Bei meinen Datenschutzschulungen werde ich immer wieder auf den Messenger Signal angesprochen. Viele Teilnehmer sind stolz, diesen sicheren Messenger zu benutzen, von Edward Snowden empfohlen.
Sie wundern sich dann, dass Signal nicht meine erste und auch nicht meine zweite Wahl ist.
Meine erste Wahl ist das Fediverse, also Matrix oder Briar etc. Doch diese verwenden so wenige Leute aus meiner Umgebung, dass ich den nicht wirklich oft benötige.
Meine zweite Wahl ist Threema. Meine dritte Wahl ist Signal.
Ich würde noch den Session Messenger erwähnen, aber da gibt es einige Indikatoren, dass dahinter Rechtsradikale stehen. Daher habe ich diesen deinstalliert.
Es bleiben also Threema und Signal, aber wieso favorisiere ich Threema?
Meine bisherigen Gründe:
- kann ich ohne E-Mail und Telefonnummer nutzen
- Firma sitzt in der Schweiz
- die Schweiz hat sehr hohe Datenschutzstandards
- wird regelmässig auditiert
Den Nachteil, dass nur ein Teil des Codes (der Client) Open Source ist, muss ich hinnehmen.
Bei Signal haben mich die folgenden Punkte gestört:
- Ich musste einen Google Captcha lösen.
- Man benötigt eine Handynummer (zur Info: In den USA und anderen Ländern kann man Sim-Karten anonym kaufen, in Deutschland nicht)
- Obwohl Signal Open Source ist, habe ich mehrmals gesehen, dass der Source Code 9-12 Monate alt ist. Ich kann mir nicht vorstellen, dass die App auf dem Handy dem Stand des veröffentlichten Source Codes entspricht. Zumindest lässt es mich zweifeln.
Für mich haben diese Gründe ausgereicht, primär Threema einzusetzen. Und andere dazu zu überzeugen.
Jetzt kommt noch ein neuer Grund dazu: Push-Nachrichten.
Geheimdienste sammeln Daten aus Push-Benachrichtigungen von Android und iPhone.
Ich gehe auch davon aus, dass zumindest Google diese Daten auch zur Profilverfeinerung und Umsatz- und Gewinnsteigerung einsetzt, sofern das möglich ist.
Push-Nachrichten sind das, was permanent in Zügen und Meetings nervt. Es piept hier, ein kurzes Musikstück da, permanent werden die Menschen aufgefordert, doch schnell zu schauen, was los ist. Und sie tun es. Das nennt sich
FOMO=Fear of Missing Out
Also die Angst, etwas zu verpassen. Das wirkt wie eine Droge im Gehirn, macht also abhängig. Aber das ist ein anderes Thema.
Apps nutzen Push-Benachrichtigungen, um Smartphone-Nutzer:innen über eingehende Nachrichten, aktuelle Meldungen und sonstige Aktualisierungen zu informieren. Der Großteil dieser Benachrichtigungen erfolgt über die Push-Dienste der marktdominierenden Smartphone-Betriebssysteme iOS und Android. Die Dienste weisen jedem Gerät eine ID zu, über die diese erreichbar sind.“
https://netzpolitik.org/2023/push-dienste-apple-verlangt-ab-sofort-richterliche-genehmigung/
Will eine App ihre Nutzer:innen benachrichtigen, schickt die App diese Information an die großen Tech-Firmen – und diese leiten sie an das Endgerät.
Ob der Inhalt der Nachricht sichtbar ist oder nicht, liegt an der App. Diese entscheidet, ob die Server von Google und Apple die Nachrichten in Klartext erhalten oder nicht.
Wissen Sie, wie die von Ihnen preferierte App das implementiert? Ich nicht.
Staatliche Stellen nutzen offenbar von Apple und Google gesammelte Daten zu Push-Nachrichten, um damit iPhone- und Android-Nutzer zu überwachen. Das hat Apple jetzt erstmals eingeräumt, nachdem ein US-Senator die Praktik am Mittwoch publik gemacht hat. Die Öffentlichmachung solcher staatlicher Anfragen sei Apple bislang von der US-Regierung verboten worden, betonte der iPhone-Hersteller in einer Stellungnahme gegenüber der Nachrichtenagentur Reuters am Mittwoch. US-Senator Ron Wyden hatte den Ball mit einem Schreiben an das US-Justizministerium ins Rollen gebracht.“
https://www.heise.de/news/iPhone-und-Android-Push-Nachrichten-als-Datenschatz-fuer-staatliche-Ueberwachung-9566588.html
Ärgerlich dabei ist, das die Anbieter der drei „sicheren“ Messenger, Wire, Signal, Threema, bisher keine Zahlen und Daten herausgeben, wie oft Behörden diese Daten anfragen oder wie viele davon verschlüsselt sind und wie viele nicht.
Die Messenger-Anbieter haben zu fast allen Nutzer-Accounts einen sog. „Push-Token“. Die Push-Anbieter verknüpfen diese Push-IDs mit einem Nutzerkonto bei ihnen. So wird aus einer pseudonymen Messenger-ID ein Google- oder Apple-Konto. Und die beinhalten jede Menge personenbezogene Daten.
Daher bezeichnen manche Sicherheitsforscher diese Tokens als langlebige „Nutzer-ID“.
Selbst wenn die Inhalte verschlüsselt sein sollten, sind eine Menge Metadaten involviert.
Und wie der ehemalige Chef der Sicherheitsbehörden, Michael Haydn, der USA sagte:
Wir bringen Menschen anhand von Metadaten um.“
https://www.heise.de/news/Ex-NSA-Chef-Wir-toeten-auf-Basis-von-Metadaten-2187510.html
Apple hat jetzt angekündigt, dass Anfragen nach Informationen zu Push-Nachrichten nur noch mit einem richterlichen Beschluss herausgegeben werden. Google sagt, sie machen das schon länger.
Signal erwähnt, dass bei ihrem implementierten Push-System Spione nichts erfahren. Verstrickt sich aber in Widersprüche.
Bei iOS müssen Sie die Server von Apple verwenden. Bei Android tun sie es, bieten aber Nutzern, die ein „entgoogeltes“ Android (wie GrapheneOS) verwenden, eine andere Lösung.
Für die kleine Schar Android-User, deren Gerät ohne Googles Software-Libraries laufe, hat Signal übrigens sehr wohl die Benachrichtigungen ohne Google-Server implementiert. Whittaker nennt das die „Akku-zerstörende Option“. Zusatz: „Wir hoffen, dass Sie die Möglichkeit haben, damit umzugehen.“
https://www.heise.de/news/Signal-Unsere-Push-Benachrichtigungen-sind-sicher-vor-Spionage-9573116.html
Signal-Nutzer, die Android mit Google-Diensten nutzen, können aber nicht wählen. Sind die Google-Dienste installiert, dann werden sie automatisch verwendet. Wenn nicht, dann kommt die andere Lösung zum Einsatz.
Es scheint einen Workaround zu geben, den ich aber nicht getestet habe und bei dem ich denke, dass normale Internetnutzer die acht oder neun Schritte nicht ausführen werden und wollen.
Ich habe noch von keinem Signal-User gehört, der sagt, dass würde seinen Akku oder die Laufzeit zerstören. Ausserdem kann man das sehr wohl Akku-freundlich implementieren.
Zum Beispiel macht Threema das. Hier ist der nächste Grund für Threema für mich.
Bei Threema können Android-Nutzer wählen.
Threema beschreibt das Thema.
Um Threema Push zu aktiveren, navigieren Sie in Threema zu «Einstellungen > Über Threema > Fehlerbehebung», und tippen auf «Threema Push benutzen». (Wenn kein anderer Push-Dienst verfügbar ist, wird automatisch Threema Push verwendet.)“
https://threema.ch/de/faq/threema_push
Bei „entgoogelten“ Androids ist also automatisch Threema Push aktiviert. Bei anderen müssen Sie das manuell ändern.
Damit bin ich mit GrapheneOS und Threema auf der sichersten aller möglichen Seiten.