Messenger

#MessengerRevival2016: WhatsApp & Threema

3. August 2016
  • Messenger

© anyaberkut - Fotolia.com

Als wir 2014 mit unserem großen Messenger-Test gestartet haben, konnten sie unterschiedlicher nicht sein: WhatsApp, der Spaß-Messenger, und Threema, der Sicherheits-Messenger. Bis zur zweiten Testrunde hatte Threema einige Funktionen mehr bekommen, die Sicherheit blieb hoch. WhatsApp gelang bis zum zweiten Test die Einführung von Verschlüsselung in privaten Chats. Seither hat sich viel getan – ob das zugunsten der Sicherheit oder der Funktionalität geschehen ist, testen wir nun.

 

WhatsApp im Test

WhatsApp darf sich mittlerweile zurecht als „plattformübergreifend“ bezeichnen lassen: die App existiert für iOS, Android, BlackBerry OS, Nokia Symbian, Nokia S40 und Windows Phone, außerdem können Windows- und Mac-User eine Desktop-Version nutzen. Im Download war die App schon immer kostenfrei, jedoch wurde ab dem zweiten Jahr eine Gebühr in Höhe von 0,89 € fällig. Seit 2016 ist diese weggefallen, womit WhatsApp nun komplett kostenfrei geworden ist.

Kontakte und Berechtigungen

WhatsApp EintstiegshürdenUm WhatsApp nutzen zu können, geben Sie bei Registrierung Ihre Mobilfunknummer ein und verifizieren sie durch einen Code, den WhatsApp per SMS zustellt. Aufgrund dieses Vorgehens erkennt der Messenger automatisch, welche Kontakte aus Ihrem Telefonbuch WhatsApp ebenfalls nutzen. Diese werden dann in Ihre WhatsApp-Kontaktliste übernommen. Das Übertragen von Kontakten an WhatsApp ist also kinderleicht, aus Datenschutzsicht allerdings zweifelhaft. Auf die folgenden Berechtigungen besteht der Messenger bei der Installation:

  • Geräte- & App-Verlauf: Aktive Apps abrufen
  • Identität:
    • Konten auf dem Gerät suchen
    • Kontaktkarten lesen
    • Konten hinzufügen oder entfernen
  • Kontakte:
    • Konten auf dem Gerät suchen
    • Kontakte lesen
    • Kontakte ändern
  • Standort: genauer & ungefährer Standort (GPS- & netzwerkbasiert)
  • SMS: empfangen & senden
  • Telefon: Telefonstatus und Identität abrufen
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte ändern, löschen und lesen
  • Speicher: USB-Speicherinhalte ändern, löschen und lesen
  • Kamera: Bilder & Videos aufnehmen
  • Mikrofon: Audio aufnehmen
  • WLAN-Verbindungsinformationen: WLAN-Verbindungen abrufen
  • Geräte-ID & Anrufinformationen: Telefonstatus & Identität abrufen
  • sonstige:
    • Daten aus dem Internet abrufen
    • Synchronisierungsstatistiken lesen
    • Vibrationsalarm steuern
    • Beim Start ausführen
    • Konten auf dem Gerät verwenden
    • Nahfeldkommunikation steuern
    • Pairing mit Bluetooth-Geräten durchführen
    • Dauerhaften Broadcast senden
    • WLAN-Verbindungen herstellen und trennen
    • Konten erstellen und Passwörter festlegen
    • Ruhezustand deaktivieren
    • Systemeinstellungen ändern
    • Verknüpfungen installieren
    • Synchronisierungseinstellungen lesen
    • Synchronisierung aktivieren oder deaktivieren
    • Google-Servicekonfiguration lesen
    • Netzwerkverbindungen abrufen
    • Audio-Einstellungen ändern
    • Zugriff auf alle Netzwerke
    • Verknüpfungen deinstallieren

Usability von WhatsApp

WhatsApp UsabilityWhatsApp zu nutzen, ist einfach, leicht und intuitiv. Das war immer schon die Stärke des Messengers und sicherlich mit ein Grund für seine enorm weite Verbreitung: dass nahezu jeder Mensch intuitiv mit WhatsApp zurechtkommt, da die Bedienung kinderleicht ist und wirklich volle Punktzahl verdient. Auch kann sich WhatsApp mit tollen Funktionen rühmen (Aus unseren vorangegangenen Tests wissen wir, dass andere Messenger eine größere Auswahl an Funktionen haben. Aus diesem Grund erhält WhatsApp von uns 2 Sterne bei den Features. Verstehen Sie bitte zwei Sterne als „durchschnittlich“, drei Sterne als „überdurchschnittlich“ und einen Stern als „unterdurchschnittlich“.):

  • Grundfunktion: Messenger für Textnachrichten
  • Multimedia-Funktionen: Versand & Empfang von Fotos, Videos, Sprachnachrichten und Dokumenten
  • kostenfreie Anruffunktion
  • Gruppen-Chats
  • WhatsApp Web als Desktop-Ergänzung zu Smartphone-Funktionen
  • Standort und Kontakte austauschen, eigene Hintergründe und Benachrichtigungstöne, Verlauf kann als E-Mail versendet werden, Broadcast-Nachrichten an mehrere Empfänger

Wie sinnvoll sind die Berechtigungen?

Das sind nicht so viele Funktionen wie etwa bei WeChat zu finden sind, unseres Erachtens zeigt sich die Feature-Liste dennoch recht umfangreich. Daraus folgend, lässt sich auch die Sinnhaftigkeit bzw. Sinnlosigkeit der geforderten Berechtigungen prüfen:

  • Konten-fordernde Berechtigungen sind recht üblich, jedoch können sie auch dazu verwendet werden, andere Accounts des Nutzers auf dem Endgerät zu verwenden. Möchte WhatsApp auf andere Konten zugreifen, werden Sie als Nutzer darüber benachrichtigt.
  • Standort-fordernde Berechtigungen sind ebenfalls nötig, falls Sie Ihren Standort via WhatsApp versenden möchten.
  • Nachrichtenempfang & -versand sind notwendig, damit Ihre Mobilfunknummer verifiziert werden kann und Sie sich mit Ihrer Nummer anmelden können. Aber: diese Berechtigung führt zumindest theoretisch dahin, dass WhatsApp alle empfangenen SMS mitlesen könnte. Warum WhatsApp auch SMS versenden möchte, ist unklar.
  • Netzwerke & WLAN – diese Berechtigungen sind fast alle unabdingbar, denn natürlich ist zur Nutzung Internet notwendig. Warum aber WhatsApp das WLAN ein- und ausschalten möchte, scheint unklar. Wichtig ist, dass der Messenger nicht ans WLAN-Passwort herankommt.
  • Berechtigungen rund um personenbezogene Daten wie Telefonnummern oder -status erhöhen zwar den Komfort ungemein, sind aus datenschutzrechtlicher Sicht jedoch zweifelhaft. Bei anderen Messengern mag es schwieriger sein, Kontakte hinzuzufügen, jedoch lassen diese Ihre Kontakte in Ruhe. Möchten Sie aus WhatsApp heraus telefonieren, ist ein Adressbuchzugriff unabdingbar.
  • Speicher-Zugriffsrechte klingen zum Teil schlimmer als sie sind: das Erstellen von Verknüpfungen beispielsweise nutzt der Messenger, um sich selbst auf dem Homescreen abzulegen. Damit die App fix mit dem Mobiltelefon verbunden wird, ist auch der Zugriff auf die IMEI notwendig. Die USB-Speicherinhalte können sowohl Medien als auch Backups sein. Was WhatsApp jedoch an den Systemeinstellungen möchte, scheint fraglich.
  • Die Berechtigung „Informationen zu Ihren Apps“ ist zum Teil sinnvoll: dass sich WhatsApp beim Start selbstständig ausführt, ist verständlich, damit Sie Ihre Nachrichten nicht erst beim Starten der App erhalten. Warum der Messenger jedoch aktuelle oder kürzlich ausgeführte Apps abrufen können möchte, scheint unklar. Sicher würde WhatsApp auch ohne die Berechtigung funktionieren, die es theoretisch erlaubt, mit Daten zum Nutzungsverhalten gekoppelt zu werden.
  • Kamera- und Mikro-Zugriffsrechte sind sinnvoll, wenn Sie Audios, Bilder oder Videos versenden möchten. Aber: theoretisch ist das heimliche Aufnehmen von Bildern und Ton ebenfalls möglich.
  • Den Ruhezustand zu deaktivieren und den Vibrationsalarm zu steuern, sind notwendige Berechtigungen für die Benachrichtigungsfunktionen. Auch sämtliche Synchronisierungsberechtigungen sind notwendig, um Kontakte und Chats aktuell zu halten – beispielsweise, wenn Sie WhatsApp auch als Desktop-Version verwenden.

Zuverlässigkeit von WhatsApp

Der Erfolg von WhatsApp hängt sicherlich auch mit der hohen Zuverlässigkeit zusammen: es existieren kaum Probleme, der Messenger erfüllt seinen Dienst sehr stabil. Das spiegelt sich in den Bewertungen der App-User in den App-Stores wider: Mehr als 41.100.000 User bewerten WhatsApp im Play-Store mit insgesamt 4,4 von 5 Sternen. Apples iTunes kommt nach über 166.200 Bewertungen auf 4 Sterne. Kritisiert werden wahlweise Datenschutz-Probleme oder Smileys, nie aber die Zuverlässigkeit.

Sicherheit von WhatsApp

WhatsApp SicherheitBereits Anfang 2015 hatte WhatsApp eine teilweise Ende-zu-Ende-Verschlüsselung eingeführt. Das war ein Anfang, ließ uns jedoch auch im letzten Test nicht gerade vor Begeisterung in die Höhe springen und applaudieren: nur Privatchats auf Android-Geräten wurden verschlüsselt. In der aktuellen Version verschlüsselt WhatsApp fleißiger: sämtliche Inhalte inklusive Multimediadateien und Anrufe werden seit April 2016 Ende-zu-Ende-verschlüsselt. Die Verschlüsselung arbeitet plattformübergreifend und Nutzer sehen durch eine Sicherheitsnummer, dass die aktuelle Konversation verschlüsselt wird.

Heise hat bereits getestet und resümiert: „Alles in allem ist die Einführung von belastbarer Ende-zu-Ende-Verschlüsselung für über eine Milliarde WhatsApp-Nutzer, die nichts weiter tun müssen, als ein App-Update zu installieren, ein echter Gewinn in Sachen Privatsphäre. Ein gewisses Restrisiko bleibt natürlich noch. WhatsApp ist, im Gegensatz zu Marlinspikes eigener App Signal, nicht quelloffen. Nutzer können sich also nie ganz sicher sein, dass ihnen der Dienstanbieter keine manipulierte App unterschiebt, welche die Verschlüsselung untergräbt. Außerdem sammeln WhatsApps Server nach wie vor Metadaten – sie haben zwar keinen Zugriff auf den Inhalt der Nachrichten, können aber sehen, wer mit wem spricht. Ein Problem, das übrigens alle Messenger dieser Art haben und das technisch schwer zu lösen ist. Ein gewisses Vertrauen gegenüber der Facebook-Tochter WhatsApp muss der Nutzer also schon aufbringen.“

Damit ist ein riesiger Schritt in Richtung Privatsphäre getan. Allerdings existieren Ausnahmesituationen: verwendet Ihr Gesprächspartner eine ältere WhatsApp-Version oder einen Alternativ-Client, können Sie davon ausgehen, dass die Kommunikation nicht verschlüsselt wird. Da der Quellcode nicht offenliegt, müssen Nutzer auf die Datenkrake Facebook vertrauen – das fällt wahrlich schwer. Und dann sind da noch die Metadaten …

Metadaten: wer wann mit wem?

Wenngleich die Ende-zu-Ende-Verschlüsselung die Nachrichten vor dem Zugreifen durch Dritte schützt, bleibt noch immer das Problem mit den Metadaten: eine Untersuchung der New Haven-Universität ergab, dass Metadaten beim Telefonieren über WhatsApp erhoben werden. Konkret werden die Mobilfunknummern von Anrufer und Empfänger sowie Beginn und Dauer des Anrufs ermittelt. Die Metadaten sind nicht nur bei WhatsApp ein Problem: auch beim Chatten mit Threema, beim SMS-Versand, ja sogar beim E-Mail-Versand mit PGP fallen Metadaten an; es ist ersichtlich, wer wann mit wem kommuniziert hat.

Allerdings ergibt sich aus den Nutzungsbedingungen von WhatsApp eine Speicherung dieser Daten auf unbestimmte Zeit. Das dürfte nicht allzu viele User schocken, die sich etwas mehr mit Facebook und WhatsApp befasst haben. Und sicherlich ließe sich auch argumentieren, dass Provider dieselben Daten erheben. Jedoch sind eben diese Metadaten sicher woanders besser aufgehoben als auf US-amerikanischen Facebook-Servern.

Weitere Sicherheitsmechanismen bei WhatsApp

Für jeden WhatsApp-Chat existiert eine sogenannte Sicherheitsnummer. Klicken Sie in das gelbe Infofenster im Chat, können Sie sich diese Sicherheitsnummer ansehen. Stellen Sie sich vor, man hätte Ihre SIM-Karte geklaut und nutzt nun Ihren Namen zum Chatten. Zwar funktioniert ein solcher Chat, jedoch werden bisherige Inhalte verborgen. Der Angreifer, der Ihre SIM nutzt, hat sich WhatsApp nun installiert und sich mit Ihrer Nummer verifiziert. Just in diesem Moment wird die bisherige Instanz aufgelöst und eine neue aktiviert – und damit auch die Sicherheitsnummer des Chats.

Leider ist diese Schutzfunktion nicht per Default aktiviert, Sie müssen sie erst einschalten. Möchten Sie über geänderte Sicherheitsnummern informiert werden, gehen Sie in die Einstellungen -> Account -> Sicherheits-Benachrichtigungen und aktivieren Sie die Funktion.

AGB & Datenschutzrichtlinie bei WhatsApp

Schade: hier hat sich leider gar nichts getan. Neben verschiedenen Inhalten in beiden Dokumenten vermissen wir nach wie vor das Aufheben etwaiger Sprachbarrieren – noch immer stehen AGB und Datenschutzvereinbarung nur in englischer Sprache zur Verfügung. Die letzte Änderung fand am 07. Juli 2012 statt, sodass die Kritikpunkte unserer vorigen Tests nach wie vor Bestand haben. Genaue Informationen finden Sie in diesem Test im Absatz „Verschlüsselt und gut: Ist WhatsApp nun sicher?“.

Serverstandorte in den USA

Die WhatsApp-Server befinden sich leider in Californien, USA. Hierhin werden die Telefonnummern aus der Kontaktliste Ihres Mobiltelefons gesendet, um abzugleichen, welche WhatsApp-User in Ihre Kontaktliste gehören. Nachrichten werden beim Versand nur solange auf den WhatsApp-Servern gespeichert, bis sie zugestellt oder nach 30 Tagen automatisch gelöscht wurden. Da die Nachrichten verschlüsselt übertragen werden, sind sie in dieser Zeit nicht auslesbar. Dasselbe gilt für etwaige Rechnungs- und Kontaktdaten: ist die jeweilige Angelegenheit beendet, werden die Informationen nach 30 Tagen vom Server gelöscht. Im Falle einer Rechtsverfolgung oder staatlicher Anfragen gibt WhatsApp Daten heraus, ansonsten ist eine Datenweitergabe an Dritte ausgeschlossen.

Aktuelle Sicherheitslücke unter iOS

Der Security-Experte Jonathan Zdziarski fand heraus, dass iOS-WhatsApp-User deutlich unsicherer chatten als bislang womöglich angenommen: werden Chats gelöscht, bleiben Spuren dieser Chats dennoch auf dem iPhone erhalten. Diese können wieder zu kompletten Gesprächsverläufen zusammengesetzt werden. Gesichert bleiben die gelöschten Chats in der verwendeten SQLite-Datenbank. Laut Zdziarski besteht die einzige Option, Chats wirklich zu löschen, darin, die App komplett zu deinstallieren und dann neu einzurichten.

Fazit WhatsApp

Als wir uns WhatsApp in 2014 zum ersten Mal anschauten, sahen wir völlig entsetzt auf einen Messenger, der mit RC4 einen schwachen Algorithmus und allen Ernstes denselben Schlüssel, Initialisierungsvektor sowie HMAC-Schlüssel für ein- und ausgehende Nachrichten nutzte. Nicht umsonst wurde der Messenger seinerzeit als „NSA für die Hosentasche“ bezeichnet. Das hat sich deutlich gewandelt! WhatsApp verschlüsselt hochmodern. Das Problem mit den Metadaten ist kein reines WhatsApp-Problem, sondern eines aller modernen und ansonsten sicheren Kommunikationsprodukte; das können wir WhatsApp also nicht ankreiden.

Dass jedoch eine zweite Sicherheitsfunktion, nämlich die Sicherheitsnummer, nicht per Default aktiviert ist, dass nach wie vor die Sprachbarrieren in den AGB und Datenschutzrichtlinien bestehen, dass die Mobilfunknummern aus dem Adressbuch des Mobiltelefons auf US-Servern landen, dass Informationen an Strafverfolgungsbehörden weitergeleitet werden, dass WhatsApp noch immer kein Impressum auf der Site angibt: das können wir den Entwicklern von WhatsApp ankreiden. Auch dass die Verschlüsselung aufgrund des nicht offenen Quellcodes nicht überprüft werden kann ist vielen ein Dorn im Auge. Die neu entdeckte Sicherheitslücke ist gravierend: man benötigt lediglich Zugang zum iPhone oder zu einem nicht verschlüsselten Backup, um Chatinhalte auszulesen.

Neben der umfassenden Ende-zu-Ende-Verschlüsselung hat sich positiverweise auch ergeben, dass die App nun für alle kostenfrei ist und dass eine Desktop-Version für Windows und Mac existiert. Hier hat sich also einiges getan; dennoch bleibt noch Luft nach oben, insbesondere, was Sicherheit und Datenschutz betrifft.

Update: WhatsApp gibt Telefonnummern an Facebook weiter

Seit unserem Test vor wenigen Wochen hat sich bei WhatsApp einiges getan: die Datenschutzbestimmungen wurden dahingehend angepasst, dass sich WhatsApp nun erlaubt, die Telefonnummern seiner User an seine Mutter Facebook weiterzugeben.

Klingt erst mal nicht tragisch. Ist es aber: schon seit längerer Zeit offeriert Facebook seinen Werbekunden die Möglichkeit, eigene Kundendatenbanken mit Facebook-Kundendatenbanken matchen zu können. Wahlweise funktioniert das per E-Mail-Adresse der Kunden oder eben per Telefonnummer.

Nun legt jedoch nicht jeder Facebook-User dort seine Telefonnummer ab. Oftmals werden für soziale Netzwerke auch nur dafür genutzte E-Mail-Adressen verwendet, weshalb der Erfolg dieses Matchings bisher nicht allzu glorreich ausfiel. Mit den Telefonnummern seiner Nutzer möchte Facebook selbigen bessere Angebote von Anbietern machen können, die ihrerseits ebenfalls über die Telefonnummer verfügen.

Widerspruch (fast) zwecklos

WhatsApp räumt Ihnen als User die Möglichkeit ein, der Datenweitergabe zu widersprechen. Dafür gibt es zwei Optionen:

  • gar nicht zustimmen: die Änderung bekommen Sie von WhatsApp aufs Display geliefert. Am Ende der Nachricht steht unter „zustimmen“: „Lies unsere Nutzungsbedingungen und Datenschutzrichtlinien und lerne mehr zu den Auswahlmöglichkeiten, die du hast“. Android-User entfernen den Haken im Auswahlkästchen, iOS-User schieben den Regler nach links. Dann erst tippen Sie auf „zustimmen“.
  • Zustimmung entziehen: die zweite Möglichkeit ist, Ihre schon gegebene Zustimmung zu entziehen – dafür haben Sie 30 Tage, also bis zum 24. September 2016, Zeit. Dafür gehen Sie im Messenger in Ihren Account. Scrollen Sie herunter, sehen Sie den Menüpunkt „Meine Account-Info teilen“. Sehen Sie diesen Punkt nicht, haben Sie den neuen Datenschutzbestimmungen auch noch nicht zugestimmt. Entfernen Sie den Haken bis zum Stichtag, wird Ihre Mobilfunknummer nicht für Werbezwecke verwendet.

Ihrem Widerspruch zum Trotz, erhält Facebook Ihre Daten dennoch. Sie werden jedoch für andere Zwecke eingesetzt, „wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen“.

Daten können via ID-Nummer verknüpft werden

Golem.de wollte es genauer wissen und fragte bei WhatsApp an: „Allerdings sind Nutzer bei Facebook bislang nicht gezwungen, ihre Handynummer anzugeben. Das soll auch so bleiben. Die Whatsapp-Daten können jedoch auf andere Weise mit einem möglichen Facebook-Profil verknüpft werden. Über eine gemeinsame Identifikationsnummer sei dies möglich, wenn ein Whatsapp-Nutzer auch eine Facebook-App installiert habe, sagte ein Whatsapp-Sprecher auf Anfrage von Golem.de. Wenn dies jedoch nicht der Fall, sei eine Verknüpfung unter Umständen nicht möglich.“

Threema profitiert

Die Schweizer Messenger-Schmiede Threema meldete sich zügig zum Thema zu Wort: offenbar profitiert der Messenger von dem laxen Umgang mit Daten durch WhatsApp. Einem Blogbeitrag zufolge seien die Downloadzahlen um sagenhafte 220 % gestiegen.

Johannes Caspar, der Hamburger Datenschützer, der sich für Facebook Deutschland verantwortlich zeigt, ist nicht einverstanden mit WhatsApps Vorgehen. Er möchte diese Datenübermittlung genauer prüfen und gegebenenfalls die „Grenzen des Rechts aufzeigen“, wie Caspar gegenüber heise.de äußerte.

Caspar mutmaßt darin nur den Anfang einer Reihe von Änderungen. Auch die US-Bürgerrechtsorganisationen EPIC sowie CDT haben bei der Aufsichtsbehörde FTC eine Beschwerde eingelegt. Wir dürfen gespannt bleiben, inwieweit WhatsApp und Facebook bereit sind (oder gegebenfalls gezwungen werden müssen), den Schutz privater Daten zu akzeptieren.

 

Threema im Test

Medial ist es ruhig geworden um den Crypto-Messenger Threema. In einer aktuellen Nutzungsstatistik des Branchenverbands Bitkom taucht die App nicht mal mehr auf. Der Grund dafür scheint logisch: mittlerweile haben Massenmessenger wie eben WhatsApp das Alleinstellungsmerkmal von Sicherheitsmessengern umgesetzt und verschlüsseln nun selbst. Verliert Threema deshalb seine Daseinsberechtigung? In unseren Augen nicht, allein schon aus der Fragestellung heraus, wem man lieber seine Daten anvertraut: US-Servern mit Facebook im Hintergrund oder Schweizer Servern?

Threema: die Einstiegshürden

Threema EinstiegshürdenExistierte Threema anfangs nur für iOS und Android, kam später noch eine Windows Phone-Version hinzu. Preislich hat sich wieder etwas getan: der Download-Preis von 1,99 Euro ist nur noch für Windows Phone-User konstant, Android-User zahlen nun 2,49 Euro, iOS-User 2,99 Euro. Wir würden uns den einheitlichen Preis zurück wünschen, den Threema in 2015 umgesetzt hatte, denn es ist kein großer Anreiz, als iOS-User mehr zahlen zu müssen als Nutzer mit anderen Betriebssystemen.

Zum Hinzufügen von Kontakten haben Threema-Nutzer drei Wege: lassen Sie sich die Threema-ID von einem Kontakt geben, können Sie nach der achtstelligen Nummer suchen. Weiter können Sie Threema erlauben, sich an Ihrem Adressbuch zu bedienen, sodass Kontakte automatisch ergänzt werden. Die sicherste, jedoch auch aufwendigste Option ist es, den QR-Code eines Kontakts zu scannen. Das bedingt jedoch, dass Sie diesem Kontakt gegenüberstehen.

Diese Berechtigungen verlangt Threema

Auch die als Sicherheits-Messenger bekannte App Threema benötigt natürlich diverse Zugriffsberechtigungen. Die Sinnhaftigkeit können Sie gerne mit WhatsApp vergleichen; die Gründe der Berechtigungen sind dieselben:

  • Identität:
    • Konten auf dem Gerät suchen
    • Kontaktkarten lesen
    • Konten hinzufügen oder entfernen
  • Kontakte:
    • Kontakte lesen
    • Kontakte ändern
    • Konten auf dem Gerät suchen
  • Standort: genauer Standort (GPS- und netzwerkbasiert)
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte ändern, löschen & lesen
  • Speicher: USB-Speicherinhalte ändern, löschen & lesen
  • sonstige:
    • Daten aus dem Internet abrufen
    • Zugriff auf alle Netzwerke
    • Netzwerkverbindungen abrufen
    • Synchronisierungseinstellungen lesen
    • Synchronisierung aktivieren oder deaktivieren
    • Vibrationsalarm steuern
    • Ruhezustand deaktivieren
    • Verknüpfungen installieren
    • Beim Start ausführen
    • Konten erstellen und Passwörter festlegen
    • Google Play-Lizenzprüfung

Vergleichen Sie diese Berechtigungen mit WhatsApp, fällt auf, dass Threema deutlich sparsamer vorgeht. Diese Berechtigungen finden ihre Sinnhaftigkeit mit den Funktionalitäten.

Usability von Threema

Threema UsabilityIn hellem oder dunklem Design zeigt sich Threema in wirklich schönem Layout. Die Bedienung kann auch hier mit intuitiver Nutzung punkten. Was jedoch für einige Nutzer als umständlich empfunden werden könnte, ist die Tatsache, dass einige Features unter Android gesonderte Plug-ins benötigen. So müssen Sie beispielsweise den QR-Scanner nachrüsten, wenn Sie Kontakte unter Android mittels QR-Code hinzufügen möchten. Oder das Plug-in für Sprachnachrichten, um eben solche zu versenden. Unter iOS oder Windows Phone ist ein solches Nachrüsten nicht notwendig.

Mit Threema nutzen Sie diese Features:

  • Text- und Sprachnachrichten
  • Videos, Bilder, Standorte sowie Dateien im beliebigen Format (z. B. gif, mp3, doc, zip, pdf usw.) senden & empfangen
  • Gruppenchats
  • Abstimmungen
  • verschiedene Designs
  • Zustimmen/Ablehnen-Funktion zur unaufdringlichen Kommunikation ohne Push-Benachrichtigung beim Chat-Partner
  • drei unterschiedliche Optionen zum Hinzufügen von Kontakten
  • optionales (!) Synchronisieren von Kontakten aus dem Telefonbuch Ihres Mobiltelefons

Auch in puncto Zuverlässigkeit ist es gut bestellt um Threema: natürlich gibt es User, die in den App Stores über Abstürze und andere Dinge schimpfen, die gibt es jedoch bei jedem Messenger. Insgesamt ist die Stimmung positiv: auf Google Play spendieren mehr als 42.300 User der App 4,5 Sterne, in iTunes werten über 10.900 User ebenfalls mit 4,5 Sternen. Man beachte die Anzahl der Wertungen und vergleiche sie noch mal mit denen von WhatsApp, um die ungefähre Marktverteilung der beiden Messenger bewerten zu können.

Sicherheit von Threema

Threema SicherheitThreemas Verschlüsselung gefiel uns von Anfang an; Details können Sie unserem Testbericht ab dem Absatz „Die Sicherheit von Threema“ entnehmen. An dieser Art der Verschlüsselung hat sich bis heute nichts geändert. Geändert hat sich auch nicht die Tatsache, dass Threema sich beharrlich weigert, den Quellcode offenzulegen. Allerdings wurde im August 2015 ein externes Audit durchgeführt; die Prüfungsergebnisse können Sie sich in einer Zusammenfassung (PDF) anschauen.Sowohl das Konzept als auch die Implementierung erfolgten laut diesem Prüfbericht korrekt und vollumfänglich.

Daten auf den Schweizer Servern

Um dem Metadaten-Problem Herr zu werden, umgeht Threema einfach das Speichern von Daten auf den Schweizer Servern. Frei nach dem Motto: „wo keine Daten sind, können sie auch nicht missbraucht werden.“ Sind Nachrichten an den oder die Empfänger übermittelt worden, werden sie umgehend vom Server gelöscht. Auf dem Server liegende Daten sind Ende-zu-Ende verschlüsselt, sodass sie dank PFS auch im Nachhinein nicht entschlüsselt werden können.

Beim Adressbuchabgleich geht Threema auch komplett andere Wege als WhatsApp: die E-Mail-Adressen und Telefonnummern aus Ihrem Mobiltelefon wandern in gehashter Form, also anonymisiert, auf die Server, wo sie direkt nach dem Abgleich wieder gelöscht werden. Da das Generieren des Schlüsselpaars zur Verschlüsselung dezentral auf den Endgeräten erfolgt, hat niemand, auch Threema nicht, Zugang zu den Daten. Auf ein Loggen, welche Threema-ID wann mit wem kommuniziert, verzichtet der Schweizer gänzlich.

Weitere Sicherheitsmechanismen

Neben der Verschlüsselung, den gehashten Adressbuchdaten und dem Verzicht aufs Loggen setzt Threema auf vollständige Anonymität: um Threema zu nutzen, genügt Ihre persönliche Threema-ID. Sie brauchen sich nicht zu registrieren, brauchen weder Mobilfunknummer noch E-Mail-Adresse verknüpfen. Kurzum: um Threema zu nutzen, brauchen Sie keine privaten Daten preisgeben.

Datenschutzerklärung von Threema

Auf seiner Startseite wirbt der Schweizer Entwickler mit diesem Satz: „Klare Datenschutzerklärung: Threema hat transparente und verständliche Datenschutzbestimmungen, die auf eine A4-Seite passen.“ Sowas lieben wir! Nicht, weil wir zu faul wären, Datenschutzbedingungen durchzulesen – das machen wir sehr gerne für Sie! Sondern weil die Klarheit, mit der Threema hier ans Werk geht, Vorbildcharakter hat: gleich zu Beginn erfahren wir, dass Fragen unter privacy@threema.ch beantwortet werden. Es folgen sechs weitere Punkte:

  • Nachrichtensicherheit: hier erfahren wir, dass Threema seine Server selbst betreibt und keine Möglichkeit hat, Nachrichten zu entschlüsseln, da ausschließlich dem Nutzer selbst sein privater Schlüssel zur Verfügung steht. Es wird betont, dass die verschlüsselten Nachrichten inklusive aller Medien sofort von den Servern gelöscht werden, wenn diese zugestellt wurden. Außerdem erfahren wir, wie mit Header-Informationen umgegangen wird: diese werden zusätzlich verschlüsselt, sodass ein Mithören unmöglich gemacht werden soll.
  • Adressbuchdaten: wie bereits erwähnt, werden Adressbuchdaten gehasht und SSL-verschlüsselt an die Server übertragen. Dort verweilen die Hashes bis zur ID-Ermittlung nur im Arbeitsspeicher, um sie anschließend komplett zu löschen.
  • E-Mail-Adressen- und Telefonnummern-Verknüpfung: Jeder Benutzer hat die Wahl, seine Threema-ID mit seiner Telefonnummer und/ oder E-Mail-Adresse zu verknüpfen oder gänzlich anonym zu bleiben. An Dritte weitergegeben oder für Werbezwecke verwendet werden die Daten zu keinem Zeitpunkt. E-Mail-Adressen werden als Hashwert gespeichert. So wünschen wir uns das!
  • Absturzbenachrichtigungen: Solchen Benachrichtigungen, die zur Auswertung an die Threema GmbH gesendet werden, müssen von Ihnen „freiwillig und ausdrücklich“ bestätigt werden. Verzichten Sie darauf, werden keine Absturzbenachrichtigungen übermittelt.
  • Standort senden: diese Funktion arbeitet mit der Google Places API, deren Nutzung durch die Google-Datenschutzerklärung bestimmt wird.
  • Allgemeine Bestimmungen: Threema verweist auf das Schweizerische Bundesgesetz über den Datenschutz und auf die Verordnung zum Bundesgesetz über den Datenschutz.

Fazit Threema

Auch Threema hat sich weiterentwickelt: waren in 2014 die Verbreitung (nur iOS & Android) und die Funktionalitäten eher mager, war das in 2015 schon deutlich besser. Klar, die Features, die etwa der Spaßmessenger WeChat liefert, sind nicht an Bord, aber das möchte der Schweizer Entwickler auch gar nicht: ihm geht die Sicherheit und Privatsphäre seiner User vor. Mit dem Abstimmungstool und der Option, sämtliche Medien zu senden, hat Threema deutlich aufgeholt. Anrufe über den Messenger scheinen nicht ins Konzept passen zu wollen: dann wäre eine Verknüpfung von Threema-ID und Mobilfunknummer unumgänglich oder es müsste eine gut abgesicherte Alternative ohne Verknüpfung implementiert werden. Vielleicht kann Threema hier beizeiten nachjustieren, eine Anruffunktion würde sicher einige Nutzer begeistern können.

Dem großen Kritikpunkt des nicht veröffentlichten Quellcodes ist Threema endlich durch ein externes Audit begegnet. Die Zusammenfassung des Prüfberichts lässt sich online abrufen. Somit dürften die Gerüchte um etwaige Hintertüren oder Fehlimplementierungen nun ein Ende haben. Optik und Bedienbarkeit lassen in unseren Augen keine Wünsche offen und die saubere, klare Datenschutzerklärung des Schweizers darf gerne als Vorbild angesehen werden. Wir gehen auch im dritten Testjahr sehr begeistert aus unserem Messenger-Test heraus. Weiter so, Threema!



4 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 4 Reaktionen

  1. Umwelt Literatur | 9. August 2016

    Schöner Test. Eine Sache muss ich aber korrigieren:

    „Anrufe über den Messenger scheinen nicht ins Konzept passen zu wollen: dann wäre eine Verknüpfung von Threema-ID und Mobilfunknummer unumgänglich.“

    Warum sollte eine Verknüpfung mit der Telefonnummer unumgänglich sein? Für Audio-/Videotelefonie braucht es keine Telefonnummer. Für Skype brauchen Sie doch auch keine. Technisch gesehen ist das kein Problem.

    9. August 2016 @ 00:08 Antworten
    • Bianca Wellbrock | 10. August 2016

      Vielen Dank! Auch für die Korrektur – absolut richtig, das ist nicht zwingend notwendig und wir haben die textliche Passage angepasst.

      Viele Grüße vom PSW GROUP-Redaktionsteam

      10. August 2016 @ 12:45 Antworten
  2. raindrop | 15. September 2016

    WhatsApp SCHIESST sich gerade mit seinen AGB 2016 selber ab..?
    Durch „Zustimmen“ zur ‘Autorisierung’ der eigenen Weitergabe-Befugnis von Fremd-Daten (in den AGB dahinter, auch wenn nicht gelesen) bestätigt der WA-Nutzer dieses direkt und zukünftig. Damit übernimmt er nun dafür offiziell rechtlich die Verantwortung (WA erstellt sich einen Freibrief), was mit den Daten weiter geschieht, wenn er freizügig die Daten seiner Freunde irgendwo abgibt und sie damit wissentlich kommerziell für Dienste-Abgleich und „Vermarktung“ (lt. AGB über Facebook + “Partner”, s. Riese ‘Acxiom‘) freigibt…
    [Stell Dir vor, ein Freund fühlt sich „autorisiert“, Dich mit Deinen Daten irgendwo bei XX anzumelden und weiteres einzuleiten..]
    — Laut RA Gulden (https://www.youtube.com/watch?v=54bewg5GJx8) liegt hier aktuell eine Abmahnmöglichkeit vor, weil nach/mit der adhoc Selbst-Autorisierung der WA-Nutzer und der unbekümmerten Freunde-Daten-Weitergabe der WA-Nutzer und der nachfolgenden Werbe-Vermarktung-Freigabe hier einen RECHTSBRUCH (-> informationelle Selbstbestimmung) gegen seinen Freund / seine Freunde begangen hat. “Der WA-Nutzer ist nicht autorisiert, die Telefonnummern seiner Kontakte herauszugeben oder den Zugriff hierauf zu erlauben” ohne deren Erlaubnis — dieses ist mit der bestätigten Selbst-Autorisierung praktisch, für sofort und zukünftig, nicht einzuhalten, denn sie liegen i.d.R. nicht autorisiert vor (z.B. WA-Aussteiger müssen gelöscht sein) — er begeht automatisch immer Rechtsbruch. “Unternehmen, die WhatsApp nutzen, sollten unter keinen Umständen die neuen AGB bestätigen. Das würde zu einem massiven Datenschutzrechtsverstoß führen und kann teuer werden.” (->infodocc.info/whatsapp-nummernweitergabe..)
    — Schönen DANK WhatsApp & Facebook!!! FB ist zu gefräßig, und könnte sich vllt. gerade verschlucken??
    — In ZUKUNFT sollten wir im Umgang miteinander und mit Daten anderer mehr darauf achten, dass wir Daten tatsächlich nur zur eigenen Person autorisiert und bewusst abgegeben, Daten nicht mehr frei ins EU-Ausland transferieren und andere Tools (und Firmen dahinter) benutzen, die die Daten und den Datenschutz besser/sicherer als im EU-fernen Ausland behandeln… ->“Care4You — ACHTE auf Freunde-Daten“

    15. September 2016 @ 18:20 Antworten
    • Bianca Wellbrock | 21. September 2016

      Danke für deine Meinung, raindrop – ja, es ist vertrackt mit WA! Hierzu ein spannender Beitrag: https://www.datenschutzbeauftragter-info.de/kann-ich-verklagt-werden-wenn-ich-kontaktdaten-an-whatsapp-sende/
      Gerade den letzten Absatz finden wir sehr wichtig: wir sollten im Umgang miteinander & mit Daten anderer sorgsam umgehen – absolut korrekt! Aber: wie können wir Otto-Normal-User erreichen? Jene, die die nächste App, die unsere Daten an US-Server hochlädt, installieren und ungelesen die Datenschutzbedingungen bestätigen? Unser Ziel mit unserem Blog ist genau diese wichtige Aufklärung. Nur wenn User kein Problem sehen, werden sie nicht danach recherchieren und nie auf diese Informationen stoßen. Die Idee ist grandios, ab sofort mit Daten bewusster umzugehen; mit den eigenen genauso wie mit fremden. Aber wie realisieren?

      21. September 2016 @ 07:04 Antworten