Die Anpassung der Nutzungsbedingungen von WhatsApp haben uns dazu geleitet, fundiert über die Nutzung unserer Messenger-Apps nachzudenken. Nachfolgend versuchen wir, unsere Entscheidung zu begründen und hoffen, allenfalls euch auch Grundlagen für eine Entscheidung zu bieten.

Wir haben die vier Messenger «WhatsApp», «Telegram», «Threema» und «Signal» miteinander verglichen – wovon wir in Zukunft nur noch die letzten zwei verwenden. werden. Es ist klar, dass ein Vergleich nie alle Aspekte abdeckt. In der Darstellung hier versuchen wir, die (für uns) relevanten Faktoren aufzuzeigen.

WhatsAppTelegramThreemaSignal
Firma / ServerstandorteUSAUAE / weltweitCHUSA
Daten gespeichertProfilbild & Status
Kontakt- & Metadaten*
Chats in Cloud
Kontakt- & Metadaten*
keinekeine
Verschlüsselung**End-to-EndClient-to-Server
(End-to-End in Secret Chats)
End-to-EndEnd-to-End
Open Sourceneinteilsjaja

* Unter Metadaten versteht man nicht die eigentlichen Chat-Inhalte und -Medien, sondern Daten über die Nutzung der App. Z.B. wann ich online bin, mit wem ich kommuniziere, wie oft ich kommuniziere, etc. Auch Kontakt-Informationen meiner «Freunde» zählen zu den Metadaten.
** End-to-End bedeutet, dass die Daten (Nachrichtentext, Bilder, etc.) beim Absender verschlüsselt – und erst beim Empfänger wieder entschlüsselt werden. Somit ist es nicht möglich, dass Dritte den Inhalt einsehen können.

WhatsApp

Vorteile: WhatsApp hat mit Abstand am meisten Nutzer und hat somit eine grosse Reichweite. Alle Chats sind End-to-End verschlüsselt – somit kann auch WhatsApp die Nachrichten nicht mitlesen. Die Verschlüsselung basiert auf dem gleichen Protokoll wie «Signal».

Nachteile: WhatsApp sammelt die Daten seiner Kunden. Zum einen sind die Nutzungsdaten (siehe oben*), Profilname, Profilbild, Handynummer, E-Mail-Adresse und Telefonnummern aus den Adressbüchern des Handys. WhatsApp steht nicht Open-Source zur Verfügung und somit kann die Sicherheit nicht überprüft werden.

Fazit: Die eigentlichen Inhalte der Nachrichten sind gut geschützt – die Metadaten werden aber grosszügig gespeichert und an Facebook weitergegeben.

Konkret: WhatsApp speichert Anzeigenamen, Geburtstag, Telefonnummer, Status und Profilbild. Darüber hinaus sammelt WhatsApp Bewegungsdaten (wo ich mich aufhalte, wo ins WLAN einwähle, etc.), mit wem und wann ich kommuniziere – und kann so ein detailliertes Bewegungsprofil zusammenstellen. Die Informationen über die Kontakte liefern auch Informationen zu meinem sozialen Netzwerk; WhatsApp weiss, wer meine Freunde sind.

Telegram

Vorteile: Chats sind in der Cloud gespeichert und können somit von mehreren Geräten abgerufen werden. Nachrichten können nachträglich bearbeitet oder gelöscht werden. Nachrichten können mit einem Ablaufdatum versehen werden – nach dieser Zeit löschen sie sich von selber. Es können Dateien mit bis zu 1.5GB Grösse versendet werden. Telegram bietet z.B. Umfragen direkt in einem Chat an.

Nachteile: Die Verschlüsselung ist standardmässig nur Client-to-Server. Telegram hat somit Zugang zu den Inhalten der Chats. Sichere Chats (max. 2 Personen – somit für Gruppen-Chats nicht möglich) werden nur auf dem Endgerät gespeichert und können über weitere Plattformen nicht angezeigt werden. Auch Telegram speichert Metadaten (Telefonbucheinträge inkl. Namen) ab. Mitgliedschaften in Channels oder Gruppen lassen sich über Programmierschnittstellen durchleuchten und entsprechend analysieren.

Fazit: Im Alltag ist die Nutzung von Telegram sehr praktisch (direkter Zugriff auf Chats über jedes Gerät) und bietet viele sinnvolle Funktionen in den Chats. Der Datenschutz ist aber bei Telegram nicht gewährleistet.

Konkret: Telegram kann auf alle Nachrichten (und Links, Bilder, etc.) aus den Chats zugreifen.
Die Mitgliedschaften in Gruppen und Kanälen können über Programmierschnittstellen ausgelesen werden. Somit ist es möglich ein genaues Profil von den Nutzern zu erstellen (z.B. Was ist seine politische Meinung, wie steht er zu gesellschaftlichen Themen, was ist seine Religionszugehörigkeit, etc.).
Telegram speichert Metadaten (welches Gerät du nutzt, wo du ins Internet gehst) und alle deine Kontakte aus dem Adressbuch.

Threema

Vorteile: Alle Chats sind End-to-End verschlüsselt und werden mit der Zustellung vom Server gelöscht. Der Firmensitz und Serverstandort ist in der Schweiz. Über die anonyme Threema-ID ist es möglich ohne die Bekanntgabe der Telefonnummer mit anderen zu kommunizieren. Die Kontakte werden in drei Vertrauensstufen geordnet (Unbekannte / bei Threema verifizierte / persönliche Kontakte).

Nachteile: Threema hat aktuell einen verhältnismässig kleinen Nutzerkreis – ist aber im deutschsprachigen Raum weit verbreitet. Zugriff über die Web-Applikation funktioniert lediglich bei eingeschalteten Mobiltelefon.

Fazit: Threema nimmt den Datenschutz sehr ernst und hat ausser dem kleinen Nutzerkreis kaum Nachteile.

Signal

Vorteile: Signal ist von Grund auf verschlüsselt aufgebaut. Die App bietet nützliche Zusatzfunktionen wie z.B. einen Selbstzerstörungs-Timer für Nachrichten. Signal ist Open-Source und involviert somit indirekt externe Sicherheitsexperten in die Entwicklung der Qualität. Auch Signal bietet einen physische Bestätigung der Kontakte – was zusätzliche Sicherheit bedeutet. Signal speichert – wie Threema – kein Nutzungsdaten.

Nachteile: Zur Registrierung ist eine SIM-Karte (Verifizierung per SMS) nötig.

Fazit: Wie Threema ist Signal ein durchwegs sicherer Dienst. Die Verbreitung ist international grösser als bei Threema.

Fazit Messenger

Aufgrund der verschiedenen Faktoren in Bezug auf Datenschutz, Verschlüsselung und Verbreitung haben wir uns dazu entschieden, in Zukunft nur noch «Threema» und «Signal» zu nutzen. Unsere Benutzerprofile bei «WhatsApp» und «Telegram» löschen wir.

Nutzung weiterer Dienste/Geräte

[Ergänzung vom 16.01.2021]

Aufgrund von Rückmeldungen und Gesprächen der letzten Tage denke ich, dass es sinnvoll ist, die nachfolgenden Gedanken – die nicht direkt mit den vier oben genannten Messengern zusammenhängen – zu teilen.

Metadaten anderer Apps (und Betriebssysteme)

Auch andere Apps (z.B. Facebook, Instagram), Websites (z.B. Google) und Betriebssysteme (z.B. iOS, Android) sammeln Metadaten – u.A. über die Nutzung (was mache ich) und die Art der Nutzung (wann und wie mache ich es). Somit sollte man sich vor der Nutzung dieser Dienste den möglichen Auswirkungen bewusst sein.

Es ist jedoch ein Unterschied, ob ich Dienste über eine App oder die zugehörige Website nutze. So kann ich bei der Nutzung eines Dienstes per Website direkt steuern, wann sie offen – und wann geschlossen ist. Bei einer App, die Daten im Hintergrund sammelt, ist diese Kontrolle kaum zu gewährleisten.

Auch Betriebssysteme (und deren Online-Dienste, z.B. iCloud) sammeln Daten über die Nutzung verschiedener Dienste. Meist kann man Einschränkungen dazu in den Einstellungen vornehmen – bei Apple heisst es beispielsweise «Analyse & Verbesserungen» im Bereich «Datenschutz» / bei Android «Zugriff auf Nutzungsdaten», die man unter «Sicherheit» > «Apps mit Nutzungsdatenzugriff» findet.

Fazit Metadaten: Viele Dienste sammeln Metadaten über die Nutzung. Mit geeigneten Mitteln kann man diese steuern – ganz ohne das Hinterlassen von Metadaten wird man sich kaum alltagstauglich im Internet bewegen können.
Es gibt aus meiner Sicht zwei mögliche Reaktionen; a) Daten werden gesammelt, also kommt es auch nicht darauf an, wenn die Firmen noch mehr wissen oder b) ich nutze mein Recht, bewusst die Sammlung meiner Daten einzuschränken – mit dem Bewusstsein, dass ich nie die Kontrolle über alle Daten habe.

Konkret, persönlich: Ich persönlich nutze weiterhin Online-Dienste (z.B. auch Facebook), allerdings isoliert über die Website und niemals über das Handy. Damit werden zwar über Facebook punktuell Daten gesammelt, die aber nicht mit meinem täglichen Nutzungsprofil von WhatsApp oder Instagram (beides habe ich gelöscht, resp. werde ich löschen) verknüpft werden können. Somit schränke ich die Datensammlung ein. Das Betriebssystem des Handys versuche ich so zu konfigurieren, dass möglichst wenig gesammelt wird.

Unverschlüsselte Kommunikationswege

Im Gegensatz zu den oben genannten Messengern kommunizieren wir täglich auf unterschiedliche Arten unverschlüsselt. Das bedeutet, dass der Inhalt der Nachrichten im Klartext – somit theoretisch von Dritten einsehbar – übermittelt wird.

Die bekanntesten dieser Dienste sind SMS und E-Mails. SMS werden auf den Servern der Provider gespeichert – ebenso wie E-Mails.

Fazit unverschlüsselte Kommunikation: Wir kommunizieren täglich auf unzählige unverschlüsselte Arten – im Gegenzug dazu sind bei allen vier oben genannten Messengern die Inhalte gut geschützt. Mit der Wahl des Providers kann ich jedoch entscheiden, «wem» ich meine Daten anvertraue.

Konkret, persönlich: Mit der Wahl für einen solchen Kommunikationsweg entscheide ich mich bewusst für einen «unsicheren» Dienst, entscheide aber gleichzeitig, dass die Metadaten nicht im gleichen Rahmen erhoben werden, wie bei den dargestellten Apps.

Quellen / Weiterführende Links