c't 8/2021
S. 14
Titel
Sichere Messenger: Test
Bild: Andreas Martini

Messengerdämmerung

Sichere Messenger: WhatsApp und Alternativen im Test

WhatsApps Status als De-facto-Standard ­bröckelt: Immer mehr Menschen mögen ihre Daten nicht dem Facebook-Konzern überlassen. Glücklicherweise gibt es Alternativen, die nicht nur sicherer, sondern auch mindestens so komfortabel sind. Fünf haben wir getestet.

Von Jan-Keno Janssen, Sylvester Tremmel und Sebastian Trepesch

Was ein kleines Info-Fenster anrichten kann: Als der populäre Messenger WhatsApp Anfang des Jahres darum bat, neuen Nutzungsbedingungen zuzustimmen, hat er damit eine wahre Wechsel-Welle ausgelöst. Laut der App-Analysefirma Sensor Tower wurde beispielsweise Signal zwischen dem 6. und 10. Januar 7,5 Millionen Mal installiert – über 40 Mal mehr als in der Vorwoche. Telegram meldete 25 Millionen neue User in drei Tagen.

Was ist da los?

Facebook setzt der WhatsApp-Kundschaft die Pistole auf die Brust: Wer den Änderungen der Nutzungsbedingungen nicht zustimmt, kann keine Nachrichten mehr lesen und schreiben. Als Frist galt zuerst der 8. Februar, Facebook hat die Einführung aber, vermutlich als Reaktion auf die Messenger-Wechsel-Welle, auf den 15. Mai verschoben.

Aber was ändert sich denn nun eigentlich? Bei Nachrichten zwischen Privatnutzern laut Facebook nichts, die sind und bleiben für den Konzern nicht lesbar. Betroffen sind vielmehr Chats zwischen Privatnutzern und Unternehmen. Letztere sollen künftig Dienstleister beauftragen dürfen, die Chats in ihrem Namen abzuwickeln. Auch Facebook selbst will diese Dienstleistung seinen Firmenkunden anbieten, hätte in bestimmten Fällen also ebenfalls Zugriff auf die WhatsApp-Chats und könnte sie im Auftrag des Kunden auch für dessen Werbezwecke auswerten. Facebook erhofft sich davon offenbar einen Schub für die Nutzung der Business-Funktionen von WhatsApp. Wie das künftig aussehen könnte, sieht man in China, dort kann man nämlich mit der WeChat-App zum Beispiel eine Pizza oder ein Taxi bestellen und direkt bezahlen. Insgesamt betreffen die Änderungen bei WhatsApp vor allem die Kundschaft außerhalb der EU, hierzulande schützt die DSGVO davor, dass Facebook zu viele Daten für Werbung auswerten darf. Klar ist auf alle Fälle: Facebook will WhatsApp endlich das Geldverdienen beibringen – ob man das in Einklang mit einer sicheren und datensparsamen Kommunikationsumgebung bringen kann, scheint mindestens fraglich.

Doch wo kann man denn überhaupt sicher kommunizieren und muss dennoch nicht auf den von WhatsApp gewohnten Komfort verzichten? Für diesen Test haben wir fünf WhatsApp-Alternativen ausgewählt: Element, Signal, Telegram, Threema und Wire. Die Auswahl fiel uns nicht leicht, denn eigentlich wäre unser Mindeststandard an Sicherheit der gleiche gewesen, den auch WhatsApp bietet, nämlich voreingestellte Ende-zu-Ende-Verschlüsselung (end-to-end encryption, E2EE). Sprich: Die Nachrichten werden nicht nur zum und vom Server verschlüsselt (Transportverschlüsselung), sondern permanent verschlüsselt gehalten und erst beim Empfänger entschlüsselt. Das macht WhatsApp seit 2016, und zwar mit dem in der Cryptoszene geachteten Double-Ratchet-Verfahren.

Dieses – von Signal erfundene – System ist gut für die asynchrone Kommunikation von Messengern geeignet und bietet wichtige Eigenschaften wie Forward Secrecy [1]. Aufgrund solcher Vorteile wird das Verfahren auch von diversen anderen Messengern eingesetzt, im Testfeld neben Signal und WhatsApp auch von Element und Wire.

Bei Signal kann man jede einzelne Nachricht mit einem Emoji kommentieren.

Den sehr populären Facebook Messenger haben wir nicht mit aufgenommen – er nutzt standardmäßig keine E2EE, und vor allem: Wer von WhatsApp wegen der neuen Facebook-Nutzungsbedingungen weg will, wechselt nicht zum FacebookMessenger. Wegen unvollständiger E2EE haben wir Skype und Snapchat ebenfalls nicht getestet. Das ansonsten ordentliche iMessage fiel raus, weil es ausschließlich auf Apple-Geräten läuft.

Eine Ausnahme haben wir bei Telegram gemacht, die App umgibt kurioserweise eine Aura der Sicherheit. Der Messenger verschlüsselt standardmäßig nicht Ende-zuEnde, es lassen sich lediglich manuell „geheime Chats“ starten, die etliche Nachteile haben. So funktionieren sie nur als Einzelchat, nicht in Gruppen. Außerdem sind die verschlüsselten Chats nur auf dem HauptMobilgerät sichtbar, nicht auf dem Desktop-Client. Trotz allem gilt Telegram als sicherere WhatsApp-Alternative, weshalb wir es in den Test aufgenommen haben.

Unabhängig von der Verschlüsselung der Inhalte fallen beim Versand von Nachrichten Metadaten an. Diese Problematik – mit der Messenger unterschiedlich umgehen – beleuchten wir in einem separaten Artikel auf S. 24.

Kommentare lesen (13 Beiträge)