Sichere WhatsApp Alternativen: Threema vs. Telegram

Nachdem bekannt wurde, dass Facebook WhatsApp für 19 Mrd. US-Dollar geschluckt hat, setzt bei vielen nun plötzlich eine Art Offenbarung ein und es wird sich doch endlich mal aktiv nach Alternativen umgeschaut. Abseits davon, dass der gewählte Zeitpunkt in Verbindung mit mancher Begründung dafür geradezu grenzdebil erscheint, bleibt weiterhin die Frage: wohin soll man gehen?

Sieht man sich nach den zahlreichen Alternativen um ruft das natürlich umso mehr das Problem der Zerstreuung auf den Plan. Wohin gehen die meisten Freunde? Wie viele Messenger muss ich mir zusätzlich installieren?

Die Medien berichten bereits rege von folgenden Alternativen:

  • Threema
  • Telegram

Besonderes Augenmerk legen beide dabei auf Sicherheit durch Verschlüsselung, konkret „Ende-zu-Ende-Verschlüsselung“. Niemand außer dem Absender und dem Empfänger sollen in der Lage sein die Nachricht lesen zu können. Beide Messenger setzen dabei allerdings auf unterschiedliche Ansätze, um den Spagat zwischen Sicherheit und Nutzerfreundlichkeit zu schaffen.

Threema

Threema Android App Icon

Threema ist die WhatsApp Alternative aus der Schweiz programmiert von Manuel Kasper.

Nachrichten, die über Threema verschickt werden, sind standardmäßig verschlüsselt. Beim ersten Start wird man gebeten durch möglichst zufällige Wischgesten ein Schlüsselpaar zu generieren, einen privaten und einen öffentlichen Schlüssel. Der private Schlüssel bleibt auf dem Gerät, der öffentliche muss jedoch auf dem Server hinterlegt werden. Aus dem öffentlichen Schlüssel des Empfängers und dem privaten Schlüssel des Senders wird ein dritter Schlüssel generiert, mit dem die versendete Nachricht dann verschlüsselt wird. Die versendeten Nachrichten werden nicht dauerhaft auf den Servern von Threema gespeichert, können also auch selbst wenn der Betreiber kooperieren würde nicht an die Behörden herausgegeben werden, da nicht zentral vorhanden. Sie werden nur so lange auf den Servern vorgehalten, bis sie abgerufen werden.

Threema basiert auf der gemeinfreien NaCl Cryptographic Library des Kryptologen Daniel J. Bernstein und wird von Experten als sicher eingestuft.

Kontakte werden in Threema auf bis zu drei unterschiedliche Methoden hinzugefügt und eingestuft:

  • Jeder Benutzer hat bei Threema eine ID die sich aus Buchstaben und Zahlen zusammensetzt. Über diese kann ein Kontakt hinzugefügt und angeschrieben werden. Jedoch wird diese Methode von der App selbst als nicht sicher eingestuft und daher mit einem roten Punkt versehen. Dies zeigt an, dass der Kontakt zwar angeschrieben werden kann, aber lediglich über die Threema-ID hinzugefügt wurde und die Echtheit der Gegenseite nicht garantiert ist.
  • Sofern man es der App erlaubt, wird bei der Ersteinrichtung das Adressbuch des Handys mit den Threema-Servern verglichen – jedoch nicht im Klartext sondern als Hash, sodass ein Rückschluss auf die enthaltenen Daten praktisch unmöglich wird. Stimmen bestimmte Hashes (Telefonnummer und/oder E-Mail-Adresse) überein, werden Benutzer automatisch hinzugefügt (auch nachträglich durch erneutes Aktualisieren der Kontaktliste) und man kann direkt losschreiben. Diese Methode quittiert die App mit zwei gelben Punkten, die anzeigen, dass eine Übereinstimmung mit den Anmeldedaten anderer Threema-Benutzer gefunden werden konnte und man es wahrscheinlich mit dem zu tun hat, für den er sich ausgibt.
  • Jeder Threema-Benutzer hat neben seiner ID aus Buchstaben und Zahlen außerdem noch einen Schlüssel, der der Einfachheit halber zusätzlich in Form eines QR Codes vorliegt. Dieser kann bei einem persönlichen Treffen direkt aus der App heraus vom jeweils anderen Handy eingescannt werden. Dies ist zugleich die sicherste Verifizierungsmethode und gleichzeitig die einzige, um einen Kontakt mit drei grünen Punkten zu versehen. Somit kann man sich sicher sein, auch mit der jeweiligen Person zu kommunizieren.

Mir persönlich gefällt diese Art der Nutzerverifizierung, zumal sie so simpel gehalten ist. Natürlich sollte man die QR Codes nicht leichtfertig im Internet posten, da die Sicherheit dieser Methode sonst für die Katz ist und man sich selbst auch einem gewissen Risiko aussetzt, wenn man wahllos QR Codes einscannt. Die Server von Threema stehen in der Schweiz, demnach gelten für diese auch die dortigen Datenschutzgesetze.

Die bisherige Kritik bei Threema stützt sich bislang nur auf die Tatsache, dass der Code der App nicht offen liegt (Schlagwort „Open Source“, dazu später mehr), somit keine Überprüfung durch unabhängige Dritte erfolgen kann und auch kein Audit einer IT-Sicherheitsfirma vorliegt. Dafür hat der Entwickler aber auch eine Erklärung: Ein solcher Audit kostet einen bis zu 5-stelligen Betrag und müsste bei jedem Update der App wiederholt werden. Da Kaspers Firma jedoch nicht über solche finanziellen Rücklagen verfügt, kann er sich diese derzeit nicht leisten. Weiterhin: sofern der Code offen gelegt würde, ließen kostenlose Alternativen nicht lange auf sich warten und Kaspers Firma bliebe auf den Kosten des Serverbetriebs sitzen, falls diese Clients das Threema-Netzwerk einfach mitbenutzen würden ohne einen Beitrag zu leisten. Die Folge wäre, dass der Dienst nicht lange bestehen würde und bspw. nach nicht mal einem Jahr wieder dicht machen müsste. Das Kleinod von 1,79 EUR (iOS) bzw. 1,60 EUR (Android) sollen diese Kosten decken, die Benutzung des Dienstes selbst ist kostenlos.

„Letztlich ist es eine Gefühlssache, ob man mir vertrauen will“, sagt Kasper im Hinblick auf den Umstand, dass sowohl die App als auch der Dienst mehr oder weniger intransparent arbeiten. Letztlich könne aber auch er nicht garantieren, dass die Nachrichten nicht von der NSA mitgelesen werden können. Zwar ist er von der Sicherheit seiner App überzeugt, er schließt aber nicht aus, dass es in iOS oder Android eine Hintertür gibt, die es erlaubt Tasteneingaben oder Bildschirminhalte mitzuschneiden. In diesem Fall nützt dann selbst die stärkste Verschlüsselung nichts, wenn schon mitgeschnitten wird, bevor überhaupt verschlüsselt werden kann.

Telegram

Telegram App Icon

Telegram stammt von den Brüdern Nikolai und Pawel Durow, die zuvor schon in 2006 Russlands erfolgreiches soziales Netzwerk vk.com gründeten.

Telegram setzt genau wie Threema auf Ende-zu-Ende-Verschlüsselung. Jedoch gibt es einige Unterschiede zu Threema:

  • Telegram wird als Open Source zur Verfügung gestellt, sowohl die App als auch die API
  • Bei Telegram ist die verschlüsselte Kommunikation optional, erst wenn ein „Secret Chat“ gestartet wird, ist dieser auch verschlüsselt
  • Telegram ist (bislang) nur in Englisch, Spanisch und Arabisch verfügbar
  • Nachrichten können mit einem Verfallsdatum versehen werden, nachdem sich diese selbst vernichten
  • Telegram verwendet ein selbstgeschriebenes Protokoll für die Verschlüsselung: MTProto
  • Telegram ist kostenlos für iOS und Android erhältlich
  • Die Server von Telegram stehen an vielen verschiedenen Orten

In den letzten Tagen hat Telegram einen regen Nutzeransturm verzeichnet, teils bis zu 100 Neuanmeldungen pro Sekunde! Dies dürfte nicht zuletzt daher rühren, dass die App kostenlos angeboten wird und WhatsApp zum Verwechseln ähnlich sieht. Vielen spricht auch positiv zu, dass die App als Open Source zur Verfügung gestellt wird. Doch ist nicht alles Gold was glänzt.

Vielen Kryptologen ist besonders die als „sehr sicher“ angepriesene Verschlüsselung ein Dorn im Auge. Telegram verwendet das eigens entwickelte Protokoll MTProto für die verschlüsselte Kommunikation. Entwickelt wurde dieses jedoch nicht von erfahrenen Kryptologen, sondern von Doktoren der Mathematik. Wenngleich Kryptografie viel mit hoher Mathematik zu tun hat sind Mathematiker deshalb noch lange keine Kryptologen. Das Protokoll wurde von anerkannten Krypto-Experten deshalb auch schon eingehend überprüft und auseinander genommen. Allgemein gilt: ein eigenes Krypto-Verfahren lässt sich nicht mal eben aus den Fingern saugen und Eigenbrötler werden kritisch beäugt und nötigenfalls zurechtgewiesen – aus gutem Grund.

Da hilft es auch nicht, dass sich die Entwickler „Open Source“ auf’s Namensschild schreiben. Denn dass die App als Open Source zur Verfügung steht ist nicht damit gleichzusetzen, dass sie auch sicherer ist als die Konkurrenz. Gerade dass sie als Open Source vertrieben wird ermöglich den kritischen Augen erst die harsche Kritik. Jedoch scheint es den Entwicklern dabei nicht unbedingt um einen ergebnisorientierten Dialog zu gehen, wie der ausgeschriebene Wettbewerb zeigt, in welchem 200.000 US$ in BitCoins als Belohnung für denjenigen ausgeschrieben werden, dem es als ersten gelingt das MTProto Protokoll von Telegram zu knacken. Auch auf die Kritik an und für sich wird in den Tech FAQ nur auf den Wettbewerb verwiesen, als wollten die Entwickler sagen: „Ihr wollt behaupten unser Protokoll ist unsicher? Dann beweist es uns doch!“ Zumal die Bedingungen ebenfalls angezweifelt werden und die Entwickler damit auf Zeit spielen. Bewirbt sich niemand oder werden die unrealistischen Bedingungen nicht erfüllt können sie sagen: „Seht ihr! Sicher! Also fickt euch ins Knie mit euren Behauptungen!“ Auch die FAQs dahingehend werden immer mehr erweitert und die Entwickler von Telegram setzen alles daran ihre Entscheidungen zu rechtfertigen. Das ist insofern problematisch, da sich des öfteren zeigt: je mehr man etwas rechtfertigen muss, desto unausgegorener werden irgendwann die Argumente und es wird immer offensichtlicher, dass man im großen Stil verkackt hat. Mit den technischen Details will ich euch an dieser Stelle nicht langweilen, die Details könnt ihr den Verlinkungen entnehmen (es sei denn ihr wollt das, dann kann ich ein „Warum die Telegram Krypto abstinkt“ Special nachschieben).

Die Entwickler gehen zwar auf die Kritik ein – wenn auch nur sehr widerwillig – was schon mal besser ist als das Informations-Vakuum WhatsApp, jedoch verwechseln diese wohl Sportlichkeit mit Übermut. Ich bin mir nicht sicher, was sie damit bezwecken wollen. Einerseits wollen Sie sich als sicher bezeichnen, dann aber mit irgendeiner zufällig zusammengewürfelten selbstgeschriebenen Krypto-Bibliothek und bei Kritik wird die Sicherheit mit der die App beworben wird als Zielscheibe dargeboten. Ist das eine verkorkste Art des Vertrauensgewinns in die Verschlüsselung, indem man sich so überzeugt davon zeigt, dass man sie öffentlich zum Abschuss freigibt? Bei mir entsteht da eher der Eindruck, als leiden die Entwickler am Dunning-Kruger-Effekt wie so viele promovierte Politiker.

Fazit

Abschließend kann man nicht eindeutig sagen, welchem der beiden Messenger man nun mehr Vertrauen entgegenbringen sollte.

Threema überzeugt mit einer durchgängigen Verschlüsselung, die unter Experten guten Anklang findet. Außerdem wird durch das 3-Punkte-System sichergestellt, dass am anderen Ende auch derjenige sitzt, für den er sich ausgibt. Jedoch kostet die App, was in der heutigen Geiz-Gesellschaft als enorme Hürde verstanden werden darf. Erst recht wenn kostenlose Alternativen existieren. Auch gefällt so manchem die Intransparenz des Dienstes nicht, gerade wenn es um Verschlüsselung geht.

Telegram findet derzeit ebenfalls sehr viel Anklang von früheren WhatsApp Nutzern, nicht zuletzt, da es ebenso einfach einzurichten und zu nutzen ist wie der Messenger Riese und dazu auch noch fast identisch aussieht – ideal für die vielen Umstellungs-Muffel, die sich zuvor schon mit Händen und Füßen gegen Alternativen gewehrt haben. Eine Verschlüsselung ist zwar enthalten, jedoch wird diese nicht konsequent durchgesetzt und dessen Robustheit darf bestenfalls als umstritten bezeichnet werden. Da wirkt das „Open Source“ Label mehr wie ein Marketing-Gag und weniger wie ein Vertrauensbeweis. Auch wie die Kommunikation zur geäußerten Kritik bisher gelaufen ist bleibt fragwürdig.

Wir halten also fest: auch weiterhin wird es auf kurze Zeit gesehen keinen klaren Gewinner geben. Viele Messenger werden in dem Medienrummel die Gunst der Stunde nutzen und um die Aufmerksamkeit der WhatsApp Nutzer buhlen, doch durch die lange Präsenz des Platzhirsches, der sich über die Jahre quasi zum de facto Standard der mobilen Kommunikation gemausert hat, werden viele weiterhin zögern. Manche werden vielleicht sogar gar nicht wechseln weil es ihnen egal ist. Viele haben WhatsApp und Facebook zugleich und wiegen sich daher in ihrer Gleichgültigkeit in Sicherheit.

Ich möchte an dieser Stelle eins zu bedenken geben: WhatsApp wird zwar als Marke unter der Schirmherrschaft von Facebook weiterbestehen, jedoch schließt das nicht aus, dass auf irgendeine andere Art und Weise Daten der Chats abgeschnorchelt werden, um daraus Buzzwords für Werbeanzeigen zu generieren oder die Inhalte irgendwie anders zu vermarkten. Das alleine sollte genug Grund zur Besorgnis sein!

Jedoch geht es hier nicht nur um rein datenschutzrechtliche Belange. Auswirkungen könnte dies auch auf die User Experience der App haben, wenn z. B. Werbeanzeigen in der App erscheinen oder gesponserte Nachrichten (d. h. SPAM!) direkt an die User versendet werden. Ich weiß, dass auf der Webseite von WhatsApp ein Zitat aus Fight Club von Tyler Durden niedergeschrieben ist und diese Ansicht finde ich auch nicht verkehrt. Doch Facebook ist ein Unternehmen, dass sich durch Werbung finanziert und ich denke es ist nur eine Frage der Zeit, bis das Zitat entweder verschwindet oder an Bedeutung verliert.

Bestenfalls wird es womöglich auf eine kurzzeitige Fragmentierung der WhatsApp Nutzer auf die vielen verschiedenen Dienste hinauslaufen und man wird mit mehreren Messengern in der Hosentasche rumlaufen, bevor ein neuer Mitstreiter den Thron für sich beanspruchen darf. Besonders wenn es um so prekäre Themen wie verschlüsselte Kommunikation im Zeitalter von Facebook, NSA und Edward Snowden geht.

Nachtrag 01.03.2014 20:33: Und für alle, denen Satire kein Begriff ist: die neulich im Postillon veröffentlichte Meldung, Threema sei von Google für 5 Mrd. US-Dollar aufgekauft worden ist natürlich ein Hoax. Leute! Der Postillon ist ein Satiremagazin! Die Treiben ständig solche derben Späße! Nichts davon trägt auch nur einen Funken Wahrheit! Trotzdem hat Threema auf seiner FAQ Seite einen dick rot markierten Eintrag ganz oben ergänzt, weil jeder Hanswurst drauf reingefallen ist. Auf seine eigene Art und Weise schon traurig, dass das überhaupt nötig ist. Andererseits war das auch ziemlich schlecht getimed vom Postillon, da jetzt jeder aufschreckt was den Aufkauf von Messengern angeht.

Weiterführende Links

2 Gedanken zu “Sichere WhatsApp Alternativen: Threema vs. Telegram

  1. Nach der Übernahme haben sich ja viele Nutzer um Alternativen bemüht. Dennoch bin ich der Meinung, dass kein Messenger eine absolute Datensicherheit bieten wird. Man wird niemals erfahren, was tatsächlich mit ihnen passiert und trotzdem werden wir es nutzen und uns ärgern.

    [Link entfernt, da kein inhaltlicher Mehrwert in verlinktem Artikel/plumper Versuch Leser abzugreifen]

    Gefällt mir

    1. Ich bin der Meinung, dass eine Abschaffung des Status Quo bei den mobilen Messengern längst überfällig war, erst recht, wenn die Entwickler von WhatsApp glauben, sie kommen mit allen Schlampereien durch. Vielleicht wird sich jetzt unter der Schirmherrschaft von Facebook daran etwas ändern, aber das muss die Zeit zeigen.

      Wem man im Internet seine Daten anvertraut muss jeder für sich selbst entscheiden, Möglichkeiten sich über die Sicherheit des Dienstes zu informieren hat man zu genüge. Insofern ist es korrekt, dass kein Dienst jemals die absolute Datensicherheit bieten können wird – ganz einfach aus dem Grund, dass es diese nie geben wird. Man kann die Daten höchstens sicherER verstauen und übertragen, aber jeder Algorithmus ist irgendwo angreifbar, es ist nur eine Frage der Zeit, bis er geknackt wird. Bis dahin gilt mein Vertrauen weiterhin Threema.

      Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s