Sichere Messenger-Apps im Vergleich: WhatsApp und Alternativen
In diesem Artikel bewerten wir verschiedene Chat-Apps in Bezug auf Sicherheit und Datenschutz.
Verschlüsselung ist im 21. Jahrhundert ein Mittel zur Selbstverteidigung geworden. Gegen wen wir uns verteidigen, kann ganz unterschiedlich sein. Und die Relevanz dieser Selbstverteidigung reicht von ideellen Gründen – das Recht auf Privatsphäre kompromisslos einzufordern – bis überlebensnotwendig.
Weltweit verlassen sich Investigativjournalisten, Menschenrechtsaktivisten, Whistleblower, aber auch Anwälte, Ärzte und datenschutzbewusste Privatpersonen auf funktionierende Verschlüsselung. Sie schützen damit entweder sich selbst – wenn sie Informationen haben, die sie in Gefahr bringen könnten – oder andere, wenn sie deren sensible Informationen schützen.
Verschlüsselung mit Hintertüren
Nicht nur in totalitären Regimes und Ländern, in denen freie Meinungsäußerung gefährlich sein kann, ist Verschlüsselung ein notwendiges Mittel für jene, die sich für Minderheiten und Gerechtigkeit einsetzen. Auch in manchen westlichen Demokratien wird das Recht auf Privatsphäre immer weiter eingeschränkt und staatliche Überwachung salonfähig. Wer sich dem widersetzen möchte, dem bleibt nur Selbstverteidigung durch Verschlüsselung.
Gerade die Datenweitergabe an Behörden, zu der amerikanische Unternehmen verpflichtet sind, sollte ein wichtiger Grund sein, Daten sicher zu verschlüsseln. Immer wieder wird von Behörden versucht Hintertüren in Verschlüsselungen einzubauen, auch bei der Ende-zu-Ende-Verschlüsselung von Messenger-Diensten. Wie Dr. Datenschutz im Dezember 2021 berichtet, soll zumindest in Deutschland ein eigenes Gesetz für ein Recht auf Verschlüsselung eingeführt werden – ohne Hintertüren. Der Artikel gibt ebenso einen Überblick, welche Abfragemöglichkeiten Behörden bei den Messenger-Diensten haben.
Das Signal-Protokoll
Da viele der im Vergleich angeführten Messenger-Dienste zur Verschlüsselung das Signal-Protokoll nutzen, soll hier kurz erklärt werden, um was es sich dabei handelt. Signal ist ein quelloffenes Protokoll von Open Whisper Systems, das von den angesehenen IT-Sicherheitsexperten Trevor Perrin und Moxie Marlinspike entwickelt wurde und heute als Verschlüsselungsstandard gilt. Das Verschlüsselungsprotokoll wurde 2016 von internationalen Sicherheitsforschern überprüft und gilt als sehr sicher. Außerdem wird es von Edward Snowden empfohlen.
Vorsicht bei Cloud-Backups
Das Erstellen automatischer Backups in einem Cloud-Speicher ist ein praktischer Service, den man zum Beispiel dann benötigt, wenn man sein altes Smartphone durch ein neues ersetzt. Auch bei Diebstahl oder Beschädigung der Geräte ist es beruhigend zu wissen, dass man die Daten wiederherstellen kann.
Backups von Smartphones werden von den Betreibern allerdings nicht automatisch Ende-zu-Ende-verschlüsselt. Theoretisch wäre es also möglich, die gespeicherten Inhalte auszulesen. Über diesen Umweg gelangen beispielsweise die Chat-Protokolle des Apple-Messengers iMessage in die Cloud. Wie man diese Lücke in der Verschlüsselung umgehen kann, haben wir beispielhaft für iCloud und iPhone Schritt für Schritt erklärt: iPhone-Backup verschlüsselt in iCloud Speichern.
Messenger mit standardmäßiger Verschlüsselung
WhatsApp ist mit mehr als zwei Milliarden monatlich aktiven Nutzern und Nutzerinnen der momentan am weitesten verbreitete Messenger weltweit. In den letzten Jahren hat sich bei dem Dienst Einiges getan, auch in Sachen Verschlüsselung.
Sicherheit: Seit 2016 schützt WhatsApp standardmäßig Nachrichten mit Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll, vorausgesetzt, beide Gesprächspartner haben die aktuelle Version installiert. Dadurch kann man sicher sein, dass niemand Chats mitlesen kann, nicht einmal WhatsApp selbst. Jeder Kontakt hat eine eigene Sicherheitsnummer, mit der sich feststellen lässt, ob man tatsächlich mit derjenigen Person schreibt, mit der man glaubt, zu schreiben. Allerdings muss diese Funktion extra aktiviert werden. Standardmäßig wird man über einen Wechsel der Sicherheitsnummer nicht informiert. Die Sicherheitsnummer bei WhatsApp ist ein Schutz vor Man-in-the-Middle-Attacken.
WhatsApp hat mit seiner Einführung der Ende-zu-Ende-Verschlüsselung das erreicht, worauf die Sicherheitsbranche seit Jahrzehnten hinarbeitet: Verschlüsselung und Privatsphäre für alle, ohne nennenswerte Einbußen in der Usability. Das ist ein Meilenstein in der Geschichte der Verschlüsselung. Jedoch gibt es auch ein paar Dinge zu beachten.
Nachteile: WhatsApp wurde 2014 vom Datenriesen Facebook gekauft. Mit der Übernahme kam ein Update der Nutzungsbedingungen, das besonders in Europa auf Kritik stieß und Misstrauen geweckt hat. Daten aus WhatsApp sollten mit dem Facebook-Konzern geteilt werden. Aufgrund der Kritik – auch von Seiten der EU – stoppte WhatsApp in Europa den Datenaustausch mit Facebook wieder. Doch die Geschichte hinterlässt trotzdem einen fahlen Nachgeschmack, zumal der Rechtsstreit auch bisher nicht beigelegt wurde.
Ein weiteres Problem ist die Backup-Funktion. Ursprünglich hat WhatsApp die Chat-Protokolle unverschlüsselt auf den Servern abgelegt. Mittlerweile hat man hier nachgebessert, wie Der Standard berichtet. So werden Chat-Backups künftig Ende-zu-Ende-verschlüsselt abgespeichert. Die grundlegende Änderung hier ist, dass die Backups weiterhin auf den Servern von Apple und Google gespeichert werden, jedoch diese keinen Einblick mehr auf die Daten haben. Dementsprechend können die Daten dank den zusätzlichen Schutzmaßnahmen auch nicht mehr an Dritte, wie zum Beispiel Behörden, weitergegeben werden. Facebook, bzw. Meta, hat hierfür ein neues System entwickelt, um die zugehörigen Schlüssel sicher abzuspeichern. Damit wird auch verhindert, dass Nutzerinnen und Nutzer aufgrund eines neuen Gerätes den Zugriff auf Ihre Daten verlieren.
Nach wie vor lädt die App bei der Installation alle Daten aus dem Smartphone-Telefonbuch herunter. Laut AGB sind die WhatsApp-Nutzer und -Nutzerinnen dafür verantwortlich, die Einverständniserklärung jedes Kontaktes einzuholen. Dass dies ungefähr nie geschieht und mit unverhältnismäßigem Aufwand verbunden wäre, versteht sich von selbst.
Es gibt eine Sicherheitslücke bei Nachrichten, die zwar versendet, aber nicht zugestellt wurden. WhatsApp verkauft diese Lücke als Feature. Das Argument ist, dass beim Wechsel der Mobilfunknummer auf Empfängerseite kein Datenverlust entsteht. Datenschützer halten diesen Umstand zumindest für fragwürdig. Wir empfehlen dazu diesen Text im Guardian.
Löschfunktion: Ein besonderes Feature, das viele Messenger gar nicht anbieten, wirkt sich ebenfalls auf das Datenschutz-Level von Chat-Apps aus: Das Rückrufen bzw. Löschen bereits verschickter Nachrichten.
WhatsApp bietet diese Funktion seit einiger Zeit tatsächlich an – jedoch mit einer großen Einschränkung: Der Rückruf war bisher nur sieben Minuten lang möglich, wurde jedoch mittlerweile auf 68 Minuten verlängert. Innerhalb dieser Zeitspanne können jedoch auch bereits zugestellte und vom Empfänger gelesene Nachrichten vom Sender entfernt werden. Spurlos geschieht das allerding nicht: Dem Empfänger wird anstelle der ursprünglichen Botschaft der Text „Nachricht gelöscht“ angezeigt.
Und auch sonst sollte die Löschen-Option kritisch betrachtet werden: Vor Screenshots, die der Empfänger ggf. machen konnte, schützt sie ebenso wenig wie vor dem versehentlichen Ausblenden im eigenen Chat.
WhatsApp hat ein Feature veröffentlicht, das beim Absenden von Gruppenchat-Nachrichten erlaubt, eine Löschung zu einem bestimmten Zeitpunkt vorzumerken (bspw. nach 1 Woche). Zusätzlich wird es laut Tech Crunch möglich sein, Nachrichten auch nach 24 Stunden oder 90 Tagen verschwinden zu lassen. Hierfür muss ein Kontakt die Funktion für den jeweiligen Chat oder Gruppe aktivieren und die Zeitspanne der Löschung auswählen.
Preis: Kostenlos
Update: Im September 2020 wurde durch eine Studie der Universität Würzburg und der Technischen Universität Darmstadt bekannt, das sich durch sogenannte Crawling-Angriffe u. a. Nutzerverhalten erschließen lassen. Crawling, ist das zufällige Abfragen von Telefonnummern, bei denen persönliche Informationen und Metadaten der Profile gesammelt werden können. So können bei längerem Betrachten Verhaltensmodelle erstellt und Nutzer ggfs. Opfer von Betrug werden. Dabei wurden zufällig 10% der amerikanischen WhatsApp und 100% aller Signal Nutzer abgefragt.
AGB-Änderungen: WhatsApp forderte seine Nutzerinnen und Nutzer dazu auf, bis zum 08. Februar 2021 den aktualisierten Nutzungsbedingungen und der aktualisierten Datenschutzrichtlinie zuzustimmen. WhatsApp interessiert sich vor allem für Ihre IP-Adresse, Ihre Telefonnummer (sowie die Telefonnummern Ihrer Kontakte), Ihr Smartphone Modell und Log-Informationen. Diese Daten werden jedoch nicht nur von WhatsApp gespeichert, sondern auch mit anderen Unternehmen geteilt. Aufgrund von einem Aufruhr der Nutzenden sowie einem zunehmenden Wechsel von Personen zu Alternativen Messengern, hat WhatsApp die Frist nochmals auf den 15. Mai 2021 verschoben.
Signal
Signal wurde unter anderem von Sicherheitsexperte Moxie Marlinspike für die gemeinnützige Organisation Open Whisper Systems entwickelt. Edward Snowden empfiehlt Signal und Open Whisper Systems uneingeschränkt, beispielsweise auf deren Webseite. Dort outet sich auch die Krypto-Koryphäe Bruce Schneier – Autor des Kryptographie-Standardwerks „Applied Cryptography“ – als begeisterter Nutzer der App.
Signal bietet Einzel- und Gruppenchats, Text-, Sprachnachrichten und Anrufe – sowohl über Video als auch Audio – sowie die Möglichkeit Fotos, Videos, Audios, Emojis und Sticker an Kontakte zu versenden. Damit ist der Großteil möglicher Nutzerinteressen abgedeckt. Ein nettes Extra ist, dass man den Fotos in Nachrichten eigene Zeichnungen und Texte hinzufügen kann. Erwähnenswert ist auch der Selbstzerstörungs-Timer für Nachrichten (einstellbar für Zeiträume von fünf Sekunden bis zu einer Woche). Über die Einstellungen kann man innerhalb der App Screenshots blockieren. Beides bietet einen gewissen Schutz vor der Weitergabe brisanter Chat-Inhalte.
Sicherheit: Nach Aussagen von Open Whisper Systems sind alle Nachrichten mit dem quelloffenen Signal-Protokoll vollständig Ende-zu-Ende-verschlüsselt. Kontakte können über einen Abgleich von Sicherheitsnummern oder durch einen QR-Code verifiziert werden. Dieser Nummernabgleich über ein zusätzliches Kommunikationsmedium oder der persönliche QR-Code-Scan in physischer Anwesenheit bedeutet zwar zusätzlichen Aufwand. Dadurch ist man jedoch vor Man-in-the-Middle-Attacken geschützt. Im Gegensatz zu WhatsApp sendet Signal bei einem Backup keine Nachrichten in die Cloud. Deshalb sind auch die Backups sicher.
Seit Ende 2020 können Nutzerinnen und Nutzer von Signal mit iOS oder Android nun Videoanrufe mit bis zu acht Personen führen, ohne dabei auf die gewohnten Sicherheitsstandards verzichten zu müssen. Gruppenanrufe sind nicht nur auf den mobilen Apps, sondern nun auch vom Desktop aus möglich.
Nachteile: Signal muss via SMS-Code authentifiziert werden. Somit ist die Nutzung nur mit einer Telefonnummer, sprich SIM-Karte möglich. Das schließt bestimmte Personen, Nutzergruppen und Anwendungsfälle aus.
Grundsätzlich ist die Anzahl der Signal Nutzer noch recht klein (~50 Millionen Installationen in Google Play, Stand 2021). So werden viele, die zu Signal wechseln wollen, zunächst einmal Überzeugungsarbeit im Freundeskreis leisten müssen. Diejenigen jedoch, die Signal bereits nutzen, entdeckt man bei der Installation sofort, da die App Zugriff auf das Adressbuch einfordert. Im Gegensatz zu anderen Messengern hat Signal mit der Funktion Private Contact Discovery ein Verfahren eingeführt, das dem Betreiber des Servers so wenig Einblick in die Kontaktdaten wie möglich lässt. So werden die Kontaktinformationen auf Ihrem Gerät kryptographisch gehasht, bevor die Übertragung an den Server stattfindet.
Preis: Kostenlos
Threema
Threema ist neben Signal ein weiterer Vorzeigeschüler unter den Messengern aus der Schweiz. Etwa zehn Millionen Nutzer und Nutzerinnen zählt die Kommunikations-App inzwischen (Stand: Dezember 2021). Während Signal unter den Alternativen zu WhatsApp den internationalen Markt dominiert, ist Threema hauptsächlich im deutschsprachigen Raum verbreitet – mehr als 80% der Nutzer und Nutzerinnen stammen aus der DACH-Region. Im September 2020 wurde der Einstieg eines neuen Investors bekanntgemacht, durch dessen Hilfe auch der nicht-deutschsprachige Teil Europas angesprochen werden und somit die Anzahl an Nutzern weiter steigen soll. Mit Threema Work bietet das Unternehmen eine spezielle Anwendung für geschäftliche Kontakte.
Sicherheit: Bei der Anmeldung werden automatisch eine anonyme Threema-ID und ein Passwort erstellt. Das Festlegen eines Profilnamens und Profilbilds ist optional, ebenso die Verknüpfung mit Rufnummer oder E-Mail-Adresse. Man muss auch die im Telefon gespeicherten Kontakte nicht zwangsweise synchronisieren, wenn man dies nicht möchte. Diese Funktion ist jedoch voreingestellt und muss manuell deaktiviert werden – wozu wir im Übrigen dringend raten.
Der Hersteller selbst bezeichnet die reduzierte Datenabfrage als „Metadaten-Sparsamkeit“ unter der Prämisse, dass nicht vorhandene Daten auch nicht in falsche Hände gelangen können. Auch die Threema-Server werden nur als temporäres Relais zur Nachrichtenübertragung genutzt. Alle Daten werden nach der Übertragung wieder gelöscht.
Private Chats können in Threema lokal mit PIN gesichert und versteckt werden. Außerdem gibt es drei Vertrauensstufen für Chatpartner und -partnerinnen: Unbekannte sind rot, bei Threema verifizierte Nutzer sind gelb, persönlich bekannte Kontakte sind grün markiert. Um einen Kontakt zu verifizieren, müssen Sie ihn persönlich treffen und verifizieren. Durch gegenseitiges Scannen des persönlichen QR-Codes sind Sie vor Man-in-the-Middle-Attacken geschützt. Alle Nachrichten werden bei Threema sicher mit der NaCI-Bibliothek Ende-zu-Ende-verschlüsselt.
Seit September 2017 bietet Threema zusätzlich VoIP-Sprachanrufe an. Diese können bei bekannten Kontakten ohne Umweg über die Server des Unternehmens erfolgen, indem die IP-Adresse der Endgeräte übertragen wird, oder ohne Austausch der IP-Adresse über die Threema-Server. Ein sicherer Web-Client ist seit Januar 2017 verfügbar.
Im August 2020 wurde die Funktion von Videotelefonaten eingeführt mit dem Versprechen, dass auch hier die gewohnte Sicherheit gewährleistet wird. Im September desselben Jahres wurde angekündigt, dass Threema innerhalb der nächsten Monate quelloffen wird. Zuvor wurde der Code extern begutachtet. Dabei konnten Experten keine ernsthaften Sicherheitslücken erkennen und sprachen hingegen viel Lob für die Grundstruktur sowie Codequalität des Messenger-Dienstes aus.
Inzwischen ist Threema tatsächlich quelloffen. Interessierte können sich den Quellcode hier ansehen.
Gegen Ende des Jahres 2020 gab Threema bekannt, dass es eine Multi-Device-Funktion anbieten möchte. Die bestehenden Sicherheits- und Datenschutzstandards sollen dabei erhalten bleiben, was eine Herausforderung für den Messenger darstellt. Threema plant die Funktion über einen sogenannten „Mediator-Server“ mithilfe von Schlüsseln laufen zu lassen. Wann genau die neue Funktion veröffentlicht wird, ist noch nicht bekannt, jedoch wurde ein technischer Überblick bereits veröffentlicht.
Auf Anforderung der Europäischen Union im November 2020 mit Generalschlüsseln oder Hintertür in Fällen wie der Terrorbekämpfung Zugang zu Nachrichten zu erhalten, lehnte Threema dies ab. Der CEO von Threema, Martin Blatter, begründete die Entscheidung dadurch, dass Privatsphäre ein Menschenrecht sei und es technologisch nicht möglich ist, die Verschlüsselung zu umgehen, da nicht Threema, sondern die Nutzerinnen und Nutzer selbst den Schlüssel auf ihrem Endgerät besitzen.
Nachteile: Es gibt keine bekannten Schwachstellen in Bezug auf die Sicherheit Ihrer Daten. Videoanrufe sind jedoch noch nicht verfügbar. Außerdem ist der Kontaktbuch-Abgleich standardmäßig aktiviert.
Preis: Einmalige Zahlung von 3,99€ (Google Play Store), bzw. 3,99€ (App Store)
Delta Chat
Delta Chat wurde Anfang 2019 veröffentlicht und zählt zu den neueren Messenger Diensten. Betrieben wird es von der Merlinux GmbH in Freiburg. Der quelloffene Messenger kann auf dem Desktop, Smartphones und Tablets genutzt werden und wurde allein im Google Play Store über 50.000-mal heruntergeladen.
Sicherheit: Was Delta Chat von den bereits genannten Messengern unterscheidet, ist dass es weder einen eigenen Server noch eine Handynummer zum Anmelden benötigt. Nachrichten können über eine gültige E-Mail-Adresse gesendet werden, auch wenn der Empfänger selbst nicht Delta Chat verwendet. Er erhält die Nachricht dann als reguläre E-Mail.
Erst nachdem die erste Nachricht verschickt wurde, werden alle folgenden Ende-zu-Ende verschlüsselt, da zuerst die nötigen Schlüssel miteinander ausgetauscht werden müssen. Im Vergleich zu anderen Messengern, werden auch Gruppenchats verschlüsselt, jedoch sind die E-Mail-Adressen der Teilnehmer weiterhin sichtbar.
Falls der Kommunikationspartner nicht Delta Chat verwendet, wird lediglich der Transport verschlüsselt (TLS), jedoch sind Nachrichten für die E-Mail Provider weiterhin sichtbar.
Nachteil: Da Delta Chat im Prinzip ein E-Mail Messenger ist, sind keine Sprach- und Videoanrufe möglich. Zudem können Nachrichten nach dem Absenden nicht mehr zurückgeholt oder gelöscht werden. Falls der Absender und Empfänger denselben E-Mail Server verwenden, werden Nachrichten auf einem zentralen Server gespeichert. Ebenso gibt es keine komplette Ende-zu-Ende Verschlüsselung bei Gesprächspartnern, die nicht beide Delta Chat nutzen. Backups sind zwar auch möglich, jedoch ebenfalls nicht Ende-zu-Ende verschlüsselt und somit unzureichend geschützt, wenn sie in eine Cloud hochgeladen werden.
Preis: Kostenlos
Dienste mit Opt-In-Verschlüsselung
Telegram
Telegram ist ein kostenloser Dienst, der inzwischen über 200 Millionen Nutzer zählt. Er wurde 2013 von den Brüdern Nikolai und Pawel Durov, den Gründern des russischen sozialen Netzwerks VKontakte, entwickelt und gilt als einer der ersten Messenger-Diensten, der eine Ende-zu-Ende-Verschlüsselung anbot. Neben dem Verwalten von Chat-Gruppen mit einer Größe bis zu 200.000 Teilnehmern, ist es mit Telegram möglich, die Anwendung auf mehreren Geräten gleichzeitig zu bedienen (bspw. am Handy und am Rechner). Die Entwickler zeichnen sich außerdem selbst damit aus, die gesendeten Nachrichten schneller als konkurrierende Messenger-Dienste zuzustellen.
Sicherheit: Der Messenger Telegram bietet optionale Ende-zu-Ende-Verschlüsselung und Nachrichten, denen ein Ablaufdatum zugeteilt werden kann und sich nach einer definierten Zeit selbst zerstören. Ob der Chat mit einem anderen Kontakt verschlüsselt ist, erkennt man an einem grünen Schloss-Symbol vor dem Namen des Empfängers. Bei einem Rechtsstreit konnte das Unternehmen hinter Telegram zudem zeigen wie wichtig ihm die Sicherheit der Daten seiner Nutzer ist: Als der russische Inlandsgeheimdienst FSB Informationen zur Entschlüsselung von Telegram-Nachrichten forderte, wies das Unternehmen die Forderung zurück und nahm eine Strafe von umgerechnet 10.000 Euro in Kauf.
Löschfunktion: Im März 2019 teilte das Unternehmen auf seinem Blog mit, dass ab sofort jeder Nutzer jede Nachricht löschen kann, und zwar ohne zeitliche Begrenzung. Somit können auch solche Nachrichten entfernt werden, die man nicht selbst geschrieben hat. Auch das Löschen eines gesamten Chatverlaufes ist möglich. Ausgenommen von diesem neuen Feature sind Gruppenchats.
Nachteile: Sicherheitsexperten bemängeln, dass der Sitz des Unternehmens regelmäßig wechselt, womit sich auch die Zuordnung zu einer Gerichtsbarkeit schwierig gestaltet. In den [FAQs] (https://telegram.org/faq/de#f-wo-ist-der-standort-von-telegram) schreibt das Unternehmen dazu selbst „Derzeit sind wir mit Dubai zufrieden, aber jederzeit bereit, wieder umzuziehen, wenn sich die dortigen Vorschriften ändern sollten.“ Das Unternehmen selbst verkauft diese dezentrale Organisationsstruktur als Vorteil, denn wer keinem Land zugeordnet werden kann, unterliegt auch keiner Gerichtsbarkeit.
Weiterer Kritikpunkt: Telegram setzt mit dem MTProto-Protokoll unverständlicherweise auf einen selbst entwickelten Verschlüsselungsalgorithmus, dessen Sicherheit nicht erwiesen ist – im Gegensatz zum Signal-Protokoll.
Telegram möchte außerdem Zugriff auf das Adressbuch des Nutzenden haben und abspeichern mit der Begründung, dass so Benachrichtigungen verschickt werden können, sobald ein Kontakt auch Telegram benutzt. Signal hingegen setzt auf Hashes, damit Personen in Kontaktlisten für sie unkenntlich gemacht werden.
Zudem war es iranischen Hackern jahrelang mit staatlicher Unterstützung möglich, Aktivisten, Minderheiten sowie die Opposition über sog. Spearphishing-Dokumente anzugreifen. Mithilfe der Schadsoftware konnten Angreifer das Telegram-Konto der Opfer im vollen Umfang auf einem anderen Gerät zu nutzen und zu überwachen. Grund hierfür waren Sicherheitslücken in Installationsprotokollen von Telegram. Auch WhatsApp war von dieser Sicherheitslücke betroffen.
In den letzten Jahren haben sich vermehrt Verschwörungstheoretiker sowie Hassprediger und Kriminelle auf Telegram versammelt. Grund hierfür ist, dass Telegram (im Gegensatz zu anderen Messengern) kaum auf die Meldung rechtswidriger oder beleidigender Inhalte reagiert und nur in seltenen Fällen löscht.
Aufgrund der etwas seltsamen Hintergründe, der kein Impressum auf der Webseite und ein behaupteter, jedoch nicht belegter Firmensitz in Berlin kann für Telegram keine Empfehlung ausgesprochen werden.
Preis: Kostenlos
Update: Im August 2018 wurde ein Datenleck bekannt. Die Nachrichten, die Telegram User untereinander schickten, liefen für etwa 2 Stunden über die Server eines staatlichen iranischen Telekommunikationsunternehmens. Das Mitschneiden durch die Regierung wäre zu diesem Zeitpunkt möglich gewesen. Mehr dazu hier
Im Juli 2021 berichtete Heise online von einer Forschung der Royal Holloway University of London und der ETH Zürich, wo Telegrams Verschlüsselung untersucht wurde. Dabei sind vier Probleme bei dem selbst-entwickelten Krypto Protokoll „MTProto“ aufgefallen, die mittlerweile gelöst wurden. So konnten Angreifende zum Beispiel die Reihenfolge von Nachrichten ändern, sodass die empfangende Person eine andere Nachricht erhält, als ursprünglich abgesendet wurde. Die genauere Beschreibung hierzu, sowie die weiteren (und kleineren) Probleme, können hier nachgelesen werden.
Facebook Messenger
Der Facebook-Messenger ist der hauseigene Instant-Messenger von Facebook, den seit Mitte 2016 jeder Facebook-Nutzer benutzen muss, der Facebook-Nachrichten auf mobilen Geräten lesen möchte. Allein aus diesem Grund ist die Messenger-App die am zweithäufigsten genutzte Messenger-Dienst weltweit. Dieser „Messenger-Zwang“ ist in unseren Augen ein Minuspunkt.
Sicherheit: Der Messenger wird hier auch nur erwähnt, da er seit 2016 ebenfalls Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll anbietet.
Löschfunktion: Innerhalb von 10 Minuten kann man entscheiden, ob die Nachricht bei allen Empfängern gelöscht wird oder nur bei einem selbst. Nach Ablauf der 10 Minuten kann man die Nachricht nur noch bei sich selbst ausblenden, der Empfänger sieht sie weiterhin unverändert in seinem Chatfenster.
Nachteile: Ende-zu-Ende-Verschlüsselung gibt es nur für Einzelchats und nur als Opt-in, was bedeutet, dass Sie die Verschlüsselung erst einmal aktivieren müssen. Dadurch werden viele Nutzer bei der unsicheren Variante bleiben.
Schwerer wiegt, dass in der unverschlüsselten Variante Nachrichten automatisch auf Schlüsselwörter gescannt werden. Wenn Sie den Messenger nutzen, dann also definitiv nur mit aktiviertem Status „geheime Unterhaltung“ (Secret Conversations). Dann können Sie Nachrichten zwar nur zwischen exakt den beiden Geräten verschicken, auf denen der geheime Chat aktiviert wurde (und nicht mehr zwischen Browser und Smartphone wechseln), doch wir meinen, das ist es wert.
Nicht unmittelbar mit der Übertragungssicherheit von Nachrichten verbunden, aber dennoch lästig sind außerdem die Werbeschaltungen in der Chatliste.
Preis: Kostenlos
Wire
Wire bietet seinen Messenger-Dienst seit 2014 für Smartphones, Tablets und sogar für den PC an. Er wurde von der Schweizer Softwarefirma Wire Swiss GmbH entwickelt. Das Entwicklungszentrum liegt in Berlin.
Sicherheit: Wire nutzt zur Verschlüsselung von Anrufen eine Ende-zu-Ende-Verschlüsselung mit SRTP und DTLS. Für die Verschlüsselung von Textnachrichten und Bildern wird eine Proteus Ende-zu-Ende-Verschlüsselung verwendet. Kommunikation, die man mit Freunden oder Kollegen führt, wird auf dem Gerät des Absenders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Die Registrierung ist sowohl mit Handynummer als auch mit E-Mail-Adresse möglich. Auch ist der Zugriff auf das Adressbuch optional. Ein weiterer Vorteil von Wire ist, dass die Nutzung des Messengers auf acht unterschiedlichen Geräten pro Person gewährleistet ist.
Seit Oktober 2020 sind auf Wire Ende-zu-ende-verschlüsselte Telefon- und Videokonferenzen möglich. Damals konnten bis zu zwölf Teilnehmer eine Videokonferenz halten. Dies wurde jedoch mittlerweile auf 100 Teilnehmer bei Telefon- und 50 bei Videokonferenzen erhöht.
Nachteil: Als Messenger-Dienst richtet sich Wire vor allem an Anwender im Business-Kontext, weshalb die Anzahl an privaten Kontakten eher gering ausfallen dürfte.
Preis: Kostenlos
Matrix
Matrix ist ein offener Standard und wird seit 2014 von der „The Matrix Foundation“ entwickelt. Da es ein interoperables Netzwerk ist, ist es egal welchen Messenger man benutzten möchte. Laut Matrix sind ca. zehn Millionen Konten zu verzeichnen mit ungefähr 2.1 Millionen erstellten Rooms.
Sicherheit: Mit Matrix können Nutzer eigene Server erstellen oder den Servern anderer beitreten um mit Ihnen zu Kommunizieren. Die Ende-zu-Ende Verschlüsslung ist nicht voreingestellt, jedoch hat Matrix dafür eine Anleitung bereitgestellt. Wenn man seinen eigenen Server erstellt, bietet Matrix die Möglichkeit Ihn auf eigene Bedürfnisse anzupassen und die Ende-zu-Ende Verschlüsselung einzubauen.
Man muss sich nicht mit einer Handynummer anmelden und kann Matrix direkt vom Browser aus erreichen. Nutzer erhalten eine Matrix-ID, mit der man sich auf mehreren Geräten gleichzeitig anmelden kann.
VoIP Sprachanrufe per WebRTC wird zwischen Rooms mit jeweils einem Nutzer unterstützt. Ob Video- und Gruppenanrufe unterstützt werden, hängt von Ihrem Messenger Dienst ab.
Neben der Bundeswehr, hat auch die französische Regierung bekannt gemacht, in Zukunft auf Matrix als Kommunikationsmittel zu setzen. Dabei sollen auch streng vertrauliche Nachrichten über eigens eingerichtete Server übermittelt werden.
Nachteil: Da Nutzer selbst entscheiden können, welche Server sie beitreten möchten und es auch die Option der Ende-zu-Ende Verschlüsselung gibt, kann kein wirklicher Nachteil an der Nutzung von Matrix gefunden werden. Zudem ist Matrix quelloffen und schränkt Sie nicht auf einen spezifischen Messenger Dienst ein.
Sicherheitslücke: Golem.de berichtet im September 2021 darüber, das Schlüssel für die Ende-zu-Ende-Verschlüsselung der Matrix-Clients unter bestimmten Umständen angefordert und Nachrichten mitgelesen werden konnten. Betroffen sind die Maxtrix-Clients Element als Web-, Desktop- und Android-Version, wie auch Fluffychat, Nheko, Cinny und Schildichat. Jedoch ist die Element iOS Version nicht von der Sicherheitslücke betroffen.
Angreifer konnten sich als ein Gerät ausgeben und versuchen den Schlüssel anzufordern um verschlüsselte Nachrichten mitzulesen. Jedoch ist dies nur möglich, wenn die Person die Zugangsdaten der Betroffenen oder die Kontrolle über dessen Matrix-Server hat. Es ist nicht bekannt, ob diese Sicherheitslücke ausgenutzt wurde.
Preis: Kostenlos
Unser Fazit
WhatsApp ist in unserer Liste der Alleskönner, der die Verbreitung von Verschlüsselung maßgeblich vorangetrieben hat. Dass die Ende-zu-Ende-Verschlüsselung funktioniert und WhatsApp tatsächlich die Nachrichten nicht einsehen kann, zeigt der Konflikt zwischen WhatsApp und einer Richterin in Brasilien. WhatsApp weigerte sich, Chatprotokolle herauszugeben, und verwies darauf, dass das Unternehmen durch die Ende-zu-Ende-Verschlüsselung nicht mehr auf Unterhaltungen zugreifen könnte, selbst wenn es wollte.
Der große Pluspunkt bei WhatsApp ist die Benutzerfreundlichkeit und die große Verbreitung. Es besteht jedoch die Gefahr, dass bei unvorsichtiger Handhabe Backups in die Cloud wandern, die nicht Ende-zu-Ende-verschlüsselt sind. Weitere Nachteile sind die Zugehörigkeit von WhatsApp zu Facebook und der damit drohende Datenaustausch sowie die automatische Nutzung des Adressbuchs. Wem dies alles suspekt ist, kann auf die Alternativen Signal oder Threema zurückgreifen. Es spricht jedoch auch nichts dagegen, mehrere Messenger für verschiedene Zwecke und Kontakte zu nutzen.
Beim Facebook-Messenger kann Ende-zu-Ende-Verschlüsselung nur unter Einbußen in der Benutzerfreundlichkeit genutzt werden. Ohne die aktivierte Verschlüsselung sind jedoch Datenschutz und Privatsphäre nicht garantiert. Telegram ist aufgrund der oben angeführten Kontroversen ebenfalls mit Vorsicht zu genießen.
Wir hoffen, dass wir Ihnen mit diesem Artikel eine gute Übersicht über die Betreiber, die Technologie und das Schutz-Level der verschiedenen Messenger gegeben haben. Für welchen der Messenger Sie sich am Ende entscheiden, hängt davon ab, worauf Sie am meisten Wert legen. Der Schutz vor Angreifern, die ihre Opfer zufällig auswählen, kann ein Grund sein, sich für einen sicheren Messenger zu entscheiden. Das Vermeiden von Zugriffen durch Behörden ist ein anderer. Die Anzahl der Benutzer ist in unseren Augen eher unwichtig – geht es doch darum, dass sie sichere Chats mit genau den Leuten führen können, die sie kontaktieren möchten. Ob 1,5 Milliarden oder nur 500.000 Endgeräte für einen Messenger registriert sind ist für die individuelle Nutzung irrelevant.
Für uns sind drei Kriterien maßgeblich:
- Ende-zu-Ende-verschlüsselt
- Niemand liest mit
- Niemand scannt Ihre Nachrichten – was Sie schreiben bleibt privat
All das ist bei WhatsApp, Signal, Wire, Matrix und Threema gegeben.
