Apps für iOS, Android, Mac OS und Windows

So unsicher sind Messenger

20.02.2015
Von  und Sebastian Wolters
Christian Vilsbeck war viele Jahre lang als Senior Editor bei TecChannel tätig. Der Dipl.-Ing. (FH) der Elektrotechnik, Fachrichtung Mikroelektronik, blickt auf langjährige Erfahrungen im Umgang mit Mikroprozessoren zurück.
Egal ob Smartphone, Tablet, Notebook oder PC: Messenger zählen im privaten und beruflichen Umfeld zu den beliebtesten Apps. Bei der Verschlüsselung und dem Datenschutz gibt es aber teilweise erhebliche Mängel.

Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen (Apps) spezialisiert hat, überprüfte die Sicherheit beliebter Messenger-Apps. Die Messenger werden anhand verschiedener Aspekte miteinander verglichen. Hierzu zählen die Sicherheit der Verschlüsselung, plattformübergreifende Kompatibilität, Eignung im Unternehmensumfeld sowie die AGB und Datenschutzerklärung der jeweiligen Anbieter.

Bedenklicher Datenverkehr: Wie mediaTest zeigt, überträgt der BlackBerry Messenger für iOS einige Daten unverschlüsselt.
Bedenklicher Datenverkehr: Wie mediaTest zeigt, überträgt der BlackBerry Messenger für iOS einige Daten unverschlüsselt.

Bei der Sicherheit der verschlüsselten Kommunikation ist ein wesentlicher Punkt die Schlüsselverifizierung. Wird diese durchgeführt, so kann man sichergehen, dass keine Man-in-the-Middle-Attacke möglich ist. Diese Funktion ist für wirklich sichere Clients unumgänglich. Die Schlüsselverifizierung wird bisher nur bei zwei der überprüften Lösungen - Threema und Blackberry Messenger - angeboten.

Eine Schlüsselverifizierung ist nur möglich, wenn die Schlüssel der Kontakte konstant bleiben. Wird der AES-Schlüssel einer Unterhaltung über Diffie-Hellman ausgehandelt, anstatt ihn den anderen Partnern über RSA zu übergeben, so kann der Server sehr einfach permanent Man-in-the-Middle-Angriffe durchführen. Dies wäre möglich, da diese Schlüssel ephemer und somit nicht verifizierbar sind.

Das in der nachfolgenden Tabelle aufgeführte Messenger-Feature des dezentralen Logins bedeutet schlicht und ergreifend, dass man von mehreren Geräten auf denselben Account gleichzeitig zugreifen kann. Manche Clients generieren für jedes Gerät einen neuen Account, selbst wenn die Parameter gleich sind. Andere Clients erlauben zwar, auf einen alten Account zuzugreifen, deaktivieren jedoch den Zugriff für alle anderen Geräte, die früher Zugang hatten. (cvi)

In der Tabelle finden Sie die Messenger mit ihren Verschlüsselungsmethoden und Login-Möglichkeiten im Vergleich:

Verschlüsselte Messenger im Vergleich

Messenger

Verschlüsselung

Schlüssel-Verifizierung

Dezentraler Login

Anmerkungen

Blackberry Messenger

Ende-zu-Ende

Ja

unklar

Chiffry (Android)

Ende-zu-Ende

keine

unklar

Criptext (iOS, Android)

Ende-zu-Ende

unklar

Ja

Criptext muss kontaktiert werden, um Logindaten zu kriegen. Firmen können eigene Server hosten. Option selbstzerstörender E-Mails möglich.

Cryptocat (Mac OS, iOS, Browser-Plugins)

by default keine, optional Ende-zu-Ende

keine

nein

Hoccer XO (iOS, Android)

Ende-zu-Ende

keine

nein

iMessage (Mac OS, iOS)

Ende-zu-Ende

keine

Ja

myEnigma (iOS, Android, Blackberry)

Ende-zu-Ende

keine

nein

Skype (Mac OS, Windows, iOS, Android)

Client->Server

keine

Ja

es wurde gezeigt, dass sämtliche über Skype versandten HTTPS-Links einige Zeit später von Microsoft-Servern aufgerufen werden, d.h. Sicherheit wird von Skype nicht ernst genommen.

surespot (iOS, Android)

Ende-zu-Ende

keine

ja, aber eingeschränkte Nutzbarkeit: Identitäten müssen mit eigengewähltem Kennwort verschlüsselt entweder über iTunes File Sharing oder über Google Drive von einem Gerät aufs andere übertragen werden.

TeamWire (iOS)

Ende-zu-Ende

keine

unklar

Telegram (iOS, Android)

standardmäßig keine, optional "Perfect Forward Secrecy"

keine, insbesonder da wegen PFS nicht möglich

ja, aber eingeschränkte Nutzbarkeit: bei verschlüsselten Chats Unterhaltung nur mit einem Partner möglich, Empfang nur auf einem Gerät, selbst wenn mit mehreren eingeloggt.

Threema (iOS, Android)

Ende-zu-Ende

Ja

nein

whistle.im (Web)

Ende-zu-Ende

keine

Ja

Wickr (iOS, Android)

Ende-zu-Ende

keine, insb. da wegen PFS nicht möglich

ja, aber eingeschränkte Nutzbarkeit: Von einem Gerät abgeschickte Nachrichten können nicht auf anderen Geräten abgelesen werden. Multiple Geräte sind theoretisch möglich, aber Nachrichten werden nur an einem Gerät empfangen.

Zur Startseite