Messenger

#MessengerRevival2016: Mailbox.org & Sicher

6. September 2016
  • Messenger

© anyaberkut - Fotolia.com

In unserem ersten Test des mailbox.org-Messengers kamen wir zu dem Fazit, dass der Messenger, der eigentlich keiner ist, eher in versierte Hände gehört: die Vor- und Nachteile von OTR und XMPP sollte man kennen und wissen, wie man damit umgeht. Insgesamt allerdings überzeugte diese Idee des Berliner Startups.

Beim Messenger mit dem vielversprechenden Namen „Sicher“ stimmte in der Grundidee: Optik, Bedienbarkeit und Features haben überzeugt, jedoch wurden unsichere 1.024 Bit-RSA-Schlüssel verwendet. Potenzial dafür, dass der Messenger-Name Programm wird, sahen wir. In der Umsetzung gab es dennoch diverse Kritikpunkte.

Was ist aus den Testkandidaten geworden? Wir haben erneut getestet:

Mailbox.org im Test

Mailbox.org stammt von einem Berliner Entwickler, der keinen klassischen Messenger bereitstellt. Vielmehr handelt es sich um einen Server, der das Chatten via XMPP erlaubt. Demzufolge laden Sie bei Interesse auch keine App herunter, sondern suchen sich einen XMPP-fähigen Client. Sie können also definitiv plattformunabhängig kommunizieren, wenn Sie das Angebot nutzen möchten.

Um das zu tun, ist es jedoch unabdingbar, einen Account bei mailbox.org zu besitzen. Das Hauptaugenmerk des Berliner Entwicklers liegt auf dem Anbieten eines sicheren E-Mail-Postfachs, das wir für Sie bereits getestet haben. Für diesen Account zahlen Sie jährlich ab 12 Euro (s. Preisliste von mailbox.org).

Nutzen Sie das E-Mail-Angebot ohnehin, ist also der Messenger für Sie kostenfrei. Möchten Sie lediglich den Jabber-Server von mailbox.org nutzen, ist der Messaging-Service vergleichsweise teuer.

Berechtigungen & Usability hängen vom Client ab

Mailbox.org Einstiegshürden Je nachdem, für welchen XMPP-Client Sie sich entscheiden, können die Berechtigungen sehr unterschiedlich ausfallen. Eine gute Entscheidungshilfe bietet die XMPP Standards Foundation (XSF) auf ihrer Website. Auch entscheidet der von Ihnen gewählte Client darüber, wie nutzerfreundlich das Kommunizieren für Sie wird, sodass wir hier keine Wertung vergeben können.

In einem Knowledge-Base-Artikel weist mailbox.org darauf hin, dass Sie den Jabber/XMPP-Service auch mit dem Tor Messenger nutzen können, um „unbeobachtet und anonym“ zu bleiben. Mittlerweile durchläuft der Tor Messenger die Public-Beta-Phase mit der Version 0.1.0b6; alle Details entnehmen Sie bitte dem Tor-Blog.

Sicherheit von mailbox.org

Mailbox.org SicherheitMailbox.org wirbt mit Privatsphäre – und das zu Recht! Die Datenschutz- und Allgemeinen Geschäftsbedingungen haben sich seit unserem E-Mail-Anbietertest nicht geändert, sodass die im Absatz „Datenschutz & AGB bei mailbox.org“ genannten Fakten dieses Beitrags auch heute noch Bestand haben.

Details zur Verschlüsselung erfahren Sie im ersten Testbericht des Messaging-Diensts von mailbox.org, wenn Sie die Absätze „Bedienbarkeit & Features von mailbox.org“ sowie „Die Sicherheit von mailbox.org“ lesen. Darin erfahren Sie auch, warum wir den Messaging-Service eher für versierte User sehen.

Fazit mailbox.org

Unsere Wertung anderer Messenger auf mailbox.org zu übertragen, ist schwierig, denn zu viele Punkte hängen von dem Client ab, den Sie verwenden möchten. Mit mindestens 12 Euro jährlich ist der Messaging-Dienst von mailbox.org jedenfalls der bisher teuerste in unserem Test. Das relativiert sich jedoch, wenn Sie ohnehin das E-Mail-Angebot des Berliner Entwicklers nutzen.

Plattformunabhängig kommunizieren können Sie jedenfalls. Das Übertragen der Kontakte, die Berechtigungen und die Usability (mit den Unterpunkten Features, Bedienung und Zuverlässigkeit) haben wir aus der Bewertung rausgenommen, da diese Punkte clientabhängig sind.

Dank OTR-Protokoll nutzen Sie mit dem mailbox.org-Messaging-Service Ende-zu-Ende-Verschlüsselung in sämtlichen gängigen XMPP-Clients. Etwaige weitere Schutzmechanismen lassen wir wieder außen vor, da dieser Wertungspunkt wieder in Abhängigkeit zum gewählten Client steht. Serverstandorte in Deutschland, nur das nötigste an Datenspeicherung so kurz wie möglich und transparente, klare Datenschutzbestimmungen & AGB überzeugen voll.

Wir bleiben beim Fazit des Vorjahrs: OTR und XMPP bringen Vor- und Nachteile mit sich, die man kennen muss, um sicher zu chatten. Als versierter User, der sich seinen Messenger selbst zusammenstellen möchte, sind Sie bei mailbox.org bestens bedient. Suchen Sie eine fertige und sichere Lösung, empfehlen wir nach den bisherigen Tests Threema und SIMSme.

Sicher im Test

„Unbegrenzt sicher“: ein vollmundiges Versprechen, dass SHAPE als Entwickler des Messengers „Sicher“ auf seiner Website macht. Die Preisstruktur ist, wie schon im ersten Test, undurchsichtig, wenn sich auch die einzelnen Preise etwas geändert haben:

iOS-User zahlen 0,99 €, Android-Usern entstehen keine Download-Kosten, womöglich aber In-App-Käufe und Windows Phone-User zahlen mit 1,49 € den höchsten Preis.

Genauso undurchsichtig wie die Preisgestaltung ist die Versionierung: Sicher für iOS liegt in Version 1.7 vom 29. Oktober 2015 vor, die Android-Version wurde zuletzt am 17. Juni 2014 aktualisiert, für Windows Phone finden sich im App Store keine Informationen.

Berechtigungen, die Sicher benötigt

Sicherheit EinstiegshürdenDie Berechtigungsliste von Sicher ist nicht ganz so kurz wie die von SIMSme, jedoch deutlich kürzer als die der bislang sonst getesteten Mitbewerber – einschließlich Threema:

  • Geräte- & App-Verlauf: aktive Apps abrufen
  • Identität: Konten auf dem Gerät suchen
  • Kontakte:
    • Konten auf dem Gerät suchen
    • Kontakte lesen und Kontakte ändern
  • Standort: ungefährer & genauer Standort (GPS- & netzwerkbasiert)
  • Telefon: Telefonstatus & Identität abrufen
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte lesen, ändern oder löschen
  • Speicher: USB-Speicherinhalte lesen, ändern oder löschen
  • WLAN-Verbindungsinformationen: WLAN-Verbindungen abrufen
  • Geräte-ID & Anrufinformationen: Telefonstatus & Identität abrufen
  • Sonstiges:
    • Daten aus dem Internet abrufen
    • Netzwerkverbindungen abrufen
    • Zugriffe auf alle Netzwerke
    • Beim Start ausführen
    • Vibrationsalarm steuern
    • Ruhezustand deaktivieren
    • Systemeinstellungen ändern
    • Verknüpfungen installieren

Usability von Sicher

Sicher UsabilityFür unseren Test haben wir die App installiert und möchten uns anmelden. Nach einer Viertelstunde warten wir noch auf die Bestätigungs-SMS, bei der jedoch in einem Hinweis angekündigt wird, dass diese nicht sofort übermittelt wird. Sicher weist uns darauf hin, dass die Test-Mobilfunknummer, die wir auch für alle anderen Messenger in diesem und den Vorjahren verwendet haben, bereits registriert ist und wir werden gefragt, ob wir auf dieses Gerät übertragen möchten. Nach dem Bejahen warten wir weiter auf unseren 4-stelligen Code.

Da wir noch nichts über die Möglichkeiten, Kontakte in den Messenger zu bekommen, berichten können, werfen wir erst mal einen Blick auf die Features, die in den App Stores aufgelistet sind:

  • verschlüsselt chatten & verschlüsselter Versand von Multimedia-Dateien, Sprachnachrichten sowie Orten und Dateien
  • Selbstzerstörungsfunktion mit Timer oder manueller Entfernung
  • Gruppenchats
  • anonyme Push-Benachrichtigungen

Die anonymen Push-Benachrichtigungen halten wir für ein sehr sinnvolles Feature! Zwar lässt sich in den Mobiltelefon-Einstellungen festlegen, dass Inhalte bei gesperrtem Smartphone nicht angezeigt werden. Ob das jedoch jeder User weiß, scheint fraglich, weshalb diese Option im Messenger sehr sinnvoll ist.

Wie zuverlässig ist Sicher?

Da wir nach wie vor auf das Eintreten ins „Sicher-Reich“ und damit auf unseren Code warten, können wir nur wiedergeben, was wir an anderer Stelle lesen oder bereits selbst im Vorjahr getestet haben. Kontakte kommen in den Messenger, indem sich dieser am Telefonbuch bedient. Das stellten wir voriges Jahr fest und lesen es nun in den Sicher-FAQ.

In den bisherigen Tests anderer Messenger war das Übertragen eines bisherigen Accounts auf das heutige Gerät kein Thema: funktioniert haben bei uns alle Messenger. Hier scheint Sicher eine Ausnahme zu machen. Wir werfen einen Blick in die Meinungen anderer User in den App Stores:

Nur 63 iOS-User haben Sicher bislang bewertet. Dabei kommen alle Versionen auf 3,5, die aktuelle Version lediglich auf 2,5 Sterne. Klingen die ersten beiden schriftlichen Bewertungen noch jubelnd, zeigt die dritte dasselbe Problem, vor dem wir gerade stehen: kein Code, kein Messaging.

853 Android-User finden, die App verdient 3,6 Sterne. Die letzten Beiträge klingen eher nach Verzweiflung als nach Begeisterung: Fehler in den Verbindungen, das Fehlen von Kontakten im Messenger, obwohl die Kontakte ebenfalls Sicher benutzen, die SMS mit dem Code käme zwar an, danach ginge jedoch nichts mehr.

Der Support schweigt sich elegant aus. Das klingt anders in der Beschreibung im App Store, in der der Entwickler schreibt: „Wir nehmen gerne Ihr Feedback entgegen! Sie können unser Sicher-Team jederzeit auf den folgenden Links kontaktieren: twitter.com/sicherapp / facebook.com/sicherapp“. Diese Social Media-Kanäle sind jedoch leider seit Juni 2014 verwaist.

Sicherheit von Sicher

Sicher SicherheitJetzt wird es merkwürdig („Jetzt erst?“, könnten Sie fragen – wir korrigieren: jetzt wird es richtig merkwürdig!). Im Testbereich Sicherheit prüfen wir zunächst immer die Verschlüsselung. Im Testbericht vom 19. Mai 2015 schrieben wir:

„Ende-zu-Ende-Verschlüsselung für Nachrichten und Dateien, Selbstzerstörungs-Mechanismus für Nachrichten, lokale Verschlüsselung, Transportverschlüsselung für den Versand und Server in Deutschland: klingt sehr gut! Schade, dass es auch bei Sicher nicht ohne ein Aber geht: Es kommen RSA-Schlüssel mit 1.024 Bit Länge zum Einsatz – bereits seit 2003 gilt dieses Verfahren nicht mehr als sicher.

Laut App Stores wurde der Messenger am 29. Oktober 2015 (iOS) bzw. am 17. Juni 2014 (Android) aktualisiert. In den FAQ jedoch lesen wir unter der Frage „Wie kann ich mir sicher sein, dass Sicher die Nachrichten verschlüsselt sendet?“ diese Antwort: „Sicher benutzt Point-to-Point Verschlüsselung, basiert auf asymmetrischer Kryptographie. Das heisst, dass nur der Empfänger der den Schlüssel besitzt, die Nachricht entschlüsseln kann. Das RSA Krypto-System ist mit 2048 bit Schlüsseln verschlüsselt. Hinzu kommt eine extra SSL Verschlüsselung zwischen mobilen Apps und den Sicher Servern.“

Uns erschließt sich der Sprung von 1.024 auf 2.048 Bit nicht. Eventuell hat Sicher die iOS-Version aktualisiert und setzt dort nun auf 2.048 Bit, das könnte vom Datum her passen. Unter Android wurde seit unserem Testbericht die App jedoch nicht mehr aktualisiert, sodass hier eigentlich noch 1.024 Bit-Schlüssel verwendet werden müssten.

Da jedoch nach wie vor RSA-Schlüssel genutzt werden, hat unsere Kritik aus dem Vorjahr weiterhin Bestand: möchte SHAPE seinen Messenger Sicher wirklich sicher machen, müssen sich die Entwickler etwas anderes einfallen lassen. Bis hierhin wirkt unser Test jedoch, als würde SHAPE den Messenger gar nicht mehr pflegen. Unser Bestätigungs-Code ist übrigens trotz zwischenzeitlicher Deinstallation und Neuinstallation noch nicht da.

AGB & Datenschutzerklärung von Sicher

Da sich diese Rechtstexte seit unserem Test aus dem Vorjahr nicht geändert haben, lesen Sie dazu bitte den Punkt „AGB & Datenschutzvereinbarungen von Sicher“ in diesem Testbericht.

Fazit Sicher

Sicher möchte sicher sein – ist aber irgendwie gar nichts. Die Kosten haben sich seit dem Vorjahrestest geändert, sind aber undurchsichtig geblieben. Zum Übertragen von Kontakten wird das Telefonbuch durchwühlt, was laut AGB auch immer mal zwischendurch passieren soll. Von den kompatiblen Betriebssystemen sind mit Android, iOS und Windows Phone die drei wichtigsten mit an Bord und auch die kurze Berechtigungsliste stimmt uns milde.

Die Feature-Liste halten wir für ausreichend. Es gibt Messenger, die mehr bieten, jedoch ist das Wesentliche enthalten. Auch Deutschland als Serverstandort begeistert uns, genauso wie die sehr sparsame Art, mit Daten umzugehen.

Doch was nützt das, wenn der Messenger gar nicht funktioniert? Richtig, unser Code ist immer noch nicht da. Die letzten App-Updates sind viel zu lang her, Verwirrung entsteht insbesondere, wenn man die neuen Verschlüsselungsparameter mit den Update-Daten vergleicht: hier kann was nicht stimmen. Das ist schade, denn mit Passwortschutz, verborgenen Push-Benachrichtigungen und selbstzerstörenden Nachrichten sind schöne Extra-Sicherheitsfeatures gegeben.

Letztlich zeigen jedoch auch Fremdmeinungen der User in den App Stores, dass Sicher offenbar gar keinen Support mehr vom Entwickler erfährt. Und RSA-Schlüssel zu verwenden, ist genauso unsicher, wie gar nicht zu verschlüsseln. Seinem Namen macht der Messenger keine Ehre. Und deshalb muss sich Sicher den letzten Platz mit WeChat teilen: beide Messenger stehen mit einer Gesamtwertung von 1,8 von 3 möglichen Sternen weit unter der Konkurrenz. Wir sind uns relativ sicher, dass unsere letzten Testkandidaten daran in der kommenden Woche nicht mehr rütteln werden.



0 Kommentar(e)

Schreibe einen Kommentar