Texte, Bilder, Sprachnachrichten: Kommunikation findet heutzutage bevorzugt digital statt. Allein im Mai des vergangenen Jahres wurden täglich weltweit rund 65 Milliarden WhatsApp-Nachrichten verschickt. „Damit steigen auch die Anforderungen an die Sicherheit“, sagt Prof. Dr. Tibor Jager vom Institut für Informatik der Universität Paderborn. Beliebte Dienste wie WhatsApp und Co. würden dafür allerdings neuartige Verfahren nutzen, die nicht nur komplex, sondern auch wissenschaftlich kaum fundiert seien, so der Informatiker weiter. Unter seiner Leitung werden bei dem Forschungsvorhaben „Sicherheit und Privatsphäre bei Instant Messaging-Protokollen“ die Sicherheitsgarantien und -ziele solcher Systeme untersucht.
„Instant Messaging-Protokolle wie WhatsApp sind aus dem Alltag kaum noch wegzudenken. Was dabei stattfindet, ist ein Austausch privatester Daten. Im Gegensatz zu klassischen elektronischen Kommunikationsmedien wie E-Mail und SMS läuft die gesamte Kommunikation hier über nur eine Organisation“, erklärt Jager, Leiter der Fachgruppe für IT-Sicherheit. Das Gefährliche daran sei, dass Kritik an diesem Vorgehen vorgebeugt würde, indem weitreichende Sicherheitsversprechen gemacht würden, deren Einhaltung es noch zu überprüfen gelte. „Wir wollen jetzt die Lücke zwischen etablierten Verfahren und dem aktuellen Stand der Wissenschaft schließen, um eine langfristige Sicherheit der Anwendungen zu gewährleisten“, sagt Jager.
„Sicherheitslösungen bei WhatsApp laufen seit 2016 über Ende-zu-Ende-Verschlüsselung. Das heißt, nur Sender und Empfänger einer Nachricht können lesen, was verschickt wurde. Laut eigenen Angaben nicht einmal WhatsApp selbst. Die Verschlüsselung findet auf den Geräten der Nutzer statt. Ein kryptographisches Schloss wird automatisch aktiviert, noch bevor Nachrichten das Smartphone verlassen“, erklärt der Wissenschaftler. Auch andere Apps wie zum Beispiel Signal bieten gute Sicherheitseigenschaften: „Das sogenannte ‚Ratcheting‘ arbeitet – stark vereinfacht – mit verschiedenen und sich ablösenden Schlüsseln. Der Schlüsselaustausch findet über ein Protokoll statt, das wirksame Sicherheitseigenschaften bieten soll. Das ist zumindest das Ziel. Ob die eingesetzten Verfahren wirklich den erhofften Schutz bringen, muss erst noch wissenschaftlich bestätigt werden. Bislang ist das noch nicht der Fall“, so Jager weiter.
Technologien werden erforscht und für die Industrie weiterentwickelt
Um sicherzustellen, dass Nutzer damit tatsächlich besser vor Hackerangriffen geschützt sind und der Schutz der Privatsphäre insgesamt höher ist, erforschen die Wissenschaftler um Jager die Technologien nicht nur, sie wollen sie auch weiterentwickeln: „Wir erarbeiten ein modulares Design, das Softwareherstellern Protokolle mit maßgeschneiderten Sicherheits- und Performanzeigenschaften bereitstellt. Unser Ziel ist es, Protokolle nach dem aktuellen Stand der akademischen Forschung zu entwickeln.“
Das Projekt wird im Rahmen des Graduiertenkollegs NRW „Human Centered Systems Security – North Rhine-Westphalian Experts on Research in Digitalization" (NERD) gemeinsam mit der Ruhr-Universität Bochum durchgeführt. An dem Kolleg arbeiten junge Wissenschaftler auf dem Gebiet der Digitalen Sicherheit interdisziplinär und hochschulübergreifend zusammen. Das Ministerium für Kultur und Wissenschaft des Landes NRW fördert das Programm bis 2021 mit rund vier Millionen Euro.