→ Die verrückte Welt der Messenger
»Die Artikelserie »Messenger« wird insgesamt acht Messenger vorstellen und diese aus der Perspektive IT-Sicherheit und Datenschutz bewerten.«
Beginnend mit WhatsApp. Im nachfolgenden Teil der Artikelserie wird der Messenger Threema vorgestellt.
Messenger Teil 2 → Threema - Schweizer Allzweck-Taschenmesser?
Threema’s Vor- und Nachteile auf einen Blick
Positiv:
- Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats und auch Gruppen-Chats aktiv
- Über Threema Web kann über einen Browser (am Desktop) gechattet werden
- Threema ist ohne die Verknüpfung einer Telefonnummer nutzbar
- Vollständig ohne Google-Konto² bzw. proprietäre Google-Bibliotheken³ nutzbar
- Anstrengung bei der Vermeidung von Metadaten
- Verschlüsselte Sprachanrufe möglich (keine Video-Telefonie)
- Externe Auditoren bescheinigen Threema eine hohe Sicherheit (unabhängige Überprüfung allerdings nicht möglich)
- Ermöglicht ein verschlüsseltes Backup von Schlüssel(n), Kontakten, Gruppen und Einstellungen auf einem (eigenen) Server
- Nachrichten werden verschlüsselt auf dem Gerät gespeichert
- Klares Finanzierungsmodell über App-Verkäufe und Threema Work / Threema Education
- Verständliche Datenschutzerklärung
Negativ:
- Nicht quelloffen bzw. Open-Source
- Threema ist (einmalig) kostenpflichtig – im Gegensatz: Klares Finanzierungsmodell sorgt für Vertrauen
²³ Threema kann vollständig losgelöst von G°°gle betrieben werden. Über den Threema Webshop kann die Threema App geräteunabhängig und unabhängig vom G°°gle Play Store eingekauft werden.
Wenn der G°°gle Play Services und deren proprietäre G°°gle-Bibliotheken nicht installiert sind (bei /e/ OS obligatorisch), prüft Threema mittels Polling, ob neue Nachrichten vorliegen. Das Polling-Intervall ist zwischen 5 und 30 Minuten konfigurierbar. Threema verwendet Firebase Cloud Messaging (FCM), um die App im Hintergrund über neue Nachrichten zu benachrichtigen. Mehr …
@archje,
danke für den Link. 
Kenne ich schon, aber der Kuketz-Blog sollte eigentlich Pflichtlektüre sein,
für jeden den Datenschutz interessiert.
Ich hoffe, dass sich die Leute öfter dorthin verirren und
sich ein wenig (oder mehr) schlau machen!
Messenger Teil 3 → Telegram: »Sicherheit« gibt es nur auf Anfrage
8. Telegram: Vor- und Nachteile auf einen Blick
Positiv:
- Über Telegram Web-Version kann über einen Browser (am Desktop) gechattet werden
- Austausch von Nachrichten ist ohne die Preisgabe einer Telefonnummer möglich
- Vollständig ohne Google-Konto bzw. proprietäre Google-Bibliotheken nutzbar
- Verschlüsselte Sprachanrufe möglich (keine Video-Telefonie)
- Client ist quelloffen und der Quellcode damit einsehbar
Negativ:
- Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats nicht aktiv und für Gruppen-Chats sogar überhaupt nicht vorgesehen
- Kaum Angaben zur Speicherung und den Umgang mit Metadaten
- Serverseite Infrastruktur ist nicht quelloffen bzw. Open-Source
- Datenschutzerklärung lediglich in englischer Sprache verfügbar
- Attraktiv für Behörden, da »normale« Nachrichten und auch die Verknüpfung zu den Kontakten den Betreibern von Telegram grundsätzlich im Klartext zugänglich sind
- Speicherung von Kontaktdaten (Telefonnummer, Vor- und Nachname) auf den Telegram-Servern ohne die Zustimmung betroffener Personen
- Telefonnummer für die Registrierung am Dienst notwendig
- Nachrichten werden unverschlüsselt auf dem Gerät gespeichert
→ F-Droid Version 5.15.0 beruht auf einem reinen FLOSS-Fork
Einige proprietäre Teile wurden aus dem Original-Client von Telegram entfernt, darunter die Google Play Services zur Standortbestimmung und das HockeySDK für selbsttätige Aktualisierungen und Push-Benachrichtigungen über Google Cloud Messaging. Die Funktion zur Standortübermittlung wird über OpenStreetMap wiederhergestellt.
Unerwünschtes Merkmal: Nicht freies Netzwerk, da auf den Servern proprietäre Software läuft.
Der offizielle Quellcode der App enthält Binär-Blobs, also verfolgt diese App einen Fork, der diese aus der Quelle herstellt. Somit kann es bis zum Erscheinen neuer Versionen zu gewissen Verzögerungen kommen.
Messenger Teil 4 → Wire
8. Wire: Vor- und Nachteile auf einen Blick
Positiv:
- Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats und auch Gruppen-Chats aktiv
- Über eine Web-Version kann über einen Browser (am Desktop) gechattet werden
- Wire ist ohne die Verknüpfung einer Telefonnummer nutzbar
- Verschlüsselte Sprachanrufe möglich inkl. Video-Telefonie für bis zu vier Nutzer gleichzeitig
- Client und auch Server sind quelloffen und der Quellcode damit einsehbar
- Externe Auditoren bescheinigen Wire eine hohe Sicherheit (Audits liegen allerdings schon zwei bis drei Jahre zurück)
- Auch auf googlefreien Smartphones nutzbar
- Keine (User-)Tracker integriert (obwohl das Privacy Whitepaper etwas anderes behauptet)
Negativ:
- Sensible Metadaten werden im Klartext auf den Wire-Servern gespeichert
- Angaben zur Speicherung und den Umgang mit Metadaten geht nicht direkt aus der Datenschutzerklärung hervor, sondern erst nach einem Blick in das Wire Privacy Whitepaper
- Attraktiv für Strafverfolgungsbehörden und Geheimdienste, da sensible Metadaten (wer mit wem wann kommuniziert hat) den Betreibern von Wire grundsätzlich im Klartext zugänglich sind
- Intransparente Kommunikation über Änderungen, die (alle) Wire-Nutzer betreffen
- (Neuer) Eigentümer von Wire ist die Wire Group Holdings Inc. mit Sitz in Dover, USA
- Unklar, wie viel rechtlichen Einfluss die Vereinigten Staaten auf die (Nutzer-)Daten bzw. Wire haben.
Der Messenger Briar funktioniert mit und ohne Internet und bietet starke Anonymisierung.
“Der Fokus von Briar liegt ganz klar auf Sicherheit und Anonymität”
Der Messenger Briar funktioniert auch dann weiter, wenn kein Internet mehr zur Verfügung steht. Er ermöglicht die Verbreitung von Nachrichten, Blogs und Foren sowohl über WLAN und Bluetooth als auch über das Internet. Briar setzt dabei nicht auf einen zentralen Server, sondern ein Peer-2-Peer-Netzwerk, das für die Verbreitung der Nachrichten sorgt - anonym und zensurresistent.
F-Droid :: Briar Secure Messaging, Anywhere
Briarproject.org :: Installing Briar via Direct Download
