WhatsApp, Signal, Threema, Telegram, Facebook Messenger, Wire, Google Allo
2018 M10 16, Tue

Sichere Messenger-Apps im Vergleich: WhatsApp und Alternativen

Dieser Artikel wurde aktualisiert

Verschlüsselung ist im 21. Jahrhundert ein Mittel zur Selbstverteidigung geworden. Gegen wen wir uns verteidigen, kann ganz unterschiedlich sein. Und die Relevanz dieser Selbstverteidigung reicht von ideellen Gründen – das Recht auf Privatsphäre kompromisslos einzufordern – bis überlebensnotwendig.

Weltweit verlassen sich investigative Journalisten, Menschenrechtsaktivisten, Whistleblower, aber auch Anwälte, Ärzte und datenschutzbewusste Privatpersonen auf funktionierende Verschlüsselung. Sie schützen damit entweder sich selbst – wenn sie Informationen haben, die sie in Gefahr bringen könnten – oder andere, wenn sie deren sensible Informationen schützen.

Nicht nur in totalitären Regimes und Ländern, in denen freie Meinungsäußerung gefährlich sein kann, ist Verschlüsselung ein notwendiges Mittel für jene, die sich für Minderheiten und Gerechtigkeit einsetzen. Auch in manchen westlichen Demokratien wird das Recht auf Privatsphäre immer weiter eingeschränkt und staatliche Überwachung salonfähig. Wer sich dem widersetzen möchte, dem bleibt nur Selbstverteidigung durch Verschlüsselung.

Das Signal-Protokoll

Da viele der im Vergleich angeführten Messenger-Dienste zur Verschlüsselung das Signal-Protokoll nutzen, soll hier kurz erklärt werden, um was es sich dabei handelt. Signal ist ein quelloffenes Protokoll von Open Whisper Systems, das von den angesehenen IT-Sicherheitsexperten Trevor Perrin und Moxie Marlinspike entwickelt wurde und heute als Verschlüsselungsstandard gilt. Das Verschlüsselungsprotokoll wurde 2016 von internationalen Sicherheitsforschern überprüft und gilt als sehr sicher. Außerdem wird es von Edward Snowden empfohlen.

Messenger mit standardmäßiger Verschlüsselung

WhatsApp

WhatsApp ist mit mehr als 1,5 Milliarden Nutzern der momentan am weitesten verbreitete Messenger weltweit. In den letzten Jahren hat sich bei dem Dienst Einiges getan, auch in Sachen Verschlüsselung.

2-1 Secure-Messengers WhatsApp

Sicherheit Seit 2016 schützt WhatsApp standardmäßig Nachrichten mit Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll, vorausgesetzt, beide Gesprächspartner haben die aktuelle Version installiert. Dadurch kann man sicher sein, dass niemand Chats mitlesen kann, nicht einmal WhatsApp selbst. Jeder Kontakt hat eine eigene Sicherheitsnummer, mit der sich feststellen lässt, ob man tatsächlich mit derjenigen Person schreibt, mit der man glaubt, zu schreiben. Allerdings muss diese Funktion extra aktiviert werden. Standardmäßig wird man über einen Wechsel der Sicherheitsnummer nicht informiert. Die Sicherheitsnummer bei WhatsApp ist ein Schutz vor Man-in-the-Middle-Attacken.

Whatsapp Sicherheitsnummer aktivieren

WhatsApp hat mit seiner Einführung der Ende-zu-Ende-Verschlüsselung das erreicht, worauf die Sicherheitsbranche seit Jahrzehnten hinarbeitet: Verschlüsselung und Privatsphäre für alle, ohne nennenswerte Einbußen in der Usability. Das ist ein Meilenstein in der Geschichte der Verschlüsselung. Jedoch gibt es auch ein paar Dinge zu beachten.

Nachteile WhatsApp wurde 2014 vom Datenriesen Facebook gekauft. Mit der Übernahme kam ein Update der Nutzungsbedingungen, das besonders in Europa auf Kritik stieß und Misstrauen geweckt hat. Daten aus WhatsApp sollten mit dem Facebook-Konzern geteilt werden. Aufgrund der Kritik – auch von Seiten der EUstoppte WhatsApp in Europa den Datenaustausch mit Facebook wieder. Doch die Geschichte hinterlässt trotzdem einen fahlen Nachgeschmack, zumal der Rechtsstreit auch bisher nicht beigelegt wurde.

Ein weiteres Problem ist die Backup-Funktion. Ursprünglich hat WhatsApp die Chat-Protokolle unverschlüsselt auf den Servern abgelegt. Mittlerweile hat man hier nachgebessert. Unter bestimmten Umständen sind jedoch zumindest die unverschlüsselten Metadaten einsehbar. Datenschützer sind mit der neuen Backup-Lösung für iCloud noch nicht zufrieden.

Nach wie vor lädt die App bei der Installation alle Daten aus dem Smartphone-Telefonbuch herunter. Laut AGB ist der Whatsapp-Nutzer dafür verantwortlich, die Einverständniserklärung jedes Kontaktes einzuholen. Dass dies ungefähr nie geschieht und mit unverhältnismäßigem Aufwand verbunden wäre, versteht sich von selbst.

Es gibt eine Sicherheitslücke bei Nachrichten, die zwar versendet, aber nicht zugestellt wurden. WhatsApp verkauft diese Lücke als Feature. Das Argument ist, dass beim Wechsel der Mobilfunknummer auf Empfängerseite kein Datenverlust entsteht. Datenschützer halten diesen Umstand zumindest für fragwürdig. Wir empfehlen dazu diesen Text im Guardian.

Um zukünftig die Finanzierung von WhatsApp sicherzustellen, soll in einem neuen Update Werbung (die im Statusbereich erscheint) freigeschaltet werden. Um allerdings geeignete Anzeigen für den individuellen Nutzer auszuwählen, soll die bisherige Ende-zu-Ende-Verschlüsselung wieder gelockert werden. Es bleibt abzuwarten, wie sich diese Umstellung auf den Datenschutz bei WhatsApp auswirkt.

Löschfunktion Ein besonderes Feature, das viele Messenger gar nicht anbieten, wirkt sich ebenfalls auf das Datenschutz-Level von Chat-Apps aus: Das Rückrufen bzw. Löschen bereits verschickter Nachrichten.

WhatsApp bietet diese Funktion seit einiger Zeit tatsächlich an – jedoch mit einer großen Einschränkung: Der Rückruf ist aktuell nur sieben Minuten lang möglich. Innerhalb dieser Zeitspanne können jedoch auch bereits zugestellte und vom Empfänger gelesene Nachrichten vom Sender entfernt werden. Spurlos geschieht das allerding nicht: Dem Empfänger wird anstelle der ursprünglichen Botschaft der Text „Nachricht gelöscht“ angezeigt. Und auch sonst sollte die Löschen-Option kritisch betrachtet werden: Vor Screenshots, die der Empfänger ggf. machen konnte, schützt sie ebenso wenig wie vor dem versehentlichen Ausblenden im eigenen Chat.

Preis: Kostenlos, eventuell künftig über Werbung finanziert

Signal

Signal wurde unter anderem von Sicherheitsexperte Moxie Marlinspike für die gemeinnützige Organisation Open Whisper Systems entwickelt. Edward Snowden empfiehlt Signal und Open Whisper Systems uneingeschränkt, beispielsweise auf deren Webseite. Dort outet sich auch die Krypto-Koryphäe Bruce Schneier – Autor des Kryptographie-Standardwerks „Applied Cryptography“ – als begeisterter Nutzer der App.

2-1 Secure-Messengers Signal

Signal bietet Einzel- und Gruppenchats, Text-, Sprachnachrichten und Anrufe – sowohl über Video als auch Audio – sowie die Möglichkeit Fotos, Videos, Audios, Emojis und Sticker an seine Freunde zu versenden. Damit ist der Großteil möglicher Nutzerinteressen abgedeckt. Ein nettes Extra ist, dass man den Fotos in Nachrichten eigene Zeichnungen und Texte hinzufügen kann. Erwähnenswert ist auch der Selbstzerstörungs-Timer für Nachrichten (einstellbar für Zeiträume von fünf Sekunden bis zu einer Woche). Über die Einstellungen kann man innerhalb der App Screenshots blockieren. Beides bietet einen gewissen Schutz vor der Weitergabe brisanter Chat-Inhalte.

Sicherheit Nach Aussagen von Open Whisper Systems sind alle Nachrichten mit dem quelloffenen Signal-Protokoll vollständig Ende-zu-Ende-verschlüsselt. Kontakte können über einen Abgleich von Sicherheitsnummern oder durch einen QR-Code verifiziert werden. Dieser Nummernabgleich über ein zusätzliches Kommunikationsmedium oder der persönliche QR-Code-Scan in physischer Anwesenheit bedeutet zwar zusätzlichen Aufwand. Dadurch ist man jedoch vor Man-in-the-Middle-Attacken geschützt. Im Gegensatz zu WhatsApp sendet Signal bei einem Backup keine Nachrichten in die Cloud. So sind auch die Backups sicher.

Zusätzlich wird in einer neuen Beta-Version ab sofort nicht nur der gesamte Gesprächsinhalt verschlüsselt, sondern auch erstmals der Absender. Dies bedeutet noch mehr Privatsphäre für Nutzer, da Gespräche nun noch schwerer zurückverfolgt werden können.

Nachteile Signal muss via SMS Code authentifiziert werden. Somit ist die Nutzung nur mit einer Telefonnummer, sprich SIM-Karte möglich. Das schließt bestimmte Leute, Nutzergruppen und Anwendungsfälle aus. Grundsätzlich ist die Anzahl der Signal Nutzer noch recht klein. So werden viele, die zu Signal wechseln wollen, zunächst einmal Überzeugungsarbeit im Freundeskreis leisten müssen. Diejenigen jedoch, die Signal bereits nutzen, entdeckt man bei der Installation sofort, da die App Zugriff auf das Adressbuch einfordert. Dies ist einer der größten Kritikpunkte an Signal. Jedoch haben auch andere Messenger dieses Problem.

Preis: Kostenlos

Threema

Threema ist neben Signal ein weiterer Vorzeigeschüler unter den Messengern aus der Schweiz. Mehr als 5 Millionen Nutzer zählt die Kommunikations-App inzwischen (Stand: März 2019). Während Signal unter den Alternativen zu WhatsApp den internationalen Markt dominiert, ist Threema hauptsächlich im deutschsprachigen Raum verbreitet – mehr als 80% der Nutzer stammen aus der DACH-Region.

2-1 Secure-Messengers Threema

Sicherheit Bei der Anmeldung werden automatisch eine anonyme Threema-ID und ein Passwort erstellt. Das Festlegen eines Profilnamens und Profilbilds sind optional, ebenso die Verknüpfung mit Rufnummer oder E-Mail-Adresse. Nutzer müssen auch Ihre Kontakte nicht zwangsweise synchronisieren, wenn Sie dies nicht möchten. Diese Funktion ist jedoch voreingestellt und muss manuell deaktiviert werden – wozu wir im Übrigen dringend raten. Der Hersteller selbst bezeichnet die reduzierte Datenabfrage als „Metadaten-Sparsamkeit“ unter der Prämisse, dass nicht vorhandene Daten auch nicht in falsche Hände gelangen können. Auch die Threema-Server werden nur als temporäres Relais zur Nachrichtenübertragung genutzt. Alle Daten werden nach der Übertragung wieder gelöscht.

Private Chats können in Threema lokal mit PIN gesichert und versteckt werden. Außerdem gibt es drei Vertrauensstufen für Chatpartner: Unbekannte sind rot, bei Threema verifizierte Nutzer sind gelb, persönlich bekannte Kontakte sind grün markiert. Um einen Nutzer zu verifizieren, müssen Sie ihn persönlich treffen und verifizieren. Durch gegenseitiges Scannen des persönlichen QR-Codes sind Sie vor Man-in-the-Middle-Attacken geschützt. Alle Nachrichten werden bei Threema sicher mit der NaCI-Bibliothek Ende-zu-Ende-verschlüsselt.

Seit September 2017 bietet Threema zusätzlich VoIP-Sprachanrufe an. Diese können bei bekannten Kontakten ohne Umweg über die Server des Unternehmens erfolgen, wobei die IP-Adresse der Endgeräte dabei übertragen wird, oder ohne Austausch der IP-Adresse über die Threema-Server. Ein sicherer Web-Client ist seit Januar 2017 verfügbar.

Nachteile Es gibt keine bekannten Schwachstellen in Bezug auf die Sicherheit Ihrer Daten. Videoanrufe sind jedoch noch nicht verfügbar. Außerdem ist der Kontaktbuch-Abgleich standardmäßig aktiviert.

Preis (einmalig): 2,99€ (Google Play Store), 3,49€ (App Store)

Dienste mit Opt-In-Verschlüsselung

Telegram

Telegram ist ein kostenloser Dienst, der inzwischen über 200 Millionen Nutzer zählt. Er wurde 2013 von den Brüdern Nikolai und Pawel Durov, den Gründern des russischen sozialen Netzwerks VKontakte, entwickelt und gilt als einer der ersten Messenger-Diensten, der eine Ende-zu-Ende-Verschlüsselung anbot. Neben dem verwalten von Chat-Gruppen mit einer Größe bis zu 100.000 Teilnehmern, ist es mit Telegram möglich, die Anwendung auf mehreren Geräten gleichzeitig zu bedienen (bspw. Am Handy und am Rechner). Die Entwickler zeichnen sich außerdem selbst damit aus, die gesendeten Nachrichten schneller als konkurrierende Messenger-Dienste zuzustellen.

2-1 Secure-Messengers Telegram

Sicherheit Der Messenger Telegram bietet optionale Ende-zu-Ende-Verschlüsselung und Nachrichten, denen ein Ablaufdatum zugeteilt werden kann und sich nach einer definierten Zeit selbst zerstören. Bei einem Rechtsstreit konnte das Unternehmen hinter Telegram zudem zeigen wie wichtig ihm die Sicherheit der Daten seiner Nutzer ist: Als der russische Inlandsgeheimdienst FSB Informationen zur Entschlüsselung von Telegram-Nachrichten forderte, wies das Unternehmen die Forderung zurück und nahm eine Strafe von umgerechnet 10.000 Euro in Kauf.

Löschfunktion Im März 2019 teilte das Unternehmen auf seinem Blog mit, dass ab sofort jeder Nutzer jede Nachricht löschen kann und zwar ohne zeitliche Begrenzung. Somit können auch solche Nachrichten entfernt werden, die man nicht selbst geschrieben hat. Auch das Löschen eines gesamten Chatverlaufes ist möglich. Ausgenommen von diesem neuen Feature sind Gruppenchats.

Nachteile Sicherheitsexperten bemängeln, dass zum einen niemand weiß, wo das Unternehmen hinter Telegram seinen Sitz hat und dass Telegram zum anderen mit dem MTProto-Protokoll unverständlicherweise einen selbst entwickelten Verschlüsselungsalgorithmus benutzt, dessen Sicherheit nicht erwiesen ist – im Gegensatz zum Signal-Protokoll.

Aufgrund der etwas seltsamen Hintergründe, der Abwesenheit eines Impressums auf der Webseite und eines behaupteten, doch nicht belegten Firmensitzes in Berlin kann für Telegram keine Empfehlung ausgesprochen werden.

Preis: Kostenlos

Update Im August 2018 wurde ein Datenleck bekannt. Die Nachrichten, die Telegram User untereinander schickten, liefen für etwa 2 Stunden über die Server eines staatlichen iranischen Telekommunikationsunternehmens. Das Mitschneiden durch die Regierung wäre zu diesem Zeitpunkt möglich gewesen. Mehr dazu hier

Facebook Messenger

Der Facebook-Messenger ist der hauseigene Instant-Messenger von Facebook, den seit Mitte 2016 jeder Facebook-Nutzer benutzen muss, der Facebook-Nachrichten auf mobilen Geräten lesen möchte. Allein aus diesem Grund ist die Messenger-App die am zweithäufigsten genutzte Messenger-Dienst weltweit. Dieser „Messenger-Zwang“ ist in unseren Augen ein Minuspunkt.

2-1 Secure-Messengers Facebook Messenger

Sicherheit Der Messenger wird hier auch nur erwähnt, da er seit 2016 ebenfalls Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll anbietet.

Löschfunktion Lässt WhatsApp uns nur sieben Minuten lang bereits gesendete Nachrichten löschen, gönnt uns der Facebook-Messenger drei Minuten mehr. Innerhalb von 10 Minuten kann man entscheiden, ob die Nachricht bei allen Empfängern gelöscht wird oder nur bei einem selbst. Nach Ablauf der 10 Minuten kann man die Nachricht nur noch bei sich selbst ausblenden, der Empfänger sieht sie weiterhin unverändert in seinem Chatfenster.

Nachteile Ende-zu-Ende-Verschlüsselung gibt es nur für Einzelchats und nur als Opt-in, was bedeutet, dass Sie die Verschlüsselung erst einmal aktivieren müssen. Dadurch werden viele Nutzer bei der unsicheren Variante bleiben. Schwerer wiegt, dass in der unverschlüsselten Variante Nachrichten automatisch auf Schlüsselwörter gescannt werden. Wenn Sie den Messenger nutzen, dann also definitiv nur mit aktiviertem Status „geheime Unterhaltung“ (Secret Conversations). Dann können Sie Nachrichten zwar nur zwischen exakt den beiden Geräten verschicken, auf denen der geheime Chat aktiviert wurde (und nicht mehr zwischen Browser und Smartphone wechseln), doch wir meinen, das ist es wert.

Nicht unmittelbar mit der Übertragungssicherheit von Nachrichten verbunden, aber dennoch lästig sind außerdem die Werbeschaltungen in der Chatliste.

Preis: Kostenlos

Wire

Wire bietet seinen Messenger-Dienst seit 2014 für Smartphones, Tablets und sogar für den PC an. Er wurde von der schweizer Softwarfirma Wire Swiss GmbH entwickelt. Das Entwicklungszentrum liegt in Berlin.

2-1 Secure-Messengers Wire

Sicherheit Wire nutzt zur Verschlüsselung von Anrufen eine Ende-zu-Ende-Verschlüsselung mit SRTP und DTLS. Für die Verschlüsselung von Textnachrichten und Bildern wird eine Proteus Ende-zu-Ende-Verschlüsselung verwendet. Kommunikation, die man mit Freunden oder Kollegen führt, wird auf dem Gerät des Absenders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Ein weiterer Vorteil von Wire ist, dass die Nutzung des Messengers auf acht unterschiedlichen Geräten pro Person gewährleistet ist.

Nachteile Auch bei Wire ist es bei einer Registrierung über das Smartphone erforderlich, seine Telefonnummer anzugeben. Man kann in den Einstellungen die Verwendung von Kontaktdaten seitens Wire deaktivieren. Allerdings ist nicht ersichtlich, was mit den bis zu dieser Deaktivierung bereits abgeglichenen Daten geschieht.

Preis: Kostenlos

Unser Fazit

WhatsApp ist in unserer Liste der Alleskönner, der die Verbreitung von Verschlüsselung maßgeblich vorangetrieben hat. Dass die Ende-zu-Ende-Verschlüsselung funktioniert und WhatsApp tatsächlich die Nachrichten nicht einsehen kann, zeigt der Konflikt zwischen WhatsApp und einer Richterin in Brasilien. WhatsApp weigerte sich, Chatprotokolle herauszugeben, und verwies darauf, dass das Unternehmen durch die Ende-zu-Ende-Verschlüsselung nicht mehr auf Unterhaltungen zugreifen könnte, selbst wenn es wollte.

Der große Pluspunkt bei WhatsApp ist die Benutzerfreundlichkeit und die große Verbreitung. Es besteht jedoch die Gefahr, dass bei unvorsichtiger Handhabe unverschlüsselte Backups in die Cloud wandern können. Ein weiterer Nachteil ist die Tatsache, dass WhatsApp zu Facebook gehört und die beiden Unternehmen gerne Daten austauschen würden. Wem dies suspekt ist, kann auf die Alternativen Signal oder Threema zurückgreifen. Es spricht jedoch auch nichts dagegen, einfach mehrere Messenger für verschiedene Zwecke und Kontakte zu nutzen.

Beim Facebook-Messenger und bei Google Allo kann Ende-zu-Ende-Verschlüsselung nur unter Einbußen in der Benutzerfreundlichkeit genutzt werden. Ohne die aktivierte Verschlüsselung sind jedoch Datenschutz und Privatsphäre nicht garantiert. Telegram ist aufgrund der oben angeführten Kontroversen ebenfalls mit Vorsicht zu genießen.

Für welchen der Messenger Sie sich am Ende entscheiden, hängt davon ab, worauf Sie am meisten Wert legen. Für uns sind drei Kriterien maßgeblich:

  1. Ende-zu-Ende-verschlüsselt
  2. Niemand liest mit
  3. Niemand scannt Ihre Nachrichten - was Sie schreiben bleibt privat

All das ist bei WhatsApp, Signal, Wire und Threema gegeben.

Gefallen Ihnen unsere Artikel?

Dann werden Sie einer unserer 60.000 Newsletter-Abonnenten und -Abonnentinnen und melden Sie sich für unseren kostenlosen Newsletter an. Sie erhalten ein monatliches Update über IT-Sicherheit, Datenschutz und die Cloud, sowie Insights von unseren Krypto-Experten.

Mit der Eingabe Ihrer E-Mail-Adresse stimmen Sie unserer Datenschutzbestimmung zu.
Beitrag teilen