Alternativen zu WhatsApp
WhatsApp, Facebook Messenger, Threema – Instant Messenger erleichtern die Kommunikation über weite Distanzen und zu jeder Gelegenheit. Vor allem im Sinne der Datensicherheit kann diese Benutzerfreundlichkeit aber auch eine zweischneidige Angelegenheit werden.
Stiftung Warentest nahm Messenger unter die Lupe: Während WhatsApp und Facebook schlecht abschnitten, konnte die Schweizer App Threema mit gutem Datenschutz punkten.
Foto: Oliver Berg/dpa
Kaum ein Smartphone-Nutzer kommt an ihnen vorbei: Instant-Messenger-Dienste sind heute ein wesentlicher Bestandteil des Alltags. Einfache SMS-Nachrichten können mit dem Angebot umfangreicher Messenger schon lange nicht mehr mithalten. Allein die Kosten pro Nachricht schrecken die Nutzer ab.
Notwendigkeit Datenschutz
Datenschutz und Verschlüsselung sind heute das Hauptthema im Umgang mit Chat Apps. Skandale um Datenlecks der vergangenen Jahrzehnte haben einen massiven Sprung in der Verschlüsselungstechnologie initiiert.
Das ist kein Wunder der Technik, sondern der notwendige Schritt in eine sichere Zukunft. Die Smartphone-Nutzung hat die reine Mobilfunktechnik der 1990er bereits seit langem überholt. Bezahlen per Smartphone beschränkt sich nicht mehr nur auf Online-Shops. Dieser Vorgang etabliert sich auch im Einzelhandel immer mehr als Standard. Bald wird die klassische EC-Zahlung durch die Smart-Pay-Methode verdrängt. Private Käufer und Verkäufer tauschen Kontoinformationen und Adressen per Chat aus und private Fotos werden direkt von der Kamera an die Verwandten verschickt. Die daraus resultierende Frage danach, wer außer Sender und Empfänger auf diese persönlichen Daten zugreifen kann, bleibt in den meisten Fällen unbeantwortet. Im schlimmsten Fall kann der Messenger auf dem Diensthandy auch für den Arbeitgeber richtig teuer werden. Ist der Instant-Messaging-Anbieter nicht DSGVO-konform, kann das im Schadensfall bis zu 20 Millionen Euro Geldbuße nach sich ziehen.
Das allgemeine Bewusstsein der Anbieter und User im Umgang mit der Technologie hat sich erweitert. Desto schwieriger ist es aber, den Produktdschungel der Marktführer und deren Technologien zu durchblicken. Wie gehen die Betreiber mit meinen Daten um, wo wird die DSGVO umgesetzt? Welcher Instant Messenger verschlüsselt die gesendeten Daten automatisch und wo muss ich selbst aktiv werden? Welchen Leistungsumfang bieten WhatsApp, Facebook Messenger, Signal und Co. und worauf muss ich achten? Im Folgenden finden Sie die Antworten auf diese wichtigen Fragen.
Die beliebtesten Messenger
Eines muss jedem Nutzer klar sein: Jedes Bit Daten, das einmal eingegeben wurde, kann auch abgegriffen werden. Die Fragestellung hier ist eher: Wo werden die Informationen verwahrt und wie viel Aufwand muss betrieben werden, um an diese Daten zu gelangen?
Dass das Sicherheitsverständnis in anderen Teilen der Welt weit weniger groß ist, zeigt der Umgang mit Daten vor allem in China. Der Messengerdienst der Firma Tencent, Wechat, verzeichnet gut 1 Milliarde Nutzer. Sein auf ein jüngeres Publikum zugeschnittener kleiner Bruder QQ 807 Millionen aktive Nutzer. Die beiden Produkte haben neben dem reinen Versenden von Privat- und Gruppennachrichten verschiedene Funktionen. Darunter befinden sich eine Desktop-Version, die Möglichkeit, mobil zu bezahlen und diverse Browserspiele. All dies jedoch ohne Verschlüsslung und mit Zensur von Seiten der Regierung und der Betreiber. Es steht außer Frage, dass diese Apps nicht DSGVO-konform einzustufen sind.
Dass ein derart unsicheres Kommunizieren keine Option mehr darstellt, zeigt auch der gnadenlose Fall der hauseigenen Google Chat App Hangouts. Diese, ebenfalls, komplett unverschlüsselte App, wird 2020 eingestellt. Private Bestandskunden werden zur neuen verschlüsselten Hangouts Meet App und Geschäftskonten auf die verschlüsselte App Hangouts Chat transferiert. Google Hangouts Chat sowie Meet sind im Allgemeinen DSGVO-konform.
Ende-zu-Ende-Verschlüsselung (E2E-Encryption)
Ende-zu-Ende-Verschlüsselung bedeutet, dass nur die Geräte des Versenders und des Empfängers jeweils die benötigten Schlüssel zum Ver- und Entschlüsseln der Nachrichten besitzen. Der Betreiber kann deshalb nicht auf die Nachrichteninhalte zugreifen. Wie bei physikalischen Schlössern gibt es auch in der virtuellen Welt verschiedene Protokolle und Verschlüsselungsmaßnahmen innerhalb der Ende-zu-Ende-Verschlüsselungstechnologie. Das OTR (Off-the-Record Messaging) Protokoll ist aus dem Jahr 2004 und gilt als der Vorläufer des heute gängigen Signal-Protokolls. Beide Protokolle kombinieren mehrere Schlüssel, um einzelne Nachrichten zu verschlüsseln. Ein öffentlicher Hauptschlüssel und je Sitzung ein weiterer geheimer Schlüssel, der sich kontinuierlich erneuert. Damit wird sichergestellt, sollte doch einmal eine Nachricht abgefangen werden und in falsche Hände gelangen, dass die vorherigen und nachfolgenden Nachrichten trotzdem sicher sind. Dabei werden im Idealfall so wenig wie möglich Metadaten gespeichert – die beispielsweise Zeitpunkt der Registrierung, des Versendens und die Textlänge beschreiben – nicht aber den verschlüsselten Nachrichteninhalt. Die einzige Möglichkeit, an den gesamten Chat zu gelangen ist also, das lokale Gerät zu hacken oder zu stehlen.
Signal
Open Whisper Systems ist der Betreiber des Signal Messengers. Die gemeinnützige Signal-Stiftung hat sich zum Ziel gesetzt, den freien Meinungsaustausch zu gewährleisten. Dies ist in Zeiten, in denen, abgesehen von Konzernen, auch Behörden und Regierungen faktisch ein universelles Interesse daran haben, jedwede Kommunikation zu überwachen, keinesfalls eine übertriebene Sorge.
Diese E2E-Verschlüsselung ist ein Open-Source-Produkt. Es kann also jeder nachvollziehen, wie das Verschlüsseln funktioniert und auf Lücken hinweisen.
Zum Anmelden ist eine Telefonnummer erforderlich. Der Umfang ist mit Text-, Bild- und Sprachnachrichten sowie einer Video- und Sprachanruffunktion nicht besonders üppig. Auf Emojis wird ganz verzichtet. Aus diesem Grund dürfte es nicht überraschen, dass sich die Nutzerzahlen deutlich außerhalb der Top 10 bewegen. Dafür sind die Daten absolut sicher. Selbst mit der DSGVO geht die Signal App konform. Besonders positiv zu bewerten ist auch die Option, Nachrichten mit Ablauffrist versenden zu können. Das bedeutet, dass diese nach einem vom User festgelegten Zeitpunkt automatisch gelöscht werden. Eine Desktopanwendung existiert ebenfalls.
Der wohl berühmteste Instant-Messenger WhatsApp nutzt ebenfalls die E2E-Encryption des Open Whisper Systems. Mit heute 1,5 Milliarden Nutzern ist die grüne Sprechblase der am meisten genutzte Kurznachrichtendienst.
Die ersten Versuche, die User der App durch eine Verschlüsselung vor neugierigen Blicken zu schützen, waren im Jahr 2012 eher mäßig erfolgreich. Nach der Übernahme durch den Social Media Konzern Facebook (2014) wurde eine Kooperation mit Open Whisper Systems begründet, die 2016 schließlich dazu führte, dass nun jede Form der Kommunikation in WhatsApp über das Signal Protokoll verschlüsselt ist. Der Messenger bietet sogar eine Kontrollfunktion für die Verschlüsselung per Nummernabgleich oder QR-Code. WhatsApp ist hingegen nicht DSGVO-konform.
Zur Anmeldung ist lediglich eine aktive Telefonnummer erforderlich. Das Leistungsspektrum mit den Grundfunktionen Text-, Sprach- und Mediennachrichten sowohl in Einzel- als auch im Gruppenchat, Sprach- und Videoanruf, Statusfunktion und Desktopapplikation ist zwar überschaubar, erklärt aber auch die breite demografische Nutzung.
Wie oft nutzen Sie WhatsApp? Mehrmals pro Woche? Täglich? Wir sind sicher, dass Sie diese Funktionen noch nicht alle kennen.
Line
Der koreanisch-japanische Messaging-Dienst hat sich eines zum Ziel gemacht: den Big Playern den Rang abzulaufen. Mit 700 Millionen Downloads bei 217 Millionen aktiven Nutzern scheint dieses Ziel noch in weiter Ferne. Die Line App macht jedoch zu seinen asiatischen Konkurrenten mit der voreingestellten E2E-Verschlüsselung Boden gut. Wie genau und bei welchen Diensten diese „Letter Sealing“ genannte Verschlüsselung arbeitet ist leider nicht einsehbar.
Zur Anmeldung bei Line ist keine Telefonnummer erforderlich. Der Funktionsumfang ist passabel. Die übliche Chatfunktion im Einzel- und Gruppenmodus bietet alle gängigen Text- und Medienoptionen. Sprach- und Videoanrufe haben eine saubere Qualität und Line packt auch noch einige Extras drauf. So gibt es Social Media Tools, Spiele, eigene Emojis, einen Speicherplatz für häufig genutzte Dateien sowie einen überraschend fähigen Übersetzungsdienst. In versteckten Chats gibt es außerdem die Möglichkeit, Nachrichten mit Selbstzerstörung zu verschicken. Diese verschwinden nach einer voreingestellten Zeit. Die App kann zwar nur auf einem einzigen mobilen Gerät betrieben werden, aber die verfügbare Desktopversion steht in ständiger Synchronisation mit der App. Line arbeitet mit Wechat Pay zusammen, um auch einen mobilen Bezahldienst anbieten zu können.
Als negativ ist bei Line (wie bei den meisten Apps die im asiatischen Raum operieren) die Zensur im Staatsgebiet China zu bewerten. Auf internationaler Ebene finden die mehrere hundert Wörter umfassenden Filterlisten zwar keine Anwendung, doch ist ein solches Vorgehen nicht unbedingt vertrauenserweckend. Mit der DSGVO ist dieses Vorgehen übrigens auch nicht vereinbar.
Optionale E2E-Verschlüsselung
Dass die zwei folgenden Dienste eine Verschlüsselung nur auf Nachfrage bereitstellen, mag an vielen Faktoren liegen. Zum einen ist natürlich rechtlich gesehen der Spielraum sehr weit gefasst, wenn die Server der Applikation in Asien oder Nordamerika operieren. Zum anderen ist die Datensammlung ein lukratives Geschäft. Im Fall Facebook und WhatsApp sogar das Kerngeschäft. Natürlich schließt ein solches Vorgehen jegliche DSGVO-Qualifikation von vornherein aus.
Facebook Messenger
Marktführer Facebook hat nicht nur im Social Media Sektor die Nase ganz weit vorne. Mit dem standardmäßig verschlüsselten Dienst WhatsApp und dem Facebook Messenger belegt der Konzern auch weltweit den größten Anteil im Instant Messaging. 1,82 Milliarden Personen nutzen weltweit die Dienste der Facebook Messenger App. Dabei verwundert es doch ein wenig, dass nach der Vielzahl an Datenskandalen überhaupt noch jemand die Plattform nutzt.
Die Anmeldung funktioniert nur in Verknüpfung mit dem Facebook-Account des Users. So ist der Leistungsumfang der App begrenzt auf die übliche Nachrichtenfunktion mit allerhand Möglichkeiten, Mediendateien, Emojis und Sprachnachrichten zu versenden. Audio- und Videoanrufe, Gruppenchats und Desktopversion runden das Leistungsspektrum ab. Weitere Funktionen wie Social Media und Spiele befinden sich dann direkt auf der Facebook-Applikation. Es wird derzeit an einer hauseigenen Lösung für Payment-Dienste gearbeitet.
Der Messenger-Dienst der Social-Media-Plattform bietet E2E-Verschlüsslung noch nicht standardmäßig an. Gewisse Dienste, wie der Gruppenmodus und Mediendateien beispielsweise, können nicht über E2E verschlüsselt werden. Wird eine neue, geheime Unterhaltung begonnen, kann auf diese nur auf dem jeweiligen Gerät zugegriffen werden, dafür können im geheimen Modus Selbstzerstörungsnachrichten versendet werden.
Telegram
Die russischen Betreiber agieren aus dem Wüstenstaat Dubai und bezeichnen sich selbst gerne als digitale Nomaden. Deshalb verwundert es nicht, dass bei diesem Messengerdienst die Ende-zu-Ende Verschlüsselung nicht voreingestellt ist. Normale Chats laufen unverschlüsselt und cloudbasiert über die Server und werden gespeichert. Im geheimen Einzelchat, der nur auf Mobilgeräten zur Verfügung steht, wird laut Angaben von Telegram E2E verschlüsselt. Diese Verschlüsselung ist teilweise eine Eigenentwicklung, die von Datenschutzexperten allgemein als kritisch betrachtet wird. Die App selbst ist ein Open Source Produkt; die Server sind es allerdings nicht. Zahlreiche Datenskandale der vergangenen Jahre zeigen deutlich dass Telegramm als nicht sicher einzustufen ist. Der Funktionsumfang beinhaltet die gängigen Tools: Text- und Sprachnachrichten, Emojis, Sticker, Sprachanrufe und Videonachrichten (keine Videotelefonie). Darüber hinaus gibt es auch einige Extras wie Selbstzerstörungsnachrichten, Channels und eine Login-Option, um sich mit diversen sozialen Netzwerken zu verbinden.
Zur Anmeldung benötigt Telegram eine aktive Telefonnummer. Die Anwendung kann auf mehreren Geräten gleichzeitig genutzt werden. Seit dem Launch 2013 stieg die Anzahl der Nutzer auf 200 Millionen Menschen. Telegram ist nicht DSGVO-konform, außer die App wird ausschließlich auf Android genutzt und der User hat den Zugriff auf das Telefonbuch verweigert.
Kakaotalk
Der koreanische Messenger Kakaotalk kommt mit 49 Millionen aktiven Nutzern zwar nicht an den Marktführer der westlichen Welt heran, in Korea ist er mit einem Anteil von 93 Prozent aber der ungeschlagene Platzhirsch.
Die App bietet ein umfangreiches Angebot. In der mobilen Version sowie auf dem Desktop gibt es Spiele, Emojis, Medien- und Nachrichtenoptionen im Einzel- und Gruppenchat, eine Bezahloption sowie Anrufe und Konferenzen. Die Kommunikation läuft laut Betreiber unter Verschlüsselung, welche das jedoch genau sein soll, gibt er nicht preis. Der Standard dieser Verschlüsselung wurde nach ISO 27001 zertifiziert. Die E2E-Option wird wie beim Facebook Giganten als Geheim-Chat angeboten.
Messenger mit besonders sicheren Eigenschaften
Einige Instant Messenger heben sich durch besondere Vorsichtsmaßnahmen hervor, die das Chatten noch sicherer machen sollen. Vor allem der Standort der Server bestimmt den Rechtsraum, in dem sich der Anbieter bewegt. Hier sticht ein Land mit außerordentlich hohen Sicherheitsstandards hervor. Die Schweiz hält den besonderen Ruf, Geheimnisse sicher zu bewahren. Das Bankensystem ist hierbei das berühmteste Beispiel.
Threema
Der in der Schweiz entwickelte Instant Messenger Threema springt auf den „Quality made in Switzerland“-Zug auf. Kontakte werden hier nach Sicherheitsstufen sortiert. Grüne Kontakte sind diejenigen, die persönlich durch Scannen eines QR-Codes auf dem Bildschirm des Kontaktes bestätigt wurden. Dies setzt eine vorherige Live-Begegnung voraus. Gelb werden die Kontakte markiert, die sich bereits im digitalen Telefonbuch des Smartphones befinden. Mit der Farbe Rot werden jene Kontakte gekennzeichnet, die weder Live noch per Telefonbucheintrag verifiziert wurden.
Jede Konversation wird über die quelloffene NaCl Bibliothek E2E verschlüsselt. Threemas Quellcode dagegen ist nicht Open Source und kann dadurch nicht eingesehen werden. Stiftung Warentest und das IT Labor der FH Münster bescheinigen der Threema App allerdings eine ausgezeichnete Sicherheit. Die nach ISO 27001 zertifizierten Server befinden sich ausschließlich in der Schweiz und fallen dadurch unter das Schweizer Datenschutzgesetz. Damit ist Threema auch DSGVO-konform.
Der Leistungsumfang beinhaltet die gängigen Nachrichtenoptionen im Einzel- oder Gruppenchat, Sprachanrufe und eine Desktopanwendung im Entwicklungsstadium. Videoanrufe werden bislang nicht unterstützt. Threema wird derzeit auf gut 5 Millionen Geräten genutzt. Zur Anmeldung wird keine Telefonnummer benötigt. Der Dienst ist jedoch einmalig kostenpflichtig.
Wire
Dieser Dienst wird von der Schweizer Wire Swiss GmbH angeboten. Die technische Entwicklung erfolgte aber in einer Außenstelle in Berlin. Mit ebenfalls 5 Millionen Downloads ist Wire zwar noch ein kleiner Fisch im Becken der Branche, aber sein Leistungsspektrum und die Sicherheit in allen Aspekten sind überzeugend. Die Ende-zu-Ende-Verschlüsselung greift in jedem Fall. Die unabhängigen Internet-Sicherheitsunternehmen Kudelski Security und X41 D-Sec bescheinigten Wire in objektiven Sicherheitsaudits höchste Sicherheit und Vertrauenswürdigkeit.
Die gängigen Nachrichtenfunktionen im Einzel- und Gruppenchat, inklusive Selbstzerstörungsnachrichten und nachträgliches Löschen einzelner Nachrichten, werden von kreativen Features wie Bildbearbeitung, Zeichnen und Stimmverzerrer unterstützt. Die Desktopversion ist für alle Betriebssysteme erhältlich. Selbst Funktionen wie Video-, Telefonkonferenz und Screen-Sharing eignen sich durch ihre DSGVO-Konformität für den Arbeitsalltag. Der Gastmodus erlaubt es sogar, Nicht-User zu Chats und Konferenzen per Link einzuladen. Im Gegensatz zu Threema ist die gesamte Anwendung ein Open Source Produkt und damit komplett kontrollierbar. Zur Anmeldung wird nur eine E-Mail Adresse benötigt. Einziger Wermutstropfen: Interne Backups bei Wire sind in der Androidversion nicht standardmäßig verschlüsselt.
Tool der Globalisierung
Die Instant Messenger werden auch in Zukunft die soziale Interaktion prägen. Schon heute ist die virtuelle Sprechblase ein wichtiger Ort für die globale Organisation verschiedener Gruppierungen. Die Jugendbewegung „Fridays for Future“ wäre ohne diese Plattformen wohl im Sande verlaufen. Über WhatsApp und Telegram wurden die Demos organisiert sowie neue Demonstrierende mobilisiert.
Familien, die auf mehreren Kontinenten verstreut sind, verlassen sich auf die Kommunikation per Nachricht und Videotelefonie. Sogar in unseren Arbeitsalltag hält dieser Trend Einzug. Entgegen – oder gerade wegen – Büroluft und Berufsverkehr verbreitet sich die Option Homeoffice gestützt von Videokonferenzen und Instant Messaging rapide. In den Niederlanden ist das Recht auf Heimarbeit inzwischen gesetzlich verankert. Entsprechende Vorschläge werden nun auch von Seiten des Deutschen Ministeriums für Arbeit verkündet. Dies ist nur dann ein zukunftsträchtiges Modell, wenn auch die Sicherheitsmechanismen der fortschreitenden Digitalisierung angepasst werden. Die DSGVO mag den ersten Schritt in die richtige Richtung gehen, um Hackerangriffen zu entgehen, ist aber noch zu langsam, denn Spezialisten auf diesem Gebiet sind viel schneller als die Weiterentwicklung von Gesetzgebungen und Verschlüsselungstechniken.
Weitere Themen:
Trotz Verschlüsselung: bei WhatsApp können Hacker kinderleicht mitlesen
Ein Beitrag von:
