Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
25. Januar 2021

Messenger-Matrix: Übersicht / Vergleich der aktuellen Messenger

1. ArtikelserieMessenger-Matrix

Jede WhatsApp-Nachricht füttert die Datenkrake Zuckerbergs – doch es gibt längst Alternativen, auf die man ausweichen kann. Möchte man von WhatsApp weg, muss man je nach Anspruch schon sehr genau hinschauen, ob eine Alternative tatsächlich eine Verbesserung mit sich bringt oder ob es am Ende nur heißt: Vom Regen in die Traufe kommen. Als Nutzer hat man dabei sprichwörtlich die »Qual der Wahl«. Es gibt mittlerweile so viele Messenger, dass es beinahe unmöglich ist, jeden einzelnen zu bewerten bzw. vorzustellen. Die Artikelserie »Die verrückte Welt der Messenger« wirft einen Blick auf die bekanntesten Messenger und betrachtet folgende Kriterien:

  • Verschlüsselung | Kryptografie
  • Zentral | Föderiert oder Dezentral
  • Metadaten
  • Identifier
  • Quelloffenheit | Transparenz

Ergänzend zu dieser Artikelserie habe ich eine Messenger-Matrix entworfen, die die verschiedenen (technischen) Merkmale diverser Messenger darstellt. Im vorliegenden Beitrag möchte ich die Matrix kurz vorstellen und erläutern.

2. Messenger-Matrix

Ursprünglich habe ich für die Artikelserie »die verrückte Welt der Messenger« die Messenger-Matrix der Piratenpartei verwendet. Diese beinhaltete für meine Anforderungen allerdings zu wenig Kriterien und Details. Aus diesem Grund habe ich die Messenger-Matrix komplett neu aufgebaut, strukturiert und gedacht. Als Quellen dienten unter anderem:

Herausgekommen ist die nachfolgende Messenger-Matrix. Mit einem Klick auf die Matrix öffnet sich eine größere Darstellung – der aktuelle Stand ist oben links als Datum vermerkt:

Messenger-Matrix

2.1 Ampelsystem

Die Matrix unterteilt sich in verschiedene Schwerpunkte:

  • Systemunterstützung
  • Sicherheit & Datenschutz
  • Nachhaltigkeit
  • Funktionen
  • Backup

Aufgrund der Ausrichtung des Kuketz-Blogs soll die Ampelkennzeichnung insbesondere die sicherheits- und datenschutzrelevanten Eigenschaften eines Messengers leicht verständlich signalisieren. Über die Bewertung bzw. Beurteilung einzelner Zellen kann man sich trefflich streiten bzw. diskutieren. Ein paar Beispiele:

  • Verschlüsselungsprotokoll / Bibliothek -> Threema: Weshalb wird die quelloffene Kryptobibliothek NaCl in der Matrix lediglich in gelber Farbe signalisiert? NaCl beherrscht leider keine Perfect Forward Secrecy (PFS). Das Schutzziel Folgenlosigkeit ist daher nicht umsetzbar. Aus diesem Grund erfolgt eine »Abwertung«, da ich dies im Jahr 2021 als durchaus relevant ansehe.
  • Sprachnachrichten -> Element (Matrix): Der Element-Client kann zwar Sprachnachrichten versenden, allerdings beinhaltet der Messenger selbst keine Funktion, um diese zu erstellen. Erst über externe Apps ist die Erstellung einer Sprachnachricht möglich – folglich wird die Funktion mit »nein« bewertet.
  • Backup (Verschlüsselt) -> WhatsApp: Der umstrittene Messenger WhatsApp speichert Backups verschlüsselt in der Google-Cloud (Google Drive). Kritische Nutzer fordern die Einfärbung der Zelle in roter Farbe, um zu warnen, dass hiermit die Ende-zu-Ende-Verschlüsselung ausgehebelt wird. Das stimmt, wie man in der WhatsApp-FAQ nachlesen kann. Dieser Umstand spielt bei der Bewertung dieser Zelle allerdings keine Rolle. Entscheidend ist, ob ein Backup verschlüsselt (grün) oder unverschlüsselt (rot) ist. Im Fall von WhatsApp ist das Backup verschlüsselt – allerdings ist fraglich, wer am Ende die Kontrolle über die Schlüssel hat. Die gelbe Signalfarbe ist an dieser Stelle ein Kompromiss.

Solche Fragestellungen bzw. Entscheidungen durchziehen die komplette Matrix. Letztendlich wird es immer Streitpunkte geben, ob und wie man einzelne Kriterien bewerten soll. Das ist vollkommen normal. Sofern ein Austausch auf sachlicher Ebene erfolgt, können wir darüber gerne diskutieren.

2.2 Subjektive Einschätzung

Die letzte Zeile »Empfehlung« basiert auf objektiven Kriterien und kombiniert diese mit meinen persönlichen Erfahrungswerten. Wer meine Beurteilung besser verstehen bzw. nachvollziehen möchte, der sollte die Artikelserie »Die verrückte Welt der Messenger« lesen.

Eines sollte allerdings klar sein: Eine solche Matrix dient lediglich der Orientierung. Je nach Gewichtung der einzelnen Kriterien und persönlichen Anforderungen wird vermutlich jeder zu einer anderen Einschätzung/Empfehlung kommen. Das ist vollkommen okay so, denn den »besten« oder »sichersten« Messenger gibt es nicht.

2.3 Englische Version

Die Messenger-Matrix ist dank nussfell, thure und theobär ebenfalls in englischer Sprache verfügbar – der aktuelle Stand ist oben links als Datum vermerkt:

Messenger-Matrix

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.4 Aber Messenger XY fehlt!

Die Messenger-Matrix berücksichtigt einige Messenger – aber bei weitem nicht alle. Beim Ausbau der Matrix wären sicherlich auch Messenger wie Tox interessant. Ob und wann eine Erweiterung stattfindet, kann ich aktuell nicht beurteilen. Daher meine Bitte: Keine Messenger-Requests!

3. Fazit

Die Messenger-Matrix dient der Orientierung – dies solltet ihr stets im Hinterkopf behalten. Welchen Messenger ihr letztendlich wählt bzw. nutzt, ist eure ganz persönliche Entscheidung. Wer tiefer in das Thema einsteigen möchte, der sollte die Artikelserie »Die verrückte Welt der Messenger« lesen oder einen Blick in die Empfehlungsecke (Rubrik Messenger) werfen.

Ausblick: Demnächst wird die Messenger-Matrix HTML-Format bereitgestellt. Damit die Messenger-Matrix auf aktuellem Stand bleibt, ist eure Mithilfe erforderlich. Schickt mir eure Korrekturen, Anmerkungen und Hinweise zur Matrix einfach per E-Mail.

Bildquellen:

Square Grid: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
WhatsApp-Alternativen
4. Mai 2021

Datenschutzfreundliche und sichere WhatsApp-Alternativen

Es gibt Messenger-Alternativen, die WhatsApp hinsichtlich Komfort und Benutzerfreundlichkeit in nichts nachstehen und gleichzeitig deutlich datenschutzfreundlicher, transparenter und sicherer sind.
Element (Matrix)
29. Oktober 2020

Element: Messaging über die Matrix – Messenger Teil7

Der Messenger Element entführt euch in die Matrix. Insgesamt hinterlässt der Messenger bzw. das Protokoll einen eher durchwachsenen Eindruck.
Matrix
13. Februar 2018

Messenger: Matrix – Das XMPP für Hobby-Admins?

Messenger-Protokoll: Matrix bietet eine Balance aus einfacher Administrierbarkeit und plattformübergreifender Nutzbarkeit.
Welt der Messenger
27. Januar 2020

Die verrückte Welt der Messenger – Messenger Teil1

Die Artikelserie »Messenger« wird insgesamt acht Messenger vorstellen und diese aus der Perspektive IT-Sicherheit und Datenschutz bewerten.
WhatsApp datenschutzkonform
11. Juli 2017

WhatsApp: Datenschutzkonforme Nutzung möglich?

Ist eine datenschutzkonforme Nutzung von WhatsApp überhaupt möglich?
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

20 Ergänzungen zu “Messenger-Matrix: Übersicht / Vergleich der aktuellen Messenger”

  1. Comment Avatar einergehtnochrein sagt:
    25. Januar 2021 um 12:14 Uhr

    Die NaCl Bibliothek bietet keine PFS, aber Abstreitbarkeit, siehe Threema-Whitepaper.

    • Comment Avatar Mike Kuketz sagt:
      25. Januar 2021 um 12:25 Uhr

      Stimmt! Danke für den Hinweis, ist da (per Copy und Paste) reingerutscht. Das Schutzziel der Abstreitbarkeit wird erfüllt, die Folgenlosigkeit allerdings nicht.

  2. Comment Avatar MrB sagt:
    25. Januar 2021 um 12:58 Uhr

    Signal wird gelistet mit Backupfunktion. Ist das korrekt? Mein Kenntnisstand ist dass es unter iOS keine Backupfunktion gibt und man überlegt diese auch in Android auszubauen.

  3. Comment Avatar SimonG sagt:
    25. Januar 2021 um 21:46 Uhr

    Zum Thema Open Source und Server: Es gibt beim Servercode bekanntlich keine Reproducible Builds. Das heisst, dass Aussenstehende nicht verifizieren können, ob auf dem Server tatsächlich das läuft, was man auf github sieht. Bei Signal wurde der Quellcode des Servers schon mehr als 9 Monate lang nicht mehr aktualisiert und offenbar fehlen auch wichtige Teile. Worin liegt der zusätzliche Erkenntnisgewinn eines nicht vollständigen, nicht aktuellen und nicht überprüfbaren Quellcodes, so dass dieser in der Tabelle eine „grüne“ Wertung verdient?

    • Comment Avatar Mike Kuketz sagt:
      25. Januar 2021 um 22:11 Uhr

      Du beschreibst ein generelles Problem. Ist man nicht selbst der Betreiber, weiß man nicht, was auf dem Server läuft.

      Dennoch halte auch ich es ebenfalls für bedenklich, dass die Signal Foundation über Monate kein Update des einsehbaren Quellcodes vorgenommen hat. Das gilt es im Auge zu behalten. Ich habe beim Punkt Quelloffen eine Abwertung auf »gelb« vorgenommen.

      Gut zu wissen: Das Vertrauen ist bei Signal schwerpunktmäßig im Protokoll bzw. Client verankert. Ebenso wie bei Threema sind die Server mehr eine Art »Relaisstationen«, die Nachrichten und Daten an Teilnehmer weiterleiten, diese aber nicht dauerhaft speichern.

  4. Comment Avatar Don't loose track. sagt:
    26. Januar 2021 um 11:40 Uhr

    Ein Changelog für die Messenger-Matrix wäre sehr hilfreich um nachvollziehen zu können, welche Messenger über welchen Zeitraum welche Änderungen eingebracht haben, die Einfluss auf die Matrix hatten.

  5. Comment Avatar Rainer Zufall sagt:
    26. Januar 2021 um 12:03 Uhr

    – Korrektur: bei Wire ist auch in Android das Backup verschlüsselt.
    – Zum Thema Backup wäre zusätzlich sinnvoll, aufzulisten ob sich die Verschlüsselung ausschalten lässt. Unter der Annahme, dass das Backup als Datei auf der eigenen Festplatte liegt, führt das Vergessen des Passworts zum Verlust des Backups. Daher ist die aktuelle Bewertung fragwürdig. Insbesondere wenn der Zugang zum Messenger selbst auch nicht mit einem Passwort geschützt ist.
    – Es wäre ggf. sinnvoll, für jede Kategorie eine Bewertung zu erstellen und diese dann wiederum zu einer Gesamtbewertung zusammenzufassen. Evtl. auch mit Gewichtung.

    • Comment Avatar einergehtnochrein sagt:
      26. Januar 2021 um 17:17 Uhr

      Zu Deinem zweiten Punkt:

      Das Filesystem eines Messengers ist normalerweise verschlüsselt (zumindest das von den Guten), und es können keine anderen Apps zugreifen. Bei dem Speicher, wo das Backup gesichert wird, ist das schon eher der Fall. Außerdem könnten manche User das Backup in ihren Google Drive Ordner o.Ä. packen, da macht es schon Sinn, wenn es verschlüsselt ist.

  6. Comment Avatar XMPP User sagt:
    26. Januar 2021 um 12:13 Uhr

    Guten Tag,

    laut App Store und Changelog im git beherrscht Siskin seit Version 6.2 OMEMO in MUCs.

    • Comment Avatar Mike Kuketz sagt:
      26. Januar 2021 um 12:24 Uhr

      Danke. Seit dem 11. Januar 2021 wird das unterstützt:

      Added support for OMEMO in group chats and improved VoIP calls.

      Wird beim nächsten Update berücksichtigt!

  7. Comment Avatar Ein User sagt:
    26. Januar 2021 um 17:18 Uhr

    Vielen Dank für die übersichtliche Darstellung.

    Aber sollten „Selbstzerstörende Nachrichten“ nicht als Anti-Feature geführt werden?

  8. Comment Avatar Chol sagt:
    27. Januar 2021 um 10:44 Uhr

    Es gibt bereits so eine Vergleichsmatrix auf Wikipedia: https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern

    • Comment Avatar Mike Kuketz sagt:
      27. Januar 2021 um 10:49 Uhr

      Es gibt sogar noch einige weitere. Die Schwerpunkte und erfassten Funktionen / Kriterien unterscheiden sich jedoch voneinander. Am Ende sagt vermutlich jeder: „Meine Matrix ist die Beste“. ;-)

  9. Comment Avatar John-Matrix sagt:
    29. Januar 2021 um 17:02 Uhr

    In Anbetracht des überwachungs wahnsinns in Deutschland und der EU, sollte man ,, Deutschland ,,( Rechtliche Zuständigkeit ) in der Messenger übersicht nicht auf Gelb oder gleich rot setzen. ??

    Immerhin ist die allgemeine verschlüsselte Kommunikation inzwischen gefährdet.

    https://netzpolitik.org/2020/crypto-wars-eu-staaten-wollen-zugang-zu-verschluesselten-nachrichten/

    https://netzpolitik.org/2021/grosse-koalition-boxt-gesetzentwurf-gegen-expertenmeinungen-durch/

    Danke aber für die Mühen :-)

    • Comment Avatar Mike Kuketz sagt:
      29. Januar 2021 um 20:45 Uhr

      Beschlossen ist es. Umgesetzt ist aber noch nichts, sondern befindet sich in Planung. Ich berücksichtige nur die aktuelle Lage und nicht das, was zukünftig vielleicht mal sein wird.

  10. Comment Avatar Nick sagt:
    18. Februar 2021 um 02:18 Uhr

    Bezüglich GNU Jami gibt es Fehler in der Matrix. Denn PFS wird sehr wohl unterstützt, auf Basis von TLS 1.3/DTLS 1.2. Ebenfalls gibt es schon lange Gruppenchats, wie auch unbegrenzte Videokonferenzen. Ein Audit fehlt leider noch, aber ist bekanntermaßen eine Frage des Geldes.

    • Comment Avatar Mike Kuketz sagt:
      18. Februar 2021 um 11:20 Uhr

      Stimmt:

      Jami provides perfect forward secrecy for calls and in call text
      messages with different Eliptic Curve Diffie-Hellman key negociation at
      every call. For out of call messaging single RSA-4096 is used. The
      cryptography library used is GNUTLS

      Gruppenchats (Text-Messaging) allerdings bisher nicht.

      Ich habe die Änderung aufgenommen. Beim nächsten Update wird es berücksichtigt.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.