Harter Wettbewerb
Sieben Messenger gegen WhatsApp
Seit 2009 hat sich WhatsApp als einfache Möglichkeit etabliert, vom Smartphone aus übers Internet mit Partnern zu chatten. Doch WhatsApp-Eigentümer Facebook verschreckt immer mehr Anwender mit seiner Datensammelwut. Deshalb haben wir die wichtigsten alternativen Messenger auf ihre Features und Diskretion abgeklopft.
Statt einen Partner für eine Mitteilung anzurufen, chatten Smartphone-Besitzer ihr Gegenüber besser mit einem Instant-Messenger an. Voraussetzung für einen funktionierenden Chat ist allerdings, dass alle Teilnehmer mit einer passenden Client-App an einem Netz von Servern angemeldet sind, die über dasselbe Protokoll miteinander kommunizieren. Darüber muss man sich beim Einsatz von WhatsApp keine Gedanken machen: Das hat praktisch jeder auf seinem Smartphone. Bei vielen anderen Diensten muss man einkalkulieren, dass man den gewünschten Partner damit nicht auf Anhieb erreicht. Dann gilt es zunächst einmal herauszufinden, wen man damit anchatten kann, und wen man erst für die entsprechende App begeistern muss.
Wir haben deshalb auch die Verbreitung jedes unserer Testkandidaten bewertet. Die Downloadzahlen aus den App-Stores von Apple und Google ergeben zum Beispiel, dass WhatsApp der Platzhirsch in Deutschland ist, während etwa in den USA der Facebook Messenger dominiert. Für andere Dienste informieren Marktforscher und Anbieter über Benutzer, die den Dienst mindestens einmal pro Monat benutzen (MAU, Monthly Active Users). Die zugänglichen Angaben haben wir als Anhaltspunkte in der Tabelle auf Seite 78 aufgeführt, obwohl sie nicht direkt miteinander vergleichbar sind.
Zur Bewertung der Sicherheit von Kontakt- und Verbindungsdaten bei den einzelnen Diensten beziehen wir uns – soweit vorhanden – auf unabhängige Sicherheits-Audits und auf die Dokumentationen der Übertragungsprotokolle (siehe ct.de/yb2p). Daraus lässt sich auch ableiten, wie gut frühere Nachrichten noch im Rahmen der sogenannten Perfect Forward Secrecy geschützt sind, falls der verwendete kryptografische Schlüssel mit einem künftig verfügbaren Verfahren geknackt werden kann. Details zu den sicherheitsrelevanten Gesichtspunkten beschreibt der Artikel auf Seite 80.
Außerdem haben wir alle getesteten Messenger zusätzlich auf einem Android-Smartphone mit dem lokalen Proxy Net Capture installiert und dort angechattet. Der Proxy löst die übliche TLS-Transportverschlüsselung auf und simuliert dadurch einen Man-in-the-Middle-Angriff.
In drei Szenarien konnten wir die Chat-Inhalte daraufhin mitlesen: beim erklärtermaßen nicht verschlüsselnden Discord und bei Chats, die wir mit abgeschalteter Verschlüsselung via Conversations und Riot geführt haben. Die Testmethode funktioniert also.