9 min. Lesezeit

Sind Messenger wie WhatsApp, Signal, Telegram oder Threema wirklich sicher?

Conversations
Campaigns
WhatsApp und Datenschutz
Teilen über:

Ist WhatsApp sicher? Liest WhatsApp meine Nachrichten? Was ist eine Ende-zu-Ende-Verschlüsselung? Werden meine Daten verkauft? Ist Telegram besser? Und, was sind wirklich sichere Messenger? Das sind Unsicherheiten, die im Kontext von Messenger-Kommunikation, insbesondere für Unternehmen, immer wieder auftauchen. Wir beantworten die wichtigsten Fragen!

Messenger sind mit Abstand das beliebteste Kommunikationsmedium unserer Zeit. Ob Signal App, Facebook Messenger, Telegram, Threema oder WhatsApp: Messenger werden mehr genutzt als jede andere App. Beim Thema Sicherheit herrschen aber große Vorurteile und verhärtete Fronten statt Fakten. Besonders bei den Messengern aus dem Hause Meta scheiden sich die Geister.

Insbesondere WhatsApp hat einen schlechten Ruf, was aber gerade für die Unternehmensvariante des Messengers, nicht verdient ist. Wir klären im Folgenden die wichtigtsen Fragen rund um sichere Messenger, WhatsApp und auch Telegram.

Sichere Messenger? Privatsphäre vs. Verschlüsselung

Schlagzeilen wie: "EU-Parlament verwehrt Installation des Messengers Signal“ oder "Datenschützer kritisiert neue WhatsApp-Bedingungen" sorgen immer wieder für Aufregung und Sorgen um die Sicherheit von Messengern. 

Wer hinter die Schlagzeilen schaut, sieht dann oft sehr schnell, dass dabei oft viel Aufregung um nichts entsteht. Im Fall von Signal ging es etwa nicht um die Sicherheit des Messengers selbst, sondern darum, dass neue IT von Expert:innen im Parlament vorab geprüft werden muss. 

Was genau bedeutet daher "sicher"? Und was gilt als sicherer Messenger? 

Datenschutz vs. Sicherheit

Oftmals werden Datenschutz und Sicherheit in einen Topf geschmissen. Dabei ist der Schutz der persönlichen Daten nicht dasselbe wie IT-Sicherheit. 

Wichtig ist dann nochmals zu unterscheiden zwischen privater und geschäftlicher Nutzung. Denn für Unternehmen gelten nochmals andere Auflagen zur Datenverarbeitung. Wir schauen uns im Folgenden daher die verschiedenen Aspekte und beantworten die wichtigsten Fragen rund um das Thema "sichere Messenger" an. 

Messenger und Verschlüsselung

Können Messenger wie WhatsApp meine Chats mitlesen?

In Sachen Verschlüsselung ist es natürlich wichtig, dass keine außenstehenden Personen die Chats zwischen Privatpersonen (oder zwischen Unternehmen und Kund:innen) lesen können.

Ob Messenger in diesem Sinn sicher sind, hängt im Wesentlichen vom Verschlüsselungsprotokoll des jeweiligen Dienstes ab. Für Messenger, wie für alles andere, was ans Internet angebunden ist gilt: Nichts ist unhackbar! Die Qualität einer „Verschlüsselung“ macht man daher eher daran fest, wie viel Aufwand Angreifer:innen aufbringen müssen, um Zugriff auf eine Information zu bekommen. 

Eine starke Verschlüsselung bedeutet (bildlich gesprochen), dass ein Angriff einen Rechenaufwand von mehreren Milliarden Jahren erfordert. "Schwache Verschlüsselung hingegen versetzt Angreifer:innen in die Lage, diesen Zeitraum so drastisch zu reduzieren, dass die Attacke praktikabel wird," erklärt Frieder Steinmetz, der an der TU Hamburg zu Messenger-Sicherheit forscht.

Telegram, Signal, WhatsApp, Threema: Welcher Messenger hat die sicherste Verschlüsselung?

WhatsApp, Threema und Signal (und seit 2023 auch der Facebook Messenger!) nutzen die Ende-zu-Ende-Verschlüsslung. Das heißt, die zu übertragenden Daten werden auf Senderseite verschlüsselt und erst beim Empfang wieder entschlüsselt. Diese Technik ist, da sind sich (ausnahmsweise) alle Expert:innen einig, heute die sicherste Verschlüsselungsmethode.

Wer das WhatsApp oder Meta nicht glaubt, kann es gern in der Stellungnahme des Landesdatenschutzbeauftragten des Saarland nachlesen:

Die dabei zur Anwendung kommende Ende-zu-Ende-Verschlüsselung, die von WhatsApp in einem Security Whitepaper genauer beschrieben wird, entsprach nach unserer Bewertung dem Stand der Technik, sodass davon ausgegangen werden kann, dass technisch sichergestellt ist, dass WhatsApp keine Kenntnis von den Inhalten der Kommunikation zwischen Bürger und Kommune erhält.

Auch WhatsApp kann somit die Chats nicht mitlesen – selbst, wenn es das Unternehmen wollte (übrigens auch deshalb nicht, weil die Daten gar nicht bei WhatsApp gespeichert werden; siehe „Datenspeicherung“).

Das Signal-Protokoll unterscheidet sich lediglich geringfügig davon. Threema hat ein eigenes Protokoll, das ebenfalls sehr gut ist. MIttlerweile bietet Threema auch „Perfect Forward Secrecy“. Diese Technik verhindert, dass jemand in Zukunft meinen geheimen Schlüssel vom Handy stiehlt und damit meine gesamte verschlüsselte Kommunikation entschlüsseln kann, die ich über das Handy geführt habe. „Signal und WhatsApp haben das,“ so Experte Frieder Steinmetz. Telegram dagegen "kombiniert auf ungewöhnliche Weise kryptographische Einzelteile und schafft damit nicht gerade Vertrauen.“

datenschutz-sicherheit-messenger-whatsapp
Welcher Messenger punktet wo? (Quelle: Sabrina Schrödl / Motherboard / Vice)

Wie funktioniert Ende-zu-Ende-Verschlüsselung (bei WhatsApp)?

Die englische Bezeichnung für die Verschlüsselung ist "End-to-End Encryption" (E2E) und bezeichnet die Verschlüsselung von Daten über alle Übertragungsstationen bis zum Empfang.

Alle Messenger nutzen Ende-zu-Ende-Verschlüsselung. Bei Telegram ist diese allerdings nicht standardmäßig aktiviert und Nutzer:innen müssen dies aktiv einstellen. 

Die Ver- und Entschlüsselung findet also nur an den Endpunkten der Übertragung statt. Daher ist die Sicherheit bei dieser Art der Verschlüsselung sehr hoch, denn ohne den geheimen Schlüssel kann kein Geheimtext entschlüsselt werden.

Messenger und Datenschutz

Wo speichern Messenger wie WhatsApp meine Daten?

Bei Facebook Messenger und Telegram können sich Anwender:innen von jedem Ort der Welt einloggen und haben so Zugriff auf ihre Chats. Möglich wird das, weil Telegram und Facebook die Daten zentral auf ihren Servern speichern.

Diese sind, laut Anbieter, natürlich verschlüsselt – aber theoretisch haben die Unternehmen Zugriff darauf. Da somit für die Betreibenden prinzipiell die Nutzerprotokolle und -daten zugänglich sind, sind die Dienste auch für staatliche Akteure attraktiv. Um einen Zugriff zu erzwingen, wird etwa Telegram in Russland seit Jahren blockiert.

Bei Threema hingegen liegen die Daten nur auf dem Handy der Nutzer:innen. Bei einem Wechsel des Smartphones müssen Anwender:innen selbst ein Backup machen und die Daten dann wieder neu aufspielen. Nur auf Wunsch der Nutzer:innen erstellt Threema regelmäßig ein verschlüsseltes, anonymes Backup dieser Daten. Vorteil: Niemand außer den Nutzer:innen selbst hat darauf Zugriff. Sollte das Smartphone allerdings verloren gehen (oder gestohlen werden) und es wurde kein Backup gespeichert, sind auch alle Daten weg.

Ähnlich sicher, und das dürfte sicher einige überraschen, ist: WhatsApp! Auch hier ist bei einem Verlust des Smartphones ohne Backup jede Hilfe zu spät. Die Chats und Bilder werden lediglich auf dem Smartphone gespeichert und liegen nicht auf WhatsApp-Servern - eine Wiederherstellung ohne Backup ist mithin unmöglich. 

Du kannst in den Einstellungen selbst wählen, ob du dieses Backup zulassen willst und wie oft.

Zwar laufen die Gespräche, technisch betrachtet, über den WhatsApp-Server – kommen da aber ausschließlich verschlüsselt – also unlesbar für WhatsApp – an. Nur die Emfänger:innen können beim Abrufen der Nachricht die Daten entschlüsseln und lesen (siehe „Verschlüsselung“). Nach der Auslieferung werden die Daten vom WhatsApp-Server wieder gelöscht.

💡Lese-Tipp: Alles, was du zu ChatGPT und Datenschutz wissen musst!

Metadaten: Was kann WhatsApp lesen?

Die Kritik an der "Sicherheit" von WhatsApp richtet sich daher nicht gegen die Verschlüsselung, sondern meist gegen das Dokumentieren von Metadaten. Denn: Wer WhatsApp benutzt und dadurch den AGB zugestimmt hat, stellt WhatsApp die Telefonnummer und die Kontakte im Telefonbuch zur Verfügung.

WhatsApp greift darauf zu, um die Kontakte abzugleichen und zu prüfen, wer von deinen Kontakten ebenfalls WhatsApp nutzt. Anders als bei iMessage oder Threema (die eine anonyme ID für Nutzer:innen haben), ist bei WhatsApp nämlich deine Nummer deine Identifikation. 

Darüber hinaus speichert WhatsApp: 

  • GPS
  • Zeit- und Datenstempel von erfolgreich zugestellten Nachrichten

WhatsApp sieht also, welche Nummern zu welcher Uhrzeit und wo gechattet hat, aber nicht was gechattet wurde!

Das ist bei der privaten Nutzung von WhatsApp im Kontext der DSGVO kein Problem (alle, die WhatsApp privat nutzen, stimmen dem aktiv zu).

Doch für Unternehmen ist genau das problematisch, da sie durch den Abgleich dieser personenbezogenen Metadaten, der auch bei der WhatsApp Business App erfolgt, keine DSGVO-konforme Verarbeitung der Kundendaten garantieren können. 

💡Der große Guide zum Datenschutz bei WhatsApp für Unternehmen

Noch sicherer: WhatsApp Business API

Was können Unternehmen also tun, die über WhatsApp etwa Kundenservice oder Marketing betreiben wollen, wenn die WhatsApp Business App zwar sichere Chats, aber nicht die DSGVO garantiert? 

Dafür gibt es die WhatsApp Business API. Das ist die Unternehmensversion von WhatsApp für mittelständische und große Firmen. Damit sind Unternehmen direkt an die Schnittstelle (API) angebunden und können so ihre eigene datenschutzkonforme Umgebung einrichten. 

Das erfordert aber viele Ressourcen und IT-Kenntnisse. Deswegen arbeitet WhatsApp auch mit "Business Solution Providern" zusammen. Das sind verifizierte Partner von Meta, die eine offizielle Unternehmenslösung von WhatsApp anbieten dürfen. 

Diese Business Solution Provider bieten dann schon fertige Softwares mit Funktionen wie Newslettern, Chatbots oder einem Agentensystem rund um die WhatsApp API, die Unternehmen direkt nutzen können. Sinch Engage ist etwa ein solcher Anbieter, die du übrigens alle im Partnerverzeichnis von Meta findest. 

Sinch Engage Business Solution Provider

Was die API von WhatsApp sicherer macht, ist die Tatsache, dass Unternehmen oder die Business Solution Provider ihre eigene IT-Umgebung aufsetzen können. Bei Sinch Engage übernehmen wir etwa das Hosting der API auf unseren eigenen Servern, die alle in der EU liegen. 

Damit landen weder die Chats noch die Metadaten bei Meta oder WhatsApp. Mit einem Auftragsverarbeitungsvertrag (AVV) wird zudem sichergestellt, dass die Daten zu 100 Prozent DSGVO-konform verarbeitet werden. 

Zitat Andreas Jerchel Autohaus Ostermaier DSGVO WhatsApp

In dieser Kombination – mit API und Business Solution Provider – können dann sogar sensible Branchen wie etwa Versicherungen oder Finanzinstitute WhatsApp sicher in der Unternehmenskommunikation nutzen. 


Mit WhatsApp und Co. durchstarten

Mit Sinch Engage nutzt du WhatsApp und Co. 100% DSGVO-konform für Marketing, HR, Verkauf und Kundenservice!


„WhatsApp geht hier einen unerwarteten und lobenswerten Weg, um verantwortungsbewusst mit Nutzerdaten umzugehen. Als Anbieter für Software, die medizinische Daten verarbeitet, legen wir besonderes Augenmerk auf die Vertraulichkeit und Sicherheit von Nutzerdaten. Wir haben zwar (noch) keine Messenger-Dienste im Einsatz, aber dies ist ein Schritt in die richtige Richtung, um so etwas in Zukunft zu ermöglichen", sagt entsprechend Andreas Schwinger, Head of Digital Business bei Melos GmbH, einem der führenden IT-Unternehmen für Laborsoftware.

Werden meine Daten verkauft? Haben Regierungen Zugriff auf WhatsApp?

Innenminister Seehofer wollte laut SPIEGEL einige Messenger-Betreiber dazu zwingen, private Chats ihrer Nutzer:innen an die Behörden herausgeben. WhatsApp hätte dazu keine Möglichkeit (siehe „Verschlüsselung“ und „Datenspeicherung“) auch Threema und Apple winkten ab:

„Absolute Vertraulichkeit der Kommunikation liege in der DNA“.

Threema

Aber auch abseits von Regierungen, etwa bei Versicherungen oder Kreditinstituten wecken, die während der Messenger-Kommunikation anfallenden Metadaten, Begehrlichkeiten. Natürlich schließen alle Messenger die Weitergabe von Daten an Behörden oder Firmen aus.

Kritisch wird es laut Messenger-Forscher Roland Schilling lediglich bei kleineren Anbietern, da diese nicht immer die gleichen Ressourcen wie die großen Anbieter haben, um solche (gut bezahlten) Anfragen abzulehnen.  „Zugleich muss die App auch eigene Kosten decken, das Personal bezahlen und die technische Infrastruktur aufrechterhalten. Und dann fällt denen auf, dass sie mit den Daten, die sich von ihren Nutzern täglich zugespielt bekommen, auch noch einen anderen Markt bedienen können.“

Sicherheit vs. Hacker

Letztendlich ist es nirgendwo einfacher einzubrechen als da, wo man den Schlüssel besitzt. Deshalb greifen Hacker:innen – meist übrigens rein der Herausforderung halber und ohne große kommerzielle Interessen – gerne verschlüsselte Systeme an.

Dabei gibt es vor allem zwei Schwachstellen: zum einen die Nutzer:innen, die sich zum Beispiel unbemerkt eine Malware installiert haben, und zum anderen den Anbieter selbst. Vergleicht man beispielsweise die IT-Abteilung von Meta mit der kleinerer Anbieter, wird schnell klar, wer über mehr Schlagkraft in der Abwehr von Eindringlingen verfügt.

Auf der anderen Seite ist WhatsApp mit seinen über zwei Milliarden Nutzer:innen der „Ritterschlag“ für Hacker:innen, während der Hack eines „Nischen-Messengers“ in der Szene, aber auch in der Öffentlichkeit, weitaus weniger prestigeträchtig ist.

Ist Telegram sicherer als WhatsApp?

Paradoxerweise nehmen viele Telegram als viel sicherer wahr als WhatsApp. Während sich diese Argumentation für Messenger wie Signal oder Threema, die etwa keinen Metadatenabgleich ausführen und nicht mal eine Telefonnummer zur Anmeldung benötigen, durchaus nachvollziehen ließe, ist es bei Telegram etwas verwunderlich. 

Denn tatsächlich ist Telegram nicht sicherer als WhatsApp, ganz im Gegenteil. Das fängt damit an, dass die Ende-zu-Ende-Verschlüsselung nicht Standard ist, geht mit dem Backup der Daten weider und hört damit auf, dass die Datenverarbeitung bei Telegram nicht sonderlich transparent ist. 

Das Redakationsnetzwerk Deutschland (RND) schreibt etwa:

Warum die Plattform auch außerhalb der Verschwörungsszene an Beliebtheit gewinnt, ist praktisch unerklärbar. Denn nicht einmal der Standort des Unternehmens ist bekannt. Das Entwicklungsteam befindet sich nach eigenen Angaben in Dubai, bei den Gründern handelt es sich um zwei russische Entwickler. Wo genau die Server stehen, ist weitestgehend unklar."

Fazit: Sichere Messenger-Kommunikation ist möglich

Zusammenfassend sind alle Messenger Apps (Ausnahme: der asiatische Messenger-Riese WeChat) relativ sicher.

Doch letztlich ist es wie beim Gelsparen: Im Tresor zu Hause ist es recht sicher, aber dafür sehr unpraktisch. Im Portemonnaie verfügt man über einen schnellen Zugriff, jedoch über weniger Sicherheit.

Bei Messengern gilt es die Balance zu finden zwischen einer beliebten Anwendung, mit der du als Unternehmen viele Kund:innen erreichen kannst und dem sichersten Tool dafür.  

Wer im Unternehmenskontext sichere Messenger nutzen möchte, setzt daher am Besten auf professionelle Lösungen wie Sinch Engage, die neben der Ende-zu-Ende-Verschlüsselung der Dienste auch DSGVO-Konformität und eine praktische Anwendung garantieren!

Watch Sinch Engage — Alles, was du wissen musst on YouTube.

Sichere dir deine persönliche Beratung!

Unser Expertenteam zeigt dir Sinch Engage, gibt Tipps und beantwortet dir alle Fragen.

Kai Viertel, Head of Demand Generation, Sinch
Autor:in: Kai Viertel
Head of Demand Generation