Creo.ws vs. Matrix vs. WhatsApp, Signal, Telegram: Messenger-Vergleich 2025

Ein fundamentales Problem zeigt sich bereits in der Beschreibung der Verschlüsselungstechnologie: Creo.ws wirbt mit “AES-512 cascade encryption” – doch hier liegt ein kritisches Problem: AES-512 gibt es nicht. Der Advanced Encryption Standard (AES), der von der US-amerikanischen Standardisierungsorganisation NIST entwickelt wurde, unterstützt nur drei Schlüssellängen: 128, 192 und 256 Bit. Eine 512-Bit-Version existiert weder im offiziellen AES-Standard noch in der praktischen Kryptografie-Implementierung.

Was bedeutet das für Sie als Nutzer?

Dieser Umstand wirft mehrere schwerwiegende Fragen auf. Entweder verwendet Creo.ws eine nicht-standardisierte, proprietäre Variante des AES-Algorithmus, die möglicherweise nicht die gleiche Sicherheit bietet wie der bewährte Standard. Oder es handelt sich um Marketing-Sprech ohne solide technische Grundlage. Beides ist äußerst problematisch für ein Produkt, das als Sicherheitslösung vermarktet wird.

In der Kryptografie gilt das Prinzip: Bewährte, standardisierte Algorithmen, die von Experten weltweit geprüft wurden, sind grundsätzlich sicherer als proprietäre Varianten. Wenn ein Hersteller behauptet, einen Algorithmus zu verwenden, der nicht existiert, untergräbt dies das Vertrauen in die gesamte technische Kompetenz des Projekts.

Matrix im Vergleich: Matrix verwendet ausschließlich bewährte, standardisierte Verschlüsselungsalgorithmen (Olm/Megolm), die von Kryptografie-Experten weltweit geprüft und dokumentiert wurden. Jeder Algorithmus kann unabhängig überprüft werden.

Ein weiteres kritisches Problem bei Creo.ws betrifft die Transparenz der Verschlüsselungstechnologie. Creo.ws nutzt “Individual Adaptive Encryption (IAE)” und andere proprietäre Verschlüsselungsmethoden, die closed-source bleiben. Das bedeutet, dass der Quellcode der Verschlüsselungsalgorithmen nicht öffentlich einsehbar ist und somit keine unabhängige Überprüfung möglich ist.

Warum ist das problematisch?

In der Sicherheitswelt gilt seit über 130 Jahren das Kerckhoffs’sche Prinzip, benannt nach dem niederländischen Kryptographen Auguste Kerckhoffs: “Die Sicherheit eines Verschlüsselungssystems sollte nur von der Geheimhaltung des Schlüssels abhängen, nicht von der Geheimhaltung des Systems selbst.” Dies bedeutet, dass ein sicheres System auch dann sicher sein sollte, wenn der Angreifer alle Details des Systems kennt – nur nicht den Schlüssel.

Wenn Verschlüsselungsalgorithmen geheim gehalten werden, können Sicherheitsforscher keine Schwachstellen entdecken und beheben. Dies ist ein klassisches Beispiel für “Security by Obscurity” – eine als unsicher geltende Praxis. Die Geschichte hat gezeigt, dass geheime Verschlüsselungsalgorithmen fast immer Schwachstellen haben, die nur entdeckt werden, wenn der Code öffentlich wird.

Für Unternehmen, die DSGVO-konforme Kommunikation benötigen, ist die Auditierbarkeit der Verschlüsselung essentiell. Ohne die Möglichkeit, die Sicherheit unabhängig überprüfen zu lassen, können Compliance-Anforderungen möglicherweise nicht erfüllt werden.

Matrix im Vergleich: Matrix bietet vollständige Transparenz – der Code ist öffentlich einsehbar, regelmäßige unabhängige Audits werden durchgeführt und alle Ergebnisse öffentlich dokumentiert.

Dezentralisierung ist ein wichtiger Aspekt für sichere Kommunikation, da sie Zensur widersteht, Single Points of Failure vermeidet und Nutzern die Kontrolle über ihre Daten gibt. Creo.ws behauptet, dezentral zu sein, doch bei genauer Betrachtung zeigt sich eine andere Realität.

Die Diskrepanz zwischen Versprechen und Realität

Trotz der Behauptungen einer dezentralen Architektur gibt es bei Creo.ws kein Eigen-Hosting – Sie müssen zwingend die Creo-Infrastruktur nutzen. Dies schafft eine zentrale Server-Struktur, die einen Single Point of Failure darstellt. Wenn die Creo-Infrastruktur ausfällt, verlieren alle Nutzer den Zugang zu ihrer Kommunikation.

Zusätzlich fehlt bei Creo.ws die Föderation – die Möglichkeit, dass verschiedene Server miteinander kommunizieren können. Ohne Föderation können Sie nicht mit Nutzern auf anderen Servern kommunizieren, und es gibt keine Möglichkeit, von einem Server zu einem anderen zu wechseln, ohne Ihre gesamte Kommunikationshistorie zu verlieren.

Das Ergebnis ist ein klassisches Vendor Lock-in: Sie sind vollständig an Creo.ws gebunden. Wenn das Unternehmen die Preise erhöht, den Service einstellt oder verkauft wird, haben Sie keine Möglichkeit, zu einem anderen Anbieter zu wechseln oder Ihre eigenen Server zu betreiben.

Warum echte Dezentralisierung wichtig ist

Echte Dezentralisierung bedeutet mehr als nur die Verteilung von Servern – sie bedeutet Kontrolle für den Nutzer. Unternehmen, die ihre Kommunikation selbst hosten, haben volle Kontrolle über ihre Daten, Compliance und Sicherheit. Sie sind nicht von den Geschäftsentscheidungen eines einzelnen Anbieters abhängig.

Matrix im Vergleich: Matrix ermöglicht echte Dezentralisierung durch Föderation – eigene Server, Kommunikation zwischen verschiedenen Servern und keine Abhängigkeit von einem einzelnen Anbieter.

Ein weiteres Warnsignal betrifft das Finanzierungsmodell von Creo.ws. Anstatt transparente Preise für Endnutzer zu veröffentlichen, finanziert sich Creo.ws über den Verkauf von “Certificates”, die Governance-Tokens gewähren. Diese Art der Finanzierung wirft mehrere kritische Fragen auf.

Intransparente Kostenstruktur für Endnutzer

Aktuell gibt es keine transparenten Preise für normale Endnutzer. Stattdessen basiert das Finanzierungsmodell auf dem Verkauf von Tokens, was es schwierig macht, die tatsächlichen Kosten zu verstehen.

Besonders problematisch: Creo.ws wirbt mit “24 Nutzungslizenzen im Wert von 2.400 EUR”, während gleichzeitig von “monatlicher Nutzung” gesprochen wird. Diese widersprüchlichen Informationen machen eine Kostenplanung unmöglich.

Risiken des Token-Modells

Das Token-basierte Finanzierungsmodell birgt erhebliche Risiken: Das Projekt hängt vom erfolgreichen Token-Verkauf ab, und Tokens könnten primär als Spekulationsobjekte vermarktet werden. Dies schafft keine langfristige Planungssicherheit für Unternehmen.

Matrix im Vergleich: Matrix ist kostenlos und vollständig Open Source. Sie zahlen nur für Server-Hosting (ab 5€/Monat) oder professionelles Hosting mit transparenten, monatlichen Preisen.

Bei der Bewertung von Sicherheitssoftware ist es entscheidend, zwischen Marketing-Versprechen und überprüfbarer Realität zu unterscheiden. Creo.ws macht zahlreiche beeindruckende Versprechen, die bei geschlossenem Quellcode jedoch nicht verifizierbar sind.

Die Versprechen im Detail

Creo.ws verspricht unter anderem ein “Zero-Knowledge Design”, bei dem der Server nichts über Ihre Nachrichten wissen soll. Während dies ein wünschenswertes Konzept ist, ist es bei geschlossenem Quellcode unmöglich zu überprüfen, ob diese Behauptung tatsächlich zutrifft. Gleiches gilt für “Encrypted Execution” – eine interessante Idee, aber ohne Details zur Implementierung und ohne öffentlichen Code können Sicherheitsexperten nicht beurteilen, ob dies tatsächlich umgesetzt wurde oder ob es sich um Marketing-Sprech handelt.

Das “Integrity Protection System” bleibt ebenfalls proprietär und nicht auditiert, was bedeutet, dass unabhängige Sicherheitsexperten nicht überprüfen können, ob es tatsächlich den versprochenen Schutz bietet. Besonders problematisch ist der Begriff “quantensichere Verschlüsselung” – ein häufig verwendeter Marketing-Begriff, der jedoch keine klare, technische Definition hat und in vielen Fällen einfach bedeutet, dass größere Schlüssellängen verwendet werden.

Warum Verifikation wichtiger ist als Versprechen

Bei Sicherheitssoftware gilt: Vertrauen ist gut, aber Verifikation ist besser. Wenn Sie Ihre geschäftskritische Kommunikation auf eine Plattform setzen, sollten Sie nicht nur darauf vertrauen, dass die Versprechen eingehalten werden – Sie sollten in der Lage sein, dies auch unabhängig zu überprüfen. Dies ist besonders wichtig für Unternehmen, die Compliance-Anforderungen erfüllen müssen oder die für Kunden oder Partner verantwortlich sind.

Matrix im Vergleich: Jede Behauptung über Matrix ist überprüfbar – der gesamte Code ist öffentlich, regelmäßige unabhängige Audits werden durchgeführt und dokumentiert.

Einer der wichtigsten Aspekte bei der Wahl einer Kommunikationsplattform ist die Frage nach etablierten Standards und Interoperabilität. Creo.ws nutzt ausschließlich proprietäre Technologien: ein proprietäres SEP-Netzwerk (Secure Encryption Protocol), proprietäre Verschlüsselungsalgorithmen und proprietäre Protokolle. Dies schafft mehrere schwerwiegende Probleme.

Die Probleme proprietärer Standards

Ohne etablierte, offene Standards gibt es keine Interoperabilität mit anderen Systemen. Sie können nicht mit Nutzern auf anderen Plattformen kommunizieren, und es gibt keine Möglichkeit, Ihre Daten zu exportieren oder zu einer anderen Lösung zu migrieren. Dies bedeutet eine komplette Abhängigkeit von Creo.ws – ein klassisches Vendor Lock-in.

Sollte Creo.ws die Preise drastisch erhöhen, den Service einstellen, verkauft werden oder das Unternehmen geschlossen werden, verlieren Sie nicht nur den Zugang zum Service, sondern potenziell auch alle Ihre Kommunikationshistorie und Kontakte. Für Unternehmen ist ein solches Risiko inakzeptabel, insbesondere wenn geschäftskritische Kommunikation betroffen ist.

Warum offene Standards wichtig sind

Offene Standards wie IETF RFCs werden von unabhängigen Expertengremien entwickelt, von der gesamten Community geprüft und können von jedem implementiert werden. Dies schafft Interoperabilität, ermöglicht Migration zwischen verschiedenen Anbietern und stellt sicher, dass Sie nicht von einem einzelnen Unternehmen abhängig sind.

Matrix im Vergleich: Matrix ist ein offener Standard (IETF RFC) mit vollständiger Interoperabilität. Migration zwischen Servern ist jederzeit möglich, ohne Datenverlust oder Abhängigkeit von einem Anbieter.

Bei der Bewertung von Sicherheitssoftware ist es wichtig, nicht nur die Technologie zu betrachten, sondern auch die Personen und Organisationen dahinter. Die Hintergründe der Betreiber können wichtige Hinweise auf die Glaubwürdigkeit und Vertrauenswürdigkeit eines Projekts geben.

Herman Johan Xennt und der CyberBunker

Die Werbefigur “Mr. Xennt” hinter Creo.ws ist identisch mit Herman Johan Xennt, dem ehemaligen Betreiber des CyberBunkers. Der CyberBunker war ein kommerzieller Internet Service Provider, der eng mit kriminellen Aktivitäten verbunden war und über mehrere Jahre in ehemaligen Militäranlagen betrieben wurde.

Die Geschichte des CyberBunkers:

Der CyberBunker wurde zunächst in den Niederlanden in einem ehemaligen NATO-Kommandobunker betrieben. Später erwarb das Unternehmen 2013 einen ehemaligen Bundeswehrbunker in Traben-Trarbach, Deutschland, für 450.000 Euro. In diesem Bunker betrieb CyberBunker unter dem Namen “Calibour GmbH” über 400 Server für eine Darknet-Infrastruktur.

Die kriminellen Aktivitäten:

Laut Polizeiangaben wurden über diese Infrastruktur unter anderem folgende Aktivitäten abgewickelt:

• Cyberangriffe und DDoS-Attacken
• Geschäfte mit Drogen
• Handel mit Falschgeld
• Kinderpornographie (laut Polizei 2019)

Die Razzia und Verurteilung:

Im September 2019 führten 650 Polizeibeamte eine Razzia im CyberBunker durch und stellten den Betrieb ein. Nach der Kompromittierung gab es mindestens 227 Folgeverfahren gegen Kunden des CyberBunkers. Herman Johan Xennt wurde schließlich wegen Bildung einer kriminellen Vereinigung zu einer Haftstrafe verurteilt, die später auf Bewährung umgewandelt wurde.

Behauptungen über frühere Messenger-Projekte:

Herman Johan Xennt hat in der Vergangenheit (unter anderem im Podcast “ungeskriptet”) behauptet, bereits mehrere “sichere” Messenger entwickelt zu haben und mit jedem Messenger ca. 2 Millionen Euro eingenommen zu haben. Diese Behauptungen werfen mehrere kritische Fragen auf:

• Welche Messenger waren das? Es gibt keine öffentlich dokumentierten, erfolgreichen Messenger-Projekte, die Xennt zugeordnet werden können.
• Wenn diese Messenger so erfolgreich waren, warum existieren sie heute nicht mehr?
• Handelt es sich bei diesen Behauptungen um Marketing oder um tatsächliche Projekte?

Die rechtliche Struktur von Creo.ws:

Wer Creo.ws mit FIAT-Währungen (herkömmlichen Währungen wie Euro oder US-Dollar) erwerben möchte, wird auf die Zahlungsseite creo.solutions/payment weitergeleitet. Diese Seite wird von der CREO.Solutions UG betrieben, die im Handelsregister des Amtsgerichts Frankfurt am Main unter HRB 140221 eingetragen ist.

Die Geschäftsführung:

Geschäftsführer der CREO.Solutions UG ist Danny Avit Carel. Interessant ist, dass derselbe Danny Avit Carel auch Geschäftsführer der Carestate GmbH ist, die ebenfalls in Frankfurt am Main registriert ist (HRB 121039) und im Immobilienbereich tätig ist. Diese Verbindung wirft Fragen zur Konzentration von Geschäftsführungsfunktionen und möglichen Interessenskonflikten auf.

Was das bedeutet:

Für potenzielle Investoren und Nutzer ist es wichtig zu wissen, mit welcher rechtlichen Entität sie Geschäfte abschließen. Die CREO.Solutions UG ist eine Unternehmergesellschaft (haftungsbeschränkt) mit einem Mindeststammkapital von 1.000 Euro. Dies bedeutet eine sehr geringe Haftungssumme für die Gesellschaft. Zusätzlich ist unklar, wie die rechtliche Struktur von Creo.ws insgesamt aussieht – ob es weitere Gesellschaften gibt, wie die Verantwortlichkeiten verteilt sind und wer letztendlich für die Sicherheit und den Betrieb der Plattform verantwortlich ist.

Warum das problematisch ist:

Für potenzielle Nutzer von Creo.ws ist es wichtig zu wissen, dass die Person hinter dem Projekt:

1. Bereits wegen krimineller Aktivitäten verurteilt wurde – im Zusammenhang mit dem Betrieb einer Infrastruktur, die für schwerwiegende Straftaten genutzt wurde
2. Behauptungen über frühere Projekte aufstellt, die nicht überprüfbar sind
3. Eine Geschichte mit dubiosen Geschäftspraktiken hat, wie der CyberBunker zeigt

Dies schafft erhebliche Zweifel an der Glaubwürdigkeit und Vertrauenswürdigkeit des Projekts. Wenn Sie Ihre geschäftskritische Kommunikation einer Person anvertrauen, die bereits für den Betrieb krimineller Infrastruktur verurteilt wurde, sollten Sie sich die Frage stellen, ob dies wirklich die richtige Entscheidung ist.

Die Lehre:

Die Vergangenheit der Betreiber ist bei Sicherheitssoftware nicht irrelevant. Wenn die Personen hinter einem Projekt bereits für kriminelle Aktivitäten verurteilt wurden oder unbelegte Behauptungen über frühere Erfolge aufstellen, sollten dies Warnsignale sein. Bei Sicherheitssoftware benötigen Sie Vertrauen – und Vertrauen sollte auf Transparenz, nachprüfbaren Erfolgen und sauberer Vergangenheit basieren.

Matrix im Vergleich: Matrix wird von einer etablierten, transparenten Organisation entwickelt, deren Mitglieder öffentlich bekannt sind und mit etablierten Unternehmen zusammenarbeiten.

Die Kosten für Matrix sind vollständig transparent und flexibel anpassbar. Da die Matrix-Software vollständig Open Source ist, fallen keine Lizenzkosten an. Sie zahlen nur für das, was Sie tatsächlich benötigen – vom kostenlosen öffentlichen Server bis hin zur professionellen, vollständig verwalteten Infrastruktur.

Option 1: Eigenes Hosting (Hetzner Cloud)

Für technisch versierte Nutzer oder kleine Unternehmen ist das selbstständige Hosting auf einem eigenen Server eine kostengünstige Option. Hetzner Cloud bietet leistungsstarke Server zu fairen Preisen:

Hetzner Cloud Server:

• CPX11 (2 vCPU, 4 GB RAM): ~5€/Monat – Ideal für kleine Teams
• CPX21 (3 vCPU, 8 GB RAM): ~15€/Monat – Geeignet für mittlere Unternehmen
• CPX31 (4 vCPU, 16 GB RAM): ~40€/Monat – Für größere Organisationen

Zusätzliche Kosten:

• Matrix-Software: Kostenlos (Open Source, keine Lizenzgebühren)
• Einrichtung: Einmalig (Sie führen die Installation selbst durch oder beauftragen einen Dienstleister)
• Wartung: Optional (Sie übernehmen die Wartung selbst oder beauftragen regelmäßigen Support)

Gesamt: Ab 5-40€/Monat für Server-Hosting + einmalige Einrichtungskosten. Diese Option gibt Ihnen volle Kontrolle bei minimalen laufenden Kosten.

Option 2: Professionelles Hosting (Pazdzewicz.de)

Für Unternehmen, die eine vollständig verwaltete Lösung ohne eigenen Wartungsaufwand benötigen, bietet professionelles Hosting maximale Zuverlässigkeit und Sicherheit. Der Dienstleister übernimmt Installation, Konfiguration, Updates, Monitoring und Support.

Preismodell:

• Einrichtung: 100€/Stunde (je nach Komplexität der Anforderungen)
• Standard Infrastruktur: Ab 150€/Monat (inkl. Server + Matrix-Service)
• Erweiterte Infrastruktur: Ab 350€/Monat (erhöhte Performance und Redundanz)
• Bulletproof Infrastruktur mit Tor Hidden Service: Ab 700€/Monat (maximale Sicherheit und Anonymität)

Inkludiert:

• Professionelle Installation und Konfiguration nach Best Practices
• 24/7 Monitoring und Überwachung
• Regelmäßige Updates und Sicherheitspatches
• Automatische Backups und Wiederherstellungsverfahren
• Persönlicher Support bei Fragen und Problemen

Gesamt: Transparente, monatliche Kosten für vollständig verwalteten Service. Diese Option ist ideal für Unternehmen, die sich auf ihr Kerngeschäft konzentrieren möchten, ohne sich um technische Details kümmern zu müssen.

Option 3: Kostenlose Matrix-Server

Für Privatpersonen oder kleine Teams, die keine speziellen Anforderungen haben, gibt es auch kostenlose Matrix-Server im Internet (z.B. matrix.org), die Sie sofort nutzen können – ohne jegliche Kosten. Dies ist eine ideale Option, um Matrix kennenzulernen oder für den persönlichen Gebrauch.

Matrix: Fazit

• Software: Kostenlos (vollständig Open Source)
• Hosting: Flexibel (kostenlos bei öffentlichen Servern bis mehrere hundert Euro/Monat für professionelle, verwaltete Infrastruktur je nach Anforderungen)
• Keine versteckten Kosten oder Lizenzgebühren
• Keine Abhängigkeit von einem einzelnen Anbieter – Sie können jederzeit wechseln
• Transparente Preisstruktur ohne Überraschungen

Im Gegensatz zu Matrix veröffentlicht Creo.ws keine transparenten Preise für Endnutzer. Stattdessen basiert die Finanzierung auf einem komplexen Token-System, das es schwierig macht, die tatsächlichen Kosten für die Nutzung des Dienstes zu verstehen.

Aktuelle Situation:

Creo.ws finanziert sich durch den Verkauf von “Certificates”, die wiederum Governance-Tokens gewähren. Das System funktioniert folgendermaßen:

• Certificate-Verkauf: Creo.ws finanziert sich primär durch den Verkauf von “Certificates”
• 1 Certificate = 1.000 Governance Tokens: Die genauen Kosten für ein Certificate sind nicht transparent veröffentlicht
• 24 Nutzungslizenzen im Wert von 2.400 EUR: Laut Creo.ws sind in einem Certificate 24 Nutzungslizenzen im Wert von 2.400 EUR enthalten
• “Monatliche Nutzung”: In Werbe-Videos wird von “monatlicher Nutzung” gesprochen, was darauf hindeutet, dass es sich um wiederkehrende Kosten handeln könnte
• Weitergabe an Freunde möglich: Die Lizenzen können angeblich an Freunde weitergegeben werden
• Unklare Kostenstruktur: Es ist nicht transparent, ob 2.400 EUR die monatlichen Kosten sind oder eine einmalige Gebühr für 24 Nutzer

Kritische Fragen, die unbeantwortet bleiben:

Diese Angaben werfen mehr Fragen auf, als sie beantworten: Handelt es sich bei den 2.400 EUR um monatliche Kosten (100 EUR pro Nutzer/Monat) oder eine einmalige Gebühr? Was passiert nach Ablauf oder bei mehr als 24 Nutzern? Was bedeutet “Weitergabe an Freunde” rechtlich?

Warum das problematisch ist:

Für Unternehmen, die Budgetplanung betreiben müssen, ist diese extreme Intransparenz ein erhebliches Problem. Die widersprüchlichen Informationen machen es unmöglich, die tatsächlichen Kosten zu verstehen oder langfristige Budgetplanungen zu erstellen. Zusätzlich birgt das Token-basierte Finanzierungsmodell erhebliche Risiken: Tokens unterliegen Marktschwankungen, und das Projekt könnte primär auf Spekulation ausgerichtet sein. Sollte der Token-Verkauf einbrechen, könnte der Service für alle Nutzer gefährdet sein.

Creo.ws: Fazit

• Kosten: Extrem intransparent – widersprüchliche Informationen über “monatliche Nutzung” vs. “24 Lizenzen im Wert von 2.400 EUR”
• Unklar, ob monatliche Kosten (100 EUR pro Nutzer/Monat) oder einmalige Gebühren
• Finanzierungsmodell über Tokens: Fragwürdig – abhängig von Marktspekulation
• Budgetplanung unmöglich aufgrund fehlender Transparenz

Warnung: Bei einer derart intransparenten Kostenstruktur sollten Sie äußerst vorsichtig sein. Die widersprüchlichen Informationen deuten darauf hin, dass entweder das Preismodell noch nicht finalisiert ist, oder dass bewusst Unklarheit geschaffen wird. Für Unternehmen ist Budgetplanung unmöglich. Oft verbergen sich bei solchen Modellen versteckte Kosten, oder das Projekt ist primär auf Spekulation ausgerichtet. Für geschäftskritische Kommunikation ist eine solche Unsicherheit inakzeptabel.

Matrix: Bewährte, standardisierte Verschlüsselung

Matrix setzt auf bewährte, von Experten geprüfte Verschlüsselungsalgorithmen, die bereits in anderen hochsicheren Anwendungen eingesetzt werden. Die Verschlüsselungsarchitektur basiert auf mehreren bewährten Standards:

Algorithmen im Detail:

• Olm: Der Double Ratchet Algorithmus für 1:1-Chats, der auch von Signal verwendet wird. Dieser Algorithmus bietet Perfect Forward Secrecy, was bedeutet, dass selbst wenn ein Schlüssel kompromittiert wird, vergangene Nachrichten nicht entschlüsselt werden können.
• Megolm: Speziell für Gruppenchats entwickelte Verschlüsselung, die effiziente Verschlüsselung für mehrere Teilnehmer ermöglicht, während die Sicherheit gewährleistet bleibt.
• TLS 1.3: Transportverschlüsselung auf der neuesten TLS-Version, die sicherstellt, dass alle Daten während der Übertragung verschlüsselt sind.
• Ed25519: Ein moderner Algorithmus für digitale Signaturen, der als sehr sicher gilt und von zahlreichen Kryptografie-Experten empfohlen wird.
• Curve25519: Für den sicheren Schlüsselaustausch verwendet, ein bewährter Standard für elliptische Kurven-Kryptografie.

Warum diese Algorithmen wichtig sind:

Diese Algorithmen wurden millionenfach eingesetzt und von Sicherheitsexperten weltweit geprüft. Sie bieten Perfect Forward Secrecy – selbst bei Kompromittierung eines aktuellen Schlüssels bleiben vergangene Nachrichten geschützt.

Creo.ws: Unklare Verschlüsselungsbehauptungen

Creo.ws wirbt mit verschiedenen Verschlüsselungstechnologien, die jedoch bei genauerer Betrachtung Probleme aufweisen:

Die Behauptungen:

• “AES-512 cascade encryption” – Wie bereits erwähnt, existiert AES-512 nicht im offiziellen Standard. Entweder handelt es sich um eine nicht-standardisierte Variante (potenziell unsicher) oder um Marketing-Sprech.
• “Individual Adaptive Encryption (IAE)” – Eine proprietäre Verschlüsselungsmethode, deren Details nicht öffentlich sind und daher nicht unabhängig überprüft werden können.
• “Quantensichere Verschlüsselung” – Ein häufig verwendeter Marketing-Begriff ohne klare, technische Definition. Echte Post-Quanten-Kryptografie ist ein aktives Forschungsgebiet, und die Behauptung, bereits “quantensicher” zu sein, ist wissenschaftlich fragwürdig.
• “Multi-layer encryption cascade” – Klingt beeindruckend, aber ohne Details zur Implementierung nicht überprüfbar.

Die Probleme:

Da die Verschlüsselungsalgorithmen proprietär und nicht öffentlich einsehbar sind, können unabhängige Sicherheitsexperten nicht überprüfen, ob sie tatsächlich sicher sind. Die Geschichte zeigt, dass geheime Verschlüsselungsalgorithmen fast immer Schwachstellen haben. Für geschäftskritische Kommunikation ist diese fehlende Überprüfbarkeit ein erhebliches Risiko.

Die Netzwerk-Architektur einer Kommunikationsplattform bestimmt maßgeblich ihre Zuverlässigkeit, Zensurresistenz und die Kontrolle, die Nutzer über ihre Daten haben. In diesem Abschnitt vergleichen wir die Architektur beider Systeme.

Matrix: Echte Dezentralisierung durch Föderation

Matrix verwendet eine föderierte Netzwerk-Architektur, die echte Dezentralisierung ermöglicht:

Die Struktur:

• Föderiertes Netzwerk aus unabhängigen Servern, die alle miteinander kommunizieren können
• Jeder kann seinen eigenen Server betreiben und ihn in das Netzwerk einbinden
• Kommunikation zwischen verschiedenen Servern ist vollständig möglich, ähnlich wie bei E-Mail
• Dezentraler Ansatz durch Föderation – das Netzwerk besteht aus tausenden unabhängigen Servern weltweit

Warum das wichtig ist:

Eine föderierte Architektur bietet entscheidende Vorteile: kein Single Point of Failure, keine Abhängigkeit von einem einzelnen Anbieter, Zensurresistenz und automatische Skalierbarkeit. Sie können jederzeit zwischen Servern wechseln oder Ihren eigenen betreiben, ohne Ihre Kommunikationshistorie zu verlieren.

Creo.ws: Zentralisierte Struktur trotz Dezentral-Versprechen

Creo.ws behauptet, eine dezentrale Architektur zu nutzen, doch die Realität sieht anders aus:

Die Behauptungen:

• “SEP Network” (Secure Encryption Protocol) – ein proprietäres Netzwerk-Protokoll
• “Dezentrale Architektur” – wird behauptet, aber nicht umgesetzt
• “Keine zentrale Kontrolle” – widerspricht der tatsächlichen Infrastruktur

Die Realität:

Trotz der Behauptungen zeigt sich eine zentrale Server-Infrastruktur ohne Eigen-Hosting und ohne Föderation. Dies schafft einen Single Point of Failure und eine komplette Abhängigkeit von Creo.ws – das Gegenteil echter Dezentralisierung.

Bei Sicherheitssoftware ist Transparenz kein Luxus, sondern eine Notwendigkeit. Die Möglichkeit, den Code unabhängig zu überprüfen, ist entscheidend für das Vertrauen in die Sicherheit einer Lösung. In diesem Abschnitt vergleichen wir, wie transparent beide Plattformen sind.

Matrix: Vollständige Transparenz und Auditierbarkeit

Matrix setzt auf maximale Transparenz in allen Aspekten:

Transparenz im Detail:

• Vollständig Open Source: Der gesamte Code ist öffentlich einsehbar, von der Verschlüsselung bis zur Server-Implementierung
• Code auf GitHub öffentlich: Jeder kann den Code einsehen, analysieren und bei Bedarf sogar Verbesserungen vorschlagen
• Regelmäßige unabhängige Sicherheitsaudits: Bekannte Sicherheitsunternehmen führen regelmäßig Audits durch, deren Ergebnisse öffentlich dokumentiert werden
• Offene Protokoll-Spezifikation: Das Matrix-Protokoll ist als IETF RFC standardisiert und öffentlich dokumentiert
• Community-Review-Prozess: Tausende Entwickler weltweit überprüfen den Code und tragen zu seiner Sicherheit bei

Warum das wichtig ist:

Diese Transparenz bedeutet, dass Sie nicht nur darauf vertrauen müssen – Sie können es überprüfen lassen. Unabhängige Sicherheitsexperten haben bereits zahlreiche Audits durchgeführt, alle Schwachstellen wurden öffentlich dokumentiert und behoben. Für Unternehmen mit Compliance-Anforderungen ist diese Auditierbarkeit essentiell.

Creo.ws: Eingeschränkte Transparenz und fehlende Audits

Creo.ws wirbt mit “Hybrid Transparency”, doch die Realität sieht anders aus:

Die Transparenz-Situation:

• “Hybrid Transparency”: Ein Marketing-Begriff, der suggeriert, dass Transparenz gegeben ist, während kritische Komponenten geschlossen bleiben
• Kritische Kryptografie-Komponenten closed-source: Die Verschlüsselungsalgorithmen sind nicht öffentlich einsehbar
• Keine unabhängigen Audits bekannt: Es gibt keine öffentlich dokumentierten Sicherheitsaudits von unabhängigen Experten
• Proprietäre Protokolle: Die verwendeten Protokolle sind nicht öffentlich dokumentiert
• Versprechen von “zukünftigen Audits”: Es wird versprochen, dass Audits durchgeführt werden, doch bislang wurden keine durchgeführt

Das Problem:

Ohne vollständige Transparenz können Sicherheitsexperten nicht überprüfen, ob die Versprechen eingehalten werden. Für geschäftskritische Kommunikation oder Compliance-Anforderungen ist dies problematisch, da unabhängige Verifikationen nicht möglich sind.

Encrochat war ein verschlüsselter Messenger, der speziell für Kriminelle entwickelt wurde und mit großer Sicherheit warb. Der Dienst wurde hauptsächlich von Kriminellen genutzt, die dachten, ihre Kommunikation sei vollständig sicher und unüberwachbar.

Was passierte:

Im Jahr 2020 hackten europäische Strafverfolgungsbehörden Encrochat erfolgreich. Durch die Installation von Malware auf den Encrochat-Servern konnten die Behörden Millionen von Nachrichten entschlüsseln und lesen, bevor sie beim Empfänger ankamen. Dies führte zu hunderten von Festnahmen in ganz Europa.

Warum das möglich war:

Encrochat war ein proprietärer Dienst mit geschlossener Verschlüsselung. Die Nutzer mussten blind darauf vertrauen, dass die Verschlüsselung sicher war – doch ohne Möglichkeit zur unabhängigen Überprüfung konnte niemand die Schwachstellen erkennen. Die proprietäre Architektur ermöglichte es den Behörden, die Verschlüsselung zu umgehen, indem sie auf Server-Ebene eingriffen.

Die Lehre:

Dies zeigt, warum proprietäre, nicht auditierbare Verschlüsselung gefährlich ist. Selbst wenn ein Dienst mit hoher Sicherheit wirbt, können Sie ohne Transparenz nicht überprüfen, ob diese Sicherheit tatsächlich existiert. Encrochat-Nutzer dachten, sie seien sicher – und wurden eines Besseren belehrt.

Anom (auch “AN0M” geschrieben) war ein verschlüsselter Messenger, der ab 2018 von Kriminellen genutzt wurde. Was die Nutzer nicht wussten: Der gesamte Dienst war ein Honeypot der FBI, das von Anfang an kontrolliert wurde, um Kriminelle zu überwachen.

Wie es funktionierte:

Die FBI entwickelte Anom gezielt als Honeypot und ließ es über Mittelsmänner als “sicheren” Messenger an Kriminelle verkaufen. Alle Nachrichten wurden direkt an die Behörden weitergeleitet, bevor sie verschlüsselt wurden. Über 800 Kriminelle wurden durch diese Operation festgenommen, darunter Mitglieder internationaler Drogenkartelle.

Warum es funktionierte:

Anom war vollständig proprietär und nicht auditierbar. Kriminelle vertrauten blind darauf, dass der Dienst sicher sei, ohne die Möglichkeit, dies zu überprüfen. Da der Quellcode nicht öffentlich war und keine unabhängigen Audits möglich waren, konnte niemand erkennen, dass der Dienst von Anfang an kompromittiert war.

Die Lehre:

Dies ist das extremste Beispiel dafür, warum blindes Vertrauen in proprietäre Sicherheitssoftware gefährlich ist. Selbst wenn ein Dienst professionell wirkt und Sicherheit verspricht, können Sie ohne Transparenz nie sicher sein, ob nicht Sie selbst das Ziel sind. Nur durch vollständige Transparenz und Auditierbarkeit können Sie sicherstellen, dass Ihre Kommunikation tatsächlich geschützt ist.

Was ist WhatsApp?

WhatsApp ist der weltweit meistgenutzte Messenger mit über 2 Milliarden Nutzern. Der Dienst gehört zu Meta (Facebook) und verwendet die Signal-Protokoll-Verschlüsselung für Ende-zu-Ende-Verschlüsselung.

Vorteile:

• Sehr benutzerfreundlich und weit verbreitet
• Ende-zu-Ende-Verschlüsselung mit Signal-Protokoll
• Kostenlos und einfach zu nutzen

Nachteile:

• Gehört zu Meta/Facebook – Datenschutzbedenken
• Zentrale Architektur – Meta kontrolliert alle Server
• Metadaten werden gespeichert (wer kommuniziert mit wem, wann)
• Backups können unverschlüsselt sein (je nach Einstellung)
• Proprietäre Software – nicht vollständig auditierbar
• Kein Eigen-Hosting möglich
• Datensammlung für Werbezwecke

Für wen geeignet: Für den täglichen, privaten Gebrauch, aber nicht für geschäftskritische oder hochsensible Kommunikation.

Was ist Telegram?

Telegram ist ein cloud-basierter Messenger mit Fokus auf Geschwindigkeit und Features. Der Dienst bietet “Secret Chats” mit Ende-zu-Ende-Verschlüsselung, aber die Standard-Chats sind nur client-server-verschlüsselt.

Vorteile:

• Sehr schnell und funktionsreich
• Große Dateien können versendet werden
• Teilweise Open Source (Client, nicht Server)
• Secret Chats bieten Ende-zu-Ende-Verschlüsselung

Nachteile:

• Standard-Chats sind NICHT Ende-zu-Ende-verschlüsselt
• Eigene Verschlüsselung (MTProto), nicht bewährte Standards
• Zentrale Architektur – alle Daten auf Telegram-Servern
• Server-Code ist proprietär und nicht auditierbar
• Kein Eigen-Hosting möglich
• Für Standard-Chats hat Telegram Zugriff auf Nachrichten

Für wen geeignet: Für schnelle, unkritische Kommunikation. Für sensible Daten sollten nur “Secret Chats” verwendet werden, die jedoch nicht standardmäßig aktiviert sind.

Was ist Signal?

Signal ist ein Messenger, der sich ausschließlich auf Privatsphäre und Sicherheit konzentriert. Das Signal-Protokoll gilt als Goldstandard für Verschlüsselung und wird auch von WhatsApp verwendet.

Vorteile:

• Goldstandard-Verschlüsselung (Signal-Protokoll)
• Vollständig Open Source
• Non-Profit-Organisation
• Minimale Metadaten-Sammlung
• Perfect Forward Secrecy
• Von Sicherheitsexperten empfohlen

Nachteile:

• Zentrale Architektur – Signal kontrolliert die Server
• Kein Eigen-Hosting möglich
• Telefonnummer erforderlich
• Weniger Features als andere Messenger

Für wen geeignet: Ideal für Privatpersonen, die maximale Privatsphäre und Sicherheit benötigen. Weniger geeignet für Unternehmen, die eigene Infrastruktur betreiben möchten.

Was ist Threema?

Threema ist ein Schweizer Messenger, der Datenschutz und Sicherheit betont. Der Dienst ist kostenpflichtig und bietet einige besondere Features.

Vorteile:

• Keine Telefonnummer erforderlich
• Schweizer Datenschutzgesetze
• Ende-zu-Ende-Verschlüsselung
• Minimale Metadaten

Nachteile:

• Proprietäre Software (teilweise Open Source angekündigt)
• Zentrale Architektur
• Kostenpflichtig (ca. 4€ einmalig)
• Kein Eigen-Hosting möglich
• Kleineres Nutzernetzwerk als andere Dienste

Für wen geeignet: Für Nutzer, die Wert auf Datenschutz legen und bereit sind, für einen Dienst zu zahlen. Weniger geeignet für Unternehmen, die Kontrolle über ihre Infrastruktur benötigen.

Was ist Matrix?

Matrix ist ein offener Standard für dezentrale Kommunikation, der vollständig Open Source ist und Eigen-Hosting ermöglicht.

Vorteile:

• Vollständig Open Source und auditiert
• Eigen-Hosting möglich – volle Kontrolle
• Föderierte Architektur – kein Single Point of Failure
• Bewährte Verschlüsselung (Olm/Megolm)
• Keine Abhängigkeit von einem Anbieter
• Offener Standard (IETF RFC)
• Transparente Kostenstruktur

Nachteile:

• Etwas komplexer in der Einrichtung (bei Eigen-Hosting)
• Weniger bekannte Marke als WhatsApp oder Signal
• Je nach Client unterschiedliche Benutzerfreundlichkeit

Für wen geeignet: Ideal für Unternehmen, Organisationen und alle, die echte Kontrolle über ihre Kommunikation benötigen. Perfekt für DSGVO-konforme Kommunikation und geschäftskritische Anwendungen.

Matrix ist die richtige Wahl für eine breite Palette von Nutzern, die echte Sicherheit, Transparenz und Kontrolle benötigen. Besonders geeignet ist Matrix für:

Unternehmen, die Kontrolle über ihre Daten benötigen. Wenn Sie als Unternehmen sicherstellen müssen, dass Ihre geschäftskritische Kommunikation nicht von externen Faktoren beeinflusst wird, bietet Matrix die Möglichkeit, eigene Server zu betreiben oder einen vertrauenswürdigen Anbieter zu wählen, während Sie jederzeit die Kontrolle behalten.

Privatpersonen, die echte Privatsphäre wollen. Matrix bietet Ihnen die Möglichkeit, Ihre Kommunikation zu schützen, ohne auf proprietäre Dienste angewiesen zu sein. Sie können kostenlose öffentliche Server nutzen oder Ihren eigenen Server betreiben.

Organisationen, die DSGVO-Konformität benötigen. Mit Matrix können Sie sicherstellen, dass alle Daten innerhalb der EU gehostet werden und Sie volle Kontrolle über die Datenverarbeitung haben – essentiell für die Einhaltung der Datenschutz-Grundverordnung.

Tech-Enthusiasten, die selbst hosten möchten. Wenn Sie technisch versiert sind und die Kontrolle über Ihre eigene Infrastruktur haben möchten, können Sie Matrix auf Ihrem eigenen Server installieren und vollständig anpassen.

Teams, die sichere Kommunikation ohne Vendor Lock-in brauchen. Mit Matrix sind Sie nicht an einen einzelnen Anbieter gebunden – Sie können jederzeit wechseln oder Ihre eigenen Server betreiben, ohne Ihre Kommunikationshistorie zu verlieren.

Jeden, der nachprüfbare Sicherheit will, nicht nur Versprechungen. Wenn Sie Sicherheit durch Verifikation statt durch blindes Vertrauen benötigen, bietet Matrix vollständige Transparenz und Auditierbarkeit.

Was Matrix bietet:

• Etablierte, bewährte Technologie, millionenfach eingesetzt
• Volle Kontrolle über Daten und Infrastruktur
• Transparente, auditable Sicherheit
• Keine Abhängigkeit von einem Anbieter
• Kostenlose Software, flexible Hosting-Optionen

Bei Creo.ws sollten insbesondere bestimmte Nutzergruppen besonders vorsichtig sein, da die aktuellen Schwachstellen und Risiken für sie besonders problematisch sind.

Wer sollte vorsichtig sein:

Jeder, der nachprüfbare Sicherheit benötigt. Da die Verschlüsselung closed-source ist, können Sie nicht überprüfen, ob die Sicherheitsversprechen eingehalten werden. Für geschäftskritische Kommunikation ist dies ein erhebliches Risiko.

Unternehmen, die Kontrolle über ihre Infrastruktur brauchen. Ohne Eigen-Hosting-Möglichkeit haben Sie keine Kontrolle über Ihre Server-Infrastruktur und sind vollständig auf Creo.ws angewiesen. Für Unternehmen, die Compliance-Anforderungen erfüllen müssen oder spezielle Sicherheitsanforderungen haben, ist dies problematisch.

Personen, die nicht von einem einzigen Anbieter abhängig sein wollen. Das fehlende Eigen-Hosting und die fehlende Föderation bedeuten, dass Sie vollständig von Creo.ws abhängig sind. Wenn das Unternehmen Probleme bekommt oder den Service einstellt, verlieren Sie den Zugang zu Ihrer Kommunikation.

Nutzer, die transparente Kostenstrukturen erwarten. Das Token-basierte Finanzierungsmodell macht es unmöglich, langfristige Kostenplanungen zu erstellen. Für Unternehmen ist dies inakzeptabel.

Die Risiken bei Creo.ws im Überblick:

• Proprietäre, nicht auditierbare Verschlüsselung – keine Möglichkeit zur unabhängigen Überprüfung
• Keine Kontrolle über Infrastruktur – Sie sind vollständig auf Creo.ws angewiesen
• Vendor Lock-in – keine Möglichkeit zur Migration oder zum Wechsel
• Intransparente Kosten – keine klaren Preisinformationen verfügbar
• Projekt noch in Entwicklung – nicht produktionsreif
• Token-basiertes Finanzierungsmodell – abhängig von Marktspekulation

Unsere Empfehlung:

Wir empfehlen, von Creo.ws Abstand zu nehmen, bis folgende Kriterien erfüllt sind:

1. Vollständig Open Source – inklusive aller Kryptografie-Komponenten, damit unabhängige Überprüfung möglich ist
2. Unabhängige Sicherheitsaudits durchgeführt – von bekannten Sicherheitsunternehmen durchgeführte Audits mit öffentlich dokumentierten Ergebnissen
3. Transparente Preisstrukturen veröffentlicht – klare, nachvollziehbare Preise für Endnutzer und Unternehmen
4. Eigen-Hosting ermöglicht – Möglichkeit, eigene Server zu betreiben, um Kontrolle über die Infrastruktur zu haben
5. Produktionsreif – stabiler Betrieb über einen längeren Zeitraum nachgewiesen

Bis diese Kriterien erfüllt sind, besteht das Risiko, dass Sie in ein System investieren, das Ihre Anforderungen nicht erfüllen kann oder sogar Ihre Sicherheit gefährdet.