Messenger Teil 2: Freie und proprietäre Messenger

Freie Messenger

Zum Einen gibt es die „freien“ Messenger. Diese zeichnen sich dadurch aus, dass sie keiner Firma gehören, sondern der Allgemeinheit. Sie sind Open Source und können daher von allen interessierten Menschen kontrolliert werden, wie Linux auch. Sie unterliegen keinen Lizenzen oder sonstigen Beschränkungen. Sie verwenden sehr häufig das Protokoll XMPP und unterstützten die sog. Föderation (Federation). Dabei sind sie nicht von einem zentralen Server abhängig, der alles kanalisiert sondern vernetzen sich direkt, unabhängig voneinander und bilden so ein grosses Netz. Sie sind also nicht dem Goodwill eines zentralen Anbieters ausgeliefert wie Google oder Facebook. Sie können sogar Ihren eigenen „Homeserver“ betreiben. Fällt mal einer aus, können Sie auf andere wechseln. Ausserdem gibt es damit auch keinen zentralen Punkt, der alle Kommunikationen kennt. Von A nach B sind möglicherweise mehrere Homeserver dazwischen, die jeweils nur den nächsten Hopp kennen. Ein weiteres wesentliches Merkmal dieser Messenger:

Keiner kennt sie.

Oder haben Sie schon mal etwas von Conversations oder Quicksy auf Android gehört, von Monal oder Siskin auf dem iPhone oder Mac oder gar Gajim oder Dino im Browser? Sehen Sie! 

Proprietäre Messenger

Dem entgegen gibt es die sog. proprietären Messenger. Sie gehören jemandem, z.B. Facebook, sollen eine Marke werden oder sind es schon und sind unkontrollierbar für den Aussenstehenden. Die Software ist oftmals kein Open Source (oder nur die Client Komponente, aber nicht die Serverkomponente), es weiss also niemand ausserhalb, was dort geschieht. Ausserdem können die Firmen die Nutzungsregeln jederzeit ändern, siehe aktuell Facebook. Wer liest diese schon und würde handeln, wenn er doch mit seinen Freunden und dem Verein in Kontakt bleiben will? Diese Messenger sind aus Sicherheitssicht nur dann nutzbar, wenn Sie der Firma dieses Messenger blind vertrauen oder Ihnen Privatsphäre egal ist. Ausserdem haben sie wie gesagt einen zentralen Server, d.h. dieser weiss, wer mit wem wann wie lange gechattet hat. Metadaten. Haydn. Muss ich mehr sagen? Doch es gibt Unterschiede. Manche versuchen, so viel Datenschutz wie möglich einzubauen. Zero-Knowledge-Policy, keine Logdaten, keine Werbung, keine Telefonnummer. Nicht alle sind wie WhatsApp.

Schauen wir uns mal ein paar der bekanntesten an.

Telegram: Er wird sehr gerne als „sicherer“ Messenger angepriesen. Pavel Durov, der Entwickler, hat das gut hinbekommen. Aber: Verschlüsselung ist nicht immer automatisch aktiviert (und Ende-zu-Ende Verschlüsselung geht nur in „Geheimen Chats“), Sie müssen das aktiv selber aktivieren. Gruppenchats können nicht verschlüsselt werden. Und die privaten Schlüssel zum Dekodieren Ihrer geheimen Nachrichten liegen bei Telegram. D.h. Mitarbeiter von Telegram können alles lesen, wenn sie wollen, und wenn jemand dort einen Mitarbeiter besticht oder eine Regierung Telegram mit einem Gerichtsbescheid zwingt, muss Telegram alle Ihre Daten herausgeben. Für mich, als Paranoiker, klingt das nicht sicher. Hinzu kommt der mittlerweile schlechte Ruf aufgrund von radikalen Gruppen, die sich mehr und mehr in Telegram tummeln. Ich frage mich, warum! Telegram würde ich nicht nehmen, wenn ich etwas zu verbergen hätte.

Nehmen wir den nächsten Superstar der Messenger-Szene: Signal.

Gerade nachdem Facebook angekündigt hat, WhatsApp vollständig in Facebook zu integrieren, was sie lange Zeit als völlig absurd abgetan haben, hat Signal enormen Zulauf erfahren. So viel, dass die Server Schwierigkeiten bekamen.
Signal gilt geheimhin als sehr sicher. Vor allem wenn jemand wie Edward Snowden sagt:

Ich verwende Signal jeden Tag.“

Edward Snowden

Dann muss es doch sicher sein. Signal wird auch als sicher eingestuft, weil es ein sehr sicheres Protokoll (das Signal-Protokoll) zum Austausch der Nachrichten verwendet, die verschlüsselt sind. Auch WhatsApp verwendet dieses Protokoll, kann es aber ändern und ist daher proprietär und kein Open Source. Doch für mich ist Signal keine Alternative (zu was, kommt später). Aus Datenschutzgründen finde ich Signal nicht akzeptabel.

Signal benötigt von Ihnen eine Telefonnummer. Natürlich kann Edward Snowden Signal empfehlen. In den USA kann man Mobilfunknummern und VOIP-Nummern (Voice over IP, Telefonie über das Internet) erhalten, ohne sich ausweisen zu müssen, völlig anonym. Das geht in Deutschland nicht. Da ich bei Signal aber eine Telefonnummer zwingend brauche, ist das für mich nicht so sicher. Ausserdem verwendet Signal Google Dienste und teilweise das Google Captcha (das, was Ihnen Webseiten manchmal anzeigen um sicherzustellen, dass Sie ein Mensch sind. Also markieren Sie auf den folgenden neun Bildern die, auf denen Busse zu sehen sind). Es gäbe eine benutzerfreundlichere Captcha Lösung, aber Signal verwendet diese nicht. Signal sitzt in den USA, was meine Paranoia nicht weiter beruhigt. Im Prinzip ist der Ort egal, wenn die Firma eine Zero-Knowledge Policy hat. Doch ist eine Zero-Knowledge Policy in den USA aus meiner Sicht weniger Wert als in der Schweiz. Wie Snowden gezeigt hat, senden mehr oder weniger alle amerikanischen Firmen Ihre Daten an die NSA und andere Sicherheitsbehörden.

Damit habe ich die beiden Bekanntesten neben WhatsApp abgearbeitet. Was kann da noch kommen? Und welche Alternative verwende ich?