Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

Wire-User-Test: Der Datenschutz im Test

Wire-User-Test: Der Datenschutz im Test

Wir haben insgesamt 5 Tester gesucht, die den Wire Messenger auf Herz und Nieren testen. Nun stellen wir Euch die 5 Testberichte vor. Ihr, die Community, dürft am Ende entscheiden, welcher Testbericht Euch am besten gefallen hat und somit ein Samsung Galaxy S7 Edge gewinnt! Viel Spaß beim Lesen!

Die Registrierung

Bei Wire kann man sich als Nutzer auch ohne Angabe der Telefonnummer registrieren, muss die Registrierung dann aber auf einem anderen Gerät als einem Smartphone vornehmen, z.B. über Wire for Web (app.wire.com) auf dem Laptop oder PC. Das heißt, dass Du Wire auch ohne Simkarte nutzen kannst. Bei Registrierung mit dem Smartphone mit Simkarte muss jedoch eine Mobilfunknummer angegeben werden. Nach Registrierung bekommst Du einen einmaligen Registrierungscode per SMS zugeschickt, mit dem Du Deinen Account aktivierst. Du kannst Dich am Smartphone (und jedem anderen Gerät) aber auch ohne Mobilfunknummer anmelden, wenn Du Dich vorher über Wire for Web registriert hast.

Wire User Test C F Setup 1
Die Registrierung per Web (links), der Login-Screen (rechts). / © C. F. / ANDROIDPIT

Der Login screen sieht auf jedem Gerät gleich aus.

Der Abgleich mit Deinem Telefonbuch ist übrigens optional. Wire anonymisiert die Telefonnummern und E-Mail-Adressen Deiner Kontakte vollständig. Zudem werden sie getrennt aufbewahrt, sodass sie nicht miteinander in Verbindung gebracht werden können. Wire erfasst weder die Namen in Deinem Adressbuch noch andere Informationen wie Notizen, Geburtstage usw.. Auf dem Mobiltelefon kannst Du Wire nur auf Dein eigenes Adressbuch zugreifen lassen. Die Adressbuchdaten werden auf keinem Server gespeichert. In Wire for Web kannst Du entscheiden, ob Du Wire den Zugriff auf Deine Gmail-Kontakte oder iCloud-Kontakte gestattest. So kannst Du Deine Kontakte besser finden.

Selbstlöschende Nachrichten - gibt's das?

Auch diese Funktion hat Wire mittlerweile implementiert. Du tippst beim Texteingabefeld rechts auf die Sanduhr und kannst hier den Timer einstellen, wann sich die Nachricht quasi selbst zerstören soll. Hier sind Eingaben von 5, 15 und 30 Sekunden, einer und 5 Minuten, sowie einem Tag möglich.

Wire User Test C F 3
Die Auswahl der Zeit ist sehr einfach. / © C. F. / ANDROIDPIT

Was kann ich gegen unerwünschte Kontaktaufnahme unternehmen?

Selbstverständlich gibt es auch bei Wire die Möglichkeit, ungebetene Kontakte zu blockieren. Ein längerer Druck auf den Namen in der Kontaktliste stellt Dir verschiedene Funktionen dazu bereit:

Wire User Test C F 4
Es gibt auch die Möglichkeit, bestimmte Kontakte zu blockieren. / © C. F. / ANDROIDPIT

Hier kannst Du den Kontakt blockieren und aus Deiner Kontaktliste löschen. Zusätzlich kannst Du die Kommunikation noch archivieren (man weiß ja nie...).

Jetzt nutze ich Wire. Aber was macht Wire sicher?

Text, Sprache, Video und Medien sind bei Wire immer Ende-zu-Ende verschlüsselt. In persönlichen als auch in Gruppenunterhaltungen, so dass alle Unterhaltungen privat und sicher sind. Unterhaltungen können auf mehreren Geräten benutzt werden, ohne dass die Sicherheit beeinträchtigt wird.

Der Inhalt der Unterhaltungen wird mit starker Verschlüsselung auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt. Wire kennt die verwendeten Schlüssel nicht und die Software enthält keine Hintertür. Nutzerdaten gehören dem Nutzer und Wire hat keinen Zugriff darauf.

Textnachrichten und Bilder verwenden Off-the-Record (OTR) Ende-zu-Ende-Verschlüsselung. Wire verwendet das Axolotl-Ratchet Protokoll sowie Pre-Keys, die für mobiles Messaging optimiert sind.

Anrufe verwenden den WebRTC-Standard. Genauer gesagt wird DTLS für die Schlüsselaushandlung und Authentifizierung sowie SRTP für die Transportverschlüsselung der Mediendaten verwendet. Dies bedeutet, dass Anrufe Ende-zu-Ende mit Forward Secrecy verschlüsselt sind, ohne Einbußen bei der HD-Qualität.

Die Verschlüsselung läuft transparent im Hintergrund und muss nicht erst aktiviert werden. Weder die Bedienbarkeit wird beeinträchtigt, noch der Funktionsumfang reduziert, wie es bei anderen, sicheren Messengern der Fall ist.

Im Zuge eines Audits haben die Firmen Kudelski Security und X41 D-Sec das Wire-Protokoll Proteus (basiert auf Axolotl, das bspw. in Signal eingesetzt wird), die High-Level API Cryptobox und den C Wrapper Cryptobox-C auf Schwachstellen geprüft. Ergebnis: Es wurden keine kritischen Lücken gefunden. So sollte das auch sein.

Die nachfolgende Grafik soll die Vorteile von Wire gegenüber anderen Messengern verdeutlichen:

Wire User Test C F 5
Die Tabelle zeigt sehr schön, welche Sicherheits-Features die Messenger mitbringen. / © Wire

Als Nutzer hat man auch zusätzlich die Option, den digitalen Fingerabdruck, welcher jedem Gerät individuell vergeben wird, zu verifizieren. Die Verifizierung hilft Dir, Dich vor Man-in-the-middle-Attacken zu schützen, indem Du sicher stellst, dass die Person, mit der Du kommunizierst, auch diejenige ist, die sie vorgibt zu sein. Nach der Verifikation der Unterhaltung wirst du z.B. auch benachrichtigt, wenn dein Kontakt ein neues Gerät benutzt, auch wenn ein neues Smartphone angeschafft wurde. Klicke dazu einfach in einer Unterhaltung auf den kleinen nach unten zeigenden Pfeil rechts neben dem Kontaktnamen und im nächsten Fenster auf „Geräte“, und Du kommst auf folgende Anzeige:

Wire User Test C F Setup 2
Man kann einfach sicher stellen, dass man auch wirklich mit der korrekten Person kommuniziert. / © C. F. / ANDROIDPIT

Klicke auf eines der angezeigten Geräte, schiebe unten links den Schalter von „nicht überprüft“ auf „überprüft“ - fertig. Benutzt Dein Gesprächspartner mehrere Geräte, sind diese alle wie hier abgebildet aufgeführt.

Wie reagiert Wire auf Fragen in punkto Sicherheit?

Zur Transparenz sagt Wire selbst:

Unsere Bekenntnis zu Sicherheit ist vollständig überprüfbar — man muss uns nicht einfach glauben. Wire verwendet Open-Source-Kryptographie, um alle Inhalte zu verschlüsseln. Wir haben den Source-Code für Datenverarbeitung unter der GPL-Lizenz veröffentlicht. Somit kann jeder den Source-Code überprüfen. Wire veröffentlicht regelmäßig Transparenz-Berichte, die Details über Anfragen von Behörden enthalten. Wire wird nicht durch Werbung finanziert. Deine personenbezogenen Daten oder der Inhalt der Unterhaltungen werden weder verkauft noch vermietet oder für Werbung Dritter verwendet

Leider sind die Privacy- und Security Whitepaper in Englischer Sprache verfasst. Wollen wir hoffen, dass es dazu einmal eine Deutsche Übersetzung geben wird.

Positiv zu bemerken ist das Geschäftsmodell von Wire: es werden keine Metadaten zu kommerziellen Zwecken an Dritte (wie z.B. Facebook bei WhatsApp) veräußert. Auch wenn sie auf den Servern von Wwire temporär gespeichert werden. Wire finanziert sich unter anderem über Venture-Kapital von Iconical (einem Venture-Kapital-Geber zu dem Skype-Mitgründer Janus Friis gehört). Und Janus Friis wurde durch den Verkauf seiner Anteile an Skype zum Milliardär. Zudem sollen einmal kostenpflichtige Premium-Dienste eingeführt werden, um die Eigenfinanzierung zu sichern. Dies könnte ähnlich dem Modell von Threema mit seiner Business-Version „Threema Work“ gestaltet werden – speziell auf Firmen zugeschneiderte Angebote und Funktionen.

Was sagen andere über Wire?

Dazu möchte ich gerne Mike Kuketz zitieren, welcher freiberuflich im Bereich IT-Sicherheit tätig ist und z.B. als Penetrationstester IT-Systeme, Webanwendungen und Apps (Android, iOS) von Unternehmen auf sicherheitsrelevante Schwachstellen prüft und die Unternehmen bei deren Behebung hilft:

„Die letzten Tage war ich geschäftlich in Berlin und auch in den Geschäftsräumen von Wire. Mir liegen nun neue Informationen vor, die ich euch kurz mitteilen möchte:

  • Geschäftsmodell: Jede Funktion in Wire die aktuell unentgeltlich nutzbar ist, soll auch in Zukunft nichts kosten. Mit Premium-Funktionen möchte man sich später finanzieren
  • Webbkoll: Google Analytics ist nun nicht mehr auf der Webseite von Wire zu finden
  • Quellcode: Der Quellcode vom Serverpart soll demnächst ebenfalls veröffentlicht werden. Es soll sogar Federation unterstützt werden. Damit könnte man den Dienst selbst hosten​​​​​​
  • Identifier: Als Identifier wird auf die Telefonnummer gesetzt. In Zukunft möchte man einen weiteren Identifier integrieren, der auf einer E-Mail Adresse basiert. Ein Upload des Telefonbuchs ist optional. Vermutlich müssen Kontakte dann händisch hinzugefügt werden – darin sehe ich allerdings keinen Nachteil

In der Summe gute Nachrichten. Wire scheint ein offenes Ohr für Kritik zu haben und reagiert darauf offenbar auch.“

Es ist somit positiv anzumerken, dass Wire keine anonyme Firma ist, sondern durchaus für den Anwender „greifbar“. Kleine Anmerkung zum Quellcode: gerade das selbst hosten wie z.B. von Conversations auf eigenen Servern der User (als bekanntes Beispiel hierfür sei der Chaos Computer Club angemerkt) führt einen Schritt weiter zur Abkehr von Diensten wie Google etc. Und zum Glück hat Wire eine fallback-Funktion integriert. Das heisst, wenn auf Deinem Smartphone keine Google-Dienste installiert sind, funktioniert Wire trotzdem.

Wer ist Wire eigentlich?

Die Wire Swiss GmbH hat ihren Hauptsitz in der Schweiz und unterliegt somit den eidgenössischen Datenschutzrechten und -bestimmungen. Programmiert wird jedoch in Berlin. Es wird seitens Wire versichert, dass die Server alle im Euopäischen Raum mit hohen Datenschutzbestimmungen stehen. Zudem werden Nachrichten maximal 30 Tage gespeichert, danach von den Servern gelöscht. Das ist uns ja auch von anderen sicheren Messengern bekannt.

Hier die Sicherheitsaspekte nochmals im Telegrammstil:

  • Wire kann ohne Angabe der Mobilfunknummer registriert und genutzt werden

  • Wire funktioniert auch auf Geräten ohne Google-Dienste

  • Alle Textnachrichten sind E2E verschlüsselt

  • Gruppenchats sind E2E verschlüsselt

  • Alle Telefonate sind E2E verschlüsselt

  • Alle Videoanrufe sind E2E verschlüsselt

  • Die „Fingerprints“ der Kontakte lassen sich einzeln verifizieren

  • Unerwünschte Kontakte lassen sich blockieren und löschen

  • Es können selbstlöschende Nachrichten verschickt werden

  • Wire verkauft keine Meta-Daten an datenhungrige Konzerne

  • Die von Wire genutzen Server stehen in der EU und unterliegen somit deren Datenschutzgesetze

  • Wire kann durch Selbstkompilieren der App 100% Open Source genutzt werden

  • Die Datensicherheit von Wire wurde von zwei unabhängigen Firmen in einem Audit bestätigt. Durch das Audit wurden keine relevanten Sicherheitslücken gefunden

  • Wire hat seinen Firmensitz in der Schweiz und unterliegt somit den eidgenössichen Datenschutzbestimmungen

Fazit

Bezüglich der Sicherheit kann man Wire wohl die selben Bescheinigungen ausstellen, wie bei Threema oder Signal. Wire ist jedoch (noch) nicht komplett Open Source und somit z.B. noch nicht bei F-Droid erhältlich. Wer jedoch gerne auf unnötige proprietäre Abhängigkeiten verzichten möchte, muss sich den Client also selbst kompilieren. Wire hat seinen Sitz in der Schweiz und ist vollständig mit den Datenschutzgesetzen der Schweiz und der EU konform. Somit stellt Wire einen grundsoliden Messenger dar, der keinerlei „Gadgets“ vermissen lässt, diese aber konsequent verschlüsselt. Nachteile ließen sich bei der täglichen Nutzung aller Möglichkeiten, die Wire bietet, nicht feststellen.

Empfohlene Artikel

9 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Zum Punkt "Die von Wire genutzen Server stehen in der EU und unterliegen somit deren Datenschutzgesetze" eine Präzisierung: Wire wird auf Amazon-Servern in Irland gehostet. Vor dem Hintergrund, dass Amazon eine US-Firma ist, ist der Satz "Wire verkauft keine Meta-Daten an datenhungrige Konzerne" zu relativieren. Die Meta-Daten sind schon bei datenhungrigen Konzernen.


    • C. F.
      • Blogger
      11.04.2017 Link zum Kommentar

      Kannst Du dazu bitte eine Quelle angeben?

      UbIx


      • Quelle: hxxps://medium.com/@pepelephew/how-to-intercept-all-wire-voice-and-video-calls-13da1246675c

        Kannst du auch selbst überprüfen - einfach ein whois auf die IP-Adresse machen. (Zum Artikel ist zu sagen, dass Wire zumindest das Problem mit dem Certificate Pinning nach eigenen Aussagen inzwischen behoben hat).

        Und Wire speichert *viel* mehr Metadaten als andere, datensparsamere Dienste:

        * Alle deine Kontakte
        * Unverschlüsselte Nutzerprofile für alle Nutzer
        * Unverschlüsselte Gruppentitel und Gruppenbild aller Gruppen
        * Jeder aktive Chat den du hast
        * Jeder archivierte Chat
        * Wie häufig du mit jemandem kommuniziert hast
        * Jede Gruppe, in der du drin bist

        Quelle: hxxps://news.ycombinator.com/item?id=14067754

        UbIx


      • Hallo Max,
        ich bin Julian, arbeite bei Wire und würde gerne auf deine Punkte eingehen.

        Inhalte sind bei Wire grundsätzlich Ende-zu-Ende verschlüsselt, so können lediglich Gesprächspartner diese entschlüsseln. Logs werden nur 72 Stunden gespeichert und das auch nur, um eine schnelle Fehlerbehebung zu ermöglichen, den Dienst zu verbessern und Missbrauch zu verhindern. Die Anwendungen von Wire sind so konzipiert, dass zum Betrieb des Dienstes möglichst wenige zusätzliche technische Daten erforderlich sind.

        * "Alle deine Kontakte"
        Bei aktivierter Einstellung, dass auf Kontakte lokal zugegriffen werden darf, um bereits im Adressbuch bekannte Kontakte in Wire hinzuzufügen werden Telefonnummer bzw. E-mailadresse des Kontakts lokal gehasht, verschlüsselt an die Wire-Server übertragen und dort in Echtzeit verglichen, ob die Nummer bereits Wire verwendet. Dieses Matchen passiert in Echtzeit im Arbeitsspeicher des Servers und wird somit nicht auf dem Server gespeichert, sondern direkt nach dem Matchen wieder verworfen. Der gesamte Prozess dauert wenige Millisekunden und es werden keine der hochgeladenen Information gespeichert.

        * "Unverschlüsselte Gruppentitel und Gruppenbild aller Gruppen"
        Hierbei handelt es sich um öffentliche Informationen wie Username, das Profilbild und der angezeigte Name. Ferner werden noch E-mail-Adresse oder Telefonnummer (falls angegeben) gespeichert, sind aber für andere nicht einsehbar.

        * "Jeder aktive Chat den du hast"
        Eine Konversation ist nur die Bestätigung einer Kontaktanfrage. Inhalte kennt der Server nicht, da diese immer Ende-zu-Ende verschlüsselt sind.

        * "Jeder archivierte Chat"
        Hier gilt das Gleiche wie für "jede aktive Konversation". Es handelt sich nur um ein zusätzliches Flag.

        * "Wie häufig du mit jemandem kommuniziert hast"
        Dies wird mittlerweile vom Client gehandhabt, dies ist im Client-Code ersichtlich. Am Server wird nichts davon gespeichert.

        * "Jede Gruppe, in der du drin bist"
        Dies wird nur genutzt, um auf neuen Geräten die bestehende Gruppenzugehörigkeit anzuzeigen.

        mehr Infos findest du in unseren Whitepapern auf wire.com/privacy


        Viele Grüße aus Berlin,
        Julian


        edit: Link zu den Wire-Whitepapern


  • C. F.
    • Blogger
    09.04.2017 Link zum Kommentar

    Update: Neuigkeiten zum Server-Code:

    Open sourcing Wire server code: https://medium.com/@wireapp/open-sourcing-wire-server-code-ef7866a731d5

    Wire server code: https://github.com/wireapp/wire-server

    UbIx


  • Izzy
    • Blogger
    07.04.2017 Link zum Kommentar

    Guter Tipp mit der Registrierung von einem nicht-mobilen Gerät!

    Du schreibst: "Wire anonymisiert die Telefonnummern und E-Mail-Adressen Deiner Kontakte vollständig." Hast Du dazu noch Details? Werden die (ähnlich wie bei Diensten, die ähnlich verfahren) lediglich gehasht – oder hat man da bei Wire etwas besseres gefunden? (Dank der "überschaubaren" Anzahl möglicher Telefonnummern, lassen sich gehashte Nummern mit relativ vertretbarem Aufwand nämlich wieder "entschlüsseln")

    Begrüßenswert finde ich insbesondere das Bekenntnis zu Privatsphäre und Datenschutz – und Mike zu zitieren, gibt dem noch zusätzlich Gewicht :) Summa summarum: Schade, dass es für Artikel keine Daumen gibt. Tolle Arbeit, ich würde Dir gern einen "Daumen hoch" verpassen :)

    Sobald es einmal vollständig Open Source ist, sollte sich ein Blick definitiv lohnen. Wie UbIx, verwende auch ich derzeit Conversations: Auch wenn es da keine Audio/Video Konversationen gibt, kommt da noch der E2E verschlüsselte Gruppen-Chat hinzu (naja, ab und an hakt der, wenn mal jemand einen neuen Schlüssel erzeugt).


    • C. F.
      • Blogger
      07.04.2017 Link zum Kommentar

      Danke Izzy :-)

      Die entsprechenden Eingaben werden mittels SHA-256 gehashed und base-64-verschlüsselt, bevor sie an die Server übermittelt werden. Außer Telefonnummer und/oder Mailadresse werden keine weiteren Daten aus dem Telefonbuch abgeglichen.

      Vielleicht kommt ja doch mal ein Artikel über conversations... ;-)

      UbIx


  • Hi C. F.,
    im wesentlichen ein guter Beitrag. Ich habe Wire gleich wieder deinstalliert, da er neben der Anmeldung per Telefonnummer, auch die Geräteidentität abfragt wird. Es sind einige Kommunikationswege offen und der Zugriff auf das Telefon, Position und Interneteinstellungen sind meines erachtens auch nicht notwendig. Also für mich bleibt Conversations/Jitsi erste Wahl, zumal es sich dort Zugangsanbieter und Client Entwickler unterscheiden. Weiterhin benötigt man bei Jabber/XMPP clients keine Daten wie Telefonnummer oder eMail-Adresse.

    Ansonsten gut Recherchiert weiter so.

    Izzy


    • C. F.
      • Blogger
      07.04.2017 Link zum Kommentar

      Die entsprechenden Berechtigungen kannst Du bei Android natürlich wieder entziehen. Wer mittels wire aber gerne seinem Gegenüber den aktuellen Standort übermitteln möchte, braucht natürlich die aktivierte Berechtigung für die Position. Wie Threema übrigens auch ;-)

      UbIx

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!