Ursprünglich veröffentlicht: https://www.kuketz-blog.de/whatsapp-ade-signal-und-threema-ueberzeugen-als-sichere-alternativen/
1. WhatsApp-Wechselwillige Wer WhatsApp den Rücken kehren will, steht vor einer entscheidenden Frage: Welcher Messenger ist die beste Alternative? Oft wird Signal empfohlen – und das aus guten Gründen. Doch auch Threema ist eine sinnvolle Option. Gleichzeitig gibt es immer wieder Stimmen, die XMPP (Conversations), Matrix (Element) oder Delta Chat als mögliche Alternativen ins Spiel bringen. Doch es geht nicht immer um »besser oder schlechter«, sondern um die richtige Lösung für die richtige Zielgruppe. Signal und Threema sind für die meisten Nutzer eine praktikable Wahl, während XMPP und Matrix vor allem für Technikaffine interessant sind, die mehr Kontrolle über ihre Kommunikation…
Wenn ich mir die Vergleichsmatrix ansehen, dann müsste in dem Beitrag auch Wire auftauchen. Was spricht bei diesem Messenger dagegen?
Für mich sind alle Messenger , die Telefonummern zur Identifikation benutzen im Sinne der Privatsphäre ungeeignet. Auch wenn Verschlüsselungen genutzt werden, ist die Telefonnumer zur De-Anonymisierung geeignet. Wenn ich Signal unter Android installiert habe (2024), wurden mir gleich alle Kontakte meines Telefonbuchs angezeigt, die auch ein Konto bei Signal haben.
Begründung:
- Zwangsidentifizierung mit persönlichen Daten bei Abschluß eines Telefonvertrages in Europa
- Möglichkeit zur Verknüpfung eigener Kontakte auf dem Smartphone bei Nutzung der App
PS: Board Member und Finanzierung der Signalfoundation sind für mich nicht vertrauenswürdig (https://signalfoundation.org/) (https://en.wikipedia.org/wiki/Signal_Foundation)
Deswegen sind meine Messenger auch neben Threema noch SimpleX Chat und Jami.
Signal verwende ich privat nicht aufgrund der Telefonnummer die für ein Konto erforderlich ist.
Wenn du deine Nummer nicht aktiv hältst kann es auch sein dass die Nummer wieder an andere Personen neu vergeben wird.
Für Offine-Zwecke Briar.
Ich hol das hier mal hoch. Habe mich vor kurzem von Whatsapp abgemeldet und nutze jetzt für den „Übergang“ Signal. Auf lange Sicht würde ich wahrscheinlich auch gerne davon wegkommen und hatte bisher immer Threema als die „perfekte“ Lösung für mich gesehen was die Zukunft angeht. Wenn ich das hier lese frage ich mich allerdings ob das in der Zukunft wirklich noch so ist:
https://republik.ch/2025/05/07/die-schweiz-ist-drauf-und-dran-autoritaere-ueberwachungsstaaten-zu-kopieren
Ich habe vor einiger Zeit es geschafft, meine Familie und einige Freunde davon zu überzeugen, von Whatsapp zu Signal zu wechseln. Das war ein große Aufgabe und ich bin stolz, dass es geklappt hat. Natürlich benutzen sie immer noch Whatsapp als Hauptmessenger, aber unsere Gruppe läuft komplett über Signal. Es ist ein kleiner Sieg, aber immer noch besser als nichts. Und der Grund warum es überhaupt funktioniert hat liegt daran, dass Signal von der Bedienung her ein Whatsapp-Klon ist.
@Nelu Aus Sicht der Veschlüsselung ist Signal schon absolute Oberklasse (hat als einer von zwei freien Messengern Post-Quantum-Verschlüsselung (siehe Messenger-Matrix)). Die einzige in allen Punkten (außer vielleicht der usability) bessere Wahl ist SimpleX. SimpleX ist Post-Quantum verschlüsselt und nutzt keine Telefonnummern (oder irgendwelche anderen IDs) zur Authentifizierung.
Ich persönlich bin mit Signal sehr zufrieden (nutze aber auch noch Matrix) und mir käme es nicht in den Sinn irgendwo anders hin zu wechseln (SimpleX ist einfach zu unbekannt, als dass sich das Lohnen würde).
Gibt halt zwei „Pole“ beim Messenger:
- einfach und zugänglich mit Telefonnummer
- komplexer mit anderer Art der Identifikation des Gegenübers
Telefonnummer ist das gesellschaftlich verbreitetere und verfügbare Identifikationsmerkmal (und hey manchmal rufen Menschen sich sogar an 
). Daher scheitern aus meiner Sicht immer wieder alle Messenger ohne die Option eine Telefonnummer verwenden an der breiten Akzeptanz.
Praktisches Beispiel: Trainer einer Kindersportmannschaft will einerseits die Eltern asynchron informieren (bspw. „nächste Woche ist das Training halbe Stunde kürzer“, „wer kann XY mitnehmen“, „bringt jemand Z mit“, „wer hat Zeit für ein Turnier“, usw.) also „klassisch“ WhatsApp und andererseits diese im Notfall direkt erreichen (Anruf). Dafür dann zwei Identifikationsmerkmale zu verwenden wäre schon richtig Overhead und kompliziert (plus der menschliche Faktor, dass die Telefonnummer aufs neue Handy mitkommt, leider die andere ID vergessen wurde, usw.). Wer in der Situation ist wenig bereits eingeschliffene Strukturen (bspw. auch übergreifend über Alterskohorten usw…) vorzufinden, hat möglicherweise dann die Chance WhatsApp durch Signal zu ersetzen. Selbst hochgelobte Sportteam-Apps werden in Real Life immer wieder durch Messenger (trotz vorhandener Funktionen…) komplementär ergänzt.
Wer also unbedingt ohne Telefonnummer unterwegs sein möchte, kann das tun und sicherlich auch die direkte Peer Group (wie die Familie) mitnehmen. Nur sollte keine Beschwerde über mangelnde Akzeptanz im Rest der Gesellschaft damit einhergehen.
Ergänzung 1: Apples iMessage kann ohne Telefonnummer auskommen. Durch die Integration in die Nachrichten-App kommt eine gewisse Akzeptanz mit und in der ganze „Apfelbaum“ 
Ergänzung 2: Spannend sind immer „Grenzen“ zwischen großen Gruppen, in denen ein bestimmter Messenger vorherrschend gebraucht wird. Interessant sind so (immer mit Vorsicht zu genießende) Statistiken wie hier: https://sinch.com/blog/most-popular-messaging-apps-in-the-world/ oder hier https://infographicjournal.com/the-most-popular-messaging-apps-by-country/
Mich würde mal eure Meinung hierzu interessieren.
Signal baut in der Android app laut Trackercontrol Verbindungen zu folgenden Anbietern bzw. Domains auf. Darunter cloudflare, pintrest, Microsoft, Google aber auch Alibaba for whatever reason.
Findet ihr, dass dies die Privatspähre nennenswert kompromietiert?
Hier die Liste:
Blockzitat
german.alibaba.com
d17tyl4sykm6yh.cloudfront.net
d1cq301dpr7fww.cloudfront.net
d1of1hbywxxm65.cloudfront.net
d2exd72xrrp1s7.cloudfront.net
d2k2ndgnfa6hq.cloudfront.net
d2xzvsj15cr0yz.cloudfront.net
d83eunklitikj.cloudfront.net
dqbquby8d1wqj.cloudfront.net
dw0co1l755x1v.cloudfront.net
dxq870kxibfkw.cloudfront.net
d83eunklitikj.cloudfront.net
api.nextgen.guardianapps.co.uk
api2.branch.io
cdn.branch.io
cdn-eu.dynamicyield.com
turn.cloudflare.com
turn.cloudflare.com
turn.cloudflare.com
turn.cloudflare.com
turn.cloudflare.com
turn.cloudflare.com
addons-pa.clients6.google.com
ajax.googleapis.com
android-safebrowsing.google.com
android.apis.google.com
android.clients.google.com
android.googleapis.com
chromesyncentities-pa.googleapis.com
consent.youtube.com
cryptauthdevicesync.googleapis.com
cryptauthenrollment.googleapis.com
deviceintegritytokens-pa.googleapis.com
firebaseinstallations.googleapis.com
inbox.google.com
m.youtube.com
mtalk.google.com
suggestqueries.google.com
www.google.com
www.youtube.com
addons-pa.clients6.google.com
ajax.googleapis.com
android-safebrowsing.google.com
android.apis.google.com
android.googleapis.com
books.google.com
chromesyncentities-pa.googleapis.com
chromesyncpasswords-pa.googleapis.com
consent.google.com
content.googleapis.com
cryptauthdevicesync.googleapis.com
cryptauthenrollment.googleapis.com
deviceintegritytokens-pa.googleapis.com
firebasedynamiclinks.googleapis.com
firebaseinstallations.googleapis.com
inbox.google.com
m.youtube.com
play-fe.googleapis.com
www.google.com
www.youtube.com
html-load.com
html-load.com
svr2-production-canadacentral.canadacentral.cloudapp.azure.com
svr2-production-eastus.eastus.cloudapp.azure.com
waws-prod-am2-683-4a25.westeurope.cloudapp.azure.com
pinterest.com
www.snapengage.com
www.snapengage.com
a.tribalfusion.com
Zumindest Google wird mit den Forks Molly-FOSS und Signal-FOSS ausgesperrt. Alibaba finde ich schon sehr kritisch und war mir bisher noch nicht bekannt und (ist mir bei Molly-FOSS) in der iodé-Firewall nicht aufgefallen. Gibt es zu diesen Netzwerkverbindungen schon einen issue bei Signal? Oder hat Trackercontrol auch false-positives?
Kann es sein, dass da einige domains in deiner Liste sind, die kontaktiert wurden zum erstellen einer Linkvorschau, also beim Versenden von Links?
Bei mir ist die Liste deutlich kürzer.
Dazu müsstest Du im Detail wissen welche Daten an welche Domain übertragen wurden. Also den Datenverkehr aufbrechen. Alles andere ist nur ein Verdachtsmoment aber kein entgültiger Beweis.
Aber ja im Sinne von Wahrscheinlichkeiten könnte man schon in die Richtung tendieren. Messenger sind einfach ein sehr interessantes Ziel für diverse Gruppierungen. Mein Bauch sagt mir anhand von möglichen Angriffsvektoren Signal ist nicht wirklich sicher, aber immernoch allemal der bessere Weg als den Metakonzern zu unterstützen.
Google aggregiert z.B. unvorstellbare Mengen an Daten jeden Tag und hat mittlerweile quasi das gesamte Internet, sämtliche Apps usw. durchseucht und operiert aggressiv invasiv. Das die hier auch „Meta“-Informationen abgreifen, ist eigentlich ganz klar. Google möchte einfach alles möglichst in Echtzeit wissen. Man könnte Google auch mit Sauron aus Mittelerde gleichsetzen oder gar einem schwarzen Loch, alles fällt rein und nichts kommt mehr heraus. Der Rest von Bigtech sind dann passend die Ringgeister. Die bekommen natürlich auch alle etwas vom leckeren Datenkuchen.
Willst Du vollkommen privat sein oder gibts wirklich sehr vertrauliche Dinge zu besprechen, unterhalte Dich dann lieber direkt offline mit deiner Familie und deinen Freunden, schaltet dazu vorab den Router aus und legt dabei die Smartphones ausgeschaltet ganz weit weg. Dann hast Du quasi 100% Schutz deiner Informationen und kannst vollkommen frei und unüberwacht sprechen.
Notfalls kann man dann auch noch über 2G mit einem internetfreiem Handy telefonieren, wenn größere Entfernungen zwischen den Personen liegen. Es ist eher unwahrscheinlich, dass das Gespräch dann zumindest innerhalb Deutschlands standardisiert abgehört wird.
NUR so hat die Stasi übrigens schon mal verloren. Durch Kontrollverlust.
Mit einem Richtmikrofon oder Wanzen kannst du dennoch abgehört werden, wenn jemand es auf dich abgesehen hat.
Ebenso könnten deine Freunde und Verwandte Informanten sein oder werden.
Also kein entkommen.
Egal ob Bigtech oder die Stasi es auf dich abgesehen hat.
Hier ist kein Platz für Spekulationen, was in Zukunft alles passieren könnte und wie lange irgendeine Staatsform hält. Alles erdenkliche wäre hier möglich. Das ist aber nicht das Thema. Auch wollen wir hier derartige politische Diskussionen nicht. Daher habe ich die dazugehörigen Beiträge entfernt und bitte darum, beim Thema zu bleiben!
Vielen Dank 
Danke!
Wenn man hinzunimmt - das ist NICHT politisch - sondern die Rechtslage, dass US-Ausländer laut US-Verfassung kein Recht auf Privatheit haben, kann einem da schon übel werden.
Und nicht vergesssen: Seit ca. 2014 hat Google seine Datenschutzbestimmungen so umformuliert, dass grundsätzlich alle, auch von Tochterunternehmen, abgefischten Daten zusammengeleget werden dürfen. Google Map, Youtube, ReCaptcha, Double-Click, etc. etc. Google kauft fast täglich Unternehmen hinzu.
Wer trotz Snowden und eines - tatsächlich ständig gruseliger - werdenden NSA-Skandals immer wieder US-Dienste und -Server (US-Cloud-Act) aussucht für seine private und berufliche Kommunikation, handelt seltsam, wenn auch EU-üblich: Das US-Recht nimmt uns das MENSCHENRECHT auf Privatheit und hier wird die Nutzung, u.a. von US-Signal empfohlen?
Ok, in gewisser Weise konsequent: Auch die Beleidigung der eigenen Kunden durch Mark Zuckerbergs als „Dumb Fucks“ bremste die Facebookler nicht, sich und auch seine Freunde und Kontakte dort mit eigenen und fremden persönlichsten Daten nackig zu machen …
Und Threema aus der Schweiz? Datenschutz außerhalb des direkten Geltungsbereich der DSGVO? Fragwürdigst.
Dazu auch Mike hier.
Und die „Sicherheit“ der US-Anwendung Signal stelle ich aus zwei Aspekten in Frage:
Man beachte, dass die Meta-Daten beim Kontakt mit den oben zahlreich aufgelisteten Servern in den USA landen: Jeweils die IP-Adresse wird bei jedem Kontakt dort ins Server-Log-Protokoll geschrieben … oder nicht?
Sogar als „Laie“ könnte ich damit allein aufgrund Abgleichs der zeitlichen Koinzidenz ermitteln, wer mit wem wann wieviel austauscht, ohne die Inhalte kennen zu wollen oder zu müssen - die „Dienste“ sind geil auf Metadaten, Inhaltsdaten kriegen sie dann, WENN die Metadaten ergeben, dass es sich um „interessante“ targets handelt, auf anderem Wege.
Die USA erlauben keine echte Verschlüsselung:
Was hilft mir da eine technisch faszinierende Lösung?
Und Lawful Access hilft mir nur dann, wenn ich überhaupt ein law habe, was den Zugriff hindern könnte. Genau das spricht die US-Verfassung aber schnöden US-Ausländern, also: uns, ab:
https://www.justsecurity.org/2668/foreigners-nsa-spying-rights/
Während wir sogar US-Amerikaner als rechtlich vollwertige Menschen behandeln: Art. 8 EU-Grundrechtecharta erlaubt es JEDEM Menschen, sich vor JEDEM Gericht der EU auf eine Verletzung seiner Privatssphäre zu berufen. In den USA erntest du ein verschmitztes Lächeln … und das aus dem Grund, dass ein großer Teil er US-IT-Wirtschaft darauf basiert, dass Ausländerdaten kostenlos zu haben sind, ein rechtloses Wirtschaftsgut … mit dem man nicht nur Milliarden verdienen kann.
Man kann durch die Massenüberwachung „zwecks interessenoptimierter Werbung“ und „nur Telemetrie-Daten!!“ auch jegliche Innovation in der EU „im Blick behalten“, ggfls. früher zum Patentamt bringen als die Vorlagen dazu vom schwäbischen Tüftler ins Chefbüro gelangt sind. Seit Echelon. Seit Echelon lahmt unsere Innovationsfähigkeit. Besonders in den leicht überwachbaren Bereichen, der IT-Entwicklung.
Und ich sage nicht, dass die Lage für uns und die EU nicht verzweifelt ist.
Bitte entschuldigt die abermalige Länge.
Ich hatte nicht die Zeit, mich kurz auszudrücken.
Welche Messenger nutzt/empfehlt ihr?
Wenn ich mir die Messenger Matrix anschaue dann gibt es wohl nicht DEN perfekten Messenger.
Für die meisten Menschen wird es wahrscheinlich (erstmal) Signal sein, gerade wenn man von WhatsApp kommt…
Aber wenn man den nächsten Schritt gehen will und eine zweite Messenger App für die paar wenigen Leute die man überzeugen kann sucht, was dann nehmen?
Auch wenn sich die Angst in der Schweiz wohl erstmal gelegt hat, sollte man darum jetzt schon mal einen Bogen machen?
Sprachnachrichten nutze ich sehr gerne, ist dan Briar raus für mich?
Conversations gibt es nicht für die vielen Apple Nutzer in Familie und Freundeskreis…
Geht Element ganz ohne Google? Und ist es auch „Anfängern“ zumutbar?
Braucht es Post Quantum Verschlüsselung zwingend?
Lange Rede kurzer Sinn: Was nutzt ihr und warum? 
Wenn es dir NICHT um Multi-Device geht würde ich SimpleX Chat verwenden - wie die Entwickler z.b. über Twitter bekanntgegeben haben - ist Multi-Device auch nicht Top-Priorität - wird also noch länger dauern bis das geht.
Sonst Messenger wie ich hier erwähnt habe: https://www.kuketz-forum.de/t/whatsapp-ade-signal-und-threema-ueberzeugen-als-sichere-alternativen/11370/4
Ich installiere und nutze die Messenger die meine Kommunikationspartner bevorzugen und die ich für mich noch vertretbar halte - verschlüsselt und durch keine Firma betrieben, deren Geschäftsmodell auf der Überwachung der Benutzer basiert.
Dafür erhalte ich typischerweise auch das Entgegenkommen, dass beim Fehlen eines gemeinsamen Nenners mein Gegenüber auch mal einen weiteren Messenger installiert. Meistens wird es in solchen Fällen dann Signal.
Aus meiner Sicht die einzige Vorgehensweise um mit der Messenger-Misere umzugehen, dass jeder seinen gut begründeten Favoriten hat.
Trotz dem vielen Telegram-bashing dass ich immer wieder lese, ist das mein Haupt-Messenger. Ja, mir ist klar, dass der nicht „sicher“ ist. Genau wie Email. Vorteil: ich habe auf allen 3 Clients (Iphone, iPad, Rechner) immer den aktuellen Stand meiner Chats. Bei Signal war das lange Zeit nicht möglich und wie/ob das jetzt inzwischen läuft, weiss ich nicht.
Dann nutze ich noch (je nach vorlieben der Gesprächspartner) Signal, Threema, iMessage.
WhatsApp, Facebook, X und Konsorten fasse ich nicht mit der Kneifzange an (auch wenn ich der einzige im Sportverein bin, der dann halt auf anderem Wege kontaktiert werden muss oder eben mal ne Nachricht nicht mitbekommt. Ja, ich bin Stur 
)
Gerade ins 2G-Netz kann man sich doch ganz einfach einklinken? Deshalb verstehe ich den Fokus auf 2G gerade nicht …