WhatsApp, Telegram, Threema: Sicherheit in Messengern

Smartphone-Messenger stehen hoch im Kurs. Zu den beliebtesten Diensten zählt mit 1,5 Milliarden Nutzern weltweit WhatsApp. In Deutschland nutzen den zum Facebook-Konzern gehörenden Dienst rund 89 Prozent der 14 bis 60-Jährigen nahezu täglich. Aber auch andere Messaging-Dienste haben ihre Daseinsberechtigung. Wir vergleichen weitere beliebte Chat-Apps wie Telegramm, Threema, Facebook Messenger, Viber, Signal und Wire. Den Fokus legen wir dabei auf die wesentlichen einstellbaren Sicherheitsfunktionen. Info: Im Rahmen des Tests prüften wir die aktuellen iOS-Versionen der Messenger.

Bei den meisten Messengern überspringen Nutzer die Option, sich über einen Benutzernamen und Passwort vor jeder Verwendung in den Dienst einzuloggen. Beim Klick auf die App öffnet sich diese in der Regel ohne Angabe von Account-Details. Der Facebook Messenger setzt seit 2015 kein eigenes Facebook-Konto voraus. Nutzer, die aber ein Facebook-Konto haben, können dieses mit dem Messenger verknüpfen. Sofern sie in der Facebook-App angemeldet sind, können sie sich mit einem Klick in der Messenger-App anmelden, ohne die Zugangsdaten erneut einzugeben. Nutzer, die kein Facebook-Konto besitzen, benötigen eine Handynummer, um den Dienst verwenden zu können. Einige Messenger bieten aber auch direkt über die App selbst einen Schutzmechanismus per Passwort oder Touch ID (iOS).

WhatsApp

Als Verschlüsselungsmethode der Nachrichten zwischen Nutzern verwendet WhatsApp die Ende-zu-Ende-Verschlüsselung. Diese Option ist laut Angaben auf der FAQ-Seite von WhatsApp dauerhaft aktiv und kann nicht abgeschaltet werden. Weder WhatsApp noch Dritte sollen die Nachrichten zwischen Nutzern mitlesen können. Unter Kontaktinfo eines Nutzers lassen sich Informationen zu der Methode abrufen. Bei einem Klick darauf erscheint die Option "Sicherheitsnummer bestätigen". Dabei handelt es sich aber nicht um eine Aktivierungsmöglichkeit der Ende-zu-Ende-Verschlüsselung, sondern um eine optionale Bestätigung. So können zwei Nutzer anhand eines übereinstimmenden Codes sehen, dass die Nachrichten nur von beiden gelesen werden können. Zur Bestätigung des Codes müssen sich die Nutzer jedoch persönlich sehen und den QR-Code auf dem Telefon des anderen (nur einmal notwendig) scannen.

Alle Messenger (im Bild: WhatsApp) setzen auf eine Ende-zu-Ende-Verschlüsselung.
Screenshot: teltarif.de Unter Datenschutz können verschiedene Optionen eingestellt werden. Der Nutzer kann seinen Kontakten so offenbaren oder verschleiern, wann er zuletzt online gewesen ist und welcher der Kontakte sein Profilbild und den Status kann. Zudem lässt sich einstellen, wer den Live-Standort des Nutzers verfolgen kann, eine Liste der blockierten Nutzer anzeigen und Lesebestätigungen (de)aktivieren. Unter "Sicherheit" lassen sich Sicherheitsbenachrichtigungen aktivieren. Das Feature dient dazu, den Nutzer zu informieren, sobald sich die Sicherheitsnummer eines Kontakts ändert.

Nutzer können ihren Account mit einer zusätzlichen Verifizierungsmethode (PIN) ausstatten, wenn eine erneute WhatsApp-Registrierung mit der Telefonnummer erfolgt. WhatsApp bietet keinen eigenen Passwortschutz an, um den Zugriff auf die App zu beschränken.

Telegram

Der Messenger unterstützt zwei Verschlüsselungsebenen: Zum einen wird eine Server-Client-Verschlüsselung in privaten Chats und Gruppenchats eingesetzt. Zum anderen setzen geheime Chats auf eine zusätzliche Ebene der Client-Client-Verschlüsselung. Alle Daten werden auf die gleiche Weise verschlüsselt. Telegram erlaubt unter "Privatsphäre und Sicherheit" die Blockierung von Nutzern, zuletzt gesehen, wer den Nutzer per Sprach-Anruf kontaktieren und ihn in Gruppenchats einladen darf.

In Telegram lässt sich die Chatliste per PIN-Code sperren.
Screenshot: teltarif.de Die App kann nicht direkt gesperrt werden, es lassen sich aber einzelne Chats per PIN/Touch ID sperren und entsperren. Ist das Feature aktiv, erscheint ein Schloss über der Chatliste. Vergessen Nutzer den Code allerdings, muss Telegram gelöscht und neu installiert werden. Geheime Chats gehen dabei verloren.

Wollen sich Nutzer auf einem neuen Gerät anmelden, kann mit Hilfe einer zweistufigen Verifikation zusätzlich zum SMS-Code ein eigenes Passwort erstellt werden, das abgefragt wird. Wird Telegram nicht mehr genutzt, kann ein Zeitraum festgelegt werden, nach dem das Konto mit allen Nachrichten und Kontakten gelöscht wird. Voreingestellt sind sechs Monate.

Threema

Threema nutzt auch die Ende-zu-Ende-Verschlüsselung. Die App selbst kann entweder per Code oder Touch ID gesperrt werden. Nutzer können einstellen, dass alle Daten in der App nach zehn Fehlversuchen gelöscht werden. In den Privatsphäre-Einstellungen lässt sich festlegen, ob Lesebestätigungen gesendet werden, die Meldung erscheint, wenn der Nutzer gerade tippt und ob Threema-Anrufe erlaubt werden. Die Anrufe können bei Bedarf auch über den Server geleitet werden, zum Beispiel bei unverifizierten Kontakten. Diese Möglichkeit kann aber unter Umständen die IP-Adresse des Nutzers preisgeben.

Jeder Kontakt wird anhand einer Vertrauensstufe (Drei-Punkte-System) bewertet.
Screenshot: teltarif.de Einzelne Kontakte können mit einer Vertrauensstufe besiegelt werden. Diese wird in einer Art Ampel-System mit Punkten angegeben. Die höchste Vertrauensstufe zeigt sich durch drei grüne Punkte. Diese Stufe kann nur durch das persönliche Scannen des QR Codes erreicht werden. Zwei orangefarbene Punkte besagen: Der Kontakt wurde mit verifizierter Telefonnummer oder E-Mail-Adresse im Adressbuch gefunden. Die niedrigste Vertrauensstufe ist durch einen roten Punkt beschrieben und verweist auf einen anonymen Kontakt. Die Threema-ID ist zwar entsprechend bekannt, aber nicht mit einer dem Nutzer bekannten Telefonnummer oder E-Mail-Adresse verlinkt.

Facebook Messenger, Viber, Signal und Wire

Um eine Ende-zu-Ende-Verschlüsselung in Chats zu garantieren, müssen Nutzer im Facebook Messenger selbst aktiv werden. Eine General-Einstellung gibt es nicht, die Verschlüsselungsmethode muss für jeden Chat einzeln eingestellt werden. Dazu müssen Nutzer im Chatfenster auf einen Kontakt klicken, um das Einstellungsmenü aufzudecken. Mit der Option "Geheime Unterhaltung" lässt sich ein Chat aktivieren, der die Nachrichten per Ende-zu-Ende auf allen Geräten verschlüsselt. Sichtbar wird das durch ein Schloss-Symbol auf dem Profilbild des Kontakts. Unterhaltungen im Facebook Messenger sind nicht automatisch Ende-zu-Ende verschlüsselt.
Screenshot: teltarif.de

Viber

Auch bei Viber ist die Verschlüsselung als Ende-zu-Ende angelegt. Zusätzlich lassen sich weitere Einstellungen vornehmen: Den Online-Status können Nutzer alle 24 Stunden ändern. Die Identität jedes Kontakts lässt sich überprüfen, in dem im Info-Menü des Kontakts die Option "Diesem Kontakt vertrauen" angeklickt wird. Anschließend können Nutzer den Kontakt anrufen und den persönlichen Schlüsselcode miteinander vergleichen. Viber-Nutzer können Einstellungen bei der Verarbeitung personenbezogener Daten vornehmen.
Screenshot: teltarif.de So soll sichergestellt werden, dass es sich um den vertrauenswürdigen Kontakt handelt. Funktionsweise: Nutzer können beim Klick auf ein QR-Code-Symbol ihre persönliche Kennung einstellen. Dazu müssen aber ein Name und ein Foto vorhanden sein.

Mit jedem Kontakt kann auch ein geheimes Chatfenster eröffnet werden. Nutzer haben die Möglichkeit, eine Zeit festzulegen (1 Sekunde bis 7 Tage) nach deren Ablauf sich der Chat selbst zerstört. Viber bietet dem Nutzer die Option, Einstellungen an den personenbezogenen Daten vorzunehmen. Unter anderem lässt sich die Personalisierung von Inhalten und interessenbasierte Anzeigen ausschalten. Eine Option, die App vor unerwünschtem Zugriff zu starten, wenn das Smartphone in die Hände Dritter gerät, haben wir nicht gefunden.

Signal

Signal verwendet genau wie seine Messenger-Konkurrenten Ende-zu-Ende-Verschlüsselung. Die App lässt sich per Touch ID und Face ID entsperren, Lesebestätigungen können deaktiviert werden. Per "Bildschirmschutz aktivieren" lassen sich Signal-Vorschauen verhindern. Signal erlaubt die Aktivierung eines Bildschirmschutzes.
Screenshot: teltarif.de

Wire

Ein möglicher Vorteil von Wire ist, dass Nutzer nicht zwingend eine Telefonnummer angeben müssen, um den Messenger verwenden zu können, eine E-Mail-Adresse reicht. Die Suche von Kontakten kann über den Benutzernamen, der standardmäßig mit "@" beginnt, vorgenommen werden. Im regulären Chatverlauf lässt sich einstellen, dass eine Nachricht verschwindet (10 Sekunden bis 4 Wochen). Seltene Funktion: Nutzer können sich aus der App ausloggen. Dann wird allerdings der Nachrichtenverlauf in der App gelöscht. Wire kann mit Touch ID oder einem Passwort gesperrt werden. Wird Wire nicht mehr benutzt, kann die App automatisch bei Inaktivität gesperrt werden.
Screenshot: teltarif.de

Ein Account, mehrere Geräte?

Telegram bietet die Nutzung eines Accounts mit der gleichen Telefonnummer auf mehreren Geräten an. Threema unterstützt prinzipiell nur ein Gerät pro Threema-ID. Um den Messenger aber beispielsweise auf einem Tablet nutzen zu können, muss für das Gerät eine neue Threema-ID erstellt werden, die aber nicht mit der angegebenen Telefonnummer oder der E-Mail-Adresse verknüpft werden darf. Die neue ID wird auf allen Geräten als neue Gruppe angelegt. Der Facebook Messenger kann problemlos auf mehreren Geräten genutzt werden, genauso wie Viber. Über einen QR-Code-Scanner lassen sich bei Signal weitere Geräte mit einem Account koppeln. Der Wire-Messenger kann auch mit mehreren Geräten verwendet werden, die je einen eigenen "Fingerabdruck" zur Identifizierung erhalten. WhatsApp erlaubt die Verwendung auf mehreren Geräten nicht. Nutzer müssen auf die Desktop-Version ausweichen. Wer WhatsApp zum Beispiel auf einem zweiten Smartphone nutzen will, muss die gleiche Telefonnummer neu verifizieren. Anschließend ist der Messenger auf dem vorherigen Gerät nicht mehr verfügbar. Es ist jedoch nicht ratsam, den Vorgang allzu oft zu wiederholen, weil Nutzer sonst unter Umständen vom Verifizierungsprozess ausgeschlossen werden. Dann brauchen sie erst eine neue Telefonnummer, um WhatsApp wieder nutzen zu können.

Alle Messenger lassen sich als Desktop-Version verwenden. Dazu muss für Betriebssysteme wie Windows und Mac in der Regel eine eigene App heruntergeladen werden. Die Desktop-Versionen lassen sich mit den mobilen Varianten synchronisieren. Beispiel WhatsApp: Beim Öffnen der App auf dem Desktop erscheint ein QR-Code, der mit dem Smartphone innerhalb des WhatsApp-Programms gescannt werden muss. Anschließend erscheinen Chats und Verläufe in der Desktop-Version auf dem Computer. Damit die Kopplung aber bestehen bleibt, muss das Smartphone über eine permanente Internetverbindung verfügen.

Messenger-Vergleich: Fazit

Messenger-Entwickler werben teilweise damit, dass sie die sicherste Messaging-App überhaupt haben. Im Grunde entscheidet darüber aber nicht die Marketingstrategie, sondern die Sicherheitstechnologie. Mit Ende-zu-Ende ist die bei allen vorgestellten Apps zunächst einmal gleich. Ob die eine oder andere Messenger-App interessanter ist und damit für den Nutzer sicherer erscheint, entscheiden letztlich Zusatzfunktionen, um erweiterte Sicherheitseinstellungen vornehmen zu können.

Die Parallel-Nutzung von Messengern kann durchaus seinen Reiz haben. So ist Telegram komfortabel, wenn Nutzer zwei Smartphones mit der gleichen Telefonnummer verwenden wollen. Ganz frei in der Entscheidung, welchen Messenger Nutzer auf ihrem Smartphone installieren wollen, sind sie allerdings nicht. Wer einen auswählt, muss erst seine Kontakte überzeugen, überzusiedeln, wenn sie den gleichen Messenger nicht schon zufällig verwenden. WhatsApp und Facebook Messenger dürften das kleinere Problem sein, weil diese sehr verbreitet sind. Bei Threema lockt zudem die Hürde eines kostenpflichtigen Dienstes von einmalig 3,49 Euro (für Android 2,99 Euro) nicht jeden.

Der Facebook Messenger soll bald ein Feature zum Löschen falsch verschickter Nachrichten erhalten. Mehr dazu lesen Sie in einer weiteren Meldung. WhatsApp bekommt neue Features spendiert. Details zu den Funktionen lesen Sie ebenfalls in einer weiteren News.