Veröffentlicht am Schreib einen Kommentar

KakaoTalk

KakaoTalk ist eine koreanische Messenger-App von der Firma Kakao. Sie ist vor allem im asiatischen (speziell koreanischen) Raum beliebt und eine Konkurrenz von Line und WeChat. Die App wurde im Mai 2017 von 220 Millionen Menschen benutzt1. KakaoTalk fungiert deshalb nicht nur als Instant Messenger, sondern besitzt noch zusätzliche Social-Media-Funktionen sowie die Möglichkeit eines integrierten Bezahlungssystems.
Die App bietet neben den Standard privaten und Gruppen-Chats weitere Funktionen wie Sticker, KakaoTalk Boards mit denen man Treffen einfacher organisieren kann, da es Zeitpläne und eine Abstimmfunktion in die App integriert und eine integrierte Suchfunktion mit der man im Web nach Informationen suchen kann, aber nicht den Messenger verlassen muss dafür.
Die App verschlüsselt sowohl private als auch Gruppenchats mit Ende-zu-Ende-Verschlüsselung, ist aber nicht als Open Source verfügbar.

1Stand: Mai 2017

KakaoTalk Screenshot

Veröffentlicht am Schreib einen Kommentar

WeChat

WeChat wurde von Tencent Holdings Ltd., einer chinesischen Firma, als Messaging-App entwickelt. Inzwischen ist sie multifunktional und besitzt z.B. ein Mobile-Payment-System (vergleichbar mit Google Pay oder Apple Pay) und eine Funktion namens „Moments“, welche Social Media-Aktivitäten ermöglicht. Die App ist vor allem im chinesischen Raum bekannt und hat rund eine Milliarde Nutzer1.
In Bezug auf Datenschutz ist die App nicht empfehlenswert und widerspricht sich teilweise selbst. Zwar haben die Entwickler auf eine online- und Nachricht gelesen-Anzeige verzichtet, mit der Begründung, dass die Privatsphäre der Nutzer ihnen wichtig sei. Gleichzeitig ist aber auch offiziell in der Datenschutzerklärung der App bestätigt, dass nahezu alle Nutzerdaten an die chinesische Regierung weitergeleitet werden. Passend dazu besitzt die App keine Ende-zu-Ende-Verschlüsselung und ist nicht Open Source.

1Stand: zweites Quartal 2018

WeChat Screenshot

Veröffentlicht am Schreib einen Kommentar

iMessage

iMessage ist ein Messenger-Dienst, der von Apple Inc. entwickelt und ausschließlich für Apple-Geräte veröffentlicht ist. Ohne ein solches Gerät zu besitzen, ist es demnach nicht (ohne umständliche Methoden) möglich, diese App zu benutzen.
iMessage erweitert die SMS/MMS-Funktionen um die Auswahlmöglichkeit Texte, Bilder, GIFs, Videos u.a. über das Internet zu verschicken. Zusätzlich gibt es einige nette Spielereien, wie animierte Hintergründe, das Teilen von Musik und der Auswahl einer Sendeoption wie „unauffällig“, „auffällig“, „Wucht“ oder „Geheimtinte“. Die letztere Option sorgt z.B. dafür, dass der Empfänger über die Nachricht oder das Bild wischen muss, um es sehen zu können.
Weitere Funktionen lassen sich mit Zusatzapps hinzufügen1.
Verschlüsselt wird der gesamte Chat mit einer Ende-zu-Ende-Verschlüsselung, allerdings ist das Protocol nicht frei verfügbar. Man kann aber die von Apple über sich gesammelten Daten anfordern und einsehen, sowie sein Konto komplett löschen lassen.

1Selbstzerstörende Nachrichten mit Confide-App möglich.

iMessage Screenshot

Veröffentlicht am Schreib einen Kommentar

Teamspeak

Teamspeak ist eine von Teamspeak Systems GmbH entwickelte VoIP-App, die Instant Messaging unterstützt. Entwickelt wurde es von der Teamspeak Systems GmbH, die ihren Sitz in Deutschland hat. Das Verwenden der App kann DSGVO-konform sein1. Für die Nutzung auf einem Smartphone muss man einen einmaligen Betrag zahlen2, die PC-Version kann man sich kostenlos herunterladen. Hauptsächlich wird Teamspeak zum Kommunizieren während Online-Spielen benutzt.
Zum Chatten kann man mehreren Servern von Freunden, Mitspielern oder anderen Kontakten oder Public Servern beitreten oder selbst kostenpflichtige Server erstellen.

Laut offizieller Webseite ist die Verschlüsselung „auf Militärniveau“, eine sehr hochtrabende Beschreibung. Es bedeutet im Klartext, dass eine bestimmte Verschlüsselungsmethode (AES-256) zum Einsatz kommt. Diese ist z.B. in den USA für die Verschlüsselung für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen. AES-256 regelt aber nur, wie die lesbare Nachricht durch einen Schlüssel unleserlich gemacht wird. Sie besagt nicht, wie die Daten übertragen werden. Also ob zwischen Sender und Empfänger die Verschlüsselung besteht oder ob vom Sender zum Server verschlüsselt verschickt wird und dann vom Server an den Empfänger weitergeleitet wird.

1DSGVO-Konformität hängt vom jeweiligen Server und seinen Einstellungen ab.

2Preis: 4,99€ im App Store, 1,69€ bei Google Play

Teamspeak Screenshot

Veröffentlicht am Schreib einen Kommentar

Mumble

Mumble ist eine vom „Mumble VOIP Team“ entwickelte VoIP-App, die ebenfalls Instant-Messaging unterstützt. Sie wurde hauptsächlich für die Benutzung von Gamern während des Online-Spielens entwickelt.
Bei Mumble kann man entweder über Public Server, die für jeden frei zugänglich sind, kommunizieren oder kostenpflichtige1 eigene Server für private Unterhaltungen erstellen.
Offiziell läuft es auf den Plattformen Windows, Linux und Mac. Smartphones werden nur durch alternative Clients von Drittanbietern unterstützt2. Unter Android heißt die Alternative „Plumble“ (siehe Screenshot), unter iOS „Mumblefy“.
Bei der Verschlüsselung setzt Mumble auf eine Client-Server-Lösung (mit AES-256).

1Preise für eigene Server orientieren sich an der gewünschten Mitgliederkapazität.

2Android-App: Plumble (siehe Screenshot); iOS-App: Mumblefy.

Plumble Screenshot

Veröffentlicht am Schreib einen Kommentar

Line

Line ist eine Messenger-App der Line Corporation, einer japanischen Tochterfirma der südkoreanischen Naver Corporation und als Konkurrenz für den im asiatischen Raum beliebten Messenger WeChat entwickelt worden. Sie benutzt für Textnachrichten eine eigenentwickelte Ende-zu-Ende-Verschlüsselung, die sich „Letter Sealing“ nennt. In veröffentlichten Dokumenten erhält man Informationen zu dem Ablauf der Verschlüsselung, den Source Code findet man aber nicht, weshalb man hier auf die Richtigkeit der Angaben zur Verschlüsselung vertrauen muss. Gleichzeitig ist es für jeden problemlos möglich, die Verschlüsselung abzuschalten1. So ist eine sichere Verschlüsselung der Gespräche laut Webseite nur unter folgenden Aspekten gewährleistet:

  • Sowohl Sender als auch Empfänger haben Letter Sealing im 1-zu-1 Chat aktiviert,
  • Alle Nutzer eines 1-zu-n-Chats mit bis zu 50 Personen haben Letter Sealing aktiviert,
  • Alle Nutzer eines Gruppen-Chats mit bis zu 50 Personen haben Letter Sealing aktiviert.

Gerade bei Gruppenchats mit sehr vielen Personen ist die Gefahr also hoch, dass es keine Verschlüsselung der Textnachrichten gibt, da es ausreicht, wenn nur eine Person der Gruppe die Verschlüsselung abgeschaltet hat.
Bilder, Videos, Dateien, Audiofiles u.a. sind über HTTPS oder LEGY (Line Event Delivery Gateway) verschlüsselt. HTTPS ist hierbei ein vertrauenswürdiger Standard, während LEGY wieder eine eigenentwickelte, nicht prüfbare Methode von Line darstellt.
Positiv ist, dass man den Zugriff auf die Kontaktliste verbieten kann, da man über QR-Codes, gleichzeitiges Schütteln der Smartphones2 und Email-Adressen Kontaktdaten austauschen kann.
Line wurde im März 2018 von 700 000 000 Menschen verwendet.


1Frei wählbare Option der Verschlüsselung innerhalb der Einstellungen.

2Mit der Voraussetzung für QR-Codes und Schütteln, dass man sich persönlich sieht.

Veröffentlicht am Schreib einen Kommentar

Slack

Slack ist ein Messenger von Slack Technologies, der primär für das berufliche Umfeld entwickelt wurde. Dabei wird eine der drei Varianten von über 8 000 000 Menschen2 benutzt:
Die erste, kostenlose Variante, die die grundlegendsten Basisfunktionen gewährleistet und für unbegrenzte Zeit nutzbar ist, ist auf Einzelgespräche begrenzt, besitzt keine Möglichkeiten für die Suche nach bestimmten Nachrichten und erhält eine Dateispeichergrenze von 5GB für die gesamte Organisationsstruktur.
Die zweite, kostenpflichtige Variante bietet eine Suchfunktion, die Möglichkeit bestimmte Channel für Organisationen und Personen außerhalb des Teams freizugeben, Dateispeicherplatz von 10 GB pro Person in der Organisationsstruktur und weitere kleine Features.
Die dritte, bzw. Plus-Variante, die noch etwas teurer ist, schaltet alle Funktionen frei, mit denen Slack wirbt und verbessert einige Standardfunktionen weiter. Zugriffsrechte für Benutzer werden freigeschaltet, ebenso das einmalige Anmelden per SSO, das dafür sorgt, dass man nach einmaliger Anmeldung am Arbeitsplatz Zugriff auf alle lokalen Dienste hat, ohne sich jedes Mal wieder neu anmelden zu müssen. Außerdem erhält man einen vorrangigen Support, der zu 99,99% abrufbar sein soll.
Gemeinsam haben alle Varianten, dass sie nicht Ende-zu-Ende-verschlüsselt sind, sondern der Administrator der Gruppe Zugriff auf die Nachrichten innerhalb der Kanäle hat. Sie benötigen außerdem keinen Zugriff auf das Adressbuch, da man Personen durch ihre Email-Adresse zu der Organisationsstruktur hinzufügt.

1abhängig von der Variante

2Stand: Mai 2018

Veröffentlicht am Schreib einen Kommentar

Threema

Threema ist ein Instant Messenger aus der Schweiz, den man für einen einmaligen Betrag von 2,99€ für Android und iOS erwerben kann. Unter Android kann man Threema ebenfalls am Desktop verwenden, diese Möglichkeit soll für iOS nachgereicht werden.
Die App ist vollständig Ende-zu-Ende-verschlüsselt und DSGVO-konform. Neben den gebräuchlichen Messenger-Funktionen ist es in Gruppenchats bei Threema möglich, dass man Umfragen erstellen kann. Außerdem bietet Threema eine Unterstützung für Android-Wear-Smartwatches und Android Auto. 45 000 Menschen benutzen den Messenger.1.

1Quellcode nicht öffentlich, wird aber in Audits analysiert.

2Stand: April 2017

Veröffentlicht am Schreib einen Kommentar

Im Nachfolgenden…

… finden Sie eine Tabelle, die einige Kriterien rund um Instant Messaging zusammenfasst und Auskunft darüber gibt, wie diese bedient werden. Die Tabelle beinhaltet ein Wertungssystem, das Sie selbst anpassen können, damit Sie den für sich am besten passenden Messenger ermitteln können. Darunter finden Sie eine Erläuterung zu den einzelnen Sicherheitskriterien, sowie anschließend kurze Informationstexte in alphabetischer Reihenfolge zu den aufgeführten Messengern.


Falls Sie weitere Messenger für den Vergleich vorschlagen wollen, können Sie diesen Beitrag kommentieren.

Veröffentlicht am Schreib einen Kommentar

Sicherheitskriterien

Einige Sicherheitskriterien, auf die man achten kann, sind zum Beispiel die Ende-zu-Ende-Verschlüsselung, DSGVO-Konformität oder ob der Quellcode Open Source ist.
Ende-zu-Ende-Verschlüsselung bedeutet hierbei, dass die Kommunikation von Endgerät zu Endgerät verschlüsselt erfolgt. Nur derjenige, der die Nachricht versendet und derjenige, der sie empfängt, können die Nachricht entschlüsseln. Teilweise zeichnen die Hersteller ihre Messenger aber auch mit Ende-zu-Ende-Verschlüsselung aus, obwohl die Verschlüsselung nur vom Endgerät zum Server und dann vom Server zum Endgerät des Empfängers erfolgt. Damit könnten neben dem Anbieter auch Sicherheitsbehörden oder Angreifer mitlesen. In der Vergleichstabelle unten ist aber nur die „richtige“ Variante ausgewiesen.
Die DSGVO sanktioniert aktuell nur Unternehmen. Trotzdem haben diese Regelungen sehr viele Auswirkungen vor allem auch für den privaten Gebrauch, werden doch vor allem die persönlichen Daten von Privatpersonen geschützt. Eine Nutzung von Messengern ohne DSGVO-Konformität ist im beruflichen Umfeld nicht zu empfehlen, weil rechtlich nicht zulässig.
Ein Quellcode ist Open Source, wenn er für jeden frei verfügbar anzusehen ist. Der Sinn dahinter ist, dass auch jeder den Code auf eventuelle Bugs oder Sicherheitslücken untersuchen kann. Fehler können so gefunden und behoben werden und es ist Entwicklern nicht möglich, heimlich über die Apps doch Daten auszulesen oder Ähnliches.