Sichere Messenger | 5 Messenger im direkten Vergleich

SMS war gestern. Sind Signal, Telegram, Threema und Wire sichere Messenger? Welches sind die besten Alternativen zu WhatsApp?

Sichere Messenger - 5 Messenger im direkten Vergleich
Grafik: eb

Sichere Messenger ersetzen SMS

Auch in Deutschland kommunizieren die meisten Smartphone-Nutzer über einen oder mehrere Messenger. Selbst bei der älteren Generation (60+) ist die herkömmliche SMS auf dem Rückzug.

Trotzdem ist die vorinstallierte Nachrichten-App noch nicht vollkommen überflüssig. Denn noch findet die Übermittlung von Verifizierung-Codes beispielsweise für die Anmeldung bei Messenger-Diensten per SMS statt. Darüber hinaus benötigst du bei manchen Anbietern auch für das Online-Banking (TAN) oft nach wie vor die SMS-Funktion.

Darüber hinaus hat die Nachrichten-App den Vorteil, dass du Nachrichten an jeden versenden kannst, auch wenn du lediglich dessen Telefonnummer kennst, nicht aber dessen Betriebssystem oder Apps. Der Hauptnachteil ist dagegen, dass die Verbindung nur über das Mobilfunknetz, nicht aber über WLAN aufgebaut wird/werden kann.

Sichere Messenger – Allgemeines

Hinsichtlich der Verbreitung in Deutschland, d. h. der Anzahl der aktiven Nutzer, gibt es immer noch deutliche Unterschiede, auch wenn Telegram in den letzten Jahren relativ populär geworden ist:

  • WhatsApp 2024: ca. 60 Millionen (Quelle: Superchat) = 84,7 Prozent (Quelle: engage sinch)
  • Telegram 2024: 22,9 Prozent (Quelle: engage sinch)
  • Signal 2023: 8 Prozent (Quelle: statista)
  • Threema 2024: mehr als 12 Millionen (Quelle: statista)
  • Wire: keine Angaben

Der Vollständigkeit halber ist zu erwähnen, dass viele auch mehrere Messenger parallel nutzen, was aus den Statistiken nicht hervorgeht. Außerdem sagt die Verbreitung oder „Beliebtheit“ nicht automatisch auch etwas über die Qualität der Messenger, insbesondere was die Sicherheit und den Datenschutz betrifft, aus.

Was die Grundfunktionen für die Kommunikation mit deinen Kontakten betrifft, unterscheiden sich die hier beschriebenen Messenger kaum noch voneinander. Deshalb gehe ich auf diese Punkte in meinem Beitrag auch nicht (mehr) näher ein, sondern lege den Schwerpunkt in die Sicherheit und den Datenschutz.

Nur so viel: Alle versenden und empfangen problemlos Nachrichten, Bilder, Videos, Dokumenten, Links, etc. Auch ermöglichen alle Gruppen-Chats, Telefonie über WLAN, u. a. m. Telegram bietet im Vergleich die meisten darüber hinausgehenden Optionen an und Wire konzentriert sich vor allem auf den Business-Bereich mit (zusätzlichen) Funktionen für Teams.

Alle genannten Messenger erhalten regelmäßig Aktualisierungen, die Funktionen optimieren, den Funktionsumfang erweitern oder Fehler beheben.

Messenger-Dienste – Unternehmensvergleich

Seit langem ist WhatsApp der Messenger Nr. 1. Allerdings hat inzwischen ein Umdenken begonnen und viele WhatsApp-Nutzer wollen anderen Angeboten eine Chance geben. Nicht zuletzt seit der Ankündigung von Facebook Anfang 2021, seine Nutzungsbedingungen zu ändern, suchen sie andere sichere Messenger. Gibt es also inzwischen gleichwertige, wenn nicht gar bessere Alternativen?

Um das herauszufinden, habe ich WhatsApp mit vier (drei inzwischen recht bekannt, einer führt immer noch ein Schattendasein) Messengern verglichen. Die Reihenfolge auf den Abbildungen stellt keine Wertung dar, sondern orientiert sich am Marktanteil der Messenger. In den Bewertungsboxen stehen der/die jeweils beste/n Messenger an erster und der/die schlechteste/n am letzter Stelle.

Sichere Messenger - WhatsApp, Telegram, Signal, Threema, Wire
Sichere Messenger – Infos zu den Unternehmen (Tabelle: eb)

Drei der Unternehmen sind als unabhängig anzusehen, da sie sich ausschließlich über eine Stiftung (Signal) oder über Einnahmen aus dem Verkauf ihrer Produkte (Threema) bzw. Abonnements (Wire) finanzieren. Telegram verdient z. T. ebenfalls an kostenpflichtigen Premium-Funktionen, aber auch am Verkauf von Werbeanzeigen. WhatsApp wird hingegen nur zu einem geringen Teil durch den Betrieb einer kostenpflichtigen Business-Plattform finanziert. Die meisten Einnahmen erzielt Meta jedoch durch Werbung, was zu einer gewissen Einflussnahme von Außen / Abhängigkeit von Werbepartnern führt.

Betriebssysteme und Anmeldung

Zunächst unterscheiden sich sichere Messenger schon bei den Apps, Anmeldungsformalitäten und der Verifizierung sowie bei der Nutzung auf mehreren Geräten.

Eine Nutzung über den Browser ist bei allen möglich, jedoch bietet WhatsApp eigene Apps nur für Android, iOS und Windows an, während die anderen vier auch MacOS und Linux unterstützen. Bezüglich der Anmeldung sticht Threema heraus, da dies der einzige Dienst ist, bei dem du dich völlig anonym anmelden kannst, was ihn sicherer macht als die übrigen. Bei Wire musst du zumindest eine E-Mail-Adresse angeben und alle anderen benötigen deine Telefonnummer und eine Verifizierung per SMS-Code.

Sichere Messenger - Betreibssysteme und Anmeldung
Sichere Messenger – Betriebssysteme und Anmeldung (Tabelle: eb)

Das Erstellen eines Profils mit Nutzernamen, Bild und anderen (privaten) Informationen über dich ist bei allen nicht zwingend notwendig. Wenn du das nicht tust, erscheint bei den Chats ein Avatar und deine Telefonnummer (WhatsApp, Telegram, Signal) oder dein „Nutzername“ (Threema, Wire).

Anmeldung
Threema > Wire > Signal, Telegram > WhatsApp

Verwendung auf mehreren Geräten

Auch hier gibt es z. T. deutliche Unterschiede. Am einfachsten ist die parallele Nutzung von Telegram auf mehreren Geräten. Du musst nur jeweils die App installieren und dich mit derselben Telefonnummer anmelden. Bei Wire erfolgt die Anmeldung auf weiteren Geräten mittels deines Wire-Kontos, wobei du maximal acht Geräte parallel nutzen kannst.

Keine Beschränkung hinsichtlich der Anzahl der Geräte gibt es bei Signal und Threema. Die Kopplung erfolgt über den QR-Code, den du in der App deines Smartphones findest. Zwar bietet auch WhatsApp die Kopplung mittels QR-Code an, jedoch kannst du nur bis zu vier Geräte parallel verwenden und musst die Verbindung zum Smartphone ca. alle 14 Tage neu herstellen. Darüber hinaus sollte sich dein Smartphone „in der Nähe“ des zusätzlich genutzten Geräts befinden.

Geräte
Signal, Threema > Wire > Telegram > WhatsApp

Sichere Messenger – Verschlüsselung

Vielleicht einer der wichtigsten Aspekte ist die Sicherheit bei der Datenübertragung und -speicherung sowie die Privatsphäre. Zwar verwenden alle Messenger eine Verschlüsselung, doch es gibt einige Unterschiede.

Signal und WhatsApp nutzen Curve25519, AES256, HMAC-SHA256, wobei beide zwar grundsätzlich Client-Client verschlüsseln, bei WhatsApp jedoch die Verschlüsselung bei Gruppen-Chats angreifbarer ist.

Telegram verwendet AES256, RSA2048, Diffie-Hellman secure key exchange; bei normalen Chats Client-Server, bei geheimen Chats Client-Client.

Wie Signal verschlüsselt auch Threema Client-Client mittels RSA2048, Curve25519, XSalsa20.

Wire kombiniert Proteus (ChaCha20 stream cipher, HMAC-SHA256 as MAC, Diffie-Hellman key exchange), HKDF key derivation, AES 256 sowie SHA-256 zur Client-Client Verschlüsselung und den WebRTC Standard für Sprach- und Videoanrufe. Ähnlich wie bei Threema hat auch bei Wire jedes Gerät seinen eigenen privaten Schlüssel.

Dementsprechend sind die Nachrichten bei allen Messengern mittlerweile Ende-zu-Ende verschlüsselt, mit Ausnahme von Telegram, das nur „Geheime Chats“ Ende-zu-Ende verschlüsselt. Diesbezüglich ist der einzige wirklich sichere Messenger Threema, da nur er Privacy by Design (Datenschutz bereits durch entsprechende technische Voreinstellungen) bietet.

Verschlüsselung
Threema, Wire, Signal > WhatsApp, Telegram

Wie sicher sind sichere Messenger?

Zunächst spielen die Server-Standorte eine nicht unwichtige Rolle bei der Beurteilung, ob es sich um sichere Messenger handelt. Server außerhalb Europas unterliegen nicht unbedingt den hier geltenden rechtlichen Vorgaben. Mit Ausnahme von Signal, das auch Server z. B. von Amazon Web Services nutzt, betreiben alle Unternehmen eigene Server. Die Server von Signal und Meta (WhatsApp) stehen primär in den USA und/oder weltweit wie bei Telegram. Was die Server-Standorte betrifft sind nur Threema und Wire als sichere Messenger zu bezeichnen, da deren Server ausschließlich in der Schweiz bzw. in Deutschland und Irland stehen.

Sichere Messenger - Server-Standorte und Umgang mit Nutzerdaten
Sichere Messenger – Server und Nutzerdaten (Tabelle: eb)

Eng verbunden sowohl mit dem Unternehmenssitz als auch mit dem Server-Standort ist die Frage nach dem Umgang der Unternehmen mit Nutzerdaten. Gemeint sind hiermit die Daten, die du bei der Anmeldung und ggf. dem Erstellen deines Profils den Unternehmen mitteilst.

Auf der sichersten Seite bist du hier auch wieder bei Threema und Wire. Beide haben ihren Sitz in der Schweiz, die eine ähnlich strenge Gesetzgebung wie die EU hat. Auch die Server stehen in der Schweiz bzw. in der EU. Da beide alle Daten verschlüsseln, können die Unternehmen selbst diese auch nicht einsehen. Theoretisch müssten sie zwar zum Zweck der Strafverfolgung Behörden auf Anfrage Auskunft erteilen, was sich aber aufgrund des zuvor gesagten schwierig gestaltet.

Signal nimmt eine Art Zwischenstellung ein, da es als US-Unternehmen einerseits der US-Gesetzgebung unterliegt und infolge des Cloud Acts den US-Behörden den Zugriff ermöglichen muss. Andererseits speichert es nach eigenen Angaben nur Profildaten und verweigert bisher die Kooperation mit den Behörden.

Etwas problematischer ist das bei Telegram. Zum einen gibt es keine zuverlässigen Angaben zum Gerichtsstand des Unternehmens. Zum anderen hat es sich zwar lange geweigert, Behörden Auskünfte zu erteilen, musste inzwischen jedoch mehrfach nach gerichtlichen Entscheidungen seine „Verschwiegenheit“ aufgeben.

Am schlechtesten schneidet hier wieder WhatsApp ab. Es unterliegt als US-Unternehmen ebenfalls dem Cloud Act und es ist nicht bekannt, dass es der Herausgabe von Daten nach behördlicher Aufforderung wirksam widersprochen hätte. Verschärfend kommt dazu, dass es als einziges der hier beschriebenen Unternehmen Nutzerdaten zu Werbe- und Marketing-Zwecken verarbeitet. Auch konnte der Verdacht, dass über WhatsApp gesammelte Daten mit Daten anderer Produkte von Meta abgeglichen / zusammengeführt werden, zwar nicht bewiesen, aber auch nicht vollständig entkräftet werden.

Rechtssicherheit
Threema, Wire > Signal > Telegram > WhatsApp

Transparenz

Wie genau nehmen es die Unternehmen mit den Vorgaben der EU-DSGVO und inwieweit lassen sie sich „in die Karten gucken“? Keines der Unternehmen hat seinen Sitz in der EU. Insofern unterliegen alle (auch) der Gesetzgebung eines Nicht-EU-Landes. Dennoch gibt es Unterschiede. Die schweizer Datenschutzgesetze entsprechen weitestgehend denen der EU und werden als gleichwertig angesehen. Sowohl bei Threema als auch Wire hat es in punkto Einhaltung der Vorschriften bisher keine Beanstandungen gegeben. Auch Signal als US-Unternehmen ist weitestgehend DSGVO-konform. Jedoch hat das Unternehmen keinen Verantwortlichen für die Datenverarbeitung in der EU benannt und ist von den US-Behörden nicht DPF-zertifiziert..

Wesentlich problematischer sieht es bei Telegram und WhatsApp aus. Ersteres sichert zwar zu, sich an die Vorgaben der EU-DSGVO zu halten, was sich aber nicht lückenlos überprüfen lässt. Da es sich weder um ein EU- noch um ein US-Unternehmen handelt, sind die rechtliche Zuordnung und Nachverfolgbarkeit schwierig. Zweiteres ist als Teil des US-Unternehmens Meta DPF-zertifiziert und gibt vor, die Vorschriften der EU-DSGVO einzuhalten. Leider ist dem aber in der Realität nicht so. So hat es in den letzten Jahren etliche Verurteilung wegen Verstößen gegeben und Meta musste hohe Bußgelder zahlen. Ein grundlegendes Umdenken hatte das jedoch bisher nicht zur Folge.

DSGVO-konform?
Threema, Wire > Signal > Telegram, WhatsApp

Sichere Messenger - Transparenz, unternehmensinterner Datenschutz
Sichere Messenger – Transparenz und Datenschutz der Unternehmen (Tabelle: eb)

Ein weiterer Faktor bezüglich der Datensicherheit ist die „Server-Architektur“. Idealerweise liegen nicht alle Daten auf einem zentralen Server, so dass im schlimmsten Fall Kriminelle nur diesen Server „hacken“ müssten, um Zugriff auf alle Daten zu erlangen. Eine dezentrale Architektur gibt es aber nur bei Threema, Wire und Signal, nicht aber bei Telegram und WhatsApp.

Als weiteres stellt sich die Frage nach der Überprüfbarkeit der Software, d. h. sind die Quellcodes öffentlich zugänglich? Außer WhatsApp machen alle Unternehmen die API, das Protokoll bzw. den Quelltext für Entwickler zugänglich. Threema, Signal und Wire sowie Telegram (mit Einschränkungen) sind Open Source und die Quellcodes somit einsehbar.

Wire stellt Whitepapers als PDFs zum Download bereit und Threema sowie WhatsApp PDFs über die Sicherheit-Standards. Regelmäßige Transparenzberichte veröffentlichen lediglich Threema und Wire. Zwar gibt es diese auch von Meta, aber nicht explizit für WhatsApp. Signal macht dazu keine Angaben und für Telegram scheint es nichts dergleichen zu geben.

Datenschutz- und Sicherheitsmaßnahmen
Threema, Wire > Signal > Telegram > WhatsApp

Weiterlesen – DATENSCHUTZ und Bewertung

Sichere Messenger | Seite 2

NEUESTE / Aktualisierte BEITRÄGE