Sicher?

WhatsApp, Telegram, Threema: Sicherheit in Messengern

Wir haben uns gefragt: Welche Sicherheitsfunktionen werden in Messengern angeboten? Verglichen haben wir WhatsApp, Telegram, Threema, Facebook Messenger, Viber, Signal und Wire.
Von

Smartphone-Messenger stehen hoch im Kurs. Zu den beliebtesten Diensten zählt mit 1,5 Milliarden Nutzern weltweit WhatsApp. In Deutschland nutzen den zum Facebook-Konzern gehörenden Dienst rund 89 Prozent der 14 bis 60-Jährigen nahezu täglich. Aber auch andere Messaging-Dienste haben ihre Daseinsberechtigung. Wir vergleichen weitere beliebte Chat-Apps wie Telegramm, Threema, Facebook Messenger, Viber, Signal und Wire. Den Fokus legen wir dabei auf die wesentlichen einstellbaren Sicherheitsfunktionen. Info: Im Rahmen des Tests prüften wir die aktuellen iOS-Versionen der Messenger.

Bei den meisten Messengern überspringen Nutzer die Option, sich über einen Benutzernamen und Passwort vor jeder Verwendung in den Dienst einzuloggen. Beim Klick auf die App öffnet sich diese in der Regel ohne Angabe von Account-Details. Der Facebook Messenger setzt seit 2015 kein eigenes Facebook-Konto voraus. Nutzer, die aber ein Facebook-Konto haben, können dieses mit dem Messenger verknüpfen. Sofern sie in der Facebook-App angemeldet sind, können sie sich mit einem Klick in der Messenger-App anmelden, ohne die Zugangsdaten erneut einzugeben. Nutzer, die kein Facebook-Konto besitzen, benötigen eine Handynummer, um den Dienst verwenden zu können. Einige Messenger bieten aber auch direkt über die App selbst einen Schutzmechanismus per Passwort oder Touch ID (iOS).

WhatsApp

Als Verschlüsselungsmethode der Nachrichten zwischen Nutzern verwendet WhatsApp die Ende-zu-Ende-Verschlüsselung. Diese Option ist laut Angaben auf der FAQ-Seite von WhatsApp dauerhaft aktiv und kann nicht abgeschaltet werden. Weder WhatsApp noch Dritte sollen die Nachrichten zwischen Nutzern mitlesen können. Unter Kontaktinfo eines Nutzers lassen sich Informationen zu der Methode abrufen. Bei einem Klick darauf erscheint die Option "Sicherheitsnummer bestätigen". Dabei handelt es sich aber nicht um eine Aktivierungsmöglichkeit der Ende-zu-Ende-Verschlüsselung, sondern um eine optionale Bestätigung. So können zwei Nutzer anhand eines übereinstimmenden Codes sehen, dass die Nachrichten nur von beiden gelesen werden können. Zur Bestätigung des Codes müssen sich die Nutzer jedoch persönlich sehen und den QR-Code auf dem Telefon des anderen (nur einmal notwendig) scannen.

Alle Messenger (im Bild: WhatsApp) setzen auf eine Ende-zu-Ende-Verschlüsselung. Alle Messenger (im Bild: WhatsApp) setzen auf eine Ende-zu-Ende-Verschlüsselung.
Screenshot: teltarif.de
Unter Datenschutz können verschiedene Optionen eingestellt werden. Der Nutzer kann seinen Kontakten so offenbaren oder verschleiern, wann er zuletzt online gewesen ist und welcher der Kontakte sein Profilbild und den Status kann. Zudem lässt sich einstellen, wer den Live-Standort des Nutzers verfolgen kann, eine Liste der blockierten Nutzer anzeigen und Lesebestätigungen (de)aktivieren. Unter "Sicherheit" lassen sich Sicherheitsbenachrichtigungen aktivieren. Das Feature dient dazu, den Nutzer zu informieren, sobald sich die Sicherheitsnummer eines Kontakts ändert.

Nutzer können ihren Account mit einer zusätzlichen Verifizierungsmethode (PIN) ausstatten, wenn eine erneute WhatsApp-Registrierung mit der Telefonnummer erfolgt. WhatsApp bietet keinen eigenen Passwortschutz an, um den Zugriff auf die App zu beschränken.

Telegram

Der Messenger unterstützt zwei Verschlüsselungsebenen: Zum einen wird eine Server-Client-Verschlüsselung in privaten Chats und Gruppenchats eingesetzt. Zum anderen setzen geheime Chats auf eine zusätzliche Ebene der Client-Client-Verschlüsselung. Alle Daten werden auf die gleiche Weise verschlüsselt. Telegram erlaubt unter "Privatsphäre und Sicherheit" die Blockierung von Nutzern, zuletzt gesehen, wer den Nutzer per Sprach-Anruf kontaktieren und ihn in Gruppenchats einladen darf.

In Telegram lässt sich die Chatliste per PIN-Code sperren. In Telegram lässt sich die Chatliste per PIN-Code sperren.
Screenshot: teltarif.de
Die App kann nicht direkt gesperrt werden, es lassen sich aber einzelne Chats per PIN/Touch ID sperren und entsperren. Ist das Feature aktiv, erscheint ein Schloss über der Chatliste. Vergessen Nutzer den Code allerdings, muss Telegram gelöscht und neu installiert werden. Geheime Chats gehen dabei verloren.

Wollen sich Nutzer auf einem neuen Gerät anmelden, kann mit Hilfe einer zweistufigen Verifikation zusätzlich zum SMS-Code ein eigenes Passwort erstellt werden, das abgefragt wird. Wird Telegram nicht mehr genutzt, kann ein Zeitraum festgelegt werden, nach dem das Konto mit allen Nachrichten und Kontakten gelöscht wird. Voreingestellt sind sechs Monate.

Threema

Threema nutzt auch die Ende-zu-Ende-Verschlüsselung. Die App selbst kann entweder per Code oder Touch ID gesperrt werden. Nutzer können einstellen, dass alle Daten in der App nach zehn Fehlversuchen gelöscht werden. In den Privatsphäre-Einstellungen lässt sich festlegen, ob Lesebestätigungen gesendet werden, die Meldung erscheint, wenn der Nutzer gerade tippt und ob Threema-Anrufe erlaubt werden. Die Anrufe können bei Bedarf auch über den Server geleitet werden, zum Beispiel bei unverifizierten Kontakten. Diese Möglichkeit kann aber unter Umständen die IP-Adresse des Nutzers preisgeben.

Jeder Kontakt wird anhand einer Vertrauensstufe (Drei-Punkte-System) bewertet. Jeder Kontakt wird anhand einer Vertrauensstufe (Drei-Punkte-System) bewertet.
Screenshot: teltarif.de
Einzelne Kontakte können mit einer Vertrauensstufe besiegelt werden. Diese wird in einer Art Ampel-System mit Punkten angegeben. Die höchste Vertrauensstufe zeigt sich durch drei grüne Punkte. Diese Stufe kann nur durch das persönliche Scannen des QR Codes erreicht werden. Zwei orangefarbene Punkte besagen: Der Kontakt wurde mit verifizierter Telefonnummer oder E-Mail-Adresse im Adressbuch gefunden. Die niedrigste Vertrauensstufe ist durch einen roten Punkt beschrieben und verweist auf einen anonymen Kontakt. Die Threema-ID ist zwar entsprechend bekannt, aber nicht mit einer dem Nutzer bekannten Telefonnummer oder E-Mail-Adresse verlinkt.

Auf der nächsten Seite gehen wir auf die Sicherheitsfunktionen von Facebook Messenger, Viber, Signal und Wire ein.

Mehr zum Thema WhatsApp