whisply logo

Verschicken Sie Dateien geschützt mit echter Ende-zu-Ende-Verschlüsselung direkt aus dem Browser mit Whisply.

Jetzt ausprobieren
featured

Thursday, January 26, 2017

Sichere Messenger im Vergleich: WhatsApp und Alternativen

Verschlüsselung ist im 21. Jahrhundert ein Mittel zur Selbstverteidigung geworden. Gegen wen wir uns verteidigen, kann ganz unterschiedlich sein. Und die Relevanz dieser Selbstverteidigung reicht von ideellen Gründen – das Recht auf Privatsphäre kompromisslos einzufordern – bis überlebensnotwendig.

Weltweit verlassen sich investigative Journalisten, Menschenrechtsaktivisten, Whistleblower, aber auch Anwälte, Ärzte und datenschutzbewusste Privatpersonen auf funktionierende Verschlüsselung. Sie schützen damit entweder sich selbst – wenn sie Informationen haben, die sie in Gefahr bringen könnten – oder andere, wenn sie deren sensible Informationen schützen.

Nicht nur in totalitären Regimes und Ländern, in denen freie Meinungsäußerung gefährlich sein kann, ist Verschlüsselung ein notwendiges Mittel für jene, die sich für Minderheiten und Gerechtigkeit einsetzen. Auch in manchen westlichen Demokratien wird das Recht auf Privatsphäre immer mehr eingeschränkt und staatliche Überwachung immer mehr salonfähig. Wer sich dem widersetzen möchte, dem bleibt nur Selbstverteidigung durch Verschlüsselung.


Verschlüsselung im Vergleich – Unsere neue Serie

In unserer Serie „Verschlüsselung im Vergleich“ möchten wir verschiedene Plattformen und Kommunikationsformen vorstellen, auf denen Sie selbst Ihre Daten durch Verschlüsselung schützen können, egal ob Sie Journalist, Geschäftsmann, oder eine sicherheitsbewusste Privatperson sind. Zum Einstieg vergleichen wir Messenger-Dienste wie Threema, WhatsApp, den Facebook Messenger, Telegram, oder auch Googles Allo, die Ende-zu-Ende-Verschlüsselung anbieten. Wir vergleichen, was das im Detail bedeutet und wie umfangreich Ihre Nachrichten tatsächlich geschützt werden.

In den nächsten Teilen dieser Serie wird es um die Verschlüsselung von Festplatten und Geräten gehen, um E-Mail-Verschlüsselung, Cloud-Verschlüsselung und vieles mehr.


Das Signal-Protokoll

Da viele der im Vergleich angeführten Messenger-Dienste zur Verschlüsselung das Signal-Protokoll nutzen, soll hier kurz erklärt werden, um was es sich dabei handelt. Signal ist ein quelloffenes Protokoll von Open Whisper Systems, das von den angesehenen IT-Sicherheitsexperten Trevor Perrin und Moxie Marlinspike entwickelt wurde. Das Verschlüsselungsprotokoll wurde 2016 von internationalen Sicherheitsforschern überprüft und gilt als sehr sicher. Außerdem wird es auf deren Webseite von Edward Snowden empfohlen.

Messenger mit standardmäßiger Verschlüsselung

WhatsApp

WhatsApp ist mit mehr als einer Milliarde Nutzern der momentan am weitesten verbreitete Messenger weltweit. In den letzten Jahren hat sich bei dem Dienst Einiges getan, auch in Sachen Verschlüsselung.

Sicherheit
Seit 2016 schützt WhatsApp standardmäßig Nachrichten mit Ende-zu-Ende-Verschlüsselung – im Fall das beide Gesprächspartner die aktuelle Version haben – basierend auf dem Signal-Protokoll. Dadurch kann man sicher sein, dass niemand Chats mitlesen kann, nicht einmal WhatsApp selbst. Jeder Kontakt hat eine eigene Sicherheitsnummer, mit der sich feststellen lässt, ob man tatsächlich mit derjenigen Person schreibt, mit der man glaubt, zu schreiben. Allerdings muss diese Funktion extra aktiviert werden. Die Sicherheitsnummer ist ein Schutz vor Man-in-the-Middle-Attacken.

WhatsApp hat mit seiner Einführung der Ende-zu-Ende-Verschlüsselung das erreicht, worauf die Sicherheitsbranche seit Jahrzehnten hinarbeitet: Verschlüsselung und Privatsphäre für alle, ohne nennenswerte Einbußen in der Usability. Das ist ein Meilenstein in der Geschichte der Verschlüsselung. Jedoch gibt es auch zwei Dinge zu beachten.

Nachteile
WhatsApp wurde 2014 vom Datenriesen Facebook gekauft. Mit der Übernahme kam ein Update der Nutzungsbedingungen, das besonders in Europa nicht gut aufgenommen wurde und Misstrauen geweckt hat. Daten aus WhatsApp sollten mit dem Facebook-Konzern geteilt werden. Aufgrund der Kritik – auch von Seiten der EUstoppte WhatsApp in Europa den Datenaustausch mit Facebook wieder. Doch die Geschichte hinterlässt trotzdem einen fahlen Nachgeschmack.

Ein weiteres Problem ist die Backup-Funktion, denn sobald die Konversationen auf dem Gerät gespeichert werden, sind sie nicht mehr verschlüsselt. Wenn Sie – oder der Kontakt mit dem Sie schreiben – ein Backup in die iCloud oder im Google-Account machen, sind die Konversationen dort unverschlüsselt vorzufinden.

Preis: Kostenlos


Signal

Signal wurde unter anderem von Sicherheitsexperte Moxie Marlinspike für die gemeinnützige Organisation Open Whisper Systems entwickelt. Edward Snowden empfiehlt Signal und Open Whisper Systems uneingeschränkt, beispielsweise auf deren Webseite. Dort outet sich auch die Crypto-Koryphäe Bruce Schneier – Autor des Kryptographie-Standardwerks „Applied Cryptography“ – als begeisterter Nutzer der App.

Signal bietet Einzel- und Gruppenchats, Text-, Sprachnachrichten und Sprachanrufe sowie die Möglichkeit Fotos, Videos, Audios, Emojis und Stickers zu versenden. Damit dürfte so ziemlich alles abgedeckt sein, was der normale Nutzer so braucht. Ein nettes Extra ist, dass man auf Fotos in Nachrichten Zeichnungen und Text hinzufügen kann.

Sicherheit
Nach Aussagen von Open Whisper Systems sind alle Nachrichten mit dem quelloffenen Signal-Protokoll vollständig Ende-zu-Ende-verschlüsselt. Kontakte können über einen Abgleich von Sicherheitsnummern oder durch einen QR-Code verifiziert werden. Dies bedeutet natürlich einen zusätzlichen Schritt, dass man entweder mit einem anderen Kommunikationsmedium die Sicherheitsnummern vergleichen, oder persönlich in physischer Anwesenheit die QR-Codes scannen muss. Dadurch ist man dann jedoch vor Man-in-the-Middle-Attacken geschützt.

Im Gegensatz zu WhatsApp sendet Signal bei einem Backup keine Nachrichten in die Cloud. Dadurch sind auch die Backups sicher.

Nachteile
Das einzige Problem bei Signal ist, dass Sie wahrscheinlich erst einmal Ihren Freundeskreis überzeugen müssen, auch zu Signal zu wechseln. Da Sie nicht alle bei Signal finden werden, wird es schwierig sein, auf WhatsApp zu verzichten.

Preis: Kostenlos


Threema

Threema ist neben Signal ein weiterer Vorzeigeschüler unter den Messengern aus der Schweiz. 3,7 Millionen Nutzer zählt die App inzwischen (Stand: Juni 2015). Während Signal unter den Alternativen zu WhatsApp den internationalen Markt dominiert, ist Threema hauptsächlich im deutschsprachigen Raum verbreitet – 85% der Nutzer sind aus der DACH-Region.

Sicherheit
Bei Anmeldung wird automatisch eine anonyme Threema-ID und ein Passwort erstellt, die Wahl eines Profilnamens und Profilbilds sind hingegen optional. Sie müssen auch Ihre Kontakte nicht synchronisieren, wenn Sie das nicht möchten.

Des Weiteren können private Chats lokal mit PIN gesichert und versteckt werden. Es gibt drei Vertrauensstufen für Chatpartner: Unbekannte sind rot markiert, bei Threema verifizierte Nutzer sind gelb, persönlich bekannte Kontakte sind grün markiert. Um einen Nutzer zu verifizieren, müssen Sie ihn persönlich treffen und verifizieren. Durch gegenseitiges Scannen des persönlichen QR-Codes sind Sie vor vor Man-in-the-Middle-Attacken geschützt. Alle Nachrichten werden bei Threema sicher mit der NaCI-Bibliothek Ende-zu-Ende-verschlüsselt.

Nachteile
Es gibt keine bekannten Schwachstellen in Bezug auf die Sicherheit Ihrer Daten. Sprach- und Videoanrufe sind jedoch nicht verfügbar.

Preis: 2,99€ (einmalig)


Dienste mit Opt-In-Verschlüsselung

Telegram

Telegram ist ein kostenloser Dienst, der inzwischen über 100 Millionen Nutzer zählt. Er wurde 2013 von den Brüdern Nikolai und Pawel Durow, den Gründern des russischen sozialen Netzwerks VKontakte, entwickelt.

Sicherheit
Telegram bietet optionale Ende-zu-Ende-Verschlüsselung und Nachrichten, denen ein Ablaufdatum zugeteilt werden können.

Nachteile
Sicherheitsexperten bemängeln, dass zum einen niemand weiß, wo das Unternehmen hinter Telegram seinen Sitz hat und dass Telegram mit dem MTProto-Protokoll unverständlicherweise einen selbst entwickelten Verschlüsselungsalgorithmus benutzt, dessen Sicherheit nicht erwiesen ist – im Gegensatz zum Signal-Protokoll.

Aufgrund der etwas seltsamen Hintergründe, der Abwesenheit eines Impressums auf der Webseite und eines behaupteten doch nicht belegten Firmensitzes in Berlin kann für Telegram keine Empfehlung ausgesprochen werden.

Preis: Kostenlos


Facebook Messenger

Der Facebook-Messenger ist der hauseigene Instant-Messenger von Facebook, den seit Mitte 2016 jeder Facebook-Nutzer benutzen muss, der Facebook-Nachrichten auf mobilen Geräten lesen möchte. Allein aus diesem Grund ist der Messenger der am zweithäufigsten genutzte Messenger-Dienst weltweit. Dieser „Messenger-Zwang“ ist in unseren Augen jedoch schon einmal ein Minuspunkt.

Sicherheit
Der Messenger wird hier auch nur erwähnt, da er seit letztem Jahr ebenfalls Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll anbietet.

Nachteile
Ende-zu-Ende-Verschlüsselung gibt es nur für Einzelchats und nur als Opt-in, was bedeutet, dass Sie die Verschlüsselung erst einmal aktivieren müssen. Dadurch werden viele Nutzer bei der unsicheren Variante bleiben.

Schwerer wiegt, dass in der unverschlüsselten Variante Nachrichten automatisch auf Schlüsselwörter gescannt werden. Wenn Sie den Messenger nutzen, dann definitiv nur mit aktivierten Secret Conversations, auch wenn Sie dann Nachrichten nur noch auf einem Gerät lesen können.

Preis: Kostenlos


Google Allo

Google Allo ist ein neuer, intelligenter Messenger mit virtuellem Assistenten, der lernt und so intelligente Antworten bietet. Der Messenger ist aus dem Hause Google.

Sicherheit
Es gibt optionale Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll, natürlich dann nur ohne smarten Assistenten.

Nachteile
Unverschlüsselte Nachrichten werden mitgelesen, unbefristet gespeichert und analysiert, um Machine Learning zu ermöglichen. Anscheinend können sie jedoch vom Server gelöscht werden.

Die Ende-zu-Ende-Verschlüsselung ist optional (Inkognito Modus). Mit aktivierter Verschlüsselung stehen die Funktionen für intelligente Antworten und Google Assistenten natürlich nicht mehr zur Verfügung. Es gibt keine verschlüsselten Gruppenchats und der Google Assistent, der sich in die Unterhaltung einschaltet, ist sozusagen selbst ein „Man in the Middle“.

Preis: Kostenlos


Unser Fazit

WhatsApp ist in unserer Liste der Alleskönner, der die Verbreitung von Verschlüsselung maßgeblich vorangetrieben hat. Dass die Ende-zu-Ende-Verschlüsselung funktioniert und WhatsApp tatsächlich die Nachrichten nicht einsehen kann, zeigt der Konflikt zwischen WhatsApp und einer Richterin in Brasilien. WhatsApp weigerte sich, Chatprotokolle herauszugeben, und verwies darauf, dass das Unternehmen durch die Ende-zu-Ende-Verschlüsselung nicht mehr auf Unterhaltungen zugreifen könnte, selbst wenn es wollte.

Der große Pluspunkt bei WhatsApp ist die Nutzerfreundlichkeit und die weite Verbreitung. Ein Nachteil ist jedoch die Möglichkeit, dass bei unvorsichtiger Handhabe unverschlüsselte Backups in die Cloud wandern können. Ein weiterer Nachteil ist die Tatsache, dass WhatsApp zu Facebook gehört und die beiden Unternehmen gerne Daten austauschen würden. Wem dies suspekt ist, kann auf die Alternativen Signal oder Threema zurückgreifen. Und warum eigentlich nicht mehrere Messenger nutzen?

Beim Facebook Messenger und Google Allo kann Ende-zu-Ende-Verschlüsselung nur unter Einbußen in der Nutzerfreundlichkeit genutzt werden. Ohne die aktivierte Verschlüsselung ist jedoch Datenschutz und Privatsphäre nicht garantiert. Telegram ist aufgrund der oben angeführten Kontroversen ebenfalls mit Vorsicht zu genießen.

Für welchen der Messenger Sie sich am Ende entscheiden, hängt davon ab, worauf Sie am meisten Wert legen. Für uns ist die Hauptsache: Ende-zu-Ende-verschlüsselt, niemand liest mit, niemand scannt Ihre Nachrichten und was Sie schreiben bleibt privat und unter Ihnen und Ihren Freunden. All das ist bei WhatsApp, Signal und Threema gegeben.


Hat Ihnen der Artikel gefallen?

Teilen Sie ihn mit Ihren Freunden und sehen Sie, was diese dazu meinen: