritische Bewertung von iMessage ist nicht der einzige Kritikpunkt an der Secure Messaging Scorecard. Einige bemängeln die allgemeine Aussagekraft des Projekts. "Man kann Softwaresicherheit nicht mit einem Audit-Häkchen messen", schreibt Thomas Ptacek von Matasano Security auf Twitter. Und tatsächlich sagt eine Prüfung des Codes wenig aus, wenn sie nicht gleichzeitig gut dokumentiert ist.

Im Fall von Cryptocat etwa gibt es berechtigte Zweifel daran. Das Programm machte in der Vergangenheit durch teils gravierende Sicherheitslücken auf sich aufmerksam, ein Audit im Frühjahr legte weitere offen. Reicht allein die Tatsache einer Überprüfung, so schlecht sie auch ausfallen mag, um von der EFF mit einem grünen Häkchen versehen zu werden? Offenbar schon. Im Gegensatz dazu fehlt das Häkchen bei Pidgin und Adium, die beide die Off-the-Record-Verschlüsselung (OTR) nutzen. Und diese sei bereits überprüft worden, schreibt der Tor-Entwickler Jacob Appelbaum.

Peter Eckersley von der EFF antwortet auf The Daily Dot den Kritikern: "Die Audits im Fall von Cryptocat waren beispielhaft. Erst durch sie wurden die Lücken überhaupt gefunden und anschließend geschlossen. Dafür sind Audits schließlich da", sagt er. Was die Qualität der Audits anginge, sei ein eindeutiger Standard zwar wünschenswert, aber unmöglich zu definieren.