Messenger

Messenger-Revival: Zusammenfassung unserer zweiten Testrunde

26. Mai 2015
  • Messenger

Als WhatsApp die Verschlüsselung einführte, schlug das ähnliche mediale Wellen wie die Nachricht der WhatsApp-Übernahme durch Facebook. Nicht nur bei WhatsApp, sondern auch bei zahlreichen anderen Messengern hat sich einiges getan, wie wir in den vergangenen sieben Wochen sehen konnten. In unserer zweiten Testrunde konnten wir auch neue Messenger auf Usability und Sicherheit prüfen. Welche Messenger überzeugen? Blicken wir zurück:

Sicherheit versus Komfort – immer noch ein Thema

Schon in unserer ersten Testrunde mussten wir feststellen, dass Messenger entweder als sicher oder als funktional eingestuft werden konnten – ein gesunder Mix fehlte hier. Dies ist noch immer ein Thema: die WhatsApp-Verschlüsselung fällt nicht umfassend genug aus, jedoch überzeugt die Funktionsvielfalt des Messengers. MyENIGMA – das passende Gegenbeispiel – bietet weniger Funktionalität, sichert Ihre Nachrichten jedoch umfangreicher ab.

Erfreulicherweise ändert sich die Diskrepanz zwischen Sicherheit und Komfort nach und nach zugunsten der Sicherheit. So ist es beispielsweise den Schweizer Threema-Entwicklern gelungen, ihre Sicherheitsstandards hoch zu halten und dennoch den Funktionsumfang auszubauen. Eine schöne Entwicklung, die wir uns für alle anderen Messenger ebenfalls wünschen! Werfen wir einen Blick auf die Details:

WhatsApp, LINE & WeChat: die Spaß-Messenger

Funktionalität und Features stehen hier an erster Stelle: WhatsApp, LINE und WeChat haben mit Sicherheit wenig am Hut. Wenngleich WhatsApp durch die Ende-zu-Ende-Verschlüsselung einen Schritt in die richtige Richtung gegangen ist, darf der Messenger noch nicht als sicher angesehen werden. Verschlüsselt werden bislang ausschließlich Ihre privaten Nachrichten, weder Gruppen-Chats noch der Medienversand erfolgen verschlüsselt. Nach wie vor schnüffelt WhatsApp Ihr Adressbuch aus, um Ihnen das Kontakte-Finden zulasten der Sicherheit zu vereinfachen. Bis heute sind AGB und Datenschutzerklärung ausschließlich in englischer Sprache einzusehen, obwohl Verbraucherschützer dagegen bereits klagten. Auch daran, dass Adressbuch- und weitere Daten an Server in die USA übermittelt werden, hat sich nichts geändert. Mit Ihren Login-Daten wird die IMEI (= eindeutige Gerätenummer Ihres Mobiltelefons) verknüpft, sodass Tür und Tor fürs Tracking und für Identitätsdiebstahl geöffnet sind. Am Datenschutz hat sich also gar nichts getan, lediglich die Sichtbarkeit Ihrer Profildetails wurde optimiert. Überzeugen können also lediglich die Verbreitung und die Usability des Messengers WhatsApp, leider sind die Sicherheitsfeatures nach wie vor viel zu lasch – als sicherer Messenger taugt WhatsApp nicht.

LINE gehört zweifelsfrei zu den funktionalsten Messengern: Versenden können Sie so gut wie alles, zusätzliche Apps und Sticker erweitern den Funktionsumfang, eine Timeline und LINE Pay begeistern die Nutzer ebenfalls. Seien Sie sich jedoch sicher: LINE kennt Sie in- und auswendig! Und nicht nur LINE selbst, sondern auch Gruppenmitglieder, Niederlassungen und Tochtergesellschaften, denn all diese dürfen Ihre persönlichen Daten für Werbe- und andere Aktionen verwenden. Das einzige, was wir in puncto Sicherheit loben können, ist die Tatsache, dass Sie als LINE-Nutzer bestimmen können, ob Ihr Adressbuch durchwühlt wird oder nicht. Seit August 2014 existiert darüber hinaus die Möglichkeit, in geheimen Chats verschlüsselt miteinander zu kommunizieren (Ende-zu-Ende) und Nachrichten mit einem Selbstzerstörungsmechanismus zu versehen. Aber wem nützt dies, wenn die Entwickler und sämtliche anhängenden Unternehmen Ihre Daten ohnehin schon besitzen? LINE zeigt sich als Steigerung des unsicheren WhatsApp-Messengers – und das will was heißen!

Auch WeChat punktet mit Funktionalität – und zwar mit der umfangreichsten, die uns in sämtlichen Tests untergekommen ist. Stellen Sie sich eine Mischung aus Facebook, LINE und WhatsApp vor und Sie haben eine Vorstellung davon, was Sie mit WeChat alles machen können. Voraussetzung dafür, all diese Features zu verwenden, ist jedoch, dass Ihnen Sicherheit gänzlich egal ist, denn mit seinen Sicherheitsfeatures gewinnt WeChat keinen Blumentopf – und schon gar nicht unsere zweite Messenger-Testrunde. Die Updates des vergangenen Jahres trafen ausschließlich die Optik und in sehr kleinem Rahmen auch den Funktionsumfang, jedoch bleibt die Sicherheit dabei komplett auf der Strecke. Lediglich private Chats werden Ende-zu-Ende-verschlüsselt, Sie treten die Rechte an Ihren Inhalten ab (der Entwickler darf Ihre Inhalte nach eigenem Ermessen verbreiten und verändern) und Ihre Daten landen auf chinesischen Servern. Daneben darf sich WeChat mit Zensurvorwürfen auseinandersetzen. WeChat und LINE sind in puncto mangelnder Sicherheit definitiv auf selber Höhe und bilden damit die Schlusslichter in unserer zweiten Testrunde – dicht gefolgt von WhatsApp.

Threema & Telegram: „Privacy“-Messenger mit Funktions-Plus

Threema war in unserer ersten Testrunde ein frisch aufgehender Stern am Messenger-Himmel, der polarisierte: der Schweizer Standort, die Ende-zu-Ende-Verschlüsselung sowie transparente AGB und Datenschutzrichtlinien konnten Kritiker, die Wert auf einen offenen Quellcode legen, nicht umstimmen. All das ist noch immer aktuell. Mittlerweile können auch Windows Phone-User von dem Krypto-Messenger profitieren zudem wurde die Funktionalität weiter ausgebaut. Neu ist auch Threema Gateway; ein Prepaid-Service für den Nachrichtenversand, der etwa mit verschlüsselten SMS verglichen werden kann. Wenngleich Threema seinen Quellcode nicht offenlegt, lässt sich das Verschlüsselungsprotokoll in der Open Source-Bibliothek NaCI überprüfen. Hinzu kommt ein hauseigenes Cryptography-Whitepaper (PDF, englischsprachig), das die asymmetrische Kryptografie erklärt. Dank PFS, nicht geloggten Informationen und Schweizer Servern überzeugt Threema: Ihre versendeten Nachrichten sowie alle übertragenen Inhalte inklusive versendeter Medien werden Ende-zu-Ende-verschlüsselt übertragen und niemand außer dem Nutzer selbst ist in Besitz des privaten Schlüssels, sodass nicht mal Regierungsanfragen dazu führen könnten, dass jemand außer dem Empfänger Ihre Nachrichteninhalte zu Gesicht bekommt. Threema ist hübscher geworden und leichter zu bedienen – kosmetische Korrekturen haben das intuitive Bedienen zweifelsfrei erhöht. Bezüglich der Sicherheit gab es keine Kritikpunkte, und das gilt auch für unsere zweite Testrunde. Sicherheit oder Komfort? Bei Threema müssen Sie sich nicht entscheiden, denn mit diesem Messenger können Sie beides haben, auch wenn der Funktionsumfang nicht mit dem der „Spaß“-Messenger mithalten kann.

Auch Telegram hat sich weiterentwickelt: zahlreiche neue Versionen erlauben es nun, plattformübergreifend zu kommunizieren – vor einem Jahr existierte die App lediglich für iOS und Android. Neben dieser überzeugenden Kompatibilität existiert nun auch ein Selbstzerstörungsmodus für Chats. Vor einem Jahr noch konnten Nutzer nur Teile des Quellcodes einsehen, mittlerweile legt Telegram neben dem Quelltext auch Protokoll und API offen. Ein Plus an Transparenz, das wir sehr schätzen! Auch sind die FAQ zum Thema Account-Löschung expliziter geworden. Zu kritisieren bleibt jedoch, dass AGB und Datenschutzerklärung nur in englischer Sprache ersichtlich sind, dass die App ungefragt aufs Adressbuch zugreift und dass die Daten auf Servern landen, die weltweit verstreut sind. Kann Telegram diesen Weg weitergehen und gelingt es, die restlichen Kritikpunkte anzugehen, kann sich Telegram zu einem der besten Messenger entwickeln – in der Zwischenzeit hat Threema die Nase vorn.

myENIGMA & TextSecure: Sicherheits-Messenger ohne Schnickschnack

Schon in der ersten Testrunde konnte uns myENIGMA begeistern: ein transparenter, sicherer Messenger, der nicht mit Funktionen um sich wirft und auf den Versand von Stickern und Standortdaten verzichtet, zeigte sich uns. Jedoch existierten zahlreiche Störungsmeldungen: Nutzer beklagten Verbindungsabbrüche und Funktionsstörungen. Diese Kritikpunkte konnte der Messenger hinter sich lassen, während Transparenz, Sicherheit und Funktionalität geblieben sind. Ein Special gefällt uns besonders gut: Mit myENIGMA können Sie auch verschlüsselte SMS versenden. Besonders lobenswert sind die AGB und Datenschutzregelungen bei myENIGMA: eine solche Transparenz hat wahrlich Seltenheitswert; viele Messenger-Entwickler dürfen sich daran gerne ein Beispiel nehmen! Schweizer Server und hochgradige Ende-zu-Ende-Verschlüsselung sowie regelmäßig wechselnde Schlüssel, außerdem gehashte Telefonnummern zum Kontakt-Abgleich, die über eine TLS-Verbindung zu den sicheren Servern wandern, überzeugen sehr! Wie Threema möchte auch myENIGMA auf das Offenlegen des Quellcodes verzichten. Können Sie damit leben, den Quellcode nicht einzusehen, zeigt sich myENIGMA mittlerweile als zuverlässiger und nach wie vor als sicherer Messenger.

Bei TextSecure hat sich nicht viel getan. Durch die App Signal 2.0 konnte die Kompatibilität erweitert werden, sodass nicht mehr nur Android-User miteinander kommunizieren können, ansonsten hat sich das Entwicklerteam WhisperSystems zurückgehalten. Außer einigen Fehlerkorrekturen und dem Hinzufügen weiterer Sprachen existieren weder Funktionserweiterungen noch sonstige neue Features. Mit TextSecure finden Sie also nach wie vor einen Messenger, der sich auf klassische Funktionen, nämlich dem Textversand, beschränkt. Die hochgradige Ende-zu-Ende-Verschlüsselung kann aufgrund des offenen Quellcodes nachvollzogen werden und da der Messenger unter GNU GPL V3-Lizenz steht, existieren keine gesonderten AGB oder Datenschutzrichtlinien. Auch bei TextSecure findet ein Adressbuch-Abgleich mit gehashten Werten statt. Wie bei myENIGMA werden diese Daten verschlüsselt an Server übertragen; gespeichert werden diese jedoch nicht. Sobald sich TextSecure mit seiner Plattformkompatibilität weiter sortiert hat und es ermöglicht, ohne Verwendung dreier verschiedener Apps plattformübergreifend zu kommunizieren, chatten Sie mit diesem Messenger sicher und intuitiv.

SIMSme, mailbox.org und Sicher: die Neulinge

Viele neue Messenger haben seit unserer ersten Testrunde versucht, ein Stück vom Messenger-Kuchen abzubekommen – mehr oder weniger erfolgreich. Wir haben uns SIMSme, mailbox.org und Sicher herausgepickt, da diese Anbieter aus Deutschland stammen und sich dem Thema Sicherheit verschrieben haben, zumindest prangt dies werbewirksam auf den Websites der Anbieter.

Die Deutsche Post hat SIMSme entwickelt. Der Messenger ist kostenfrei für iOS, Android und Windows Phone verfügbar; Sicherheitsfeatures können über In-App-Käufe erworben werden. Versenden lassen sich Textnachrichten, Multimediadateien und Standortinformationen. Leider greift die App ungefragt aufs Telefonbuch zu. Eine intuitive Bedienung ohne Störungen überzeugte uns im Test und auch AGB sowie Datenschutzerklärung zeigten sich von ihrer verständlichen Seite. Dass das Sicherheitsfeature der selbstzerstörenden Nachrichten extra erworben werden muss, empfinden wir als zweifelhaft: wir würden es begrüßen, wenn es Sicherheitsfeatures inklusive gäbe, während Funktionalität hinzugekauft werden muss. Sehr positiv ist jedoch die Tatsache, dass es unverschlüsselte Informationen weder auf Ihr Endgerät noch auf die SIMSme-Server schaffen. Ein in Deutschland befindliches Rechenzentrum, Server, die den Standards der ISO 27001 entsprechen und auf denen Nachrichten maximal 30 Tage lang gespeichert werden, sowie ein ausdrücklicher Verzicht auf den Datenversand ins Ausland machen SIMSme zu einem vertrauenswürdigen Messenger, der sich überhaupt nicht hinter den bereits etablierten verstecken braucht.

Mailbox.org hat ebenfalls etwas Besonderes geschaffen – das können Sie nun positiv oder negativ auffassen, je nach Ihren Gewohnheiten. Denn ein Messenger im klassischen Sinne erwartet Sie nicht aus der Berliner Software-Schmiede. Mailbox.org hat jedoch einen Jabber-Server aufgesetzt, über den Sie Ende-zu-Ende-verschlüsselt kommunizieren können. Ihren Client können Sie sich selbst suchen, um anschließend von jedem internetfähigen Gerät über den Server zu chatten. Diese komplette Plattformunabhängigkeit kann sicher als großer Vorteil angesehen werden, jedoch haben wir unsere Zweifel, ob sich weniger versierte Nutzer darauf einlassen möchten. Auch zweifeln wir daran, dass Nutzer bereit sind, eine Jahresgebühr von 12 Euro für einen Messenger auszugeben, der kein richtiger Messenger ist, denn Voraussetzung zur Nutzung des Jabber-Servers ist ein mailbox.org-Account. Setzen Sie ohnehin auf den Berliner Anbieter und sind Sie ein eigenständiger Nutzer, der sich seinen Client selbst aussuchen möchte, finden Sie mit mailbox.org eine einzigartige Lösung, die sicher ist und genauso überzeugt wie das hauseigene E-Mail-Angebot. Sie bekommen bei mailbox.org keine vorgefertigte Lösung, sondern Sie sind in der Pflicht, einen Client auszuwählen und beim Chatten mitzudenken, um das hohe Maß an Privatsphäre, das OTR an sich mitbringt, auch richtig zu nutzen. Verstehen Sie die Technik hinter OTR und XMPP, erreichen Sie mit dem Jabber-Server von mailbox.org wirkliche Sicherheit.

Unser letzter Testkandidat trägt den vielversprechenden Namen „Sicher“. Entwickelt wurde der Messenger von der SHAPE GmbH, der Mutter der prominenten Lösung IM+. Der Messenger verspricht „Sicheres Messaging für alle“ – ja sogar „unbegrenzte“ Sicherheit. Das ist ein sehr vollmundiges Versprechen, liegt doch die Sicherheit Ihrer Nachrichten nicht ausschließlich in der Hand des Messenger-Entwicklers, sondern auch in Ihrer. Würden Sie Hinz und Kunz den Zugriff auf Ihr Endgerät gestatten, erreicht die unbegrenzte Sicherheit schon sehr schnell ihre natürlichen Grenzen. Und auch die Worte „für alle“ sind etwas zu hoch gegriffen, da BlackBerry OS nicht unterstützt wird und auch keine Clients oder Web-Apps für Desktop-Betriebssysteme existieren. Dass „123456“ mal wieder ein Passwort ist, das ungeprüft durchgeht, ist nicht nur ärgerlich, sondern in diesem Fall kann es tragische Auswüchse annehmen: Mit Ihrem Passwort verschlüsseln Sie lokal auf Ihrem Endgerät Ihre Daten. Sind solche leichtsinnigen Passwörter jedoch möglich, wird aus unbegrenzter Sicherheit mal eben unbegrenztes Stöber-Vergnügen. Ungefragt wird Ihr Adressbuch auf etwaige Kontakte durchforstet – nicht nur einmalig bei Anmeldung, sondern „regelmäßig“, wie es heißt, wobei verpasst wird, zu konkretisieren, was das nun heißt. Während die AGB schnell auffindbar waren, irrten wir auf der Suche nach der Datenschutzerklärung recht hilflos herum. Als wir sie fanden, enttäuschten etwaige Sprachbarrieren, denn beide Dokumente sind ausschließlich in englischer Sprache auffindbar. All das klingt erst mal enttäuschend, die positiven Seiten möchten wir Ihnen dennoch nicht vorenthalten: „Sicher“ überzeugt mit umfangreicher Funktionalität, die sich einfach anwenden lässt. So können Sie neben den üblichen Inhalten auch Dokumente versenden, einen Selbstzerstörungstimer aktivieren und Chatverläufe nicht nur von Ihrem Gerät, sondern auch von dem Ihres Gesprächspartners manuell entfernen – das ist sehr stark! Auch dass unverschlüsselte Dateien und Nachrichten keine Chance haben, gefällt uns sehr: asymmetrische Ende-zu-Ende-Verschlüsselung ist hier Standard und der Transport wird zusätzlich per SSL abgesichert. Auf den in Deutschland stehenden Servern verbleiben verschlüsselte Nachrichten und Dateien solange, bis der Selbstzerstörungsmechanismus greift. Hat der Empfänger die Nachricht auch nach 14 Tagen noch nicht abgerufen, werden sie dennoch vom Server gelöscht. Empfangene Dateien und Metadaten verschlüsselt die Messenger-App lokal. Leider arbeitet der Messenger „Sicher“ mit 1.024-Bit-RSA-Schlüsseln, die seit 2003 als unsicher gelten. Wirklich überzeugen kann „Sicher“ also nicht: das Grundkonzept stimmt, jedoch zeigt sich die Umsetzung mehr als mangelhaft.

Fazit unserer zweiten Messenger-Testrunde

Der ausführliche Messenger-Test Runde 2 Es zeigt sich, dass unsere Schweizer Nachbarn viel von Sicherheit verstehen: Threema und myENIGMA gehen als Sieger aus dem Test hervor. Dicht dahinter ist TextSecure, allerdings wünschen wir uns plattformübergreifende Lösungen, bei denen lediglich eine App installiert sein muss. Dieses Kompatibilitäts-Wirrwarr trägt nicht unbedingt dazu bei, dass der ansonsten hervorragende und sichere Messenger gerne installiert wird – schade! Überzeugen kann auch die Deutsche Post mit SIMSme, wenngleich wir uns wünschen würden, dass das kostenpflichtige Sicherheitsfeature der selbstzerstörenden Nachrichten inklusive wäre. Vielleicht kann stattdessen das eine oder andere Stickerpaket verkauft werden? Darüber sollte die Deutsche Post nachdenken, und bei dieser Gelegenheit bitte auch über den ungefragten Adressbuchzugriff, denn dann ist der Messenger genauso stimmig wie die Schweizer Kollegen.

Das Konzept von Telegram und Sicher klingt gut, jedoch hapert die Umsetzung: die vollmundigen Versprechen scheitern an weltweit verstreuten Servern (Telegram), englischsprachigen AGB und Datenschutzerklärungen (beide Messenger), ungefragten Adressbuchzugriff (beide Messenger) und unzureichenden, da veralteten und unsicheren Verschlüsselungsparametern (Sicher). Telegram ist hier auf einem besseren Weg, da im vergangenen Jahr viele Kritikpunkte zugunsten der Transparenz angegangen wurden. Wir hoffen, dass Telegram diesen Weg beibehält und seine Sicherheit weiter erhöhen kann!

Eine „Selbst-Bastel-Lösung“ für versierte Anwender, die autonom bleiben möchten, offeriert mailbox.org mit dem hauseigenen Jabber-Server. Diese Lösung können wir Ihnen sehr ans Herz legen, wenn Sie mit vorgefertigten Ideen ohnehin wenig anfangen können. Sie suchen sich Ihren Client aus, chatten mit Bedacht und OTR sowie XMPP sind Ihnen nicht fremd: wunderbar, dann finden Sie eine ausgezeichnete Basis bei mailbox.org – vorausgesetzt, Ihnen sind 12 Euro Jahresgebühr entweder nicht zu viel oder Sie pflegen ohnehin einen E-Mail-Account bei dem Berliner.

Gänzlich raus aus der Sicherheitsdiskussion sind LINE und WeChat, jedoch auch WhatsApp. WhatsApp verschlüsselt Nachrichten leider nicht grundsätzlich und noch immer existieren zu viele Datenschutzmängel; wir verstehen das teilweise Einbinden der Ende-zu-Ende-Verschlüsselung jedoch als Zeichen dafür, dass Facebook, das Unternehmen hinter dem Messenger, zumindest über Sicherheit nachdenkt. Das ist ein Schritt in die richtige Richtung, macht WhatsApp jedoch auch nicht sicher. Von LINE und WeChat dürfen Sie nichts erwarten, was Sicherheit betrifft – Ihre Daten sind Freiwild und wenn Sie Datenschutz ansatzweise ernst nehmen, verzichten Sie auf diese reinen Spaß-Messenger.



0 Kommentar(e)

Schreibe einen Kommentar