News Nothing Chats: Phone 2 bekommt iMessage auf Kosten des Daten­schutzes

[Syrato]

Als würden überall nur Deppen arbeiten.
Wahrscheinlich wurden alle Qualitätssicherungen von einer Person überstimmt.

 

[Mr.Church]

nur weil die Amis nicht in der Lage sind sich einen Messenger herunterzuladen und lieber Leute aus ihrem Umfeld ausgrenzen, weil diese es wagen sich ein Android zu kaufen.

Hm, also ich handhabe das ähnlich. Wer ein iPhone hat, kann mit mir per iMessage, oder alle mit Android etc. via Threema kommunizieren. Wer das nicht möchte, kann mir nur eine klassische SMS oder eine E-Mail schreiben
Ob es wirklich eine Ausgrenzung ist? Wenn jemand noch restriktiver vorgeht und halt nur via iMessage kommunizieren will, hat vielleicht noch SMS oder E-Mail. Aber entscheidet das nicht jeder für sich selbst?

 

[ComputerJunge]

ISO/IEC 27001 ist Big Business Scam, der mit realer Datensicherheit / IT-Sicherheit nichts zu tun hat.

Da widerspreche ich.

Selbstverständlich kann die 27001 auch mit reinem Checklisten-Geist erfüllt werden, indem man sich selbst einfach konform erklärt.
Und natürlich ist das Ganze so angelegt, dass es zunächst erst einmal die berühmt-berüchtigten "Prozesshanseln" auf den Plan ruft, welche dann zu immensen Kosten einen bizarren Meta-Überbau konstruieren und von anderen implementieren lassen.
Dies wiederum führt - zunächst - ebenso vorhersehbar zum "Protest durch Zuwiderhandlung" derjenigen, die den ganzen Zinnober in der täglichen Praxis nun auch noch umsetzen sollen, obwohl die Vorgaben der letzten Regulationsrunde ohne mehr Personal - und "dem Management" bekannt - immer noch nicht umsetzbar sind (das ist die Kohorte, die sich selbst als immer mit-einem-Bein-im-Knast-stehen sieht).

Aber: Aus meiner Erfahrung in der deutschen Finanzdienstleistungsbranche haben diese (u. a.) Zertifizierungen in den vergangenen Jahren dennoch zu massiven Veränderungen geführt. Und diese sind für mich aus der angenommenen Sicht als Endkunde meistens Verbesserungen.
Im Bereich der Systemberechtigungen sind diese Veränderungen tatsächlich dramatisch. Als Externer darf ich heute quasi nix mehr - und als Interner bin ich auf dem besten Weg dahin. ^^

Ja, manche Punkte wirken in ihrer rein informellen Anforderung lächerlich. Ein Beispiel ist die Klassifizierung/Kennzeichnung von Informationen. Da fragt man sich, welche Breaches das verhindern kann/soll. Technisch ginge das nur mittels Zugriffsrechten oder einer deep inspection jeglicher digitalen Mitarbeiterkommunikation. Ersteres ist das Mittel der Wahl, den zweiten Ansatz scheuen die meisten Unternehmen bereits theoretisch wie der Teufel das Weihwasser.

Also, als Scam mag es von Experten immer tituliert werden - aber die Einführung der 27001 hat definitiv positive Veränderungen bewirkt.

 

[jonderson]

Hm, also ich handhabe das ähnlich. Wer ein iPhone hat, kann mit mir per iMessage, oder alle mit Android etc. via Threema kommunizieren. Wer das nicht möchte, kann mir nur eine klassische SMS oder eine E-Mail schreiben
Ob es wirklich eine Ausgrenzung ist? Wenn jemand noch restriktiver vorgeht und halt nur via iMessage kommunizieren will, hat vielleicht noch SMS oder E-Mail. Aber entscheidet das nicht jeder für sich selbst?

Du bietest den Leuten also an via walled garden oder via walled garden zu kommunzieren. Okay...

 

[Emerald Flint]

Artikel-Update: Nachdem kurz nach dem Start der App Berichte aufkamen, dass Sunbird das versprochene und von Nothing noch einmal explizit beworbene Datenschutzniveau doch nicht einhält, und sämtliche Daten unverschlüsselt auf dem Cloud-Dienst Firebase von Google gespeichert werden, hat Nothing die App Nothing Chats wieder aus dem Play Store entfernt

[Embed: Zum Betrachten bitte den Artikel aufrufen.]​

Wohl mal wieder ein klarer Fall von "nothing happens". 🤣

 

[Poati]

ISO/IEC 27001 ist Big Business Scam, der mit realer Datensicherheit / IT-Sicherheit nichts zu tun hat.

Das ist (leider) so. Es zeigt zwar zumindest, dass man sich mit dem Thema auseinandergesetzt hat und gewisse Prozesse implementiert sind, aber über die eigentliche Sicherheit sagt es wenig aus.

Ergänzung (19. November 2023)

Also, als Scam mag es von Experten immer tituliert werden - aber die Einführung der 27001 hat definitiv positive Veränderungen bewirkt.

Ja, ich denke, dass das niemand bezweifeln wollte. Ich hab es zumindest so verstanden, dass die 27001 noch nichts über die tatsächliche Sicherheit aussagt. Aus meiner Erfahrung ist es eher ein Indiz für gute Informationssicherheit aber in der Hinsicht eine Menge wert, dass die Unternehmensleitung Interesse am Thema zeigt.

 

[SVΞN]

Saftladen halt. Sollte spätestens jetzt dem letzten Sympathisanten klar geworden sein.

Es braucht etwas mehr als eine Disco auf der Rückseite eines Smartphones. Wie kann Mann sich am noch am 16.11. entsprechend äußern und dann so ein Eingeständnis machen müssen?

Sehr unseriös und wenig vertrauenswürdig.

 

[DrFreaK666]

Kenne niemanden der iMessage nutzt, obwohl selbst iPhone User. In meiner bubble nutzen alle WhatsApp

Kenne einen. Da er ums Verrecken kein WhatsApp nutzen will (guter Mann), nutzen wir Signal

 

[Vexz]

Ich bin da ganz genauso. Ein heuchlerisches Verhalten hilft schließlich nicht beim Protest.

 

[ThommyDD]

Es ist für mich völlig unverständlich, wie zehn Jahre nach Snowden immer noch Firmen mit solchem Schrott auf den Markt kommen können. Aber der Kundschaft scheint es ja egal zu sein, die springen zu großen Teilen auf solche Züge auf. Aber der Mensch ist halt vergesslich, und wer weiß, welche dunklen Mächte eigentlich hinter dem Vorhaben stecken. Käme so gut wie jede Regierung auf der Welt infrage. Gut, dass hier mal ein Shitstorm seine Wirkung gerechtfertigt entfaltet hat.

 

[GRiNGO73]

Kenne niemanden der iMessage nutzt, obwohl selbst iPhone User. In meiner bubble nutzen alle WhatsApp

Das sieht in Staaten wiederum ganz anders aus, da wird WhatsApp kaum genutzt eher iMessage und Facebook Messenger.

 

[Ramschladen]

Mal zum vergleich mit anderen Messengern, wie sieht eine Nachrichtenübertragung denn verschlüsselt aus? Verschlüsselt man den ganzen Body im POST und entschlüsselt ihn auf der anderen Seite? Dazu müssten ja beide Clients die Passphrase kennen oder irre ich mich?

 

[Raucherdackel!]

So.... nothing happened.

 

[Haldi]

wie sieht eine Nachrichtenübertragung denn verschlüsselt aus?

https://de.m.wikipedia.org/wiki/Signal-Protokoll#Funktion

 

[engineer123]

und von Nothing noch einmal explizit beworbene Datenschutzniveau doch nicht einhält, und sämtliche Daten unverschlüsselt auf dem Cloud-Dienst Firebase von Google gespeichert werden

spätestens mit diesem 2. update ist hoffentlich allen klar, dass sowohl die App wie auch
die Sunbird Truppe für die trashcan sind. Maximaler Datenschaden, maximaler Facepalm.

 

[Salamimander]

ISO27001 und unverschlüsselte Kommunikation. Sagt ja über das Zertifikat und die Fähigkeit der Auditoren genug aus… (Ja, das ist möglich und man kann und wird dennoch zertifiziert, aber ein guter Auditor macht denen die Hölle heiß)

 

[Mithos]

Du bietest den Leuten also an via walled garden oder via walled garden zu kommunzieren. Okay...

Er bietet den Leuten SMS oder E-Mail an (zusätzlich zu iMessage und Threema), wieso sollte das walled garden sein? Was wäre denn dann keiner?

 

[jonderson]

SMS und eMail sind unverschlüsselt. (Ich gehe mal nicht davon aus, das er PGP Verschlüsselung nutzt.)
Darüber bespreche ich gar nichts tiefergehend, ist also keine Option...

 

[KitKat::new()]

Mal zum vergleich mit anderen Messengern, wie sieht eine Nachrichtenübertragung denn verschlüsselt aus? Verschlüsselt man den ganzen Body im POST und entschlüsselt ihn auf der anderen Seite?

Nein.
1. Es wird nicht notwendigerweise HTTP verwendet
2. Es wird erst eine Nachricht an den Server geschickt (z.B. via HTTP oder einem anderen Protokoll). Diese Nachricht enthält Informationen über deine Anfrage an den Server, inkl. die Nachricht selbst. Diese hat wiederum unverschlüsselte Bestandteile (z.B. den Empfänger der Nachricht, sonstige Metadaten) und verschlüsselte Bestandteile (z.B. die Nachricht selbst, evtl. Absender, sonstige Metadaten).

Dazu müssten ja beide Clients die Passphrase kennen oder irre ich mich?

Jein. Aber in der Tat muss mindestens ein Gesprächspartner ein Geheimnis haben (Asynchrone Verschlüsselung) oder beide das Geheimnis (symmetrische Verschlüsselung).
Für gewöhnlich legen das Geheimnis allerdings nicht die Nutzer fest, sondern es wird automatisch mit einem Verfahren generiert, sodass nur die beiden Apps das Geheimnis kennen, nennt sich Diffie-Hellmann Verfahren.
Das passiert i.d.R. regelmäßig mit den Kommunikationspartnern und dafür gibt es wiederum verschiedene Verfahren wie das abläuft, sh. Double-Ratchet, MEGOLM oder MLS.

Zusätzliche nicht-automatisch ausgetauschte Geheimnisse, die nicht zur Verschlüsselung genutzt werden, sind trotzdem wichtig um Man-in-the-Middle Angriffe erkennen zu können.

 

[Mithos]

Was wäre denn dann kein walled garden. Könnte man ja jetzt quasi jede App als sowas bezeichnen.
Selbst offenere Protokolle, wo du die Wahl zwischen mehreren Apps hast könnte ich dann als walled garden bezeichnen, weil du eine von denen brauchst. Deswegen fand ich den Begriff irgendwie komisch, gerade wenn er doch mehrere Möglichkeiten anbietet.