Messenger

Chaos im Messenger-Dschungel: Die PSW GROUP testet ausführlich

14. März 2014
  • Messenger

Facebook hat WhatsApp gekauft. Als diese Meldung durch die Medien ging, zeigte sich ein Sturm der Entrüstung – insbesondere die Kaufsumme und die datenschutzrechtlichen Folgen betreffend. Christian Heutger, Geschäftsführer der PSW Group, hat schon auf Threema aufmerksam gemacht, als WhatsApp noch zum Interieur moderner Smartphones und Tablets gehörte. Der Verschlüsselungsexperte schaut sich in den folgenden Wochen Alternativen um WhatsApp an und testet sie auf Security- und alle weiteren Eigenschaften.

Ausführlicher Messenger-Test: Das dürfen Sie erwarten

In einem Schnelltestverfahren machte sich jüngst erst die Stiftung Warentest dran, Messenger auf ihren Datenschutz zu testen. Sich nur auf dieses eine Merkmal festzulegen, finden wir unzureichend, wenngleich der Datenschutz natürlich ein erheblicher Aspekt in der Messengerwahl sein sollte. Die Stiftung Warentest stellt Threema als unkritisch dar – was allerdings fehlt, ist eine funktionierende Möglichkeit, die Ende-zu-Ende-Verschlüsselung auch nachzuvollziehen. Golem berichtete jüngst von der zweifelhaften Validation. In den kommenden Wochen können Sie sich darauf freuen, folgende Messenger-Tests bei uns zu lesen:

 

Sämtliche Messenger werden auf allgemeine Parameter wie Verbreitung, Kosten, Optik oder Bedienbarkeit sowie auf sicherheitsrelevante Parameter wie der Firma hinter dem Service, Verschlüsselung oder Speicherung der Daten getestet. Haben wir einen Messenger in unserer Liste übersehen, den Sie getestet wissen wollen? Dann zögern Sie nicht, uns einen Kommentar zu hinterlassen, gerne nehmen wir Ihre Vorschläge noch auf. Am Ende unserer Serie haben Sie einen Überblick über die Pros und Contras einzelner Messenger aus Sicht eines kompetenten, unabhängigen Sicherheitsexperten und Sie sind in der Lage, Messenger gut auf ihre Sicherheitsaspekte einzuschätzen. In einem Fazit werden wir Ihnen konkrete Empfehlungen geben.

 

WhatsApp: Der Ursprung der aktuellen Diskussion

kl_Messenger-Test_2Sehen wir uns zunächst WhatsApp an. Genutzt werden kann die App mit folgenden Betriebssystemen: Android 2.1+, iOS 4.3+, BlackBerry OS 4.6+, der Nokia S40-Serie, diversen Symbian-Versionen und Windows Phone 7.5+. Die App arbeitet nur auf Smartphones, nicht auf Tablets, Computern oder

reinen WLAN-Geräten. Mit einigen Tricks lässt sich WhatsApp allerdings auch auf Tablets verwenden: Auf dem iPad benötigen Sie beispielsweise noch iFunBox und iExplorer sowie eine noch nicht angemeldete Rufnummer. Beachten Sie bitte, dass Sie mit iFunBox Ihr iOS-System verändern und schlimmstenfalls auch beschädigen können! Mit WhatsRemote oder dem BlueStacks App Player können Sie WhatsApp auch in Ihrem Browser auf dem PC nutzen. Wenn Ihr Gerät nicht unterstützt wird, erhalten Sie eine Fehlermeldung. Die Installation ist denkbar einfach: Sie gehen in den App-Store Ihres Betriebssystems und laden sich die App herunter. Wichtig ist natürlich, dass Ihre Kontaktpartner WhatsApp auch nutzen, denn auch wenn plattformübergreifende Nachrichten möglich sind, ist Voraussetzung dafür, dass WhatsApp auch genutzt wird. Sobald Kontakte in der Kontaktliste sichtbar sind, können Sie mit ihnen Nachrichten austauschen.

 

Einen Kontakt hinzuzufügen, ist ebenfalls recht leicht: Zunächst muss wieder sichergestellt sein, dass Ihr Kontakt WhatsApp installiert hat. Im Adressbuch des Smartphones muss die Telefonnummer eines Kontakts korrekt gespeichert sein. Sie geben die Telefonnummer des Kontakts so ins Suchfeld ein, als würden Sie ihn anrufen wollen. Bei internationalen Nummern verzichten Sie auf vorangehende Nullen und beginnen die Nummer mit einem +-Zeichen, anschließend folgt der Ländercode. Ein Beispiel: Sie wollen die 0152 1234567 hinzufügen, also geben Sie +491521234567 ein. Wenn Sie nun WhatsApp öffnen und Ihre Favoritenliste (bei Android: „Kontakte auswählen“) öffnen, sehen Sie den Kontakt und können mit ihm kommunizieren. Wenn Sie Chats von einem alten Telefon auf ein neues übertragen wollen, bietet WhatsApp selbst keine Möglichkeit dafür. Aber für die einzelnen Betriebssysteme stellt WhatsApp Anleitungen bereit. Auch gibt es für jede Plattform Anleitungen, um den WhatsApp-Account löschen zu können.

 

Bedienbarkeit, Dateiversand und Kosten bei WhatsApp

kl_Messenger-Test_3Zu dem Erfolg, den WhatsApp feiert(e), hat nicht nur der günstige Preis von nur 89 Cent pro Jahr beigetragen, sondern auch die Benutzerfreundlichkeit und der Komfort. Neue User sehen sofort, welche Kontakte WhatsApp nutzen. Es sind nur wenige Fingerbewegungen nötig, um Nachrichten abzusetzen, die neben textlichen Inhalten seit geraumer Zeit auch Smileys enthalten. Fotos, Videos und Audio-Dateien, Kontakt-Informationen sowie die Koordinaten des aktuellen Standorts können ebenfalls versendet werden. Insgesamt erinnert der Service an den E-Mail-Versand, nur in vereinfachter Form und schneller. Die Gruppenchats sind ein weiterer Pluspunkt: Schnell lässt sich mit vielen Menschen kommunizieren. Die Broadcasts wirken wie eine Statusmeldung und werden ebenfalls an mehrere oder alle Kontakte versendet. Mit dem letzten Update hat WhatsApp seinen Datenversand auf eine Größe von 16 MB erhöht. Zehn Fotos können gleichzeitig versendet werden. Mit Tools wie WhatsApp Plus kann der Datenversand auf maximal 50 MB erhöht werden.

 

Sicherheit bei WhatsApp

kl_Messenger-Test_4 Was WhatsApp bezüglich der allgemeinen Eigenschaften richtig gut macht, macht die App beim Thema Sicherheit wieder wett. Und das nicht erst jetzt, wo der Nachrichtenservice zu Facebook gehört. Sehen wir uns die Einfachheit des Hinzufügens der Kontakte noch mal unter datenschutzrechtlichen Gründen an: Die App greift auf Ihr Telefonbuch zu. Weder Sie noch betroffene Dritte können irgendetwas gegen das Übertragen der Adressbuchdateien tun. Die Telefonnummer wird unverschlüsselt an Dritte übertragen. Daten, die Sie als Android-User eingeben, darunter auch Gesprächsinhalte, sendet die App unverschlüsselt. Das Account-Konzept scheint fragwürdig: Anstelle eines Benutzernamens und Passworts arbeitet der Service mit Ihrer Telefonnummer. Ganz nebenbei wird die IMEI-Nummer Ihres Smartphones ausgewertet. Es ist nie klargeworden, was WhatsApp mit den Daten aus dem Adressbuch macht. Der Service behält sich jedenfalls vor, Daten zu speichern, weiterzugeben oder für Werbezwecke zu nutzen.

 

Facebook hat WhatsApp kürzlich aufgekauft – und das soziale Netzwerk fällt durch Datenschutzmängel immer wieder in die Kritik bei Datenschutzexperten. So sah Hamburgs Datenschützer Johannes Caspar die WhatsApp-Übernahme durch Facebook kritisch: Bei dem Kaufpreis „kann man davon ausgehen, dass eine Kapitalisierung über die personenbezogenen Daten der Nutzer erfolgen muss„, zitiert die Welt. Caspar sieht allerdings positiv, dass sich WhatsApp künftig ans europäische Datenschutzrecht zu halten hat, womit der Datenschutz transparenter werde. Weiter gilt zu bedenken: In öffentlichen WLAN-Netzen war und ist die App unsicher. WhatsApp überträgt Daten übers XMPP-Protokoll unverschlüsselt; Nachrichten können also kinderleicht ausgespäht werden. Spionage-Apps wie WhatsApp Sniffer, die Google mittlerweile aus dem PlayStore entfernt hat, die aber immer noch in installierter Version ihren zweifelhaften Dienst tut, machen es selbst Laien besonders leicht. Sogar in verschlüsselten und passwortgeschützten WLANs liest die App mit; Betroffene bemerken den Mitleser nicht.

 

Verschlüsselung, Quellcode, Datenschutz & AGB bei WhatsApp

 

Aufgrund der ehemals unverschlüsselten Übertragung war es früher ein Leichtes, Accountdaten im WLAN abzufangen und Accounts zu kapern. Mittlerweile überträgt der Dienst den Datenverkehr verschlüsselt. Bei WhatsApp scheint es nicht ohne ein Aber zu gehen: Aber es handelt sich um keine Ende-zu-Ende-Verschlüsselung, was zur Folge hat, dass der Anbieter Ihre Unterhaltungen mitlesen kann. Zwar werden Nachrichten nicht auf den Servern gespeichert (weshalb die Übertragung von Chats von einem Smartphone aufs andere über WhatsApp nicht möglich ist), aber auch nicht gelöscht; Nachrichten und Statusänderungen landen im Nirvana der Anwendungsdatenbank. Die Verschlüsselungstechnologie ist kompromittiert und schwach. Der Chefentwickler des Messaging-Dienstes Adium, Thijs Alkemede, hat selbst getestet: WhatsApp verwendet RC4 als schwachen Algorithmus und nutzt denselben Schlüssel, denselben Initialisierungsvektor und denselben HMAC-Schlüssel für ein- und ausgehende Nachrichten.

 

WhatsApp nimmt es sich heraus, Details Ihrer Kontakte auszulesen: Name, E-Mail, Adresse – also sämtliche Infos der Kontakte aus Ihrem Adressbuch. Weiter greift die App durch die Kamerafunktion auf die GPS-Daten zu, sodass Ihr aktueller Standort ermittelt werden kann. Chats und Telefonate können selbst dann mitgeschnitten werden, wenn Sie die App gar nicht aktiviert haben. Dass die Daten über US-amerikanische Server laufen, gibt nicht gerade ein behagliches Gefühl von Sicherheit – nicht umsonst hört man bei Gesprächen über WhatsApp häufiger den Satz „NSA für die Hosentasche„. WhatsApp untersagt es, den Quellcode zur Weiterentwicklung oder für Anpassungen zu nutzen. Bei der nicht-quelloffenen App ist es schwierig, zu sagen, ob weitere Daten in verschlüsselter Form übertragen werden.

 

Die Allgemeinen Geschäftsbedingungen von WhatsApp sind nur in englischer Sprache verfügbar – Pech für diejenigen Anwender, deren Sprachschatz aus anderen Sprachen besteht. Weiter sehen die AGB vor, dass selbige jederzeit geändert und Informationen an die Strafverfolgung weitergeleitet werden können – ohne dass Sie darüber informiert werden. Dieser Mangel an Informationen wird nicht besser dadurch, dass die Kontaktdaten Dritter ebenfalls übertragen werden dürfen, und zwar ohne, dass es einer Zustimmung bedarf. Ein wichtiger Punkt in den AGB von WhatsApp ist, dass Daten beim Verkauf der App an den neuen Eigentümer übergehen können. Heißt: Facebook kann direkt auf die Daten sämtlicher WhatsApp-User zugreifen. Und das sind allein in Deutschland die von rund 30 Millionen Nutzern.

 

Weitere Sicherheitsaspekte bei WhatsApp

kl_Messenger-Test_5WhatsApp ist ein zuverlässiger Messenger, wenngleich direkt nach Bekanntwerden der Übernahme durch Facebook Serverprobleme zu massenhaftem Spott führten. Die Server waren down, Nachrichten konnten nicht versendet werden. Bisher wurden zahlreiche Sicherheitsprobleme entdeckt: Eklatante Datenschutzmängel machten genauso die Runde wie die Tatsache, dass Nachrichten lange Zeit unverschlüsselt und nun mit unzureichender Verschlüsselung versendet wurden und werden. Die App darf offiziell erst ab dem 16. Lebensjahr ohne Erlaubnis der Eltern genutzt werden, überprüft wird das allerdings nicht. Einen Jugendfilter für Content gibt es nicht, wohl aber den nett gemeinten Hinweis, nicht-jugendfreien Content entsprechend zu kennzeichnen. WhatsApp speichert nach eigener Aussage keine Daten auf seinen Servern. Auf der microSD-Karte des Smartphones werden aber Backup-Dateien gespeichert, die alte Chats wiederherstellen. WhatsApp verwendet XMPP. Die App finanziert sich nicht durch Werbung, sondern durch das Abosystem. Wenngleich gemunkelt wird, dass Datenverkäufe positiven Einfluss auf die Bilanzen nehmen, kann diesbezüglich nichts bewiesen werden. Dass der Datenverkauf durch den Werberiesen und neuen Eigentümer Facebook aber ins Rollen kommen dürfte, versteht sich. Bislang gibt es keine Informationen darüber, ob Facebook Alternativfinanzierungspläne hegt, ob vielleicht eine Werbefinanzierung infragekommt oder ähnliches. Durch diesen Milliardendeal jedenfalls dürfte die Zukunft von WhatsApp gesichert sein.

 

Zusammenfassung WhatsApp

 

  • Verbreitung: alle gängigen Mobilsysteme
  • Einschränkungen: Tablets, Computer, WLAN-Geräte
  • Installation: einfach
  • Kontakte rüberziehen: einfach
  • Optik/ Bedienbarkeit: ansprechend & einfach
  • Flexibilität: max. 16 MB/ 10 Fotos, Erhöhung durch externe Tools
  • Kosten: günstig (1. Jahr kostenlos, dann 0,89 €/Jahr)
  • Orga/ Land hinter dem Service: Facebook/ USA; nach europäischen Datenschutzrichtlinien
  • Verschlüsselung: RC4, unzureichend
  • Quellcode: kein Zugriff
  • Datenschutz: App greift auf alle Daten im Adressbuch zu
  • AGB: intransparent
  • Zuverlässigkeit: insgesamt sehr gut
  • Sicherheitsprobleme: Datenschutzmängel, Verschlüsselung unzureichend
  • Jugendfilter: nicht vorhanden
  • Datenspeicherung: keine Daten auf eigenen Servern, Backups auf microSD-Karte des Smartphones
  • XMPP: ja
  • Finanzierung: Abo-Modell

Weiter aktuelle Artikel zu diesem Thema im Web:

 

Weiterlesen beim Threema Messenger Test >>



6 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 6 Reaktionen

  1. Uwe | 17. März 2014

    Schön, das so eine interessante Serie startet. Die meisten Tests, die man in Bezug auf Messenger im Internet lesen kann, haben ähnliche Inhalte. Aber das Ihr auch mal das Thema Jugendfilter oder Bedienbarkeit ansprecht finde ich super. Was bringt mir denn die sicherste App, wenn die Bedienung für den Alltagseinsatz unbrauchbar kompliziert ist?

    Bin gespannt auf die weiteren Teile der Serie.

    17. März 2014 @ 14:56 Antworten
  2. JUICEDaniel | 28. März 2014

    Wow, ganz schön umfangreich… ich bin sehr auf den Threema-Artikel gespannt. Zu WhatsApp haben wir von JUICED auch unseren Senf dazugegeben: http://juiced.de/18897/wazzup-facebook/ – Darin sind noch ein paar ergänzende Gedanken über den Sicherheitsaspekt hinaus.

    Liebe Grüße
    Daniel

    28. März 2014 @ 14:02 Antworten
  3. Pinockio | 27. April 2014

    Sehr gute und interessante Serie. Mich würde noch eure Aussage über Surespot interessieren. Bisher auf Threema umgestiegen wobei ich Schmoose einen Ausblick geben werde.

    27. April 2014 @ 05:12 Antworten
  4. Ein klares Nein zu WhatsApp | mobil-arbeiten.com | 14. Mai 2014

    […] mehrere Messenger wurden durch die PSW Group ausführlich getestet. Unter anderem: WhatsApp, Threema, Telegram, WeChat, Line und […]

    14. Mai 2014 @ 15:18