Einfache Bedienung ist immer konträr zu Sicherheit. Ebenso können Funktionen der Sicherheit im Wege stehen. E2E-Verschlüsselung zwischen zwei Partnern ist noch relativ einfach, für einen Laien aber dennoch unverständlich, wenn man von Schlüsselttausch spricht. Deshalb ist das bei dem Signal-Protokoll auch automatisiert, was aber die Sicherheit wieder schwächt.
Geht es um Gruppenchats, wird die Schlüsselverwaltung gleich komplziert und Laien verlieren den Überblick, wo welcher Schlüssel fehlt.
Richtig komplex wird es, wenn Multiclient-Fähigkeit gefordert ist. Dann sind ja schon für den eigenen Account soviele Schlüssel nötig, wie Clients verwendet werden. Haben auch andere in einer Gruppe mehrere Clients wird es richtig umfangreich. Die Anzahl der Verschlüsselungsdurchläufe geht dann irgendwann auch merklich an die Performance.
Das Bedeutung des Wortes "Sicherheit" ist vielen zudem nicht bekannt. Sie lesen das Wort und denken, alles sein gut. Dabei muss man diverse Ebenen betrachten. Ist nur der Transfer zwischen einzelnen Rechnern verschlüsselt oder ist der gesammte Weg zwischen zwei Personen verschlüsselt (E2E = Ende-zu-Ende), sodass auch die Provider nicht mitlesen können?
Was ist mit der Sicherheit auf den Endgeräten, denn man kann die Nachrichten ka lesen, also sind sie auf den Endgerätennicht mehr verschlüsselt. Das machen sich Trojaner zu Nutze (wie auch der Bundestrojaner).
Verschlüsselte Nachricht gut und schön, aber wie stelle ich sicher, dass der am anderen Ende auch der ist, für den er sich ausgibt. Vielleicht hat ja jemand den Account meines Bruders geknackt oder sein Gerät in die Hände bekommen?
Wie erkenne ich, ob eine Nachricht nicht verändert wurde, bevor sie verschlüsselt wurde oder nachdem sie entschlüsselt wurde? Das ist ein zentraler Punkt, der nicht mehr gewährleistet wäre, wenn die Forderungen einiger Politiker und Strafverfolger umgesetzt würde, auch verschlüsselte Nachrichten im Klartext von den Providern zu bekommen.
Schließlich ist der Punkt Privatphäre acuuh ein Teil der Sicherheit. Wer wem schreibt, muss immer irgendjemand wissen. Das ist wie Adresse und Absender auf einem Brief. Ohne Adresse, könnte ein Nachricht den Empfänger nicht erreichen. Das muss immer unverschlüsslt sein Signal schränkt das mittlerweile stark ein, weil sie sagen, der Absender ist irrelevant für den Transport.
Aus solchen Metadaten lassen sich Rückschlüsse ziehen. Das Auslesen des Telefonbuches verletzt ebenfalls die Privatsphäre, sogar von unbeteiligten. Wenn, wie bei WhatsApp, die Daten auch noch an andere weitergeben werden, unterhölt das unsere Rechte. Vielleicht hat jemand künftig Nachteile, nur weil er bei einem straffällig gewordnen in den Kontakten stand?
Diese Gedanken machen sich die wenigsten. Das ist auch gar nicht verwerflich oder unverständlich. Je weniger man von der Technik versteht, umso weniger kann man von selbst darauf kommen. Ich halte auch nur wenige Nachrichten würdig, verschlüsselt zu werden. Nur, wenn man jedesmal überlegen muss, ob man verschlüsselt, unterbleibt es. Deshalb sollte grundsätzlich verschlüsselt werden.
Hangouts bietet Multiclientfähigkeit. Das wird ein wichtiger Grund sein, warum es nicht E2E verschlüsselt, sondern nur transportverschlüsselt. Was Privatsphäre betrifft, ist Google ein Desaster. Besonders wenn man alle möglichen DIenste von Google nutzt, verletzt man auch die Privatsphäre seiner Kontakte in gorßem Maße.
Alles aus einer Hand ist einfach, aber nicht unbedingt gut. Deshalb plädiere ich schon lange, seine DIenste auf mehrere Anbieter zu verteilen.