Die Diskussion ist groß, zu welchem Messenger soll man bloß wechseln, nach dem Verkauf von Whatsapp an Facebook?? Nur in einer Sache sind sich viele seitdem einig: weg von Whatsapp, zumindest so gut es geht. Auch ich versuche die Sicherheit meiner Chats nach diesem Ereignis zu erhöhen, und habe mich mit den 2 Messenger Alternativen Threema und Telegram beschäftigt.
Anmerkung: Die folgende Punkte folgen keiner bestimmten Sortierung. Die Threema Fakten und Daten sind zusammenrecherchiert, teilweise bestätigt von Threema Nutzern. Ich hab diese App noch nicht gekauft und kann daher nicht aus erster Hand berichten.
Threema
| + | Erstellung eines persönlich-zufälligem Schlüssels mittels Bewegungen, die man in einem Feld bei der Einrichtung machen muss. Also kein system-generierter Schlüssel. Ob das jetzt so viel bringt, da User-Zufall vs System-Zufall immernoch Zufall ist, bleibt auszudiskutieren 😉 Ergänzung: Es ist doch ein positiver Punkt, Computer-Zufallsgeneratoren haben nicht gerade den besten Ruf, hier nur ein Beispiel. |
| + |  Sichere Verbindungen zwischen 2 Teilnehmern werden durch sichere QR-Codes und deren Einscannen der zweiten Person erstellt. Damit kann keine Manipulation beim Erstellen des sicheren Chats erfolgen, da keine Datenübertragung übers Netz erfolgt. Die verschiedenen Sicherheitsstufen werden eindeutig visualisiert. |
| + | Verschlüsselung mit Open Source Bibliothek NaCl, die als sicher gilt |
| + |  Es kann eine PIN vergeben werden, die beim Öffnen der App nach einer bestimmten Zeit bzw. nach einem Neustart des Telefons eingegeben werden muss. Außerdem kann ein Hauptschlüssel definiert werden, mehr dazu in der hier. |
| + |  Es können Backups erstellt werden. Diese enthalten die eigene ID, Chats, Kontakte und auf Wunsch auch die Mediendaten. Die Backups müssen mit einem Passwort mit mindestens 8 Zeichen verschlüsselt werden und liegen dann als ZIP Dateien auf dem Speichermedium. |
| # | Hinzufügen neuer Kontakte via ID/Telefonnummer und QR Code von Hand. Die App hat nach dem Einverständnis des Nutzers Zugriff auf das Telefonbuch. Aber auch beim Verweigern des Zugriffs kann die App weiter benutzt werden. Kontaktdetails werden nur in pseudonymisierter Form abgespeichert. |
| # | Laut AGB werden die Daten aus dem Adressbuch pseudonymisiert an die Threema Server übertragen. |
| – | Von der Verschlüsselungsbibliothek abgesehen 100% closed source, Kommunikation läuft über Schweizer Server. Der Entwickler sagte kürzlich: „Momentan haben wir keine konkreten Pläne für externe Audits; falls sich aber etwas mit einer geeigneten Instanz zu akzeptablen Bedingungen ergibt, sind wir nicht grundsätzlich abgeneigt.“ (Quelle) Das macht alles natürlich sehr skeptisch. |
| – | kostet 1,60€ |
Telegram
| + | kostenlos |
| + |  Viele inoffizielle Apps für Windows, Mac, Linux, Chrome und Windows Phone. Wie Beispielsweise Webogram, ziemlich cool. Telegram merkt sogar, wenn Zugriffe außerhalb der App erfolgen und informiert sofort (siehe nächster Punkt). Das Open Source erfreut die Entwickler- und Fangemeinde und wird in Zukunft sicher noch mehr Apps, Widgets und Gadgets hervorbringen. Wobei es schwer zu urteilen ist, inwiefern die Sicherheit bei diesen Apps noch gewährleistet ist. Aber eine große Community ist eher ein Pluspunkt. |
| + |  Sollte Telegram einen Zugriff von außerhalb der App feststellen, wird direkt eine Nachricht an den Nutzer geschickt. Dieser hat über die Einstellungen die möglichkeit alle aktiven Verbindungen zu der eigenen Telefonnummer zu beenden. |
| + |  Selbstzerstörungsmechanismus in sicheren Chats für besonders kritische Nachrichten. Zerstört Nachrichten nach einer angegebenen Zeitspanne automatisch sowohl beim Sender, als auch beim Empfänger. |
| # | Teilweise Open Source, mehr und mehr Code soll noch veröffentlicht werden. Also keine geheimen Hintertürchen, die auf Befehl irgendwelcher Regierungen unter dem Deckmantel irgendwelcher Geheimgesetze eingebaut werden können, ohne, dass es auffällt (ein wenig gutgläubig gedacht…). Da noch nicht komplett offen, bis jetzt ein neutraler Punkt. |
| # | Verschlüsselung mit MTProto. AES256, RSA2048 und Diffie-Hellman, klingt für mich „sicher“, aber es gibt angeblich einige Probleme mit der Sicherheit. So zum Beispiel, dass der per SMS zugeschickte Bestätigungscode gar nicht eingegeben werden muss, was bei mir tatsächlich auch so war. Warum auch immer. $200k stehen aktuell als Belohnung aus, sollte jemand diesen Mechanismus knacken können. Kann also nicht als ganzer Pluspunkt angesehen werden. |
| # | Kommunikation läuft über russische Server, ob das positiv oder negativ ist, kann jeder selber entscheiden |
| # | Benutzer, die Telegram schon haben, stehen direkt in der Kontaktliste, alle nicht-Nutzer kann man einladen. Die App hat also Zugriffsrechte auf die Kontaktliste und das ohne die Zustimmung des Nutzers zu erfragen. Die Adressbuchdaten werden jedoch nicht an den Server übertragen. |
| – | Das Löschen des Profils mitsamt aller Daten soll nicht besonders transparent gestaltet sein. Die AGB und Datenschutzerklärung erläutern nicht eindeutig, welche Daten gelöscht werden und welche verbleiben, wenn man sein Profil löscht. Zudem gibt es eine Seite, die dem Deaktivieren/Löschen eines Accounts dient. Auf dieser steht aber immerhin: „Note that if you delete your account, all your messages, groups and contacts will be deleted beyond retrieval. This is a one-way trip.“. Negativer Punkt, da hier wohl zu wenig Klarheit herrscht. |
Fazit
Ich hoffe niemand erwartet hier von mir eine eindeutige Entscheidung, einen Sieger, der ultimative Messenger: wenn doch, den gibt es nicht. Beide Apps haben ihre Vorzüge und Nachteile. Beide tragen immens dazu bei unsere Kommunikation sicherer zu gestalten. Welche App sich in Deutschland und weltweit besser behaupten wird, wird die Zeit zeigen. Solange kann jeder selber entscheiden, ob er eine der beiden Apps, beide oder gar keine nutzt.
Ich für meinen Teil nutze zum Zeitpunkt der Artikelveröffentlichung nur Telegram, bin aber kurz davor auch Threema zu kaufen.
Threema kann sehr wohl auf das Adressbuch (zumindest unter iOS) zugreifen. Würde mich wundern, wenn das unter Android anders wäre. Nur ist man nicht dazu gezwungen, unter seine E-Mail-Adresse/Telefonnummer auffindbar zu sein.
An dem Protokoll (MTProto) und an dem daran geknüpften CryptoContest von Telegram wurde bereits einiges an – fachlicher – Kritik geübt. Es ist auch nicht ersichtlich, dass die Entwickler diese Kritik berücksichtigen. OpenSource ist zudem (AFAIK) nur das Protokoll und die API. Was Client und Server tatsächlich tun, ist nicht bekannt.
Jen Nie liked this on Facebook.
Daniel Pliegl liked this on Facebook.
Tobi Kd liked this on Facebook.
Telegram ist leider nur ein Bauernfänger … Die Art und Weise wie sie kommunizieren, dass sie absolut sicher sind, ist schon fast Bild-Niveau. Ein Kryptologe hat die Challenge als solche als Farce beschrieben, da die Rahmenbedingungen die gesetzt wurden, sogar die schlechteste Verschlüsselung fast unknackbar machen. Jedwedes Reale-Welt Beispiele wie eine MITM-Attacke wird absolut vernachlässigt und durch die Challenge sogar geradezu ausgeschlossen.
Dazu kommt, dass Ende-zu-Ende Verschlüsselung nicht als Standard eingetragen ist. Insofern man also nicht von Anfang an bei jedem Chat das einstellt, werden die Nachrichten im Klartext auf dem Server gespeichert.
Und zu dem MTProto-Protokoll kann man sagen was man will … Wozu neue Verschlüsselung entwickeln, wenn es doch profiliertere Methoden und Bibliotheken seit Jahren gibt und die ihren Job absolut super verrichten. Aber die Jungs haben ja Ph.D. Mathematiker. Da muss das ja sicher sein …
Zur Verschlüsselung:
http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
Zur Challenge:
http://thoughtcrime.org/blog/telegram-crypto-challenge/
Schade ist, dass anstatt die Jungs von Telegram die Zusammenarbeit mit den Kryptologen suchen, sie ihre Technik auf agressivste Art und Weise verteidigen ohne auf die guten Ratschläge oder die gut durchdachten Fragen einzugehen …
RT @SchurigH: Threema VS Telegram – Daten, Fakten, Links & Mehr – der große Vergleich – http://t.co/WhQCb5M8hw
Threema VS Telegram – Daten, Fakten, Links & Mehr http://t.co/yFlQw2Venm #sicherheit
@Kenny: Danke für den Hinweis mit dem Adressbuch, ich war mir nicht sicher.
@Tobias: Ja, ich las während meiner Recherche so einiges über das Verhalten der Entwickler. Aber in dem Beitrag geht es ja vorrangig um harte Fakten und weniger um subjektives Empfinden gegenüber dem Verhalten, auch wenn ich das genauso sehe wie du.
Inwiefern und wie lange Telegram sich noch gegen das sehr positive Bild von Threema behaupten kann bleibt fraglich, aber sie sind eben kostenlos, das beschert einen immensen Schwung an Nutzern, die (noch) nicht bereit sind, 1,60€ oder mehr (iPhone) zu bezahlen.
Telegram andererseits mag zwar Open Source sein, aber es gibt einfach so viele Dinge die nicht durchdacht scheinen. Finanzierungsmodell, nicht auf Standard Verschlüsselungen zurückgreifen, nicht alle Chats sind automatisch sicher (90% der user wird am ende vemutlich also keine end-end-encyption benutzen).russische Server und Verbindungen zum FSB, Facebook Abkommen.
Allein das FAQ bei Threema ist viel aufschlussreicher und für mich momentan die einzige Alternative zu Whatsapp/Telegram.
Und wenn wir uns die Installations/Download Charts vom Apple Store und Google Play anschauen, so stagnieren die Zahlen bei Telegram und bei Threema geht es steil nach oben.
IMA – Informationen Mal Anders – http://t.co/Ku8GMSWkUt Auch eine Variante, vergleich zwischen den Alternaltiven zu welchem #Messenger…