„Sicher“: Krypto-Messenger möchte sich etablieren
Seit Mitte letzten Jahres verspricht der Krypto-Messenger „Sicher“ nicht nur Ende-zu-Ende-verschlüsselte Nachrichten, die sich selbst zerstören können, sondern auch verschlüsselten Datei-Transfer sowie Clients für unterschiedliche Mobil-Betriebssysteme. Wir sind gespannt, ob diese Versprechen eingehalten werden und der Messenger eine Chance hat, sich zu etablieren.
Bedienbarkeit & Features von Sicher
Der Messenger „Sicher“ hatte seine Geburtsstunde Mitte des Jahres 2014. Die Entwickler von IM+, die SHAPE GmbH, stecken hinter dem Krypto-Messenger. Mit „Unbegrenzt sicher“ sowie „Sicheres Messaging für alle“ werben die Macher auf der Sicher-Website. „Für alle“ stimmt nur bedingt: zu Android, iOS sowie Windows Phone ist Sicher kompatibel, für BlackBerry OS existiert die App nicht. Während sich Android-User auf In-App-Käufe einstellen, den Messenger dafür jedoch kostenfrei herunterladen können, zahlen Windows Phone-User 1,49 € und iOS-User 1,99 €.
Wir testen die Messenger-App Sicher unter Android. Nach der kinderleichten Installation der optisch etwas an Skype erinnernden App geben wir unsere Telefonnummer zur Registrierung ein. Im selben Fenster haben wir unten die Möglichkeit, die Datenschutzvereinbarung einzusehen. Der Link leitet uns zur englischsprachigen Datenschutzvereinbarung auf der Website der SHAPE AG, auf die wir später gesondert eingehen. Nach Eingabe unserer Mobilfunknummer erhalten wir die Information, dass sämtliche Daten, die auf unserem Gerät gespeichert werden, mit unserem Passwort verschlüsselt werden. Dieses wählen wir nun aus – leider einmal mehr ohne Sicherheitsampel, sodass auch das Passwort „123456“ genutzt werden kann. Machen Sie sich bitte bewusst, dass Sie Ihr Passwort zum Verschlüsseln der Daten verwenden – und setzen Sie eines, das wirklich sicher ist. Je stärker Ihr Passwort, umso sicherer die lokale Verschlüsselung. Sie können einen Merksatz eingeben, um sich Ihr Passwort zu merken, beispielsweise Ihren Geburtsnamen oder die Schule, die Sie besucht haben. Sie erfahren in diesem Schritt in der App, dass eine Wiederherstellung Ihres Passworts zu keinem Zeitpunkt möglich sein wird. Dass Sie auch einstellen können, wann die Passworteingabe erfolgen soll (nach 15, 30 oder 60 Minuten), ist positiv – schade jedoch, dass auch „nie“ eine Option ist, in der Bequemlichkeit einmal mehr über Sicherheit geht.
Nachdem die App einen Schlüssel erstellt hat, wird unser Adressbuch auf Kontakte durchforstet – ungefragt. Nach Vergabe eines Benutzernamens und gegebenenfalls des Setzens eines Avatars können Sie den Selbstzerstörungs-Timer bestimmen – eine Einstellung, die Sie später auch noch anpassen können. Ab jetzt können Sie mit „Sicher“ chatten. Das Interface zeigt sich sehr aufgeräumt: Auf einer Seite Kontakte, auf der anderen Chats und oben links gelangen Sie ans Menü. Hier können Sie Ihren Account anschauen, Einstellungen vornehmen, Kontakt zum SHAPE-Support aufnehmen und die App beenden. In unserem Test haben wir sämtliche Funktionen fehlerfrei verwenden können:
- Versand von Sprach-, Textnachrichten, Bildern, Videos, Orten sowie Dateien (PDF, Doc, usw.) in Einzel- und Gruppenchats,
- Selbstzerstörungs-Timer,
- manuelles Entfernen von Chatverläufen auf unserem Gerät und dem Gerät des Gesprächspartners
Hier überzeugt Sicher: Funktionalität, die sich logisch und einfach anwenden lässt. Während wir keinerlei Abstürze, nicht zugestellte Nachrichten oder sonstige Funktionslücken ausmachen konnten, zeigen die Bewertungen der drei App-Stores, dass nicht alle Nutzer so zufrieden sind: insbesondere unter iOS und Android tun sich offenbar diverse Probleme in der Funktionalität auf, während der Tenor bei den Windows Phone-Usern in eine deutlich positivere Richtung geht.
AGB & Datenschutzvereinbarungen von Sicher
Auf der Website der SHAPE GmbH gelangen die Nutzer problemlos zu den Nutzungsbedingungen, während die Datenschutzrichtlinien erst mal nicht auffindbar sind. In den Nutzungsbedingungen führt zwar ein Link in die Datenschutzvereinbarung, jedoch betrifft dieser nicht den Messenger. Erst im dritten Klick, der uns zu den allgemeinen Datenschutzrichtlinien führt, finden wir die Richtlinien, die auch für den Messenger gelten. AGB und Datenschutzerklärung sind leider in englischer Sprache gehalten. Die AGB erfuhren im April 2013 ihre letzte Änderung. Wir erfahren, dass sich SHAPE vorbehält, Änderungen sowohl an den AGB als auch an den Services durchzuführen oder Services und Dienste komplett einzustellen oder zu beschränken, ohne dass eine Ankündigung nötig wäre oder SHAPE dafür haftet. Schön: der Widerruf einer gekauften App wird gleich mit in den AGB geklärt. Möchten Sie als Windows Phone- oder iOS-User von Ihrem Widerruf Gebrauch machen, findet die Abwicklung mit dem jeweiligen App-Store statt. Unter Android ist das irrelevant, da die App hier kostenfrei angeboten wird.
Der nun korrekten Datenschutzvereinbarung entnehmen wir, dass sämtliche Messages und Daten (also Bilder, Sprachnachrichten und sonstige Dateien) mittels asymmetrischer Ende-zu-Ende-Verschlüsselung versendet werden. Damit kann kein Dritter, einschließlich der SHAPE GmbH, Nachrichteninhalte und die Metadaten Ihrer Nachrichten lesen. Zu keinem Zeitpunkt werden Nachrichten oder Dateianhänge unverschlüsselt versendet. Zusätzlich wird der Transport via SSL abgesichert. Von den Servern, die in Deutschland stehen, verschwinden die Nachrichten schnellstmöglich, heißt es in der Datenschutzerklärung: Verschlüsselte Nachrichten sowie Dateien bleiben solange bestehen, bis der Selbstzerstörungsmechanismus in Gang gesetzt ist, spätestens werden sie jedoch 14 Tage nach Versand vom Server gelöscht – unabhängig davon, ob der Empfänger die Nachricht in der Zwischenzeit abgerufen hat oder nicht.
Weiter erfahren wir in der Datenschutzerklärung, dass sämtliche Nachrichten, empfangene Dateien und Metadaten vor dem Speichern im lokalen Gerätespeicher verschlüsselt werden. Sie werden lediglich dann entschlüsselt, wenn die App auf diese Dateien zugreifen muss. Das von Ihnen gesetzte Passwort wird als Schlüssel zur symmetrischen Verschlüsselung Ihrer Nachrichten und Dateien verwendet – deshalb an dieser Stelle noch mal: Suchen Sie sich ein wirklich sicheres Passwort aus – je aufwendiger Ihr Passwort ausfällt, umso sicherer sind Ihre Dateien verschlüsselt!
Dass Ihr Adressbuch auf Sicher-Nutzer durchforstet wird, lesen wir nun noch mal Schwarz auf Weiß. Ihr Adressbuch wird nicht nur einmalig, sondern regelmäßig mit den Kontakten auf den Sicher-Servern abgeglichen – was „regelmäßig“ in Zahlen bedeutet, erfahren wir jedoch nicht. Der Name und die Telefonnummer des Kontakts werden dabei an den Server gesendet und mit der User-Liste abgeglichen. Gespeichert werden die Daten laut Datenschutzerklärung nicht und der Datenaustausch mit dem Adressbuch wird via SSL abgesichert. Sehr gerne lesen wir, dass die SHAPE GmbH weder persönliche noch nicht-identifizierende Daten an Dritte weitergibt. Es werden keine Nutzungsstatistiken erstellt, keine Absturz- oder Fehlerberichte gesammelt, es existiert keine Werbung und keine Verbindung zu sozialen Netzwerken. Das finden wir richtig gut – es ist das erste Mal, dass wir dies explizit so lesen. Das einzige Szenario, in dem die Weitergabe Ihrer Daten an Dritte denkbar ist, wäre eine gesetzliche bzw. gerichtliche Anordnung. Jederzeit können Sie sich an die in der Datenschutzvereinbarung angegebene Adresse wenden, wenn Sie Fragen zu Ihren Daten oder dem Datenschutz haben.
Die Sicherheit von Sicher
Ende-zu-Ende-Verschlüsselung für Nachrichten und Dateien, Selbstzerstörungs-Mechanismus für Nachrichten, lokale Verschlüsselung, Transportverschlüsselung für den Versand und Server in Deutschland: klingt sehr gut! Schade, dass es auch bei Sicher nicht ohne ein Aber geht: Es kommen RSA-Schlüssel mit 1.024 Bit Länge zum Einsatz – bereits seit 2003 gilt dieses Verfahren nicht mehr als sicher. Ein weiterer Kritikpunkt ist die Tatsache, dass das Adressbuch einmal bei Registrierung und dann in regelmäßigen Abständen, die nicht weiter definiert werden, gescannt wird. Namen und Mobilfunknummern werden abgeglichen, wenn auch nicht gespeichert. Dass es beim Scannen des Adressbuchs keinerlei Möglichkeit gibt, dem zu widersprechen, ist aus Datenschutzsicht ärgerlich.
Fazit Sicher: Gutes Grundkonzept mit mangelnder Ausführung
Optik, Bedienbarkeit, Features, Grundgedanken zur Privatsphäre und Sicherheit: all das stimmt bei der Messenger-App Sicher. Dass unverschlüsselte Nachrichten weder versendet noch empfangen werden können, ist großartig – dieser Eindruck wird jedoch allein schon durch den Gedanken der unsicheren 1.024 Bit langen RSA-Schlüssel zerstört. Hier wäre eine effizientere Verschlüsselungsmethode wünschenswert. Während der Registrierung wäre zudem der Hinweis auf die Wichtigkeit eines strengen Passworts wichtig, idealerweise ergänzt um eine effektive Sicherheitsampel, die auch dem weniger versierten User zeigt, was ein sicheres Passwort ausmacht. Es geht darum, dass dieses Passwort lokal Inhalte verschlüsselt – hier müssen die Entwickler den Nutzer mehr an die Hand nehmen. Unsere letzte Kritik trifft das Schnüffeln im Adressbuch; nicht nur einmalig bei Anmeldung, sondern auch zwischendurch immer mal wieder.
Punkten kann der Messenger mit beeindruckender Funktionsvielfalt, jedoch warten die User langsam aber sicher auf ein Update: seit Juni 2014 ist in der Android-App, seit Oktober 2014 in der iOS-App und seit November 2014 in der Windows Phone-App nichts mehr passiert, auch auf der Facebook-Fanpage schweigt man sich aus. Wir sind uns sicher, dass in der Messenger-App ein riesiges Potenzial schlummert, jedoch müssten sich die Entwickler zum Nutzen dieses Potenzials etwas mehr mit der aktuellen Verschlüsselung auseinandersetzen und den Nutzern gelegentliches Futter in Form von Funktions- und Sicherheitsupdates spendieren.
Zusammenfassung Sicher
- Verbreitung: Android, iOS, Windows Phone; Smartphones & Tablets
- Einschränkungen: BlackBerry OS
- Installation: einfach
- Kontakte rüberziehen: Telefonbuch wird automatisch durchsucht
- Optik/ Bedienbarkeit: intuitive Bedienung, vielfältige Funktionen inkl. Selbstzerstörungsfunktion von Nachrichten
- Flexibilität: Text- und Medienversand, Einzel- und Gruppenchats
- Kosten: kostenfrei für Android (ggf. In-App-Käufe), 1,49 € für Windows Phone, 1,99 € für iOS
- Organisation/ Land hinter dem Service: SHAPE GmbH, Deutschland
- Verschlüsselung: Ende-zu-Ende-Verschlüsselung, sehr gut
- Quellcode: nicht offen
- Datenschutz: Datenschutzrichtlinien schwer auffindbar, leider ausschließlich englischsprachig, daher eventuell Sprachbarrieren. Inhaltlich positiv, keine Hintertüren.
- AGB: leicht auffindbar, leider ausschließlich englischsprachig, daher eventuell Sprachbarrieren.
- Zuverlässigkeit: keine Probleme in unserem Test; diverse Bewertungen in App-Stores zeigen Funktionsstörungen
- Sicherheitsprobleme: keine
- Jugendfilter: nicht vorhanden
- Datenspeicherung: Nachrichten werden nach dem Herunterladen durch den Empfänger gelöscht, spätestens nach 14 Tagen auch ohne herunterladen. Rechenzentrum befindet sich in Deutschland, Passwörter oder Nachrichteninhalte werden nicht gespeichert, Telefonnummern zur Kontakte-Erkennung
- XMPP: nein
- Finanzierung: durch Download-Kosten
Schreibe einen Kommentar