Produktvergleich

WhatsApp, E-Mail, SMS & Co. auf Sicherheit und Nachhaltigkeit bewertet

Mit der Inkraftsetzung neuer Überwachungsgesetze und der Datenweitergabe von WhatsApp an Facebook ist die Wahl des «richtigen» Messengers für viele ein Thema. Auch Journalisten sorgen sich um den Quellenschutz und ihre Informantinnen. Die Digitale Gesellschaft hat daher gängige und unbekanntere Programme auf Sicherheit und Nachhaltigkeit bewertet und auch mit herkömmlichen Diensten, wie z.B. der Briefpost, verglichen.

Die Liste von Kommunikationsprogrammen resp. Diensten ist lang. Eine Auswahl schwierig. Meist wird daher der Dienst zur eigenen Gewohnheit übernommen, welcher auch das persönliche Umfeld am häufigsten benutzt. Die Unterschiede sind jedoch gross, so dass sich eine genauere Betrachtung lohnt.

Messenger Bewertung

Ein wichtiges Kriterium ist die Sicherheit. Persönliche Kommunikation sollte angemessen geschützt sein. Sie geht weder den Anbieter noch die Geheimdienste etwas an. Daher haben seit den Snowden-Veröffentlichungen auch grosse Anbieter wie WhatsApp Ende-zu-Ende-Verschlüsselung der Nachrichten eingeführt. Neben der Privatsphäre gibt es jedoch noch weitere wichtige Aspekte, wie Nachhaltigkeit, Metadaten- & Vorratsdatenspeicherung (aus Schweizer Perspektive) sowie Benutzerfreundlichkeit.

Die Digitale Gesellschaft hat die gängigsten Kommunikationsprogramme verglichen. Sie sollen entweder bereits von vielen Personen benutzt werden und auf den verbreitetsten Plattformen zur Verfügung stehen – oder eine noch unbekanntere, vielversprechende «Alternative» darstellen. In den Vergleich mit aufgenommen wurden auch seit Jahren gebräuchliche Dienste, wie die «gute alte» Briefpost und das Festnetztelefon, sowie speziell für die Sicherheit gebaute, sogenannte Crypto-Handys.

Resultate

Festnetz- und Mobilfunktelefon wie auch SMS-Nachrichten schneiden schlecht ab. Auch wenn der Vergleich mit (Instant) Messenger etwas hinkt, führen schlechte Verschlüsselung und die Vorratsdatenspeicherung zu einem ungenügenden Resultat.

Die klassische E-Mail schneidet hingegen besser ab, als gemeinhin angenommen: Vorratsdatenspeicherung kann mit der Wahl des Mailproviders vermieden werden. Auch Transportverschlüsselung wird heute meist eingesetzt (wenn auch ohne Verifikation des Kommunikationspartners). Der offene Standard führt zu einer weiten Verbreitung und einfachen Anwendung. Mit zusätzlichen Erweiterungen, wie GnuPG oder pEp, kann die Sicherheit der E-Mail weiter verbessert werden. Dies im Falle von GnuPG aber auf Kosten einer weniger benutzerfreundlichen Bedienung.

Bei den Messengern zum schnellen Nachrichtenaustausch fallen WhatsApp und iMessage durch. Gut sind hingegen Threema, Signal und Wire. Sehr gut schneidet insgesamt das offene Jabber/XMPP mit OTR ab. Leider ist auch hier ist die Benutzerfreundlichkeit noch vergleichsweise schlecht. Neue Verschlüsselungsprotokolle und Erweiterungen für die mobile Anwendung verbessern diese jedoch stetig.

Für Video-Telefonie können Skype und Hangouts nicht empfohlen werden. Hingegen stellen die beiden Open Source Projekte Retroshare und Tox sehr gute wenngleich noch wenig verbreitete Alternativen dar.

Abschliessend kann folgende Empfehlung ausgesprochen werden:

Sehr gut:

Gut:

Nicht empfehlenswert:

Die komplette Übersicht mit allen getesteten Anwendungen gib es online.

Erfreulicherweise gibt es in jeder Programm-Kategorie sehr gute Produkte. Für den täglichen Gebrauch sind die mit «gut» bewerteten Produkte ausreichend sicher. Bei E-Mail gilt es allerdings den Mailanbieter sorgfältig zu wählen. Dies könnte z.B. posteo.de oder mailbox.org sein. Die Kriterien zu Sicherheit und Privatsphäre sowie Nachhaltigkeit stehen oft im Widerspruch zur Benutzerfreundlichkeit. Die Gewichtung sollte entsprechend den eigenen Präferenzen und dem individuellen Anwendungsfall angepasst werden.

Kriterien

Für den Vergleich fanden folgende Kriterien Verwendung:

Sicherheit und Privatsphäre

  • Keine Metadatenspeicherung: Es findet keine (bekannte) Speicherung von Metadaten durch den Anbieter für eigene Zwecke oder für Strafuntersuchungsbehörden resp. Geheimdienste statt (Vorratsdatenspeicherung). Achtung: Bei der Verwendung der vorgestellten Programme auf dem Handy per Mobilfunknetz fallen zusätzlich Vorratsdaten an.
  • Transportverschlüsselung: Die Nachrichten sind während dem Transport wirkungsvoll verschlüsselt; können vom Dienstanbieter aber eingesehen werden. Die Metadaten sind bei der Übertragung geschützt.
  • Ende-zu-Ende-Verschlüsselung: Die Nachrichten können nur von den beteiligten Kommunikationspartnern gelesen werden. Diese können sich gegenseitig verifizieren (authentisieren).
  • Security-/Code-Audits: Es gibt aktuelle und unabhängige Untersuchungen des Source Codes zu den verwendeten Verschlüsselungsmethoden. Open Source Software ohne aktuelle Untersuchung erfüllt die Anforderung zur Hälfte.
  • Wählbare Identifikation: Die Benutzeridentifikation ist nicht an eine Telefonnummer, den Personennamen und/oder die physische Adresse gebunden.
  • Kein Adressbuchupload/-Zugriff: Es findet keine Synchronisation (Abgleich) des Adressbuchs zum Anbieter statt.

Nachhaltigkeit

  • Offener Standard: Es wird ein offener Standard verwendet, der frei implementiert werden kann.
  • Open Source Software: Die Software steht im Quellcode zur Verfügung und kann von Dritten eingesehen, geändert und weiterverwendet werden.
  • Dezentrale Architektur: Die Software ist nicht von einem einzigen, zentralen Anbieter abhängig.

Sonstiges

  • Benutzerfreundlich: Die Anwendung ist einfach verständlich und mit wenigen Klicks einsatzbereit. Sie steht für die gängigsten Plattformen (Desktop PCs, Handy, Web) zur Verfügung.

Alle Kriterien werden gleichwertig in der Schlussbewertung verwendet: Für jedes «erfüllt» (drei Sterne) wird ein ganzer Punkt, pro «teilweise erfüllt» (zwei Sterne) ein halber Punkt vergeben. Dienste mit 7.5 und mehr Punkten sind «sehr gut». Fünf und mehr Punkte reichen für ein «gut».

Bei Verwendung von Produkten, die offenen Standards folgen (wie E-Mail oder XMPP), kann die individuelle Bewertung einzelner Kriterien – ja nach Wahl des Anbieters resp. Programms – abweichend ausfallen.

Die Auswahl der Kriterien wurde – anhand der Ausgangsfrage – für die private Nutzung oder z.B. durch Journalisten getroffen. Für (grössere) Unternehmen stehen individuellere Kriterien im Vordergrund.

Disclaimer: Die pEp-Foundation ist Mitglied der Digitalen Gesellschaft, und es bestehen freundliche Kontakte zu Privasphere.

Die Digitale Gesellschaft setzt sich für unsere Freiheitsrechte in einer vernetzten Welt ein. Durch eine Mitgliedschaft im gemeinnützigen Verein, als Gönner oder Spenderin kann die Arbeit nachhaltig unterstützt werden. Herzlichen Dank!