Hoccer XO

Die Berliner Firma Hoccer ist eigentlich für eine App bekannt, mit der sich Dateien mit Gesten zwischen mehreren Geräten teilen lassen. Mit Hoccer XO hat sie aber auch eine Messaging-App mit Ende-zu-Ende-Verschlüsselung im Angebot.

1. Hoccer XO gibt es für iOS und seit dem Erscheinungstag dieses Artikels auch als Vollversion für Android.

2. Die Einrichtung und Bedienung ist erfreulich simpel gehalten: Zur Registrierung reicht ein beliebiger Name. Die App greift nicht auf das Adressbuch zu. Neue Kontakte müssen stattdessen per Einladung über SMS, Mail oder über einen Code hinzugefügt werden. Der Code ist drei Tage lang gültig und kann vorgelesen oder eingescannt werden. Danach muss ein neuer Code generiert werden. Auch ein Abgleich des digitalen Fingerabdrucks zur Verifizierung eines Kontakts ist möglich.

Hoccer XO © Hoccer

Das Versenden von Nachrichten und Anhängen sowie die Einrichtung von Gruppen funktioniert problemlos, überflüssigen Schnickschnack gibt es nicht.

3. Drei Sicherheitsebenen bietet Hoccer XO nach Angaben der Entwickler: Erstens speichern sie außer der Nutzer-ID keine Daten dauerhaft. Zugestellte Nachrichten werden von den in Deutschland aufgestellten Servern gelöscht, wie es das Datenschutzgesetz vorsehe. Zweitens findet der Transport der Nachrichten über eine per SSL/TLS verschlüsselte Verbindung statt. Dabei setzt Hoccer auf sogenannte pinned certificates, um gewisse SSL-Schwachstellen zu umgehen. Und drittens sind die Nachrichten immer Ende-zu-Ende-verschlüsselt, sodass nur Sender und Empfänger sie lesen können. Welche Verschlüsselungstechnik Hoccer einsetzt, steht in der sehr verständlich formulierten Datenschutz- und Sicherheitserklärung. Dort heißt es: "Auch wenn neueste Erkenntnisse zeigen, dass es einige wenige Schwachstellen in der RSA und AES Verschlüsselung gibt, ist eine erfolgreiche Attacke auf Hoccer XO und dessen Inhalte sehr unwahrscheinlich und extrem aufwändig. Selbst mächtige Autoritäten, wie z.B. Vollzugsbehörden, Militär oder andere autorisierte Behörden, mit der Fähigkeit den Internetverkehr zu manipulieren, können höchstwahrscheinlich keinen Zugriff auf deine Nachrichten erhalten."

4. In der komplett in Englisch gehaltenen Android-App (eine deutsche Version soll Ende März fertig sein) finden Nutzer unter "Licenses" zwar den Hinweis, Hoccer XO sei mit "Open Source und Free Software" gebaut. Aufgelistet wird dabei auch eine Open-Source-Bibliothek namens Bouncy Castle, eine Art Baukasten mit Kryptografie-Schnittstelle. Nicht alles hat Hoccer also selbst entwickelt. Aber in der Datenschutz- und Sicherheitserklärung bezeichnen die Entwickler die App als Closed Source. Das bedeutet, der Quellcode liegt nicht offen und kann nicht von unabhängiger Seite überprüft werden. Die Entwickler schreiben: "Warum solltest du uns vertrauen? Wie kannst du dir sicher sein, dass es keine Hintertüren in unserem System gibt und wir deine Nachrichten nicht direkt in eine staatliche Datenbank weiterleiten? Ehrlich gesagt kannst du dir da nie sicher sein. Bis zu einem gewissen Punkt musst du uns einfach vertrauen."