Liste von mobilen Instant-Messengern

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Diese Liste enthält Informationen zu Computerprogrammen („Apps“), die auf mobilen Geräten (Smartphone, Tablet-Computer) für Instant Messaging eingesetzt werden.

Funktionen[Bearbeiten | Quelltext bearbeiten]

Verschlüsselung Funktionen Sonstiges
Messenger Open Source Ende-zu-Ende Client-Server Authen­tifizierung Abstreit­barkeit PFS Bild­nach­richten Gruppen­chat Asynchrone Kommunikation Übertragung der Kontakte Selbst-­gehosteter Server
Beem GPLv3 OTR (optional) TLS Ja Ja Ja Nein Nein Nur unver­schlüsselt Unbekannt Ja (XMPP)
Bleep Nein Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt[1] Unbekannt
Blackberry Messenger Nein Nein Unbekannt Blackberry-PIN Unbekannt Unbekannt beliebige Dateien Ja Unbekannt Optional[2] Nein
ChatSecure
(ehem. Gibberbot)
Apache 2.0 (Android), GPLv3+ (iOS)[3] OTR (optional) TLS/SSL Ja Ja Ja Ja Nur Client-Server-verschlüsselt Nur unverschlüsselt Unbekannt Ja (XMPP)
Chiffry Nein Eigenentwicklung(256-Bit AES-GCM sowie 512-Bit ECDH/ECDSA) Ja Ja Ja Ja Ja Ja (dezentral) Ja Nein Ja (Business-Version)
cameoNet AGPLv3 Eigenentwicklung TLS/SSL Ja Nein Nein Ja Ja Ja Nein Unbekannt
Conversations GPLv3 OTR, OpenPGP, OMEMO TLS Ja Ja Ja Ja Ja Ja Nein Ja (XMPP)
FriendCaller Nein Eigenentwicklung(RSA/AES) TSL, SSL Ja Unbekannt Unbekannt Ja Ja Ja Optional Ja
Hike Nein Unbekannt SSL
(siehe Anm.)
Unbekannt Unbekannt Unbekannt Nur unver­schlüsselt Nur unver­schlüsselt Nur unver­schlüsselt Ja [4] Nein
Hoccer Nein[5] Eigenentwicklung (RSA/AES)[5] TLS/SSL[5] Ja Optional, Nachrichten signierbar Ja Ja Ja Ja Nein Nein
ICQ Nein Unbekannt SSL Unbekannt Unbekannt Unbekannt Ja Ja Ja Optional [6] Nein
IM+ Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt
Jongla Nein Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Ja Unbekannt
KakaoTalk Nein Unbekannt SSL [7] Unbekannt Unbekannt Unbekannt Ja Unbekannt Unbekannt Unbekannt Nein
Kontalk GPLv3 OpenPGP TLS/SSL Ja Nein Nein Ja Nein Ja Deren Hashes[8] Ja, anderer Server einstellbar
Line Nein Nein[2] Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Optional[2] Nein
OneTime Messenger Nein Nein Ja Nein Nein Nein Ja Ja Unbekannt Ja Nein
peer.me Messenger Nein Ja Unbekannt Unbekannt Ja Unbekannt Ja Ja Unbekannt Unbekannt Unbekannt
Schmoose[9] Nein OpenPGP TLS/SSL Ja Ja Nur Server-Client Ja Ja Ja Optional, dessen Hashes Ja, wird angeboten[10]
SecureChat Nein Axolotl TLS/SSL Ja Ja Ja Ja Ja Unbekannt Ja Unbekannt
Sicher Nein Eigenentwicklung TLS/SSL Unbekannt Unbekannt Nein Ja Ja Ja Ja Unbekannt
Signal GPLv3 Axolotl Ratchet (OTR-Derivat) [11] TLS/SSL Ja Ja Ja Ja Ja[12] Ja Deren Hashes [13] Ja (ohne Sprachanrufe) [13]
SIMSme Nein Eigenentwicklung (RSA/AES)[14] SSL Ja Nein Unbekannt Ja Ja Ja Dessen Hashes Nein
Skype Nein Unbekannt Unbekannt Nein Unbekannt Unbekannt Ja Ja Ja Ja Nein
Surespot GPLv3 Eigenentwicklung SSL Nein Nein Nein Ja Nein Ja Nein Unbekannt
Telegram Messenger GPLv2 (teilweise)[2] Eigenentwicklung (optional) Eigenentwicklung Optional Unbekannt Optional Ja Nur Client-Server-verschlüsselt Ja Ja[2] Nein
Threema nur Krypto-Library NaCl-Bibliothek[15] TLS/SSL[16] Ja Nein Nur Server-Client Ja Ja Ja Optional, dessen Hashes[17] Nein
Tigase Messenger[18] AGPL Unbekannt Unbekannt Ja Unbekannt Unbekannt Ja Ja Unbekannt Nein Ja (XMPP)
Touch Nein Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Ja [19] Unbekannt
Viber Nein Nein Unbekannt Unbekannt Unbekannt Unbekannt Ja Unbekannt Unbekannt Ja Nein
WhatsApp[20] Nein nur ab Version 2.16.14[21] Eigen-­entwicklung Ja Ja Ja Ja nur ab Version 2.16.14 Ja Ja[2] Nein
Whistle.im nur Krypto-Library Unbekannt TLS/SSL[22] Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt Unbekannt
Wickr Nein Eigenentwicklung(AES256, ECDH521, RSA4096) TLS/SSL Unbekannt Unbekannt Unbekannt Ja Unbekannt Unbekannt Unbekannt Unbekannt
Wire GPL Proteus, Double Ratched algorithm; WebRTC (DTLS) und SRTP für Anrufe TLS Ja Ja Ja Ja Ja Ja Optional, nur dessen Hashes Nein
Xabber GPLv3[23] OTR (optional) TLS Ja Ja Ja Nein Nur Client-Server-verschlüsselt Nur unverschlüsselt Nein Ja (XMPP)

Unterstützte Plattformen[Bearbeiten | Quelltext bearbeiten]

Die folgende Tabelle zeigt, welche Messenger-App von welchen mobilen Betriebssystemen unterstützt werden.

Messenger Android iOS Windows Phone BlackBerry Symbian Weitere Plattformen
Beem Ja Nein Nein Nein Nein
Bleep Ja Nein Nein Nein Nein
Blackberry Messenger ab 2.3 ab 6 ab 8 OS 5 Nein BlackBerry Tablet OS 1
ChatSecure Ja Ja Nein Nein Nein
Chiffry Ja Ja Nein Ja Nein
cameoNet Ja Nein Nein Nein Nein
Conversations Ja Nein Nein Nein Nein
FriendCaller Ja Ja Nein Nein Nein Web, Java, Nokia S40
Hike ab 2.3 Ja Ja Ja nur Nokia S60 Nokia S40
Hoccer XO ab 4.0 Ja Nein Nein Nein
ICQ Ja Ja Ja Ja Ja Web, Java, Bada, Nokia S60
IM+ Ja Ja Ja Ja Ja Web, Java
Jongla Ja Ja Ja Nein Nein Firefox OS
KakaoTalk Ja Ja Ja Ja Nein Bada
Kontalk Ja Nein Nein Nein Nein Plattformunabhängiger Java-Client [24]
Line Ja Ja Ja Ja Nur Nokia Asha Nokia Asha, Firefox OS
OneTime Messenger Ja Ja Nein Nein Nein
peer.me Messenger Ja Nein Nein Nein Nein Web
Schmoose Ja Ja Ja Nein Nein
SecureChat Ja Nein Nein Nein Nein
Sicher Ja Ja Ja Nein Nein
Signal ab 2.3 ab 8.0 Nein Nein Nein Ubuntu Touch[25]
SIMSme ab 4.0 ab 7.0 ab 8.1 Nein Nein
Skype Ja Ja Ja Ja Eingestellt[26] Skype-fähige Telefone, Smart-TV,[27] Web, Xbox One, PlayStation Vita, Linux
SureSpot Ja Ja Nein Nein Nein
Telegram ab 2.2 Ja Ja inoffiziell[28] inoffiziell Firefox OS, Ubuntu Touch, Web, Windows / OS X / Linux Desktop, Linux Commandline, Sailfish OS[29]
Threema ab 4.0 Ja Ja Nein Nein
Touch Ja Ja Nein Ja Nein
Viber Ja Ja Ja Ja Ja Bada
WhatsApp ab 2.1 Ja Ja Ja Ja Nokia S60, Nokia S40, Web (Web nur wenn gleichzeitig ein unterstütztes Smartphone mit WhatsApp Internet-Verbindung hat)
Whistle.im Ja Nein Nein Nein Nein
Wickr Ja Ja Nein Nein Nein
Wire ab 4.2 ab 8.0 Nein Nein Nein Wire for Web (Browser), Android APK, Windows (ab 7)
Xabber Ja Nein Nein Nein Nein

Anmerkungen zu den einzelnen Spalten[Bearbeiten | Quelltext bearbeiten]

Open Source[Bearbeiten | Quelltext bearbeiten]

Diese Spalte informiert darüber, ob die Software im Quelltext zur Verfügung steht. Open Source-Software ist in der Regel kostenfrei, kann aber auch kostenpflichtig sein. Proprietäre Software steht normalerweise nicht im Quelltext zur Verfügung und ist manchmal kostenpflichtig.

Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Einige Messenger bieten die Übertragung verschlüsselter Nachrichten an. Diese Spalten informieren darüber, welche Verschlüsselungstechnologie bzw. welches Verschlüsselungsprotokoll zum Einsatz kommt und welche speziellen Eigenschaften unterstützt werden.

Weitere Details zu der Technologie einzelner Messenger finden sich teilweise in den jeweiligen Anmerkungen weiter unten.

Ende-zu-Ende-Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Wenn eine Nachricht vor dem Versand verschlüsselt und erst vom Empfänger entschlüsselt wird, spricht man von Ende-zu-Ende-Verschlüsselung. Dabei bleibt die Nachricht auf dem kompletten Transportweg unlesbar.

Manche Messenger benutzen neue Verschlüsselungsprotokolle, die speziell für das mobile Instant Messaging konstruiert wurden. Allerdings sind solche neue Protokolle praktisch niemals auf Anhieb fehlerfrei.[30] Das „Ende-zu-Ende“-Feld von Messengern, die neue, ungeprüfte Verschlüsselungsprotokolle einsetzen, wird in der Tabelle gelb hinterlegt. Damit wird verdeutlicht, dass die Sicherheit dieser Messenger noch nicht geprüft wurde und vermutlich noch Fehler enthält.

Während Sicherheitsmängel in Open Source Software im Allgemeinen schnell entdeckt und behoben werden, weil der Quelltext von vielen Experten geprüft werden kann,[30] trifft das bei proprietärer Software nicht zu. Das „Ende-zu-Ende“-Feld proprietärer Messenger wird rot hinterlegt, weil sie in absehbarer Zukunft nicht als sicher betrachtet werden können.

Manche Messenger verwenden Verschlüsselungsprotokolle, die bereits seit einiger Zeit im Einsatz sind und bereits vielfach überprüft wurden. Das „Ende-zu-Ende“-Feld dieser Messenger wird grün hinterlegt, um zu verdeutlichen, dass sie eine hohe Sicherheit bieten.

Die Spalte „Ende-zu-Ende“ benutzt die folgende Klassifizierung:

  • Keine: Der Messenger unterstützt keine Verschlüsselung. Das Feld ist rot hinterlegt.
  • Eigenentwicklung: Das Verfahren wurde vom Hersteller selbst entworfen. Je nachdem, ob es überprüft wurde und was die Überprüfung ergeben hat, ist das Feld grün (kann als sicher gelten), gelb (keine Überprüfung) oder rot (Sicherheitsmängel wurden festgestellt) hinterlegt.
  • Standardverfahren Standardisierte Verfahren (OTR, TLS) kommen zum Einsatz. Das Feld ist grün hinterlegt.

Client-Server-Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Beim mobilen Instant Messaging sind in der Regel ein oder mehrere Server involviert, die Nachrichten entgegennehmen, zwischenspeichern und – sofort oder später – an den Empfänger ausliefern. Die Kommunikation eines Clients mit einem Server kann verschlüsselt werden (sogenannte Transportverschlüsselung). In diesem Fall können Nachrichten während der Übermittlung vom Client zum Server oder umgekehrt nicht gelesen werden, jedoch liegen die Nachrichten auf dem Server im Klartext vor. Ob die Verbindung zwischen zwei Servern verschlüsselt wird, kann nicht vom Client (hier: dem Messenger) beeinflusst werden und bleibt daher außer Betracht.

Für die Client-Server-Verschlüsselung kommt normalerweise das TLS-Protokoll zum Einsatz. Manche Messenger verwenden das veraltete SSL-Protokoll oder auch Eigenentwicklungen.

Die Spalte „Client-Server-Verschlüsselung“ benutzt die folgende Klassifizierung:

  • Keine: Der Messenger unterstützt keine Verschlüsselung. Das Feld ist rot hinterlegt.
  • Eigenentwicklung: Das Verfahren wurde vom Hersteller selbst entworfen. Je nachdem, ob es überprüft wurde und was die Überprüfung ergeben hat, ist das Feld grün (kann als sicher gelten), gelb (keine Überprüfung) oder rot (Sicherheitsmängel wurden festgestellt) hinterlegt.
  • Standardverfahren Standardisierte Verfahren (OTR, TLS) kommen zum Einsatz. Das Feld ist grün hinterlegt.

Authentifizierung[Bearbeiten | Quelltext bearbeiten]

Es gibt kryptographische Methoden, mit denen die Echtheit einer Nachricht überprüft werden kann, d. h. ob sie tatsächlich von dem Absender stammt, von dem sie zu stammen scheint. Auf diese Weise können Man-in-the-middle-Angriffe erkannt werden.

Diese Spalte gibt Auskunft darüber, ob der jeweilige Messenger die Authentifizierung von Nachrichten unterstützt.

Abstreitbarkeit[Bearbeiten | Quelltext bearbeiten]

Falls die Echtheit von Nachrichten überprüft werden kann (siehe Spalte „Authentifizierung“), ist es normalerweise möglich, Nachrichten nachträglich zweifelsfrei dem Absender zuzuordnen. Es kann dann bewiesen werden, dass der Absender bestimmte Nachrichten tatsächlich versandt hat.

Einige Messenger bieten die Möglichkeit, den Versand einer Nachricht nachträglich glaubhaft abzustreiten. Dabei kann der Empfänger im Augenblick des Empfangs dennoch sicher sein, dass die Nachricht echt ist.

Sowohl der Echtheitsnachweis im Moment des Empfangs als auch die spätere Abstreitbarkeit der Echtheit werden durch kryptographische Verfahren verwirklicht.

Perfect Forward Secrecy (PFS)[Bearbeiten | Quelltext bearbeiten]

Wenn alle Nachrichten mit demselben kryptografischen Schlüssel verschlüsselt werden, können mit diesem Schlüssel auch ältere Nachrichten nachträglich entschlüsselt werden. Wenn ein Angreifer also Zugriff zum Schlüssel erlangt, kann er auch früher abgefangene Nachrichten nachträglich lesen.

Manche Messenger bieten Folgenlosigkeit (Perfect Forward Secrecy) an, die dieses Szenario verhindert, indem jede Nachricht mit einem neuen Kurzzeitschlüssel verschlüsselt wird, der von einem Langzeitschlüssel abgeleitet wird und innerhalb kurzer Zeit gelöscht wird.

Funktionen[Bearbeiten | Quelltext bearbeiten]

  • Die Angabe ver. verschlüsselt bedeutet das laut Herstellerangaben auf der Webseite die Daten verschlüsselt übertragen werden, es wurde aber softwareseitig nicht unabhängig überprüft bzw. kann überprüft werden.
  • Die Angabe ver. unverschlüsselt bedeute das die Daten wahrscheinlich unverschlüsselt übertragen werden, eine korrekte Angabe ist nicht möglich da das Verschlüsselungsverfahren unbekannt ist oder nicht analysiert werden kann.

Bildnachrichten[Bearbeiten | Quelltext bearbeiten]

Gibt an, ob der Messenger den Versand von Bildnachrichten unterstützt.

Gruppenchat[Bearbeiten | Quelltext bearbeiten]

Manche Messenger unterstützen die Gruppenkommunikation. Dabei können einzelne Benutzer Mitglied einer Gruppe werden. Nachrichten, die an die Gruppe gesandt werden, werden allen Mitgliedern dieser Gruppe zugestellt.

Die Spalte „Gruppenchat“ informiert darüber, ob der jeweilige Messenger diese Art der Kommunikation unterstützt.

Asynchrone Kommunikation[Bearbeiten | Quelltext bearbeiten]

Von asynchroner Kommunikation (oder „Offline-Kommunikation“) spricht man, wenn Nachrichten versendet werden können, während der Empfänger nicht online ist, also keine Nachrichten empfangen kann. Die Nachrichten werden auf einem Server zwischengespeichert, bis der Empfänger empfangsbereit wird und die Nachrichten entgegennimmt. Das Empfangen der Nachrichten ist auch dann möglich, wenn der Absender inzwischen nicht mehr online ist.

Diese Eigenschaft ist vor allem im mobilen Einsatz nützlich, da mobile Geräte in der Regel nicht ständig über eine Internet-Verbindung verfügen.

Sonstiges[Bearbeiten | Quelltext bearbeiten]

Übertragung der Verbindungsdaten[Bearbeiten | Quelltext bearbeiten]

Viele Messenger nutzen Internetserverdienste von Google (Google Cloud Messaging[31], jetzt Firebase Cloud Messaging[32]) oder Apple. Dadurch erhalten diese Unternehmen jeweils die Meta- bzw. Verbindungsdaten der Kommunikation. Metadaten sind nach Ansicht von Geheimdiensten und Datenschützern mindestens so intim bzw. gefährlich[33] wie Inhaltsdaten. Durch Metadaten kann ein pseudonym agierender Teilnehmer identifiziert werden. Nur die Inhalte einer Nachricht werden durch die hier teils angebotene Verschlüsselung der Messenger verborgen.

Übertragung des Telefonbuches[Bearbeiten | Quelltext bearbeiten]

Gibt an ob der Messenger alle Telefonbucheinträge des Handys automatisch an den Anbieter überträgt, um die Kommunikation mit den eigenen Kontakten zu erleichtern. Dadurch wird es allerdings für den Anbieter möglich, soziale Profile zu erstellen, indem die Kontaktdaten verknüpft werden.

  • Optional: Es kann ausgewählt werden, ob das Telefonbuch übertragen werden soll (Grün)
  • Nein: Telefonbuch wird nicht übertragen (Gelb)
  • Ja: Telefonbuch wird automatisch übertragen (Rot)

Selbst-gehosteter Server[Bearbeiten | Quelltext bearbeiten]

Diese Spalte gibt an, ob es für Dritte möglich ist, einen Server für den Betrieb des Messengers selbst zu hosten.

Anmerkungen zu den einzelnen Messengern[Bearbeiten | Quelltext bearbeiten]

Beem[Bearbeiten | Quelltext bearbeiten]

  • Im Gegensatz zu einigen anderen XMPP-fähigen Messengern kann Beem ein XMPP-Konto anlegen.

Bleep[Bearbeiten | Quelltext bearbeiten]

  • Bleep benutzt dezentral verteilte Server (P2P).

ChatSecure[Bearbeiten | Quelltext bearbeiten]

  • Die Übertragung von Bildern erfolgt (optional OTR-verschlüsselt) über den Chat-Kanal.
  • Es wird ein XMPP-Konto benötigt, welches in der Androidversion bei folgenden Anbietern erstellt werden kann: dukgo.com, jabber.ccc.de, xmpp.jp, jabberpl.org, neko.im und rkquery.de.

Chiffry[Bearbeiten | Quelltext bearbeiten]

  • Ende-zu-Ende-Datenverschlüsselung aller Nachrichten und Telefonate mit 256-Bit AES im GCM-Modus.[34]
  • Der Verschlüsselungsschlüssel wird vor jeder Nachricht oder jedem Telefonat neu erzeugt und nach dem Briefkasten-Prinzip unter Verwendung der Elliptische-Kurven-Kryptografie (512-Bit ECDH) an den Empfänger übermittelt.
  • Fälschungsschutz aller Nachrichten durch 512-Bit-ECDSA-Signaturen und Benutzeridentifizierung mittels Chiffry-Zertifikaten.
  • Datenübertragung erfolgt über Chiffry-Kommunikations-Server, welche sich im Rechenzentrum von envia TEL in Deutschland befinden.
  • Basis-Version ist kostenlos und umfasst alle Grundfunktionen wie verschlüsselter Versand von Text- und Sprachnachrichten, Bilder, Videos, Standorte, Kontakte und abhörsichere Telefonie.
  • Business-Version ist für Behörden und Unternehmen konzipiert und beinhaltet spezielle Lösungen wie z. B. Kommunikation über eigenen Chiffry-Server innerhalb einer Behörde oder eines Unternehmens.

Hike[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Hike (Messenger)
  • Die Übertragung von Inhalten (Text, Bilder, etc.) kann innerhalb einer WI-FI Verbindung mit 128-bit SSL optional verschlüsselt werden.[35]

Kontalk[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Kontalk
Kontalk
  • Als Protokoll wird XMPP verwendet, das um eigene Erweiterungen ergänzt ist.
  • Standardmäßig wird asymmetrische Verschlüsselung mittels OpenPGP verwendet: Alle Nachrichten sind Ende-zu-Ende verschlüsselt und signiert.

Schmoose[Bearbeiten | Quelltext bearbeiten]

  • Derzeit stehen die Server des Unternehmens nach eigenen Angaben in Datenzentren in Deutschland und anderen europäischen Ländern.
  • Für die Zukunft stellen die Entwickler in Aussicht, den Quellcode ihres Produktes „vertrauenswürdigen Personen mit einem soliden Hintergrund im Bereich Sicherheit zur Analyse und für Verbesserungsvorschläge zur Verfügung stellen“.

Signal[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Signal (Software)
Signal (Android)
Signal (iOS)
  • Die Nachrichten werden per Internetverbindung versendet.
  • Anmeldung nur mit Telefonnummer.
  • Signal kann auch klassische, unverschlüsselte SMS/MMS übertragen und als Ersatz für die reguläre SMS/MMS-Anwendung genutzt werden.
  • Das Signal-Protokoll ist eine Modifikation von OTR, ursprünglich, um eine asynchrone Nutzung dieses Protokolls zu ermöglichen. Inzwischen wurde es weiterentwickelt und ist unter dem Namen Axolotl bekannt.[36]
  • Die Signal-Funktionalität ist seit Version 10.2 unter dem Namen „WhisperPush“ in CyanogenMod integriert. Da WhisperPush als Wrapper arbeitet, kann jede beliebige SMS/MMS-App eingesetzt werden. WhisperPush verschlüsselt dann automatisch und transparent die Nachrichten, wenn der Kommunikationspartner ebenfalls Signal bzw. WhisperPush verwendet.[37][38]
  • In einer Analyse des Messengers „Telegram“ wurde Signal (damals TextSecure) empfohlen, während von Telegram wegen gravierender Sicherheitsmängel abgeraten wurde.[39]
  • Eine Version für den PC ist in Vorbereitung. Das Protokoll sieht es vor, dass ein Nutzer mehrere Geräte hat, die dann alle Nachrichten parallel empfangen.[40]

SureSpot[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Surespot
  • Die Authentifizierung wird durch Public-Key-Kryptographie sichergestellt. Dabei signiert der Server die Public-Keys aller Clients. Ein Client prüft den Public Key seines Kommunikationspartners, indem er die Signatur des Servers prüft. Die Server-Signatur ist fest in den Client eingebaut (der Betrieb eines eigenen Servers dürfte daher nicht möglich sein). Der Server tritt also de facto als Certification Authority auf.
  • Nutzer können ihre Public-Keys nicht gegenseitig prüfen. Zwar sind die Schlüssel einsehbar, so dass ein Vergleich wohl möglich wäre. Jedoch kann ein Benutzer jederzeit neue Schlüssel generieren, ohne dass andere Benutzer darauf aufmerksam gemacht werden.
  • Nutzer berichteten von teilweise extrem langen Zustellzeiten (bis zu 8 Stunden).

Telegram[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Telegram Messenger
Telegram
  • Telegram benutzt ein eigenes Protokoll (MTProto), das auch den Einsatz der Kryptographie regelt.
  • Der Gruppenchat bietet keine Ende-zu-Ende-Verschlüsselung, sondern nur Client-Server bzw. Server-Client.
  • Ende-zu-Ende-Verschlüsselung steht in „Geheimen Chats“ zur Verfügung, die man manuell starten muss.
  • Das von Telegram eingesetzte Protokoll „MTProto“ ist eine Eigenentwicklung und wurde aus verschiedenen Gründen kritisiert, siehe Abschnitt Sicherheit und Kritik

Threema[Bearbeiten | Quelltext bearbeiten]

Threema
Hauptartikel: Threema
  • Threema wird von dem Schweizer Unternehmen Kasper Systems GmbH entwickelt.[41] Die Server stehen in der Schweiz. Zugleich werden Google Server genutzt und damit erhält Google die Metadaten der Kommunikation.[42]
  • Anmeldung ist auch ohne Telefonnummer und E-Mail-Adresse möglich.
  • Threema lässt den Benutzer entscheiden, ob er sein ganzes Telefonbuch zum Server hochladen will oder nur einzelne Kontakte. Auch lässt sich die automatische Kontakt-Synchronisierung steuern.
  • Der deutsche IT-Sicherheitsexperte Felix von Leitner zweifelt in seinem Blog die Sicherheit von Threema an.[43] Er begründet das mit folgenden Argumenten:
    • Der Quelltext von Threema steht nicht für eine öffentliche Prüfung zur Verfügung.
    • Threema ist serverbasiert und der Nutzer hat keine Kontrolle über den Server.
    • Smartphones seien grundsätzlich unsicher. Dieses Argument betrifft natürlich alle mobilen Instant-Messenger.
  • Die Universität von Amsterdam hat Threema einer grundlegenden Sicherheitsanalyse unterzogen. Dafür wurde der Binärcode dekompiliert, die Datenverwaltung analysiert, sowie die Kommunikation per Man-In-The-Middle attackiert. Dabei kamen keine Lücken zum Vorschein, die Autoren der Studie halten Threema daher für gut umgesetzt und sicher.[44]
  • Im November 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden.[45]
  • ohne offenen Quellcode kann jedoch nicht nachvollzogen werden, ob Threema durch spätere Updates weniger sicher oder gar unsicher wurde (z. B. durch Backdoors). Die Tests können folglich nur die Sicherheit der getesteten Version bescheinigen.

WhatsApp[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: WhatsApp
Whatsapp
  • WhatsApp hat eine sehr hohe Verbreitung.
  • WhatsApp verschlüsselt die Verbindung mit einer Ende-zu-Ende-Verschlüsselung (seit April 2016).
  • Der WhatsApp-Messenger überträgt die Adressbücher seiner Nutzer an WhatsApp.
  • WhatsApp ist im ersten Jahr kostenfrei, danach wird eine jährliche Nutzungsgebühr erhoben.[46] Am 18. Januar 2016 gab Geschäftsführer Jan Koum bekannt, dass WhatsApp in Zukunft ohne jährliche Grundgebühr angeboten wird.[47]
  • Übertragung des Telefonbuchs, Anmeldung mit Telefonnummer
  • WhatsApp gehört zu Facebook.[48]

Wickr[Bearbeiten | Quelltext bearbeiten]

  • Wickr verspricht „military-grade encryption“.[49] Zur Verschlüsselung nutzt die Android-App AES 256 bit, ECDH 521, RSA-4096 und TLS.

Xabber[Bearbeiten | Quelltext bearbeiten]

  • Eine iOS-Version wurde zuletzt am 5. Februar 2013 angekündigt.[50]
  • Es wird ein XMPP-Konto benötigt, das nicht von Xabber erstellt werden kann.

nicht mehr gepflegte Messenger[Bearbeiten | Quelltext bearbeiten]

  • myEnigma nutzte Ende-zu-Ende-Verschlüsselung (AES 256 bit) der Nachrichten zwischen den Sender- und Empfängergeräten und zusätzliche TLS-Verschlüsselung der Daten auf dem Weg zum und vom Server. Betreiber war die Schweizer Firma Qnective, Serverstandort war in der Schweiz. Der Dienst wurde 2016 eingestellt.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Bittorrent Labs: bleep
  2. a b c d e f WhatsApp und Alternativen – Datenschutz im Test. test.de. 26. Februar 2014. Abgerufen am 23. Dezember 2015.
  3. About. chatsecure.org. Abgerufen am 23. Dezember 2015.
  4. Sicherheit: Experten warnen vor WhatsApp-Alternative Hike. In: Spiegel Online, 10. Dezember 2012. Abgerufen am 23. Dezember 2015. 
  5. a b c Hoccer – Datenschutz- und Sicherheitserklärung. hoccer.com. Abgerufen am 23. Dezember 2015.
  6. ICQ Video chat & Messenger – Android-App. chip.de. 5. Mai 2014. Abgerufen am 23. Dezember 2015.
  7. [KakaoTalk Bypassing SSL (2)]. bpak.org. 23. Juni 2011. Abgerufen am 23. Dezember 2015.
  8. https://play.google.com/store/apps/details?id=org.kontalk
  9. Schmoose im Software-Wiki
  10. schmoose messenger | Schmoose S.A
  11. Advanced cryptographic ratcheting. whispersystems.org. 26. November 2013. Abgerufen am 23. Dezember 2015.
  12. Markus Beckedahl: Verschlüsselte Whatsapp-Alternative: Neue Version von Textsecure bietet Gruppenchat. netzpolitik.org. 25. Februar 2014. Abgerufen am 23. Dezember 2015.
  13. a b WhisperSystems/TextSecure-Server. github.com. Abgerufen am 23. Dezember 2015.
  14. Sicherheit. sims.me. Abgerufen am 23. Dezember 2015.
  15. Häufige Fragen. threema.ch. Abgerufen am 23. Dezember 2015.
  16. Hristo Dimitrov, Jan Laan, Guido Pineda: Threema security assessment – Research project for Security of Systems and Networks Master System and Network Engineering (PDF) os3.nl. Abgerufen am 23. Dezember 2015.
  17. Threema – Seriously secure messaging – Häufige Fragen
  18. Tigase Messenger bei F-Droid
  19. Privacy Policy. touch.com. Archiviert vom Original am 27. Februar 2014. Abgerufen am 23. Dezember 2015.
  20. WhatsApp's Signal Protocol integration is now complete. Open Whisper Systems. 5. April 2016. Abgerufen am 15. Juni 2016.
  21. Abhörsicher: WhatsApp erhält Ende-zu-Ende-Verschlüsselung. computerbase.de. 18. November 2014. Abgerufen am 23. Dezember 2015.
  22. Encryption Mechanism. github.com. Abgerufen am 23. Dezember 2015.
  23. Xabber is released under GNU GPL v3 (30-01-13) xabber.com. Abgerufen am 23. Dezember 2015.
  24. desktopclient-java – Releases. github.com. Abgerufen am 23. Dezember 2015.
  25. uApp Explorer TextSecure Client. Abgerufen am 28. Februar 2016.
  26. Wurde Skype für Symbian eingestellt? Abgerufen am 15. Februar 2015.
  27. Skype-fähige Smart-TV's. Abgerufen am 18. November 2015 (PDF).
  28. Download Telegram Messenger For Java/Symbian & Blackberry Phones Here. Abgerufen am 28. Februar 2016.
  29. jollagram OpenRepos. Abgerufen am 28. Februar 2016.
  30. a b Bruce Schneier: Crypto-Gram: May 15, 2002 – Schneier on Security. schneier.com. 15. Mai 2002. Abgerufen am 23. Dezember 2015.
  31. Google Cloud Messaging. In: Wikipedia, the free encyclopedia. 26. August 2016 (wikipedia.org [abgerufen am 31. August 2016]).
  32. Firebase Cloud Messaging. In: Wikipedia, the free encyclopedia. 23. Juli 2016 (wikipedia.org [abgerufen am 31. August 2016]).
  33. ABC News: Ex-NSA Chief: 'We Kill People Based on Metadata'. In: ABC News. Abgerufen am 31. August 2016.
  34. get.chiffry.de
  35. 128-bit SSL Encryption: hike. hike.in. Abgerufen am 23. Dezember 2015.
  36. Simplifying OTR deniability.. whispersystems.org. 27. Juli 2013. Abgerufen am 23. Dezember 2015.
  37. Marcel Röhrig: CyanogenMod: WhisperPush – Was ist das?. chip.de. 5. Januar 2014. Abgerufen am 23. Dezember 2015.
  38. CyanogenMod: Screencast und WhisperPush verfügbar. androidpit.de. Abgerufen am 23. Dezember 2015.
  39. Telegram, AKA “Stand back, we have Math PhDs!”. unhandledexpression.com. Abgerufen am 23. Dezember 2015.
  40. Ronald Eikenberg: Messaging: Neue Open-Source-Alternative zu WhatsApp und Co. heise.de. 25. Februar 2014. Abgerufen am 23. Dezember 2015.
  41. Kontakt. threema.ch. Abgerufen am 23. Dezember 2015.
  42. Threema - Seriously secure messaging - Kann ich Threema ohne Google Account kaufen/verwenden? In: threema.ch. Abgerufen am 31. August 2016.
  43. Fefes Blog. fefe.de. 20. Februar 2014. Abgerufen am 23. Dezember 2015.
  44. Hristo Dimitrov, Jan Laan, Guido Pineda: Threema security assessment – Research project for Security of Systems and Networks Master System and Network Engineering (PDF) os3.nl. 22. Dezember 2013. Abgerufen am 23. Dezember 2015.
  45. Threema-Audit abgeschlossen: „Ende-zu-Ende-Verschlüsselung ohne Schwächen“. Heise online, abgerufen am 3. November 2015.
  46. WhatsApp FAQ – Wie viel kostet die Verlängerung von WhatsApp?. WhatsApp.com. Abgerufen am 23. Dezember 2015.
  47. Whatsapp ab sofort vollständig kostenlos. derstandard.at. Abgerufen am 18. Januar 2016.
  48. Internet: Facebook kauft Rivalen WhatsApp. In: Die Zeit, 20. Februar 2014. Abgerufen am 23. Dezember 2015. 
  49. https://www.wickr.com/wickr-free-texting-app-has-military-grade-encryption-messages-self-destruct/
  50. Xabber. xabber.com. Abgerufen am 23. Dezember 2015.