Die Suche nach der perfekten Messaging-App, nach der gelungenen Mischung aus Sicherheit und Bequemlichkeit geht weiter. Im ersten Teil unseres Vergleichs der WhatsApp-Alternativen haben wir Threema, surespot, Telegram und ChatSecure getestet. 

Das Ergebnis: ChatSecure ist eher nichts für Einsteiger und aufgrund des verwendeten XMPP-Protokolls generell nur bedingt für mobile Plattformen geeignet. Die russischen Entwickler von Telegram melden seit der angekündigten Übernahme von WhatsApp durch Facebook enorm gestiegene Nutzerzahlen, stehen aber wegen der von ihnen eingesetzten Verschlüsselungstechnik und ihrer Außendarstellung nach wie vor in der Kritik. Threema bleibt Vertrauenssache, weil der Schweizer Entwickler Manuel Kasper nicht vorhat, den gesamten Quellcode der App zu veröffentlichen. Und surespot ist im Vergleich zu Threema und Telegram ein wenig zu spartanisch.

Nun stellen wir TextSecure, myENIGMA, Hoccer XO und Cryptocat gegenüber. Keine davon kann bei den Nutzerzahlen auch nur ansatzweise mit WhatsApp oder Line mithalten. Aber darum geht es hier nicht. Unsere Kriterien lauten auch dieses Mal:

1. Funktioniert die App plattformübergreifend, also mindestens auf iOS und Android (zusammen 94 Prozent Marktanteil) – und im allerbesten Fall auch noch auf anderen mobilen Betriebssystemen und auf dem Desktop?

2. Ist sie so einfach zu bedienen wie WhatsApp?

3. Ist der eingesetzte Verschlüsselungsstandard anerkannt sicher?

4. Handelt es sich um Open-Source-Software, die von Dritten überprüft werden kann, oder wurde sie zumindest in Audits überprüft?

TextSecure

Hinter TextSecure steht ein Team um den Hacker Moxie Marlinspike. Der hat unter Sicherheitsexperten einen exzellenten Ruf, und dass die US-Behörden ihn bei Flugreisen regelmäßig drangsalieren, ist durchaus als Auszeichnung verstehen. Sein Unternehmen WhisperSystems, das TextSecure und die App RedPhone für verschlüsseltes Telefonieren entwickelte, wurde Ende 2011 von Twitter gekauft. Die beiden kostenlosen Apps werden aber im Projekt Open WhisperSystems als Open-Source-Software weiterentwickelt, ohne dass Twitter darauf Einfluss nimmt. Zu den Testkriterien:

1. Bislang gibt es TextSecure nur für Android und den Android-Abkömmling CyanogenMod. Eine iOS- und eine Desktop-Version sind aber in Arbeit. TextSecure für Android wurde gerade erst runderneuert. Bislang war es eine App für verschlüsselte SMS, nun ist es auch eine echte Instant-Messaging-Anwendung.

2. Die Einrichtung von TextSecure ist nicht ganz trivial, weil sie so viele Schritte voraussetzt. Bei der ersten Anmeldung werden Nutzer gebeten, eine Passphrase auszuwählen. Damit werden später alle TextSecure-Nachrichten im Smartphone-Speicher verschlüsselt, damit sie auch dann geschützt sind, wenn das Gerät gestohlen wird.

Außerdem fragt die App, ob sie die Datenverbindung zum Nachrichtenversand benutzen soll – was für eine Messaging-App ja selbstverständlich sein sollte. An dieser Stelle müssen Nutzer ihre Handynummer eingeben. Wer das nicht tut, kann über TextSecure nur  SMS versenden, und zwar verschlüsselte wie auch unverschlüsselte. Die Messaging-Funktion mit Internetverbindung aber benötigt die Handynummer.

Bei der anschließenden Überprüfung der eingegebenen Handynummer erscheint der wenig hilfreiche Hinweis, dass "einige Kontaktinformationen vorübergehend an den Server" übertragen werden. Und schließlich fragt die App noch, ob sie die neue Standard-SMS-App auf dem Smartphone sein soll.

Nicht klar wird, ob TextSecure das Adressbuch automatisch ausliest. Es erscheint nur der Hinweis zur vorübergehenden Übertragung von Kontaktinformationen. Marlinspike hat einen Blogeintrag zu dem Thema veröffentlicht, der zusammengefasst besagt: Adressbuchdaten werden an TextSecure übertragen, damit Nutzer sehen können, welche ihrer Kontakte die App ebenfalls benutzen. Der Server speichert die Daten aber nicht dauerhaft. Alle Möglichkeiten, die Übertragung der Telefonnummern zu umgehen, seien entweder nicht praktikabel oder schlicht nicht sicher genug. Die Opt-out-Option, um die Übertragung der Daten zu verhindern, die er im Blogeintrag erwähnt, gibt es in der App allerdings nicht. Hier sollte TextSecure noch deutlicher machen, was wann passiert und ob man es als Nutzer verhindern kann.

Eine Alternative zum Adressbuchabgleich ist nämlich durchaus vorgesehen: Wenn sich Nutzer persönlich begegnen, können sie ihre TextSecure-Schlüssel gegenseitig einscannen und damit verifizieren – ähnlich wie bei Threema. Die Telefonnummer ihres Gegenübers brauchen sie dazu nicht. Aber es gibt eben keine Möglichkeit, den – wenn auch vorübergehenden – Upload des eigenen Adressbuchs zu verhindern.

Nach der Ersteinrichtung wird es übersichtlicher. Über das Plus-Zeichen in der oberen Leiste gelangt man zu den eigenen Kontakten. Wer von denen TextSecure ebenfalls installiert hat, ist grün markiert. Zwischen TextSecure-Nutzern findet der Austausch von Nachrichten automatisch verschlüsselt statt, erkennbar an der blauen Hintergrundfarbe und am kleinen Schloss im Textfeld.

Wenn man gerade keine Internetverbindung hat, lassen sich über TextSeure auch SMS verschicken. An Kontakte, die TextSecure nicht installiert haben, kann man natürlich nur unverschlüsselte SMS senden. Die sind grün unterlegt und das Schloss-Symbol fehlt. Haben Sender und Empfänger die App jedoch installiert und ihre Schlüssel ausgetauscht, können sie auch verschlüsselte SMS verschicken. 

Die SMS-Fallback-Option lässt sich in den Einstellungen auch deaktivieren. Das ist sinnvoll, wenn man vermeiden möchte, in einer Situation ohne Internetverbindung versehentlich SMS zu versenden, die Geld kosten, wenn man keine SMS-Flatrate hat.

Über TextSecure versendete Anhänge wie Bilder, Videos und Audiodateien werden ebenfalls verschlüsselt. Und wer's braucht: Es gibt eine große Auswahl an Smileys und Symbolen. In unserem Test hat die App problemlos funktioniert. Andere Tester berichten aber von leichten Problemen in Gruppenchats.

3. TextSecure verwendet eine eigene Verschlüsselungstechnik auf Basis von OTR (Off-the-record-Messaging), die unter anderem Ende-zu-Ende-Verschlüsselung und Forward Secrecy ermöglicht. Das bedeutet, nur Sender und Empfänger können eine Nachricht lesen, niemand sonst, auch wenn er die Nachricht abfängt. Und jeder Chat wird mit einem neuen Schlüssel verschlüsselt, weshalb Angreifer alte Chats auch dann nicht lesen könnten, wenn sie in den Besitz des aktuellen Schlüssels kämen.

Ist TextSecure in Sachen Sicherheit also state of the art, wie Moxie Marlinspike behauptet? Er selbst teilt auf Anfrage mit, TextSecure habe zwei Gutachten bezahlt, der Code sei sehr genau überprüft worden und die Zahl der aktiven Entwickler und Zuträger sei auch nach Veröffentlichung der App noch "ziemlich groß". Weil Marlinspike ein angesehener Experte ist, darf man wohl annehmen, dass er nicht übertreibt und dass die Verschlüsselung von TextSecure sehr gut ist. Das Gegenteil wäre zu beweisen.

4. TextSecure ist ein Open-Source-Projekt. Der Quellcode wurde bei github.com veröffentlicht.

myENIGMA: Noch ein Messenger aus der Schweiz, aber weniger durchdacht als Threema

myENIGMA

Wie Threema kommt auch myENIGMA aus Zürich. Entwickelt wurde die kostenlose App vom Unternehmen Qnective, das sich nach eigenen Angaben auf "Dienstleistungen im Bereich Kommunikationssicherheit" spezialisiert hat. So hat Qnective zum Beispiel eine Technik für verschlüsseltes Telefonieren entwickelt.

1. myENIGMA gibt es für iOS, Android und Blackberry.

2. Nach der Installation empfiehlt myENIGMA, die EULA zu lesen – den Endbenutzer-Lizenzvertrag. Wer das tut, weiß anschließend, das der Anbieter die Telefonnummer und die E-Mail-Adresse der Nutzer speichert und die Telefonnummern (nicht die Namen) aus dem Adressbuch gehasht sowie über eine verschlüsselte Verbindung an die eigenen Server übertragen werden. Damit kann myENIGMA feststellen, wer von den Kontakten eines Nutzers die App ebenfalls verwendet.

Zur Registrierung sind die eigene Handynummer und eine E-Mail-Adresse nötig. An die Handynummer wird ein SMS-Code zur Aktivierung geschickt. Die App fragt anschließend, ob sie auf das Adressbuch zugreifen darf. Wer das ablehnt, kann unter "Status" Freunde per SMS, Mail, Facebook oder Twitter einladen. Wer es erlaubt, bekommt auf Wunsch angezeigt, welche der eigenen Kontakte die App ebenfalls installiert haben – und wer von denen gerade angemeldet ist.

Die Benutzeroberfläche ist sehr dunkel und vergleichsweise aufwendig gestaltet. Der Austausch von Nachrichten und Anhängen wie Bildern oder Dateien sowie das Einrichten von Gruppen ist selbsterklärend.

Wer gerade keine Internetverbindung hat, kann mit myENIGMA auch verschlüsselte SMS über das Mobilfunknetz versenden. Wenn man sich im SMS-Modus befindet, wird dies im Chat selbst angezeigt. Den Modus gibt es aber nur für Android- und Blackberry-Nutzer.

Eine Verifikationsmöglichkeit von Kontakten über den Schlüssel-Fingerabdruck wie bei Threema gibt es nicht, und auch keine PIN-Sperre für die App. Man kann sich zwar ausloggen und dann bei jedem neuen Aufruf der App wieder mit seinem Passwort einloggen. Aber wer ausgeloggt ist, bekommt keine Mitteilungen über neue Nachrichten.

3. Qnective hat ein Whitepaper veröffentlicht, in dem die eingesetzte Verschlüsselungstechnik beschrieben wird. Demnach ist jeder Chat mit AES-256 Ende-zu-Ende-verschlüsselt. Die privaten Schlüssel verlassen das Smartphone nie, auch Qnective kann also keine Nachricht mitlesen. Zusätzlich erfolgt der Transport der Nachrichten über eine verschlüsselte Verbindung. Die Schlüssel der Nutzer werden immerhin alle 3,5 Tage erneuert, was ein rückwirkendes Entziffern der meisten älteren Nachrichten verhindern soll, falls ein Schlüssel und die Nachrichten selbst in falsche Hände geraten.

4. myENIGMA ist eine Closed-Source-Anwendung, ein Einblick in den Quellcode und damit eine unabhängige Überprüfung ist also nicht möglich. Eine Unternehmenssprecherin teilt auf Anfrage mit: "Die User müssen unserer Expertise vertrauen. Verschlüsselung ist unser Kerngeschäft. Unsere B2B Lösung Qtalk Secure wird von Regierungen und Großunternehmen auf der ganzen Welt zur abhörsicheren Kommunikation eingesetzt." Im Whitepaper heißt es, selbst ein veröffentlichter Quellcode sei keine Garantie, dass er auch in der App verwendet werde. Für einige Sicherheitsfeatures von myENIGMA habe man Patente angemeldet, sie sollten deshalb geschützt werden.

Hoccer XO: Nicht quelloffen, aber vorbildliche Erklärungen für die Nutzer

Hoccer XO

Die Berliner Firma Hoccer ist eigentlich für eine App bekannt, mit der sich Dateien mit Gesten zwischen mehreren Geräten teilen lassen. Mit Hoccer XO hat sie aber auch eine Messaging-App mit Ende-zu-Ende-Verschlüsselung im Angebot.

1. Hoccer XO gibt es für iOS und seit dem Erscheinungstag dieses Artikels auch als Vollversion für Android.

2. Die Einrichtung und Bedienung ist erfreulich simpel gehalten: Zur Registrierung reicht ein beliebiger Name. Die App greift nicht auf das Adressbuch zu. Neue Kontakte müssen stattdessen per Einladung über SMS, Mail oder über einen Code hinzugefügt werden. Der Code ist drei Tage lang gültig und kann vorgelesen oder eingescannt werden. Danach muss ein neuer Code generiert werden. Auch ein Abgleich des digitalen Fingerabdrucks zur Verifizierung eines Kontakts ist möglich.

Hoccer XO © Hoccer

Das Versenden von Nachrichten und Anhängen sowie die Einrichtung von Gruppen funktioniert problemlos, überflüssigen Schnickschnack gibt es nicht.

3. Drei Sicherheitsebenen bietet Hoccer XO nach Angaben der Entwickler: Erstens speichern sie außer der Nutzer-ID keine Daten dauerhaft. Zugestellte Nachrichten werden von den in Deutschland aufgestellten Servern gelöscht, wie es das Datenschutzgesetz vorsehe. Zweitens findet der Transport der Nachrichten über eine per SSL/TLS verschlüsselte Verbindung statt. Dabei setzt Hoccer auf sogenannte pinned certificates, um gewisse SSL-Schwachstellen zu umgehen. Und drittens sind die Nachrichten immer Ende-zu-Ende-verschlüsselt, sodass nur Sender und Empfänger sie lesen können. Welche Verschlüsselungstechnik Hoccer einsetzt, steht in der sehr verständlich formulierten Datenschutz- und Sicherheitserklärung. Dort heißt es: "Auch wenn neueste Erkenntnisse zeigen, dass es einige wenige Schwachstellen in der RSA und AES Verschlüsselung gibt, ist eine erfolgreiche Attacke auf Hoccer XO und dessen Inhalte sehr unwahrscheinlich und extrem aufwändig. Selbst mächtige Autoritäten, wie z.B. Vollzugsbehörden, Militär oder andere autorisierte Behörden, mit der Fähigkeit den Internetverkehr zu manipulieren, können höchstwahrscheinlich keinen Zugriff auf deine Nachrichten erhalten."

4. In der komplett in Englisch gehaltenen Android-App (eine deutsche Version soll Ende März fertig sein) finden Nutzer unter "Licenses" zwar den Hinweis, Hoccer XO sei mit "Open Source und Free Software" gebaut. Aufgelistet wird dabei auch eine Open-Source-Bibliothek namens Bouncy Castle, eine Art Baukasten mit Kryptografie-Schnittstelle. Nicht alles hat Hoccer also selbst entwickelt. Aber in der Datenschutz- und Sicherheitserklärung bezeichnen die Entwickler die App als Closed Source. Das bedeutet, der Quellcode liegt nicht offen und kann nicht von unabhängiger Seite überprüft werden. Die Entwickler schreiben: "Warum solltest du uns vertrauen? Wie kannst du dir sicher sein, dass es keine Hintertüren in unserem System gibt und wir deine Nachrichten nicht direkt in eine staatliche Datenbank weiterleiten? Ehrlich gesagt kannst du dir da nie sicher sein. Bis zu einem gewissen Punkt musst du uns einfach vertrauen."

Cryptocat: Nur für spezielle Fälle, aber in Sachen Transparenz vorbildlich

Cryptocat

Als Desktop-Applikation gibt es Cryptocat schon seit fast drei Jahren. Ein erster Versuch, eine iOS-App zu veröffentlichen, scheiterte an Apple. Über die Gründe darf Entwickler Nadim Kobeissi aufgrund einer Verschwiegenheitsklausel nicht sprechen. Sein zweiter Anlauf war aber erfolgreich. Seit Anfang März gibt es Cryptocat auch fürs iPhone.


1. Plattformübergreifend funktioniert Cryptocat also bisher bedingt – vom iPhone zum Desktop und umgekehrt. Kobeissi entwickelt derzeit eine Android-Version der App.

2. Der libanesisch-stämmige Entwickler hat immer wieder erklärt, Sicherheit mit leichter Bedienbarkeit verbinden zu wollen. Seine kostenlose iOS-App ist deshalb extrem simpel aufgebaut. Nutzer wählen einen möglichst einzigartigen Namen für jeden einzelnen Chat und einen für sich selbst. Über den Namen des Chats können sich andere Nutzer einklinken. Fertig. Kleiner Gag am Rande: Ein :) wird in Cryptocat als lächelnde Katze dargestellt.

Allerdings unterscheidet sich Cryptocat von den anderen Messaging-Apps in seiner Grundfunktion: Eine Registrierung ist nicht nötig, ein ausgedachter Name reicht. Dafür ist jeder Chat eine einmalige Angelegenheit. Es ist nicht möglich, ihn zum Beispiel am nächsten Tag fortzusetzen. Weder wird ein Chatverlauf gespeichert, noch gibt es eine Freundesliste. Die Verabredung zu einem Chat muss also über einen anderen, im besten Fall ebenfalls verschlüsselten Kanal erfolgen.

Manch einer mag diese Flüchtigkeit der Chats auch angenehm finden. Der Erfolg von Apps mit selbstzerstörenden Nachrichten wie Snapchat zeigt das. Andere werden es schlicht für unpraktisch halten, vorher per Telefon oder E-Mail einen Chat zu verabreden. Deutlich unpraktischer jedenfalls, als in irgendeiner anderen Messaging-App eine Unterhaltung zu starten.

Die Verschlüsselung immerhin geschieht komplett im Hintergrund, Nutzer müssen sich damit nicht auseinandersetzen. Wer Kontakte im Cryptocat-Chat verifizieren will, kann zudem digitale Fingerabdrücke vergleichen. Im Menüpunkt "Me" werden der Fingerabdruck des Chats sowie der eigene angezeigt. Wer einen aktuellen Gesprächspartner anklickt, bekommt dessen Fingerabdruck angezeigt. Das hat im Test aber nicht immer funktioniert. Nutzer können sich den eigenen Fingerabdruck vom jeweils anderen Teilnehmer zum Beispiel am Telefon vorlesen lassen, um sicherzugehen, dass sie gerade mit der richtigen Person chatten.

3. Cryptocat hat in Sicherheitsfragen eine wechselhafte Geschichte hinter sich. Eine frühe Version wurde von Sicherheitsexperten kritisiert, woraufhin Kobeissi die App komplett umbaute. In zwei Gutachten wurden der Desktop-App daraufhin gute Zeugnisse ausgestellt. Aber im Sommer 2013 kam heraus, dass Kobeissi und seine Mitentwickler schwere Fehler bei der Umsetzung der Verschlüsselung gemacht hatten. Wer Cryptocat zwischen September 2012 und April 2013 für Gruppenchats genutzt habe, müsse diese als kompromittiert betrachten, schrieb der Sicherheitsforscher Steve Thomas. Sie hätten theoretisch von Außenstehenden mitgelesen werden können. Kobeissi reagierte mit einem Schuldeingeständnis und dem Versprechen, es besser zu machen. Bevor er die iOS-App veröffentlichte, rief er zum Code-Review auf.


4. Der Quellcode von Cryptocat ist dementsprechend offen einsehbar. Kobeissi hat zudem eine Liste von bekannten Fehlern und Verbesserungsvorschlägen auf github.com veröffentlicht und ein Belohnungsprogramm für jene initiiert, die neue Bugs im Code finden. Das alles schließt nicht aus, dass irgendwo im Code noch Fehler lauern, in Sachen Transparenz bemüht sich Kobeissi aber vorbildlich.

Fazit: Ohne Kompromiss geht es (noch) nicht

Fazit

TextSecure hat drei Nachteile: Erstens ist die langwierige Einrichtung eine vergleichsweise hohe Einstiegshürde. Zweitens müssen die Macher noch besser erklären, was sie mit den Adressbuchdaten der Nutzer machen. Und drittens fehlt eine iOS-Version, was sich aber bald ändern soll. Was den reinen Austausch von Nachrichten angeht, kommt TextSecure dem Ideal einer gleichermaßen sicheren wie simplen Messaging-App sehr nahe.

Cryptocat, die andere Open-Source-App in diesem Vergleich, ist zu speziell, um eine ernsthafte Alternative zu einer Anwendung wie WhatsApp zu sein. Das liegt daran, dass es einen zweiten Kanal braucht, um sich zu einem Chat in Cryptocat zu verabreden.

myENIGMA erinnert in mehrfacher Hinsicht an Threema, nicht nur, weil beide aus der Schweiz kommen. In Details wirkt Threema allerdings etwas durchdachter. Wer myENIGMA nutzen will, muss zudem dem dahinter stehenden Unternehmen Qnective vertrauen.

Hoccer XO, der deutsche Vertreter in diesem Vergleich, ist ebenfalls keine Open-Source-Software. Dafür sieht zumindest die iOS-Version gut aus (an der Android-Variante wird offenbar noch gefeilt) und die Entwickler geben sich große Mühe, ihr Konzept verständlich zu erklären und den Nutzern klarzumachen, an welchem Punkt und warum sie ihnen vertrauen sollten.

Nicht berücksichtigt haben wir in unserem Vergleich den Blackberry Messenger (BBM). Der ist zwar für Blackberry, iOS, Android und wahrscheinlich ab Sommer 2014 auch für Windows Phone kostenlos erhältlich. Aber die Stiftung Warentest hat die App gerade als "sehr kritisch" eingestuft, weil sie einige Nutzerdaten unter Umständen unverschlüsselt versendet und weil sich in den Allgemeinen Geschäftsbedingungen "problematische" Klauseln befinden. Wie die Verschlüsselung der Closed-Source-App funktioniert, konnten die Tester natürlich auch nicht feststellen.

Bis auf Weiteres bleibt es dabei, dass Smartphone-Nutzer bei der Wahl einer sicheren Messaging-App immer Kompromisse eingehen müssen.