Verschlüsselt telefonieren Kein Abhören unter dieser Nummer

Ob Festnetz, Videokonferenz-App oder Messenger: Viele Gespräche lassen sich mit wenigen Klicks verschlüsseln. Die Vor- und Nachteile der einzelnen Lösungen im Überblick.
Von »c't«-Redakteur Ronald Eikenberg
Foto: amriphoto / Getty Images

Wenn man Familie, Freunde und Kollegen nicht persönlich treffen kann, dann bleibt man zumindest per Ton und Bild in Kontakt – der modernen Technik sei Dank. Doch diese Kommunikationswege bergen Tücken, denn anders als beim Vieraugengespräch vor Ort ist die Vertraulichkeit oft nicht gegeben. Schlimmstenfalls kann jeder die Gespräche belauschen, der den Datenverkehr abzwacken kann.

Auch modernere Kommunikationsmittel wie Microsoft Teams oder Telegram sind nicht automatisch sicher. Dabei kommt zwar eine Transportverschlüsselung zum Einsatz, diese sorgt aber nur dafür, dass die Gespräche jeweils zwischen Gesprächsteilnehmer und Anbieter verschlüsselt sind. Wenn der Anbieter wollte – oder im Falle einer behördlichen Anordnung muss – kann er die Telefonate und Videogespräche seiner Nutzer also problemlos aufzeichnen.

Die gute Nachricht ist, dass Sie sich leicht schützen können, indem Sie vorhandene Verschlüsselungsfunktionen aktivieren oder einen anderen Dienst nutzen. Denn bei vielen Anbietern ist eine gute, nachvollziehbare Verschlüsselung längst Standard. Im Idealfall kommt eine Ende-zu-Ende-Verschlüsselung (E2E) zum Einsatz, die gewährleistet, dass nur die Gesprächsteilnehmer den Anruf entschlüsseln können. Damit kommunizieren Sie annähernd so sicher, als würden Sie sich im gleichen Raum wie Ihr Gesprächspartner befinden.

Eine der meistverbreiteten Apps ist ohne Zweifel WhatsApp. Es ist also naheliegend, die Chat-App auch für Telefonate und Videochats zu verwenden. In puncto Verschlüsselung spricht auch nichts dagegen: WhatsApp nutzt das Secure Real-Time Transport Protocol (SRTP) für die Audio- und Videokommunikation. Die Gespräche sind E2E-verschlüsselt und lassen sich nach derzeitigem Stand nicht belauschen. Im einfachsten Fall rufen Sie besser über WhatsApp an als vollkommen unverschlüsselt über Festnetz oder Handy-Telefonat. Das funktioniert sogar in Gruppen mit bis zu 8 Teilnehmern.

Doch die Sache hat auch zwei Haken: Die Anruf-Funktion funktioniert derzeit nur am Smartphone oder Tablet, nicht per WhatsApp Web am Rechner. Und dann ist da auch noch der Megakonzern Facebook, der sich WhatsApp vor einiger Zeit einverleibt hat und sein Geld bekanntlich mit den Daten seiner Nutzer verdient. Die Versuchung, sich zumindest an den Metadaten der Nutzer zu bedienen und zum Beispiel das Telefonbuch auszuwerten, ist groß. Und falls eines Tages eine Krypto-Backdoor angeordnet werden sollte, dann wäre WhatsApp vermutlich der erste Dienst, der sie umsetzen muss.

Sicheres Signal

Wer Wert auf Datenschutz legt, greift daher zu Signal. Die App funktioniert wie WhatsApp und nutzt die gleiche Verschlüsselung, versucht aber möglichst wenig Metadaten anfallen zu lassen und ist Open Source. Wer möchte, kann also eigenhändig im Quellcode nach Backdoors suchen. Auch über Signal kann man in Ton und Bild telefonieren, das klappt auch am Rechner. Vor Kurzem wurden die Videocalls für Gruppen mit bis zu fünf Teilnehmern freigeschaltet.

Viele weitere Chat-Apps eignen sich inzwischen ebenfalls für verschlüsselte Anrufe, darunter etwa Threema und Wire. Während man bei Threema aktuell nur mit einer Person gleichzeitig sprechen kann, unterstützt Wire bereits Gruppenanrufe mit bis zu 25 Teilnehmern. Bei Videocalls liegt das Limit bei 12 Teilnehmern. Grundsätzlich gilt: Wählen Sie am besten den Messenger, den die meisten Ihrer Kontakte bereits einsetzen. Apple-Nutzer können über FaceTime durchgängig Ende-zu-Ende-verschlüsselt kommunizieren, erreichen darüber allerdings ausschließlich andere Apple-Nutzer. Das Limit liegt hier bei 32 Teilnehmern.

Googles Pendant heißt Google Duo und setzt ebenfalls auf E2E, das Limit liegt ebenfalls bei 32 Personen. Passende Apps gibt es für Android und iOS, am Rechner kann man auf die Web-App per Browser zurückgreifen. Google macht auf seiner Website kein Geheimnis daraus, dass Metadaten wie Telefonnummern und Geräte-IDs der Gesprächsteilnehmer »ungefähr einen Monat lang sicher auf Google-Servern« gespeichert werden, »um Fehler zu beheben und Funktionen zu verbessern«.

Berufsgeheimnis

Im beruflichen Umfeld muss eine Videochat-Lösung für virtuelle Meetings gruppentauglich und am Rechner nutzbar sein. Microsoft Teams ist zwar komfortabel und dockt nahtlos an andere Microsoft-Produkte an. Doch dieser Komfort hat einen hohen Preis: Teams beherrscht aktuell keine E2E-Verschlüsselung. Vertrauliche Gespräche, die vormals in Konferenzräumen von Angesicht zu Angesicht geführt wurden, lassen sich somit prinzipiell belauschen, wenn man Zugriff auf die Microsoft-Server erlangt. Skype-Anrufe sind nur dann E2E-verschlüsselt, wenn man explizit einen »privaten Anruf« startet. Das klappt allerdings noch nicht mit der Web-Version des Tools.

Zoom bietet auch Gratis-Nutzern eine Ende-zu-Ende-Verschlüsselung für Videomeetings. Die Funktion befindet sich noch im Teststadium, lässt sich aber bereits nutzen.

Zoom bietet auch Gratis-Nutzern eine Ende-zu-Ende-Verschlüsselung für Videomeetings. Die Funktion befindet sich noch im Teststadium, lässt sich aber bereits nutzen.

Foto: c't

Die Videokonferenz-Plattform Zoom ist schon einen großen Schritt weiter und beherrscht E2E-verschlüsselte Videokonferenzen  mit bis zu 200 Teilnehmern. Derzeit befindet sich die E2E-Verschlüsselung von Zoom noch im Testbetrieb , sie kann aber bereits von jedem Gastgeber aktiviert werden. Klicken Sie hierzu auf der Zoom-Website nach dem Einloggen auf »Mein Account/Einstellungen« und schalten Sie die Option »Durchgehend (E2E) verschlüsselte Meetings« ein. Zudem sollten Sie darunter den »Default encryption type« auf »End-to-end encryption« stellen, damit Ihre Meetings bestmöglich geschützt sind. Verwechseln Sie die Funktion jedoch nicht mit der »Enhanced encryption«: Diese ist weniger sicher, da hier auch Zoom die Schlüssel für die E2E-Verschlüsselung kennt.

Innerhalb eines Meetings erkennen Sie die E2E, indem Sie auf den grünen Schutzschild oben links klicken. Steht dort »Verschlüsselung: Durchgehend«, dann haben Sie alles richtig gemacht. Darunter können Sie mit »Verifizieren« einen Sicherheitscode anzeigen, dieser muss bei allen Gesprächsteilnehmern identisch sein. Eine E2E-Verschlüsselung gibt es auch für andere professionelle Videokonferenz-Programme wie Cisco WebEx. Erkundigen Sie sich am besten direkt beim Anbieter nach dem aktuellen Stand der Dinge.

Im Idealfall nutzen Sie für vertrauliche Kommunikation keine fremde Infrastruktur, sondern betreiben den Server im eigenen Haus. Das hat den Vorteil, dass sie alles unter Ihrer Kontrolle haben, einschließlich der Metadaten. Die Gespräche verlassen das Firmennetz bestenfalls erst gar nicht und die Mitarbeiter im Homeoffice werden verschlüsselt über VPN angebunden. Gute Fortschritte macht die quelloffene Videokonferenz-Lösung Jitsi. Sie können den Server selbst betreiben, passende Clients gibt es für iOS und Android und als Web-Version. Das Entwicklerteam ist gerade dabei, eine E2E-Verschlüsselung zu implementieren. Sie können die Funktion schon jetzt ausprobieren. Wer eine Nextcloud betreibt, der kann mit Nextcloud Talk  ebenfalls Ende-zu-Ende-verschlüsselt in Echtzeit kommunizieren.

Festnetz verschlüsselt

Wie eingangs erwähnt, ist auch die Festnetztelefonie problematisch: Die meist per VoIP übertragenen Gespräche sind vollkommen unverschlüsselt. Wer die Daten auf dem Transportweg zum Ziel abgreift, kann die Gespräche problemlos mithören und manipulieren. Eine E2E-Verschlüsselung ist zwar nicht ohne Weiteres umsetzbar, jedoch ist zumindest eine Transportverschlüsselung zum VoIP-Anbieter drin: Bei den AVM-Fritzboxen können Sie seit der FritzOS-Version 7.20 die verschlüsselte Telefonie aktivieren. Spielt Ihr VoIP-Anbieter mit, dann werden die Gespräche verschlüsselt zu ihm übertragen – und im Idealfall auch von dort aus weiter verschlüsselt zum Gesprächspartner. Hierbei kommt SIP-over-TLS (SDES-sRTP) zum Einsatz.

Fritzboxen können Festnetzgespräche (VoIP) seit Kurzem verschlüsselt übertragen. Sie müssen die Option nur noch einschalten.

Fritzboxen können Festnetzgespräche (VoIP) seit Kurzem verschlüsselt übertragen. Sie müssen die Option nur noch einschalten.

Foto: c't

Fazit

Ganz gleich, ob es um die Alltagskommunikation mit Familie und Freunden oder virtuelle Meetings im Homeoffice geht: Mit der Wahl des richtigen Kanals können Sie schon jetzt in allen Fällen komfortabel und verschlüsselt kommunizieren. Es gibt keinen Grund, es nicht zu tun und auch das Argument »Ich habe doch nichts zu verbergen« zählt schon lange nicht mehr. Gerade in Zeiten, in denen Apps das persönliche Treffen ersetzen, sollten Sie so viel verschlüsseln, wie Sie können.

Die Wiedergabe wurde unterbrochen.