Zum 15. Mai 2021 ändert Facebook die Nutzungsbedingungen von WhatsApp. Eine wesentliche Änderung betrifft die Weitergabe von Nutzerdaten. Derzeit wird Anwendern eine Warnmeldung angezeigt, die sie täglich ablehnen müssen. Am 15. Mai führt kein Weg mehr daran vorbei, die Änderungen zu akzeptieren. Die einzige Alternative ist der Wechsel zu einem anderen Instant-Messenger. Glücklicherweise gibt es viele Instant-Messenger, bei denen die Sicherheit der Teilnehmer Priorität hat.
Was geht da ab zwischen WhatsApp und Facebook?
Was sich genau ändert, ist nicht unumstritten: Facebook behauptet, die Änderungen seien minimal. Kritiker weisen hingegen auf den Passus hin, in dem Facebook sich die Erlaubnis nimmt, WhatsApp-Daten an das „Mutterschiff“ zu übertragen.
Neben der Weitergabe der Nutzerdaten will WhatsApp künftig die IP-Adressen und Telefonnummern der Anwender nutzen, um deren aktuellen Standort zu ermitteln. Eine weitere bevorstehende Änderung ist die Einführung von Business-Chats über externe Server. Dabei kann es vorkommen, dass persönliche Daten durch Drittanbieter verarbeitet werden.
Facebook wählt für diese Änderungen einen seltsamen Zeitpunkt: In den USA laufen aktuell zwei Klagen mit dem Vorwurf wettbewerbswidriger Praktiken. Die Klage fordert darin, dass Facebook seine Ableger Instagram und WhatsApp abstößt. Es drängt sich der Eindruck auf, dass Facebook die Daten seiner Dienste jetzt schnell zusammenführen möchte, um später behaupten zu können, eine Trennung sei nicht mehr möglich.
Aber sind die Chats bei WhatsApp nicht sicher?
Es stimmt zwar, dass WhatsApp sowohl Einzel- als auch Gruppenchats so verschlüsselt, dass niemand Gespräche abhören kann (Ende-zu-Ende-Verschlüsselung). Dennoch bleiben viele Datenschutzbedenken: So lässt sich WhatsApp nur nutzen, nachdem es die Adressbücher seiner Nutzer auf die Server hochgeladen hat. Diese Funktion dient dazu, WhatsApp-Nutzer abzugleichen, aber es ist unklar, welche Daten dabei bei WhatsApp hängen bleiben.
Darüber hinaus analysiert WhatsApp zahlreiche Metadaten, um Nutzerinformationen zu sammeln. Das Unternehmen mag zwar nicht mitlesen können, worüber sich seine Nutzer unterhalten, aber es sieht durchaus, welche Nutzer sich miteinander unterhalten. Auch Bilder und Statusmeldungen bleiben unverschlüsselt.
Klicken Teilnehmer innerhalb eines Chats auf Weblinks, werden diese URLs protokolliert und nachverfolgt. All diese Daten sind nützlich, um detaillierte Benutzerprofile zu erstellen. Wer weiß, wer mit wem redet und welche Links die Nutzer teilen, für den ist es gar nicht mehr so wichtig, worüber sie sich austauschen.
Alternativen zu WhatsApp
Es gibt eine Redewendung: „Wenn du für etwas nicht bezahlst, bist du nicht der Kunde, sondern das Produkt.“ Wie handhaben aber die Konkurrenten von WhatsApp den Datenschutz?
Im Moment hat WhatsApp drei Hauptkonkurrenten. Threema ist der älteste im Bunde, Signal ist der Neue, und Telegram bekommt gute Presse. Alle drei sind sowohl für Android als auch für iOS verfügbar.
Signal verlässt sich auf Spenden
Obwohl Signal erst seit Kurzem als WhatsApp-Alternative bekannt wird, existiert es schon seit 2014. Genau wie WhatsApp verschlüsselt Signal sowohl Einzel- als auch Gruppenchats sicher. Genau wie WhatsApp ist Signal kostenlos.
Moment! Hatte ich nicht gerade behauptet, dass eine kostenlose App bedeutet, dass der Nutzer das Produkt ist? Nun ... jede Regel hat ihre Ausnahme. Signal wird von einer Stiftung entwickelt, die sich durch Spenden finanziert. 2018 erhielt die Stiftung eine Finanzspritze von 50 Millionen US-Dollars von Brian Acton, einem der Gründer von WhatsApp (welche Ironie...). Selbst wenn Ihr Geldbeutel nicht so viel hergibt: Jedes bisschen hilft.
Bei Signal steht der Datenschutz konsequent im Vordergrund. So greift die App zwar auch auf das Adressbuch des Nutzers zu, lädt es aber nicht komplett hoch, sondern nur die Hash-Werte der darin enthaltenen Telefonnummern.
Was zum Hash ist ein Hash?
Ich erkläre mal kurz Hashes, weil das Thema gleich noch einmal auftaucht: Anstatt alle Adressdaten an seine Server zu senden, nimmt die Signal-App die Telefonnummern und berechnet daraus einen Hash-Wert.
Kryptografische Hashes sind eine Einbahnstraße: Aus dem Hash-Wert lässt sich die Telefonnummer nicht rekonstruieren. Allerdings sind Hash-Werte konsistent, d. h., wenn drei Geräte aus derselben Telefonnummer einen Hash-Wert berechnen, ist das Ergebnis immer derselbe Hash-Wert.
Indem Signal die Hash-Werte aus dem lokalen Adressbuch mit anderen auf seinem Server vergleicht, kann es Nutzern sagen, welche ihrer Kontakte die App verwenden, ohne dass die zentralen Server die Nummern selbst kennen.
Dieser Ansatz ist zwar nicht perfekt (Telefonnummern-Hashes lassen sich knacken), aber immer noch besser als WhatsApp, das einfach das komplette Adressbuch seiner Nutzer hochlädt.
Von Whatsapp zu Signal wechseln
Wer vor WhatsApp flieht, dem dürfte der Umstieg leicht fallen: Neben verschlüsselten Textnachrichten unterstützt Signal auch verschlüsselte Sprach- und Videochats. Das Einzige, was gegenüber WhatsApp noch fehlt, ist die Statusfunktion.
Einige Unterschiede sind allerdings gewöhnungsbedürftig: So listet die Kontaktliste auch Anwender auf, die Signal nicht nutzen. Sendet man diesen eine Textnachricht, wird diese als (unverschlüsselte) SMS verschickt.
Auch die Backup-Strategie von Signal ist ungewöhnlich, weil sie ein 30-stellige (!) numerisches Passwort erfordert. Um eine Signal-ID auf einem anderen Gerät wiederherzustellen, muss man sie mit einem achtstelligen PIN-Code schützen. Signal fragt diese PIN in regelmäßigen Abständen ab, damit Anwender sie sich einprägen.
Telegram: ein Herz für Roboter
Telegram kam 2013 auf den Markt und ist vor allem wegen seiner Unterstützung für „Bots“ und andere Automatisierungsfunktionen beliebt. Bots und die damit verbundenen Kanäle sind sehr praktisch, um reale Treffen oder Gaming-Sessions abzustimmen.
Wer auf der Suche nach Privatsphäre ist, der wird mit Telegram wahrscheinlich nicht sehr glücklich. Im Dezember 2020 kündigten die Gründer von Telegram die Entwicklung einer Werbeplattform an sowie die Absicht, in unbestimmter Zukunft kostenpflichtige Zusatzdienste anzubieten.
Darüber hinaus sind mehrere Sicherheitslücken bekannt geworden; bei der schlimmsten gerieten 42 Millionen Nutzerdaten an die Öffentlichkeit. Standardmäßig wird die gesamte Kommunikation, die über Telegram läuft, unverschlüsselt auf den Servern des Unternehmens gespeichert. Einzelne Chats können auf „geheim“ gestellt werden; Kanäle und Gruppenchats sind jedoch immer öffentlich.
Die Benutzeroberfläche von Telegram ist recht intuitiv. Der Umgang mit den Kanälen ist anfangs vielleicht etwas gewöhnungsbedürftig, aber die meisten Bots bieten eine Hilfefunktion. Insgesamt ist Telegram sehr nützlich, um Gruppen zu koordinieren, die keine Privatsphäre brauchen – Ingress- und Pokémon-Go-Spieler nutzen die Kanäle intensiv, um gemeinsame Aufgaben abzustimmen.
Threema und die drei grünen Punkte
Threema wurde 2012 in der Schweiz gegründet. Es handelt sich um eine kostenpflichtige App, die zwei bis drei Dollar kostet, je nachdem, ob es gerade eine Verkaufsaktion gibt. Threema ist stolz darauf, konsequent die Privatsphäre seiner Nutzer zu schützen: Unter den vier hier vorgestellten Messaging-Apps ist es die einzige, die zur Registrierung weder eine Telefonnummer noch eine E-Mail-Adresse verlangt.
Der Name Threema leitet sich daraus ab, dass die App den Bekanntheitsgrad anderer Teilnehmer in drei Stufen einteilt. Ein unbekannter Kontakt wird mit einem einzelnen roten Punkt angezeigt. Zwei orangefarbene Punkte kennzeichnen eine Person, deren Rufnummer im lokalen Adressbuch steht. Um die maximale Vertrauensstufe von drei grünen Punkten zu erreichen, müssen Nutzer den QR-Code ihres Gegenübers mit ihrem Smartphone einscannen.
Ob Adressbuchdaten mit den Servern von Threema synchronisiert werden sollen, bleibt optional. Ist die Option aktiv, werden Hashes von E-Mail-Adressen und Telefonnummern gesendet, die mit den IDs anderer Nutzer übereinstimmen. Das Unternehmen macht keinen Hehl daraus, dass diese Hashes zwangsläufig nicht hundertprozentig sicher sind, aber den Praktiken von WhatsApp ist der eingeschlagene Weg immer noch vorzuziehen.
Threema unterstützt sowohl Einzel- und Gruppenchats als auch Sprach- und Videochats. Eine Zeit lang lag die Qualität der Sprachchats deutlich hinter der Implementierung von WhatsApp, aber das hat sich inzwischen deutlich gebessert. Threema-Benutzer können Umfragen anlegen, um zum Beispiel die Mittagspause oder Gaming-Sessions zu koordinieren.
Hier stehen drei Backup-Methoden zur Auswahl: eine lokale und zwei Cloud-basierte Alternativen. Die cloudbasierten Backups per Threema Safe funktionieren sogar plattformübergreifend: Ein Android-Backup wird nahtlos in die iOS-Version importiert und umgekehrt.
Andere Umstiegsziele
Signal, Threema und Telegram sind bei Weitem nicht die einzigen verfügbaren WhatsApp-Alternativen. Die Wikipedia-Tabelle plattformübergreifender Instant-Messenger führt 30 Apps auf – Microsoft Teams ist da noch nicht einmal dabei.
Zwei datenschutzfreundliche Alternativen, die einen Blick wert sein können, sind Element und Wire. Element implementiert das Matrix-Protokoll, das vollständig verschlüsselte Einzel- und Gruppenchats unterstützt. Wire ist sehr schick, hat aber nur wenige Nutzer.
Also gut ... was empfiehlt der Experte?
Es gibt viele Gründe, sich von WhatsApp zu verabschieden, aber solange viele Ihrer Freunde nichts anderes benutzen, bleiben Sie wahrscheinlich fürs Erste bei WhatsApp hängen. Das ist aber kein Grund, die Umstiegsabsichten komplett aufzugeben.
Die schwierige Frage ist, wohin man wechseln soll. Letztendlich wird das von Ihren Kontakten abhängen. Viele Freunde wechseln eher zu Signal, weil „gratis“. Bei technisch weniger versierten Freunden ist es eine nette Geste, ihnen bei der Einrichtung von Signal zu helfen. Letztlich machen Sie das zu gleichen Teilen für sie und für sich selbst.
Auch wenn Threema in Sachen Datenschutz vorbildlich ist, ist der Dienst vor allem in Europa verbreitet. Das gängige Schutzargument „für sowas gebe ich doch kein Geld aus“ lässt sich leicht aushebeln, indem Sie Freunden einfach anbieten, ihnen die App zu schenken. Meiner Erfahrung nach zahlen die meisten die App dann doch aus eigener Tasche.
Für die Übergangszeit, in der man noch auf WhatsApp angewiesen ist, können Android-Nutzer WhatsApp in einem separaten Arbeitsprofil einrichten und die in diesem Profil gespeicherten Kontakte auf ein Minimum beschränken. Neuere Samsung-Geräten bieten außerdem eine „Dual Messenger“-Option, die verhindert, dass WhatsApp auf persönliche Kontakte zugreift (Einstellungen > Erweiterte Funktionen > Dual Messenger > Getrennte Kontaktlisten verwenden).