Messenger Empfehlung: „Signal“
Messenger gibt es viele, jeder hat eigentlich WhatsApp und mancher sagt „Noch einen Messenger…?!“ – aber ich möchte diese Empfehlung trotzdem aussprechen und hier vorstellen, vor allem die Gründe.
Was unterscheidet Signal von anderen Messenger-Apps?
Verschlüsselung gibt es mittlerweile fast überall, aber wenn es in dem System eine Backdoor (Hallo NSA!) gibt, ist es eben doch nicht 100% vertraulich und sicher. WhatsApp und der Facebook-Messenger verschlüsseln die Nachrichten, aber die Meta-Daten „wer kommuniziert wann mit wem“ (und: wer kennt wen) landen beim Facebook-Konzern, der sowieso noch viel mehr über euch weiss.
WhatsApp gleicht sich mit dem Adressbuch ab und das Unternehmen Facebook speichert hierbei nicht nur Telefonnummern und Namen, sondern auch Emailadresse(n), um diese Daten dann für Werbezwecke und „Verbesserung des Erlebnisses auf Facebook“ zu verwenden. 2017 hat die Verbraucherzentrale Bundesverband Klage eingereicht.
Telegram hat den Ruf einer „besseren Sicherheit“, aber auch das ist nur gefühlt und stimmt nicht. Verschlüsselungen in Zwei-Personen-Chats müssen einzeln aktiviert werden, und Gruppenchats können grundsätzlich kompromittiert werden und sind nicht sicher. [Artikel Süddeutsche]
Telegram ist im Gegensatz zu den meisten anderen Messengern Cloud-basiert. Sämtliche Chats werden also nicht auf dem Handy, sondern in der Cloud gespeichert. Dies hat den großen Vorteil, dass Sie Telegram auf mehreren Geräten gleichzeitig nutzen können. Allerdings hat dies auch Auswirkungen auf die Sicherheit, da Nachrichten in Privat- und Gruppenchats nur mit einer einfachen Server-Client-Verschlüsselung verschickt werden und nicht Ende-zu-Ende verschlüsselt sind.
Um Nachrichten mit Ende-zu-Ende-Verschlüsselung zu verschicken, muss ein geheimer Chat geöffnet werden. Dieser wird allerdings nicht in der Cloud gespeichert, sodass er nicht auf ein anderes Gerät übertragbar ist. [Artikel WinTotal]
Kritisch ist auch, dass Telegram zum Finden von Kontakten, welche auch Telegram nutzen, die Daten (Telefonnummer, Vorname, Nachname) auf die Telegram-Server hochlädt und diese dort gespeichert werden! Ohne Zugriff auf das Telefonbuch ist kein Start des Telegram-Clients möglich… Während andere Messenger lediglich mit Telefonnummern arbeiten, werden hier (unnötigerweise) Vor- und Nachname übermittelt und gespeichert.
Richtig übel wird es, wenn man seine Handynummer wechselt und die alte Nummer nach 6 Monaten neu vergeben wird. Da Telegram die Rufnummer nach der ersten Anmeldung nie wieder überprüft, aber alle Chats auf dem Server speichert, hat der neue Besitzer der alten Rufnummer sehr leicht Zugriff auf alle Chatverläufe.
Threema hat den Ruf von hoher Sicherheit und macht fast alles richtig, wenn man Wert auf Datenschutz legt. Allerdings fallen auch hier Metadaten an „wer wann mit wem“, und der Quellcode des Programms ist nicht veröffentlicht. Mittlerweile ist in den Datenschutzbestimmungen auch der Hinweis zu finden, dass man im Falle von Terrorismus mit den Behörden zusammenarbeitet – was das bedeutet, mag jeder selbst interpretieren.
Dem Messenger fehlen Audio- und Videogespräche, und letztendlich ist Threema der einzige Messenger, welchen man kaufen muss (2,99 bzw. 3,49 Euro).
Kommen wir zur Empfehlung: SIGNAL – und warum?
Signal ist Open Source (Quellcode auf GitHub verfügbar) und wird von Edward Snowden ausdrücklich als einziger Messenger empfohlen.
Die Verschlüsselung ist durchgängig, und man kann im Chat „verschwindende Nachrichten“ vorübergehend oder dauerhaft aktivieren, die folgenden Nachrichten löschen sich dann nach der eingestellten Zeit (5 Sekunden bis 1 Woche) automatisch, so dass auch auf einem kompromittierten Gerät keine entsprechenden Nachrichten zu finden sind.
Finanziert wird der Messenger nicht durch ein kommerzielles Unternehmen, sondern durch Spenden über die „Freedom of the Press Foundation“. [Wikipedia]
Frieder Steinmetz (TU Hamburg): „Threema hat ein eigenes, nicht ganz schlechtes Protokoll, das aber beispielsweise keine ‘Perfect Forward Secrecy’ garantiert. Die Technik verhindert, dass jemand mir in der Zukunft meinen geheimen Schlüssel vom Handy klaut und damit meine gesamte verschlüsselte Kommunikation entschlüsseln kann, die ich über das Handy geführt habe. Signal und WhatsApp haben das. Telegram kombiniert auf ungewöhnliche Weise kryptographische Einzelteile und schafft damit nicht gerade Vertrauen.“ [Artikel vice.com]
Auch der Abgleich eurer Kontakte erfolgt bei SIGNAL bestmöglich: es werden lokal SHA256-Hashwerte der Telefonnummern eurer Kontakte gebildet und diese an SIGNAL übermittelt, um abzugleichen, ob einer der Hashwerte vorhanden ist (also ein Kontakt auch den Messengerdienst nutzt). Die positive Rückmeldung des Hashwerts erfolgt, und der Messenger kann lokal somit einordnen, welche Kontakte auch „dabei“ sind und zeigt dies an. Es werden also nie Rufnummern oder sonstige Informationen übertragen. Damit Hashwerte von Rufnummern nicht errechnet werden können, setzen SIGNAL auf die Technik „Private Contact Discovery Service“.
Zitat aus einem Fachartikel (impulse, Juli 2018) „DSGVO-konforme Messenger-Dienste“:
Signal arbeitet außerdem mit einem Verfahren, das verhindert, dass Serverbetreiber Einblick in übertragene Kontaktdaten bekommen. Das könnte möglicherweise das Datenschutz-Problem aller Anbieter lösen. Zudem gilt das Verschlüsselungsprotokoll der App als „Goldstandard“ in der Kryptoszene.
Neben den ganzen technischen Argumenten gibt es aber auch nette Feature, die andere Messenger nicht bieten, beispielsweise auf der watch
„Als gelesen markieren“ nach dem angucken der Vorschau auf der Watch – das ist zu Ende gedacht und echt komfortabel, Danke!
Meine klare Empfehlung also (und JA, dort findet ihr mich!):