Ratgeber

Verschlüsselte Messenger: Threema, Signal, Telegram, WhatsApp

PGP-Verschlüsseln
Foto: Christoph Löffler, CC by 2.0

Seit den Enthüllungen von Edward Snowden gibt es immer mehr Messenger-Apps, die verschlüsselte Kommunikation anbieten und dabei einfach und komfortabel sind. Wir haben die beliebtesten Apps getestet und erklären ihre Vor- und Nachteile.

Aktualisiert am
Veröffentlicht am
Autor
Schlagworte
Ende-zu-Ende-Verschlüsselung · Internettelefonie · Messenger · Signal · Telegram · Threema · Verschlüsselung · WhatsApp
Drucken

Aktualisiert am

Auf einen Blick

  • Threema: Schweizer Qualitätsprodukt – hier zahlt der Kunde noch selbst.
  • Signal: Die Mutter aller Krypto-Messenger aus den USA.
  • Telegram: Newcomer aus Russland. Beeindruckende Nutzerzahl, doch unter Experten umstritten.
  • WhatsApp: Der Standard aus dem Hause Facebook – jetzt auch mit Verschlüsselung.
  • Wire, Hoccer und Kontalk stellen wir im zweiten Teil dieses Textes vor.

Mit Messenger-Apps lassen sich Textnachrichten, Bilder, Videos und sogar Dateianhänge über das Internet verschicken. Bei den meisten Apps sind auch Gruppenchats möglich. Messenger unterscheiden sich damit von der SMS-Funktion, bei der Text- oder Bildnachrichten über das Mobilfunknetz geschickt werden.

Lange Zeit verschickten Messenger-Apps Nachrichten weitgehend ungesichert über das Internet. Dritte konnten sehr einfach mithören oder mitlesen. Erst seit den Enthüllungen von Edward Snowden begannen die Anbieter nach und nach, Verschlüsselungsverfahren einzuführen. Am sichersten ist es dabei, wenn die Nachricht direkt vom Absendergerät verschlüsselt wird und zwar so, dass nur das Empfängergerät sie wieder entschlüsseln kann.

Dieses System nennen Experten „Ende-zu-Ende-Verschlüsselung“. Inzwischen gibt es viele Messenger-Apps mit Ende-zu-Ende-Verschlüsselung. Jede davon hat ihre Besonderheiten, ihre Vor- und Nachteile. Die beliebtesten stellen wir hier vor.

Threema

Threema ist eine Entwicklung der Schweizer Firma „Threema GmbH“ und kam 2012 auf den Markt. Ihre Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen NutzerInnen (Stand März 2017), das teilte die Firma auf Anfrage von mobilsicher.de mit. Die App ist kostenpflichtig.

Threema fragt beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere NutzerInnen zu finden. Es wird anonymisiert (gehasht) abgeglichen und anschließend wieder gelöscht. Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Android-NutzerInnen können Threema direkt auf der Threema-Webseite kaufen. Die App nutzt standardmäßig „Google Play-Dienste“, man kann diese Funktion aber ausschalten. Bei Threema kann man sich anonym, ohne Telefonnummer oder E-Mail-Adresse anmelden. Zur Identifizierung nutzt die App eine ID, die sie beim ersten Start erstellt.

Positiv:

  • Versionen für Android, iOS, Windows Phone, Desktop
  • Standardmäßige Ende-zu-Ende-Verschlüsselung
  • Anonyme Anmeldung möglich, keine SIM-Karte nötig
  • Speichert Nachrichten maximal 14 Tage
  • Speichert keine Metadaten und Kontakte
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Gruppenchats
  • Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)
  • Keine Werbung

Besonderheiten:

  • Wer Sprachnachrichten verschicken möchte, muss eine Erweiterungsapp installieren
  • App und Chat lassen sich mit extra Passwort sichern
  • Umfrage-Funktion

Negativ:

  • Quellcode nicht frei zugänglich. Dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.
  • Kostenpflichtig

Signal

Die beiden Entwickler Moxie Marlinspike und Stuart Andersen arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation – und sie haben mit Edward Snowden einen wichtigen Fürsprecher. Anfang 2015 haben sie eine neue Version ihrer Android-App TextSecure und der dazu passenden iOS-Variante Signal vorgestellt. Da der Namensunterschied viele Nutzer verwirrte, wurde die App im November 2015 einheitlich zu Signal umbenannt. Die Entwicklung erfolgt im Rahmen der Organisation „Open Whisper Systems“ (nicht zu verwechseln mit der Twitter-Tochter Whisper-Systems), die sich aus Spenden und Förderungen finanziert. Das Verschlüsselungsprotokoll von Signal gilt als „Goldstandard“ in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.

Signal ist im Google Play-Store und in Apples App-Store erhältlich. Ab Version 3.30.0 (veröffentlicht am 28.02.2017) kann Signal auch ohne Google-Play-Dienste genutzt werden, standardmäßig sind sie allerdings aktiviert. Bis dahin funktionierte die App nicht ohne die Play-Dienste, was viele NutzerInnen heftig kritisierten. Seit März 2017 steht die App auch als .apk-Datei auf der Open-Whisper-Webseite zur Verfügung.

Beim ersten Start muss man sich mit seiner Handynummer anmelden, man kann den Dienst nicht ohne SIM-Karte nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere NutzerInnen zu finden, und während der Nutzung, um Kontakte zu verwalten. Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.

Mit der App lassen sich Nachrichten verschicken, aber auch verschlüsselte Anrufe über die Internetverbindung des Mobiltelefons tätigen. Seit Version 3.29 unterstützt Signal auch Videotelefonie (Teststadium).

Die Nachrichten werden über die Server von Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden. Nutzerzahlen veröffentlicht Open Whisper Systems nicht.

Positiv:

  • Versionen für iOS, Android, Desktop (nur in Verbindung mit Smartphone)
  • Standardmäßige Ende-zu-Ende-Verschlüsselung
  • Offener Quellcode
  • Gruppenchats
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Speichert keine Metadaten und Kontakte
  • Speichert keine Nachrichten
  • Kostenlos
  • Keine Werbung
  • Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)

Besonderheiten:

  • Verschlüsselte Anrufe möglich
  • Videotelefonie (Testphase)

Negativ:

  • Benötigt Zugriff auf Adressbuch
  • SIM-Karte für Nutzung nötig

Telegram

Pavel Durov ist der Mark Zuckerberg Russlands. Er hat das dort beliebte soziale Netzwerk Vkontakte aufgebaut. Die russischen Behörden hatten Durov jedoch 2014 ins Visier genommen, so dass er sich aus dem Unternehmen zurückziehen musste und Russland verlassen hat.

Mittlerweile kümmert sich Durov um seine neueste Entwicklung: Die Messenger-App Telegram, dessen Mutterunternehmen in Berlin sitzt. Laut eigenen Angaben hatte die App im Februar 2016 mehr als 100 Millionen Nutzer. Momentan finanziert Pavel Durov die Entwicklung aus seinem Vermögen, später soll das Projekt durch Spenden oder kostenpflichtige Zusatzfunktionen finanziert werden.

Die App verschlüsselt die Chats standardmäßig aber nur Nutzer-zu-Server und speichert sie in der hauseigenen Cloud. Telegram selber könnte diese Nachrichten entschlüsseln. Lediglich in der Variante „Geheimer Chat“ wird auf eine solche Speicherung verzichtet und die Unterhaltung Ende-zu-Ende verschlüsselt. Der Dienst benötigt Zugriff auf das Adressbuch, und lässt sich ohne diesen Zugriff nicht nutzen. Kontakte werden auf Telegrams Servern dauerhaft gespeichert. Wie Telegram mit sonstigen Metadaten verfährt (wer wann mit wem kommuniziert) ist nicht bekannt. Telegram gibt selber an, bislang keine Nutzerdaten an Behörden weitergegeben zu haben, da seine Server in vielen Ländern verteilt sind, und daher richterliche Beschlüsse mehrerer Länder vorliegen müssten.

Im Gegensatz zu den anderen hier vorgestellten Messengern kann Telegram auch über den alternativen App-Store F-Droid bezogen werden. Für die Nutzung ist ein Google- oder Apple-Konto nicht erforderlich. Die Registrierung erfolgt über die SIM-Karte des Benutzers.

Positiv:

  • Versionen für Android, iOS, Windows Phone, Desktop (nur in Verbindung mit Smartphone)
  • Offener Quellcode (nur App, nicht Serverinfrastruktur)
  • Gruppenchats
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Kein Google- oder Apple-Konto nötig
  • Kostenlos
  • Keine Werbung

Besonderheiten:

  • Auto-Zerstörungs-Timer für verschlüsselte Nachrichten
  • Zeigt standardmäßig an, ob Nutzer in Kontaktliste online sind
  • App lässt sich durch Pin oder Fingerabdruck extra sichern
  • Verschlüsselte Telefonie ab Version 3.18 (März 2017)

Negativ:

  • Chats sind standardmäßig nicht Ende-zu-Ende verschlüsselt.
  • Verschlüsselte Chats („Geheime Chats“) müssen eigens eingerichtet werden und der Schlüssel muss mit dem Gesprächspartner abgeglichen werden
  • SIM-Karte für Nutzung nötig
  • Benötigt Zugriff auf Adressbuch
  • Speichert Kontakte
  • keine Angaben zu Speicherung von Metadaten

WhatsApp

Mit WhatsApp kann man Textnachrichten, Photos, Videos und Dateien über das Internet versenden. Inzwischen bietet die App auch eine Anruf-Funktion.

Der Dienst zählt weltweit mehr als eine Milliarde Nutzer, davon rund 37 Millionen in Deutschland. (Stand 2017). Der Betreiber und Hersteller, WhatsApp Inc., wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook Gruppe. Firmensitz ist in Kalifornien, USA.

Die App ist auch unter Jugendlichen sehr beliebt. In der JIM-Studie 2016 gaben über 90 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört. WhatsApp darf laut eigener AGB aber erst ab 16 Jahren genutzt werden.

Seit April 2016 versendet WhatsApp alle Nachrichten standardmäßig Ende-zu-Ende-verschlüsselt. Wer allerdings die Backup-Funktion über Google-Drive nutzt, verschenkt diesen Schutz: Nachrichten werden dort unverschlüsselt abgelegt. Nachrichten, die auf iCloud gesichert werden, sind seit 2017 angeblich verschlüsselt.

Metadaten, also wer wann mit wem kommuniziert, sammelt WhatsApp weiterhin. Zudem fragt die App das Adressbuch ab.

Ende August 2016 verkündete WhatsApp, Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook zu teilen. Ob dieser Schritt rechtswidrig ist, wird derzeit vor Gericht verhandelt.

Positiv:

  • Versionen für Android, iOS, Windows Phone, Desktop (nur in Verbindung mit Smartphone)
  • Gruppenchats
  • Standardmäßig Ende-zu-Ende-Verschlüsselung
  • Versendet jedes Dateiformat
  • Kostenlos

Besonderheiten:

  • Verschlüsselte Anrufe
  • Videotelefonie

Negativ:

  • Nicht Open Source
  • Nur mit Google- oder Applekonto nutzbar
  • Metadaten werden gesammelt, analysiert und mit anderen Unternehmen des Facebook-Konzerns ausgetauscht
  • Speichert Kontakte
  • Nutzung nur mit SIM-Karte
  • Erlaubt Marketing von Unternehmen
  • Unverschlüsseltes Backup via Google Drive

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!