Warum nicht ...

- Lesezeit: 63 Minuten / ganze Rubrik: 127 Minuten -

Neben dem Platzhirsch WhatsApp gibt es noch unzählige andere Anbieter, die auch ein Stück vom Kuchen haben wollen und ihre eigenen Inseln als Paradies anpreisen.
„Insel“ ist in diesem Zusammenhang tatsächlich auch als solche zu verstehen: Es handelt sich um Insellösungen, die durch das bewußte Ausschließen bzw. Abgrenzen von anderen Systemen Nutzer an sich binden wollen. Deshalb sollte generell hinterfragt werden:

  • Handelt es sich um freie Software (Allgemeingut oder Firmeneigentum)?
  • Besteht eine Abhängigkeit von einer zentralen Stelle?
  • Wie finanziert sich der Dienst (offen oder verdeckt)?

Bei allen unten aufgeführten zentralen Messengern ist ein Sammeln und Auswertung von Metadaten möglich bzw. wird aktiv genutzt. Metadaten sind nicht die eigentlichen Inhalte der Nachrichten, sondern beziehen sich auf das Umfeld. Deshalb ist es in diesem Zusammenhang auch unerheblich, ob die Kommunikation verschlüsselt ist oder nicht. Das wird oft übersehen.

Neben den „bekannteren“ Messengersystemen gibt es viele weitere seriöse und mit einem soliden Geschäftsmodell arbeitende Anbieter - aber auch eine unglaubliche Zahl ominöser Dienste, die kommen und gehen. Insbesondere muß man bei den Anbietern aufpassen, die viele Fachbegriffe verwenden und mit Superlativen um sich werfen, wie:

  • extrem sicher
  • bester kryptomessenger
  • einzigartige Privatsphäre
  • quantenresistent
  • Blockchain
  • wirklich privat
  • Kryptocoin
  • der Sicherste, der Beste, der Erste, der Tollste …

Die Krönung ist, wenn mit Privatsphäre geworben und dazu noch Discord als Kontaktmöglichkeit angeboten wird oder man eine Kryptowährung untergeschoben bekommt. In den Fällen loht sich definitiv kein zweiter Blick, denn in der Regel wollen die Leute dahinter genau das Gegenteil. Also aufgepasst, denn manche „wollen nur ihr/dein Bestes“ - konkret: Zugriff auf die persönliche Privatsphäre, Daten abgreifen, Geld schürfen/abschöpfen.

Warum nicht …

Post Mortem

Zusatzinformationen

Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung

Querverweise/Empfehlungen:


Aether

dezentral frei kostenfrei Beta-Status / keine aktive Weiterentwicklung

Vergleicht sich selbst mit Reddit/Twitter, Mastodon, Secure Scuttlebutt. Beim Vergleich (extern) ist kein „klassischer“ P2P-Messenger dabei. Auf den ersten Blick schöner Internetauftritt.

Noch zum Protokoll “Mim” (extern) und der Entwicklung (extern; Stand 2019?):

Heads up: this documentation is currently a work in progress - it is being made public as part of a product that is actively being built. There is no guarantee of a stable API.
0.1 DRAFT First public documentation of the protocol in draft form. This document is made available so as to enable discussion, and it not ready for use.

Projektseite: https://getaether.net (extern)

Abraxas

zentral unfrei nicht kostenfrei Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht.

Die Lösung von Abraxas ist (wie Stashcat) lediglich als geschlossenes System zu lizensieren und kann nur als Inselsystem genutzt werden.

  • positiv: deutsche Internetseite; deutsche AGB
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 9 Drittanfragen (third-party) auf der Internetseite
  • offen: Tracker in der Android-App?

Föderale Ebenen / offene Fachapplikationen / löst alle Schnittstellenfragen:

Abraxas pflegt und entwickelt Software-Lösungen für öffentliche Verwaltungen aller föderalen Ebenen und für Organisationen im staatlichen Umfeld. Auf Basis moderner Technologien konzipieren und bauen unsere Ingenieure und Entwickler moderne Applikationen für Steuer- und Strassenverkehrsämter, Gemeinden, Polizeikorps, Organe der Rechtspflege, die Berufsbildung, das Personalwesen und Kommunalwerke.

Um den hohen Ansprüchen der Anwender an offene, leistungsfähige und praxistaugliche Fachapplikationen gerecht werden zu können, deckt Abraxas alle Handlungsfelder des modernen Software-Engineerings ab – von Consulting und Requirements Engineering, über die Architektur und die Entwicklung von Software bis hin zur Projektleitung, Qualitätssicherung, Schulung und Support.

Abraxas übernimmt dabei die Leitung spezifischer Projekte, setzt notwendige Anpassungen bei Gesetzesänderungen automatisch um und stellt die Einbindung der Lösung in die Kundenumgebung sicher. Abraxas integriert die Daten und Prozesse von der Bevölkerung über die Gemeinden und Kantone bis zum Bund und löst alle Schnittstellenfragen – immer mit dem Ziel, die Digitalisierung zum Vorteil unserer Kunden und deren Kunden voranzutreiben.

Quelle: https://www.abraxas.ch/de/loesungen/fachanwendungen (extern)
Auch für die Polizei: https://www.abraxas.ch/de/loesungen/fachanwendungen/polizei/instant-messenger-police (extern)

Adamant

dezentral frei kostenpflichtig Kryptowährung „ADM“

Messenger auf der Basis der Blockchain-Technologie; „schöne“ Vergleichsmatrix (aus Sicht von Adamant) auch zu anderen P2P-Systemen.

  • positiv: dezentral
  • positiv: quelloffen
  • positiv: keine Tracker in der Android-App feststellbar (0 Berechtigungen): Exodus (extern)
  • negativ: 0.001 ADM (0.00024 USD) pro Nachricht
  • negativ: eng verbunden mit Kryptowährung („ADM tokens“) -> keine Unabhängigkeit
  • negativ: lt. webbkoll (extern) 2 Drittanfragen (third-party) von Google-Schriften auf der Internetseite

Projektseite: https://adamant.im/#trade-adm (extern)

Beeper

dezentral unfrei Einstieg kostenfrei Closed-Source-Version von Element
  • negativ: keine deutsche Internetseite
  • negativ: keine deutsche Datenschutzerklärung & AGB
  • negativ: Datenschutzbedenken bei föderiertem Betrieb (-> Matix)
  • negativ: App ist nicht quelloffen
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Nur Einstiegsversion ist kostenlos
  • negativ: lt. webbkoll (extern) 76 Drittanfragen (third-party) auf der Internetseite
  • negativ: 2 Tracker in der Android-App (34 Berechtigungen): Exodus (extern)

Vorsicht: Auf der Internetseite wird oft und regelmäßig auf “Quelloffenheit” hingewiesen, was sich jedoch lediglich auf Brücken und das (natürlich) offene Matrix-Protokoll bezieht - es wird jedoch dort nicht erwähnt, dass der Code der App Firmengeheimnis ist (ob das mit der Lizensierung von Element konform ist, muß an anderer Stelle geklärt werden).

Auf alle Fälle ist das Augenwischerei, denn der Beeper-Client basiert lediglich auf dem eigentlich quelloffenen Matrix-Client „Element“ - aber die Änderungen am Code sind geheim und der Beeper-Code ist nicht öffentlich. Zitat:

closed source forks of Element (https://github.com/beeper/self-host) (extern)

Ist Beeper evtl. sogar eine Kostenfalle oder muß man mit späteren Nutzungseinschränkungen rechnen?

„Im Moment [Stand Dez. 2023] hat jeder kostenlos Zugang zu allen Funktionen von Beeper Plus. Irgendwann im Jahr 2023 werden wir damit beginnen, $5-10 pro Monat für Beeper Plus zu berechnen. Wir werden Sie vor diesem Zeitpunkt warnen und alle Nutzer standardmäßig auf den kostenlosen Tarif umstellen.“ (übersetzt)

Darüber hinaus scheint es weitere Einschränkungen zu geben. Dazu eine Information vom Beeper team (übersetzt aus E-Mail, Nov. 2023):

„Der Beeper Matrix Homeserver ist vollständig föderiert, jedoch können Brücken nicht außerhalb des Beeper Homeservers kommunizieren. Außerdem können die Brücken, die ein Benutzer einrichtet, mit keinem anderen Benutzer auf dem Homeserver außer dem Benutzer, der sie eingerichtet hat, interagieren.“

Fazit:
Bezüglich der Quelloffenheit außen hui (quelloffen) aber innen pfui (Firmengeheimnis). Hier kann statt dessen ganz normal Matrix bei einem anderen Hoster oder im Eigenhosting genutzt werden. Einizg positiv ist der tolle und eingängie Name. Da hat einfach mal wieder jemand gutes Marketing gemacht.

Projektseite: https://www.beeper.com (extern)

Berty

dezentral frei kostenlos Beta-Status

Auch ein Open-Source-Projekt, das zwar mit Sicherheit/Privatsphäre wirbt („The privacy-first messaging app“), dann jedoch selbst „Discord“ nutzt und als Kontaktmöglichkeit anbietet. Eigentlich widerspricht sich das, denn im Fokus des P2P-Messengers stehen angeblich verschiedene sensible Berufsgruppen, Aktivisten und auch Geheimnisverräter:

Certain groups of people are at higher risk because of their activity: journalists, military personnel, government officials, activists, corporate members, lawyers, whistleblowers. Berty was designed with them in mind.

  • positiv: dezentral
  • positiv: quelloffen
  • positiv: mit Ende-zu-Ende-Verschüsselung (doppelte Ratsche / “double ratchet” - wie bei Signal)
  • positiv: Clients für Android und iOS
  • positiv: keine Tracker in der Android-App (24 Berechtigungen): Exodus (extern)
  • negativ: keine deutsche Internetseite/Nutzungsbedingungen
  • negativ: noch im Beta-Status („Berty will be released soon“) (extern)
  • negativ: kein Dateiversand
  • negativ: keine keine Sprach-/Videotelefonie
  • negativ: nutzt Cloudfront, Google AMP
  • negativ: nutzt Discord als Kontaktmöglichkeit
  • negativ: lt. webbkoll (extern) 175(!) Drittanfragen (third-party) auf der Internetseite

Bertys Messengervergleich (extern)
Projektseite: https://berty.tech (extern)

Chiffry

zentral ° unfrei Einstieg kostenfrei ° dezentral möglich aber: Server ohne Föderation
  • positiv: deutsche Internetseite
  • positiv: mit Ende-zu-Ende-Verschlüsselung
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: kostenlose Basisversion ist ein Lockangebot mit sehr eingeschränkter Funktionalität - so können in dieser beispielsweise Dateien nur bis 0,5 MB und Videos nur bis 1 MB versendet werden; nur 10 Gruppenmitglieder, …
  • negativ: eigene Server sind nur mit der Businessversion möglich (diese sind dann jedoch in sich geschlossene Systeme)
  • negativ: lt. webbkoll (extern) 2 Cookies von Dritten zu Youtube; 21 Drittanfragen an u.a. Google-Schriften, google, youtube, googleads, doubleclick, …
  • negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (38 Berechtigungen): Exodus (extern)

Projektseite: https://www.chiffry.de/versionen (extern)

Cweb

dezentral frei kostenlos Beta-Status

Alle Daten werden verschlüsselt gespeichert und zwischen dem Gerät und einem „Amazon S3 bucket“ mittels einem P2P-Protokoll ausgetauscht. Verschiedene Dienstleister (Amazon, minio, wasabi, ..) bieten S3-kompatiblen Speicherplatz an, der jedoch auch selbst gehostet werden kann. Der Messenger „Stone-Age“ basiert auf Conversations - jedoch wurde das Kommunikationsprotokoll XMPP durch Cweb ausgetauscht.

  • positiv: quelloffen
  • positiv: keine Tracker in der Android-App „Stone-Age“ (37 Berechtigungen): Exodus (extern)
  • negativ: keine deutsche Projektseite
  • negativ: noch im Beta-Status („expermental“, „prototype“, „demonstrate the approach“)
  • negativ: nutzt Amazon S3 (Simple Storage Service) - deshalb nur „quasi P2P“
  • negativ: nutzt G-Mail als E-Mail-Provider für Kontakt
  • negativ: keine Sprach-/Videoanrufe
  • negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 4 Drittanfragen (third-party) von Google-Schriften auf der Internetseite

Stone-Age: https://f-droid.org/packages/com.cweb.messenger (extern)
Projektseite: https://cweb.gitlab.io (extern)

Cwtch

dezentral frei kostenlos Beta-Status

Auch eine P2P-Lösung, die TOR nutzt. Um in einem Peer-to-Peer-Gespräch zu chatten, müssen beide online sein. Für Gruppen bzw. Chaträume werden Server benötigt, über die per TOR zugegriffen wird. Insofern handelt es sich um einen servergestützten Messenger.

  • positiv: dezentral
  • positiv: quelloffen
  • positiv: keine Tracker in der Android-App feststellbar (10 Berechtigungen): Exodus (extern)
  • positiv: lt. webbkoll (extern) keine Cookies und keine Drittanfragen (third-party)
  • positiv: Teile des Benutzerhandbuchs (extern) sind schon ins Deutsche übersetzt
  • negativ: keine deutsche Projektseite
  • negativ: noch im Beta-Status!

Projektseite: https://cwtch.im (extern)

Discord

zentral unfrei kostenlos 'heftige' Nutzungsbedingungen

Die Nutzungsbedingungen „terms of use“ (extern; ab 28.03.2022) des in der Computerspiele-Szene und bei Studenten gerne und oft genutzten Messengers lesen sich heftig, da Discord die Rechte für alle der dort geteilten Inhalte erhält:

Ihre Inhalte gehören Ihnen, aber Sie geben uns eine Lizenz dafür, wenn Sie Discord benutzen …
… Inhalte zu verwenden, zu kopieren, zu speichern, zu verteilen und zu kommunizieren … zu veröffentlichen, öffentlich aufzuführen oder öffentlich auszustellen … zu überwachen, zu verändern, zu übersetzen und neu zu formatieren, … Unterlizenzen zu geben …
(Stand 16.06.2022)

(Bis 28.03.2022 (extern): „Durch das Hochladen, Verbreiten, Übertragen oder anderweitige Nutzung Ihrer Inhalte im Rahmen des Dienstes gewähren Sie uns eine unbefristete, nicht exklusive, übertragbare, gebührenfreie, unterlizenzierbare und weltweite Lizenz, Ihre Inhalte in Verbindung mit dem Betrieb und der Bereitstellung des Dienstes zu nutzen, zu hosten, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Werke zu erstellen, zu verteilen, auszuführen und zu präsentieren.“)

  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: ‘heftige’ Nutzungsbedingungen
  • negativ: 6 Tracker in der Android-App (22 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 6 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://discord.com (extern)

Facebook Messenger

zentral unfrei kostenlos Facebook Ireland Limited hat seinen Namen zum 04.01.2022 in Meta Platforms Ireland Limited geändert.
  • positiv: deutsche Nutzungsbedingungen (extern) und deutsche Datenrichtlinie (extern; nicht „Datenschutzrichtlinie“)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: verwendet eindeutige Nmmer als Benutzerkennung („Nutzer-ID“ (extern)
  • negativ: 4 Tracker in der Android-App (64 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 36 Drittanfragen (third-party) auf der Internetseite
  • Tage, seit dem letzten Facebook-Skandal: https://dayssincelastfacebookscandal.com (extern)

Projektseite: https://www.facebook.com/games/fbmessenger_android (extern)

ginlo

zentral unfrei privat kostenlos Eingestellt zum 31.12.2019 / fortgeführt ab Jan. 2020 von der „ginlo.net GmbH“

Der Messengerdienst SIMSme wurde im März 2019 von der Fa. Babbler übernommen und der Name in „ginlo“ geändert. Die Architektur ähnelt lt. Wikipedia (extern) angeblich der von GoldBug.

  • positiv: deutsche Internetseite und deutsche AGB
  • positiv: lt. webbkoll (extern) KEINE Drittanfragen (third-party) auf der Internetseite
  • positiv: App ist quelloffen
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Servercode ist nicht quelloffen
  • negativ: Telefonnummer zur Anmeldung und zur Nutzung erforderlich (Unterschied zu Goldbug)
  • negativ: Die Möglichkeit, den AES-Schlüssel manuell einzugeben, besteht nicht. (Unterschied zu Goldbug)
  • negativ: Der RSA-Schlüssel wird von der App generiert. Man kann somit weder die Schlüssellänge verändern noch ein eigenes Schlüsselpaar generieren. (Unterschied zu Goldbug)
  • negativ: 1 Tracker (Amplitude) in der Android-App (44 Berechtigungen): Exodus (extern)

(Quelle: Wikipedia)

Dezember 2019: Beendigung …

Einstellung von „Ginlo“ (ehemaliger Post-Messenger „SIMSme“ auf Grund Insolvenz der Brabbler AG zum Jahresende 2019.

„… Falls Sie noch Bilder, Videos, Dateien etc. aus ginlo herunterladen möchten, bitte gleich erledigen. Denn all Ihre verschlüsselten Inhalte, Metadaten und personenbezogenen Daten werden spätestens zu Ende Dezember unwiederbringlich gelöscht. …“

Januar 2020: Fortführung/Übernahme …

„Im Januar dieses Jahres hat der Brabbler-Mitgründer Karsten Schramm das Projekt ginlo aus der Insolvenz der Brabbler AG übernommen und in die neu gegründete ginlo.net GmbH überführt.“

Quelle: Pressemitteilung vom 14.07.2020 (extern; PDF-Datei)

Projektseite: https://www.ginlo.net

ICQ New

zentral unfrei kostenlos keinerlei Verschlüsselung
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: keine deutsche Internetseite/Nutzungsbedingungen
  • negativ: heftige Nutzungsregeln (s.u.)
  • negativ: Keine Verschlüsselung
  • negativ: 5 Tracker in der Android-App (56 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 8 Drittanfragen (third-party) auf der Internetseite

Im April 2020 wurde „ICQ“ von der Eigentümergruppe (Mail.ru) in „ICQ New“ umbenannt.

Bei den vom Betreiber ICQ Inc. am 7. Juni 2000 festgelegten Nutzungsregeln verzichtet der Benutzer auf alle seine geistigen Eigentumsrechte an den über den ICQ-Service zugänglich gemachten Daten

Quelle und mehr: https://de.wikipedia.org/wiki/ICQ (extern)

Projektseite: https://icq.com (extern)

IRC

dezentral ° frei kostenlos ° dezentral aber: Server ohne Föderation

Der Internet Relay Chat, kurz IRC, zählt zu den ältesten Diensten und damit auch zum Chat-Urgestein des Internets. Dadurch ist die Software zwar sehr ausgereift, aber die Bedienung erfolgt immer noch über Textkommandos, was für Neueinsteiger schwer sein kann.

  • positiv: sehr verbreitet
  • positiv: kein zentrales System
  • positiv: keine Anmeldung zur Nutzung erforderlich
  • positiv: gleichzeitige Verbindung mit verschiedenen Servern möglich
  • positiv: verschiedene Apps/Programme als Clients zur Wahl
  • positiv: Brücke zum Chatstandard XMPP vorhanden
  • negativ: keine Offline-Nachrichten und keine Verteilung auf mehrere Geräte
  • negativ: keine festen Chatadressen sondern nur temporäre Spitznamen („nicks“)
  • negativ: in „Channels“ (Räumen) nur Textnachrichten und keine Dateien wie Fotos, Audio, Video
  • negativ: Bedienung über Textkommandos

Externe Quellen:

Notify

zentral unfrei nicht kostenfrei Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht.

Eine kommerzielle Plattform für Unternehmen, die verschiedene Inseln gleichzeitig mit Informationen “bedienen” wollen. Es sind dabei: WhatsApp, Instagram, Facebook Messenger, Apple Business Chat, Telegram, Viber, Notify, Webchat.

Querverweis: Sind Brücken und deren Nutzung legal?

  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: 2 Tracker (Google Firebase Analytics & CrashLytics) in der Android-App (30 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 25 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://www.messengerpeople.com/notify (extern)

Olvid

zentral unfrei Einstieg kostenfrei Lockangebot
  • positiv: ohne Telefonnummer nutzbar
  • positiv: die Clientsoftware ist quelloffen
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Servercode ist nicht quelloffen
  • negativ: keine deutsche Internetseite/Nutzungsbedingungen
  • negativ: “sichere” Anrufe nur mit kostenpflichtiger Version; voller Funktionsumfang muß erkauft werden (“Lockangebot”)
  • negativ: 1 Tracker (OpenTelemetry - OpenCensus, OpenTracing) in der Android-App (21 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 13 Drittanfragen (third-party) u.a. auch für Google-Schriften/Cloudflare auf der Internetseite

Projektseite: https://olvid.io (extern)

Revolt Chat

zentral ° unfrei Einstieg kostenfrei ° dezentral möglich aber: Server ohne Föderation / Beta-Status

Revolt Chat basiert auf einem eigenen, selbst entwickelten Protokoll und sieht sich selbst als Alternative zu Discord und Rocket Chat.

  • positiv: open source (Server und Client)
  • positiv: Server in der EU gehostet
  • positiv: keine Tracker in der Android-App feststellbar (0 Berechtigungen): Exodus (extern)
  • positiv: lt. webbkoll keine Drittanfragen auf der Projektseite
  • negativ: zentraler Dienst (= Abhängigkeit); keine Föderation! *)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: erst Beta-Status (extern)
  • negativ: aktuell noch keine Apps; lediglich Web-Anwendung
  • negativ: in Beta noch keine Ende-zu-Ende-Verschlüsselung

Warum es keine Föderation gibt? In den FAQ (extern) findet sich dazu eine Antwort:

From personal experience, I’ve generally found federated protocols to not be suitable for real time communication, Matrix is incredibly buggy at times and it’s left a sour taste in my mouth.

Die Antwort ist also in etwa: “zu kompliziert für uns, und es will eh keiner” - wenig überzeugend, denn scheinbar gibt es diesen Fragesteller ja doch, sonst wäre das keine oft gestellte Frage (FAQ).

Projektseite: https://revolt.chat (extern)
Entwicklerseite: https://developers.revolt.chat/api (extern)

Rocket.Chat

dezentral frei Eigenhosting kostenlos ° dezentral aber: Server ohne Föderation

Teammessenger als Alternative zu Slack mit dem grundlegenden Ziel „Eigenhosting“.

schul.cloud

zentral unfrei nicht kostenfrei Nicht für Privatpersonen, sondern für Bildungseinrichtungen gedacht.

Nicht mit der „HPI Schul-Cloud“ zu verwechseln!

schul.cloud basiert auf Stashcat und benutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.

  • positiv: deutsche Internetseite; deutsche AGB
  • positiv: öffentliche Sicherheitsmeldungen (extern)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: kostenlose Basisversion ist ein Lockangebot mit sehr eingeschränkter Funktionalität
  • negativ: 2 Tracker (Mapbox und Google Firebase Analytics) in der Android-App (43 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 55 (!) Drittanfragen (third-party) auf der Internetseite

Mehr Informationen: >> hier <<
Projektseite: https://schul.cloud (extern)

Session

dezentral frei kostenlos Kryptowährung „$OXEN“

Session (vormals unter dem Namen „Loki Messenger“ bekannt) ist ein Fork der Signal-App, der keine Telefonnummer zur Identifizierung verwendet, bei dem aber verschiedene Funktionen aus dem Protokoll entfernt wurden. Aktuell findet ein Wandel der Bezeichnung von „Loki“ zu „Oxen“ statt. Session verwendet Onion-Routing durch Oxen Service Nodes für den Transport und die “LOKI coin” ist zur “$OXEN” geworden.

Oxen über sich selbst (übersetzt):

Oxen ist vieles. Eine private Kryptowährung. Eine sichere Messaging-Plattform. Eine Netzwerk-Anonymitätsschicht. Werkzeuge, um eine privatere Zukunft für das Internet zu schaffen.

Die Messenger-App „Session“ ist eng mit der Kryptowährung „$OXEN“ (vormals: „LOKI coin“) verbunden (übersetzt):

Die Autorisierung eines Servers für den Betrieb im Netzwerk wird durch eine spezielle Staking-Transaktion des Server-Betreibers erreicht, bei der ein Betreiber eine seinem Knoten zugewiesene Menge an Loki-Kryptowährung nachweislich sperren muss (ca. 18.550 Loki-Coins; entspricht 7.420 US-Dollar, Stand: 10.02.2020).

Quelle: Whitepaper Feb. 2020 (extern; PDF)

  • positiv: keine Telefonnummer zur Anmeldung oder Nutzung erforderlich
  • positiv: App ist quelloffen
  • positiv: keine Tracker in der Android-App feststellbar (40 Berechtigungen): Exodus (extern)
  • positiv: lt. webbkoll (extern) keine Cookies und keine Drittanfragen
  • negativ: keine deutsche Internetseite
  • negativ: Perfektes Vorwärtsgeheimnis („perfect forward secrecy/PFS“), Bestreitbarkeit und Selbstheilung wurden entfernt bzw. steht nicht zur Verfügung
  • negativ: Die Desktop-Anwendung ist nur eine weitere Electron-Anwendung mit all ihren Fehlern, wie z. B. dem Versuch, sich beim ersten Start mit gvt1.com zu verbinden
  • negativ: Session prahlt mit seinem eigenen Onion-Routing, aber es ist nicht möglich, einen eigenen Guard/Bridge-Relay oder einen anderen Proxy (z.B. zuerst durch Tor) in der App zu setzen. Das war’s mit den Metadaten zur Verwendung von Session …
  • negativ: Der generierte Schlüssel basiert auf einem 13-Wörter-Seed, es gibt keine Option, diesen zu erhöhen
  • negativ: Die Erstellung eines Alias’ kann nicht übersprungen werden, was die Sicherheit gegen Social-Engineering-Attacken und die Erstellung anonymer Accounts erschwert, besonders für neue Nutzer
  • negativ: Keine Möglichkeit, mehrere Konten gleichzeitig zu verwenden oder mehrere Sitzungsinstanzen gleichzeitig laufen zu lassen
  • negativ: Kein Schutz gegen Spam; das Konto muß gewechselt werden, wenn die ID bekannt wird
  • negativ: Man kann nicht einmal die Sprache manuell ändern (es wird automatisch die Sprache des Betriebssystems übernommen) -> Metadaten auf Bildschirmkopien
  • negativ: keine Sprach-/Videoanrufe
  • negativ: Die “Link-Vorschau”-Funktion wird im Quarkslab-Audit (extern) nicht erwähnt -> ist das Einschalten der Option bzw. die Nutzung sicher?
  • negativ: Loki Nodes (Knoten) speichern Nachrichten und Dateien
  • negativ: Einstieg in Kryptowährung „$OXEN“ -> keine Unabhängigkeit

Quelle u.a. für Infos: https://restoreprivacy.com/secure-encrypted-messaging-apps/session/ (extern; auch Kommentare lesen!)

Die Frage, warum die Funktion des perfekten Vorwärtsgeheimises entfernt wurde, wird von Session in deren FAQ so (extern) beantwortet:

Einfach ausgedrückt: Session mindert die gleichen Risiken wie PFS auf andere Weise. Durch die Erstellung vollständig anonymer Konten, das Onion-Routing und die Minimierung von Metadaten bietet Session in realen Szenarien einen ebenso wirksamen Schutz wie PFS, in einigen Fällen sogar einen besseren.

Zu Session gab es mal einen Tweet, in dem es darum ging, daß einer der Entwickler wohl eine große Nähe zum Rechtsextremismus hat. Das wurde dann kontrovers diskutiert, ob das etwas über die Software aussagt. Beim CCC wurde das auch kurz angesprochen: https://media.ccc.de/v/df93bf36-c048-4dea-ad2b-898ac3255cfa (extern) Weitere Meinung dazu: „What’s the deal with SESSION, Lokinet, $OXEN and LLARP“ (extern, englisch)

Eine weitere gute Seite mit Information zu Session ist privacyaffairs.com (extern).

Erklärung, was Session für das Onion-Routing verwendet und warum nicht Lokinet: getsession.org (extern)
Roadmap, aus der hervorgeht, dass die Lokinet-Integration noch nicht abgeschlossen ist: oxen.io (extern)
Quellcode für Desktop: https://github.com/oxen-io/session-desktop/releases (extern)
Projektseiten: https://getsession.org (extern), https://oxen.io/ (extern)

Signal

zentral unfrei kostenlos Signal wird zwar von Edward Snowden empfohlen - ist jedoch auch umstritten.

Genauso wie WhatsApp ist Signal defacto ein geschlossenes System, nutzt auch ausschließlich Telefonnummern für die Registrierung, verwendet die selbe Verschlüsselung und hat den Firmensitz ebenfalls in den Vereinigten Staaten von Amerika (USA).

  • positiv: keine Tracker in der Android-App feststellbar (68 Berechtigungen): Exodus (extern)
  • positiv: Ergebnisse bei webbkoll (extern): 0 Cookies, KEINE Drittanfragen
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: der Desktop-Client basiert auf Electron
  • negativ: Telefonnummer für Anmeldung und Nutzung erforderlich
  • u.v.m.

Mehr Informationen: >> hier <<

Projektseite: https://signal.org (extern)

Slack

zentral unfrei teilweise kostenfrei Nicht für Privatpersonen, sondern insb. für Firmen gedacht.

Für die Kommunikation in Arbeitsgruppen konzipiert (Groupware). Lt. Wikipedia (extern) scheint Slack ausgiebig Tracking- und Analyse-Tools zu verwenden.

  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: nur eingeschränkte Grundversion ist kostenlos
  • negativ: lt. webbkoll (extern) 6 Cookies; 2 von Dritten; 69 (!) Drittanfragen (third-party) u.a. an Google, Youtube, … auf der Internetseite

Projektseite: https://slack.com/intl/de-de/pricing (extern)

Speek

dezentral frei kostenlos Fragwürdige Kopie von Ricochet Refresh

Speek basiert auf Ricochet Refresh. Während das Original darauf getrimmt wird, daß Dinge sauber und sicher funktionieren, fokusiert sich Speek auf eine „bessere“ Bedienung/Benutzeroberfläche.

  • positiv: quelloffene App
  • positiv: nutzt TOR
  • negativ: Fragwürdige Kopie von Ricochet-Refresh
  • negativ?: nutzt Telegram als öffentlichen Chatraum

So wie es aussieht, muß Speek mit Vorsicht betrachtet werden, denn der Entwickler von Ricochet-Refresh hat folgende (Warn-)Hinweise gegeben:

kurz: Speek.App ist buchstäblich nur eine Neuauflage von Ricochet-Refresh mit ein paar skizzenhaft implementierten Patches oben drauf und der Ricochet-Refresh-Git-Verlauf wurde entfernt. Bitte lassen Sie sich nicht von geschicktem Marketing und lila Webseiten täuschen. Wenn Ihre Sicherheit ein echtes Anliegen ist (z.B. wenn Sie ein Aktivist oder ein Whistleblower sind), benutzen Sie Speek.App nicht. Für alle anderen gilt: YOLO.

lange Version: Speek.App ist ein Fork einer Entwicklerversion von Ricochet-Refresh, die irgendwann im Oktober 2021 veröffentlicht wurde. Sie haben den Stil aktualisiert (dunkler Modus-Skin, optimierte Symbolleisten, Hintergründe usw.) und einige ziemlich schlecht implementierte Funktionen hinzugefügt (schlecht in dem Sinne, dass die Code-Änderungen dilettantisch und fehlerhaft sind, nicht dass die Verbesserungen der Benutzerfreundlichkeit an sich eine schlechte Idee sind). Ich habe die Änderungen vor ein paar Wochen einer leichten Prüfung unterzogen, und obwohl es nichts gibt, was als Hintertür oder Kryptographie-Scheiße oder ähnliches auffällt, sind die Änderungen sehr schlecht implementiert (etwa wie im ersten Jahr der Uni, wenn ich großzügig bin). Sie haben auch fast alle Verweise auf Ricochet-Refresh und die Organisation Blueprint for Free Speech (die Non-Profit-Organisation, die Ricochet-Refresh durch Zuschüsse unterhält) entfernt.

Quelle: awsomealternatives.org (extern)

Trotz ihrer Auslassungen basiert Speek.App auf Ricochet-Refresh. Der normale Weg wäre, einen Klon eines Git-Repos zu erstellen und einen neuen Zweig mit den eigenen Commits zu beginnen. Stattdessen hat das Speek.App-Team den Code in ein neues Git-Repository kopiert und einen großen “Initial Commit” erstellt. Ich überlasse es der Community, darüber zu spekulieren, ob dies auf Böswilligkeit oder Inkompetenz zurückzuführen ist.

Nebenbemerkung (Sie können diesen Absatz überspringen, wenn Sie kein Turbo-Nerd sind): Ein Nebeneffekt dieses Ansatzes ist, dass sie im Wesentlichen den gesamten Quellcode der (inzwischen alten) Version von tor (die Ricochet-Refresh für ed25519-Verschlüsselungsprimitive verwendet) und der fmt-Bibliothek (die wir für die Debug-Protokollierung verwenden, die nur durch ein Kompilierzeit-Flag aktiviert wird, das in unseren offiziellen Versionen nicht gesetzt ist) kopiert haben. Wir binden diese externen Abhängigkeiten als Git-Submodul ein, was im Grunde ein Soft-Link zu einem externen Git-Repository ist, um das Aktualisieren von Versionen zu erleichtern (zum Beispiel, wenn wir eine neue Funktion benötigen oder wenn ein kritischer Fehler behoben wurde). Beim Kopieren und Einfügen wird dieser Link zerstört, so dass die Version von tor im Speek.App Repo nun mehrere Monate alt ist.

… das Fazit ist, dass man Speek.App nicht benutzen sollte, wenn man sich um seine Anonymität und Sicherheit sorgt. Ich habe nichts aktiv Bösartiges gefunden (z.B. Hintertüren, gebrochene Krypto, etc.). Was jedoch die Qualität des Codes angeht, so sind die neuen Funktionen sehr amateurhaft implementiert und enthalten mit ziemlicher Sicherheit Bugs, wenn nicht sogar Sicherheits- oder Datenschutzlücken. Ich bin mir sicher, dass ein unerschrockener Sicherheitsforscher, der ein wenig Zeit hat, etwas Interessantes rund um die RichTextBox-Nutzung finden kann ;)

Wie auch immer, es wäre schön, wenn ihr (Speeek.App) zumindest die AUTHORS.md Datei wiederherstellen würdet :)

Quelle: reddit.com (extern)

Projektseite: https://speek.network (extern)

Sphinx

dezentral frei kostenlos? Kryptowährung „bitcoin“

Wieder mal einer, bei dem es um leichtes Geldverdienen für alle geht: „Earning is the key that starts the flywheel. Speech and assembly support decentralized earning.“

  • positiv: quelloffen
  • positiv: dezentral
  • negativ: Kryptowährung „bitcoin“ -> keine Unabhängigkeit
  • negativ: keine deutsche Internetseite
  • negativ: kein Impressum
  • negativ: 3 Tracker (Bugsnag, Google Firebase Analytics, MixPanel) in der Android-App (21 Berechtigungen): Exodus (extern)
  • negativ: lt. webkoll (extern) HTTPS nicht als Voreinstellung, 18 Anfragen an 5 Hosts

Projektseite: https://sphinx.chat (extern)

Stashcat

zentral unfrei nicht kostenfrei Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht.

Stashcat ist auch die Basis von schul.cloud und nutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.

  • positiv: deutsche Internetseite; deutsche AGB
  • positiv: keine Cookies auf der Internetseite
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP- negativ: App ist nicht quelloffen
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: keine Einsicht in die Sicherheitsprüfungen (Audits)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: 2 Tracker (Google Firebase Analytics, Mapbox) in der Android-App (44 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 1 Drittanfrage (third-party) an Youtube auf der Internetseite

Mehr Informationen: >> hier <<

Status.im

dezentral frei kostenlos? Kryptowährung „Etherum“

Messenger mit Börse für digitales Geld („Crypto Wallet“). Sehr eng verwoben mit der Kryptowährung „Etherum“. Im Whitepaper (extern) steht als Überschrift: „The Status Network - A strategy towards mass adoption of Ethereum“

  • positiv: keine Tracker in der Android-App feststellbar (15 Berechtigungen): Exodus (extern)
  • positiv: dezentraler Dienst (individuelle „Knoten“ (extern))
  • positiv: App (und Servercode?) ist quelloffen
  • positiv: deutsche Internetseite
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Einstieg in Kryptowährung „Etherum“ -> keine Unabhängigkeit
  • negativ: lt. webbkoll (extern) 24 Drittanfragen (third-party) auf der Internetseite

Status.im (Status Research & Development GmbH) aus der Schweiz hat sich mit über 99 Millionen (extern) an diversen Unternehmen beteiligt - unter anderem auch mit 10 Millionen Dollar an Matrix (mit 10 Mio. (jeweils 5 Mio) an Matrix.org und New Vector).

Messengervergleich von status.im: https://our.status.im/private-messengers-what-can-they-really-see (extern)
Quellcode: https://github.com/status-im (extern)
Projektseite: https://status.im/de/private-messenger (extern)

Teamwire

zentral unfrei kostenpflichtig Nicht für Privatpersonen, sondern insb. für Firmen gedacht.
  • deutsche Internetseite; deutsche AGB
  • positiv: Föderation zwischen unterschiedlichen Teamwire-Servern ist möglich https://teamwire.eu/produkt/backend-federation/ (extern)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: 2 Tracker (Amplitude, Google CrashLytics) in der Android-App (24 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 3 Cookies von Dritten und 28 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://teamwire.eu (extern)

Telegram

zentral unfrei kostenlos In der Kürze: Für private Kommunikation eher nicht geeignet.

Das privacy-handbuch.de hat Telegram neubewertet: https://www.privacy-handbuch.de/handbuch_74b.htm#20_12_20 (extern)

  • positiv: App ist quelloffen
  • positiv: lt. webbkoll (extern) KEINE Drittanfragen (third-party)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Servercode ist nicht quelloffen (proprietär) (extern)
  • negativ: zum Firmensitz gibt es unterschiedliche Angaben
  • negativ: erfordert die Telefonnummer zur Identifikation/Nutzung
  • negativ: Telefonnummern und Namen werden hochgeladen
  • negativ: Ende-zu-Ende-Verschlüsselung nicht voreingestellt
  • negativ: Keine Inhalt-Verschlüsselung in Gruppenchats möglich
  • negativ: Ende-zu-Ende-Verschlüsselung pro Gesprächspartner an ein Gerät gebunden (entweder Telefon oder Desktop oder Tablet oder …)
  • negativ: Abschaltung von Online- und Gelesen-Status nicht möglich
  • negativ: Kryptowährung (Telegram Coin „GRAM“) (mißglückter Versuch)
    Anscheinend wurden 1,7 Milliarden US-Dollar von Investoren in das Krypto-Netzwerk von Telegram investiert (Quelle (extern)) aber Info vom Mai 2020: Telegram stampft die Kryptowährung Gram und Blockchain-Plattform TON ersatzlos ein (extern).
  • negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (56 Berechtigungen): Exodus (extern)

Gefahr durch Einsicht in Telefonnummern bei Gruppen-Chats

Telegram, wird von prodemokratischen Aktivisten in Hongkong genutzt, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden fernzuhalten. Telegramm ist dort seit 2015 verboten, aber die Nutzer haben Abhilfe geschaffen. Leider ist (2019) ein gefährliches neues technisches Problem mit Gruppen-Messaging aufgetreten, das Telefonnummern einsehbar macht. Die Demonstranten behaupten, dass dies es den Regierungsbehörden bereits ermöglicht hat, Personen zu identifizieren und zu identifizieren.

Dieses spezielle Problem öffnet keine privaten Nachrichteninhalte und betrifft „nur“ öffentliche Gruppen. Aber es zeigt, was passieren kann, wenn die Behörden die Privatsphäre in sicheren Plattformen gefährden können. Und genau hier zeigt sich, worum es in der breiteren Debatte um Verschlüsselung geht und warum die Leidenschaft für dieses Thema so groß ist.

“Ich brauche Hilfe von @telegram”, tweete der lokale Softwareingenieur Chu Ka-Cheong. “Wir und mehrere Teams haben unabhängig voneinander eine schwerwiegende Schwachstelle bestätigt, die dazu führt, dass Telefonnummern an Mitglieder in öffentlichen Gruppen weitergegeben werden, unabhängig von der Privatsphäre. Telegramm wird in #hkprotest stark genutzt, es bringt HKers in unmittelbare Gefahr.”

Quelle: forbes.com (extern)

Mehr Informationen

Projektseite: https://telegram.org (extern)

TeleGuard

zentral unfrei kostenlos? Kein Sicherheitsaudit

Endlich wieder ein neuer Messenger als Insellösung und mit einem proprietären Protokoll - darauf hat die Welt gewartet! Und wieder mit tollen Versprechen:

  • FOKUS AUF PRIVATSPHÄRE
  • ENTWORFEN, UM DER PRIVATESTE MESSENGER DER WELT ZU SEIN
  • hoch verschlüsselt
  • Es werden KEINE MetaDaten und keine IP´s gespeichert
  • Um Ihren Account zu löschen, deinstallieren Sie die Anwendung einfach

… angeblich.

  • positiv: Aus der schönen Schweiz (von der Firma „Swisscows“)!
  • positiv: Telefonnummer nicht als Benutzerkennung
  • positiv: keine Tracker in der Android-App feststellbar (25 Berechtigungen): Exodus (extern)
  • positiv: lt. webbkoll (extern) keine Drittanfragen (third-party)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: proprietäres Protokoll
  • negativ: kein Sicherheitsaudit bekannt / kein Review der Implementierung durch eine unabhängige dritte Person
  • negativ: Verschlüsselung (außer „Salsa 20“) nicht nähers spezifiziert
  • negativ: kein Desktop-/Web-Client verfügbar

Datenspeicherung

Die Informationen der FAQ (extern) widersprechen sich. Aus FAQ #10:

Um Ihren Account zu löschen, deinstallieren Sie die Anwendung einfach. Auf dem Server bleibt nur die vergebene ID. Es werden keine weiteren Daten gespeichert.

Witzig, denn woher weiß der Anbieter nach „deinstallieren Sie die Anwendung einfach“, daß er noch gespeicherte Offlinenachrichten samt Metadaten löschen soll? Und andere können dann keine Nachrichten mehr an das Chatkonto senden? Aber gleich in FAQ #11 ist dann gleich von den auf dem Server gespeicherten Offline-Nachrichten die Rede:

Die Nachrichten werden nur so lange gespeichert bis sie zugestellt wurden. Nach der Zustellung werden diese sofort gelöscht.

Bei einer Löschung der Anwendung werden die Daten des Kontos sowie Metadaten und verschlüsselte Nachrichten für Offlinenachrichten also doch nicht gelöscht. Das passt irgendwie nicht zusammen.

Verschlüsselung

Besser als ein „komplexes Verschlüsselungssystem“ wäre ein für Interessierte nachvollziehbares und aktuelles Verschlüsselungssystem. Komplexität muß nicht positiv sein. Wobei zumindest lt. Wikipedia Salsa20 doch nicht so komplex ist, wie behauptet: „Salsa20 (auch Snuffle 2005) ist eine Stromverschlüsselung, … und beruht auf wenigen einfachen Operationen“ (extern). Es wären also doch ein paar mehr Details zur Implementierung sehr interessant.

Quellen:

dnip.ch: Wieviel Datenschutz steckt in TeleGuard? (extern) Spoiler: Nicht viel.
Projektseite: https://teleguard.com/de (extern)

Threema

zentral unfrei kostenpflichtig Die „beste unfreie“ Lösung (wenn man das so sagen kann)

Die App ist inzwischen quelloffen, was auch die Kryptographie einschließt. Diese ist zusätzlich auch noch in einem Whitepaper (extern) dokumentiert. Im Gegensatz zu Signal plant Threema übrigens kein Krypto-Bezahlsystem, was sehr vernünftig erscheint:

Nein, wir arbeiten nicht an einem entsprechenden Feature, und mit Threema wird es auch in Zukunft nicht möglich sein, Zahlungen zu tätigen – aus gutem Grund.” Und: “Unserer Ansicht nach ist sicheres Messaging daher nicht mit Zahlungsabwicklungen vereinbar.

  • positiv: quelloffene App mit Dokumentation
  • positiv: funktionierendes und transparentes Geschäftsmodell
  • positiv: keine Kryptowährung oder Online-Bezahlsysteme geplant!
  • positiv: mehrgerätefähig
  • positiv: unabhängig von Telefonnummer als Kennung
  • positiv: Angepasste Version Threema Libre für Android setzt keine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraus
  • unklar: Tracker in Android-App „Threma“ (da Bezahlversionen nicht von Exodus geprüft werden können). Aber keine Tracker in der Android-App „Threma work“ feststellbar (36 Berechtigungen): Exodus (extern)
  • positiv: lt. webbkoll (extern) keine Cookies Dritter und keine Drittanfragen (third-party)
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: Servercode ist nicht quelloffen
  • negativ: keine native Desktop-App

Es gibt einen inoffiziellen Desktop-Client (extern), der auf Electron basiert.

Meinung von Threema über sich selbst: „Was macht Threema besser als alle anderen Messenger?“ (extern)

Datenschutz

Threema wird von mehreren Aufsichtsbehörden als datenschutzrechtlich sehr gut eingestuft, auch der LfDI Herr Dr. Brink hat die Einführung ausdrücklich begrüßt (https://www.baden-wuerttemberg.datenschutz.de/lfdi-gute-entscheidung-fuer-threema-schulen-brauchen-mehr-orientierung/). Die staatliche schweizer Agentur Educa.ch hat eine Liste „Messenger-Dienste für den Einsatz im Bildungskontext“ (extern; PDF) veröffentlicht, in der Threema ebenfalls gut abschneidet.

Finanzierung

Im Jahr 2020 ist der Investor Afinum (extern) bei Threema eingestiegen: https://threema.ch/de/blog/posts/open-source-und-neuer-partner (extern)

Verschlüsselung

Bei Threema ist die Ende-zu-Ende Verschlüsselung standardmäßig aktiviert. Im Dezember 2022 hat Threema das neue Verschlüsselungs-Protokoll „Ibex“ eingeführt, welches einige Schwächen beseitigt und auch in die Zukunft gerichtete Sicherheit (Forward Secrecy) bietet. Das wird ermöglicht durch einen für jede Nachrichtenübermittlung ein eigener Sitzungsschlüssel (Session Key) ausgehandelt wird.

Zukünftig soll das Ibex-Protokoll standardmäßig aktiviert werden. Aktuell ist es noch nötig, das Ibex-Protokoll für jeden Chat einzeln auf beiden Seiten der Kommunikation zu aktivieren. Dafür muss man die Einstellungen eines Chats durch tippen auf die Kopfleiste öffnen und im Abschnitt „Privatsphäre“ die Option „Perfect Forward Secrecy“ aktivieren.

Die Aktivierung des Protokolls wirkt sich nur auf versendete Nachrichten aus. Auch die Gegenseite sollte es aktivieren, damit beide Richtungen optimal geschützt sind.

Quellen:

Projektseite: http://threema.ch (extern)

Threema Libre

Mit „Threema Libre“ gibt es eine angepasste Version für den Android-App-Store F-Droid, bei der alle proprietären Softwarebibliotheken von Google oder anderen Drittanbietern entfernt sind. Threema stellt hierfür ein separates F-Droid-Repo zur Verfügung, was vor der Installation in der F-Droid-App hinzugefügt werden muß. Des Weiteren wird eine Lizenz benötigt, die im Threema-Shop gekauft werden muß. Das Lizenzmodell ist nicht Kunden- sondern App-bezogen. Bezüglich der Verwendung von Lizenzen aus dem Playstore für die Google-freie Version hat Threema formuliert:

Da wir über Google Play erworbene Lizenzen nicht verifizieren können, lässt sich Threema damit nicht in unserem Shop / F-Droid herunterladen. Wenn der Kauf aber weniger als ein Jahr zurückliegt, kann ich Ihnen gerne eine Rückerstattung anbieten, und Sie können eine Lizenz über unseren Shop erwerben. Bei Käufen, die mehr als ein Jahr zurückliegen, ist eine Rückerstattung aufgrund von Einschränkungen seitens Google Play leider nicht möglich. Wenn Sie eine Rückerstattung wünschen, erstellen Sie bitte zuerst ein Daten-Backup und senden uns danach die Google Play-Rechnungsnummer zu.

… Vermutlich gilt das für alle Kunden.

Einschränkungen im Vergleich zur PlayStore-Version:

  • Push: Googles Push-Service „firebase cloud messaging (fcm)“ funktioniert nicht, es wird „Threema-Push“ verwendet.
    Infos dazu aus dem Quellcode: Github (extern)

  • Emojies: Es sind keine integrierten Emojies verfügbar. Statt dessen werden die des Systems angezeigt/verwendet (je nach Android-Version ggfs. über langes Drücken der Eingabetaste zu erreichen)
    Infos dazu aus dem Quellcode: Github (extern)

  • Google Sprachassistent funktioniert nicht.

Weitere Einschränkungen gefunden/festgestellt? Diese gerne melden: >> Kontakt <<

Allgemeine Infos zu Push-Diensten wie FCM/GCM: Kuketz (extern)
Infos zur Bau (Compilieren) der App: Github (extern)
Datensicherung: https://threema.ch/de/faq/data_backup (extern)
Installation: Threema (extern)

Threema work

  • positiv: keine Tracker in der Android-App „Threma work“ feststellbar (36 Berechtigungen): Exodus (extern)

Da viele auch im beruflichen/schulischen Umfeld ein privates Smartphone verwenden, sollte jeder Nutzer von Threema Work noch folgende Punkte bei der Installation beachten bzw. für sich entscheiden:

  1. Hinterlegen der Telefonnummer
    Empfehlung: Nicht hinterlegen, denn die hinterlegte Telefonnummer wird auch externen Kontakten (und damit natürlich auch Eltern und Schülern) angezeigt.
  2. Hinterlegen der E-Mail-Adresse
    Empfehlung: Nur die berufliche/schulische E-Mail-Adresse hinterlegen - keine private E-Mail-Adresse.
  3. Freigeben des Adressbuchs / der Kontakte
    Empfehlung: Nicht freigeben, da die App auf dem privaten Smartphone läuft, würden durch die Freigabe auch private Kontakte importiert. Lehrkräfte z.B. sollten die schulischen Kontakt nur in Threema Work verwalten.

Die Einstellungen können auch nach der Ersteinrichtung noch unter „Mein Profil“ geändert werden und dort kann das eigene Profil zudem weiter personalisiert werden.

Für Schulen gilt: Private Smartphones von Lehrkräften für die Nutzung von Threema Work müssen in die Geräteliste auf dem „Formular zur Nutzung privater DV-Geräte“ (extern) aus der “VwV Datenschutz an öffentlichen Schulen” aufgenommen und genehmigt werden!

TikTok

zentral unfrei kostenlos TikTok liest automatisch die Kontaktliste bzw. das Telefonbuch aus.
  • negativ: eigentlich alles (extern)
  • negativ: 5 Tracker in der Android-App (67 Berechtigungen): Exodus (extern)
  • Abfrage per webbkoll (extern) nicht möglich

Vorsicht bei TikTok

Auf verschiedenen Seiten wird auf Probleme hinngewiesen bzw. wird vor der Nutzung sogar gewarnt:

Projektseite: https://www.tiktok.com (extern)

Viber

zentral unfrei kostenlos Datenkrake

Viber gehört dem japanischen multinationalen Großkonzern „Rakuten“. Der Firmensitz von „Viber Rakuten“ ist in Luxemburg und die technische Entwicklung findet in Weißrußland statt.

Viber speichert (wie WhatsApp) u.a. Daten aus dem Geräte-Adressbuch - und zwar auch von Nichtnutzern. Dadurch wird ein sehr genauer Einblick in das soziale Umfeld ermöglicht. Woher man weiß, ob einer seiner Kontakte Viber nutzt und man ungefragt für Auswertungszwecke mißbraucht wird? Gar nicht. Aber man kann zumindest einen Antrag stellen, daß das nicht gemacht werden soll:

Wenn Sie kein Viber-Nutzer sind und nicht wünschen, dass Ihre Rufnummer aufgenommen wird, dann kontaktieren Sie uns bitte unter: https://help.viber.com/en/contact (extern)

  • positiv: weit verbreitet - insbesondere in Ost-Europa und Rußland
  • positiv: deutsche Internetseite, Nutzungsbedingungen und Datenschutzerklärung (extern)
  • positiv: Nicht-Viber-Benutzer können zu günstigen Preisen international angerufen werden
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: maximale Vorhaltedauer zur Abholung von Nachrichten ist 2 Wochen
  • negativ: Mindestalter: 13 Jahre
  • negativ: Werbeeinblendungen
  • negativ: Telefonnummer für Anmeldung und Nutzung erforderlich
  • negativ: Serverstandort unbekannt (einzig entdeckter Hinweis: In Minsk, Weißrussland sind auch Systemadministratoren beschäftigt)
  • negativ: Firmensitz unklar (Israel, Weißrussland, Zypern, New York?)
  • negativ: Daten werden mit Rakuten Inc. sowie allen Tochterunternehmen (extern) geteilt
  • negativ: Daten werden mit vielen Werbepartnern und Servicedienstleistern (extern; PDF) geteilt
  • negativ: intensives Tracking (extern; PDF)
  • negativ: Speicherung von Finanzdaten, die durch Zahlungsdienste, Abonnemonts oder Käufe entstehen
  • negativ: Speicherung von Daten aus anderen Quellen und vermutete Daten (vermutetes Geschlecht, vermutete Interessen, Einkommen, Standort, Charaktermerkmale, Präferenzen, …)
  • negativ: Erfassung auch von Nichtnutzern (Name und Mobilnummer) aus dem Adressbuch
  • negativ: keine externe Überprüfung des Quellcodes möglich (Quellcode ist Firmengeheimnis)
  • negativ: keine unabhängige Sicherheitsprüfung (security audit)
  • negativ: 7 Tracker (Adjust, Braze, Google AdMob, Google CrashLytics, Google Firebase Analytics, MixPanel, TwitterMoPub) in der Android-App (66 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 18 Drittanfragen (third-party) auf der Internetseite

Zur Datensammelei und zur Geheimniskrämerei in Bezug auf die Firma:

Viber verpackt das Datensammeln im Marketing sehr geschickt:

Wir können und werden die von dir geteilten Inhalte nicht verkaufen

… die Inhalte sind aber für kaum ein Unternehmen interessant - wohl aber kann Viber die viel wertvolleren Metadaten nutzen und erfolgreich verkaufen!

Viber sammelt massenhaft Daten ihrer Nutzer. Die Firma selbst gibt sich äußerst zugeknöpft.
Eine Sprecherin siedelt Viber überall und nirgends an.

Quellen: https://www.zeit.de/2012/09/Telefonsoftware-Viber (extern), https://www.zeit.de/2012/09/Telefonsoftware-Viber/seite-2 (extern)

Zumindest Nutzer aus Kalifornien können Dank dem „California Consumer Privacy Act“ (CCPA) (Gesetz zum Verbraucherschutz) dem Verkauf ihrer Daten („Do Not Sell My Data“) widersprechen: https://support.viber.com/customer/portal/emails/new?type=CA (extern)

Leider gibt es kaum Informationen von/zu Viber selbst. Weder zur Firma, noch zum Standort der Server. Hier ein seltenes Interview mit executive officer Veronika Kesova (2017): https://productized.medium.com/inside-of-viber-office-in-minsk-belarus-17320ce4a922 (extern)

Wikipedia: https://en.wikipedia.org/wiki/Viber (extern)
Datenschutzerklärung: https://www.viber.com/de/terms/viber-privacy-policy (extern)
Projektseite: https://www.viber.com (extern)

WhatsApp

zentral unfrei kostenlos Oft in der öffentlichen Kritik wegen: Datenschutz und Privatsphäre

WhatsApp nutzt ausschließlich Telefonnummern für die Registrierung und als Benutzerkennung. Der Firmensitz liegt in den Vereinigten Staaten von Amerika (USA) und das Geschäftsmodell ist das Sammeln, Ergänzen/Anreichern und ‘Verkaufen’ von Metadaten.

Vor-/Nachteile in der Kürze:

  • positiv: extrem weit verbreitet - insbesondere in Europa und den USA
  • positiv: Bequeme Einrichtung durch automatischen Kontaktabgleich
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: Datenschutzbedenken und in der Folge Nutzungsverbot in vielen Bereichen (in Firmen, Bildungseinrichtungen, Verwaltung, …)
  • negativ: verwendet Telefonnummer als Benutzerkennung
  • negativ: 1 Tracker (Google Analytics) in der Android-App (56 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 19 Drittanfragen (third-party) auf der Internetseite
  • Tage, seit dem letzten Facebook-Skandal: https://dayssincelastfacebookscandal.com (extern)

Mehr Informationen: >> hier <<

Projektseite: https://whatsapp.com (extern)

Wickr

zentral unfrei kostenpflichtig Richtet sich an Unternehmenskunden (Wickr Pro und Wickr Enterprise)

Wickr ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.

  • positiv: Ende-zu-Ende-Verschlüsselung
  • positiv: kostenlose Testversion (Wickr Me)
  • negativ: keine deutsche Internetseite
  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: nur 10 Gruppenteilnehmer in kostenloser (eingeschränkter) Version (Wickr Me)
  • negativ: Dateiversand maximal 10 MB je Datei in der Basisversion (Wickr Me)
  • negativ: 3 Tracker (Bugsnag, Countly, Google Firebase Analytics) in der Android-App (20 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 3 Cookies von Dritten und 26 Drittanfragen (third-party) auf der Internetseite

Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wickr/ (extern; englisch)

Preise: https://wickr.com/product-tiers/ (extern)
Projektseite: https://wickr.com (extern)

Wire

zentral unfrei kostenpflichtig Richtet sich an Unternehmenskunden (Wire Enterprise und Wire Government)

Wire ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.

Wire speichert laut eigenen Angaben eine Datenbank mit einer „Klartextspeicherung von Threads zwischen Nutzern“ auf dem Server. „Damit können wir eine bessere User Experience sicherstellen, wenn mehrere Endgeräte genutzt werden - etwa, um Gesprächsverläufe mit anderen Endgeräten zu synchronisieren“, erklärte Wire.

Der Hauptsitz der Firma wurde im November 2019 in die USA verlegt (extern).

  • positiv: deutsche Internetseite; deutsche AGB
  • positiv: keine Cookies auf der Internetseite
  • positiv: Client und Server sind quelloffen (extern)
  • positiv: eigener Server für Geschäftskunden möglich
  • positiv: Clients für alle wichtigen Plattformen
  • positiv: offiziell auditiert (extern; Audit vom 08.02.2017; PDF)
  • positiv: es ist eine Schnittstelle zu standardisiertem Chat (XMPP) geplant = Interoperabilität
  • positiv: keine Tracker in der Android-App feststellbar (19 Berechtigungen): Exodus (extern))
  • negativ: zentraler Dienst (=Abhängigkeit)
  • negativ: noch keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: nur Telefonnummer oder E-Mail-Adresse als Benutzerkennung bzw. Identifizierungsmerkmal
  • negativ: Speicherung von Nachrichten im Klartext in Datenbanken
  • negativ: nur 5 Gruppenmitglieder in kostenloser (eingeschränkter) Version
  • negativ: keine Föderation von selbst betriebenen Servern mit anderen Wire-Servern
  • negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 25 Drittanfragen (third-party) auf der Internetseite

Interoperabilität

Ein Entwickler äußert sich im Oktober 2019 auf GitHub wie folgt:

Update: internal discussions around federation (between Wire servers as a first step) are happening. what would need to be done to implement: a) XMPP federation between Wire servers b) XMPP API between Wire servers and clients We have no plans to ever implement b) (to speak XMPP between Wire clients and Wire Servers.), or at least not in the next few years. So please don’t focus your efforts on that part. We plan to implement federation between Wire servers first. Whether that makes use of XMPP or not remains to be seen. …

Quelle: https://github.com/wireapp/wire-server/issues/631#issuecomment-541728717

Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wire/ (extern; englisch)

Preise: https://wire.com/de/preise (extern)
Projektseite: https://wire.com/de (extern)

WireMin

dezentral unfrei kostenfrei zu wenig Transparenz, Beta-Status, diverse Krypto-Währungen
  • positiv: 0 Tracker in der Android-App (26 Berechtigungen): Exodus (extern)
  • negativ: keine deutsche Internetseite
  • negativ: keine deutsche Datenschutzerklärung & AGB
  • negariv: keine deutsche Benutzteroberfläche der Apps (bisher lediglich Englisch und Russisch)
  • negativ: Apps sind nicht quelloffen
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: befindet sich noch in der Beta-Phase („We will release the design and/or reference code to the public when the initial version is stabilized.“)
  • negativ: keine Audio-/Video-Chats und -Konferenzen lt. FAQ (1:1 derzeit im Betastatus)
  • negativ: enge Verbindung mit Kryptowährungen
  • negativ: keine Angaben zum Entwickler, Team, Comunity, Adresse oder Land gefunden; Kontakt ist lediglich über eine Kontaktadresse bei Google (“…gmail.com) möglich.
  • negativ: lt. webbkoll (extern) 7 Drittanfragen (third-party) auf der Internetseite

WireMin bezeichnet sich selbst als “dezentrales, soziales Netzwerk”. Trotz daß verschiedener Open-Source-Code (extern) verwendet wird, ist der daraus gebaute Quellcode von WireMin nicht offen (nicht einsehbar). Ob das der Lizenz des verwendeten Quellcodes entspricht, muß an anderer Stelle geklärt werden. Für die Nutzung ist ein Mindestalter von 13 Jahren vorgeschrieben.

Punkte aus den FAQ (extern):

WireMin legt lt. angeblich Wert auf Datenschutz und Privatsphäre und meint, das durch sein Open-Source-Protokolldesign und die Implementierung von Anwendungen zu beweisen. Allerdings widerspricht diesem Grundgedanken die Verwendung einer E-Mail-Adresse bei Google (Gmail). Hier ist bekannt und in deren AGB dokumentiert, dass jeglicher Schriftverkehr (sowohl versendete als auch eingehende Nachrichten) von Google ausgewertet wird.

Es erfolgt anscheinend keine Datenspeicherung auf zentralen Servern - allerdings dafür auch nicht nur bei Kontakten (Freunden), sondern auch auf ‘zufälligen Geräten im Netzwerk’. Offlinenachrichten seien möglich - wo diese Zwischenspeicherung von Nachrichten jedoch geschieht, entzieht sich dem Einblick und der Kontrolle des Nutzers (aus Datenschutzsicht ist das nicht tragfähig):

Ihre Daten werden weitergegeben und auf den Geräten Ihrer Freunde und anderen zufälligen Geräten im Netzwerk gespeichert. Alle Daten sind durch starke Verschlüsselungsalgorithmen geschützt und können nur mit dem geheimen Seed des Besitzers abgerufen werden.

Nachrichten und Multimediadateien werden weitergeleitet und für 48 Stunden zwischengespeichert, so dass ein Offline-Empfänger Nachrichten von anderen empfangen kann, wenn er wieder online ist. Persönliche Daten, wie z. B. Kontaktlisten, werden so lange gespeichert, bis sie abgelaufen sind. Wenn Sie also ein Konto über einen längeren Zeitraum (z. B. mehrere Monate) nicht mehr nutzen, verschwinden alle Ihre Daten dauerhaft aus dem Netz.

Des Weiteren werden lt. FAQ einige neu entwickelte Protokolle eingesetzt zu denen es noch keine Erfahrungen/Audits gibt und die zudem bisher (warum?) noch nicht veröffentlicht wurden.

Gibt es neue Protokolle oder Technologien, die zum Aufbau von WireMin eingeführt werden?
Ja, und zwar eine ganze Menge!

Wir werden das Design und/oder den Referenzcode für die Öffentlichkeit freigeben, sobald die erste Version stabil ist.

Es gibt eine enge Verbindung und Unterstützung von sehr vielen Kryptowährungen - ob das bei einem sozialen Netzwerk zur Kommunikation im Fokus stehen sollte, wird in Frage gestellt:

„Derzeit unterstützen wir Bitcoin-Zahlungen über das Lightning Network und ETH-Zahlungen über das Ethereum Network. Andere bekannte Token, die den ERC-20-Standard verwenden, werden bald von WireMin unterstützt, wie USDT, USDC, SHIB, BNB, LEO, BAT, MKR, DAI, etc.“

Aus den Nutzungsbedingungen und schlecht einzuschätzen, da nicht nähers betrachtet:

„Unsere Apps können Ihnen den Zugriff auf, die Nutzung von oder die Interaktion mit Websites, Apps, Inhalten und anderen Produkten und Diensten von Drittanbietern ermöglichen.“

Fazit:
WireMin ist noch eine Baustelle mit vielen offenen Fragen und fehlender Transparenz.

Projektseite: https://wiremin.org (extern)

xx-Messenger

zentral unfrei kostenlos Kryptowährung „xx coin“

Ein auf den Cayman Islands (Steueroase) entwickeltes System, das auch TOR nutzt. Toll animierter und aufwendiger Internetauftritt aber Marketing-Geblubber ohne Ende. Außen hui und innen …

  • negativ: Kryptowährung „xx coin“
  • negativ: Nicht alles ist quelloffen, es gibt propritäre Elemente: „Metadaten-Schreddern ist eine proprietäre, xx-native Technologie, die verhindert, dass Nachrichten verknüpft oder entschlüsselt werden“
  • negativ: Mangelhafte und lieblose Übersetzung ins Deutsche z.B. „TP6T“ statt xx-Messenger, „Apfel“ statt Apple, „mit einer vollständig geschütztem digitalem Währung“, amerikanisches Datumsformat „01.25.2022“, „Nachdem Transaktionsdaten durch neutralisiert wurden xx cMixwerden Zahlungen an…“, „Kekse“ statt Cookies, …
  • negativ: kein Impressum
  • negativ: 2 Tracker (Google CrashLytics, Instabug) in der Android-App (8 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 51 (!) Drittanfragen (third-party) an 16 einzigartige Hosts u.a. an Google, cloudflare, vimeo, …

Projektseite: https://xx.network/de (extern)

Zoom

zentral unfrei kostenlos Oft in der öffentlichen Kritik wegen: Datenschutz und Privatsphäre

Zoom boomt und ist narrensicher zu bedienen - also für Narren gemacht?

  • negativ: zentraler Dienst (= Abhängigkeit)
  • negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
  • negativ: App ist nicht quelloffen
  • negativ: Servercode ist nicht quelloffen
  • negativ: insbesondere mangelhafter Datenschutz
  • negativ: regelmäßig neue Sicherheitslücken
  • negativ: Mindestalter für Nutzung ist 16 Jahre (keine Kinder/Jugendliche!)
  • negativ: hohe Kosten für die Allgemeinheit (Steuergelder)
  • negativ: maximal 40 Minuten je Konferenz bei kostenloser Version
  • negativ: Aufmerksamkeitstracking (Zoom überwacht seine Benutzer und meldet, wenn ein Konferenzteilnehmer das Videofenster mehr als 30 Sekunden nicht im Vordergrund hat)
  • negativ: Zoom verbirgt die Tatsache, dass man eine Konferenz betreten kann, ohne die Software installieren zu müssen
  • negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (35 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 30 Drittanfragen (third-party) auf der Internetseite

Über 6 Millionen Euro für Zoom?

… Rechnet man die Ausgaben der Hochschulen aus den Antworten zusammen, haben sie Zoom im Jahr 2020 insgesamt 2.764.771 Euro bezahlt. Überschlagen auf alle Hochschulen, zu denen keine Daten vorliegen, haben deutsche Hochschulen etwa 6,4 Millionen Euro an das US-Unternehmen gezahlt. …

Quelle: https://netzpolitik.org/2021/private-infrastruktur-fuer-die-lehre-so-viel-bezahlen-hochschulen-fuer-zoom (extern)

Vorsicht bei Zoom

Einzele Beispiele zu Betriebssystemen:

  • Mac: Update-Code in Zoom kann von Angreifern missbraucht werden, um beliebigen Code als root auszuführen: objective-see.com (extern; extern)
    „The ’S’ in Zoom, Stands for Security“
  • Windows: Link-Umwandlung in Nachrichten kann von Angreifern genutzt werden, um an Passwort des Windows-Benutzers zu kommen: arstechnica.com (extern; englisch)
  • Alle OS: Registrierte Nutzer mit der gleichen E-Mail-Domain sehen sich gegenseitig automatisch im Zoom-Adressbuch, außer Zoom kennt die Domain als shared hoster und hat sie auf einer Blacklist - vice.com (extern; englisch)

Macken in der Nutzung

  • Bildschirm teilen und dann das Fenster per Klick auf das X schließen bringt Zoom auf verschiedenen Plattformen zum Absturz
  • es ist unmöglich, HD-Auflösung zu erzwingen

Projektseite: https://zoom.us (extern) Datenschutzerklärung: https://explore.zoom.us/de/privacy/ (extern)


post mortem

Manche Dienste wurden schon eingestellt (was die Abhängigkeit von zentralen Systemen immer wieder verdeutlicht). Hierzu gehören:

Grape

dezentral unfrei Einstieg kostenfrei Einstellung: November 2021
  • positiv: eigene Server sind möglich (diese sind dann jedoch in sich geschlossene Systeme)
  • negativ: Allgemeine Geschäftsbedingungen nur auf englisch
  • negativ: 6 Tracker in der Android-App (38 Berechtigungen): Exodus (extern)
  • negativ: lt. webbkoll (extern) 9 Cookies von Dritten und 27 Drittanfragen (third-party) auf der Internetseite

Grape ist die Basis für den Untis Messenger (extern).

Pressemitteilung vom 17.11.2021: Grape ist nicht mehr

Mit Bedauern müssen wir bekannt geben, dass die UberGrape GmbH – die Firma hinter Grape – Insolvenz angemeldet hat. …

Quelle: https://www.grape.io/de/blog/grape-ist-nicht-mehr (extern; 17.11.2021)

Hoccer

zentral unfrei kostenlos Einstellung: Mai 2020

Über die Funktion „In der Nähe“ bzw. „Weltweit“ erhält man immer wieder anstößige, derbe aber „eindeutige“ Nachrichten von Fremden. Leider ist diese Funktion standardmäßig aktiviert und muß vom Nutzer aus deaktiviert werden. Deshalb erscheint mir Hoccer insbesondere nicht für Kinder oder Jugendliche geeignet!

  • positiv: Testsieger bei der Stiftung Warentest im August 2015
  • negativ: nicht quelloffen
  • negativ: nicht kinderfreundlich, da ominöse Kontakte durch Funktion “In der Nähe”

05/2020: Einstellung von Hoccer (extern)
Auf der Internetseite wurde/wird darüber informiert, daß der Messengerdienst “Hoccer” im Mai 2020 eingestellt wurde:

„… mit großem Bedauern müssen wir Euch mitteilen, dass wir den Dienst der beliebten Hoccer-App einstellen müssen. Die letzten Monate waren für unser gesamtes Team eine große Herausforderung. Die Auswirkungen von Corona haben letzten Endes leider auch uns sowohl auf Personeller, als auch auf Sponsoren Ebene getroffen, so dass wir schweren Herzens „Hoccer“ nun abschalten müssen. Bis zuletzt haben wir versucht unseren Messenger aufrecht zu erhalten, um Euch eine bestmögliche Plattform für eine sichere Kommunikation zu gewährleisten. Wie Ihr Euch vorstellen könnt, war dies mit hohen Kosten verbunden, die wir nur über Firmenkooperationen und Sponsoren in den letzten Jahren abdecken konnten. Durch diesen Wegfall innerhalb der Corona-Krise bleibt uns dementsprechend keine andere Wahl. Wir danken Euch für Eure treue Nutzung unserer App und hoffen, dass Ihr eine passende Alternative finden werdet, die weiterhin Eure Privatsphäre schützt. …“
(Stand: Mai 2020 / 20.07.2020)

Messenger Lite

zentral unfrei kostenlos Einstellung: September 2023
  • negativ: nicht quelloffen

Nach sechs Jahren zieht Meta den Stecker beim Messenger Lite. Der Dienst ging im April 2017 in Deutschland als abgespeckte Alternative zum Facebook Messenger an den Start, den es bereits seit 2011 gibt. Im Vergleich zu dem umfangreichen Programm benötigt die Lite-Version nicht nur deutlich weniger Speicherplatz auf dem Smartphone, sie reagiert aufgrund ihrer schlankeren Struktur auch etwas schneller. Im Google Play Store bzw. Apple App Store wurde der Dienst eher mäßig bewertet – jeweils mit 3,8 (Google) bzw. 3,9 (Apple) von 5 Sternen. Nutzer bemängelten vor allem die schlechter werdende Performance nach Updates sowie teils eingestellte Funktionen.

Quelle: Techbook.de 09/2023: Einstellung von Messenger Lite (extern)
Andere: https://techcrunch.com/2023/08/24/meta-is-shutting-down-messenger-lite-for-android-in-september (extern, englisch)

Privalino

zentral unfrei Kosten Einstellung: September 2019
  • Der „Kindermessenger“ Privalino ist ein Telegram-Klon mit weiteren Einschränkungen; alle Nachrichten werden im Klartext gespeichert und ausgewertet.
  • Er ist nur mit Mobilnummern nutzbar - es sind keine Festnetznummern möglich (das ist z.B. bei WhatsApp möglich)

Einstellung von „Privalino“ (extern) u.a. aufgrund Datenschutz und DSGVO zum September 2019:

„… Letztendlich konnten wir aber nicht genügend Eltern für unsere Idee begeistern. …“


Zusatzinformationen

Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung