RCS – die Abkürzung steht für “Rich Communication Services” – ist ein neuer Kommunikationsstandard im Mobilfunk und soll als Erweiterung zur klassischen SMS fungieren. RCS wird über mobile Datenverbindungen oder WLAN verschickt. Das bringt gewisse Sicherheitsbedenken mit sich – wie sicher ist also RCS?
Welche Verschlüsselung nutzt RCS?
Eines vorneweg: Die Sicherheitsvorkehrungen sind besser als bei SMS, in vielen Fällen wird mittlerweile sogar Ende-zu-Ende Verschlüsselung angeboten. Wie gut die Sicherheitsmaßnahmen sind, hängt aber von den Geräteherstellern und Mobilfunkanbietern ab, die den Service anbieten.
Der ursprüngliche Standard, der vom Mobilfunkverband GSMA entwickelt wurde, sieht noch keine Ende-zu-Ende-Verschlüsselung vor. Der Verband sieht diese Weiterentwicklung als nächsten Meilenstein in der Kommunikation zwischen Geräten unterschiedlicher Hersteller, wie er in seiner Presseaussendung “RCS Now in iOS: a New Chapter for Mobile Messaging” im September 2024 mitteilte.
Auf Apple-Geräten ist RCS ab iOS 18 verfügbar, allerdings derzeit noch ohne Ende-zu-Ende-Verschlüsselung. Auf Androidgeräten dagegen ist mittlerweile standardmäßig die Google Message App für RCS in Verwendung – die Verschlüsselung in dieser App erklärt der Google Support folgendermaßen: Es wird Ende-zu-Ende-Verschlüsselung verwendet, sollte diese nicht verfügbar sein, sind die Nachrichten durch TLS-Verschlüsselung (Transport Layer Security) geschützt. Die gesendeten Daten werden vorübergehend in der RCS-Infrastruktur von Google in der Warteschlange gespeichert (mit zufälligen, nicht erratbaren URLs) und nach der Zustellung gelöscht. Sollte RCS nicht verfügbar sein, wird die RCS-Nachricht aus der Warteschlange gelöscht.
Sicherheit bei RCS Business Messaging (RBM)
RCS Business Messaging (RBM) bietet dieselben Rahmenbedingungen wie RCS, aber zusätzliche Sicherheit durch den Fokus auf die Verifikation von Firmen – das stärkt das Vertrauen der Kunden und beugt Spam vor. “Die Verifizierung erfolgt über Mobilfunkanbieter, Drittanbieter zur Verifizierung und Google selbst”, wie Anton Chmelar, Director of Sales & Procurement bei iBasis Austria, erläutert. Zudem müssen Firmen bei RCS wie auch bei SMS eine explizite Zustimmung von Kunden einholen, dass sie Mitteilungen erhalten wollen, und es muss auch eine klar erkennbare Möglichkeit zum Opt-out geben. Ob der Versand von Nachrichten DSGVO-konform erfolgt, liegt in der Verantwortung der versendenden Firmen.
Fazit: Die RCS Sicherheit nimmt laufend zu
Auch wenn der ursprüngliche Standard von RCS die Ende-zu-Ende-Verschlüsselung noch nicht vorsah, gibt es mittlerweile deutliche Bestrebungen dazu, den Service für Kunden möglichst sicher zu machen. Wichtige Player wie Google gehen dabei voran, indem sie in ihren Messenger Apps Ende-zu-Ende-Verschlüsselung vorsehen. Nicht vergessen werden darf dabei auf weitere Vorgaben zur Sicherheit wie Datenschutzvorgaben durch die DSGVO.