Your browser does not support language switching via CSS tags, such that the texts are shown simultaneously in all available languages.
Better upgrade to a more standards compliant browser.
Facts and recommendations for secure and private instant messaging by David von Oheimb
As an IT security expert and privacy advocate, I share here some information and recommendations on secure communication using smartphones.
Unfortunately, not even governments behave in a lawful and sane way.
Data about yourself and others is collected aggressively from your computers, phones, etc. by numerous institutions and is kept forever.
You never know where it ends up and when it will be abused by whom.
This will strike you if you read or listen to Edward Snowden's story "Permanent Record".
Fakten und Empfehlungen für sicheres Instant Messaging mit Datenschutz von David von Oheimb
Hier Informationen, Einschätzungen und Empfehlungen für sichere Kommunikation auf Smartphones
aus meiner Sicht als IT-Sicherheitsexperte, der für den Schutz privater Daten sensibel ist.
Leider verhalten sich nicht einmal Regierungen rechtmäßig und vernünftig.
Daten über Sie selbst und andere werden von zahlreichen Institutionen auf aggressive Weise von Ihren Computern, Telefonen usw. gesammelt und für immer gespeichert.
Man weiß nie, wo sie landen und wann sie von wem missbraucht werden.
Das wird klar, wenn man Edward Snowdens Lebensgeschichte „Permanent Record“ liest oder anhört.
In terms of choosing instant messengers, currently I can fully recommend only Threema —
it provides excellent protection of messages in transit and at rest, as well as very good privacy.
Signal boasts high-grade encryption,but does not provide strong protection of local storage.
Molly is a fully interoperable variant for Android that brings several security improvements.
Telegram does not encrypt local storage and provides end-to-end encryption only for so-called "secret chats".
TeleGuard allegedly provides full end-to-end encryption but does not encrypt local storage, neither.
Wire lost much trust by it headquarters getting covertly moved to the USA.
I must advise against the most widely used WhatsApp and Facebook Messenger, but also against Viber.
Was die Wahl eines Instant Messengers betrifft, kann ich derzeit nur
Threema wirklich empfehlen.
Diese App verwendet vorbildliche Verschlüsselung sowohl bei der Übertragung als auch der Speicherung
von Nachrichten und bietet zudem sehr guten Datenschutz.
Von der Nutzung des Platzhirsches WhatsApp muss ich dringend abraten, aber auch von Facebook Messenger und Viber. Signal
wird wegen seiner hochsicheren Datenübertragung sehr gelobt, aber bietet keine starke Absicherung der lokalen Chat-Speicherung. Molly ist eine mit Signal voll kompatible Variante für Android,
die mehrere Sicherheitsverbesserungen bringt. Telegram
vollzieht ebenfalls keine verschlüsselte Speicherung
und bietet Ende-zu-Ende-Verschlüsselung der Nachrichtenübertragung nur für extra einzustellende "Geheime Chats". TeleGuard bietet angeblich volle Ende-zu-Ende-Verschlüsselung, aber keine Verschlüsselung bei der Speicherung. Wire hat durch seinen heimlichen Verkauf in die USA Vertrauen verspielt.
Beim Instant Messaging finde ich folgende Aspekte besonders wichtig:
Ende-zu-Ende-Verschlüsselung ermöglicht abhörsichere Übertragung der Nachrichten-Inhalte zwischen den Kommunikationspartnern, ohne dass etwa der Dienstbetreiber alles 'mitschneiden' kann.
Diese bieten inzwischen praktisch alle üblichen Messenger an, auch WhatsApp. Telegram dagegen bietet sie nur für sog. "Geheime Chats".
Authentizität bedeutet die Echtheit des Gegenübers und der Nachricht,
also dass sie tatsächlich und direkt von dem richtigen Kommunikationspartner kommt
und sich nicht etwa jemand Anderes (ein sog. 'man-in-the-middle') dazwischenklemmen konnte.
Die Authentizität wird meist vernachlässigt, aber sie garantiert die Unverfälschtheit der Inhalte
und ist für die Vertraulichkeit wesentlich,
denn sonst weiß man nicht wirklich, mit wem man diese Inhalte teilt.
Der einzige Messenger, der das vorbildlich unterstützt, ist Threema.
Privatsphäre bzgl. der Kommunikations-Metadaten.
Der Kommunikationsdienstleister soll nicht auswerten geschweige denn weitergeben,
wer mit wem in Kontakt ist und wann wie viel mit wem kommuniziert hat.
In dieser Hinsicht muss man WhatsApp leider als katastrophal einstufen,
denn es lebt davon, Daten zu sammeln und offenbar für heftig viel Geld zu verkaufen.
Dabei besitzt es auch noch die Frechheit, von den Nutzern das Erklärung zu ergaunern,
dass man sich die Erlaubnis von allen Leuten in seinem Adressbuch geholt hat,
diese von WhatsApp/Facebook auswerten zu lassen.
Das ist illegal, und daher laufen da auch Prozesse gegen den Facebook-Konzern.
Datenschutz bzgl. des Smartphone Nutzers, also Online-Status und Zeitpunkt der Nutzung, Standort,
Anruflisten, Adressbuch, Zugriff auf die Kamera und das Mikrofon, SMS, Festspeicher etc.
WhatsApp gönnt sich nach der Installation jede Menge Privilegien (Zugriffsrechte),
mit denen ihr Nutzer ausspioniert werden kann — und sehr wahrscheinlich auch wird.
Weniger wichtig dagegen, und sogar eher unpraktisch finde ich:
Pseudonymität ist eine abgeschwächte Form der Anonymität und bedeutet,
dass die eigene Identität verborgen bleibt und man nur über sein Pseudonym, einen beliebig wählbaren Namen, identifiziert wird.
Dies hat den großen Nachteil, dass man pseudoynme Teilnehmer, die man kennt, nur schwer finden kann,
und auch ein Nachweis der echten Identität ist damit kaum möglich.
Gegenüber dem Betreiber des Messaging-Dienstes ist sie durchaus erstrebenswert.
Pseudonymität (oder gar Anonymität) ist aber in der Praxis schwer zu erreichen und durchzuhalten.
Threema und TeleGuard sind m.W. so ziemlich die einzigen Messenger, die das unterstützen.
Die meisten anderen Messenger-Dienste verlangen eine echte Telefonnummer und/oder E-Mail-Adresse, womit man rückverfolgbar wird.
Allerdings bietet das natürlich den Vorteil, dass man sehr leicht andere Nutzer findet und selbst gefunden wird.
Bei Signal läuft der Abgleich der Telefonnummern über ein Anonymisierung,
allerdings muss man auch dabei dem Betreiber vertrauen, dass die für sich verwendete Telefonnummer
und die auf dem Handy ausgelesenen Adressbuch-Daten nicht doch missbraucht werden.
Eigentlich auch sehr wichtig, aber leider von allen Dienstanbietern sträflich vernachlässigt,
auch weil jeder sein eigenes Süppchen kochen will:
Interoperabilität, also die Möglichkeit, auch mit Nutzern von Apps anderer Anbieter Nachrichten auszutauschen.
Leider hat sich bisher beim Instant Messaging (anders als z.B. bei E-Mails)
kein Hersteller- und Dienstanbieter-übergreifender Standard durchgesetzt.
Dabei gibt es da durchaus Geeignetes, etwa XMPP/Jabber und OMEMO,
und das wird von Conversations und ein paar anderen (leider eher unbekannten) Clients auch unterstützt.
Aufgrund fehlender Interoperabilität müssen alle Teilnehmer einer Konversation die Software des selben Anbieters verwenden.
Wer statt WhatsApp zumindest Telegram und Signal — und am besten auch Threema — nutzt, kann aber schon mal sehr viel abdecken.
Einen guten Überblick (Stand: Oktober 2020) über aktuelle Instant-Messaging-Dienste bietet ein Artikel der Verbraucherzentrale. Es gibt auch einen Vergleich von Threema mit Signal, Telegram und WhatsApp, den ich gut finde, obwohl er von Threema selbst stammt.
WhatsAppshould be avoided due to intentional severe privacy violations. Moreover, its chat backup and transfer mechanisms are troublesome and insecure.
An overall review can be found here.
sollte wegen vorsätzlicher grober Datenschutz-Verletzungen, insbesondere beim Umgang mit Kontaktdaten, gemieden werden.
Auch seine Backup- und Transfermechanismen für Chats sind mühselig und unsicher.
Threemahas been designed for security, privacy, and informational self-determination.
It can be used anonymously (better to say, pseudonymously).
It offers excellent support for checking the identity other users, which is crucial for secrecy and authenticity.
It seems to be the only messenger that securely encrypts message content stored in the device — if the user supplies a suitable password.
It is paid but inexpensive.
Like with WhatsApp, its web client is rather inconvenient to use because your smartphone must be active as well.wurde von vornherein in Hinblick auf IT-Sicherheit, Datenschutz und informationelle Selbstbestimmung hin konzipiert.
Es kann anonym (oder besser gesagt, pseudonym) genutzt werden.
Es bietet vorbildliche Möglichkeiten, die Authentizität jedes Kontakts zu prüfen und zeigt auch an, in wieweit diese Prüfung erfolgt ist.
Es ist wohl die einzige App, die Nachrichteninhalte sicher verschlüsselt auf dem Gerät speichert — wenn man dazu ein geeignetes Passwort angegeben hat.
Es ist nicht kostenlos, aber kostet nur ein paar Euro.
Schade, dass (wie auch bei WhatsApp) aus Gründen des Schlüsselmanagements das Handy online dabei sein muss, wenn man den Browser-basierten-Client nutzt.
Molly
is a fully interoperable variant of the Signal app for Android that brings several security improvements.
In particular, storage of all message contents gets an extra protection by a user-supplied strong passphrase.
ist eine voll kompatible Variante der Signal-App für Android, die mehrere Sicherheitsverbesserungen bringt.
Vor Allem wird dort die Speicherung aller Nachrichteninhalte zusätzlich durch ein benutzerdefiniertes starkes Passwort gesichert.
Conversationsis likely highly secure and supports open standards.ist wohl hochsicher und unterstützt offene Standards.
Telegramis pretty independent of Western commerce and politics. Meanwhile there is also variant for Android with more independence of censorship by Google.
Telegram provides end-to-end security only for "secret chats" with individual contacts,
and for each recipient such a chat needs to be explicitly started first.
Such chats can be used only on the smartphone, whereas normal ones also work with the desktop client.
Messages and attachments are stored unencrypted, even for "secret chats".
ist von westlicher Wirtschaft und Politik ziemlich unabhängig. Mittlerweile gibt es auch eine Variante für Android mit mehr Unabhängigkeit von Zensur durch Google.
Telegram bietet Ende-zu-Ende-Verschlüsselung nur in "Geheimen Chats"
mit individuellen Kontakten, also nicht für Gruppen-Kommunikation,
und diese Option muss man pro Kommunikationspartner erst mal ausdrücklich starten.
Solche Chats können auch nur auf dem Smartphone verwendet werden, normale hingegen auch auf dem Computer über die Desktop-Version.
Nachrichten und Anhänge werden ohne Verschlüsselung gespeichert, selbst für die "Geheimen Chats".
TeleGuard
was launched in early 2021 and appears to offer good transmission security and data privacy protection but does not encrypt data at rest.
It can be used simultaneously on multiple devices. As of mid-2023, it still has some weird bugs.TeleGuard — Details dazu hier — ging Anfang 2021 an den Start und bietet offenbar gesicherte Nachrichtenübertragung, Privatsphäre und Datenschutz, allerdings bislang keine Verschlüsselung der Daten auf dem Gerät.
Es kann simultan of mehreren Geräten verwendet werden. Stand Mitte 2023 hat es immer noch einige merkwürdige Fehler.
Wireis oriented at business communication but also offers free service.
It promises to be very secure
and allows convenient (even parallel) use on multiple devices.
Ownership was transferred from Europe to the USA
in 2019, which has undermined trust in its privacy protection.
wendet sich hauptsächlich an Geschäftskunden, bietet aber auch kostenlose Nutzung.
Es verspricht sehr sicher zu sein
und kann sehr bequem auch auf mehreren Geräten (gleichzeitig) verwendet werden.
Im Jahr 2019 wurde der Hauptsitz in die USA verlegt,
was Zweifel am Schutz der Privatsphäre geschürt hat.
Viberoffers end-to-end encryption like WhatsApp but exhibits the same evil behavior in terms of privacy.bietet ähnlich wie WhatsApp zwar Ende-zu-Ende-Verschlüsselung, aber verhält sich in Sachen Datenschutz offenbar genauso übel.
It should be noted that an app cannot be more secure than the operating system and hardware it runs on.
Both Android and iOS are not very secure, and Google, Apple, and governmental agencies tend to spy on users.
Linux would be more secure, but it is not very common and not smoothly usable on mobile platforms.
Furthermore, access to the device and the app must be controlled, where a convenient way is using a fingerprint.
The desktop apps of Signal and Telegram induce security risks due to (essentially) unprotected chat storage.
Zu berücksichtigen ist noch, dass eine App nie sicherer sein kann als das Betriebssystem und das Gerät, auf dem sie läuft.
Sowohl Android als auch iOS sind nicht besonders sicher, und Google, Apple und Behörden neigen dazu, Nutzer auszuspionieren.
Linux wäre sicherer, aber ist für Mobilgeräte wenig verbreitet und nicht sehr bequem zu nutzen.
Außerdem muss der Zugriff auf das Gerät und die App gesichert werden, am Bequemsten durch einen Fingerabdruck.
Die Desktop-Varianten von Signal und Telegram stellen ein Sicherheitsrisiko dar,
weil sie die Chat-Inhalte (im Wesentlichen) ungesichert speichern.
In some countries, access to certain messenger services gets blocked for political reasons.
This may be circumvented by connecting indirectly: via so-called proxies, Virtual Private Networks (VPN),
or by tunneling over other connections.
More information on connecting a Telegram app through a proxy can be found, e.g.,
here.
Aus politischen Gründen wird in manchen Ländern die Nutzung gewisser Dienste blockiert.
Um dies zu umgehen, kann man die Verbindung indirekt aufbauen,
über sog. Proxies, Virtual Private Networks (VPN) oder durch Tunneln über andere Kanäle.
Für Telegram ist eine einfache Proxy-Lösung z.B. hier beschrieben.
![[Valid HTML5]](../../pic/html5.png){kind=small}
URL: https://David.von-Oheimb.de/perlen/IM/index.html,
Last modified: Wed Aug 30 07:49:09 CEST 2023