Wer benutzt heute keine Messenger Dienste? Richtig: Niemand. Von XMPP, IRC, ICQ und Skype hin zu mobilen Clients wie WhatsApp, Threema, Signal oder Telegram oder auch Facebooks Messenger sind alle Arten in den letzten Jahren vertreten gewesen. Heute werden jedoch nur noch wenige davon genutzt, wie etwa WhatsApp, Skype oder der Facebook Messenger.

Viele Messenger verschlüsseln nicht

Man sollte meinen, dass seit den Snowden-Enthüllungen jeder große Dienst im Internet begriffen hat, dass Sicherheit in all seinen Fassetten ein sehr wichtiger Bestandteil ist. Leider ist dieser Gedanke noch nicht bei allen angekommen.

So verschlüsselt zum Beispiel Facebook nur über die App seine Nachrichten und auch nicht Ende-zu-Ende, sondern nur Transportverschlüsselt – der Webclient verschlüsselt gar nicht. Das Facebook dadurch mitlesen kann ich hoffentlich jedem klar.

Bei Skype wird zwar laut Microsoft verschlüsselt, aber man kann dem mit ruhigen Gewissen misstrauen (nicht nur weil Microsoft in diesem Satz auftaucht). Skype verwendet zwar eine Ende-zu-Ende Verschlüsselung, jedoch ist diese veraltet und in einem Interview mit ZDNet wurde angedeutet, dass die Server Möglichkeiten zum abhören haben. Dies ist in der Vergangenheit auch des öfteren vorgekommen.

Skype hat zudem laut eigenen Aussagen vor alle Textnachrichten über die Cloud zu schicken, wobei sie dort nur Transportgesichert sind. Eine Ende-zu-Ende Verschlüsselung wird dabei abgeschafft, somit geht Microsoft in puncto Sicherheit sogar einen gewaltigen Schritt zurück.

Auch der (bei Jugendlichen immer noch beliebte?) instant massaging Dienst ICQ ist nicht verschlüsselt. Die Technik lässt es unter bestimmten Voraussetzungen mit Plug-Ins zu, standardmäßig ist eine Verschlüsselung aber nicht vorhanden.

Das Spiel mit Seriosität und Vertrauen

Interessant ist die Situation bei Telegram.

Dieser mobile Messenger erfreut sich immer größerer Beliebtheit, vor allem Dank der standardmäßigen Verschlüsselung, oder? Falsch. Telegram verschlüsselt nicht standardmäßig – jedenfalls nicht Ende-zu-Ende, sondern nur mittels TLS – somit kommt das Vertrauen lediglich aus dessen guten Ruf.

Wer eine Ende-zu-Ende Verschlüsselung möchte, der kann dies über „Secret Chats“ machen, aber auch nur auf dem Handy/Tablet und auch nicht in Gruppenchats. Diese verschlüsselten Nachrichten sind zudem nicht auf anderen Geräten erreichbar (wer also Handy und Tablet nutzt, der sieht die Nachricht nur auf einem Gerät).

Telegram ist zudem keine Firma, sondern eine NGO, hat das Hauptquartier in Berlin, sitzt aber in England und ist bei näherer Betrachtung ist die Adresse gekauft und zwar von einer Firma auf den Virgin Island und einer aus Belize. Telegram ist also eine Briefkastenfirma. Wo die Server stehen ist auch unbekannt und deren Software ist Closed-Source (nur der Standard-Client ist Open-Source und die API ist auch öffentlich).

Wer also einen sicheren und mobilen Messenger Dienst sucht muss weiter lesen 😉

WhatsApp hat ja vor kurzem standardmäßig eine Ende-zu-Ende Verschlüsselung eingebaut. Diese funktioniert zuverlässig auch bei Gruppenchats und Anrufen. Der Kern der Verschlüsselung kommt von Open Whisper System, die Implementation ist aber leider nicht Open-Source. Man kann also nicht feststellen ob die privaten Schlüssel z.B. wirklich auf dem Gerät bleiben oder etwa zu WhatsApp Servern gesendet werden, bzw. sogar von WhatsApp Servern kommen.

Bisher sieht die Verschlüsselung sehr gut aus, was jedoch leider den Datenschutz und die Privatsphäre von Metadaten bei WhatsApp nicht besser macht. Auf Grund der Größe und der Wichtigkeit für bestimmte Organisationen ist es relativ wahrscheinlich, dass es da irgendwo noch einen Haken gibt.

Tatsächlich: Es gibt noch Verschlüsselung

Threema und Signal sind Messenger Dienste genau wie WhatsApp oder Telegram, jedoch verschlüsseln sie Nachrichten standardmäßig mittels Ende-zu-Ende Verschlüsselung. Threema benutzt Elliptische Kurven als Verschlüsselung (deren Sicherheit mit einem 3072-Bit RSA Schlüssel vergleichbar ist) und Signal benutzt das eigene und quelloffene Signal-Protokoll.

Eine nahezu perfekte Situation bietet Threema. Dieser Messenger kostet als einziger Geld (zur Zeit 2,49€) und ist daher leider auch Closed-Source. Dennoch ist die verwendete Bibliothek zur Verschlüsselung – ähnlich wie bei WhatsApp – als ganzes Open-Source und es werden sichere Schlüssel durch Elliptische Kurven generiert.

Trotz der Closed-Source bietet Threema mehr Seriosität als z.B. WhatsApp oder Telegram. Zum einen wurde die Sicherheit der Verschlüsselung 2015 durch ein externes Audit verifiziert, zum anderen ist das Unternehmen (der Betreiber Threema GmbH und der Entwickler Kasper Systems GmbH) in der Schweiz ansässig und auch alle Server stehen dort.

Dadurch, dass Threema Closed-Source ist, kann nichts davon zu 100% bestätigt oder bewiesen werden, jedoch zeigt es einen Ansatz an Öffentlichkeitsarbeit und Prinzipien den andere mobile Messenger vermissen lassen.

Auch Signal (ehemals TextSecure) bietet eine sehr gute Ausgangssituation mit bisher perfekt aussehender Ende-zu-Ende Verschlüsselung über das eigene Signal-Protokoll. Die App kann zudem SMS und MMS empfangen und bietet besondere Funktionen wie der Screenshot-Schutz mit dem Nachrichten nicht auf Screenshots auftauchen. Die App und der Dienst ist kostenlos und sogar Open-Source, weswegen hier Audits möglich sind. Wissenschaftler der Uni Bochum haben das Protokoll dadurch untersuchen können und als sicher befunden.

Die Server stehen leider in zehn verschiedenen Ländern um Latenzen zu vermeiden, auch ist der Hersteller Open Whisper Systems kein Unternehmen, sondern – ähnlich wie bei Telegram – eine NGO.

Nischen-Dienste meist am sichersten

Dienste die tatsächlich verschlüsseln oder diese mit einfachen Mitteln anbieten sind z.B. XMPP, IRC (mittels OTR Verschlüsselung in Pidgin o.Ä.), Threema oder Signal um nur einige zu nennen. XMPP ist dabei ein Protokoll, dass z.B. für Jabber benutzt wird und häufig (auch wenn meist stark modifiziert) für diverse Apps und Chat-Dienste verwendet wird (Facebook, MSN, AIM, uvm.).

Die OTR (Off-the-record) Verschlüsselung verhindert, dass man nach dem senden einer Nachricht über die Schlüssel raus bekommen kann wer sie gesendet hat. Das ist möglich, indem vor dem senden jeder Nachricht ein neuer Schlüssel generiert und nach dem senden direkt wieder gelöscht wird. Es wird hier zwar unter anderem noch mit SHA-1 gearbeitet, das soll uns aber nicht weiter stören.

Im Gegensatz zu Threema oder Signal haben die meisten Nischen-Dienste (wenn ich Jabber, IRC und Co auf Grund der Nutzerzahlen mal so nennen darf) meist keine oder sehr schlechte mobile Anwendungen, was deren Nutzung auf Smartphones und Tablets erschwert. Sie eignen sich – unter anderem dadurch – oft nicht sehr gut als Massendienst.

Geheimtipp: Conversations

Die App hat einen für Suchmaschinen unglücklichen Namen, bietet jedoch erstklassige Verschlüsselung und Sicherheitsoptionen der Extraklasse für instant massaging an. Conversations benutzt XMPP und bietet einen modernen und ansprechenden Client als Oberfläche an. Die App kostet zwar im Play-Store ein wenig Geld (zur Zeit 2,39€), es gibt aber den Sourcecode auf github, sodass Techis durch selbst compilieren vor allem Geld sparen und nebenbei auch Audits möglich werden.

Conversations bietet zudem die Möglichkeit neben dem Standard conversations.im Server auch jeden anderen XMPP Server benutzen. Durch diverse Plug-Ins lassen sich verschiedene Verschlüsselungen wie OMEMO, OTR und sogar OpenPGP (mittels der App OpenKeychain) benutzen. Durch die Servereinstellungen und Verschlüsselungsoptionen muss man zwar ein wenig Ahnung von der Materie haben, es steigert jedoch die Sicherheit und das Vertrauen darin enorm.

Darüber hinaus kann sich Conversations mit Tor verbinden (die Open-Source App Orbot ist dazu notwendig) und bietet somit auch ein Höchstmaß an Anonymität.

Noch befindet sich die App relativ am Anfang und hat auch erst wenige Nutzer (5.000 – 10.000 laut Google), doch ist diese App das bisherige Optimum an Benutzbarkeit, Sicherheit und Mobilität.