Welchen Messenger ihr benutzt, ist nicht egal. Es gibt verschiedene Anbieter auf dem Markt, die alle ähnliche Services bieten, aber dennoch sehr verschieden sind. Gerade hat der sichere Messenger Signal seine enge Kooperation mit der Ukraine aufgekündigt. Das ist Grund genug, darüber nachzudenken.

Die mit Abstand unsicherste Art, Nachrichten zu verschicken ist die SMS. Das sollte man bedenken, wenn man 2FA per SMS macht. Alle Messenger, die das Internet nutzen, verschlüsseln die Verbindung sicher. Aber das reicht nicht. Denn die verschlüsselte Verbindung muss irgendwo auch wieder entschlüsselt werden, um die Nachricht lesbar zu machen oder die Voice- oder Video-Message und Anrufe hör- und sehbar. Die unsichersten Möglichkeiten, private Nachrichten im Internet zu übermitteln, sind daher DMs auf Social Media Plattformen wie Bluesky, 𝕏, Facebook und anderen. Prinzipbedingt endet die Verschlüsselung auf den Servern der Plattform. Jede:r Mitarbeitende der Firmen hat theoretisch Zugriff auf den Inhalt der Nachrichten. Und auch deren AI Modelle.

Das gilt genauso für den ältesten aktiven „Messenger“ im Internet: Die Email. Wer per Gmail Mails verschickt, gibt Google Zugriff auf alle persönlichen Mails und die trainieren damit ihre AI. Deswegen ist Gmail auch keineswegs kostenlos: Man bezahlt mit der Aufgabe seiner Privatsphäre.

Ende-zu-Ende

Wenn aber die Nachrichten Ende-zu-Ende verschlüsselt werden, wie etwa bei WhatsApp, dann ist doch alles ok? Dann kann doch weder der Anbieter des Messengers, noch sonst jemand mit Zugriff auf meinen Datenverkehr (wie der Internetanbieter oder Handynetzbetreiber) meine Nachrichten mitlesen!

Nein. Was viele nicht bedenken ist, dass Gruppen niemals Ende-zu-Ende verschlüsselt sind. Egal bei welchem Messenger. WhatsApp-Gruppen sind quasi öffentliche Daten. Und das ist nicht alles.

Das Telefonbuch ist eines der privatesten Dinge, die man auf seinem Smartphone mit sich herumträgt. Messenger wollen grundsätzlich darauf zugreifen. Es ist ja so schön praktisch, die Kontakte zentral zu verwalten, also lässt man es zu. Und schon kennt der Anbieter Dein privates soziales Umfeld. Telegram ist ein Negativbeispiel. Sie übertragen alle Namen und Telefonnummern auf ihre Server im Klartext. Und wenn man etwa auf dem iPhone den Zugriff auf das Telefonbuch verweigert, kann man keine Chats beginnen. Immer muss die andere Seite das tun. Und dessen Telefonbuch mit Deiner Nummer hochladen.

Und das ist ein Problem, was nicht nur einen selbst betrifft. Wenn Du sagst: „Mir doch egal, ich habe nix zu verbergen. Sollen die mit meinen Daten machen, was sie wollen, das ist mir der kostenlose Dienst wert!“, dann vergisst Du, dass Du eine Entscheidung über die Aufgabe der Privatsphäre nicht nur für Dich, sondern für alle in Deinem Telefonbuch getroffen hast.

Messenger brauchen diese Daten, um einfacher herauszufinden, welchen von Deinen Kontakten du über ihre Platform erreichen kannst. Sie machen so die Kommunikation einfacher. Aber dafür braucht man nicht die eigentlichen Telefonnummern, es reicht ein verschlüsselter Hash, den man abgleichen kann. Signal macht das etwa so.

Telefonnummern?

Warum braucht man eigentlich eine Telefonnummer, um mit jemandem zu kommunizieren? WhatsApp ist geboren als kostenlose SMS-Alternative, als SMS noch sündteuer waren. Es war folgerichtig, dass man die Telefonnummer als Kontaktadresse benutzt. Aber wenn man diese Nummer nicht herausgeben will oder sie wechselt, was dann? Die Möglichkeit ohne Nummer zu kommunizieren wurde inzwischen bei fast allen Messengern nachgerüstet. Aber nicht alle benutzen das.

Telefonnummern haben aber noch eine andere Relevanz. Da diese Nummer für 2FA benutzt wird, können Anbieter wie Meta oder Google dank dieser Nummer Accounts intern verbinden, die auf den ersten Blick nichts miteinander zu tun haben. Als Meta WhatsApp gekauft hat, wurden sie verpflichtet diesen Schatz an Telefonnummern nicht mit Facebook-Accounts abzugleichen. Haben sie versprochen und sofort gebrochen. There goes my Privatsphäre again.

Metadaten

Facebook hat sich ehrlich gemacht und sich in Meta umfirmiert. Denn Metadaten sind ein großes Geschäft. Auch wenn alle Nachrichten Ende-zu-Ende verschlüsselt sind, sagen die Metadaten mehr über mich aus, als einem vielleicht bewusst ist. Diese Daten sind reicher, als man denkt: Wann von wo aus mit welcher IP mit wie viel Datenvolumen (nur Text oder Voice oder Bilder oder Video?) und wie oft zu welchen Uhrzeiten kommuniziere ich mit wem? Meta weiss noch vor Dir selbst, wenn Du eine Affaire anfängst!

Lauschangriff

Dazu kommt noch, dass Messenger bei App-Stores andere Sicherheitsfreigaben eingeräumt bekommen als andere Apps. Etwa dürfen sie im Hintergrund aktiv bleiben. Andere werden nach wenigen Minuten einfach beendet. Und das wurde und wird für Dinge genutzt, die nicht im Interesse des Benutzers sind. Etwa das belauschen von Gesprächen über das Mikrofon oder die konstante Protokollierung der GPS Aufenthaltsdaten.

Welchen soll ich nun nehmen??

Die Antwort ist: Auf keinen Fall nur einen. Und möglichst kein WhatsApp. Der nach Meinung vieler sicherste Messenger auf dem Markt ist Threema aus der Schweiz. Der kostet aber Geld und das ist doppelt ein Problem: Erstens: Geld ist immer knapp. Allerdings kann man argumentieren, dass Privatsphäre diesen Preis mehr als wert sein sollte. Allerdings führt das zu Zweitens: Dort findet man üblicherweise seine Kontakte schlicht nicht. Und dafür nutzt man doch Messenger.

Ich persönlich nutze folgende Messenger:

1. Signal: Ja, das mit der Ukraine ist doof, aber nicht kritisch (siehe weiter unten). Signal ist ausserdem ein US-Unternehmen, was aktuell ein echtes Problem geworden ist. Dennoch ist er nach Threema die sicherste Alternative.
2. iMessage: Warum? Weil ich mit dem Kauf eines iPhones meine Seele bereits an Apple verkauft habe. Das heisst, der Zugewinn an Information über mich durch die Nutzung von iMessage ist vergleichsweise gering. Bei einem Android-Telefon verkaufe ich meine Seele an Google und an einen Dritthersteller der Handyhardware und Software wie Samsung. Das ist mir noch undurchsichtiger.
3. Telegram: Allerdings ohne Zugriff auf mein Adressbuch. Was die Nutzung einschränkt. Es ist auch nur ein Backup, falls Signal oder iMessage ausfallen.
4. DMs auf Bluesky. Aber nur für flüchtige Bekanntschaften. Menschen, mit denen ich länger Kommuniziere ziehe ich auf eine der Plattformen 1-3.

WhatsApp gibt es auf meinem Telefon nicht. Zum Leidwesen von Jenny, die WhatsApp hat und deswegen in alle Elterngruppen gehen muss… Und das ist ein Problem, für das ich keine Lösung habe: Was, wenn ich durch externe Zwänge auf eine Platform gedrängt werde? Zweithandy vielleicht?

Nachtrag: Signal und Ukraine

Der oben verlinkte Artikel berichtet, dass die Zusammenarbeit von Signal mit der Ukraine reduziert wurde. Diese Zusammenarbeit bedeutete niemals, dass Signal sensible Informationen an die Ukraine weitergegeben hat wie etwa Standorte von russischen Soldaten mit Signal auf dem Handy. Es war eine Soforthilfe bei Hackerangriffen auf Ukrainische Militärangehörige und Offizielle. Accountübernahmen durch Phishing und Missbrauch der Funktion, einen Messenger auch auf dem Laptop nutzen zu können, also den selben Schlüssel auf mehreren Geräten für die Ende-Zu-Ende Verschlüsselung zu nutzen. Jetzt ist die Ukraine auf sich selbst gestellt und bekommt den selben Support wie jeder andere Nutzer der App. Aber sie können sie selbstverständlich weiter nutzen.