Stiftung Warentest warnt vor WhatsApp und empfiehlt Threema

Stiftung Warentest hat in einem Schnelltest den Datenschutz fünf aktueller Messaging-Apps überprüft. Das eben erst von Facebook für 19 Milliarden Dollar übernommene WhatsApp erhielt dabei wie schon in einem Test im Mai 2012 das Urteil „sehr kritisch“. Auch die Alternativen Line, Blackberry Messenger (BBM) und Telegram schnitten nicht viel besser ab. Allein Threema bewerten die Prüfer als „unkritisch“.

Die Tester untersuchten bei den Android- und iOS-Versionen der Messenger, ob die Apps Nutzerdaten verschlüsseln und welche Informationen sie an wen übertragen. Die Bewertung bezieht sich daher ausschließlich auf den Datenschutz. Welche Funktionsvielfalt die Programme bieten und wie einfach sie zu handhaben sind, spielte in dem Schnelltest keine Rolle.

An WhatsApp bemängelt Stiftung Warentest unter anderem die Speicherung von Adressbucheinträgen ohne Zustimmung der Betroffenen und fehlende Ende-zu-Ende-Verschlüsselung. Zudem teilt die App die Telefonnummer des Nutzers Dritten mit – ebenfalls ohne Verschlüsselung. Die Android-Version sendet sogar die Daten unverschlüsselt, die der Nutzer eingibt. Darunter können auch Gesprächsinhalte sein.

Stiftung Warentest weist zudem darauf hin, dass die Allgemeinen Geschäftsbedingungen (AGB) von WhatsApp aus Verbrauchersicht zahlreiche kritische Passagen enthalten. Neben der Übertragung von Kontaktdaten Dritter ohne Zustimmung gestattet sich das Unternehmen etwa, die AGB jederzeit zu ändern und Informationen über den Nutzer an Strafverfolgungsbehörden weiterzuleiten – jeweils ohne ihn darüber zu informieren. Außerdem geht aus den AGB hervor, dass die Nutzerdaten an den neuen Eigentümer Facebook übergeben werden können.

Den Datenschutz des kostenlosen Telegram Messenger, der derzeit an der Spitze zahlreicher App-Store-Charts steht, stuft Stiftung Warentest als „kritisch“ ein. Er biete zwar eine Ende-zu-Ende-Verschlüsselung, allerdings müsse der Nutzer die Option gezielt auswählen („Secret Chat“). Wie WhatsApp speichert Telegram zudem automatisch alle Adressbucheinträge ohne die Zustimmung des Nutzers oder der betroffenen Personen. Sonst überträgt sie jedoch keinerlei Daten an den Anbieter oder an Dritte.

Als einziges getestetes Programm ist Telegram zumindest teilweise quelloffen. Eine vollständige Analyse der verschlüsselten Datenübertragung war laut Stiftung Warentest aufgrund der nur partiell einsehbaren Software-Programmierung nicht möglich. Allerdings konnte festgestellt werden, dass die App keine Daten unverschlüsselt versendet.

Das Urteil „unkritisch“ für Threema beruht zum einen darauf, dass die kostenpflichtige App des Schweizer Entwicklers Kasper Systems eine Ende-zu-Ende-Verschlüsselung bietet. So kann auch der Anbieter selbst die Unterhaltungen zwischen Nutzern nicht überwachen. Sie kann Adressbucheinträge zwar speichern, allerdings nur in pseudonymisierter Form und mit expliziter Zustimmung des Nutzers. Auch wenn der Anwender dem Auslesen seines Adressbuchs nicht zustimmt, kann er die App verwenden. Als einziges Manko haben die Tester ausgemacht, dass Threema keine quelloffene Software ist. Daher könne nur ausgeschlossen werden, dass die App keine Nutzerdaten unverschlüsselt überträgt. Ob sie manche Daten aber eventuell verschlüsselt übermittelt, habe sich im Test nicht zweifelsfrei feststellen lassen.

Die kostenlosen Messenger BBM und Line beurteilt Stiftung Warentest wie WhatsApp als „sehr kritisch“. Line verzichtet auf eine Ende-zu-Ende-Verschlüsselung, sodass der Anbieter Chatnachrichten mitlesen kann. Ob dies bei BBM ebenfalls der Fall ist, ließ sich nicht eindeutig überprüfen. Zumindest die iOS-Version überträgt Nutzerdaten aber teilweise unverschlüsselt. Vor- und Nachname teile sie sogar Dritten mit, heißt es im Schnelltest. Auch vom Nutzer eingegebene Daten übermittelt BBM für iOS unverschlüsselt. Zusätzlich versendet sie in verschlüsselter Form die E-Mail-Adresse des Nutzers. Die Android-Version überträgt den Testern zufolge Nutzerdaten zwar nur verschlüsselt, ist dafür aber deutlich wissbegieriger: Sie übermittelt Nutzername und Passwort, Vor- und Nachname, Geburtsdatum, Heimatland, E-Mail-Adresse sowie die Sicherheitsfrage und deren Antwort. Beide App-Varianten können zudem Adressbucheinträge übertragen, allerdings nur mit ausdrücklicher Zustimmung des Nutzers.

Letzteres gilt auch für Line. Wie BBM ist es verwendbar, wenn der Nutzer dem Auslesen seines Adressbuchs nicht zustimmt. Auch hier gibt es Unterschiede zwischen der Android- und iOS-Version: Die Android-App sendet die Seriennummer des Geräts (IMEI) unverschlüsselt an Dritte. Die iOS-Variante übermittelt auf dieselbe Art nur die eindeutige Geräteidentifikationsnummer (IDFA), die der Nutzer jedoch ändern oder ihre Freigabe untersagen kann. Auf iDevices mit iOS 6 oder älter versendet Line zusätzlich die nicht änderbare WLAN-Netzwerkadresse, jedoch in verschlüsselter Form und nur an den japanischen App-Anbieter.

Zu den fünf von Stiftung Warentest untersuchten Messengern gibt es noch zahlreiche weitere Alternativen. Dazu zählt etwa TextSecure, bei dem nicht nur der Client, sondern auch die Übertragungs- und die API-Protokolle quelloffen sind. myENIGMA verwendet wie Threema eine Ende-zu-Ende-Verschlüsselung und Server in der Schweiz, ist aber kostenfrei nutzbar. Das kostenlose und quelloffene Surespot bietet ebenfalls Ende-zu-Ende-Verschlüsselung.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago