Kategorien
Datenschutz Messenger unterwegs

Mobile Apps vs. Webapps – Sonderfall Messenger-Dienste

Ich habe bereits einen Beitrag zum Thema Mobile Apps vs. Webapps geschrieben, welcher die folgende Grundidee beinhaltet: Es ergibt meistens keinen Sinn, native Apps (also solche, die speziell für dein mobiles Betriebssystem entwickelt wurden) zu nutzen und stattdessen Webapps zu bevorzugen. Denn native Apps haben oft tiefere Zugriffsrechte auf dein Gerät und können über Schnittstellen einfacher Daten abgreifen – Standort, Kontakte oder Nutzungsverhalten. Webapps, die du im Browser verwendest, sind in dieser Hinsicht meist deutlich eingeschränkter und dadurch oft datenschutzfreundlicher. Wer es also ernst meint mit digitaler Selbstverteidigung, fährt im Alltag mit Webapps oft sicherer: App vs. Web: Warum es einen Unterschied macht, wie du digitale Dienste nutzt

Messenger-Apps: Eine Ausnahme von der Regel

Wenn es um Messenger-Dienste geht – insbesondere solche, die Ende-zu-Ende-Verschlüsselung (E2EE) anbieten – muss ich meine allgemeine Aussage allerdings relativieren.In genau diesem Bereich ergibt es aus technischer Sicht mehr Sinn, die native App zu nutzen. Der Grund: E2EE lässt sich in nativen Apps technisch deutlich robuster umsetzen als in Webanwendungen.

Foto von  Mika Baumeister auf Unsplash

Was ist Ende-zu-Ende-Verschlüsselung (E2EE)?

Aber lasst uns zuerst einmal klarstellen, was E2EE ist. E2EE bedeutet, dass nur Sender und Empfänger eine Nachricht lesen können. Niemand dazwischen hat Zugriff auf den Inhalt, nicht der Server, nicht der Anbieter, und kein möglicher Angreifer. Die Nachricht wird auf deinem Gerät verschlüsselt, übermittelt und erst auf dem Zielgerät wieder entschlüsselt und nicht etwa wie bei normaler Transportverschlüsselung, bei der auf den Servern des Internet Anbieters wieder entschlüsselt wird… Selbst also, wenn jemand den Datenstrom abfängt, bleibt der Inhalt geschützt.

Warum ist Ende-zu-Ende-Verschlüsselung (E2EE) in Webanwendungen schwerer umzusetzen als in nativen Apps?

Die Umsetzung von E2EE in Webanwendungen ist deutlich anspruchsvoller als in nativen Anwendungen. Dafür gibt es mehrere technische und sicherheitsrelevante Gründe. Die zentralen Herausforderungen betreffen die Integrität des Quellcodes, den sicheren Umgang mit kryptografischen Schlüsseln sowie das Session-Management im Browser.

1. Code-Integrität und Kontrolle

Bei nativen Apps wird der Code einmalig kompiliert, signiert und auf dem Gerät installiert. Der ausführbare Code bleibt bei jeder Nutzung derselbe und kann über Signaturen auf Integrität geprüft werden. Anders bei Webanwendungen: Hier wird der JavaScript-Code bei jedem Seitenaufruf neu vom Server geladen.

Das bedeutet: Wenn der Server kompromittiert wird oder ein Angreifer in der Lage ist, sich als Man-in-the-Middle zwischen Nutzer und Server zu positionieren, könnte er manipulierten Code einschleusen – zum Beispiel mit versteckten Hintertüren oder Funktionen zum Abgreifen von Schlüsseln. Diese Dynamik macht es extrem schwierig sicherzustellen, dass der im Browser ausgeführte Code tatsächlich vertrauenswürdig ist.

2. Sicherer Zugriff auf kryptografische Schlüssel

Native Apps nutzen spezielle, vom Betriebssystem bereitgestellte, sichere Speicherbereiche zur Aufbewahrung privater Schlüssel:

  • iOS: Secure Enclave / Keychain
  • Android: Keystore

Diese geschützten Umgebungen bieten starke Schutzmechanismen gegen unbefugten Zugriff, selbst bei kompromittierten Apps. Webanwendungen hingegen haben in der Regel nur Zugriff auf lokal im Browser gespeicherte Daten. Diese Speicherorte sind jedoch deutlich anfälliger für Angriffe, insbesondere durch Cross-Site-Scripting (XSS).

Darüber hinaus ist der Zugriff auf moderne Web-APIs zur sicheren Schlüsselspeicherung (z. B. Web Crypto API) zwar möglich, aber in der Praxis mit Einschränkungen verbunden und oft schwierig sicher umzusetzen – vor allem in einer heterogenen Browserlandschaft.

3. Session Handling

Das Management von Sitzungen stellt eine besondere Herausforderung für E2EE in Webanwendungen dar. Während native Apps oft persistent angemeldet bleiben und über länger laufende Hintergrundprozesse verfügen, sind Browser-Sessions typischerweise flüchtig und stark vom Verhalten der Nutzer abhängig. Ein Schließen des Tabs, ein Browser-Update oder der Wechsel auf ein anderes Gerät können dazu führen, dass:

  • temporär gespeicherte Schlüssel verloren gehen,
  • Sitzungen ungültig werden oder
  • Nutzer sich neu authentifizieren müssen, ohne dass eine sichere Möglichkeit zur Wiederherstellung des Schlüssels besteht.

Für E2EE bedeutet das: Die Verschlüsselung ist nur dann durchgängig sicher, wenn auch der verwendete Schlüssel sicher verwahrt und wiederverwendbar ist. In Webumgebungen ist dies oft schwierig. Schlüssel dürfen nicht dauerhaft im Klartext gespeichert werden, müssen aber dennoch bei Bedarf verfügbar sein. Dieses Spannungsfeld zwischen Sicherheit und Nutzbarkeit ist schwer aufzulösen.

Foto von  Toa Heftiba auf Unsplash

E2EE ist nicht gleich Datenschutz

Auch wenn dein Messenger E2EE bietet, heißt das nicht automatisch, dass er keine Daten über dich sammelt. Die Inhalte der Nachrichten sind zwar verschlüsselt, aber sogenannte Metadaten fallen trotzdem an.

Diese Metadaten – z. B. wer wann mit wem kommuniziert – sind notwendig, um Nachrichten zustellen zu können. Einige Messenger-Dienste, insbesondere WhatsApp, sammeln diese Informationen und nutzen sie für Profiling-Zwecke – trotz E2EE.

Wenn dir echter Datenschutz wichtig ist, solltest du auf offene Messenger wie Signal oder gut umgesetzte Alternativen wie Threema setzen.Falls du dich für einen Vergleich verschiedener Dienste interessierst: In der aktuellen c’t-Ausgabe findest du eine sehr gute Übersicht darüber, welcher Messenger für welche Nutzung geeignet ist: https://www.heise.de/select/ct/2025/9/2505715264990543311

Fazit

Im Alltag lohnt es sich oft, Webapps zu bevorzugen – vor allem aus Datenschutzsicht.
Bei Messenger-Diensten gilt jedoch: Wenn du echte Ende-zu-Ende-Verschlüsselung willst, führt der Weg meist über die native App.
Die technischen Vorteile bei Sicherheit und Schlüsselmanagement überwiegen hier die sonst kritischen Datenschutz-Nachteile nativer Anwendungen – sofern du einen vertrauenswürdigen Dienst nutzt.

Checkliste: 

  1. Webapps sind im Alltag oft die datenschutzfreundliche Wahl.
  2. Native Messenger-Apps bieten jedoch technisch bessere Bedingungen für echte Ende-zu-Ende-Verschlüsselung (E2EE).
  3. E2EE ist in Webanwendungen schwer sicher umzusetzen – u. a. wegen dynamischem Code und schwächerem Schlüsselmanagement.
  4. E2EE schützt Inhalte, aber nicht Metadaten – wähle Messenger, die beides möglichst gut schützen.