Messenger

Messenger #

TL;DR: nutzt element.io.

Messenger gibt es dieser Tage viele, und so ziemlich alle schreiben sich auf die Fahne, ‘sichere’ Kommunikation zu ermöglichen - in den meisten Fällen ist das aber schlicht gelogen.

Welche Messenger sind empfehlenswert? #

element.io / Matrix #

element.io / Matrix ist ein Messenger, der alle unten genannten Kriterien für einen guten Messenger erfüllt und außerdem völlig dezentral funktioniert. Ihr könnt euch entweder bei https://element.io, aber auch bei jedem anderen Matrix-Server registrieren und mit allen Matrix-Usern kommunizieren, ohne ihnen eure Telefonnummer geben zu müssen (ihr braucht auch keine, um euch zu registrieren). Ende-zu-Ende-Verschlüsselung macht Matrix automatisch und es gibt viele Apps für alle erdenklichen Betriebssysteme.

Signal #

Signal ist als Alternative zu “klassischen” Mobil-Messengern wie WhatsApp gedacht und funktioniert auch sehr ähnlich. Ihr benötigt ein Smartphone und die Telefonnummern eurer Kommunikationspartner*innen im Telefonbuch, könnt die App danach aber auch am Computer verwenden. Signal ist komplett quelloffen und wird von der Signal Foundation betrieben, die sich durch Spenden finanziert. Nachrichten werden im Gegensatz zu anderen Diensten nicht auf Servern, sondern nur auf euren Geräten gespeichert - das heißt, wenn ihr auf ein neues Handy umsteigt, sind alle Nachrichten weg. Das hat aber Sicherheitsvorteile, denn wenn die Daten nirgendwo zentral gehalten werden, kann auch keine Polizei sie beschlagnahmen.

Briar #

Briar nimmt unter Messengern eine Sonderstellung ein und ist nur für bestimmte Einsatzzwecke sinnvoll. Unter anderem funktioniert die App bisher nur unter Android, ist also nicht auf iPhones oder Laptops verwendbar. Dafür kommt Briar ohne das Internet aus, was z.B. für Demonstrationen sehr sinnvoll sein kann: Nachrichten können auch per Bluetooth oder WLAN direkt zwischen Geräten ausgetauscht werden; das funktioniert auch über mehrere Geräte hinweg (in einem sogenannten Mesh-Netz). So könnt ihr Nachrichten auch über Entfernungen hinweg übertragen, wenn sich zwischen Sender und Empfänger weitere Smartphones befinden, die Briar nutzen. Briar kann aber auch als “ganz normaler” Messenger verwendet werden: steht eine Internetverbindung zur Verfügung, sendet es Nachrichten über das Tor Network [?], was zusätzliche Sicherheit schafft.

Was macht einen sicheren Messenger aus? #

  • Ende-zu-Ende-Verschlüsselung – das heißt, dass Nachrichten auf dem sendenden Gerät verschlüsselt und erst auf dem empfangenden Gerät wieder lesbar gemacht werden. So kann auf dem Versandweg niemand eure Kommunikation mitlesen.
  • Transportverschlüsselung – zusätzlich muss die Verbindung zwischen den Geräten verschlüsselt sein, damit z.B. der Betreiber des Netzwerks nicht erkennen kann, was für Daten ihr versendet.
  • Geräteverifizierung – damit bekommt ihr eine Benachrichtigung, wenn sich das Gerät eines*r Kommunikationspartner*in geändert hat.
  • Quelloffener Code – der Programmcode eines Messengers sollte vollständig einsehbar sein (“Open Source”), damit ihr oder Menschen, die sich damit auskennen, ihn überprüfen können. Es ist wichtig, zu wissen, was genau ein Programm tut, um ihm vertrauen zu können.
  • Kompatibilität – Messenger sollten auf allen gängigen Smartphones und Computerbetriebssystemen laufen und niemanden aufgrund seiner Geräte ausschließen.
  • Transparentes Finanzierungsmodell – es sollte klar ersichtlich sein, wodurch die Entwicklung und der Betrieb eines Messengers finanziert werden (z.B. durch Spenden, durch ein kostenpflichtiges Abonnement…). Wenn nicht, ist die Wahrscheinlichkeit hoch, dass aus euren Daten ein Gewinn geschlagen wird, beispielsweise indem sie an Werbeunternehmen verkauft werden.

Warum nicht…? #

WhatsApp
WhatsApp betont zwar, Ende-zu-Ende-Verschlüsselung zu unterstüzten - das bringt aber nichts, wenn die App nicht open source [?] ist. Facebook, die Inhaberin von WhatsApp, kann eure Nachrichten problemlos lesen, speichern und an Ermittlungsbehörden weiterleiten, bevor sie verschlüsselt werden.
Threema
Threema ist ein aus der Schweiz stammender Messenger, der standardmäßige Ende-zu-Ende-Verschlüsselung und ein gut zu bedienendes Interface bietet. Der Quellcode von Threema ist nicht open source, somit ist es nicht möglich, die Sicherheitsversprechen des Anbieters zu überprüfen, allerdings wurde der Code schon mehrfach von unabhängigen Dritten auditiert und für sicher befunden. Auch unter vielen Datenschutzinteressierten genießt Threema ein hohes Ansehen. Letzten Endes ist es nicht möglich, zu überprüfen, wo eure Daten landen.
Telegram

Telegram ist unter datenschutzbewussten Menschen zwar sehr beliebt und bietet gegenüber Signal den Vorteil, dass man Kommunikationspartner*innen über einen Username erreichen kann, ohne die Telefonnummer kennen zu müssen. Einiges an Telegram ist aber sehr intransparent und weicht von etablierten Sicherheitsstandards ab.

  • Ende-zu-Ende-verschlüsselte Chats nicht standardmäßig aktiviert, sondern nur auf Anfrage. Startet man nicht bewusst einen “Geheimen Chat”, können die Telegram-Betreiber alle Nachrichten lesen, sie weitergeben und unendlich aufbewahren.
  • Telegram implementiert einen eigenen Verschlüsselungsalgorithmus, anstatt einen etablierten zu verwenden, was als schlechte Praxis gilt
  • Die Serversoftware von Telegram ist nicht open source
  • Die Geschäftsvorgänge von Telegram sind mitunter intransparent. Die Firmenstruktur ist unklar, die Datenschutzerklärung lediglich auf Englisch verfügbar und Sicherheitslücken, durch die Dritte unter Umständen Nachrichten anderer lesen konnten.
XMPP / Jabber
XMPP erfreut sich zwar in einigen Communities immer noch großer Beliebtheit und hat viele Features heute populärer Messenger vorweggenommen, ist aber für die “breite Masse” schlicht zu kompliziert. OMEMO gut funktionierend und sicher einzurichten ist für die meisten Nicht-Nerds eine zu große Hürde.