{"id":2250,"date":"2015-05-26T10:54:31","date_gmt":"2015-05-26T08:54:31","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2250"},"modified":"2025-12-09T13:36:56","modified_gmt":"2025-12-09T12:36:56","slug":"messenger-revival-zusammenfassung-unserer-zweiten-testrunde","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/messenger-revival-zusammenfassung-unserer-zweiten-testrunde\/","title":{"rendered":"Messenger-Revival: Zusammenfassung unserer zweiten Testrunde"},"content":{"rendered":"

Als WhatsApp die Verschl\u00fcsselung<\/strong> einf\u00fchrte, schlug das \u00e4hnliche mediale Wellen wie die Nachricht der WhatsApp-\u00dcbernahme durch Facebook<\/strong>. Nicht nur bei WhatsApp, sondern auch bei zahlreichen anderen Messengern hat sich einiges getan, wie wir in den vergangenen sieben Wochen sehen konnten. In unserer zweiten Testrunde<\/strong> konnten wir auch neue Messenger auf Usability und Sicherheit pr\u00fcfen. Welche Messenger \u00fcberzeugen? Blicken wir zur\u00fcck:<\/p>\n

<\/p>\n

Sicherheit versus Komfort \u2013 immer noch ein Thema<\/h3>\n

Schon in unserer ersten Testrunde mussten wir feststellen, dass Messenger entweder als sicher oder als funktional eingestuft<\/strong> werden konnten \u2013 ein gesunder Mix fehlte hier. Dies ist noch immer ein Thema: die WhatsApp-Verschl\u00fcsselung<\/strong> f\u00e4llt nicht umfassend genug aus, jedoch \u00fcberzeugt die Funktionsvielfalt<\/strong> des Messengers. MyENIGMA \u2013 das passende Gegenbeispiel \u2013 bietet weniger Funktionalit\u00e4t, sichert Ihre Nachrichten jedoch umfangreicher<\/strong> ab.<\/p>\n

Erfreulicherweise \u00e4ndert sich die Diskrepanz zwischen Sicherheit und Komfort<\/strong> nach und nach zugunsten der Sicherheit. So ist es beispielsweise den Schweizer Threema-Entwicklern gelungen, ihre Sicherheitsstandards hoch zu halten und dennoch den Funktionsumfang auszubauen<\/strong>. Eine sch\u00f6ne Entwicklung, die wir uns f\u00fcr alle anderen Messenger ebenfalls w\u00fcnschen! Werfen wir einen Blick auf die Details:<\/p>\n

Die Spa\u00df-Messenger:\u00a0WhatsApp, LINE & WeChat<\/h2>\n

Funktionalit\u00e4t und Features<\/strong> stehen hier an erster Stelle: WhatsApp, LINE und WeChat haben mit Sicherheit wenig am Hut. Wenngleich WhatsApp<\/strong> durch die Ende-zu-Ende-Verschl\u00fcsselung einen Schritt in die richtige Richtung<\/strong> gegangen ist, darf der Messenger noch nicht als sicher angesehen werden. Verschl\u00fcsselt werden bislang ausschlie\u00dflich Ihre privaten Nachrichten<\/strong>, weder Gruppen-Chats noch der Medienversand erfolgen verschl\u00fcsselt. Nach wie vor schn\u00fcffelt WhatsApp Ihr Adressbuch aus<\/strong>, um Ihnen das Kontakte-Finden zulasten der Sicherheit zu vereinfachen. Bis heute sind AGB und Datenschutzerkl\u00e4rung ausschlie\u00dflich in englischer Sprache<\/strong> einzusehen, obwohl Verbrauchersch\u00fctzer dagegen bereits klagten. Auch daran, dass Adressbuch- und weitere Daten an Server in die USA \u00fcbermittelt<\/strong> werden, hat sich nichts ge\u00e4ndert. Mit Ihren Login-Daten wird die IMEI<\/strong> (= eindeutige Ger\u00e4tenummer Ihres Mobiltelefons) verkn\u00fcpft, sodass T\u00fcr und Tor f\u00fcrs Tracking und f\u00fcr Identit\u00e4tsdiebstahl ge\u00f6ffnet<\/strong> sind. Am Datenschutz hat sich also gar nichts getan, lediglich die Sichtbarkeit Ihrer Profildetails wurde optimiert. \u00dcberzeugen k\u00f6nnen also lediglich die Verbreitung und die Usability des Messengers WhatsApp, leider sind die Sicherheitsfeatures nach wie vor viel zu lasch \u2013 als sicherer Messenger taugt WhatsApp nicht<\/strong>.<\/p>\n

LINE<\/strong> geh\u00f6rt zweifelsfrei zu den funktionalsten Messengern<\/strong>: Versenden k\u00f6nnen Sie so gut wie alles, zus\u00e4tzliche Apps und Sticker<\/strong> erweitern den Funktionsumfang, eine Timeline<\/strong> und LINE Pay<\/strong> begeistern die Nutzer ebenfalls. Seien Sie sich jedoch sicher: LINE kennt Sie in- und auswendig!<\/strong> Und nicht nur LINE selbst, sondern auch Gruppenmitglieder, Niederlassungen und Tochtergesellschaften<\/strong>, denn all diese d\u00fcrfen Ihre pers\u00f6nlichen Daten f\u00fcr Werbe- und andere Aktionen verwenden<\/strong>. Das einzige, was wir in puncto Sicherheit loben k\u00f6nnen, ist die Tatsache, dass Sie als LINE-Nutzer bestimmen k\u00f6nnen, ob Ihr Adressbuch durchw\u00fchlt wird oder nicht<\/strong>. Seit August 2014 existiert dar\u00fcber hinaus die M\u00f6glichkeit, in geheimen Chats verschl\u00fcsselt miteinander zu kommunizieren<\/strong> (Ende-zu-Ende) und Nachrichten mit einem Selbstzerst\u00f6rungsmechanismus<\/strong> zu versehen. Aber wem n\u00fctzt dies, wenn die Entwickler und s\u00e4mtliche anh\u00e4ngenden Unternehmen Ihre Daten ohnehin schon besitzen? LINE zeigt sich als Steigerung des unsicheren WhatsApp-Messengers \u2013 und das will was hei\u00dfen!<\/p>\n

Auch WeChat punktet mit Funktionalit\u00e4t<\/strong> \u2013 und zwar mit der umfangreichsten<\/strong>, die uns in s\u00e4mtlichen Tests untergekommen ist. Stellen Sie sich eine Mischung aus Facebook, LINE und WhatsApp<\/strong> vor und Sie haben eine Vorstellung davon, was Sie mit WeChat alles machen k\u00f6nnen. Voraussetzung daf\u00fcr, all diese Features zu verwenden, ist jedoch, dass Ihnen Sicherheit g\u00e4nzlich egal ist, denn mit seinen Sicherheitsfeatures gewinnt WeChat keinen Blumentopf<\/strong> \u2013 und schon gar nicht unsere zweite Messenger-Testrunde. Die Updates des vergangenen Jahres trafen ausschlie\u00dflich die Optik und in sehr kleinem Rahmen auch den Funktionsumfang, jedoch bleibt die Sicherheit dabei komplett auf der Strecke<\/strong>. Lediglich private Chats werden Ende-zu-Ende-verschl\u00fcsselt<\/strong>, Sie treten die Rechte an Ihren Inhalten ab<\/strong> (der Entwickler darf Ihre Inhalte nach eigenem Ermessen verbreiten und ver\u00e4ndern) und Ihre Daten landen auf chinesischen Servern<\/strong>. Daneben darf sich WeChat mit Zensurvorw\u00fcrfen auseinandersetzen. WeChat und LINE sind in puncto mangelnder Sicherheit definitiv auf selber H\u00f6he<\/strong> und bilden damit die Schlusslichter in unserer zweiten Testrunde \u2013 dicht gefolgt von WhatsApp<\/strong>.<\/p>\n

Threema & Telegram: „Privacy“-Messenger mit Funktions-Plus<\/h3>\n

Threema<\/strong> war in unserer ersten Testrunde ein frisch aufgehender Stern am Messenger-Himmel, der polarisierte: der Schweizer Standort, die Ende-zu-Ende-Verschl\u00fcsselung sowie transparente AGB und Datenschutzrichtlinien<\/strong> konnten Kritiker, die Wert auf einen offenen Quellcode legen, nicht umstimmen. All das ist noch immer aktuell. Mittlerweile k\u00f6nnen auch Windows Phone-User<\/strong> von dem Krypto-Messenger profitieren zudem wurde die Funktionalit\u00e4t weiter ausgebaut<\/strong>. Neu ist auch Threema Gateway<\/strong>; ein Prepaid-Service f\u00fcr den Nachrichtenversand, der etwa mit verschl\u00fcsselten SMS<\/strong> verglichen werden kann. Wenngleich Threema seinen Quellcode nicht offenlegt<\/strong>, l\u00e4sst sich das Verschl\u00fcsselungsprotokoll in der Open Source-Bibliothek NaCI<\/a> \u00fcberpr\u00fcfen. Hinzu kommt ein hauseigenes Cryptography-Whitepaper<\/a> (PDF, englischsprachig), das die asymmetrische Kryptografie erkl\u00e4rt. Dank PFS, nicht geloggten Informationen und Schweizer Servern<\/strong> \u00fcberzeugt Threema: Ihre versendeten Nachrichten sowie alle \u00fcbertragenen Inhalte inklusive versendeter Medien werden Ende-zu-Ende-verschl\u00fcsselt \u00fcbertragen und niemand au\u00dfer dem Nutzer selbst ist in Besitz des privaten Schl\u00fcssels<\/strong>, sodass nicht mal Regierungsanfragen dazu f\u00fchren k\u00f6nnten, dass jemand au\u00dfer dem Empf\u00e4nger Ihre Nachrichteninhalte zu Gesicht bekommt. Threema ist h\u00fcbscher geworden und leichter zu bedienen \u2013 kosmetische Korrekturen haben das intuitive Bedienen zweifelsfrei erh\u00f6ht. Bez\u00fcglich der Sicherheit gab es keine Kritikpunkte, und das gilt auch f\u00fcr unsere zweite Testrunde. Sicherheit oder Komfort? Bei Threema m\u00fcssen Sie sich nicht entscheiden<\/strong>, denn mit diesem Messenger k\u00f6nnen Sie beides haben, auch wenn der Funktionsumfang nicht mit dem der „Spa\u00df“-Messenger mithalten kann.<\/p>\n

Auch Telegram<\/strong> hat sich weiterentwickelt: zahlreiche neue Versionen erlauben es nun, plattform\u00fcbergreifend<\/strong> zu kommunizieren \u2013 vor einem Jahr existierte die App lediglich f\u00fcr iOS und Android. Neben dieser \u00fcberzeugenden Kompatibilit\u00e4t existiert nun auch ein Selbstzerst\u00f6rungsmodus f\u00fcr Chats<\/strong>. Vor einem Jahr noch konnten Nutzer nur Teile des Quellcodes einsehen, mittlerweile legt Telegram neben dem Quelltext auch Protokoll und API offen<\/strong>. Ein Plus an Transparenz, das wir sehr sch\u00e4tzen! Auch sind die FAQ zum Thema Account-L\u00f6schung expliziter<\/strong> geworden. Zu kritisieren bleibt jedoch, dass AGB und Datenschutzerkl\u00e4rung nur in englischer Sprache<\/strong> ersichtlich sind, dass die App ungefragt aufs Adressbuch zugreift<\/strong> und dass die Daten auf Servern landen, die weltweit verstreut sind<\/strong>. Kann Telegram diesen Weg weitergehen und gelingt es, die restlichen Kritikpunkte anzugehen, kann sich Telegram zu einem der besten Messenger entwickeln \u2013 in der Zwischenzeit hat Threema die Nase vorn.<\/p>\n

myENIGMA & TextSecure: Sicherheits-Messenger ohne Schnickschnack<\/h3>\n

Schon in der ersten Testrunde konnte uns myENIGMA<\/strong> begeistern: ein transparenter, sicherer Messenger<\/strong>, der nicht mit Funktionen um sich wirft und auf den Versand von Stickern und Standortdaten verzichtet, zeigte sich uns. Jedoch existierten zahlreiche St\u00f6rungsmeldungen: Nutzer beklagten Verbindungsabbr\u00fcche und Funktionsst\u00f6rungen. Diese Kritikpunkte konnte der Messenger hinter sich lassen, w\u00e4hrend Transparenz, Sicherheit und Funktionalit\u00e4t geblieben sind. Ein Special gef\u00e4llt uns besonders gut: Mit myENIGMA k\u00f6nnen Sie auch verschl\u00fcsselte SMS<\/strong> versenden. Besonders lobenswert sind die AGB und Datenschutzregelungen<\/strong> bei myENIGMA: eine solche Transparenz hat wahrlich Seltenheitswert<\/strong>; viele Messenger-Entwickler d\u00fcrfen sich daran gerne ein Beispiel nehmen! Schweizer Server<\/strong> und hochgradige Ende-zu-Ende-Verschl\u00fcsselung<\/strong> sowie regelm\u00e4\u00dfig wechselnde Schl\u00fcssel<\/strong>, au\u00dferdem gehashte Telefonnummern zum Kontakt-Abgleich<\/strong>, die \u00fcber eine TLS-Verbindung zu den sicheren Servern wandern, \u00fcberzeugen sehr! Wie Threema m\u00f6chte auch myENIGMA auf das Offenlegen des Quellcodes verzichten<\/strong>. K\u00f6nnen Sie damit leben, den Quellcode nicht einzusehen, zeigt sich myENIGMA mittlerweile als zuverl\u00e4ssiger und nach wie vor als sicherer Messenger.<\/p>\n

Bei TextSecure<\/strong> hat sich nicht viel getan. Durch die App Signal 2.0 konnte die Kompatibilit\u00e4t erweitert<\/strong> werden, sodass nicht mehr nur Android-User miteinander kommunizieren k\u00f6nnen, ansonsten hat sich das Entwicklerteam WhisperSystems zur\u00fcckgehalten. Au\u00dfer einigen Fehlerkorrekturen und dem Hinzuf\u00fcgen weiterer Sprachen<\/strong> existieren weder Funktionserweiterungen noch sonstige neue Features. Mit TextSecure finden Sie also nach wie vor einen Messenger, der sich auf klassische Funktionen, n\u00e4mlich dem Textversand, beschr\u00e4nkt<\/strong>. Die hochgradige Ende-zu-Ende-Verschl\u00fcsselung<\/strong> kann aufgrund des offenen Quellcodes<\/strong> nachvollzogen werden und da der Messenger unter GNU GPL V3-Lizenz<\/strong> steht, existieren keine gesonderten AGB oder Datenschutzrichtlinien. Auch bei TextSecure findet ein Adressbuch-Abgleich mit gehashten Werten<\/strong> statt. Wie bei myENIGMA werden diese Daten verschl\u00fcsselt an Server \u00fcbertragen<\/strong>; gespeichert werden diese jedoch nicht. Sobald sich TextSecure mit seiner Plattformkompatibilit\u00e4t weiter sortiert hat und es erm\u00f6glicht, ohne Verwendung dreier verschiedener Apps plattform\u00fcbergreifend zu kommunizieren, chatten Sie mit diesem Messenger sicher und intuitiv.<\/p>\n

SIMSme, mailbox.org und Sicher: die Neulinge<\/h3>\n

Viele neue Messenger haben seit unserer ersten Testrunde versucht, ein St\u00fcck vom Messenger-Kuchen abzubekommen \u2013 mehr oder weniger erfolgreich. Wir haben uns SIMSme, mailbox.org und Sicher<\/strong> herausgepickt, da diese Anbieter aus Deutschland<\/strong> stammen und sich dem Thema Sicherheit verschrieben<\/strong> haben, zumindest prangt dies werbewirksam auf den Websites der Anbieter.<\/p>\n

Die Deutsche Post hat SIMSme entwickelt<\/strong>. Der Messenger ist kostenfrei f\u00fcr iOS, Android und Windows Phone<\/strong> verf\u00fcgbar; Sicherheitsfeatures k\u00f6nnen \u00fcber In-App-K\u00e4ufe erworben werden. Versenden lassen sich Textnachrichten, Multimediadateien und Standortinformationen<\/strong>. Leider greift die App ungefragt aufs Telefonbuch<\/strong> zu. Eine intuitive Bedienung ohne St\u00f6rungen \u00fcberzeugte uns im Test und auch AGB sowie Datenschutzerkl\u00e4rung zeigten sich von ihrer verst\u00e4ndlichen Seite<\/strong>. Dass das Sicherheitsfeature der selbstzerst\u00f6renden Nachrichten extra erworben<\/strong> werden muss, empfinden wir als zweifelhaft: wir w\u00fcrden es begr\u00fc\u00dfen, wenn es Sicherheitsfeatures inklusive<\/strong> g\u00e4be, w\u00e4hrend Funktionalit\u00e4t hinzugekauft werden muss. Sehr positiv ist jedoch die Tatsache, dass es unverschl\u00fcsselte Informationen weder auf Ihr Endger\u00e4t noch auf die SIMSme-Server schaffen<\/strong>. Ein in Deutschland befindliches Rechenzentrum<\/strong>, Server, die den Standards der ISO 27001<\/strong> entsprechen und auf denen Nachrichten maximal 30 Tage lang gespeichert<\/strong> werden, sowie ein ausdr\u00fccklicher Verzicht auf den Datenversand ins Ausland<\/strong> machen SIMSme zu einem vertrauensw\u00fcrdigen Messenger<\/strong>, der sich \u00fcberhaupt nicht hinter den bereits etablierten verstecken braucht.<\/p>\n

Mailbox.org<\/strong> hat ebenfalls etwas Besonderes geschaffen \u2013 das k\u00f6nnen Sie nun positiv oder negativ auffassen, je nach Ihren Gewohnheiten. Denn ein Messenger im klassischen Sinne erwartet Sie nicht aus der Berliner Software-Schmiede. Mailbox.org hat jedoch einen Jabber-Server aufgesetzt<\/strong>, \u00fcber den Sie Ende-zu-Ende-verschl\u00fcsselt kommunizieren<\/strong> k\u00f6nnen. Ihren Client k\u00f6nnen Sie sich selbst suchen, um anschlie\u00dfend von jedem internetf\u00e4higen Ger\u00e4t \u00fcber den Server zu chatten<\/strong>. Diese komplette Plattformunabh\u00e4ngigkeit<\/strong> kann sicher als gro\u00dfer Vorteil angesehen werden, jedoch haben wir unsere Zweifel, ob sich weniger versierte Nutzer darauf einlassen m\u00f6chten. Auch zweifeln wir daran, dass Nutzer bereit sind, eine Jahresgeb\u00fchr von 12 Euro<\/strong> f\u00fcr einen Messenger auszugeben, der kein richtiger Messenger ist, denn Voraussetzung zur Nutzung des Jabber-Servers ist ein mailbox.org-Account<\/strong>. Setzen Sie ohnehin auf den Berliner Anbieter und sind Sie ein eigenst\u00e4ndiger Nutzer, der sich seinen Client selbst aussuchen m\u00f6chte, finden Sie mit mailbox.org eine einzigartige L\u00f6sung<\/strong>, die sicher ist und genauso \u00fcberzeugt wie das hauseigene E-Mail-Angebot. Sie bekommen bei mailbox.org keine vorgefertigte L\u00f6sung<\/strong>, sondern Sie sind in der Pflicht, einen Client auszuw\u00e4hlen und beim Chatten mitzudenken, um das hohe Ma\u00df an Privatsph\u00e4re, das OTR an sich mitbringt, auch richtig zu nutzen<\/strong>. Verstehen Sie die Technik hinter OTR und XMPP, erreichen Sie mit dem Jabber-Server von mailbox.org wirkliche Sicherheit.<\/p>\n

Unser letzter Testkandidat tr\u00e4gt den vielversprechenden Namen „Sicher“<\/strong>. Entwickelt wurde der Messenger von der SHAPE GmbH, der Mutter der prominenten L\u00f6sung IM+. Der Messenger verspricht „Sicheres Messaging f\u00fcr alle“<\/strong> \u2013 ja sogar „unbegrenzte“ Sicherheit. Das ist ein sehr vollmundiges Versprechen<\/strong>, liegt doch die Sicherheit Ihrer Nachrichten nicht ausschlie\u00dflich in der Hand des Messenger-Entwicklers, sondern auch in Ihrer. W\u00fcrden Sie Hinz und Kunz den Zugriff auf Ihr Endger\u00e4t gestatten, erreicht die unbegrenzte Sicherheit schon sehr schnell ihre nat\u00fcrlichen Grenzen. Und auch die Worte „f\u00fcr alle“<\/strong> sind etwas zu hoch gegriffen, da BlackBerry OS nicht unterst\u00fctzt<\/strong> wird und auch keine Clients oder Web-Apps f\u00fcr Desktop-Betriebssysteme existieren. Dass „123456“<\/strong> mal wieder ein Passwort ist, das ungepr\u00fcft durchgeht<\/strong>, ist nicht nur \u00e4rgerlich, sondern in diesem Fall kann es tragische Ausw\u00fcchse annehmen: Mit Ihrem Passwort verschl\u00fcsseln Sie lokal auf Ihrem Endger\u00e4t Ihre Daten<\/strong>. Sind solche leichtsinnigen Passw\u00f6rter jedoch m\u00f6glich, wird aus unbegrenzter Sicherheit mal eben unbegrenztes St\u00f6ber-Vergn\u00fcgen. Ungefragt wird Ihr Adressbuch auf etwaige Kontakte durchforstet<\/strong> – nicht nur einmalig bei Anmeldung, sondern „regelm\u00e4\u00dfig“<\/strong>, wie es hei\u00dft, wobei verpasst wird, zu konkretisieren, was das nun hei\u00dft. W\u00e4hrend die AGB schnell auffindbar<\/strong> waren, irrten wir auf der Suche nach der Datenschutzerkl\u00e4rung<\/strong> recht hilflos herum. Als wir sie fanden, entt\u00e4uschten etwaige Sprachbarrieren, denn beide Dokumente sind ausschlie\u00dflich in englischer Sprache<\/strong> auffindbar. All das klingt erst mal entt\u00e4uschend, die positiven Seiten m\u00f6chten wir Ihnen dennoch nicht vorenthalten: „Sicher“ \u00fcberzeugt mit umfangreicher Funktionalit\u00e4t<\/strong>, die sich einfach anwenden<\/strong> l\u00e4sst. So k\u00f6nnen Sie neben den \u00fcblichen Inhalten auch Dokumente versenden<\/strong>, einen Selbstzerst\u00f6rungstimer<\/strong> aktivieren und Chatverl\u00e4ufe<\/strong> nicht nur von Ihrem Ger\u00e4t, sondern auch von dem Ihres Gespr\u00e4chspartners manuell entfernen<\/strong> \u2013 das ist sehr stark! Auch dass unverschl\u00fcsselte Dateien und Nachrichten keine Chance<\/strong> haben, gef\u00e4llt uns sehr: asymmetrische Ende-zu-Ende-Verschl\u00fcsselung<\/strong> ist hier Standard und der Transport wird zus\u00e4tzlich per SSL abgesichert<\/strong>. Auf den in Deutschland stehenden Servern<\/strong> verbleiben verschl\u00fcsselte Nachrichten und Dateien solange, bis der Selbstzerst\u00f6rungsmechanismus greift. Hat der Empf\u00e4nger die Nachricht auch nach 14 Tagen<\/strong> noch nicht abgerufen, werden sie dennoch vom Server gel\u00f6scht<\/strong>. Empfangene Dateien und Metadaten verschl\u00fcsselt die Messenger-App lokal. Leider arbeitet der Messenger „Sicher“ mit 1.024-Bit-RSA-Schl\u00fcsseln<\/strong>, die seit 2003 als unsicher gelten<\/strong>. Wirklich \u00fcberzeugen kann „Sicher“ also nicht: das Grundkonzept stimmt, jedoch zeigt sich die Umsetzung mehr als mangelhaft<\/strong>.<\/p>\n

Fazit unserer zweiten Messenger-Testrunde<\/h3>\n