• 04. Oktober 2022
  • Lesezeit 26 Minuten

Die Welt wird immer digitaler, und Instant-Messaging-Apps sind zu einem festen Bestandteil unseres täglichen Lebens geworden. Wir wollen mit Freunden in Kontakt bleiben, auf Arbeitsangelegenheiten reagieren, Dateien austauschen und unsere Geschichten sofort teilen, egal wo wir gerade sind. Obwohl die Bequemlichkeit der Messenger unbestreitbar ist, machen sich immer mehr Menschen Sorgen um ihre Privatsphäre und suchen nach sichereren Alternativen, z. B. nach verschlüsselten Messaging-Apps.

Die meisten Instant-Messenger sind kostenlos, aber sind sie wirklich kostenlos? Tauschen wir unsere persönlichen Daten gegen den Komfort der Echtzeitkommunikation? Als Unternehmen für die Entwicklung mobiler Anwendungen und Entwickler von BAMM, einem Layer-3-Transportprotokoll mit Ende-zu-Ende-Verschlüsselung und Onion-Routing, wissen wir, was nötig ist, um die Kommunikation sicher zu machen.

Bleiben Sie dran, um herauszufinden, welche Messenger-Funktionen Sie gefährden könnten, welche Optionen für verschlüsselte Nachrichten am besten geeignet sind und wie Sie Ihren sicheren Messenger auswählen und einrichten.

Inhaltsverzeichnis

Wie Messenger Ihre Daten preisgeben

Der erste Schritt zum Schutz Ihrer Privatsphäre im Internet besteht darin, zu verstehen, welche Messenger-Funktionen Sie anfällig für Datenlecks machen. Hier sind die wichtigsten Punkte, die Sie bei der Verwendung eines Instant Messengers beachten sollten.

Zugriff auf Kontakte gewähren

Um mit dem Austausch von Nachrichten zu beginnen, muss man der Anwendung häufig die Erlaubnis erteilen, auf die Kontaktliste zuzugreifen – auf diese Weise werden alle Kontakte auf die Server der App hochgeladen. Dieser Vorgang wird als mobile Kontaktsuche bezeichnet und vereinfacht die Nutzung der App. Wenn die Server jedoch gehackt werden, erhalten Cyberkriminelle Zugang zu den sensiblen Daten. Selbst die Telefonnummern von Personen, die die App nicht nutzen, können betroffen sein, da sie in der Kontaktliste enthalten sind.

Das Naheliegendste, was Sie tun können, um das Leck zu verhindern, ist, der App keinen Zugriff auf Ihre Kontakte zu gewähren und die erforderlichen Nummern manuell einzugeben. Falls dies bei Ihrem Messenger nicht möglich ist, sollten Sie eine andere App herunterladen, die keinen Zugriff auf die Kontaktliste benötigt.

Ignorieren der Datenschutzeinstellungen

Ein weiterer häufiger Fehler, den Erstnutzer machen, ist das Ignorieren der Datenschutzeinstellungen. Die Standardeinstellungen sind nicht so datenschutzfreundlich, wie Sie vielleicht denken. Zunächst einmal ist selbst bei Messengern, die verschlüsselte Kommunikation anbieten, diese Funktion möglicherweise nicht standardmäßig aktiviert. Es ist also sinnvoll, sich über die App Ihrer Wahl zu informieren und die Einstellungen zu prüfen, um sicherzustellen, dass die Verschlüsselung aktiviert ist. Einige Messenger verschlüsseln nur Einzelchats, während andere auch Gruppenchats abdecken – dies sollten Sie überprüfen, bevor Sie eine Kommunikation beginnen.

Zweitens: Wenn Sie die Möglichkeit haben, die Zwei-Faktor-Authentifizierung zu aktivieren, sollten Sie dies unbedingt tun. Dieser Schritt ist eine zusätzliche Sicherheitsebene gegen böswillige Akteure, die möglicherweise bereits über einige persönliche Daten verfügen und versuchen, sich Zugang zu Ihrem Konto zu verschaffen.

Drittens: Identitätsdiebstahl ist einfacher, wenn die Nutzer ihre echten Daten angeben, z. B. Bilder, Vor- und Nachnamen, Geburtsdatum usw. Es ist besser, ein Pseudonym zu verwenden und Messenger in Betracht zu ziehen, die keine Telefonnummer oder E-Mail für die Registrierung verlangen.

Wenn Ihr Messenger eine Telefonnummer benötigt, stellen Sie sicher, dass Sie die Funktion „Benutzer über Telefonnummer suchen“ deaktivieren. In diesem Fall kann der Bösewicht Ihr Profil nicht so leicht finden, selbst wenn Ihre Telefonnummer in einem Daten-Dump im Dark Web auftaucht.

Hier finden Sie eine Checkliste für die sichere Nutzung von Instant Messengern:

Anonym
bleiben
  • Fiktive Daten für Ihr Profil verwenden
  • Verweigern Sie den Zugang zu Ihrer Geolocation
  • Verwenden Sie geheime Chats oder flüchtige Nachrichten für vertrauliche Informationen
  • Löschen Sie regelmäßig den Chatverlauf
Sicherheit auf
mehreren Ebenen
  • Zwei-Faktor-Authentifizierung verwenden
  • Aktivieren Sie die Passcode-Sperre
  • VPN verwenden
  • Vergewissern Sie sich, dass die Verschlüsselung eingeschaltet ist
  • Deaktivieren Sie automatische Dateidownloads
Informieren
Sie andere
  • Stellen Sie sicher, dass Ihre häufigsten Kontakte und Vertrauten dieselben Sicherheitskontrollen eingeführt haben
  • Bevor Sie auf einen von einem Freund gesendeten Link klicken, überprüfen Sie den Inhalt mit dem Freund
  • Denken Sie daran: Was ins Internet geht, bleibt dort
Das geringste
Recht ausüben
  • Sicherstellen, dass nur Kontakte Ihre Rufnummer sehen können
  • Sicherstellen, dass nur Kontakte Ihr Profilbild sehen können
  • Sicherstellen, dass nur Kontakte Sie anrufen und Ihnen Nachrichten senden können
  • Sicherstellen, dass nur Kontakte oder niemand Ihren Zeitstempel sehen kann
  • Sicherstellen, dass nur Kontakte Sie zu Gruppen und Kanälen hinzufügen können
Proaktiv sein
  • Lesen Sie Änderungen der Sicherheitsrichtlinien
  • Halten Sie Ihre App auf dem neuesten Stand
  • Fügen Sie niemals Fremde zu Ihrer Kontaktliste hinzu
  • Verwenden Sie die App nie in öffentlichen Wi-Fi-Netzwerken

Aktivieren der Link-Vorschau

Link-Vorschauen sind sehr praktisch, aber sie vermitteln den Nutzern ein falsches Gefühl von Vertrauen. Wir alle wissen, dass das Anklicken von Links dazu führen kann, dass Ihr Gerät mit Malware infiziert wird. Daher muss die Linkvorschau ein Ausweg sein – ein kurzer Ausschnitt aus dem Inhalt der Website ermöglicht es Ihnen, die Glaubwürdigkeit der Website schnell zu überprüfen, bevor Sie dem Link folgen.

Und wenn wir Ihnen sagen, dass Ihr Messenger den Link bereits geöffnet hat, um Ihnen die Vorschau zu zeigen? Es kommt darauf an, wie die Linkvorschau in Ihrer App implementiert ist. Normalerweise wird die Linkvorschau auf eine der beiden Arten realisiert:

  • Die Linkvorschau wird vom Absender generiert. Dieser Ansatz kann als sicher angesehen werden, da der Empfänger den Link nicht automatisch öffnet. Falls ein bösartiger Akteur einen bösartigen Link sendet, ist der Benutzer nicht betroffen, es sei denn, er entscheidet sich, auf den Link zu klicken.
  • Die Linkvorschau wird vom Empfänger erstellt. Dies ist der Punkt, an dem die Dinge sauer werden können. Erstens öffnet die empfangende App automatisch den Link, um die Vorschau zu generieren, so dass der Benutzer keine Kontrolle darüber hat. Zweitens muss die App, um die Daten zu empfangen, dem Server die IP-Adresse des Nutzers mitteilen. Und wenn der gesendete Link zu einer großen Datei führt, belastet der Messenger automatisch Ihren Akku und verbraucht Ihren Datentarif.
  • Die Linkvorschau wird vom Server generiert. In diesem Fall öffnet weder der Empfänger noch der Absender den Link; stattdessen wird der Link an einen externen Server weitergeleitet, der die Vorschau dann sowohl an den Absender als auch an den Empfänger sendet. Das Problem bei diesem Ansatz ist, dass Sie nicht wollen, dass ein Unternehmensserver eine Kopie Ihrer privaten Dateien anfertigt und speichert.

Was Sie jetzt tun können, ist, Ihre App-Einstellungen zu überprüfen und die Link-Vorschau nach Möglichkeit zu deaktivieren. Eine andere Möglichkeit besteht darin, eine App zu wählen, die Vorschauen auf dem Gerät des Absenders erzeugt.

Versenden von Dateien

Eine weitere potenzielle Gefahr besteht darin, dass App-Server Links zu privaten Materialien (z. B. auf Ihr OneDrive-Konto hochgeladene Dokumente) einsehen und für einen unbestimmten Zeitraum speichern können. Messenger wie Facebook und Instagram laden Dateien in vollem Umfang, auch wenn sie mehrere Gigabyte groß sind. Schlimmer noch: Wenn die Server gehackt werden, können Cyberkriminelle auf Ihre privaten Informationen zugreifen.

Einige Messenger können auch jedes JavaScript ausführen, das in dem gesendeten Link enthalten ist. Das Problem ist, dass die Nutzer nicht die Möglichkeit haben, die Sicherheit des JavaScript-Codes auf der Website zu überprüfen, und dass sie nicht erwarten können, dass Instant Messenger über den gleichen Schutz vor Angriffen verfügen wie moderne Browser.

Um dies zu verhindern, sollten Sie die folgenden Fragen beantworten:

  • Gehen Ihre Nachrichten an einen zentralen Server oder werden sie über ein P2P-Netzwerk weitergeleitet?
  • Werden sie lokal auf dem Gerät oder dem Server gespeichert?
  • Wie lange werden die Daten gespeichert?
  • Sind Medien und Dateien auch Ende-zu-Ende-verschlüsselt?

Zu vermeidende unsichere Messenger

Es ist wichtig, daran zu denken, dass der kommerzielle Erfolg eines Messengers nicht gleichbedeutend mit seiner Sicherheit ist. Dennoch nutzen Milliarden von Menschen weiterhin bedenkenlos unsichere Messenger. Und warum? Nun, weil sie Spaß machen, bequem sind und eine hohe Akzeptanz haben. Sie erleichtern die Kommunikation mit Freunden und Menschen aus anderen Ländern, ohne dass man einen anderen Messenger installieren muss.

Quelle: Statista

Hier sind einige erfolgreiche und bekannte Boten, von denen wir abraten. Lassen Sie uns auf die Gründe dafür eingehen.

Messenger

Facebook, das jetzt unter dem Namen Meta firmiert, ist berüchtigt für seinen fahrlässigen Umgang mit der Privatsphäre und der Datensicherheit seiner Nutzer. Es verfolgt jeden Schritt eines Nutzers, um seinen Werbedienst zu verbessern: die Schaltflächen, auf die Sie klicken, die Videos, die Sie sich ansehen, die Anzeigen, die Sie sich ansehen, Ihre biometrischen Daten, und die Liste geht weiter. Darüber hinaus geriet das Unternehmen mehrfach wegen Datenschutzverletzungen in die Schlagzeilen, denen Millionen von Nutzern ausgesetzt waren.

Die Software-Entwickler und -Architekten Talal Haj Bakry und Tommy Mysk fanden heraus, dass die Server von Facebook alle Daten unabhängig von ihrem Umfang von jedem über Instagram oder Messenger gesendeten Link heruntergeladen hatten. Derzeit generieren die Server keine Vorschaubilder, sondern nur für Nutzer in Europa, während die Daten des Rests der Welt weiterhin heruntergeladen werden.

Nichtsdestotrotz wird der Messenger von 1,3 Mrd. Nutzern weltweit verwendet, offenbar wegen seiner großen Nutzerbasis, dem modernen Look and Feel und coolen Funktionen wie Gruppen-Videochats oder lustigen AR-Effekten. Aus Sicherheitsgründen wird Messenger aus folgenden Gründen nicht empfohlen:

  • Die Ende-zu-Ende-Verschlüsselung ist nicht standardmäßig aktiviert
  • Für die Anmeldung ist eine E-Mail oder Telefonnummer erforderlich
  • Das Geschäftsmodell beruht auf dem Sammeln von Nutzerdaten
  • Benutzer-Metadaten sind nicht verschlüsselt
  • Gemeldete anstößige Medien können vom Unternehmen eingesehen werden
  • Sicherheitsprüfungsberichte werden nicht veröffentlicht
  • Geschlossene Quelle
WhatsApp logo, icon

WhatsApp ist der weltweit beliebteste mobile Messenger – im Oktober 2021 hat er 2 Milliarden monatlich aktive Nutzer. Die App positioniert sich aufgrund der standardmäßig aktivierten Ende-zu-Ende-Verschlüsselung als äußerst sicherer und zuverlässiger Messenger. Zu den weiteren Sicherheitsfunktionen gehören das Verschwinden von Mediendateien, die Zwei-Faktor-Authentifizierung, Bildschirmsperren und Standardoptionen zur Verbesserung der Privatsphäre, wie das Verbergen des Aktivitätsstatus oder des Profilbildes.

Gleichzeitig gehört WhatsApp seit 2014 zu Facebook und wurde 2021 vom irischen Datenschutzbeauftragten wegen Verstößen gegen die Datenschutzgrundverordnung mit einer Geldstrafe von 225 Millionen Euro belegt. Die Änderungen an den Datenschutzrichtlinien im Jahr 2021 haben vielen WhatsApp-Nutzern die Augen geöffnet, wie mit ihren Daten umgegangen wird. Da sie nicht bereit waren, noch mehr Daten mit Facebook zu teilen, wechselten Tausende von Nutzern zu Signal und Telegram. Die Abbruchraten von WhatsApp sind nach einem kurzen, aber sehr überzeugenden Tweet weiter in die Höhe geschnellt:

Im Jahr 2019 war WhatsApp wegen seiner Zero-Day-Schwachstelle, die von der Spyware Pegasus der NSO Group ausgenutzt wurde und etwa 1400 WhatsApp-Nutzer infizierte, in den Schlagzeilen. All diese Ereignisse lassen Zweifel an der Sicherheit der App und der Privatsphäre der Nutzer aufkommen. Kurz gesagt, hier ist der Grund, warum wir WhatsApp als unsicheren Messenger einstufen:

  • Teilt Nutzerdaten mit Facebook
  • Erfordert eine Telefonnummer für die Anmeldung
  • Einmalige Medien sind nicht gegen Screenshots oder Bildschirmaufzeichnungen geschützt
  • Einmalig verschlüsselte Medien werden auf WhatsApp-Servern für einige Wochen gespeichert und nicht sofort gelöscht
  • Benutzer-Metadaten werden nicht verschlüsselt
  • Gemeldete anstößige Medien können vom Unternehmen eingesehen werden
  • Geschlossene Quelle
Telegramm logo, icon

Telegram wird immer beliebter und nimmt weltweit den fünften Platz und in Russland, dem Heimatland seines Gründers Pavel Durov, den zweiten Platz ein. Das Team hat immer wieder bahnbrechende Funktionen geliefert und reagiert sofort auf sich ändernde Nutzeranforderungen. Man kann Chatverläufe aus anderen Apps verschieben, eine umfangreiche Liste animierter Emojis nutzen, als Gruppenadministrator anonym bleiben, Live-Gespräche für Millionen von Zuhörern veranstalten, Text als Spoiler formatieren und viele andere praktische Funktionen nutzen.

Im Hinblick auf die Sicherheit ermöglicht Telegram das Erstellen von geheimen, gerätespezifischen Chats mit End-to-End-Verschlüsselung und selbstzerstörenden Nachrichten, bietet eine zweistufige Verifizierung, Bildschirmsperren und mehrere Datenschutzeinstellungen.

Gleichzeitig ist Telegram durch seine Kontaktermittlungsfunktion anfällig für Crawling-Angriffe. Forscher aus Deutschland entdeckten, dass Telegram die gesamte Kontaktliste des Nutzers auf seine Server überträgt. Mit begrenzten Ressourcen und relativ einfachen Werkzeugen gelang es ihnen, die Telefonnummern von Telegram-Nutzern und die Nummern derjenigen zu sammeln, die die App gar nicht verwenden – sie befanden sich lediglich in den Kontaktlisten der registrierten Nutzer.

Ein weiterer Schwachpunkt ist, dass der Inhalt von Standard- und Gruppenchats in der Cloud gespeichert wird. Das ist zwar bequem für die Nutzer, da sie von jedem Gerät aus auf solche Chats zugreifen können, birgt aber gleichzeitig ein Risiko für die Daten. Darüber hinaus finden sich im Internet Anleitungen zum Extrahieren von Gruppen- und Kanaldaten – sie können Administratoren dabei helfen, relevante Erkenntnisse zu sammeln, gleichzeitig können sie aber auch von Hackern genutzt werden. Hier ist der Punkt, an dem Telegram in puncto Sicherheit versagt:

  • Die Verschlüsselung ist nicht standardmäßig aktiviert
  • Für die Anmeldung ist eine Telefonnummer erforderlich
  • Chat-Daten werden auf Telegram-Servern gespeichert
  • Setzt auf maßgeschneiderte Kryptographie die von Sicherheitsexperten kritisiert wird
  • Gruppenchats sind nicht Ende-zu-Ende-verschlüsselt, obwohl 51% der Telegram-Nutzer Gruppenchats nutzen
  • Nicht vollständig quelloffen
Viber logo

Viber hat es nicht unter die Top 5 der beliebtesten Messenger weltweit geschafft, hat aber eine hohe Installationsrate in der Ukraine, Griechenland, Bulgarien und Russland. Die App bietet eine große Auswahl an Funktionen für die Sofortkommunikation: Text-, Sprach- und Videonachrichten, Gruppenchats und -anrufe, Sprach- und Videoanrufe, Sticker und GIFs, Dateifreigabe, öffentliche Gruppen, Bildschirmfreigabe (vom Desktop aus bei Videoanrufen). Das Konto kann auf mehreren Geräten verwendet werden, und die unterstützten Plattformen umfassen Android, iOS, Windows, macOS und Linux.

Zu den Datensicherheitsfunktionen gehören standardmäßige Ende-zu-Ende-Verschlüsselung, selbstzerstörende Nachrichten, versteckte Chats (Zugriff mit einer PIN), Chats mit versteckten Nummern und Benachrichtigungen über Screenshots für verschwundene Nachrichten.

Obwohl Viber behauptet, dass es den Inhalt deiner Nachrichten nicht lesen kann, sammelt es alle Arten von anderen Nutzerdaten – Name, E-Mail, Telefonnummer, Geburtsdatum, Social-Media-Profile, Adressbuch, Verbindungsstatus, Dauer der Anrufe, wer dir eine Nachricht geschickt oder dich angerufen hat, wie viel Zeit du mit Viber verbringst, die eindeutige Kennung deines Geräts, IP-Adresse, WPS-Standortdaten usw. Laut seiner Datenschutzrichtlinie kann Viber all diese Daten auch mit Informationen aus externen Aufzeichnungen kombinieren – offenbar, um sehr detaillierte Nutzer-Avatare zu erstellen und dir hochgradig personalisierte Werbung zu präsentieren.

  • Sammelt Unmengen von Nutzerdaten: alles, was Sie freiwillig eingeben
  • Teilt Nutzerdaten mit Dritten
  • Unfreundliche Standard-Datenschutzeinstellungen
  • Erfordert eine Telefonnummer für die Anmeldung
  • Behält einige persönliche Daten auch nach der Deaktivierung des Kontos
  • Keine Erwähnung einer unabhängigen Sicherheitsüberprüfung
  • Geschlossene Quelle
Wickr Me

Wickr Me ist eine Messaging-App, die sich in erster Linie an Regierungsbehörden, militärische Strukturen und große Unternehmen richtet. Wickr Me bietet auch einen kostenlosen Tarif mit eingeschränkter Funktionalität für Einzelpersonen an.

Auf den ersten Blick ist die App vollgepackt mit Sicherheitsfunktionen: Ende-zu-Ende-Verschlüsselung, ephemere Nachrichten, sichere Linkvorschau, Screenshot-Erkennung, Multi-Faktor-Authentifizierung. Ein weiterer Vorteil ist, dass Sie ein Wickr-Konto erstellen können, ohne Ihre Telefonnummer oder E-Mail-Adresse anzugeben. Darüber hinaus stellt das Wickr-Team einen Transparenzbericht zur Verfügung und bietet eine üppige Belohnung für Bug-Bounty-Jäger, denen es gelingt, eine Sicherheitslücke in ihrem System zu finden – bis zu 100.000 Dollar.

Alles an Wickr Me spricht für Sicherheit, aber eine Tatsache lässt uns zögern, es in die Liste der besten verschlüsselten Messaging-Apps aufzunehmen – die Menschen hinter dem Unternehmen. Wickr Me wurde ursprünglich von Sicherheitsexperten und Verfechtern des Datenschutzes entwickelt und wurde von mehreren Investoren finanziert, darunter auch die Central Intelligence Agency. Das Unternehmen erbrachte auch Dienstleistungen für den US-Zoll- und Grenzschutz.

Im Jahr 2021 wurde Wickr von Amazon übernommen, eine weitere Verbindung, die einzelne Nutzer dazu veranlasst, ihre Einstellung zu Wickr als dem Messenger, bei dem der Datenschutz an erster Stelle steht, zu überdenken.

Wickr Me ist in den folgenden Bereichen unzureichend:

  • Finanziert von der CIA und im Besitz von Amazon
  • Jüngste Sicherheitsprüfungen werden nicht veröffentlicht
  • Keine Zwei-Faktor-Authentifizierung in einem kostenlosen Plan
  • Geschlossener Quellcode; nur das kryptografische Protokoll ist quelloffen

Die besten verschlüsselten Messaging-Apps

Wie Sie aus den obigen Beispielen ersehen können, ist die Verschlüsselung allein kein Mehrwert mehr, sondern eher ein Muss. Heutzutage müssen verschlüsselte Messaging-Apps noch einen Schritt weiter gehen und den Nutzern mehr Optionen zum Schutz ihrer Identität bieten. Schauen wir uns einige vernünftige Alternativen zu beliebten Messaging-Apps an.


session logo

Session ist eine verschlüsselte End-to-End-Messaging-App, die von der Oxen Privacy Tech Foundation entwickelt wurde, einer gemeinnützigen Organisation, die die Entwicklung freier und quelloffener Software für sichere Online-Kommunikation unterstützt.

Die Session-Community umfasst über 300.000 Nutzer, und das ohne Berücksichtigung von Desktop-, F-Droid- oder APK-Installationen. Die Gesamtzahl der Nutzer kann also deutlich höher sein. Was die Funktionalität betrifft, so bietet die App Einzelchats, Gruppenchats, Sprach- und Videoanrufe sowie Dateitransfer. Das Oxen-Team plant außerdem die Einführung von Session Pro mit einer ganzen Reihe von ausgefallenen Funktionen, wie z. B. der verschlüsselten Speicherung von Kontobackups, Selbsthosting-Optionen, der Registrierung mehrerer Konten, benutzerdefinierten Emojis und Aufkleber-Sets und vielem mehr.

Plattformen: iOS, Android, F-Droid, Windows, macOS, Linux

Preisgestaltung: kostenlos

Vorteile
Nachteile
  • Ende-zu-Ende-Verschlüsselung für Einzel- und Gruppenchats
  • Für die Anmeldung ist keine Telefonnummer oder E-Mail erforderlich
  • Die Sammlung von Metadaten ist minimal
  • Möglichkeit, Metadaten vor dem Senden von Dateien zu entfernen
  • Zwiebel-Routing
  • Vorwärtsgeheimnis (vergangene Sitzungen sind sicher, wenn ein Langzeitverschlüsselungsschlüssel kompromittiert wird)
  • Zukünftige Geheimhaltung (im Falle einer Schlüsselkompromittierung verliert der Hacker nach einigen Kommunikationsrunden den Zugang zu zukünftigen Sitzungen)
  • PIN zur Verschlüsselung der lokalen Sitzungsdatenbank
  • Dezentralisierte Architektur
  • Sicherheitsaudit wird veröffentlicht
  • Offene Quelle
  • Backups sind noch nicht implementiert
  • ID-Wiederherstellungsphrase muss sicher gespeichert werden

Briar

Briar ist ein Open-Source-Messenger, der von einem Team aus erfahrenen Entwicklern, Sicherheitsberatern und Verfechtern der Meinungsfreiheit entwickelt wurde. Briar ist das ideale Kommunikationswerkzeug für Journalisten, Menschenrechtsaktivisten und alle, deren Arbeit ein hohes Maß an Anonymität erfordert. Mehr als 100.000 Menschen nutzen derzeit die Briar-Android-App, und wir glauben, dass die Akzeptanz weiter steigen wird.

Briar bietet mehrere Ebenen des Schutzes vor Überwachung und Zensur. Um sicherzustellen, dass Gegner die Metadaten des Nutzers nicht abfangen können, nutzt Briar beispielsweise das Tor-Netzwerk. Alle Nachrichten und Kontaktlisten werden Ende-zu-Ende verschlüsselt und auf dem Gerät des Nutzers gespeichert. Eine weitere lebensrettende Funktion, die Briar bietet, ist die Möglichkeit, die App auch bei Internetausfällen zu nutzen, da sie über Bluetooth funktioniert.

Plattformen: Android, F-Droid

Preisgestaltung: kostenlos

Vorteile
Nachteile
  • Ende-zu-Ende-Verschlüsselung für Nachrichten und Kontaktliste
  • Keine Telefonnummer oder E-Mail erforderlich
  • Metadaten werden über das Tor-Netzwerk versteckt
  • Vollständig dezentralisierte Architektur
  • Vorwärtsgeheimnis (vergangene Sitzungen sind sicher, wenn ein Langzeitverschlüsselungsschlüssel kompromittiert wird)
  • Zukünftige Geheimhaltung (im Falle einer Schlüsselkompromittierung verliert der Hacker nach einigen Kommunikationsrunden den Zugang zu zukünftigen Sitzungen)
  • Der Inhalt wird lokal auf dem Gerät des Nutzers gespeichert
  • Kontaktüberprüfung durch einen QR-Code
  • Bildschirmsperre
  • Sicherheitsaudit wird veröffentlicht
  • Offene Quelle
  • Keine Option zur Wiederherstellung des Kontos bei Verlust des Passworts oder Deinstallation der Anwendung
  • Keine Sprachanrufe oder Austausch von Dateien

Threema

Threema ist ein in der Schweiz ansässiges Startup, das 2012 von drei Softwareentwicklern gegründet wurde, die sich um den Datenschutz und die Massenüberwachung sorgen. Im Jahr 2020 wurde die App von über 8 Millionen Nutzern verwendet, und die Nutzungsraten steigen weiter. Das Geschäftsmodell von Threema basiert nicht auf Nutzerdaten und ist daher nicht kostenlos. Threema bietet auch SaaS- und selbst gehostete Lösungen für kleine Unternehmen und Großunternehmen an.

Threema bietet alle wesentlichen Funktionen einer Messaging-App: Text- und Sprachnachrichten, Gruppenchats, Sprach- und Videoanrufe, Umfragen, Bots, Erwähnungen, Nachrichtenquoting.

Plattformen: iOS, Android, Windows, macOS, Linux

Preis: $3.99, einmalige Zahlung

Vorteile
Nachteile
  • Ende-zu-Ende-Verschlüsselung für Nachrichten, Anrufe, Medien und Dateien
  • Rufnummer oder E-Mail ist optional
  • Kontaktsynchronisierung ist optional
  • GDPR-konform
  • Metadatenerfassung ist minimal
  • Keine Cloud- oder Hosting-Dienste von Drittanbietern
  • Nachrichten werden nach der Zustellung dauerhaft vom Server gelöscht
  • Überprüfung der Kontakte
  • Regelmäßige Sicherheitsprüfungen
  • Offene Quelle
  • Kleine Benutzerbasis
  • Nicht vollständig dezentralisiert
  • Offenlegung der IP-Adresse des Nutzers für den Betreiber

Signal

Signal wird von der gemeinnützigen Signal Development Foundation und der Signal Messenger LLC entwickelt. Hinter diesen Organisationen stehen Moxie Marlinspike, ein Kryptograph, Sicherheitsforscher und ehemaliger Leiter des Sicherheitsteams bei Twitter, und Brian Acton, der Mitbegründer von WhatsApp, der WhatsApp nach der Übernahme durch Facebook verließ. Signal ist auf Spenden angewiesen und verspricht ein werbefreies und datenschutzfreundliches Nutzererlebnis.

Das Signal-Verschlüsselungsprotokoll ist längst zum Industriestandard geworden, da es auch von anderen Messengern wie WhatsApp, Facebook Messenger und Skype übernommen wird. Mit Stand Mai 2021 haben 105 Millionen Menschen die Signal-App heruntergeladen.

Mit Signal kann man Text- und Sprachnachrichten, Fotos, Gifs, Sticker, Videos und Dateien austauschen, Sprach- und Videoanrufe tätigen, in Gruppenchats kommunizieren und andere dazu einladen. Die App unterstützt auch viele beliebte Funktionen wie Chat-Pins, Nachrichtenweiterleitung und Nachrichtenreaktionen.

Plattformen: iOS, Android, Windows, macOS, Linux

Preise: kostenlos

Vorteile
Nachteile
  • Ende-zu-Ende-Verschlüsselung für Nachrichten, Anrufe und Nutzerprofile
  • Das Geschäftsmodell basiert nicht auf der Monetarisierung von Nutzerdaten
  • Link-Vorschauen sind optional
  • Kontakterkennung kann deaktiviert werden
  • Verschwindende Nachrichten
  • Einmalige Ansicht von Medien
  • Bildschirmsperre
  • Privatsphärenbildschirm, der Nachrichten im App-Switcher ausblendet
  • Registrierungssperre (Signal-PIN)
  • Offene Quelle
  • Erfordert eine Telefonnummer für die Anmeldung
  • Zentralisierte Architektur
  • Offenlegung der IP-Adresse des Benutzers für den Betreiber
  • Keine aktuellen Sicherheitsprüfungen


Wire wurde von einigen der ehemaligen Skype-Gründer entwickelt, wobei der Schwerpunkt auf dem Schutz der Nutzer vor Cyberangriffen lag. Seit 2017 hat das Wire-Team den Schwerpunkt auf B2B- und B2G-Kunden gelegt und Funktionen hauptsächlich für diese Zielgruppe entwickelt.

Dennoch kann Wire auch für die private Nutzung in Betracht gezogen werden, da es die Standard-Kommunikationsfunktionen kostenlos zur Verfügung stellt: Text-, Sprach- und Videonachrichten, Gruppenchats, Sprach- und Videoanrufe, Bildschirmfreigabe, Gastzugang und Dateifreigabe.

Die Nutzerbasis von Wire ist relativ klein und umfasst etwa 500.000 Nutzer im Jahr 2021.

Plattformen: iOS, Android, Windows, macOS, Linux

Preise:

  • Kostenlos für den persönlichen Gebrauch / kleine Teams
  • Ab 7,65 $ für Unternehmen, pro Benutzer monatlich
Vorteile
Nachteile
  • Ende-zu-Ende-Verschlüsselung für Nachrichten, Anrufe, Medien und Dateien
  • Nutzerdaten werden nicht für Werbung Dritter verwendet
  • Kann selbst gehostet werden
  • Selbstlöschende Nachrichten
  • GDPR/CCPA-konform
  • Bietet einen Transparenzbericht
  • Regelmäßige Sicherheitsprüfungen
  • Offene Quelle
  • Erfordert Telefonnummer oder E-Mail für die Anmeldung
  • Zentralisierte Architektur
  • Zwei-Faktoren-Authentifizierung fehlt
  • Kleine Benutzerbasis

Vergleich mit anderen verschlüsselten Messengern

Die oben aufgeführten Messenger sind nicht die einzigen Anwendungen für die Sofortkommunikation, die Verschlüsselung anbieten. Wir können zwar nicht jede einzelne Lösung auf dem Markt überprüfen, aber wir haben einige andere Open-Source- und Closed-Code-Messenger verglichen, damit Sie eine umfassendere Auswahl an Alternativen haben.

Messenger Selbstzerstörende Nachrichten Keine Telefonnummer oder E-Mail erforderlich Dezentralisiert Werbefrei Funktioniert offline Plattformen Installiert
Sylo iOS
Android		 100K+
Jami iOS
Android
F-Droid
macOS
Windows
Linux		 100K+
Status iOS
Android
F-Droid		 1 Million+
iOS
Android
F-Droid
macOS
Windows
Linux		 500K+
iOS
Android
macOS
Windows		 1 Million+
iOS
Android		 500K+

Wie man einen sicheren Messenger auswählt

Der Markt der sicherheitsorientierten Instant Messenger entwickelt sich rasant, und die Apps konkurrieren heftig um die Gunst der Nutzer. Bei einer so großen Auswahl kann man leicht überwältigt werden und eine falsche Entscheidung treffen, insbesondere für technisch nicht versierte Benutzer, die die Zuverlässigkeit einer App nur an ihrer Beliebtheit messen.

Abgesehen von dem ganzen Marketing-Kauderwelsch sollten Sie bei der Auswahl eines sicheren Messengers die wichtigsten Punkte beachten.

Wem gehört das Unternehmen?

Vertrauen Sie dem Unternehmen, das hinter der Messaging-App Ihrer Wahl steht? Hat das besagte Unternehmen in der Vergangenheit seine Vertrauenswürdigkeit in Frage gestellt? Handelt es sich um eine kommerzielle oder eine gemeinnützige Organisation?

Wenn es um den Datenschutz geht, haben Open-Source-Lösungen einen Vorteil gegenüber proprietären Anwendungen mit geschlossenem Code. Der Grund liegt auf der Hand: Kommerzielle Unternehmen sind in hohem Maße auf Nutzerdaten angewiesen, um ihre Dienste zu verbessern, und haben daher ein klares Motiv, große Datenmengen zu sammeln und zu speichern. Im Gegensatz dazu werden Open-Source-Projekte von der Leidenschaft der Entwicklergemeinschaft geleitet. Sie werden von Tausenden von Mitwirkenden, einschließlich Sicherheitsforschern und Beratern, überprüft, was ihre Konzepte transparenter und authentischer macht.

Welche Daten werden gesammelt?

Ein weiterer Aspekt, den es zu untersuchen gilt, ist, welche Daten die App sammelt, wo diese Daten gespeichert werden und wie leicht diese Datensätze abgerufen oder entfernt werden können. Normalerweise werden diese Informationen entweder im FAQ-Bereich oder in den Datenschutzrichtlinien der App bereitgestellt.

Wenn wir uns zum Beispiel die Datenschutzrichtlinie von Viber ansehen, sehen wir, dass die App eine ganze Reihe von Daten sammelt, angefangen bei deinem Adressbuch, Aktivitätsinformationen, Social-Media-Profilen (wenn sie für die Anmeldung verwendet wurden) bis hin zu Cookies und Tracking-Technologien, die mit Werbepartnern geteilt werden.

Wo werden die Daten gespeichert?

Wo die App Ihre Daten speichert, sagt viel über ihre tatsächliche Einstellung zur Sicherheit und zum Schutz der Privatsphäre der Nutzer aus. Die meisten kommerziellen Messenger speichern die Nutzerdaten auf ihren Diensten, d. h. auf zentrale Weise. Letzteres ist unter Sicherheitsaspekten nicht die beste Option, da die Server potenziell gehackt werden können und die gesamte Entscheidungsgewalt bei einer einzigen Behörde liegt – dem Unternehmen, das die App entwickelt oder erworben hat.

Bei dezentralen Systemen hingegen werden die Daten über eine Reihe zufälliger Knoten im Netzwerk geleitet. Dieser Ansatz gewährleistet eine bessere Anonymität für die Nutzer und erschwert Hackern den Zugriff auf das Netzwerk. Selbst wenn ein Knotenpunkt kompromittiert wird, ist nur ein kleiner Teil der Nutzer betroffen, während der Angriff auf einen zentralen Server Millionen von Menschen gefährden kann.

P2P-Messenger wie Briar verlassen sich beispielsweise nicht auf die Cloud und speichern alle Nachrichten auf dem Gerät des Nutzers. Die Möglichkeit, die App selbst zu hosten, sollte ebenfalls als Vorteil betrachtet werden, da Sie selbst entscheiden, wo und wie Sie Ihre Daten speichern.

Wann war die letzte Sicherheitsüberprüfung?

Regelmäßige Sicherheitsüberprüfungen sind das Rückgrat eines auf Sicherheit bedachten und datenschutzkonformen Technologieunternehmens. Es ist jedoch wichtig, dass die Codeüberprüfungen und Sicherheitsaudits unabhängig und völlig unparteiisch sind.

CoyIM, ein Desktop-Chat-Client, geht beispielsweise offen mit der Tatsache um, dass er keinem umfassenden Sicherheitsaudit unterzogen wurde; lediglich die Bibliothek, die die Ende-zu-Ende-Verschlüsselung gewährleistet, wurde 2020 von Radically Open Security geprüft. Wenn Sie Schwierigkeiten haben, Informationen über die letzte Sicherheitsbewertung der App zu finden, ist das ein Warnsignal.

Sichere Messenger – Kompromisse

Der Wechsel zu einem sicheren Messenger ist eine gute Entscheidung für jeden, der sich um die Integrität seiner Daten und seine Privatsphäre im Internet sorgt. Gleichzeitig bieten Messenger, die ein greifbares Maß an Schutz und Anonymität bieten, in der Regel nur eine eingeschränkte Funktionalität, so dass die Benutzerfreundlichkeit, der Spaß und die allgemeine Bequemlichkeit zugunsten einer erhöhten Sicherheit geopfert werden. Das ist wahrscheinlich einer der Hauptgründe, warum wirklich sichere Messenger weniger beliebt sind als unsichere.

Nachdem wir die Funktionen der besten verschlüsselten Messaging-Apps analysiert haben, haben wir einige Kompromisse herausgearbeitet, die Ihre Entscheidung beeinflussen können. Hier ist der Preis, den Sie dafür zahlen, dass Sie Ihre Daten für sich behalten:

Lästiges Zurücksetzen des Passworts und Wiederherstellen des Kontos. Bei Apps wie Jami müssen Sie sich nicht mit Ihrer Telefonnummer oder E-Mail anmelden. Außerdem werden alle Daten auf dem Gerät des Nutzers und nicht auf einem Server gespeichert, was bedeutet, dass Sie super sicher sind, solange Ihre Hardware nicht gefährdet ist. Klingt super, bis Sie feststellen, dass Sie Ihr Passwort vergessen haben – die Wiederherstellung ist in diesem Fall unmöglich. Und warum? Weil ein Jami-Account eine einfache Datei mit kryptografischen Schlüsseln ist, die lokal auf deinem Gerät gespeichert ist. Wenn du dein Konto vorzeitig gelöscht hast und es nicht auf anderen Geräten installiert oder Backups erstellt hast, ist dein Konto weg. Und das gilt nicht nur für Jami; Apps wie Surespot und Briar warnen ebenfalls vor der Unmöglichkeit, ein Passwort wiederherzustellen.

Fehlen von grafischen Tools. Seien wir doch mal ehrlich. Wir alle können uns leicht an lustige Emojis, Gifs und Sticker gewöhnen, die uns helfen, unsere Gefühle in schriftlicher Form besser auszudrücken. Auf den ersten Blick verschlechtert das Fehlen solcher Tools das Chatterlebnis erheblich. Allerdings können Bildverarbeitungsbibliotheken Bugs und Schwachstellen enthalten, die von böswilligen Akteuren in Zukunft ausgenutzt werden können. Daher haben sich Chat-Clients wie CoyIM dafür entschieden, grafische Darstellungen auf ein Minimum zu reduzieren. Threema scheint die gleiche Meinung zu teilen, da es keine Gif-Plattform-Integrationen anbietet.

Längeres Onboarding. Diejenigen Anwendungen, die keine Telefonnummer oder E-Mail für die Anmeldung benötigen, müssen anders vorgehen. Anstelle der vertrauten Suche nach einer Nummer müssen die Nutzer beispielsweise spezielle Links austauschen oder sich persönlich treffen und die QR-Codes des anderen scannen, um mit dem Chat fortzufahren. Die Ermittlung von Kontakten und die Verifizierung von Nutzern erfordern also ein paar mehr Schritte und wahrscheinlich auch einen Blick in das Benutzerhandbuch, bevor man sich auf vertrauliche Gespräche einlässt.

Zweifellos stellt die Sicherheit eine Einschränkung für die Funktionalität von Messengern dar. Derzeit kann kein Produkt 100%ige Anonymität und Datensicherheit garantieren. Jeder muss für sich selbst entscheiden, was für ihn wichtiger ist – ultimative Bequemlichkeit oder bessere Privatsphäre.

Es ist auch erwähnenswert, dass es auf Ihre Anwendungsfälle ankommt. Wenn ein Messenger für Sie ein Werkzeug für zwanglose, arbeitsunabhängige Konversationen und den Austausch von Memes mit Freunden ist, oder vielleicht nur ein Speicher für Ihre Einkaufslisten, dann gibt es wenig zu befürchten. Ja, die Unternehmen werden Ihre Metadaten nutzen, um ihre Dienste zu verbessern, hoffentlich auf eine Weise, die nicht direkt auf Sie zurückzuführen ist. Ganz anders sieht es bei Journalisten, sozialen Aktivisten, Politikern, Geschäftsinhabern und anderen einflussreichen Persönlichkeiten aus, deren Identitäten für Überwachungsbehörden und Betrüger von besonderem Interesse sind.

Abschließende Überlegungen

In der Welt der Sofortnachrichten gibt es keine Schwarz-Weiß-Lösungen. Jedes Produkt hat seine Vor- und Nachteile, und selbst die Apps, die weit über die Verschlüsselung hinausgehen und mehrere Sicherheitsebenen bieten, können keinen hundertprozentigen Datenschutz gewährleisten. Ein Datenleck ist unvermeidlich, wenn das Gerät des Benutzers durch Spyware kompromittiert wird. Denken Sie daran, dass Verschlüsselung kein Allheilmittel ist, da Hacker Zugang zu den Verschlüsselungsschlüsseln erhalten und so die Daten entschlüsseln können. Zunächst ist es sinnvoll, unser Online-Verhalten, unsere Gewohnheiten und unsere Einstellung zum Datenschutz zu überdenken, um sicher zu kommunizieren und das Risiko zu verringern, sich zu exponieren. Lesen Sie die Datenschutzrichtlinien Ihres Messengers, ändern Sie die Standardeinstellungen für den Datenschutz und überlegen Sie es sich zweimal, bevor Sie sensible Daten über einen Messenger versenden.