Elon Musk hat seinen lang angekündigten Messenger endlich in den App Store gehoben. XChat ist seit Ende April als eigenständige App für iPhone und iPad verfügbar – und tritt mit großen Versprechen an: keine Werbung, kein Tracking, Ende-zu-Ende-Verschlüsselung, verschwindende Nachrichten und Schutz vor Screenshots.
Klingt nach Signal-Niveau, oder? Schauen wir genauer hin. Denn der Teufel steckt wie so oft im Detail – und ein paar dieser Details sind ziemlich unangenehm.
Was XChat tatsächlich kann
Auf dem Papier liest sich XChat wie ein moderner WhatsApp-Konkurrent. Du kannst Einzel- und Gruppenchats führen, Audio- und Videoanrufe starten, Dateien verschicken und in Gruppen mit bis zu 481 Teilnehmern kommunizieren. Nachrichten lassen sich nachträglich bearbeiten oder für alle Beteiligten löschen, Screenshots werden blockiert, und Nachrichten können sich nach einer eingestellten Zeit selbst zerstören.
Eine Besonderheit: Du brauchst keine Telefonnummer. Die Anmeldung läuft komplett über deinen X-Account – das, was früher Twitter war. Damit bist du auch sofort mit deinen X-Kontakten verbunden, ohne nervige Einladungs-Ping-Pong. Die App ist in der Programmiersprache Rust geschrieben, was technisch durchaus solide ist. Apple hat XChat fürs iPhone und iPad freigeschaltet, eine Android-Version ist angekündigt, hat aber noch keinen Termin.
So weit, so unspektakulär. Doch nun zum interessanten Teil.
„Bitcoin-style encryption“ – was soll das eigentlich heißen?
Musk hat XChat schon im vergangenen Jahr mit dem Begriff „Bitcoin-style encryption“ beworben. Sicherheitsforscher zucken bei dieser Formulierung kollektiv mit den Schultern. Der Grund ist simpel: Bitcoin nutzt Kryptografie hauptsächlich, um Transaktionen zu verifizieren – nicht, um Nachrichten zwischen zwei Personen vertraulich zu halten. Das ist ein anderer Anwendungsfall mit anderen Anforderungen.
Mit anderen Worten: Der Begriff klingt cool und innovativ, ist technisch aber Marketing-Geschwurbel. Echte Ende-zu-Ende-Verschlüsselung folgt etablierten Standards wie dem Signal-Protokoll. Dieses ist offen dokumentiert, von der Krypto-Community geprüft – und genau deshalb wird es auch von WhatsApp, Facebook Messenger und natürlich Signal selbst eingesetzt. XChat verzichtet auf solche Transparenz. Welche Algorithmen genau zum Einsatz kommen, ist nicht öffentlich nachprüfbar.
Der wunde Punkt: Wer hat den Schlüssel?
Hier wird es richtig spannend. Bei Signal liegt dein privater Schlüssel ausschließlich auf deinem Gerät. Verlierst du dein Handy, sind alte Nachrichten weg – aber niemand sonst kann sie lesen. XChat geht einen anderen Weg: Eine verschlüsselte Kopie deines privaten Schlüssels liegt auf den Servern von X, geschützt durch eine PIN. Das ist bequem, weil du Chats auf einem neuen Gerät wiederherstellen kannst. Aber es bedeutet auch: Die Schlüssel zu deinem digitalen Tagebuch liegen bei X.
Ebenfalls heikel: XChat bietet offenbar kein Forward Secrecy. Bei Signal wird für jede Nachricht ein neuer Sitzungsschlüssel erzeugt. Wird ein Schlüssel kompromittiert, bleibt der Rest deiner Konversation trotzdem geschützt. Ohne dieses Prinzip kann ein Angreifer im Zweifel rückwirkend mehrere Nachrichten entschlüsseln. Sicherheitsforscher warnen deshalb: XChat ist verschlüsselt, aber nicht in dem absoluten Sinne, in dem es Signal ist.
Musk selbst hat das Ziel pragmatisch beschrieben: Er wolle das „am wenigsten unsichere“ Messaging-System bauen. Das ist eine ehrliche Aussage – und gleichzeitig das Eingeständnis, dass XChat nicht den Anspruch erhebt, die Königsklasse der Sicherheit zu sein.
„No tracking“? Ein Blick aufs Datenschutz-Label lohnt
Auf der Marketing-Seite verspricht XChat ausdrücklich „kein Tracking“. Schaust du dir aber das offizielle App-Store-Datenschutzlabel an, sieht die Realität anders aus. Erfasst werden laut Apple unter anderem Kontaktinformationen, Adressbuch, Geräte-Identifier, Diagnose- und Nutzungsdaten – und zwar verknüpft mit deiner Identität.
X weiß also durchaus, mit wem du wann und wie oft kommunizierst. Die Inhalte deiner Nachrichten mögen verschlüsselt sein – die Metadaten liegen aber offen. Genau diese Metadaten sind aus Datenschutzsicht oft mindestens genauso aussagekräftig wie der Inhalt selbst. Wer wann mit wem spricht, sagt häufig mehr aus als jedes einzelne Wort.
Und hier liegt der entscheidende Unterschied zu Signal. Signal sammelt praktisch keine Metadaten. Das ist der Grund, warum Sicherheitsexperten und politisch sensible Berufsgruppen die App bevorzugen – nicht die mathematische Stärke der Verschlüsselung an sich.
Warum XChat überhaupt? Die Super-App-Strategie
Wenn der Messenger so viele Schwächen hat – wofür das Ganze? Musks Vision ist eine westliche Version von WeChat, der chinesischen Mega-App, die Messaging, Bezahlen, Behördengänge, Shopping und Social Media in einem Produkt vereint. XChat ist dabei das Bindeglied. Über die App soll später auch X Money laufen, der gerade in der öffentlichen Beta startende Bezahldienst. Peer-to-Peer-Überweisungen direkt im Chat, vielleicht später Krypto-Zahlungen, Online-Käufe, Tickets – alles aus einer App heraus.
Das erklärt auch die strategische Bedeutung: Auf der löchrigen Twitter-DM-Infrastruktur lässt sich keine digitale Bank bauen. XChat ist das Sicherheits-Upgrade, das genug Vertrauen schaffen soll, damit du X später dein Geld anvertraust. Interessant ist nebenbei, dass Musk damit von seinem ursprünglichen „Everything App“-Plan abrückt: Statt alles in eine App zu packen, gibt es jetzt drei separate Apps für das X-Universum. Manche Beobachter spotten bereits über die ironische Wendung.
Was bedeutet das für dich?
Für gelegentliche Plaudereien mit X-Kontakten ist XChat eine technisch ordentliche Option. Schick, schnell, werbefrei – und wenn du sowieso schon auf X aktiv bist, ein bequemer Zusatzkanal. Für Geburtstagspläne und Smalltalk reicht das allemal.
Geht es aber um wirklich vertrauliche Kommunikation – sei es geschäftlich, journalistisch, gesundheitlich oder politisch – bleibt Signal weiterhin die deutlich bessere Wahl. Open Source, etablierte Krypto-Standards, minimale Metadaten, Schlüssel ausschließlich auf deinem Gerät. Das ist Datenschutz, wie er sein sollte.
XChat ist ein klassischer Musk: groß angekündigt, mutig vermarktet, technisch interessant – und mit ein paar handfesten Haken, über die der Marketing-Lärm gerne hinwegtäuscht. Wenn du XChat nutzt, dann mit offenen Augen. Und vielleicht ohne deine sensibelsten Geheimnisse.
