XChat stürmt den App Store – und sofort in die Privacy-Debatte

Am Freitagnachmittag, 24. April, geht XChat nach zweifacher Verschiebung im Apple App Store live. iOS 26.0+, Rust-Codebase, «Bitcoin-style»-E2EE. Am Samstag verdrängt die App laut Produktchef Nikita Bier ChatGPT und Claude von Platz 1. Distribution schlägt erneut Substanz – zumindest in den ersten 48 Stunden.

Was XChat kann

• Login per X-Handle – keine Telefonnummer nötig
• Gruppenchats bis 481 Mitglieder (eine eigentümliche Zahl, vermutlich Musk-typische Zahlen-Wahl)
• Voice- und Video-Calls, Disappearing Messages, Screenshot-Block
• X-Money-Wallet folgt zeitnah (Visa-Integration angekündigt), die alten X-Communities sterben offiziell zum 6. Mai

Wo es hölzern wird: Audits und Vertrauen

Sicherheitsforscher widersprachen unmittelbar nach dem Launch: Das proprietäre XChat-Protokoll ist nicht extern auditiert. Eine frühere Vorab-Variante wurde in der Forschung als «less secure than Signal» eingestuft. «Bitcoin-style»-E2EE klingt smart, ist aber Marketing-Sprache – keine etablierte Kategorie der Kryptografie.

Der Vergleich liefert sich von selbst: Signal veröffentlicht das Protokoll, lässt es jährlich auditieren, dokumentiert Schwachstellen öffentlich. WhatsApp nutzt das Signal-Protokoll. Threema lässt sich von externen Prüfern wie Cure53 testen. XChat liefert nichts Vergleichbares – weder ein Whitepaper, noch einen Audit-Report, noch ein Bug-Bounty-Programm.

Was die Schweizer Privacy-Community jetzt fordert

Für die Schweizer Akteure rund um Proton und Threema ist XChat ein willkommener Anlass, das Audit-Thema breit zu adressieren. Erwartbar in den nächsten Wochen:

• Öffentliche Audit-Forderungen an X mit Verweis auf europäische Best Practices
• Vergleichende Tests zwischen XChat, Signal, Threema, iMessage
• Klare Empfehlungen des EDOEB für Schweizer Behörden und Unternehmen

Was im Büro auf der Hand liegt

Schweizer Unternehmen sollten XChat nicht als Business-Messenger zulassen, solange das Protokoll nicht extern auditiert ist – unabhängig davon, wie cool die App optisch wirkt. Für private Kommunikation ist die Sache eine Frage der persönlichen Risikotoleranz. Aber für Compliance-Pflichten in regulierten Branchen reicht «Bitcoin-style» nicht. Da braucht es Whitepaper, Penetration-Test-Reports und nachvollziehbare Schlüsselverwaltung.

Spannend wird, ob X innerhalb der kommenden 30 Tage einen externen Audit nachreicht. Falls ja, könnte XChat tatsächlich ernst zu nehmen sein. Falls nein, bleibt es das, was es heute ist – eine Distribution-Erfolgsgeschichte mit Substanzfragen.