IT-Security

Messenger-Test 2021: WhatsApp vs. Threema

19. Oktober 2021 von Admin PSW GROUP Blog WP

messenger-test-2021
© canva - canva.com

5
(6)

Nachdem wir unseren beliebten Messenger-Test bereits vor einigen Wochen angekündigt hatten, geht es heute ans Eingemachte: Wir testen WhatsApp und Threema. In unserem letzten Test im Jahre 2016 hatte sich WhatsApp zwar weiterentwickeln können, war jedoch noch lange kein sicherer Messenger. Threema konnte uns seinerzeit überzeugen: Die Funktionalität war nicht überbordend, aber stimmig, und der Schweizer Messenger punktete mit Datenschutz und Sicherheit. Zu kritisieren blieb, dass der Quellcode von Threema nicht veröffentlicht wurde. Seither hat sich einiges getan – und dies schauen wir uns im heutigen ersten Messenger-Test von WhatsApp und Threema an.

Messenger-Test 2021: WhatsApp im Test

WhatsApp möchte für alle da sein, also gibt’s den Messenger für Android und iOS, aber auch für Windows und macOS. Mit WhatsApp Web steht zudem eine browserbasierte Version bereit, sodass WhatsApp-Nutzende frei vom Betriebssystem agieren können. Sämtliche Versionen lassen sich kostenfrei nutzen. Die Installation ist – wie bei allen modernen Messengern – kinderleicht: Man gehe in den jeweiligen App-Store, suche sich die richtige App und folge nach einem Klick auf „Installieren“ den Anweisungen.

Kontakte und Berechtigungen

Es lohnt sich, vor einer App-Installation auf die Berechtigungen zu schauen, die die Apps einfordern. Wenngleich Berechtigungen in den Betriebssystemen deaktiviert werden können, ist ein Blick auf sie lohnend, da die Zugriffsberechtigungen, die eine App verlangt, auch passen müssen. WhatsApp möchte sehr umfangreiche Berechtigungen (Test unter Android):

  • Kamera: Bilder & Videos aufnehmen
  • Kontakte:
    • Kontakte lesen
    • Konten auf dem Gerät suchen
    • Kontakte ändern
  • Standort:
    • Nur bei Ausführung im Vordergrund auf den ungefähren Standort zugreifen
    • Nur bei Ausführung im Vordergrund auf den genauen Standort zugreifen
  • Mikrofon: Audio aufnehmen
  • Anrufliste: Anrufliste lesen
  • Telefon:
    • Telefonnummern direkt anrufen
    • Telefonstatus und Identität abrufen
  • SMS: SMS empfangen, senden und abrufen
  • Speicher:
    • Inhalte des freigegebenen Speichers ändern oder löschen
    • Inhalte des freigegebenen Speichers lesen
  • Sonstiges:
    • Telefonnummern vorlesen
    • Ruhezustand deaktivieren
    • WLAN-Verbindungen abrufen
    • Internetdaten erhalten
    • Dauerhaften Broadcast senden
    • Synchronisierungsstatistiken lesen
    • WLAN-Verbindungen herstellen und trennen
    • Auf alle Netzwerke zugreifen
    • Aktive Apps aufrufen
    • Synchronisierungseinstellungen lesen
    • Vordergrunddienst ausführen
    • Nahfeldkommunikation steuern
    • Beim Start ausführen
    • Verknüpfungen deinstallieren
    • Anrufe über das System durchführen
    • Anzahl neuer Benachrichtigungen lesen
    • Netzwerkverbindungen abrufen
    • Fingerabdruckhardware verwenden
    • Verknüpfungen installieren
    • Google-Servicekonfiguration lesen
    • Vibrationsalarm steuern
    • Anrufe annehmen
    • Synchronisierung aktivieren oder deaktivieren
    • Biometrische Hardware verwenden
    • Netzwerkkonnektivität ändern
    • Audio-Einstellungen ändern
    • Kopplung mit Bluetooth-Geräten durchführen

Einige dieser Berechtigungen sind nachvollziehbar: das Aufnehmen von Bildern, Videos oder Audios etwa ist sinnvoll für Bild-, Video- oder Audio-Nachrichten. Der Zugriff auf das Telefonbuch hat sicher seinen Vorteil: Kontakte werden für Nutzende automatisch angezeigt, sodass kein nerviger Import notwendig ist. Der Nachteil dieses Vorgehens ist jedoch, dass WhatsApp die Telefonbücher von Nutzenden auf US-Server lädt, um hier abgleichen zu können, welche der Telefonnummern WhatsApp nutzt. Damit laden Nutzende also auch Telefonnummern von Kontakten auf US-Server, die sich vielleicht aus genau diesem Grund gegen WhatsApp entschieden haben. So ist auf der WhatsApp-Website zu lesen: „Dies [das Hochladen von Telefonnummern] gilt für deine Kontakte, die WhatsApp verwenden, und auch für deine anderen Kontakte.“ Sie haben also bei WhatsApp die Wahl aus Bequemlichkeit oder Datenschutz. Das Zulassen oder Ablehnen von Berechtigungen können Sie in den Android-Einstellungen vornehmen. Problematisch: WhatsApp ist eigentlich nur mit Freigabe der Kontaktliste sinnvoll nutzbar.

Haben Sie WhatsApp auf Ihrem Gerät installiert, erscheint beim ersten Start die Bitte, zur Datenschutzrichtlinie und den Nutzungsbedingungen zuzustimmen. Beide Dokumente sind via Klick erreichbar, dazu jedoch später mehr. Nach der Zustimmung geben Sie Ihre Telefonnummer ein und bestätigen damit, dass Sie mindestens 16 Jahre alt sind. In der Folge erhalten Sie einen Registrierungscode per SMS, den Sie dann eingeben können – damit ist die Verifizierung abgeschlossen. Nutzende werden jetzt gefragt, ob ein Backup auf Google Drive zu finden und wiederherzustellen sei. Ist die Frage nach dem Backup geklärt, geben Sie einen Nutzernamen an und fügen gegebenenfalls ein Profilfoto hinzu – und schon können Sie loslegen.

Usability von WhatsApp

Eine intuitive und leichte Bedienung: Das war schon immer die Stärke von WhatsApp. Die Bedienung ist so leicht, dass auch weniger versierte Nutzende spielend mit dem Messenger zurechtkommen. Auch die Funktionalität kann sich sehen lassen:

  • Text- und Sprachnachrichten
  • Gruppenchats mit bis zu 256 Teilnehmenden
  • Sprach- und Videoanrufe
  • Foto- und Videoversand
  • Dokumentenversand mit bis zu 100 MB
  • Backup-Funktion lokal oder Cloud

Insgesamt arbeitet WhatsApp auch sehr zuverlässig. Anfang Oktober kam es zu einem Ausfall aller Facebook-Dienste – und damit auch zu einem WhatsApp-Ausfall – jedoch sind derlei Fälle eher die Ausnahme. Bis auf kleinere Ausnahmen, in denen etwa die Bildqualität versendeter und komprimierter Bilder bemängelt wird, spiegelt sich dieser zuverlässige Eindruck auch in den App Store-Bewertungen wider.

Die Sicherheit von WhatsApp

Die Nachrichten, die auf WhatsApp versendet werden, sind Ende-zu-Ende-verschlüsselt. Das trifft auf alle Arten von Nachrichten zu und schließt auch den Versand von Fotos, Videos oder Dokumenten mit ein. Für das Verschlüsseln müssen auch Nutzende nicht tätig werden: Alles geschieht automatisch. Ende-zu-Ende-verschlüsselte Nachrichten landen nicht auf den Servern von WhatsApp, sondern verbleiben lokal auf dem Gerät. Zum Verschlüsseln bedienten sich die WhatsApp-Macher am Signal-Protokoll (ehemals Axolotl-Protokoll).

Die Ende-zu-Ende-Verschlüsselung dient dazu, Nachrichten vor Zugriffen durch unbefugte Dritte zu schützen. Das trifft jedoch ausschließlich die Nachrichten, nicht die Metadaten – also wann Sie mit wem kommuniziert haben. Der Absatz „Metadaten: Wer wann mit wem?“ aus unserem Testbericht von 2016 hat also leider immer noch Bestand. Das ist jedoch kein WhatsApp-Phänomen, sondern ein allgemeines Problem der modernen Kommunikation, welches nur wenige Anbieter lösen.

Quelloffen ist die App nicht, sie bedient sich proprietärer Bibliotheken. Der Sicherheit dienlich ist die Tatsache, dass Kontakte sich verifizieren lassen, etwa durch einen QR-Code-Scan. Dadurch können Sie sichergehen, dass Ihre Gesprächspartner:innen auch die sind, für die sie sich ausgeben. Eine weitere sinnvolle Sicherheitsfunktion bei WhatsApp sind Sicherheitshinweise. So gibt es etwa einen Hinweis, falls sich der Kontakt-Fingerprint ändert. Jedoch müssen Sie diese Sicherheitshinweise in den Einstellungen erst aktivieren.

WhatsApp lässt sich nur mit einer gültigen Telefonnummer nutzen. Diese Telefonnummer landet leider auch beim Mutterkonzern Facebook, die auch die entsprechenden Infrastrukturen hostet (s. Update im oben verlinkten Testbericht aus 2016). Leider existiert bei WhatsApp Intransparenz bezüglich der Finanzierung der für Nutzende kostenfreien Services: Es sind keine Erklärungen zu finden. Naheliegend wäre, dass der kostenfreie Messenger WhatsApp mit Dienstleistungen wie der Werbung auf Facebook oder anderen zu Facebook gehörenden Plattformen wie Instagram querfinanziert wird.

Dass Backups lokal oder in der Cloud möglich sind, ist der Sicherheit eigentlich zuträglich. Nach Einrichtung sind auch automatische Backups möglich. Allerdings greift die im Messenger implementierte Ende-zu-Ende-Verschlüsselung nicht bei Backups. Zudem landen die Backups bei Google Drive oder in Apples iCloud, und damit in den USA. Sinnvoller ist es, auf lokale Backups zu setzen und diese mit Verschlüsselung zu schützen. Bei einem erfolgreichen Ransomware-Angriff auf das Gerät, auf dem die Backups liegen, nützen diese jedoch wenig – mit einem Gesamtbackup des Geräts hingegen auf einem zweiten Gerät wäre auch dieses Risiko minimiert.

WhatsApp-Nutzende können in den Einstellungen die „Verifizierung in zwei Schritten“ aktivieren. Dadurch wird der WhatsApp-Account mit einer sechsstelligen PIN geschützt. Ebenfalls in den Account-Einstellungen lässt sich festlegen, welche Informationen andere über Nutzende sehen können. Auch den Live-Standort kann man hier deaktivieren. Es ist ratsam, die Bildschirmsperre zu nutzen, um WhatsApp zu sperren, wenn man nicht mehr aktiv ist. Idealerweise wird „Sofort“ eingeschaltet, aber auch andere Einstellungen sind möglich. Auch das zusätzliche Authentifizieren per Fingerabdruck ist möglich: In den Datenschutzeinstellungen über die Option „Fingerabdruck-Sperre“.

WhatsApp speichert Medien, die über den Messenger gesendet werden, standardmäßig in den Gerätespeicher. Das kann böse Überraschungen geben: Wie alle Dateien können auch Fotos oder Videos Malware enthalten. Empfangende einer Nachricht müssen den Malware-Befall nicht unbedingt sofort bemerken – sie versenden munter das Bild oder Video weiter, um ihre Kontakte zu erheitern. Es lohnt sich also, diese Funktion zu deaktivieren: In den WhatsApp-Einstellungen unter Speicher und Daten.

Mit selbstlöschenden Nachrichten hat WhatsApp einen Selbstzerstörungsmodus geschaffen, was dem Datenschutz und damit der Sicherheit dienlich sein kann. Wurde die Funktion in den Einstellungen aktiviert, werden Nachrichten nach sieben Tagen gelöscht. Wenngleich es Möglichkeiten gibt, diesen Modus zu umgehen, trägt er doch zur Sicherheit bei.

Insgesamt hat WhatsApp gute Ansätze: Die Ende-zu-Ende-Verschlüsselung nach Signal-Protokoll ist sinnvoll und dient der Sicherheit ungemein. Verschiedene Sicherheitseinstellungen können Nutzende gut schützen. Backups machen Sinn im Falle von Datenverlust. Doch irgendwie sind diese Ansätze nicht gut durchdacht: Das Verschlüsselungsprotokoll lässt sich aufgrund des nicht öffentlichen Quellcodes nicht prüfen. Die Sicherheitseinstellungen müssen Nutzende erst mal aktivieren – und bei weniger versierten oder datenschutzorientierten Nutzenden darf bezweifelt werden, ob dies geschieht. Und unverschlüsselte Backups in US-Clouds sind auch nur bedingt vertrauenswürdig. Damit vergeben wir für die Verschlüsselung zwei Sterne, für die weiteren Schutzmechanismen nur einen.

AGB & Datenschutzrichtlinie bei WhatsApp

Als WhatsApp Anfang des Jahres 2021 neue Datenschutzrichtlinien ankündigte, folgte ein riesiger Aufschrei – inklusive massiver Wechselwelle zu alternativen Messengern. Die Kritik daran, Daten auch mit Facebook zu teilen, war so massiv, dass Facebook die Einführung der neuen Richtlinie mehr als drei Monate nach hinten rückte. Die ARD fasst die Ereignisse in diesem Beitrag gut zusammen. Von der Kritik ist heute, einige Monate später, nicht viel geblieben: WhatsApp führte neue Datenschutzrichtlinien ein, jedoch treffen diese tatsächlich eher Nutzende in den USA, da europaweit die DSGVO eine weitere Datenteilung mit dem Mutterkonzern verhindert.

Die Nutzungsbedingungen sind gut auffindbar und in deutscher Sprache gehalten, sodass die Sprachbarrieren, die es bei unseren vorangegangenen Tests noch gab, heute nicht mehr existieren. Im Bereich „Über unsere Dienste“ beschreibt WhatsApp Ireland Limited allgemeine Grundsätze. Hier lesen wir mitunter: „Zum Betreiben unserer globalen Dienste müssen wir Inhalte und Informationen in unseren Rechenzentren und Systemen auf der ganzen Welt speichern und verteilen. Dies umfasst auch Länder außerhalb des Landes, in dem sich dein Wohnsitz befindet. Die Nutzung dieser globalen Infrastruktur ist für die Bereitstellung unserer Dienste erforderlich und von zentraler Bedeutung. Diese Infrastruktur gehört möglicherweise unseren Dienstleistern, etwa unseren verbundenen Unternehmen, oder wird von diesen betrieben.“

Im Punkt „Registrierung“ lesen wir, dass bei einer Registrierung „korrekte Informationen [zu] verwenden“ sind. Das schließt Pseudonyme erst mal aus, sodass eigentlich Klarnamenpflicht besteht – im weiteren Verlauf der Rechtstexte wird dies noch mal anders dargestellt. Unter „Adressbuch“ erklärt WhatsApp das Hochladen der Kontakte aus dem Adressbuch des verwendeten Geräts und betont auch hier, dass „darunter sowohl die Nummern von Benutzern unserer Dienste als auch die von deinen sonstigen Kontakten“ fallen.

Neben allgemeinen Informationen lesen wir, dass die Nutzung von WhatsApp zu nicht-privaten Zwecken ohne Genehmigung durch WhatsApp genauso wenig gestattet ist wie der Versand rechtswidriger Inhalte. Für die Sicherheit des Accounts sind ausschließlich die Nutzenden selbst verantwortlich, die jeden Sicherheitsverstoß an WhatsApp zu melden haben. Nutzende werden darauf hingewiesen, dass beim Verwenden von Diensten Dritter deren Datenschutzrichtlinien gelten.

Eine Diskrepanz fällt im Abschnitt „Die Lizenz von dir gegenüber WhatsApp“ auf: Wir lesen, dass Nutzende WhatsApp die Lizenz zum Nutzen, Reproduzieren, Verbreiten usw. von Informationen, die übermittelt oder empfangen werden, erhält. Das dient dazu, die „Dienste zu betreiben und bereitzustellen“, beispielsweise um Nachrichten zu übermitteln oder Statusmeldungen anzuzeigen. So weit, so gut. Doch: „… und deine nicht zugestellten Nachrichten für bis zu 30 Tage auf unseren Servern zu speichern, während wir versuchen, sie zuzustellen.“ Das möchte nicht ganz zu der Idee der selbstzerstörenden Nachrichten passen, von denen WhatsApp erklärt, dass diese nach sieben Tagen gelöscht werden.

Auch die Datenschutzrichtlinie von WhatsApp ist leicht zu finden. Wie schon in den Nutzungsbedingungen erfahren wir auch hier zuerst, dass es sich um die Datenschutzrichtlinie für die europäische Region handelt und dass WhatsApp ein Facebook-Unternehmen ist. Einleitend erklärt WhatsApp, dass zum Betreiben der Funktionen und Dienste diverse Daten unabdingbar sind – so könne man etwa den Standort nicht mit Kontakten teilen, wenn Standortdaten nicht durch WhatsApp erhoben werden dürfen. Es folgt eine Aufstellung der von Nutzenden bereitgestellten Informationen:

  • Account-Informationen: Neben der Mobilnummer müssen „grundlegende Informationen“ angegeben werden, mitunter ein „Profilname deiner Wahl“, was wiederum gegen die oben vermutete Klarnamenpflicht spricht. Ohne diese Informationen jedenfalls ist WhatsApp nicht nutzbar.
  • Nachrichten: „In der Regel“ und „normalerweise“ speichert WhatsApp Nachrichten nicht auf den hauseigenen Servern. Werden Nachrichten zugestellt, werden sie auch von den Servern gelöscht. Unter Umständen werden Nachrichten doch gespeichert: Lässt sich eine Nachricht nicht zustellen, wird „sie bis zu 30 Tage in verschlüsselter Form auf unseren Servern“ gespeichert, während versucht wird, die Nachricht zuzustellen. Anschließend wird sie gelöscht. Ein zweites Szenario: Nutzende möchten Medien weiterleiten. WhatsApp speichert diese Medien „temporär in verschlüsselter Form auf unseren Servern, um die Zustellung von weiteren Weiterleitungen effizienter zu machen“.
  • Netzwerk: Wahlweise können Nutzende die „Funktion zum Hochladen von Kontakten nutzen und uns regelmäßig die Telefonnummern in deinem Adressbuch zur Verfügung stellen“ – wie erwähnt: Die Telefonnummern aller Kontakte, nicht nur jener, die WhatsApp nutzen. Weiter heißt es: „Wenn einer deiner Kontakte unsere Dienste noch nicht nutzt, verwalten wir diese Information für dich in einer Weise, mit der sichergestellt wird, dass dieser Kontakt nicht von uns identifiziert werden kann.“ Gruppen sowie Broadcast-Listen „werden mit deinen Account-Informationen verknüpft“.

Auch automatisch werden Informationen erhoben: Etwa Nutzungs- und Protokollinformationen über Aktivitäten der Nutzenden. Aktivitätsinformationen können beispielsweise sein, „wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst (z. B. wenn du mit einem Unternehmen interagierst) sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen“. Hinzu können Protokolle (Diagnose-, Absturz-, Performance- oder Website-Protokolle) kommen. Dies kann auch die folgenden Informationen einschließen: „… wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anruf-, Status-, Gruppen- (darunter Gruppenname, Gruppenbild, Gruppenbeschreibung), Zahlungs- oder Geschäftsfunktionen, über dein Profilbild, über deine Info, dazu, ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „Zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.“

Geräte- und Verbindungsdaten schließen „Informationen zu deinem Hardware-Modell und Betriebssystem, Batteriestand, Signalstärke, App-Version, Informationen zum Browser und Mobilfunknetz sowie zu der Verbindung, einschließlich Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache und Zeitzone, IP-Adresse, Informationen zum Gerätebetrieb und Kennungen“ mit ein. Standort-Informationen werden – wenn sie freigegeben sind – genutzt, wenn standortbezogene Funktionen verwendet werden. Doch: „Auch dann, wenn du unsere standortbezogenen Funktionen nicht nutzt, verwenden wir IP-Adressen und andere Informationen wie Telefonvorwahlen, um deinen ungefähren Standort bestimmen zu können (z. B. Ort/Stadt und Land). Wir nutzen deine Standortinformationen außerdem für Diagnose- und Fehlerbehebungszwecke.“

Als positiv erachten wir die Sensibilisierung von Nutzenden durch diesen Hinweis: „Du solltest dir immer bewusst sein, dass generell jeder beliebige Benutzer Screenshots von deinen Chats oder Nachrichten machen oder Telefongespräche zwischen dir und ihm aufzeichnen und an WhatsApp oder irgendwelche andere Personen senden oder auf anderen Plattformen veröffentlichen kann.“ Überhaupt sind die Hinweise unter „Informationen Dritter“ recht hilfreich. Da das Gros der Nutzenden jedoch keine Datenschutzerklärungen liest, wären diese wertvollen Hinweise an prominenterer Platzierung sinnvoller.

Erklärt wird auch, wie WhatsApp mit anderen Facebook-Unternehmen zusammenarbeitet: „Als Teil der Facebook-Unternehmen erhält WhatsApp Informationen von anderen Facebook-Unternehmen und teilt auch Informationen mit anderen Facebook-Unternehmen, um die Sicherheit und Integrität aller Produkte von Facebook-Unternehmen zu fördern […]. WhatsApp arbeitet auch mit den anderen Facebook-Unternehmen zusammen […], damit sie uns dabei helfen können, unsere Dienste zu betreiben, bereitzustellen, zu verbessern, zu verstehen, anzupassen, zu unterstützen und zu vermarkten. Dies umfasst die Bereitstellung von Infrastruktur, Technologie und Systemen, z. B. damit wir dir ein schnelles und zuverlässiges Messaging und Anrufe rund um die Welt bereitstellen, unsere Infrastruktur- und Zustellungssysteme verbessern und die Nutzung unserer Dienste nachvollziehen können. Darüber hinaus helfen uns die anderen Facebook-Unternehmen dabei, dir die Möglichkeit zu geben, dich mit Unternehmen in Verbindung zu setzen, und dabei, Systeme sicher zu machen. Wenn wir Leistungen anderer Facebook-Unternehmen in Anspruch nehmen, werden die mit ihnen geteilten Informationen im Auftrag von WhatsApp und im Einklang mit unseren Anweisungen verwendet. Keine der Informationen, die WhatsApp auf dieser Grundlage weitergibt, dürfen für die eigenen Zwecke der Facebook-Unternehmen verwendet werden.“

Es folgt eine Auflistung der Rechtsgrundlagen der Verarbeitung, so wie es die DSGVO fordert. Weiter werden Gründe erklärt, warum Daten wie verarbeitet werden. Dazu zählt auch die Verwendung von „Metadaten von Nachrichten für die Kommunikationsübertragung, den Betrieb der Dienste […] und ggf. für die Rechnungsstellung“. Zur Sicherheit und Integrität der Dienste kann WhatsApp „Daten, die du beim Anlegen eines Accounts angegeben hast, verifizieren oder verdächtige Aktivitäten in Zusammenhang mit deinem Account analysieren, um so zu verhindern, dass unsere Dienste auf unrechtmäßige Weise genutzt werden“.

WhatsApp kann Daten von Nutzenden verarbeiten, um „Messungen, Analysen und sonstige Unternehmensservices“ bereitzustellen. Dafür gibt WhatsApp berechtigte Interessen als Rechtsgrundlage an: „Im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.“ Auch das Bereitstellen von Marketingkommunikation erfolgt auf Basis berechtigter Interessen.

Weiter teilt WhatsApp Informationen mit den Facebook-Unternehmen, um „so die Sicherheit und Integrität zu fördern“. Es folgt ein Hinweis, dass Nutzende das Recht haben, „einer solchen Verarbeitung zu widersprechen und ihre Beschränkung zu verlangen“.

Unter „Verwaltung und Aufbewahrung deiner Informationen“ finden wir einen Hinweis zur Löschung von Metadaten der Nachrichten: Werden „sie nicht mehr für die Kommunikationsübermittlung, den Betrieb unserer Dienste, die Sicherstellung der Sicherheit unserer Dienste, die Rechnungsstellung oder die Erfüllung von rechtlichen Verpflichtungen“ benötigt werden, werden Metadaten gelöscht oder anonymisiert.

Was passiert, wenn Nutzende ihre Accounts löschen, führt WhatsApp ebenfalls auf. Ab Start des Löschprozesses kann es bis zu 90 Tage dauern, bis die Informationen gelöscht werden – aber: „Auch nach den 90 Tagen verbleiben Kopien deiner Informationen für eine begrenzte Zeit im Backup-Speicher, den wir im Notfall, nach einem Softwarefehler oder einem anderen Datenverlust zur Wiederherstellung verwenden.“ Was eine „begrenzte Zeit“ ist, wird leider nicht aufgeführt.

Nicht gelöscht werden bestimmte Protokolldateien, „die wir auch nach der regulären Aufbewahrungsdauer prüfen, um Sicherheitsvorfälle oder Schwachstellen zu analysieren“. In den Datenbanken verbleiben zudem „Kopien einiger Materialien“, die „jedoch von persönlichen Kennungen getrennt und nicht mehr mit deinem Account verknüpft“ sind. Bei rechtlicher Verpflichtung können auch „Kopien bestimmter Informationen“ aufbewahrt werden. WhatsApp weist darauf hin, dass Informationen noch länger gespeichert werden können, falls Nutzende lediglich die App vom Gerät, nicht aber ihren Account löschen.

Im Abschnitt „Unsere globalen Aktivitäten“ lesen wir: „Informationen, die von WhatsApp kontrolliert werden, werden für die in dieser Datenschutzrichtlinie beschriebenen Zwecke in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet. WhatsApp nutzt die globale Infrastruktur und die Rechenzentren von Facebook, unter anderem in den USA.“ Das beantwortet auch gleich die Frage nach dem Serverstandort: Weltweit, mitunter auch in den USA. Wir erfahren, dass der Konzern für die Übermittlung in Drittländer „auf von der Europäischen Kommission genehmigte Standardvertragsklauseln“ zurückgreift oder dass man sich „auf die Angemessenheitsbeschlüsse zu bestimmten Ländern“ stützt.

Schaut man sich die Rechtsdokumente von WhatsApp an, fällt auf, dass noch immer auf das gekippte Privacy Shield verwiesen wird. Die oben erwähnten Rechtstexte, also die Nutzungsbedingungen und die Datenschutzerklärung, sind über und über mit weiterführenden Links gespickt – ein flüssiges Lesen wird Nutzenden schwergemacht. Teilweise schwammige Formulierungen lassen Erklärungen unklar erscheinen. Zum letzten Test hat sich durchaus einiges verbessert: Nun in deutscher Sprache gehalten und die Inhalte wiedergebend, die die DSGVO fordert, wurden die Rechtstexte durch WhatsApp in den vergangenen fünf Jahren durchaus optimiert. Es darf jedoch bezweifelt werden, dass am Ende alles verstanden wird: Zu schwammig sind die Formulierungen, zu oft wird auf andere Inhalte querverwiesen.

Fazit WhatsApp

WhatsApp ist – allen Datenschutz-Ärgernissen zum Trotz – der Messenger Nr. 1 weltweit. Und das hat durchaus seinen Grund: Der Messenger ist einfach in der Bedienung, punktet mit guter Funktionalität, er ist kostenfrei und mit allen Plattformen (bzw. via Browser) nutzbar. Das sind wirklich geringe Einstiegshürden. Der Konzern wirbt gerne mit Privatsphäre: „Deine Privatsphäre hat für uns Priorität“, prangt es in großen Lettern auf der Privacy-Site. So richtig nachvollziehbar ist diese Privatsphäre jedoch nicht, denn es gibt keinen einsehbaren Quellcode. Es gibt leider auch keine verständliche Datenschutzerklärung – so richtig schlau werden Lesende nicht. Ganz versteckt, inmitten der Datenschutzerklärung, finden sich jedoch auch wertvolle Hinweise, die insbesondere weniger versierten Nutzenden echte Hilfe sein könnten – wenn sie doch nur sichtbarer platziert wären.

Betrachtet man sich unsere vergangenen Testberichte von WhatsApp, sind definitiv Verbesserungen zu sehen! Das ist jedoch weniger der Motivation von WhatsApp selbst geschuldet, den Messenger nun auf Privatsphäre zu trimmen, als eher der Rechtslage: Die DSGVO hat auch WhatsApp zum Umdenken gezwungen. Nichtsdestotrotz teilt WhatsApp nach wie vor Informationen mit anderen Facebook-Unternehmen, daran hat sich nichts geändert. Da WhatsApp auf die Infrastruktur von Facebook setzt, wird sich daran so schnell auch nichts ändern. Diese Infrastruktur ist in der ganzen Welt verstreut, wie WhatsApp mehrfach in den Rechtstexten erklärt. Das bedeutet, dass auch alle Daten in der ganzen Welt verstreut sind.

Sicher ist man mit WhatsApp also auch im Jahre 2021 nicht unterwegs. Wenn es Ihnen darum geht, bequem Nachrichten auszutauschen und Sicherheit sowie Datenschutz eher geringere Priorität haben, gehört WhatsApp sicher zu den guten Messengern. Bei den Einstiegshürden und der Usability kann der Messenger gut punkten. Anders bei unserem Testfeld Sicherheit: Von 15 möglichen Punkten schafft es WhatsApp auf nur 6 Punkte. Insgesamt bekommt WhatsApp in unserer Wertung 23 von 36 möglichen Punkten und damit auf zwei Sterne.

Messenger-Test 2021: Threema im Test

Threema gehört – neben Signal – zu den Gewinnern des Datenschutz-Desasters, das WhatsApp am Jahresanfang verursacht hat: Threema verkündete im Juni 2021 auf Twitter, nun mehr als 10 Millionen aktive Nutzende zu haben. Hatte Threema bei unserem letzten Test in 2016 noch uneinheitliche Preise, zahlen Nutzende aktuell in jedem App Store einmalig 3,99 Euro für den Messenger. Jedoch können Android-Nutzende Googles Play Store durch den Threema-Shop auch elegant umgehen. Hier können Interessierte nicht nur in Euro, sondern auch in US-Dollar oder Schweizer Franken zahlen und so gegebenenfalls von Kursschwankungen profitieren. Dass Kosten entstehen, kann als Vor- oder Nachteil empfunden werden: Während beim kostenfreien WhatsApp-Messenger Fragen zur Finanzierung offenbleiben, zeigt sich Threema hier transparenter: Der App-Verkauf finanziert den Dienst.

Nutzbar ist Threema unter iOS und Android; die Threema Web-Version erlaubt das Chatten auch im Browser, sodass der Messenger – nach Installation auf einem Mobilgerät – plattformunabhängig genutzt werden kann. Versionen für Windows oder macOS existieren nicht. Installiert und eingerichtet ist die App zügig – auch weniger versierte Nutzende kommen hier nicht ins Schwitzen. Beim Einrichten des Messengers fällt sofort Datensparsamkeit auf: Threema lässt sich auch ohne Account nutzen, sodass die Angabe von Telefonnummern, Namen oder E-Mail-Adressen nicht notwendig ist. Nutzende erstellen kein zentrales Nutzerkonto, sondern die App generiert während der Einrichtung eine zufällige Threema-ID.

Kontakte und Berechtigungen

Auch Threema fordert Berechtigungen ein:

  • WLAN-Verbindungsinformationen: WLAN-Verbindungen abrufen
  • Geräte-ID & Anrufinformationen: Telefonstatus & Identität abrufen
  • Mikrofon: Audio aufnehmen
  • Standort: Genauer (GPS- & netzwerkbasiert) und ungefährer Standort (netzwerkbasiert)
  • Speicher: USB-Speicherinhalte lesen, ändern oder löschen
  • Kontakte:
    • Konten auf dem Gerät finden
    • Kontakte ändern und lesen
  • Identität: Konten auf dem Gerät finden, hinzufügen oder entfernen
  • Fotos/ Medien/ Dateien: USB-Speicherinhalte lesen, ändern oder löschen
  • Telefon:
    • Telefonnummern direkt anrufen
    • Telefonstatus & Identität abrufen
  • Kamera: Bilder & Videos aufnehmen
  • Sonstiges:
    • Daten aus dem Internet abrufen
    • Netzwerkverbindungen abrufen
    • Audio-Einstellungen ändern
    • Ruhezustand deaktivieren
    • Konten erstellen und Passwörter festlegen
    • Google Play-Lizenzprüfung
    • Synchronisierungseinstellungen lesen
    • Vibrationsalarm steuern
    • Mit Bluetooth-Geräten koppeln
    • Beim Start ausführen
    • Synchronisierung aktivieren oder deaktivieren
    • Zugriff auf alle Netzwerke
    • Verknüpfungen installieren

Diese Liste ist schon deutlich kleiner als die Berechtigungsliste von WhatsApp – es geht also auch etwas sparsamer. Die Berechtigungen, die Threema einfordert, lassen sich mit der Funktionalität des Messengers erklären.

Threema erlaubt das Hinzufügen von Kontakten auf verschiedenen Wegen: Sie haben die Möglichkeit, Kontakte durch das Scannen eines QR-Codes hinzuzufügen. Das klappt jedoch nur, wenn Ihnen der Kontakt gegenübersteht – und ist durchaus ein hilfreiches Feature zum Verifizieren von Kontakten. Ist Ihnen die Threema-ID, die Kennnummer, die alle Nutzenden bekommen, bekannt, können Sie durch Eingabe der Threema-ID Kontakte hinzufügen.

Auch bei Threema haben Nutzende die Option, Kontakte durch Synchronisieren des Adressbuchs zu ergänzen. Threema zeigt beim Synchronisieren des Adressbuchs, dass auch dies datensparsam geschehen kann: Wird dem Messenger Zugriff aufs Adressbuch gewährt, werden die Daten einwegverschlüsselt übermittelt und nicht gespeichert. E-Mail-Adressen und Telefonnummern, die an den Schweizer Server geschickt werden, werden nach Abgleich direkt gelöscht. Möchten Sie nicht, dass Threema auf Ihre Kontakte zugreift, lässt sich der Messenger auch so verwenden.

Usability von Threema

Von der Bedienung unterscheiden sich WhatsApp und Threema kaum: Threema ist genauso intuitiv und leicht zu verwenden. Auch die Funktionalität zeigt sich vielfältig:

  • Text- und Sprachnachrichten
  • Gruppen- und Verteilerlisten
  • Teilen von Dateien, Medien und Standorten in allen gängigen Formaten
  • Umfrage- & Abstimmungs-Tool
  • Sprach- sowie Videoanrufe
  • Private Chats, die sich verstecken und per PIN oder Fingerabdruck geschützt werden können

Die positiven Bewertungen in den App Stores zeigen, dass Threema zuverlässig arbeitet. Wenngleich es gelegentliche Kritiken gibt, wird Threema mit 4,3 (iTunes) bzw. 4,5 (Google Play) Sternen bewertet. Gibt es kritische Bewertungen, gibt es zeitnah Entwickler-Antworten, sodass Hilfesuchende direkt vom Entwickler Unterstützung erhalten.

Die Sicherheit von Threema

Threema setzt auf konsequente Ende-zu-Ende-Verschlüsselung aller Nachrichteninhalte, einschließlich aller Dokumente, Anrufe oder Medien. Dafür setzt das Threema-Entwicklungsteam auf die quelloffene Krypto-Bibliothek NaCl. Dass NaCl Perfect Forward Secrecy (PFS) nicht beherrscht, ist ein Wermutstropfen. Nichtsdestotrotz ist die komplette Kommunikation ohne Zutun von Nutzenden verschlüsselt; Einzel- genauso wie Gruppenchats. Informationen zur Verschlüsselung hält Threema im Cryptography Whitepaper (PDF) bereit.

Durch ein Ampelsystem unterscheidet Threema zwischen verschiedenen Vertrauensstufen. Dabei steht die Farbe Rot für eine geringe Sicherheit; Gesprächspartner:innen sind nicht verifiziert. Gelb steht für eine mittlere Sicherheit; der Kontakt wurde zwar im Adressbuch gefunden, jedoch nicht über den QR-Code verifiziert. Grün steht für verifizierte Sicherheit durch den QR-Code. Dieses Ampelsystem trägt dazu bei, mit gewünschten Kommunikationspartner:innen zu kommunizieren und nicht mit unbekannten Dritten. Diese Vertrauensprüfung funktioniert jedoch nur, wenn Threema auf das Adressbuch zugreifen darf.

Der Nachrichtenaustausch bei Threema erfolgt über zentrale Server in der Schweiz. Nach Angaben des Entwicklers sind die Server ISO 27001-zertifiziert. Die Threema-Entwickler erklären, dass die hauseigenen Server als „Relaisstationen“ zu verstehen sind: Nachrichten sowie Daten werden an Teilnehmende weitergeleitet, jedoch nicht dauerhaft gespeichert. In den FAQ erfahren wir unter „Welche Daten werden bei Threema gespeichert?“ folgendes:

  • Kontaktlisten: Listen werden ausschließlich lokal auf dem Endgerät gespeichert. Beim Synchronisieren des Adressbuchs werden E-Mail-Adressen und Telefonnummern der Kontakte gehasht übermittelt. Wie oben bereits erwähnt, werden nach dem Abgleich alle Daten wieder gelöscht.
  • Chats: Sind Nachrichten an die Empfangenden zugestellt, werden sie vom Server gelöscht.
  • Schlüssel: Die für die Verschlüsselung notwendigen Schlüssel werden auf dem Nutzergerät generiert. Hier verbleibt auch der private Schlüssel, der nicht übermittelt wird.
  • Metadaten: Nach eigenen Angaben speichert Threema keine Logs darüber, wer wann mit wem in Verbindung tritt bzw. kommuniziert.

Der Server-Part von Threema ist leider nicht quelloffen, sodass nicht alle von Threema getroffenen Aussagen überprüfbar sind. Doch Bemühungen sind mitunter auch daran sichtbar, dass sich Threema losgelöst von Google betreiben lässt. So erlaubt es der hauseigene Webshop, den Messenger frei von Googles Play Store herunterzuladen. Konsequent wird auf proprietäre Google-Bibliotheken verzichtet. Auch das Kartenmaterial und Orte von Interesse entstammen nicht Google, sondern OpenStreetMap, der freien Google-Alternative.

Anders als der Server-Teil ist der Threema-Client quelloffen (AGPLv3-Lizenz) und damit für jeden einsehbar. Für ein Plus an Transparenz und Sicherheit lässt sich die Threema GmbH regelmäßig auditieren. Der zuletzt im November 2020 durchgeführte Security-Audit durch Cure53 zeigte einige unkritische Schwachstellen. Wenngleich Audits immer versionsgebunden stattfinden und damit keine Aussage mehr über die heutige Version treffen können, bestätigen regelmäßige Audits ein hohes Sicherheitsniveau.

Sprach- und Videoanrufe sind bei Threema verschlüsselt. Dabei erfolgt die Verbindung zwischen Teilnehmenden entweder über Threema-Server (indirekt), um die IP-Adresse zu verschleiern, oder aber direkt, also Peer-to-Peer. Am Rande: Die Sprachanruf-Verschlüsselung bietet – entgegen der Nachrichtenverschlüsselung – mit Perfect Forward Secrecy die Folgenlosigkeit; nachträgliches Entschlüsseln ist also dank Session-Keys bei PFS nicht möglich.

Alljährlich veröffentlicht die Threema GmbH einen Transparenzbericht. Es ist interessant, darin zu lesen, weil hier mitunter behördliche Anfragen geschildert werden; außerdem auch das Vorgehen, welches die Threema GmbH bei entsprechenden Anordnungen zeigt.

AGB & Datenschutzrichtlinie bei Threema

Allgemeine Geschäfts- oder Nutzungsbedingungen gibt es bei Threema nur für einige Bereiche, etwa für Threema Gateway. Die Datenschutzerklärung von Threema ist schnell gefunden – und beeindruckt mit einer angenehmen Kürze. Hier lesen wir – wie schon auf der ganzen Website immer mal wieder – vom Ziel, „Privacy by Design“ zu bieten: „Es ist unser vordringlichstes Ziel, möglichst nur die absolut notwendigen Informationen für die kürzestmögliche Zeit zu speichern.“ Außerdem: „Verarbeitung und Schutz der Daten erfolgen im Einklang mit den geltenden gesetzlichen Bestimmungen und der EU-Verordnung 2016/679 (DSGVO)“.

Im ersten Punkt erfahren wir, dass die Threema-Website anonym genutzt werden kann und frei ist von Werbung und Tracking. Daten werden nur dann bearbeitet, wenn es Supportanfragen zu beantworten gibt. Die E-Mail-Adresse müssen Nutzende angeben, um Anfragen an den technischen Support zu richten. Klar: Nutzende möchten eine Antwort bekommen, sodass die E-Mail-Adresse zwingend angegeben werden muss. Nach sechsmonatiger Inaktivität werden Supportanfragen gelöscht. Punkt 4 gibt Auskunft über die Rechte von Betroffenen, es folgt die Benennung der verantwortlichen Stelle und ein Hinweis über mögliche Änderungen der Datenschutzbestimmungen.

Die Datenschutzerklärung für die Threema-App finden wir auch dort: In den Einstellungen des Messengers unter „Über Threema“ und „Datenschutzerklärung“. Nach der Einführung, die der Datenschutzerklärung der Website gleicht, erfahren wir unter „Allgemeines“, dass die App entwickelt wurde, „um möglichst wenig Metadaten auf einem zentralen Server zu hinterlassen“. Die Identifikation von Teilnehmenden erfolgt ausschließlich durch die Threema-ID und durch das Schlüsselpaar; persönliche Daten sind nicht nötig.

Daten werden verarbeitet, „um die Übertragung von Kurznachrichten und Medien […] zu ermöglichen“. Daten werden ausschließlich auf eigenen Servern in der Schweiz bearbeitet und nicht an Dritte weitergegeben. Es folgt eine Klärung von Daten, die verarbeitet werden, wie wir es weiter oben bereits beschrieben haben. Eine entscheidende Information: „Alle Angaben werden nur so lange gespeichert, bis sie durch den Benutzer gelöscht werden. Wenn die Informationen gelöscht sind, können sie nicht mehr wiederhergestellt werden“. Das erhöht Datenschutz und Sicherheit ungemein und ist eine eindeutige Aussage zur Datenspeicherung.

Ebenfalls gut zu wissen: Unter B. Nachrichteninhalte erfahren wir Details zur Verschlüsselung; mitunter: „Die Header-Informationen einer Nachricht (Absender, Empfänger, etc.) werden für die Übertragung an den Server […] zusätzlich verschlüsselt, um ein Mithören dieser Informationen durch Dritte […] zu verunmöglichen.“

Wie weiter oben bereits beschrieben, werden Nachrichten und Medien nach erfolgreicher Zustellung gelöscht. Was aber, wenn nicht erfolgreich zugestellt werden kann? Dann „werden sie nach zwei Wochen automatisch und unwiederbringlich vom Server gelöscht.“ Das sind eindeutigere Aussagen als bei WhatsApp, wo es einerseits hieß, selbstzerstörende Nachrichten werden nach sieben Tagen gelöscht, andererseits aber, dass nichtzugestellte Nachrichten 30 Tage auf dem Server verbleiben – und möglicherweise auch länger.

Es folgen gut verständliche und eindeutige Aussagen zu Adressbuch- und Standortdaten. Auch die anonymisierten Absturzberichte sowie die Lizenzprüfung zum Verhindern von Missbrauch werden klar und eindeutig erklärt. Als gute Aufklärung empfinden wir auch den Part „Durch Dritte bearbeitete Daten“: „Threema GmbH gibt grundsätzlich keine Daten an Dritte weiter, ist vollständig werbefrei und benutzt keine Analysesoftware, um das Nutzerverhalten zu beobachten. Einige Funktionalitäten können jedoch nur mittels Nutzung externer Datenquellen, Frameworks oder Betriebssystem-Funktionen erbracht werden, welche ihrerseits Daten bearbeiten und einer separaten Datenschutzerklärung unterliegen.“

Wieder werden Nutzende über ihre Rechte aufgeklärt, einschließlich hilfreicher Links, um als Nutzer:in sofort aktiv werden zu können. Mit dem Benennen der verantwortlichen Stelle und dem Vorbehalt, die Datenschutzerklärung anpassen zu können, endet die klar formulierte und angenehm kurze Datenschutzerklärung für den Threema-Messenger.

Fazit Threema

WhatsApp und Threema: Beide betonen in ihren Datenschutzhinweisen, wie wichtig Privatsphäre den jeweiligen Unternehmen ist. Jedoch gibt es einen Unterschied: Threema kann man diese Aussage auch glauben. Regelmäßige Audits sowie das Veröffentlichen des Client-Quellcodes untermauern dies. Leider ist der Serverpart proprietär, sodass nicht alle von der Threema GmbH getroffenen Aussagen verifiziert werden können.

Threema spricht vorrangig datenschutzsensible Nutzende an, die Metadaten vermeiden möchten. Wenngleich die Einstiegskosten mit 3,99 Euro gegenüber einem kostenfreien WhatsApp hoch sind, wird doch klar, wie sich Threema finanziert – eine Transparenz, die WhatsApp abgeht. In Sachen Funktionalität sind die beiden Messenger vergleichbar; Threema steht WhatsApp in nichts nach und bietet sogar Umfrage-Tools. Dezentral gedacht, verbleiben Inhalte bei Threema auf den Endgeräten der Nutzenden. Und falls doch Daten auf den Threema-Servern landen, so werden diese zeitnah gelöscht und mit Schweizer Sicherheit umgeben.

Von ihren Punktzahlen unterscheiden sich Threema und WhatsApp bezüglich der Einstiegshürden und der Usability nicht: beide erhalten hier 9 bzw. 8 von 12 bzw. 9 möglichen Punkten. Im Testbereich Sicherheit jedoch gehen die Punkte auseinander: WhatsApps 6 Punkte übertrifft Threema mit 14 von insgesamt 15 möglichen Punkten – einzig das Fehlen von PFS in der Nachrichtenverschlüsselung und der proprietäre Serverpart haben Threema von der Höchstpunktzahl im Sicherheits-Testbereich getrennt. So schafft es Threema in der Gesamtwertung auf 31 von 36 möglichen Punkten und damit auf 2,5 von 3 Sternen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 6


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu