Messenger im Vergleich 2018

May 4, 2018

9 von 10 Internetnutzer ist Datenschutz ein wichtiges Kriterium bei der Auswahl der App.

Was ist heute bei einem mobilen Messenger wichtig?

• Ende-zu-Ende verschlüsselt Nachrichten.
• Nachrichten auf dem Smartphone sind mit zusatz Passwort verschlüsselt.
• Metadaten auf den Servern: so viel wie nötig und so wenig wie möglich.
• Die App- und Server sind zu 100% Freie (Opensource) Software.

Wie wichtig ist der Standort der Server?

Je weniger Metadaten auf den Servern des Messenger-Anbieters gespeichert sind, desto weniger spielt der Standort eine Rolle.
Es ist aber auf jeden Fall ein Vorteil, wenn sich die Server in Europa oder besser in der Schweiz befinden.

Metadaten verraten Ihnen absolut alles über das Leben einer Person. Wenn Sie genug Metadaten haben, brauchen Sie den Inhalt nicht wirklich.

(Stewart Baker, früherer NSA General Counsel)

Weshalb sollte App/Server Opensource sein?

Ist der Quellcode eines Programms einsehbar, können Sie jederzeit prüfen, was genau es tut und wie es funktioniert.

Keine Nutzende mögen es, wenn Mechanismen wie Backdoors, die für politische oder wirtschaftliche Spionagezwecke verwendet werden, mit eingebaut sind.

Beispielsweise hat Microsoft als Anbieter nicht-quelloffener Software Probleme: Das Softwareunternehmen muss immer wiederkehrende Gerüchte über NSA-Hintertüren in ihren Betriebssystemen (Windwos) widerlegen, da eine Offenlegung des Quelltexts keine Option für Microsoft ist.

• Die Qualität von OpenSource-Software ist nachweisbar: Durch Offenlegung des Quellcodes entsteht ein sehr hoher Qualitätsdruck auf die Entwickler.
• OpenSource-Software ist sehr gut dokumentiert.

Vergleich von Secure Messaging-Anwendungen

WhatsApp

• Gerichtsstand und Server sind in den USA.
• Client- und Server sind nicht opensource (properitär).
• Metadaten/Nachrichten sind mit hoher Wahrscheinlichkeit via USA PATRIOT Act dennoch zugänglich. WhatsApp gehört inzwischen zum Facebook Konzern.
• Der Dienst lässt sich nicht anonym nutzen.

WhatsApp nutzt seit Anfang 2016 das sichere Signal-Protokoll (früher Axolotl-Protokoll), schützt aber die Daten der Nutzenden ungenügend. Weder in der App noch auf den Servern sind die Daten verschlüsselt.

Wire

• Gerichtsstand ist Schweiz
• Server sind in Deutschland und Irland.
• Nur der Client ist Opensource.
• Metadaten und Nachrichten sind verschlüsselt.
• Der Dienst lässt sich nicht anonym nutzen.

Wire nutzt das Proteus-Protokoll und ist eine leicht abgeänderte Implementierung des Signal-Protokolls. Aber Wire schützt die Metadaten in der App ungenügend und lässt sich nicht anonym nutzen.

Signal

• Gerichtsstand und Server sind in den USA.
• Client- und Server sind 100% Opensource.
• Metadaten/Nachrichten sind verschlüsselt.
• Der Dienst lässt sich nicht anonym nutzen.

Signal ist mit dem double ratchet Verfahren die sicherste Ende-zu-Ende Verschlüsselung. In jeder Nachricht ist eine Info enthalten, wie die nächste Nachricht von der Gegenstelle (mit einem anderen Schlüssel) verschlüsselt werden muss. Da zur Nutzung jedoch eine Mobilnummer erforderlich ist, lässt sich der Dienst nicht komplett anonym nutzen.

Threema

• Gerichtsstand und Server sind in der Schweiz.
• Client- Server sind nicht opensource. Nur die Bibliothek zur Verschlüsselung.
• Metadaten/Nachrichten sind verschlüsselt.
• Der Dienst lässt komplett anonym nutzen.

Threema bietet sehr guten Privatsphäre-Schutz. Der Dienst lässt sich komplett anonym nutzen. Die App kann auf der Website mit Bitcoins bezahlt und ohne Google Play Dienste genutzt werden. Einzig grosses Manko: Nur die Verschlüsselungs Bibliothek ist Opensource. Die App und Server Programme sind proprietär.

Conversations (Jabber)

• Standort der Server: Frei wählbar
• Gerichtstand der Firma: Community / Opensource.
• Metadaten der App sind nicht verschlüsselt.
• Nachrichten sind (sofern vom Server unterstützt) verschlüsselt.
• Ende zu Ende Verschlüsselung mit Plugin.
• Der Dienst lässt komplett anonym nutzen.

Conversations ist ein stabiler und robuster Android Jabber-Client. Er bietet als einer der wenigen Jabber basierten Clients Ende-zu-Ende Verschlüsselung mit PGP oder dem OMEMO-Protokoll an. Nachteil: Bei Jabber muss man jeweils selbst einen Heimat-Jabber-Server auswählen. Das macht den Einstieg ein wenig holprig.

Briar

• Standort der Server: Keine Server infrastruktur notwendig
• Gerichtstand der Firma: Community / Opensource / keine Server.
• Metadaten- und Nachrichten sind verschlüsselt.
• Ende zu Ende Verschlüsselung ist immer eingeschaltet und kann nicht deaktiviert werden.
• Der Dienst lässt komplett anonym nutzen.

Briar nutzt das Bramble Transport Protocol und ist eines der am erfolgsversprechendsten Projekte, die ich bisher gesehen habe. Der Messenger funktioniert komplett ohne zentrale Server. Briar verbindet sich direkt zum Mobiltelefon des anderen Nutzeden. Dazu wird unter anderem das Tor-Netzwerk, WLAN oder Bluetooth verwendet. Die Nutzenden müssen sich beim ersten Mal persönlich treffen, da das hinzufügen der Kontakte nur mittels Bluetooth oder WLAN und scannen eines QR-Code geht.

Fazit

Mit ethischem Idealismus, in Bezug auf Privatsphäre, stellen die Machenden von Signal und Threema hervorragende Messenger zur Verfügung. Mit Briar gibt es jetzt die ideale Messaging-App für Aktivistinnen, investigative Journalisten und alle anderen, die 100% Messaging-Privatsphäre wollen.

Ein Blick in die Zukunft

Immer mehr Firmen sammeln persönliche Daten (Big Data) über Nutzende. Wie im Fazit erwähnt, gibt es nur wenige Messenger, die wirklich achtsam mit diesen sensiblen und persönlichen Daten umgehen.

Seit nun 10 Jahren beweist zum Beispiel die auf Blockchain basierende Kryptowährung Bitcoin, dass dezentrale Zero-Trust-Systeme mehr Sicherheit bieten, als wenn man seine Daten einem einzelnen Konzern anvertraut.

Ich persönlich glaube, dass im Bereich Instant Messenger oder Kalender- und Kontakte-Synchronisation vermehrt auf dezentrale Systeme umgestellt wird.

Mit dem Briar Messenger ist bereits ein sehr gutes Projekt auf dem Weg. Weg von zentralen Serversystemen, hin zu dezentralen Messaging Plattformen.

Die Digitale Revolution: Messenger Apps arbeiten im Internet Peer-to-Peer und nutzen Ende-zu-Ende Verschlüsselung. Zentrale Server wird es für Messenger nicht mehr brauchen. Auf diese Weise ist das Daten sammeln der Konzerne so nicht mehr möglich.

Einzelnachweise

1. www.securemessagingapps.com
2. Threema - source code
3. Signal - source code
4. Wire - Proteus-Protokoll
5. Threema Cryptography Whitepaper.pdf
6. WhatsApp Security Whitepaper.pdf
7. Wire Security Whitepaper.pdf
8. WhatsApp’s Signal Protocol integration is now complete
9. Der Threema-Unterschied
10. wiki.opensourceecology.de: Vorteile/Nachteile von Open Source Software
11. heise.de: Ist Open Source Software wirklich sicherer?
12. wikipedia.org: Open_Source #Vorteile_der_Nutzung
13. wikipedia.org: Signal-Protokoll#Funktion
14. Signal-Protokoll Spezifikation
15. Conversations (Jabber)
16. Tracking the progress of OMEMO integration in XMPP/Jabber clients
17. Wikipedia: OMEMO
18. heise.de: Internetnutzern ist der Datenschutz bei Messengern wichtig
19. Briar - Download via F-Droid und Google Play Store
20. Briar - wie es funktioniert
21. Briar - source code
22. Briar - wiki
23. Briar - A Quick Overview of the Protocol Stack

Last update 4. Mai 2018 by maba.