Alle Messenger werben mit sicherer und verschlüsselter Kommunikation. Doch wie sicher sind Ihre Daten und die Ihrer Partner wirklich?

Mark Williams hat die wichtigsten Messenger verglichen und das Ergebnis unter der Lizenz CC BY-NC-SA 4.0 zur Verfügung gestellt.

Das Original finden Sie unter https://www.securemessagingapps.com/.

Zusammenfassung

Welche Messenger sollten Sie nutzen?

1. ✅ Signal. Es ist vollständig Open Source, geschrieben von einem bekannten Sicherheitsexperten, und sein Protokoll wird in anderen Messaging-Anwendungen (z. B. Whatsapp und Wire) verwendet. Sie werden durch Spenden und Zuschüsse finanziert, nicht durch Gelder von Firmen, die es auf Ihre Daten abgesehen haben. Die Umsetzung wurde von Sicherheitsexperten und Kryptographen überprüft. Es ist solide.
2. ✅ Threema. Wenn Sie vermeiden wollen, dass Geheimdienste auf Ihre Daten zugreifen (Five Eyes / Fourteen Eyes) oder eine App anonym nutzen möchten, dann ist es eine gute Wahl. Sie haben ein User-Pay-Modell, das Design ist solide und die App wird unabhängig überprüft. Es ist jedoch closed source.
3. ✅ Wire. Wenn Sie vermeiden wollen, dass Geheimdienste auf Ihre Daten zugreifen (Five Eyes / Fourteen Eyes), dann ist es eine gute Wahl. Es ist nicht so gut dokumentiert wie Signal und Threema, obwohl sowohl der Client als auch der Server Open Source sind. Die App wurde von unabhängiger Seite überprüft. Sowohl Threema als auch Wire bieten leicht unterschiedliche Sicherheits- und Datenschutzstufen. Ich würde sie beide gleichermaßen für den durchschnittlichen Benutzer empfehlen.

Diese Messenger sollten Sie meiden.

• ❌ Facebook Messenger. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Facebook basiert auf der Erfassung von Benutzerinformationen, und sie wurden als NSA-Partner in die Leaks von Snowden einbezogen.
• ❌ Google Allo. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Google basiert auf der Erfassung von Benutzerinformationen und wurde als NSA-Partner in die Leaks von Snowden einbezogen.
• ❌ Apple iMessage. Es bietet keine Benutzerverifizierung, sein Design ist vollständig geschlossen, Metadaten sind nicht geschützt und es wurde noch nie unabhängig auditiert. Trotz Apples jüngster Fokussierung auf den Datenschutz wurden sie als Partner der NSA in den Snowden-Leaks genannt.
• ❌ Riot. Es ist ein in Großbritannien ansässiges Unternehmen und seine Verschlüsselung befindet sich noch im Beta-Stadium. Es sieht vielversprechend aus, aber ich würde nicht vorschlagen, es für etwas Wichtiges zu verwenden.
• ❌ Microsoft Skype. Es wurde mit integrierter Überwachung entwickelt. Genug gesagt. Microsoft wurde als Partner der NSA in den Leaks von Snowden genannt.
• ❌ Telegram. Maßgeschneiderte Kryptographie ist keine gute Idee, die Verschlüsselung ist standardmäßig nicht aktiviert, die Benutzerverifizierung ist nicht korrekt implementiert, die Benutzerdaten (Telefonnummern, Kontaktinformationen) sind nicht geschützt und die App wurde von Kryptographen/Sicherheitsexperten weitgehend kritisiert.
• ❌ Viber. Es ist closed source, gegründet von Talmon Marco, ehemaliger Chief Information Officer (CIO) des Central Command of the Israeli Defense Force, die Finanzierung ist unklar, es schützt keine Benutzerdaten und es wurde nicht unabhängig auditiert.
• ❌ Facebook Whatsapp. Es ist closed source, die sich im Besitz von Facebook befindet, dessen Geschäftsmodell auf dem Sammeln von Benutzerinformationen basiert. Meta- und Benutzerdaten (Telefonnummern, Kontaktinformationen) werden nicht geschützt, Zeitstempel/Benutzermetadaten werden protokolliert, die App wurde nicht unabhängig geprüft. Facebook wurde auch als Partner der NSA in den Snowden-Leaks genannt. Zudem ist geplant, künftig (März 2019) personenbezogene Werbung einzublenden. Allerdings verwendet Whatsapp das gleiche Protokoll wie Signal.
• ❌ Wickr. Es ist closed source und eine amerikanische Firma. Das ist genug, um es für mich in dieser Welt nach Snowden auszuschließen (obwohl es in den Details ähnlich gut wie Signal abschneidet - Anmerkung des Übersetzers).

Details

Legende

• ❌ — Es bestehen große Bedenken.
• ➖ — Es bestehen geringe Bedenken.
• ✅ — Es bestehen keine Bedenken.
• ❔ — keine Informationen gefunden.

Vergleich

TL;DR: Schützt die App deine Nachrichten und Anhänge?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

❌ Riot: Nein

✅ Signal: Ja

❌ Skype: Nein

❌ Telegram: Nein

✅ Threema: Ja

❌ Viber: Nein

❌ Whatsapp: Nein

❌ Wickr: Nein

✅ Wire: Ja

Gerichtsbarkeit des Unternehmens

❌ Allo: USA

❌ iMessage: USA

❌ Messenger: USA

❌ Riot: Großbritannien

❌ Signal: USA

❌ Skype: USA

❌ Telegram: USA / Großbritannien / Belize

➖ Threema: Schweiz

➖ Viber: Luxemburg / Japan

❌ Whatsapp: USA

❌ Wickr: USA

➖ Wire: Schweiz

Gerichtsbarkeit der Infrastruktur

❌ Allo: USA, Belgien, Finnland, Irland, Niederlande, Chile, Taiwan und Singapur

❌ iMessage: USA (Irland und Dänemark geplant); iMessage runs on AWS und Google Cloud

❌ Messenger: USA, Sweden (Irland geplant)

❌ Riot: Großbritannien (und möglicherweise alle Gerichtsbarkeiten, da es sich um eine dezentrale Messaging-Plattform handelt)

❌ Signal: USA

❌ Skype: USA, Niederlande, Australien, Brasilien, China, Irland, Hong Kong und Japan

❌ Telegram: Großbritannien, Singapur, USA und Finnland

➖ Threema: Schweiz

❌ Viber: USA

❌ Whatsapp: USA (unsicher, ob auch andere Länder beteiligt sind)

❌ Wickr: USA (unsicher, ob auch andere Länder beteiligt sind)

➖ Wire: Deutschland/Irland

Ist das Unternehmen an der Weitergabe von Kundendaten an Geheimdienste beteiligt?

❌ Allo: Ja

❌ iMessage: Ja

❌ Messenger: Ja

✅ Riot: Nein

✅ Signal: Nein

❌ Skype: Ja

✅ Telegram: Nein

✅ Threema: Nein

✅ Viber: Nein

❌ Whatsapp: Ja

✅ Wickr: Nein

✅ Wire: Nein

Gibt es eine in die App integrierte Überwachungsfunktion?

✅ Allo: Nein

✅ iMessage: Nein

✅ Messenger: Nein

✅ Riot: Nein

✅ Signal: Nein

❌ Skype: Ja

✅ Telegram: Nein

✅ Threema: Nein

✅ Viber: Nein

✅ Whatsapp: Nein

✅ Wickr: Nein

✅ Wire: Nein

Liefert das Unternehmen einen Transparenzbericht?

✅ Allo: Ja

✅ iMessage: Ja

✅ Messenger: Ja

❌ Riot: Nein

✅ Signal: Ja

✅ Skype: Ja

❌ Telegram: Nein

✅ Threema: Ja

❌ Viber: Nein

✅ Whatsapp: Ja

✅ Wickr: Ja

✅ Wire: Ja

Wie ist die allgemeine Haltung des Unternehmens zur Privatsphäre seiner Kunden?

❌ Allo: Armselig

❌ iMessage: Armselig

❌ Messenger: Armselig

✅ Riot: Gut

✅ Signal: Gut

❌ Skype: Armselig

❌ Telegram: Armselig

✅ Threema: Gut

❌ Viber: Armselig

❌ Whatsapp: Armselig

✅ Wickr: Gut

✅ Wire: Gut

Finanzierung

❌ Allo: Google

❌ iMessage: Apple

❌ Messenger: Facebook

✅ Riot: New Vector Limited

✅ Signal: Freedom of the Press Foundation, the Knight Foundation, the Shuttleworth Foundation und the Open TechNeinlogy Fund, Signal Foundation (Brian Acton)

❌ Skype: Microsoft

✅ Telegram: Pavel Durov

✅ Threema: Nutzerentgelte

❌ Viber: Rakuten, Freunde und Familie von Talmon Marco (sehr unklar)

❌ Whatsapp: Facebook

✅ Wickr: Gilman Louie, Juniper Networks, the Knight Foundation, Breyer Capital, CME Group und Wargaming

✅ Wire: Janus Friis, Iconical, Zeta Holdings Luxemburg

Sammelt das Unternehmen Kundendaten?

❌ Allo: Ja

❌ iMessage: Ja

❌ Messenger: Ja

✅ Riot: Nein

✅ Signal: Nein

❌ Skype: Ja

❌ Telegram: Ja

✅ Threema: Nein

❌ Viber: Ja

❌ Whatsapp: Ja

✅ Wickr: Nein

✅ Wire: Nein

Sammelt die App Kundendaten

❌ Allo: Ja

❌ iMessage: Ja

❌ Messenger: Ja

➖ Riot: Minimal

➖ Signal: Minimal

❌ Skype: Ja

❌ Telegram: Ja

✅ Threema: Nein

❌ Viber: Ja

❌ Whatsapp: Ja

✅ Wickr: Nein

➖ Wire: Minimal

Ist die Verschlüsselung per default eingeschaltet?

❌ Allo: Nein

✅ iMessage: Ja

❌ Messenger: Nein

❌ Riot: Nein

✅ Signal: Ja

✅ Skype: Ja

❌ Telegram: Nein

✅ Threema: Ja

✅ Viber: Ja (falls vom Gerät unterstützt)

✅ Whatsapp: Ja (falls vom Gerät unterstützt)

✅ Wickr: Ja

✅ Wire: Ja

Welche kryptografischen Algorithmen werden verwendet?

❔ Allo: ?

❌ iMessage: RSA-1280 (encryption), ECDSA 256 (signing) / AES 128 / SHA-1

✅ Messenger: Curve25519 / AES-256 / HMAC-SHA256

✅ Riot: Curve25519 / AES-256 / HMAC-SHA256

✅ Signal: Curve25519 / AES-256 / HMAC-SHA256

❌ Skype: RSA-1536 & 2048 / AES 256 / SHA-1

✅ Telegram: RSA 2048 / AES 256 / SHA-256

✅ Threema: Curve25519 256 / XSalsa20 256 / Poly1305-AES 128

✅ Viber: Curve25519 256 / Salsa20 128 / HMAC-SHA256

✅ Whatsapp: Curve25519 / AES-256 / HMAC-SHA256

✅ Wickr: ECDH512 / AES-256 / HMAC-SHA256

✅ Wire: Curve25519 / ChaCha20 / HMAC-SHA256

Sind App und Server vollständig quelloffen?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

✅ Riot: Ja

✅ Signal: Ja

❌ Skype: Nein

❌ Telegram: Nein (nur clients und API)

❌ Threema: Nein

❌ Viber: Nein

❌ Whatsapp: Nein

❌ Wickr: Nein

✅ Wire: Ja

Lässt sich die App anonym benutzen?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

✅ Riot: Ja

❌ Signal: Nein

❌ Skype: Nein

❌ Telegram: Nein

✅ Threema: Ja

❌ Viber: Nein

❌ Whatsapp: Nein

✅ Wickr: Ja

❌ Wire: Nein

Lässt sich ein Kontakt hinzufügen ohne einem Verzeichnisserver vertrauen zu müssen?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

❌ Riot: Nein

❌ Signal: Nein

❌ Skype: Nein

❌ Telegram: Nein

✅ Threema: Ja

✅ Viber: Ja

❌ Whatsapp: Nein

❌ Wickr: Nein

❌ Wire: Nein

Lassen sich die Fingerprints der Kontakte manuell überprüfen?

❌ Allo: Nein

❌ iMessage: Nein

✅ Messenger: Ja

✅ Riot: Ja

✅ Signal: Ja

❌ Skype: Nein

❌ Telegram: Nein (session only, does not provide users' fingerprint information)

✅ Threema: Ja

✅ Viber: Ja

✅ Whatsapp: Ja

✅ Wickr: Ja

✅ Wire: Ja

Lässt sich der Verzeichnisdienst modifizieren, um einen MITM-Angriff zu ermöglichen?

❌ Allo: Ja

❌ iMessage: Ja

❌ Messenger: Ja

❌ Riot: Ja

❌ Signal: Ja

❌ Skype: Ja

❌ Telegram: Ja

❌ Threema: Ja

❌ Viber: Ja

❌ Whatsapp: Ja

❌ Wickr: Ja

❌ Wire: Ja

Wirst du benachrichtigt, wenn sich der fingerprint deiner Kontakte ändert?

❌ Allo: Nein

❌ iMessage: Nein

❔ Messenger: ?

✅ Riot: Ja

✅ Signal: Ja

❌ Skype: Nein

❌ Telegram: Nein (session only, does not provide users' fingerprint information)

✅ Threema: Ja

✅ Viber: Ja

❌ Whatsapp: Nein (per default ausgeschaltet)

❌ Wickr: Nein

➖ Wire: Wenn der Kontakt vorher verfiziert war

Werden die persönlichen Informationen (Telefonnummer, Kontaktliste, ...) gehasht?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

❔ Riot: ?

➖ Signal: Meistens

❌ Skype: Nein

❌ Telegram: Nein

✅ Threema: Ja

❌ Viber: Nein

❌ Whatsapp: Nein

✅ Wickr: Ja

➖ Wire: Meistens

Erzeugt und bewahrt die App einen privaten Schlüssel auf dem Gerät selbst auf?

❔ Allo: ?

✅ iMessage: Ja

✅ Messenger: Ja

✅ Riot: Ja

✅ Signal: Ja

❔ Skype: ?

✅ Telegram: Ja

✅ Threema: Ja

✅ Viber: Ja

✅ Whatsapp: Ja

✅ Wickr: Ja

✅ Wire: Ja

Können Nachrichten vom Unternehmen gelesen werden?

❌ Allo: Ja

✅ iMessage: Nein

❌ Messenger: Ja

✅ Riot: Nein

✅ Signal: Nein

❌ Skype: Ja

❌ Telegram: Ja

✅ Threema: Nein

✅ Viber: Nein

✅ Whatsapp: Nein

✅ Wickr: Nein

✅ Wire: Nein

Erzwingt die App perfect forward secrecy?

❔ Allo: ?

❌ iMessage: Nein

✅ Messenger: Ja

✅ Riot: Ja

✅ Signal: Ja

❔ Skype: ?

❌ Telegram: Nein (der Session-Key wird nach 100 Sitzungen geändert)

❌ Threema: Nein

✅ Viber: Ja

✅ Whatsapp: Ja

✅ Wickr: Ja

✅ Wire: Ja

Verschlüsselt die App Metadaten?

❔ Allo: ?

❌ iMessage: Nein

❌ Messenger: Nein

❔ Riot: ?

✅ Signal: Ja

❔ Skype: ?

❌ Telegram: Nein

✅ Threema: Ja

❔ Viber: ?

❌ Whatsapp: Nein

✅ Wickr: Ja

➖ Wire: Meistens

Nutzt die App TLS/Noise um den Netzwerkverkehr zu verschlüsseln?

✅ Allo: Ja

✅ iMessage: Ja

✅ Messenger: Ja

✅ Riot: Ja

✅ Signal: Ja

✅ Skype: Ja

❌ Telegram: Nein

✅ Threema: Ja

✅ Viber: Ja

✅ Whatsapp: Ja

✅ Wickr: Ja

✅ Wire: Ja

Prüft die App die Identität der Zertifikate?

❔ Allo: ?

✅ iMessage: Ja (>=iOS 9.3)

❔ Messenger: ?

❔ Riot: ?

✅ Signal: Ja

❔ Skype: ?

❔ Telegram: ?

✅ Threema: Ja

❔ Viber: ?

❔ Whatsapp: ?

❔ Wickr: ?

✅ Wire: Ja

Verschlüsselt die App die Daten auf dem Gerät (nur iOS und Android)

❔ Allo: ?

✅ iMessage: Ja (wenn Passwörter aktiviert sind)

❔ Messenger: ?

❔ Riot: ?

✅ Signal: Ja (wenn Passwörter aktiviert sind)

❔ Skype: ?

❔ Telegram: ?

✅ Threema: iOS: Ja (wenn Passwörter aktiviert sind); Android: Ja (wenn das Master-Passwort in der App gesetzt ist)

❔ Viber: ?

❔ Whatsapp: ?

✅ Wickr: iOS: Ja (wenn Passwörter aktiviert sind); Android: Ja (unsicher, ob es funktioniert)

✅ Wire: Ja

Nutzt die App eine Zwei-Wege-Authentifikation?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

❌ Riot: Nein

❌ Signal: Nein

❌ Skype: Nein

✅ Telegram: Ja

✅ Threema: Ja

❌ Viber: Nein

✅ Whatsapp: Ja

✅ Wickr: Ja (Passwort für genutzte Accounts)

✅ Wire: Ja

Sind die Nachrichten verschlüsselt, wenn sie in die Cloud gesichert werden?

❔ Allo: ?

❌ iMessage: Nein

❔ Messenger: ?

❔ Riot: ?

❌ Signal: Signal ist ausgenommen von iCloud/iTunes & Android backups

❔ Skype: ?

❔ Telegram: ?

✅ Threema: Ja

❔ Viber: ?

➖ Whatsapp: iOS: Ja; Android: Nein

❔ Wickr: ?

❌ Wire: Wire ist ausgenommen von iCloud/iTunes & Android backups

Logt das Unternehmen timestamps oder IP-Adressen?

❌ Allo: Ja

❌ iMessage: Ja

❌ Messenger: Ja

❔ Riot: ?

✅ Signal: Nein

❌ Skype: Ja

❌ Telegram: Ja

✅ Threema: Nein

❌ Viber: Ja

❌ Whatsapp: Ja

✅ Wickr: Nein

➖ Wire: Some

Gab es kürzlich ein Code-Audit und eine unabhängige Sicherheitsanalyse?

❌ Allo: Nein

❌ iMessage: Nein

❌ Messenger: Nein

❌ Riot: Nein

✅ Signal: Ja (Oktober 2014)

❌ Skype: Nein

✅ Telegram: Ja (November 2015)

✅ Threema: Ja (November 2015)

❌ Viber: Nein

❌ Whatsapp: Nein

✅ Wickr: Ja (August 2014)

✅ Wire: Ja (März 2018)

Ist das Projekt gut dokumentiert?

❌ Allo: Nein

➖ iMessage: Etwas

➖ Messenger: Etwas

➖ Riot: Etwas

➖ Signal: Somewhat

❌ Skype: Nein

➖ Telegram: Etwas

➖ Threema: Etwas

➖ Viber: Etwas

➖ Whatsapp: Etwas

➖ Wickr: Etwas

➖ Wire: Etwas

Erlaubt die App sich selbst zerstörende Nachrichten?

✅ Allo: Ja

❌ iMessage: Nein

✅ Messenger: Ja

❌ Riot: Nein

✅ Signal: Ja

❌ Skype: Nein

✅ Telegram: Ja

❌ Threema: Nein

❌ Viber: Nein

❌ Whatsapp: Nein

✅ Wickr: Ja

✅ Wire: Ja