Sicheres Messaging: WhatsApp-Alternativen mit Verschlüsselung

Threema haben wir auf Android und einem iPhone ausprobiert. Der Dienst funktioniert äußerst zuverlässig und stellt Nachrichten zügig zu. Auf einem iPhone werden Nachrichten zwar als Systembenachrichtigung angezeigt, jedoch kann die App unter bestimmten Bedingungen die Daten vor der Anzeige nicht dechiffrieren - es werden also die verschlüsselten Daten angezeigt. Auf Android besteht dieses Problem nicht - Apple müsste bessere APIs anbieten. Leider lässt sich der Zugriff auf die App nicht ohne weiteres mit einer PIN schützen. Zwar kann der private Schlüssel verschlüsselt werden, allerdings sperrt sich dadurch der Zugang nur, wenn die App vom Betriebssystem beendet wird. Danach ist außerdem keine Push-Benachrichtigung mehr möglich. Konkret heißt das: Die Nachrichten sind zwar während der Übertragung verschlüsselt und sicher, wer aber Zugriff auf das Smartphone hat, kann die Chats dennoch lesen. Eine vernünftige PIN-Sperre hätte uns gut gefallen.

Threema: Kontaktscreen
Bild: teltarif.de Die Oberfläche der Chat-App ist sehr aufgeräumt und komfortabel. Threema unterstützt dazu auch die Möglichkeit, Bilder, Videos oder Ortsangaben zu verschicken. Eine Gruppenchat-Funktion steht aktuell nicht zur Verfügung, ist aber laut Entwickler-Angaben geplant. Die verschlüsselte Kommunikation war auch zwischen iPhone und einem Android-Smartphone unproblematisch möglich.

MyEnigma: Verschlüsselte Gruppennachrichten und SMS-Fallback

MyEnigma-Nutzer finden sich über die Synchronisierung von Kontaktdaten automatisch, so weit sie sich gegenseitig im Adressbuch haben. Nutzer können andere Kontakte nicht händisch hinzufügen. Die Oberfläche ist zwar optisch schick, lässt sich aber nicht so gut bedienen wie Threema. Insbesondere fehlt die Möglichkeit, zwischen einzelnen Bildschirmen hin- und her zu wischen. Stets muss dafür eine Schaltfläche gedrückt werden.

MyEnigma: Kontakte-Screen
Screenshot: teltarif.de Der Chat-Dienst unterstützt neben normalen Chats auch Gruppenchats und kann bis zu 20 MB große Dateien übertragen. Als echte Besonderheit verfügt MyEnigma über einen SMS-Modus, der verschlüsselte SMS zwischen MyEnigma-Nutzern verschicken kann: So müssen Anwender zum Beispiel bei Internetstörungen oder im Ausland nicht auf sichere Kommunikation verzichten. Jeder Chat-Partner kann übrigens selbst einstellen, ob er per SMS oder als MyEnigma-Nachricht senden möchte. Das soll auf allen Plattformen funktionieren, allerdings kann MyEnigma die verschlüsselten SMS nur auf Android-Smartphones aus dem Posteingang löschen.

Whistle.im: Verschlüsselte Nachrichten mit HTML5-Technik

Whistle.im ist ein sehr junges Projekt, das aus Deutschland kommt - das Projekt ist jedoch noch in einer sehr frühen Phase der Entwicklung. Im Gegensatz zu den anderen Diensten gibt es eine Weboberfläche - die App für Android bindet diese ein. Bei der Anmeldung muss zunächst ein Kontoname gewählt werden - dieser Dienst basiert nicht auf der Telefonnummer. Nutzer können ihre Kontakte direkt über den Kontonamen hinzufügen. Die Verteilung der Nachrichten erfolgt sofort und ohne Verzögerungen.

Whistle.im
Screenshot: teltarif.de Dank der Registrierung ohne Telefonnummer eignet sich der Dienst auch dafür, einen "Wegwerf-Benutzernamen" nur kurzzeitig zu verwenden. Das hat für einen verlässlichen Dienst aber auch Nachteile: Die Identitätsüberprüfung muss alleine vom Nutzer geleistet werden - eine Absicherung über synchronisierte Kontakte oder einen QR-Code findet nicht statt. Die Inhalte werden offenbar auf den Servern des Anbieters gespeichert, allerdings verschlüsselt. Die Browser-Oberfläche basiert auf HTML5-Technik und jQuery UI und lässt sich deswegen auf den meisten verbreiteten Plattformen aufrufen.

Update am 19.8., 15:00 Uhr: Eine ausführliche Analyse der Verschlüsselungstechnik von Whistle.im kommt zu dem Ergebnis, dass hier Vorsicht geboten ist: Die privaten Schlüssel der Nutzer werden auf den Servern des Anbieters gespeichert. Diese werden über das Internet verschickt, so dass die Sicherheit nicht gewährleistet werden kann. Grundprinzip einer Verschlüsselung ist, dass der private Schlüssel geheimgehalten wird. Whistle.im lasse sich außerdem mit falschen Zertifikaten austricksen. (Ende Update)

Kosten der sicheren Smartphone-Messenger

Threema kostet im Play Store aktuell 1,60 Euro, in Apples App Store ist die App aktuell für 1,79 Euro erhältlich. MyEnigma ist zurzeit kostenlos, als Account-Typ wird allerdings "Free Trial" angezeigt - auf Dauer dürften hier Kosten anfallen. Whistle.im befindet sich in der Testphase und ist derzeit umsonst.

Mit Heml.is sitzt bereits ein weiterer Messenger mit Ende-zu-Ende-Verschlüsselung in den Startlöchern. Dieses Kickstarter-Projekt hat innerhalb kurzer Zeit sein angestrebtes Startkapital erreicht. Hier sind wir auf erste Ergebnisse gespannt.

Fazit: Ende-zu-Ende-Verschlüsselung bald Standard

Unser Test zeigt: Messenger mit Ende-zu-Ende-Verschlüsselung sind nicht viel komplizierter zu verwenden, als die klassischen Messenger im Stil von WhatsApp. Unsere getesteten Messenger sind auf den verbreiteten Plattformen Android und iOS erhältlich, was der Verbreitung zu Gute kommen dürfte. Die Verbreitung ist allerdings im Falle dieser Messenger wohl nicht ganz so entscheidend: Gerade Gruppen, die sicher kommunizieren wollen, dürften sich gemeinsam für einen Messenger entscheiden. Wir haben auf einem Smartphone fünf oder sechs Messenger parallel laufen - das kann aber auf die Ausdauer des Akkus negative Auswirkungen haben.

Als Nachteile der Messenger können wir einerseits die geringe Verbreitung ausmachen. Ein zweiter, vielleicht etwas größerer Nachteil besteht darin, dass die Daten beim Wechsel des Smartphones verloren gehen können. Wer sich für einen der Messenger entscheidet, sollte deswegen genau beachten, wie die Backup-Verfahren des Anbieters aussehen - im Extremfall ist der Account nicht mehr zugänglich, wenn der private Schlüssel nicht gesichert ist.