Threema-Datensicherung: Wie geht das?

Threema-BackupSeit Whats­App ange­kün­digt hat, Daten seiner Nut­zer und de­rer Kon­tak­te min­des­tens inner­halb des Face­book-Kon­zerns zusammen­zu­führen und auszu­werten, sind die Instal­latio­nen alter­nati­ver Chat-Dien­ste wie Tele­gram, Signal und Threema sprung­haft ange­stie­gen. Nach­dem ich bereits vor ein­ein­halb Jah­ren Threema als sicher­ste Alter­na­tive unter allen Messen­gern vorge­stellt habe, möchte ich hier eine Zu­sammen­fas­sung mit mei­nen Leser­¦innen tei­len: Was kann und was soll­te man tun, um einen Threema-Backup sei­ner Daten zu er­stel­len?

Threema-Backup – Warum jetzt auch noch Daten­sicherung?

„Wie unkom­fortabel ist denn das?“, werden  Sie wahr­schein­lich stöh­nen. „Bei Whats­App und den ande­ren brauche ich das doch auch nicht!“ – Wohl wahr, aber beden­ken Sie, warum das so ist.

Viele andere Messen­ger-Dien­ste kop­peln die Kunden­daten an die Mobil­ruf­nummer und spei­chern alles zusam­men auf ihren Ser­vern, irgend­wo auf der Welt. Damit sind die Daten meist ganz ein­fach wieder­her­stell­bar: Das Smart­phone fällt in den Putz­eimer oder befin­det sich auf unrecht­mäßi­gem Weg zu einem neuen Besit­zer im Aus­land? Macht nichts. Alte SIM-Karte sper­ren las­sen und eine neue mit der glei­chen Ruf­nummer ins neue Mobil­tele­fon einset­zen. Whats­App & Co. neu instal­lieren, das war’s schon. Die eigene Iden­ti­tät ist auto­matisch wieder da, die alten Chat­ver­läufe eben­falls.

Aber es ist Ihnen hoffent­lich klar, dass all diese persön­li­chen Daten irgend­wo dauer­haft aufbe­wahrt werden müssen, damit das so ein­fach funkti­oniert. Wo diese Aufbe­wah­rung statt­findet und wer darauf Zu­griff hat, das wissen wir nicht.

Gerade weil Threema so sicher ist, …

funktioniert die Komfort­variante hier eben nicht auto­matisch. Denn:

  1. Man kann Threema verwen­den, ohne eine Mobil­ruf­nummer ange­ben zu müssen. Man muss über­haupt keine persön­lichen Daten ange­ben. Zur Iden­tifi­kation vergibt Threema beim Regi­strie­ren einen acht­stel­ligen Zufalls­code aus Buch­staben und Zif­fern, die Threema-ID. Diese ID kann man an seine Kontak­te weiter­geben und damit kom­plett ano­nym den Chat mög­lich machen.
  2. Damit es auf Wunsch auch ein­fa­cher geht, kann man frei­willig auch eine Mobil­ruf­nummer und/oder eine E-Mail­adresse ange­ben. Über solche Anga­ben, können Sie andere Nutzer auto­matisch fin­den las­sen, falls deren jewei­lige Anga­ben in Ihren Kontak­ten eige­tra­gen sind.
    Wichtig hier­bei ist: Threema-Nutzer können Kontakt­anga­ben machen, sie müssen es nicht.

Davon abgese­hen verwen­det Threema keines­falls Kontakt­daten (Tele­fon, Mail­adresse) zur Iden­tifi­kation seiner Nutzer, selbst dann nicht wenn diese frei­willig aus Komfort­grün­den angege­ben werden.  Es gilt aus­schließ­lich die Threema-ID.
Das bedeu­tet: Mobil­tele­fon im Putz­eimer oder unter­wegs ins Nirwa­na? Ohne Ihre ID kommen Sie auf einem neuen Tele­fon nicht mehr an Ihre Kontak­te, geschweige denn an Ihre Chat­ver­läufe. Sie fan­gen also mit einer neuen Threema-ID wieder bei Null an.
Aber selbst wenn Sie und ihr sensa­tio­nel­les Gedächt­nis sich an Ihre ID erin­nern: Damit sich nicht jeder x-Belie­bige bei Ihrer öffent­lich bekann­ten ID anmel­den kann, ist diese kenn­wort­ge­schützt. Logisch, oder?

Threema-Backup – Threema-ID sichern

Um also einen verlore­nen Zu­gang zu Ihrem Threema-Kanal zurück­zu­be­kommen, müssen Sie min­destens eine Siche­rung Ihrer Threema-ID samt Kenn­wort anle­gen. Zu diesem Zweck bie­tet Ihnen Threema zwei ver­schie­dene Wege an:

  1. Sie aktivieren den Threema-Safe. Dann speichert der Dienst alle wich­ti­gen Daten Ihrer Kennung etwa im 24-Stunde-Rhythmus krypto­grafisch abge­sichert auf einem Threema-Server. Wenn Sie das möch­ten, müssen Sie diese Vari­ante in den Einstel­lungen akti­vie­ren (siehe unten, Wie geht das?).
    Wenn Sie den Safe aus Grün­den der Daten­sicher­heit lie­ber nicht nut­zen möch­ten – und das könn­te ich durch­aus nach­voll­ziehen -, dann wäh­len Sie den zwei­ten Weg:
  2. Sie expor­tieren ein­malig Ihre Threema-ID in eine Text­datei. Darin ist dann ein (der­zeit) hundert­stelli­ger Code aus Buch­staben, Ziffern und Binde­strichen ent­halten. Nach dem Export befin­det sich diese Text­datei im Spei­cher Ihres Mobil­tele­fons. Kopie­ren Sie diese Datei unbe­dingt in ein Siche­rungs­ver­zeich­nis eines ande­ren Gerä­tes, also auf eine Fest­platte oder in eine Cloud. Oder meinet­wegen drucken Sie diesen Code aus und kle­ben Sie den Zet­tel in Ihren Kleider­schrank. Denn nur mit dem Code aus dem ID-Export können Sie Ihre ID auf einem neuen Tele­fon wieder her­stel­len, sofern Sie sich dabei auch noch an Ihr Kenn­wort erinnern.

Mit Hilfe des ID-Exports (Weg 2) kann man ledig­lich den Zugriff auf die alte ID erneut ein­rich­ten. Im Threema-Safe (Weg 1) wer­den darüber hinaus noch weitere nütz­liche Daten gespei­chert. Was im Safe genau gesichert wird, steht in die­ser Liste.

Achtung: Bei kei­nem der bei­den beschrie­ben Wege werden jedoch Chat­verläufe oder geteil­te Medien mit­ge­sichert!

Threema-Backup – Threema-Chatverläufe sichern

Wer nach einer Neuinstalla­tion von Threema auch noch auf die alten Mit­teilungs­texte und Bild­chen zugrei­fen möchte, der muss regel­mäßige Back­ups seiner Chat­ver­läufe ansto­ßen. Wie häufig Sie das machen wollen, müssen Sie selbst ent­schei­den. Täg­lich? Wöchent­lich? Einmal pro Monat? Am Ende eines jeden Quar­tals? Zu Silvester? …

Die Herstellung der Sicherungs­dateien von Chat­ver­läufen ist ein­fach (siehe unten, Wie geht das?). Aller­dings müssen Sie diese Siche­rungs­dateien auch jedes ein­zelne Mal von Ihrem Smart­phone auf eine Fest­platte oder in eine Cloud kopie­ren. Sonst nützt Ihnen der Back­up nichts, wenn Sie Ihr Mobil­tele­fon verlie­ren.

Zusammenfassung:

Was brauchen Sie, um Threema dauerhaft über Jahre hinweg nutzen zu können?

  • Eine Sicherung Ihrer Threema-ID über den Threema Safe oder per ID-Export und Auf­bewah­rung des Export­codes.
  • Dazu das Kenn­wort, das Sie für den Safe und/oder beim Export ver­ge­ben haben.
  • Bei Bedarf Sicher­heits­kopien der Chat­ver­läufe als Daten-Backup, ohne oder mit Medien­dateien (Bilder etc.)
  • Auch dazu das Kenn­wort, das Sie beim Her­stel­len der Daten-Backups verge­ben haben.
  • Einen sicheren Aufbewahrungsort (Festplatte, Cloud, NAS-System etc.) für Ihren ID-Export und für Ihre Chatverläufe als Daten-Backup.

(Sie wissen nicht, wie Sie sich all diese verdammten Kennwörter merken sollen? – Dann lesen Sie hier!) Schloss & Ende


Verlink michSie möchten einen Link auf diesen Text weiter­geben?
Verwenden Sie dafür gerne die prak­tische Kurz­form:
fassbar.de/threema-backup


Hands-On: Wie geht das?

(A) Threema-Safe (de)aktivieren

Die Vervendung des Threema-Safe kann man über die Ein­stel­lungen unter Back­ups jeder­zeit ein- oder aus­schal­ten. Wenn man nicht auf das „regel­mäßige“ Siche­rungs­inter­vall warten will, kann man dort auch „Jetzt sicher“ ansto­ßen.

Wo man diese Einstel­lung findet, erklärt der Anbie­ter auf dieser Seite. Außer­dem weist er dort auch darauf hin, dass dieses Safe-Backup nur 180 Tage lang aufbe­wahrt wird, wenn Sie Threema auf Ihrem Gerät in die­ser Zeit nicht wenig­sten einmal geöff­net haben.
Das bedeutet, es ist siche­rer, zumin­dest die Threema-ID zusätz­lich auch ein­malig zu expor­tieren und sicher aufzu­be­wahren (siehe oben).

(B) Chatverläufe sichern

Der Weg zur Herstel­lung von Sicher­heits­kopien komplet­ter Chat­ver­läufe findet sich eben­falls in den Einstel­lungen unter Backups. Mit Rück­sicht auf die Größe solcher Daten-Backups sollte man sich zuvor über­legen, ob nur die Texte oder auch Medien (Bilder, Videos, Sprachdateien …) gesi­chert werden sollen.

Wie man unter Android und iOS Daten-Backups anstößt, unter­schei­det sich bei den Betriebs­syste­men erheb­lich. Eine schritt­weise Anlei­tung bietet Threema auf dieser Seite.

Volkshochschulkurse Sommer 2021

VHSSeit 2014 bie­te ich Volks­hoch­schul­kur­se in der Erwach­senen­bil­dung an der VHS Hoch­taunus an. Auch im Früh­jahr/Sommer 2021 sind wieder Ange­bote zu den The­men Android-Smart­phones und Word­Press dabei. Klicken Sie auf die jewei­lige Kurs­nummer in Klam­mern, um direkt auf die pas­sen­de An­mel­de­sei­te der VHS zu gelan­gen:

  • Android-Smartphones für Einsteiger*innen, Grundkurs (870-011)
    17. bis 19. März 2021 (Mi – Fr), Uhrzeit jeweils: 19.00 – 21.15 Uhr
  • Alle sagen, ich soll mehr moderne Medien nutzen (950-007)
    20. April 2021 (Di), Uhrzeit: 11.00 – 12.30 Uhr
  • Android-Smartphones für Einsteiger*innen, Grundkurs (870-010)
    28. bis 30. April 2021 (Mi – Fr), Uhrzeit jeweils: 19.00 – 21.15 Uhr
  • Webseiten erstellen mit WordPress (870-009)
    26. bis 28. Mai 2021 (Mi – Fr), Uhrzeit jeweils: 19.00 – 21.15 Uhr
  • Android-Smartphones für Fortgeschrittene, Aufbaukurs (870-013)
    23. bis 25. Juni 2021 (Mi – Fr), Uhrzeit jeweils: 19.00 – 21.15 Uhr
  • Alle sagen, ich soll mehr moderne Medien nutzen (950-017)
    29. Juni 2021 (Di), Uhrzeit: 11.00 – 12.30 Uhr
  • Android-Smartphones für Anfänger*innen leicht gemacht (950-003)
    1. bis 2. Juli 2021 (Do – Fr), Uhrzeit jeweils: 10.00 – 12.30 Uhr

Meine VHS-Kurse fin­den alle in der Alten Post in Ober­ursel statt, zen­trums­nah direkt hin­ter dem Rat­haus­platz. Die jewei­ligen Raum­num­mern erfah­ren Sie bei der Kurs­buchung. Wenn Sie inhalt­liche Fra­gen haben, mel­den Sie sich ger­ne bei mir.

WhatsApp – die neuen Regelungen 2021

WhatsApp made by FacebookZum 8. Februar 2021 ändert WhatsApp seine Nutzungs­bedin­gungen und die Daten­schutz­richt­linie.

Welche Neuerungen damit im Detail verbun­den sind, lässt sich nicht abschlie­ßend beur­teilen. Auf den ein­schlä­gi­gen Web­seiten des Unter­nehmens herrscht derzeit noch wildes Durch­einander von Links auf bisherige und neue Bestim­mungen. So landet man nach dem Klicken mal auf den alten Rege­lungen von 2018, mal auf Versi­onen mit neue­rem Datum aus dem Januar 2021. Da muss wohl erst noch kräftig aufge­räumt werden, bevor ein einheit­liches Bild ensteht.
Ich beziehe mich hier einmal auf die neuste Fassung der Daten­schutz­richt­linie (Quelle 1) für Europa (Quelle 2).

Interessant ist übrigens, dass die neuen Rege­lungen nicht als durch die Nutzer still­schweigend akzep­tiert gelten. Viel­mehr müssen alle Benut­zer von Whats­App in einem Pop-up-Fenster der App den Bedin­gungen und Richt­linien expli­zit zustimmen. Wer diese willent­liche Zustim­mung bis zum 8. Februar nicht erteilt, kann Whats­App nicht mehr verwenden!
[Nachtrag 18.02.2021] Termin für die Zwangs­zustim­mung wurde auf den 15. Mai 2021 verscho­ben. Ob mas­sive Abwan­derun­gen zu ande­ren Messen­gern die Ursa­che dafür sind?

Warum ist die aktive Zustimmung so wichtig?

WhatsApp lässt sich mit dem Klick auf „Zustimmen“ eine daten­schutz­recht­lich wirk­same Einwil­ligung zur Verar­beitung personen­bezogener Daten erteilen. (Die kann man zwar später auch wider­rufen. Doch wo und wie man den Wider­spruch einlegt, wird nicht sofort ersicht­lich. Vermut­lich muss man sich dazu an den Support wenden.)

Erst mit dieser Einwil­ligung darf Whats­App die erho­benen Nutzer­daten für alle in der Daten­schutz­richt­linie beschrie­benen Zwecke verwenden.

Detail am Rande: Whats­App bezieht sich nun auf die Standard­daten­schutz­klau­seln der EU-Kommission (Muster­verträge, in denen sich die Auftrags­verar­beiter, also hier Whats­App und Facebook, zur Ein­hal­tung eines ange­messe­nen Daten­schutz­niveaus ver­pflich­ten). Diese Stan­dard­vertrags­klau­seln die­nen als rechtliche Grund­lage des Trans­fers der Nutzer­daten aus der EU und der Schweiz in die USA, nach­dem der EuGH im vergan­genen Jahr den soge­nan­nten Privacy Shield als ungül­tig erklärt hatte.
Aber: Damit diese Klauseln gel­ten, müsste ein Schutz­niveau für personen­bezo­genen Daten sicher­ge­stellt sein, das dem in der Europä­ischen Union ent­spricht. Damit ist die recht­liche Grund­lage der Daten­erhebung ohne­hin frag­würdig.

Was macht WhatsApp mit den Nutzer­daten?

Die kompletten Profil­daten von Nutzern werden an alle Unter­nehmen des Facebook-Konzerns weiter­gegeben. Empfänger sind eine ganze Reihe von Konzern­töchtern, unter ande­rem natür­lich Facebook selbst, der Facebook Messenger und Instagram. Alles, was man eben so bei Whats­App angibt (Telefon­nummer, Benutzer­name, Profil­bild, Status etc.), und auch auto­matisch erho­bene Infor­mation (Geräte­infor­mation, Gruppen­infor­mationen etc.) gibt der Messen­ger­dienst weiter­.

Inhalte von Nachrichten hingegen, so gibt Whats­App an, teilt der Dienst nicht mit Schwester­unter­neh­men. Aller­dings ist offen­bar im Rahmen der Aktu­alisie­rungen die Zusi­cherung aus den Spezi­fika­tionen ver­schwunden, nie­mals Zugriff auf private Schlüs­sel der Nutzer zu nehmen (Quelle 3). – Versehen oder Absicht?

Wozu werden geteilte Nutzer­­daten verwen­det?

Die Daten werden unter allen Facebook-Unter­nehmen abge­glichen und zusammen­geführt. Es ent­stehen dadurch also konzern­über­grei­fende Nutzer­profile. Wer ist auf Facebook, der auch Whats­App-Nach­richten schreibt und Insta­gram-Bilder verteilt?

Aus solchen zusammen­geführten Profi­len lassen sich durch­aus interes­sante Rück­schlüsse ziehen. Wer auf Face­book mit rechts­extremen Ideen sympa­thisiert, der ist viel­leicht auch Mit­glied in radi­kalen Whats­App-Gruppen? Welche Rück­schlüsse und Maß­nahmen auf Basis solcher Profile getroffen werden sollen, ist der Daten­schutz­richt­linie nicht zu entnehmen. Aller­dings kön­nen Face­book-Unter­nehmen künf­tig alle mög­lichen Paral­lelen zwi­schen zusammen­gehöri­gen Accounts auf unter­schied­lichen Platt­for­men kon­trol­lieren. Als Ergeb­nis von Gruppen­mitglied­schaften, Freund­schafts- und Bekann­ten­krei­sen, von Häufig­keit der Kon­takte zwi­schen den Nut­zern, „Likes“ auf verschie­denen Platt­formen, unter­schied­licher Geräte­nutzung ent­stehen kom­plexe Netz­werke und detail­lierte Ver­haltens­muster, über die der Kon­zern seine Kun­den durch­leuch­ten, einstufen (und bewer­ben?) kann.

Immerhin weist WhatsApp darauf hin, dass zusammen­geführte Profile von Nutzern mit Wohn­sitz in der „Region Europa“ nicht dazu verwen­det werden sollen, ziel­gerichtete Facebook-Werbung anzu­zeigen. Zumin­dest nicht zum aktu­ellen Zeit­punkt. Die Daten von Nicht-Europäern werden zwar werbe­technisch ausge­schlachtet, wir aber bleiben bis auf Weite­res noch davon verschont.

Erhebung von Kontaktdaten

Eine der kriti­schen Prak­tiken aus der frühe­ren Daten­schutz­erklä­rung hat Whats­App übri­gens inhalt­lich weit­gehend über­nommen, aber zumin­dest wesent­lich deut­licher kommen­tiert.
Nach wie vor werden Daten aus den Kon­tak­ten auf den Smart­phones regel­mäßig ausge­lesen und an Whats­App weiter­gegeben – von anderen Whats­App-Nutzern ebenso wie von Perso­nen, die diesen Dienst nicht nutzen. Und im Rahmen der Zustim­mung ver­sichert auch jeder Nutzer, das dazu not­wen­dige Einver­ständnis seiner Kon­takte vor­liegen zu haben.

Aber immerhin erklärt Whats­App nun, wozu es diese Daten verwen­det. Und sie wei­­sen auch in einer knap­pen Formu­lie­rung darauf hin, dass man das „optio­nale“ Absau­gen von Kontakt­daten in den Smart­phone-Einstel­lungen unter­binden kann (Quelle 4): „Du kannst die Funk­tion zum Hoch­laden von Kon­tak­ten in den Ein­stel­lungen deines Geräts steuern.“

Rückschlüsse & Empfehlungen

„Was tun?“, spricht Zeus, „die Welt ist wegge­geben. Der Herbst, die Jagd, der Markt ist nicht mehr mein.“ – Was nun ein jeder Nutzer von Whats­App mit diesen Informa­tionen macht, bleibt ihr/ihm natür­lich selbst über­lassen.

Aber dass die Situ­ation mit den neuen Rege­­lun­gen und der einge­­for­der­ten Zustim­­mung nicht bes­ser wird als vor­her, soll­te jedem klar sein. Grund­sätzlich soll­te man unbe­dingt skep­tisch blei­ben, wenn man auf­gefor­dert wird, einer Zusam­men­füh­rung per­sonen­bezo­gener Daten über ver­schie­dene Dien­ste hin­weg zuzu­stimmen.
Auch könnte man durchaus verär­gert darü­ber sein, wie wenig Elan Whats­App zeigt, seinen Kun­den eine ver­ständ­liche und wider­spruchs­freie Daten­schutz­erklä­rung zu prä­sen­tieren. Oder sollte man dieses Geschwur­ble womög­lich gar als Ver­such wer­ten, sich absicht­lich mög­lichst wenig fest­zulegen und sich alle Opti­onen offen zu halten?

Denn dass den Nutzern früher oder später Wer­bung auf allen Platt­formen des Face­book-Konzerns ins Haus stehen werden – auch hier in Europa -, ist vermut­lich unaus­weich­lich.

Und gewiss ist auch allen klar, dass es ein Leben auch ohne Whats­App gibt.

[Nachtrag am 14.01.2021] Wer noch nach einer verständ­lich geschrie­benen und dennoch ausführlichen Alter­native zu meiner Ein­schät­zung sucht, dem empfe­hle ich einen Arti­kel der ZEIT ONLINE vom gestrigen Abend (Quelle 5). Schloss & Ende


Verlink michSie möchten einen Link auf diesen Text weitergeben?
Verwenden Sie dafür gerne die praktische Kurzform:
fassbar.de/whatsapp21


Quellen:

  1. WhatsApp Datenschutzrichtlinie für die „Region Europa“, einschließlich u. a. Großbritannien und Schweiz (Stand 04.01.2021)
  2. Region Europa (Stand 01.01.2021)
  3. Tweets zur fehlenden Verschlüsselungssicherheit (08.01.2021)
  4. Informationen zum Hochladen von Kontakten
  5. Darf WhatsApp jetzt meine Daten an Facebook petzen? (DIE ZEIT, 13.01.2021)