Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Sichere Messenger: Fünf Alternativen zu WhatsApp im Test

Seite 3: Einzelbesprechungen

Inhaltsverzeichnis

Element ist laut Play-Store-Downloadzahlen der bislang unpopulärste Messenger dieses Tests – dafür aber auch der mit dem größten Nerd-Faktor. Die Software hieß bis vor einigen Monaten noch "Riot.im" und setzt den offenen Standard Matrix um. Das ist ein Application-Layer-Kommunikationsprotokoll mit föderierenden Servern, ähnlich dem E-Mail-Standard SMTP. Chatpartner müssen also nicht beim selben Server registriert sein – oder denselben Client nutzen –, um miteinander zu reden.

Matrix schickt sich zumindest an, erfolgreicher zu werden als bisherige offene Instant-Messaging-Protokolle wie XMPP und IRCv3; unter anderem will die französische Regierung langfristig alle Ministerien auf Matrix-Kommunikation umstellen. Das deutsche Verteidigungsministerium testet seit Ende 2019 den "BwMessenger" auf dienstlichen und privaten Geräten, der ebenfalls auf Matrix basiert.

Element kann als einziger Testkandidat die Kommunikation über einen selbst gehosteten Server laufen lassen. Ansonsten ist die Software eher rudimentär: Es gibt keine GIF-Bibliothek, keine Standort-Übermittlung und keine Sprachnachrichten, obwohl die für viele lebenswichtig sind.

  • Gute Verschlüsselung
  • Föderierende, offene Server
  • Erfordert Technikaffinität
  • Keine Sprachnachrichten

Das wohl anschaulichste Argument für Signal lieferte der im Exil lebende US-Whistleblower Edward Snowden vor kurzem auf Twitter: "Ich benutze es jeden Tag und bin trotzdem noch nicht tot." Der Messenger hat sich seit seinen frickeligen Anfängen als "TextSecure" in den letzten zehn Jahren zu einer erstaunlich guten App entwickelt. Inzwischen kann man die App auch Technik-Laien empfehlen; wer mit WhatsApp klarkommt, bedient auch Signal. Dem Konkurrenten hat Signal sogar einiges voraus: So funktioniert der Desktop-Client auch dann, wenn das Handy ausgeschaltet ist – bei WhatsApp muss es zwingend aktiv und mit dem Netz verbunden sein. Außerdem kann man bei Signal einzelne Nachrichten mit Emojis versehen, was die Kommunikation effizienter macht. Die Stabilität der App hat sich vor allem mit den letzten Updates stark verbessert – hakte es zu Anfang des Tests noch mit zu spät übertragenen Nachrichten, klappt inzwischen alles zuverlässig.

In Sachen Sicherheit ist Signal quasi der Goldstandard. Die App hat das Double-Ratchet-Verfahren erfunden und vermeidet mehr Metadaten als die Konkurrenz. Einziges Manko: Zur Registrierung und als Nutzer-ID ist die Telefonnummer verpflichtend, eine anonyme Nutzung ist nicht möglich.

  • Beste Verschlüsselung
  • Einfache Handhabung
  • Non-Profit-Entwickler
  • Telefonnummern-Zwang

Das hat Pavel Durov clever eingefädelt: Durch sein Leben als Exilant – er kehrte Russland 2014 den Rücken – lud er seinen Messenger Telegram mit viel Freiheitskämpfer-Image auf. In letzter Zeit fiel Telegram allerdings vor allem dadurch auf, dass etliche Quer- und Wirrköpfe hier mit ihren Gefolgsleuten kommunizieren – oft nachdem Plattformen wie YouTube ihnen wegen der Verbreitung von Verschwörungsmythen den Zugang gesperrt hatten. Dabei arbeitet Telegram durchaus mit Regierungen zusammen und wird beispielsweise vom europäischen Polizeiamt gelobt für das "Fördern enger Partnerschaften mit internationalen Organisationen wie Europol".

Telegrams Ende-zu-Ende-Verschlüsselung ist der Double-Ratchet-Konkurrenz technisch unterlegen. Viel schlimmer ist aber, dass Telegram standardmäßig gar keine Ende-zu-Ende-Verschlüsselung nutzt. Der Messenger ist damit klar unsicherer als die anderen Testkandidaten. Außerdem werden die Inhalte normaler Chats auf den Servern des Anbieters gespeichert, wobei unklar ist, wer darauf Zugriff nehmen könnte. In Sachen Komfort und Geschwindigkeit ist Telegram dagegen ganz weit vorne. Außerdem bemerkenswert: Die fantastische Exportfunktion, die liebevollen Stickerpacks und die praktischen Bots.

  • Stabil, schnell, viele Funktionen
  • Cloud praktisch, aber unsicher
  • nicht vollständig E2E-verschlüsselt
  • Geschäftsmodell unklar

Weil der Name "End-to-End-Encrypting Messaging Application" (EEEMA) nicht ganz so geschmeidig über die Lippen geht, hat der Schweizer Entwickler Manuel Kasper kurzerhand "Threema" daraus gemacht. Das war vor neun Jahren – und der Messenger behauptet sich immer noch gegen die Konkurrenz aus dem Silicon Valley. Vor Kurzem haben die Macher sich getraut, trotz wirtschaftlichem Risiko den Quellcode der Client-Software offenzulegen – den Servercode allerdings nicht.

In Sachen Funktionen ähnelt Threema stark WhatsApp, bietet aber auch Eigenständiges, zum Beispiel das Erstellen von Umfragen. Threema kostet als einzige getestete Software auch für Privatpersonen Geld, je nach Store ungefähr drei Euro. Für Unternehmen gibt es "Threema Work", das Mobile Device Management (MDM) unterstützt. Unter anderem wird die Software von der Schweizer Regierung und Daimler verwendet.

Die Verschlüsselung hält nicht mit dem Double-Ratchet-Verfahren mit. Sehr schön ist dagegen, dass der Betreiber seine Software schon mehrfach von Dritten auditieren ließ und sehr offen mit den Ergebnissen umgeht. Ebenfalls ein Plus: Threemas IDs sind anonym und werden nur auf Wunsch mit Telefonnummern oder Mailadressen verknüpft.

  • Server in Europa
  • Anonymer Betrieb möglich
  • Keine Sticker und GIFs
  • Keine kostenlose Version

WhatsApp war lange Zeit das Tempo-Taschentuch der Messenger: Seit Jahren kommt fast keine Junggesellinnen-Vorbereitung oder Kindergeburtstags-Organisation ohne die grüne App aus, zumindest in der deutschsprachigen Welt gehört sie zum Alltag. Doch spätestens seit den neuen Nutzungsbedingungen denken immer mehr Leute darüber nach, ob WhatsApp wirklich die beste Wahl ist. Zwar verschlüsselt der Messenger brav Ende zu Ende, aber fließen die Metadaten womöglich doch in Facebooks Datensammlung?

Auch fernab von Sicherheitsbedenken spricht vieles gegen WhatsApp. Ganz grundlegend nervt zum Beispiel, dass der Desktop-Client nur läuft, wenn das Mobilgerät mit dem Netz verbunden ist. Außerdem ist ein Datenexport, um ohne WhatsApp-Client auf seine Chats zuzugreifen, sehr umständlich.

  • Gute Verschlüsselung
  • Einfach zu bedienen
  • Metadaten gehen zu Facebook
  • Telefonnummern-Zwang

Wire wird häufig vergessen, wenn es um sichere Messenger geht – dabei hat die Software durchaus ihre Fans. Die Wire Swiss GmbH sitzt in der Schweiz, entwickelt wird die Software in Berlin, die Server befinden sich in der EU.

Die Wire-Clients wirken nicht ganz so stromlinienförmig wie die Konkurrenz, funktionieren generell aber ordentlich. Etwas nervig ist, dass der App-Start nach dem Tipp auf eine Benachrichtigung häufig mehrere Sekunden dauert. An einigen Stellen versucht Wire, Dinge anders zu machen, zum Beispiel mit einer netten Kritzeln-Funktion.

Zur Verschlüsselung setzt Wire auf eine Variante des Double-Ratchet-Verfahrens. Ungewöhnlich ist, dass jedes Gerät eines Nutzers eine eigene ID bekommt. Wer einen Chat als sicher markieren will, muss daher alle Devices seines Gegenübers einzeln verifizieren. Wer den Aufwand scheut, bekommt nicht einmal angezeigt, wenn sich neue Geräte in einen Chat einklinken. Weil der Wire-Server das dafür nötige Passwort kennt, könnte der Betreiber so theoretisch sogar eigene Geräte in unverifizierte Chats einschleusen und mitlesen. In Zukunft will Wire diese Lücke durch den Umstieg auf Messaging Layer Security (MLS) schließen, einen Standard für sichere Chatsysteme, an dessen Entwicklung sich Wire beteiligt.

  • Server in EU
  • Gute Verschlüsselung
  • App manchmal schwerfällig
  • E2EE-Lücke in unverifizierten Chats
Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Apps & Betriebssysteme

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten