Die Diskussion ist groß, zu welchem Messenger soll man bloß wechseln, nach dem Verkauf von Whatsapp an Facebook?? Nur in einer Sache sind sich viele seitdem einig: weg von Whatsapp, zumindest so gut es geht. Auch ich versuche die Sicherheit meiner Chats nach diesem Ereignis zu erhöhen, und habe mich mit den 2 Messenger Alternativen Threema und Telegram beschäftigt.
Anmerkung: Die folgende Punkte folgen keiner bestimmten Sortierung. Die Threema Fakten und Daten sind zusammenrecherchiert, teilweise bestätigt von Threema Nutzern. Ich hab diese App noch nicht gekauft und kann daher nicht aus erster Hand berichten.
Threema
+ | Erstellung eines persönlich-zufälligem Schlüssels mittels Bewegungen, die man in einem Feld bei der Einrichtung machen muss. Also kein system-generierter Schlüssel. Ob das jetzt so viel bringt, da User-Zufall vs System-Zufall immernoch Zufall ist, bleibt auszudiskutieren 😉 Ergänzung: Es ist doch ein positiver Punkt, Computer-Zufallsgeneratoren haben nicht gerade den besten Ruf, hier nur ein Beispiel. |
+ | Sichere Verbindungen zwischen 2 Teilnehmern werden durch sichere QR-Codes und deren Einscannen der zweiten Person erstellt. Damit kann keine Manipulation beim Erstellen des sicheren Chats erfolgen, da keine Datenübertragung übers Netz erfolgt. Die verschiedenen Sicherheitsstufen werden eindeutig visualisiert. |
+ | Verschlüsselung mit Open Source Bibliothek NaCl, die als sicher gilt |
+ | Es kann eine PIN vergeben werden, die beim Öffnen der App nach einer bestimmten Zeit bzw. nach einem Neustart des Telefons eingegeben werden muss. Außerdem kann ein Hauptschlüssel definiert werden, mehr dazu in der hier. |
+ | Es können Backups erstellt werden. Diese enthalten die eigene ID, Chats, Kontakte und auf Wunsch auch die Mediendaten. Die Backups müssen mit einem Passwort mit mindestens 8 Zeichen verschlüsselt werden und liegen dann als ZIP Dateien auf dem Speichermedium. |
# | Hinzufügen neuer Kontakte via ID/Telefonnummer und QR Code von Hand. Die App hat nach dem Einverständnis des Nutzers Zugriff auf das Telefonbuch. Aber auch beim Verweigern des Zugriffs kann die App weiter benutzt werden. Kontaktdetails werden nur in pseudonymisierter Form abgespeichert. |
# | Laut AGB werden die Daten aus dem Adressbuch pseudonymisiert an die Threema Server übertragen. |
– | Von der Verschlüsselungsbibliothek abgesehen 100% closed source, Kommunikation läuft über Schweizer Server. Der Entwickler sagte kürzlich: „Momentan haben wir keine konkreten Pläne für externe Audits; falls sich aber etwas mit einer geeigneten Instanz zu akzeptablen Bedingungen ergibt, sind wir nicht grundsätzlich abgeneigt.“ (Quelle) Das macht alles natürlich sehr skeptisch. |
– | kostet 1,60€ |
Telegram
+ | kostenlos |
+ | Viele inoffizielle Apps für Windows, Mac, Linux, Chrome und Windows Phone. Wie Beispielsweise Webogram, ziemlich cool. Telegram merkt sogar, wenn Zugriffe außerhalb der App erfolgen und informiert sofort (siehe nächster Punkt). Das Open Source erfreut die Entwickler- und Fangemeinde und wird in Zukunft sicher noch mehr Apps, Widgets und Gadgets hervorbringen. Wobei es schwer zu urteilen ist, inwiefern die Sicherheit bei diesen Apps noch gewährleistet ist. Aber eine große Community ist eher ein Pluspunkt. |
+ | Sollte Telegram einen Zugriff von außerhalb der App feststellen, wird direkt eine Nachricht an den Nutzer geschickt. Dieser hat über die Einstellungen die möglichkeit alle aktiven Verbindungen zu der eigenen Telefonnummer zu beenden. |
+ | Selbstzerstörungsmechanismus in sicheren Chats für besonders kritische Nachrichten. Zerstört Nachrichten nach einer angegebenen Zeitspanne automatisch sowohl beim Sender, als auch beim Empfänger. |
# | Teilweise Open Source, mehr und mehr Code soll noch veröffentlicht werden. Also keine geheimen Hintertürchen, die auf Befehl irgendwelcher Regierungen unter dem Deckmantel irgendwelcher Geheimgesetze eingebaut werden können, ohne, dass es auffällt (ein wenig gutgläubig gedacht…). Da noch nicht komplett offen, bis jetzt ein neutraler Punkt. |
# | Verschlüsselung mit MTProto. AES256, RSA2048 und Diffie-Hellman, klingt für mich „sicher“, aber es gibt angeblich einige Probleme mit der Sicherheit. So zum Beispiel, dass der per SMS zugeschickte Bestätigungscode gar nicht eingegeben werden muss, was bei mir tatsächlich auch so war. Warum auch immer. $200k stehen aktuell als Belohnung aus, sollte jemand diesen Mechanismus knacken können. Kann also nicht als ganzer Pluspunkt angesehen werden. |
# | Kommunikation läuft über russische Server, ob das positiv oder negativ ist, kann jeder selber entscheiden |
# | Benutzer, die Telegram schon haben, stehen direkt in der Kontaktliste, alle nicht-Nutzer kann man einladen. Die App hat also Zugriffsrechte auf die Kontaktliste und das ohne die Zustimmung des Nutzers zu erfragen. Die Adressbuchdaten werden jedoch nicht an den Server übertragen. |
– | Das Löschen des Profils mitsamt aller Daten soll nicht besonders transparent gestaltet sein. Die AGB und Datenschutzerklärung erläutern nicht eindeutig, welche Daten gelöscht werden und welche verbleiben, wenn man sein Profil löscht. Zudem gibt es eine Seite, die dem Deaktivieren/Löschen eines Accounts dient. Auf dieser steht aber immerhin: „Note that if you delete your account, all your messages, groups and contacts will be deleted beyond retrieval. This is a one-way trip.“. Negativer Punkt, da hier wohl zu wenig Klarheit herrscht. |
Fazit
Ich hoffe niemand erwartet hier von mir eine eindeutige Entscheidung, einen Sieger, der ultimative Messenger: wenn doch, den gibt es nicht. Beide Apps haben ihre Vorzüge und Nachteile. Beide tragen immens dazu bei unsere Kommunikation sicherer zu gestalten. Welche App sich in Deutschland und weltweit besser behaupten wird, wird die Zeit zeigen. Solange kann jeder selber entscheiden, ob er eine der beiden Apps, beide oder gar keine nutzt.
Ich für meinen Teil nutze zum Zeitpunkt der Artikelveröffentlichung nur Telegram, bin aber kurz davor auch Threema zu kaufen.