Matthias Apsel: Sichere Messenger im Vergleich – weil Privatsphäre zählt

Alle Messenger werben mit sicherer und verschlüsselter Kommunikation. Doch wie sicher sind Ihre Daten und die Ihrer Partner wirklich?

Mark Williams hat die wichtigsten Messenger verglichen und das Ergebnis unter der Lizenz CC BY-NC-SA 4.0 zur Verfügung gestellt.

Das Original finden Sie unter https://www.securemessagingapps.com/.

Zusammenfassung

Welche Messenger sollten Sie nutzen?

  1. Signal. Es ist vollständig Open Source, geschrieben von einem bekannten Sicherheitsexperten, und sein Protokoll wird in anderen Messaging-Anwendungen (z. B. Whatsapp und Wire) verwendet. Sie werden durch Spenden und Zuschüsse finanziert, nicht durch Gelder von Firmen, die es auf Ihre Daten abgesehen haben. Die Umsetzung wurde von Sicherheitsexperten und Kryptographen überprüft. Es ist solide.
  2. Threema. Wenn Sie vermeiden wollen, dass Geheimdienste auf Ihre Daten zugreifen (Five Eyes / Fourteen Eyes) oder eine App anonym nutzen möchten, dann ist es eine gute Wahl. Sie haben ein User-Pay-Modell, das Design ist solide und die App wird unabhängig überprüft. Es ist jedoch closed source.
  3. Wire. Wenn Sie vermeiden wollen, dass Geheimdienste auf Ihre Daten zugreifen (Five Eyes / Fourteen Eyes), dann ist es eine gute Wahl. Es ist nicht so gut dokumentiert wie Signal und Threema, obwohl sowohl der Client als auch der Server Open Source sind. Die App wurde von unabhängiger Seite überprüft. Sowohl Threema als auch Wire bieten leicht unterschiedliche Sicherheits- und Datenschutzstufen. Ich würde sie beide gleichermaßen für den durchschnittlichen Benutzer empfehlen.

Diese Messenger sollten Sie meiden.

  • Facebook Messenger. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Facebook basiert auf der Erfassung von Benutzerinformationen, und sie wurden als NSA-Partner in die Leaks von Snowden einbezogen.
  • Google Allo. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Google basiert auf der Erfassung von Benutzerinformationen und wurde als NSA-Partner in die Leaks von Snowden einbezogen.
  • Apple iMessage. Es bietet keine Benutzerverifizierung, sein Design ist vollständig geschlossen, Metadaten sind nicht geschützt und es wurde noch nie unabhängig auditiert. Trotz Apples jüngster Fokussierung auf den Datenschutz wurden sie als Partner der NSA in den Snowden-Leaks genannt.
  • Riot. Es ist ein in Großbritannien ansässiges Unternehmen und seine Verschlüsselung befindet sich noch im Beta-Stadium. Es sieht vielversprechend aus, aber ich würde nicht vorschlagen, es für etwas Wichtiges zu verwenden.
  • Microsoft Skype. Es wurde mit integrierter Überwachung entwickelt. Genug gesagt. Microsoft wurde als Partner der NSA in den Leaks von Snowden genannt.
  • Telegram. Maßgeschneiderte Kryptographie ist keine gute Idee, die Verschlüsselung ist standardmäßig nicht aktiviert, die Benutzerverifizierung ist nicht korrekt implementiert, die Benutzerdaten (Telefonnummern, Kontaktinformationen) sind nicht geschützt und die App wurde von Kryptographen/Sicherheitsexperten weitgehend kritisiert.
  • Viber. Es ist closed source, gegründet von Talmon Marco, ehemaliger Chief Information Officer (CIO) des Central Command of the Israeli Defense Force, die Finanzierung ist unklar, es schützt keine Benutzerdaten und es wurde nicht unabhängig auditiert.
  • Facebook Whatsapp. Es ist closed source, die sich im Besitz von Facebook befindet, dessen Geschäftsmodell auf dem Sammeln von Benutzerinformationen basiert. Meta- und Benutzerdaten (Telefonnummern, Kontaktinformationen) werden nicht geschützt, Zeitstempel/Benutzermetadaten werden protokolliert, die App wurde nicht unabhängig geprüft. Facebook wurde auch als Partner der NSA in den Snowden-Leaks genannt. Zudem ist geplant, künftig (März 2019) personenbezogene Werbung einzublenden. Allerdings verwendet Whatsapp das gleiche Protokoll wie Signal.
  • Wickr. Es ist closed source und eine amerikanische Firma. Das ist genug, um es für mich in dieser Welt nach Snowden auszuschließen (obwohl es in den Details ähnlich gut wie Signal abschneidet - Anmerkung des Übersetzers).

Details

Legende

  • ❌ — Es bestehen große Bedenken.
  • ➖ — Es bestehen geringe Bedenken.
  • ✅ — Es bestehen keine Bedenken.
  • ❔ — keine Informationen gefunden.

Vergleich

TL;DR: Schützt die App deine Nachrichten und Anhänge?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Nein
Signal: Ja
Skype: Nein
Telegram: Nein
Threema: Ja
Viber: Nein
Whatsapp: Nein
Wickr: Nein
Wire: Ja
Gerichtsbarkeit des Unternehmens
Allo: USA
iMessage: USA
Messenger: USA
Riot: Großbritannien
Signal: USA
Skype: USA
Telegram: USA / Großbritannien / Belize
Threema: Schweiz
Viber: Luxemburg / Japan
Whatsapp: USA
Wickr: USA
Wire: Schweiz
Gerichtsbarkeit der Infrastruktur
Allo: USA, Belgien, Finnland, Irland, Niederlande, Chile, Taiwan und Singapur
iMessage: USA (Irland und Dänemark geplant); iMessage runs on AWS und Google Cloud
Messenger: USA, Sweden (Irland geplant)
Riot: Großbritannien (und möglicherweise alle Gerichtsbarkeiten, da es sich um eine dezentrale Messaging-Plattform handelt)
Signal: USA
Skype: USA, Niederlande, Australien, Brasilien, China, Irland, Hong Kong und Japan
Telegram: Großbritannien, Singapur, USA und Finnland
Threema: Schweiz
Viber: USA
Whatsapp: USA (unsicher, ob auch andere Länder beteiligt sind)
Wickr: USA (unsicher, ob auch andere Länder beteiligt sind)
Wire: Deutschland/Irland
Ist das Unternehmen an der Weitergabe von Kundendaten an Geheimdienste beteiligt?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Nein
Signal: Nein
Skype: Ja
Telegram: Nein
Threema: Nein
Viber: Nein
Whatsapp: Ja
Wickr: Nein
Wire: Nein
Gibt es eine in die App integrierte Überwachungsfunktion?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Nein
Signal: Nein
Skype: Ja
Telegram: Nein
Threema: Nein
Viber: Nein
Whatsapp: Nein
Wickr: Nein
Wire: Nein
Liefert das Unternehmen einen Transparenzbericht?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Nein
Signal: Ja
Skype: Ja
Telegram: Nein
Threema: Ja
Viber: Nein
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Wie ist die allgemeine Haltung des Unternehmens zur Privatsphäre seiner Kunden?
Allo: Armselig
iMessage: Armselig
Messenger: Armselig
Riot: Gut
Signal: Gut
Skype: Armselig
Telegram: Armselig
Threema: Gut
Viber: Armselig
Whatsapp: Armselig
Wickr: Gut
Wire: Gut
Finanzierung
Allo: Google
iMessage: Apple
Messenger: Facebook
Riot: New Vector Limited
Signal: Freedom of the Press Foundation, the Knight Foundation, the Shuttleworth Foundation und the Open TechNeinlogy Fund, Signal Foundation (Brian Acton)
Skype: Microsoft
Telegram: Pavel Durov
Threema: Nutzerentgelte
Viber: Rakuten, Freunde und Familie von Talmon Marco (sehr unklar)
Whatsapp: Facebook
Wickr: Gilman Louie, Juniper Networks, the Knight Foundation, Breyer Capital, CME Group und Wargaming
Wire: Janus Friis, Iconical, Zeta Holdings Luxemburg
Sammelt das Unternehmen Kundendaten?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Nein
Signal: Nein
Skype: Ja
Telegram: Ja
Threema: Nein
Viber: Ja
Whatsapp: Ja
Wickr: Nein
Wire: Nein
Sammelt die App Kundendaten
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Minimal
Signal: Minimal
Skype: Ja
Telegram: Ja
Threema: Nein
Viber: Ja
Whatsapp: Ja
Wickr: Nein
Wire: Minimal
Ist die Verschlüsselung per default eingeschaltet?
Allo: Nein
iMessage: Ja
Messenger: Nein
Riot: Nein
Signal: Ja
Skype: Ja
Telegram: Nein
Threema: Ja
Viber: Ja (falls vom Gerät unterstützt)
Whatsapp: Ja (falls vom Gerät unterstützt)
Wickr: Ja
Wire: Ja
Welche kryptografischen Algorithmen werden verwendet?
Allo: ?
iMessage: RSA-1280 (encryption), ECDSA 256 (signing) / AES 128 / SHA-1
Messenger: Curve25519 / AES-256 / HMAC-SHA256
Riot: Curve25519 / AES-256 / HMAC-SHA256
Signal: Curve25519 / AES-256 / HMAC-SHA256
Skype: RSA-1536 & 2048 / AES 256 / SHA-1
Telegram: RSA 2048 / AES 256 / SHA-256
Threema: Curve25519 256 / XSalsa20 256 / Poly1305-AES 128
Viber: Curve25519 256 / Salsa20 128 / HMAC-SHA256
Whatsapp: Curve25519 / AES-256 / HMAC-SHA256
Wickr: ECDH512 / AES-256 / HMAC-SHA256
Wire: Curve25519 / ChaCha20 / HMAC-SHA256
Sind App und Server vollständig quelloffen?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Ja
Signal: Ja
Skype: Nein
Telegram: Nein (nur clients und API)
Threema: Nein
Viber: Nein
Whatsapp: Nein
Wickr: Nein
Wire: Ja
Lässt sich die App anonym benutzen?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Ja
Signal: Nein
Skype: Nein
Telegram: Nein
Threema: Ja
Viber: Nein
Whatsapp: Nein
Wickr: Ja
Wire: Nein
Lässt sich ein Kontakt hinzufügen ohne einem Verzeichnisserver vertrauen zu müssen?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Nein
Signal: Nein
Skype: Nein
Telegram: Nein
Threema: Ja
Viber: Ja
Whatsapp: Nein
Wickr: Nein
Wire: Nein
Lassen sich die Fingerprints der Kontakte manuell überprüfen?
Allo: Nein
iMessage: Nein
Messenger: Ja
Riot: Ja
Signal: Ja
Skype: Nein
Telegram: Nein (session only, does not provide users' fingerprint information)
Threema: Ja
Viber: Ja
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Lässt sich der Verzeichnisdienst modifizieren, um einen MITM-Angriff zu ermöglichen?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Ja
Signal: Ja
Skype: Ja
Telegram: Ja
Threema: Ja
Viber: Ja
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Wirst du benachrichtigt, wenn sich der fingerprint deiner Kontakte ändert?
Allo: Nein
iMessage: Nein
Messenger: ?
Riot: Ja
Signal: Ja
Skype: Nein
Telegram: Nein (session only, does not provide users' fingerprint information)
Threema: Ja
Viber: Ja
Whatsapp: Nein (per default ausgeschaltet)
Wickr: Nein
Wire: Wenn der Kontakt vorher verfiziert war
Werden die persönlichen Informationen (Telefonnummer, Kontaktliste, ...) gehasht?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: ?
Signal: Meistens
Skype: Nein
Telegram: Nein
Threema: Ja
Viber: Nein
Whatsapp: Nein
Wickr: Ja
Wire: Meistens
Erzeugt und bewahrt die App einen privaten Schlüssel auf dem Gerät selbst auf?
Allo: ?
iMessage: Ja
Messenger: Ja
Riot: Ja
Signal: Ja
Skype: ?
Telegram: Ja
Threema: Ja
Viber: Ja
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Können Nachrichten vom Unternehmen gelesen werden?
Allo: Ja
iMessage: Nein
Messenger: Ja
Riot: Nein
Signal: Nein
Skype: Ja
Telegram: Ja
Threema: Nein
Viber: Nein
Whatsapp: Nein
Wickr: Nein
Wire: Nein
Erzwingt die App perfect forward secrecy?
Allo: ?
iMessage: Nein
Messenger: Ja
Riot: Ja
Signal: Ja
Skype: ?
Telegram: Nein (der Session-Key wird nach 100 Sitzungen geändert)
Threema: Nein
Viber: Ja
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Verschlüsselt die App Metadaten?
Allo: ?
iMessage: Nein
Messenger: Nein
Riot: ?
Signal: Ja
Skype: ?
Telegram: Nein
Threema: Ja
Viber: ?
Whatsapp: Nein
Wickr: Ja
Wire: Meistens
Nutzt die App TLS/Noise um den Netzwerkverkehr zu verschlüsseln?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: Ja
Signal: Ja
Skype: Ja
Telegram: Nein
Threema: Ja
Viber: Ja
Whatsapp: Ja
Wickr: Ja
Wire: Ja
Prüft die App die Identität der Zertifikate?
Allo: ?
iMessage: Ja (>=iOS 9.3)
Messenger: ?
Riot: ?
Signal: Ja
Skype: ?
Telegram: ?
Threema: Ja
Viber: ?
Whatsapp: ?
Wickr: ?
Wire: Ja
Verschlüsselt die App die Daten auf dem Gerät (nur iOS und Android)
Allo: ?
iMessage: Ja (wenn Passwörter aktiviert sind)
Messenger: ?
Riot: ?
Signal: Ja (wenn Passwörter aktiviert sind)
Skype: ?
Telegram: ?
Threema: iOS: Ja (wenn Passwörter aktiviert sind); Android: Ja (wenn das Master-Passwort in der App gesetzt ist)
Viber: ?
Whatsapp: ?
Wickr: iOS: Ja (wenn Passwörter aktiviert sind); Android: Ja (unsicher, ob es funktioniert)
Wire: Ja
Nutzt die App eine Zwei-Wege-Authentifikation?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Nein
Signal: Nein
Skype: Nein
Telegram: Ja
Threema: Ja
Viber: Nein
Whatsapp: Ja
Wickr: Ja (Passwort für genutzte Accounts)
Wire: Ja
Sind die Nachrichten verschlüsselt, wenn sie in die Cloud gesichert werden?
Allo: ?
iMessage: Nein
Messenger: ?
Riot: ?
Signal: Signal ist ausgenommen von iCloud/iTunes & Android backups
Skype: ?
Telegram: ?
Threema: Ja
Viber: ?
Whatsapp: iOS: Ja; Android: Nein
Wickr: ?
Wire: Wire ist ausgenommen von iCloud/iTunes & Android backups
Logt das Unternehmen timestamps oder IP-Adressen?
Allo: Ja
iMessage: Ja
Messenger: Ja
Riot: ?
Signal: Nein
Skype: Ja
Telegram: Ja
Threema: Nein
Viber: Ja
Whatsapp: Ja
Wickr: Nein
Wire: Some
Gab es kürzlich ein Code-Audit und eine unabhängige Sicherheitsanalyse?
Allo: Nein
iMessage: Nein
Messenger: Nein
Riot: Nein
Signal: Ja (Oktober 2014)
Skype: Nein
Telegram: Ja (November 2015)
Threema: Ja (November 2015)
Viber: Nein
Whatsapp: Nein
Wickr: Ja (August 2014)
Wire: Ja (März 2018)
Ist das Projekt gut dokumentiert?
Allo: Nein
iMessage: Etwas
Messenger: Etwas
Riot: Etwas
Signal: Somewhat
Skype: Nein
Telegram: Etwas
Threema: Etwas
Viber: Etwas
Whatsapp: Etwas
Wickr: Etwas
Wire: Etwas
Erlaubt die App sich selbst zerstörende Nachrichten?
Allo: Ja
iMessage: Nein
Messenger: Ja
Riot: Nein
Signal: Ja
Skype: Nein
Telegram: Ja
Threema: Nein
Viber: Nein
Whatsapp: Nein
Wickr: Ja
Wire: Ja