Freie Messenger

Überblick

1. Schnelleinstieg

2. Leseempfehlung

3. Neuigkeiten und letzte Änderungen

4. Spendenübersicht

5. Sonstiges

Die Initiative Freie Messenger wurde für den Bundespreis 2024 der „Deutschen Stiftung Verbraucherschutz“ nominiert:

Schnelleinstieg

Für Eilige, die eine freie Alternative zu WhatsApp für Android suchen und sofort ohne zu zögern ein freies Messengersystem nutzen möchten:

• Näheres zu den Unterschieden ist nachfolgend über die Leseempfehlungen zu finden
• Warum der Punkt Schnelleinstieg so ist, wie er ist? Für den „WhatsApp-Anwendungsfall“ halte ich den internationalen Standard XMPP insgesamt betrachtet geeigneter als Matrix, was jedoch als Teammessenger die Nase vorn hat.
  Querverweis: Systemvergleich XMPP/Matrix

Leseempfehlung

Die auf diesen Seiten zusammengetragenen Informationen sind sehr umfangreich. Für einen schnellen Einstieg gibt es deshalb zielgruppenbasierende Leseempfehlungen. Neuen Besuchern wird außerdem empfohlen, die Rubrik „Warum“ zu lesen.

Neuigkeiten / letzte Änderungen

06.06.2024

• Warum nicht:

  • Neuer Abschnitt mit Empfehlungen des Bundesdatenschutzbeauftragten zu WhatsApp
  • Informationen zu Ginlo aktualisiert und überarbeitet
  • ICQ-Ende nach 27 Jahren: Aktualisiert und verschoben zu post mortem
  • Neuer Abschnitt XMPP
  • Abschnitt zu Matrix: -folgt-
  • Abschnitt zu SimpleX: -folgt-

• Systemvergleich / externe Vergleiche:

  • Aktualisiert und ergänzt um eine Übersicht ‘privacyspreadsheet’
  • Neuer Abschnitt Leistung

• Serverlose Systeme: Reticulum ergänzt

• Chatstandard XMPP:

  • Neuer Abschnitt Vorteile & Nachteile
  • Informationen zu Conversations überarbeitet und neu strukturiert
  • Sicherheitsaudit bei Monal
  • Öffentliche Chaträume überarbeitet
  • Nutzungshinweise überarbeitet
  • Extras ergänzt um RSS-Feeds und Google-Übersetzung

• Aktualisierung von Matrix sowie der Gedanken zu Matrix

• Informationen zu SimpleX ergänzt

• Messenger in der Verwaltung ergänzt um ByCS

• P2P/Serverlos inhaltlich ergänzt

• Neue Rubrik Software-Alternativen

• Neu: Englische Übersetzung von …

  • Messenger Bezugsquellen
  • Chatstandard XMPP: Nutzungshinweise
  • Öffentliche Gruppen
  • Gajim
  • Chatsecure
    
  • Extra

• Die Initiative Freie Messenger wurde für den Bundespreis 2024 der ‘Deutschen Stiftung Verbraucherschutz’ nominiert:

01.02.2024

• Systemvergleich

  • Italienische Übersetzung ergänzt
  • Abschnitt Zeitlicher Verlauf ergänzt
  • Weitere externe Vergleiche (unter ‘Sonstiges’) mit aufgenommen

• Warum nicht / „Post Mortem“: Neuer Eintrag Messenger Lite

• Serverlose Systeme: Neue Messenger Databag und Quiet ergänzt

• Chatstandard XMPP: Abschnitt Server ergänzt

• Neu: Englische Übersetzung von …

  • Einführung
  • Warum
  • Warum nicht WhatsApp
  • Chatstandard XMPP: Server und Chatkonto
  • Verweise

… sowie viele kleine Ergänzungen und Korrekturen.

Spendenübersicht

2024: Monatlich: 5,- (= 60€/Jahr) Einmalspenden: 10,- / Robert 20,-

Vielen herzlichen Dank!

Übersicht der letzten Jahre:

• 2023: Monatlich: 5,- Einmalspenden: 500 USD / 20,-
• 2022: Monatlich: 5,- Einmalspenden: 24,- / 20,- / 20,-
• 2021: Monatlich: 5,- / Für Konterlobbyismus 5,- / Mannott 4,- Einmalspenden: 20,- / Vogelsang 5,- / 20,-
• 2020: Monatlich: 5,- / Für Konterlobbyismus 5,- Einmalspenden: 20,- / 20,- / 5,-
• 2019: Monatlich: 5,- Einmalspenden: Michael D. 20,- / 7,50

Vielen herzlichen Dank!

Sonstiges

	Freie Messenger unterstützt den offenen Brief (extern) von „publiccode“ (extern) und ist als „Nationale NGO“ (Nichtregierungsorganisation) eingetragen.
	Freie Messenger ist eingetragener Teilnehmer der Allianz für Cybersicherheit (extern) Dies ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (extern).
	Freie Messenger wurde für den Bundespreis 2024 (extern) der Deutschen Stiftung Verbraucherschutz (extern) nominiert.

Inhalt der Seiten

Auf diesen Seiten soll ein neutraler Ein- und Überblick zum Thema „Freie Messenger“ gegeben werden - nicht nur für interessierte Einsteiger, sondern auch für fortgeschrittene Nutzer und Technikexperten. Durch Hintergrundinformationen, warum freie Messenger sinnvoll sind, soll die „Kommunikationskompetenz“ verbessert werden. Das heißt die „digitale“ Selbstverantwortung, Freiheit und Unabhängigkeit sollen gefördert werden.

In der Öffentlichkeit wird oft nur einseitig über „sichere“ Messenger informiert. In der Folge wird leichtfertig an „Sicherheit“ geglaubt aber nur wenigen ist bewußt, welche „Freiheiten“ dabei unter dem Vorwand der „Bequemlichkeit“ leichtfertig aufgegeben werden. Dadurch werden oft veraltete oder falsche Informationen für private/geschäftliche Entscheidungen für/gegen einen Messenger herangezogen.

Auf diesen Seiten werden viele bekannte und weniger bekannte Fakten zu Messengern aus den verschiedensten Quellen zusammengefaßt. Dabei sind die Struktur und Optik zwar wichtig, dürfen jedoch nicht überbewertet werden. Nicht die „Verpackung“ zählt, sondern der „Inhalt“ !

Markieren und Kopieren

Gerne dürfen die Inhalte kopiert und verbreitet werden. Ich bitte jedoch darum, die Quellenangabe („freie-messenger.de“) nicht zu vergessen.

Rückmeldungen

Jede inhaltliche Rückmeldung ist gerne gesehen. Egal ob es sich um …

• Fehler,
• unvollständige Sachverhalte,
• veraltete Informationen,
• neue Entwicklungen aus dem Bereich Sofortnachrichten („messaging“),
• schlichte Fehler in der Rechtschreibung oder
• sonstige interessante oder wichtige Punkte

… handelt.

Kontaktmöglichkeit: >>hier<<

Hintergrund, Motivation und Finanzierung

Bei diesen Seiten handelt es sich ausschließlich um private Seiten ohne kommerzielle Hintergedanken. Es werden keinerlei Produkte oder Dienstleistungen verkauft oder vermittelt und es wird keine Werbung angezeigt.

Ermöglicht wird diese rein private Initiative durch Arbeitszeit- und Geldspenden.

Freiheit

… im Sinne von „Freie Messenger“:

Hierunter werden die strengen Kriterien der „Free Software Foundation“ für „freie Software“ verstanden:

1. Die Freiheit, das Programm auszuführen wie man möchte und für jeden Zweck.
   Hierbei darf es keinerlei Einschränkungen geben, bezogen auf:

   • Zeit (z.B. „30 Tage Testphase“, „Lizenz endet am 31. Dezember 2030“)
   • Zweck („Verwendung gestattet für Forschung und nichtkommerzielle Anwendung“, „darf nicht für Leistungsvergleiche (Benchmarking) eingesetzt werden“) oder
   • Ort / willkürliche geographische Beschränkungen („darf nur/nicht im Land XY verwendet werden“)

2. Die Freiheit, die Funktionsweise eines Programms zu untersuchen, und es an seine Bedürfnisse anzupassen
   Ohne die Freiheit, ein Programm zu ändern, bleiben die Anwender vom Wohlwollen eines einzigen Anbieters abhängig. Der Zugang zum Quellcode ist dafür Voraussetzung.

3. Die Freiheit, Kopien weiterzugeben und damit seinen Mitmenschen zu helfen
   Software kann praktisch ohne Kosten kopiert und weitergegeben werden. Das Verbot, ein Programm an eine Person weiterzugeben, die es braucht, macht dieses Programm unfrei.

4. Die Freiheit, ein Programm zu verbessern, und die Verbesserungen an die Öffentlichkeit weiterzugeben, so daß die gesamte Gesellschaft profitiert.
   Der Zugang zum Quellcode ist auch dafür Voraussetzung.

Sicherheit

… im Sinne von „Freie Messenger“:

1. Sicherheit im Datenschutz
   durch dezentrale Strukturen und nicht kommerzielle Ziele

2. Sicherung des freiheitlichen Denkens und Entscheidens
   durch Aufklärung und Vermittlung von Wissen und Gesamtzusammenhängen

3. Rechtssicherheit
   durch Respekt der Privatsphäre und Einhaltung des Datenschutzes

4. Übertragungssicherheit
   durch Verwendung von starken Verschlüsselungsmethoden und keiner zentralen Möglichkeit zur Auswertung von Metadaten.
   Vorsicht: Um diesen Teilaspekt der Sicherheit geht es i.d.R. bei „sicheren“ Messengern.

5. Technische Sicherheit
   durch Verwendung von Standards

… bedeutet: Zukunftssicherheit

Exkurs: Pseudosicherheit.

Digitale Nachhaltigkeit

Freiheit und Sicherheit lassen sich zusammenführen als „digitale Nachhaltigkeit“.

Was ist „digital nachhaltig“?
Schon im 4. Jahrhundert beschreibt Augustinus von Hippo, wie mit nicht-materiellen Gütern umgegangen werden soll: sie sollen weitergegeben werden. Digitale Nachhaltigkeit beschäftigt sich mit der Frage, wie in der heutigen, durch Digitalisierung geprägten Gesellschaft ein ethisch verantworteter Umgang mit digitalen, immateriellen Gütern möglich ist.

Was kennzeichnet digitale Nachhaltigkeit aus?
„Digitale Ressourcen werden dann nachhaltig verwaltet, wenn ihr Nutzen für die Gesellschaft maximiert wird, sodass die digitalen Bedürfnisse gegenwärtiger und zukünftiger Generationen gleichermaßen erfüllt werden. Der gesellschaftliche Nutzen ist dann maximal, wenn die digitalen Ressourcen der größten Anzahl von Menschen zugänglich und mit einem Minimum an technischen, rechtlichen und sozialen Restriktionen wiederverwendbar sind. Digitale Ressourcen sind Wissen und kulturelle Artefakte digital repräsentiert als Text, Bild, Audio, Video oder Software.“

Ausgehend von dieser allgemeinen Definition werden konkrete Punkte aufgeführt, die das verdeutlichen sollen:

1. Digitale Güter müssen finanziell, technisch und organisatorisch für alle Menschen nutzbar und veränderbar sein.
2. Wissen weiterzugeben und zu erhalten erfordert eine Gestaltung digitaler Güter, die auf Zukunft hin offen und weiterhin zugänglich ist.
3. Um Wissen weiterzugeben und für zukünftige Generationen zu erhalten sind offene Formate, offene Standards und freie Lizenzen notwendig.
4. Die Zugänglichkeit zu digitalen Gütern sollte unabhängig von finanziellem Vermögen gegeben sein.
5. Das Wissen über die digitalen Güter darf nicht nur bei einer Person oder Organisation liegen, sondern muss über viele Akteure verteilt sein.
6. Das Wissen um die digitalen Güter muss regenerierbar und reproduzierbar sein.
7. Die Weitergabe, Wiederverwendung und Modifizierung von digitalen Gütern muss technisch und rechtlich möglich sein und gefördert werden.
8. Digitale Güter (vor allem Software) müssen so gestaltet sein, dass sie keine Abhängigkeiten zu ihren Herstellern schaffen, sowie transparent entstehen (Quellcode) und vertrauenswürdig sind.
9. Eine sinnvolle Strukturierung, Modularisierung, Dokumentation, Auffindbarkeit und das möglichst präzise Filtern digitalter Güter muss gewährleistet sein.
10. Es gilt, individuelle und gesellschaftliche Rahmenbedingungen, sowie entsprechende gesetzliche Regulierungen zu schaffen, dass nachhaltige digitale Güter auf breiter Front gefördert und präferiert werden.

Die Information zur digitalen Nachhaltigkeit stammt vom Verein LUKi e.V. (Linux User im Bereich der Kirchen).
Quellen:
https://digitale-nachhaltigkeit.net (extern)
https://digitale-nachhaltigkeit.net/tiefer-gehen.php#zehngrundsaetze) (extern)

Themenverwandt: “Digitale Souveränität” (extern; Wikipedia)

WhatsApp ist in Europa mit Abstand der beliebteste Messenger mit der größten Verbreitung. Er hat einen tollen Funktionsumfang, ist einfach zu bedienen und sehr bequem bezüglich der Kontaktverwaltung. Aber …

Gründe

Es gibt nicht nur einen guten Grund, sich für ein freies Messengersystem wie wie beipielsweise Chatstandard XMPP (Jabber), E-Mail-Chat, Matrix oder Briar zu entscheiden:

1. Freiheit (keine Willkür und Abhängigkeit von einer zentralen Stelle)

2. Einhalten von Standards

3. Rechtssicherheit

4. Keine Altersbeschränkung

5. Keine „Datenpraktiken“

6. Datenschutz

7. Wirtschaftliche Unabhängigkeit

8. Technische Vorteile

Anforderungen an “Freie Messenger”(-Systeme)

1. frei (keine Einschränkung bei der Nutzung, keine AGB, veränderbar, …)

2. quelloffen (der Quellcode steht z.B. für Überprüfungen zur Verfügung)

3. dezentral (durch öffentliche und standardisierte Übertragungsprotokolle)

4. sicher (Möglichkeit einer Ende-zu-Ende-Verschlüsselung für Einzel-/Gruppenchats)

5. kostenlos (das System muß auch kostenlos genutzt werden können)
   Anmerkung: Dienstleistungen wie z.B. Entwicklungsaufträge, Betreuung, Hosting können jedoch sehr wohl als Dienstleistung beauftragt/erbracht werden.

Eine zivilgesellschaftliche Autonomie durch föderalen Server-Betrieb (wie bei E-Mail intuitiv und bekannt) statt geschlossener Systeme („walled garden“) sowie eine zivilgesellschaftliche Kontrollmöglichkeit durch Freie Software für Clients und Server ist wichtig.

In der Praxis sollte ein Messengersystem ergänzend auch erfüllen:

• Eine Kommunikation sollte auch ohne Smartphone möglich sein und es darf keine Abhängigkeit von Mobilfunkverträgen geben.
• Barrierefreie Clients für Android, GNU/Linux, MacOS/iOS, Windows - (u.a. blindengerecht) -> Barrierefreiheit (extern)
• Nutzung muß auch ohne Abgleich des lokalen Adressbuchs möglich sein
• verlässlicher Nachrichtentransfer und zuverlässige Fehlermeldung bei Unzustellbarkeit von Nachrichten, Bildern und Videos
• Android-Apps sollten die Kriterien für F-Droid erfüllen und dort verfügbar sein

Ja, aber warum denn nicht …

… einfach ein anderes prominentes Messengersystem als Alternative zu Europas prominentestem Messenger WhatsApp verwenden wie z.B.:

• Hochgelobte, „sichere“ Messenger: Signal, Threema, Wire, …
• Andere weltweit verbreitete Messenger: Facebook Messenger, WeChat, QQ, iMessage, Skype, …
• Aber auch: Telegram, Viber, Line, Snapchat, Kakao-Talk, …
• Oder weitere kommerzielle Lösungen: StashCat, SIMSme, …
• … und so weiter und so fort.

WhatsApp - wie auch die aufgeführten anderen Beispiele - werden von jeweils einer Firma vermarktet und sind genauso wie WhatsApp zentral oder unfrei (d.h. nur mit Einschränkungen/Bedingungen) nutzbar.

Sie erfüllen nicht die Anforderungen für “Freie Messenger” - statt dessen ist man der Willkür eines Anbieters ausgeliefert und von diesem in hohem Maße abhängig.
Es gibt also viele gute Gründe für die Nutzung eines freien Messengersystems!

Zur Übersicht, warum nicht andere prominente Messenger empfohlen werden: >> hier <<

Artikel zum Thema

Freie Messenger – Warum? Eine ausführliche aber (hoffentlich) verständliche, wenig technische Antwort auf diese Frage von Peter Löbbecke - verbunden mit einem Plädoyer. Originaldatei: >> PDF-Datei << (Stand 18.03.2021) Herzlichen Dank für diese ausführliche Arbeit!

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 2: Einhalten von Standards

Freie Messenger basieren auf öffentlichen „Protokollen“, die die technischen Grundlagen zum geregelten Austausch von Sofortnachrichten beschreiben:

• E-Mail-Messenger: Protokolle „SMTP“ und „IMAP“
• Jabber-Messenger: Protokoll „XMPP“
• Matrix-Messenger: Protokoll „Matrix“
  

Kommerzielle Anwendungen verwenden teilweise öffentliche Protokolle, deren Funktion jedoch bewußt geändert und begrenzt wird, so dass eine Kommunikation nur innerhalb des eigenen Netzes ermöglicht wird. Beispielsweise verwendet WhatsApp ein für eigene Zwecke „angepasstes“ XMPP.

Welche Protokolle bei anderen (Insel-)Lösungen wie z.B. Stashcat, Telegram, usw. genutzt werden? Das ist oft Firmengeheimnis und deshalb nicht öffentlich einsehbar bzw. nicht für Dritte überprüfbar.

Erläuterungen zu den Protokollen

Protokoll „SMTP“ (seit 1980 / Ursprung: 1971)
* Abkürzung: „Simple Mail Transfer Protocol“
* Übersetzung: „Einfaches E-Mail-Transportprotokoll“
* Wikipedia: https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol (extern)

Protokoll „IMAP“ (seit 1980)
* Abkürzung: „Internet Message Access Protocol“ / ursprünglich „Interactive Mail Access Protocol“
* Bedeutung: „Netzwerkdateisystem für E-Mail“
* Wikipedia: https://de.wikipedia.org/wiki/Internet_Message_Access_Protocol (extern)
* Ergänzende Information: https://www.datenschutzbeauftragter-info.de/e-mail-unterschied-zwischen-pop3-und-imap/ (extern)

Protokoll „XMPP“ (seit 1998)
* Abkürzung: „Extensible Messaging and Presence Protocol“
* Übersetzung: „erweiterbares Nachrichten- und Anwesenheitsprotokoll“ bedeutet.\ * Externe Information: https://de.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol (extern)

Protokoll „Matrix“ (seit 2014)
* Bedeutung: -Eigenname-
* Übersetzung: Protokoll für Echtzeitkommunikation
* Wikipedia: https://de.wikipedia.org/wiki/Matrix_(Kommunikationsprotokoll) (extern)

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 3: Rechtssicherheit

Denn es gibt keine „Allgemeinen Geschäftsbedingungen“ (AGB).

Bei freien Messengersystemn sind die Programme - sowohl für die Benutzer als auch für die Server - ohne fragwürdige „Allgemeine Geschäftsbedingungen“ (AGB) und ohne Einschränkung nutzbar. Dies ist in der jeweiligen Lizenz auch so festgehalten.

Aber auch die technischen Grundlagen zum geregelten Austausch von Sofortnachrichten („Protokolle“) sind öffentlich und ohne AGB.

Nutzung von WhatsApp in Vereinen/Firmen

In Vereinen oder Firmen wird oftmals WhatsApp eingesetzt. Dabei darf das normale WhatsApp lt. Nutzungsbedingungen (AGB) nur zu privaten Zwecken genutzt werden.

Außerdem muss vor der Nutzung das Einverständnis aller Kontakte eingeholt werden, ob sie mit der Übermittlung ihrer Kontaktdaten an Whatsapp einverstanden sind. Zumal auch Daten von Nicht-WhatsApp-Nutzern (gesamte Adressbücher) hochgeladen werden, ist das weder praktikabel noch zulässig (vgl. >>Datenpraktiken<< und >>Datenschutz<<)

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 5: Keine „Datenpraktiken“

In den AGB der Firma WhatsApp Inc. ist unter anderem zu finden:

• „Du akzeptierst unsere Datenpraktiken, einschließlich des Sammelns, der Verwendung, der Verarbeitung und des Teilens deiner Informationen gemäß Darlegung in unserer Datenschutzrichtlinie, sowie die Übertragung und Verarbeitung deiner Informationen in die/den USA und andere/n Länder/n weltweit, in denen wir Einrichtungen, Dienstleister oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.
  Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.“

Interessant? Es gibt noch mehr:

• „Adressbuch.
  Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung.“

• „Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

• „Geräte und Software.
  Du musst bestimmte Geräte, Software und Datenverbindungen zur Nutzung unserer Dienste bereitstellen, die wir andernfalls nicht zur Verfügung stellen. Solange du unsere Dienste nutzt, stimmst du dem Herunterladen und Installieren von Aktualisierungen unserer Dienste zu - auch auf automatische Weise.“

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 6: Datenschutzrechtliche Interessen

Verstöße gegen den Datenschutz werden bei freien Messengern minimiert:

• Jeder Nutzer entscheidet selbst, ob und welche Kontakte hergestellt werden

• Kein Datendiebstahl (Auslesen von Adressbüchern/Kontakten)

• Keine unerwünschte Übertragung von Daten ohne ausdrückliche Zustimmung des Nutzers. Im Adressbuch sind oft interne oder vertrauenswürdige Nummern gespeichert - teilweise sogar Geheimnummern, die NICHT an externe Stellen gelangen dürfen.

• Es ist dem Inhaber der Daten nicht möglich zu verhindern, dass diese ohne sein Wissen von externen Stellen gesammelt werden. WhatsApp schiebt die Verantwortung per AGB auf den Nutzer, da dieser die eigentliche Weiterleitung freigibt.

Exkurs: „Privacy Friendly Apps“:

Viele und insbesondere kostenlose Apps (auch WhatsApp) verlangen bei der Installation auf dem Smartphone eine Reihe von Berechtigungen, die für ihre Funktionalität nicht notwendig sind. Ob und wann dies zu einer Verletzung der Privatsphäre führt, ist für Nutzerinnen und Nutzer nicht ersichtlich. Dies ist besonders kritisch bei Android-Geräten. Hier können Berechtigungen derzeit nicht einzeln sondern nur in „Berechtigungsgruppen“ verweigert werden. Die App wird entweder mit all den geforderten Berechtigungen installiert, oder die Installation kann nicht zu Ende geführt werden. Hier setzen die Privacy Friendly Apps an.
Quelle: https://secuso.aifb.kit.edu/105.php

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 7: Wirtschaftliche Unabhängigkeit

• Es gibt keine kommerziellen Interessen eines „zentralen“ Anbieters.

Als wirtschaftlich orientiertes Unternehmen will, muss und darf die Firma „Facebook/WhatsApp“ Geld verdienen. Das Interesse und der Erfolg des Unternehmens steht im Fokus. Die Nutzer sind keine „Kunden“ sondern Datenlieferanten, die ihre umfassenden Daten (und die von anderen) WhatsApp kostenlos zur Verfügung stellen.

• Das System funktioniert auch weiter, wenn ein Anbieter aufhört.

Facebook als Eigentümer von WhatsApp Inc. kann jederzeit das System (inkl. Daten) verkaufen, oder den Messenger WhatsApp zu Gunsten eines anderen Messengers „sterben“ lassen.

Bei freien Messengern ist so etwas nicht denkbar, denn die Grundlage ist Allgemeingut. Jeder darf den Programmcode verwenden und auch weiterentwickeln.

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 8: Technische Vorteile

• Mehrfache Anmeldung

  • auch gleichzeitig (parallel)
  • und/oder auf unterschiedlichen Geräten!

• Möglicheit zur Nutzung mehrerer Konten

• Auch auf Tablets nutzbar (WhatsApp bietet keine Support für Tablets)

• Es sind anonyme Kontenbezeichnungen möglich

• Dezentrale Organisation
  Wie das Internet selbst oder auch das System „e-Mail“ haben dezentrale Messengersysteme den Vorteil, dass bei Ausfall eines Servers nicht alle Nutzer betroffen sind. Auch ist das System weniger anfällig für „Angriffe“ von Dritten.

• Durch die offene Systemdokumentation und offene Entwicklung besteht …

  • keine Abhängigkeit von einem Hersteller
  • keine Begrenzung auf bestimmte Plattformen/Betriebssysteme
  • immer die Möglichkeit, neue Entwicklungen mit aufzunehmen
    (z.B. aktuelle Verschlüsselungstechniken)

• Praxiswissen:
  Schulen können eigene Server betreiben. Hierdurch kann nicht nur Theorie vermittelt sondern der IT-Unterricht interessant bereichert und das Thema konkret veranschaulicht werden.

Warum „Freie Messenger“ fördern anstatt z.B. „WhatsApp“ dulden?

Grund 4: Keine Altersbeschränkung

Freie Messenger können ohne Altersbeschränkung genutzt werden. WhatsApp dagegen darf von unter 16jährigen nicht ohne elterliche Zustimmung genutzt werden. In den AGB von WhatsApp steht:

„Alter.
“Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Wenn du in einem Land lebst, das nicht in der Europäischen Region liegt, musst du mindestens 13 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Zusätzlich zu der Anforderung, dass du nach geltendem Recht das zur Nutzung unserer Dienste erforderliche Mindestalter haben musst, gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.“

Bereits im August 2016 wurde von WhatsApp das Mindestalter für die Nutzung von 16 auf 13 Jahre gesenkt. Im gleichen Monat hat das Amtsgericht Bad Hersfeld in einem Urteil grundsätzliche rechtliche Bedenken hinsichtlich der Nutzung von WhatsApp durch Kinder und Jugendliche unter 16 Jahren festgestellt. Die erneute Heraufsetzung des Mindestalters ist nicht freiwillig, sondern lediglich die Umsetzung einer neuen gesetzlichen Regelung.
(Quelle: https://www.klicksafe.de/service/aktuelles/news/detail/welches-mindestalter-gilt-fuer-whatsapp/)

EU-Datenschutz-Grundverordnung

Ab Mai 2018 gilt eine EU-weite Verschärfung hinsichtlich des Mindestalters in sozialen Netzwerken. In den Erwägungsgründen der neuen Verordnung heißt es:

„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.”

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) sieht vor, dass unter anderem die Nutzung von Internetdiensten und Plattformen wie Beispielsweise Facebook, WhatsApp, Snapchat, YouTube und Co. für unter 16-Jährige nur mit elterlicher Zustimmung erlaubt ist.

Neben dem Platzhirsch WhatsApp gibt es noch unzählige andere Anbieter, die auch ein Stück vom Kuchen haben wollen und ihre eigenen Inseln als Paradies anpreisen.
„Insel“ ist in diesem Zusammenhang tatsächlich auch als solche zu verstehen: Es handelt sich um Insellösungen, die durch das bewußte Ausschließen bzw. Abgrenzen von anderen Systemen Nutzer an sich binden wollen. Deshalb sollte generell hinterfragt werden:

• Werden freie Protokolle verwendet die standardisiert sind (Allgemeingut oder geheimes Firmenwissen)?
• Handelt es sich um freie Software (Allgemeingut oder Firmeneigentum)?
• Besteht eine Abhängigkeit von einer zentralen Stelle?
• Wie finanziert sich der Dienst (offen oder verdeckt)?

Bei allen unten aufgeführten zentralen Messengern ist ein Sammeln und Auswertung von Metadaten möglich bzw. wird aktiv genutzt. Metadaten sind nicht die eigentlichen Inhalte der Nachrichten, sondern beziehen sich auf das Umfeld. Deshalb ist es in diesem Zusammenhang auch unerheblich, ob die Kommunikation verschlüsselt ist oder nicht. Das wird oft übersehen.

Neben den „bekannteren“ Messengersystemen gibt es viele weitere seriöse und mit einem soliden Geschäftsmodell arbeitende Anbieter - aber auch eine unglaubliche Zahl ominöser Dienste, die kommen und gehen. Insbesondere muß man bei den Anbietern aufpassen, die viele Fachbegriffe verwenden und mit Superlativen um sich werfen, wie:

• extrem sicher
• bester kryptomessenger
• einzigartige Privatsphäre
  
• quantenresistent
• Blockchain
• wirklich privat
• Kryptocoin
• der Sicherste, der Beste, der Erste, der Tollste …

Die Krönung ist, wenn mit Privatsphäre geworben und dazu noch Discord als Kontaktmöglichkeit angeboten wird oder man eine Kryptowährung untergeschoben bekommt. In den Fällen loht sich definitiv kein zweiter Blick, denn in der Regel wollen die Leute dahinter genau das Gegenteil. Also aufgepasst, denn manche „wollen nur ihr/dein Bestes“ - konkret: Zugriff auf die persönliche Privatsphäre, Daten abgreifen, Geld schürfen/abschöpfen.

Zu ‘kostenfrei’/‘kostenpflichtig’

Nicht alles was kostenfrei scheint ist automatisch gut und alles was den Nutzer Geld kostet ist schlecht. Es kann auch genau anders herum sein.
Auf alle Fälle sollte die Finanzierung nachvollziehbar und transparent sein. So gibt es einige spendenfinanzierte oder sehr gute, kommerzielle Dienste. Wichtig ist eigentlich, daß die Technik auf der ein Messenger basiert kostenfrei genutzt werden kann - auch wenn darauf aufgebaute Dienstleistungen (Serverhosting, Individualisierung von Messengern, …) natürlich auch vermarktet werden können - ja, auch mit Dienstleistungen rund um Open Source kann und darf Geld verdient werden und es gibt auch “closed Source”-Lösungen, die jedoch offene Protokolle verwenden!
Nachfolgend wird deshalb kostenfrei und kostenpflichtig nicht mehr positiv oder negativ bewertet sondern nur noch informationshalber aufgeführt.

Warum nicht …

• Aether
• Abraxas
• Adamant - Kryptowährung „ADM“
• Beeper
• Berty (Beta-Status)
• Chiffry
• Cweb (Beta-Status)
• Cwtch (Beta-Status)
• Discord
• Facebook Messenger
• ginlo
• IRC
• Notify
• Olvid
• Revolt Chat (Beta-Status)
• Rocket.Chat
• schul.cloud
• Session - Kryptowährung „$OXEN“
• Signal - Kryptowährung „Sentz“ / Gründer: Brian Acton, (WhatsApp-Gründer) USA
• Slack
• Speek
• Sphinx - Kryptowährung „bitcoin“
• Stashcat
• Status.im - Kryptowährung „Etherum“
• Teamwire
• Telegram - Gründer: Nikolai und Pavel Durov, (Gründer vk.com; vormals Vkontakte.ru) RUS
• TeleGuard
• Threema
• TikTok
• Viber
• WhatsApp - Gründer: Mark Zuckerberg, (Facebook-Gründer) USA
• Wickr
• Wire - Gründer: Janus Friis, (Skype-Gründer) US + LUX
• WireMin (Beta-Status)
• XMPP - der internationale Chatstandard
• xx-messenger - Kryptowährung „xx coin“
• Zoom

Post Mortem

• ICQ (+2024)
• Facebook Messenger Lite (+2023)
• Grape (+2021)
• Hoccer (+2020)
• Privalino (+2019)

Zusatzinformationen

Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung

• Digitale Gesellschaft:
  Übersicht: https://www.digitale-gesellschaft.ch/messenger/bewertung.html (extern)
  Zum Artikel: „WhatsApp, E-Mail, SMS & Co. auf Sicherheit und Nachhaltigkeit bewertet“ (extern)

• Handbuch für Privatsphäre:
  https://www.privacy-handbuch.de/handbuch_74.htm (extern)

• Anforderungen an „sichere“ Messenger (Mike Kuketz):
  https://www.kuketz-blog.de/conversations-sicherer-android-messenger (extern)

Querverweise/Empfehlungen:

• Alternative zu WhatsApp: Chatstandard (XMPP)
• Teammessenger: Matrix
• P2P-Messenger: Diverse
• E-Mail in Messenger-Optik: Delta Chat

Aether

Vergleicht sich selbst mit Reddit/Twitter, Mastodon, Secure Scuttlebutt. Beim Vergleich (extern) ist kein „klassischer“ P2P-Messenger dabei. Auf den ersten Blick schöner Internetauftritt.

• positiv: dezentral (vermaschtes Netz)
• positiv: quelloffen
• positiv: Versionen für Windows, Linux und MacOS
• negativ: Keine deutsche Internetseite/Infos
• negativ: Zum Protokoll (Mim Protocol v0.1)
• negativ: Keine fertige Dokumentation (The documentation, alongside the app, is in early beta. (extern)
• negativ: Keine aktive Weiterentwicklung - letzte Änderung am 26.11.2020
• negativ: Letzter Blogeintrag vom Juni 2020
• negativ: Lt. Community: “seems to be a dead project (13.02.2022)” (extern)
• negativ: Es wird mit “kommenden Funktionen” geworben „Newsletters (coming soon)“ (extern)
• negativ: Tote Links auf der Homepage „a short read“ (extern) und „live chat“ (extern)
• negativ: lt. webbkoll (extern) 1 Cookie von Dritten und 27 Drittanfragen (third-party) auf der Internetseite
• negativ: keine App für Android und iOS

Noch zum Protokoll “Mim” (extern) und der Entwicklung (extern; Stand 2019?):

Heads up: this documentation is currently a work in progress - it is being made public as part of a product that is actively being built. There is no guarantee of a stable API.
0.1 DRAFT First public documentation of the protocol in draft form. This document is made available so as to enable discussion, and it not ready for use.

Projektseite: https://getaether.net (extern)

Abraxas

Die Lösung von Abraxas ist (wie Stashcat) lediglich als geschlossenes System zu lizensieren und kann nur als Inselsystem genutzt werden.

• positiv: deutsche Internetseite; deutsche AGB
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 9 Drittanfragen (third-party) auf der Internetseite
• offen: Tracker in der Android-App?

Föderale Ebenen / offene Fachapplikationen / löst alle Schnittstellenfragen:

Abraxas pflegt und entwickelt Software-Lösungen für öffentliche Verwaltungen aller föderalen Ebenen und für Organisationen im staatlichen Umfeld. Auf Basis moderner Technologien konzipieren und bauen unsere Ingenieure und Entwickler moderne Applikationen für Steuer- und Strassenverkehrsämter, Gemeinden, Polizeikorps, Organe der Rechtspflege, die Berufsbildung, das Personalwesen und Kommunalwerke.

Um den hohen Ansprüchen der Anwender an offene, leistungsfähige und praxistaugliche Fachapplikationen gerecht werden zu können, deckt Abraxas alle Handlungsfelder des modernen Software-Engineerings ab – von Consulting und Requirements Engineering, über die Architektur und die Entwicklung von Software bis hin zur Projektleitung, Qualitätssicherung, Schulung und Support.

Abraxas übernimmt dabei die Leitung spezifischer Projekte, setzt notwendige Anpassungen bei Gesetzesänderungen automatisch um und stellt die Einbindung der Lösung in die Kundenumgebung sicher. Abraxas integriert die Daten und Prozesse von der Bevölkerung über die Gemeinden und Kantone bis zum Bund und löst alle Schnittstellenfragen – immer mit dem Ziel, die Digitalisierung zum Vorteil unserer Kunden und deren Kunden voranzutreiben.

Quelle: https://www.abraxas.ch/de/loesungen/fachanwendungen (extern)
Auch für die Polizei: https://www.abraxas.ch/de/loesungen/fachanwendungen/polizei/instant-messenger-police (extern)

Adamant

Messenger auf der Basis der Blockchain-Technologie; „schöne“ Vergleichsmatrix (aus Sicht von Adamant) auch zu anderen P2P-Systemen.

• positiv: dezentral
• positiv: quelloffen
• positiv: keine Tracker in der Android-App feststellbar (0 Berechtigungen): Exodus (extern)
• negativ: 0.001 ADM (0.00024 USD) pro Nachricht
• negativ: eng verbunden mit Kryptowährung („ADM tokens“) -> keine Unabhängigkeit
• negativ: lt. webbkoll (extern) 2 Drittanfragen (third-party) von Google-Schriften auf der Internetseite

Projektseite: https://adamant.im/#trade-adm (extern)

Beeper

• negativ: keine deutsche Internetseite
• negativ: keine deutsche Datenschutzerklärung & AGB
• negativ: Datenschutzbedenken bei föderiertem Betrieb (-> Matix)
• negativ: App ist nicht quelloffen
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Nur Einstiegsversion ist kostenlos
• negativ: lt. webbkoll (extern) 76 Drittanfragen (third-party) auf der Internetseite
• negativ: 2 Tracker in der Android-App (34 Berechtigungen): Exodus (extern)

Vorsicht: Auf der Internetseite wird oft und regelmäßig auf “Quelloffenheit” hingewiesen, was sich jedoch lediglich auf Brücken und das (natürlich) offene Matrix-Protokoll bezieht - es wird jedoch dort nicht erwähnt, dass der Code der App Firmengeheimnis ist (ob das mit der Lizensierung von Element konform ist, muß an anderer Stelle geklärt werden).

Auf alle Fälle ist das Augenwischerei, denn der Beeper-Client basiert lediglich auf dem eigentlich quelloffenen Matrix-Client „Element“ - aber die Änderungen am Code sind geheim und der Beeper-Code ist nicht öffentlich. Zitat:

„closed source forks of Element“ (https://github.com/beeper/self-host) (extern)

Ist Beeper evtl. sogar eine Kostenfalle oder muß man mit späteren Nutzungseinschränkungen rechnen?

„Im Moment [Stand Dez. 2023] hat jeder kostenlos Zugang zu allen Funktionen von Beeper Plus. Irgendwann im Jahr 2023 werden wir damit beginnen, $5-10 pro Monat für Beeper Plus zu berechnen. Wir werden Sie vor diesem Zeitpunkt warnen und alle Nutzer standardmäßig auf den kostenlosen Tarif umstellen.“ (übersetzt)

Darüber hinaus scheint es weitere Einschränkungen zu geben. Dazu eine Information vom Beeper team (übersetzt aus E-Mail, Nov. 2023):

„Der Beeper Matrix Homeserver ist vollständig föderiert, jedoch können Brücken nicht außerhalb des Beeper Homeservers kommunizieren. Außerdem können die Brücken, die ein Benutzer einrichtet, mit keinem anderen Benutzer auf dem Homeserver außer dem Benutzer, der sie eingerichtet hat, interagieren.“

Fazit:
Bezüglich der Quelloffenheit außen hui (quelloffen) aber innen pfui (Firmengeheimnis). Hier kann statt dessen ganz normal Matrix bei einem anderen Hoster oder im Eigenhosting genutzt werden. Einizg positiv ist der tolle und eingängie Name. Da hat einfach mal wieder jemand gutes Marketing gemacht.

Projektseite: https://www.beeper.com (extern)

Berty

Auch ein Open-Source-Projekt, das zwar mit Sicherheit/Privatsphäre wirbt („The privacy-first messaging app“), dann jedoch selbst „Discord“ nutzt und als Kontaktmöglichkeit anbietet. Eigentlich widerspricht sich das, denn im Fokus des P2P-Messengers stehen angeblich verschiedene sensible Berufsgruppen, Aktivisten und auch Geheimnisverräter:

Certain groups of people are at higher risk because of their activity: journalists, military personnel, government officials, activists, corporate members, lawyers, whistleblowers. Berty was designed with them in mind.

• positiv: dezentral
• positiv: quelloffen
• positiv: mit Ende-zu-Ende-Verschüsselung (doppelte Ratsche / “double ratchet” - wie bei Signal)
• positiv: Clients für Android und iOS
• positiv: keine Tracker in der Android-App (24 Berechtigungen): Exodus (extern)
• negativ: keine deutsche Internetseite/Nutzungsbedingungen
• negativ: noch im Beta-Status („Berty will be released soon“) (extern)
• negativ: kein Dateiversand
• negativ: keine keine Sprach-/Videotelefonie
• negativ: nutzt Cloudfront, Google AMP
• negativ: nutzt Discord als Kontaktmöglichkeit
• negativ: lt. webbkoll (extern; 30.08.2024) 8 Drittanfragen (third-party) auf der Internetseite

Bertys Messengervergleich (extern)
Projektseite: https://berty.tech (extern)

Chiffry

• positiv: deutsche Internetseite
• positiv: mit Ende-zu-Ende-Verschlüsselung
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: kostenlose Basisversion ist ein Lockangebot mit sehr eingeschränkter Funktionalität - so können in dieser beispielsweise Dateien nur bis 0,5 MB und Videos nur bis 1 MB versendet werden; nur 10 Gruppenmitglieder, …
• negativ: eigene Server sind nur mit der Businessversion möglich (diese sind dann jedoch in sich geschlossene Systeme)
• negativ: lt. webbkoll (extern) 2 Cookies von Dritten zu Youtube; 21 Drittanfragen an u.a. Google-Schriften, google, youtube, googleads, doubleclick, …
• negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (38 Berechtigungen): Exodus (extern)

Projektseite: https://www.chiffry.de/versionen (extern)

Cweb

Alle Daten werden verschlüsselt gespeichert und zwischen dem Gerät und einem „Amazon S3 bucket“ mittels einem P2P-Protokoll ausgetauscht. Verschiedene Dienstleister (Amazon, minio, wasabi, ..) bieten S3-kompatiblen Speicherplatz an, der jedoch auch selbst gehostet werden kann. Der Messenger „Stone-Age“ basiert auf Conversations - jedoch wurde das Kommunikationsprotokoll XMPP durch Cweb ausgetauscht.

• positiv: quelloffen
• positiv: keine Tracker in der Android-App „Stone-Age“ (37 Berechtigungen): Exodus (extern)
• negativ: keine deutsche Projektseite
• negativ: noch im Beta-Status („expermental“, „prototype“, „demonstrate the approach“)
• negativ: nutzt Amazon S3 (Simple Storage Service) - deshalb nur „quasi P2P“
• negativ: nutzt G-Mail als E-Mail-Provider für Kontakt
• negativ: keine Sprach-/Videoanrufe
• negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 4 Drittanfragen (third-party) von Google-Schriften auf der Internetseite

Stone-Age: https://f-droid.org/packages/com.cweb.messenger (extern)
Projektseite: https://cweb.gitlab.io (extern)

Cwtch

Auch eine P2P-Lösung, die TOR nutzt. Um in einem Peer-to-Peer-Gespräch zu chatten, müssen beide online sein. Für Gruppen bzw. Chaträume werden Server benötigt, über die per TOR zugegriffen wird. Insofern handelt es sich um einen servergestützten Messenger.

• positiv: dezentral
• positiv: quelloffen
• positiv: keine Tracker in der Android-App feststellbar (10 Berechtigungen): Exodus (extern)
• positiv: lt. webbkoll (extern) keine Cookies und keine Drittanfragen (third-party)
• positiv: Teile des Benutzerhandbuchs (extern) sind schon ins Deutsche übersetzt
• negativ: keine deutsche Projektseite
• negativ: noch im Beta-Status!

Projektseite: https://cwtch.im (extern)

Discord

Die Nutzungsbedingungen „terms of use“ (extern; ab 28.03.2022) des in der Computerspiele-Szene und bei Studenten gerne und oft genutzten Messengers lesen sich heftig, da Discord die Rechte für alle der dort geteilten Inhalte erhält:

Ihre Inhalte gehören Ihnen, aber Sie geben uns eine Lizenz dafür, wenn Sie Discord benutzen …
… Inhalte zu verwenden, zu kopieren, zu speichern, zu verteilen und zu kommunizieren … zu veröffentlichen, öffentlich aufzuführen oder öffentlich auszustellen … zu überwachen, zu verändern, zu übersetzen und neu zu formatieren, … Unterlizenzen zu geben …
(Stand 16.06.2022)

(Bis 28.03.2022 (extern): „Durch das Hochladen, Verbreiten, Übertragen oder anderweitige Nutzung Ihrer Inhalte im Rahmen des Dienstes gewähren Sie uns eine unbefristete, nicht exklusive, übertragbare, gebührenfreie, unterlizenzierbare und weltweite Lizenz, Ihre Inhalte in Verbindung mit dem Betrieb und der Bereitstellung des Dienstes zu nutzen, zu hosten, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Werke zu erstellen, zu verteilen, auszuführen und zu präsentieren.“)

• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: ‘heftige’ Nutzungsbedingungen
• negativ: 6 Tracker in der Android-App (22 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 6 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://discord.com (extern)

Facebook Messenger

• positiv: deutsche Nutzungsbedingungen (extern) und deutsche Datenrichtlinie (extern; nicht „Datenschutzrichtlinie“)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: verwendet eindeutige Nmmer als Benutzerkennung („Nutzer-ID“ (extern)
• negativ: 4 Tracker in der Android-App (64 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 36 Drittanfragen (third-party) auf der Internetseite
  

Projektseite: https://www.facebook.com/games/fbmessenger_android (extern)

ginlo

Auf der Internetseite wird bei “ginlo Business” (Stand April 2024) geworben mit:

• “Die sicherste Kommunikation für Ihre Organisation – nach innen und außen”
• “Hochsichere Kommunikation für sensible Inhalte”

Und bei “ginlo Privat” sogar mit:

• “Entscheiden Sie sich für den sichersten Messenger”

Bei der Verwendung von Superlativen (der “Sicherste”) schrillen auch hier die Alarmglocken und es lohnt sich, das zu hinterfragen …

• positiv: deutsche Internetseite und deutsche AGB
• positiv: lt. webbkoll (extern) KEINE Drittanfragen (third-party) auf der Internetseite
• positiv: App ist quelloffen (nicht jedoch Server!)
• positiv: bei ginlo Privat ist keine Telefonnummer für die Registrierung erforderlich
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Servercode ist nicht quelloffen (widerspricht ginlos eigenem Fragebogen “Setzt der Anbieter ausschließlich auf Open Source-Komponenten?” !!)
• negativ: Verschlüsselung schlecht und mit Fehlern (s.u.)
• negativ: bei ginlo Privat keine Clients für für Windows, MacOS und Linux (nur für ginlo Business)
• negativ: bei ginlo Business ist eine Telefonnummer zur Anmeldung und zur Nutzung erforderlich
• negativ: Der Link zum direkten Herunterladen der Installationsdatei für Android (APK-Datei (extern; 26.05.2024)) ist defekt
• negativ: Die Möglichkeit, den AES-Schlüssel manuell einzugeben, besteht nicht. (Unterschied zu Goldbug)
• negativ: Der RSA-Schlüssel wird von der App generiert. Man kann somit weder die Schlüssellänge verändern noch ein eigenes Schlüsselpaar generieren. (Unterschied zu Goldbug)
• negativ: Backups, die Schlüssel enthalten (lt. ginlo Fragebogen (extern; 16.04.2024) !!)
• negativ: Früher 1 jetzt sogar 3 Tracker in der Android-App (49 Berechtigungen): Exodus (extern; 16.04.2024)
• Sonstiges: OpenStreetmap als Standordienst muß manuell in der App aktiviert werden

(Quelle u.a.: Wikipedia)

Verschlüsselung

Auch das Privacy-Handbuch (extern) ist wenig begeistert von Ginlo. Jetzt hat sich jemand mal die Verschlüsselung von Ginlo näher angeschaut, sich durch den Quelltext gearbeitet und das Ergebnis Stand 13.11.2023 ist: Nichts mit toller Sicherheit (veraltet und buggy) und weit entfernt von Signal und Co. - erschreckende Ergebnisse und Details >> hier << (extern).

Geschichte

Der Messengerdienst SIMSme der Deutschen Post wurde im März 2019 von der Fa. Babbler übernommen und der Name in „ginlo“ geändert. Die Architektur ähnelt lt. Wikipedia (extern) angeblich der von GoldBug.

Dezember 2019: Beendigung …

Einstellung von „Ginlo“ auf Grund Insolvenz der Brabbler AG zum Jahresende 2019.

„… Falls Sie noch Bilder, Videos, Dateien etc. aus ginlo herunterladen möchten, bitte gleich erledigen. Denn all Ihre verschlüsselten Inhalte, Metadaten und personenbezogenen Daten werden spätestens zu Ende Dezember unwiederbringlich gelöscht. …“

Januar 2020: Fortführung/Übernahme …

„Im Januar dieses Jahres hat der Brabbler-Mitgründer Karsten Schramm das Projekt ginlo aus der Insolvenz der Brabbler AG übernommen und in die neu gegründete ginlo.net GmbH überführt.“

Quelle: Pressemitteilung vom 14.07.2020 (extern; PDF-Datei)

Projektseite: https://www.ginlo.net

IRC

Der Internet Relay Chat, kurz IRC, zählt zu den ältesten Diensten und damit auch zum Chat-Urgestein des Internets wodurch die Software sehr ausgereift ist. Es ist ein textbasiertes Chatsystem, zu dem es mitlerweile auch sehr gute Clients mit grafischer Oberfläche gibt.

• positiv: sehr verbreitet
• positiv: kein zentrales System
• positiv: keine Anmeldung zur Nutzung erforderlich (ein Alias/Spitzname (nickname) reicht aus)
• positiv: gleichzeitige Verbindung mit verschiedenen Servern möglich
• positiv: verschiedene Apps/Programme als Clients zur Wahl
• positiv: Es gibt eine große Zahl textbasierter Clients (TUI) als auch grafische Clients (GUI)
• positiv: Brücke zum Chatstandard XMPP vorhanden
• negativ: keine festen Chatadressen sondern nur temporäre Spitznamen („nicks“) in Chaträumen
• negativ: ohne zwischengeschaltete Server (“bouncer”) keine Offline-Nachrichten und keine Verteilung auf mehrere Geräte
• negativ: „Channels“ (=Räume) können beim Verlassen von Fremden übernommen werden, wenn als Alias/Nick der des eigentlichen Eigentümers verwendet wird
• negativ: in „Channels“ (Chaträumen (“channels”) sind nur Textnachrichten möglich, jedoch keine Fotos, Audio-Dateien oder Videos (grundsätzlich ist eine Übertragung von Dateien jedoch möglich)

Externe Quellen:

• Deutscher Wikipedia-Eintrag (extern)
• Englischer Wikipedia-Eintrag (extern)
• Übersicht von IRC-Netzwerken: https://netsplit.de/networks/index.de.php (extern)
• Gute Einführung: https://fsi.cs.fau.de/kontakt/irc (extern)

Notify

Eine kommerzielle Plattform für Unternehmen, die verschiedene Inseln gleichzeitig mit Informationen “bedienen” wollen. Es sind dabei: WhatsApp, Instagram, Facebook Messenger, Apple Business Chat, Telegram, Viber, Notify, Webchat.

Querverweis: Sind Brücken und deren Nutzung legal?

• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: 2 Tracker (Google Firebase Analytics & CrashLytics) in der Android-App (30 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 25 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://www.messengerpeople.com/notify (extern)

Olvid

• positiv: ohne Telefonnummer nutzbar
• positiv: die Clientsoftware ist quelloffen
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Servercode ist nicht quelloffen
• negativ: keine deutsche Internetseite/Nutzungsbedingungen
• negativ: “sichere” Anrufe nur mit kostenpflichtiger Version; voller Funktionsumfang muß erkauft werden (“Lockangebot”)
• negativ: 1 Tracker (OpenTelemetry - OpenCensus, OpenTracing) in der Android-App (21 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 13 Drittanfragen (third-party) u.a. auch für Google-Schriften/Cloudflare auf der Internetseite

Projektseite: https://olvid.io (extern)

Revolt Chat

Revolt Chat basiert auf einem eigenen, selbst entwickelten Protokoll und sieht sich selbst als Alternative zu Discord und Rocket Chat.

• positiv: open source (Server und Client)
• positiv: Server in der EU gehostet
• positiv: keine Tracker in der Android-App feststellbar (0 Berechtigungen): Exodus (extern)
• positiv: lt. webbkoll keine Drittanfragen auf der Projektseite
• negativ: zentraler Dienst (= Abhängigkeit); keine Föderation! *)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: erst Beta-Status (extern)
• negativ: aktuell noch keine Apps; lediglich Web-Anwendung
• negativ: in Beta noch keine Ende-zu-Ende-Verschlüsselung

Warum es keine Föderation gibt? In den FAQ (extern) findet sich dazu eine Antwort:

From personal experience, I’ve generally found federated protocols to not be suitable for real time communication, Matrix is incredibly buggy at times and it’s left a sour taste in my mouth.

Die Antwort ist also in etwa: “zu kompliziert für uns, und es will eh keiner” - wenig überzeugend, denn scheinbar gibt es diesen Fragesteller ja doch, sonst wäre das keine oft gestellte Frage (FAQ).

Projektseite: https://revolt.chat (extern)
Entwicklerseite: https://developers.revolt.chat/api (extern)

Rocket.Chat

Teammessenger als Alternative zu Slack mit dem grundlegenden Ziel „Eigenhosting“.

schul.cloud

Nicht mit der „HPI Schul-Cloud“ zu verwechseln!

schul.cloud basiert auf Stashcat und benutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.

• positiv: deutsche Internetseite; deutsche AGB
• positiv: öffentliche Sicherheitsmeldungen (extern)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: kostenlose Basisversion ist ein Lockangebot mit sehr eingeschränkter Funktionalität
• negativ: 2 Tracker (Mapbox und Google Firebase Analytics) in der Android-App (43 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 55 (!) Drittanfragen (third-party) auf der Internetseite

Mehr Informationen: >> hier <<
Projektseite: https://schul.cloud (extern)

Session

Session (vormals unter dem Namen „Loki Messenger“ bekannt) ist ein Fork der Signal-App, der keine Telefonnummer zur Identifizierung verwendet, bei dem aber verschiedene Funktionen aus dem Protokoll entfernt wurden. Aktuell findet ein Wandel der Bezeichnung von „Loki“ zu „Oxen“ statt. Session verwendet Onion-Routing durch Oxen Service Nodes für den Transport und die “LOKI coin” ist zur “$OXEN” geworden.

Oxen über sich selbst (übersetzt):

Oxen ist vieles. Eine private Kryptowährung. Eine sichere Messaging-Plattform. Eine Netzwerk-Anonymitätsschicht. Werkzeuge, um eine privatere Zukunft für das Internet zu schaffen.

Die Messenger-App „Session“ ist eng mit der Kryptowährung „$OXEN“ (vormals: „LOKI coin“) verbunden (übersetzt):

Die Autorisierung eines Servers für den Betrieb im Netzwerk wird durch eine spezielle Staking-Transaktion des Server-Betreibers erreicht, bei der ein Betreiber eine seinem Knoten zugewiesene Menge an Loki-Kryptowährung nachweislich sperren muss (ca. 18.550 Loki-Coins; entspricht 7.420 US-Dollar, Stand: 10.02.2020).

Quelle: Whitepaper Feb. 2020 (extern; PDF)

• positiv: keine Telefonnummer zur Anmeldung oder Nutzung erforderlich
• positiv: App ist quelloffen
• positiv: keine Tracker in der Android-App feststellbar (40 Berechtigungen): Exodus (extern)
• positiv: lt. webbkoll (extern) keine Cookies und keine Drittanfragen
• negativ: keine deutsche Internetseite
• negativ: Perfektes Vorwärtsgeheimnis („perfect forward secrecy/PFS“), Bestreitbarkeit und Selbstheilung wurden entfernt bzw. steht nicht zur Verfügung
• negativ: Die Desktop-Anwendung ist nur eine weitere Electron-Anwendung mit all ihren Fehlern, wie z. B. dem Versuch, sich beim ersten Start mit gvt1.com zu verbinden
• negativ: Session prahlt mit seinem eigenen Onion-Routing, aber es ist nicht möglich, einen eigenen Guard/Bridge-Relay oder einen anderen Proxy (z.B. zuerst durch Tor) in der App zu setzen. Das war’s mit den Metadaten zur Verwendung von Session …
• negativ: Der generierte Schlüssel basiert auf einem 13-Wörter-Seed, es gibt keine Option, diesen zu erhöhen
• negativ: Die Erstellung eines Alias’ kann nicht übersprungen werden, was die Sicherheit gegen Social-Engineering-Attacken und die Erstellung anonymer Accounts erschwert, besonders für neue Nutzer
• negativ: Keine Möglichkeit, mehrere Konten gleichzeitig zu verwenden oder mehrere Sitzungsinstanzen gleichzeitig laufen zu lassen
• negativ: Kein Schutz gegen Spam; das Konto muß gewechselt werden, wenn die ID bekannt wird
• negativ: Man kann nicht einmal die Sprache manuell ändern (es wird automatisch die Sprache des Betriebssystems übernommen) -> Metadaten auf Bildschirmkopien
• negativ: keine Sprach-/Videoanrufe
• negativ: Die “Link-Vorschau”-Funktion wird im Quarkslab-Audit (extern) nicht erwähnt -> ist das Einschalten der Option bzw. die Nutzung sicher?
• negativ: Loki Nodes (Knoten) speichern Nachrichten und Dateien
• negativ: Einstieg in Kryptowährung „$OXEN“ -> keine Unabhängigkeit

Quelle u.a. für Infos: https://restoreprivacy.com/secure-encrypted-messaging-apps/session/ (extern; auch Kommentare lesen!)

Die Frage, warum die Funktion des perfekten Vorwärtsgeheimises entfernt wurde, wird von Session in deren FAQ so (extern) beantwortet:

Einfach ausgedrückt: Session mindert die gleichen Risiken wie PFS auf andere Weise. Durch die Erstellung vollständig anonymer Konten, das Onion-Routing und die Minimierung von Metadaten bietet Session in realen Szenarien einen ebenso wirksamen Schutz wie PFS, in einigen Fällen sogar einen besseren.

Zu Session gab es mal einen Tweet, in dem es darum ging, daß einer der Entwickler wohl eine große Nähe zum Rechtsextremismus hat. Das wurde dann kontrovers diskutiert, ob das etwas über die Software aussagt. Beim CCC wurde das auch kurz angesprochen: https://media.ccc.de/v/df93bf36-c048-4dea-ad2b-898ac3255cfa (extern) Weitere Meinung dazu: „What’s the deal with SESSION, Lokinet, $OXEN and LLARP“ (extern, englisch)

Eine weitere gute Seite mit Information zu Session ist privacyaffairs.com (extern).

Erklärung, was Session für das Onion-Routing verwendet und warum nicht Lokinet: getsession.org (extern)
Roadmap, aus der hervorgeht, dass die Lokinet-Integration noch nicht abgeschlossen ist: oxen.io (extern)
Quellcode für Desktop: https://github.com/oxen-io/session-desktop/releases (extern)
Projektseiten: https://getsession.org (extern), https://oxen.io/ (extern)

Signal

Genauso wie WhatsApp ist Signal defacto ein geschlossenes System, nutzt auch ausschließlich Telefonnummern für die Registrierung, verwendet die selbe Verschlüsselung und hat den Firmensitz ebenfalls in den Vereinigten Staaten von Amerika (USA).

• positiv: keine Tracker in der Android-App feststellbar (68 Berechtigungen): Exodus (extern)
• positiv: Ergebnisse bei webbkoll (extern): 0 Cookies, KEINE Drittanfragen
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: der Desktop-Client basiert auf Electron
• negativ: Telefonnummer für Anmeldung und Nutzung erforderlich
• u.v.m.

Mehr Informationen: >> hier <<

Projektseite: https://signal.org (extern)

Slack

Für die Kommunikation in Arbeitsgruppen konzipiert (Groupware). Lt. Wikipedia (extern) scheint Slack ausgiebig Tracking- und Analyse-Tools zu verwenden.

• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: nur eingeschränkte Grundversion ist kostenlos
• negativ: lt. webbkoll (extern) 6 Cookies; 2 von Dritten; 69 (!) Drittanfragen (third-party) u.a. an Google, Youtube, … auf der Internetseite

Projektseite: https://slack.com/intl/de-de/pricing (extern)

Speek

Speek basiert auf Ricochet Refresh. Während das Original darauf getrimmt wird, daß Dinge sauber und sicher funktionieren, fokusiert sich Speek auf eine „bessere“ Bedienung/Benutzeroberfläche.

• positiv: quelloffene App
• positiv: nutzt TOR
• negativ: Fragwürdige Kopie von Ricochet-Refresh
• negativ?: nutzt Telegram als öffentlichen Chatraum
  

So wie es aussieht, muß Speek mit Vorsicht betrachtet werden, denn der Entwickler von Ricochet-Refresh hat folgende (Warn-)Hinweise gegeben:

kurz: Speek.App ist buchstäblich nur eine Neuauflage von Ricochet-Refresh mit ein paar skizzenhaft implementierten Patches oben drauf und der Ricochet-Refresh-Git-Verlauf wurde entfernt. Bitte lassen Sie sich nicht von geschicktem Marketing und lila Webseiten täuschen. Wenn Ihre Sicherheit ein echtes Anliegen ist (z.B. wenn Sie ein Aktivist oder ein Whistleblower sind), benutzen Sie Speek.App nicht. Für alle anderen gilt: YOLO.

lange Version: Speek.App ist ein Fork einer Entwicklerversion von Ricochet-Refresh, die irgendwann im Oktober 2021 veröffentlicht wurde. Sie haben den Stil aktualisiert (dunkler Modus-Skin, optimierte Symbolleisten, Hintergründe usw.) und einige ziemlich schlecht implementierte Funktionen hinzugefügt (schlecht in dem Sinne, dass die Code-Änderungen dilettantisch und fehlerhaft sind, nicht dass die Verbesserungen der Benutzerfreundlichkeit an sich eine schlechte Idee sind). Ich habe die Änderungen vor ein paar Wochen einer leichten Prüfung unterzogen, und obwohl es nichts gibt, was als Hintertür oder Kryptographie-Scheiße oder ähnliches auffällt, sind die Änderungen sehr schlecht implementiert (etwa wie im ersten Jahr der Uni, wenn ich großzügig bin). Sie haben auch fast alle Verweise auf Ricochet-Refresh und die Organisation Blueprint for Free Speech (die Non-Profit-Organisation, die Ricochet-Refresh durch Zuschüsse unterhält) entfernt.

Quelle: awsomealternatives.org (extern)

Trotz ihrer Auslassungen basiert Speek.App auf Ricochet-Refresh. Der normale Weg wäre, einen Klon eines Git-Repos zu erstellen und einen neuen Zweig mit den eigenen Commits zu beginnen. Stattdessen hat das Speek.App-Team den Code in ein neues Git-Repository kopiert und einen großen “Initial Commit” erstellt. Ich überlasse es der Community, darüber zu spekulieren, ob dies auf Böswilligkeit oder Inkompetenz zurückzuführen ist.

Nebenbemerkung (Sie können diesen Absatz überspringen, wenn Sie kein Turbo-Nerd sind): Ein Nebeneffekt dieses Ansatzes ist, dass sie im Wesentlichen den gesamten Quellcode der (inzwischen alten) Version von tor (die Ricochet-Refresh für ed25519-Verschlüsselungsprimitive verwendet) und der fmt-Bibliothek (die wir für die Debug-Protokollierung verwenden, die nur durch ein Kompilierzeit-Flag aktiviert wird, das in unseren offiziellen Versionen nicht gesetzt ist) kopiert haben. Wir binden diese externen Abhängigkeiten als Git-Submodul ein, was im Grunde ein Soft-Link zu einem externen Git-Repository ist, um das Aktualisieren von Versionen zu erleichtern (zum Beispiel, wenn wir eine neue Funktion benötigen oder wenn ein kritischer Fehler behoben wurde). Beim Kopieren und Einfügen wird dieser Link zerstört, so dass die Version von tor im Speek.App Repo nun mehrere Monate alt ist.

… das Fazit ist, dass man Speek.App nicht benutzen sollte, wenn man sich um seine Anonymität und Sicherheit sorgt. Ich habe nichts aktiv Bösartiges gefunden (z.B. Hintertüren, gebrochene Krypto, etc.). Was jedoch die Qualität des Codes angeht, so sind die neuen Funktionen sehr amateurhaft implementiert und enthalten mit ziemlicher Sicherheit Bugs, wenn nicht sogar Sicherheits- oder Datenschutzlücken. Ich bin mir sicher, dass ein unerschrockener Sicherheitsforscher, der ein wenig Zeit hat, etwas Interessantes rund um die RichTextBox-Nutzung finden kann ;)

Wie auch immer, es wäre schön, wenn ihr (Speeek.App) zumindest die AUTHORS.md Datei wiederherstellen würdet :)

Quelle: reddit.com (extern)

Projektseite: https://speek.network (extern)

Sphinx

Wieder mal einer, bei dem es um leichtes Geldverdienen für alle geht: „Earning is the key that starts the flywheel. Speech and assembly support decentralized earning.“

• positiv: quelloffen
• positiv: dezentral
• negativ: Kryptowährung „bitcoin“ -> keine Unabhängigkeit
• negativ: keine deutsche Internetseite
• negativ: kein Impressum
• negativ: 3 Tracker (Bugsnag, Google Firebase Analytics, MixPanel) in der Android-App (21 Berechtigungen): Exodus (extern)
• negativ: lt. webkoll (extern) HTTPS nicht als Voreinstellung, 18 Anfragen an 5 Hosts

Projektseite: https://sphinx.chat (extern)

Stashcat

Stashcat ist auch die Basis von schul.cloud und nutzt ein firmenintern entwickeltes, nichtöffentliches Protokoll zur Datenübertragung.

• positiv: deutsche Internetseite; deutsche AGB
• positiv: keine Cookies auf der Internetseite
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP- negativ: App ist nicht quelloffen
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: keine Einsicht in die Sicherheitsprüfungen (Audits)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: 2 Tracker (Google Firebase Analytics, Mapbox) in der Android-App (44 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 1 Drittanfrage (third-party) an Youtube auf der Internetseite

Mehr Informationen: >> hier <<

Status.im

Messenger mit Börse für digitales Geld („Crypto Wallet“). Sehr eng verwoben mit der Kryptowährung „Etherum“. Im Whitepaper (extern) steht als Überschrift: „The Status Network - A strategy towards mass adoption of Ethereum“

• positiv: keine Tracker in der Android-App feststellbar (15 Berechtigungen): Exodus (extern)
• positiv: dezentraler Dienst (individuelle „Knoten“ (extern))
• positiv: App (und Servercode?) ist quelloffen
• positiv: deutsche Internetseite
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Einstieg in Kryptowährung „Etherum“ -> keine Unabhängigkeit
• negativ: lt. webbkoll (extern) 24 Drittanfragen (third-party) auf der Internetseite

Status.im (Status Research & Development GmbH) aus der Schweiz hat sich mit über 99 Millionen (extern) an diversen Unternehmen beteiligt - unter anderem auch mit 10 Millionen Dollar an Matrix (mit 10 Mio. (jeweils 5 Mio) an Matrix.org und New Vector).

Messengervergleich von status.im: https://our.status.im/private-messengers-what-can-they-really-see (extern)
Quellcode: https://github.com/status-im (extern)
Projektseite: https://status.im/de/private-messenger (extern)

Teamwire

• deutsche Internetseite; deutsche AGB
• positiv: Föderation zwischen unterschiedlichen Teamwire-Servern ist möglich https://teamwire.eu/produkt/backend-federation/ (extern)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: 2 Tracker (Amplitude, Google CrashLytics) in der Android-App (24 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 3 Cookies von Dritten und 28 Drittanfragen (third-party) auf der Internetseite

Projektseite: https://teamwire.eu (extern)

Telegram

• positiv: App ist quelloffen
• positiv: lt. webbkoll (extern) KEINE Drittanfragen (third-party)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Servercode ist nicht quelloffen (proprietär) (extern)
• negativ: zum Firmensitz gibt es unterschiedliche Angaben
• negativ: erfordert die Telefonnummer zur Identifikation/Nutzung
• negativ: Telefonnummern und Namen werden hochgeladen
• negativ: Ende-zu-Ende-Verschlüsselung nicht voreingestellt
• negativ: Keine Inhalt-Verschlüsselung in Gruppenchats möglich
• negativ: Ende-zu-Ende-Verschlüsselung pro Gesprächspartner an ein Gerät gebunden (entweder Telefon oder Desktop oder Tablet oder …)
• negativ: Abschaltung von Online- und Gelesen-Status nicht möglich
• negativ: Kryptowährung (Telegram Coin „GRAM“) (mißglückter Versuch)
  Anscheinend wurden 1,7 Milliarden US-Dollar von Investoren in das Krypto-Netzwerk von Telegram investiert (Quelle (extern)) aber Info vom Mai 2020: Telegram stampft die Kryptowährung Gram und Blockchain-Plattform TON ersatzlos ein (extern).
• negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (56 Berechtigungen): Exodus (extern)

Gefahr durch Einsicht in Telefonnummern bei Gruppen-Chats

Telegram, wird von prodemokratischen Aktivisten in Hongkong genutzt, um die Kommunikation vor den neugierigen Blicken der chinesischen Behörden fernzuhalten. Telegramm ist dort seit 2015 verboten, aber die Nutzer haben Abhilfe geschaffen. Leider ist (2019) ein gefährliches neues technisches Problem mit Gruppen-Messaging aufgetreten, das Telefonnummern einsehbar macht. Die Demonstranten behaupten, dass dies den Regierungsbehörden bereits ermöglicht hat, Personen zu identifizieren und ins Visier zu nehmen.

Dieses spezielle Problem öffnet keine privaten Nachrichteninhalte und betrifft „nur“ öffentliche Gruppen. Aber es zeigt, was passieren kann, wenn die Behörden die Privatsphäre in sicheren Plattformen gefährden können. Und genau hier zeigt sich, worum es in der breiteren Debatte um Verschlüsselung geht und warum die Leidenschaft für dieses Thema so groß ist.

“Ich brauche Hilfe von @telegram”, tweete der lokale Softwareingenieur Chu Ka-Cheong. “Wir und mehrere Teams haben unabhängig voneinander eine schwerwiegende Schwachstelle bestätigt, die dazu führt, dass Telefonnummern an Mitglieder in öffentlichen Gruppen weitergegeben werden, unabhängig von der Privatsphäre. Telegramm wird in #hkprotest stark genutzt, es bringt HKers in unmittelbare Gefahr.”

Quelle: forbes.com (extern)

Mehr Informationen

• Privacy-Handbuch.de hat Telegram neu bewertet (extern)
  
• Wikipedia (extern)
• Security Analysis of Telegram (Symmetric Part) (extern)

Projektseite: https://telegram.org (extern)

TeleGuard

Endlich wieder ein neuer Messenger als Insellösung und mit einem proprietären Protokoll - darauf hat die Welt gewartet! Und wieder mit tollen Versprechen:

• FOKUS AUF PRIVATSPHÄRE
• ENTWORFEN, UM DER PRIVATESTE MESSENGER DER WELT ZU SEIN
• hoch verschlüsselt
• Es werden KEINE MetaDaten und keine IP´s gespeichert
• Um Ihren Account zu löschen, deinstallieren Sie die Anwendung einfach

… angeblich.

• positiv: Aus der schönen Schweiz (von der Firma „Swisscows“)!
• positiv: Telefonnummer nicht als Benutzerkennung
• positiv: keine Tracker in der Android-App feststellbar (25 Berechtigungen): Exodus (extern)
• positiv: lt. webbkoll (extern) keine Drittanfragen (third-party)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: proprietäres Protokoll
• negativ: kein Sicherheitsaudit bekannt / kein Review der Implementierung durch eine unabhängige dritte Person
• negativ: Verschlüsselung (außer „Salsa 20“) nicht nähers spezifiziert
• negativ: kein Desktop-/Web-Client verfügbar
  

Datenspeicherung

Die Informationen der FAQ (extern) widersprechen sich. Aus FAQ #10:

Um Ihren Account zu löschen, deinstallieren Sie die Anwendung einfach. Auf dem Server bleibt nur die vergebene ID. Es werden keine weiteren Daten gespeichert.

Witzig, denn woher weiß der Anbieter nach „deinstallieren Sie die Anwendung einfach“, daß er noch gespeicherte Offlinenachrichten samt Metadaten löschen soll? Und andere können dann keine Nachrichten mehr an das Chatkonto senden? Aber gleich in FAQ #11 ist dann gleich von den auf dem Server gespeicherten Offline-Nachrichten die Rede:

Die Nachrichten werden nur so lange gespeichert bis sie zugestellt wurden. Nach der Zustellung werden diese sofort gelöscht.

Bei einer Löschung der Anwendung werden die Daten des Kontos sowie Metadaten und verschlüsselte Nachrichten für Offlinenachrichten also doch nicht gelöscht. Das passt irgendwie nicht zusammen.

Verschlüsselung

Besser als ein „komplexes Verschlüsselungssystem“ wäre ein für Interessierte nachvollziehbares und aktuelles Verschlüsselungssystem. Komplexität muß nicht positiv sein. Wobei zumindest lt. Wikipedia Salsa20 doch nicht so komplex ist, wie behauptet: „Salsa20 (auch Snuffle 2005) ist eine Stromverschlüsselung, … und beruht auf wenigen einfachen Operationen“ (extern). Es wären also doch ein paar mehr Details zur Implementierung sehr interessant.

Quellen:

dnip.ch: Wieviel Datenschutz steckt in TeleGuard? (extern) Spoiler: Nicht viel.
Projektseite: https://teleguard.com/de (extern)

Threema

Die App ist inzwischen quelloffen, was auch die Kryptographie einschließt. Diese ist zusätzlich auch noch in einem Whitepaper (extern) dokumentiert. Im Gegensatz zu Signal plant Threema übrigens kein Krypto-Bezahlsystem, was sehr vernünftig erscheint:

Nein, wir arbeiten nicht an einem entsprechenden Feature, und mit Threema wird es auch in Zukunft nicht möglich sein, Zahlungen zu tätigen – aus gutem Grund.” Und: “Unserer Ansicht nach ist sicheres Messaging daher nicht mit Zahlungsabwicklungen vereinbar.

• positiv: quelloffene App mit Dokumentation
• positiv: funktionierendes und transparentes Geschäftsmodell
• positiv: keine Kryptowährung oder Online-Bezahlsysteme geplant!
• positiv: mehrgerätefähig
• positiv: unabhängig von Telefonnummer als Kennung
• positiv: Angepasste Version „Threema Libre“ für Android setzt keine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraus
• unklar: Tracker in Android-App „Threma“ (da Bezahlversionen nicht von Exodus geprüft werden können). Aber keine Tracker in der Android-App „Threma work“ feststellbar (36 Berechtigungen): Exodus (extern)
• positiv: lt. webbkoll (extern) keine Cookies Dritter und keine Drittanfragen (third-party)
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: Servercode ist nicht quelloffen
• negativ: keine native Desktop-App

Es gibt einen inoffiziellen Desktop-Client (extern), der auf Electron basiert.

Meinung von Threema über sich selbst: „Was macht Threema besser als alle anderen Messenger?“ (extern)

Datenschutz

Threema wird von mehreren Aufsichtsbehörden als datenschutzrechtlich sehr gut eingestuft, auch der LfDI Herr Dr. Brink hat die Einführung ausdrücklich begrüßt (https://www.baden-wuerttemberg.datenschutz.de/lfdi-gute-entscheidung-fuer-threema-schulen-brauchen-mehr-orientierung/). Die staatliche schweizer Agentur Educa.ch hat eine Liste „Messenger-Dienste für den Einsatz im Bildungskontext“ (extern; PDF) veröffentlicht, in der Threema ebenfalls gut abschneidet.

Finanzierung

Im Jahr 2020 ist der Investor Afinum (extern) bei Threema eingestiegen: https://threema.ch/de/blog/posts/open-source-und-neuer-partner (extern)

Verschlüsselung

Bei Threema ist die Ende-zu-Ende Verschlüsselung standardmäßig aktiviert. Im Dezember 2022 hat Threema das neue Verschlüsselungs-Protokoll „Ibex“ eingeführt, welches einige Schwächen beseitigt und auch in die Zukunft gerichtete Sicherheit (Forward Secrecy) bietet. Das wird ermöglicht durch einen für jede Nachrichtenübermittlung ein eigener Sitzungsschlüssel (Session Key) ausgehandelt wird.

Zukünftig soll das Ibex-Protokoll standardmäßig aktiviert werden. Aktuell ist es noch nötig, das Ibex-Protokoll für jeden Chat einzeln auf beiden Seiten der Kommunikation zu aktivieren. Dafür muss man die Einstellungen eines Chats durch tippen auf die Kopfleiste öffnen und im Abschnitt „Privatsphäre“ die Option „Perfect Forward Secrecy“ aktivieren.

Die Aktivierung des Protokolls wirkt sich nur auf versendete Nachrichten aus. Auch die Gegenseite sollte es aktivieren, damit beide Richtungen optimal geschützt sind.

Quellen:

• Quelloffenheit: https://threema.ch/de/blog/posts/open-source-und-neuer-partner (extern)
• Multigerätefähigkeit: https://threema.ch/de/blog/posts/md-architectural-overview-de#main (extern)
• Kein Krypto-Bezahlsystem geplant: https://social.tchncs.de/@kuketzblog/106030782637515661 (extern)
• Verschlüsselung: https://www.privacy-handbuch.de/handbuch_74d.htm#120223 (extern)
• Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/threema/ (extern; englisch)

Projektseite: http://threema.ch (extern)

Threema Libre

Mit „Threema Libre“ gibt es eine angepasste Version für den Android-App-Store F-Droid, bei der alle proprietären Softwarebibliotheken von Google oder anderen Drittanbietern entfernt sind. Threema stellt hierfür ein separates F-Droid-Repo zur Verfügung, was vor der Installation in der F-Droid-App hinzugefügt werden muß. Des Weiteren wird eine Lizenz benötigt, die im Threema-Shop gekauft werden muß. Das Lizenzmodell ist nicht Kunden- sondern App-bezogen. Bezüglich der Verwendung von Lizenzen aus dem Playstore für die Google-freie Version hat Threema formuliert:

Da wir über Google Play erworbene Lizenzen nicht verifizieren können, lässt sich Threema damit nicht in unserem Shop / F-Droid herunterladen. Wenn der Kauf aber weniger als ein Jahr zurückliegt, kann ich Ihnen gerne eine Rückerstattung anbieten, und Sie können eine Lizenz über unseren Shop erwerben. Bei Käufen, die mehr als ein Jahr zurückliegen, ist eine Rückerstattung aufgrund von Einschränkungen seitens Google Play leider nicht möglich. Wenn Sie eine Rückerstattung wünschen, erstellen Sie bitte zuerst ein Daten-Backup und senden uns danach die Google Play-Rechnungsnummer zu.

… Vermutlich gilt das für alle Kunden.

Einschränkungen im Vergleich zur PlayStore-Version:

• Push: Googles Push-Service „firebase cloud messaging (fcm)“ funktioniert nicht, es wird „Threema-Push“ verwendet.
  Infos dazu aus dem Quellcode: Github (extern)

• Emojies: Es sind keine integrierten Emojies verfügbar. Statt dessen werden die des Systems angezeigt/verwendet (je nach Android-Version ggfs. über langes Drücken der Eingabetaste zu erreichen)
  Infos dazu aus dem Quellcode: Github (extern)

• Google Sprachassistent funktioniert nicht.

Weitere Einschränkungen gefunden/festgestellt? Diese gerne melden: >> Kontakt <<

Allgemeine Infos zu Push-Diensten wie FCM/GCM: Kuketz (extern)
Infos zur Bau (Compilieren) der App: Github (extern)
Datensicherung: https://threema.ch/de/faq/data_backup (extern)
Installation: Threema (extern)

Threema work

• positiv: keine Tracker in der Android-App „Threma work“ feststellbar (36 Berechtigungen): Exodus (extern)

Da viele auch im beruflichen/schulischen Umfeld ein privates Smartphone verwenden, sollte jeder Nutzer von Threema Work noch folgende Punkte bei der Installation beachten bzw. für sich entscheiden:

1. Hinterlegen der Telefonnummer
   Empfehlung: Nicht hinterlegen, denn die hinterlegte Telefonnummer wird auch externen Kontakten (und damit natürlich auch Eltern und Schülern) angezeigt.
2. Hinterlegen der E-Mail-Adresse
   Empfehlung: Nur die berufliche/schulische E-Mail-Adresse hinterlegen - keine private E-Mail-Adresse.
3. Freigeben des Adressbuchs / der Kontakte
   Empfehlung: Nicht freigeben, da die App auf dem privaten Smartphone läuft, würden durch die Freigabe auch private Kontakte importiert. Lehrkräfte z.B. sollten die schulischen Kontakt nur in Threema Work verwalten.

Die Einstellungen können auch nach der Ersteinrichtung noch unter „Mein Profil“ geändert werden und dort kann das eigene Profil zudem weiter personalisiert werden.

Für Schulen gilt: Private Smartphones von Lehrkräften für die Nutzung von Threema Work müssen in die Geräteliste auf dem „Formular zur Nutzung privater DV-Geräte“ (extern) aus der “VwV Datenschutz an öffentlichen Schulen” aufgenommen und genehmigt werden!

• FAQ (extern; PDF)
• Handbuch für Android (extern; PDF)
• Handbuch für iOS (extern; PDF)
• Videoanleitung für Android
• Videoanleitung für iOS

TikTok

• negativ: eigentlich alles (extern)
• negativ: 5 Tracker in der Android-App (67 Berechtigungen): Exodus (extern)
• Abfrage per webbkoll (extern) nicht möglich

Vorsicht bei TikTok

Auf verschiedenen Seiten wird auf Probleme hinngewiesen bzw. wird vor der Nutzung sogar gewarnt:

• https://www.kuketz-blog.de/tiktok-app-verstoesst-gegen-das-ttdsg (extern)
  

Projektseite: https://www.tiktok.com (extern)

Viber

Viber gehört dem japanischen multinationalen Großkonzern „Rakuten“. Der Firmensitz von „Viber Rakuten“ ist in Luxemburg und die technische Entwicklung findet in Weißrußland statt.

Viber speichert (wie WhatsApp) u.a. Daten aus dem Geräte-Adressbuch - und zwar auch von Nichtnutzern. Dadurch wird ein sehr genauer Einblick in das soziale Umfeld ermöglicht. Woher man weiß, ob einer seiner Kontakte Viber nutzt und man ungefragt für Auswertungszwecke mißbraucht wird? Gar nicht. Aber man kann zumindest einen Antrag stellen, daß das nicht gemacht werden soll:

Wenn Sie kein Viber-Nutzer sind und nicht wünschen, dass Ihre Rufnummer aufgenommen wird, dann kontaktieren Sie uns bitte unter: https://help.viber.com/en/contact (extern)

• positiv: weit verbreitet - insbesondere in Ost-Europa und Rußland
• positiv: deutsche Internetseite, Nutzungsbedingungen und Datenschutzerklärung (extern)
• positiv: Nicht-Viber-Benutzer können zu günstigen Preisen international angerufen werden
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: maximale Vorhaltedauer zur Abholung von Nachrichten ist 2 Wochen
• negativ: Mindestalter: 13 Jahre
• negativ: Werbeeinblendungen
• negativ: Telefonnummer für Anmeldung und Nutzung erforderlich
• negativ: Serverstandort unbekannt (einzig entdeckter Hinweis: In Minsk, Weißrussland sind auch Systemadministratoren beschäftigt)
• negativ: Firmensitz unklar (Israel, Weißrussland, Zypern, New York?)
• negativ: Daten werden mit Rakuten Inc. sowie allen Tochterunternehmen (extern) geteilt
• negativ: Daten werden mit vielen Werbepartnern und Servicedienstleistern (extern; PDF) geteilt
• negativ: intensives Tracking (extern; PDF)
• negativ: Speicherung von Finanzdaten, die durch Zahlungsdienste, Abonnemonts oder Käufe entstehen
• negativ: Speicherung von Daten aus anderen Quellen und vermutete Daten (vermutetes Geschlecht, vermutete Interessen, Einkommen, Standort, Charaktermerkmale, Präferenzen, …)
• negativ: Erfassung auch von Nichtnutzern (Name und Mobilnummer) aus dem Adressbuch
• negativ: keine externe Überprüfung des Quellcodes möglich (Quellcode ist Firmengeheimnis)
• negativ: keine unabhängige Sicherheitsprüfung (security audit)
• negativ: 7 Tracker (Adjust, Braze, Google AdMob, Google CrashLytics, Google Firebase Analytics, MixPanel, TwitterMoPub) in der Android-App (66 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 18 Drittanfragen (third-party) auf der Internetseite

Zur Datensammelei und zur Geheimniskrämerei in Bezug auf die Firma:

Viber verpackt das Datensammeln im Marketing sehr geschickt:

Wir können und werden die von dir geteilten Inhalte nicht verkaufen

… die Inhalte sind aber für kaum ein Unternehmen interessant - wohl aber kann Viber die viel wertvolleren Metadaten nutzen und erfolgreich verkaufen!

Viber sammelt massenhaft Daten ihrer Nutzer. Die Firma selbst gibt sich äußerst zugeknöpft.
Eine Sprecherin siedelt Viber überall und nirgends an.

Quellen: https://www.zeit.de/2012/09/Telefonsoftware-Viber (extern), https://www.zeit.de/2012/09/Telefonsoftware-Viber/seite-2 (extern)

Zumindest Nutzer aus Kalifornien können Dank dem „California Consumer Privacy Act“ (CCPA) (Gesetz zum Verbraucherschutz) dem Verkauf ihrer Daten („Do Not Sell My Data“) widersprechen: https://support.viber.com/customer/portal/emails/new?type=CA (extern)

Leider gibt es kaum Informationen von/zu Viber selbst. Weder zur Firma, noch zum Standort der Server. Hier ein seltenes Interview mit executive officer Veronika Kesova (2017): https://productized.medium.com/inside-of-viber-office-in-minsk-belarus-17320ce4a922 (extern)

Wikipedia: https://en.wikipedia.org/wiki/Viber (extern)
Datenschutzerklärung: https://www.viber.com/de/terms/viber-privacy-policy (extern)
Projektseite: https://www.viber.com (extern)

WhatsApp

WhatsApp nutzt ausschließlich Telefonnummern für die Registrierung und als Benutzerkennung. Der Firmensitz liegt in den Vereinigten Staaten von Amerika (USA) und das Geschäftsmodell ist das Sammeln, Ergänzen/Anreichern und ‘Verkaufen’ von Metadaten.

Vor-/Nachteile in der Kürze:

• positiv: extrem weit verbreitet - insbesondere in Europa und den USA
• positiv: Bequeme Einrichtung durch automatischen Kontaktabgleich
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: Datenschutzbedenken und in der Folge Nutzungsverbot in vielen Bereichen (in Firmen, Bildungseinrichtungen, Verwaltung, …)
• negativ: verwendet Telefonnummer als Benutzerkennung
• negativ: 1 Tracker (Google Analytics) in der Android-App (56 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 19 Drittanfragen (third-party) auf der Internetseite
• Tage, seit dem letzten Facebook-Skandal: https://dayssincelastfacebookscandal.com (extern)
• …

Mehr Informationen: >> hier <<

Projektseite: https://whatsapp.com (extern)

Wickr

Wickr ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.

• positiv: Ende-zu-Ende-Verschlüsselung
• positiv: kostenlose Testversion (Wickr Me)
• negativ: keine deutsche Internetseite
• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: nur 10 Gruppenteilnehmer in kostenloser (eingeschränkter) Version (Wickr Me)
• negativ: Dateiversand maximal 10 MB je Datei in der Basisversion (Wickr Me)
• negativ: 3 Tracker (Bugsnag, Countly, Google Firebase Analytics) in der Android-App (20 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 3 Cookies von Dritten und 26 Drittanfragen (third-party) auf der Internetseite
  

Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wickr/ (extern; englisch)

Preise: https://wickr.com/product-tiers/ (extern)
Projektseite: https://wickr.com (extern)

Wire

Wire ist als Messengerlösung für Unternehmen ausgerichtet; nur sehr eingeschränkte Version in der „freien“ Variante.

Wire speichert laut eigenen Angaben eine Datenbank mit einer „Klartextspeicherung von Threads zwischen Nutzern“ auf dem Server. „Damit können wir eine bessere User Experience sicherstellen, wenn mehrere Endgeräte genutzt werden - etwa, um Gesprächsverläufe mit anderen Endgeräten zu synchronisieren“, erklärte Wire.

Der Hauptsitz der Firma wurde im November 2019 in die USA verlegt (extern).

• positiv: deutsche Internetseite; deutsche AGB
• positiv: keine Cookies auf der Internetseite
• positiv: Client und Server sind quelloffen (extern)
• positiv: eigener Server für Geschäftskunden möglich
• positiv: Clients für alle wichtigen Plattformen
• positiv: offiziell auditiert (extern; Audit vom 08.02.2017; PDF)
• positiv: es ist eine Schnittstelle zu standardisiertem Chat (XMPP) geplant = Interoperabilität
• positiv: keine Tracker in der Android-App feststellbar (19 Berechtigungen): Exodus (extern))
• negativ: zentraler Dienst (=Abhängigkeit)
• negativ: noch keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: nur Telefonnummer oder E-Mail-Adresse als Benutzerkennung bzw. Identifizierungsmerkmal
• negativ: Speicherung von Nachrichten im Klartext in Datenbanken
• negativ: nur 5 Gruppenmitglieder in kostenloser (eingeschränkter) Version
• negativ: keine Föderation von selbst betriebenen Servern mit anderen Wire-Servern
• negativ: lt. webbkoll (extern) 2 Cookies von Dritten und 25 Drittanfragen (third-party) auf der Internetseite

Interoperabilität

Ein Entwickler äußert sich im Oktober 2019 auf GitHub wie folgt:

Update: internal discussions around federation (between Wire servers as a first step) are happening. what would need to be done to implement: a) XMPP federation between Wire servers b) XMPP API between Wire servers and clients We have no plans to ever implement b) (to speak XMPP between Wire clients and Wire Servers.), or at least not in the next few years. So please don’t focus your efforts on that part. We plan to implement federation between Wire servers first. Whether that makes use of XMPP or not remains to be seen. …

Quelle: https://github.com/wireapp/wire-server/issues/631#issuecomment-541728717

Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/wire/ (extern; englisch)

Preise: https://wire.com/de/preise (extern)
Projektseite: https://wire.com/de (extern)

WireMin

• positiv: 0 Tracker in der Android-App (26 Berechtigungen): Exodus (extern)
• negativ: keine deutsche Internetseite
• negativ: keine deutsche Datenschutzerklärung & AGB
• negariv: keine deutsche Benutzteroberfläche der Apps (bisher lediglich Englisch und Russisch)
• negativ: Apps sind nicht quelloffen
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: befindet sich noch in der Beta-Phase („We will release the design and/or reference code to the public when the initial version is stabilized.“)
• negativ: keine Audio-/Video-Chats und -Konferenzen lt. FAQ (1:1 derzeit im Betastatus)
• negativ: enge Verbindung mit Kryptowährungen
• negativ: keine Angaben zum Entwickler, Team, Comunity, Adresse oder Land gefunden; Kontakt ist lediglich über eine Kontaktadresse bei Google (“…gmail.com) möglich.
• negativ: lt. webbkoll (extern) 7 Drittanfragen (third-party) auf der Internetseite

WireMin bezeichnet sich selbst als “dezentrales, soziales Netzwerk”. Trotz daß verschiedener Open-Source-Code (extern) verwendet wird, ist der daraus gebaute Quellcode von WireMin nicht offen (nicht einsehbar). Ob das der Lizenz des verwendeten Quellcodes entspricht, muß an anderer Stelle geklärt werden. Für die Nutzung ist ein Mindestalter von 13 Jahren vorgeschrieben.

Punkte aus den FAQ (extern):

WireMin legt lt. angeblich Wert auf Datenschutz und Privatsphäre und meint, das durch sein Open-Source-Protokolldesign und die Implementierung von Anwendungen zu beweisen. Allerdings widerspricht diesem Grundgedanken die Verwendung einer E-Mail-Adresse bei Google (Gmail). Hier ist bekannt und in deren AGB dokumentiert, dass jeglicher Schriftverkehr (sowohl versendete als auch eingehende Nachrichten) von Google ausgewertet wird.

Es erfolgt anscheinend keine Datenspeicherung auf zentralen Servern - allerdings dafür auch nicht nur bei Kontakten (Freunden), sondern auch auf ‘zufälligen Geräten im Netzwerk’. Offlinenachrichten seien möglich - wo diese Zwischenspeicherung von Nachrichten jedoch geschieht, entzieht sich dem Einblick und der Kontrolle des Nutzers (aus Datenschutzsicht ist das nicht tragfähig):

Ihre Daten werden weitergegeben und auf den Geräten Ihrer Freunde und anderen zufälligen Geräten im Netzwerk gespeichert. Alle Daten sind durch starke Verschlüsselungsalgorithmen geschützt und können nur mit dem geheimen Seed des Besitzers abgerufen werden.

Nachrichten und Multimediadateien werden weitergeleitet und für 48 Stunden zwischengespeichert, so dass ein Offline-Empfänger Nachrichten von anderen empfangen kann, wenn er wieder online ist. Persönliche Daten, wie z. B. Kontaktlisten, werden so lange gespeichert, bis sie abgelaufen sind. Wenn Sie also ein Konto über einen längeren Zeitraum (z. B. mehrere Monate) nicht mehr nutzen, verschwinden alle Ihre Daten dauerhaft aus dem Netz.

Des Weiteren werden lt. FAQ einige neu entwickelte Protokolle eingesetzt zu denen es noch keine Erfahrungen/Audits gibt und die zudem bisher (warum?) noch nicht veröffentlicht wurden.

Gibt es neue Protokolle oder Technologien, die zum Aufbau von WireMin eingeführt werden?
Ja, und zwar eine ganze Menge!
…
Wir werden das Design und/oder den Referenzcode für die Öffentlichkeit freigeben, sobald die erste Version stabil ist.

Es gibt eine enge Verbindung und Unterstützung von sehr vielen Kryptowährungen - ob das bei einem sozialen Netzwerk zur Kommunikation im Fokus stehen sollte, wird in Frage gestellt:

„Derzeit unterstützen wir Bitcoin-Zahlungen über das Lightning Network und ETH-Zahlungen über das Ethereum Network. Andere bekannte Token, die den ERC-20-Standard verwenden, werden bald von WireMin unterstützt, wie USDT, USDC, SHIB, BNB, LEO, BAT, MKR, DAI, etc.“

Aus den Nutzungsbedingungen und schlecht einzuschätzen, da nicht nähers betrachtet:

„Unsere Apps können Ihnen den Zugriff auf, die Nutzung von oder die Interaktion mit Websites, Apps, Inhalten und anderen Produkten und Diensten von Drittanbietern ermöglichen.“

Fazit:
WireMin ist noch eine Baustelle mit vielen offenen Fragen und fehlender Transparenz.

Projektseite: https://wiremin.org (extern)

XMPP

Der Chatstandard „XMPP“

Ein auf dem internationalen Standardprotokoll „XMPP“ basiertes System, das auf einer föderalen Infrastruktur und einem offenem, erweiterbaren Protokoll basiert. Frühere Bezeichnung war „Jabber“.

Vor-/Nachteile in der Kürze:

• positiv: Keine Abhängigkeit von einer zentralen Stelle
• positiv: Interoperabilität durch Nutzung von Standards
• positiv: Freiheit in der Wahl der Software
• pos&neg: Unterschiedliche Benutzeroberflächen durch Vielfalt bei Clients; kein betriebssystemübergreifender Client (außer Browser)
• negativ: Man muß sich auf Empfehlungen für Clients und auf Empfehlungen für Serverbetreiber verlassen (es gibt nicht den einen Anbieter und nicht die eine App)
• negativ: Verschiedene Apps/Programme mit unterschiedlichem Funktionsumfang
• negativ: Android-Clients haben einen deutlichen Vorsprung vor iOS-Clients in Sachen Benutzerfreundlichkeit als auch Funktionsumfang
• negativ: Abseits der empfohlenen Apps/Programme gibt es auch solche, die z.B. keine OMEMO-Verschlüsselung implementiert haben (diese sind dann trotzdem für öffentliche Chaträume brauchbar)
• negativ: Durch Föderation fallen systembedingt Metadaten an; nicht zur Vermeidung von Metadaten designt, sondern für Interoperabilität
• …

Ausführliche Informationen: >> hier <<

Fazit:
Trotz Schwachstellen die beste Alternative für dein Einsatzzweck WhatsApp, den es derzeit gibt. Empfehlung im Systemvergleich.

Projektseite: https://xmpp.org (extern)

xx-Messenger

Ein auf den Cayman Islands (Steueroase) entwickeltes System, das auch TOR nutzt. Toll animierter und aufwendiger Internetauftritt aber Marketing-Geblubber ohne Ende. Außen hui und innen …

• negativ: Kryptowährung „xx coin“
• negativ: Nicht alles ist quelloffen, es gibt propritäre Elemente: „Metadaten-Schreddern ist eine proprietäre, xx-native Technologie, die verhindert, dass Nachrichten verknüpft oder entschlüsselt werden“
• negativ: Mangelhafte und lieblose Übersetzung ins Deutsche z.B. „TP6T“ statt xx-Messenger, „Apfel“ statt Apple, „mit einer vollständig geschütztem digitalem Währung“, amerikanisches Datumsformat „01.25.2022“, „Nachdem Transaktionsdaten durch neutralisiert wurden xx cMixwerden Zahlungen an…“, „Kekse“ statt Cookies, …
• negativ: kein Impressum
• negativ: 2 Tracker (Google CrashLytics, Instabug) in der Android-App (8 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 51 (!) Drittanfragen (third-party) an 16 einzigartige Hosts u.a. an Google, cloudflare, vimeo, …

Projektseite: https://xx.network/de (extern)

Zoom

Zoom boomt und ist narrensicher zu bedienen - also für Narren gemacht?

• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: insbesondere mangelhafter Datenschutz
• negativ: regelmäßig neue Sicherheitslücken
• negativ: Mindestalter für Nutzung ist 16 Jahre (keine Kinder/Jugendliche!)
• negativ: hohe Kosten für die Allgemeinheit (Steuergelder)
• negativ: maximal 40 Minuten je Konferenz bei kostenloser Version
• negativ: Aufmerksamkeitstracking (Zoom überwacht seine Benutzer und meldet, wenn ein Konferenzteilnehmer das Videofenster mehr als 30 Sekunden nicht im Vordergrund hat)
• negativ: Zoom verbirgt die Tatsache, dass man eine Konferenz betreten kann, ohne die Software installieren zu müssen
• negativ: 1 Tracker (Google Firebase Analytics) in der Android-App (35 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 30 Drittanfragen (third-party) auf der Internetseite
  

Über 6 Millionen Euro für Zoom?

… Rechnet man die Ausgaben der Hochschulen aus den Antworten zusammen, haben sie Zoom im Jahr 2020 insgesamt 2.764.771 Euro bezahlt. Überschlagen auf alle Hochschulen, zu denen keine Daten vorliegen, haben deutsche Hochschulen etwa 6,4 Millionen Euro an das US-Unternehmen gezahlt. …

Quelle: https://netzpolitik.org/2021/private-infrastruktur-fuer-die-lehre-so-viel-bezahlen-hochschulen-fuer-zoom (extern)

Vorsicht bei Zoom

• Warum die Nutzung problematisch ist: Zoom ist böse (extern)
• Zoom an Schulen: Warnung vor Zoom - schul-frei.org (extern)
• Schön kurze Zusammenfassung der bekannten Probleme mit Zoom (extern)
• Bericht über mangelhaften Datenschutz bei Zoom: Warum nicht Zoom? - cyber4edu.org (extern)
• Zugriff auf die Kamera, Root-Rechte und bösartige Links - golem.de (extern) - in Sachen Sicherheit steht Zoom nicht gut da
• Hacking Zoom: Uncovering Tales of Security Vulnerabilities in Zoom (extern; englisch; 25 Minuten) with list of identified vulnerabilities

Einzele Beispiele zu Betriebssystemen:

• Mac: Update-Code in Zoom kann von Angreifern missbraucht werden, um beliebigen Code als root auszuführen: objective-see.com (extern; extern)
  „The ’S’ in Zoom, Stands for Security“
• Windows: Link-Umwandlung in Nachrichten kann von Angreifern genutzt werden, um an Passwort des Windows-Benutzers zu kommen: arstechnica.com (extern; englisch)
• Alle OS: Registrierte Nutzer mit der gleichen E-Mail-Domain sehen sich gegenseitig automatisch im Zoom-Adressbuch, außer Zoom kennt die Domain als shared hoster und hat sie auf einer Blacklist - vice.com (extern; englisch)

Macken in der Nutzung

• Bildschirm teilen und dann das Fenster per Klick auf das X schließen bringt Zoom auf verschiedenen Plattformen zum Absturz
• es ist unmöglich, HD-Auflösung zu erzwingen

Projektseite: https://zoom.us (extern) Datenschutzerklärung: https://explore.zoom.us/de/privacy/ (extern)

post mortem

Manche Dienste wurden schon eingestellt (was die Abhängigkeit von zentralen Systemen immer wieder verdeutlicht). Hierzu gehören:

Grape

• positiv: eigene Server sind möglich (diese sind dann jedoch in sich geschlossene Systeme)
• negativ: Allgemeine Geschäftsbedingungen nur auf englisch
• negativ: 6 Tracker in der Android-App (38 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 9 Cookies von Dritten und 27 Drittanfragen (third-party) auf der Internetseite

Grape ist die Basis für den Untis Messenger (extern).

Pressemitteilung vom 17.11.2021: Grape ist nicht mehr

Mit Bedauern müssen wir bekannt geben, dass die UberGrape GmbH – die Firma hinter Grape – Insolvenz angemeldet hat. …

Quelle: https://www.grape.io/de/blog/grape-ist-nicht-mehr (extern; 17.11.2021)

Hoccer

Über die Funktion „In der Nähe“ bzw. „Weltweit“ erhält man immer wieder anstößige, derbe aber „eindeutige“ Nachrichten von Fremden. Leider ist diese Funktion standardmäßig aktiviert und muß vom Nutzer aus deaktiviert werden. Deshalb erscheint mir Hoccer insbesondere nicht für Kinder oder Jugendliche geeignet!

• positiv: Testsieger bei der Stiftung Warentest im August 2015
• negativ: nicht quelloffen
• negativ: nicht kinderfreundlich, da ominöse Kontakte durch Funktion “In der Nähe”

05/2020: Einstellung von Hoccer (extern)
Auf der Internetseite wurde/wird darüber informiert, daß der Messengerdienst “Hoccer” im Mai 2020 eingestellt wurde:

„… mit großem Bedauern müssen wir Euch mitteilen, dass wir den Dienst der beliebten Hoccer-App einstellen müssen. Die letzten Monate waren für unser gesamtes Team eine große Herausforderung. Die Auswirkungen von Corona haben letzten Endes leider auch uns sowohl auf Personeller, als auch auf Sponsoren Ebene getroffen, so dass wir schweren Herzens „Hoccer“ nun abschalten müssen. Bis zuletzt haben wir versucht unseren Messenger aufrecht zu erhalten, um Euch eine bestmögliche Plattform für eine sichere Kommunikation zu gewährleisten. Wie Ihr Euch vorstellen könnt, war dies mit hohen Kosten verbunden, die wir nur über Firmenkooperationen und Sponsoren in den letzten Jahren abdecken konnten. Durch diesen Wegfall innerhalb der Corona-Krise bleibt uns dementsprechend keine andere Wahl. Wir danken Euch für Eure treue Nutzung unserer App und hoffen, dass Ihr eine passende Alternative finden werdet, die weiterhin Eure Privatsphäre schützt. …“
(Stand: Mai 2020 / 20.07.2020)

ICQ

• negativ: zentraler Dienst (= Abhängigkeit)
• negativ: keine Interoperabilität bzw. keine Schnittstelle zum Chatstandard XMPP
• negativ: App ist nicht quelloffen
• negativ: Servercode ist nicht quelloffen
• negativ: keine deutsche Internetseite/Nutzungsbedingungen
• negativ: heftige Nutzungsregeln (s.u.)
  
• negativ: Keine Verschlüsselung
• negativ: 5 Tracker in der Android-App (56 Berechtigungen): Exodus (extern)
• negativ: lt. webbkoll (extern) 8 Drittanfragen (third-party) auf der Internetseite

Der Name „ICQ“ spielt auf den Satz „I seek you“ („Ich suche dich“) an.

Gestartet war ICQ 1996 von der israelischen Firma Mirabilis. Über AOL (1998) ging der Dient dann 2010 an das russische Investmentunternehmen Digital Sky Technologies, welches sich in Mail.ru Group umbenannte. Im April 2020 wurde „ICQ“ von der Eigentümergruppe (Mail.ru) in „ICQ New“ umbenannt.

Bedenkliche Nutzungsbedingungen

Bei den vom Betreiber ICQ Inc. am 7. Juni 2000 festgelegten Nutzungsregeln verzichtet der Benutzer auf alle seine geistigen Eigentumsrechte an den über den ICQ-Service zugänglich gemachten Daten

Quelle und mehr: https://de.wikipedia.org/wiki/ICQ (extern)

Juni 2024: ICQ Wird als einer der ältesten Chatdienste nach nunmehr insg. 27 Jahren eingestellt …

ICQ will stop working from June 26

… Quelle / Projektseite: https://icq.com (extern)

Messenger Lite

• negativ: nicht quelloffen

Nach sechs Jahren zieht Meta den Stecker beim Messenger Lite. Der Dienst ging im April 2017 in Deutschland als abgespeckte Alternative zum Facebook Messenger an den Start, den es bereits seit 2011 gibt. Im Vergleich zu dem umfangreichen Programm benötigt die Lite-Version nicht nur deutlich weniger Speicherplatz auf dem Smartphone, sie reagiert aufgrund ihrer schlankeren Struktur auch etwas schneller. Im Google Play Store bzw. Apple App Store wurde der Dienst eher mäßig bewertet – jeweils mit 3,8 (Google) bzw. 3,9 (Apple) von 5 Sternen. Nutzer bemängelten vor allem die schlechter werdende Performance nach Updates sowie teils eingestellte Funktionen.

Quelle: Techbook.de 09/2023: Einstellung von Messenger Lite (extern)
Andere: https://techcrunch.com/2023/08/24/meta-is-shutting-down-messenger-lite-for-android-in-september (extern, englisch)

Privalino

• Der „Kindermessenger“ Privalino ist ein Telegram-Klon mit weiteren Einschränkungen; alle Nachrichten werden im Klartext gespeichert und ausgewertet.
• Er ist nur mit Mobilnummern nutzbar - es sind keine Festnetznummern möglich (das ist z.B. bei WhatsApp möglich)

Einstellung von „Privalino“ (extern) u.a. aufgrund Datenschutz und DSGVO zum September 2019:

„… Letztendlich konnten wir aber nicht genügend Eltern für unsere Idee begeistern. …“

Zusatzinformationen

Eine gute (englische) Seite mit ausführlicher Liste zum Thema “warum nicht”: https://securechatguide.org/rejectedapps.html (extern, englisch)
Querverweise: Privatsphäre, Verschlüsselung

• Digitale Gesellschaft:
  Übersicht: https://www.digitale-gesellschaft.ch/messenger/bewertung.html (extern)
  Zum Artikel: „WhatsApp, E-Mail, SMS & Co. auf Sicherheit und Nachhaltigkeit bewertet“ (extern)

• Handbuch für Privatsphäre:
  https://www.privacy-handbuch.de/handbuch_74.htm (extern)

• Anforderungen an „sichere“ Messenger (Mike Kuketz):
  https://www.kuketz-blog.de/conversations-sicherer-android-messenger (extern)

Allgemein

WhatsApp ist ein geschlossenes System, nutzt ausschließlich Telefonnummern für die Registrierung und hat den Firmensitz in den Vereinigten Staaten von Amerika (USA).

Vor-/Nachteile in der Kürze:

• positiv: extrem gut verbreitet - insbesondere in Europa und den USA
• positiv: Nutzungsbedingungen (extern) und Datenschutzrichtlinie (extern) auf Deutsch
• negativ: zentraler Dienst - keine Interoperabilität
• negativ: Datenschutzbedenken und in der Folge Nutzungsverbot in vielen Bereichen (in Firmen, Bildungseinrichtungen, Verwaltung, …)
• negativ: Serversoftware basiert auf öffentlichem Standard, der firmenintern für eigene Zwecke geändert und angepasst wurde
• negativ: Verschlüsselung basiert lediglich auf Programmcode mit öffentlicher Lizenz (unklare Rechtslage (extern)
  Lizenz von WhatsApp (Firmeneigentum) ist nicht vereinbar mit der GPLv3-Lizenz der Programmbibliothek ‘libsignal-protocol-java’ -> es ist geheim und nicht überprüfbar, was und wie tatsächlich verschlüsselt wird.
• negativ: Mindestalter 13 Jahre (kann je Land abweichend sein)
• negativ: Maximale Teilnehmerzahl in Gruppen: 256
• negativ: Dateigrößenbeschränkung auf max. 100 MB bei Android und iOS, 64 MB bei der Nutzung des Webclients auf dem Desktop
• negativ: ausschließlich Telefonnummer als Kennung (egal ob mit/ohne Hash)
• negativ: in Gruppenchats wird die eigene Telefonnummer den anderen angezeigt
• negativ: kein eigenständiger Desktop-Client (ohne Smartphone keine Anmeldung/Nutzung)
• negativ: keine Mehrgerätefähigkeit (ein Chatkonto auf mehreren unabhängigen Geräten nutzen)
  
• negativ: auf Desktop nur mittels Webclient nutzbar - kein eigenständiger Desktop-Client

WhatsApp ist zwar im privaten Bereich sehr beliebt - trotzdem zu Recht umstritten, denn Punkte wie Privatsphäre, Datenschutz, Freiheit und Unabhängigkeit kommen zu kurz:

Rechtsprechung

Urteil Amtsgericht Hersfeld vom 15.05.2017:

„Wer den Messenger-Dienst “WhatsApp” nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.
Wer durch seine Nutzung von “WhatsApp” diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“
Quelle: https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030 (extern)

Empfehlung Bundesdatenschutzbeauftragter

In einem Schreiben des Bundesdatenschutzbeauftragten Dr. Kelber vom 29.10.2019 gibt dieser eine klare Empfehlung:

”… Behörden und Unternehmen, die meiner Aufsicht unterstehen, rate ich regelmäßig davon ab, WhatsApp zur internen Kommunikation zu nutzen. Aus meiner Sicht sollten die Bundesbehörden einen eigenen datenschutzfreundlichen Messenger entwickeln bzw. sich an der Weiterentwicklung eines freien Messengers beteiligen, der dann schrittweise auch für die Kommunikation mit den Bürgern geöffnet werden könnte. Hierbei bietet sich die Entwicklung auf Open-Source-Basis natürlich in besonderem Maße an. …”

Verbot von WhatsApp an Schulen

Der Einsatz von WhatsApp an Schulen ist ganz klar geregelt: WhatsApp ist verboten.

Aus gutem Grund gibt es deshalb entsprechende Vorgaben und Hinweise der für die Bildung zuständigen Landesschulbehörden wie beispielsweise:

• Kultusministeriums Baden-Württemberg: Kommunikationsplattformen am Beispiel WhatsApp (extern)
  Auszug:
  „… Zusammenfassend ist daher festzustellen, dass jede dienstliche Nutzung von WhatsApp an Schulen aus datenschutzrechtlichen Gründen unzulässig ist. …“

Aber auch die Landesdatenschutzbeauftragten haben hierzu eine klare Stellung:

• https://www.datenschutzbeauftragter-info.de/whatsapp-gehoert-nicht-an-schulen (extern)

• Landesdatenschutzbeauftragte für den Datenschutz in Niedersachsen: „Merkblatt für die Nutzung von WhatsApp in Schulen“ (extern)

Verbot von WhatsApp in Firmen bzw. der Verwaltung

Hier ist eine Nutzung i.d.R. ebenfalls offiziell verboten. In vielen Bereichen wird es - auf Grund nicht bekannter Alternativen dennoch unerlaubt und intensiv genutzt. Teilweise wird das sogar von den Vorgesetzten geduldet, was eine klare Führungsschwäche darstellt.
Deshalb muß dieses Problem offen angesprochen und ggf. über den Datenschutzbeauftragten eskaliert werden.

Offenes WhatsApp

Zu Recht fordert die Bundesjustizministerin eine Öffnung von WhatsApp.

Aktion #DeleteWhatsApp

Der aus dem Facebook-Konzern (jetzt „Meta“) ausgestiegene Brian Acton (WhatsApp-Mitgründer) ruft zum Löschen von WhatsApp auf.

Aber: Datensammeln geht auch ohne Konto weiter:
„Um Zugriff auf eure Daten zu erhalten, hat Whatsapp nicht etwa versteckte Hintertürchen nötig, sondern greift lediglich auf die digitalen Telefonbücher eurer Kontakte zu. Hat euer bester Freund beispielsweise euren Geburtstag, euren Wohnort, eure E-Mail-Adresse, eure Telefonnummer(n), die Namen und Daten eurer Familie, eure Webseite, euren Twitter-Namen und diverse weiterer Daten unter eurem Namen gespeichert und gewährt Whatsapp Zugriff auf das Telefonbuch, liest der Messenger all diese Daten ebenfalls aus.
Wenn ihr also wirklich sichergehen wollt, dass Whatsapp und Facebook so wenig wie möglich über euch wissen, müsst ihr alle eure Kontakte darauf hinweisen, eure Daten, die über das Nötigste hinausgehen, von ihren Telefonen zu löschen.“
Quelle: (businessinsider](https://www.businessinsider.de/tech/whatsapp-sammelt-eure-daten-selbst-wenn-ihr-den-messenger-nicht-benutzt) (extern)

Überwachung mit WhatsApp

Die Frage „Kann und darf man WhatsApp für Überwachungszwecke verwenden?“ ist spannend.
Antworten gibt es >> hier <<.

Tipps

Blockieren

In manchen Fällen kann es erforderlich sein, den Zugriff der App auf das Internet zu blockieren. Hierzu gibt es mehrere sehr interessante (englischsprachige) Quellen:

• Anatomy of WhatsApp Messenger (extern; Somanathan Gohulan; Stand 11.03.2018)
  Zitat:
  „If we needs to block WhatsApp fully, try to block e.whatsapp.net — e5.whatsapp.net, because this is for the initial handshake which never allows to use WhatsApp.“
• HOWTO-blocking-WhatsApp (extern; afwall; Stand 04.03.2019) mit sehr vielen interessanten Details zu verwendeten IP-Adressen, Ports und der Verschlüsselung von WhatsApp.
  Zitat auch hier:
  „It’s normally more then enough to block e.whatsapp.net - e5.whatsapp.net, because this is for the initial handshake which means if that fails you can’t receive/send any message. You should try this first.“

Registrierung ohne Mobilnummer

Für die Registrierung ist es nicht erforderlich, seine tatsächlich genutzte Mobilnummer anzugeben. Man kann hierfür eine extra SIM-Karte mit anderer Mobilnummer verwenden - oder auch eine ungenutzte Festnetznummer (funktioniert auch mit der Telefonnummer einer öffentlichen Telefonzelle!). In diesem Fall bekommt man die Bestätigungs-SMS mit dem Überprüfungscode telefonisch vorgelesen.

Quellen:

• netzwelt.de (extern)
  
• vice.com (extern; englisch)

WhatsDeleted

Um Nachrichten vor dem Löschen des Senders zu retten, kann die App WhatsDeleted eingesetzt werden. Dabei werden die Nachrichten und Medien in eine lokale Sicherung kopiert, so daß man auf diese auch noch Zugriff hat, wenn der Absender die ursprüngliche Nachricht gelöscht hat.

Projektseite: https://f-droid.org/packages/com.gmail.anubhavdas54.whatsdeleted (extern)

Entschlüsseln der Datenbank

Der private Schlüssel für die WhatsApp-(und auch Signal-)db ist im Klatext auf dem Gerät gespeichert (/data/data/com.whatsapp/files/key), kann per ADB ausgelesen und die Daten dann mit TriCrypt/OmniCrypt entschlüsselt werden. Alles was man braucht ist als App bei XDA verfügbar oder online auch bei whatcrypt.com (extern)

Projektseite: https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor (extern)

Backup-Popup

Wenn man bei der Frage nach den zu erstellenden Backups „niemals“ auswählt, wird man alle paar Wochen mit einem Popup belästigt und gefragt, wann die Sicherung (auch in die Cloud) erfolgen soll. Das läßt sich nicht abschalten und kommt wieder und wieder - bis man irgendwann versehentlich oder genervt auf „täglich“, „wöchentlich“ oder „monatlich“ klickt … sehr ärgerlich, also Vorsicht!

Spezialwissen

WhatsApp, what’s inside?

Als Nachrichtenformat verwendet WhatsApp eine modifizierte Version des XMPP-Protokolls. Alle Nachrichten werden komprimiert, indem häufig verwendete Wörter durch 1- oder 2-Byte-Token ersetzt werden (z.B. wird statt “Nachricht” ein Byte 0x5f geschrieben), was zu dem sogenannten „Functional XMPP“ / FunXMPP (offizielle Bezeichnung: chatd) führt. Einen sehr interessanten und tiefen Blick in die Internas bekommt man bei umumble.com (extern; englisch).

Hier gibt es noch eine weitere schöne (kürzere) Information dazu: https://git.triangulation.nl/koenk/whatspoke/blob/master/doc/funxmpp.md (extern; englisch)

Netzwerkeinstellungen wie Protokolle, Ports, IP-Adressen, Hostnamen: https://developers.facebook.com/docs/whatsapp/guides/network-requirements (extern; englisch)

Welche Ports verwendet WhatsApp? (extern)
Aktuell verwendet WhatsApp verschiedene Ports. Dazu gehört nicht nur der Port TCP 443 (HTTPS) und TCP 80 (HTTP) sondern auch die Portnummern 4244, 5222, 5223, 5228 und 5242 (alles TCP). Die letzteren Ports werden meist dann verwendet, wenn man die Sprach- oder Videoanrufe von dem Instant Messenger unter Android oder iOS (iPhone) nutzt. Größtenteils verwendet WhatsApp bei der normalen Nutzung aber meistens die Ports 443, 80 und 5222.

Infos auf Wikipedia: https://de.wikipedia.org/wiki/WhatsApp#Protokollkanäle (extern)

Unnützes Wissen

Das Erbe ist heute immer noch in WhatsApp zu finden - so wurde in der msgstore.db der Begriff „jid“ beibehalten als „jid_row_id“ und die Jabber-Idendifizierungsnummer (JID) einer Whats-App-Gruppe lautet „[telefonnummer]-[creation-timestamp]@g.us“

Antwort auf die Frage, ob WhatsApp die Kontaktnamen auch lokal speichert: Ja - in der wa.db, wa_contacts Tabelle, Feld display_name und given_name

Sonstiges

Nicht jeder kann/will WhatsApp (oder eine andere Insellösung) löschen - und hat hierzu auch immer wieder mal eine Frage. Deshalb gibt es sogar hierzu einen öffentlichen Chatraum:

„WhatsApp & andere proprietäre Messenger“ Themenschwerpunkte in diesem öffentlichen Chatraum (=Gruppe/Konferenz) sind proprietäre Messenger (Insellösungen). Insbesondere WhatsApp, aber auch Signal, Threema, Telegram, … Adresse: xmpp:whatsapp@conference.trashserver.net Warum über anbieterunabhängigen Chat? Weil es mit freien Messengern einfach funktioniert ;-)

Wer Whatsapp liebt, sollte folgenden Blog-Artikel besser nicht lesen - oder vielleicht gerade deshalb, denn bekanntlich macht Liebe oft blind …
https://blog.pohlers-web.de/wie-du-bist-nicht-bei-whatsapp/ (extern)

Forderung nach anbieterunabhängigem Chatsystem

01.06.2018 / 12:00 Uhr Quelle: ZEIT ONLINE, dt

„Die Bundesjustizministerin Fr. Katarina Barley fordert die Öffnung von WhatsApp für andere Dienste. Nutzer verschiedener Messenger sollen miteinander kommunizieren können, fordert die Bundesjustizministerin …“

>> Zum gesamten Text <<

Schreiben von freie-messenger.de

06.06.2018: Hinweis auf bereits bestehende Lösungen wie XMPP und Matrix.

Barley will Whatsapp zur Öffnung zwingen

23.06.2018 / 04:13 Uhr (aktualisiert) Quelle: faz.net

„… Sie zog einen Vergleich zum Mobilfunk. „Beim Telefonieren auf dem Handy kann zum Beispiel der eine bei Vodafone sein und der andere bei der Telekom – das spielt keine Rolle, das merkt man nicht einmal“, sagte sie. Bei den Messenger-Diensten wäre das technisch ebenso möglich, …“

>> Zum gesamten Text <<

2. Schreiben von freie-messenger.de

12.07.2018: Nachfrage zum Schreiben vom 06.06. mit Fragen zu konkreten Punkten/Maßnahmen zur Förderung von freier Kommunikation

Antwortschreiben des BMJV

03.09.2018 / Zwischenstand: Keine nationale Aktivität seitens Deutschland

Die dem BMJV am 12.07.2018 gestellten Fragen wurden leider nicht beantwortet. Zudem sieht das Ministerium in Deutschland offensichtlich keinen direkten Handlungsbedarf und statt dessen die Verantwortung bei der Europäischen Union: ”… Was allerdings auch klar ist, nationale Alleingänge bringen uns hier nicht weiter.”

Schade. Vielleicht ist es am Besten, das als „aktuellen Zwischenstand“ anzusehen. Es ist sicherlich nicht einfach, auf politischer Ebene für ein freies Chat-System zu kämpfen und Unterstützer zu finden.

>> Zum gesamten Text <<

Aussagen der Parteien

Die größeren Parteien wurden 2019 um Beantwortung verschiedener Fragen gebeten. Leider haben trotz (mehrfacher) Nachfrage nicht alle geantwortet.

Fast alle politischen Parteien nutzen bisher nur proprietäre, zentrale Messengersysteme. Einzige Ausnahme bilden die Piraten mit Matrix. Zum Einsatz von freien und föderierten Messengersystemen bestehen bei den anderen Parteien zumindest Überlegungen. Es bleibt zu hoffen, dass das nicht nur Wahlaussagen sind:

Anmerkung: Reihenfolge der Parteien analog: https://www.bpb.de/politik/wahlen/wer-steht-zur-wahl/287905/europawahl-2019 (extern)

Freitextantworten der Parteien

Zur Frage:
Wie ist der Stand und was konkret will Ihre Partei unternehmen, um Chatten anbieterunabhänig zu machen oder bestehen Planungen?

Forderung/Meinung der Partei zu freien Messengern:

• Grüne:
  Wir sehen unsere politischen Forderungen als konkrete Schritte dahin Chatten anbieterunabhängig zu machen. So fordern wir bei der „E-Privacy“-Verordnung zum Schutz unserer elektronischen Kommunikation unter anderem, dass mobile Endgeräte wie Smartphones, Tablets oder Sprachassistenzsysteme wie Alexa oder Siri schon vom Werk aus gemäß der Grundsätze „Privacy by design“ und „Privacy by default“ den bestmöglichen Privatsphärenschutz garantieren. Zusätzlich erfordern es Wettbewerb und moderner Verbraucher*innenschutz, dass die Grundsätze der Interoperabilität wie wir sie aus dem Mobilfunk kennen, auch bei onlinegestützten Angeboten gelten. Was heute bei Telefon, SMS und Mail selbstverständlich ist, muss zum Beispiel auch bei Messengerdiensten oder sozialen Netzwerken gewährleistet werden, nämlich unkompliziert zwischen Anbietern und Plattformen kommunizieren und wechseln zu können.
  Wir setzen uns für sichere Ende-zu-Ende-Verschlüsselung ein, für die Förderung freier Software und für Public Money Public Code. Mit vielen parlamentarischen Anträgen zum Thema OpenSource und der Offenlegung öffentlich finanzierter Software hat sich unsere Bundestagsfraktion für eine nachhaltige und gemeinwohlorientierte IT-Strategie eingesetzt, zuletzt mit dem Antrag „Offen für die Zukunft – Offene Standards für eine gerechte und gemeinwohlorientierte Gestaltung der Digitalisierung nutzen“ vom 08.02.2019. (https://www.gruene-bundestag.de/netzpolitik/offene-standards-fuer-eine-gerechte-digitalisierung.html) (extern)

Unklarheiten / Begriffsverwechslungen

Es ist festzustellen, dass bei den Parteien - auch in der Diskussion rund um die Forderung des Bundesjustizministeriums - keine einheitliche Begriffsdefinition zu „Sicherheit“ gibt bzw. hierzu ein unterschiedliches Verständnis vorhanden ist. Deshalb: Ein Protokoll für den Datenaustausch ist lediglich die Basis für technisch sichere (oder auch unsichere) Programme/Apps, die dieses verwenden. Ein Protokoll per se ist nicht „sicher“ oder „unsicher“.

„Sicherheit“ und „Protokoll“ sind also nicht gleichzusetzen, denn durch ein „Protokoll“ wird keine „Sicherheit“ erreicht! Auch ist „Sicherheit“ nicht mit „Datenschutz“ und „Privatsphäre“ gleichzusetzen.

Anmerkung zur Verschüsselung:
Eine Ende-Zu-Ende-Verschlüsselung (E2EE) ist nur dann sinnvoll, wenn die jeweiligen Schlüssel ausschließlich auf den Endgeräten liegen. Wenn die privaten Schlüssel auf den Servern sind, ist es noch nichteinmal erforderlich, Hintertüren (sog. “backdoors”) in Programme einzubauen um Daten unbemerkt auszuspähen.

Aufruf zum „Löschen“ von WhatsApp

28.09.2018 / Quelle: WELT ONLINE, dt

„Der Verkauf von WhatsApp an Facebook hat Mitgründer Brian Acton zu einem der reichsten Menschen Amerikas gemacht. Aber sein Idealismus zerschellte an Mark Zuckerbergs Gier. Jetzt hat Acton erstmals erzählt, was alles passiert war. Ein düsterer Einblick. …“

>> Zum gesamten Text <<

Anmerkung:

Natürlich kann/will nicht jeder sein WhatsApp tatsächlich löschen. Dennoch sollte der Artikel dazu anregen, einen freien Messenger zumindest als weitere (unabhängige) Kontaktmöglichkeit anzubieten.

Meine Vorgehensweise zur Löschung

Interessierte können vor dem Löschen von WhatsApp evtl. noch die Kontoinformationen („Account-Info“) anfordern. Das ist zwar nicht erforderlich - aber interessant:

• In der WhatsApp-App in den Einstellungen die “Account-Info” anfordern (dauert 3 Tage bis zur Verfügungstellung)

• Zur Verfügung gestellte Datei (“Meine Account-Info.ZIP”) speichern und sichern (hat tatsächlich genau 3 Tage gedauert)

In der Datei finden sich dann Informationen zum verwendeten Gerät, zur IP-Verbindung, zur ersten Anmeldung, Akzeptierund er Nutzungsbedingungen, …

Das Löschen von WhatsApp, das ich auf einem Tablet unter Verwendung eine Festnetznummer genutzt habe, erfolgte dann in mehreren Schritten:

1. Vorbereitung
   • Vorankündigung in Gruppen/bei einzelnen Kontakten
   • Aus Gruppen austreten; ggfs. Profilbild löschen
   • WhatsApp-Konto in den Einstellungen durch Eingabe der Telefonnummer löschen
2. Datensicherung
   • WhatsApp-Datenverzeichnis auf PC kopieren (Bilder, …)
3. Deinstallation
   • WhatsApp von Android-Gerät deinstallieren
   • Konto “WhatsApp” in den Android-Einstellungen löschen

Ein anderer Erfahrungsbericht: https://thomas-leister.de/hast-du-whatsapp (extern)

Datensammeln geht auch ohne Konto weiter

WhatsApp kann selbst dann noch Nutzerdaten sammeln, wenn man die App selbst nicht mehr benutzt. Das funktioniert, wenn die eigene Nummer bei anderen Kontakten im Telefonbuch gespeichert ist, die den Messenger verwenden.

“Um Zugriff auf eure Daten zu erhalten, hat Whatsapp nicht etwa versteckte Hintertürchen nötig, sondern greift lediglich auf die digitalen Telefonbücher eurer Kontakte zu.

Hat euer bester Freund beispielsweise euren Geburtstag, euren Wohnort, eure E-Mail-Adresse, eure Telefonnummer(n), die Namen und Daten eurer Familie, eure Webseite, euren Twitter-Namen und diverse weiterer Daten unter eurem Namen gespeichert und gewährt Whatsapp Zugriff auf das Telefonbuch, liest der Messenger all diese Daten ebenfalls aus.

Wenn ihr also wirklich sichergehen wollt, dass Whatsapp und Facebook so wenig wie möglich über euch wissen, müsst ihr alle eure Kontakte darauf hinweisen, eure Daten, die über das Nötigste hinausgehen, von ihren Telefonen zu löschen.”

Quelle: business insider (extern)

Kann und darf man WhatsApp für Überwachungszwecke verwenden?

Ja! und Nein!

Es ist ganz einfach, Freunde und/oder Fremde mittels WhatsApp auszuspionieren, da seit langem unbemerkt eine Sicherheitslücke klafft:

Nutzer des Messengers könnten mit Hilfe eines simplen Tricks überwacht werden. Der Niederländer Loran Kloeze sowie der US-amerikanische Software-Entwickler Robert Heaton legen auf ihren Seiten dar, wie einfach es ist, andere Nutzer im Messenger WhatApp zu überwachen. Die Schwachstelle ist der Online-Status, aus dem sich gezielt Informationen abfragen lassen. Alles was es zur Überwachung benötigt, ist die Telefonnummer des Opfers.

Der Online-Status wird durch eine Chrome-Erweiterung systematisch überwacht, während Web-WhatsApp gestartet ist. Durch die regelmäßige Abfrage lässt sich ein Aktivitätsprotokoll gewinnen, das wiederum Rückschlüsse auf den Tagesverlauf des Nutzers zulässt - etwa

• wann dieser arbeitet,
• zu Bett geht, oder
• ob er die Nacht durchgeschlafen hat.

Auch das „Verbergen“ des Online-Status bringt dem Nutzer in diesem Spionage-Fall nichts. Durch den Abgleich zweier Telefonnummern lässt sich außerdem herausfinden, ob

• zwei Personen regelmäßig miteinander kommunizieren und
• zu welcher Uhrzeit sie das tun.

Die ausspionierten Informationen scheinen auf den ersten Blick unspektakulär und dürften für die wenigsten Nutzer ein großes Problem darstellen. Dennoch lassen sich durch die Sicherheitslücke ausführliche Nutzerprotokolle erstellen, für die Werbetreibende oder andere Interessenten eine Menge Geld bezahlen würden. Im schlimmsten Fall werden die erhobenen Daten für kriminelle Zwecke missbraucht.

Stellungnahme WhatsApp:

Kurz und knapp: WhatsApp ist sich der Lücke bewusst, sieht aber kein Sicherheitsproblem darin.

Demonstration / Experiment

Hier die (englischsprachigen) Erklärungen, wie es funktioniert. Voraussetzung für beide Experimente ist, dass “WhatsApp Web” im Browser gestartet ist.

1. Chrome-Erweiterung von Loran Kloeze

Bei dieser Chrome-Erweiterung werden viele aufeinander folgende Telefonnummern in einem frei wählbaren Bereich angezeigt.

Quelle: https://github.com/LoranKloeze/WhatsAllApp (extern)

2. Robert Heaton und sein „4-Zeilen-Code“

// NOTE - Requires jQuery
setInterval(function() {
  var lastSeen = $('.pane-header .chat-body .emojitext').last().text();
  console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen);
}, 1000);

… der nur noch von “lastSeen” auf das Abrufen de “Online-Status’” geändert werden muss.

Quelle:
https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/ (extern)

3. OnlineStatusMonitor

Auch die Universität Erlangen-Nürnberg zeigt mit ihrem Projekt „Onlinestatusmonitor“ (extern) die Möglichkeiten der Überwachung. Leider ist auch diese Seite nur englischsprachig

Ethische Überlegungen (übersetzt von den Inhalten des Internetauftritts)
Um die Privatsphäre jedes zufällig ausgewählten Nutzers zu schützen, basieren alle in diesem Abschnitt beschriebenen Statistiken auf anonymisierten Daten. Obwohl wir die genauen Online-Zeiten jedes Nutzers über mehrere Monate hinweg verfolgt haben, haben wir uns entschlossen, diese Daten nicht zu veröffentlichen, sondern nur durchschnittliche kumulierte Statistiken zu liefern. Darüber hinaus haben wir einige zusätzliche Maßnahmen ergriffen, wie z.B. die Unschärfe von Profilbildern und die Maskierung einzelner Telefonnummern. Der Datensatz wird nur zu Forschungszwecken verwendet und nicht weitergegeben. Diese Maßnahmen ermöglichen es uns, die praktische Relevanz und die Auswirkungen der permanenten Überwachung von Messenger-Nutzern aufzuzeigen und gleichzeitig sicherzustellen, dass die Privatsphäre jedes zufällig ausgewählten Messenger-Nutzers gewahrt bleibt.

4. Wissenschaftliche Ausarbeitung(en)

Universität Ulm (2014)

https://www.uni-ulm.de/fileadmin/website_uni_ulm/iui.inst.100/institut/Papers/Prof_Weber/2014-MUM-whatsapp-privacy.pdf (extern)

Wissenschaftliche Studie (2020)

In einer kollaborativen Zusammenarbeit der TU Darmstadt, der TU Graz und der Universität Würzburg wird gezeigt, dass aktuell verwendete Verfahren zur mobilen Kontaktermittlung die Privatsphäre von Nutzern massiv bedrohen:

Zitat: Unsere Studie dreier populärer mobiler Messenger (WhatsApp, Signal und Telegram) zeigt, dass entgegen aller Erwartungen sogenannte Crawling Angriffe in großem Stil möglich sind. Mittels einer akkuraten Datenbank von Präfixen für Mobilfunknummern und sehr wenigen Ressourcen ist es uns gelungen, 10% aller US Mobilfunknummern für WhatsApp und 100% für Signal abzufragen. Bezüglich Telegram zeigt sich, dass dessen API eine Reihe sensitiver Informationen preisgibt, selbst über Telefonnummern die nicht bei dem Dienst registriert sind.

Quelle: https://contact-discovery.github.io/de/ (extern)

Anmerkungen

Hinweise:

• Das Script dient nicht zum Ausspionieren / Denunzieren von Personen, sondern soll die einfache Realisierung und das Gefahrenpotential deutlich machen.

• Nutzung auf „eigene Gefahr“.

• Anfragen zur Änderung/Anpassung des Scripts werden nicht beantwortet.

Alles was technisch möglich ist, wird gemacht - die Whats-App-Spionage ist da keine Ausnahme. Aber auch das „Fehlverhalten“ zentralisierter Dienste (Google/WhatsApp/Facebook, …) sollte nicht als Rechtfertiung für eigene „Spionage“ herhalten.

Quellen:
https://www.hna.de/netzwelt/grosse-sicherheitsluecke-bei-whatsapp-entdeckt-zr-8318025.html http://www.chip.de/news/WhatsApp-Sicherheitsluecke-erlaubt-Ueberwachung-von-Freunden_124936240.html

englischsprachig:
https://www.lorankloeze.nl/2017/05/07/collecting-huge-amounts-of-data-with-whatsapp/
https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/ https://www.onlinestatusmonitor.com

Weiterführende Informationen

Ergänzend zum Thema wird an dieser Stelle auf folgende Informationen hingewiesen:

1. WhatsApp und Berechtigungen unter Android
2. Systemvergleich von WhatsApp mit anderen (freien) Systemen
3. Nutzungsverbot von WhatsApp an Schulen und in Firmen

Allgemein

WhatsApp ist ein geschlossenes System, nutzt ausschließlich Telefonnummern für die Registrierung und hat den Firmensitz in den Vereinigten Staaten von Amerika (USA).

Vor-/Nachteile in der Kürze:

• positiv: extrem gut verbreitet - insbesondere in Europa und den USA
• positiv: Nutzungsbedingungen (extern) und Datenschutzrichtlinie (extern) auf Deutsch
• negativ: zentraler Dienst - keine Interoperabilität
• negativ: Datenschutzbedenken und in der Folge Nutzungsverbot in vielen Bereichen (in Firmen, Bildungseinrichtungen, Verwaltung, …)
• negativ: Serversoftware basiert auf öffentlichem Standard, der firmenintern für eigene Zwecke geändert und angepasst wurde
• negativ: Verschlüsselung basiert lediglich auf Programmcode mit öffentlicher Lizenz (unklare Rechtslage (extern)
  Lizenz von WhatsApp (Firmeneigentum) ist nicht vereinbar mit der GPLv3-Lizenz der Programmbibliothek ‘libsignal-protocol-java’ -> es ist geheim und nicht überprüfbar, was und wie tatsächlich verschlüsselt wird.
• negativ: Mindestalter 13 Jahre (kann je Land abweichend sein)
• negativ: Maximale Teilnehmerzahl in Gruppen: 256
• negativ: Dateigrößenbeschränkung auf max. 100 MB bei Android und iOS, 64 MB bei der Nutzung des Webclients auf dem Desktop
• negativ: ausschließlich Telefonnummer als Kennung (egal ob mit/ohne Hash)
• negativ: in Gruppenchats wird die eigene Telefonnummer den anderen angezeigt
• negativ: kein eigenständiger Desktop-Client (ohne Smartphone keine Anmeldung/Nutzung)
• negativ: keine Mehrgerätefähigkeit (ein Chatkonto auf mehreren unabhängigen Geräten nutzen)
  
• negativ: auf Desktop nur mittels Webclient nutzbar - kein eigenständiger Desktop-Client

WhatsApp ist zwar im privaten Bereich sehr beliebt - trotzdem zu Recht umstritten, denn Punkte wie Privatsphäre, Datenschutz, Freiheit und Unabhängigkeit kommen zu kurz:

Rechtsprechung

Urteil Amtsgericht Hersfeld vom 15.05.2017:

„Wer den Messenger-Dienst “WhatsApp” nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.
Wer durch seine Nutzung von “WhatsApp” diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“
Quelle: https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030 (extern)

Empfehlung Bundesdatenschutzbeauftragter

In einem Schreiben des Bundesdatenschutzbeauftragten Dr. Kelber vom 29.10.2019 gibt dieser eine klare Empfehlung:

”… Behörden und Unternehmen, die meiner Aufsicht unterstehen, rate ich regelmäßig davon ab, WhatsApp zur internen Kommunikation zu nutzen. Aus meiner Sicht sollten die Bundesbehörden einen eigenen datenschutzfreundlichen Messenger entwickeln bzw. sich an der Weiterentwicklung eines freien Messengers beteiligen, der dann schrittweise auch für die Kommunikation mit den Bürgern geöffnet werden könnte. Hierbei bietet sich die Entwicklung auf Open-Source-Basis natürlich in besonderem Maße an. …”

Verbot von WhatsApp an Schulen

Der Einsatz von WhatsApp an Schulen ist ganz klar geregelt: WhatsApp ist verboten.

Aus gutem Grund gibt es deshalb entsprechende Vorgaben und Hinweise der für die Bildung zuständigen Landesschulbehörden wie beispielsweise:

• Kultusministeriums Baden-Württemberg: Kommunikationsplattformen am Beispiel WhatsApp (extern)
  Auszug:
  „… Zusammenfassend ist daher festzustellen, dass jede dienstliche Nutzung von WhatsApp an Schulen aus datenschutzrechtlichen Gründen unzulässig ist. …“

Aber auch die Landesdatenschutzbeauftragten haben hierzu eine klare Stellung:

• https://www.datenschutzbeauftragter-info.de/whatsapp-gehoert-nicht-an-schulen (extern)

• Landesdatenschutzbeauftragte für den Datenschutz in Niedersachsen: „Merkblatt für die Nutzung von WhatsApp in Schulen“ (extern)

Verbot von WhatsApp in Firmen bzw. der Verwaltung

Hier ist eine Nutzung i.d.R. ebenfalls offiziell verboten. In vielen Bereichen wird es - auf Grund nicht bekannter Alternativen dennoch unerlaubt und intensiv genutzt. Teilweise wird das sogar von den Vorgesetzten geduldet, was eine klare Führungsschwäche darstellt.
Deshalb muß dieses Problem offen angesprochen und ggf. über den Datenschutzbeauftragten eskaliert werden.

Offenes WhatsApp

Zu Recht fordert die Bundesjustizministerin eine Öffnung von WhatsApp.

Aktion #DeleteWhatsApp

Der aus dem Facebook-Konzern (jetzt „Meta“) ausgestiegene Brian Acton (WhatsApp-Mitgründer) ruft zum Löschen von WhatsApp auf.

Aber: Datensammeln geht auch ohne Konto weiter:
„Um Zugriff auf eure Daten zu erhalten, hat Whatsapp nicht etwa versteckte Hintertürchen nötig, sondern greift lediglich auf die digitalen Telefonbücher eurer Kontakte zu. Hat euer bester Freund beispielsweise euren Geburtstag, euren Wohnort, eure E-Mail-Adresse, eure Telefonnummer(n), die Namen und Daten eurer Familie, eure Webseite, euren Twitter-Namen und diverse weiterer Daten unter eurem Namen gespeichert und gewährt Whatsapp Zugriff auf das Telefonbuch, liest der Messenger all diese Daten ebenfalls aus.
Wenn ihr also wirklich sichergehen wollt, dass Whatsapp und Facebook so wenig wie möglich über euch wissen, müsst ihr alle eure Kontakte darauf hinweisen, eure Daten, die über das Nötigste hinausgehen, von ihren Telefonen zu löschen.“
Quelle: (businessinsider](https://www.businessinsider.de/tech/whatsapp-sammelt-eure-daten-selbst-wenn-ihr-den-messenger-nicht-benutzt) (extern)

Überwachung mit WhatsApp

Die Frage „Kann und darf man WhatsApp für Überwachungszwecke verwenden?“ ist spannend.
Antworten gibt es >> hier <<.

Tipps

Blockieren

In manchen Fällen kann es erforderlich sein, den Zugriff der App auf das Internet zu blockieren. Hierzu gibt es mehrere sehr interessante (englischsprachige) Quellen:

• Anatomy of WhatsApp Messenger (extern; Somanathan Gohulan; Stand 11.03.2018)
  Zitat:
  „If we needs to block WhatsApp fully, try to block e.whatsapp.net — e5.whatsapp.net, because this is for the initial handshake which never allows to use WhatsApp.“
• HOWTO-blocking-WhatsApp (extern; afwall; Stand 04.03.2019) mit sehr vielen interessanten Details zu verwendeten IP-Adressen, Ports und der Verschlüsselung von WhatsApp.
  Zitat auch hier:
  „It’s normally more then enough to block e.whatsapp.net - e5.whatsapp.net, because this is for the initial handshake which means if that fails you can’t receive/send any message. You should try this first.“

Registrierung ohne Mobilnummer

Für die Registrierung ist es nicht erforderlich, seine tatsächlich genutzte Mobilnummer anzugeben. Man kann hierfür eine extra SIM-Karte mit anderer Mobilnummer verwenden - oder auch eine ungenutzte Festnetznummer (funktioniert auch mit der Telefonnummer einer öffentlichen Telefonzelle!). In diesem Fall bekommt man die Bestätigungs-SMS mit dem Überprüfungscode telefonisch vorgelesen.

Quellen:

• netzwelt.de (extern)
  
• vice.com (extern; englisch)

WhatsDeleted

Um Nachrichten vor dem Löschen des Senders zu retten, kann die App WhatsDeleted eingesetzt werden. Dabei werden die Nachrichten und Medien in eine lokale Sicherung kopiert, so daß man auf diese auch noch Zugriff hat, wenn der Absender die ursprüngliche Nachricht gelöscht hat.

Projektseite: https://f-droid.org/packages/com.gmail.anubhavdas54.whatsdeleted (extern)

Entschlüsseln der Datenbank

Der private Schlüssel für die WhatsApp-(und auch Signal-)db ist im Klatext auf dem Gerät gespeichert (/data/data/com.whatsapp/files/key), kann per ADB ausgelesen und die Daten dann mit TriCrypt/OmniCrypt entschlüsselt werden. Alles was man braucht ist als App bei XDA verfügbar oder online auch bei whatcrypt.com (extern)

Projektseite: https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor (extern)

Backup-Popup

Wenn man bei der Frage nach den zu erstellenden Backups „niemals“ auswählt, wird man alle paar Wochen mit einem Popup belästigt und gefragt, wann die Sicherung (auch in die Cloud) erfolgen soll. Das läßt sich nicht abschalten und kommt wieder und wieder - bis man irgendwann versehentlich oder genervt auf „täglich“, „wöchentlich“ oder „monatlich“ klickt … sehr ärgerlich, also Vorsicht!

Spezialwissen

WhatsApp, what’s inside?

Als Nachrichtenformat verwendet WhatsApp eine modifizierte Version des XMPP-Protokolls. Alle Nachrichten werden komprimiert, indem häufig verwendete Wörter durch 1- oder 2-Byte-Token ersetzt werden (z.B. wird statt “Nachricht” ein Byte 0x5f geschrieben), was zu dem sogenannten „Functional XMPP“ / FunXMPP (offizielle Bezeichnung: chatd) führt. Einen sehr interessanten und tiefen Blick in die Internas bekommt man bei umumble.com (extern; englisch).

Hier gibt es noch eine weitere schöne (kürzere) Information dazu: https://git.triangulation.nl/koenk/whatspoke/blob/master/doc/funxmpp.md (extern; englisch)

Netzwerkeinstellungen wie Protokolle, Ports, IP-Adressen, Hostnamen: https://developers.facebook.com/docs/whatsapp/guides/network-requirements (extern; englisch)

Welche Ports verwendet WhatsApp? (extern)
Aktuell verwendet WhatsApp verschiedene Ports. Dazu gehört nicht nur der Port TCP 443 (HTTPS) und TCP 80 (HTTP) sondern auch die Portnummern 4244, 5222, 5223, 5228 und 5242 (alles TCP). Die letzteren Ports werden meist dann verwendet, wenn man die Sprach- oder Videoanrufe von dem Instant Messenger unter Android oder iOS (iPhone) nutzt. Größtenteils verwendet WhatsApp bei der normalen Nutzung aber meistens die Ports 443, 80 und 5222.

Infos auf Wikipedia: https://de.wikipedia.org/wiki/WhatsApp#Protokollkanäle (extern)

Unnützes Wissen

Das Erbe ist heute immer noch in WhatsApp zu finden - so wurde in der msgstore.db der Begriff „jid“ beibehalten als „jid_row_id“ und die Jabber-Idendifizierungsnummer (JID) einer Whats-App-Gruppe lautet „[telefonnummer]-[creation-timestamp]@g.us“

Antwort auf die Frage, ob WhatsApp die Kontaktnamen auch lokal speichert: Ja - in der wa.db, wa_contacts Tabelle, Feld display_name und given_name

Sonstiges

Nicht jeder kann/will WhatsApp (oder eine andere Insellösung) löschen - und hat hierzu auch immer wieder mal eine Frage. Deshalb gibt es sogar hierzu einen öffentlichen Chatraum:

„WhatsApp & andere proprietäre Messenger“ Themenschwerpunkte in diesem öffentlichen Chatraum (=Gruppe/Konferenz) sind proprietäre Messenger (Insellösungen). Insbesondere WhatsApp, aber auch Signal, Threema, Telegram, … Adresse: xmpp:whatsapp@conference.trashserver.net Warum über anbieterunabhängigen Chat? Weil es mit freien Messengern einfach funktioniert ;-)

Wer Whatsapp liebt, sollte folgenden Blog-Artikel besser nicht lesen - oder vielleicht gerade deshalb, denn bekanntlich macht Liebe oft blind …
https://blog.pohlers-web.de/wie-du-bist-nicht-bei-whatsapp/ (extern)

Inhalt:

• Allgemein
  • Telefonnummern
  • Kryptowährung
  • Finanzierung
• Client
  • Nachbauten der App
  • Clientprüfung
• Server
  • Servercode**
  • Servernutzung verboten**
• Verschlüsselung
  • Man-in-the-Middle-Angriff
  • Verschlüsselte Datenbank
  • Sichere Datenwiederherstellung
  • Post-Quantum-Verschlüsselung
• DSGVO/GDPR
• The ecosystem is moving
• 7 Gründe
• Tipps
  • Registrierung ohne Mobilnummer
• Webbkoll
• Verweise
• Fazit

Allgemein

Genauso wie WhatsApp ist Signal de facto ein geschlossenes System, nutzt auch ausschließlich Telefonnummern für die Registrierung, verwendet die selbe Verschlüsselung und hat den Firmensitz ebenfalls in den Vereinigten Staaten von Amerika (USA). Mitgründer Matthew Rosenfeld (alias „Moxie Marlinspike“) hat die Geschäftsführung im Januar 2022 abgegeben (extern) und ist (Stand 03/2023) lediglich noch im Vorstand. Aktueller Geschäftsführer bei Signal ist sein ehemaliger WhatsApp-Mitgründer Brian Acton.

• positiv: gute Ende-zu-Ende-Verschlüsselung mit „Axolotl“ (extern; PDF-Datei), das Grundlage für viele andere Implementierungen ist
• positiv: gute Lobbyarbeit; “offizielle Empfehlung” von Edward Snowden
• positiv: Client ist durchgängig quelloffen
• positiv: eigene Server sind möglich (diese sind dann jedoch in sich geschlossene Systeme)
• negativ: „… beim Einsatz von Signal verbleiben Datenschutzbedenken vor allem, weil dieser Dienst personenbezogene Daten seiner Nutzer außerhalb des Geltungsbereichs der DSGVO verarbeitet. Der Gebrauch dieses Messenger-Dienstes kann daher nicht empfohlen werden.“ Quelle: EKD (extern; PDF-Datei vom 24.10.2018)
• negativ: Dateigrößenbeschränkungen für Video, Audio und Dokumente max. 100 MB (extern), für GIF-Dateien max. 25 MB (extern)
• negativ: zentraler Dienst - keine Interoperabilität
• negativ: tatsächlich eingesetzte Serversoftware muß nicht mit der auf GitHub veröffentlichten Version übereinstimmen
• negativ: Nutzungsbedingungen (extern) sowie Datenschutzerklärung nur auf Englisch
• negativ: ausschließlich Telefonnummer als Kennung (egal ob mit/ohne Hash)
  
• negativ: keine Föderation mit anderen Servern
• negativ: ohne Smartphone keine Anmeldung/Nutzung möglich
• negativ: keine Mehrgerätefähigkeit (ein Chatkonto auf mehreren unabhängigen Geräten nutzen)
  
• negativ: die Desktopanwendung basiert auf Electron
• negativ: Forks der Signal-App dürfen den Server von Signal eigentlich nicht nutzen
• negativ: Schwächen bei der Authentifizierung für die Verschlüsselung
• negativ: Mindestalter 13 Jahre (kann je Land abweichend sein)
• negativ: Kryptowährung „Sentz“ (ehemals „MobileCoin“)
• negativ: nutzt keine eigenen Server sondern Amazon-Infrastruktur

An dieser Stelle extra nochmals der Hinweis: Falls eine falsche oder veraltete Information gefunden wird, bitte Bescheid geben! >> Kontakt <<

Telefonnummern

Hashwerte aus Telefonnummern sind kein Sicherheitsmerkmal, denn Telefonnummern lassen sich aus den Hashwerten ohne Probleme wieder ermitteln (Stichwort „Regenbogentabelle / rainbow table“ (extern)). Außerdem sendet Signal jedem einzelnen Nutzer eine Registrierungs-SMS. Im Klartext wird die Nummer vielleicht nicht an Signal übertragen, das mag stimmen - aber spätestens bei der Registrierung ist diese bekannt und damit kennen sie jede Nummer aller Nutzer. Auch interne Telefonnummern oder Geheimnummern von Firmen, Behörden und Organisationen mit Sicherheitsaufgaben (BOS) oder von Frauenhäusern, die Signal nutzen. Das ist alles in Ordnung - natürlich nicht!

Signal versichert, dass die Hashwerte der Telefonnummern auf einem eigenen Serverbereich liegen. Warum? Es bedeutet, daß diese keine zusätzliche Sicherheit bieten sondern genauso wie die dazugehörigen Telefonnummern gleichfalls schützenswert sind. Ganz abgesehen davon ist es auch egal, wo die Hashwerte (=Telefonnummern) bei Signal gespeichert werden - sie werden gespeichert.

Außerdem greift Signal auch auf das gesamte Telefonbuch des Nutzers zu und man sieht, wer aus dem eigenen Umfeld Signal nutzt. Man kann also nicht nur einzelne Benutzer auswählen mit denen man über Signal kommunizieren möchte und man kann seinen eigenen Zugang somit nicht privat halten.

Kryptowährung

Die Bezeichnung wurde von „MobileCoin“ auf jetzt „Sentz“ (extern) geändert (die ursprüngliche Internetadresse „mobilecoin.com“ wird automatisch auf die neue Adresse „sentz.com“ umgeleitet).

Kritische Stimmen und Reaktionen zu Signal Payments:

• 07.06.2024: Artikel, in dem u.a. auch die Kryptowährung angesprochen wird (englisch): https://bencrypted.gitlab.io/post/8 (extern)
• 09.04.2021: Meinung im Kuketz-Blog: https://www.kuketz-blog.de/kritische-stimmen-und-reaktionen-zu-signal-payments (extern)
• 07.04.2021: Kommentar von Fefe: https://blog.fefe.de/?ts=9e9221ad (extern)
  

Finanzierung

Zur Kostenstruktur hier noch interessante Informationen:

Wir schätzen, dass Signal bis 2025 etwa 50 Millionen Dollar pro Jahr für den Betrieb benötigen wird - und das ist im Vergleich zu anderen beliebten Messaging-Apps, die Ihre Privatsphäre nicht respektieren, sehr wenig.

Übersetzt von Quelle: https://signal.org/blog/signal-is-expensive (extern)

Ende 2023 sah die Kostenaufschlüsselung für den Betrieb einer großen Messaging-Plattform bei Signal wie folgt aus:

• Speicherplatz: 1,3 Millionen Dollar pro Jahr (9,3 %). Interessant ist, dass Signal den Nachrichtenverlauf nicht auf dem Server speichert. Der Nachrichtenverlauf wird auf dem Client gespeichert.
• Server: 2,9 Mio. USD pro Jahr (20,7 %). Kosten für Cloud-Server zur Unterstützung des Nachrichtendienstes.
• Registrierungsgebühren: 6 Millionen Dollar pro Jahr (42,9 %). Dies sind die Kosten für die Validierung von Telefonnummern und die Durchführung anderer Validierungen.
• Gesamtbandbreite: 2,8 Millionen Dollar pro Jahr (20,0 %).
• Zusätzliche Dienste: 700.000 $ pro Jahr (5,0 %). Überwachung der Betriebszeit, Ausfallwarnungen, redundante Kapazität für Disaster Recovery, Wartungsverträge usw.
• Infrastrukturkosten (ab November 2023): Ungefähr 14 Millionen Dollar pro Jahr, um 40 bis 50 Millionen monatlich aktive Nutzer zu unterstützen.

… und das sind nur die Kosten für die Infrastruktur. Man muß alle damit verbundenen Kosten für den Betrieb einer Organisation mit mehr als 50 Mitarbeitern hinzurechnen.

• Wenn man als Firma/Organisation eine Messaging-Plattform in großem Maßstab betreiben will, sollten die Betriebskosten richtig eingeschätzt werden.
• Dies zeigt auch die Auswirkungen des zentralisierten Ansatzes im Vergleich zu einem föderierten Modell. Bei einem zentralisierten Modell muss die Organisation, die die Plattform betreibt, alle Kosten für den Betrieb der Plattform übernehmen. Bei einem föderierten Modell wie XMPP können die Kosten auf das gesamte Netz aufgeteilt werden.

Quelle: process-one.net (extern)

Client

Nachbauten der App

Man kann Signal problemlos vom Aurora Store nehmen oder direkt als APK von der Signal Webseite (extern) herunterladen, die dann auch durchaus problemlos auf googlefreien Geräten läuft.

Alternativ kann man per zusätzlichem F-Droid Repo auch Signal-Forks nutzen wie Langis, Molly (extern) und Signal FOSS (extern). Nachbauten/Abspaltungen ist die Nutzung der Signal-Server lt. Herrn Rosenfeld (Moxie) zwar verboten, aber vielleicht hat Signal noch kein System etabliert, das das aktiv erkennt und blockiert. Bei jeder Abspaltung stellt sich auch noch die Frage, ob und wie der Code für die Kryptowährung rausgenommen wurde und ob Signal dann den Zugriff des Clients auf die quasi proprietären Server noch erlaubt.

Signal selbst möchte nicht, dass die Original-App per F-Droid zur Verfügung gestellt wird.
Quelle: Github (extern)

Clientprüfung

Es scheint so, daß Signal die Möglichkeit hat, “veraltete” Clients (oder Nachbauten der App) zu erkennen und die Kommunikation mit diesen dann ggf. abzulehnen. Ein Hinweis darauf gibt ein Fehlercode beim Kommandozeilen-Tool “signal-cli”:

Error while checking account +XXXXXXXXXXX: StatusCode: 499 org.whispersystems.signalservice.api.push.exceptions.DeprecatedVersionException: StatusCode: 499

Auch Das Senden und Empfangen von Nachrichten mit signal-cli scheint eine “DeprecatedVersionException” auszulösen (Stand: 2022-10-05, 21:59 UTC). Diese Ausnahme scheint dazu gedacht zu sein, veraltete Clients zu deaktivieren.

Quelle: https://github.com/AsamK/signal-cli/issues/1022 (extern; 20.12.2022)

Server

Servercode

Signal wird seit jeher als die sicherheitsbewusste Alternative zu WhatsApp und Co. gepriesen, da es quelloffen ist. Aber die Firma wurde dabei „erwischt“, daß der Servercode der im Einsatz war fast ein Jahr lang nicht dem öffentlichen Code entsprochen hat. Hier die veröffentlichten Versionen des Server-Codes bis (Stand) 14.07.2021 aus dem ersichtlich wird, daß auch in der Vergangenheit viele Versionen (extern) immer wieder nicht veröffentlicht wurden:

• v6.13.0 … 8 days ago
• v6.12.0 … 8 days ago
• v6.11 … 11 days ago
• v6.9 … 13 days ago
• v6.8 … on 11 Jun
• v5.98 … on 2 Jun
• v5.97 … on 28 May
• v5.96 … on 27 May
• v5.31 on 17 Feb
• v5.30 on 17 Feb
• v5.23 on 3 Feb
• v4.97 on 14 Jan
• v4.93 … on 11 Jan
• v0.93 … on 10 Mar 2016
• v0.54 … on 25 Jun 2015
• v0.53 … on 25 Jun 2015
• v0.52 … on 24 Jun 2015
• v0.50 … on 7 Jun 2015
• v0.49 … on 13 May 2015
• v0.48 … on 22 Apr 2015

Der Grund wird die Integration der Kryptowährung (MobileCoin) sein, die schon komplett (vor)geschürft ist.

Aber:

1. Das ist in Ordnung, denn der Servercode gehört Signal (https://github.com/signalapp/storage-service) und es besteht keine Verpflichtung zur Veröffentlichung!
2. Das zeigt (wieder) deutlich die Abhängigkeit, in die man sich bei einem zentralen Anbieter begibt.

Anmerkungen zur Lizenz („AGPL“):
Die Lizenz trifft nur auf alle anderen zu, die jemals Signal-Code verwenden, der unter dieser Lizenz veröffentlicht wurde. Die Originalautoren vom Code können jederzeit die Lizenz beliebig ändern. Lizenzen sind generell immer nur die Nutzungsbedingungen für alle anderen, die nicht das Urheberrecht bzw. relevante Nutzungsrechte am Code selbst halten. Siehe auch Contributor License Agreement (CLA) (extern). Auch unveröffentlichte Software (in diesem Fall Teile der Server-Software die ein Update haben) ist deren Eigentum. Vermutlich gibt es deshalb auch keine erlaubten Aufnahmeanträge von Verbesserungen oder Ergänzungen (sog. „merge requests“) von Anderen bei GitHub.

Bericht:
https://androidpolice.com/2021/04/06/it-looks-like-signal-isnt-as-open-source-as-you-thought-it-was-anymore/ (extern; englisch)

Servernutzung verboten

Hr. Rosenfeld („Moxie“) hat OpenSignal als “Produkt” bezeichnet und ihnen verboten, die offiziellen Signal-Server anzusprechen oder irgendwas mit Signal im Namen zu haben:

I’m not OK with LibreSignal using our servers, and I’m not OK with LibreSignal using the name “Signal.” You’re free to use our source code for whatever you would like under the terms of the license, but you’re not entitled to use our name or the service that we run.
If you think running servers is difficult and expensive (you’re right), ask yourself why you feel entitled for us to run them for your product.

Auf die Frage zur Föderation von Servern:

It is unlikely that we will ever federate with any servers outside of our control again, it makes changes really difficult.

Quelle: https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165 (extern; englisch; 05.05.2016)

Verschlüsselung

Zur Verschlüsselung gehört auch Authentifizierung, denn ohne Authentifikation bringt die beste Verschlüsselung nichts. Aber Signal hat (anscheinend) eine Schwäche:

_“… Unfortunately, Signal’s default authentication scheme is weak. It is arguably worse than X.509’s CA system as used on the web, which is notoriously bad. It relies on a single CA, which is controlled by Signal who also controls the messaging infrastructure. This places Signal in an optimal position to perform a machine-in-the-middle attack on their users like the one described in GCHQ’s Ghost proposal. But, Signal has rightfully earned a trustworthy reputation. …”

Quelle: sequioa-pgp.org (extern; englisch)

I understand that PGP and authentication are great and important ideas, but unfortunately they no longer have a place in the modern world. Moxie Marlinspike

Quelle: gesucht

Man-in-the-Middle-Angriff

Signal ist technisch in der Lage, die E2E-Verschlüsselung durch einen einfachen Man-in-the-Middle-Angriff zu gefährden, da der gesamte Schlüsselaustausch vom Anbieter vermittelt wird. Während Signal die Überprüfung des Sicherheitscodes bietet, ist diese optional und erfordert dennoch einen vertrauenswürdigen Out-of-Band-Kanal, der Nachrichten nicht ersetzt (einer der Kritikpunkte an SimpleX), und sie wird in der Signal-App nicht prominent angezeigt, wenn sich der Sicherheitscode ändert . Die Ansicht von Experten, dass ein kleiner Teil der Benutzer, die diese Funktion nutzen, alle Benutzer schützt, ist irreführend, da sie nur vor groß angelegten Angriffen schützt, bei denen alle (oder ein wesentlicher Teil) der Benutzer gefährdet wären, sie jedoch nur eine schlechte Abwehrwirkung gegen gezielte Angriffe bietet -Angriffe – Benutzer müssen bei jeder Änderung sorgfältig darauf achten, den Sicherheitscode erneut zu überprüfen, und in manchen Fällen kann es sehr schwierig sein, einen zuverlässigen Out-of-Band-Kanal zu finden. Daher würde ich argumentieren, dass Signal nicht als Plattform für geschäftskritische sichere Kommunikation verwendet werden kann, da Signalserver jederzeit eine Neuaushandlung von Schlüsseln auslösen können und dies eine Überprüfung des Out-of-Band-Sicherheitscodes erfordern würde, um zu bestätigen, dass die Ursache durch Kontakte verursacht wurde Gerätewechsel und keine Kompromittierung – betroffene Benutzer können dies im Signal-Gespräch nicht bestätigen, da Benutzer nach der Änderung des Sicherheitscodes keinen Nachweis mehr darüber haben, mit wem sie kommunizieren.

Quelle: reddit.com (extern)

Verschlüsselte Datenbank

Wenn das nächste Mal jemand nach “verschlüsselter Datenbank (weil das bei Signal auch so ist)” fragt …

iOS: https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/ Android: https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/

Es gibt ein kleines plattformübergreifendes Tool (Script), um die Signal-Desktop-Datenbank exportieren zu können („Cross-platform decryption and export utility for Signal Desktop“): https://github.com/aaronsdevera/sigkill (extern) Beschreibung dazu gibt es bei Github (extern; PDF).

Sichere Datenwiederherstellung

Auch die „secure value recovery (SVR)“ diese steht in der Kritik: blog.cryptographyengineering.com

Post Quantum Verschlüsselung

Signal hat diese Art von Verschlüsselung implementiert. Aus deren Dokumentation:

Dieses Dokument beschreibt das “PQXDH” (oder “Post-Quantum Extended Diffie-Hellman”) Schlüsselvereinbarungsprotokoll. PQXDH stellt einen gemeinsamen geheimen Schlüssel zwischen zwei Parteien her, die sich gegenseitig auf der Grundlage öffentlicher Schlüssel authentifizieren. PQXDH bietet Post-Quantum-Forward-Secrecy und eine Form der kryptografischen Abstreitbarkeit, verlässt sich aber auch in dieser Überarbeitung des Protokolls auf die Härte des diskreten Log-Problems für die gegenseitige Authentifizierung. …

Quelle: signal.org (extern)

DSGVO/GDPR

Es liegen keine deutschen Nutzungsbedingungen und keine deutsche Datenschutzerklärung vor. Haben die englische Version in Deutschland Rechtsgültigkeit? Unabhängig davon schreibt Signal in den einführenden Worten zur DSGVO (extern):

In Signal-Nachrichten und -Anrufe können weder von uns, noch von Dritten eingesehen werden, da sie stets Ende-zu-Ende verschlüsselt, privat uns sicher sind.

„uns sicher sind“ ist kein Tippfehler meinerseits - dabei sind nicht Inhalte interessant, sondern die anfallenden Metadaten (Sicherheit =/= Datenschutz).

Und in den „Terms of Service“ (=Nutzungsbedingungen) des Weiteren:

Additional technical information is stored on our servers, including randomly generated authentication tokens, keys, push tokens, and other material that is necessary to establish calls and transmit messages.

… welche Schlüssel („keys“) konkret werden dort gespeichert?

In der „Privacy Policy“ wird explizit (aber unnötigerweise) darauf hingewiesen, daß die Telefonnummer, der Profilname und das Profilbild natürlich immer Ende-zu-Ende-Verschlüsselt sind - aber wie war das nochmal mit den Metadaten bei zentralen Systemen?!

Anscheinend bekommt Google automatisch mit, daß man Signal nutzt:

PING contentproxy.signal.org (107.178.250.75) = Google
Sieht man auch gut so:
$ host contentproxy.signal.org
contentproxy.signal.org has address 107.178.250.75
$ host 107.178.250.75
75.250.178.107.in-addr.arpa domain name pointer 75.250.178.107.bc.googleusercontent.com.

Warum Signal auf Amazon Servern (AWS) läuft -dieser Part aber bei Google- erschließt sich nicht so ohne Weiteres. Vielleicht wollen sie nicht, dass AWS alle Zugriffsdaten abgreifen und korrelieren kann oder vielleicht sollen die “Verkehrsdaten” und die “Metadaten” nicht beim selben Dienstleister und getrennt voneinander sein?

Bei https://signal.org/blog/looking-back-on-the-front/ (extern) wird zumindest erklärt, warum keine eigenen Signal Server genutzt werden.

Das Sicherheitsmodell in Bezug auf Metadaten läßt sich verkürzt mit „vertraue dem zentralen Betreiber“ beschreiben, denn „The ecosystem is moving“ …

The ecosystem is moving

Von Moxie (Mitgründer und Geschäftsführer) gibt es aufbauend auf eine Ausführung von 2016 einen Vortrag von 28.12.2019 mit dem Thema „the ecosystem is moving“ beim Chaos Computer Club („CCC“). Hier wird auf Vor-/Nachteile von zentralen und dezentralen Systemen eingegangen. Natürlich wird Signal hier als die Lösung angepriesen.

Die Argumentation des Signal-Geschäftsführers für sein Produkt ist jedoch umstritten und wird oft überbewertet. Viele dort aufgeführte Argumente stimmen zwar, aber der „Wert der Freiheit“ wird ignoriert. Letztendlich geht es (vielen) nicht nur um technische Sicherheit, sondern vielmehr um Zukunftssicherheit.

Hier verschiedene Quellen/Informationen zu “The ecosystem is moving” (leider alle englisch):

• 10.05.2016: Artikel Matthew Rosenfeld (alias Moxie Marlinspike) (extern)

• 30.11.2016: Einwände Daniel Gultsch (extern)

• 28.12.2019: Vortrag Matthew Rosenfeld (alias Moxie Marlinspike) (extern; gelöscht)
  Anmerkung: Der Vortrag ist auch nicht mehr unter berlin-ak.ftp.media.ccc.de (extern; gelöscht) vorhanden - er ist derzeit dennoch In Youtube (extern) zu finden.

• 29.12.2019: Begründung Matthew Rosenfeld (alias Moxie Marlinspike) für das Offline-nehmen des Videos:
  
  I had asked for it not to be recorded (which is what I’ve been doing with talks for the past 5yrs or so). Seems like there was some confusion, and it was recorded/published, then removed. … I just prefer to present something as part of a conversation that’s happening in a place, rather than a webinar that I’m broadcasting forever to the world. I have less faith in the internet as a place where a conversation can happen, and the timelessness of it decontextualizes.
  Quelle: https://nitter.net/moxie/status/1211443530335281153 (extern)

• 29.12.2019: Meinung seitens Jabber(XMPP) (extern)

• 02.01.2020: Meinung seitens Matrix (extern)
  Teilübersetzung der Meinung von Matrix zu Moxi Marlinspikes Meinung “The ecosystem ist moving”:
  
  … WIE auch immer: all dies [die vorgenannten Fakten] ignoriert eine kritische Sache völlig - den Wert der Freiheit. Die Freiheit zu wählen, welchen Server man benutzen will. Die Freiheit, Ihren eigenen Server zu betreiben (vielleicht unsichtbar in Ihrer Anwendung, in einer P2P-Welt). Die Freiheit zu wählen, in welchem Land Ihr Server läuft. Die Freiheit zu wählen, wie viele Metadaten und die Historie aufbewahrt werden sollen. Die Freiheit zu wählen, welche Apps Sie benutzen wollen - und trotzdem die Freiheit zu haben, mit jedem zu sprechen, den Sie mögen (ohne dass dieser notwendigerweise eine weitere App installiert). Die Freiheit, Ihre eigene Funktionalität zu verbinden - Bots, Bridges, Integrationen etc. Die Freiheit zu wählen, welche Identifikatoren (falls vorhanden) Sie für die Registrierung Ihres Kontos verwenden möchten. Die Freiheit, das Protokoll zu erweitern. Die Freiheit, Ihren eigenen Client zu schreiben oder ganz neue, bisher ungeahnte Systeme darauf zu bauen.
  
  Es stimmt, dass wenn Sie eine für den Datenschutz optimierte Messaging-App um jeden Preis schreiben, ist Moxies Ansatz eine Möglichkeit, dies zu tun. Jedoch endet dies in einer pervers geschlossenen Welt - ein geschlossenes Netzwerk, in dem inoffizielle Clients verboten sind, ohne Plattform, auf der man aufbauen kann, ohne offene Standards, und man endet damit, dass man alles auf eine Karte setzt und darauf vertraut, dass Vergangenheit, Gegenwart und Zukunft Signal seine Werte behalten, wach bleiben und irgendwie Kompromissen und Zensur ausweichen… obwohl es wahrscheinlich das einzige Angriffsziel mit dem höchsten Wert im ‘Netz’ ist.
  
  Ganz einfach, das ist keine Welt, in der ich leben möchte.
  
  Wir verdanken den gesamten Erfolg des Internets (geschweige denn des Web) der Offenheit, Interoperabilität und Dezentralisierung. Zu erklären, dass Offenheit, Interoperabilität und Dezentralisierung “zu hart” sind und sich die Mühe beim Aufbau einer Messaging-Lösung nicht lohnt, bedeutet, das gesamte Potenzial der Lebendigkeit, Kreativität und Innovation, die von einem offenen Netz ausgehen, wegzuwerfen. Sicher, es kann sein, dass Sie am Ende eine Super-Private-Messaging-Anwendung erhalten - aber eine, die anfängt, alarmierend nach einem ummauerten Garten zu riechen, wie die Internet.org-Initiative von Facebook, oder ein AOL-Schlüsselwort oder Googles AMP.
  
  Also nehmen wir weiterhin gerne Moxies Herausforderung an, um ihm das Gegenteil zu beweisen - um zu zeigen, dass es sowohl möglich als auch zwingend notwendig ist, eine offene dezentrale Messaging-Plattform zu schaffen, die (wenn Sie seriöse Apps und Server verwenden) so sicher und metadatenschonend sein kann wie Signal… und in der Tat noch mehr, da Sie Ihren Server im Netz betreiben können und sich nicht mit einer Telefonnummer registrieren müssen und in Zukunft vielleicht sogar überhaupt keinen Server mehr benötigen.
  

7 Gründe

Hier die Überschriften aus einem ausführlichem Kommentar „7 triftige Gründe, warum man auch Signal niemals über den Weg trauen sollte“

1. Der Mobilfunknummern-Zwang
2. Finanzierung
   2a.) Brian Acton
   2b.) Open Tech Fund = Geld von der US-Regierung https://www.opentech.fund/results/supported-projects/open-whisper-systems (extern) 2c.) Was ist wenn das Geld alle ist? Wie gehts dann mit Signal weiter?
3. Amazon΄s Cloud AWS (dazu: https://de.wikipedia.org/wiki/CLOUD_Act )
4. Auffällige “Sicherheitslücken” in drei US-Messengern - naürlich in der Zwischenzeit gepatcht (gestopft):
   • WhatsApp von Facebook: “Der Angreifer kann die Spyware einfach durch einen WhatsApp-Anruf in das jeweilige Gerät einschleusen, selbst wenn der Angerufene gar nicht abhebt.” / https://heise.de/-4421379 (extern)
   • iMessage von Apple: “Ein Google-Sicherheitsforscher schildert, wie sich Schadcode ohne Nutzerinteraktion aus der Ferne auf iPhones einschleusen lässt.” / https://heise.de/-4632972 (extern)
   • und eben die SignalApp: “Großer Lausch-Anruf: Signal nimmt selbsttätig Anrufe an” / https://heise.de/-4546500 (extern)
5. Signal möchte SMS-Ersatz sein
6. Juristischer Einflussbereich der USA und jetzt auch EU
7. “Moxie Marlinspike” (extern) ist nur ein Künstlername

Quelle: Kommentar im Heise-Forum (extern)

Tipps

• Schrit-für-Schritt-Anleitung (extern; englisch) wie man Signal ohne Smartphone nutzen kann
• Signal-Android-App direkt und ohne Aurora/PlayStore: Von der Signal-Seite die versteckte APK (extern) herunterladen - aktualisiert sich auch ohne Aurora/PlayStore
  

Registrierung ohne Mobilnummer

Tipp: Für die Registrierung bei Signal ist es nicht erforderlich, seine tatsächlich genutzte Mobilnummer anzugeben. Man kann hierfür eine extra SIM-Karte mit anderer Mobilnummer verwenden - oder auch eine ungenutzte Festnetznummer (funktioniert auch mit der Telefonnummer einer öffentlichen Telefonzelle!). In diesem Fall bekommt man die Bestätigungs-SMS mit dem Überprüfungscode telefonisch vorgelesen.

Quellen: netzwelt.de (extern) / vice.com (extern; Englisch)

Webbkoll

Quelle: https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fsignal.org (extern)

Verweise

• Projektseite: https://signal.org/de (extern)
• Matthew Rosenfeld (alias Moxie Marlinspike): https://en.m.wikipedia.org/wiki/Moxie_Marlinspike
• Deutscher Wikipedia-Eintrag (extern)
• Warum nicht mit Signal chatten? (alles englische Artikel):
  • 07.06.2024: https://bencrypted.gitlab.io/post/8 (extern)
  • 02.01.2023: Weiterer sehr guter Überblick/Artikel: https://restoreprivacy.com/secure-encrypted-messaging-apps/signal (extern)
  • 10.05.2019: Signal hat zahlreiche Probleme mit dem Datenschutz, die es ungeeignet für privacytools.io (extern) macht
  • 08.08.2018: I don’t trust Signal (extern)

Fazit

Signal als Messenger ist sicherlich “sicher” - allerdings begibt man sich hier in die Abhängigkeit eines einzelnen Anbieters.

Allgemein

Der Unternehmenssitz der heinekingmedia GmbH ist in Hannover (Niedersachsen), wo auch die Polizei und Schulen zu den Nutzern zählen. Darüber hinaus wird Stashcat u.a. auch bei der CDU in Niedersachsen als “parteiinterner Messenger” angeboten (es wird argumentiert, daß dies auch eine „Wirtschaftsförderung“ sei). Stashcat ist auch die Basis für „schul.cloud“ (nicht zu verwechseln mit der „Schul-Cloud“ des Hasso-Plattner-Instituts!)

Technik

Stashcat ist ein Inselsystem und setzt auf ein technisches “Abschotten” des Systems zur Absicherung, wodurch Mißbrauch vermieden werden soll. Es wird kein standardisiertes Protokoll (und auch nicht ein abgewandeltes XMPP) verwendet - sondern eine firmeninterne Entwicklung, in die keine Einsicht gewährt wird.

„Details zu der Krypto-Lösung und wie sich diese etwa von Whatsapp beziehungsweise Signal unterscheide, gibt Heinekingmedia nicht heraus. Auch der IT-Dienstleister der Polizei Niedersachsen, auf dessen Server NIMes läuft, und die Zentrale Polizeidirektion können keine weiteren Angaben dazu machen, da dem zum Teil “die Geschäftsgeheimnisse des Anbieters der Applikation” entgegenstünden.“
(Quelle: golem.de)

Beschreibung lt. „trusted“-Redaktion:
„… Stashcat verbindet die klassischen Funktionen eines IM-Tools mit einem eigenen Cloud Speicher. In diesem lagern Sie Dateien und teilen Sie so direkt aus der App heraus mit Ihren Kollegen - ohne den Umweg über Google Drive oder Dropbox zu nehmen. Zudem bietet stashcat unter dem Motto “Ihre App, unsere Technologie” die Möglichkeit, den Messenger nach Belieben in den Firmenfarben zu gestalten. Ein nettes Feature. Besonderer Wert wird auf den Datenschutz gelegt: Sollte Ihnen die ohnehin schon strenge Regelung nach DIN-Standard und die Speicherung der Daten auf ausschließlich deutschen Servern nicht ausreichen, können Sie sich dazu entscheiden, den Dienst auch lokal auf dem eigenen Server zu hosten. Zugriff auf den Messenger haben Sie, so oder so, per Web, Desktop und mobil auf iOS- und Android-Geräten. Dafür fehlt es leider an Video- und Voice-Chat und an Integrationen zu gänigen Business Tools.“
Quelle: https://trusted.de/stashcat (extern)

Jeder Benutzer erhält einen eigenen Account in der schul.cloud Plattform, der den Vor- und Nachnamen des Nutzers in Klartext umfasst

Sicherheit

Seitens des Herstellers wird zwar bei Nachfrage auf externe Prüfungen („Audits“) verwiesen …

Wie bei allen Computerprogrammen kann es dennoch auch bei „closed source“ Produkten Sicherheitsschwachstellen geben. Eine eigene Recherche zu Stashcat im Internet hat ergeben, daß die Sicherheitsfirma CIPHRON im Jahr 2017 einige Schwachstellen in kryptographischen und sicherheitsgebenden Funktionen des Instant Messengers StashCat gefunden hat. Diese wurden dokumentiert und dem Hersteller bekannt gemacht, damit dieser entsprechend reagieren kann.

Die zahlreichen aufgeführten Schwachstellen seien alle behoben, die damit verknüpften Angriffspunkte beseitigt worden, versichert die hinter Stashcat stehende Firma.

Quellen:

• https://www.ciphron.de/information-security/ciphron-lab-blog/ciph-2017-1-stashcat (extern)
• https://www.golem.de/news/nimes-polizeilicher-kryptomessenger-mit-problemen-1805-134596-2.html (extern)

Auf der Seite des Anbieters gibt es eine Übersicht mit (allen?) aktuellen / bisherigen Sicherheitsmeldungen zur schul.cloud: https://schul.cloud/sicherheit/sicherheitsmeldungen (extern)

Erfahrungen Anderer

Darüber hinaus haben 2019 / 2020 auch andere sehr interessante Erkenntnisse und Erfahrungen mit heinekingmedia bzw. der “schul.cloud” gemacht - das auf Stashcat basiert. Diese sind auf https://philippdormann.de/schul.cloud/ (extern) dokumentiert:

• Einführung (extern)
• Detaillierter Ablauf (extern)
• Neues in Zeiten von #CoronaFerien (extern)
• Fazit und Empfehlung (extern)
• Erkenntnisse Anderer (extern)

Deren Fazit: „Von der ‘schul.cloud’ sind wir nicht überzeugt.“

Werbeauftritt

Das „kostenlose“ Angebot der „schul.cloud“ ist der Aufhänger, um kostenpflichtige Dienste (schul-cloud-pro) zu verkaufen.

Auf der Seite “schul.cloud” wurde damit geworben: “So sicher, dass es auch die Polizei erlaubt! Mehr zum Polizeimessenger.”
Der Werbespruch wurde Stand 03.03.2019 von der Seite entfernt - wird aber weiterhin noch auf der Seite der Fa. heinekingmedia verwendet.

Interessanterweise warb/wirbt die Firma heinekingmedia GmbH mit Argumenten für Stashcat, die exakt auch für Jabber(XMPP) sowie Matrix zutreffen:

• Andreas Noack, Geschüftsführer des Kommunikationsunternehmens aus Hannover, sagt: „Nutzer können bei einem US-Anbieter wie WhatsApp nie ganz sicher sein, dass ihre Daten auch wirklich verschlüsselt werden.“ Das sei nur möglich, wenn die Kunden den Messenger selbst betrieben.

• Stashcat soll Behörden die Möglichkeit bieten, unkompliziert über angelegte Gruppen miteinander Informationen oder Dokumente auszutauschen.

• Ende-zu-Ende-Verschlüsselung der Inhalte

• Es gibt Einzelchats, Gruppendiskussionen und die Möglichkeit, Themenkanäle anzulegen. Beim Datenaustausch können die Nutzer aber auch Excel- und Powerpoint-Dateien hin- und herschicken.

• Der Messenger synchronisiert zudem alle genutzten Geräte der einzelnen Nutzer, sodass der Dienst auf allen Plattformen aktuell bleibt.

• Als wichtigsten Unterschied zu anderen Messenger-Diensten betonen die Macher, dass Stash cat auf Kundenwunsch komplett auf den behörden - oder firmeneigenen Servern laufen kann.

• Weitere Vorteile seien übergreifende Kommunikation durch zentrale Kanäle und umgehende Erreichbarkeit, die verzweigte Organisierbarkeit verschiedener Nutzergruppen sowie der einfache Austausch von Dokumenten, Bildern oder Videos über alle Endgeräte und Plattformen.

• Auch der Aufbau behördenübergreifender Kommunikationsnetzwerke soll mit Stashcat möglich sein.

Lizenzen

“kostet Sie nichts” und “Vertrag zur Datenverarbeitung im Auftrag ist nicht erforderlich”. Letzteres stimmt nicht, da eine Schule, sobald das nicht Einzelpersonen “just for fun” nutzen, sondern die Schule das verpflichtend als Kommunikationsmedium einsetzt, eben ganz klar einen solchen Vertrag mit dem Dienstleister abschließen muss! Das wiederum geht nur mit der Pro-Variante von schul.cloud.

Quellen: Artikel “dbb magazin” vom Mai 2016 / Internetauftritt Stashcat

Fragen zum Produkt

Im Februar 2019 wurden dem Hersteller verschiedene Fragen gestellt und wie folgt beantwortet:

</div>

Psssst: Geheimnisse und Sicherheitslücken

Daten dürfen nicht pauschal an WhatsApp/Facebook übertragen werden. Wer Daten von Dritten ohne Zustimmung weitergibt, handelt rechtswidrig.
Schlicht: Man macht sich strafbar.

1. Sensible Bereiche / Geheimnisträger

2. Geheimnummern / „interne“ Telefonnummern

3. Privatsphäre

Querverweis: WhatsApp für Überwachungszwecke nutzen

„Freie Messenger“ in sensiblen Bereichen / für Geheimnisträger

In vielen Bereichen des alltäglichen Lebens gibt es Geheimnisträger/Berufsgeheimnisträger, die das besondere Vertrauen ihrer Kontakte haben.
Hierzu gehören:

Bei all diesen Berufsgruppen ist nicht davon auszugehen, dass von allen Kontakten eine Einverständniserklärung vorliegt.

Auf dem Infoblatt (PDF) ist dazu alles Wesentliche zusammengefasst.

Berufliche Sofortnachrichten auf privaten Geräten

Ist legales Chatten möglich?

In der Berufswelt und auch an Bildungsträgern stellt sich oft die Frage, ob man einen Messenger auf einem privaten Gerät für berufliche Inhalte überhaupt nutzen darf. Hierzu ist es hilfreich sich darüber im Klaren zu sein, was Texten/Chatten eigentlich ist.

Grundsätzlich ist anzumerken, dass Chatten (=Plaudern) den Charakter von persönlichem „Gespräch“ hat - das wird oft übersehen! Chatten liegt somit näher an der Telefonie wie am Versenden von Briefen/E-Mail - an die ein ganz anderer Maßstab (z.B. auch Archivierungspflicht) anzulegen ist.

Berufliche oder schulische Dokumente sollten deshalb auch nicht mittels eines Chatprogramms übermittelt werden, das auf einem privaten Gerät installiert ist.

Technische Restriktionen

Manche (Insel-)Lösungen versuchen ein Weiterleiten oder Kopieren von Inhalten technisch zu verhindern oder ermöglichen ein „Löschen“ von Nachrichten. Dadurch wird jedoch lediglich Rechtssicherheit suggeriert aber nicht erreicht (Pseudosicherheit). Eine technische Beschränkung ist diesbezüglich ein falscher(?) Grundgedanke bzw. Lösungsansatz, denn unerlaubtes Weitergeben oder Kopieren kann technisch nicht verhindert werden! Einmal empfangene/angezeigte Inhalte können immer unerlaubt kopiert, fotografiert oder weitergeleitet werden. So kann beispielsweise auch nicht verhindert werden, ein Gerät nach dem Empfang aber vor dem Lesen einer Nachricht auf „offline“ zu schalten.

Grundsatzproblem

Das Problem betrifft alle Kommunikationsformen: Ein Telefonat ist möglich unabhängig davon, was gesprochen wird; ein Briefversand ist unabhängig vom Inhalt möglich; bei einem Kopierer wird (außer Geldscheinen) alles kopiert, was ein-/aufgelegt wird. Die Entscheidung für was die Technik genutzt wird, trifft immer der Nutzer.

Beispiel:
Ein dienstliches Telefonat zwischen einem Privathandy und einem privaten Festnetzanschluß wird i.d.R. kein Problem darstellen - dienstrechtlich/strafrechtlich kann es jedoch sehr wohl bedeutend sein, was gesprochen wird.

Deshalb ist Aufklärung wichtig, wie die zur Verfügung stehende Technik sicher und rechtskonform genutzt wird! Analog der privaten Nutzung von dienstlichen Geräten sollte deshalb ein Arbeitgeber/Dienstherr die dienstliche Nutzung von privaten Geräten regeln - heißt: zulassen oder verbieten.

Externer Verweis

In der Zeitschrift „Deutsche Polizei“ wird im Artikel „Sichere Messenger bei der Polizei“ auf Freie Messenger eingegangen und der Einsatz empfohlen.

Interne und private „Geheimnummern“

Oft gibt es Telefonnummern, die nur bestimmten Personen/Personenkreisen vorbehalten sind.

Beispiele für Geheimnummern sind:

• Notfallnummern
• Privatnummern im Geschäftsbereich
• wichtige Telefonnummern im Rettungswesen/Katastrophenschutz
• Zweitnummern, die nicht in öffentlichen Verzeichnissen stehen sollen
• …

Aber auch bei technischen Anlagen gibt es unzählige Beispiele:

• Alarmanlagen
• Türe und Tore mit entsprechender Steuerung
• elektrische Poller, die „per Anruf“ versenkt werden können
• Hausautomation
• …

Da manche Messenger das komplette Adressbuchs des Nutzers ohne dessen aktiver Zustimmung auf ihren zentralen Server laden (z.B. WhatsApp), verstößt dies nicht nur gegen den Datenschutz und ist ein Vertrauensbruch - sondern ist auch eine Sicherheitslücke.

Denkfehler!

Viele Messenger sind zentral organisiert. Das bedeutet, dass selbst ohne das Kennen der verschlüsselten Inhalte ein sehr detailliertes Wissen über die Nutzer und der Beziehungen untereinander gesammelt und (im Firmeninteresse) genutzt wird:

• Wer kennt wen?
• wer kommuniziert?
• mit wem?
• wann?
• wie lange?
  aber auch:
• in welchen Zeiträumen wird nicht kommuniziert?
• …

Die Informationen kommen nicht aus den eigentlichen Inhalt der Nachrichten, sondern aus der Übertragung an sich. Viele Anbieter preisen die „vollständige Ende-zu-Ende-Verschlüsselung“ an. Dabei ist es in diesem Zusammenhang jedoch unerheblich, ob die Kommunikation verschlüsselt ist oder nicht. Das unbegrenzte Sammeln, Aufbewahren und Auswerten der Übertragungsdaten wird verschwiegen/verharmlost. Das wird oft übersehen.

Durch das Abgleichen von Datenbanken und dem Anwenden von mathematischen und analytischen Verfahren lassen sich sehr schnell und einfach wesentliche Hintergründe

• zum persönlichen und beruflichen Umfeld
• zum sozialen Umgang
• zum gesundheitlichen Zustand
• zur wirschaftlichen Situation oder auch
• zur politischen Gesinnung
• …

ermitteln. Dabei haben diese Informationen eine sehr hohe Trefferwahrscheinlichkeit, weshalb sie dann auch für viel Geld gehandelt werden. Dieses Sammeln, Anreichern und Auswerten von Informationen ist Realität und entpricht der täglichen Praxis.

Beispiele

Konkrete Beispiele, die sich aus dem Adressbuch und den (inhaltlich verschlüsselten) Übertragungsdaten ableiten bzw. eindeutig ermitteln lassen:

• Geschlecht
• Ungefähres Alter
• Nationalität
• Wohnort
  • Kaufkraft
  • Bonität
  • Eigentumsverhältnisse
• Familienstand
• soziales Umfeld
• politische Gesinnung
• berufstätig ja/nein
• sozial engagiert ja/nein sowie
• Änderungen:
  • Verhaltensänderungen
  • Beziehungsänderungen
  • Änderungen/Entwicklung bei den anderen vorgenannten Merkmalen
• …

Artikel zum Thema

Hier eine kleine beispielhafte Übersicht, welche Konzerne welche Daten sammeln:

Quelle: https://web.archive.org/web/20191115234907/https://securitybaron.com/blog/the-data-big-tech-companies-have-on-you-or-at-least-what-they-admit-to/amp/ (extern)

Weitere externe Beispiele sind >> hier << zu finden.

Gedankenspiel zur Privatsphäre

Bei „freie-messenger.de“ werden Daten nicht „gesammelt“, „angereichert“ und „verkauft“.

• Würden Sie mir trotzdem einfach alle ihre Kontakte zur Verfügung stellen und mitteilen, wann Sie mit wem kommunizieren?
• … oder ihren Freunden?

-> Warum dann einer gewinnorientierten Firma, die ein zentrales System betreibt?

Privatsphäre betrifft jeden und ist wichtig:
Nicht ohne Grund gibt es Vorhänge für die Fenster oder Wohnungs- und Haustüren, die ein äußeres Zeichen der Privatsphäre sind. Sie schützen vor neugierigen Blicken oder dem Zutritt Fremder in das eigene Leben.

Definition Metadaten

“Metadaten oder Metainformationen sind strukturierte Daten, die Informationen über Merkmale anderer Daten enthalten.

Bei den durch Metadaten beschriebenen Daten handelt es sich oft um größere Datensammlungen wie Dokumente, Bücher, Datenbanken oder Dateien. So werden auch Angaben von Eigenschaften eines einzelnen Objektes (beispielsweise „Personenname“) als dessen Metadaten bezeichnet.

Anwendern von Computern ist oft nicht bewusst, dass Daten über nicht unmittelbar erkennbare Metadaten verfügen und dass diese unter Umständen einen größeren Nutzen für Computerkriminelle oder Behörden haben als die Daten selber.”

Quelle: Wikipedia

Freie Messenger an Schulen / Bildungseinrichtungen

Um im Bereich des Datenschutzes nicht bevormundet zu werden, ist eine grundlegende Kommunikationskompetenz erforderlich. Es ist wichtig, die Bedeutung von freier Software - und hier insbesondere von freien Messengern - frühzeitig schon an Bildungseinrichtungen zu vermitteln. Unabhängige und selbstbestimmte Entscheidungen sind nur dann möglich, wenn man einen Überblick über die verschiedenen Systeme und Hintergründe hat.

Exkurs: WhatsApp an Schulen ist verboten
Exkurs: Lehrkräfte sind Berufsgeheimnisträger

Wenn man in das Thema „Alternativen zu WhatsApp / Freie Messenger“ einsteigen möchte, ist es wichtig, den Verantwortlichen an einem Praxisbeispiel zu vermitteln, welche Möglichkeiten es tatsächlich gibt und dass viele Inhalte mit wenig Aufwand im Unterricht vermittelt werden können. Die Messengerkompetenz muß also gezielt gefördert werden, denn die Erkenntnis „Ach sowas geht? Ich dachte das geht nur mit WhatsApp?“ ist extrem wichtig. Eine Vorführung/Demonstration der Funktionalitäten sowie das Aufzeigen eines möglichen Einführungsszenarios ist deshalb sinnvoll. Das kann anhand der beispielhaften Checkliste für die Einführung gemacht werden.

Das ist auch wichtig, wenn das Thema nicht nur in einer Klasse sondern an einer gesamten Schule vermittelt werden soll. Für einen Erfolg ist es dann Voraussetzung, dass die Schulleitung tatsächlich positiv dazu steht. Also muß auch hier erst Wissen vermittelt werden, damit die notwendige Messengerkompetenz vorhanden ist. Wie intensiv sich die jeweilige Schule/Lehrkraft dann mit dem Thema auseinandersetzen will, sollte selbstbestimmt sein. Oft entwickelt sich das auch aus einer Eigendynamik heraus.

Die Einführung von freien Messengern an Schulen kann in verschiedene Themenbereiche unterteilt werden, die aufeinander aufbauen. Bei allen sollte eine entsprechende Planungs- und Einführungsphase stattfinden. Der Zeitaufwand für das Thema kann und muß in allen Phasen klein gehalten werden.

AlekSIS

Mit AlekSIS (extern) gibt es sogar ein Komplettpaket zur Organisation und Verwaltung für Schulen, das ausschließlich auf freier Software basiert:

“Mache einen Job, und mache ihn richtig” – das ist ein grundlegendes Prinzip der Softwareentwicklung, das AlekSIS® verfolgt. Daher konzentriert sich AlekSIS selbst auf alles, was mit Organisation und Verwaltung zusammenhängt. Es ist als zentrale Stelle für Stammdaten wie Personen, Lerngruppen, Stundenpläne, und alles, was die Arbeitsweise der Schule ausmacht, gedacht. Für alle Einsatzgebiete, die nicht direkt mit Verwaltung zusammenhängen – wie Lernplattformen, Videokonferenzen, und vieles mehr – integriert sich AlekSIS mit anderen offenen Plattformen und auch mit proprietären Lösungen.

AlekSIS kann u.a. auch mit einem Matrix-Server interagieren, indem die organisatorischen Daten repliziert werden, um automatisch Matrix-Spaces und -Räume für die gesamte Schule zu verwalten. Selbstverständlich auch mit LDAP- und OAuth-/OpenID-Unterstützung.

Aber:
Matrix ist ein tolle Teammessengerlösung - allerdings sollte Matrix als isolierte Instanz bei Schulen und Bildungseinrichtugnen betrieben werden, da es systembedingt datenschutzrechtliche Bedenken gibt. Allenfalls eine Brücke und die Nutzung einer Schnittstelle zum internationalen Standard XMPP wäre evtl. denkbar.

Exkurs: Mehrheitlich sind jedoch unfreie Messenger/Lösungen für Schulen und Bildungseinrichtungen vorherrschend.

Öffentlicher Chat

Oft wird großer sozialer Druck ausgeübt, trotz offiziellem Verbot einen bestimmten Messenger zu nutzen. Auch wird Bequemlichkeit über alles andere gestellt und sachliche Argumente zählen nicht. Um einen gegenseitigen Erfahrungsaustauch zum Thema “Freie Messenger an Schulen” zu unterstützen, gibt es deshalb eine öffentliche Chatgruppe (Jabber/XMPP): schulen@conference.jabber.de (Direktverknüpfung zum sofortigen Einstieg: xmpp:schulen@conference.jabber.de?join)
Hier können sich Lehrkräfte, Schüler und Eltern über Probleme zu geschlossenen (unfreien) Messengern und/oder über Erfolge zu freien Messengern austauschen.

Referenzschule/-einrichtung

Für Bildungseinrichtungen sollen weitere Unterrichtsmaterialien, Checklisten und Anleitungen erstellt und zum Herunterladen bereitgestellt werden.

Die „Schönbein Realschule Metzingen“ (extern) ist Referenzschule und bindet das Thema erstmals im aktuellen Schuljahr aktiv im Unterricht ein. weitere “Referenzschulen”, die sich aktiv einbringen und beteiligen möchten, sind willkommen.

Weitere interessierte Einrichtungen (alle Schularten) im deutschsprachigen Raum können sich gerne melden >> Kontakt <<. Auch wenn bereits anbieterunabhängiger Chat / freie Messenger aktiv eingesetzt werden, würde mich eine kurze Information freuen.

Weitere Verknüpfungen auf Seiten zum Thema:
https://zefanjas.de/5-grossartige-open-source-programme-die-wir-in-unserer-schule-einsetzen/ (extern)
https://matthias-andrasch.de/2018/liebe-hochschulen-und-schulen-ermoeglicht-bitte-endlich-die-digitale-vielfalt-entwurf/ (extern)

1. Freie Messenger in der Praxis

Bei der Einführung von freien Messengern an Schulen ist es wichtig, in allen Phasen praktisch zu vermitteln, was im Vergleich zu WhatsApp geht und was nicht (kein System ist perfekt). Deshalb hier eine kurze Übersicht der wesentlichen Punkte.

Was geht?

• Einzelgespräche (chats)
• Gruppen
• öffentliche Räume/Gruppen
• persönliche Nachrichten innerhalb Gruppen
• Verschlüsselung
• Texte
• Bilder/Fotos
• Sprachnachrichten
• Dateiversand
• Standortweitergabe
• A/V-Telefonie
• mehrere Geräte
• mehrere Konten
• freie Wahl des Benutzernamens (Pseudonym/Alias)
• freie Serverwahl
• ggfs. eigener Server für Spezialisten
• mit oder ohne SIM-Karte nutzbar; auch nur am PC oder Tablet

Was geht nicht?

• z.B. Videokonferenzen: Hierfür werden BigBlueButton (BBB) oder “Jitsi Meet” empfohlen!

Es hat sich bewährt, die Funktionalität auf zwei eigenen Geräten (z.B. Smartphone und Tablet) im „Livebetrieb“ zu demonstrieren. Hier kann in bereits bestehende Einzel- und Gruppenchats geschaut werden („Oh, das sieht aus wie bei WhatsApp“) und aufkommende Fragen direkt geklärt werden.

2. Mögliche Umsetzung

1. Entscheidung Jabber (XMPP) oder nicht (Mail-Chat nur bei zusätzlichem Interesse)
2. Einrichtung auf persönlichem Gerät - oder mehreren Geräten der Verantwortlichen und Interessierten
3. persönliches Konto / zusätzlich pseudonymisiertes Konto anlegen
   • App installieren
   • evtl. Einstellungen zeigen
   • öffentlicher Raum für “Schulen”
4. Erste, grobe Inhalts-/Themenformulierung
   • Messengerkompetenz
   • Messengernutzung
   • ggfs. später technischer Betrieb
     
5. Information und Einbeziehung Fachkonferenz Medienbildung / Kollegium
6. Besprechung in Fachkonferenz Medienbildung / Kollegium
   • welche Fächer - welche Themen
   • welche Klassenstufen
   • welche Inhalte, zeitlicher Aufwand
   • zeitliche Abstimmung fachübergreifend
   • Informationen/Veranstaltungen (Information/Nutzung)
   • Elternbrief für Minderjährige
   • stille Einführung in Klassen oder große Vorstellung?
7. Wissensvermittlung / Nutzung

Der Aufwand und die Tiefe ist von/durch die Schule steuerbar!

3. Entscheidung ob / weitere Vorgehensweise

Sobald der/die Verantwortliche hinter der Sache steht, kann dann die weitere Vorgehensweise besprochen werden.

Die Einführung von freien Messengern an Schulen kann in verschiedene Themenbereiche unterteilt werden, die aufeinander aufbauen. Bei allen Bausteinen sollte eine entsprechende Planungs- und Einführungsphase stattfinden:

1) “Messengerkompetenz”

Hierunter fällt alles, was mit der Information und Aufklärung im Rahmen des Unterrichts zusammenhängt.

Theoretische Inhalte:

• Was ist Kommunikation?
• Was macht WhatsApp? / Was sind freie Messenger?
• Was ist Interoperabilität und warum sind internationale Standards überall so wichtig?
• Was bedeutet Datenschutz und Privatsphäre?
• Was versteht man unter Metadaten? Warum sind diese für Firmen so interessant?
• Was ist Verschlüsselung und wie funktioniert diese prinzipiell?
• Auf welchen Geräten kann getextet werden?
• Mobbing, Datensicherheit, …

Praktische Inhalte:

• Anlage und Nutzen von Chat-Konten auf Smartphones und PC
• Verschlüsselung
• Datensicherung
• Netzwerkstrukturen, …

Generell gilt:
Im Vorfeld ist zu entscheiden (zu planen), welche Inhalte in welchen Fächern/Bereichen vermittelt werden sollen. Ob die Themen bereits aufbereitet präsentiert - oder im Unterricht selbst erarbeitet werden, liegt in der Eigenkompetenz der jeweiligen Lehrkraft.

2) “Messengernutzung”

Aktive Nutzung von freien Alternativen. Ziel sollte sein, unabhängig von der Nutzung von WhatsApp oder sonstigen zentralen Lösungen zusätzlich über einen freien Messenger erreichbar zu sein.
Mögliche Nutzergruppen:

• Schüler
• Klassengruppen
• Lerngemeinschaften
• Lehrkräfte (privat)
• Kollegium (Nutzung muß genehmigt werden)

3) “Technischer Betrieb”

Je nach fachlicher Kompetenz an der Schule - und Interesse seitens der Schüler - kann auch ein eigener Schulserver eingerichtet und betrieben werden. Als „Steigerung“ und Alternative für mögliche technische Lösungen könnte auch die quelloffene Socialmedia-Plattform „Movim“ (XMPP) (extern) oder eine quelloffene Team-Software wie „Mattermost“ (extern) in Frage kommen.

Für den Unterricht

>> Hier werden noch Inhalte und Dokumente beispielsweise zu „Privatsphäre vs. Datenschutz“, „Freie Software“ oder „Verschlüsselung“ gesucht. <<

Für Bildungseinrichtungen

>> Hier werden noch weitere Inhalte und Dokumente wie z.B. „Administratives“, „Arbeitsanweisungen“, „Leitfäden“ oder „Schulregeln“ gesucht <<

Allgemein

Aushang „Freier Chat“ am Beispiel von Jabber(XMPP) Verschiedene Folien zu „Freie Messenger“ (PDF-Datei) (Erklärung, warum, wie mit Jabber(XMPP), Zusatzinfos)

Faltblatt

… zum Thema „Schulischer Datenschutz“:

Das Faltblatt kann in der aktuellen Version als Druckdatei direkt heruntergeladen und frei weitergegeben werden: Schulischer Datenschutz (extern) (PDF-Datei)

Quelle: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Fragwürdige Empfehlungen im Faltblatt

In der aktuellen Version (Stand November 2019) ist formuliert:
„Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-EndeVerschlüsselung anbieten, in Betracht (z. B. Wire, Hoccer, Pidgin/OTR, Chiffry oder Threema).“

Warum explizit gerade diese Systeme als Beispiele genannt werden ist fragwürdig, denn …

• Wire hat den Hauptsitz in die USA verlegt,
• Hoccer ist nicht für Kinder/Jugendliche zu empfehlen (und hat den Betrieb im Mai 2020 eingestellt),
• Pidgin ist nur eine App und kein Anbieter/kein Messengersystem,
• Chiffry ist nur in einer sehr eingeschränkten Basisversion kostenlos und
• Threema ist ebenfalls nicht kostenlos.
• Zudem sind die meisten aufgeführten Systeme nicht quelloffen.
  

Alternativ zu „nur europäische Anbieter …“ könnte neutral formuliert werden:
„Im Geltungsbereich der DSGVO + Ende-zu-Ende-Verschlüsselung + open source von Server und Client“.

Dies wurde dem Landesbeauftragtern für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz am 31.12.2019 mitgeteilt - bisher noch ohne Reaktion bzw. Änderung des Leitfadens.

Ergänzend wird an dieser Stelle auf die Forderungen der Politik und die Empfehlungen von diversen Datenschutzbeauftragten sowie die Informationen bei „Warum nicht?“ hingewiesen.

Am Markt gibt es verschiedene Anbieter, die kommerzielle Produkte für Schulen / Bildungseinrichtungen anbieten oder planen. Eine schöne Sammlung zu „Schulische Plattformen (Kommunikation) als Alternativen zu WhatsApp“ von Mr. Tee gibt es >> hier << (extern). In diesem Padlet ist auch „schul.cloud“ aufgeführt …

Anmerkung: Weitere Anbieter/Produkte bitte >> hier << melden.

Gemeinsamkeiten

Allen Lösungen gemeinsam ist, daß der Benutzer für die Nutzung wieder eine neue, inkompatible Messenger-App installieren muß. Auch haben diese keine offenen Schnittstellen, die das Bundesjustizministerium fordert (Offenes WhatsApp) und der Quellcode ist nicht einsehbar.

Interessant in diesem Zusammenhang ist auch das Thema, ob/wie berufliche Nachrichten auf privaten Geräten erlaubt sind.

Anbieterabhängige, unfreie Messenger wie WhatsApp haben in unserem Rechtsstaat als Wirtschaftsfaktor eine legitime - wenn auch zu Recht umstrittene - Rolle. Dennoch ist eine freie und anbieterunabhängige Kommunikation beim Chatten gesellschaftlich erstrebenswert, so wie das bei E-Mail, Telefon oder Mobilfunk schon immer selbstverständlich ist. Abhängigkeiten von zentralen Instanzen können hier fatale Folgen haben.

Auf Grund der aktuellen Dominanz von WhatsApp (zumindest in Europa) kann sich freier Chat nur weiterentwickeln und etablieren, wenn jeder einzelne die Bereitschaft zeigt, seinen Kontakten zumindest 1 freie Chatmöglichkeit als Kommunikationskanal anzubieten.

Paradoxerweise führt die Nutzung von geschlossenen WhatsApp-Alternativen als Ergänzung zu WhatsApp nicht zu einer Schwächung der marktbeherrschenden Situation - sondern der Platzhirsch wird dadurch gestärkt.

Auch ist es in der Regel so, dass die Mehrzahl der Privatnutzer in Europa (99% ?) WhatsApp aktuell nicht löschen wollen/können. Es wird nicht tatsächlich nach einer “Alternative” und Ersatz gesucht - sondern nach einer unabhängigen und/oder datenschutzfreundlichen Ergänzung, die die Privatsphäre respektiert.

Um frei zu Chatten muss man Messenger nicht wie Briefmarken sammeln. Auch wenn es heutzutage leicht fällt, mal eben noch diese oder jene App zu installieren, so bedeutet jede zusätzliche Installation doch einen gewissen Ressourcenverbrauch (Energie, Rohstoffe, Speicherplatz, Zeit). Deshalb habe ich für beide Gruppen jeweils eine Empfehlung:

WhatsApp-Ersatz

Ich schätze den Anteil in der Bevölkerung derer, die tatsächlich einen Ersatz für WhatsApp suchen (und WhatsApp löschen wollen) als extrem gering ein.

Für diese (kleine) Gruppe empfehle ich ausschließlich “anbieterunabhängigen, freien Chat” und nicht eine Insellösung wie Signal, Telegram, Threema, Viber usw.

Warum?
Alle diese selbsternannten Alternativen werden auf Grund ihrer zentralen Struktur nie die Erreichbarkeit wie WhatsApp (oder ein offenes Chatsystem) haben und man löst nicht das Problem der Abhängigkeit.

WhatsApp-Ergänzung

Alle Privatnutzer, die WhatsApp derzeit nicht löschen wollen oder nicht löschen können empfehle ich, neben WhatsApp keine X weiteren unfreien Lösungen zu installieren. Hier ist es besser, seinen Kontakten zumindest einen freien Messenger als Ergänzung anzubieten, um auch unabhängig und datenschutzfreundlicher erreichbar zu sein:

Empfehlung

Als echte Alternative zu WhatsApp mit dem größten Potential kann deshalb mit gutem Gewissen normaler „Chat” (normal = auf der Basis von internationalen Standards) empfohlen werden, da hierdurch die oft geforderte Interoperabilität ermöglicht wird.

Für Unternehmen oder Behörden bietet sich der Einsatz von Matrix als Teammessenger an, da hier eine Brücke zum Chatstandard möglich ist.

Natürlich gibt es zu jedem System neben Anhängern auch Kritiker, die einzelne Punkte bemängeln oder es als Ganzes ablehnen. Gründe hierfür können konzeptioneller Art sein, technische Rahmenbedingungen oder auch in der Privatsphäre oder dem Datenschutzes liegen. Jeder Nutzer hat eigene Anforderungen und eigene Maßstäbe an ein Messengersystem und wie so oft, kann man nicht alles gleichzeitig haben.

Kurz: Es gibt unterschiedliche Meinungen und nicht den „besten“ Messenger.

Vorwort

In der öffentlichen Verwaltung - aber auch bei Behörden und Organisationen mit Sicherheitsaufgaben (BOS / BORS) - wird am Einsatz von Messengern gearbeitet oder es sind teilweise bereits unterschiedliche Lösungen im Einsatz. Allen gemeinsam ist der nachvollziehbare Wunsch, einfach und sicher Informationen auszutauschen.

Leider ist es bei „Chat“ so, dass es zwar öffentlich zugängliche und herstellerunabhängige Systeme gibt - so wie das bei E-Mail, Telefon oder Mobilfunk selbstverständlich ist - allerdings steht hier keine Firma mit entsprechendem Werbebudget im Hintergrund.

Das bedeutet wiederum, dass auf Grund von fehlendem Wissen auf glitzernde (Werbe-)Aussagen von Firmen vertraut und viel Geld doppelt oder gar mehrfach für Spezialentwicklungen ausgegeben, die nicht der Öffentlichkeit zu Gute kommen, sondern Firmeneigentum und nur gegen Bezahlung nutzbar sind. Der Markt wird dadurch sehr lukrativ.

In der Folge gibt es gerade in diesem wichtigen Bereich viele verschiedene Projekte, die jedoch untereinander nicht föderieren bzw. nicht kompatibel sind. Auch ist (mir) nicht bekannt, ob mit Nutzern des jeweiligen Systems auch außerhalb der Verwaltungseinheit kommuniziert werden kann. Hier bin ich um jede Information dankbar!

Um die Vielfalt bzw. das Durcheinander zu veranschaulichen, folgt eine Übersicht der mir derzeit bekannten, im Einsatz befindlichen oder geplanten Messengern in öffentlichen Verwaltungen und „BOS“. Allein hier sind schon über 10 verschiedene Systeme aufgeführt!

In der Öffentlichkeit (und in der Verwaltung) wird noch zu wenig zwischen unfreien, zentralen Systemen auf der einen Seite und freien, dezentralen Systemen auf der anderen Seite unterschieden. Deshalb ist das nachfolgend entsprechend mit vermerkt …

Deutschland

Bundesweit

• Bundespolizei: „MOKA“ („Jabber(XMPP)“) - quelloffen, frei, zentral
  „Bei der Bundespolizei befindet sich derzeit ein auf dem offenen Protokollstandard XMPP (Extensible Messaging and Presence Protocol) basierender Messengerdienst im Probebetrieb. Dieser Standard ermöglicht auch die Kopplung verschiedener Messengerdienste (vergleichbar wie bei E-Mail, Stichwort: Föderationsfähigkeit), so dass von Seiten der Bundespolizei kein Bedarf für die Einführung eines behördenübergreifenden Messengerdienstes gesehen wird. Stattdessen könnte eine verbindliche Festlegung auf einen Protokollstandard wie XMPP erfolgen, so dass eine behördenübergreifende Messengerkommunikation mit (ggf.) unterschiedlichen Messengerlösungen möglich wird (vergleichbar wie im Bereich der E-Mail-Kommunikation). Die Bundesregierung wird diese Einschätzungen der Bundespolizei mit Abschluss des Probebetriebs bewerten und gegebenenfalls weitere Maßnahmen prüfen.“
  Quelle: Antwort der Bundesregierung zu Polizei im digitalen Zeitalter (extern) vom 14.11.2019
  Vgl. auch: Antwort der Bundesregierung zu Digitalfunk und Einsatzkommunikation (extern) vom 11.09.2018
  Zuletzt bei der Bundespolizei erwähnt im Jahresbericht 2020 (extern) auf Seite 48 vom 02.11.2021
  Aber: Vermutlich ist keine Föderation mit anderen Servern möglich. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

• Bundeskriminalamt: „SE-Netz“ (SE = Spezialeinheiten) - unfrei, zentral, Firmeneigentum
  „Das BKA wurde durch den AK II mit der Bereitstellung eines zentralen Einsatzkommunikations- und Unterstützungssystems (EKUS) für die Spezialeinheiten der Polizeien des Bundes und der Länder beauftragt. Als Produkt wurde durch den AK II die Software „SE-Netz“ des Fraunhofer-Instituts für Verkehr und Infrastruktur (Fh-IVI) festgelegt. Gegenwärtig erfolgt der Aufbau des Zentralsystems im BKA, die Datenanbindung der EKUS-Teilnehmer sowie die Ertüchtigung des Produkts im Hinblick auf Zentralsystemfunktionalitäten durch den Hersteller.“
  Quelle: Antwort der Bundesregierung zu Polizei im digitalen Zeitalter (extern) vom 14.11.2019
  Vgl. auch: Antwort der Bundesregierung zu Digitalfunk und Einsatzkommunikation (extern) vom 11.09.2018

• Bundeswehr:

  • „BwMessenger“ (Matrix-Protokoll - frei, zentral, quelloffen)
    Quellen:
    heise.de (extern) vom 24.12.2019
    bwi.de (extern) vom 18.11.2020
    Aber: Wird nur Bundeswehr-intern genutzt; keine Interoperabilität; keine Föderation mit anderen Servern; kein Einsatz von Brücken zu anderen Systemen. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.
  • „Facebook“ (zentral, unfrei) als Marketing-Instrument
    Quelle: team-hr.de (extern) von 2019

• Diverse Ministerien: „Wire“ für VS-NfD (?)

  • Ausgehend vom Kanzleramt nutzen mehr als 30 Ministerien und Behörden den Messenger Wire für Verschlußsachen, Informationen Nur für den Dienstgebrauch (VS-NfD)
    Quelle: BSI Magazin - Ausgabe 2020 / 02 - vom 15.12.2020 (extern, PDF-Datei ca. 9 MB, auf Seite 10)
    Im Papier heißt es u.a.:
    „_Die Auswahl reduziert sich jedoch drastisch, wenn neben Benutzerfreundlichkeit auch Aspekte wie IT-Sicherheit oder Datenschutz eine Rolle spielen und Informationen ausgetauscht werden sollen, die nach der VSA „VS - Nur für den Dienstgebrauch“ eingestuft sind. Für eine sichere Kommunikation zwischen Teilnehmerinnen und Teilnehmern innerhalb der Netze des Bundes (NdB) und dem offenen Netz bleibt schließlich keine der modernen Lösungen übrig._“
    Die Behauptung „es bleibt schließlich keine moderne Lösung übrig“ scheint von Lobbyisten zu stammen, denn sie stimmt nicht. Seit Jahren gibt es bewährte Systeme und internationale Standards hierfür.
    Auch ist es nicht so, daß Wire zugelassen wäre, sondern es ist (wie andere Produkte) auch nur innerhalb des für VS-NfD zugelassenen Netzes erlaubt. Sollte es ein tatsächliches Zulassungsdokument geben, würde mich dieses sehr interessieren. >> Kontakt <<

Querverweise: Empfehlung (s.u.), Schnellübersicht Messengersysteme

BundesMessenger

Souveränität und Sicherheit und Freiheit. Freier Messenger für die öffentliche Hand.
Der BundesMessenger ist eine sichere Messaging-Lösung für die Öffentliche Verwaltung. Von der BWI für die Behörden in Deutschland. Die Beta Phase ist aktiv.

In den häufig gestellten Fragen (HGF/FAQ) findet sich der Hinweis, daß hierfür Matrix verwendet wird bzw. der Messenger der Bundeswehr (BwMessenger) als Vorlage genommen wurde.

Da der Bundeswehr-Messenger ausschließlich für Angehörige der Bundeswehr ist, kann davon ausgegangen werden, daß der BundesMessenger ebenfalls keine interoperable Lösung ist und ebenfalls ausschließlich für bestimmte Verwaltungseinheiten und vermutlich nicht für die Kmmunikation auch mit den Bürgern ist. Schade. So wie es aussieht, wird es wieder keinerlei standardisierte Schnittstelle “nach außen” geben.

Es wird ausdrücklich darauf hingewiesen, daß es sich das Projekt noch in der Beta-Phase befindet. Trotzdem wäre etwas mehr Information gut. Antworten auf Fragen wie z.B. …

• Wann hat die Betaphase begonnen/bis wann geht diese?
• Wer ist beteiligt?
• Gibt/gab es eine Ausschreibung?
• Was sind/waren die Vorgaben/Rahmenbedingungen?
• Sprechen evtl. Datenschutzgründe gegen eine generelle Öffnung? Welche konkret?
• Wichtig: Ist / wie ist eine offene Kommmunikation von Bürgern und Verwaltung geplant?
• Ergänzende Informationen zur Interoperabilität bzw. zur Nutzung von internationalen Standards/Brücken?

… wären interessant zu wissen.

Es bleibt zu hoffen, daß im Rahmen der Betaphase eine funktionierende und zuverlässige Brücke zum Chatstandard (XMPP) entwickelt/sichergestellt wird, denn eine weitere rein verwaltungsinterne Messengerinsel wäre nicht wirklich “für alle” bzw. Interoperabilität nur auf dem Papier und schönes Marketing.

Es wird also spannend, ob am Ende der Betaphase auch die Interoperabilität durch Nutzung von internationalen Standards nach vorne gebracht wird.

“Souveränität und Sicherheit und Freiheit. Freier Messenger für die öffentliche Hand” ist gut.
“Souveränität und Sicherheit und Freiheit. Freie Messenger für alle (auch die Bürger)” wäre besser.

Quelle: https://messenger.bwi.de/bundesmessenger (extern; 22.12.2022)

Bundesländer

• Baden-Württemberg: Threema (unfrei, zentral, Firmeneigentum)
  Mit dem Pilotprojekt Messenger testet das Kultusministerium den pädagogischen Einsatz des Instant Messengers „Threema“ für die Schulen in Baden-Württemberg. Insgesamt nehmen 13 Schulen am Projekt teil. „Wir wollen die digitale Kommunikationsform dort einsetzen, wo sie pädagogisch und organisatorisch sinnvoll ist“
  Quelle: km-bw.de (extern) vom 22.11.2019

• Bayern:

  • „TeamWire“ (unfrei, zentral, Firmeneigentum)
    Quelle: stmi.bayern.de (extern) vom 16.05.2017
    Quelle: heise.de (extern) von 05/2017
  • „ByCS-Messenger“ (frei, zentral, basiert auf Element/Matrix, keine Interoperabilität, keine Matrix-interne Föderation)
    Eine verpflichtende Nutzung für Schüler gibt es nicht - ggf. gilt für Lehrkräfte eine Verpflichtung für die dienstliche Kommunikation.
    Aus den Nutzungsbedingungen: „Eine Nutzung für private Zwecke ist nicht zulässig.“
    Quelle: bycs.de (extern) vom 04.02.2024 Aber: Keine Interoperabilität und vermutlich ist auch hier wie bei den anderen ‘großen’ Matrix-Instanzen keine Föderation (Kommunikation zwischen Nutzern verschiedener Matrix-Instanzen) aktiviert und somit unterbunden. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

• Rheinlandpfalz: „poMMes“ (unfrei, zentral, Firmeneigentum)
  Kurz für polizeilicher Multimedia Messenger – ist ein vom Polizeipräsidium für Einsatz, Logistik und Technik (PP ELT) in Mainz entwickelter Messenger
  Quelle: e-recht24.de (extern) vom 31.05.2019

• Niedersachsen: „NIMes“ (unfrei, zentral, Firmeneigentum; Basis: „Stashcat“)
  Quelle: polizei.niedersachsen.de (PDF-Datei; extern) proPolizei Heft 04/2018

• Nordrhein-Westfalen: „Logineo“ (frei, zentral, basiert auf Element/Matrix, keine Interoperabilität, keine Matrix-interne Föderation)
  In NRW können Schulen Matrix über Server des Landes nutzen (Logineo NRW Messenger) mit gekoppeltem Jitsi.
  Quelle: Schulministerium NRW (extern)
  Aber: Förderation gibt es dabei jedoch nicht; die Instanzen sind abgeschottet. Es soll Überlegungen geben, die Instanzen soweit zu öffnen, dass zumindest eine Kommunikation zwischen Lehrkräften verschiedener Schulen möglich ist. Ob das jedoch tatsächlich kommt, muß abgewartet werden. Die Instanzen sind auch sonst stark eingeschränkt: Lehrer können Klassenchats öffnen; Schüler haben keine Möglichkeit, unabhängig davon untereinander zu kommunizieren.

• Schleswig-Holstein und Hamburg: „Element Matrix“ (frei, zentral, basiert auf Element/Matrix, keine Interoperabilität, keine Matrix-interne Föderation)
  „Similarly Dataport, a major IT service provider for public administration in Germany, will shortly begin to deploy a Matrix-based solution offering open source collaboration to 500k users across public offices and education throughout Schleswig-Holstein and Hamburg. The deployment, aimed at improving the region’s digital sovereignty, includes secondary schools and further education establishments in time for the September term. So far as we know, 500K users makes this the biggest single messaging and collaboration implementation in the world.“
  Quelle: element.io (extern)
  Aber: Keine Interoperabilität und vermutlich ist auch hier wie bei den anderen ‘großen’ Matrix-Instanzen keine Föderation (Kommunikation zwischen Nutzern verschiedener Matrix-Instanzen) aktiviert und somit unterbunden. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

• Hessen: „HePolChat“ (unfrei, zentral, Firmeneigentum; Basis: „Stashcat“)

Lokal und Regional

Rathäuser, Landkreise, TV- und Radiosender, Presse u.ä. verwenden oft
- „WhatsApp“ (!) (unfrei, Firmeneigentum) und manchmal
- „Telegram“ (unfrei, Firmeneigentum).
Auch auch hier wäre zumindest die ergänzende Nutzung von öffentlichen Chat-Standards in der Kommunikation angebracht.

Schweiz

• „IMP“ (Instant Messenger Police) bei fast allen Polizeikorps (Code ist Firmengeheimnis; kostenpflichtig)
  Quelle: Herstellerseite „abraxas“ (extern) Stand 01/2020
• „Threema“ bei der Verwaltung (Bundesamt für Informatik (BIT)) (kostenpflichtige Variante, Code ist Firmengeheimnis)
  Quelle: golem.de (extern) vom 14.02.2019

Frankreich

• „Tchap“ für Französische Regierung (Matrix-Protokoll) (frei, zentral)
  Quelle: heise.de (extern) vom 21.04.2019
  Aber: Keine Interoperabilität und vermutlich ist auch hier wie bei den anderen ‘großen’ Matrix-Instanzen keine Föderation (Kommunikation zwischen Nutzern verschiedener Matrix-Instanzen) aktiviert und somit unterbunden. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

Europa

Auf europäischer Ebene wird in der NATO zumindest der freie Chatstandard (XMPP) eingesetzt.
Aber: Auch hier ist vermutlich keine Föderation aktiviert.

Sonstige

Die bisher genannten Lösungen kommerzieller Anbieter sind nicht abschließend. Es gibt es noch weitere wie z.B. govchat (extern) (unfrei).

Empfehlungen für freien Chat

Von verschiedensten Stellen wird auf allenen Ebenen freie Software (=freier Chat) gefordert oder empfohlen:

1. Bundesjustizministerium (BMJV)
   Forderung für Öffnung und Dezentralisierung der Messengerdienste.

2. Bundesdatenschutzbeauftragter
   „Behörden und Unternehmen, die meiner Aufsicht unterstehen, rate ich regelmäßig davon ab, WhatsApp zur internen Kommunikation zu nutzen. Aus meiner Sicht sollten die Bundesbehörden einen eigenen datenschutzfreundlichen Messenger entwickeln bzw. sich an der Weiterentwicklung eines freien Messengers beteiligen, der dann schrittweise auch für die Kommunikation mit den Bürgern geöffnet werden könnte. Hierbei bietet sich die Entwicklung auf Open-Source-Basis natürlich in besonderem Maße an.“
   Quelle: Pers. Schreiben vom 29.10.2019

3. Datenschutzbeauftragte aus anderen Bereichen
   Aber auch Datenschutzbeauftragte aus der Wirtschaft oder den Kirchen empfehlen freien Chat. Hier ein Beispiel der Kirche:
   „Die Entwicklung sowie der Einsatz und Betrieb eines eigenen Messenger-Dienstes in Kirche und Diakonie auf Basis von etablierten und frei zugänglichen Protokollen auf föderalen Servern wäre aus Sicht des Beauftragten für den Datenschutz der EKD die beste Lösung und wird daher empfohlen.“
   Quellen:

   • Evangelische Kirche (ekd.de) (extern)
   • Katholische Kirche (katholisch.de) (extern)

4. Parteien stehen zu offenem Quellcode
   Fast alle Parteien sind sich einig, dass „public money - public code“ (extern) ein wichtiger Bestandteil bei IT-Entscheidungen sein sollte. Mit öffentlichen Geldern entwickelte Software soll als Freie Software allen Zugute kommen. Nun hat sich sogar die CDU angeschlossen und das in ihrem Parteitagsbeschluß im November 2019 in das Programm mit aufgenommen:
   „Die offenen und gemeinsam entwickelten Standards des Internets und die offenen Schnittstellen sind die Prinzipien, die wir für die Digitalisierung Deutschlands heranziehen. Nur durch Offenheit entsteht Wettbewerb, nur durch Offenheit können neue Akteure im Wettbewerb die Platzhirsche herausfordern. Deshalb gilt künftig für alle (öffentlichen) Digitalisierungsprojekte in Deutschland: Auftragsvergabe und Förderung sind an die Einhaltung der Prinzipien Open-Source und offene Standards gebunden. Durch öffentliche Mittel finanzierte Software soll allen Bürgern dienen. Zusätzlich sollen freie und offene APIs den Zugang für unabhängige Entwicklungen erleichtern.“

   • Quelle: Parteitagsbeschluß der CDU vom 23.11.2019 (extern; PDF-Datei)
   • Quelle: netzpolitik.org (extern)
   • Quelle: osb-alliance.de (extern)

5. Bundesregierung
   Wenige Tage nach dem Parteitagsbeschluß unterstreicht Bundeskanzlerin Merkel die Forderung in der Generaldebatte im Bundestag:
   ”… Das bedeutet aber als erstes mal, dass ich alles digitalisiert vorhanden habe, dass ich weiß, was ich habe. Wir sind dafür und ich kucke gerade Nadine Schön an, dass wir das auch möglichst im offenen, im ‘Open-Data’-Bereich machen - als ‘Open Source’ - dass das durchschaubar ist. Aber meine Damen und Herren, dass man daraus neue Produkte machen kann, dafür brauchen wir noch einen Kulturwandel in Deutschland der versteht, dass das dringlich ist. Und ich habe den Eindruck, dass wir da viel, viel zu langsam sind. Und dass wir sozusagen als Abgeordnete die Botschafter sein sollten ‘verschlaft diese Zeit nicht’, sonst werden Wertschöpfungsmodelle an uns vorbeigehen und wir werden zur verlängerten Werkbank - das ist meine ganz große Sorge aber ich glaube als Bundesregierung sind wir jetzt auf dem richtigen Weg. …”
   Quelle: Video von invidio.us (extern)

6. Bildungswesen
   Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein Faltblatt zum schulischen Datenschutz veröffentlicht. Hier heißt es u.a.:
   „Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung: http://lernenonline.bildung-rp.de (extern) Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers. Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-EndeVerschlüsselung anbieten, in Betracht (z. B. Wire, Hoccer, Pidgin/OTR, Chiffry oder Threema).“
   Quelle: Faltblatt Stand Nov. 2019
   Anmerkung:
   Der Herausgeber wurde darauf hingewiesen, dass Wire den Hauptsitz in die USA verlegt hat, Hoccer nicht für Kinder zu empfehlen ist (Ergänzung: Hoccer hat den Dienst im Mai 2020 eingestellt!), Pidgin nur ein mögliches Programm eines freien Messengersystem ist, Chiffry nur in einer sehr eingeschränkten Basisversion kostenlos ist und Threema ebenfalls nicht kostenlos ist. Zudem sind die meisten nicht quelloffen. Des Weiteren wird formuliert “europäische Anbieter”. Das können folglich auch Anbieter u.a. aus der Ukraine, Moldavien und Weißrussland sein.
   Es wurde der Vorschlag gemacht, hier alternativ statt dessen eine neutrale Formulierung wie „Im Geltungsbereich der DSGVO + E2EE + Open source von Server und Client“ zu verwenden. Mehr zu Messengern im Bildungswesen: >> hier <<

7. Krankenhäuser
   In den „technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich“ wird empfohlen:
   „Es sollte zumindest optional der Einsatz offener Kommunikationsprotokolle (z.B. XMPP) möglich sein, um eine Kommunikation mit anderen Messenger-Diensten zu ermöglichen.“
   Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 07.11.2019

8. Polizeiliches Umfeld
   Im Umfeld von Berufsgeheimnisträgern wird verstärkt über freie (und sichere!) Lösungen berichtet. So zum Beispiel im ausführlichen Artikel „Sichere Messenger bei der Polizei“

9. Freie Messenger

   • Schnellübersicht Messengersysteme
   • Empfehlung für Privatnutzer
   • Messengerkompetenz ist ein wichtiger Teil der Medienkompetenz!

Zusammenfassung

Durch eine solch unstrukturierte und gesamtgesellschaftlich unüberlegte (aus der Not heraus entstandene) Vorgehensweise mit verschiedensten Projekten gehen Millionen an Steuergeldern verloren. Außerdem begibt sich die öffentliche Hand ohne Notwendigkeit in eine kaum noch aufzulösende Abhängigkeit. Aus Sicht der zwingend einzuhaltenden Datenschutzbestimmungen müssen Systeme, bei deren Funktionen sich die Verwaltung blind auf die Aussagen kommerzieller Anbieter verlassen muss, ebenfalls als bedenklich eingeschätzt werden.

Wie bei E-Mail, Telefon oder Mobilfunk sollte eine freier Austausch auch beim Chat eine Selbstverständlichkeit sein - das ist möglich. Alle Funktionen der kommerziellen Produkte können auch auf Basis von standardisierten Protokollen realisiert werden. Hierzu muss sich die Messengerkompetenz bei Entscheidungsträgern verbessern und Lobbyisten in die Schranken verwiesen werden.

Bei allen Überlegungen sollte deshalb ein Grundgedanke über allem schweben: Steuergelder sollten nicht in Projekte gesteckt werden, die eine Abhängigkeit von Herstellern zur Folge haben. Besser formuliert:

Empfehlung

Im Gegensatz zur privaten Nutzung, bei der eine klare Empfehlung ausgesprochen werden kann, ist das bei der öffentlichen Hand jedoch nicht so einfach.

Aktuell wird gerne auf Matrix gesetzt, da dieses für Ausfallsicherheit von Chaträumen optimal ist. Da jedoch bei aktivierter Föderation der komplette Chatverlauf auf alle Server der am Gespräch beteilgten Teilnehmer synchronisiert wird, ist das datenschutzrechtlich problematisch (Stichwort „Auftragsdatenverwaltung“). Deshalb bietet sich der Einsatz einer Brücke zum internationalen Standardprotokoll für Chat („XMPP“) nicht nur an, sondern ist auch sehr zu empfehlen.

Derzeit empfehle ich deshalb die Kombination der Protokolle XMPP und Matrix: “X[M]PP”.

Querverweis: Interoperabilität

Vorab

Zum Thema „Messenger“ gibt es schon reichlich Übersichten, die bei der Entscheidungsfindung helfen können: >> hier <<

Grundsätzlich gilt jedoch: Es gibt keinen „besten“ oder „sichersten“ Messenger”, jedes System hat Stärken und Schwächen. Hierzu ein sehr informativer Artikel:
https://www.kuketz-blog.de/kommentar-den-idealen-messenger-wird-es-nie-geben/ (extern)

Jeder Anbieter wird „sein“ Produkt, d.h. „seinen“ Messenger in Vergleichen immer positiv darstellen und es gibt kaum brauchbare Vergleiche und wenn, dann fehlen oft wichtige Merkmale. Das war der Grund, eine eigene, unabhängige Übersicht von Messengersystemen zu erstellen.

Alle hier aufgeführten Systeme sind dezentral und frei. Dennoch gibt es auf Grund des unterschiedlichen, technischen Aufbaus (Protokolle) wesentliche Unterschiede. Das hat den Vorteil, dass man das für sich passende System wählen oder auch mehrere parallel nutzen kann - oder als Ergänzung zu seinem bisherigen Lieblingsmessenger.

In welchen Fällen ist Jabber(XMPP) die bessere Wahl?

• Wenn der Onlinestatus übermittelt und angezeigt werden soll.

• Wenn gleichzeitig mehrere unterschiedliche Konten genutzt werden sollen
  (z.B. für persönliche, private, anonyme oder geschäftliche Kontakte).

• Wenn Gruppen nur von bestimmten Personen administriert werden sollen.

• Manche Teilnehmer nur Lesezugriff erhalten sollen.

In welchen Fällen ist ein E-Mail-Messenger die bessere Wahl?

• Wenn „einfach jeder“ erreicht werden soll.
  Mit einem E-Mail-Messenger sind deutlich mehr Empfänger bzw. Kontakte möglich als z.B. bei WhatsApp (weltweit alle E-Mail-Adressen - und über Mailinglisten auch sehr große Gruppen gleichzeitig).

• Wenn formlose E-Mails ausgetauscht werden sollen.

Sicherheitshinweis:
Kommuniziert man mit jemanden, der keinen kompatiblen E-Mail-Chat-Messenger installiert hat, wird die Nachricht nicht (nur für die Empfänger lesbar) verschlüsselt, sondern unverschlüsselt gesendet. Im „schlimmsten Fall“ wird diese auch noch über E-Mail-Server zu Empfängern geleitet, die untereinander nicht (per TLS) verschlüsselt sprechen.
Das bedeutet, daß Nachrichten an klassische E-Mail-Kontakte evtl. als lesbare „Postkarte“ unterwegs sein können.

Wesentliche Unterschiede zw. Conversations (XMPP) und Delta Chat (IMAP)

Tabelle: Stand 05/2018

In welchen Fällen ist “Briar” die richtige Wahl?

• Wenn eine anonyme und maximal (daten-)sichere Kommunikation erforderlich ist
  (z.B. in sicherheitskritischen Bereichen; in Krisen- und Kriegsgebieten; sicherheitsaffine Anwender).

• Wenn eine Kommunikation ohne Internetzugang möglich sein soll (z.B. in geschlossenen Arbeitsbereichen, Lebensgemeinschaften - oder auch bei zerstörter Infrastruktur).

• Wenn auch lokal kein gemeinsamer Server vorhanden ist (die Geräte der Benutzer verbinden sich direkt über Bluetooth oder WLAN miteinander).

• Wenn das Tor-Netzwerk genutzt werden soll (Voraussetzung hier: Internetzugang).

• Ideal für Personen mit erhöhtem Sicherheitsbedürfnis wie Aktivisten und Journalisten.

Bewertungsreihenfolge

Für eine Entscheidung könnte man auch Systeme unter verschiedenen Gesichtspunkten „sortieren“:

• Datenschutz, Privatsphäre & Sicherheit (von hoch nach niedrig)
  Briar >> Jabber(XMPP) mit OMEMO >= Matrix mit Verschlüsselung >> Signal >> Telegram ~ Threema >> WhatsApp

• Stromverbrauch (Mobilgerät - von gering nach hoch)
  Jabber(XMPP), Signal >> Matrix >> Briar

• Funktionsumfang (von viel nach wenig)
  Matrix >> Jabber(XMPP), … >> Briar

• Kompatibilität (vorhanden/nicht)
  Jabber(XMPP) <-> Matrix (Telegram bedingt)

Es kommt also immer darauf an, worauf man Priorität legt. Für eine detailliertere und sachliche Bewertung bietet sich deshalb eine Nutzwertanalyse an.

In Firmen/Organisationen/Behörden ist es immer wieder Aufgabe der Abteilung „IT/EDV“ eine Übersicht von „sicheren“ Messengern zu erstellen, die dann als betriebsinterne Entscheidungsgrundlage dient. Von der Erstellung einer neuen „Welche Messenger gibt es am Markt“-Übersicht kann nur abgeraten werden (es gibt hunderte Messenger!).
Statt dessen werden verschiedene Übersichten als Einstieg und Grundlage empfohlen: >> hier <<

Jede Firma, Behörde oder Organisation hat eigene Anforderungen an ihr IT-System, weshalb i.d.R. ein Pflichtenheft als Entscheidungsgrundlage erstellt wird. In diesem sind alle entscheidungsrelevanten Punkte und Kriterien aufgeführt.

Kriterien und Bewertung

Als Anregung für eine Kriteriumsübersicht wird hier auf die nach unterschiedlichen Bereichen sortierte Übersicht von „freie-messenger.de“ verwiesen. Diese darf frei verwendet und für eigene Zwecke geändert/ergänzt/angepasst werden. Um eine nachvollziehbare Entscheidung zu erhalten, die dann auch von allen Beteiligten akzeptiert wird, sollten die einzelnen Bereiche bzw. Kriterien in einer Nutzwertanalyse erst gewichtet und dann bewertet werden. Wichtig ist, dass sich die beteiligten Stellen auf eine gemeinsame Vorgehensweise einigen und dann entsprechend die Kriterien bewerten.

Bei vielen Vergleichen ist das Kriterium „Sicherheit“ ist oft Augenwischerei von Firmen, die ihr Produkt verkaufen möchten und sollte deshalb bei einer Aufstellung von Kriterien genau definiert und vom Datenschutz abgegrenzt werden sollten. So z.B. AGB, Erhebung von Metadaten, Quelloffenheit, Serverkommunikation, Verschlüsselungstechnik, Identifikationskennzeichen, …

Eine sichere Ende-zu-Ende-Verschlüsselung wird überbewertet - Sie ist nicht der Maßstab sondern lediglich eine Grundvoraussetzung, die alle aktuellen Systeme/Messenger beherrschen sollten.

Bei der Entscheidung, welcher Messenger eingesetzt werden soll, spielt auch die Netzwerkstruktur eine Rolle. Neben diesen zugrundeliegenden, technischen Gegebenheiten ist es hilfreich, die hierauf aufbauenden Kommunikationsregeln („Protokolle“) von den Anwendungsprogrammen („Clients“) zu unterscheiden und auch hier eigene Anforderungen festzuhalten. Wichtige Fragen, an die man zunächst vielleicht nicht denkt können sein: Soll/muß das Protokoll z.B. überprüfbar, allgemeinverfügbar, erweiterbar sein? Gibt es Entwicklungmodell, das nicht zuletzt auch den Umgang mit entdeckten Fehlern („bugs“) berücksichtigt? …

Im Vorfeld können auch bestimmte Pflicht- oder k.o.-Kriterien benannt werden.

Mögliche Maßstäbe für die Punktevergabe sind sehr individuell:

• 5er-System mit neutraler „Mitte“:
  • 5=Sehr wichtig / 4=wichtig / 3=neutral / 2=weniger wichtig / 1=unbedeutend
  • 5=Perfekt / 4=gut / 3=neutral / 2=schlecht / 1=mangelhaft
• orientiert am Schulnotensystem: Note 1 = 6 Punkte, …, Note 6 = 1 Punkt
• feiner granuliert mit 1 bis 10 Punkten oder
• lediglich ja (1 Punkt) und nein (kein Punkt)
• …

Beispielhafter Auszug aus einer Nutzwertanalyse/Entscheidungsmatrix:

Vorteile

• Entscheidungen können transparent gefällt werden.
• Die Entscheidungsfindung liegt schriftlich vor und kann auch in der Zukunft nachvollzogen werden.
• Die Nutzwertanalyse kann gut im Team und/oder von verschiedenen Personen durchgeführt werden und als Diskussionsgrundlage dienen.

Nachteile

• Die Bewertung ist recht subjektiv.
• Die Festlegung der Gewichtung und die Vergabe von Punkte sind keine exakt messbaren Vorgänge.
• Bei sehr vielen Alternativen und/oder Bewertungskriterien wird die Methode schnell zeitaufwändig.

Vorlage

Als Basis für eine eigene Entscheidungsgrundlage kann hier die Tabelle heruntergeladen werden:

• Office-Datei (Vorlage im Format „.ODS“ )
  
• Druck-Datei (Vorlage als PDF-Datei)

Allgemein

Das Berechtigungsmodell in Android ist alles andere als einfach oder durchgängig. Teilweise unterscheiden sich Berechtigungen von einer Android-Version zu nächsten oder es kommen andere dazu.

Im Zusammenhang mit Messengern wichtig und oft diskutiert ist jedoch generell der Zugriff auf das Adressbuch des Geräts.

Bei XMPP-Messengern (im folgenden Beispiel an Conversations verdeutlicht) wird zwar auch eine Berechtigung zum Zugriff auf die Kontaktdaten angefragt, diese Berechtigung ist jedoch nicht zwingend für die Funktionalität erforderlich. Selbst wenn die pauschale Android-Berechtigung “Kontakte” für den Messenger deaktiviert wird, kann auch ohne Zugriff auf das Adressbuch normal geplaudert/getextet werden. Wenn jedoch die pauschale Berechtigung “Kontakte” erteilt wird, können im Adressbuch vorhandene Jabber-IDs (Namen der XMPP-Konten) sowie Profilbilder ausgelesen und in Conversations genutzt werden.

Auf dem Gerät sollten die mindestens die Berechtigungen Kamera, Mikrofon, Speicher und Zwischenablage erlaubt werden.

Übersicht und Vergleich der einzelnen Android-Berechtigungen

Tabelle: Stand 07/2020

Hinweise zur Anzeige von Berechtigungen

Android organisiert die einzelnen Berechtigungen in Gruppen (die sich zudem von Android-Version zu Android-Version leicht unterscheiden können). Die Einzelberechtigungen können sowohl in F-Droid als auch im Play-Store unter „Berechtigungen“ bei der jeweiligen App eingesehen werden. In den App-Einstellungen dagegen sind nur die Berechtigungsgruppen zu sehen.

Die Berechtigungen sind sowohl bei der F-Droid- als auch der Playstore-Version identisch!

Aber es gibt es einen Unterschied bei der Anzeige von gerätespezifischen Berechtigungen, die herstellerbezogen sind:

• Im Playstore werden nur die „Android-Berechtigungen“ (ohne die gerätebezogenen) angezeigt.
• In der F-Droid-App werden zusätzlich zu den Android-Berechtigungen auch die je nach Gerätehersteller erforderlichen Berechtigungen angezeigt.
• Über die Homepage von F-Droid werden wirklich alle Berechtigungen der Apps angezeigt (auch die gerätebezogenen).

Bei der Installation gilt das Prinzip „alles oder nichts“ - d.h. mann muss allen Berechtigungen zustimmen oder man kann das Programm nicht installieren und nutzen.

Unterschiedliche Bezugsquellen für Android-Apps

Oft kann ein und das selbe Programm für Android über mehrere Quellen installiert werden. Das hat seinen Grund entweder im Datenschutz (Google-Abhängigkeit) oder in der Aktualität bzw. eventuellen Sonder- oder Testversionen.

• F-Droid (extern)
  Alle Anwendungen, die über F-Droid bezogen werden können, sind frei und quelloffen. „F-Droid“ bedeutet sozusagen “Freie Android”-Apps; der Dienst ist spendenfinanziert. Ausführliche Hintergrundinformation hierzu gibt es auf den Seiten von „mobilsicher.de“ (extern) und im ZDF-Interview vom 22./24.12.2018.
  Anmerkung:
  Manchmal kann es sein, dass Anwendungen erst ein paar Tage nach der Veröffentlichung im Google Play Store in F-Droid erscheinen. Dies liegt an der Prüfung des Quellcodes, der vor jeder Veröffentlichung durchgeführt wird.

  • F-Droid - App
    Hier werden Aktualisierungen automatisch heruntergeladen und diese Quelle ist unabhängig von Google.
    Verknüpfung zum direkten Herunterladen der APK-Datei: >> hier << (extern)
    Schritt-für-Schritt-Anleitung (extern) zum Installieren von F-Droid von mobilsicher.
  • über Internetseite
    Programme können über „F-Droid.org“ (extern) oder alternativ auch „Fossdroid.com“ (extern) (englischsprachig) ohne eine Anmeldung direkt heruntergeladen werden.
  • Von anderem Gerät
    Innerhalb der F-Droid-App können Apps per Bluetooth direkt an andere Geräte gesendet werden, die kein F-Droid installiert haben.

• Google Play Store (extern)\
  Bequeme Quelle, über die Aktualisierungen i.d.R. komplett automatisch im Hintergrund ablaufen. Der Benutzer kann jedoch auch wählen, dass ihm neuere Versionen vor der Installation erst angezeigt werden.
  Kommt für Google-freie Geräte natürlich nicht in Frage.

• Direkt vom Entwickler
  … oder direkt über die Projektseite bzw. Entwicklungsplattform (Bitbucket, GitHub, Gitlab, SourceForge, …)
  -> Hier steht oft die neueste, meist tagesaktuelle Version zur Verfügung. Hinweis:
  Beim direkten Herunterladen von Programmen/Apps müssen diese vom Benutzer selbst installiert und eigenverantwortlich auf dem aktuellen Stand gehalten werden. Ein Hilfsprogramm hierfür ist wiederum „APKTrack“ (extern), das auch über F-Droid erhältlich ist.

Unbekannte Quellen

In den Android-Einstellungen kann bei einer Installation die Option „Installation aus unbekannten Quellen“ einmalig oder dauerhaft aktiviert werden. Dies ist jedoch kein zusätzliches Sicherheitsproblem - auch im Google-Play-Store ist genügend Schadsoftware oder Software mit Trackern und Werbung zu finden. Deshalb sollte vor jeder Installation kritisch hinterfragt werden, ob die angeforderten Berechtigungen vom Programm tatsächlich auch benötigt werden und ob dem Herausgeber vertraut wird. Statt „unbekannte Quellen“ wäre eigentlich bezeichnender: „Installation aus Google-unabhängigen Quellen“.

Mehr Informationen hierzu bei mobilsicher.de (gefördert vom Bundesministerium der Justiz und für Verbraucherschutz):

https://mobilsicher.de/hintergrund/keine-angst-vor-unbekannten-quellen (extern)

Tipp: Überprüfung auf ‘Tracker’

Bei der (englischsprachigen) Seite „Exodus-privacy“ (extern) können Programme/Apps auf enthaltene Tracker (ggfs. unerwünschte Programmteile zur Verhaltensanalyse) geprüft werden.

Auch wird hier die Anzahl und die Art der Berechtigungen angezeigt. Beispiel:

Im Notfall oder bei Katastrophen steht oft kein Internet zur Verfügung und in diesen Fällen sind klassische Messenger nutzlos. Es gibt jedoch besondere Messenger, die auch ohne Internet funktionieren und eine lokale Kommunikation zwischen Geräten per Bluetooth oder WLAN möglich ist. Das kann auch bei Ausfall der Notrufnummern im Fest- oder Mobilfunknetz hilfreich sein.

Auf Grund der Systemarchitektur und den Unterschieden zwischen Android und iOS ist es sehr aufwändig, übergreifende Systeme zu entwickeln. Eine unabhängige App/Lösung für beide Betriebssysteme zwar sehr wünschenswert, ist derzeit (Okt/2023) nicht bekannt. Da in vielen Haushalten sowohl Android- als auch iOS-Geräte genutzt werden, sind Haushalte mit ausschließlicher i-OS-Nutzung hier im Nachteil.

Messenger-Apps für den Notfall

Meshenger

Einsatzzweck: Spontannetzwerk, Notfallsituation

• auch Sprach- und Videoanrufe
• Kontakte sind vorab z.B. per QR-Code gegenseitig hinzuzufügen
• nur Android; nicht für iOS

Vorteil gegenüber Briar: Einfachere Benutzeroberfläche

Mehr Infos: >> hier <<
Projektseite/Quellcode: https://github.com/meshenger-app/meshenger-android (extern)

Briar

Einsatzzweck: Krisengebiete, Journalisten, Aktivisten, Notfallsituation

• Kontakte sind vorab z.B. per QR-Code gegenseitig hinzuzufügen
• Postfachfunktion (zur Zwischenspeicherung von Offlinenachrichten) bei Nutzung von separatem Server möglich
• nur Android; nicht für iOS

Vorteil gegenüber Meshenger: Kontakt auch über Internetverbindung möglich, Postfachfunktion möglich

Mehr Infos: >> hier <<
Projektseite: https://briarproject.org (extern)

Unfreie Messenger

Für beide Smartphone-OS (Android und iOS) gibt es z.B. „bridgefy“ - allerdings ist das nicht quelloffen und fällt hier als Empfehlung hier wegen der Anbieterabhängigkeit raus. Wenn die Firma „den Hahnen zudreht“, übernommen wird oder z.B. Konkurs macht, kann schnell Ende sein.

Weitere Apps für den Notfall

WiFi Walkie Talkie

Neben Meshenger und Briar kommt noch die App „WiFi Walkie Talkie“ (ebenfalls nur Android; ebenfalls in F-Droid (extern) verfügbar) in Frage. Die App hat den Vorteil, daß Sprachkommunikation ohne vorheriges Hinzufügen von Kontakten funktioniert - Textnachrichten sind hier jedoch nicht möglich.

Quelle: F-Droid (extern)

Trail Sense

Eine sehr gute Unterstützung und Möglichkeit, in abgelegenen Gebieten Hilfe zu rufen ist noch die App „Trail Sense“, die ebenfalls quelloffen und über F-Droid (extern) erhältlich ist.

Hier sind als Werkzeuge u.a. eine Taschenlampen- und Trillerpfeifen-Funktion vorhanden! Damit kann man SOS-Signale, Hilfe oder auch individuell Signale geben. Also eine absolute Empfehlung für diesen Fall.

Quelle: F-Droid (extern)

Weitere Möglichkeiten

Keine Messenger-Apps, aber dennoch wichtig …

Funk für den Notfall

Hier kann auf die sehr gute Seite https://deutschland-funkt.de (extern) verwiesen werden. Bei dieser Aktion können alle mitmachen, die ein Jedermannfunkgerät (CB-Funk) oder der Amateurfunkgerät haben. Im Notfunk-Wiki (extern) der Initiative sind viele Infos dazu zu finden.

Manuelle Signalgebung

Das kann beispielsweise durch Klopfen an Rohre oder gemauerte Wände geschehen.

Sonstiges

SOS-Signal = dreimal kurz / dreimal lang / dreimal kurz = dit dit dit / dah dah dah / dit dit dit (… — …)

Gibt es Regeln/Handreichungen, wie oft bzw. in welchen zeitlichen Abständen in Notfällen nach Hilfe gesucht/gerufen werden soll? Für mehr Infos gerne Kontaktieren!

Es gibt Probleme, die bei allen Messengern und unabhängig vom verwendeten Betriebssystem auftreten können. Diese können technischer Natur sein - oder auch durch menschliches Fehlverhalten hervorgerufen werden.

Systembedingte Beendigung von Apps

Bei Smartphones ist eine lange Akkulaufzeit wichtig. Dabei werden von zahlreichen Herstellern jedoch problematische Stromsparmaßnahmen ergriffen – mit teils unerfreulichen Nebeneffekten. Nicht vom Hersteller freigegebene Apps werden bei vermeintlicher Inaktivität oder nach einer gewissen Zeit einfach gestoppt um Strom zu sparen:

• Zu Android-Systemen gibt es eine sehr gute (englischsprachige) Seite, die genau das aufzeigt und (zu Recht) anprangert: Don’t Kill My App (extern)
  „Don’t kill my app“ bedeutet soviel wie „Beende meine App nicht!“.
  Es gibt auch eine App hierzu:
  • über >>F-Droid << (extern) oder
  • im >> Google Play Store << (extern)
    
• Apple ist bei iOS jedoch noch restriktiver bei der Beendigung von im Hintergrund laufenden Apps!
• Gute Informationen zur Problembehebung bei Benachrichtigungen findet man auch auf der Seite von Signal. Die Schritte zur Problembehebung sind je nach Telefonmodel und Betriebssystem unterschiedlich - und nicht nur für Signal-Nutzer hilfreich:
  • Behebung von betriebssystemspezifischen Problemen (extern)
  • Behebung von hersteller-/gerätespezifischen Problemen (extern)

Menschliches Fehlverhalten

Gruppendruck und Medienstress

Nicht nur WhatsApp kann Gruppendruck und sozialen Zwang erzeugen. Gerade Jugendliche möchten nichts verpassen, beliebt und „in“ sein. Da fällt es schwer sich auszuklinken, das Handy abzuschalten oder sich die Blöße zu geben, nicht immer sofort auf Nachrichten zu reagieren. Man ist ständig verfügbar und hat das Gefühl, auf jede Nachricht sofort reagieren zu müssen.

Bestenfalls reguliert sich der Medienstress nach einer Phase intensiver Nutzung von selbst, wenn junge Nutzer merken, wie viel Zeit über das Smartphone verbraucht wird. Gemeinsam vereinbarte Regeln und Einschränkungen für die Handy-Nutzung unterstützen dabei. Auch kann ein gemeinsamer Elternabend zu dem Thema weiterhelfen, um die Problematik in ihrer Tragweite für Klassen und Gruppen zu erfassen und gemeinsam Lösungen zu finden.

Kettenbriefe

Leider verbreiten sich Kettenbriefe mit oft ernsten Inhalten (Betrugsversuche, Einschüchterungen, Drohungen oder sogar Todesprognosen) über Messenger rasch, verunsichern und ängstigen. Wer Kettenbriefe -egal welcher Art- erhält, sollte deshalb diese Dreier-Regel beherzigen:

1. Nicht weiterschicken,
2. löschen,
3. jemandem davon erzählen!

Kettenbrief-Roboter

Es ist wichtig, hier Bescheid zu wissen und auch bei Bedarf Hilfe zu erhalten. Saferinternet.at bietet hier einen automatisierten Service um Kinder vom psychischen Druck, der von solchen Inhalten ausgeht, zu entlasten. Auf der Seite besteht die Möglichkeit, Texte einzugeben und dann vom Kettenbrief-Roboter entsprechend hilfreiche Antworten zu bekommen. Das geht auch per WhatsApp-Nachricht an eine Telefonnummer - was jedoch aus Sicht der zentralen Metadatenauswertung von Facebook nicht optimal ist - gerade bei solch sensiblen Themen.

Zur Seite: https://www.saferinternet.at/projekte/der-kettenbrief-chatbot/ (extern)

Mobbing

Insbesondere in den Gruppenchats kommt es zu Beleidigungen, Übergriffen und Mobbingattacken. Die Gruppenkommunikation belastet Opfer besonders, wenn Anfeindungen und Attacken in der Gruppe systematisch gegen eine Person gehen. Selbst „Hass-Gruppen“ werden gegründet, deren Zweck darin besteht andere fertig zu machen.

Gemobbte sollten gar nicht erst antworten, solche Gruppen verlassen, zur Blockierfunktion (s.u. „Kontakte blockieren“) greifen und sich jemandem anvertrauen. Es hilft, wenn Eltern sich für die Freundeskreise und Gruppen interessieren, in denen ihre Kinder aktiv sind. Ein guter Kontakt zu den Eltern macht es jugendlichen Mobbing-Opfern leichter, ihnen von Anfeindungen zu erzählen.

Um Mobbing zur Anzeige zu bringen, sollten Beweise gesichert werden, z.B. per Weiterleitung (s.u. „Inhalte weiterleiten“) oder Bildschirmkopien erstellt werden (screenshots).

Quelle: https://www.internet-abc.de/eltern/familie-medien/kommunikation-handy-whatsapp-facebook/whatsapp/whatsapp-fuer-kinder-und-jugendliche/ (extern)

Beschwerdestelle

Sollten über das Medium Messenger jugendschutzgefährdende oder strafbare Inhalte - z.B. in öffentlichen oder auch privat organisierten Chaträumen - festgestellt werden, können diese Vorfälle der „Internet-Beschwerdestelle.de“ als Beschwerde (extern) gemeldet werden. Diese ist ein gemeinsames Projekt von eco - Verband der Internetwirtschaft e. V. und der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM).

Über „Internet-Beschwerdestelle.de“ eingehende Beschwerden werden zunächst juristisch geprüft. Wenn der gemeldete Inhalt gegen die einschlägigen Jugendmedienschutzgesetze bzw. einschlägigen Strafgesetze verstößt, können die Betreiber von „Internet-Beschwerdestelle.de“ weitere Schritte einleiten: Der Inhalte-Anbieter wird direkt aufgefordert, den Inhalt abzuändern bzw. der Host-Provider gebeten, die Entfernung des Inhaltes zu veranlassen. In gravierenden Fällen kann die Beschwerde in anonymisierter Form auch direkt an die zuständige staatliche Stelle weitergeleitet werden.

Nach dem Jugendmedienschutz-Staatsvertrag (JMStV) werden demnach Beschwerden mit folgenden Inhalten bearbeitet:

• Missbrauchsdarstellungen von Kindern und Jugendlichen (auch virtuell)
• frei zugängliche Tier- bzw. Gewaltpornografie
• Darstellungen von Kindern und Jugendlichen in unnatürlich geschlechtsbetonter Körperhaltung
• verherrlichende, verharmlosende oder menschenunwürdige Gewaltdarstellungen
• volksverhetzende und kriegsverherrlichende Darstellungen, Propagandamittel verfassungswidriger Organisationen
• indizierte Darstellungen
• sonstige jugendgefährdende Inhalte, die frei zugänglich sind, und Inhalte, die nach dem Jugendmedienschutz-Staatsvertrag (JMStV) unzulässig sind
• Verstöße gegen die anerkannten journalistischen Grundsätze durch Mitglieder der FSM
• Verstoß gegen die Pflichten zur Anbieterkennzeichnung durch Mitglieder der FSM

Anmerkung:
Neben Beschwerden zu „Chat“ können auch Vorfälle zu Internetseiten, E-Mail, Tauschbörsen, Newsgroups, Diskussionsforen oder sonstige Inhalte gemeldet werden.

Quelle: https://www.internet-beschwerdestelle.de.html (extern)

Messengerhype

Das Thema Messenger sollte nicht überbewertet werden. Auch hat diese Art der Kommunikation echte Nachteile - im Privatbereich besteht unbestritten sogar echte Suchtgefahr. Auf meine Frage, auf welchem Kommunikationsweg ein Bekannter seine priorisierten (wichtigen) Nachrichten mitteilt, habe ich folgende Antwort bekommen, die ich voll unterstütze:

Frage: Wie teilst du priorisierte Nachrichten mit?

Da habe ich verschiedene Methoden:

Ganz altmodisch per Telefon. Wenn es dringend ist, rufe ich an. Wenn keiner ran geht, schicke ich eine SMS oder eine E-Mail hinterher - oder beides. Bei manchen Leuten weiß ich auch, dass sie z. B. auf Arbeit nicht telefonieren, aber Messenger-Nachrichten beantworten. Da nutze ich dann [Messenger XY] oder SMS.

Andersherum hilft auch ein Anruf, wenn eine wichtige E-Mail ein paar Tage unbeantwortet bleibt.

Und ich helfe dem Leser beim selbst priorisieren indem ich einen Betreff wähle, der den Inhalt zusammenfasst. Wenn es wirklich dringend/wichtig ist, kann auch ein “Dringend” an den Anfang der Betreffzeile. Manche komplexen Anfragen können auch in mehrere E-Mails mit verschiedenen Themen geteilt werden. Dann kann mein Gegenüber auch wieder frei entscheiden, die Mail mit der kurzen Info sofort zu beantworten und das kompliziertere Thema später, wenn es ruhiger ist.

Und vermutlich der zweitwichtigste Aspekt - ich verschicke nicht so viele irrelevante Nachrichten. Ich bekam öfter mal das Feedback von Freunden, dass meine Facebook-Posts gelesen wurden - denn ich würde ja nur so selten etwas posten.

In Gruppenchats dagegen treibe ich mich kaum noch herum. Die nerven, sind voll mit Babyfotos, Memos, Kettenbriefen und nicht zum Thema passenden Petitionen - wichtige Termine [Inhalte] sind irgendwo dazwischen verschollen.

Der wichtigste Aspekt ist das Recht auf Nichterreichbarkeit und Ruhe. Ich muss nicht immer erreichbar sein und meine Kommunikationspartner müssen das auch nicht. Meiner Erfahrung nach sind die meisten Dinge gar nicht so dringend, dass sie sofort beantwortet werden müssen oder nicht bis zum nächsten Tag oder Treffen Zeit hätten. Und nebenbei führt ein nicht ständig piependes Telefon zu weniger Stress. Und wenn es doch dringend ist, siehe oben.

Zusammengefasst heißt das: Ich denke vorher nach, ob und für wen meine Nachricht wichtig und/oder dringend ist und wähle dann den passenden Kommunikationskanal.

Auch ist es wichtig, die richtigen Empfänger zu wählen und seine Nachrichten nicht unnötig breit zu streuen.

Gedanken zu „Alternativen zu WhatsApp“

Vorwort

Immer wieder werden bekannte Messengersysteme wie beispielsweise Signal oder Threema als Alternativen zu WhatsApp empfohlen, denn die sind doch super „sicher“!?

Das mag sein, aber was ist „Sicherheit“ überhaupt, gibt es „Pseudosicherheit“ und ist Sicherheit für jeden dasselbe!? Gibt es neben Sicherheit nicht auch noch andere Dinge wie beispielsweise Freiheit, Privatsphäre, Datenschutz oder Nachhaltigkeit? Leider werden diese Begriffe oft nur als Schlagwörter (buzzwords) benutzt oder sogar gegeneinander ausgespielt, ohne die tatsächliche Bedeutung und Wichtigkeit zu erkennen.

Eines der bekanntesten Zitate (extern) von Benjamin Franklin (1706-1790) lautet:

“Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren”.

Warum nicht Alternative XY

Zentrale und voneinander abgeschottete Dienste wie Signal & Co. helfen nicht dabei, die Grundproblematik zu lösen, sondern stärken letztendlich dadurch sogar die Position und Marktmacht von WhatsApp. Denn allen gemeinsam ist, daß diese wie WhatsApp auch Insellösungen sind und man daher von einer zentralen Stelle abhängig ist:

Es fehlt die Interoperabilität. Es ist also nicht möglich, Nachrichten anbieterübergreifend auszutauschen, so wie das z.B. bei E-Mail, Telefon oder dem Mobilfunk ganz normal ist.

Mehr Informationen, warum solche Systeme tatsächlich nicht die Heilsbringer sind, findet man: >>hier<<

Es wird also keinem dieser Anbieter gelingen, gegen das „Quasimonopol“ anzukommen - Warum sich also Gedanken machen? …

Die Lösung

… Weil die Lösung bereits auf dem Tisch liegt, und das Beste daran ist, daß sie keiner Firma gehört: „Chat“.

Eine rhetorische Frage: Wer nutzt Telefon und E-Mail? Alle? Dann kennen alle sicherlich auch die Vorteile dieser Systeme: Unabhängigkeit durch freie Wahl der Anbieter, was durch

• Zusammenarbeit der Anbieter (=Föderation) und
• standardisierte, internationale Protokolle

ermöglicht wird (=Interoperabilität). Genau dasselbe gilt und gibt es auch für „Chat“!

Je mehr Leute per normalem Chat erreichbar sind, desto besser. Unter „normal“ sind in diesem Fall Messenger zu verstehen, die internationale Standards einhalten. Beispielsweise ist es bei dem ebenfalls offenen (aber nicht standardisierten) Protokoll „Matrix“ so, daß es eine Brücke zu standardisiertem Chat („XMPP“) gibt.

Solche Brücken/Tansportwege für normale Nachrichten sind vielleicht nicht perfekt, aber dennoch hilfreich und sehr vorbildlich. Sie machen auch die Wichtigkeit von international einzuhaltenden Regeln (Standards) deutlich, denn diese sind -wie in vielen anderen Bereichen auch- der Garant für Innovation und Zukunftssicherheit. Bei anbieterunabhängigem Chat werden internationale Standards eingehalten und man hat mehr Möglichkeiten und Freiheiten, als man zunächst vielleicht annimmt …

Einladung

Oft gibt es nur Halbwissen oder teils auch veraltete Informationen - Deshalb hier die Bitte, unabhängigen Chat selbst einmal persönlich zu testen und eigene Erfahrungen zu machen, denn hierfür braucht man kein Expertenwissen!

Alle, die schon anbieterunabhängig erreichbar sind, können diesen Einladungs-Link verwenden, um ihre Kontakte darüber zu informieren:
https://www.freie-messenger.de/i/#meinname@chatadresse.de
(natürlich muß die jeweils eigene Chatadresse statt dem Platzhalter ab ‘#’ eingetragen werden.)

Aber kann es überhaupt gelingen, die Allgemeinheit zur sicherer Chat-Kommunikation zu bewegen?

Ja! Wobei die Frage ist, was „sicher“ bedeutet und ob „anbieterunabhängige und sichere Kommunikation“ nicht eine treffendere Formulierung wäre.

Es hilft auch nicht, auf mangelnden Datenschutz oder die Auswertung von Metadaten bei WhatsApp & Co. zu verweisen, denn die Probleme kennt heute wahrscheinlich jeder und ignoriert sie fleißig, da das sehr bequem ist. Treffenderweise wurde der Konzern Facebook in „Meta“ umbenannt, was gedanklich sehr nah bei „Metadaten“ liegt …

Vorteile

Oft ist es einfach besser, auf die technischen Vorteile aufmerksam zu machen und darauf hinzuweisen, daß man selbst auf diesem Weg erreichbar ist. Ausschlaggebend sind dann vor allem praktische Dinge wie:

• mehrere Chatkonten (Beruf, Privat, Sonstiges)
• synchrone Nutzung an mehreren Geräten (Smartphone, PC, Tablet)
• Nutzung mit und ohne SIM-Karte möglich
• kein Mindestalter (wegen der Kinder)
• automatisch dabei: Privatsphäre+Datenschutz

Es gibt aber noch mehr Gründe, die für die unabhängigen Chat sprechen - man muß WhatsApp ja nicht sofort löschen, sondern kann das parallel nutzen. Einige Vorteile von freiem Chat auf der Basis des (flexibel erweiterbaren) Standardprotokolls:

Grundsätzliche Vorteile

• öffentlicher (internationaler) Standard statt oft geheimem Firmeneigentum
• Unterstützung von „öffentliche Gelder -> öffentlicher Code“
• Unabhängigkeit von einem externen (zentralen) Anbieter mit zentraler Systemarchitektur: Die Gefahr und Abhängigkeit, die bei der Nutzung von zentralen Diensten besteht, zeigen aktuelle Beispiele des SWR (Sperrung WhatsApp-Chatkonto) sowie die temporäre Beendigung des Messengerdienstes Ginlo (2019 bzw. 2020)

Ein föderales System (analog anderen Kommunikationsformen wie z.B. E-Mail) macht unabhängig und ist vor allem zukunftssicher.

Technische Vorteile

• Es sind getrennte (und mehrere) Chatkonten möglich
• gleichzeitige Nutzung von Mobilgeräten und PC/Laptops mit Nachrichtensynchronisation über mehrere Endgeräte
• Chatten mit oder ganz ohne Smartphone
• Chat-Clients für Windows/Linux/Mac/Android/iOS/…
• keine personenbezogene System-Identifikations-Nummer
• nicht nur geschlossene Chatgruppen, sondern auch öffentliche Chaträume sind möglich
• Es sind mehrere Ende-zu-Ende-Verschlüsselungen möglich (unterschiedliche Arten)
• Es können eigene Chatserver betrieben werden (Eigenhosting)

Organisatorische Vorteile

• Bei selbst betriebenen Chatservern können die Daten in einem Sicherungskonzept berücksichtigt werden.
• Anbindung an Nutzerverwaltungssysteme ist möglich
• Einfache Anpassung an die Aufbau- und Ablauforganisation
• interne und externe Kommunikation möglich

Finanzielle Vorteile (Kosten)

• keine Mehrfachinvestitionen in Inselsysteme
• Gelder können individuell für Programmieraufträge zur Verbesserung des Codes vergeben werden
• IT-Unternehmen können mit Dienstleistungen und Beratung Geld verdienen
• Programmcode von Clients und Serversoftware ist oft quelloffen und darf daher einfach verwendet, individuell angepasst und weiterentwickelt werden

Vorurteile

Vorurteil #1: „Kennt niemand“

Doch - sogar die Verbraucherzentrale (extern), das ZDF (extern; wenn auch mit inhaltlichen Fehlern) oder der Nachrichtendienst ‘heise’ (extern) berücksichtigen diese - und nicht zu vergessen das Bundeskartellamt (extern) - wie oben schon angesprochen.

Vorurteil #2: „Nutzt niemand“

Wirklich?

Potentielle Kommunikationspartner

Der Hauptnutzen in der Kommunikation ist die Anzahl an potentiell verfügbaren Kommunikationspartnern (Netzwerkökonomie). Jedoch wird die Anzahl der Nutzer und potentiellen Kommunikationspartner bei anbieterunabhängigem Chat leider oft unterschätzt. Da weder Telefonnummer noch Smartphone verpflichtend ist, sind alle Internetnutzer potentielle Kommunikationspartner - denn Chatten ist auch rein im Browser möglich.

Eine optimale Netzwerkökonomie ist somit gegeben.

Konkrete Nutzerzahlen

Anbieterunabhängiger Chat auf der Basis des international standardisierten Protokolls „XMPP“ ist zumindest so verbreitet wie Threema - was fehlt, ist lediglich ein zentrales Marketing.

Allein die offiziellen Nutzer-/Downloadzahlen verschiedener (untereinander interoperabler!) Messenger-Apps sind in der Summe beeindruckend - hier verschiedene Zahlen zu den Installation aus dem Playstore:

• zwischen 1.000.000 und 5.000.000 bei Xabber
• zwischen 100.000 und 500.000 bei Conversations (deutscher Entwickler)
• zwischen 100.000 und 500.000 bei Yaxim (deutscher Entwickler)
• zwischen 10.000 - 50.000 bei blabber.im/Pix-Art (deutscher Entwickler)
• weitere Apps vorhanden

Über die Suchseite „Shodan“ werden ca. 300.000 Server gefunden (ohne Nutzerzahlen).

Unbekannte Nutzerzahlen

Zu den Zahlen aus dem PlayStore kommen noch die Installationen des bekannten Appstores „F-Droid“ (extern), in dem nur quelloffene Apps zur Verfügung gestellt werden. Hier werden die Downloadzahlen jedoch nicht veröffentlicht.

Darüber hinaus gibt es auch noch verschiedene Apps aus der Apple-Welt wie … - Monal, - Siskin und - ChatSecure (ehemals führend; wird jedoch nicht mehr aktiv weiterentwickelt)

… sowie auch Desktop-Clients für Windows und Linux wie z.B. - Gajim, - Pidgin, - Dino, - Kaidan

Allen Apps/Programmen gemeinsam ist, daß leider keine Downloadzahlen verfügbar sind.

Eigentlich sollte keine Argumentation auf Nutzerzahlen abzielen, denn dann müssten alle bei WhatsApp bleiben - aber es handelt sich ja auch nur um ein Vorurteil.

Vorurteil #3: „Kompliziert“

Bitte? Jeder, der ein E-Mail-Konto oder ein Konto bei Facebook, Instagram, Apple, Microsoft & Co. einrichten kann, ist in der Lage, auch ein Chatkonto einzurichten!

Allerdings müssen die gebotenen Freiheiten und Möglichkeiten natürlich erst kennen- und schätzengelernt werden - aber das haben wir bei der Papierpost, Telefon und E-Mail ja auch geschafft.

Schnelleinstieg

Alle, die bisher WhatsApp nutzen, dürften mit der Telefonnummer als Teil der Chatadresse kein Problem haben. Somit wäre für 75%-80% der Nutzer von Smartphones (ca. Anteil Android) die kostenfreie App Quicksy der einfachste Einstieg in unabhängiges Chatten. Das ist eine Einfachversion der Chat-App Conversations, bei der lediglich ein Chatkonto verwendet wird. Beide Apps sind vom selben Entwickler.

Wer tatsächlich auf die Telefonnummer als Teil der Chatadresse verzichten will oder ein iOS-Gerät nutzt, kann auf andere ebenfalls sehr gute Apps für „Chat“ zurückgreifen - bei denen dann sogar mehrere Chatkonten gleichzeitig nutzbar sind. Das ist beispielsweise gut, um Privates von Beruflichem zu trennen.

WhatsApp-Wechsler

Oft wird vom „Umstieg“ oder „Wechsel“ weg von WhatsApp geredet. Allerdings werden die wenigsten Leute WhatsApp tatsächlich von Ihrem Gerät löschen. Dazu sind noch zu viele Kontakte hier gebunden und abhängig.

Solange WhatsApp noch keine offizielle Brücke nach außen ermöglicht, ist es sinnvoll, ergänzend zu WhatsApp anbieterunabhängigen Chat zu nutzen und seinen Kontakten zumindest anzubieten.

Leider werden Messenger-Apps oft wie Briefmarken gesammelt, aber kein einziges von diesen dann halbherzig genutzten Systemen hält öffentliche Standards ein oder unterstützt diese.

Die Mehrzahl der „WhatsApp-Wechsler“ sind somit eigentlich eher „Nach-Alternativen-Suchende“, die je nach Motivation technische Sicherheit, Datenschutz/Privatsphäre oder einfach Unabhängigkeit wollen - aber gleichzeitig die Bequemlichkeit nicht aufgeben wollen.

Verschlüsselung

Wie sieht das mit der Verschlüsselung aus und ist standardisierter Chat eine zukunftssichere Alternative?

Ja natürlich, denn die Verschlüsselung wird einfach „oben drauf“ gesetzt, so wie man sie benötigt. Neue Entwicklungen und Techniken können dadurch einfach ergänzt und integriert werden.

Neben der heutzutage normalen Transportverschlüsselung wie sie im Bereich Browser durch „HTTPS“ Standard ist, kann man Chatinhalte zusätzlich noch per Ende-zu-Ende-Verschlüsselung (E2EE) absichern. Hier gibt es sogar mehrere Möglichkeiten:

• OMEMO (entspricht der einfach zu bedienenden Singnal-Technik)
• PGP (Pretty Good Privacy, wie man das auch von E-Mail kennt)
• MLS (Message Layer Security - eine aktuell neu in Entwicklung befindliche Verschlüsselung)

Beispiel
Die von WhatsApp bekannte und ursprünglich von Signal entwickelte Technik (AXOLOTL) wird heutzutage bei vielen Systemen eingesetzt und ist Stand der Technik. Wer möchte, kann bei freiem Chat (hier OMEMO genannt) seinem Gegenüber quasi automatisiert einfach „blind vertrauen“ (in der Fachsprache „BTBV“ / blind trust bevore verification) - oder bei gesteigertem Sicherheitsbedürfnis durch manuelles Gegenprüfen sicherstellen, daß niemand auf dem Transportweg mitliest oder später durch weitere Geräte Sicherheitslücken entstehen.

Zusammenfassung/Fazit

Anstatt von „Alternativen zu WhatsApp“ sollte man besser von „der Alternative zu geschlossenen Systemen“ sprechen, denn die Nutzung von verschiedenen geschlossenen Systemen wie Threema, Signal, Telegram, Viper & Co. festigt lediglich die Marktmacht von WhatApp.

Die Nutzung von internationalen Standards ist auch beim Chatten extrem wichtig, muß wieder entdeckt und gelernt werden, denn:

Analogie zu anderen Kommunikationsformen:
Das Browsen im Internet ist nicht nur mit einem einzigen Browser möglich - genauso wie jeder Nutzer die Freiheit in der Wahl des Geräts und der Software fürs Telefonieren oder für E-Mail hat.

Eine Öffnung bzw. Verhaltensänderung geht umso schneller, wenn z.B. bei Kontaktdaten auf Internetseiten oder auf Visitenkarten neben der Postadresse, der Telefonnummer und E-Mail-Adresse auch noch die „Chatadresse“ steht.

Dann hat man die wahre Alternative zu WhatsApp und die Lösung des Problems „Interoperabilität“ nicht nur entdeckt, sondern ist auch tatsächlich unabhängig: „Chat“

Ergänzende Informationen:

• Generell zum Thema „Freie Messenger“
• Freiheit + Sicherheit = Nachhaltigkeit
• Empfehlung für WhatsApp-Nutzer
• Schnellübersicht Messengersysteme
• und die einzigartige „Übersicht der Vergleiche“

Datum: 14.06.2024
Rechte: CC BY-SA
Autoren: Diverse (Initiative Freie Messenger)

Alle Artikel/Gedanken rund um das Thema Messenger:

• Gedanken zu „Alternativen zu WhatsApp“
• Gedanken zur Interoperabilität
• Gedanken zum Digital Markets Act (DMA)
• Gedanken zur Ende-zu-Ende-Verschlüsselung
• Gedanken zur Sicherheit/Pseudosicherheit

Hier geht es um die grundsätzliche Gegenüberstellung und Merkmale von Messengersystemen sowie ergänzenden Informationen.

Das ist etwas anderes als Funktionsvergleiche von Messenger-Apps/-Programmen! Solche Vergleiche von einzelnen Messengern, bei denen Funktionen gegenübergestellt und teilweise auch (oft subjektiv) bewertet werden, gibt es viele. Zur (tatsächlich) einmaligen „Übersicht von Vergleichen“ geht es >> hier <<.

Schnellübersicht

Auf dieser kompakten Seite werden Fragen beantwortet wie:

• Ist man von einem Anbieter abhängig?
• Welches System hat einen frei einsehbaren Quellcode und bei welchem ein Firmengeheimnis?
• Ist das für die von Nutzern verwendete Software (z.B. “Messenger-App”) und die Serversoftware gleich oder nicht?
• Wie ist die Netzwerkstruktur und ist man hier als Nutzer unabhängig?
• Ist die Möglichkeit einer Ende-zu-Ende-Verschlüsselung vorhanden?
  

Die Schnellübersicht ist so optimiert, daß sie auch bei Schwarz-/Weiß-Ansicht und -Drucken lesbar und aussagekräftig bleibt (PDF-Dateien ca 0,5 MB):

Deutsch (PDF)	Chinesisch (PDF) (vereinfacht/Kurzschrift)	Englisch (PDF)	Französisch (PDF)	Hindi (PDF)
Italienisch (PDF)	Niederländisch (PDF)	Russisch (PDF)	Spanisch (PDF)	Ukrainisch (PDF)

Weiterführende spanische Informationen: https://niboe.info/whatsapp-telegram-signal-privacidad (extern)

Zeitlicher Verlauf

Messenger kommen und gehen. Hier eine Grafik, wo man sieht, wann welche Messenger eingeführt wurde. Nachträglich farblich hervorgehoben wurden der Chatstandard XMPP (Jabber) sowie Matrix:

Quelle: https://mov.im/?blog/debacle%40movim.eu/76bf90a4-5f59-4962-92db-6cd859f42ec9

Vergleich von WhatsApp mit freien, dezentralen Systemen

WhatsApp ist mit Abstand der beliebteste Messenger mit der größten Verbreitung in Europa. Er hat einen tollen Funktionsumfang, ist einfach zu bedienen und sehr bequemen bezüglich der Kontaktverwaltung. Aber …

Zwischen den beiden anbieterunabhängigen Systemen Jabber (XMPP) und Matrix (Matrix-Protokoll) gibt es große konzeptionelle Unterschiede - dennoch können diese in der nachfolgenden Übersicht zusammen betrachtet werden.