Wie wird die Sicherheit mit TrustCase gewährleistet?
Jede Nachricht vom Sender zum Empfänger ist Ende-zu-Ende verschlüsselt.
Dazwischen liegende Komponenten wie Netzwerk und Server haben keine Möglichkeit mitzulesen. Die Architektur wurde so gestaltet, dass keine unnötigen Metadaten entstehen (Metadaten sind übergeordnete Daten der „realen Fakten“ und stellen eine abstraktere Ebene dar.)
Wo stehen die Server?
Auf den TrustCase Servern werden nur die nötigsten Daten gespeichert, die zur Übermittlung von Nachrichten unabdingbar sind. Die TrustCase Server stehen in Frankfurt am Main und unterliegen somit dem Deutschen Recht. Das Deutsche Bundesdatenschutzgesetz (BDSG) ist bekannt für eines der strengsten Datenschutzniveaus der Welt. Zudem werden die Vorgaben der EU-Datenschutzgrundverordnung eingehalten.
Nachfolgend noch einige Informationen zum grundsätzlichen Umgang mit den Daten:
Der Grundgedanke der TrustCase App ist es, einen möglichst sicheren Business Messenger mit praktischen Funktionalitäten zu bieten. Es ist daher nicht in unserem Sinne, Daten zu speichern oder zu verwalten (Näheres dazu auch in der App im Menü unter „Settings“ -> „Data Protection“). Auf Grund der asymmetrischen Ende-zu-Ende-Verschlüsselung sowie unserer „Minimum Data Policy“ sind keine Daten abgreifbar.
Mittels der TrustCase Server werden Nachrichten und Daten weitergeleitet. Für die Zeit der Übermittlung ist es nötig, die Daten temporär auf den Servern vorzuhalten. Ein Abfangen der Daten von außen in der Übermittlungsphase ebenso wie das Auslesen auf dem Server ist quasi zwecklos, da alle Nachrichten und Medien Ende-zu-Ende verschlüsselt sind und somit nur vom Empfänger mit dem entsprechenden Schlüssel entschlüsselt werden können.
Grundsätzlich werden keine Klartextdaten gespeichert. Telefonnummern werden anonymisiert (gehasht), Inhalte, Profilnamen und -bilder werden ausschließlich verschlüsselt gespeichert. Die Schlüssel sind TrustCase nicht bekannt.
Ihre Kontakte verwalten Sie selbst auf Ihrem Gerät. Bei der Synchronisation Ihrer TrustCase-Kontakte mit Ihrem Telefonbuch werden die Daten anonymisiert an die TrustCase Server übermittelt und im Anschluss gelöscht. Jeder User ID ist ein Schlüsselpaar (privater und öffentlicher Schlüssel, s. nachfolgend „Bedeutung der User ID?“) zugeordnet. Da die jeweiligen Schlüssel dezentral auf einzelnen Geräten generiert werden, ist auch TrustCase der private Schlüssel und somit das nötige Gegenstück für die Auflösung nicht bekannt. Die von TrustCase selbst generierten User IDs und öffentlichen Schlüssel sind nicht verschlüsselt, da sie dem eigentlichen Ende-zu-Ende verschlüsselten Nachrichtenaustausch dienen.
Bedeutung der User ID
Jedem Nutzer wird nach der Registrierung mit seiner Handynummer eine User ID zugeteilt. Diese 8-stellige ID wird zufällig generiert und besteht aus einer Buchstaben- und Zahlenkombination. Die User ID ermöglicht eine anonyme Nutzung der TrustCase App. Diese ID ist nicht übertragbar und kann auch nicht auf mehreren Geräten genutzt werden.Der TrustCase User ID ist ein Schlüsselpaar zugeordnet, bestehend aus einem privaten und öffentlichen Schlüssel. Der private Schlüssel ist auf dem Handy hinterlegt, der öffentliche Schlüssel wird mittels der TrustCase Server an Ihre Kontaktpersonen verteilt. Schreibt einer Ihrer Kontaktpersonen Ihnen eine Nachricht, so wird diese auf dessen Gerät mit Ihrem öffentlichen Schlüssel verschlüsselt. Nur Sie können diese Nachrichten mit dem passenden Gegenstück, Ihrem privaten Schlüssel, wieder entschlüsseln.
Einschränken von Zugriffen in der App
In der TrustCase App haben Sie die Möglichkeit, sämtliche Zugriffe von Beginn an sowie auch nachträglich noch zu beschränken. D.h. wenn Sie keinen Zugriff auf Ihre Telefonbuch-Kontakte erlauben möchten (obwohl wir die Daten nicht sehen), so können Sie dies ablehnen. Sie erhalten dann keine übereinstimmenden Kontakte aus Ihrem Telefonbuch in Ihren TrustCase-Kontakten. Sie haben trotzdem die Möglichkeit, selbst Kontakte hinzuzufügen, indem Sie den QR Code von anderen TrustCase Nutzern scannen und diese Ihren QR Code ebenso scannen. Eine weitere Möglichkeit ist mittels des FACT24 TrustBrokers, Kontakte in der TrustCase App zu erhalten.
Anpassungen am TrustCase-Zugriff können Sie in Ihrem iOS-Gerät vornehmen unter: Einstellungen -> TrustCase
Bei Android lassen sich die Zugriffe verwalten unter:
Einstellungen -> Apps & Benachrichtigungen -> App-Berechtigungen
Der QR Code lässt sich in iOS auch ohne hinterlegtem Fingerabdruck erzeugen, wenn Sie keine biometrischen Merkmale in Ihrem Smartphone speichern möchten. Es erscheint zwar eine kurze Information, dass der Finger aufgelegt werden soll, aber es geht auch ohne diesen weiter. Bei Android-Geräten wird der QR Code direkt angezeigt, da das Thema „Touch ID“ dort nicht so verbreitet ist.
Die TrustCase App sowie FACT24 und das F24 Krisenmanagement-Tool unterliegen jedes Jahr Penetration Tests, die durch die renommierte, unabhängige Syss GmbH durchgeführt werden. Entsprechende Zertifikate belegen unseren Systemen ein hohes Sicherheits-Level.
