Apps für iOS, Android, Mac OS und Windows
So unsicher sind Messenger
Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen (Apps) spezialisiert hat, überprüfte die Sicherheit beliebter Messenger-Apps. Die Messenger werden anhand verschiedener Aspekte miteinander verglichen. Hierzu zählen die Sicherheit der Verschlüsselung, plattformübergreifende Kompatibilität, Eignung im Unternehmensumfeld sowie die AGB und Datenschutzerklärung der jeweiligen Anbieter.
Bei der Sicherheit der verschlüsselten Kommunikation ist ein wesentlicher Punkt die Schlüsselverifizierung. Wird diese durchgeführt, so kann man sichergehen, dass keine Man-in-the-Middle-Attacke möglich ist. Diese Funktion ist für wirklich sichere Clients unumgänglich. Die Schlüsselverifizierung wird bisher nur bei zwei der überprüften Lösungen - Threema und Blackberry Messenger - angeboten.
Eine Schlüsselverifizierung ist nur möglich, wenn die Schlüssel der Kontakte konstant bleiben. Wird der AES-Schlüssel einer Unterhaltung über Diffie-Hellman ausgehandelt, anstatt ihn den anderen Partnern über RSA zu übergeben, so kann der ServerServer sehr einfach permanent Man-in-the-Middle-Angriffe durchführen. Dies wäre möglich, da diese Schlüssel ephemer und somit nicht verifizierbar sind. Alles zu Server auf CIO.de
- BBM für iOS
Den BlackBerry Messenger gibt es neben Versionen für BlackBerry OS auch für Android und iOS (Screenshot). - BBM für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung des BBM ab. - BBM für iOS
Unter anderem wird die persönliche PIN unverschlüsselt an ein Analytics-Netzwerk übertragen. - ChatSecure für Android
Die App ist kostenlos im Google Play Store verfügbar. - ChatSecure für Android
mediaTest stuft die App als sicher ein. - ChatSecure für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Dennoch ist die Sicherheit der Datenübertragung laut mediaTest gegeben. - Chiffry für Android
Der Chiffry Secure Messenger ist kostenlos im Google Play Store verfügbar. - Chiffry für Android
mediaTest stuft die App als sicher nutzbar ein. - Chiffry für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Telegram Messenger für iOS
Die Messenger-App ist kostenlos für iOS-Geräte verfügbar. - Telegram Messenger für iOS
mediaTest stuft die Nutzung der App als bedenklich ein. - Telegram Messenger für iOS
Die Datenschutzerklärung ist nicht konform mit dem BDSG. Daten Dritter werden ohne deren Zustimmung an Server von Telegram übertragen. - TextSecure für Android
Die Messenger-App von Open Whisper Systems gibt es kostenlos im Google Play Store. - TextSecure für Android
mediaTest stuft die App als sicher ein. - TextSecure für Android
Laut mediaTest werden Logdateien, die auch sensible Daten enthalten können, nach Rückfrage unverschlüsselt übertragen. - Threema für iOS
Die App kostet für iOS 1,79 Euro. - Threema für iOS
mediaTest stuft die App als sicher ein. - Threema für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - WhatsApp für iOS
Der Messenger für iOS ist das erste Jahr kostenlos, dann sind 0,89 Euro pro Jahr fällig. - WhatsApp für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung von WhatsApp ab. - WhatsApp für iOS
AGB und Datenschutzerklärung sind nicht konform mit dem BDSG. Desweiteren werden unter anderem Adressbuchinhalte an WhatsApp-Server übertragen und Zugangsdaten können gefälscht werden. mediaTest rät von der Nutzung dringend ab.
Das in der nachfolgenden Tabelle aufgeführte Messenger-Feature des dezentralen Logins bedeutet schlicht und ergreifend, dass man von mehreren Geräten auf denselben Account gleichzeitig zugreifen kann. Manche Clients generieren für jedes Gerät einen neuen Account, selbst wenn die Parameter gleich sind. Andere Clients erlauben zwar, auf einen alten Account zuzugreifen, deaktivieren jedoch den Zugriff für alle anderen Geräte, die früher Zugang hatten.
In der Tabelle finden Sie die Messenger mit ihren Verschlüsselungsmethoden und Login-Möglichkeiten im Vergleich:
Messenger |
Verschlüsselung |
Schlüssel-Verifizierung |
Dezentraler Login |
Anmerkungen |
Blackberry Messenger |
Ende-zu-Ende |
ja |
unklar |
|
Chiffry (Android) |
Ende-zu-Ende |
keine |
unklar |
|
Criptext (iOS, Android) |
Ende-zu-Ende |
unklar |
ja |
Criptext muss kontaktiert werden, um Logindaten zu kriegen. Firmen können eigene Server hosten. Option selbstzerstörender E-Mails möglich. |
Cryptocat (Mac OS, iOS, Browser-Plugins) |
by default keine, optional Ende-zu-Ende |
keine |
nein |
|
Hoccer XO (iOS, Android) |
Ende-zu-Ende |
keine |
nein |
|
iMessage (Mac OS, iOS) |
Ende-zu-Ende |
keine |
ja |
|
myEnigma (iOS, Android, Blackberry) |
Ende-zu-Ende |
keine |
nein |
|
Skype (Mac OS, Windows, iOS, Android) |
Client->Server |
keine |
ja |
es wurde gezeigt, dass sämtliche über Skype versandten HTTPS-Links einige Zeit später von Microsoft-Servern aufgerufen werden, d.h. Sicherheit wird von Skype nicht ernst genommen. |
surespot (iOS, Android) |
Ende-zu-Ende |
keine |
ja, aber eingeschränkte Nutzbarkeit: Identitäten müssen mit eigengewähltem Kennwort verschlüsselt entweder über iTunes File Sharing oder über Google Drive von einem Gerät aufs andere übertragen werden. |
|
TeamWire (iOS) |
Ende-zu-Ende |
keine |
unklar |
|
Telegram (iOS, Android) |
standardmäßig keine, optional "Perfect Forward Secrecy" |
keine, insbesonder da wegen PFS nicht möglich |
ja, aber eingeschränkte Nutzbarkeit: bei verschlüsselten Chats Unterhaltung nur mit einem Partner möglich, Empfang nur auf einem Gerät, selbst wenn mit mehreren eingeloggt. |
|
Threema (iOS, Android) |
Ende-zu-Ende |
ja |
nein |
|
whistle.im (Web) |
Ende-zu-Ende |
keine |
Ja |
|
Wickr (iOS, Android) |
Ende-zu-Ende |
keine, insb. da wegen PFS nicht möglich |
ja, aber eingeschränkte Nutzbarkeit: Von einem Gerät abgeschickte Nachrichten können nicht auf anderen Geräten abgelesen werden. Multiple Geräte sind theoretisch möglich, aber Nachrichten werden nur an einem Gerät empfangen. |