Messenger, Verschlüsselung und Paranoia. Warum die Sache komplizierter ist als gedacht.

WhatsApp, Signal, Telegram, Threema oder iMessage. Eigentlich wollte ich nur wissen, welcher Messenger sicher ist. Stattdessen bin ich irgendwann nachts um zwei zwischen ETH-Zürich-Papers, Snowden-Zitaten, Apple-Sicherheitsblogs und Schweizer Kryptografie gelandet.

Und je mehr man liest, desto weniger eindeutig wird alles.

Die einen sagen: Telegram sei gefährlich.
Die anderen sagen: Telegram sei die letzte freie Plattform.

Signal gilt für viele Experten als der Goldstandard.
Edward Snowden empfiehlt ihn öffentlich.

WhatsApp nutzt technisch sogar große Teile der Signal-Verschlüsselung. Trotzdem vertrauen viele Menschen Meta nicht mehr wirklich. Denn Verschlüsselung ist eben nicht alles. Es geht auch darum, wer Metadaten sammelt, wer Kontakte ausliest, wer Nutzungsverhalten speichert und wer mit diesen Daten Geld verdient.

Und genau dort wird es interessant.
Wenn man sich die Datenschutzangaben im Apple App Store anschaut, wirkt WhatsApp plötzlich deutlich hungriger als Telegram. Während Telegram vergleichsweise wenige Daten angibt, listet WhatsApp gefühlt halb das Handy auf. Kontakte, Standort, Nutzungsdaten, Geräte-ID, Diagnosedaten, Produktinteraktion und mehr.

Das wirkt erstmal brutal.
Aber genau da beginnt das Problem:
Was bedeutet „sicher“ überhaupt?

Denn Telegram hat wiederum ein komplett anderes Problem.

Kryptografie-Experten kritisieren seit Jahren das eigene Telegram-Protokoll MTProto. Eine ETH-Zürich-Arbeit sprach sogar von einer „cryptographic fragility of the Telegram ecosystem“.

Das klingt erstmal vernichtend.

Und wenn man das Paper liest, merkt man:
Die Kritik ist technisch durchaus ernst zu nehmen. Die Forscher fanden Replay-Angriffe, Timing-Angriffe und Schwächen in Drittanbieter-Clients. Teilweise fehlten wichtige Sicherheitsprüfungen komplett.
Andererseits wird Telegram gleichzeitig in Ländern wie Iran, Russland oder Belarus von Oppositionellen genutzt, weil dort andere Plattformen überwacht oder blockiert werden. Genau diesen Punkt griff sogar ein Artikel auf, der vor einem Telegram-Verbot warnte:
In Demokratien könne Telegram problematisch sein, in autoritären Staaten aber oft die einzige freie Kommunikationsmöglichkeit.

Und plötzlich merkt man:
Die Realität ist komplizierter als „App gut“ oder „App böse“.

Dann gibt es noch Threema.
Der Schweizer Messenger mit Servern in der Schweiz, maximaler Sicherheit und einem fast schon banktresorartigen Ruf.

Und genau dort hat sich in den letzten Jahren einiges verändert.

Früher wurde Threema von Forschern durchaus kritisiert. Unter anderem wegen fehlender Perfect Forward Secrecy bei bestimmten Szenarien. Genau das war lange ein echter Schwachpunkt.

Heute sieht das deutlich anders aus. Im neuen offiziellen Kryptografie-Whitepaper von 2026 beschreibt Threema sehr detailliert, wie inzwischen PFS über das sogenannte „Ibex“-Protokoll umgesetzt wird. Dabei werden temporäre Schlüssel verwendet, die sich laufend ändern. Alte Schlüssel werden gelöscht. Selbst einzelne Nachrichten verwenden neue Ratchet-Schlüsselketten.

Überhaupt wirkt das gesamte neue Whitepaper fast wie eine direkte Antwort auf frühere Kritikpunkte.

Threema erklärt heute extrem offen:
• welche Algorithmen genutzt werden,
• wie Schlüssel erzeugt werden,
• wie Replay-Angriffe verhindert werden,
• wie lokale Daten verschlüsselt werden,
• wie Multi-Device funktioniert,
• und sogar, welche Grenzen aktuell noch existieren.

Auch der Open-Source-Aspekt wurde massiv ausgebaut. Apps, Web-Client und Teile der Infrastruktur sind öffentlich einsehbar.

Und dann kommt plötzlich Apple um die Ecke.

Was viele gar nicht wissen: iMessage gehört kryptografisch inzwischen wahrscheinlich zu den modernsten Messenger-Systemen überhaupt.

Apple hat 2024 mit „PQ3“ eine neue Sicherheitsarchitektur eingeführt, die sogar gegen zukünftige Quantencomputer schützen soll.

Das klingt erstmal nach Science Fiction. Ist aber tatsächlich ein reales Thema in der Kryptografie.

Denn Sicherheitsforscher gehen inzwischen davon aus, dass Geheimdienste oder große Staaten verschlüsselte Daten heute schon speichern könnten, um sie vielleicht irgendwann in der Zukunft mit Quantencomputern zu entschlüsseln. Apple nennt das „Harvest Now, Decrypt Later“. Und genau dagegen soll PQ3 schützen.

Das Verrückte: Apple behauptet sogar ziemlich offensiv, dass iMessage aktuell die stärksten Sicherheitsmechanismen aller großen Messenger habe.

Normalerweise wäre ich bei solchen Marketing-Sätzen extrem skeptisch. Aber interessant wird: Selbst externe Kryptografie-Professoren und ETH-Zürich-Forscher bestätigen, dass PQ3 technisch wirklich ziemlich beeindruckend ist.

Der große Unterschied zu vielen anderen Messengern: Apple schützt nicht nur den ersten Schlüsselaustausch post-quanten-sicher, sondern mischt diese Schutzmechanismen später immer wieder neu in laufende Chats ein. Das ist technisch extrem aufwendig.

Und plötzlich merkt man:
iMessage ist längst nicht mehr einfach nur die blaue Blase auf dem iPhone. Eigentlich absurd, wenn man drüber nachdenkt. Die meisten Menschen diskutieren bei Messengern über Sticker, Gruppenbilder oder „zuletzt online“. Im Hintergrund laufen aber inzwischen Kryptografie-Systeme, die teilweise auf Forschungsniveau entwickelt werden.

Was ich aber fast am spannendsten fand:
Am Ende gewinnt oft gar nicht der sicherste Messenger.

Sondern der, den alle nutzen. Das ist wahrscheinlich WhatsApps größter Vorteil überhaupt. Nicht die Technik. Nicht die Innovation. Sondern die pure Verbreitung. Genau das beschreibt auch ein älterer Text ziemlich treffend: Menschen installieren Signal, sehen eine leere Kontaktliste und löschen es wieder. Und genau deshalb bleibt WhatsApp dominant.

Weil niemand Lust hat, fünf Messenger parallel zu nutzen.
Weil Familie dort ist.
Freunde dort sind.
Gruppen dort sind.
Weil Bequemlichkeit fast immer stärker ist als Datenschutz.

Ich glaube inzwischen: Es gibt nicht den perfekten Messenger.

Signal wirkt aktuell technisch am kompromisslosesten. Telegram ist politisch und gesellschaftlich wahrscheinlich viel wichtiger, als viele wahrhaben wollen. WhatsApp ist technisch besser als sein Ruf, datenschutztechnisch aber schlechter. Threema hat sich technisch massiv weiterentwickelt. Und iMessage spielt kryptografisch inzwischen plötzlich in einer Liga, die viele vermutlich komplett unterschätzen.

WhatsApp ist genau bei diesem Thema wahrscheinlich der spannendste Fall überhaupt.

Denn technisch betrachtet ist WhatsApp deutlich sicherer, als viele denken. Die eigentlichen Nachrichten sind Ende-zu-Ende-verschlüsselt. Meta selbst kann normale Chats laut aktuellem Stand also nicht einfach mitlesen. WhatsApp nutzt dafür große Teile des Signal-Protokolls, das kryptografisch einen sehr guten Ruf hat. Genau deshalb sagen selbst viele Sicherheitsforscher: Die Verschlüsselung von WhatsApp ist technisch nicht das eigentliche Problem.

Das Problem sind die Metadaten.

Und genau dort wird es plötzlich deutlich unangenehmer. Denn Metadaten sind vereinfacht gesagt: Nicht der Inhalt deiner Nachricht. Sondern alles drumherum.

Also zum Beispiel:
• wer mit wem schreibt,
• wann geschrieben wird,
• wie oft,
• von welchem Gerät,
• aus welchem Land,
• mit welcher Telefonnummer,
• wie lange man online ist,
• welche Kontakte gespeichert sind,
• welche Gruppen existieren,
• welche Geräte-ID genutzt wird,
• welche IP-Adressen auftauchen,
• welche Zahlungsfunktionen genutzt werden,
• und teilweise sogar, wie Menschen die App verwenden.

Viele unterschätzen massiv, wie aussagekräftig genau diese Daten sein können.

Edward Snowden formulierte es einmal sinngemäß so:
Metadaten erzählen oft mehr als eigentliche Inhalte.

Denn wenn jemand zwar deine Nachrichten nicht lesen kann, aber exakt weiß,
• wann du mit wem kommunizierst,
• wie häufig,
• zu welchen Uhrzeiten,
• von welchen Orten,
• und in welchen sozialen Netzwerken du dich bewegst,
dann entsteht daraus oft ein erstaunlich präzises Persönlichkeitsprofil.

Teilweise deutlich präziser, als viele glauben. Man muss dafür keine einzige Nachricht lesen. Und genau hier wird WhatsApp für Datenschützer problematisch. Meta ist schließlich kein gemeinnütziges Forschungsinstitut, sondern einer der größten Werbe- und Datenkonzerne der Welt.
WhatsApp selbst zeigt keine klassische Werbung im Chat. Trotzdem ist die Plattform Teil eines gigantischen Meta-Ökosystems. Facebook, Instagram, Werbenetzwerke, Geräteinformationen, Nutzungsverhalten und Kontodaten existieren nicht isoliert voneinander.
Meta betont zwar offiziell immer wieder, dass WhatsApp-Inhalte verschlüsselt seien und nicht für Werbezwecke gelesen würden. Aber gleichzeitig sammelt WhatsApp laut den Datenschutzangaben im Apple App Store vergleichsweise viele Nutzungs- und Gerätedaten. Und genau deshalb vertrauen viele Menschen WhatsApp trotz guter Verschlüsselung nicht vollständig.

Dann kommt noch ein weiterer Punkt dazu:
Backups.

Das vergessen erstaunlich viele. Denn selbst wenn die eigentliche WhatsApp-Kommunikation Ende-zu-Ende-verschlüsselt ist, bedeutet das nicht automatisch, dass auch jedes Backup genauso geschützt ist. Früher waren genau diese Cloud-Backups ein großer Kritikpunkt. Chats konnten dadurch unter Umständen deutlich einfacher zugänglich werden als die eigentliche Live-Kommunikation. Inzwischen bietet WhatsApp zwar optional ebenfalls verschlüsselte Backups an.
Aber: Optional heißt eben nicht automatisch aktiviert.

Und genau solche Details entscheiden oft darüber, wie sicher ein Messenger im Alltag wirklich ist. Dann gibt es noch die ewige Diskussion über „Hintertüren“. Bis heute gibt es keine öffentlich belegte technische Hintertür, mit der Meta massenhaft verschlüsselte WhatsApp-Nachrichten live mitlesen könnte.
Das ist wichtig sauber zu trennen.
Im Internet wird oft so gesprochen, als könne WhatsApp einfach beliebig alle Chats lesen. Dafür gibt es aktuell keine belastbaren Belege. Trotzdem bleibt Misstrauen. Nicht nur wegen Meta selbst, sondern auch wegen der grundsätzlichen Frage: Was passiert, wenn Staaten oder Behörden irgendwann stärkeren Zugriff verlangen?

Genau darüber wird seit Jahren politisch gestritten. Sicherheitsbehörden vieler Länder hätten gerne Möglichkeiten, verschlüsselte Kommunikation besser überwachen zu können. Kryptografie-Experten warnen wiederum seit Jahrzehnten: Eine absichtliche Hintertür für „die Guten“ bleibt langfristig selten exklusiv nur für „die Guten“. Denn jede eingebaute Schwachstelle wird irgendwann selbst zum Sicherheitsrisiko. Und genau deshalb reagieren viele Kryptografie-Forscher bei dem Thema extrem sensibel.

Eigentlich ist genau das der große Widerspruch bei WhatsApp: Technisch gehört die Verschlüsselung heute vermutlich zu den besseren Lösungen im Massenmarkt. Datenschutztechnisch bleibt trotzdem ein enormes Fragezeichen. Nicht unbedingt wegen der Nachrichten selbst. Sondern wegen allem drumherum. Vielleicht ist genau das die wichtigste Erkenntnis: Absolute Sicherheit existiert nicht.

Und vielleicht sollte man kostenlosen Apps generell misstrauischer begegnen, wenn Milliardenkonzerne bereit sind, unfassbare Summen dafür zu bezahlen.

Denn meistens bezahlt man eben doch.
Nur nicht mit Geld.

Meine persönliche Einschätzung nach all dem Lesen ist inzwischen relativ simpel:

Wer einfach möglichst wenig Daten sammeln lassen möchte und technisch die kompromissloseste Lösung sucht, landet aktuell wahrscheinlich bei Signal.

Wer tief im Apple-Ökosystem steckt, nutzt mit iMessage inzwischen ebenfalls ein überraschend stark abgesichertes System, auch wenn Apple natürlich trotzdem ein großer Konzern bleibt.

Threema sehe ich heute deutlich anders als noch vor ein paar Jahren. Gerade die neuen technischen Dokumentationen und die Offenheit gegenüber früherer Kritik haben bei mir tatsächlich Eindruck hinterlassen. Das wirkt inzwischen alles deutlich erwachsener, transparenter und kryptografisch wesentlich stärker als früher. Und ehrlich gesagt würde ich mir persönlich wünschen, dass Threema mehr Verbreitung findet. Nicht aus Patriotismus oder wegen „Schweiz gut“. Sondern weil man inzwischen merkt, wie viel technische Arbeit dort tatsächlich hineinfließt. Gerade beim Thema Datenschutz wirkt Threema heute deutlich ernsthafter, als viele vermutlich denken.

Telegram sehe ich inzwischen differenzierter als früher. Technisch gibt es berechtigte Kritik. Gleichzeitig spielt die Plattform in manchen Ländern gesellschaftlich und politisch eine wichtige Rolle, die man nicht ignorieren sollte.

Und WhatsApp? Ehrlich gesagt vermutlich besser verschlüsselt, als viele denken. Aber eben auch datenhungriger, als vielen bewusst ist.

Am Ende muss wahrscheinlich jeder selbst entscheiden, was ihm wichtiger ist:
Maximale Sicherheit.
Maximale Privatsphäre.
Maximale Verbreitung.
Oder einfach maximale Bequemlichkeit.

Titel- und Artikelbilder mit Hilfe von KI erstellt.
generation i - Deine Community für alles über Apple und Heimautomationen