Aktualisiert 9.10.2021 auf Basis einer Email eines Lesers von https://www.freie-messenger.de/
DANKE für die Klarstellungen
Freie Messenger
Zum einen gibt es die „freien“ Messenger. Sie basieren auf offenen Standards, sind frei und jeder kann dafür Software schreiben. Das ist mit E-Mail vergleichbar, wo Sie ebenfalls mit unterschiedlicher Software mit anderen kommunizieren können. So solltes es sein, wenn wirklich der Anspruch vorhanden ist, die Welt zu verbinden. Die Client-Software für dieses freie System ist oftmals Open-Source und frei verfügbar, muss es aber nicht sein.
Für die Open-Source Clients gilt, wie für alle Open-Source Software: Sie können von allen interessierten Menschen kontrolliert werden, wie beispielsweise Linux auch. Sie unterliegen keinen kommerziellen Lizenzen (auch Open-Source hat Lizenzmodelle, die sich aber um die Beschreibung was unter frei zu verstehen ist und um die Verbreitung und Wiederverwendung des Codes kümmern und weniger um kommerzielle Interessen) oder sonstigen Beschränkungen. Sie verwenden sehr häufig das Protokoll XMPP und unterstützen die sog. Föderation (Federation). Durch die Föderation ist die Interoperabilität zwischen den Systemen gewährleistet. Das grösste Problem bei den proprietären Messengern und Systemen ist der „Lock-in“, die Abhängigkeit, dass Sie nur mit den vorgegebenen Clients untereinander kommunizieren können. WhatsApp geht nur mit WhatsApp, Wire nur mit Wire usw. Federierte Systeme sind sie nicht von einem zentralen Server abhängig, der alles kanalisiert, sondern vernetzen sich direkt, unabhängig voneinander und bilden so ein grosses Netz. Sie sind daher nicht dem Goodwill eines zentralen Anbieters ausgeliefert, wie Signal oder Facebook. Sie können sogar Ihren eigenen „Homeserver“ betreiben. Das heisst, Sie betreiben einen eigenen Server. Mit diesem können die Clients sich verbinden. Aber eben auch mit vielen anderen. Fällt einer aus, können Sie auf andere Server wechseln. Damit gibt es keinen zentralen Punkt, der alle Kommunikationen kennt und der ein Klumpenrisiko darstellt, wenn er ausfällt. Von A nach B sind möglicherweise mehrere „Homeserver“ dazwischen, die jeweils nur den nächsten Hopp kennen.
Ein weiteres wesentliches Merkmal dieser Messenger:
Keiner kennt sie.
In meinem nicht technischen Umfeld hat noch keiner von diesen gehört. Oder haben Sie schon mal etwas von Conversations oder Quicksy auf Android gehört, von Monal oder Siskin auf dem iPhone oder Mac oder gar Gajim für alle Rechnerbetriebsysteme oder Dino für Linux? Sehen Sie!
Das ist verwunderlich, da die Downloadzahlen im Google Play Store beispielsweise erstaunlich hoch sind.
Proprietäre Messenger
Dem entgegen gibt es die sog. proprietären Messenger. Sie gehören jemandem, z.B. Facebook, sollen eine Marke werden oder sind es schon und sind unkontrollierbar für den Aussenstehenden. Die Software ist oftmals kein Open Source (oder nur die Client Komponente, aber nicht die Serverkomponente), es weiss also niemand ausserhalb, was dort geschieht. Ausserdem können die Firmen die Nutzungsregeln jederzeit ändern, siehe aktuell Facebook. Wer liest diese schon und würde handeln, wenn er doch mit seinen Freunden und dem Verein in Kontakt bleiben will? Diese Messenger sind aus Sicherheitssicht nur dann nutzbar, wenn Sie der Firma dieses Messenger blind vertrauen oder Ihnen Privatsphäre egal ist. Ausserdem haben sie wie gesagt einen zentralen Server, d.h. dieser weiss, wer mit wem wann wie lange gechattet hat. Metadaten. Haydn. Muss ich mehr sagen? Doch es gibt Unterschiede. Manche versuchen, so viel Datenschutz wie möglich einzubauen. Zero-Knowledge-Policy, keine Logdaten, keine Werbung, keine Telefonnummer. Nicht alle sind wie WhatsApp.
Schauen wir uns mal ein paar der bekanntesten an.
Telegram: Er wird sehr gerne als „sicherer“ Messenger angepriesen. Pavel Durov, der Entwickler, hat das gut hinbekommen. Aber: Verschlüsselung ist nicht immer automatisch aktiviert (und Ende-zu-Ende Verschlüsselung geht nur in „Geheimen Chats“), Sie müssen das aktiv selber aktivieren. Gruppenchats können nicht verschlüsselt werden. Und die privaten Schlüssel zum Dekodieren Ihrer geheimen Nachrichten liegen bei Telegram. D.h. Mitarbeiter von Telegram können alles lesen, wenn sie wollen, und wenn jemand dort einen Mitarbeiter besticht oder eine Regierung Telegram mit einem Gerichtsbescheid zwingt, muss Telegram alle Ihre Daten herausgeben. Für mich, als Paranoiker, klingt das nicht sicher. Hinzu kommt der mittlerweile schlechte Ruf aufgrund von radikalen Gruppen, die sich mehr und mehr in Telegram tummeln. Ich frage mich, warum! Telegram würde ich nicht nehmen, wenn ich etwas zu verbergen hätte.
Nehmen wir den nächsten Superstar der Messenger-Szene: Signal.
Gerade nachdem Facebook angekündigt hat, WhatsApp vollständig in Facebook zu integrieren, was sie lange Zeit als völlig absurd abgetan haben, hat Signal enormen Zulauf erfahren. So viel, dass die Server Schwierigkeiten bekamen.
Signal gilt geheimhin als sehr sicher. Vor allem wenn jemand wie Edward Snowden sagt:
Ich verwende Signal jeden Tag.“
Edward Snowden
Dann muss es doch sicher sein. Signal wird auch als sicher eingestuft, weil es ein sehr sicheres Protokoll (das Signal-Protokoll) zum Austausch der Nachrichten verwendet, die verschlüsselt sind. Auch WhatsApp verwendet dieses Protokoll, kann es aber ändern und ist daher proprietär und kein Open Source. Doch für mich ist Signal keine Alternative (zu was, kommt später). Aus Datenschutzgründen finde ich Signal nicht akzeptabel.
Signal benötigt von Ihnen eine Telefonnummer. Natürlich kann Edward Snowden Signal empfehlen. In den USA kann man Mobilfunknummern und VOIP-Nummern (Voice over IP, Telefonie über das Internet) erhalten, ohne sich ausweisen zu müssen, völlig anonym. Das geht in Deutschland nicht. Da ich bei Signal aber eine Telefonnummer zwingend brauche, ist das für mich nicht so sicher. Ausserdem verwendet Signal Google Dienste und teilweise das Google Captcha (das, was Ihnen Webseiten manchmal anzeigen um sicherzustellen, dass Sie ein Mensch sind. Also markieren Sie auf den folgenden neun Bildern die, auf denen Busse zu sehen sind). Es gäbe eine benutzerfreundlichere Captcha Lösung, aber Signal verwendet diese nicht. Signal sitzt in den USA, was meine Paranoia nicht weiter beruhigt. Im Prinzip ist der Ort egal, wenn die Firma eine Zero-Knowledge Policy hat. Doch ist eine Zero-Knowledge Policy in den USA aus meiner Sicht weniger Wert als in der Schweiz. Wie Snowden gezeigt hat, senden mehr oder weniger alle amerikanischen Firmen Ihre Daten an die NSA und andere Sicherheitsbehörden.
Damit habe ich die beiden Bekanntesten neben WhatsApp abgearbeitet. Was kann da noch kommen? Und welche Alternative verwende ich?