Messenger

Inhalt

Wesentlich einfacher bedienbar als PGP/GPG sind Messenger. Einige davon haben mittlerweile eine Ende-Zu-Ende-Verschlüsselung, doch auch hier gibt es Unterschiede.

Bezugsquellen

Die sicherste Bezugsquelle ist der vorinstallierte App-Store deines Gerätes. Mehr dazu findest Du beim Thema Systemsicherheit.

Keine Anonymität

Beachte das Verschlüsselung dich nicht automatisch anonym macht. Keine der hier vorgestellten Apps hat das Ziel anonyme Kommunikation möglich zu machen. In der Praxis ist es zwar recht aufwendig, aber nicht unmöglich, mittels Überwachung eurer Anschlüsse fest zu stellen wer mit wem kommuniziert. Deshalb wichtig: Ende-Zu-Ende-Verschlüsselung schützt ‘nur’ den Inhalt eurer Kommunikation, nicht wer mit wem und wann kommuniziert.

Nachrichten auf dem Sperrbildschirm

Die beste Verschlüsselung bringt wenig, wenn jeder einfach die ankommenden Nachrichten auf deinem Sperrbildschirm lesen kann. Stelle dein Smartphone deshalb so ein, dass die sogenannte ‘Vorschau’ nicht den Nachrichten-Text anzeigt.

Apps und Protokolle

Signal

Wenn du mit deinem Handy verschlüsselt kommunizieren willst ist Signal der einfachste und sicherste Weg das zu erreichen. Alle Nachrichten, Anrufe und Video-Chats sind bei Signal Ende-Zu-Ende-verschlüsselt. Der Messenger wird von einer gemeinnützigen Organisation entwickelt und der Quelltext der Apps ist öffentlich zugänglich. Um deine Kontakte zur erreichen benötigst Du aktuell aber noch deren Telefonnummer.

Menschen mit erhöhtem Schutzbedürfnis sollten von den zusätzlichen Möglichkeiten der App gebrauch machen:

  • Überprüfe bei Deinen Kontakten die Sicherheitsnummer. Die Cops registrieren regelmäßig vorhandene Accounts auf Ihren Geräten und greifen dann die Nachrichten statt des eigentlichen Kontakts ab oder lesen in Gruppen mit. Prüfe die Sicherheitsnummer auch und besonders wenn sich diese bei einem Kontakt ändert. Wenn nicht persönlich über den QR-Code, dann lest Euch die Nummer z. B. übers Telefon vor. Eine ausführliche Anleitung gibt es auf support.signal.org.
  • Aktiviere die ‘Registrierungssperre’. Diese Funktion schützt dich vor der eben erwähnten Übernahme deines Accounts z. B. durch die Behörden.
  • Lange Signal-PIN wählen. Signal speichert einige deiner Daten (z. B. Profil, Gruppen und Kontakte) verschlüsselt auf Ihren Servern. Für ‘Oma Erna’ bietet eine 4-stellig PIN ausreichend Schutz. Für Aktivisti ist jedoch eine lange Passphrase sinnvoll. Falls Du auf Deinem Gerät einen Passwortmanager benutzt, dann verwende diesen für die Erzeugung und Speicherung eurer Signal-PIN.
  • Verschwindende Nachrichten nutzen. In der App kannst du auch einstellen, dass Nachrichten nach einiger Zeit, zum Beispiel nach einem Tag, automatisch gelöscht werden. So kann selbst im Falle einer Sicherstellung wenig gefunden werden. Stelle den Zeitraum möglichst kurz ein.
  • Besonders sensible Medien (Fotos und Videos) kannst Du auch so verschicken, dass diese nur einmal angesehen werden können.
  • Aktivere den ‘Bildschirmschutz’ innerhalb von Signal um Dich vor anderen Apps zu schützen, die den Bildschirminhalt versuchen mit zu lesen.

Signal gibt es auch für Android-Smartphones ohne Play Store und für deinen PC.

Threema

Threema hat besonders im deutschsprachigen Raum eine recht große Verbreitung. Auch hier ist all eure Kommunikation Ende-zu-Ende verschlüsselt. Der Quelltext von Threema ist ebenfalls öffentlich zugänglich. Trotzdem steht hinter dem Messenger eine Firma die von euch zur Nutzung einen einmaligen Betrag verlangt.

Aktuell größter Vorteil von Threema gegenüber der anderen gängigen Messengern ist die Tatsache, dass ihr nicht die Telefonnummer eures Kontaktes benötigt oder eures zum Betreiber hoch laden müsst. Zur Kontaktaufnahme genüg die Threema-ID des Gegenübers.

WhatsApp

WhatsApp nutzt seit ein paar Jahren die Ende-zu-Ende-Verschlüsselung von Signal. Trotzdem ist WhatsApp bei weitem nicht so sicher und vertrauenswürdig wie z. B. Signal. Deine Kommunikation ist zwar Ende-zu-Ende-verschlüsselt, aber Backups werden unverschlüsselt bei Apple bzw. Google gespeichert, wo sie abgeriffen werden können. Zusätzlich wird euer komplettes Adressbuch im Klartext hochgeladen und von Facebook ausgewertet. Dein Profil, deine Gruppenmitgliedschaften und mehr werden außerdem im Klartext bei WhatsApp gespeichert.

Falls ihr nicht auf WhatsApp verzichten könnt, deaktiviert die Backups (und ratet das Euch Eueren Kontakten). Sätzlich solltet ihr (wie bei Signal) die Sicherheitsnummern Eurer Kontakte überprüfen und die Benachrichtigung über eine Änderung der Nummer aktivieren. Aktiviert außerdem 2FA in den Einstellungen.

Telegram

Telegram ist entgegen seines Rufes nicht zu empfehlen. Die Chats sind nicht Ende-zu-Ende verschlüsselt, außer Du aktivierst es. Schlimmer noch, Telegram speichert die Nachrichten bei sich auf dem Server. Für Gruppen gibt es gar keine Verschlüsselung. Warum ein Anbieter für ‘sichere’ Kommunikation NutzerInnen so einem Risiko aussetzt ist nicht ganz klar. Daher sollte Telegram nicht genutzt werden.

SMS

SMS Nachrichten solltest du, genau wie Telegram, nicht für deine Kommunikation nutzen. SMS haben keine Verschlüsselung und sind leicht ab zu hören.

Jabber/XMPP

Eine weitere Alternative ist das Protokoll Jabber/XMPP welches viele verteile Server, statt eines Zentralen nutzt. Also im Prinzip so wie bei E-Mail. Leider gibt es verschiedene Apps mit unterschiedlichem Funktionsumfang, die wiederum unterschiedliche Arten der Verschlüsselung unterstützen. In der Praxis eine gute Methode für Anfänger um sich selbst ins Knie zu schießen. Zusätzlich funktioniert das alles auf Smartphones nicht reibungslos, besonders auf iPhones nicht. Falls Du doch einen Blick riskieren willst, dann nimm Conversations.

Pidgin, ein Programm das u. a. für Jabber/XMPP genutzt werden kann, gibt es ebenfalls für den PC und ist bei Tails bereits mit OTR für verschlüsselten Nachrichtenaustausch vorinstalliert. Was bei der manuellen Konfiguration von Pidgin zu beachten ist, z. B. Mittschnitte zu deaktivieren, erfährst du hier.

Matrix

Matrix ist ein weiteres Protokoll, dass ebenfalls über viele verteilte Server, statt einem zentralen funktioniert. Genauso wie bei Jabber/XMPP gibt es verschiedene Clients und die Möglichkeit der Ende-zu-Ende-Verschlüsselung. Wenn man auf stabil funktionierende Crypto Wert legt, sollte man sich momentan für Element entscheiden, da sich bei den meisten anderen Apps die Ende-zu-Ende Verschlüsselung noch in einem experimentellen Zustand befindet.