Nur ein schneller Shoutout für 2 Webdienste, mit denen man einfach und sicher Passwörter teilen kann, sogar über E-Mail, Whatsapp, Skype und andere – sonst eher nicht so vertrauenswürdige – Dienste:

OneTimeSecret.com

Als besonders einfach und effektiv hat sich OneTimeSecret herausgestellt. Beliebige Textdaten lassen sich damit verschlüsseln und es wird ein Link generiert. Dieser Link wird an den Empfänger weitergeleitet und der Empfänger kann die gesicherten Daten genau ein einziges Mal ansehen. Danach werden die verschlüsselten Daten komplett gelöscht.
Der Link mit den gesicherten Daten ist 7 Tage gültig (bei einem registrierten Nutzeraccount 30 Tage), wenn die Daten bis dahin nicht abgerufen wurden, muss ein neues Secret erstellt werden.

onetimesecretpasswordchange

Encipher.It

Die Nachteile von OneTimeSecret behebt Encipher.it ganz gut, allerdings ist der Vorgang dort 1, 2 Klicks länger.

Step 1:
Der Absender gibt die sicheren Daten ein, klickt auf [Encipher It], gibt ein beliebiges Passwort an (dass er sich merken muss!), wählt eine Zeitspanne und verschlüsselt mit [Encipher It].
encipherit-step1

Step 2:
Der generierte Text wird dem Empfänger zusammen mit dem Passwort zugeschickt – optimalerweise über 2 unterschiedliche Kommunikationskanäle!
encipherit-step2

Step 3:
Der Empfänger fügt den erhaltenen Text auf der Seite ein, diese erkennt den verschlüsselten Text und bietet nun [Decipher It] an. In der Dialogbox gibt der Empfänger jetzt noch das Passwort ein und entschlüsselt den Text mit [Decipher It].
encipherit-step3

Beide Dienste sind im Endeffekt Kinderleicht und der Vorgang dauert nur wenige Sekunden. Ich kann also Allen nur ans Herz legen, zukünftig nie wieder Passwörter als Klartext zu versenden.

threema-vs-telegram-article-whatsapp-banDie Diskussion ist groß, zu welchem Messenger soll man bloß wechseln, nach dem Verkauf von Whatsapp an Facebook?? Nur in einer Sache sind sich viele seitdem einig: weg von Whatsapp, zumindest so gut es geht. Auch ich versuche die Sicherheit meiner Chats nach diesem Ereignis zu erhöhen, und habe mich mit den 2 Messenger Alternativen Threema und Telegram beschäftigt.
Anmerkung: Die folgende Punkte folgen keiner bestimmten Sortierung. Die Threema Fakten und Daten sind zusammenrecherchiert, teilweise bestätigt von Threema Nutzern. Ich hab diese App noch nicht gekauft und kann daher nicht aus erster Hand berichten.

threema-vs-telegram-article-logo


threema-vs-telegram-threema-icons

Threema

threema-vs-telegram-threema-kaufen

+Erstellung eines persönlich-zufälligem Schlüssels mittels Bewegungen, die man in einem Feld bei der Einrichtung machen muss. Also kein system-generierter Schlüssel. Ob das jetzt so viel bringt, da User-Zufall vs System-Zufall immernoch Zufall ist, bleibt auszudiskutieren 😉 Ergänzung: Es ist doch ein positiver Punkt, Computer-Zufallsgeneratoren haben nicht gerade den besten Ruf, hier nur ein Beispiel.
+threema-vs-telegram-threema-security-statusSichere Verbindungen zwischen 2 Teilnehmern werden durch sichere QR-Codes und deren Einscannen der zweiten Person erstellt. Damit kann keine Manipulation beim Erstellen des sicheren Chats erfolgen, da keine Datenübertragung übers Netz erfolgt. Die verschiedenen Sicherheitsstufen werden eindeutig visualisiert.
+Verschlüsselung mit Open Source Bibliothek NaCl, die als sicher gilt
+threema-vs-telegram-threema-security-pinEs kann eine PIN vergeben werden, die beim Öffnen der App nach einer bestimmten Zeit bzw. nach einem Neustart des Telefons eingegeben werden muss. Außerdem kann ein Hauptschlüssel definiert werden, mehr dazu in der hier.
+threema-vs-telegram-threema-security-backupEs können Backups erstellt werden. Diese enthalten die eigene ID, Chats, Kontakte und auf Wunsch auch die Mediendaten. Die Backups müssen mit einem Passwort mit mindestens 8 Zeichen verschlüsselt werden und liegen dann als ZIP Dateien auf dem Speichermedium.
#Hinzufügen neuer Kontakte via ID/Telefonnummer und QR Code von Hand. Die App hat nach dem Einverständnis des Nutzers Zugriff auf das Telefonbuch. Aber auch beim Verweigern des Zugriffs kann die App weiter benutzt werden. Kontaktdetails werden nur in pseudonymisierter Form abgespeichert.
#Laut AGB werden die Daten aus dem Adressbuch pseudonymisiert an die Threema Server übertragen.
Von der Verschlüsselungsbibliothek abgesehen 100% closed source, Kommunikation läuft über Schweizer Server. Der Entwickler sagte kürzlich: „Momentan haben wir keine konkreten Pläne für externe Audits; falls sich aber etwas mit einer geeigneten Instanz zu akzeptablen Bedingungen ergibt, sind wir nicht grundsätzlich abgeneigt.“ (Quelle) Das macht alles natürlich sehr skeptisch.
kostet 1,60€

threema-vs-telegram-telegram-icon

Telegram

threema-vs-telegram-threema-install

+kostenlos
+threema-vs-telegram-telegram-web-editionViele inoffizielle Apps für Windows, Mac, Linux, Chrome und Windows Phone. Wie Beispielsweise Webogram, ziemlich cool. Telegram merkt sogar, wenn Zugriffe außerhalb der App erfolgen und informiert sofort (siehe nächster Punkt). Das Open Source erfreut die Entwickler- und Fangemeinde und wird in Zukunft sicher noch mehr Apps, Widgets und Gadgets hervorbringen. Wobei es schwer zu urteilen ist, inwiefern die Sicherheit bei diesen Apps noch gewährleistet ist. Aber eine große Community ist eher ein Pluspunkt.
+threema-vs-telegram-telegram-account-access-notificationSollte Telegram einen Zugriff von außerhalb der App feststellen, wird direkt eine Nachricht an den Nutzer geschickt. Dieser hat über die Einstellungen die möglichkeit alle aktiven Verbindungen zu der eigenen Telefonnummer zu beenden.
+threema-vs-telegram-telegram-self-destruct-timerSelbstzerstörungsmechanismus in sicheren Chats für besonders kritische Nachrichten. Zerstört Nachrichten nach einer angegebenen Zeitspanne automatisch sowohl beim Sender, als auch beim Empfänger.
#Teilweise Open Source, mehr und mehr Code soll noch veröffentlicht werden. Also keine geheimen Hintertürchen, die auf Befehl irgendwelcher Regierungen unter dem Deckmantel irgendwelcher Geheimgesetze eingebaut werden können, ohne, dass es auffällt (ein wenig gutgläubig gedacht…). Da noch nicht komplett offen, bis jetzt ein neutraler Punkt.
#Verschlüsselung mit MTProto. AES256, RSA2048 und Diffie-Hellman, klingt für mich „sicher“, aber es gibt angeblich einige Probleme mit der Sicherheit. So zum Beispiel, dass der per SMS zugeschickte Bestätigungscode gar nicht eingegeben werden muss, was bei mir tatsächlich auch so war. Warum auch immer. $200k stehen aktuell als Belohnung aus, sollte jemand diesen Mechanismus knacken können. Kann also nicht als ganzer Pluspunkt angesehen werden.
#Kommunikation läuft über russische Server, ob das positiv oder negativ ist, kann jeder selber entscheiden
#Benutzer, die Telegram schon haben, stehen direkt in der Kontaktliste, alle nicht-Nutzer kann man einladen. Die App hat also Zugriffsrechte auf die Kontaktliste und das ohne die Zustimmung des Nutzers zu erfragen. Die Adressbuchdaten werden jedoch nicht an den Server übertragen.
Das Löschen des Profils mitsamt aller Daten soll nicht besonders transparent gestaltet sein. Die AGB und Datenschutzerklärung erläutern nicht eindeutig, welche Daten gelöscht werden und welche verbleiben, wenn man sein Profil löscht. Zudem gibt es eine Seite, die dem Deaktivieren/Löschen eines Accounts dient. Auf dieser steht aber immerhin: „Note that if you delete your account, all your messages, groups and contacts will be deleted beyond retrieval. This is a one-way trip.“. Negativer Punkt, da hier wohl zu wenig Klarheit herrscht.

Fazit

Ich hoffe niemand erwartet hier von mir eine eindeutige Entscheidung, einen Sieger, der ultimative Messenger: wenn doch, den gibt es nicht. Beide Apps haben ihre Vorzüge und Nachteile. Beide tragen immens dazu bei unsere Kommunikation sicherer zu gestalten. Welche App sich in Deutschland und weltweit besser behaupten wird, wird die Zeit zeigen. Solange kann jeder selber entscheiden, ob er eine der beiden Apps, beide oder gar keine nutzt.
Ich für meinen Teil nutze zum Zeitpunkt der Artikelveröffentlichung nur Telegram, bin aber kurz davor auch Threema zu kaufen.

Quellen: via, via, via

Datenschutz und Verschlüsselung sind große Themen zurzeit, seit der NSA Story wichtiger als je zuvor. In Zeiten von Whatsapp und Facebook wird trotzdem fröhlich weiter offen kommuniziert. Oftmals werden auch private, geheime oder sicherheitskritische Informationen in diesen Netzwerken verschickt, beispielsweise Bankdaten, Zugänge oder Passwörter.

Was nun aber tun, wenn man eine geheime Information schnell und einmalig an eine andere Person schicken muss?

OneTimeSecret.com! Diese Seite bietet einen unschätzbaren Service an, super einfach zu benutzen.
Informationen eingeben (bis zu 25.000 Zeichen sind möglich), ggf. ein Zugangsschlüssel („Passphrase“)eingeben, Link generieren lassen.
onetimesecret.com-generate-secret
Ist der Link erst einmal generiert kann die Information nicht mehr verändert werden. Mit Passphrases verschlüsselte Informationen werden nicht einmal mehr angezeigt.
onetimesecret.com-generated-secret-page
Tipp: speichert euch den Link dieser Seite. später könnt ihr auf dieser Seite erfahren, wann das Geheimnis abgerufen wurde.

Die Information kann nur ein einziges Mal über den generierten Link abgerufen werden. Danach wird sie direkt unwiderruflich gelöscht. Für Geheimnisse, die mit einer Passphrase verschlüsselt wurden, muss der Empfänger des Links natürlich auch die Passphrase erhalten.
onetimesecret.com-view-secret-reply

Wie gesagt kann der Ersteller des Geheimnisses mit dem gespeicherten Link nach dem Erstellen seines Links jederzeit abfragen, ob seine Information abgerufen wurde.
onetimesecret.com-generated-secret-recieved

Ich finde die Seite echt super praktisch und ebenso einfach zu benutzen. Ich werde sie bestimmt noch oft gebrauchen. Meine Empfehlung: niemals sensible Informationen in den heutigen Netzwerken oder Kommunikationswegen verteilen. Ein wenig paranoid könnte man eigentlich schon behaupten: Alles ist einsehbar 😉