Messenger

myENIGMA: sicherer Messenger mit Schwachstellen

2. Mai 2014
  • Messenger

„Der sichere Messenger aus der Schweiz – Schütze deine Privatsphäre!“ – Das sind die ersten Worte, die einem ins Auge springen, wenn man die Website von myENIGMA aufruft. Schnell wird uns klar: Auch diese Messenger-App möchte Sicherheit bieten und stellt selbige in den Vordergrund. Wir machen uns gespannt an den 7. Teil unseres großen Messenger-Tests:

myENIGMA gibt es für die „üblichen Verdächtigen“

myENIGMA können Sie mit Smartphones und Tablets unter Android, iOS und BlackBerry nutzen; sowohl über mobile Datenverbindungen als auch rein unter WLAN. Eine Windows Phone-Version ist in Planung, allerdings können die Macher der Messenger-App derzeit noch keinen Zeitpunkt nennen. Eine Desktop-Version ist nicht geplant. Auch myENIGMA macht die Installation einfach: Sie gehen in den Appstore Ihres Betriebssystems, laden die App herunter und folgen den Anweisungen. Beim ersten Aufrufen der App haben wir einen Unterschied zu allen bereits getesteten Apps festgestellt. Wir werden auf die Endbenutzer-Lizenzvereinbarung (EULA) aufmerksam gemacht, können sie lesen, akzeptieren oder abbrechen. Aktualisiert am 09. April 2014, sehen wir die Nutzungsbedingungen und Datenschutzrichtlinien in deutscher Sprache und akzeptieren die Vereinbarungen.

Messenger-Test_2Nun werden wir aufgefordert, unsere Telefonnummer einzugeben. Kaum geschehen, geht eine SMS mit dem Aktivierungscode, der fünf Tage gültig ist, an das Testgerät. In der App fragt uns myENIGMA, ob wir uns mit Facebook, Twitter, LinkedIn oder Xing verbinden oder diesen Schritt überspringen wollen – zweiteres wählen wir aus. Per SMS oder E-Mail könnten wir nun Freunde einladen. Ähnlich wie schon bei Telegram bleibt uns der Sinn des Aktivierungscodes verborgen: Auch nach dem Neustart der App müssen wir ihn nicht eingeben. In den Einstellungen haben wir die Option, das Adressbuch auf Kontakte zu durchsuchen oder Kontakte über die oben bereits erwähnten Wege hinzuzufügen. Das funktioniert also genauso einfach wie bei allen bisher getesteten Messengern.

myENIGMA: weniger funktional, aber alles Wichtige inklusive

Das Interface von myENIGMA wirkt aufgeräumt und übersichtlich. Die App ist wesentlich dunkler gestaltet als ihre bisher getesteten Konkurrenten, ansonsten gibt es keine nennenswerten Unterschiede. myENIGMA erlaubt den Versand von Textnachrichten und Multimediadateien (Videos, Bilder, Audionachrichten) mit einer maximalen Größe von 20 MB. Noch ist myENIGMA kostenfrei; in den FAQ ist bereits zu lesen, dass myENIGMA längerfristig seine laufenden Kosten mit einem Beitrag der User decken möchte. Ob das einem Abomodell wie bei WhatsApp, einem Download-Kostenmodell wie bei Threema oder einem Modell mit In-App-Käufen wie bei LINE entspricht, scheint derzeit noch offen zu sein. Ab wann User zahlen, wird in den FAQ nur mit „längerfristig“ beantwortet, sodass in den kommenden Monaten noch nicht davon auszugehen ist.

Die Schweizer Qnective AG ist Entwickler der App. Sie kümmert sich um Softwarelösungen und Kommunikationsplattformen für Regierungen und Unternehmen. myENIGMA wird, solange der Messenger kostenfrei verfügbar ist, über die Produkte der Qnective AG querfinanziert.

Messenger-Test_3Sie können einzeln oder in Gruppen mit bis zu 30 Teilnehmern verschlüsselt chatten. Ein SMS-Modus erlaubt es, mit anderen myENIGMA-Usern verschlüsselte SMS-Nachrichten auszutauschen – praktisch vor allem dann, wenn Sie Konnektivitätsprobleme mit dem Internet haben oder aus dem Ausland sicher kommunizieren wollen. Versenden oder empfangen Sie verschlüsselte SMS, werden dieselben Gebühren fällig wie bei einer normalen SMS, abgerechnet wird über Ihren Provider. Damit sind alle wichtigen Funktionalitäten gegeben – nicht ganz so viele wie in eher spielerisch ausgelegten Messengern wie beispielsweise LINE, der noch mit Video- und Sprachanrufe, Standortinformationen, eine Timeline und weitere Zusatzfeatures ausgestattet ist, jedoch sind alle vorhanden, die definitiv nicht bei einem Messenger fehlen dürfen.

myENIGMA setzt auf Ende-zu-Ende-Verschlüsselung

Als unser Messenger-Test publik wurde, bekamen wir eine E-Mail von myENIGMA mit dem Hinweis auf das öffentlich einsehbare Whitepaper (PDF), das die Qnective AG zur Verschlüsselung von myENIGMA zur Verfügung gestellt hat. Daraus gehen auch allgemeine Informationen hervor: myENIGMA entstand im Jahre 2012, im März 2013 folgte die Android-Version, im April zog die BlackBerry- und im Juli die iOS-Version nach. Wir erfahren, wie es zu myENIGMA kam; die Kurzform: Im Zuge der Software-Entwicklung Qtalk Secure, einer verschlüsselten Voice-Lösung für Regierungen und Unternehmen, fiel den Entwicklern auf, dass diese Lösung nur einer kleinen Gruppe von Menschen vorbehalten war. Für den Verbraucher war Qtalk Secure nicht gedacht, sodass man für den Endnutzer eine sichere App entwickeln wollte.

Anschließend geht es in dem Whitepaper ans Eingemachte: Die Sicherheitsfeatures werden erklärt. Chats werden mit AES-256 Ende-zu-Ende-verschlüsselt. Private Schlüssel bleiben auf dem angemeldeten Device, sodass auch Qnective keine Nachrichten mitlesen kann. Die Nachrichten werden über eine verschlüsselte Verbindung transportiert und alle 3,5 Tage werden die Schlüssel des Users erneuert, sodass ältere Nachrichten nicht mehr gelesen werden können, sollte der private Key in falsche Hände geraten. Forward Secrecy (PFS) wird übrigens unterstützt: Nur Cipher-Suites nach Diffie-Hellman können in myENIGMA arbeiten. Haben Sie sich die Zeit genommen und zu Beginn der Installation den Endbenutzerlizenzvertrag durchgelesen, wissen Sie, dass Ihre Mobilfunknummer und die Nummern Ihrer Kontakte (nicht die Namen) aus dem Telefonbuch nicht im Klartext abgespeichert werden. Diese Informationen wandern gehasht über eine verschlüsselte Verbindung an die in der Schweiz stehenden Server. So wird es myENIGMA erlaubt, festzustellen, welcher Ihrer Kontakte ebenfalls auf diesen Messenger setzt.

Messenger-Test_4myENIGMA zeigt transparent, was mit Ihren Daten geschieht

Quelloffen ist myENIGMA nicht. Das begründet die Qnective AG im Whitepaper damit, dass sie Patente für einige der verwendeten Sicherheitsfeatures angemeldet habe, die geschützt bleiben sollen. Außerdem sei ein veröffentlichter Quellcode keine Garantie dafür, dass dieser in der App auch verwendet würde. Wie Qnective mit Ihren Daten umgeht, können Sie in deutscher Sprache auf der Webseite von myENIGMA einsehen. In den Datenschutzrichtlinien ist festgehalten, dass Ihre Mobilfunknummer und die Hardware-ID Ihres Mobilgeräts zur Identifikation gesammelt werden, außerdem teilt die App Ihren Online-Status (Sie können sich „offline“ setzen), um ihn Ihren Kontakten mitzuteilen. Kontaktieren Sie den Support per E-Mail, werden Ihre E-Mail-Adresse und weitere Infos, die Sie mitteilen, von myENIGMA gespeichert. Auch nicht-personenbezogene Daten werden anonym gespeichert, sind Ihnen als Nutzer aber nicht zuzuordnen; sie dienen statistischen Zwecken. Wie schon erwähnt, werden die Daten gehasht über verschlüsselte Verbindungen übertragen.

Betont wird, dass persönliche Daten nicht verkauft oder an Dritte weitergegeben werden; Ausnahme bildet das Ersuchen von Justizbehörden. Die Qnective AG behält sich vor, die bestehenden Daten „im Falle einer Übernahme, Fusion oder eines Kontrollwechsels im Unternehmen einer Drittpartei weiterzugeben“. Löschen Sie Ihren Account, werden auch all Ihre persönlichen Daten entfernt. Nicht-personenbezogene Daten bleiben maximal 30 Tage nach Ihrer Kündigung gespeichert.

Auch die AGB lassen sich sowohl auf dem Mobilgerät als auch online in deutscher Sprache einsehen. Das Übertragen gehashter Daten über eine TLS-gesicherte Verbindung wird erklärt und die Entwickler weisen darauf hin, dass ihre App „auf Kontaktnamen oder andere in Ihrem Adressbuch vorhandenen Kontaktdaten“ nicht zugreift. Einen Jugendfilter gibt es bei myENIGMA nicht, in den AGB wird aber darauf hingewiesen, dass die App erst ab 16 Lebensjahren genutzt werden darf.

Zahlreiche Störungsmeldungen auf der Facebook-Page von myENIGMA

In unserem Test unter Android arbeitete myENIGMA zuverlässig. Wir haben uns auf der Facebook-Fanpage von myENIGMA umgesehen und sofort springen zahlreiche Störungsmeldungen ins Auge: „Schade, es gibt viel zu oft Probleme. Das kennt man von WhatsApp nicht, von daher wird es schwer für myENIGMA als ernstzunehmende Alternative …“, schreibt ein frustrierter User, „Ausloggen!! Ich möchte übrigens selbst entscheiden ob ich mich einlogge oder nicht! Hier bedarf es einer dringender Änderung!!“, ein anderer als Reaktion auf ein Update, das die Logout-Funktion entfernt hat. myENIGMA reagiert ziemlich zügig auf die Beschwerden der Nutzer und schreibt beispielsweise zum Update: „Durch die vereinfachte Registrierung, welche mit der Version 1.31.x implementiert wurde, ist es nicht mehr möglich, sich auszuloggen. Dies ermöglicht unseren Usern ständig über neue Nachrichten via myENIGMA informiert zu bleiben. Als zusätzliches Sicherheitsfeature arbeiten wir bereits an einer Pin Lock Funktion.“ Daneben wollen die Macher gerne wissen, wann sich die User ausloggen.

Messenger-Test_5Es scheint also noch diverse Störungen zu geben. Auffallend ist, dass sich schnell gekümmert wird: Oft lesen wir die Bitte, sich mit einer genauen Schilderung des Problems an den Support zu wenden, es wird für das Verständnis gedankt, dass der Service gerade nicht erreichbar ist, und pünktlich darüber informiert, wenn das Problem behoben wurde. Das ist löblich, aber ärgerlich, wenn es im täglichen App-Einsatz zu sich häufenden Problemen kommt. Sicherheitsprobleme hingegen sind nicht bekannt. Eines könnte sich aber aus der nun fehlenden Logout-Funktion ergeben: Wird das Gerät gestohlen, haben andere Zugriff auf die Nachrichten. Dem wird allerdings durch das 3,5-tägige Austauschen der Schlüssel vorgebeugt.

Grundsätzlich haben wir einen positiven Eindruck von myENIGMA: Die Sicherheitsfeatures sind stark, insbesondere die Tatsache, dass die Schlüssel alle 3,5 Tage ausgetauscht werden, hat uns begeistert. So wird vermieden, dass ein gestohlenes Gerät sämtliche Nachrichten offenbart. Pluspunkte sammelt die Messenger-App auch bei der Transparenz der Datenschutzrichtlinien und der AGB. Minuspunkte gibt es allerdings durch die offenbar häufigen Störungen, auch wenn wir störungsfrei testen konnten. Der Funktionsumfang beschränkt sich aufs Wesentliche; für uns nicht weiter störend, für User, die auch Videochats führen und Sticker versenden wollen, ist die App nicht die richtige.

Zusammenfassung myENIGMA

  • Verbreitung: Android, iOS und BlackBerry OS (Smartphones & Tablets)
  • Einschränkungen: Windows Phone (Version ist in Planung), Desktop-Version
  • Installation: einfach
  • Kontakte rüberziehen: einfach
  • Optik/ Bedienbarkeit: ansprechend & einfach, nicht ganz so funktional wie diverse Konkurrenten, z. B. LINE
  • Flexibilität: Textnachrichten, Videos, Bilder, Audionachrichten mit max. 20 MB
  • Kosten: (noch) kostenfrei
  • Orga/ Land hinter dem Service: Qnective AG, Schweiz
  • Verschlüsselung: Ende-zu-Ende-Verschlüsselung, PFS wird unterstützt, sehr gut
  • Quellcode: nicht quelloffen
  • Datenschutz: transparent, in deutscher Sprache verfügbar, ausgelesene Telefonnummern aus dem Adressbuch werden gehasht über verschlüsselte Verbindungen auf die Schweizer Server übertragen
  • AGB: transparent, in deutscher Sprache verfügbar
  • Zuverlässigkeit: viele Störungsmeldungen
  • Sicherheitsprobleme: keine
  • Jugendfilter: nicht vorhanden
  • Datenspeicherung: auf Schweizer Servern, verschlüsselt
  • XMPP: nein
  • Finanzierung: Querfinanzierung durch Produkte der Qnective AG; längerfristig ist ein Bezahlmodell geplant



0 Kommentar(e)

Schreibe einen Kommentar