Aufgrund der unsäglichen Artikel zu erfolgreichen Phishing-Vorgängen via Signal Messenger mal die einfache Frage: wie viele Deiner Kontakte hast du verifiziert?
Denn in den Artikeln in der Medienlandschaft und hier taucht diese Technik nicht auf. Offenbar nutzt das kaum jemand. Dabei ist das ein wichtiger Pfeiler.
Für mich ist ein trainierter, immer durchgeführter Vorgang der Verifizierung auch der Lösungsansatz, der die notwendige Zeit schafft, wo das Gehirn darüber nachdenken kann, was man grad tut und was die andere Seite grad will.
Phishing / Enkeltrick / Hilfe anbieten sind ein Teil von Social Engineering, je nach Angriff ein wesentlicher Teil.
Weitere, empfohlene Messenger aus der Matrix habe ich hier nicht gelistet, da ich sie nicht benutze und bei Stichproben eben nicht zu einer Anleitung der Verifizierung von Kontakte auf die Schnelle gestoßen bin.
Also: wie viel Prozent Deiner Kontakte hast du verifiziert?
Wenn allerdings einer meiner Kontakte dringend, sofort, wegen XXX Geld bräuchte (oder sowas in der Richtung), dann würde ich auf jeden Fall nichts davon glauben und erstmal auf anderem Wege nachhaken, was da los ist.
Methode GMV (Gesunder MenschenVerstand). Soooo wichtig. Leider scheinen viele Menschen nicht dazu in der Lage zu sein, ihr Hirn auch korrekt zu nutzen und haben oft Pech beim Denken.
Wenn ich darüber nachdenke, dann führe ich keine konsequente Verifizierung meiner Kontakte durch. Das fängt schon damit an, dass meine Frau und ich ein gemeinsames Adressbuch haben und dieses daher Kontakte enthält die ich nicht eingetragen und daher selbst verifiziert habe. Daher kann ich schon nicht sicher sein, dass die enthaltenden Rufnummern und Mail-Adressen korrekt sind. Auch kommt es vor, dass man Kontaktdaten eines Dritten von Bekannten übernimmt.
In der zweiten Ebene kommt dann bei Messengern der automatische Abgleich der Kontakte basierend auf dem bereits zuvor nicht sauber verifizierten Adressbuch dazu. Auch hier führe ich keine konsequente Verifizierung des Kontaktes durch, sondern nur wenn mir bewusst wird, dass ich mich über streng vertrauliche Dinge austauschen will.
Wenn ich so darüber nachdenke, dann leben ich privat das „trust on first use (tofu)“ Modell. Ich kommuniziere mit Kontakten ohne genau Identifikation und bilde mir über die Zeit einen Vertrauenseinschätzung zu dem Kontakt. Am Anfang ist der Level gering, über die Dauer steigt das Vertrauen in den digitalen Kontakt. Wenn dann eine Meldung zu einem Tausch des Schlüssels des Kommunikationspartners kommt, dann frage ich typischerweise nach.
Leider machen es die meisten Kommunikationswege nicht wirklich einfach diesen unterschiedlichen Verifikationsstatus eines Kontakts auf einen Blick zu erkennen. Aus meiner Sicht macht es Threema hier bisher mit seinem Ampel-Modell dem Benutzer am Einfachsten
roter Kontakt = völlig ungeprüfter Kommunikationspartner
gelber Kontakt = identifiziert über den Abgleich des eigenen Adressbuchs
grüner Kontakt = persönliche Verifizierung durch Austausch des öffentlichen Schlüssels (zumeist durch Einscannen des QR-Codes der Threema-Installation der bekannten Person bei einem persönlichen Treffen)
und zumindest in jedem Eins-zu-Eins-Chat wird jeweils der Kommunikationspartner oben mit dem aktuell gültigen Ampel-Status ausgewiesen. Bei Gruppenchats in Threema hingegen muss man dann wieder in diesen hineinschauen um den persönlichen Status zu den einzelnen Teilnehmer zu sehen. Hier wäre es eigentlich auch schön, wenn der kleinste gemeinsame Nenner der Teilnehmer die Farbe vorgeben würde.
Die eigentlichen Kontaktdaten (E-Mail Adressen oder Mobilfunknummern, eventuell auch Postadressen) habe ich von den betreffenden Teilnehmern selbst erhalten … oder von Personen in meinem direkten Umfeld, die wiederum zu den betreffenden Teilnehmern direkten Kontakt halten (und die ich als „seriös“ einstufe).
Worüber ich mir Gedanken mache … und was mir zum Teil Kopfschmerzen macht: ich habe einige Kontakte, mit denen ich nur selten/sporadisch Kontakt habe. Da wäre es prinzipiell möglich, dass im Laufe der Zeit die Kontaktdaten beim ursprünglichen Nutzer erlöschen und eine Wiederverwendung in einem (komplett!) anderen Kontext erlangen. Dies soll ja bei Mobilfunknummern durchaus öfter mal vorkommen: Meine Mutter erhielt z.B. in den ersten zwei Jahren der Nutzung ihrer neuen SIM sehr viele SMS mit Passwort-Auth oder 2FA und dergleichen, also keine „SPAMs“, sondern Nachrichten, die der vorherige Nutzer explizit ausgelöst hatte! (SPAM hatte sie dagegen kaum! )
Bei (nur sehr wenigen) Signal Nutzern habe ich explizit die Kontakte gegenseitig verifiziert. Aber eher „zum Spaß“ bzw. „aus Interesse“ … und weil es prinzipiell möglich ist und in dem Fall (wegen direkter räumlicher Nähe und persönlich enger Beziehung) kein Aufwand war.
Was mir schon mehrmals aufgefallen ist: Signal hat mich benachrichtigt, dass sich die Sicherheitsnummer eines bestimmten Nutzers geändert hat. I.d.R wegen vollständigem Reset des Gerät oder gar einem ganz neuen Gerät. Dies ist im Laufe der Zeit tatsächlich auffallend mehrmals passiert (so dass es mir explizit bewusst ist). Allerdings habe ich nicht immer auf einem unabhängigen Kanal nachgefragt. Ich habe mehrmals den Versuch gewagt: bei Technik- und/oder Privacy-affinen/bewussten Personen bin ich auf Verständnis (für die technische sowie datenschutzrechtliche Erfordernis) gestoßen. Aber einigen musste ich erst einmal erklären, was das überhaupt solle… in manchen Fällen wurde das betreffende Gespräch wegen Unverständnis oder Genervtheit abgebrochen. So werde ich also in Zukunft tatsächlich nur bei Personen nachfragen, die mit einem Mindestmaß an Verständnis und Willen darauf eingehen. Bei anderen Kontakten vertraue — hoffe? — ich „auf das Gute“.
Berücksichtigen sollte man noch, dass dies Kommunikation einer Privatperson (mir) ist. Bei beruflicher oder institutioneller Kommunikation setze ich andere Maßstäbe! Und erwarte das in gewisser Weise auch! ——— Ich meine, die Technik ist ja prinzipiell vorhanden (E2EE, Verifikation, PGP, S/MIME, Verschlüsseln/Signieren, etc.) — sie muss eben aber genutzt werden. Wenn ich sehe, dass manche (auch „professionelle“…!) Nutzer schon Probleme mit dem Unterschied „An“ vs. „CC“ vs. „BCC“ u.ä. haben, dann kann ich zumindest nachvollziehen (erwarten tue ich mehr), dass hier längst noch nicht die Maßnahmen ausgeschöpft sind.
Ich habe bei mir in Signal nur meine Kommilitonen (alles IT‑Security-Studenten) und meine Familie verifiziert. Sonst eigentlich kaum jemanden, weil man dann teilweise schon komisch angeschaut wird oder es denen auch komplett egal ist.
Tatsächlich schreibe ich aktuell aber meine Masterarbeit über genau das Thema: „Wie kann man die Authentifizierungszeremonie in Signal nutzerfreundlicher machen?“
Ich habe mir dazu folgende Punkte überlegt:
Die Begriffe ändern: Anstatt Sicherheitsnummer, was Nicht-Techis nicht verstehen, einfach nur von Identitätsverifizierung schreiben und dazu einen Verifizierungs-Haken, den man auch von Instagram und Co. kennt.
Zentraler Ort zum Scannen: Anstatt dass man wie bei Signal immer den direkten Chat öffnen muss, einfach einen zentralen QR‑Code, wie bei Threema, den dann alle scannen können, die gerade danebenstehen.
Kontaktaustausch über den QR‑Code vereinfachen: Das ist eher für Messenger ohne Telefonnummer, aber sollte sich jemand neu vernetzen, dann die UI so bauen, dass diese den QR‑Code scannen, was damit unbewusst auch den öffentlichen Schlüssel verifiziert.
Die gescannte Person darüber informieren, dass sie gescannt wurde, damit ihre Verbindung auch als verifiziert werden kann. In Kombination mit Punkt 3 reicht es also einfach nur noch, dass einer den QR‑Code zum Verbinden scannt, und schon sind die beiden bei beiden Personen verifiziert.
Web of Trust Style: Im Hintergrund kann, wenn eingestellt, den Kontakten mitgeteilt werden, welche Kontakte man bereits verifiziert hat, natürlich nur so, dass die nur gemeinsame Freunde sehen können. In der App sieht man dann, wer den Kontakt auch verifiziert hat.
Ich habe meine Ideen auch bereits in einem Prototypen implementiert, damit ich die Ideen an einem echten Messenger testen kann. Wenn ihr euch das mal anschauen wollt, könnt ihr in meinem Blogpost mehr dazu finden, der dann auch noch ein bisschen technischer wird am Ende: https://twonly.eu/de/blog/2026-mutual-friends.html
Wenn ihr Feedback dazu habt, dann würde ich mich sehr freuen, damit ich das in meiner nächsten Iteration in meiner Masterarbeit verbessern kann (bin aktuell noch am Anfang). Falls ihr in der Nähe von Darmstadt wohnt, könnt ihr auch gerne an einer Vor-Ort-User-Study teilnehmen. Gibt 10 € und dauert so eine halbe Stunde.
Um die Diskussion mal mit entsprechenden Screenshots anzureichern.
(1) Prinzipiell fehlt mir einer, nämlich vom Signal-Chat mit Signal-internen Nachrichten von den Betreibern: den letzten hatte ich gelöscht, nachdem ich ihn gelesen hatte, sorry.
Ein paar „Besonderheiten“ oder „Unterschiede“ kann man durchaus erkennen…
Viele „offizielle“ Kanäle (siehe auch (1) !) gibt es nicht — aber dort kann man den offiziellen Charakter klar erkennen (und von anderen unterscheiden)!
Bei Gruppen gibt es auch eine Markierung, die einen auf „bestimmte Umstände“ hinweist!
Aber: Verifizierte Kontakte sind ziemlich unscheinbar! Man sieht es nur beim Kontakt im Detail selbst. Leider nicht in der Übersicht als Liste. Diesen Punkt bemängel ich ernsthaft!
Zusatzhinweis: „Geänderte Sicherheitsnummer“ habe ich wie (1) gerade leider nicht vorliegen. Aber ich glaube mich zu erinnern, dass die auch gerne etwas präsenter sein dürfte (selbst wenn viele nicht um die Thematik wissen oder sogar davon genervt sind…!).
Ein Baustein bei der E-Mail Sicherheit kann der DKIM-Verifier für Thunderbird sein. Ein weiterer könnte ein S-MIME Zertifikat sein, das wird Posteo für die eigenen Mails ganz günstig angeboten.
Ja, das gilt so sicherlich für die ganzen persönlichen E-Mail Accounts. Aber zumindest „institutionelle“ Größen wie Amazon, PayPal, DHL, Bundestag kannst Du so gut erkennen und überprüfen. Für persönliche Adressen gilt natürlich der Einwand. Da braucht es mehr!
DKIM: Damit hast Du zumindest in „gewisser Weise“ eine Prüfung der Funktionsadressen institutioneller Anbieter (natürlich ist nur der institutionelle Anbieter an sich geprüft, nicht jede seiner möglichen Funktionsadressen einzeln individuell, sondern eben nur die Domain — aber eben bei institutionellen Anbietern „wie Amazon, PayPal, DHL, Bundestag“ reicht mir das!)
S/MIME und weitere: z.B. PGP Schlüssel oder S/MIME Zertifikate — Du/andere kannst das nutzen… und natürlich mit den Teilnehmern untereinander eine Krypto-Party veranstalten und die PGP bzw. S/MIME Daten direkt und persönlich untereinander abgleichen. So wie es das vor ca. 40 bis 30 Jahren mal gab: „ganz großes Ding“ bei uns im Grundstudium!)
mal die einfache Frage: wie viele Deiner Kontakte hast du verifiziert?
DKIM verifiziert keinen Kontakt, ebensowenig S/MIME oder ein importierter PGP-Schlüssel.
PS: ich bekam Anfang des Jahres Spam vom adac.de, weil die beim Jahreswechsel was umgestellt hatten und SPF/DKIM auf Testmodus unterwegs war; und entsprechend kein REJECT oder ähnliches durchgeführt worden ist …
In public-key cryptography, a key signing party is an event at which people present their public keys to others in person, who, if they are confident the key actually belongs to the person who claims it, digitally sign the certificate containing that public key and the person’s name, etc.
Wenn sich die Kommunikationspartner gegenseitig von der Authentizität ihrer öffentlichen Schlüssel direkt und unmittelbar überzeugen (und diese eventuell signieren — dies ist hier aber gar nicht zwingend nötig, sondern erst im Weiteren für ein (größeres) https://en.wikipedia.org/wiki/Web_of_trust mit vielen, teilweise nur mittelbar bekannten Teilnehmern…) UND fortan ihre Nachrichten signieren (mit eben dem Schlüssel, von dem man sich vorher jeweils überzeugt hat, s.o.), dann wüsste ich nicht, was hieran keine grundsätzliche Verifikation sein sollte.
Oder verstehe ich da nun etwas grundsätzlich falsch (was ich natürlich nicht ausschließen will)?
)
