Messenger Apps bieten neben 1:1 Chats und Dateitransfer und Gruppenchats, Abstimmungstools und andere Social Features für textbasierte Kommunikation. Audiotelefonie ist meistens möglich und Videotelefonie gibt es immer öfter.
Die sogenannten Kanäle bzw. Channels bieten eine Top-Down Kommunikation (der "Boss" spricht und die Mitglieder dürfen lauschen). Außerdem unterscheiden sie sich von Gruppenchats darin, dass die Anzahl der Mitglieder unbegrenzt ist und dass ein lesendes Mitglied bzw. Abonnent andere Teilnehmer nicht sehen kann (Privatsphäre).
Threema ist einer der sichersten Messenger und hat eine 7-stellige Nutzerbasis. Es wird eine zufällig Buchstabenkombination als Kennung für den Account generiert, der optional mit einer Telefonnummer verknüpft werden kann. Neben Messaging Funktionen gibt es verschlüsselte Audio- und Videotelefonie. Threema ist ideal für vertrauliche, private Kommunikation.
Die Software ist seit Dez. 2020 Open Source und wurde mehrfach auditiert.
Signal App ist kostenlos nutzbar, weil das Projekt durch eine Stiftung finanziert wird, die mit großzügigen Spenden ausgestattet wurde. Der Messenger ist intuitiv bedienbar, hat eine 9-stellige Nutzerbasis und ist führend bezüglich Sicherheit und Privatsphäre. Signal App verwendet die Telefonnummer als Kennung für den Account und man benötigt ein Smartphone. Die Software ist Open Source aber die Infrastrukur ist zentralisiert.
Signal App ist ideal die private Kommunikation mit Bekannten und Freunden nutzen, die nicht IT-affin sind und denen man bedenkenlos die eigene Telefonnummer gegeben hat. Neben Chats und Gruppenchats mit max. 250 Teilnehmern gibt es verschlüsselte Audio- und Videotelefonie. Kleine Videokonferenzen mit bis zu 8 Teilnehmern sind ebenfalls möglich.
Telegram bietet viele Social Features und ist als "zensurresistente Twitter Alternative mit Black Market Features" populär geworden (z. B. bei Protesten in Hongkong und Belarus 2020) aber als Messenger für sichere, vertrauliche Kommunikation eher weniger geeignet.
Wire kann ohne Telefonnummer auf bis zu 8 Geräten genutzt werden. Neben Chats und Gruppenchats gibt es Audio- und Videotelefonie, Audiokonferenzen mit bis zu 25 Teilnehmern und Videokonferenzen mit bis zu 12 Teilnehmern. Dabei wird WebRTC eingesetzt.
Um die Synchronisation der Geräte zu gewährleisten, wird eine unverschlüsselte Datenbank mit den Metadaten auf den Servern geführt. Das ist praktisch eine VDS, die wir bei E-Mails seit 20 Jahren verhindern wollten! (Für Unternehmen mit eigenen Servern ist das nicht relevant.)
Wire Enterprise ist der bevorzugte Messenger der Bundesregierung und vom BSI für VS-NfD zugelassen (BSI-VSA-10519). Wire ist eine gute Collaboration Plattform für Unternehmen. Das öffentliche Wire hinkt in der Sicherheit hinterher und ist wegen der VDS weniger geeignet.
[matrix] und Jabber/XMPP sind ebenfalls kostenlos und Open Source. Im Gegensatz zu Threema, Signal App, Wire oder Telegram wird die föderale Infrastruktur von Enthusiasten betrieben. Die Kennung für einen Account ist unabhägig von einer Telefonnummer frei wählbar und man kann mehrere Accounts in beliebigen Kombinationen auf PCs oder Smartphones nutzen. [matrix] bietet neben Chats und flexibel konfigurierbaren Gruppenchats auch mit WebRTC verschlüsselte Audio- und Videotelefonie.
Ein Hauptziel von [matrix] und Jabber/XMPP ist es, eine freie, föderale Infrastrutur ähnlich wie E-Mail zu schaffen, die mit beliebigen Clients genutzt werden kann. Während [matrix] expandiert, verliert Jabber/XMPP kontinuierlich an Bedeutung.
Community-basierte Entwicklung und föderale Infrastruktur erschweren die Einführung und Umsetzung von Sicherheitsfeatures. Moxie Marlinspike hat diese Phänomene als systemimmanent für diese Kategorie von Open Source Projekten beschrieben.
Der bwmessenger ist ein Fork für den Einsatz in der Bundeswehr. Für die Nutzung des bwmessenger gelten die gleichen Regeln, wie für unverschlüsselte E-Mail/Telefonie:
Ausführlicher wird das Thema "bwmessenger & VS-NfD" nochmal hier behandelt.
Briar (nur für Android) ist ein Messenger für hohe Sicherheitsanforderungen ohne Unterstützung für Videotelefonie. Die Kommunikation und Speicherung ist vollständig verschlüsselt. Es werden keine zentralen Server genutzt sondern Peer-2-Peer Kommunikation via Tor Onion Router oder via WLAN/Bluetooth.
Kontakte können nur bei einem persönlichen Treffen (Face-2-Face) hinzugefügt werden, indem man gegenseitig die QR-Codes scannt. Nur so ist nach Meinung der Entwickler sichergestellt, dass man wirklich mit der gewünschten Person kommuniziert.
Einen idealen Messenger, der alle Bedingungen erfüllt, gibt es nicht. Man muss abwägen. Um viele Kontakte zu erreichen, könnte man mehrere Messenger parallel verwenden.
Das moderne Krypto-Messenger eine einfach nutzbare und sichere Ende-zu-Ende Verschlüsselung bieten, stört Geheimdienste und Strafverfolgung. Die Chronologie der staatlichen Angriffe auf die Verschlüsselung ist im Abschnitt Crypto War 3.0 beschrieben.
Anwendungen für verschlüsselte Telefonie konnten sich in den letzten 10 Jahren im privaten Bereich nicht großflächig etablieren, obwohl die technischen Vorraussetzungen seit 2011 mit der Standardisieirung des SRTP/ZRTP Protokolls vorhanden gewesen wären.
Aktuell bieten Messenger (siehe oben) eine einfach nutzbare Möglichkeit für verschlüsselte Audio- und Videotelefonie und machen die Installation zusätzlicher SIP Clients mit ZRTP Verschlüsselung im privaten Bereich eigentlich überflüssig.
Jami ist eine Open Source App für verschlüsselte Telefonie, die im P2P Modus weitgehend ohne zentrale Server auskommt. Es wird eine Distributed Hash Table (DHT) zum Aufbau der Verbindung zwischen Clients verwendet Die Kommunikation läuft direkt zwischen den Clients. Nur für einige Aufgaben kommen zentrale Server zum Einsatz.
Wie andere Anwendungen, die Daten über eine DHT verteilen, sollten Jami aus dem Internet erreichbar sein. Anderenfalls kann es eine zeitverzögerten, unregelmäßigen Zustellung von Nachrichten und verpasste Anrufe bedeuten. Die Entwickler empfehlen, UPnP auf dem Router zu aktivieren und die Firewall abzuschalten, damit Jami das Portforwarding auf dem Router automatisch konfigurieren kann und erreichbar ist.
Hinweis: Das BSI, das FBI oder die US Homeland Security empfehlen ausdrücklich die Deaktivierung von UPnP zur Vermeidung von Sicherheitsrisiken! Wenn man diesen Empfehlungen folgt, wird man mit Jami im P2P Modus nicht dauerhaft zufrieden sein.
Linphone ist ein Open Source VoIP Client für Smartphones und PCs. Wie bei VoIP üblich werden die Accounts auf föderal organisierten SIP-Servern verwaltet. Die Kommunikation erfolgt direkt zwischen den Clients oder über einen TURN-Server, wenn keine direkte Verbindung möglich ist. Als Besonderheit bietet Linphone verschlüsselte Audio Konferenzen. Die Verschlüsselung des Datenfluss erfolgt mit SRTP/ZRTP.
Hinweis: VoIP Clients, die das SIP Protokoll nutzen, müssen ebenfalls aus dem Internet erreichbar sein, damit der SIP Server den Client bei Anrufen kontaktieren und die Verbindung vermitteln kann. Die Konfiguration von Router und Firewall ist machbar, für Nicht-ITler aber nicht ganz trivial. Deshalb konnte sich verschlüsselte VoIP Telefonie in den letzten 20 Jahren im privaten Bereich nicht in der Breite durchsetzen.
Simlar.org ist ein deutsches Open Source Projekt für verschlüsselte VoIP Telefonie. Der Source Code für Clients und Server ist bei Github zu finden. Die Verschlüsselung der Kommunikation erfolgt mit SRTP/ZRTP. Die SIP-Server stehen in Deutschland.
Es gibt Apps für Android und iPhone. Im F-Droid Store gibt es eine Google-freie Version. Diese Version muss ständig laufen und sollte nicht beendet werden, wenn man Anrufe annehmen will, da die Google Push Services nicht verwendet werden.
Eine durchgehende Ende-zu-Ende Verschlüsselung gibt es bei Videokonferenzen nicht. In der Regel können die Server Betreiber die Konferenzen beobachten. Man könnte den Server selbst aufsetzen oder eine vertrauenswürdigen Betreiber wählen.
Die Mobile Encryption App der Telekom addressiert Unternehmen und Behörden, die sich etwas preiswerter gegen Spionage durch starke (ausländische) Angreifer schützen wollen. Die App verschlüsselt Telefonie nach dem GSMK-Protokoll.
Die App verwendet ein eigenes verschlüsseltes Adressbuch und bietet einen sicheren Speicher für Notizen. Sie kann auch ohne SIM Karte genutzt werden, da die Teilnehmer über individuelle +800 Telefonnummern addressiert werden. Die gesamte notwendige Infrastruktur wird von der Deutschen Telekom in deutschen Rechenszentren betrieben.
Im Sept. 2019 wurde die iOS Version vom BSI für VS-NfD zugelassen. Die Freigabe der Android Version für VS-NfD ist für das zweite Halbjahr 2020 geplant. Mit Kosten von 10-20 Euro pro Person ist die Mobile Encryption App für Unternehmen mit hohen Sicherheitsanforderungen eine preiswerte Alternative zu GSMK Kryptophones.