| |
Neben dem Platzhirsch WhatsApp gibt es noch unzählige andere Anbieter, die auch ein Stück vom Kuchen haben wollen und ihre eigenen Inseln als Paradies anpreisen.
„Insel“ ist in diesem Zusammenhang tatsächlich auch als solche zu verstehen: Es handelt sich um Insellösungen, die durch das bewußte Ausschließen bzw. Abgrenzen von anderen Systemen Nutzer an sich binden wollen. Deshalb sollte generell hinterfragt werden:
Bei allen unten aufgeführten zentralen Messengern ist ein Sammeln und Auswertung von Metadaten möglich bzw. wird aktiv genutzt. Metadaten sind nicht die eigentlichen Inhalte der Nachrichten, sondern beziehen sich auf das Umfeld. Deshalb ist es in diesem Zusammenhang auch unerheblich, ob die Kommunikation verschlüsselt ist oder nicht. Das wird oft übersehen.
Neben den „bekannteren“ Messengersystemen gibt es viele weitere seriöse und mit einem soliden Geschäftsmodell arbeitende Anbieter - aber auch eine unglaubliche Zahl ominöser Dienste, die kommen und gehen. Insbesondere muß man bei den Anbietern aufpassen, die viele Fachbegriffe verwenden und mit Superlativen um sich werfen, wie:
Die Krönung ist, wenn mit Privatsphäre geworben und dazu noch Discord als Kontaktmöglichkeit angeboten wird oder man eine Kryptowährung untergeschoben bekommt. In den Fällen loht sich definitiv kein zweiter Blick, denn in der Regel wollen die Leute dahinter genau das Gegenteil. Also aufgepasst, denn manche „wollen nur ihr/dein Bestes“ - konkret: Zugriff auf die persönliche Privatsphäre, Daten abgreifen, Geld schürfen/abschöpfen.
Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung
Digitale Gesellschaft:
Übersicht: https://www.digitale-gesellschaft.ch/messenger/bewertung.html (extern)
Zum Artikel: „WhatsApp, E-Mail, SMS & Co. auf Sicherheit und Nachhaltigkeit bewertet“ (extern)
Handbuch für Privatsphäre:
https://www.privacy-handbuch.de/handbuch_74.htm (extern)
Anforderungen an „sichere“ Messenger (Mike Kuketz):
https://www.kuketz-blog.de/conversations-sicherer-android-messenger (extern)
Querverweise/Empfehlungen:
| dezentral | frei | kostenfrei | Beta-Status / keine aktive Weiterentwicklung |
Vergleicht sich selbst mit Reddit/Twitter, Mastodon, Secure Scuttlebutt. Beim Vergleich (extern) ist kein „klassischer“ P2P-Messenger dabei. Auf den ersten Blick schöner Internetauftritt.
Noch zum Protokoll “Mim” (extern) und der Entwicklung (extern; Stand 2019?):
Heads up: this documentation is currently a work in progress - it is being made public as part of a product that is actively being built. There is no guarantee of a stable API.
0.1 DRAFT First public documentation of the protocol in draft form. This document is made available so as to enable discussion, and it not ready for use.
Projektseite: https://getaether.net (extern)
| zentral | unfrei | nicht kostenfrei | Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht. |
Die Lösung von Abraxas ist (wie Stashcat) lediglich als geschlossenes System zu lizensieren und kann nur als Inselsystem genutzt werden.
Föderale Ebenen / offene Fachapplikationen / löst alle Schnittstellenfragen:
Abraxas pflegt und entwickelt Software-Lösungen für öffentliche Verwaltungen aller föderalen Ebenen und für Organisationen im staatlichen Umfeld. Auf Basis moderner Technologien konzipieren und bauen unsere Ingenieure und Entwickler moderne Applikationen für Steuer- und Strassenverkehrsämter, Gemeinden, Polizeikorps, Organe der Rechtspflege, die Berufsbildung, das Personalwesen und Kommunalwerke.
Um den hohen Ansprüchen der Anwender an offene, leistungsfähige und praxistaugliche Fachapplikationen gerecht werden zu können, deckt Abraxas alle Handlungsfelder des modernen Software-Engineerings ab – von Consulting und Requirements Engineering, über die Architektur und die Entwicklung von Software bis hin zur Projektleitung, Qualitätssicherung, Schulung und Support.
Abraxas übernimmt dabei die Leitung spezifischer Projekte, setzt notwendige Anpassungen bei Gesetzesänderungen automatisch um und stellt die Einbindung der Lösung in die Kundenumgebung sicher. Abraxas integriert die Daten und Prozesse von der Bevölkerung über die Gemeinden und Kantone bis zum Bund und löst alle Schnittstellenfragen – immer mit dem Ziel, die Digitalisierung zum Vorteil unserer Kunden und deren Kunden voranzutreiben.
Quelle: https://www.abraxas.ch/de/loesungen/fachanwendungen (extern)
Auch für die Polizei: https://www.abraxas.ch/de/loesungen/fachanwendungen/polizei/instant-messenger-police (extern)
| dezentral | frei | kostenpflichtig | Kryptowährung „ADM“ |
Messenger auf der Basis der Blockchain-Technologie; „schöne“ Vergleichsmatrix (aus Sicht von Adamant) auch zu anderen P2P-Systemen.
Projektseite: https://adamant.im/#trade-adm (extern)
| dezentral | frei | kostenlos | Beta-Status |
Auch ein Open-Source-Projekt, das zwar mit Sicherheit/Privatsphäre wirbt („The privacy-first messaging app“), dann jedoch selbst „Discord“ nutzt und als Kontaktmöglichkeit anbietet. Eigentlich widerspricht sich das, denn im Fokus des P2P-Messengers stehen angeblich verschiedene sensible Berufsgruppen, Aktivisten und auch Geheimnisverräter:
Certain groups of people are at higher risk because of their activity: journalists, military personnel, government officials, activists, corporate members, lawyers, whistleblowers. Berty was designed with them in mind.
Bertys Messengervergleich (extern)
Projektseite: https://berty.tech (extern)
| zentral ° | unfrei | Einstieg kostenfrei | ° dezentral möglich aber: Server ohne Föderation |
Projektseite: https://www.chiffry.de/versionen (extern)
| dezentral | frei | kostenlos | Beta-Status |
Alle Daten werden verschlüsselt gespeichert und zwischen dem Gerät und einem „Amazon S3 bucket“ mittels einem P2P-Protokoll ausgetauscht. Verschiedene Dienstleister (Amazon, minio, wasabi, ..) bieten S3-kompatiblen Speicherplatz an, der jedoch auch selbst gehostet werden kann. Der Messenger „Stone-Age“ basiert auf Conversations - jedoch wurde das Kommunikationsprotokoll XMPP durch Cweb ausgetauscht.
Stone-Age: https://f-droid.org/packages/com.cweb.messenger (extern)
Projektseite: https://cweb.gitlab.io (extern)
| dezentral | frei | kostenlos | Beta-Status |
Auch eine P2P-Lösung, die TOR nutzt. Um in einem Peer-to-Peer-Gespräch zu chatten, müssen beide online sein.
Projektseite: https://cwtch.im (extern)
| zentral | unfrei | kostenlos | 'heftige' Nutzungsbedingungen |
Die Nutzungsbedingungen „terms of use“ (extern; ab 28.03.2022) des in der Computerspiele-Szene und bei Studenten gerne und oft genutzten Messengers lesen sich heftig, da Discord die Rechte für alle der dort geteilten Inhalte erhält:
Ihre Inhalte gehören Ihnen, aber Sie geben uns eine Lizenz dafür, wenn Sie Discord benutzen …
… Inhalte zu verwenden, zu kopieren, zu speichern, zu verteilen und zu kommunizieren … zu veröffentlichen, öffentlich aufzuführen oder öffentlich auszustellen … zu überwachen, zu verändern, zu übersetzen und neu zu formatieren, … Unterlizenzen zu geben …
(Stand 16.06.2022)
(Bis 28.03.2022 (extern): „Durch das Hochladen, Verbreiten, Übertragen oder anderweitige Nutzung Ihrer Inhalte im Rahmen des Dienstes gewähren Sie uns eine unbefristete, nicht exklusive, übertragbare, gebührenfreie, unterlizenzierbare und weltweite Lizenz, Ihre Inhalte in Verbindung mit dem Betrieb und der Bereitstellung des Dienstes zu nutzen, zu hosten, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Werke zu erstellen, zu verteilen, auszuführen und zu präsentieren.“)
Projektseite: https://discord.com (extern)
| zentral | unfrei | kostenlos | Facebook Ireland Limited hat seinen Namen zum 04.01.2022 in Meta Platforms Ireland Limited geändert. |
Projektseite: https://www.facebook.com/games/fbmessenger_android (extern)
| zentral | unfrei | privat kostenlos | Eingestellt zum 31.12.2019 / fortgeführt ab Jan. 2020 von der „ginlo.net GmbH“ |
Der Messengerdienst SIMSme wurde im März 2019 von der Fa. Babbler übernommen und der Name in „ginlo“ geändert. Die Architektur ähnelt lt. Wikipedia (extern) angeblich der von GoldBug.
(Quelle: Wikipedia)
Dezember 2019: Beendigung …
Einstellung von „Ginlo“ (ehemaliger Post-Messenger „SIMSme“ auf Grund Insolvenz der Brabbler AG zum Jahresende 2019.
„… Falls Sie noch Bilder, Videos, Dateien etc. aus ginlo herunterladen möchten, bitte gleich erledigen. Denn all Ihre verschlüsselten Inhalte, Metadaten und personenbezogenen Daten werden spätestens zu Ende Dezember unwiederbringlich gelöscht. …“
Januar 2020: Fortführung/Übernahme …
„Im Januar dieses Jahres hat der Brabbler-Mitgründer Karsten Schramm das Projekt ginlo aus der Insolvenz der Brabbler AG übernommen und in die neu gegründete ginlo.net GmbH überführt.“
Quelle: Pressemitteilung vom 14.07.2020 (extern; PDF-Datei)
Projektseite: https://www.ginlo.net
| zentral | unfrei | kostenlos | keinerlei Verschlüsselung |
Im April 2020 wurde „ICQ“ von der Eigentümergruppe (Mail.ru) in „ICQ New“ umbenannt.
Bei den vom Betreiber ICQ Inc. am 7. Juni 2000 festgelegten Nutzungsregeln verzichtet der Benutzer auf alle seine geistigen Eigentumsrechte an den über den ICQ-Service zugänglich gemachten Daten
Quelle und mehr: https://de.wikipedia.org/wiki/ICQ (extern)
Projektseite: https://icq.com (extern)
| dezentral ° | frei | kostenlos | ° dezentral aber: Server ohne Föderation |
Der Internet Relay Chat, kurz IRC, zählt zu den ältesten Diensten und damit auch zum Chat-Urgestein des Internets. Dadurch ist die Software zwar sehr ausgereift, aber die Bedienung erfolgt immer noch über Textkommandos, was für Neueinsteiger schwer sein kann.
Externe Quellen:
| zentral | unfrei | nicht kostenfrei | Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht. |
Eine kommerzielle Plattform für Unternehmen, die verschiedene Inseln gleichzeitig mit Informationen “bedienen” wollen. Es sind dabei: WhatsApp, Instagram, Facebook Messenger, Apple Business Chat, Telegram, Viber, Notify, Webchat.
Querverweis: Sind Brücken und deren Nutzung legal?
Projektseite: https://www.messengerpeople.com/notify (extern)
| zentral | unfrei | Einstieg kostenfrei | Lockangebot |
Projektseite: https://olvid.io (extern)
| zentral ° | unfrei | Einstieg kostenfrei | ° dezentral möglich aber: Server ohne Föderation / Beta-Status |
Revolt Chat basiert auf einem eigenen, selbst entwickelten Protokoll und sieht sich selbst als Alternative zu Discord und Rocket Chat.
Warum es keine Föderation gibt? In den FAQ (extern) findet sich dazu eine Antwort:
From personal experience, I’ve generally found federated protocols to not be suitable for real time communication, Matrix is incredibly buggy at times and it’s left a sour taste in my mouth.
Die Antwort ist also in etwa: “zu kompliziert für uns, und es will eh keiner” - wenig überzeugend, denn scheinbar gibt es diesen Fragesteller ja doch, sonst wäre das keine oft gestellte Frage (FAQ).
Projektseite: https://revolt.chat (extern)
Entwicklerseite: https://developers.revolt.chat/api (extern)
| dezentral | frei | Eigenhosting kostenlos | ° dezentral aber: Server ohne Föderation |
Teammessenger als Alternative zu Slack mit dem grundlegenden Ziel „Eigenhosting“.
| zentral | unfrei | nicht kostenfrei | Nicht für Privatpersonen, sondern für Bildungseinrichtungen gedacht. |
Nicht mit der „HPI Schul-Cloud“ zu verwechseln!
schul.cloud basiert auf Stashcat und benutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.
Mehr Informationen: >> hier <<
Projektseite: https://schul.cloud (extern)
| dezentral | frei | kostenlos | Kryptowährung „$OXEN“ |
Session (vormals unter dem Namen „Loki Messenger“ bekannt) ist ein Fork der Signal-App, der keine Telefonnummer zur Identifizierung verwendet, bei dem aber verschiedene Funktionen aus dem Protokoll entfernt wurden. Aktuell findet ein Wandel der Bezeichnung von „Loki“ zu „Oxen“ statt. Session verwendet Onion-Routing durch Oxen Service Nodes für den Transport und die “LOKI coin” ist zur “$OXEN” geworden.
Oxen über sich selbst (übersetzt):
Oxen ist vieles. Eine private Kryptowährung. Eine sichere Messaging-Plattform. Eine Netzwerk-Anonymitätsschicht. Werkzeuge, um eine privatere Zukunft für das Internet zu schaffen.
Die Messenger-App „Session“ ist eng mit der Kryptowährung „$OXEN“ (vormals: „LOKI coin“) verbunden (übersetzt):
Die Autorisierung eines Servers für den Betrieb im Netzwerk wird durch eine spezielle Staking-Transaktion des Server-Betreibers erreicht, bei der ein Betreiber eine seinem Knoten zugewiesene Menge an Loki-Kryptowährung nachweislich sperren muss (ca. 18.550 Loki-Coins; entspricht 7.420 US-Dollar, Stand: 10.02.2020).
Quelle: Whitepaper Feb. 2020 (extern; PDF)
Quelle u.a. für Infos: https://restoreprivacy.com/secure-encrypted-messaging-apps/session/ (extern; auch Kommentare lesen!)
Zu Session gab es mal einen Tweet, in dem es darum ging, daß einer der Entwickler wohl eine große Nähe zum Rechtsextremismus hat. Das wurde dann kontrovers diskutiert, ob das etwas über die Software aussagt.
Beim CCC wurde das auch kurz angesprochen: https://media.ccc.de/v/df93bf36-c048-4dea-ad2b-898ac3255cfa (extern)
Erklärung, was Session für das Onion-Routing verwendet und warum nicht Lokinet: getsession.org (extern)
Roadmap, aus der hervorgeht, dass die Lokinet-Integration noch nicht abgeschlossen ist: oxen.io (extern)
Quellcode für Desktop: https://github.com/oxen-io/session-desktop/releases (extern)
Projektseiten: https://getsession.org (extern), https://oxen.io/ (extern)
| zentral | unfrei | kostenlos | Signal wird zwar von Edward Snowden empfohlen - ist jedoch auch umstritten. |
Genauso wie WhatsApp ist Signal defacto ein geschlossenes System, nutzt auch ausschließlich Telefonnummern für die Registrierung, verwendet die selbe Verschlüsselung und hat den Firmensitz ebenfalls in den Vereinigten Staaten von Amerika (USA).
Mehr Informationen: >> hier <<
Projektseite: https://signal.org (extern)
| zentral | unfrei | teilweise kostenfrei | Nicht für Privatpersonen, sondern insb. für Firmen gedacht. |
Für die Kommunikation in Arbeitsgruppen konzipiert (Groupware). Lt. Wikipedia (extern) scheint Slack ausgiebig Tracking- und Analyse-Tools zu verwenden.
Projektseite: https://slack.com/intl/de-de/pricing (extern)
| dezentral | frei | kostenlos | Fragwürdige Kopie von Ricochet Refresh |
Speek basiert auf Ricochet Refresh. Während das Original darauf getrimmt wird, daß Dinge sauber und sicher funktionieren, fokusiert sich Speek auf eine „bessere“ Bedienung/Benutzeroberfläche.
So wie es aussieht, muß Speek mit Vorsicht betrachtet werden, denn der Entwickler von Ricochet-Refresh hat folgende (Warn-)Hinweise gegeben:
kurz: Speek.App ist buchstäblich nur eine Neuauflage von Ricochet-Refresh mit ein paar skizzenhaft implementierten Patches oben drauf und der Ricochet-Refresh-Git-Verlauf wurde entfernt. Bitte lassen Sie sich nicht von geschicktem Marketing und lila Webseiten täuschen. Wenn Ihre Sicherheit ein echtes Anliegen ist (z.B. wenn Sie ein Aktivist oder ein Whistleblower sind), benutzen Sie Speek.App nicht. Für alle anderen gilt: YOLO.
lange Version: Speek.App ist ein Fork einer Entwicklerversion von Ricochet-Refresh, die irgendwann im Oktober 2021 veröffentlicht wurde. Sie haben den Stil aktualisiert (dunkler Modus-Skin, optimierte Symbolleisten, Hintergründe usw.) und einige ziemlich schlecht implementierte Funktionen hinzugefügt (schlecht in dem Sinne, dass die Code-Änderungen dilettantisch und fehlerhaft sind, nicht dass die Verbesserungen der Benutzerfreundlichkeit an sich eine schlechte Idee sind). Ich habe die Änderungen vor ein paar Wochen einer leichten Prüfung unterzogen, und obwohl es nichts gibt, was als Hintertür oder Kryptographie-Scheiße oder ähnliches auffällt, sind die Änderungen sehr schlecht implementiert (etwa wie im ersten Jahr der Uni, wenn ich großzügig bin). Sie haben auch fast alle Verweise auf Ricochet-Refresh und die Organisation Blueprint for Free Speech (die Non-Profit-Organisation, die Ricochet-Refresh durch Zuschüsse unterhält) entfernt.
Quelle: awsomealternatives.org (extern)
Trotz ihrer Auslassungen basiert Speek.App auf Ricochet-Refresh. Der normale Weg wäre, einen Klon eines Git-Repos zu erstellen und einen neuen Zweig mit den eigenen Commits zu beginnen. Stattdessen hat das Speek.App-Team den Code in ein neues Git-Repository kopiert und einen großen “Initial Commit” erstellt. Ich überlasse es der Community, darüber zu spekulieren, ob dies auf Böswilligkeit oder Inkompetenz zurückzuführen ist.
Nebenbemerkung (Sie können diesen Absatz überspringen, wenn Sie kein Turbo-Nerd sind): Ein Nebeneffekt dieses Ansatzes ist, dass sie im Wesentlichen den gesamten Quellcode der (inzwischen alten) Version von tor (die Ricochet-Refresh für ed25519-Verschlüsselungsprimitive verwendet) und der fmt-Bibliothek (die wir für die Debug-Protokollierung verwenden, die nur durch ein Kompilierzeit-Flag aktiviert wird, das in unseren offiziellen Versionen nicht gesetzt ist) kopiert haben. Wir binden diese externen Abhängigkeiten als Git-Submodul ein, was im Grunde ein Soft-Link zu einem externen Git-Repository ist, um das Aktualisieren von Versionen zu erleichtern (zum Beispiel, wenn wir eine neue Funktion benötigen oder wenn ein kritischer Fehler behoben wurde). Beim Kopieren und Einfügen wird dieser Link zerstört, so dass die Version von tor im Speek.App Repo nun mehrere Monate alt ist.
… das Fazit ist, dass man Speek.App nicht benutzen sollte, wenn man sich um seine Anonymität und Sicherheit sorgt. Ich habe nichts aktiv Bösartiges gefunden (z.B. Hintertüren, gebrochene Krypto, etc.). Was jedoch die Qualität des Codes angeht, so sind die neuen Funktionen sehr amateurhaft implementiert und enthalten mit ziemlicher Sicherheit Bugs, wenn nicht sogar Sicherheits- oder Datenschutzlücken. Ich bin mir sicher, dass ein unerschrockener Sicherheitsforscher, der ein wenig Zeit hat, etwas Interessantes rund um die RichTextBox-Nutzung finden kann ;)
Wie auch immer, es wäre schön, wenn ihr (Speeek.App) zumindest die AUTHORS.md Datei wiederherstellen würdet :)
Quelle: reddit.com (extern)
Projektseite: https://speek.network (extern)
| dezentral | frei | kostenlos? | Kryptowährung „bitcoin“ |
Wieder mal einer, bei dem es um leichtes Geldverdienen für alle geht: „Earning is the key that starts the flywheel. Speech and assembly support decentralized earning.“
Projektseite: https://sphinx.chat (extern)
| zentral | unfrei | nicht kostenfrei | Nicht für Privatpersonen, sondern für Firmen und Behörden gedacht. |
Stashcat ist auch die Basis von schul.cloud und nutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.
Mehr Informationen: >> hier <<
| dezentral | frei | kostenlos? | Kryptowährung „Etherum“ |
Messenger mit Börse für digitales Geld („Crypto Wallet“). Sehr eng verwoben mit der Kryptowährung „Etherum“. Im Whitepaper (extern) steht als Überschrift: „The Status Network - A strategy towards mass adoption of Ethereum“
Status.im (Status Research & Development GmbH) aus der Schweiz hat sich mit über 99 Millionen (extern) an diversen Unternehmen beteiligt - unter anderem auch mit 10 Millionen Dollar an Matrix (mit 10 Mio. (jeweils 5 Mio) an Matrix.org und New Vector).
Messengervergleich von status.im: https://our.status.im/private-messengers-what-can-they-really-see (extern)
Quellcode: https://github.com/status-im (extern)
Projektseite: https://status.im/de/private-messenger (extern)
| zentral | unfrei | kostenpflichtig | Nicht für Privatpersonen, sondern insb. für Firmen gedacht. |
Projektseite: https://teamwire.eu (extern)
| zentral | unfrei | kostenlos | In der Kürze: Für private Kommunikation eher nicht geeignet. |
Das privacy-handbuch.de hat Telegram neubewertet: https://www.privacy-handbuch.de/handbuch_74b.htm#20_12_20 (extern)
Gefahr durch Einsicht in Telefonnummern bei Gruppen-Chats
Telegram, wird von prodemokratischen Aktivisten in Hongkong genutzt, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden fernzuhalten. Telegramm ist dort seit 2015 verboten, aber die Nutzer haben Abhilfe geschaffen. Leider ist (2019) ein gefährliches neues technisches Problem mit Gruppen-Messaging aufgetreten, das Telefonnummern einsehbar macht. Die Demonstranten behaupten, dass dies es den Regierungsbehörden bereits ermöglicht hat, Personen zu identifizieren und zu identifizieren.
Dieses spezielle Problem öffnet keine privaten Nachrichteninhalte und betrifft „nur“ öffentliche Gruppen. Aber es zeigt, was passieren kann, wenn die Behörden die Privatsphäre in sicheren Plattformen gefährden können. Und genau hier zeigt sich, worum es in der breiteren Debatte um Verschlüsselung geht und warum die Leidenschaft für dieses Thema so groß ist.
“Ich brauche Hilfe von @telegram”, tweete der lokale Softwareingenieur Chu Ka-Cheong. “Wir und mehrere Teams haben unabhängig voneinander eine schwerwiegende Schwachstelle bestätigt, die dazu führt, dass Telefonnummern an Mitglieder in öffentlichen Gruppen weitergegeben werden, unabhängig von der Privatsphäre. Telegramm wird in #hkprotest stark genutzt, es bringt HKers in unmittelbare Gefahr.”
Quelle: forbes.com (extern)
Mehr Informationen
Projektseite: https://telegram.org (extern)
| zentral | unfrei | kostenlos? | Kein Sicherheitsaudit |
Endlich wieder ein neuer Messenger als Insellösung und mit einem proprietären Protokoll - darauf hat die Welt gewartet! Und wieder mit tollen Versprechen:
… angeblich.
Datenspeicherung
Die Informationen der FAQ (extern) widersprechen sich. Aus FAQ #10:
Um Ihren Account zu löschen, deinstallieren Sie die Anwendung einfach. Auf dem Server bleibt nur die vergebene ID. Es werden keine weiteren Daten gespeichert.
Witzig, denn woher weiß der Anbieter nach „deinstallieren Sie die Anwendung einfach“, daß er noch gespeicherte Offlinenachrichten samt Metadaten löschen soll? Und andere können dann keine Nachrichten mehr an das Chatkonto senden? Aber gleich in FAQ #11 ist dann gleich von den auf dem Server gespeicherten Offline-Nachrichten die Rede:
Die Nachrichten werden nur so lange gespeichert bis sie zugestellt wurden. Nach der Zustellung werden diese sofort gelöscht.
Bei einer Löschung der Anwendung werden die Daten des Kontos sowie Metadaten und verschlüsselte Nachrichten für Offlinenachrichten also doch nicht gelöscht. Das passt irgendwie nicht zusammen.
Verschlüsselung
Besser als ein „komplexes Verschlüsselungssystem“ wäre ein für Interessierte nachvollziehbares und aktuelles Verschlüsselungssystem. Komplexität muß nicht positiv sein. Wobei zumindest lt. Wikipedia Salsa20 doch nicht so komplex ist, wie behauptet: „Salsa20 (auch Snuffle 2005) ist eine Stromverschlüsselung, … und beruht auf wenigen einfachen Operationen“ (extern). Es wären also doch ein paar mehr Details zur Implementierung sehr interessant.
Quellen:
dnip.ch: Wieviel Datenschutz steckt in TeleGuard? (extern) Spoiler: Nicht viel.
Projektseite: https://teleguard.com/de (extern)
| zentral | unfrei | kostenpflichtig | Die „beste unfreie“ Lösung (wenn man das so sagen kann) |
Die App ist inzwischen quelloffen, was auch die Kryptographie einschließt. Diese ist zusätzlich auch noch in einem Whitepaper (extern) dokumentiert. Im Gegensatz zu Signal plant Threema übrigens kein Krypto-Bezahlsystem, was sehr vernünftig erscheint:
Nein, wir arbeiten nicht an einem entsprechenden Feature, und mit Threema wird es auch in Zukunft nicht möglich sein, Zahlungen zu tätigen – aus gutem Grund.” Und: “Unserer Ansicht nach ist sicheres Messaging daher nicht mit Zahlungsabwicklungen vereinbar.
Es gibt einen inoffiziellen Desktop-Client (extern), der auf Electron basiert.
Meinung von Threema über sich selbst: „Was macht Threema besser als alle anderen Messenger?“ (extern)
Datenschutz
Threema wird von mehreren Aufsichtsbehörden als datenschutzrechtlich sehr gut eingestuft, auch der LfDI Herr Dr. Brink hat die Einführung ausdrücklich begrüßt (https://www.baden-wuerttemberg.datenschutz.de/lfdi-gute-entscheidung-fuer-threema-schulen-brauchen-mehr-orientierung/). Die staatliche schweizer Agentur Educa.ch hat eine Liste „Messenger-Dienste für den Einsatz im Bildungskontext“ (extern; PDF) veröffentlicht, in der Threema ebenfalls gut abschneidet.
Finanzierung
Im Jahr 2020 ist der Investor Afinum (extern) bei Threema eingestiegen: https://threema.ch/de/blog/posts/open-source-und-neuer-partner (extern)
Verschlüsselung
Bei Threema ist die Ende-zu-Ende Verschlüsselung standardmäßig aktiviert. Im Dezember 2022 hat Threema das neue Verschlüsselungs-Protokoll „Ibex“ eingeführt, welches einige Schwächen beseitigt und auch in die Zukunft gerichtete Sicherheit (Forward Secrecy) bietet. Das wird ermöglicht durch einen für jede Nachrichtenübermittlung ein eigener Sitzungsschlüssel (Session Key) ausgehandelt wird.
Zukünftig soll das Ibex-Protokoll standardmäßig aktiviert werden. Aktuell ist es noch nötig, das Ibex-Protokoll für jeden Chat einzeln auf beiden Seiten der Kommunikation zu aktivieren. Dafür muss man die Einstellungen eines Chats durch tippen auf die Kopfleiste öffnen und im Abschnitt „Privatsphäre“ die Option „Perfect Forward Secrecy“ aktivieren.
Die Aktivierung des Protokolls wirkt sich nur auf versendete Nachrichten aus. Auch die Gegenseite sollte es aktivieren, damit beide Richtungen optimal geschützt sind.
Quellen:
Projektseite: http://threema.ch (extern)
Mit „Threema Libre“ gibt es eine angepasste Version für den Android-App-Store F-Droid, bei der alle proprietären Softwarebibliotheken von Google oder anderen Drittanbietern entfernt sind. Threema stellt hierfür ein separates F-Droid-Repo zur Verfügung, was vor der Installation in der F-Droid-App hinzugefügt werden muß. Des Weiteren wird eine Lizenz benötigt, die im Threema-Shop gekauft werden muß. Das Lizenzmodell ist nicht Kunden- sondern App-bezogen. Bezüglich der Verwendung von Lizenzen aus dem Playstore für die Google-freie Version hat Threema formuliert:
Da wir über Google Play erworbene Lizenzen nicht verifizieren können, lässt sich Threema damit nicht in unserem Shop / F-Droid herunterladen. Wenn der Kauf aber weniger als ein Jahr zurückliegt, kann ich Ihnen gerne eine Rückerstattung anbieten, und Sie können eine Lizenz über unseren Shop erwerben. Bei Käufen, die mehr als ein Jahr zurückliegen, ist eine Rückerstattung aufgrund von Einschränkungen seitens Google Play leider nicht möglich. Wenn Sie eine Rückerstattung wünschen, erstellen Sie bitte zuerst ein Daten-Backup und senden uns danach die Google Play-Rechnungsnummer zu.
… Vermutlich gilt das für alle Kunden.
Einschränkungen im Vergleich zur PlayStore-Version:
Push: Googles Push-Service „firebase cloud messaging (fcm)“ funktioniert nicht, es wird „Threema-Push“ verwendet.
Infos dazu aus dem Quellcode: Github (extern)
Emojies: Es sind keine integrierten Emojies verfügbar. Statt dessen werden die des Systems angezeigt/verwendet (je nach Android-Version ggfs. über langes Drücken der Eingabetaste zu erreichen)
Infos dazu aus dem Quellcode: Github (extern)
Google Sprachassistent funktioniert nicht.
Weitere Einschränkungen gefunden/festgestellt? Diese gerne melden: >> Kontakt <<
Allgemeine Infos zu Push-Diensten wie FCM/GCM: Kuketz (extern)
Infos zur Bau (Compilieren) der App: Github (extern)
Datensicherung: https://threema.ch/de/faq/data_backup (extern)
Installation: Threema (extern)
Da viele auch im beruflichen/schulischen Umfeld ein privates Smartphone verwenden, sollte jeder Nutzer von Threema Work noch folgende Punkte bei der Installation beachten bzw. für sich entscheiden:
Die Einstellungen können auch nach der Ersteinrichtung noch unter „Mein Profil“ geändert werden und dort kann das eigene Profil zudem weiter personalisiert werden.
Für Schulen gilt: Private Smartphones von Lehrkräften für die Nutzung von Threema Work müssen in die Geräteliste auf dem „Formular zur Nutzung privater DV-Geräte“ (extern) aus der “VwV Datenschutz an öffentlichen Schulen” aufgenommen und genehmigt werden!
| zentral | unfrei | kostenlos | TikTok liest automatisch die Kontaktliste bzw. das Telefonbuch aus. |
Projektseite: https://www.tiktok.com (extern)
| zentral | unfrei | kostenlos | Datenkrake |
Viber gehört dem japanischen multinationalen Großkonzern „Rakuten“. Der Firmensitz von „Viber Rakuten“ ist in Luxemburg und die technische Entwicklung findet in Weißrußland statt.
Viber speichert (wie WhatsApp) u.a. Daten aus dem Geräte-Adressbuch - und zwar auch von Nichtnutzern. Dadurch wird ein sehr genauer Einblick in das soziale Umfeld ermöglicht. Woher man weiß, ob einer seiner Kontakte Viber nutzt und man ungefragt für Auswertungszwecke mißbraucht wird? Gar nicht. Aber man kann zumindest einen Antrag stellen, daß das nicht gemacht werden soll:
Wenn Sie kein Viber-Nutzer sind und nicht wünschen, dass Ihre Rufnummer aufgenommen wird, dann kontaktieren Sie uns bitte unter: https://help.viber.com/en/contact (extern)
Zur Datensammelei und zur Geheimniskrämerei in Bezug auf die Firma:
Viber verpackt das Datensammeln im Marketing sehr geschickt:
Wir können und werden die von dir geteilten Inhalte nicht verkaufen
… die Inhalte sind aber für kaum ein Unternehmen interessant - wohl aber kann Viber die viel wertvolleren Metadaten nutzen und erfolgreich verkaufen!
Viber sammelt massenhaft Daten ihrer Nutzer. Die Firma selbst gibt sich äußerst zugeknöpft.
Eine Sprecherin siedelt Viber überall und nirgends an.
Quellen: https://www.zeit.de/2012/09/Telefonsoftware-Viber (extern), https://www.zeit.de/2012/09/Telefonsoftware-Viber/seite-2 (extern)
Zumindest Nutzer aus Kalifornien können Dank dem „California Consumer Privacy Act“ (CCPA) (Gesetz zum Verbraucherschutz) dem Verkauf ihrer Daten („Do Not Sell My Data“) widersprechen: https://support.viber.com/customer/portal/emails/new?type=CA (extern)
Leider gibt es kaum Informationen von/zu Viber selbst. Weder zur Firma, noch zum Standort der Server. Hier ein seltenes Interview mit executive officer Veronika Kesova (2017): https://productized.medium.com/inside-of-viber-office-in-minsk-belarus-17320ce4a922 (extern)
Wikipedia: https://en.wikipedia.org/wiki/Viber (extern)
Datenschutzerklärung: https://www.viber.com/de/terms/viber-privacy-policy (extern)
Projektseite: https://www.viber.com (extern)
| zentral | unfrei | kostenlos | Oft in der öffentlichen Kritik wegen: Datenschutz und Privatsphäre |
WhatsApp nutzt ausschließlich Telefonnummern für die Registrierung und als Benutzerkennung. Der Firmensitz liegt in den Vereinigten Staaten von Amerika (USA) und das Geschäftsmodell ist das Sammeln, Ergänzen/Anreichern und ‘Verkaufen’ von Metadaten.
Vor-/Nachteile in der Kürze:
Mehr Informationen: >> hier <<
Projektseite: https://whatsapp.com (extern)
| zentral | unfrei | kostenpflichtig | Richtet sich an Unternehmenskunden (Wickr Pro und Wickr Enterprise) |
Wickr ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.
Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wickr/ (extern; englisch)
Preise: https://wickr.com/product-tiers/ (extern)
Projektseite: https://wickr.com (extern)
| zentral | unfrei | kostenpflichtig | Richtet sich an Unternehmenskunden (Wire Enterprise und Wire Government) |
Wire ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.
Wire speichert laut eigenen Angaben eine Datenbank mit einer „Klartextspeicherung von Threads zwischen Nutzern“ auf dem Server. „Damit können wir eine bessere User Experience sicherstellen, wenn mehrere Endgeräte genutzt werden - etwa, um Gesprächsverläufe mit anderen Endgeräten zu synchronisieren“, erklärte Wire.
Der Hauptsitz der Firma wurde im November 2019 in die USA verlegt (extern).
Interoperabilität
Ein Entwickler äußert sich im Oktober 2019 auf GitHub wie folgt:
Update: internal discussions around federation (between Wire servers as a first step) are happening. what would need to be done to implement: a) XMPP federation between Wire servers b) XMPP API between Wire servers and clients We have no plans to ever implement b) (to speak XMPP between Wire clients and Wire Servers.), or at least not in the next few years. So please don’t focus your efforts on that part. We plan to implement federation between Wire servers first. Whether that makes use of XMPP or not remains to be seen. …
Quelle: https://github.com/wireapp/wire-server/issues/631#issuecomment-541728717
Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wire/ (extern; englisch)
Preise: https://wire.com/de/preise (extern)
Projektseite: https://wire.com/de (extern)
| zentral | unfrei | kostenlos | Kryptowährung „xx coin“ |
Ein auf den Cayman Islands (Steueroase) entwickeltes System, das auch TOR nutzt. Toll animierter und aufwendiger Internetauftritt aber Marketing-Geblubber ohne Ende. Außen hui und innen …
Projektseite: https://xx.network/de (extern)
| zentral | unfrei | kostenlos | Oft in der öffentlichen Kritik wegen: Datenschutz und Privatsphäre |
Zoom boomt und ist narrensicher zu bedienen - also für Narren gemacht?
Über 6 Millionen Euro für Zoom?
… Rechnet man die Ausgaben der Hochschulen aus den Antworten zusammen, haben sie Zoom im Jahr 2020 insgesamt 2.764.771 Euro bezahlt. Überschlagen auf alle Hochschulen, zu denen keine Daten vorliegen, haben deutsche Hochschulen etwa 6,4 Millionen Euro an das US-Unternehmen gezahlt. …
Quelle: https://netzpolitik.org/2021/private-infrastruktur-fuer-die-lehre-so-viel-bezahlen-hochschulen-fuer-zoom (extern)
Warnungen vor Zoom
Einzele Beispiele zu Betriebssystemen:
Macken in der Nutzung
Projektseite: https://zoom.us (extern)
Manche Dienste wurden schon eingestellt (was die Abhängigkeit von zentralen Systemen immer wieder verdeutlicht). Hierzu gehören:
| dezentral | unfrei | Einstieg kostenfrei | Einstellung: November 2021 |
Grape ist die Basis für den Untis Messenger (extern).
Pressemitteilung vom 17.11.2021: Grape ist nicht mehr
Mit Bedauern müssen wir bekannt geben, dass die UberGrape GmbH – die Firma hinter Grape – Insolvenz angemeldet hat. …
Quelle: https://www.grape.io/de/blog/grape-ist-nicht-mehr (extern; 17.11.2021)
| zentral | unfrei | kostenlos | Einstellung: Mai 2020 |
Über die Funktion „In der Nähe“ bzw. „Weltweit“ erhält man immer wieder anstößige, derbe aber „eindeutige“ Nachrichten von Fremden. Leider ist diese Funktion standardmäßig aktiviert und muß vom Nutzer aus deaktiviert werden. Deshalb erscheint mir Hoccer insbesondere nicht für Kinder oder Jugendliche geeignet!
05/2020: Einstellung von Hoccer (extern)
Auf der Internetseite wurde/wird darüber informiert, daß der Messengerdienst “Hoccer” im Mai 2020 eingestellt wurde:
„… mit großem Bedauern müssen wir Euch mitteilen, dass wir den Dienst der beliebten Hoccer-App einstellen müssen. Die letzten Monate waren für unser gesamtes Team eine große Herausforderung. Die Auswirkungen von Corona haben letzten Endes leider auch uns sowohl auf Personeller, als auch auf Sponsoren Ebene getroffen, so dass wir schweren Herzens „Hoccer“ nun abschalten müssen. Bis zuletzt haben wir versucht unseren Messenger aufrecht zu erhalten, um Euch eine bestmögliche Plattform für eine sichere Kommunikation zu gewährleisten. Wie Ihr Euch vorstellen könnt, war dies mit hohen Kosten verbunden, die wir nur über Firmenkooperationen und Sponsoren in den letzten Jahren abdecken konnten. Durch diesen Wegfall innerhalb der Corona-Krise bleibt uns dementsprechend keine andere Wahl. Wir danken Euch für Eure treue Nutzung unserer App und hoffen, dass Ihr eine passende Alternative finden werdet, die weiterhin Eure Privatsphäre schützt. …“
(Stand: Mai 2020 / 20.07.2020)
| zentral | unfrei | Kosten | Einstellung: September 2019 |
Einstellung von „Privalino“ (extern) u.a. aufgrund Datenschutz und DSGVO zum September 2019:
„… Letztendlich konnten wir aber nicht genügend Eltern für unsere Idee begeistern. …“
Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung
Digitale Gesellschaft:
Übersicht: https://www.digitale-gesellschaft.ch/messenger/bewertung.html (extern)
Zum Artikel: „WhatsApp, E-Mail, SMS & Co. auf Sicherheit und Nachhaltigkeit bewertet“ (extern)
Handbuch für Privatsphäre:
https://www.privacy-handbuch.de/handbuch_74.htm (extern)
Anforderungen an „sichere“ Messenger (Mike Kuketz):
https://www.kuketz-blog.de/conversations-sicherer-android-messenger (extern)