Mobile Messenger: Wie sicher sind WhatsApp, Threema &. Co?

Das Thema Sicherheit wird bei mobilen Messengern wie WhatsApp immer wichtiger. Dabei kommt es aber nicht nur auf eine gute Ende-zu-Ende-Verschlüsselung an. Auch Privatsphäre, Serversicherheit und Datensparsamkeit fallen ins Gewicht. Wir haben uns angeschaut, mit welchen Sicherheitsfeatures die beliebtesten Messenger hier arbeiten.

WhatsApp: Verschlüsselt aber neugierig

Der wohl bekannteste Messenger WhatsApp setzt seit April 2016 standardmässig eine Ende-zu-Ende-Verschlüsselung ein. Hierbei kommt das gleiche Protokoll wie beim Vorbild Signal zum Einsatz. WhatsApp setzt ausserdem eine Client-to-Server-Verschlüsselung ein, verwendet hier aber eine Eigenentwicklung, keinen offenen Standard. Kritisiert wird, dass WhatsApp standardmässig das Telefonbuch eines Nutzers ausliest und diese Daten sichert. Andere Messenger wie Threema nutzen den Adressbuch-Zugriff nur auf Wunsch des Nutzers. Dabei werden Hashwerte abgeglichen, ohne die Daten dauerhaft zu speichern. Sobald eine Nachricht in WhattsApp gelesen wird, kommen andere Schlüssel zum Einsatz, auf die US-Behörden im Prinzip Zugriff erwirken können.

Facebook Messenger: Sicherheit nur auf Knopfdruck

Der Facebook Messenger fragt zwar gerne und oft nach der Handynummer eines Nutzers, der Dienst lässt sich löblicherweise allerdings auch ohne Angabe einer solchen benutzen. Davon abgesehen speichert der Messenger viele Meta-Daten, also wer wann wo mit wem kommuniziert. Immerhin bietet der Messenger eine Ende-zu-Ende-Verschlüsselung auf Basis des Signal-Protokolls an. Allerdings ist die Verschlüsselung nicht standardmässig aktiviert, sondern muss von Sender und Empfänger erst händisch eingeschaltet werden.

Telegram: Der Rebell, der standardmässig nicht Ende-zu-Ende-verschlüsselt

Telegram ist ein Messenger aus der Schmiede des russischen Internetgurus Pavel Durov. Der Dienst bietet eine eigenentwickelte Client-Server- und eine Ende-zu-Ende-Verschlüsselung an. Letztere ist allerdings nicht standardmässig aktiviert. Telegram gilt als eher neugierig beim Mitschneiden von Metadaten. Zudem muss für die Registrierung eine Mobilfunknummer angegeben werden. Chatprotokolle werden auf Telegrams Servern gespeichert. Das Auslesen des Adressbuchs ist dafür optional, eine Mobilfunknummer für Kontakte muss jedoch nicht angegeben werden. Telegram hat sich in der Szene einen Ruf als Rebell erarbeitet, da Durov sich weigert, staatlichen Stellen Zugriff zu Chatprotokollen zu gewähren. Zu Gute kommt ihm dabei die Taktik, die Server für Telegram in mehreren Ländern aufzustellen. Für die Herausgabe einzelner Daten wären dann jedes Mal richterliche Beschlüsse aus mehreren Ländern gleichzeitig nötig.

Signal: Berühmteste Verschlüsselung

Signals Ende-zu-Ende-Verschlüsselung gilt als die beste unter der Sonne. Dass der Protagonist in der Hacker-Serie «Mr. Robot» für eine sichere Kommunikation Signal benutzt, machte den Messenger zusätzlich populär. Signal verschlüsselt Client-Server-seitig mit TLS/SSL. Nachrichten und Metadaten werden nicht auf dem Server gespeichert. Frei von Kritik ist aber auch Signal nicht. Die ehemals als TextSecure bekannte App verlangt einen Zugriff auf das Adressbuch des Nutzers, auch wenn dort nur die Hashes abgegriffen werden. Aber auch die Nutzung zusammen mit einer gültigen SIM-Karte wird verlangt.

SimsMe: DSGVO-konformer Datenschutz

Die Deutsche Post setzte ihre «über 500 Jahre Erfahrung in der Übermittlung von Nachrichten» ein, um 2014 den Messenger SimsMe zu starten. Der ist mittlerweile in einer privaten und einer Business-Version verfügbar. Beiden gemein ist die Ende-zu-Ende-Verschlüsselung und der DSGVO-konforme Datenschutz. Die Server stehen nach Post-Angaben nur in Deutschland. Nachrichten lassen sich zusätzlich schützen, indem sie sich dem Empfänger nur nach Entsperrung mit dem Fingerabdrucksensor offenbaren. Ähnlich wie Threema bietet SimsMe eine direkte Kontaktentsperrung mit Hilfe von QR-Codes an, die das Gegenüber vom Smartphone des Anderen abscannen muss.

Wire: Heimlicher Branchenprimus

Auch der in Zug in der Schweiz ansässige Messenger Wire verschlüsselt seit einiger Zeit alle Nachrichten standardmässig von Ende zu Ende. Wire möchte das Adressbuch des Nutzers gerne abgleichen und verwendet davon die Hashes. Dieser Schritt kann jedoch übersprungen werden. Wire lässt sich ohne SIM-Karte oder die Angabe einer Mobilfunknummer verwenden, dann muss jedoch per E-Mail ein Konto angelegt werden. Weil Wire ausserdem die weiteren Sicherheitsstufen Authentifizierung, Abstreitbarkeit und Folgenlosigkeit (Perfect Forward Secrecy) einbaut, gilt der Messenger zunehmend als sichere Alternative. Wire nutzt ausserdem offene Protokolle und wirbt mit einem Unternehmenssitz in Europa und den hier strengeren Datenschutzrichtlinien als in den USA.

Threema: Viel Wert auf Anonymität

Threema mit Sitz in Pfäffikon im Kanton Schwyz ist im deutschsprachigen Raum mittlerweile recht bekannt und beliebt. Der Messenger setzte sehr früh auf eine Ende-zu-Ende-Verschlüsselung und wird allgemein für seine Datensparsamkeit gelobt. Wie Threema selbst auf der eigenen Website schreibt, ist der Dienst so konzipiert, “dass keine Datenspur entsteht. Gruppen und Kontaktlisten werden auf Ihrem Gerät verwaltet, nicht auf dem Server. Nachrichten werden sofort nach Zustellung gelöscht. So entstehen möglichst keine Metadaten.”

Threema kann auf Wunsch auch völlig anonym, also weder mit E-Mail-Adresse noch mit Mobilfunknummer verwendet werden. Kontakte können darüber hinaus mit Eingabe einer Nummer oder eines QR-Codes direkt zwischen zwei Geräten verifiziert werden. Die einzige Kritik an Threema: Der Quellcode der App ist nur teilweise offengelegt, wie z.B. die verwendeten Crypto-Bibliotheken.

Anders als die anderen hier genannten Messenger kostet Threema ausserdem einmalig eine kleine Gebühr im Apple AppStore oder auf Google Play. Alternativ steht die App übrigens auch direkt auf der eigenen Website zum Download bereit.