Messenger-Apps auf einem Smartphone (Quelle: Pixabay, Benutzer LoboStudioHamburg)

Wie sag ich’s ohne WhatsApp?

Eher nicht mit Telegram – soviel ist sicher. 😉

WhatsApp ist seit der Übernahme durch Facebook im Jahr 2014 bei Messengern das, was Google bei Suchmaschinen ist: ein Datenkrake mit einem sehr nützlichen Dienst, an dem man alleine aufgrund seiner Verbreitung nur schwer vorbeikommt – schließlich verwenden 96 Prozent der deutschen Messenger-Nutzer (auch) WhatsApp.[1]Bundesnetzagentur: Bundesnetzagentur veröffentlicht Bericht zu Online-Kommunikationsdiensten; 22.05.2020; … Continue reading Nach eigenen Angaben hat WhatsApp im Sommer 2017 die Zahl von einer Milliarde täglicher Benutzer überschritten (2020 wurden dann sogar zwei Milliarden – nicht tägliche – Nutzer weltweit genannt),[2]whatsapp.com: Wir verbinden jeden Tag eine Milliarde Benutzer; 26.07.2017; blog.whatsapp.com/10000631/Wir-verbinden-jeden-Tag-eine-Milliarde-Benutzerwhatsapp.com: Wir schaffen private Verbindungen … Continue reading und das Verb „whatsappen“ hat es in die Online-Ausgabe des Dudens geschafft[3]duden.de: whatsappen – über den Sofortnachrichtendienst WhatsApp mit dem Smartphone Nachrichten senden und empfangen; www.duden.de/rechtschreibung/whatsappen – es ist für viele ein Synonym für die Nutzung eines Messengers.

Mit der Nutzung sind aber erhebliche Risiken bzgl. Datenschutz und Privatsphäre verbunden. Datenschutzfreundliche Alternativen wie Signal lassen sich mit wenig Aufwand finden und einrichten, bieten außerdem einen vergleichbaren Funktionsumfang, sodass das Argument „das ist so bequem, weil alle es haben“ nur eingeschränkt gilt. Wenn man sich trotzdem entscheidet, WhatsApp zu verwenden, sollte man sich wenigstens mit den Basis-Einstellungen zum Schutz der Privatsphäre beschäftigen, auch wenn die tlw. eher kosmetischen Nutzen haben (unten mehr dazu).

Entstanden ist dieser Text 2016, um ein paar Freunde zu informieren, nachdem WhatsApp im Sommer 2016 mitteilte, dass zukünftig Nutzerdaten an den Mutterkonzern Facebook weitergegeben werden sollen. Ich habe ihn nach und nach erweitert und im Januar 2019 komplett überarbeitet; weitere Änderungen sind am Ende des Textes dokumentiert. Er enthält Angaben aus verschiedenen Quellen zu den Messengern Signal, Threema, Telegram, WhatsApp, Wire und XMPP-Clients mit vielen Links und Fußnoten, um tiefer ins Thema einzusteigen. Grundsätzliche Fachbegiffe im Zusammenhang mit der Messenger-Kommunkation, z.B. Metadaten, Ende-zu-Ende- und Client-Server-Verschlüsselung, Web-Clients und ein paar andere, erkläre ich hier – auch mit Hinweisen zu Datenschutz und Anonymität und warum es sinnvoll sein kann, einen Messenger ohne Angabe einer Telefonnummer zu nutzen.

Zusätzliche Links im Blog:
Tabelle: Features und Funktionen der verschiedenen Messenger
Glossar
F-Droid als alternativer App-Store für Open-Source-Apps

Im Freundes- und Bekanntenkreis kann man sich oft auf einen anderen Messenger als WhatsApp verständigen. Viele Menschen sind offen für Argumente zu Datenschutz und Privatsphäre und brauchen nur einen kleinen Anstoß. Denn die wesentlichen Funktionen decken alle Messenger ab: Texte, Bilder oder Videos verschicken, Gruppen-Chats und Sprachtelefonate – und das alles (anders als bei SMS) verschlüsselt. Schwierig bis unmöglich wird es aber nach meiner Erfahrung, bei bereits bestehenden WhatsApp-Gruppen alle Teilnehmer zum Umstieg auf eine andere App zu bewegen. Da ist das Beharrungsvermögen dann doch sehr groß.

Die im Text genannten Apps sind für Android und iOS verfügbar (Ausnahmen sind einzelne XMPP-Clients); Apps für Smartphones mit Windows Phone werden seit Ende 2019 von keiner Firma mehr angeboten – zu diesem Zeitpunkt hat Microsoft den AppStore für Windows Phone geschlossen.

Übersichten zu WhatsApp-Alternativen

Einige Features und Funktionen der diversen Messenger habe ich in einer Tabelle zusammengestellt. Im Web sind reichlich weitere Übersichten und Vergleiche zu finden, beispielsweise

  • c’t: Sichere Messenger: Fünf Alternativen zu WhatsApp im Test; c’t 08/2021 vom 26.03.2021 (Der Artikel ist kostenpflichtig.)
    Im Artikel werden Element, Signal, Telegram, Threema, WhatsApp und Wire gegenübergestellt, wobei Telegram nur wegen seiner Verbreitung aufgenommen wurde, nicht wegen der Sicherheit – der Messenger ist nach Einschätzung der Autoren u.a. wegen der standardmäßig ausgeschalteten Ende-zu-Ende-Verschlüsselung »klar unsicherer als die anderen Testkandidaten«. Dafür bietet es einen besonders großen Funktionsumfang und viel Komfort, auch beim Export von Chats. Bei Signal wird lediglich bemängelt, dass keine anonyme Nutzung (also ohne Angabe der Telefonnummer) möglich ist. Bzgl. der Sicherheit setze es den »Goldstandard«, auch der Umgang mit den Metadaten der Kommunikation ist besser als bei den Konkurrenten. Auch Threema und Wire punkten bei der Sicherheit, müssen aber etwas beim Funktionsumfang und vor allem bei der Verbreitung hinter WhatsApp zurückstecken. Element (früher Riot.im) hat den großen Vorteil, dass man einen eigenen Server betreiben kann (aber nicht muss), sodass man im Bedarfsfall volle Kontrolle über die Metadaten hat. Die Sicherheit ist auch gut, aber Funktionsumfang und Verbreitung sind deutlich schlechter als bei den anderen Messengern.
    Die gleiche c’t-Ausgabe enthält auch zwei Artikel zur Archivierung von Chat-Verläufen und zum Umgang der Messenger mit den Metadaten (ebenfalls hinter einer Bezahlschranke).
  • Digitalcorage: Alternativen zu WhatsApp – Instant Messenger; 01.12.2019; ein Vergleich mit Schwerpunkt auf der Privatsphäre
  • Connect: 5 Alternativen für WhatsApp; 21.04.2020; kurze Infos zu Signal, Threema, Wire, Telegram, Wickr
  • teltarif.de Smartphone-Messenger: WhatsApp & die Alternativen; 2019 (mit Aktualiserungen mind. bis Juni 2020); ausführliche Vergleichstabelle von 11 Messengern
  • AndroidPit: Die besten WhatsApp-Alternativen für Android (laufend aktualisiert, mindestens bis Mai 2020)
  • c’t: Immer wieder WhatsApp? – Eine Übersicht über Messenger-Dienste und ihre Eignung als WhatsApp-Alternative; c’t 11/2019 vom 11.05.2019 (Die Einführung ist frei verfügbar, der eigentliche Vergleich der Messenger ist kostenpflichtig.)

Ein paar Artikel mit dem Schwerpunkt auf Datenschutz und Verschlüsselung sind hier gesammelt:

 

Telegram

Homepage: telegram.org  ♦  Wikipedia

Ende-zu-Ende-Verschlüsselung gibt es bei Telegram nur in geheimen Einzelchats. Diese ist nicht voreingestellt, sondern muss extra ausgewählt werden und ist für Gruppenchats gar nicht möglich. Gruppenchats und „normale“ Einzelchats werden transport-verschlüsselt, d.h. der Betreiber der Server (also die Firma Telegram) liest sie mit und kann sie zumindest theoretisch an Ermittlungsbehörden herausgeben. Wie man selbst prüfen kann, dass die Daten unverschlüsselt auf Telegram-Servern landen und dort verarbeitet werden, zeigt der Artikel »Telegram-Chat: der sichere Datenschutz-Albtraum – eine Analyse und ein Kommentar« bei Heise Online.

Geheime Chats werden nicht zwischen App und Web-Interface oder PC-Anwendung synchronisiert, weil sie nur auf dem Gerät verfügbar sind, auf dem sie geschrieben wurden. Sie werden also nicht auf die Telegram-Server übertragen und können bei einem Gerätewechsel auch nicht auf das neue Smartphone übernommen werden. (Ausführlicher nachzulesen ist das in den Erläuterungen bei Telegram.) In aller Deutlichkeit: Wer zum komfortablen Tippen am PC den Desktop- oder Web-Client nutzt oder ein Backup seiner Unterhaltungen auf ein neues Smartphone mitnehmen will, muss auf durchgehende (also Ende-zu-Ende-) Verschlüsselung verzichten – andere Messenger können das besser.

Telegram-Einstellungen
Telegram-Einstellungen

Telegram speichert standardmäßig auf seinen Servern die Namen und Telefonnummern der Kontakte des Benutzers – auch wenn diese selbst Telegram nicht nutzen. Man kann dieses Verhalten in der Einstellungen abschalten und Telegram auch anweisen, die bereits hochgeladenen Daten auf deren Servern zu löschen: Einstellungen → Privatsphäre und Sicherheit → Kontakte synchronisieren bzw. Synchronisierte Kontakte löschen. [4]Abschnitt 3.3.5 „Phone Number and Contacts“ in den Telegram-FAQ; telegram.org/privacy#3-3-5-phone-number-and-contacts; abgerufen 21.01.2019

Telegrams Firmenstruktur ist undurchsichtig. Derzeit nennt Telegram Dubai als Firmensitz. Die Website hat kein Impressum, der Standort der Rechenzentren ist unklar, wobei Telegram inzwischen auch Cloud-Dienste von Amazon und Google nutzt. [5]heise.de: Telegram-Blockade in Russland trifft AWS und Googles Cloud: Viele Kollateralschäden; 17.04.2018; heise.de/-4025547

Der Dienst mit mehr als 100 Millionen Nutzern hat keinen festen Standort, sondern zieht von Stadt zu Stadt in verschiedenen Ländern. Laut Äußerungen von [Unternehmenschef] Durow gegenüber verschiedenen Medien ist diese undurchsichtige Unternehmensstruktur bewusst gewählt, um nicht zu Kooperationen mit Behörden gezwungen werden zu können. [6]heise.de: Dschihad per Smartphone: Messenger-Dienst Telegram in der Kritik; 21.11.2016; heise.de/-3506323

Unklar ist damit auch, wer in welchem Land womöglich Zugriff auf Daten aus Chats und Adressbuch hat. Offiziell natürlich niemand; bisher soll keine Herausgabe von Daten stattgefunden haben:

In den fast zwei Jahren seiner Existenz hat Telegram kein einziges Byte an Nutzerdaten für Dritte zugänglich gemacht, auch nicht für staatliche Stellen. [7]heise.de (s.o.); heise.de/-3506323 Auch in einem weiteren Fall weigerte Telegram sich, dem russischen Inlandsgeheimdienst Auskunft über verschlüsselte Nachrichteninhalte zu geben. heise.de: … Continue reading

Telegram nutzt statt eines offenen, geprüften Verfahrens einen eigenen Verschlüsselungs-Algorithmus namens MTProto, der aber bisher nicht geknackt wurde. Auch eine 2018 eingeführte Funktion zum Speichern persönlicher Dokumente in der Telegram-Cloud nutzt ein eigenes Verschlüsselungsverfahren – bei diesem wurden sehr schnell Schwachstellen gefunden.
Die Client-Software (Apps, Desktop-Clients) ist Open Source, die Server-Software nicht.

Es gibt sowohl Desktop-Versionen für verschiedene Betriebssysteme als auch einen Web-Client. Ein besonderes Feature von Telegram ist die Möglichkeit, sehr große Gruppen mit bis zu 200.000 Benutzern einzurichten. Außerdem kann man Nachrichtenkanäle, sog. Channels, anlegen, mit denen man eine beliebig große Zahl von Abonnenten erreichen kann. Auch die recht einfache Programmierbarkeit eigener Bots ist eine Besonderheit.

Telegram: Option zur Sichtbarkeit der Nummer wird ggf. ignoriert
Telegram: Option zur Sichtbarkeit der Nummer wird ggf. ignoriert

Theoretisch ist eine pseudonyme Nutzung der Supergruppen möglich – in den Einstellungen gibt es eine Option, mit der die Sichtbarkeit der eigenen Telefonnummer eingestellt werden kann (Einstellungen → Privatsphäre und Sicherheit → Telefonnummer). Doch auch wenn dort „Niemand” gewählt ist, gilt das nur für Kontakte, bei denen man nicht schon im Adressbuch steht (worauf Telegram auch hinweist; siehe Screenshot). Relevant ist das vor allem bei größeren Gruppenchats, wo man evtl. nicht identifizierbar kommunizieren möchte – ein Beipiel beschreibt u.a.[8]Auch Golem und Heise online berichteten. golem.de: Telegrams Privatsphäreeinstellung lässt sich leicht umgehen; 28.08.2019; … Continue reading die Süddeutsche Zeitung: Vielen Teilnehmern an den Protesten in Hongkong ist nicht bewusst (gewesen), dass staatliche Stellen, die sich in Telegram-Superguppen einschleichen und große Adressbücher mit Einträgen von (möglichen) Protestierenden auf ihre Smartphones laden, Mitglieder von Gruppenchats so trotzdem einer Telefonnummer zuordnen und darüber identifizieren können. Zur sicheren Wahrung der eigenen Identität in Gruppenchats ist dieses Feature also wertlos – Telegram spiegelt eine Sicherheit vor, die nicht vorhanden ist.

Ich verstehe nicht, wieso Telegram oft als DIE Alternative zu WhatsApp gesehen wird: standardmäßig ist die Ende-zu-Ende-Verschlüsselung nicht aktiviert oder (in Gruppenchats) unmöglich, die Software ist in wesentlichen Teilen nicht offengelegt und nutzt keine standardisierten Kryptografie-Verfahren, es fand kein Sicherheits-Audit statt, dazu fragwürdige Sicherheits-Illusionen und ein undurchsichtiger Betreiber [9]Süddeutsche Zeitung; Dieser Mann steckt hinter dem Telegram-Messenger; 13.03.2018; www.sueddeutsche.de/digital/pawel-durow-dieser-mann-steckt-hinter-dem-telegram-messenger-1.3902438 – das alles weckt nicht gerade mein Vertrauen. Bei Verwendung von geheimen Chats verliert man dazu den Komfort des Web-Clients, am PC tippen zu können. Immerhin ist Telegram trotz des niedrigen Datenschutzniveaus kein Datenkrake wie WhatsApp/Facebook und hat als Alleinstellungsmerkmal die Supergruppen – aber für eine Empfehlung reicht das m.M.n. nicht.

 

Signal

Homepage: signal.org  ♦  Wikipedia

Signal ist komplett Open Source,[10]Allerdings ist der veröffentlichte Server-Code bis zum April 2021 fast ein Jahr lang nicht aktualisiert worden und entsprach nicht dem Code, der auf den Signal-Servern im produktiven Einsatz lief. … Continue reading eine Dokumentation des Krypto-Verfahrens ist verfügbar. Signal bietet eine sichere Ende-zu-Ende-Verschlüsselung; das Protokoll wurde im Herbst 2016 von Forschern einer Sicherheitsanalyse unterzogen [11]heise.de: Gute Noten für Signals Krypto-Protokoll; 14.11.2016; heise.de/-3465574 Wer sich für die technischen Details der Analyse interessiert, findet sie hier: Katriel Cohn-Gordon, Cas Cremers, … Continue reading und ist zu einem Standard geworden – es wird u.a. auch in WhatsApp, dem Facebook Messenger, Skype und Wire genutzt. Auch Edward Snowden [12]Edward Snowden bei Twitter: „I use Signal every day.“; 02.11.2015; twitter.com/Snowden/status/661313394906161152 orange by Handelsblatt: Bloß kein WhatsApp! Diese Messenger-App empfiehlt dir … Continue reading und der renommierte Kryptographie-Experte Bruce Schneier [13]z.B. „Signal, the encrypted messaging app I prefer, …“ in Bruce Schneier On Security: How Signal Is Evading Censorship; 28.12.2016; www.schneier.com/blog/archives/2016/12/how_signal_is_e.html empfehlen Signal. Das bedeutet für mich eine hohe Vertrauenswürdigkeit. Im Februar 2020 hat auch die EU-Kommision ihren Mitarbeiten den Einsatz von Signal empfohlen.

Der Abgleich der Kontaktdaten mit dem Server kann deaktiviert werden. Dann kann Signal dem Benutzer aber nicht mehr anzeigen, welcher der eigenen Kontakte auch Signal benutzt. Andernfalls werden Hashwerte der Telefonnummern zum Server übertragen. Da diese Werte wegen der geringen Länge von Telefonnummern mit gewissem Aufwand wieder „zurückgerechnet“ werden können, arbeitet Signal an einem Verfahren, das diese Daten vor dem Zugriff durch den Betreiber des Servers oder Ermittlungsbehörden schützt. Auch die Daten der Benutzerprofile sind verschlüsselt und auf dem Server nicht auszulesen. Eine anonyme Nutzung ist nicht möglich, da die App die Angabe einer Mobilfunknummer voraussetzt.

Der Betreiber Open Whisper Systems finanziert sich hauptsächlich durch Spenden und sieht sich selbst eher als Projekt denn als profitorientiertes Unternehmen. Seit Februar 2018 existiert eine Stiftung, die eine langfristige Existenz des Messengers sicherstellen soll. [14]Netzpolitik.org: Messenger Signal bekommt 50 Millionen Dollar und eine Stiftung; 22.02.2018; netzpolitik.org/2018/messenger-signal-bekommt-50-millionen-dollar-und-eine-stiftung/ Firmensitz ist San Francisco, Serverstandort sind die USA.[15]Da Signal kaum Daten zu seinen Benutzern und deren Kommunikationsverhalten speichert, ist das vom Datenschutz her kein Problem; siehe Golem.de: Whatsapp-Alternative: Warum es okay ist, dass Signal … Continue reading Signal speichert nach eigenen Angaben kaum Benutzerdaten und Metadaten der Kommunikation und kann diese somit auch nicht an (amerikanische) Ermittlungsbehörden herausgeben. [16]heise.de: l+f: Signal beantwortet Auskunftsbegehren der US-Justiz – Die angeforderten Namen und Chats gab es allerdings nicht; 28.04.2021; heise.de/-6030653 (mit Link zum Signal-Blog, in dem … Continue reading U.a. wird gar nicht erst festgehalten, wer mit wem kommuniziert.

Seit November 2017 gibt es einen Desktop-Client für Windows, Mac und Debian-basierte Linux-Systeme; der Web-Client für die Nutzung mit dem Internet-Browser wurde eingestellt. Signal bietet auch verschlüsselte Sprach- und Video-Anrufe (auch für kleinere Gruppen).[17]Golem.de: Messenger: Signal führt Gruppenanrufe ein; 15.12.2020; www.golem.de/news/messenger-signal-fuehrt-gruppenanrufe-ein-2012-152848.html Insbes. Video-Anrufe beherrschen nicht alle Konkurrenten. Außerdem kann Signal auch SMS und MMS versenden und empfangen und den auf dem Smartphone vorinstallierten SMS-Client ersetzen (SMS bleiben aber auch mit Signal unverschlüsselt).

 

Threema

Homepage: threema.ch/de/  ♦  Wikipedia

Threema ist nicht kostenlos, aber bezahlbar (einmalig 3,99 €, wobei es von Zeit zu Zeit Angebote gibt). Man kann Threema für Android auch ohne den Google Play Store nutzen, indem man einen Lizenzcode direkt auf der Threema-Website kauft.

Der Quellcode der Apps wurde im Dezember 2020 freigegeben, der Server-Code bleibt Firmengeheimnis[18]Golem.de: Krypto-Messenger: Threema-Apps als Open Source verfügbar; 21.12.2020; www.golem.de/news/krypto-messenger-threema-apps-als-open-source-verfuegbar-2012-152987.htmlAngekündigt wurde die … Continue reading; für die Verschlüsselung wird eine quelloffene Bibliothek („NaCl“) genutzt. Und Threema hat 2015 und 2019 Sicherheitsaudits durch unabhängige Experten bestanden, die Zugriff auf den kompletten Quellcode hatten. [19]heise.de: Threema-Audit abgeschlossen: “Ende-zu-Ende-Verschlüsselung ohne Schwächen”; 03.11.2015; heise.de/-2868866 heise.de: Messenger Threema übersteht Sicherheitsprüfung (fast) … Continue reading Auch in einem Vortrag auf dem 33C3 im Dezember 2016 wurde berichtet, dass keine Mängel gefunden wurden. Das alles bedeutet für mich eine ausreichend hohe Vertrauenswürdigkeit.

Unternehmenssitz und Serverstandort ist die Schweiz, d.h. es werden keine Daten auf US-Servern gespeichert und es gelten die Schweizer Datenschutzregelungen.

Einzel- und Gruppenchats sind Ende-zu-Ende verschlüsselt. Gruppen und ihre Teilnehmer sind auf dem Server nicht identifizierbar. Verschlüsselte Sprachanrufe sind möglich; auch Video-Anrufe gibt es seit einem Update im August 2020.[20]Siehe die Meldungen vom 10.08.2020 im Unternehmens-Blog und im Heise-Newsticker: Messenger: Threema unterstützt nun auch Videotelefonate Von den Kontaktdaten werden nur Hash-Werte zum Server übertragen, dort aber nicht gespeichert. Wer will, kann Threema auch komplett ohne Zugriff auf das Adressbuch verwenden. Da beim Einrichten der App eine Art Benutzerkennung (die Threema-ID) erstellt wird, kann Threema auch anonym, also ohne Weitergabe der eigenen Mobilfunknummer an die Gespächspartner, genutzt werden. Nach eigenen Angaben bietet Threema ein höheres Maß an Datensparsamkeit bzgl. der Metadaten als andere Messenger. Ein besonderes Feature ist die Möglichkeit zum Erstellen eigener Umfragen oder Abstimmungen.

Der Web-Client ermöglicht das Tippen am PC, wobei der Nachrichtenaustausch über die App erfolgt. Die Technik dahinter wird in einem Artikel bei Heise Online beschrieben.
Im November kündigte Threema an, an einem Verfahren zu arbeiten, um Threema auf mehreren Geräten nutzen zu können, ohne dabei die Ende-zu-Ende-Verschlüsselung zu verlieren. [21]Threema-Blog: Threema Multi-Device: Ein technischer Überblick, 03.11.2020, threema.ch/de/blog/posts/md-architectural-overview-de;s. auch heise.de: Threema plant Multi-Device-Funktion mit … Continue reading Bis zur Einführung dieser Mehrgeräte- oder Multi-Device-Fähigkeit werden aber vermutlich noch ein paar Monate vergehen.

 

Wire

Homepage: wire.com/de/Wikipedia

Wire ist noch nicht so lange auf dem Markt wie die anderen Apps, aber auch schon seit Ende 2014.[22]Die Süddeutsche Zeitung beschreibtz das Konzept: Whatsapp-Alternative Wire:Dieser Messenger ist privater als Whatsapp und kann mehr als Threema; 20.01.2017; … Continue reading Firmensitz ist die Schweiz, die Entwicklung erfolgt u.a. in Berlin, die Daten werden innerhalb der EU gespeichert, d.h. es gelten die europäischen Regelungen zum Datenschutz. Neben den Apps für Android und iOS gibt es auch Desktop-Anwendungen. Der Benutzer wird über die Mobilnummer identifiziert, alternativ ist aber auch die Registrierung mit einer Mail-Adresse möglich (was mehr Anonymität bietet), und Wire funktioniert auch ohne Hochladen der Daten des Adressbuchs auf die Server. Vom Funktionsumfang her muss sich Wire auch in der kostenlosen Basis-Version nicht verstecken.

Auch Wire nutzt eine Ende-zu-Ende-Verschlüsselung auf Basis des offenen Signal-Protokolls. Der komplette Quelltext wurde veröffentlicht und die Kryptographie-Bibliothek Ende 2016 durch einen Audit geprüft, in weiteren Audits wurden die Apps und die Telefoniefunktion überprüft.

Die Firma finanziert sich über Wagniskapital, und vor diesem Hintergrund muss man wohl auch den Hinweis zum Datenschutz sehen, der im Fall eines Verkaufs von Unternehmensteilen eine Datenweitergabe an Dritte erlaubt. Geld will Wire mit den kostenpflichtigen Pro- oder Enterprise-Versionen für Firmenkunden verdienen, die z.B. auch verschlüsselte Sprach- und Videokonferenzen ermöglichen [23]Eine erste kostenpflichtige Funktion für Firmenkunden wurde im Oktober 2017 freigegeben: Wire Teams. Pressemitteilung: Wire — Jetzt auch als Business-Lösung; 25.10.2017; … Continue reading – die App für Endbenutzer („Wire Privat“) soll aber werbefrei bleiben.

Der größte Nachteil ist derzeit wohl der fehlende Bekanntheitsgrad, aber das kann sich ja noch ändern.

 

WhatsApp

Homepage: whatsapp.com  ♦  Wikipedia

Chats, Sprach- und Video-Anrufe sind Ende-zu-Ende verschlüsselt. Hierzu wird das als sicher anerkannte Signal-Protokoll verwendet. [24]Ausführlicher Test bei heise.de: Test: Hinter den Kulissen der WhatsApp-Verschlüsselung; 08.04.2016; heise.de/-3165567 Auch Gruppen-Telefonate sind inzwischen möglich. WhatsApp bietet Desktop-Clients für Mac und Windows sowie einen Web-Client an.

WhatsApp ist seit 2014 eine Tochtergesellschaft von Facebook. Entgegen der Versicherungen bei der Übernahme findet ein Datenaustausch von WhatsApp zu Facebook statt. Der Datenschutzbeauftragte von Hamburg untersagte die Weitergabe von Daten deutscher Nutzer; Facebook hat dagegen Widerspruch eingelegt, aber im November 2016 vorläufig den Datenaustausch gestoppt. Im Februar 2018 hat auch das Oberverwaltungsgericht Hamburg dieses Verbot bestätigt. [25]heise.de: WhatsApp darf weiterhin Daten deutscher Nutzer nicht an Facebook weiterleiten; 01.03.2018; heise.de/-3984432 c’t 10/2018 S. 18: Unerlaubte Weitergabe – WhatsApp: Datenabgleich … Continue reading Am 18.05.2017 wurde Facebook außerdem zur Zahlung von 110 Mio. EUR Strafe an die EU verurteilt, weil es die EU-Kommission bei der Übernahme von WhatsApp bzgl. der Möglichkeiten (und Absicht?) zum Abgleich der Benutzerdaten belogen hat. Facebook hat die Strafe akzeptiert. Um welche Daten es geht, beschreibt Spiegel online.
Im Januar 2021 wurde das Thema Datenaustausch innerhalb des Facebook-Konzerns durch eine Änderung der WhatsApp-Nutzungsbedingungen zum 08.02.2021 (wegen Protests vieler Nutzer verschoben auf 15.05.2021[26]heise.de: WhatsApp schiebt Einführung der neuen Datenschutzregeln auf; 16.01.2021; heise.de/-5026474) wieder aktuell – WhatsApp macht deutlicher, dass und welche Daten innerhalb des Konzerns weitergegeben werden. Vielen Nutzern wird anscheinend jetzt erst klar, welche Änderungen bereits 2016 in Kraft getreten sind. Vorerst gilt aber, dass sich für Nutzer aus Europa an den Praktiken in Bezug auf die Datenweitergabe nichts ändert.[27]»Eine Facebook-Sprecherin versicherte gegenüber heise online, dass sich die Praktiken in Bezug auf die Datenweitergabe in der Europäischen Region (einschließlich Großbritannien) nicht … Continue reading

Die Benutzerdaten und Metadaten der Kommunikation werden in den USA gespeichert, d.h. mit wesentlich schwächerem Datenschutz als in Deutschland oder der EU, was aufgrund gesetzlicher Vorgaben vor allem bei geschäftlicher Nutzung von Bedeutung ist.

Im Gegensatz zu anderen Messengern werden nicht nur Hashwerte, sondern die vollständigen Telefonnummern des gesamten Adressbuchs (also auch von Nicht-WhatsApp-Nutzern) an WhatsApp übertragen und dort gespeichert. Streng genommen müssen also alle Personen, deren Daten im eigenen Adressbuch stehen, vor der Benutzung von WhatsApp wegen der Datenübermittlung gefragt werden und zustimmen – was WhatsApp in den Nutzungsbedingungen im Abschnitt „Informationen, die wir sammeln“ nicht mehr ganz so deutlich wie früher schreibt:

Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten. (abgerufen am 13.01.2019) [28]In einer früheren Version (abgerufen 27.10.2017) hieß es: „Du stellst uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern … Continue reading

In der Praxis beachtet das vermutlich fast niemand – viele wissen es wahrscheinlich gar nicht, denn wer liest schon seitenlange Nutzungsbedingungen? Man setzt sich so aber der Gefahr einer Abmahnung aus. Im privaten Bereich [29]siehe auch die WhatsApp-FAQ der c’t, insbes. die Frage „WhatsApp illegal?“ ist das eher unwahrscheinlich, problematisch wird es aber bei geschäftlicher Nutzung von WhatsApp.
Immerhin ist es ab Android 6 möglich, WhatsApp die Berechtigung zum Zugriff auf die Kontakte zu entziehen, sodass kein dauerhafter Datenabgleich erfolgt. [30]Android-Einstellungen → Reiter Allgemein → Apps → WhatsApp → Berechtigungen → Schieberegler bei Kontakte nach links ziehen Nachteil: In der Chat-Übersicht werden dann nur noch die Telefonnummern der Chat-Partner angezeigt, nicht mehr deren Namen. [31]siehe auch die WhatsApp-FAQ der c’t, Abschnitt „Ohne Adressbuch“

Der Online-Status lässt sich bei WhatsApp nicht effektiv verbergen, wie in den vergangenen Jahren mehrfach gezeigt wurde – auch wenn die Einstellungen zur Privatsphäre das Gegenteil suggerieren. [32]heise.de: Datenleck: WhatsApp petzt Online-Status; 22.09.2014; heise.de/-2400819 heise.de: WhatsApp: Was der Online-Status über die Nutzer verrät; 09.12.2014; heise.de/-2480333 heise.de: WhatsSpy: … Continue reading Sogar das Sammeln von Daten aus den Profilen eigentlich unbekannter Nutzer ist allein durch Kenntnis (oder Raten) der Telefonnummer auf einfachste Weise möglich, wenn die Anwender die lockeren Voreinstellungen zur Sichtbarkeit der Daten des eigenen Profils nicht angepasst haben. Das sind zwar keine Sicherheitslücken, aber erhebliche Probleme für die Privatsphäre, wenn Nutzungsprofile von WhatsApp-Anwendern durch unbekannte Dritte erstellt werden können – inzwischen sogar als Geschäftsmodell mit Schnüffel-Apps wie WhatsLog/Dasta.

WhatsApp-Mediendateien
Dateiverzeichnis der WhatsApp-Medien

Mit WhatsApp verschickte Dateien, z.B. Bilder oder Videos, werden unter Android standardmäßig unverschlüsselt im Speicher abgelegt (unterhalb des Ordners /storage/emulated/0/WhatsApp/Media), auf den viele andere Anwendungen Zugriff haben, z.B. Dateimanager oder die Galerie als Bildbetrachter. D.h. die Dateien sind zwar auf dem Übertragungsweg verschlüsselt, aber nicht mehr auf dem Gerät des Empfängers, und können dort durch andere Anwendungen ausgelesen oder sogar verändert werden. Abhilfe ist nur möglich, wenn man das automatische Herunterladen von Medien deaktiviert (WhatsApp-Einstellungen → Datennutzung → Medien-Auto-Download; bei allen Unterpunkten "Keine Medien" wählen). [33]Fraunhofer AISEC (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit): WhatsApp – Unsicher trotz Verschlüsselung; 02.03.2017; … Continue reading

Seit November 2018 können Nutzer der Android-Version von WhatsApp ein automatisches Cloud-Backup der Chat-Daten in das Google-Drive des Benutzers einrichten. Positiv dabei: Die Daten werden nicht auf das verbrauchte Speichervolumen angerechnet. Aber die Speicherung erfolgt unverschlüsselt; bei berechtigten Anfragen kann Google die Daten also an (Ermittlungs-)Behörden herausgeben. Alternativ muss man sich selbst um ein Backup kümmern. [34]Alina Braun, connect.de: Whatsapp-Backups auf Google Drive sind unverschlüsselt; 04.09.2018; www.connect.de/news/whatsapp-backup-unverschluesselt-google-drive-alternative-3198814.html

Für mich sind vor allem die Adressbuch-Problematik und die geplante Datenweitergabe zum Mutterkonzern Facebook nicht akzeptabel. Die anderen Lücken in der Privatsphäre tun ihr übriges, dass ich den Satz

Respekt für deine Privatsphäre ist in unseren Genen verankert.

zu Beginn der Datenschutzbedingungen [35]„Respekt für deine Privatsphäre ist in unseren Genen verankert. Seit dem Start von WhatsApp sind wir bestrebt, unsere Dienste unter Beachtung einer Reihe von strengen Datenschutz-Prinzipien … Continue reading eher als Hohn empfinde. Dazu kommt, dass WhatsApp zukünftig nicht mehr werbefrei sein wird (auch wenn immer noch nicht klar ist, in welcher Form Werbung angezeigt werden soll).

Auch verschiedene Datenschutzbeauftragte der Bundesländer sehen den Einsatz von WhatsApp kritisch. [36]Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg: Dürfen Lehrer WhatsApp benutzen?; 25.04.2017; … Continue reading In Bremen und Niedersachsen ist die Nutzung durch Lehrer zu schulischen Zwecken nicht erlaubt. [37]Welt.de: WhatsApp ist für Lehrer im Dienst tabu; 17.02.2019; www.welt.de/regionales/hamburg/article188948421/Datenschutz-WhatsApp-ist-fuer-Lehrer-im-Dienst-tabu.html Vor dem Hintergrund der Corona-Epidemie hat Golem.de am 19.03.2020 einen umfangreichen Artikel zum Einsatz insbes. durch Ärzte, Lehrer und Rechtsanwälte veröffentlicht, der mit dem Fazit schließt:

Am besten sollten Ärzte, Lehrer und Anwälte Whatsapp beruflich derzeit nicht nutzen. Sie müssen als Berufsgeheimnisträger mit Sanktionen seitens der Datenschutz-Aufsichtsbehörden rechnen. Unter Umständen machen sie sich sogar strafbar. Aufgrund der dargelegten erheblichen Bedenken in Bezug auf den Datenschutz ist mit keinen anderslautenden gerichtlichen Entscheidungen zu rechnen.

 

XMPP-Clients

Homepage: xmpp.org  ♦  Wikipedia

XMPP (Extensible Messaging and Presence Protocol; früher: Jabber) ist ein Protokoll, mit dem verschlüsselte Chats zwischen verschiedenen Programmen möglich sind. Es bezeichnet also keine bestimmte App, sondern einen Standard, nach dem die Kommunikation abgewickelt wird. Niemand muss die Software eines bestimmten Herstellers nutzen – i.d.R. sind auf den verschiedenen Plattformen (Windows, Linux, iOS, Android …) mehrere Clients verfügbar. Es handelt sich um einen frei verfügbaren Standard unter Verwendung offener, bewährter Verschlüsselungsverfahren, was für eine hohe Vertrauenswürdigkeit sorgt.

Sowohl Chats als auch Metadaten sind üblicherweise Ende-zu-Ende verschlüsselt.

XMPP-ID

Es ist keine Identifizierung der Nutzer über eine Telefonnummer (SIM-Karte) oder Mail-Adresse nötig, ebensowenig findet eine Übertragung von Adressbuch-Daten statt. Zur Nutzung benötigt man eine XMPP-ID bzw. Jabber-ID. Diese ist vergleichbar mit einer Mail-Adresse und hat auch ein ähnliches Format nach dem Muster benutzername@servername, z.B. vorname@jabber.example.com. So wie eine Mail-Adresse ist auch die XMPP-ID nicht an ein bestimmtes Programm oder eine App gebunden. Bei Bedarf kann man die ID im Rahmen der Installation des Clients anlegen. XMPP-Server, bei denen man ohne weitere Voraussetzungen eine ID einrichten kann, findet man per Suchmaschine, z.B. bei den Ubuntu Linux Usern. Auch einige Mail-Provider betreiben Jabber-Server und bieten ihren Kunden eigene Adressen an.

Eine Gegenüberstellung von offenen Systemen mit Jabber-Protokoll (Föderation bzw. engl. federation) gegen proprietäre Systeme (Zentralismus; alle weiter oben aufgelisteten Messenger) gibt es bei Heise online. Diese offenen Systeme haben auch den Vorteil, dass man den Server, über den die Kommunikation läuft, selbst betreiben kann, wenn man besondere Anforderungen an die Sicherheit hat. Werden Server in zentralistischen Systemen (z.B. durch Anordnungen von Geheimdiensten) kompromittiert, sind Angriffe auf verschlüsselte Gruppenchats möglich, wie Sicherheitsforscher Anfang Januar 2018 für WhatsApp und Signal beschrieben haben.

Conversations

Homepage: conversations.im  ♦  Wikipedia

Conversations ist eine recht einfach zu bedienende XMPP-Client-App für Android. Die App ist Open Source und kostet im Google Play Store 2,49 €, ist aber über andere Quellen kostenlos zu beziehen, z.B. im Open-Source-Appstore F-Droid (Hinweise zur Nutzung von F-Droid); statt die Entwicklung durch einen Kauf bei Google zu unterstützen, nennt die Conversations-Homepage auch Spendenmöglichkeiten, ohne dass dabei eine Provision (immerhin 30%) für Google anfällt.

Während der Einrichtung von Conversations kann man bequem eine XMPP-ID anlegen, falls man noch keine hat. Hier muss der Name eines XMPP-Servers angegeben werden. Vorgeschlagen wird conversations.im (dessen Benutzung nach einem Testzeitraum von 6 Monaten kostenpflichtig wird),[38]Zitat aus der App-Beschreibung im Google Play Store: »Conversations makes it very easy to create an account on the conversations.im server. Using that server comes with an annual fee of 8 Euro … Continue reading andere Server findet man wie oben beschrieben. Abgesehen von der Installation über F-Droid (wenn man die App nicht oder nicht sofort bezahlen möchte) ist die Einrichtung von Conversations nicht komplizierter als die anderer Messenger-Apps.

Eine Beschreibung von Conversations und seiner Unterschiede zu anderen Messengern mit vielen technischen Informationen gibt es im bereits weiter oben verlinkten Artikel im Kuketz-Blog. Seit Version 2.8.0 (erschienen im April 2020) unterstützt Conversations auch Audio- und Video-Anrufe.

Beispiele für relativ weit verbreitete XMPP-Clients auf anderen Betriebssystemen sind

  • ChatSecure 4.0 (iOS); kurz vorgestellt bei Heise online (22.01.2017). Dort findet man auch Informationen und Links zum verwendeten OMEMO-Protokoll. Homepage: chatsecure.org
  • Pidgin (Windows Desktop und Linux); unterstützt neben XMPP diverse andere Messenging-Protokolle; Homepage: pidgin.im

 

Weitere

Es gibt noch zig andere Messenger, und immer wieder kommen neue dazu. Einige seien in den folgenden Abschnitten kurz erwähnt.

Matrix/Element

Eine interessante Entwicklung nimmt der auf dem föderierten Matrix-Projekt basierende Messenger Element (bis Juli 2020: Riot.im). Vor allem in der Open-Source-Szene (Linux) beliebt[39]Beispiel Mozilla: Linux-Magazin: Mozilla wechselt von IRC auf Matrix/Riot; 20.12.2019; www.linux-magazin.de/news/mozilla-wechselt-von-irc-auf-matrix-riot/
Siehe auch Wikipedia
, kündigen auch öffentliche Verwaltungen im Rahmen von Open-Source-Strategien den Einsatz von Matrix/Element-Infrastrukturen an. Beispiele sind 2019 der französische Staat[40]Golem.de: Statt Whatsapp: Frankreich wandert in die Matrix; 05.02.2019; www.golem.de/news/statt-whatsapp-frankreich-wandert-in-die-matrix-1902-139167.html mit einem eigenen Chat-System für die Behörden-Kommunikation, 2020 die deutsche Bundeswehr[41]heise.de: Bundeswehr setzt künftig auf Matrix als Messenger; 12.05.2020; heise.de/-4719474heise.de: Matrix steht als Messenger für Soldaten und zivile BW-Angehörige zur Verfügung; 17.11.2020; … Continue reading und das Bundesland Schleswig-Holstein mit der Planung eines Kommunikationssystems für Verwaltung und Bildungseinrichtungen (Schulen und Universitäten)[42]Golem.de: Schleswig-Holstein will Matrix-Chat für Verwaltung; 16.07.2020; www.golem.de/news/messenger-schleswig-holstein-will-matrix-chat-fuer-verwaltung-2007-149687.html. Von diesen Entwicklungen profitiert auch das Open-Source-Projekt, und sie könnten generell der Verbreitung von Matrix-Clients wie Element einen Schub geben.
Im Moment (Frühjahr 2021) bietet Element aber noch(?) nicht den Funktionsumfang, den man von anderen Messengern gewohnt ist (und erwartet) – bspw. gibt es zwar Video- und Sprachchats (also Anrufe), aber nicht die Möglichkeit, Sprachnachrichten zu versenden.

Briar

Völlig anders als bei anderen Messengern funktioniert die Technik beim Peer-to-Peer-Messenger Briar (Homepage: briarproject.org; Wikipedia).

Briar kommt ohne zentralen Server aus und kommuniziert direkt zwischen den Endgeräten (peer to peer). Die App nutzt sowohl Ende-zu-Ende-Verschlüsselung als auch Forward Secrecy. Durch das durchweg dezentrale Konzept sollen alle über die App verbreiteten Inhalte sicher vor Zensur sein. [43]heise.de: Testversion des Peer-to-Peer-Messengers Briar für Android veröffentlicht; 23.07.2017; heise.de/-3780776

Zur Vermeidung von Metadaten wird das Hidden-Service-Protokoll von Tor verwendet; außerdem sind Verbindungen per Bluetooth und WLAN möglich. So ist von außen, z.B. beim Internet- oder Mobilfunk-Provider, nicht erkennbar, wer mit wem kommuniziert. Die verschlüsselten Inhalte sind nur auf den Endgeräten der Nutzer gespeichert Briar durchlief seit Juli 2017 eine Betaphase, die erste produktive Version (nur für Android) erschien im Mai 2018, im Sommer 2020 ist Version 1.2 aktuell. Neben Gruppen-Chats gibt es auch Blogs und Foren; Sprach- und Video-Telefonie werden nicht unterstützt. Auch Bilder können derzeit noch nicht übertragen werden, sondern nur Textnachrichten. [44]Golem.de: Briar: Der Messenger für die Krise; 02.04.2020; www.golem.de/news/briar-der-messenger-fuer-die-krise-2004-147621.html Unter den hier genannten Messengern ist Briar wohl der Exot, kann aber für besonders sicherheitsbewusste Anwender eine Option sein.

Snapchat, Facebook-Messenger, Google Messages

Die Hauptfunktion von Snapchat (Homepage: snap.com; Wikipedia) besteht darin, Fotos oder kurze Videos zu verschicken oder in Stories (ähnlich einem Tagebuch) zu verbreiten, die sich nach einer gewissen Zeit selbst zerstören (wobei dieser Mechanismus ohne viel Aufwand umgangen werden kann). Der Betreiber lässt sich von den Nutzern sehr weitgehende Rechte an deren Inhalten einräumen, u.a. zum „Reproduzieren, Verändern, Anpassen, Bearbeiten“ der Inhalte, die Nutzung zu Werbezwecken und das Recht, sie unterzulizensieren. Trotz dieser bedenklichen Bestimmungen erfreut sich Snapchat großer Beliebtheit – zu Silvester 2018 war es knapp hinter WhatsApp der zweitbeliebteste Messenger, zumindest was das Datenvolumen im o2-Netz betrifft. [45]teltarif.de: Jahreswechsel im o2-Netz: Knapp 220.000 GB in zwei Stunden; 04.01.2019; www.teltarif.de/o2-jahreswechsel-2019-netz-statistik-auswertung/news/75175.html Wen kümmern schon Datenschutz und Privatsphäre?

Nicht völlig unerwähnt bleiben soll auch der Facebook-Messenger, der für mich aus grundsätzlichen Erwägungen nicht in Frage kommt – mir gefällt die Datensammelwut von Facebook gar nicht (und ohne Facebook-Konto kann man den Facebook Messenger sowieso nicht verwenden). 😉 Ähnliches gilt für Google Messages – die Assistenzfunktionen kommunizieren zu fleißig mit Googles Servern.

 

Fazit – tl;dr

Hinter WhatsApp steht das als Datenkrake bekannte Facebook – auch die App sammelt Daten aus Benutzerprofil und Adressbuch. Außerdem hat die App große Lücken beim Schutz der Privatsphäre und ermöglicht Dritten, mit wenig Aufwand Nutzungsprofile von WhatsApp-Usern zu erstellen. Genug Gründe, von der Benutzung abzuraten. Für ebenfalls nicht empfehlenswert halte ich Telegram – die Firma dahinter ist undurchsichtig, der Messenger deaktiviert standardmäßig die Ende-zu-Ende-Verschlüsselung und verwendet ein selbst entwickeltes Verschlüsselungsverfahren statt anerkannter und geprüfter Standards.

Signal, Threema, Wire und Conversations (bzw. XMPP) erfüllen meine Anforderungen an Sicherheit, Datenschutz und Privatsphäre. Der Datenschutz ist deutlich besser als bei WhatsApp, teilweise ist sogar eine (anonyme) Nutzung ohne Mobilfunknummer möglich. Threema fällt eigentlich nur aus der Liste, wenn man auf Open Source besteht (wofür es gute Gründe gibt – aber nicht im Vergleich mit WhatsApp). Dafür wurden Sicherheitsaudits durchgeführt. Am Preis sollte die Entscheidung nicht festgemacht werden – die App kostet schließlich nicht mehr als ein Getränk in der Kneipe.

Dürfte ich nur eine einzige einfach zu nutzende Alternative empfehlen, würde ich Signal nennen.

Für welchen Messenger man sich entscheidet, hängt evtl. von manchen spezielleren Funktionen wie Videoanrufen oder sich selbst zerstörenden Nachrichten ab. Nicht zuletzt muss man sich aber mit seinen Kontakten einigen – und vielleicht die Kröte schlucken, dass es für einen Gewinn an Privatsphäre nötig ist, mehr als einen einzigen Messenger einzusetzen, um alle Kontakte zu erreichen.

[Quellenangabe zum Beitragsbild (Apps auf einem Smartphone): Thomas Ulrich auf Pixabay (Lizenz: »Freie kommerzielle Nutzung. Kein Bildnachweis nötig.«)]

Änderungen:
01.11.2017: Abschnitt zu Signal um Fußnoten und Links ergänzt; Desktop- statt Web-Client
07.11.2017: neu: Tabelle der Features
20.01.2018: Angriffsmöglichkeit auf Gruppenchats bei Signal und WhatsApp im Abschnitt zu XMPP ergänzt
02.02.2018: Link zum Interview von Motherboard bei den Übersichten ergänzt; Ergänzungen zu Telegrams geheimen Chats
15.01.2019: größere Überarbeitung und Aktualisierung; Glossar und F-Droid in eigene Seiten ausgelagert; Briar ausführlicher; neu: Snapchat; kurze Information zu Riot
26.04.2019: zweites Sicherheitsaudit von Threema ergänzt (Fußnote)
16.06.2019: Hinweis zum Artikel in c’t 11/2019 ergänzt; ebenso Telegram-Bots
29.08.2019: Inhaltsverzeichnis neu; Hinweis zu Telegram ergänzt: fragwürdige Option zur pseudonymen Nutzung von Gruppenchats
02. und 22.04.2020; kleinere Ergänzungen und Änderungen zu Briar, WhatsApp, Signal, Threema, Wire und Telegram; Vergleiche bei Digitalcourage und Connect ergänzt; Preis von Threema angepasst (3,99 statt 2,99 €)
19.07.2020: Änderungen zu Matrix/Element: Riot.im heißt ab sofort Element; Ergänzung von Bundeswehr und Schleswig-Holstein. Aktualisierung der verlinkten Messenger-Übersichten. Briar und Snapchat/Facebook/Google bei den weiteren Messengern eingeordnet. Kleine Änderungen zu Conversations. EU-Kommission bei Signal ergänzt.
11.08.2020: Threema unterstützt nun auch Video-Anrufe … und (04.09.2020) wird zukünftig Open Source
05.11.2020: Threema kündigt Mehrgeräte-Fähigkeit an
03.12.2020: kleine Änderungen im ersten Absatz (Einführung); Artikel von Heise Online zu Telegram eingetragen; einige Links zu älteren Artikeln entfernt und aktuelle Artikel verlinkt (tlw. in den Fußnoten); Beitragsbild
12.01.2021: Threema gibt Quellcode der Apps frei; Signal führt Gruppenanrufe ein; WhatsApp aktualisiert die Nutzungbedingungen zum 08.02.2021 (inzwischen verschoben auf den 15.05.2021); Hinweis auf Kosten bei Nutzung des conversations.im-Servers ergänzt
29.01.2021: Verlinkung auf Golem.de-Artikel zum Datenschutz bei Signal, kleinere Änderungen im Text
06.04.2021: Ergänzung des Vergleichstest aus c’t 08/2021 bei den Links, alter Source-Code des Signal-Servers (Fußnote), weiterer Link zur Sicherheit von Telegram

Fußnoten

Fußnoten
1 Bundesnetzagentur: Bundesnetzagentur veröffentlicht Bericht zu Online-Kommunikationsdiensten; 22.05.2020; www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2020/20200522_OTT.html
ausführliche PDFs zum Download auf Bundesnetzagentur: Nut­zung von On­line-Kom­mu­ni­ka­ti­ons­diens­ten; 22.05.2020; www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Digitalisierung/OTT_Ergebnisse/OTTbericht-node.html
2 whatsapp.com: Wir verbinden jeden Tag eine Milliarde Benutzer; 26.07.2017; blog.whatsapp.com/10000631/Wir-verbinden-jeden-Tag-eine-Milliarde-Benutzer
whatsapp.com: Wir schaffen private Verbindungen – für zwei Milliarden Benutzer weltweit; 12.02.2020; blog.whatsapp.com/two-billion-users-connecting-the-world-privately
3 duden.de: whatsappen – über den Sofortnachrichtendienst WhatsApp mit dem Smartphone Nachrichten senden und empfangen; www.duden.de/rechtschreibung/whatsappen
4 Abschnitt 3.3.5 „Phone Number and Contacts“ in den Telegram-FAQ; telegram.org/privacy#3-3-5-phone-number-and-contacts; abgerufen 21.01.2019
5 heise.de: Telegram-Blockade in Russland trifft AWS und Googles Cloud: Viele Kollateralschäden; 17.04.2018; heise.de/-4025547
6 heise.de: Dschihad per Smartphone: Messenger-Dienst Telegram in der Kritik; 21.11.2016; heise.de/-3506323
7 heise.de (s.o.); heise.de/-3506323
Auch in einem weiteren Fall weigerte Telegram sich, dem russischen Inlandsgeheimdienst Auskunft über verschlüsselte Nachrichteninhalte zu geben. heise.de: Messenger: Telegram verteidigt Verschlüsselung gegen Geheimdienst; 17.10.2017; heise.de/-3863757
8 Auch Golem und Heise online berichteten. golem.de: Telegrams Privatsphäreeinstellung lässt sich leicht umgehen; 28.08.2019; golem.de/news/datenschutz-telegrams-privatsphaereeinstellung-laesst-sich-leicht-umgehen-1908-143492.html
heise.de: Telegram-Schwachstelle gefährdet Aktivisten in Hongkong; 28.08.2019; heise.de/-4508687
9 Süddeutsche Zeitung; Dieser Mann steckt hinter dem Telegram-Messenger; 13.03.2018; www.sueddeutsche.de/digital/pawel-durow-dieser-mann-steckt-hinter-dem-telegram-messenger-1.3902438
10 Allerdings ist der veröffentlichte Server-Code bis zum April 2021 fast ein Jahr lang nicht aktualisiert worden und entsprach nicht dem Code, der auf den Signal-Servern im produktiven Einsatz lief. Seit Anfang April 2021 ist aber wieder die aktuelle Version auf Github zu finden. Warum von Version 3.21 bis zur aktuellen 5.48 kein Code veröffentlicht wurde, ist unklar, Signal selbst äußerte sich nicht.
Quellen:
Golem.de, Crypto-Messenger: Signal-Server nicht mehr Open Source, 06.04.2021, www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html (mit weiterführenden Links u.a. zum Github-Repository)
Golem.de: Signal aktualisiert Server-Code nach Golem.de-Bericht, 07.04.2021, www.golem.de/news/open-source-signal-aktualisiert-server-code-nach-golem-de-bericht-2104-155527.html
11 heise.de: Gute Noten für Signals Krypto-Protokoll; 14.11.2016; heise.de/-3465574
Wer sich für die technischen Details der Analyse interessiert, findet sie hier: Katriel Cohn-Gordon, Cas Cremers, Benjamin Dowling, Luke Garratt und Douglas Stebila: A Formal Security Analysis of the Signal Messaging Protocol; Oktober 2016; eprint.iacr.org/2016/1013.pdf (PDF; englisch)
12 Edward Snowden bei Twitter: „I use Signal every day.“; 02.11.2015; twitter.com/Snowden/status/661313394906161152
orange by Handelsblatt: Bloß kein WhatsApp! Diese Messenger-App empfiehlt dir Edward Snowden; 03.07.2017; orange.handelsblatt.com/artikel/29616
13 z.B. „Signal, the encrypted messaging app I prefer, …“ in Bruce Schneier On Security: How Signal Is Evading Censorship; 28.12.2016; www.schneier.com/blog/archives/2016/12/how_signal_is_e.html
14 Netzpolitik.org: Messenger Signal bekommt 50 Millionen Dollar und eine Stiftung; 22.02.2018; netzpolitik.org/2018/messenger-signal-bekommt-50-millionen-dollar-und-eine-stiftung/
15 Da Signal kaum Daten zu seinen Benutzern und deren Kommunikationsverhalten speichert, ist das vom Datenschutz her kein Problem; siehe Golem.de: Whatsapp-Alternative: Warum es okay ist, dass Signal Google-Server nutzt: 29.01.2021
16 heise.de: l+f: Signal beantwortet Auskunftsbegehren der US-Justiz – Die angeforderten Namen und Chats gab es allerdings nicht; 28.04.2021; heise.de/-6030653 (mit Link zum Signal-Blog, in dem man das Auskunftsersuchen und die Antwort nachlesen kann)
Netzpolitik.org: Nun amtlich: Der Messenger Signal ist ziemlich sicher; 04.10.2016; netzpolitik.org/2016/nun-amtlich-der-messenger-signal-ist-ziemlich-sicher/
New York Times: Subpoenas and Gag Orders Show Government Overreach, Tech Companies Argue; 04.10.2016; www.nytimes.com/2016/10/05/technology/subpoenas-and-gag-orders-show-government-overreach-tech-companies-argue.html
17 Golem.de: Messenger: Signal führt Gruppenanrufe ein; 15.12.2020; www.golem.de/news/messenger-signal-fuehrt-gruppenanrufe-ein-2012-152848.html
18 Golem.de: Krypto-Messenger: Threema-Apps als Open Source verfügbar; 21.12.2020; www.golem.de/news/krypto-messenger-threema-apps-als-open-source-verfuegbar-2012-152987.html
Angekündigt wurde die Freigabe des Quellcodes im September 2020, nachdem eine Beteiligungsgesellschaft ins Unternehmen eingestiegen war.
(heise.de: Messenger: Threema soll Open Source werden; 03.09.2020; heise.de/-4885250;
Golem.de: Krypto-Messenger: Threema soll Open Source werden; 03.09.2020;
www.golem.de/news/krypto-messenger-threema-soll-open-source-werden-2009-150663.html)
19 heise.de: Threema-Audit abgeschlossen: “Ende-zu-Ende-Verschlüsselung ohne Schwächen”; 03.11.2015; heise.de/-2868866
heise.de: Messenger Threema übersteht Sicherheitsprüfung (fast) ohne Vorkommnisse; 02.04.2019; heise.de/-4357878.
20 Siehe die Meldungen vom 10.08.2020 im Unternehmens-Blog und im Heise-Newsticker: Messenger: Threema unterstützt nun auch Videotelefonate
21 Threema-Blog: Threema Multi-Device: Ein technischer Überblick, 03.11.2020, threema.ch/de/blog/posts/md-architectural-overview-de;
s. auch heise.de: Threema plant Multi-Device-Funktion mit Ende-zu-Ende-Verschlüsselung, 05.11.2020, heise.de/-4948792
22 Die Süddeutsche Zeitung beschreibtz das Konzept: Whatsapp-Alternative Wire:Dieser Messenger ist privater als Whatsapp und kann mehr als Threema; 20.01.2017; www.sueddeutsche.de/digital/whatsapp-alternative-wire-dieser-messenger-ist-privater-als-whatsapp-und-kann-mehr-als-threema-1.3150299
23 Eine erste kostenpflichtige Funktion für Firmenkunden wurde im Oktober 2017 freigegeben: Wire Teams.
Pressemitteilung: Wire — Jetzt auch als Business-Lösung; 25.10.2017; medium.com/@wireapp/wire-jetzt-auch-als-business-l%C3%B6sung-ec9fcac37365
iX: Messenger fürs Unternehmen: Wire Teams mit Ende-zu-Ende-Verschlüsselung; 25.10.2017; heise.de/-3872479.
24 Ausführlicher Test bei heise.de: Test: Hinter den Kulissen der WhatsApp-Verschlüsselung; 08.04.2016; heise.de/-3165567
25 heise.de: WhatsApp darf weiterhin Daten deutscher Nutzer nicht an Facebook weiterleiten; 01.03.2018; heise.de/-3984432
c’t 10/2018 S. 18: Unerlaubte Weitergabe – WhatsApp: Datenabgleich weiterhin unzulässig (Artikel kostenpflichtig).
OVG Hamburg, Beschluss vom 26.02.2018, Az. 5 Bs 93/17
26 heise.de: WhatsApp schiebt Einführung der neuen Datenschutzregeln auf; 16.01.2021; heise.de/-5026474
27 »Eine Facebook-Sprecherin versicherte gegenüber heise online, dass sich die Praktiken in Bezug auf die Datenweitergabe in der Europäischen Region (einschließlich Großbritannien) nicht verändert haben. “WhatsApp teilt keine Nutzerdaten mit Facebook, damit Facebook diese Daten zur Verbesserung seiner Produkte oder von Anzeigen nutzen kann.”«
Quelle: heise.de: Welche Daten für Facebook? – Verwirrung bei WhatsApps neuer Datenschutzerklärung; 08.01.2021; heise.de/-5018361
siehe auch heise.de: WhatsApp ändert Nutzungsbedingungen: Daten werden mit Facebook geteilt; 07.01.2021; heise.de/-5005893
28 In einer früheren Version (abgerufen 27.10.2017) hieß es: „Du stellst uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten. Du bestätigst, dass du autorisiert bist, uns solche Nummern zur Verfügung zu stellen.“ Der letzte Satz, der verdeutlicht, dass man autorisiert sein muss – also eine Erlaubnis benötigt – ist inzwischen entfallen und nur noch im Archiv abrufbar.
29 siehe auch die WhatsApp-FAQ der c’t, insbes. die Frage „WhatsApp illegal?“
30 Android-Einstellungen → Reiter Allgemein → Apps → WhatsApp → Berechtigungen → Schieberegler bei Kontakte nach links ziehen
31 siehe auch die WhatsApp-FAQ der c’t, Abschnitt „Ohne Adressbuch“
32 heise.de: Datenleck: WhatsApp petzt Online-Status; 22.09.2014; heise.de/-2400819
heise.de: WhatsApp: Was der Online-Status über die Nutzer verrät; 09.12.2014; heise.de/-2480333
heise.de: WhatsSpy: Beliebige WhatsApp-Nutzer rund um die Uhr überwachen; 09.02.2015; heise.de/-2543968
heise.de: WhatsApp ermöglicht weiterhin Überwachung beliebiger Nutzer; 11.10.2017; heise.de/-3857506
33 Fraunhofer AISEC (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit): WhatsApp – Unsicher trotz Verschlüsselung; 02.03.2017; www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/presse/pressemitteilungen/2017/whatsapp.html
34 Alina Braun, connect.de: Whatsapp-Backups auf Google Drive sind unverschlüsselt; 04.09.2018; www.connect.de/news/whatsapp-backup-unverschluesselt-google-drive-alternative-3198814.html
35 „Respekt für deine Privatsphäre ist in unseren Genen verankert. Seit dem Start von WhatsApp sind wir bestrebt, unsere Dienste unter Beachtung einer Reihe von strengen Datenschutz-Prinzipien aufzubauen.“; www.whatsapp.com/legal/?eea=1#privacy-policy; abgerufen 13.01.2019
36 Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg: Dürfen Lehrer WhatsApp benutzen?; 25.04.2017; www.baden-wuerttemberg.datenschutz.de/duerfen-lehrer-whatsapp-benutzen/
Die Landesbeauftragte für den Datenschutz in Niedersachsen; Nutzung von WhatsApp in Unternehmen; 15.08.2019; lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/nutzung-von-whatsapp-in-unternehmen-179649.html
37 Welt.de: WhatsApp ist für Lehrer im Dienst tabu; 17.02.2019; www.welt.de/regionales/hamburg/article188948421/Datenschutz-WhatsApp-ist-fuer-Lehrer-im-Dienst-tabu.html
38 Zitat aus der App-Beschreibung im Google Play Store: »Conversations makes it very easy to create an account on the conversations.im server. Using that server comes with an annual fee of 8 Euro after a 6 month trial period.«; play.google.com/store/apps/details?id=eu.siacs.conversations&hl=de&gl=de
39 Beispiel Mozilla: Linux-Magazin: Mozilla wechselt von IRC auf Matrix/Riot; 20.12.2019; www.linux-magazin.de/news/mozilla-wechselt-von-irc-auf-matrix-riot/
Siehe auch Wikipedia
40 Golem.de: Statt Whatsapp: Frankreich wandert in die Matrix; 05.02.2019; www.golem.de/news/statt-whatsapp-frankreich-wandert-in-die-matrix-1902-139167.html
41 heise.de: Bundeswehr setzt künftig auf Matrix als Messenger; 12.05.2020; heise.de/-4719474
heise.de: Matrix steht als Messenger für Soldaten und zivile BW-Angehörige zur Verfügung; 17.11.2020; https://heise.de/-4963211
42 Golem.de: Schleswig-Holstein will Matrix-Chat für Verwaltung; 16.07.2020; www.golem.de/news/messenger-schleswig-holstein-will-matrix-chat-fuer-verwaltung-2007-149687.html
43 heise.de: Testversion des Peer-to-Peer-Messengers Briar für Android veröffentlicht; 23.07.2017; heise.de/-3780776
44 Golem.de: Briar: Der Messenger für die Krise; 02.04.2020; www.golem.de/news/briar-der-messenger-fuer-die-krise-2004-147621.html
45 teltarif.de: Jahreswechsel im o2-Netz: Knapp 220.000 GB in zwei Stunden; 04.01.2019; www.teltarif.de/o2-jahreswechsel-2019-netz-statistik-auswertung/news/75175.html

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.