Im Dezember 2025 habe ich den Microsoft Authenticator gegen Raivo OTP getauscht. Raivo erfüllte auf den ersten Blick alles, was mir bei so einer App wichtig ist: Open Source, niederländischer Entwickler, Daten bleiben lokal. Die Empfehlung kam von Claude, einer KI, der ich bei solchen Recherchen vertraue.
Was ich nicht wusste: Raivo war zu dem Zeitpunkt schon seit über einem Jahr faktisch verwaist. Mich hat es nicht persönlich getroffen. Aber als ich das Tool später nochmal genauer angeschaut habe, ist die Geschichte aufgepoppt.
Was mit Raivo passiert ist
Im Juli 2023 hat der niederländische Entwickler Tijme Gommers Raivo an eine Firma namens Mobime verkauft. Fast ein Jahr lang ist nichts passiert. Im Mai 2024 dann das erste Update von Mobime - und es hat den iCloud-Container vieler Nutzer zerschossen. Die App crashte, gespeicherte Codes waren weg, der Masterkey ließ sich nicht wiederherstellen. Mobime hat sich entschuldigt und versucht zu fixen.
Seitdem: ein letztes Release im Juli 2024. GitHub-Issues bleiben unbeantwortet. Privacy Guides hat Raivo aus den Empfehlungen entfernt - schon vor meiner Recherche im Dezember. Auf Hacker News gab es eine lange Diskussion zum Token-Verlust. Alles öffentlich nachlesbar - wenn man hingeschaut hätte.
Warum die KI mir das nicht gesagt hat
Ich habe Claude im Dezember 2025 gefragt, welche Open-Source-Authenticator-App ich nehmen soll. Die Antwort: Raivo OTP. Klang gut, passte zu meinen Kriterien. Ich habe es installiert.
Als ich später nachgehakt habe, warum mir ein totes Tool empfohlen wurde, kam die ehrliche Antwort: Die Trainingsdaten haben einen Stichtag. Vor diesem Stichtag galt Raivo als naheliegende Empfehlung. Den Crash vom Mai 2024 und das Brachliegen danach hatte die KI nicht im Bild.
Der Fehler lag bei mir. Ich habe nicht explizit gesagt, dass Claude im Netz recherchieren soll. Ohne diesen Auftrag arbeitet die KI nur mit dem, was sie zum Trainingszeitpunkt gelernt hat. Bei einem Restaurant-Tipp wäre das peinlich. Bei einem Sicherheits-Tool ist es heikel.
Was ich daraus gelernt habe
KI-Empfehlungen sind ein Startpunkt, kein Ergebnis. Vor allem bei Sicherheits-Tools.
Was ich vorher hätte prüfen können - und was ich künftig prüfe, bevor ich so etwas installiere:
- Wann war das letzte Release? Bei Raivo: Juli 2024. Ein Blick auf GitHub oder den App Store hätte gereicht.
- Wer steht heute hinter dem Projekt? Bei Raivo: nicht mehr der Entwickler, der es aufgebaut hat. Verkauf 2023.
- Steht das Tool noch in den Empfehlungen seriöser Quellen? Privacy Guides ist eine gute Anlaufstelle. Raivo war dort schon nicht mehr drin.
- Gibt es bekannte Vorfälle? Kurze Suche nach "Tool-Name acquired" oder "Tool-Name incident". Bei Raivo wäre alles aufgepoppt.
Das sind keine zehn Minuten Aufwand. Ich habe diese zehn Minuten im Dezember nicht investiert, weil die KI-Antwort plausibel klang.
Open Source allein schützt nicht. Das hatte ich aus dem ersten Artikel schon mitgenommen. Aber meine Lehre war zu eng: Ich habe Open Source plus europäischen Anbieter geprüft. Was ich nicht geprüft habe: ob das Projekt überhaupt noch lebendig ist. Tijme Gommers war Niederländer, sehr europäisch. Hat das Tool trotzdem an Mobime verkauft.
Lebendigkeit kommt vor Herkunft. Herkunft kommt vor Open-Source-Status. In dieser Reihenfolge.
Was jetzt
Ich habe Claude die gleiche Frage nochmal gestellt - diesmal mit explizitem Auftrag, im Netz zu recherchieren. Das Ergebnis: Proton Authenticator. Schweizer Anbieter, Open Source, lokal nutzbar, optional Ende-zu-Ende-verschlüsseltes Sync. Veröffentlicht im Juli 2025 - also ein halbes Jahr verfügbar, als ich im Dezember Raivo gewählt habe.
Hätte ich Claude gebeten zu googeln, hätte ich Proton Authenticator statt Raivo bekommen. Ich habe nicht gefragt. Ich habe mich auf eine eingefrorene Wahrheit verlassen.
Ich werde Proton Authenticator die nächsten Wochen nutzen und dann darüber schreiben. Dann aus eigener Erfahrung, nicht aus Recherche.