How referring a friend gets you 3 months of Boxcryptor for free.

Freunde-Werben-Special. Jetzt Boxcryptor weiterempfehlen und drei kostenfreie Monate erhalten - nur im August.

Mehr erfahren
Messenger Image – WhatsApp, Threema, Signal
2018 M05 22, Tue

Sichere Messenger im Vergleich: WhatsApp und Alternativen

Dieser Artikel wurde aktualisiert

Verschlüsselung ist im 21. Jahrhundert ein Mittel zur Selbstverteidigung geworden. Gegen wen wir uns verteidigen, kann ganz unterschiedlich sein. Und die Relevanz dieser Selbstverteidigung reicht von ideellen Gründen – das Recht auf Privatsphäre kompromisslos einzufordern – bis überlebensnotwendig.

Weltweit verlassen sich investigative Journalisten, Menschenrechtsaktivisten, Whistleblower, aber auch Anwälte, Ärzte und datenschutzbewusste Privatpersonen auf funktionierende Verschlüsselung. Sie schützen damit entweder sich selbst – wenn sie Informationen haben, die sie in Gefahr bringen könnten – oder andere, wenn sie deren sensible Informationen schützen.

Nicht nur in totalitären Regimes und Ländern, in denen freie Meinungsäußerung gefährlich sein kann, ist Verschlüsselung ein notwendiges Mittel für jene, die sich für Minderheiten und Gerechtigkeit einsetzen. Auch in manchen westlichen Demokratien wird das Recht auf Privatsphäre immer mehr eingeschränkt und staatliche Überwachung immer mehr salonfähig. Wer sich dem widersetzen möchte, dem bleibt nur Selbstverteidigung durch Verschlüsselung.

Verschlüsselung im Vergleich – Unsere neue Serie

In unserer Serie „Verschlüsselung im Vergleich“ möchten wir verschiedene Plattformen und Kommunikationsformen vorstellen, auf denen Sie selbst Ihre Daten durch Verschlüsselung schützen können, egal ob Sie Journalist, Geschäftsmann, oder eine sicherheitsbewusste Privatperson sind. Zum Einstieg vergleichen wir Messenger-Dienste wie Threema, WhatsApp, den Facebook Messenger, Telegram, oder auch Googles Allo, die Ende-zu-Ende-Verschlüsselung anbieten. Wir vergleichen, was das im Detail bedeutet und wie umfangreich Ihre Nachrichten tatsächlich geschützt werden.

In den nächsten Teilen dieser Serie wird es um die Verschlüsselung von Festplatten und Geräten gehen, um E-Mail-Verschlüsselung, Cloud-Verschlüsselung und vieles mehr.

Das Signal-Protokoll

Da viele der im Vergleich angeführten Messenger-Dienste zur Verschlüsselung das Signal-Protokoll nutzen, soll hier kurz erklärt werden, um was es sich dabei handelt. Signal ist ein quelloffenes Protokoll von Open Whisper Systems, das von den angesehenen IT-Sicherheitsexperten Trevor Perrin und Moxie Marlinspike entwickelt wurde. Das Verschlüsselungsprotokoll wurde 2016 von internationalen Sicherheitsforschern überprüft und gilt als sehr sicher. Außerdem wird es auf deren Webseite von Edward Snowden empfohlen.

Messenger mit standardmäßiger Verschlüsselung

WhatsApp

WhatsApp ist mit mehr als einer Milliarde Nutzern der momentan am weitesten verbreitete Messenger weltweit. In den letzten Jahren hat sich bei dem Dienst Einiges getan, auch in Sachen Verschlüsselung.

Sicherheit
Seit 2016 schützt WhatsApp standardmäßig Nachrichten mit Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll, vorausgesetzt, beide Gesprächspartner haben die aktuelle Version installiert. Dadurch kann man sicher sein, dass niemand Chats mitlesen kann, nicht einmal WhatsApp selbst. Jeder Kontakt hat eine eigene Sicherheitsnummer, mit der sich feststellen lässt, ob man tatsächlich mit derjenigen Person schreibt, mit der man glaubt, zu schreiben. Allerdings muss diese Funktion extra aktiviert werden. Standardmäßig wird man über einen Wechsel der Sicherheitsnummer nicht informiert. Die Sicherheitsnummer bei Whatsapp ist ein Schutz vor Man-in-the-Middle-Attacken.

Whatsapp Sicherheitsnummer aktivieren

WhatsApp hat mit seiner Einführung der Ende-zu-Ende-Verschlüsselung das erreicht, worauf die Sicherheitsbranche seit Jahrzehnten hinarbeitet: Verschlüsselung und Privatsphäre für alle, ohne nennenswerte Einbußen in der Usability. Das ist ein Meilenstein in der Geschichte der Verschlüsselung. Jedoch gibt es auch ein paar Dinge zu beachten.

Nachteile
WhatsApp wurde 2014 vom Datenriesen Facebook gekauft. Mit der Übernahme kam ein Update der Nutzungsbedingungen, das besonders in Europa nicht gut aufgenommen wurde und Misstrauen geweckt hat. Daten aus WhatsApp sollten mit dem Facebook-Konzern geteilt werden. Aufgrund der Kritik – auch von Seiten der EUstoppte WhatsApp in Europa den Datenaustausch mit Facebook wieder. Doch die Geschichte hinterlässt trotzdem einen fahlen Nachgeschmack, zumal der Rechtsstreit auch bisher nicht beigelegt wurde.

Ein weiteres Problem ist die Backup-Funktion. Ursprünglich hat WhatsApp die Chat-Protokolle unverschlüsselt auf den Servern abgelegt. Mittlerweile hat man hier nachgebessert. Unter bestimmten Umständen sind jedoch zumindest die unverschlüsselten Metadaten einsehbar. Datenschützer sind mit der neuen Backup Lösung für iCloud noch nicht zufrieden.

Nach wie vor lädt die App bei der Installation alle Daten aus dem Smartphone-Telefonbuch herunter. Laut AGB ist der Whatsapp-Nutzer dafür verantwortlich, die Einverständniserklärung jedes Kontaktes einzuholen. Dass dies ungefähr nie geschieht und mit unverhältnismäßigem Aufwand verbunden wäre versteht sich von selbst.

Es gibt eine Sicherheitslücke bei Nachrichten, die zwar versendet, aber nicht zugestellt wurden. WhatsApp verkauft diese Lücke als Feature. Das Argument ist, dass beim Wechsel der Mobilfunknummer auf Empfängerseite kein Datenverlust entsteht. Datenschützer halten diesen Umstand zumindest für fragwürdig. Wir empfehlen dazu diesen Text im Guardian.

Löschfunktion
Ein besonderes, häufig fehlendes Feature wirkt sich ebenfalls auf das Datenschutz-Level von Instant Messengern aus: Das Rückrufen bzw. Löschen bereits verschickter Nachrichten. WhatsApp bietet diese Funktion seit einiger Zeit tatsächlich an – jedoch mit einer großen Einschränkung: Der Rückruf ist aktuell nur sieben Minuten lang möglich. Voraussichtlich im Mai 2018 wird dieser Zeitraum auf immerhin gut 68 Minuten ausgedehnt. Innerhalb dieser Zeitspanne können jedoch auch bereits zugestellte und vom Empfänger gelesene Nachrichten vom Sender entfernt werden. Spurlos geschieht das allerding nicht: Dem Empfänger wird anstelle der ursprünglichen Botschaft eine „Nachricht gelöscht“-Information angezeigt.
Und auch sonst sollte die Löschen-Option kritisch betrachtet werden: Vor Screenshots, die der Empfänger ggf. machen konnte, schützt sie ebenso wenig wie vor dem versehentlichen Ausblenden im eigenen Chat. Die „Lösch“-Optionen liegen im Menü nahe beieinander und lassen im schlimmsten Fall vergessen, dass das Gegenüber die unerwünschte Nachricht nicht nur zugestellt bekommen hat, sondern auch nach wie vor angezeigt bekommt. Den Fehler zu umgehen bzw. die Nachricht doch nochmals aus der Versenkung zu holen und endgültig zu löschen ist meist nicht nur kompliziert, sondern sprengt in der Regel zumindest auch den noch aktuellen Rahmen von sieben Minuten.

Preis: Kostenlos

Signal

Signal wurde unter anderem von Sicherheitsexperte Moxie Marlinspike für die gemeinnützige Organisation Open Whisper Systems entwickelt. Edward Snowden empfiehlt Signal und Open Whisper Systems uneingeschränkt, beispielsweise auf deren Webseite. Dort outet sich auch die Krypto-Koryphäe Bruce Schneier – Autor des Kryptographie-Standardwerks „Applied Cryptography“ – als begeisterter Nutzer der App.

Signal bietet Einzel- und Gruppenchats, Text-, Sprachnachrichten und Anrufe – sowohl über Video als auch Audio – sowie die Möglichkeit Fotos, Videos, Audios, Emojis und Sticker zu versenden. Damit ist der Großteil möglicher Nutzerinteressen abgedeckt. Ein nettes Extra ist, dass man Fotos in Nachrichten Zeichnungen und Text hinzufügen kann. Weiter gibt es einen Selbstzerstörungs-Timer für Nachrichten (einstellbar für Zeiträume von fünf Sekunden bis zu einer Woche). Über die Einstellungen kann man innerhalb der App Screenshots blockieren. Beides bietet einen gewissen Schutz vor der Weitergabe brisanter Chat-Inhalte.

Sicherheit
Nach Aussagen von Open Whisper Systems sind alle Nachrichten mit dem quelloffenen Signal-Protokoll vollständig Ende-zu-Ende-verschlüsselt. Kontakte können über einen Abgleich von Sicherheitsnummern oder durch einen QR-Code verifiziert werden. Dieser Nummernabgleich über ein zusätzliches Kommunikationsmedium oder der persönliche QR-Code-Scan in physischer Anwesenheit bedeutet zwar zusätzlichen Aufwand. Dadurch ist man jedoch vor Man-in-the-Middle-Attacken geschützt. Im Gegensatz zu WhatsApp sendet Signal bei einem Backup keine Nachrichten in die Cloud. So sind auch die Backups sicher.

Nachteile
Signal muss via SMS Code authentifiziert werden. Somit ist die Nutzung nur mit einer SIM-Karte möglich. Das schließt bestimmte Nutzergruppen und Anwendungsfälle aus. Grundsätzlich ist die Anzahl der Signal Nutzer noch recht klein. So werden viele, die zu Signal wechseln wollen, zunächst einmal Überzeugungsarbeit im Freundeskreis leisten müssen. Diejenigen jedoch, die Signal bereits nutzen, entdeckt man bei der Installation sofort, da die App Zugriff auf das Adressbuch einfordert. Dies ist einer der größten Kritikpunkte an Signal. Jedoch haben auch andere Messenger dieses Problem.
Preis: Kostenlos

Threema

Threema ist neben Signal ein weiterer Vorzeigeschüler unter den Messengern aus der Schweiz. 4,5 Millionen Nutzer zählt die App inzwischen (Stand: Februar 2018). Während Signal unter den Alternativen zu WhatsApp den internationalen Markt dominiert, ist Threema hauptsächlich im deutschsprachigen Raum verbreitet – mehr als 80% der Nutzer stammen aus der DACH-Region.

Sicherheit
Bei Anmeldung wird automatisch eine anonyme Threema-ID und ein Passwort erstellt. Die Wahl eines Profilnamens und Profilbilds sind optional, ebenso die Verknüpfung mit Rufnummer oder E-Mail-Adresse. Nutzer müssen auch Ihre Kontakte nicht zwangsweise synchronisieren, wenn Sie dies nicht möchten. Diese Funktion ist jedoch voreingestellt und muss manuell deaktiviert werden – wozu wir im Übrigen dringend raten. Der Hersteller selbst bezeichnet die reduzierte Datenabfrage als „Metadaten-Sparsamkeit“ unter der Prämisse, dass nicht vorhandene Daten auch nicht in falsche Hände gelangen können. Auch die Threema-Server werden nur als temporäres Relais zur Nachrichtenübertragung genutzt. Alle Daten werden nach der Übertragung wieder gelöscht.
Private Chats können in Threema lokal mit PIN gesichert und versteckt werden. Außerdem gibt es drei Vertrauensstufen für Chatpartner: Unbekannte sind rot, bei Threema verifizierte Nutzer sind gelb, persönlich bekannte Kontakte sind grün markiert. Um einen Nutzer zu verifizieren, müssen Sie ihn persönlich treffen und verifizieren. Durch gegenseitiges Scannen des persönlichen QR-Codes sind Sie vor Man-in-the-Middle-Attacken geschützt. Alle Nachrichten werden bei Threema sicher mit der NaCI-Bibliothek Ende-zu-Ende-verschlüsselt.
Seit September 2017 bietet Threema zusätzlich VoIP-Sprachanrufe an. Diese können bei bekannten Kontakten ohne Umweg über die Server des Unternehmens erfolgen, wobei die IP-Adresse der Endgeräte dabei übertragen wird, oder ohne Austausch der IP-Adresse über die Threema-Server. Ein sicherer Web-Client ist seit Januar 2017 verfügbar.

Nachteile
Es gibt keine bekannten Schwachstellen in Bezug auf die Sicherheit Ihrer Daten. Videoanrufe sind jedoch noch nicht verfügbar. Außerdem ist der Kontaktbuch-Abgleich standardmäßig aktiviert.

Preis: 2,99€ (einmalig)

Dienste mit Opt-In-Verschlüsselung

Telegram

Telegram ist ein kostenloser Dienst, der inzwischen über 200 Millionen Nutzer zählt. Er wurde 2013 von den Brüdern Nikolai und Pawel Durov, den Gründern des russischen sozialen Netzwerks VKontakte, entwickelt.

Sicherheit
Telegram bietet optionale Ende-zu-Ende-Verschlüsselung und Nachrichten, denen ein Ablaufdatum zugeteilt werden kann.

Nachteile
Sicherheitsexperten bemängeln, dass zum einen niemand weiß, wo das Unternehmen hinter Telegram seinen Sitz hat und dass Telegram mit dem MTProto-Protokoll unverständlicherweise einen selbst entwickelten Verschlüsselungsalgorithmus benutzt, dessen Sicherheit nicht erwiesen ist – im Gegensatz zum Signal-Protokoll.

Aufgrund der etwas seltsamen Hintergründe, der Abwesenheit eines Impressums auf der Webseite und eines behaupteten, doch nicht belegten Firmensitzes in Berlin kann für Telegram keine Empfehlung ausgesprochen werden.

Preis: Kostenlos

Facebook Messenger

Der Facebook-Messenger ist der hauseigene Instant-Messenger von Facebook, den seit Mitte 2016 jeder Facebook-Nutzer benutzen muss, der Facebook-Nachrichten auf mobilen Geräten lesen möchte. Allein aus diesem Grund ist der Messenger der am zweithäufigsten genutzte Messenger-Dienst weltweit. Dieser „Messenger-Zwang“ ist in unseren Augen jedoch schon einmal ein Minuspunkt.

Sicherheit
Der Messenger wird hier auch nur erwähnt, da er seit letztem Jahr ebenfalls Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll anbietet.

Nachteile
Ende-zu-Ende-Verschlüsselung gibt es nur für Einzelchats und nur als Opt-in, was bedeutet, dass Sie die Verschlüsselung erst einmal aktivieren müssen. Dadurch werden viele Nutzer bei der unsicheren Variante bleiben. Schwerer wiegt, dass in der unverschlüsselten Variante Nachrichten automatisch auf Schlüsselwörter gescannt werden. Wenn Sie den Messenger nutzen, dann definitiv nur mit aktivierten „geheimen Unterhaltungen“ (Secret Conversations), auch wenn Sie dann Nachrichten nur noch auf einem Gerät lesen können.

Nicht unmittelbar mit der Übertragungssicherheit von Nachrichten verbunden, aber dennoch lästig sind außerdem die Werbeschaltungen in der Chatliste.

Preis: Kostenlos

Google Allo

Google Allo ist ein neuer, der jüngste Dienst in dieser Liste und ein intelligenter Messenger mit virtuellem Assistenten, der lernt und so intelligente Antworten Antwortvorschläge bietet. Der Messenger ist aus dem Hause Google.

Sicherheit
Es gibt optionale Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll. Wird die aktiviert, funktioniert der smarte Textassistent dann natürlich nicht mehr., natürlich dann nur ohne smarten Assistenten.

Nachteile
Unverschlüsselte Nachrichten werden mitgelesen, unbefristet gespeichert und analysiert, um Machine Learning zu ermöglichen. Anscheinend können sie jedoch vom Server gelöscht werden.

Die Ende-zu-Ende-Verschlüsselung ist bei Allo optional und heißt bei Allo („(Inkognito InkognitomodusModus“). Es gibt jedoch keine verschlüsselten Gruppenchats und der Google Assistent, der sich in die Unterhaltung einschaltet, ist sozusagen selbst ein „Man in the Middle“.

Im April 2018 gab Google zudem bekannt, die Weiterentwicklung von Allo vorerst zu pausieren. Stattdessen setzt der Konzern auf eine plattform- und anbieterübergreifende – und damit unverschlüsselte – SMS-Nachfolge auf Basis des RCS-Protokolls.

Preis: Kostenlos

Unser Fazit

WhatsApp ist in unserer Liste der Alleskönner, der die Verbreitung von Verschlüsselung maßgeblich vorangetrieben hat. Dass die Ende-zu-Ende-Verschlüsselung funktioniert und WhatsApp tatsächlich die Nachrichten nicht einsehen kann, zeigt der Konflikt zwischen WhatsApp und einer Richterin in Brasilien. WhatsApp weigerte sich, Chatprotokolle herauszugeben, und verwies darauf, dass das Unternehmen durch die Ende-zu-Ende-Verschlüsselung nicht mehr auf Unterhaltungen zugreifen könnte, selbst wenn es wollte.

Der große Pluspunkt bei WhatsApp ist die Nutzerfreundlichkeit und die große Verbreitung. Ein Nachteil ist jedoch die Möglichkeit, dass bei unvorsichtiger Handhabe unverschlüsselte Backups in die Cloud wandern können. Ein weiterer Nachteil ist die Tatsache, dass WhatsApp zu Facebook gehört und die beiden Unternehmen gerne Daten austauschen würden. Wem dies suspekt ist, kann auf die Alternativen Signal oder Threema zurückgreifen. Es spricht jedoch auch nichts dagegen, einfach mehrere Messenger für verschiedene Zwecke und Kontakte zu nutzen.

Beim Facebook Messenger und Google Allo kann Ende-zu-Ende-Verschlüsselung nur unter Einbußen in der Nutzerfreundlichkeit genutzt werden. Ohne die aktivierte Verschlüsselung sind jedoch Datenschutz und Privatsphäre nicht garantiert. Telegram ist aufgrund der oben angeführten Kontroversen ebenfalls mit Vorsicht zu genießen.

Für welchen der Messenger Sie sich am Ende entscheiden, hängt davon ab, worauf Sie am meisten Wert legen. Für uns sind drei Kriterien maßgeblich:

  1. Ende-zu-Ende-verschlüsselt
  2. Niemand liest mit
  3. Niemand scannt Ihre Nachrichten - was Sie schreiben bleibt privat

All das ist bei WhatsApp, Signal und Threema gegeben.

Hat Ihnen der Artikel gefallen?

Teilen Sie ihn mit Ihren Freunden und sehen Sie, was diese dazu meinen.

Gefallen Ihnen unsere Artikel?

Dann melden Sie sich doch für unseren kostenlosen Newsletter an und erhalten Sie weitere Cloud-Geschichten, Sicherheitstipps und Berichte von unseren Krypto-Experten.

Mit der Eingabe Ihrer E-Mail-Adresse stimmen Sie unserer Datenschutzbestimmung zu.
Beitrag teilen