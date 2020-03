Smartphones sollen uns vor allem unkompliziert miteinander verbinden. Die einfachen Messenger-Apps bieten bequeme Möglichkeiten und sind größtenteils kostenlos. Dennoch zahlen wir einen Preis dafür: Unsere Telefonnummer und unsere Kontakte sowie die so genannten Meta-Daten werden oft von den Betreibern kommerziell genutzt. Es lässt sich Geld machen mit der Information, wann wir mit wem wie lange kommunizieren.

Am Anfang entsteht eine Session-ID … / © AndroidPIT

Und selbst wenn wir einem App-Entwickler vertrauen können, wie es etwa beim Signal-Messenger der Fall ist, hat die Sache einen Haken: Wir sollen uns mit unserer Telefonnummer registrieren und der App Zugriff auf unsere Kontakte geben. Erstere ist in Deutschland unweigerlich mit unserer echten Identität gekoppelt und letztere müssten theoretisch einzeln einwilligen, dass wir ihre Telefonnummern weitergeben.

Paranoider als Signal oder Threema

Der neue Messenger Session ist ein so genannter Fork von Signal. Funktionell ist er damit weitgehend identisch, aber beim Einrichtungs-Prozess werdet Ihr nicht mehr nach Eurer Telefonnummer gefragt. Auch der Zugriff auf Eure Kontaktliste oder das Verknüpfen Eurer Nummer oder E-Mail-Adresse mit Eurer Session-ID ist nicht vorgesehen – damit ist Session noch paranoider als Threema.

Was Session kann

Session beherrscht die üblichen Chat-Funktionen: Es gibt Sprachnachrichten, eine GIF-Suche (mit Privatsphäre-Warnung), Dateiaustausch und Gruppenchats. Neue Kontakte fügt Ihr per Scan eines QR-Codes oder Austausch der Session-ID hinzu. Eure Gruppen könnt Ihr per Link teilen.

Teilt Ihr GIFs, warnt Euch Session vor kompromittierten Meta-Daten. / © AndroidPIT

Verschlüsselte Gruppenchats

Ein weiterer Vorteil gegenüber Signal oder Telegram sind Ende-zu-Ende-verschlüsselte Gruppenchats. Bis zu zehn Leute können sich via Session voll anonym vernetzen. Ja, auch WhatsApp hat verschlüsselte Gruppenchats. Aber Eure Meta-Daten, Telefonnummern und IP-Adressen bleiben für Facebook sichtbar. Session ist komplett ahnungslos.

Session auf allen Plattformen

Session startet richtig durch. Es ist im Play Store (oder als APK), im App Store sowie zum Download für Windows, macOS und Linux erhältlich. In der Theorie könnt Ihr dieselbe Session-ID auf all Euren Geräten gleichzeitig nutzen. Im Selbstversuch ist mir das leider nicht gelungen. Wenn Ihr Session zum ersten Mal installiert, erstellt es eine – daher der Name – neue Sitzung oder Session. Diese wird durch eine Wiederherstellungs-Phrase geschützt. Solltet Ihr Euer Smartphone wechseln, könnt Ihr also Eure Session auf dem neuen Gerät über diese Phrase fortsetzen.

Sessions übertragen

Chat-Backups werden in Sessions auf zweierlei Arten gemacht. Entweder Ihr legt eine – ebenfalls durch Passphrase geschützte – lokale Sicherung an; ganz genau wie in Signal. Diese könnt Ihr vor dem Zurücksetzen Eures Smartphones aus dem internen Speicher vom alten aufs neue Gerät kopieren.

Oder Ihr verlasst Euch auf Eure Chat-Partner und ladet die Chat-Protokolle nach der Wiederherstellung Eurer Session von ihnen herunter. Leider wollte auch dies im Selbstversuch nicht gelingen.

Nach der Wiederherstellung fehlen Teile der alten Chats. / © AndroidPIT

Was Session (noch) nicht kann

Wie oben schon zu erkennen, ist Session nicht besonders talentiert beim Wiederherstellen der Sicherung. Falls Ihr die App auf ein neues Gerät umziehen wollt, müsst Ihr mit Schwierigkeiten beim Wiederherstellen der Chat-Protokolle rechnen. Da Session jedoch auf kurzlebige Sitzungen ausgelegt ist, rechne ich in diesem Bereich nicht mit baldiger Besserung.

Wiederhergestellte Sessions freischalten

Session ist auch nicht besonders zuverlässig darin, Euch mit Leuten in Kontakt zu halten. Stellte ich im Test eine Session wieder her, konnte ich zwar meine Session-Kontakte wiederherstellen – wenngleich nur mit ihren IDs und ohne ihre Spitznamen. Doch konnte ich ihnen aufgrund meines veränderten Krypto-Schlüssels nicht mehr schreiben. Erst wenn sie mich kontaktierten, konnte ich wieder antworten. Falls also einer Eurer Session-Kontakte sich länger nicht meldet, pingt ihn einmal an. Eventuell müsst Ihr ihn erst wieder freischalten.

Telegram ist Sessions bester Freund

Da Sessions eher darauf ausgelegt ist, dass Ihr Sessions nur für kurze Einsätze kreiert und dann wegwerft, lohnt sich parallel die Nutzung von Telegram. Ich habe letzteren zum schnellen Austausch von IDs (optional per sicherem Chat mit Selbstzerstörungs-Timer) und zum Sichern und Synchronisieren meiner IDs und Passphrasen genutzt. Ähnliche Funktionalität böte auch die Kombination aus Syncthing und Text-Editor, die ist aber nicht ganz so simpel einzurichten.

Wer steckt hinter Session?

“Session” gehört zur Loki Foundation, einer Non-Profit-Organisation ohne festen Sitz. CEO ist Simon Harman. Auch wenn das Projekt nicht profitorientiert arbeitet, will es Session monetarisieren. Teile der Infrastruktur basieren auf einem Blockchain-Netzwerk, das die hauseigene Währung $LOKI schürft.

Das Netzwerk stellt wichtige Infrastruktur zur Anonymisierung seiner Nutzer bereit; darunter auch einen Onion-Router zur Verschleierung Eurer IP-Adresse. Weder Euer Gegenüber noch die Loki-Foundation können Euren Standort ermitteln.

Falls also einmal ein Staat per Gerichtsbeschluss Einsicht in die Session-Server erwirken sollte, würden die Fahnder nichts außer wenig aussagekräftiger Session-IDs und TOR-IP-Adressen vorfinden. Nichts von diesen Informationen ließe eindeutige Rückschlüsse auf die Identität der Nutzer der Messenger-App zu.

Fazit

Session ist einer der vielversprechendsten Messenger für den Paranoiker in mir. Falls er die störenden Schwächen bei der Verwendung auf mehreren Geräten und vor allem beim Wiederherstellen der Session überwindet, wird er auch für mich alltagstauglich. Bis dahin ist er auf jeden Fall eine spannende Machbarkeitsstudie und Beweis, dass es auch anders geht.