Verschlüsselung von RCS im Vergleich zu SMS und klassischen Messaging-Diensten
- Einführung in die Verschlüsselung bei SMS
- Grundlagen der Verschlüsselung bei klassischen Messaging-Diensten
- Die Verschlüsselung bei RCS (Rich Communication Services)
- Vergleich der Sicherheitsmerkmale von RCS, SMS und klassischen Messaging-Diensten
Einführung in die Verschlüsselung bei SMS
SMS (Short Message Service) ist das älteste und am weitesten verbreitete Mobilfunk-Messaging-Protokoll. Die Übertragung von SMS erfolgt über das Mobilfunknetz, wobei die Nachrichten meist unverschlüsselt oder nur minimal gesichert übertragen werden. Auf dem Transportweg zwischen Mobiltelefon und Mobilfunkbasisstation, sowie innerhalb des Mobilfunknetzes werden SMS-Nachrichten häufig lediglich durch die proprietären Protokolle der Netzbetreiber geschützt, ohne Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass theoretisch der Netzbetreiber oder Dritte mit Zugang zu den Signalisierungsnetzen Nachrichten mitlesen können. Die Nachrichten sind auf dem Gerät normalerweise in Klartext gespeichert, allerdings fehlt eine durchgängige Verschlüsselung, die den Schutz der Inhalte vor unbefugtem Zugriff wirklich sicherstellen würde.
Grundlagen der Verschlüsselung bei klassischen Messaging-Diensten
Moderne Messaging-Dienste wie WhatsApp, Signal oder iMessage setzen standardmäßig auf Ende-zu-Ende-Verschlüsselung (E2EE). Das bedeutet, dass die Nachrichten auf dem Absendergerät verschlüsselt werden und erst auf dem Empfängergerät wieder entschlüsselt werden, sodass selbst der Anbieter des Dienstes oder Zwischenstationen im Netzwerk die Inhalte nicht einsehen können. Die Verschlüsselung basiert in der Regel auf etablierten kryptografischen Verfahren wie dem Signal-Protokoll, welches sichere Schlüsselaustauschmechanismen und Forward Secrecy bietet. Dadurch ist die Kommunikation gegen Abhören durch Dritte, inklusive Dienstanbieter, relativ sicher geschützt. Gleichzeitig bieten diese Dienste häufig zusätzliche Sicherheitsfeatures wie verschlüsselte Backups oder Schutz vor Manipulation.
Die Verschlüsselung bei RCS (Rich Communication Services)
RCS gilt als Nachfolger von SMS und MMS mit erweiterten Funktionen wie Gruppen-Chats, Lesebestätigungen und Multimedia-Unterstützung. Allerdings ist die Situation in Bezug auf die Verschlüsselung bei RCS deutlich komplexer. Die ursprüngliche, von den Netzbetreibern bereitgestellte RCS-Implementierung basierte lange Zeit auf einer Transportverschlüsselung ähnlich TLS zwischen Endgeräten und Servern, jedoch ohne eine echte Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass die Nachrichten auf den Servern der jeweiligen Mobilfunkanbieter oder Serviceanbieter entschlüsselt und verarbeitet werden konnten, sodass theoretisch ein Sicherheitsrisiko besteht, insbesondere durch Zugang der Betreiber oder Behörden. Dies war ein entscheidender Nachteil gegenüber klassischen Messaging-Apps mit E2EE.
In den letzten Jahren haben einige Anbieter und Initiativen – insbesondere Google als größter Player im Android-Ökosystem – daran gearbeitet, Ende-zu-Ende-Verschlüsselung für RCS einzuführen. Seit ca. 2021 wird eine E2EE-Option für 1-zu-1-Chats im Google Messages Client ausgerollt. Diese Implementierung verwendet eine auf Signal basierende Verschlüsselung, ist jedoch zunächst auf Gespräche zwischen Geräten mit aktivierter funktionaler RCS-Implementierung und Google Messages beschränkt. Gruppen-Chats werden damit bislang noch nicht durch E2EE abgedeckt. Für die Verschlüsselung ist zudem Voraussetzung, dass beide Kommunikationspartner Google Messages oder kompatible Clients nutzen, die die E2EE-Funktion unterstützen. Ohne diese Voraussetzungen bleibt eine reine Transportverschlüsselung der Nachrichten bestehen.
Vergleich der Sicherheitsmerkmale von RCS, SMS und klassischen Messaging-Diensten
SMS bietet lediglich eine sehr rudimentäre Sicherheit, da keine Ende-zu-Ende-Verschlüsselung existiert. Die Nachrichten können im Mobilfunknetz und auf den Servern der Betreiber im Klartext abgefangen oder eingesehen werden. RCS verbessert die Situation durch Transportverschlüsselung und erweitert Funktionalitäten, erreicht aber klassische Messenger mit echtes E2EE nur teilweise. Während Google mit RCS in neueren Versionen Ende-zu-Ende-Verschlüsselung für Einzelchats einführt, ist diese noch nicht flächendeckend und vollständig implementiert, besonders bei Gruppen-Nachrichten fehlt sie größtenteils. Dagegen bieten Dienste wie Signal oder WhatsApp bereits seit Jahren eine durchgehende und umfassende E2EE, die den Schutz der Nachrichten auf einem sehr hohen Niveau garantiert und unabhängig von Netzbetreibern oder Dienstanbietern funktioniert.
Zusammenfassend lässt sich sagen, dass SMS die geringste Sicherheit aufweist, klassische Messenger mit E2EE die höchste Schutzklasse einnehmen und RCS zwar Fortschritte bei der Verschlüsselung macht, aber momentan noch nicht das gleiche Maß an Sicherheit und Privatsphäre bietet wie dedizierte Messaging-Apps mit durchgängig implementierter Ende-zu-Ende-Verschlüsselung.