WhatsApp versus Signal: Meine Einschätzung

Warum ich nicht auch noch über Telegram und Threema berichte, erläutere ich kurz im weiteren Verlauf. Es gibt eigentlich nur einen einzigen Vorteil von WhatsApp gegenüber Signal: Die millionenfache weltweite Verbreitung.
Wer jedoch den Datenschutz bei der Kommunikation in den Fokus stellt, sollte auf jeden Fall seinen Blick zu Signal.org richten:

Warum nicht alle populären Messenger in den Vergleich einbeziehen?!?!
Nun, ich nutze auch Telegram da der Dienst ebenfalls relativ hohen Sicherheitsstandards genügt. Telegram hat allerdings etwas durch seine Eignung als Medium für Aluhut-Träger jeglicher Couleur gelitten. Threema ist sehr gut, aber kostenpflichtig (wenn auch für kleines Geld) und fällt somit aus dieser Wertung.

Die meisten Funktionen der beiden Messenger Signal und WhatsApp sind gleichwertig, auch gibt es bereits ausreichend viele Vergleiche im Internet. Von daher nähere ich mich der Thematik von einer anderen Seite und konzentriere ich mich mehr auf das Thema Datenschutz.

Persönliche Vorlieben und Meinung

Der Messenger-Dienst WhatsApp war noch nie einer meiner Favoriten.
Ich hatte die App vor einigen Jahren (auf Drängen eines Freundes 😉 ) installiert und damals auch aufgrund der mittelmässigen Presse (Tenor: “Verteilplattform für Comupter-Viren” etc.) sehr schnell wieder in die Tonne gestoßen. Ich wurde seither häufiger darauf angesprochen, ob ich WhatsApp hätte und habe daraufhin auch ein oder zwei Mal über eine erneute Installation “nachgedacht”. Jedoch spätestens seit 2014 WhatsApp von Facebook übernommen wurde, ist das keine Option mehr für mich:
Ich habe schon den Faceboook-Messenger und brauche keinen 2. Dienst von ein und dem selben Unternehmen!

Grundsätzlich: Datenschutz hängt vom Nutzerverhalten ab

Es gilt – egal welchen Messenger man verwendet – ein wichtiger Grundsatz, den viele im beruflichen Umfeld vernachlässigen:
Keine sensiblen Unternehmensdaten über einen Messenger-Dienst übermitteln!
Einige Unternehmen untersagen die Verwendung von Messenger-Diensten auch strikt, oder beschränken die Verwendung auf bestimmte, freigegebene Produkte und legen klare Regeln fest.
Allerdings missachten – auch in sensiblen Bereichen – Mitarbeiter häufig diese Grundsätze.

Wenn beispielsweise ein Wachmann seinem Schichtleiter mittels eines Messengers seine Ankunftszeiten in verschiedenen Objekten mitteilt, ist das aus meiner Sicht ein eklatanter Sicherheits-Verstoß, egal welchen Aufwand Dritte betreiben müssen um an die Daten heran zu kommen!

Eine einfache Nachricht “Ich habe unseren Termin mit xxx auf yy Uhr verschoben.” dürfte zwar grundsätzlich kein Problem darstellen, aber: Better be safe than sorry!
Man sollte sich schon überlegen, was man über einen Messenger versendet und was nicht.

Das Risiko bei WhatsApp muss – zumindest zukünftig – zwangsläufig höher eingestuft werden:

Eines haben alle Dienste gemeinsam: Es muss eine Finanzierung dahinter stehen.
Das behalten wir uns bei unserer Betrachtung mal im Hinterkopf 😉

Die Thematik Ende-zu-Ende Verschlüsselung begleitet uns schon lange in diesem Segement. Ende-zu-Ende Verschlüsselung bedeutet, dass eine Nachricht vor dem Versenden auf dem Gerät A bereits verschlüsselt wird und erst nach dem Empfangen auf Gerät B wieder Entschlüsselt wird.

Nachdem, aufgrund der Änderungen in den Nutzungsbedingungen, die Diskussion um
die Datensicherheit von WA die Öffentlichkeit wieder aufmerksam wurde hat Signal
einen immensen Zulauf erfahren. (Interessanter Artikel hierüber u.A. auf Business Insider)

Denn (Finanzierungs-Modell 😉 ):
Um personalisierte Werbung zu ermöglichen, muss ein Stück Software den Inhalt der Kommunikation irgendwie analysieren. An einem gut verschlüsselten Paket gibt es aber nichts, was man zur Analyse heranziehen könnte. Zu diesem Zweck muss also zwingend die Verschlüsselung auf dem Weg vom einen zum anderen Gerät aufgebrochen werden. Dies geschieht in der “Zentrale” des ganzen, auf “dem” Server. Demnach ist die Nachricht dort – wenn auch eventuell nur für einen relativ kurzen Zeitraum – unverschlüsselt gespeichert.
Sprich: Der kommerzielle Dienstleister liest demnach immer mit!
Auch besteht (nicht nur durch Unlauteres Verhalten von Mitarbeitern) die Möglichkeit, Dritte an meinen Daten “teilhaben” zu lassen:
Spätestens nach dem Skandal in den Facebook und Cambridge Analytica verwickelt waren,
sollte man sich fragen: Was macht der Dienstleister mit meinen Daten und Nachrichten !?!?!
Es sollte also niemand verwundert sein, wenn ein Paar sich gegenseitig leicht anzügliche Nachrichten schickt und dann Werbung für “Spielzeug” bekommt ;-).

Was ist bei Signal anders?

Signal finanziert sich komplett aus Spenden und ist ein sogenanntes Non-Profit-Unternehmen!
Die Ende-zu-Ende Verschlüsselung wir konsequent umgesetzt und das ist auch überprüfbar, weil das gesamte Signal-Universum quell-offen ist:
https://github.com/signalapp

Wer steckt hinter Signal?
Zuallererst: Matthew Rosenfeld, bekannt als Moxie Marlinspike (DuckDuckGo Suche)
Und auch einer der ursprünglichen WhatsApp-Gründer: Brian Acton, der bei Facebook wieder ausgestiegen ist. (DuckDuckGo Suche)
Aber anscheinend wollte Acton es im 2. Anlauf besser machen und ist 2018 bei Signal mit einem Investment von 50Mio. US$ eingestiegen. Zum Thema “besser machen” steht am Ende eines weiteren Artikel von Business Insider ein interessantes Zitat.

Wichtigste Features zur Privatsphäre (es gibt noch mehr):
Außer der konsequenten Umsetzung der Ende-zu-Ende Verschlüsselung verlangt Signal auch erfreulich wenige Nutzerdaten, sammelt keine Profilbilder oder Standortdaten, greift nicht (Im Gegensatz zu WA) auf Statusmeldungen, Nachrichten etc. zu.

Die Funktion,
dass Nachrichten “selbstlöschend” sein können ist auch nicht sooo schlecht 😉

Bei Signal muss man es Bestätigen, wenn einen jemand zu einer Gruppe hinzufügt!
Das macht es auch uninteressanter für Spammer und Scammer, da sie ihre Botschaft nicht direkt an die Frau, oder den Mann bringen können, sondern drauf hoffen müssen, dass die potentiellen Empfänger auch brav bestätigen.
(Bei WhatsApp, kann mich jede(r), die/ der über meine Kontaktdaten verfügt, zu einer Gruppe hinzufügen.)

Wenn alle Gegenstellen online sind, wird augenscheinlich nichts auf den Servern gespeichert. Das schließe ich u.A. daraus, dass nachträglich hinzugefügte Clients (z.B. Desktop-Anwendung) keinen Zugriff auf Chat-Verläufe haben. (Den Quellcode habe ich natürlich nicht geprüft, mir genügt es erst mal, dass ich es könnte ;-).)

Fazit:

Signal ist sicherer und schmeichelt mehr der Privatsphäre.
Da ich immer auf die quell-offene App-Alternative setze, ist meine Empfehlung:
Signal !!!