crypto-messenger.com auf einen Blick – Threema, Signal, Telegram, WhatsApp

Auf einen Blick

Mit Messenger-Apps lassen sich Textnachrichten, Bilder, Videos und sogar Dateianhänge über das Internet verschicken. Bei den meisten Apps sind auch Gruppenchats möglich. Messenger unterscheiden sich damit von der SMS-Funktion, bei der Text- oder Bildnachrichten über das Mobilfunknetz geschickt werden.

Lange Zeit verschickten Messenger-Apps Nachrichten weitgehend ungesichert über das Internet. Dritte konnten sehr einfach mithören oder mitlesen. Erst seit den Enthüllungen von Edward Snowden begannen die Anbieter nach und nach, Verschlüsselungsverfahren einzuführen. Am sichersten ist es dabei, wenn die Nachricht direkt vom Absendergerät verschlüsselt wird und zwar so, dass nur das Empfängergerät sie wieder entschlüsseln kann.

Dieses System nennen Experten „Ende-zu-Ende-Verschlüsselung“. Inzwischen gibt es viele Messenger-Apps mit Ende-zu-Ende-Verschlüsselung. Jede davon hat ihre Besonderheiten, ihre Vor- und Nachteile. Die beliebtesten stellen wir hier vor. (Text: mobilsicher.de)

Threema

Threema ist eine Entwicklung der Schweizer Firma „Threema GmbH“ und kam 2012 auf den Markt. Ihre Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen NutzerInnen (Stand März 2017), das teilte die Firma auf Anfrage von mobilsicher.de mit. Die App ist kostenpflichtig.

Threema fragt beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere NutzerInnen zu finden. Es wird anonymisiert (gehasht) abgeglichen und anschließend wieder gelöscht. Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Android-NutzerInnen können Threema direkt auf der Threema-Webseite kaufen. Die App nutzt standardmäßig „Google Play-Dienste“, man kann diese Funktion aber ausschalten. Bei Threema kann man sich anonym, ohne Telefonnummer oder E-Mail-Adresse anmelden. Zur Identifizierung nutzt die App eine ID, die sie beim ersten Start erstellt.

Seit September 2017 ist über die Android- und iOS-App auch verschlüsselte Internet-Telefonie möglich. Auch die Telefonie läuft über die Threema-ID und kommt ohne die Telefonnummer der NutzerInnen aus. Die Telefonie-Funktion lässt sich auf Wunsch komplett deaktivieren.

Signal

Die beiden Entwickler Moxie Marlinspike und Stuart Andersen arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation – und sie haben mit Edward Snowden einen wichtigen Fürsprecher. Anfang 2015 haben sie eine neue Version ihrer Android-App TextSecure und der dazu passenden iOS-Variante Signal vorgestellt. Da der Namensunterschied viele Nutzer verwirrte, wurde die App im November 2015 einheitlich zu Signal umbenannt. Die Entwicklung erfolgt im Rahmen der Organisation „Open Whisper Systems“ (nicht zu verwechseln mit der Twitter-Tochter Whisper-Systems), die sich aus Spenden und Förderungen finanziert. Das Verschlüsselungsprotokoll von Signal gilt als „Goldstandard“ in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.

Signal ist im Google Play-Store und in Apples App-Store erhältlich. Ab Version 3.30.0 (veröffentlicht am 28.02.2017) kann Signal auch ohne Google-Play-Dienste genutzt werden, standardmäßig sind sie allerdings aktiviert. Bis dahin funktionierte die App nicht ohne die Play-Dienste, was viele NutzerInnen heftig kritisierten. Seit März 2017 steht die App auch als .apk-Datei auf der Open-Whisper-Webseite zur Verfügung.

Beim ersten Start muss man sich mit seiner Handynummer anmelden, man kann den Dienst nicht ohne SIM-Karte nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere NutzerInnen zu finden, und während der Nutzung, um Kontakte zu verwalten. Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.

Mit der App lassen sich Nachrichten verschicken, aber auch verschlüsselte Anrufe über die Internetverbindung des Mobiltelefons tätigen. Seit Version 3.29 unterstützt Signal auch Videotelefonie (Teststadium).

Die Nachrichten werden über die Server von Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden. Nutzerzahlen veröffentlicht Open Whisper Systems nicht.

Telegram

Pavel Durov ist der Mark Zuckerberg Russlands. Er hat das dort beliebte soziale Netzwerk Vkontakte aufgebaut. Die russischen Behörden hatten Durov jedoch 2014 ins Visier genommen, so dass er sich aus dem Unternehmen zurückziehen musste und Russland verlassen hat.

Mittlerweile kümmert sich Durov um seine neueste Entwicklung: Die Messenger-App Telegram, dessen Mutterunternehmen in Berlin sitzt. Laut eigenen Angaben hatte die App im Februar 2016 mehr als 100 Millionen Nutzer. Momentan finanziert Pavel Durov die Entwicklung aus seinem Vermögen, später soll das Projekt durch Spenden oder kostenpflichtige Zusatzfunktionen finanziert werden.

Die App verschlüsselt die Chats standardmäßig aber nur Nutzer-zu-Server und speichert sie in der hauseigenen Cloud. Telegram selber könnte diese Nachrichten entschlüsseln. Lediglich in der Variante „Geheimer Chat“ wird auf eine solche Speicherung verzichtet und die Unterhaltung Ende-zu-Ende verschlüsselt. Der Dienst benötigt Zugriff auf das Adressbuch, und lässt sich ohne diesen Zugriff nicht nutzen. Kontakte werden auf Telegrams Servern dauerhaft gespeichert. Wie Telegram mit sonstigen Metadaten verfährt (wer wann mit wem kommuniziert) ist nicht bekannt. Telegram gibt selber an, bislang keine Nutzerdaten an Behörden weitergegeben zu haben, da seine Server in vielen Ländern verteilt sind, und daher richterliche Beschlüsse mehrerer Länder vorliegen müssten.

Im Gegensatz zu den anderen hier vorgestellten Messengern kann Telegram auch über den alternativen App-Store F-Droid bezogen werden. Für die Nutzung ist ein Google- oder Apple-Konto nicht erforderlich. Die Registrierung erfolgt über die SIM-Karte des Benutzers.

WhatsApp

Mit WhatsApp kann man Textnachrichten, Photos, Videos und Dateien über das Internet versenden. Inzwischen bietet die App auch eine Anruf-Funktion.

Der Dienst zählt weltweit etwa 1,3 Millarden Nutzer pro Monat (Stand Juli 2017). Der Betreiber und Hersteller, WhatsApp Inc., wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook Gruppe. Firmensitz ist in Kalifornien, USA.

Die App ist auch unter Jugendlichen sehr beliebt. In der JIM-Studie 2016 gaben über 90 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört. WhatsApp darf laut eigener AGB aber erst ab 16 Jahren genutzt werden.

Seit April 2016 versendet WhatsApp alle Nachrichten standardmäßig Ende-zu-Ende-verschlüsselt.

WhatsApp-Backups auf Google Drive, iCloud und lokal auf dem Gerät sind zwar ebenfalls verschlüsselt, aber nicht Ende-zu-Ende. Es gibt den bergründeten Verdacht, dass die Schlüssel zu diesen Backups auf den Servern von WhatsApp liegen. Aufgrund der Gesetzeslage in den USA können US-Amerikanische Behörden WhatsApp in dem Fall zur Herausgabe der Schlüssel zwingen, ohne dass Nutzer davon etwas erfahren.

Metadaten, also wer wann mit wem kommuniziert, sammelt WhatsApp weiterhin. Zudem fragt die App das Adressbuch ab.

Ende August 2016 verkündete WhatsApp, Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook zu teilen. Ob dieser Schritt rechtswidrig ist, wird derzeit vor Gericht verhandelt.