Testberichte

#MessengerRevival2016: Signal & SIMSme

30. August 2016 von PSW GROUP Redaktion

SIGNAL vs SIMSme
© anyaberkut - Fotolia.com

0
(0)

Als wir Signal erstmals testeten, hieß der Messenger noch TextSecure und war nur unter Android zu haben. Die Funktionalität fiel zugunsten der Sicherheit eher gering aus. Hacker Moxie Marlinspike spendierte dem Messenger eine solide Verschlüsselung, jedoch störten wir uns an der fehlenden Plattformkompatibilität. Im zweiten Test hatte sich erstaunlich wenig getan. Zwar gab es einen iOS-Pendant, jedoch wurde die Android-Version gesplittet und so richtig konnte noch nicht vom plattformübergreifenden Messenger gesprochen werden.

SIMSme, den Messenger der Deutschen Post, haben wir erst einmal getestet. Die Grundidee gefiel uns: nur verschlüsselte Nachrichten gehen ein und aus. Jedoch kann die Verschlüsselung nirgends geprüft werden und es gab weitere Sicherheitsaspekte, die uns nicht so gefielen. Transparente AGB und Datenschutzvereinbarungen, leichte Bedienung und Server in Deutschland gefielen uns umso mehr.

Signal und SIMSme: zwei Messenger, die sich Sicherheit auf die Fahnen geschrieben haben. Wie haben sich die beiden entwickelt?

 

Messenger Signal im Test

„Privacy that fits in your pocket“ – dieses Motto prangt auf der Webseite von Open Whisper Systems, dem Entwicklerteam des Messengers Signal. Darunter sind Meinungen über den Messenger zu lesen. Nicht von irgendwelchen Medien, die mal getestet haben, sondern von richtigen Größen, die es wissen müssen.

Edward Snowden etwa wird zitiert: „Use anything by Open Whisper Systems.“ und auch Krypto-Guro Bruce Schneier scheint begeistert: „i am regularly impressed with the thought and care put into both the security and the usability of this app. It’s my first choice for an encrypted conversation“, lobt Schneier.

Mittlerweile konnte sich Open Whisper Systems auf eine App für zwei Betriebssysteme einigen: Signal gibt es für iOS und Android. Werbefrei und komplett kostenlos kann die App für Smartphones heruntergeladen werden. Für Chrome-User existiert zudem eine Desktop-Version: verbinden Sie die Chrome-App mit der Signal-App auf Ihrem Smartphone, können Sie auch via Browser chatten.

Auch Signal möchte viele Berechtigungen

Signal Einstiegshürden Die meisten Messenger, die Privatsphäre versprechen, halten sich mit Berechtigungen sehr zurück – bei Threema kann man das recht gut sehen. Signal greift verhältnismäßig üppig zu:

  • Geräte- & App-Verlauf: vertrauliche Protokolldaten lesen
  • Identität:
    • Kontaktkarten lesen
    • deine Kontaktkarten ändern
    • Konten auf dem Gerät suchen
  • Kalender:
    • Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden
    • Kalendertermine sowie vertrauliche Informationen lesen
  • Kontakte:
    • Kontakte lesen & ändern
    • Kontakte auf dem Gerät suchen
    • Standort: ungefährer & genauer Standort (GPS- & netzwerkbasiert)
  • SMS:
    • SMS & MMS empfangen
    • SMS oder MMS lesen
    • SMS senden
    • SMS oder MMS bearbeiten
  • Telefon:
    • Telefonstatus & Identität abrufen
    • Anrufliste lesen
    • Telefonstatus ändern
    • ausgehende Anrufe umleiten
    • Telefonnummern direkt anrufen
    • alle Telefonnummern direkt anrufen
    • Anrufliste bearbeiten
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte ändern oder löschen und lesen
  • Speicher: USB-Speicherinhalte ändern oder löschen und lesen
  • Kamera: Bilder & Videos aufnehmen
  • Mikrofon: Audio aufnehmen
  • WLAN-Verbindungsinformationen abrufen
  • Geräte-ID & Anrufinformationen: Telefonstatus und Identität abrufen
  • sonstige:
    • von WAP-PUSH empfangenen Broadcast senden
    • Daten aus dem Internet abrufen
    • beim Start ausführen
    • Vibrationsalarm steuern
    • Netzwerkverbindungen abrufen
    • Netzwerkkonnektivität ändern
    • Ruhezustand deaktivieren
    • Zugriff auf alle Netzwerke
    • Synchronisierungseinstellungen lesen
    • Synchronisierung aktivieren oder deaktivieren
    • Konten erstellen und Passwörter festlegen
    • Konten auf dem Gerät verwenden
    • WLAN-Verbindungen herstellen und trennen
    • Hintergrund festlegen
    • Audio-Einstellungen ändern
    • Pairing mit Bluetooth-Geräten durchführen
    • Dauerhaften Broadcast senden
    • Bildschirmsperre deaktivieren

Viele Berechtigungen sind von anderen Messengern bekannt; im ersten Testbericht finden Sie Erklärungen zu gängigen Berechtigungen. Neu und stutzig machend sind jedoch die folgenden Berechtigungen:

  • Geräte- & App-Verlauf: vertrauliche Protokolldaten lesen: Im Grunde ist die Zugriffsberechtigung harmlos; sie dient App-Betreibern dazu, Abstürze und Fehlermeldungen besser auszuwerten. Durchs Auslesen geöffneter Websites und Apps lassen sich entsprechende Informationen ziehen. Jedoch ist die Zugriffsberechtigung nicht ganz ungefährlich: wenn eine nicht sauber programmierte App auch Login-Daten protokolliert, können diese gelesen und dafür ausgenutzt werden, Privatdaten auszuspähen. Verlangt eine App diese Berechtigung, ist also erst mal Vorsicht geboten. Prüfen Sie im Einzelfall, wie vertrauenswürdig die App insgesamt ist, die eine solche Berechtigung verlangt.
  • Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden: Diese Berechtigung klingt spektakulärer als sie ist. An Facebook lässt sie sich gut erklären: hat einer Ihrer Kontakte Geburtstag, so wird dies automatisch an Ihren Kalender übertragen. Auch lassen sich Erinnerungsmails an etwaige Gäste versenden. Manche Apps nutzen diese Berechtigung auch sehr intelligent: sind Sie in einem Termin, schalten Apps Benachrichtigungen während dieser im Kalender eingetragenen Zeit ab. Ergibt sich also das Erfordernis dieses Zugriffs aus dem App-Zweck, können Sie der Berechtigung zustimmen.
  • Kalendertermine sowie vertrauliche Informationen lesen: Diese Berechtigung arbeitet mit der eben genannten zusammen; ihr Sinn und Zweck ist derselbe.

Signal nutzt Telefonbuchkontakte

An dem Weg, wie die Kontakte in den Messenger kommen, haben die Entwickler nichts geändert: Signal bedient sich wie gehabt am Telefonbuch. Jedoch werden die Telefonnummern gehasht und nur vorübergehend, nämlich lediglich zum Abgleich etwaiger Signal-Nutzer, an die Server gesendet.

Bei der ersten Nachricht, die Sie mit einem Kontakt austauschen, werden Identitätsinformationen mitgesendet. Dies dient dem Vermeiden einer Konversation mit einer falschen Identität. Um Kontakte zu verifizieren, können Sie den Kontaktnamen gedrückt halten, bis Sie den Fingerabdruck Ihres Schlüssels sowie den Ihres Kontakts sehen. Einen dazugehörigen QR-Code können Sie einscannen, um so den Fingerabdruck zu verifizieren.

Usability von Signal

Signal UsabilityMit Signal umzugehen, ist leicht und ziemlich selbsterklärend. Der Messenger ist intuitiv bedienbar und durch das Verifizieren durch Ihre Telefonnummer verzichten Sie auf die zusätzliche Eingabe von Login-Daten. Bedenken Sie bitte: was so bequem wirkt, bringt immer Sicherheitsrisiken mit sich. Gehen Sie jedoch in die App-Einstellungen, können Sie einen Passwortschutz für die App aktivieren.

Von seinen Features und Funktionen kann Signal nicht ganz oben mitspielen; insbesondere WeChat und LINE sind und bleiben bislang auf diesem Gebiet unschlagbar. Nichtsdestotrotz ist das Funktionspaket, das Signal mitbringt, für einen Messenger ausreichend:

  • verschlüsselt telefonieren
  • verschlüsselte Nachrichten versenden (alternativ unverschlüsselte SMS)
  • Gruppenchats
  • Multimediaversand
  • Standort- & Kontaktversand

Wie zuverlässig arbeitet Signal mittlerweile?

Fielen im ersten TextSecure-Test noch diverse Störmeldungen auf, verschwanden diese bereits in unserem zweiten Testdurchlauf. Auch in der dritten Testrunde zeigt sich der Messenger Signal unter den beiden möglichen Betriebssystemen als zuverlässig.

Mehr als 1.050 iOS-User bewerten den Messenger mit 4,5 Sternen, die Bewertungskommentare klingen sehr zufrieden. Ebenfalls mit 4,5 Sternen bewerten über 73.250 Android-User. Hier sind jedoch neben zahlreichen Positiv-Kommentaren auch immer mal welche dabei, die von Funktionsstörungen berichten. In unserem Test funktionierte alles problemlos.

Sicherheit von Signal

Signal SicherheitKurz und schmerzlos: die Sicherheit von Signal war gut, ist gut und bleibt hoffentlich auch so. Sowohl Telefonate als auch Nachrichten werden Ende-zu-Ende-verschlüsselt übertragen, der Quellcode ist einsehbar und mehrfach für gut befunden worden. Dank PFS können Nachrichten auch rückwirkend nicht entschlüsselt werden, lediglich gehashte Werte landen vorübergehend auf den Servern.

Details zu den Sicherheitsfeatures entnehmen Sie bitte unserem ersten Testbericht. Dedizierte AGB und Datenschutzvereinbarungen existieren nach wie vor nicht; der Signal-Messenger steht unter AGPLv3-Lizenz.

Fazit zum Messengerdienst Signal

Bei Signal hat sich nicht irre viel getan, jedoch sind die Entwickler einen wichtigen Schritt weiter: mit einer App können Sie plattformübergreifend – zumindest unter Android, iOS und mithilfe der Chrome-App – kommunizieren. Das App-Chaos aus dem vorigen Test ist beseitigt.

Alles andere ist gewohnt gut: der Funktionsumfang kann sicher nicht mit dem der Spaßmessenger mithalten, muss jedoch auch gar nicht sein, denn alle wichtigen Funktionen sind inklusive. Verschlüsselt wird per Textnachricht oder auch Telefonat kommuniziert, wobei die Verschlüsselung dank offenem Quellcode nachprüfbar ist.

Bei den Berechtigungen greift der Messenger zwar ordentlich zu, allerdings sind sämtliche Zugriffe begründbar. Mit Daten gehen die Entwickler vorsichtig um. Ihnen gelingt der Spagat zwischen Bequemlichkeit (Adressbuchabgleich) und Sicherheit (nur vorübergehende Speicherung gehashter Werte). Mit zusätzlichen Sicherheitsfeatures (Passwortvergabe) können sich User vor unbefugtem Zugriff durch Dritte schützen.

Signal macht eine gute Figur und steht mit einer Gesamtwertung von 2,4 von 3 möglichen Punkten nun an Platz 2 hinter Threema. Schauen wir doch mal, ob SIMSme diese bisherige Bestenliste durcheinanderwirbeln kann.

 

Messenger SIMSme im Test

Nach wie vor kann mit SIMSme der Deutsche Post-Messenger unter iOS, Android und Windows Phone verwendet werden. Sowohl vom Tablet als auch vom Smartphone aus können Sie SIMSme benutzen; Desktop-Apps existieren nicht. Den Messenger laden Sie zwar kostenfrei herunter, einige Funktionen müssen Sie jedoch durch In-App-Käufe erst freischalten.

SIMSme greift sparsam zu

SIMSme EinstiegshürdenDie Liste der Berechtigungen ist bei SIMSme erfreulich kurz:

  • Kontakte lesen
  • genauer Standort (GPS- & netzwerkbasiert)
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte ändern oder löschen und lesen
  • Speicher: USB-Speicherinhalte ändern oder löschen und lesen
  • Kamera: Bilder & Videos aufnehmen
  • Mikrofon: Audio aufnehmen
  • WLAN-Verbindungsinformationen: WLAN-Verbindungen abrufen
  • sonstige:
    • Daten aus dem Internet abrufen
    • Netzwerkverbindungen abrufen
    • Google-Servicekonfiguration lesen (Android)
    • Ruhezustand deaktivieren
    • Zugriff auf alle Netzwerke

Da kann keine der bisher getesteten Apps mithalten: SIMSme verlangt mit Abstand die wenigsten Berechtigungen – volle Punktzahl!

Usability von SIMSme

SIMSme UsabilityAuch SIMSme wählt den bequemen Weg und scannt Ihre Kontakte, um SIMSme-User direkt in den Messenger hinzuzufügen. Als Extra-Feature lässt sich die Identität des Kontakts per QR-Code-Scan prüfen. Von den Funktionen her kann SIMSme, wie schon Signal, nicht ganz oben mitspielen, wir finden jedoch, dass das Wesentliche schon dabei ist:

  • verschlüsselt chatten & SMS versenden
  • Dateiversand mit bis zu 10 MB
  • Dateien lassen sich auch aus anderen Apps heraus versenden, beispielsweise Dropbox, Microsoft OneDrive oder Google Drive
  • Sprachnachrichten
  • Versand von Standortinformationen
  • Gruppenchats
  • selbstzerstörende Nachrichten (In-App-Kauf)
  • Content-Kanäle (z. B. GIGA, Gala, FAZ, kicker, Cosmopolitan, etc.) mit News

Dass selbstzerstörende Nachrichten erst hinzugekauft werden müssen, kritisieren wir nach wie vor. Zahlreiche Apps bieten dieses Feature kostenfrei an. Die Content-Kanäle hingegen sind ein sehr nettes Zusatzfeature: so können geneigte Leser Nachrichten direkt im Messenger erhalten und können ihre bevorzugten Medien auswählen.

SIMSme lässt sich angenehm bedienen

Die Bedienung des Messengers zeigt sich sehr einfach. In Post-Gelb gestaltet, dürfte jeder, der auch mit WhatsApp zurechtkommt, bei SIMSme keine Probleme haben. Das Design ist schlicht und funktional, damit kommt wohl jeder Nutzer bestens zurecht.

Jüngere Kommentare sind auch in den App-Stores wohlwollend. Knappe 4.900 Bewertungen von iOS-Usern attestieren dem Messenger mit 4 Sternen zuverlässige Funktionalität. Im Google Play-Store haben 13.675 User mit insgesamt 3,5 Sternen bewertet. Auffällig dabei ist, dass die Bewertungen aus der jüngeren Zeit deutlich zufriedener klingen:

die Post habe den Messenger gut weiterentwickelt, die App sei bequem, sie könne locker mit WhatsApp mithalten – das sind zusammenfassend einige Stimmen. Diese Zufriedenheit war in früheren Versionen nicht so deutlich, sodass man davon ausgehen kann, dass sich mit steigenden Nutzerzahlen auch die 3,5 Sterne nach oben korrigieren.

Sicherheit von SIMSme

SIMSme SicherheitDie Verschlüsselungsparameter und Sicherheitsfeatures von SIMSme haben sich nicht geändert. Bitte lesen Sie für ausführliche Informationen den Absatz „Die Sicherheit von SIMSme“ im ersten Testbericht. Auf der Website von SIMSme erhalten Sie darüber hinaus grafisch gut aufbereitete Informationen über die Ende-zu-Ende-Verschlüsselung und weiteren Sicherheitsfeatures des Messengers.

AGB & Datenschutzerklärung von SIMSme

Leider verzichtet die Deutsche Post darauf, Änderungsdaten in die AGB zu setzen. Also lesen und prüfen wir erneut: gut auffindbar und deutschsprachig sind beide Rechtstexte. In den AGB ist zu lesen, dass „jede Nachricht sofort nach dem Download durch den jeweiligen Empfänger, sonst nach 30 Tagen gelöscht“ wird.

Uns erfreut auch dieser Part: „Das SIMSme-System ist im Sinne einer Ende-zu-Ende-Verschlüsselung so gestaltet, dass i. keine unverschlüsselten Informationen (Dokument, Dokumentenschlüssel, Dokument- und Ordnernamen) übertragen oder auf dem SIMSme-Server gespeichert werden, ii. die zur Entschlüsselung der Dokumente erforderlichen Schlüssel das jeweilige Endgerät nicht verlassen, und iii. Dokumente nur auf den freigegebenen Endgeräten des Nutzers oder der Empfänger gelesen werden können. Jeder Empfänger kann die Nachrichten weitergeben.“

Verschlüsselung auf dem aktuellen Stand der Technik

Für die Verschlüsselung setzt die Deutsche Post auf Technik, die laut BSI dem aktuellen Stand entspricht und als sicher gilt. Server und dazugehörige Speichersysteme werden „in einem nach ISO 27001 IT-Grundschutz zertifizierten Rechenzentrum in Deutschland betrieben. Ein Transfer der Daten ins Ausland durch DPAG erfolgt nicht.“ Weiter speichert der Server keine Passwörter, da die Authentifizierung lokal auf dem Endgerät stattfindet.

Fürs Schützen des Passworts sieht die Deutsche Post AG den Nutzer in der Verantwortung. User, die ihren Account schließen möchten, haben die Möglichkeit, das Nutzerprofil zunächst vom SIMSme-Server und anschließend die App auf dem Endgerät zu löschen.

SIMSme bevorzugt lokales Speichern

Beim Lesen der Datenschutzvereinbarung erfährt man, dass Login- sowie die gesamten Kommunikationsdaten lokal auf dem Gerät verschlüsselt und gespeichert werden. Ausschließlich Ihre Telefonnummer, Ihr Profilbild sowie Ihr Nickname werden verschlüsselt auf dem Server gespeichert.

Beim Kontakte-Abgleich werden jene Kontakte, die SIMSme nicht verwendet, wieder vom Server gelöscht. Ende-zu-Ende-verschlüsselte Nachrichten werden auf dem Server lediglich zwischengespeichert. Der Nutzer hat die Möglichkeit, seine Daten restlos über die App vom Server zu löschen.

Daten werden anonymisiert genutzt

Zum Zwecke der „Qualitätssicherung und anforderungsgerechten Weiterentwicklung“ des Messengers werden anonymisierte Daten zu Ihrem Nutzungsverhalten ausgewertet. Als Beispiele beschreibt die DPAG die „Anzahl aller mit SIMSme gesendeter Nachrichten, Anzahl aller Logins pro Tag, etc.“ und ergänzt: „Ein Rückschluss von diesen anonymen Daten auf natürliche Personen ist nicht möglich.“

Datenverarbeiter ist die Adjust GmbH aus Berlin, die ihrerseits mit dem EU ePrivacy Siegel für die Datensicherheit zertifiziert wurde. Sehr schön: diese Auswertung ist kein Muss. Sie haben in den App-Einstellungen unter „Datenschutz“ die Möglichkeit, das Erfassen und Weiterverarbeiten Ihrer anonymisierten Daten abzuschalten.

Ausschließlich nach Ihrer Einwilligung können personenbezogene Daten „auch für produktbezogene Umfragen und Marketingzwecke“ genutzt werden. „Eine Weitergabe, Verkauf oder sonstige Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nicht.“

Passwort ist unabdingbar

Sehr wichtig ist der Absatz „Bedeutung und Verwendung des Passwortes“. Ihr privater Schlüssel wird nämlich mit Ihrem Passwort verschlüsselt – und nur mit Ihrem Passwort können Sie Nachrichten auch entschlüsseln. Selbst wenn Sie die Passwortnutzung deaktiviert haben, müssen Sie Ihr Passwort kennen. Andernfalls können Sie weder die Passwort-Einstellungen ändern noch Ihr Profil löschen.

Verlieren Sie Ihr Passwort, bleibt Ihnen nur noch, Ihren gesamten Account zurückzusetzen und sich neu zu registrieren. Die Deutsche Post ist nicht in der Lage, Ihr Passwort zurückzusetzen oder ein neues Passwort zu generieren. Das mag unbequem klingen, erhöht jedoch die Sicherheit immens. Also: verlieren Sie unter keinen Umständen Ihr Passwort, sonst wird es umständlich.

Fazit zum Messengerdienst SIMSme

SIMSme ist im Download kostenfrei, jedoch können Features durch In-App-Käufe erworben werden. Dass es ausgerechnet Sicherheitsfeatures sind, die bei anderen Messengern inklusive sind, finden wir nicht gut – selbstzerstörende Nachrichten sollten in die normale Feature-Liste kommen und dafür könnten beispielsweise die Content-Kanäle erworben werden, wenn die DPAG auf In-App-Käufe nicht verzichten möchte.

Extrem beeindruckend ist hingegen die extrem kurze Zugriffsliste: wir wünschten, jede App würde so sparsam auf die Informationen der Endgeräte zugreifen! Die Bedienung hatte schon voriges Jahr überzeugt, die Zuverlässigkeit hingegen scheint gestiegen zu sein: immer mehr User begeistern sich nun für den Messenger. Die Feature-Liste ist verhältnismäßig kurz, unserem Empfinden nach allerdings absolut ausreichend.

Wenngleich die Verschlüsselung nicht durch einen offenen Quelltext nachvollzogen werden kann, überzeugen die Informationen, die die DPAG bereitstellt. Die DPAG richtet sich an den BSI-Empfehlungen aus und ist in ihren Sicherheitsmaßnahmen zertifiziert worden, das gibt Vertrauen. Server in Deutschland, auf denen lediglich das Nötigste vorübergehend gespeichert wird, begeistern uns genauso wie transparente Rechtstexte mit nachvollziehbarem Datenumgang.

Das hat unsere Wertung tatsächlich noch mal durcheinander gewirbelt: SIMSme steht nach unserem Test gleichauf mit Threema, unserer bisherigen Nr. 1.

Update SIMSme: In-App-Käufe

Wir bedanken uns für den vielfachen Hinweis, die Selbstzerstörungsfunktion von Nachrichten sei kostenfrei. Als wir SIMSme unter Android getestet haben, hätten wir die Funktion für 89 Cent freischalten können – uns stand sie also nicht kostenfrei zur Verfügung. Da das Feature bei vielen Usern jedoch inklusive ist, müssen wir von einem Fehler ausgehen. Offenbar steht die Funktion kostenfrei zur Verfügung.

Das befürworten wir sehr und freuen uns darüber, dass das Sicherheitsfeature inklusive ist! In der Bewertung ändert dies nichts: nach wie vor teilen sich Threema und SIMSme Platz 1. Bis zum Ende unseres #MessengerRevivals2016 kann sich das vielleicht noch mal ändern – seien Sie mit uns gespannt auf die noch folgenden Messenger-Tests!

Update: Deutsche Post verkauft SIMSme

13. März 2019 | Die Deutsche Post verkauft den Messenger SIMSme an das Münchner Startup Brabbler. Das gab das Unternehmen am 13. März 2019 bekannt. Über den Kaufpreis wurden keine Angeben gemacht, allerdings erhält die Post Anteile an dem Startup. Brabbler betreibt den gesicherten Messenger Ginlo und gehört der Gründern von GMX. Wie das Freemail-Angebot von GMX bei unserem Test aus dem Jahr 2016 abschnitt,  könne Sie in unserem Blogbeitrag „E-Mail-Anbieter-Test: Web.de & GMX“ nachlesen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 0 / 5. Vote count: 0



13 Kommentar(e)

Schreibe einen Kommentar zu kosh0r

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es 13 Reaktionen