WhatsApp Alternative: Sichere Messenger-Apps vorgestellt

WhatsApp ist weltweit der unbestrittene Platzhirsch unter den Messenger-Apps. Trotzdem haben unterschiedliche Vorlieben der Nutzer dazu geführt, dass sich mittlerweile eine ganze Reihe konkurrierender Dienste am Markt etablieren konnten. Die Sicherheit der Kommunikation – und der Nutzer – ist dabei wohl DAS entscheidende Kriterium für viele. Im folgenden Beitrag richten wir daher unseren Scheinwerfer auf einige sichere WhatsApp Alternativen.

Warum braucht man überhaupt Alternativen zu WhatsApp?

Rechtliche Beanstandungen begleiten WhatsApp im Grunde seit dem Erscheinen: So verhinderte etwa das Teilen des gesamten Adressbuchs mit dem Mutterkonzern eine rechtskonforme Nutzung des Dienstes – gerade, wenn man (wie der Verfasser) als Berufsgeheimnisträger unterwegs war. Dann hatte Facebook z.B. auch noch die Daten der WhatsApp-Nutzer mit den Accounts seines sozialen Netzwerks verknüpft, ohne diese vorher zu fragen. Und eine Ende-zu-Ende-verschlüsselte Kommunikation war in der Anfangszeit auch noch nicht vorhanden.

Dass man früher also so seine Problemchen mit einer Nutzung von WhatsApp haben konnte, geschenkt! Mittlerweile hat aber in Deutschland das Bundeskartellamt den übelsten Verquickungen von Nutzerdaten durch die verschiedenen Meta-Dienste einen Riegel vorgeschoben. Heute ist eine Trennung der verschiedenen Dienste möglich, eine Verknüpfung der Nutzerdaten erfolgt weitestgehend nur noch nach vorhergehender Einwilligung. Erteilt man allerdings leichtfertig Einwilligungen, dann erhebt, nutzt und verteilt Meta auch über WhatsApp fleißig Daten – und das natürlich vor allem, um seine Werbekunden zufrieden zu stellen.

Neben den Nutzerdaten verarbeitet Meta im Rahmen von WhatsApp zudem weitere Daten wie z.B. Geräteinformationen, Verbindungsdaten, allgemeine Standortdaten. Diese Daten werden üblicherweise als „Metadaten“ bezeichnet (was i.Ü. nichts mit dem Anbieter zu tun hat). Für deren Verarbeitung führt die aktuelle Datenschutzrichtlinie von WhatsApp gleich eine ganze Reihe verschiedener Zwecke auf. Trotzdem bleibt der genaue Umfang einer solchen Verarbeitung unklar. Ebenso wie die Frage, ob und ggf. wozu diese Daten mit Daten aus anderen Meta-Diensten, wie etwa Facebook, zusammengeführt werden. Im Übrigen sind es gerade diese Metadaten, die auch für Geheimdienste interessant sind – auch zur Vorbereitung von Attentaten auf politische Gegner.

Gerade heutzutage gibt es noch weitere Gründe, warum man den Meta-Dienst nicht mega finden muss: Einer dieser Gründe ist z.B. die Einmischung amerikanischer Tech-Konzerne und ihrer Besitzer in die (nicht nur US-)Politik. Dies schließt auch die Entscheidung von Mark Zuckerberg ein, bei Facebook künftig auf Fakten-Checks zu verzichten. Es ist unsere eigene Entscheidung, ob wir dies einfach nur zur Kenntnis nehmen und auf die Stärke der EU hoffen. Oder ob wir diesen Konzernen hierfür die rote Karte zeigen. Man muss sich keinen Tesla kaufen – und man muss auch keinen Dienst aus dem Meta-Universum nutzen. Insbesondere dann nicht, wenn es gute Alternativen gibt, wie das Beispiel WhatsApp zeigt.

Signal: Die kostenlose Messenger Alternative zu WhatsApp

Bevor wir uns etwas genauer mit einigen WhatsApp Alternativen auseinandersetzen, ein paar Worte zum klassischen Leistungsumfang der Dienste. Dieser unterscheidet sich mittlerweile nämlich kaum noch: Alle größeren Player bieten Kommunikation per klassischen Textnachrichten, per Videoanrufen oder auch Sprachnachrichten. Zudem ist auch die öffentliche Kommunikation über Kanäle bzw. Gruppen möglich. Es können dabei verschiedene Inhalte geteilt werden, und auch zeitgleich mit mehreren Personen kommuniziert werden. Die Anbieter sind zudem fast alle kostenlos. Wo sich allerdings die Spreu vom Weizen trennt, ist das Thema Sicherheit. Genau hier kann Signal kräftig punkten:

Ein Plus an Sicherheit bietet vor allem die Quelloffenheit von Signal: Der vollständige Quellcode der Signal-Clients und des Servers ist, ganz im Gegensatz zu WhatsApp, öffentlich auf GitHub zugänglich. Dies ermöglicht interessierten Dritten, den Code auf Schwachstellen zu untersuchen und dessen sichere Funktionalität zu verifizieren. Entsprechend gibt es auch regelmäßig Sicherheitsaudits, die auch veröffentlicht werden. Dass auch bei Signal die Datenübermittlung Ende-zu-Ende-verschlüsselt erfolgt, versteht sich fast von selbst.

Darüber hinaus aber überzeugt Signal vor allem durch konsequente Anwendung des Zero-Knowledge-Prinzips. Signal speichert keinerlei Informationen darüber, wer mit wem wann kommuniziert. Soweit eine Speicherung von Metadaten temporär notwendig ist (etwa für die Zustellung von Nachrichten), setzt Signal verschiedene Techniken ein, die es schwer bis unmöglich machen, daraus ein Nutzungsverhalten o.ä. abzuleiten. Auch Kontakte und Einstellungen können verschlüsselt auf den Servern des Anbieters gespeichert werden. Dies alles sind klare Pluspunkte gegenüber WhatsApp (und ggü. den meisten anderen Anbietern). Und gegenüber Geheimdiensten gilt: Signal selbst hat keine (unverschlüsselten) Daten, die der Dienst herausgeben könnte.

Threema: Sichere Alternative zu WhatsApp mit Business-Lösung

Ja, wir sagen es gleich vorab: Threema kostet Geld, wenngleich nur einen einmaligen, niedrigen Euro-Betrag. Dafür bekommt man vom Schweizer Anbieter ordentlich was geboten: Viele der oben zu Signal angeführten Kriterien sind auch in Bezug auf Threema ähnlich positiv zu bewerten. Teils gibt es sogar Punkte, die Threema noch datenschutzfreundlicher erscheinen lassen als Signal: So kann man sich für den Dienst vollkommen anonym registrieren (und ihn sogar anonym bezahlen). Es bedarf weder einer E-Mail-Adresse noch einer Telefonnummer. Diesem Mehr an Sicherheit stehen allerdings zwei Punkte entgegen, die Threema leider nicht leisten kann (oder will).

Zum einen beim Thema Quelloffenheit: Zwar ist die Clientsoftware von Threema – wie die von Signal – quelloffen und wird regelmäßigen Audits unterworfen. Allerdings gilt dies nicht für den Serverpart. Wie gut gesichert die Serverarchitektur des Anbieters also tatsächlich ist, wissen wir nicht. Und wenn Threema z.B. damit wirbt, dass Nachrichten oder (freiwillig übermittelte) Kontaktlisten sofort nach Zustellung bzw. Abgleich vom Server gelöscht werden, kann auch dies nicht nachvollzogen werden. Gleiches gilt für die Aussage, dass keine Logs darüber gespeichert werden, wer mit wem wann kommuniziert hat. Solange der serverseitige Quellcode proprietär bleibt, bleibt auch die Sicherheit ein Stück weit Vertrauenssache.

Spannend wird´s aber im geschäftlichen Kontext: So gibt es mit Threema Work eine eigene Business-Lösung für Unternehmen. Diese verspricht, die Kommunikation mit Mitarbeitenden, Partnern und Kunden sicher und datenschutzkonform zu gestalten und professionell zu verwalten. Hierfür setzt Threema u.a. auf eine klare Trennung zwischen privater und geschäftlicher Kommunikation und eine einfache Integration in Mobile Device Management (MDM) Systeme. Wie sich Threema Work von WhatsApp hinsichtlich Sicherheit und Datenschutz unterscheidet, erläutert der Dienst selbst in dieser eingehenden Gegenüberstellung. Wer nach einer datenschutzfreundlichen, geschäftlichen Lösung sucht, dürfte den Dienst zu schätzen wissen.

Briar: Sicherste Chat-App für Journalisten & Aktivisten

Hatten wir vorhin noch gesagt, der Leistungsumfang der meisten Messenger sei im Grunde gleich? Für Briar gilt das nicht. Denn über Briar können Nutzer ausschließlich chatten und Bilder versenden (kein Versand von Videos oder Audio-/Videochats u.ä.), Briar ist nicht für iOS verfügbar und verfügt auch über keine Backup-Funktion. Weshalb wir den Messenger hier trotzdem kurz vorstellen wollen: er ist eine super-sichere Kommunikationsplattform für solche Personen, für die Sicherheit das oberste Gebot ist: Investigativ-Journalisten, Aktivisten, Regime-Gegner, etc.

So ist Briar komplett quelloffen, bietet eine vollständige E2EE und weitere Sicherheitsfeatures, ähnlich denen von Signal oder Threema. Der wesentlichste Unterschied zu den anderen Messengern ist jedoch: Bei Briar fallen (gewissermaßen) keine Metadaten an, die den Nutzern möglicherweise zum Verhängnis werden könnten. Denn Briar nutzt, unter Verwendung des Tor-Netzwerks, einen Peer-2-Peer-Netzwerk-Ansatz, es gibt keine zentralisierte Serverstruktur.

Dadurch werden auch keine Nachrichten auf irgendeinem Server zwischengespeichert. Das bedeutet aber auch, dass Nachrichten nur übermittelt werden können, wenn beide Teilnehmer zeitgleich online sind. Die App versucht daher immer wieder, die jeweilige Nachricht zu versenden, solange bis die Zustellung erfolgt ist. Das geht mit höherem Energieverbrauch einher.

Briar ist damit nichts für jedermann und läuft auch hier gewissermaßen außer Konkurrenz.

Was ist keine sichere Messenger Alternative zu WhatsApp?

In der öffentlichen Wahrnehmung galt lange auch Telegram als ein besonders sicherer Messenger-Dienst. Dies lag vor allem daran, dass Telegram in der Vergangenheit grundsätzlich jegliche Zusammenarbeit mit staatlichen Stellen verweigert und insbesondere auch keine Daten an Strafverfolgungsbehörden herausgegeben hatte. Damit war der Dienst gerade bei Nutzern, die Repressalien durch ihre eigenen Regierungen befürchteten, besonders beliebt – allerdings auch bei Kriminellen, Extremisten, Verschwörungstheoretikern.

Ende August 2024 war Telegram-CEO Pawel Durow in Frankreich wegen der Komplizenschaft bei der Verbreitung von Kinderpornographie festgenommen worden. Seitdem hat ein Umdenken stattgefunden: Telegram kündigte an, zukünftig IP-Adressen und Telefonnummern von Nutzern, die gegen die (erneuerten) Nutzungsbedingungen der Plattform verstießen, „auf gültige rechtliche Anfragen hin“ an die zuständigen Behörden herauszugeben.

Schaut man sich die bei der Bewertung der o.g. Dienste herangezogenen Kriterien an, ergibt sich für Telegram ein gespaltenes Bild: Telegram bietet etwa in normalen Chats keine Ende-zu-Ende-Verschlüsselung an. Diese gibt es nur in den sog. „geheimen Chats“, für die man die E2EE aber jedes Mal aktivieren muss. Für die Kommunikation mit mehreren Teilnehmern scheint eine E2EE weiter nicht verfügbar zu sein. Damit liegen die meisten über Telegram gesendeten Nachrichten nur mit einem Telegram-eigenen Schlüssel gesichert auf den Servern des Anbieters. Aus Sicherheitsaspekten ein klarer Pluspunkt bleibt jedoch die Quelloffenheit des Clients. Für die serverseitige Infrastruktur gilt dies, wie bei Threema, gleichwohl nicht.

Eine Verwendung von Metadaten erfolgt laut der Datenschutzerklärung von Telegram (nur) zu Zwecken der Sicherheit und für einzelne Verbesserungen des Dienstes. Letztgenannte Nutzung lässt sich zumindest deaktivieren. Bedenklich erscheint, dass Telegram die (normalen) Chats auch mittels Algorithmen „mitlesen“ lässt: Hiermit soll SPAM und Phishing vermieden werden.

Insgesamt bleibt der Dienst damit in puncto Sicherheit und Datenschutz ausbaufähig.

Datenschützer hört das Signal!

Natürlich hat jede(r) ganz eigene Bedürfnisse und individuelle Anforderungen an einen Messenger. Seien es die Personen, mit denen man kommunizieren will, und die womöglich auf speziellen Plattformen unterwegs sind. Seien es besondere Nischenfunktionalitäten. Für diejenigen, denen die Aspekte Sicherheit und Datenschutz besonders wichtig sind, das zeigt unsere kleine Gegenüberstellung, dürfte aber an Signal fast kein Weg vorbeiführen.

Übrigens infolge des Digital Markets Act (DMA) muss es WhatsApp als Messenger-Platzhirsch eigentlich schon seit März 2024 ermöglichen, Nachrichten an andere Messenger zu schicken und von diesen zu empfangen. Hierdurch könnten also Verschiebungen in der Messenger-Landschaft anstehen. Allerdings ist auch derzeit noch unklar, wie die gewünschte Interoperabilität der Dienste faktisch gelingen soll. Denn die Sicherheits- und Datenschutz-Standards der o.g. Messenger-Alternativen dürften kaum mit WhatsApp vereinbar sein.