Ratgeber

Verschlüsselte Messenger: Threema, Signal, Telegram, WhatsApp

whatsapp-alternativen
Foto: Christoph Löffler, CC by 2.0

Seit den Enthüllungen von Edward Snowden gibt es immer mehr Messenger-Apps, die verschlüsselte Kommunikation anbieten und dabei einfach und komfortabel sind. Wir haben die beliebtesten Apps getestet und erklären ihre Vor- und Nachteile.

Aktualisiert am
Autor
Schlagworte
App-Tipps · Internettelefonie · Messenger · Signal · Telegram · Threema · Verschlüsselung · WhatsApp
Drucken

Veröffentlicht am

Auf einen Blick

Mit Messenger-Apps lassen sich Textnachrichten, Bilder, Videos und sogar Dateianhänge über das Internet verschicken. Bei den meisten Apps sind auch Gruppenchats möglich. Messenger unterscheiden sich damit von der SMS-Funktion, bei der Text- oder Bildnachrichten über das Mobilfunknetz geschickt werden.

Lange Zeit verschickten Messenger-Apps Nachrichten weitgehend ungesichert über das Internet. Dritte konnten sehr einfach mithören oder mitlesen. Erst seit den Enthüllungen von Edward Snowden begannen die Anbieter nach und nach, Verschlüsselungsverfahren einzuführen. Am sichersten ist es dabei, wenn die Nachricht direkt vom Absendergerät verschlüsselt wird und zwar so, dass nur das Empfängergerät sie wieder entschlüsseln kann.

Dieses System nennen Experten „Ende-zu-Ende-Verschlüsselung“. Inzwischen gibt es viele Messenger-Apps mit Ende-zu-Ende-Verschlüsselung. Jede davon hat ihre Besonderheiten, ihre Vor- und Nachteile. Die beliebtesten stellen wir hier vor.

Threema

Threema ist eine Entwicklung der Schweizer Firma „Threema GmbH“ und kam 2012 auf den Markt. Ihre Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen NutzerInnen (Stand Januar 2018, Eigenabgaben des Unternehmens). Die App ist kostenpflichtig.

Threema fragt beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere NutzerInnen zu finden. Es wird anonymisiert (gehasht) abgeglichen und anschließend wieder gelöscht. Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Android-NutzerInnen können Threema direkt auf der Threema-Webseite kaufen. Die App nutzt standardmäßig „Google Play-Dienste“, man kann diese Funktion aber ausschalten. Bei Threema kann man sich anonym, ohne Telefonnummer oder E-Mail-Adresse anmelden. Zur Identifizierung nutzt die App eine ID, die sie beim ersten Start erstellt.

Seit September 2017 ist über die Android- und iOS-App auch verschlüsselte Internet-Telefonie möglich. Auch die Telefonie läuft über die Threema-ID und kommt ohne die Telefonnummer der NutzerInnen aus. Die Telefonie-Funktion lässt sich auf Wunsch komplett deaktivieren.

Positiv:

  • Versionen für Android, iOS, Windows Phone, Desktop
  • Standardmäßige Ende-zu-Ende-Verschlüsselung
  • Anonyme Anmeldung möglich, keine SIM-Karte nötig
  • Speichert Nachrichten maximal 14 Tage
  • Speichert keine Metadaten und Kontakte
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Gruppenchats
  • Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)
  • Keine Werbung

Besonderheiten:

  • Wer Sprachnachrichten verschicken möchte, muss eine Erweiterungsapp installieren
  • App und Chat lassen sich mit extra Passwort sichern
  • Umfrage-Funktion
  • Verschlüsselte Anrufe möglch

Negativ:

  • Quellcode nicht frei zugänglich. Dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.
  • Kostenpflichtig
  • Abgleich der Kontakte standardmäßig aktiviert.

Signal

Die beiden Entwickler Moxie Marlinspike und Stuart Andersen arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation – und sie haben mit Edward Snowden einen wichtigen Fürsprecher. Anfang 2015 haben sie eine neue Version ihrer Android-App TextSecure und der dazu passenden iOS-Variante Signal vorgestellt. Da der Namensunterschied viele Nutzer verwirrte, wurde die App im November 2015 einheitlich zu Signal umbenannt. Die Entwicklung erfolgt im Rahmen der Organisation „Open Whisper Systems“ (nicht zu verwechseln mit der Twitter-Tochter Whisper-Systems), die sich aus Spenden und Förderungen finanziert. Das Verschlüsselungsprotokoll von Signal gilt als „Goldstandard“ in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.

Signal ist im Google Play-Store und in Apples App-Store erhältlich. Ab Version 3.30.0 (veröffentlicht am 28.02.2017) kann Signal auch ohne Google-Play-Dienste genutzt werden, standardmäßig sind sie allerdings aktiviert. Bis dahin funktionierte die App nicht ohne die Play-Dienste, was viele NutzerInnen heftig kritisierten. Seit März 2017 steht die App auch als .apk-Datei auf der Open-Whisper-Webseite zur Verfügung.

Beim ersten Start muss man sich mit seiner Handynummer anmelden, man kann den Dienst nicht ohne SIM-Karte nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere NutzerInnen zu finden, und während der Nutzung, um Kontakte zu verwalten. Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.

Mit der App lassen sich Nachrichten verschicken, aber auch verschlüsselte Anrufe über die Internetverbindung des Mobiltelefons tätigen. Seit Version 3.29 unterstützt Signal auch Videotelefonie (Teststadium). Der Messenger bietet seit 2017 auch eine Desktop-Version für den PC an.

Die Nachrichten werden über die Server von Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden. Nutzerzahlen veröffentlicht Open Whisper Systems nicht.

Positiv:

  • Versionen für iOS, Android, Desktop (nur in Verbindung mit Smartphone)
  • Standardmäßige Ende-zu-Ende-Verschlüsselung
  • Offener Quellcode
  • Gruppenchats
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Speichert keine Metadaten und Kontakte
  • Speichert keine Nachrichten
  • Kostenlos
  • Keine Werbung
  • Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)

Besonderheiten:

  • Verschlüsselte Anrufe möglich
  • Videotelefonie (Testphase)
  • Auto-Zerstörungs-Timer für Nachrichten (Zeitraum zwischen fünf Sekunden und einer Woche möglich)

Negativ:

  • Benötigt Zugriff auf Adressbuch
  • SIM-Karte für Nutzung nötig

Telegram

Pavel Durov ist der Mark Zuckerberg Russlands. Er hat das dort beliebte soziale Netzwerk VKontakte aufgebaut. Die russischen Behörden hatten Durov jedoch 2014 ins Visier genommen, so dass er sich aus dem Unternehmen zurückziehen musste und Russland verlassen hat.

Mittlerweile kümmert sich Durov um seine neueste Entwicklung: Die Messenger-App Telegram, dessen Entwicklungsteam nach mehrere Ortswechseln zur Zeit in Dubai sitzt. Laut Firmeninformation hatte die App im März 2018 mehr als 200 Millionen Nutzer. Momentan finanziert Pavel Durov die Entwicklung aus seinem Vermögen. Das zur Verfügung gestellte Geld reicht nach Eigenangaben aus, den Messenger auch längerfristig kostenlos anzubieten. Wenn das Geld ausgehe, werde man anbieten, dass Nutzer für „nicht notwendige Extrafunktionen“ Geld bezahlen. Werbung und einen Verkauf von Daten würde es nie geben.

Ein großes Manko hat Telegram in puncto Verschlüsselungspraxis: Die App verschlüsselt die Chats standardmäßig nur Nutzer-zu-Server und speichert sie in der hauseigenen Cloud. Telegram selbst könnte diese Nachrichten entschlüsseln. Lediglich in der Zweierkommunikations-Variante „Geheimer Chat“ wird auf eine solche Speicherung verzichtet und die Unterhaltung Ende-zu-Ende verschlüsselt. Gruppenchats lassen sich gar nicht Ende-zu-Ende verschlüsseln.

Der Dienst bittet um Zugriff auf das Adressbuch, Ihre Kontakte werden dann auf Telegrams Servern gespeichert. Zumindest auf Android lässt sich Telegram allerdings ohne diesen Zugriff nutzen. Auf Android-Geräten bittet die App Sie am Anfang um den Zugriff auf die Kontakte. Statt auf „Weiter“ klicken Sie einfach auf „Jetzt Nicht“. Störend: Die App macht diese Abfrage jedes Mal, wenn Sie einen neuen Kontakt hinzufügen wollen.

Anders sieht es bei iOS aus. Im Test von Mobilsicher auf einem iPhone war es zwar möglich, ohne genehmigten Kontaktezugriff Nachrichten von einem anderen Telegram-Nutzer zu empfangen und weiter zu kommunizieren. Es war aber nicht möglich, selbst eine Nummer hinzuzufügen und eine Kommunikation zu initiieren.

Wie Telegram mit Metadaten verfährt, das heißt, wer wann mit wem kommuniziert, ist nicht bekannt. Telegram gibt an, bislang keine Nutzerdaten an Behörden weitergegeben zu haben, da seine Server in vielen Ländern verteilt sind und daher richterliche Beschlüsse mehrerer Länder vorliegen müssten.

Telegram hat die Software seiner App über ein Open-Source-Modell veröffentlicht. Das heißt, dass externe Entwickler die Sofware einsehen, überprüfen und für eigene Programme verwenden können. Im Gegensatz zu den anderen hier vorgestellten Messengern kann Telegram deswegen auch über den alternativen App-Store F-Droid bezogen werden.

Die Entwickler von F-Droid haben die App leicht variiert und verschiedene Nicht-Open-Source-Bausteine entfernt, beispielsweise die ortsbasierten Dienste von Google Play Services und die Push-Benachrichtigungen durch den Dienst Google Cloud Messaging. Das macht vor allem für Nutzer von alternativen Android-Betriebssystemen Sinn, denen es darum geht, möglichst alle Datenflüsse an Google zu kappen. Das Fehlen solcher Dienste kann allerdings zu Lasten der Bequemlichkeit gehen. Der Google-eigene Push-Dienst sorgt dafür, dass Nutzer eine Benachrichtigung erhalten, wenn eine Messenger-Nachricht auf dem Handy angekommen ist.

Für die Nutzung ist ein Google- oder Apple-Konto nicht erforderlich. Die Registrierung erfolgt über die SIM-Karte des Nutzers.

Telegram X ist eine von Telegram selbst angebotene Konkurrenz-App. Laut Eigenwerbung ist sie schneller als das klassische Telegram, bietet buntere Animationen und verschiedene experimentelle Funktionen. Die nur auf englisch verfügbare App dient dem Telegram-Unternehmen auch als Testballon für neue Funktionen, die man dann später möglicherweise in die „normale“ Telegram-App übernimmt.

Positiv:

  • Versionen für Android, iOS, Windows Phone
  • Version auch für Desktop-Nutzung (zur Einrichtung müssen Sie einmalig eine Handynummer angeben, an die Telegram einen SMS-Code schickt)
  • Offener Quellcode (nur App, nicht Serverinfrastruktur)
  • F-Droid-Version, die Google-Dienste ausschließt
  • Gruppenchats
  • Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
  • Kein Google- oder Apple-Konto nötig
  • Kostenlos
  • Keine Werbung

Besonderheiten:

  • Auto-Zerstörungs-Timer für verschlüsselte Nachrichten
  • Zeigt standardmäßig an, ob Nutzer in Kontaktliste online sind
  • App lässt sich durch Pin oder Fingerabdruck extra sichern
  • Verschlüsselte Telefonie ab Version 3.18 (März 2017)

Negativ:

  • Chats sind standardmäßig nicht Ende-zu-Ende verschlüsselt.
  • Verschlüsselte Chats („Geheime Chats“) müssen eigens eingerichtet werden und der Schlüssel muss mit dem Gesprächspartner abgeglichen werden
  • Gruppenchats lassen sich gar nicht verschlüsseln
  • SIM-Karte für Nutzung nötig
  • Benötigt bei iOS Zugriff auf Adressbuch
  • Speichert bei erteiltem Zugriff auf Adressbuch die eigenen Kontakte
  • keine Angaben zu Speicherung von Metadaten

WhatsApp

Mit WhatsApp kann man Textnachrichten, Photos, Videos und Dateien über das Internet versenden. Inzwischen bietet die App auch eine Anruf-Funktion.

Der Dienst zählt weltweit etwa 1,3 Millarden Nutzer pro Monat (Stand Juli 2017). Der Betreiber und Hersteller, WhatsApp Inc., wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook Gruppe. Firmensitz ist in Kalifornien, USA.

Die App ist auch unter Jugendlichen sehr beliebt. In der JIM-Studie 2016 gaben über 90 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört. WhatsApp darf laut eigener AGB aber erst ab 16 Jahren genutzt werden.

Seit April 2016 versendet WhatsApp alle Nachrichten standardmäßig Ende-zu-Ende-verschlüsselt.

WhatsApp-Backups auf Google Drive, iCloud und lokal auf dem Gerät sind zwar ebenfalls verschlüsselt, aber nicht Ende-zu-Ende. Es gibt den bergründeten Verdacht, dass die Schlüssel zu diesen Backups auf den Servern von WhatsApp liegen. Aufgrund der Gesetzeslage in den USA können US-Amerikanische Behörden WhatsApp in dem Fall zur Herausgabe der Schlüssel zwingen, ohne dass Nutzer davon etwas erfahren.

Metadaten, also wer wann mit wem kommuniziert, sammelt WhatsApp weiterhin. Zudem fragt die App das Adressbuch ab.

Ende August 2016 verkündete WhatsApp, Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook zu teilen. Ob dieser Schritt rechtswidrig ist, wird seitdem vor Gericht verhandelt. Aktueller Stand (Juni 2018) ist, dass WhatsApp und Facebook Daten teilen.

Seit Anfang 2018 gibt es mit WhatsApp Business eine spezielle Version für Unternehmen. Die App ist allerdings nur für Android verfügbar.

Positiv:

  • Versionen für Android, iOS, Windows Phone, Desktop (nur in Verbindung mit Smartphone)
  • Gruppenchats
  • Standardmäßig Ende-zu-Ende-Verschlüsselung
  • Versendet jedes Dateiformat
  • Kostenlos

Besonderheiten:

  • Verschlüsselte Anrufe
  • Videotelefonie

Negativ:

  • Nicht Open Source
  • Nur mit Google- oder Applekonto nutzbar
  • Metadaten werden gesammelt, analysiert und mit anderen Unternehmen des Facebook-Konzerns ausgetauscht
  • Speichert Kontakte
  • Nutzung nur mit SIM-Karte
  • Erlaubt Marketing von Unternehmen
  • Unverschlüsseltes Backup via Google Drive

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!