Alternative Messenger-Dienste: Tschüss, Whatsapp

Whatsapp will Nutzer:innen, die den neuen, umstrittenen Bedingungen nicht zustimmen, schrittweise Funktionen abschalten. Dabei gibt es alternative Dienste, die einiges besser machen.

Eine Frau zeigt ihrem Handy wütend einen Mittelfinger

Schimpfen über Whatsapp, dafür gibt es gute Gründe Foto: Jan Tepass/imago

Der Fußballverein ist der Klassiker. Eine Horde von mindestens mehreren Dutzend Menschen, die sich an Whatsapp festketten, als hinge die Zukunft ihres Teams davon ab. Und man selbst kommt als Eltern oder neuer Mit­spie­le­r:in dazu, legt ein kleines bisschen mehr Wert auf das, was Datenschutz und Privatsphäre heißt und steht dann ziemlich schnell vor der Entscheidung: Was ist dir wichtiger – Privatsphäre oder Fußball?

Nun wäre es soziologisch sicher eine interessante Untersuchung, ob Mitglieder von Fußballvereinen strukturell stärker zu einer gewissen das-haben-wir-hier-schon-immer-so-gemacht-Haltung neigen, die einen Wechsel des Messenger-Dienstes verhindert. Oder ob das Phänomen in anderen Sportarten oder der Gesellschaft insgesamt ähnlich verbreitet ist. Die aktuelle Entwicklung jedenfalls legt nahe, dass sich gesamtgesellschaftlich durchaus etwas tut.

Seitdem Whatsapp seine Nutzungs- und Datenschutzbedingungen auf reichlich interpretationsbedürftige Art und Weise geändert hat, melden konkurrierende Messenger-Dienste rasant steigende Nutzerzahlen. Als Reaktion darauf hat Whatsapp das Inkrafttreten der neuen Regeln von Februar auf Mai verschoben. Was zeigt, wie ernst der Mutterkonzern Facebook die Entwicklung nimmt. Und wie viel es bringt, zu wechseln.

Daher für alle, die immer noch bei Whatsapp festhängen, egal ob freiwillig oder gezwungenermaßen oder aus Mangel an Wissen, was eine bessere Alternative wäre, hier eine kleine Hilfe und Übersicht über empfehlenswertere und trotzdem ganz einfach zu nutzende Dienste. Denn wenn genug mitmachen, dann wird eines Tages auch der Fußballverein merken, dass es wunderbare, sichere, privatsphärefreundliche und schicke Messenger gibt, die einem nicht die letzte Information aus dem Profil fressen.

Deshalb ist es das wichtigste, sich zunächst mal von zwei Vorurteilen zu verabschieden: Das erste, dass es pro Smartphone nur einen Messenger geben könne. Nein, ganz im Gegenteil: Es spricht überhaupt nichts dagegen, mehr als einen zu verwenden. Die meisten sind für Pri­vat­nut­ze­r:in­nen ohnehin kostenlos. Und besser drei alternative, datenschutzfreundliche Open-Source-Messenger nutzen, wenn man damit alle Kontakte abdecken kann, als Whatsapp.

Das zweite Vorurteil: Es lohne sich erst dann, eine Alternative zu installieren, wenn man damit Whatsapp vollständig ersetzen kann. Als ob sich die Welt nicht in kleinen Schritten verändern ließe. Jede Nachricht, die nicht über Whatsapp verschickt wird, bedeutet weniger Daten für Facebook. Wenn man schließlich überrascht feststellt, dass zwei Drittel des Fußballvereins doch auch über andere Messenger zu erreichen sind, wird es auch einfacher, das letzte Drittel zu überzeugen.

Signal

Für alle, die mit einem neuen Messenger möglichst viele Menschen erreichen wollen, ist Signal aktuell der vielversprechendste. Schon bevor Whatsapp die neuen, umstrittenen Nutzungsbedingungen veröffentlichte, war er als Zweit-Messenger beliebt, aktuell steigen die Nutzerzahlen weiter. Er ist für die gängigen Plattformen erhältlich, der Quellcode ist Open Source, lässt sich also von kundigen Menschen überprüfen. Hinter Signal steht eine spendenfinanzierte Stiftung. Dass der Dienst kostenlos ist, muss also keinen Argwohn hervorrufen – Nutzerdaten werden anders als bei Whatsapp nicht kommerziell verwertet. Auch der Whistleblower Edward Snowden ist bekennender Nutzer der App. Eine besonders schöne Funktion ist seit Mitte Dezember verfügbar: Bis zu fünf Teil­neh­me­r:in­nen können verschlüsselt zusammen videotelefonieren.

Android-Nutzer:innen, die auf Googles Play Store verzichten wollen, können Signal auch über die Webseite des Anbieters herunterladen. Das kommt allerdings für unerfahrene Nut­ze­r:in­nen eher abschreckend daher: „Danger Zone“ steht über der herunterzuladenden apk-Datei, die nicht auf der normalen Download-Seite verlinkt ist. Versehen mit dem Hinweis, dass nur erfahrene Nut­ze­r:in­nen diese Variante wählen sollten.

Trotzdem hat der Dienst einige, wenn auch eher kleinere, Haken: So lässt sich Signal nur in Verbindung mit der Telefonnummer einrichten. Eine anonyme Nutzung ist damit nur mit einem ziemlich hohen Aufwand möglich. Denn in zahlreichen Ländern – unter anderem in Deutschland – ist es im Prinzip nicht möglich, sich eine Handynummer ohne Registrierung zu beschaffen.

Für die Signal-Nutzung ist es am bequemsten, das eigene Adressbuch hochzuladen, um gleich mit sämtlichen darin befindlichen Kontakten, die auch Signal nutzen, zu kommunizieren. Diese Erlaubnis kann man der App auch verwehren, muss dann allerdings die Kontakte händisch eingeben.

Das Problem ist: Durch die Verknüpfung des Accounts mit der Telefonnummer erfahren andere Nutzer:innen, die die eigene Nummer im Adressbuch gespeichert haben dennoch, dass man nun Signal nutzt. Das kann unerwünscht sein – wenn man beispielsweise der stalkenden Ex-Freundin, die die eigene Nummer immer noch gespeichert hat, signalisiert, dass diese potenziell noch aktuell ist. Wer diese Gefahr sieht, aber dennoch nicht auf Signal verzichten oder sich eine neue Telefonnummer zulegen will, sollte bei der Registrierung nicht den echten Namen angeben.

Die Signal-Stiftung sitzt in den USA und unterliegt damit dem Vorgehen der dortigen Sicherheitsbehörden. Das betrifft etwa die geheimdienstlichen Befugnisse nach der FISA-Gesetzgebung. Demnach müssen Diensteanbieter unter anderem auf Verlangen sämtliche vorhandenen Daten an den Geheimdienst weitergeben. Rechtsmittel für Nut­ze­r:in­nen gibt es nicht.

An Inhalte der Kommunikation kommen die Geheimdienste im Fall Signal dennoch nicht, weil die Nachrichten mit einer starken Ende-zu-Ende-Verschlüsselung versehen sind. Signal gibt an, dass auch die Metadaten – also etwa wer wann mit wem kommuniziert hat – für das Unternehmen nicht oder nicht in lesbarer Form vorliegen.

Als Beispiel ist eine sogenannte Subpoena aus dem Jahr 2016 genannt. Eine Subpoena ist ein juristisches Mittel, um etwa ein Telekommunikationsunternehmen zur Herausgabe von Nutzerdaten zu zwingen. Laut Signal konnten dabei lediglich die Telefonnummer in Verbindung mit dem Datum, zu dem der Account angelegt wurde sowie das Datum der letzten Nutzung angegeben werden – weil mehr Daten nicht vorlagen.

Signals Nutzungsbedingungen sind dabei allerdings widersprüchlich. Hier erteilen Nut­ze­r:in­nen dem Dienst die Erlaubnis, „verschlüsselte Informationen und Metadaten in die USA und andere Staaten“ (Original auf Englisch) zu transferieren. Ob damit gemeint ist, dass auch Metadaten komplett verschlüsselt sind, hat die taz bei Signal angefragt. Ebenso, welche Daten genau auf den Signal-Servern gespeichert werden.

Die Datenschutzerklärung nennt einige Beispiele, etwa zufällig generierte Tokens, führt dann aber interpretationsbedürftig aus: und „anderes Material, das notwendig ist, um Telefonate herzustellen und Nachrichten zu übermitteln“ (Original auf Englisch). Eine Antwort steht bislang aus. In diesem Zusammenhang sollte Signal auch noch an anderer Stelle nachbessern: Die Datenschutzerklärung bekommen Nut­ze­r:in­nen – trotz einer Webseite auf deutsch – nur auf englisch angezeigt. Dabei sieht die europäische Datenschutz-Grundverordnung (DSGVO) vor, dass auch außerhalb der EU ansässige Anbieter, die Waren oder Dienstleistungen in Deutschland anbieten, auch die entsprechenden Klauseln übersetzen.

Einen Ausblick auf ein mögliches weiteres Feature gibt Signal mit dem Test einer Betaphase: Britische Nut­ze­r:in­nen können seit Anfang April ein Wallet – also eine digitale Brieftasche – der Kryptowährung MobileCoin mit ihrem Signal-Account verbinden. „Wir wollen, dass Zahlungen in Signal schnell und privat sind und gut via Mobilgeräten funktionieren“, teilte Signal mit. Die Rezeption dieses Versuchs ist aber durchaus kritisch. Nicht nur, weil Signal-Erfinder Moxie Marlinspike selbst mit MobileCoin verbunden ist.

So schreibt etwa der Sicherheitsexperte Bruce Schneier auf seinem Blog: „Ich denke, das ist eine unglaublich schlechte Idee.“ Unter anderem, weil die App sich damit an eine bestimmte Kryptowährung binde und mit der Einbindung einer Zahlungsmöglichkeit auch die Aufmerksamkeit zahlreicher Behörden auf sich lenke. Schneier schreibt aber, abgesehen von der neuen Einbindung, auch: „Signal ist die beste App, die wir haben.“

Threema

Wer einen Messenger nutzen will, der ohne Verknüpfung mit der Telefonnummer auskommt, ist bei Threema richtig. Die Messenger-App des gleichnamigen Schweizer Unternehmens vereint die Vorteile von Signal – Open Source, starke Verschlüsselung, einfache Nutzung – mit einigen extra-Features in Sachen Datenschutz. So lässt sich die App ohne Angabe einer Telefonnummer nutzen – und damit komplett anonym. Zur Verifizierung und zum Hinzufügen von Kontakten gibt es unterschiedliche Möglichkeiten, auf der höchsten Sicherheitsstufe ist es das gegenseitige Scannen eines QR-Codes. Kontaktlisten und Nachrichten liegen nicht auf Servern, sondern nur auf den Endgeräten der Nutzer:innen.

Für den Versand betreibt das Unternehmen eine eigene Serverinfrastruktur und greift nicht auf externe Anbieter, wie Amazons AWS, zurück. Interessant für Android-Nutzer:innen, die ganz auf Google verzichten wollen: Sie können den Messenger am Google Play Store vorbei installieren, direkt über die Webseite des Anbieters. Der Dienst ist werbefrei und kommerzialisiert auch keine Nutzerdaten.

Die Software kostet daher auch für Pri­vat­nut­ze­r:in­nen etwas: Aktuell sind es knapp vier Euro. Unternehmenskunden zahlen pro Monat, für sie gibt es auch eine kostenlose Testversion. Bekannt ist, dass etwa die Schweizer Regierung Threema einsetzt. In Baden-Württemberg stellt das Land seit vergangenem Jahr Leh­re­r:in­nen an öffentlichen Schulen eine Nutzungslizenz zur Verfügung.

An einer Stelle könnte das Unternehmen allerdings nachbessern: Open Source ist bislang lediglich die Client-Software, also die App. Der Code der Server-Software ist weiterhin nicht überprüfbar.

Wire

Auch Wire bietet die grundlegenden Standards, die ein vertrauenswürdiger Messengerdienst mitbringen sollte: Er ist quelloffen, sogar in Client- und Server-Software, die Inhalte werden Ende-zu-Ende verschlüsselt und die Server befinden sich in der EU. Android-Nutzer:innen können die App auch direkt als apk-Datei von der Webseite herunterladen und damit Googles Play Store umgehen. Weiteres Datenschutz-Feature: Für die Registrierung ist keine Telefonnummer nötig, allerdings muss eine E-Mail-Adresse angegeben werden. Einen Zugriff auf das Adressbuch setzt die App nicht voraus.

Für die Privatnutzung ist Wire kostenlos, für kleinere und größere Unternehmen gibt es kostenpflichtige Versionen mit mehr Funktionen. So können Unternehmen beispielsweise den Server selbst hosten. Videotelefonate mit mehreren Teilnehmenden sind auch in der kostenlosen Version möglich.

Etwas undurchsichtig ist allerdings die Unternehmensstruktur: Es gibt eine Wire Group Holdings GmbH mit Sitz in Berlin und eine Wire Swiss GmbH mit Sitz im Schweizerischen Zug und eine Niederlassung in Kalifornien. In den Datenschutz- und Allgemeinen Geschäftsbedingungen geben sie für EU-Nutzer:innen die Schweiz als Gerichtsstand an.

Telegram

Die Finger lassen sollte man von einem Anbieter, der gerade sehr gehypt wird: Telegram. Das Unternehmen vermarktet sich als sichere Alternative zu Whatsapp. Das liest sich teilweise auch recht gut: Die Client-Software des Messengers ist Open Source und hat einige interessante Funktionen: So können Android-Nutzer:innen sie an Googles Play Store vorbei herunterladen. Der Messenger bietet zahlreiche Funktionen, zwei Beispiele: Über die App lassen sich Zahlungen abwickeln und Sprachchats sind mit einer unbegrenzten Zahl an Teil­neh­me­r:in­nen möglich.

Als Kernfunktion verspricht der Anbieter auf seiner Webseite unter anderem „stark verschlüsselte Nachrichten“. Was er verschweigt: Standardmäßig ist die Kommunikation nicht Ende-zu-Ende verschlüsselt. In den besonders beliebten, weil bis 200.000 Mitglieder starken offenen Gruppenchats sowieso nicht. Aber auch 1:1-Kommunikation ist nur dann verschlüsselt, wenn Nut­ze­r:in­nen extra einen „geheimen“ Chat einrichten. Die verschickten Inhalte liegen, mit Ausnahme der Nachrichten aus geheimen Chats, auf Servern des Unternehmens. Dritte, etwa die Betreiber des Dienstes, aber gegebenenfalls auch Ha­cke­r:in­nen könnten also darauf zugreifen.

Die Nutzung der Telegram-App ist kostenlos, was die Frage nach der Finanzierung stellt. Der Firmengründer schrieb im Dezember, dass er bislang die Ausgaben selbst übernommen habe. Doch ab 2021 sollten Einnahmen generiert werden – wie, dafür hat er in dem Post einige grobe Ideen skizziert. Kostenpflichtige Sticker gehören dazu oder Premium-Kanäle für kommerzielle Anbieter, wo diese Werbung ausspielen können. Das Unternehmen verspricht, dass die persönlichen Daten nicht verkauft werden sollen. Werbung anhand von Inhalts- oder Metadaten ließe sich aber natürlich auch ohne einen Verkauf der Daten realisieren. Firmensitz ist derzeit Dubai, damit unterliegt der Dienst auch dem dortigen Recht.

Für alle, die Telegram genutzt haben, aber zu einem anderen Messenger wechseln möchten, bietet der Dienst allerdings ein schönes Feature: Die eigenen Inhalte, etwa Fotos, Sprachnachrichten oder Chats, lassen sich vergleichsweise einfach exportieren und damit sichern.

Anbieterunabhängige Messenger

Wer sich gar nicht an einen Anbieter binden, aber dennoch verschlüsselt kommunizieren möchte, kann sich für anbieterunabhängige Systeme entscheiden. Einer dieser offenen Standards heißt Matrix. Anwendung findet er etwa in der Software Element. Element ist sowohl als App erhältlich als auch im Browser nutzbar, für Android gibt es sie auch beim Open-Source-App-Store F-Droid. Der Vorteil von offenen Standards ist, dass Nut­ze­r:in­nen nicht bei dem selben Server registriert sein oder den selben Client nutzen müssen, um miteinander zu kommunizieren. Quasi als könnte die Signal-Nutzerin direkt Nachrichten an ihren Whatsapp-Freund schicken. Bei Element lässt sich sogar selbst ein Server hosten.

Im Vergleich zu anbietergebundenen Diensten kommt Element jedoch recht rudimentär daher: Chatten geht, es lassen sich auch Emojis, Bilder und Dateien verschicken und auch eine Anruffunktion ist vorgesehen. Andere Funktionen, die bei Messenger-Diensten mittlweile zum Standard gehören, etwa Sprachnachrichten, bietet Element jedoch nicht.

Eine weitere Option sind Messenger, die auf dem freien XMPP-Protokoll aufsetzen (der Vorläufer firmierte unter dem Namen Jabber). Conversations ist eine der bekannteren Android-Apps. Über Googles Play Store ist sie kostenpflichtig, über F-Droid, einer Plattform für Open-Source-Apps, gibt es sie kostenlos. Für iOS gibt es zum Beispiel die Apps Monal, Siskin IM und ChatSecure. Eine ausführliche Liste der Clients, inklusive der unterstützen Betriebssysteme, gibt es hier. Bei XMPP-Messengern lassen sich Inhalte verschlüsselt und plattformunabhängig verschicken.

Der Haken: Das Einrichten ist häufig etwas komplizierter als bei Apps wie Signal oder Threema. Denn Nut­ze­r:in­nen müssen erst einmal einen Account auf einem XMPP-Server einrichten, eine Liste gibt es zum Beispiel hier. Wie auch bei E-Mail gilt: Die Senderin muss die Adresse des Empfängers kennen. Alternativ bieten Apps wie Quicksy an, die eigenen Kontakte über das Telefonbuch des Smartphones zu verknüpfen, was jedoch den bekannten Datenschutz-Nachteil hat.

SMS

Für alle, die sich auf der sicheren Seite wähnen, weil sie ja eh nur SMS schreiben: SMS sind zwar tatsächlich schön, weil ebenfalls nicht an das Ökosystems eines Messengers gebunden. Aber leider gar nicht verschlüsselt. Doch auch dafür gibt es Abhilfe: die Open-Source-App Silence. Sie ist erhältlich über F-Droid, einem alternativen App-Store für quelloffene Software. Wenn beide Kom­mu­ni­ka­ti­ons­part­ne­r:in­nen ihre SMS und MMS über Silence schicken, sind die Inhalte automatisch verschlüsselt.

Übrigens, der beste Zeitpunkt, einem neuen Messenger eine Chance zu geben, ist: jetzt.

Liebe Leser:innen, zu diesem Text haben uns viele Hinweise und Ergänzungsbitten erreicht, vor allem, was mehr Details zu einzelnen Diensten und die Aufnahme weiterer Anbieter und Apps angeht. Wir werden daher diesen Text immer wieder erweitern und aktualisieren. Hinweise bitte an messengeralternativen@taz.de. Dieser Text wurde zuletzt aktualisiert am 17.05.2021.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.