Wie sicher ist Threema?
erschienen in der Kategorie Android, am 21.02.2014
Für viele Smartphone-Nutzer ist die kostenlose Chatanwendung "WhatsApp" längst zum allgegenwärtigen, kostenlosen SMS-Ersatz geworden. Über 450 Millionen Nutzer hat der Service, welcher seit vorgestern Facebook gehört.
Datenschützer zeigen sich hingegen von WhatsApp zumeist wenig begeistert. Immer wieder fiel die Smartphone-App in der Vergangenheit durch massive Sicherheitslücken auf.
Der Verkauf von WhatsApp an Facebook hat nicht nur die Entwickler der Software über Nacht zu Multimilliardären gemacht, er hat auch dafür gesorgt, dass momentan alle über WhatsApp reden. Viele denken bei dem Namen Facebook automatisch an das Thema Datenschutz. Manch ein WhatsApp-Nutzer hat sich vielleicht in der Vergangenheit bewusst von der "Datenkrake Facebook" ferngehalten und ist nun wenig begeistert darüber, Mark Zuckerberg doch noch in die Fänge gegangen zu sein.
Die Folge dieser Entwicklung ist, dass sich jetzt viele Nutzer nach Alternativen umsehen. Zumeist landet dann die App "Threema" auf ihren Smartphones. Sie gilt als sicherer als WhatsApp und die massive Medienberichterstattung der letzten Tage hat dazu geführt, dass auch diese Anwendung zurzeit in aller Munde ist.
Um diese Frage zu beantworten, sollte man zunächst einmal WhatsApp und Threema vergleichen. Welche Gemeinsamkeiten und vor allem welche Unterschiede gibt es zwischen den beiden Smartphone-Anwendungen?
Nun, die wesentlichste Gemeinsamkeit liegt auf der Hand: Beide Programme sind Chat-Anwendungen. Der für die meisten Nutzer wohl wesentlichste Unterschied: WhatsApp ist im ersten Jahr kostenlos, Threema kostet sofort Geld (1,60€ im Google Play Store, bzw. 1,80€ in Apples App Store).
Threema wird zumeist damit beworben, dass die Kommunikation verschlüsselt abläuft. Zwar war dies früher bei WhatsApp nicht der Fall, doch der Hersteller hat diesbezüglich nachgebessert - auch WhatsApp versendet verschlüsselte Nachrichten. Allerdings liegt Threema bei diesem Thema dennoch eine Nasenlänge vorn, denn es findet eine Ende-zu-Ende-Verschlüsselung statt. (Das heißt der Nachrichtentext wird auf dem Handy des Absenders verschlüsselt und erst auf dem Handy des Empfängers wieder entschlüsselt.) Bei WhatsApp ist dies nicht der Fall, hier werden die Nachrichten beim Betreiber, also bei Facebook, unverschlüsselt weiterverarbeitet und nur der Kommunikationsweg zwischen dem Nachrichtensender und dem Server, bzw. dem Server und dem Empfänger, wird chiffriert.
Natürlich macht dies Threema sicherer als WhatsApp, doch sicherer ist nicht gleich sicher. Sowohl WhatsApp als auch Threema sind proprietäre Anwendungen. Im Gegensatz zu Open-Source-Programmen wird der Quellcode nicht veröffentlicht und kann folglich auch nicht von unabhängigen Programmierern auf Sicherheitslücken oder andere Probleme überprüft werden. Gleiches gilt für die Netzwerkarchitektur beider Dienste. Im Mittelpunkt stehen immer herstellereigene Server, welche Nachrichten und Benutzerdaten weiterverarbeiten. Niemand weiß genau, was auf diesen Rechnern passiert und welche Informationen sie noch erfassen.
Aus diesen Tatsachen folgt, dass man der Kommunikation via Threema keineswegs voll vertrauen kann. Möglicherweise beinhaltet die Software gravierende Sicherheitslücken, mit denen man auch die Ende-zu-Ende-Verschlüsselung aushebeln kann. Es ist auch vorstellbar, dass der Hersteller einen "Master-Key" in der Hinterhand hat, mit dem er selbst, oder vielleicht ein Geheimdienst, alle Nachrichten entschlüsseln kann. (Zwar ist dies in der verwendeten, quelloffenen "NaCl"-Crypto-Library nicht vorgesehen, aber ein böswilliger Entwickler könnte da problemlos nachbessern.)
All dies kann man nicht wissen und es sind zugegebenermaßen recht böswillige Vorstellungen. Doch bei einer Closed-Source-Software kann eben nichts ausgeschlossen werden.
Fakt ist auch, dass durch die NSA-Enthüllungen ein größerer Markt für Kryptografie entstanden ist. Viele neue und teils auch ältere Firmen versuchen daraus Kapital zu schlagen und Vieles von dem, was als "sicher" gehandelt wird, ist es eben nicht. Worte wie "Verschlüsselung", "Kryptografie" und "Datensicherheit" sind zum Marketing-Jargon mutiert und stellen keine Vertrauensgrundlage dar, eine quelloffene Software-Entwicklung hingegen umso mehr.
Threema wirkt unterm Strich vertrauenswürdiger als WhatsApp, auch weil die Schweizer Server des Unternehmens zumindest physisch für die NSA nicht ganz so leicht zu erreichen sind, wie die von WhatsApp. (Allerdings sei erwähnt, dass auch in der Schweiz fleißig Daten gesammelt werden und dass man aufgrund vieler bekannt gewordener Fakten der letzten Monate davon ausgehen muss, dass die NSA auch problemfrei an diese Informationen herankommt.)
Wirklich vertrauen kann man also weder Threema, noch WhatsApp. Zum Austausch sensibler Informationen sollte man deshalb andere (am besten Smartphone-unabhängige) Kommunikationswege nutzen.
Und überhaupt sollte man sich überlegen, ob man derartige, monopolistisch angelegte Software-Projekte benutzen und somit unterstützen möchte. Beide Programme setzen auf ihre eigenen Protokolle und sperren somit andere Software-Hersteller aus. Würde man hingegen das offene Protokoll XMPP (Jabber) verwenden, über das sich ebenfalls eine verschlüsselte Verbindung abwickeln lässt, wäre ein softwareübergreifende Kommunikation möglich.
Zugegebenermaßen sind beide Anwendungen noch ausbaufähig und könnten teils intuitiver gestaltet werden. Man kann diese Entwicklung aber vorantreiben, indem man die Apps jetzt schon benutzt.
Datenschützer zeigen sich hingegen von WhatsApp zumeist wenig begeistert. Immer wieder fiel die Smartphone-App in der Vergangenheit durch massive Sicherheitslücken auf.
Der Verkauf von WhatsApp an Facebook hat nicht nur die Entwickler der Software über Nacht zu Multimilliardären gemacht, er hat auch dafür gesorgt, dass momentan alle über WhatsApp reden. Viele denken bei dem Namen Facebook automatisch an das Thema Datenschutz. Manch ein WhatsApp-Nutzer hat sich vielleicht in der Vergangenheit bewusst von der "Datenkrake Facebook" ferngehalten und ist nun wenig begeistert darüber, Mark Zuckerberg doch noch in die Fänge gegangen zu sein.
Die Folge dieser Entwicklung ist, dass sich jetzt viele Nutzer nach Alternativen umsehen. Zumeist landet dann die App "Threema" auf ihren Smartphones. Sie gilt als sicherer als WhatsApp und die massive Medienberichterstattung der letzten Tage hat dazu geführt, dass auch diese Anwendung zurzeit in aller Munde ist.
Threema: Wirklich besser als WhatsApp? Ein Vergleich.
Als Informatiker drängt sich mir bei all dem Hype nur eine Frage auf: Ist der Trubel um Threema berechtigt oder stolpert der ahnungslose Handynutzer hier nur von einem Übel zum nächsten?Um diese Frage zu beantworten, sollte man zunächst einmal WhatsApp und Threema vergleichen. Welche Gemeinsamkeiten und vor allem welche Unterschiede gibt es zwischen den beiden Smartphone-Anwendungen?
Nun, die wesentlichste Gemeinsamkeit liegt auf der Hand: Beide Programme sind Chat-Anwendungen. Der für die meisten Nutzer wohl wesentlichste Unterschied: WhatsApp ist im ersten Jahr kostenlos, Threema kostet sofort Geld (1,60€ im Google Play Store, bzw. 1,80€ in Apples App Store).
Threema wird zumeist damit beworben, dass die Kommunikation verschlüsselt abläuft. Zwar war dies früher bei WhatsApp nicht der Fall, doch der Hersteller hat diesbezüglich nachgebessert - auch WhatsApp versendet verschlüsselte Nachrichten. Allerdings liegt Threema bei diesem Thema dennoch eine Nasenlänge vorn, denn es findet eine Ende-zu-Ende-Verschlüsselung statt. (Das heißt der Nachrichtentext wird auf dem Handy des Absenders verschlüsselt und erst auf dem Handy des Empfängers wieder entschlüsselt.) Bei WhatsApp ist dies nicht der Fall, hier werden die Nachrichten beim Betreiber, also bei Facebook, unverschlüsselt weiterverarbeitet und nur der Kommunikationsweg zwischen dem Nachrichtensender und dem Server, bzw. dem Server und dem Empfänger, wird chiffriert.
Natürlich macht dies Threema sicherer als WhatsApp, doch sicherer ist nicht gleich sicher. Sowohl WhatsApp als auch Threema sind proprietäre Anwendungen. Im Gegensatz zu Open-Source-Programmen wird der Quellcode nicht veröffentlicht und kann folglich auch nicht von unabhängigen Programmierern auf Sicherheitslücken oder andere Probleme überprüft werden. Gleiches gilt für die Netzwerkarchitektur beider Dienste. Im Mittelpunkt stehen immer herstellereigene Server, welche Nachrichten und Benutzerdaten weiterverarbeiten. Niemand weiß genau, was auf diesen Rechnern passiert und welche Informationen sie noch erfassen.
Aus diesen Tatsachen folgt, dass man der Kommunikation via Threema keineswegs voll vertrauen kann. Möglicherweise beinhaltet die Software gravierende Sicherheitslücken, mit denen man auch die Ende-zu-Ende-Verschlüsselung aushebeln kann. Es ist auch vorstellbar, dass der Hersteller einen "Master-Key" in der Hinterhand hat, mit dem er selbst, oder vielleicht ein Geheimdienst, alle Nachrichten entschlüsseln kann. (Zwar ist dies in der verwendeten, quelloffenen "NaCl"-Crypto-Library nicht vorgesehen, aber ein böswilliger Entwickler könnte da problemlos nachbessern.)
All dies kann man nicht wissen und es sind zugegebenermaßen recht böswillige Vorstellungen. Doch bei einer Closed-Source-Software kann eben nichts ausgeschlossen werden.
Fakt ist auch, dass durch die NSA-Enthüllungen ein größerer Markt für Kryptografie entstanden ist. Viele neue und teils auch ältere Firmen versuchen daraus Kapital zu schlagen und Vieles von dem, was als "sicher" gehandelt wird, ist es eben nicht. Worte wie "Verschlüsselung", "Kryptografie" und "Datensicherheit" sind zum Marketing-Jargon mutiert und stellen keine Vertrauensgrundlage dar, eine quelloffene Software-Entwicklung hingegen umso mehr.
Threema wirkt unterm Strich vertrauenswürdiger als WhatsApp, auch weil die Schweizer Server des Unternehmens zumindest physisch für die NSA nicht ganz so leicht zu erreichen sind, wie die von WhatsApp. (Allerdings sei erwähnt, dass auch in der Schweiz fleißig Daten gesammelt werden und dass man aufgrund vieler bekannt gewordener Fakten der letzten Monate davon ausgehen muss, dass die NSA auch problemfrei an diese Informationen herankommt.)
Wirklich vertrauen kann man also weder Threema, noch WhatsApp. Zum Austausch sensibler Informationen sollte man deshalb andere (am besten Smartphone-unabhängige) Kommunikationswege nutzen.
Und überhaupt sollte man sich überlegen, ob man derartige, monopolistisch angelegte Software-Projekte benutzen und somit unterstützen möchte. Beide Programme setzen auf ihre eigenen Protokolle und sperren somit andere Software-Hersteller aus. Würde man hingegen das offene Protokoll XMPP (Jabber) verwenden, über das sich ebenfalls eine verschlüsselte Verbindung abwickeln lässt, wäre ein softwareübergreifende Kommunikation möglich.
Open Source Chat Software für Smartphones
Wer nach Alternativen zur Alternative sucht, dem seien die Programme "ChatSecure" und "surespot" empfohlen. Beide Programme sind quelloffen, kostenlos und sowohl für Android als auch für iOS erhältlich. ChatSecure setzt das gerade angesprochene Konzept des (via OTR) verschlüsselten XMPP-Nachrichtenverkehrs um, surespot nutzt hingegen ebenfalls sein eigenes Nachrichtenformat.Zugegebenermaßen sind beide Anwendungen noch ausbaufähig und könnten teils intuitiver gestaltet werden. Man kann diese Entwicklung aber vorantreiben, indem man die Apps jetzt schon benutzt.
Geschnatter
18 Kommentare, selbst mitschnattern
Heinz, am 21.02.2014 um 19:25 Uhr
"Es ist auch vorstellbar, dass der Hersteller einen "Master-Key" in der Hinterhand hat"
Wozu brauche ich als Betreiber(Thr.) einen Generalschlüssel, wenn ich das Schlüsselmanagement mache?
Wozu brauche ich als Betreiber(Thr.) einen Generalschlüssel, wenn ich das Schlüsselmanagement mache?
Gyges, am 21.02.2014 um 19:38 Uhr
Hi,
sehr schöner Artikel, danke!
Hier noch ein lohnenswerter Tipp zum Weiterlesen:
http://missingm.co/2014/02/
Ich persönlich habe mich nun auf Jitsi eingeschossen (Achtung, ist noch Alpha und nur für Android verfügbar), da ich es schon lange auf dem Desktop als Skype-Ersatz nutze und sehr zufrieden bin.
sehr schöner Artikel, danke!
Hier noch ein lohnenswerter Tipp zum Weiterlesen:
http://missingm.co/2014/02/
Ich persönlich habe mich nun auf Jitsi eingeschossen (Achtung, ist noch Alpha und nur für Android verfügbar), da ich es schon lange auf dem Desktop als Skype-Ersatz nutze und sehr zufrieden bin.
André, am 21.02.2014 um 19:45 Uhr
Guter Artikel, aber ständige Werbung im Beitrag geht echt gar nicht. Nutze ungern Werbeblocker und klicke auch gerne mal, aber im Beitrag ist das massiv störend, zumal das mehrfach hier der Fall ist.
Antwort: Hallo André, du kannst die Werbung hier komplett abschalten.
Alex, am 22.02.2014 um 00:08 Uhr
Das einzig vernünftige ist, keine der apps zu benutzen.
Lioman, am 22.02.2014 um 00:12 Uhr
OTR hat nur das Problem, dass zum Schlüsselaustausch beide online sein müssen. Das ist leider nicht immer gegeben. Dazu kommt, dass in anderen Programmen, hässliche Nachrichten ankommen, falls diese nicht ein OTR plugin installiert haben.
Manuel, am 22.02.2014 um 00:23 Uhr
Es gibt ja nicht nur OTR. Auch auf Basis von PGP und anderen anerkannten Kryptoverfahren kann man was machen. Hauptsache ist, dass das Verfahren bekannt ist, alles andere ist bei Verschlüsselungsverfahren untragbar.
Manuel, am 22.02.2014 um 00:26 Uhr
@Heinz: Um es dritten und dir selbst leichter zu machen oder um an Schlüssel zu gelangen, die nie übertragen wurden (siehe Diffie Hellman Key Exchange).
Es gelten die Regelungen der Datenschutzerklärung.