Welche Messenger Dienste sind sicher?
Inhalt
Was sind Messenger?
Messenger sind Programme auf dem Handy, Tablet oder Computer, mit denen man Textnachrichten, Bilder und Sprachnachrichten versenden kann. Telefonieren und Videotelefonie bieten die meisten Messenger ebenfalls an. Bekannte Vertreter sind „Telegram“, „WhatsApp“, „Signal“ oder „Threema“.
Was bestimmt die Sicherheit von Messengern?
Einige Messenger, wie z. B. „WhatsApp“, haben eine Ende-zu-Ende-Verschlüsselung implementiert, um die Bedenken der Nutzer hinsichtlich Datenschutz und Sicherheit zu zerstreuen. Ende-zu-Ende-Verschlüsselung (oft „E2E“ genannt) bedeutet, dass Nachrichten oder Daten, die zwischen zwei Personen oder Geräten gesendet werden, von Anfang bis Ende verschlüsselt sind. Das heißt, nur der Absender und der Empfänger können die Nachricht lesen. Selbst der Dienstanbieter (zum Beispiel ein Messaging-Dienst) kann den Inhalt nicht sehen. Solch eine einfache Verschlüsselung des Inhalts behebt jedoch nicht das tiefere Problem: Die Unternehmen, die diese Messenger-Dienste betreiben, können immer noch riesige Mengen an sogenannten Metadaten über die Messaging-Aktivitäten ihrer Benutzer sehen.
Sicherheitsfaktor Metadaten
Metadaten sind Informationen über die technischen Eigenschaften des stattfindenden Nachrichtenaustausches. Zu ihnen gehören die IP-Adressen und Telefonnummern der Messenger-Benutzer, die Uhrzeit und Anzahl der gesendeten Nachrichten sowie die Beziehung der einzelnen Konten zu anderen Konten. Sie helfen, Daten zu organisieren, zu beschreiben und zu verwalten und sind in vielen Kontexten wichtig, von Datenbanken über Webseiten bis hin zu digitalen Medien. Metadaten geben viele persönliche Informationen über den Benutzer preis, die nicht für jeden ersichtlich sein sollten. Man kann also die Sicherheit eines Messenger auch anhand der erhobenen Metadaten messen. Die Auswertung dieser Metadaten kann zur Identifizierbarkeit der beteiligten Messenger-Benutzer an einem Nachrichtenaustausch führen und direkte Rückschlüsse auf dessen Inhalt ermöglichen. Diese Tatsache kann eine Gefahr darstellen für Journalisten, Menschenrechtsaktivisten und andere Gruppen, die einen Bedarf an wirklich privater (nicht abhörbarer) Kommunikation haben.
Sicherheitsfaktor Nutzerdaten
Zwei gängige App-Systeme beherrschen den Markt: Apple und Android. Jeder dieser beiden Anbieter versucht mit möglichst vielen Informationen über seine Nutzer das sogenannte „Benutzererlebnis“ zu steigern. Dies kann nur funktionieren, indem diese Anbieter so viele Daten wie möglich über ihre Nutzer auswerten. Diese Daten sind nicht unerheblich und jeder Nutzer sollte sich mit ihnen beschäftigen.

Die abgegriffenen Daten umfassen auch biometrische Daten, die über Geräte wie eine Apple Watch ausgewertet werden. Biometrische Daten sind einzigartige physische oder verhaltensbasierte Merkmale einer Person, die zur Identifizierung oder Authentifizierung verwendet werden. Beispiele für biometrische Daten umfassen:
• Fingerabdrücke: Einzigartige Muster in den Fingerkuppen.
• Gesichtserkennung: Individuelle Merkmale des Gesichts wie Abstand zwischen den Augen oder Gesichtsform.
• Iris- und Netzhautmuster: Die Struktur des Auges, die bei jedem Menschen unterschiedlich ist.
• Stimme: Tonlage und Stimmuster.
• Handflächenmuster: Die Anordnung der Linien auf der Handfläche.
• Verhalten: Z. B. Tippmuster auf der Tastatur oder Gehstil (Gangmuster).
Biometrische Daten werden häufig in Sicherheitsbereichen eingesetzt, etwa bei der Zutrittskontrolle oder für Authentifizierungssysteme (z. B. Face ID bei Smartphones), da sie schwer zu fälschen sind und nur bei dieser spezifischen Person vorkommen.
Anhand von biometrischen Daten lassen sich Benutzer eindeutig identifizieren. Darum gehören die biometrischen Daten ebenso zu den Metadaten. Sie alle tragen dazu bei, den Nutzer „sichtbar“ zu machen: für Werbetreibende, Behörden, Kriminelle u.a.
Warum sind „Nutzerdaten“ so wichtig für Messenger?
Das Telefon/Tablet lebt davon, dass man Apps installiert. Apps sind kleine Programme, die man auf dem Telefon oder Tablet installieren kann. Das Wort „App“ stammt vom englischen Wort „Application“ ab. Auch Messenger sind „Apps“.
Jede App fordert vom Nutzer eines Telefons oder Tablets Berechtigungen ein, die eine mehr, die andere weniger. Mit einer Berechtigung ermöglicht man einer App, dass sie ohne weitere Nachfrage uneingeschränkt auf meine Kontakte zugreifen darf. Berechtigungen werden in der IT überall angewendet. Welcher Benutzer darf auf welche Daten im Unternehmen zugreifen? Verweigert man der App die Berechtigung, kann sie nicht z.B. auf die Kontakte zugreifen und somit keine Verknüpfung zwischen Telefonnummer und dem Kontakt herstellen. Man sieht bei einem Anruf nur die Telefonnummer. Hat die App diese Berechtigung, wird anstatt der Telefonnummer der Name des Kontakts angezeigt.
Funktionen wie das Aktivieren des Mikrofons zum Mithören von Unterhaltungen oder das Mitlesen von getippten Nachrichten sind nur einige Beispiele von vielen Möglichkeiten. Alexa, Siri, Homepod usw. gehören auch dazu. Darum ist es besonders wichtig, darauf zu achten, ob ich diese App wirklich auf meinem Telefon brauche oder ob ich besser die Finger davon lasse. Würde man einer App jedoch alles verbieten, dann ließe sie sich nur noch schlecht oder kaum nutzen. Man ist also zwangsläufig in einem Dilemma zwischen Sicherheit und Benutzungskomfort.
Wer es sich leisten kann, sollte ein zweites Handy nutzen, um strikt die Kommunikations-Apps (Messenger) von allen anderen Apps zu trennen. Dann dürfen auch Dienste wie iCloud oder Google Cloud nicht verbunden werden.
Was ist von den besonders beliebten Messengern „Telegram“ und „Signal“ zu halten?
„Telegram“
Vorteile:
• Es gibt viele Privatsphäre-Einstellungen, die man setzen kann, um das unnötige Senden von Metadaten zu minimieren.
• Er zeichnet sich durch eine hohe Zuverlässigkeit aus und bietet viele Funktionen wie Nachrichten, Telefonie, Kanäle und Gruppen, die es erlauben, den Messenger vielfältig auf allen Geräten wie Telefon und PC einzusetzen.
• Eine Besonderheit sind die privaten Chats. Mit dieser Funktion kann der Benutzer eine Ende-zu-Ende-Verschlüsselung zu einem bestimmten Kontakt erstellen. Das ist ein besonders sicherer Chat, der nicht mitgelesen werden kann.
Nachteile:
• Der Messenger erhebt von jedem Benutzer für die Registrierung eine Telefonnummer.
• Telegram ist kein open-source Messenger. Niemand kann nachprüfen, wie die App „tickt“ und was im Hintergrund geschieht.
„Signal“
Vorteile:
• Signal zeichnet sich durch einen sehr hohen Verschlüsselungsstandard aus. Unterhaltungen und Telefongespräche sind durch neueste Technologie geschützt.
• Dazu kommt, dass Signal ein open-source Messenger ist. Hier können unabhängige Programmierer den Programmcode prüfen, ob es Hintertüren oder Schwachstellen gibt.
• Der Messenger wir für die meisten Geräte angeboten. Telefone, Tabletts und PC/Mac. Wie bei Telegram, lassen sich die Geräte miteinander verknüpfen um überall den Messenger gleichermaßen zu nutzen.
Nachteile:
Signal benötigt für die Nutzung auch eine Telefonnummer. Die Server für den Messengerdienst befinden sich in den USA. Durch besondere Gesetze ist es den Behörden gestattet, auf die Server zuzugreifen. Da aber alle Daten verschlüsselt sind, ist ein Zugriff unwahrscheinlich.
„Threema“
Vorteile:
Threema ist ein Schweizer Messenger, der ebenfalls auf die neuesten Technologien setzt. Für die Nutzung des Dienstes ist weder eine Telefonnummer noch eine E-Mail nötig. Dadurch werden die Metadaten deutlich reduziert.
Die Schweiz hat je her ein sehr strenges Privatsphäre Gesetz, wo es Behörden nicht erlaubt ist, auf private Daten zuzugreifen.
Nachteile:
Vor einiger Zeit, war Threema nur käuflich zu erwerben. Neuerdings gibt es eine kostenlose Version des Messengers. Wenn hinter einem Messenger eine Firma steht, muss diese auch Geld verdienen. Dann ist der Benutzer „das Produkt“. Auch ist der Programmcode auf dem Server wie bei Telegram nicht frei einsehbar.
Welche Messenger sind besonders sicher?
„Delta Chat“
Dieser Messenger nutzt das weltweit größte dezentrale Netzwerk: E-Mail-Server! Alle Mailserver kommunizieren schon seit Jahrzehnten dezentral miteinander. Dieser Messenger macht sich das gleiche System zu eigen, wie bei der verschlüsselten E-Mail (PGP). Ihr habt die Möglichkeit, einen Mailserver eurer Wahl zu nutzen oder über die Delta Chat angebotenen anonymen Mailserver (meine Empfehlung) den Messenger zu betreiben und einzurichten.
Ja! Man schreibt sich eigentlich E-Mails, ohne dass man etwas davon mitbekommt.
Alle Grundfunktionen, die zu einem Messenger gehören, sind an Bord: Nachrichten, Gruppen, Broadcast-Listen, Sprachnachrichten. Auch Audio- und Videotelefonie sind möglich, aber noch in einem sehr frühen Stadium, daher würde ich davon absehen. Was aus meiner Sicht für einen modernen und sicheren Messenger dazu gehört, ist die Möglichkeit, den Messenger nicht nur am Handy/Tablet zu betreiben, sondern auch zeitgleich am Rechner über das gleiche Konto zu nutzen, so wie ihr das von Telegram gewohnt seid.
Es gibt viele Einstellungsmöglichkeiten, die aber eher für Nerds nutzbar sind und für den normalen Betrieb für euch völlig uninteressant. Im Prinzip startet ihr eine Unterhaltung mit einer E-Mail, auch wenn ihr es nicht seht.
Auch der Betrieb über das TOR Netzwerk oder anderer VPN-Anbieter ist kein Problem. Das Tor-Netzwerk (kurz für „The Onion Router“) ist ein System, das entwickelt wurde, um anonymes Surfen im Internet zu ermöglichen und die Privatsphäre der Nutzer zu schützen. Es basiert auf einem Netzwerk von Servern, durch die Daten in mehreren Schichten – wie bei einer Zwiebel (englisch: „onion“) – geleitet werden, um die Identität und den Standort der Nutzer zu verbergen. Das Tor-Netzwerk wird häufig von Personen genutzt, die ihre Privatsphäre schützen möchten, darunter Journalisten, Aktivisten, Menschen in Ländern mit eingeschränkter Meinungsfreiheit oder auch einfach von Nutzern, die ihr Surfverhalten vor Werbetreibenden verbergen möchten.
In Verbindung mit einem Proton Mail Konto (keine Werbung) lässt sich „Delta Chat“ sehr gut betreiben. Die Homepage ist auf Deutsch und die Beschreibungen sind sehr einfach gehalten und gut erklärt.
„Session“
Der Session Messenger gilt als besonders sicher, weil er sich auf eine dezentrale Infrastruktur und starke Datenschutzmechanismen stützt:
Dezentralisierung: Session verwendet ein dezentrales Netzwerk basierend auf dem sogenannten LokiNet, das Peer-to-Peer-Kommunikation ermöglicht. Da es keine zentralen Server gibt, auf denen Nachrichten gespeichert oder weitergeleitet werden, wird das Risiko eines zentralen Datenlecks oder Angriffs minimiert.
Keine Telefonnummer oder E-Mail-Adresse erforderlich: Im Gegensatz zu den meisten Messengern (wie WhatsApp oder Telegram), die eine Telefonnummer oder E-Mail zur Identifizierung verlangen, funktioniert Session komplett anonym. Benutzer erstellen lediglich eine zufällige Session-ID, die keinen Bezug zur realen Identität hat.
Ende-zu-Ende-Verschlüsselung: Alle Nachrichten werden mit Ende-zu-Ende-Verschlüsselung geschützt, was bedeutet, dass nur der Sender und der Empfänger die Nachricht lesen können. Nicht einmal Session selbst kann die Nachrichten entschlüsseln.
Metadaten-Reduzierung: Ein großer Vorteil von Session ist, dass der Messenger sehr wenige Metadaten erfasst. Metadaten wie Absender- und Empfängerinformationen, Zeitpunkt und Häufigkeit von Nachrichten werden minimiert oder gar nicht gespeichert. Das erschwert die Nachverfolgung und Überwachung.
Onion-Routing: Session verwendet Onion-Routing (ähnlich wie das Tor-Netzwerk), um die IP-Adresse des Benutzers zu verschleiern. Dadurch wird es schwieriger, den Standort oder die Identität des Absenders zu ermitteln.
Open Source: Session ist Open Source, sodass die Sicherheit und Funktionsweise des Codes von unabhängigen Sicherheitsforschern überprüft werden kann. Das schafft Vertrauen in die App, da keine versteckten Hintertüren eingebaut werden können.
Hier kommt hinzu, dass Session sich auch von unabhängigen Instituten hat überprüfen lassen. Sowohl der Client Sourcecode als auch der Code, der im Netzwerk verwendet wird, wurde geprüft und für sicher befunden. Auch Session bietet die Möglichkeit, den Messenger auf dem Desktop sowie am Handy zeitgleich zu betreiben. Telefonie und Videotelefonie sowie Gruppen und Sprachnachrichten sind kein Problem.