WhatsApp geht. Was jetzt?

Wem die Sicherheit am Herzen liegt, und wer über die Sicherheit des Messengers nachdenkt, sollte bei der Tastatur anfangen. Ich nutzte AnySoftKeyboard. Aber das ist noch einmal eine Wissenschaft für sich.

Und da es auch um GruppenChats geht: Sie sind selten wirklich sicher… Hier ein gutes Beispiel:
https://sacredbritain.blogspot.com/2020/05/insecurities-of-whatsapps-signals-and.html

AppKostenlosHandyWin/Linux/MacWebEnd-To-End EncryptionOpen Source ClientOpen Source ServerMedien versandAdressbuch-Upload
Telegram
Signal(✔)
Briardezentral
Wire
NextCloud-Talk((✔))((✖))✔ (Selbstgehostet)((✖))
Discord
Threema

Telegram

Telegram ist weit verbreitet, und bietet enorm viele Features, und wenn eines fehlt, kann man dies durch einen selbst geschriebenen Bot problemlos erweitern. Damit sind Umfragen, Kalender-Erinnerungen und alles weiter-Erdenkliche gleich im Chatfenster möglich. Darüberhinaus bietet Telegram plattformübergreifende Clients, die durcheinander verwendet werden können. Sowohl am Laptop oder auch am Handy, ist so das schreiben möglich.

Leider benötigt Telegram eine Telefonnummer um zu funktionieren.

Im Grundumpfang sind Voice-Chats, Sprachanrufe, Bilder und Gruppenchats, und Standortfreigaben problemlos machbar.

Im Bereich Opensource schwächelt Telegram beim Server. Zwar sind die Anwendungen, und die API offen, der Server allerdings nicht.
Für die Sicherheit läuft ein Bug-Bounty-Programm, dass Hacker dazu animieren soll, sich auf den Server zu hacken, und bei Erfolg ein Preisgeld ein zu streichen.
Das ist deshalb so Interessant, weil Telegram im Normalfall nicht Ende-Zu-Ende verschlüsselt ist, sondern nur zum Server. Die geheimen Chats sind E2E verschlüsselt, das war’s aber auch.

Für den normalen Gebrauch also gut geeignet, und wenn man Passwörter oder ähnliches weitergeben möchte, wechselt man auf einen Geheimen Chat, und aktiviert die Selbstzerstörung. Das hindert den anderen auch daran, das Passwort im Messenger zu lassen, und zwingt ihn, es in einen sicheren Passwort-Container zu kopieren, oder gleich wieder zu vergessen.

Meine klare Empfehlung für Gruppen und Communites, in denen Umfragen, und automatisierte Abläufe z.B. für Auswertungen, Erinnerungen, oder Spiele eine große Bereicherung sind. Wer wirklich safe bleiben möchte geht zu Wire oder Signal.

Signal

Hier wird Sicherheit vorangestellt. Alles ist quelloffen und prüfbar. Mensch kann sogar einzelne Nachrichten verifizieren, um „untergeschobene“ Nachrichten zu entlarven.

Das einzige Manko ist, dass Signal über eine Telefonnummer verfügen muss. Auch wenn Telefonnummern nur Verschlüsselt an den Server übertragen werden, werden Listen angelegt, um zu Prüfen, wer mit wem in Kontrakt treten kann. – Für meine Begriffe aber völlig okay.

Leider können hier nicht wie in Telegram weitere Funktionen wie Kalenderfreigaben oder Umfragen getätigt werden.

Dafür bietet Signal die Möglichkeit voll verschlüsselt Dateien und Dokumente zu teilen; auch in Gruppen.

Viedeo-Anrufe, Voice-Messeges und Fotos werden ohne weiteres zu tun verschlüsselt versendet. Ein echtes Plus!

Um den Messenger am Computer zu verwenden muss die App auf dem Handy aktiv sein, über das die Verschlüsselung stattfindet. Klar, Ende-zu-Ende-Verschlüsselung endet auf dem Handy. Hierauf können Clients wie bei WhatsApp zugreifen.
Das bedeutet wer Linux, Windows oder Mac nutzt, kann sich den Client herunterladen, und muss diesen mit seinem Handy verknüpfen. – In der Vergangenheit hat es hier leider Sicherheitslücken gegeben. Beispielsweise blieben die Encryptionkeys auf dem Rechner offen liegen.

Kleiner Hinweis:
Entgegen der landläufigen Meinung hilft das verschlüsseln von Festplatten an dieser stelle nur eingeschränkt (sollte aber so oder so immer genutzt werden, allein schon, wenn der Rechner oder das Handy abhanden kommt).
Wenn Schadcode auf dem Rechner ausgeführt wird, ist er angemeldet und die Plattenverschlüsselung wird umgangen.

Wer nur am Rechner schreiben möchte, sollte sich dann doch an Wire wenden, da hier alle Clients direkt für die Ende-Zu-Ende-Verschlüsselung registriert werden und nicht über ein erst über ein Handy.
Signal ist Non-Profit und auf auf Spenden angewiesen. Wire dagegen verdient sein Geld mit einer Enterprise-Lösung (Verschwörungsfreunde wittern hier die nächste Konzern-Datenkrake – Bisher spricht alles dagegen).

Meine Empfehlung wäre wohl eher Wire, da sich die beiden Apps sehr ähnlich sind, aber Wire auf einen Kontakt-Upload verzichtet, und mit mehr Funktionen aufwartet.
Allerdings denke ich, dass gerade durch den Kontaktupload sich Signal schneller verbreiten wird.

Briar

Der Sicherste Messenger für’s Handy, den ich kenne.

  • Keine Handynummer
  • Kein Kontaktdaten
  • Auf dem Handy mit einem Kennwort verschlüsselt
  • Ende zu Ende verschlüsselt
  • Kommuniziert über Bluetooth, Wifi
  • Wenn über das Internet kommuniziert wird, dann über das Tor-Netz
  • Kein Server – Völlig dezentral.
  • Kontakt-Austausch findet immer in zwei Richtungen statt.
    Selbst bei einer Kontakt Weitergabe über einen Link, müssen beide Kontakte zustimmen, erst dann können sie mit einander kommunizieren. Persönliche Daten werden dafür nicht genutzt.

Die Perfekte Dealer-App. Keine Voice-Mails, keine Bilder, keine Dokumente, nichts, dass die Anonymität aufdecken könnte; Nur reiner Text.

Die App ist unübersichtlich und sieht „altbacken“ aus. Eine klare Empfehlung also für alle, die Sicherheit und Anonymität wollen. Funktion ist hier zweitrangig.

Kleiner Hinweis: Nur ein langes Kennwort verschlüsselt gut. - Nein 10 Zeichen sind nicht genug... eher so 40. (Yep, dafür ist einen Passwortmanager gut. KeePass z.B.)

Leider ist die App nicht für iOS verfügbar, aber wer auf Anonymität wert legt, wählt eher kein Applegerät. Wobei Apple standardmäßig emails verschlüsselt, im Gegensatz zum Rest der Welt…

Wire

Gründer kommen aus den Lagern von Skype, Apple, Nokia und Microsoft.

Der Messenger kann sich mit Signal messen kann, und sogar übertrumpft. Da Wire auf die Verwendung im Büro abzielt, ist hier Filesharing und Zusammenarbeit weit vorangetrieben. Neben den üblichen Features ist aber auch gleich ein Whiteboard mit dabei. Und wer mehr braucht, kann auf eine der Bezahl-Varianten wechseln.

Zur Veschlüsselung wird Proteus genutzt eine hauseigene Aufbereitung des Signal-Protokolls.

Positiv: Es werden keine Kontakte hochgeladen. Die Verbindung läuft über Einladungen, was sehr Positiv zu betrachten ist. Umständlicher, zugegeben, aber Sicherer.

Meine Klare Empfehlung für sichere Kommunikation, für diejenigen, die nicht selber hosten möchten.

NextCloud-Talk – EDIT: Nur Video/Audio-Calls sind völlig E2E-Verschlüsselt. – E2E ist aber in der Cloud auf Dateiebene möglich.

(es ist zwar der eigene Server, aber mach einer mag das dennoch nicht…)

Wer Wire mag, der könnte NextCloud-Talk lieben.

Enorm viele Features und mit der selbsgehosteten Cloud verbunden.

Für alle die Dateien in der Cloud halten wollen, aber nicht bei Micrososft-OneDrive oder Google-Drive, die können ihre eigene NextCloud auf ihrem eigenen Server installieren. Hieran kann dann auch der NextCloud-Talk-Client angeknüpft werden.

Von den Funktionen bietet es kostenlos das, was bei Wire Geld kostet.

Hierbei muss man allerdings darauf achten, dass man beim Hosting einiges beachten muss, damit auch alles Sicher bleibt. Wenn die Kommunikation als solches zwar Verschlüsselt ist, aber die auf dem Cloudserver liegenden Dokumente auf Grund schlechter Sicherheit für alle sichtbar sind wäre das fatal, hier muss also jeder selber seine Hausaufgaben machen. – Dann ist es allerdings ein phänomenales tool.

Was mich nicht stört: Voice-Messeges fehlen. Aber einige sind ja große Fans…

Diese Option bietet sich allerdings nur für feste, oder langsam wachsende Gruppen an, da diese Möglichkeit für Cloud-Teilnehmer besteht.

Discord

Mein erster Gedanke für die Gruppe war: Discord.

Kanäle für alles mögliche. Calls, mit Bild und Ton sind in der Gruppe aber auch allein möglich und es ist in Sekunden schnelle eine perfekte Plattform aufgebaut…. Leider nicht ganz.

Keine Encryption, und die Server stehen in den USA.

Im Grunde kann man das also als ein sehr Lebendiges Forum betrachten, bei dem jeder mitlesen kann, aber Sicherheit bietet es nicht. Wer eine lebendige offene Community haben möchte die in mehreren Kanälen organisiert wird, kann seinen Server aufsetzen, und die Welt kann mitlesen. – Privat ist das allerdings nicht.

Wer nicht mehrere Sprach- und Textkanäle,

Threema

Die Verschlüsselung soll herausragend sein. Audits bestätigen, dass eine Ende-Zu-Ende Verschlüsselung stattfindet, und lediglich Meta-Daten auf dem Server gespeichert werden. Die Nachrichten gehen also mit dem Handy verloren, wenn kein BackUp vorhanden ist.

So weit so gut: Audit sagt es: Der Servercode ist nicht Open-Source, aber immerhin gibt es regelmäßige Audits, das ist zwar irgendwie mehr OpenSource als Telegram, aber ich traue einem Bug-Bounty mehr, da hier nicht nur eine Security-Firmal mal gucken darf, sondern ein Ansporn für echte Hacker da ist mal „rein zu schauen“.

Auch bei Threema ist ein Nummern, und Email-Upload möglich um zu prüfen, wer von den eigenen Kontakten den Messenger nutzt.


Weitere Messenger mit Ende zu Ende Verschlüsselung:

https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern#Ende-zu-Ende-Verschl%C3%BCsselung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.