Nachdem Facebook die Übernahme von WhatsApp bekannt gab , konnte man wunderbar einen Schneeballeffekt bewundern, denn vermehrt suchen sich Nutzer seitdem Alternativen. Spätestens während der WhatsApp-Downtime am Wochenende lief das Fass dann für viele über. “Sicher” und “verschlüsselt” soll es nun sein, allerdings wird das Thema viel zu oberflächlich betrachtet.
Besonders Threema und Telegram profitieren von dieser Situation, der Nutzerstrom war immens, besonders bei Telegram hatte man mit starken Problemen zu kämpfen, da sich teilweise bis zu 100 Nutzer pro Sekunde registrierten. Was mich an dieser ganzen Sache aber stört ist die Tatsache, dass man das Sicherheitsthema viel zu oberflächlich betrachtet. Sobald ein Messenger mit dem Stichwort “sicher” wirbt, wird er aktuell interessant. Dass vor allem die beiden genannten Messenger aber nicht “sicher” sind, entgeht vielen Nutzern, da eben besagte Oberflächlichkeit vorherrscht.
Telegram Messenger
Bei Telegram wirbt man damit, dass der Messenger verschlüsselt sei, darüber hinaus ist der Quellcode Open-Source. Letzteres ist in erster Linie sehr löblich und der erste Schritt, um prinzipiell überhaupt als “sicher” gelten zu dürfen. Nichtsdestotrotz zeigt diese Offenheit den Nutzern gegenüber aber auch die Problematik an Telegram, denn der Messenger ist schlichtweg nicht sicher.
Zunächst einmal sollte man wissen, dass Telegram Konversationen nicht per se verschlüsselt. Lediglich die Secure-Chats, die vom Nutzer selbst für jede neue Konversation ausgewählt werden müssen, werden verschlüsselt. Aber auch, wenn der Nutzer darauf achtet, ist Telegram nicht sicher, denn das Verschlüselungsprotokoll setzt auf Methoden, die das Prädikat “Sicherheit” nicht mehr verdienen. Beispielsweise wird SHA1 genutzt – bereits 2005 konnte man die Kollisionsberechnung drastisch vereinfachen und in den darauffolgenden Jahren wurde der Berechnungsaufwand immer weiter simplifiziert. Telegram verwendet also einen Standard, der bereits seit neun Jahren nicht mehr als sicher gilt.
Weitere Probleme im Bezug auf den Sicherheitsaspekt bei Telegram werden bei der Betrachtung der Verschlüsselung auffällig, beispielsweise werden Public-Keys nicht authentifiziert. Das sind nur zwei Probleme der Telegram-Verschlüsselung, die man (wie gesagt) auch erst manuell anstoßen muss, damit sie arbeitet. “Sicher” ist anders. Das Sicherheitsproblem wurde bei CryptoFails übrigens sehr gut verdeutlicht:
Threema
Der Messenger, der noch mehr Aufmerksamkeit bekam, als Telegram, ist definitiv Threema. Das schweizer Entwicklerteam wirbt mit einer End-To-End-Verschlüsselung, aber: Threemas Verschlüsselung ist Closed-Source, der Quelltext also nicht öffentlich einsehbar. Bereits per Definition gilt Threema somit nicht mehr als “sicher”, denn es kann nicht überprüft werden, ob die Verschlüsselung überhaupt als “sicher” eingestuft werden kann. Verschlüsselungen müssen unbedingt überprüft werden können, um auszuschließen, dass hier schlampig gearbeitet wurde. Im schlimmsten Fall kann man so z.B. nicht erfahren, ob die Entwickler eine backdoor, als ein Hintertürchen, eingebaut haben, um die Verschlüsselung zu umgehen. Wäre dies der Fall, wäre die komplette Verschlüsselung abermals hinfällig.
Sicherlich kann man auch sagen, dass Verschlüsselungen dann besser sind, wenn keiner weiß, wie sie im Detail funktionieren. Das aber ist wieder nur oberflächlich gedacht. Unter Crypto-Experten sagt man gerne sinngemäß: “Werfe der Verschlüsselung möglichst viele Gegner entgegen – hält sie das aus, ist sie sicher”. Überprüfen also beispielsweise 5.000 Crypto-Experten die Sicherheit der Verschlüsselung und geben ihr grünes Licht, kann man davon ausgehen, dass die Verschlüsselung auch stichfest ist. Andernfalls muss man sich darauf einlassen, den Entwicklern zu vertrauen und eben jenes Vertrauen ist beim Thema “Sicherheit” eine hinfällige Angelegenheit.
Generell weiß man also nicht allzu viel darüber, wie man bei Threema vorgeht. Ein weiteres Problem ist aber trotzdem bekannt, denn der PFS (Perfect Forward Secrecy) erfolgt bei Threema nur alle sieben Tage. PFS ist eigentlich dafür gedacht, Sitzungsschlüssel in kurzen Zeitabständen zu erneuern – sieben Tage sind aber sicherlich nicht als “kurzer Zeitabstand” einzustufen, weswegen das Prinzip von PFS ad absurdum geführt wird.
Nicht sicherer als WhatsApp
Threema und Telegram dürfen sich aktuell vor allem aus dem Grund über neue Nutzer freuen, weil die beiden Messenger als sicher gelten. Das aber ist nicht der Fall, beide sind per Definition unsicher. Überschlägt man das Ganze mal, tun sich Threema, Telegram und WhatsApp in diesem Bezug nicht wirklich viel, denn auch die Verschlüsselung von WhatsApp ist nicht Open-Source, darüber hinaus setzt man als Basis für die eigene Verschlüsselung auf RC4 (von dem angenommen wird, dass die NSA diesen Standard in Echtzeit brechen könnte).
Überhaupt sollte man sich die Frage stellen, wie sich z.B. Telegram finanziert. Die Entwickler sagen, dass es ein Nonprofit-Projekt sei, man also zumindest keinen Profit erwirtschaften möchte. Trotzdem stellt sich die Frage, wie man zumindest die laufenden Kosten decken möchte, die in Zukunft garantiert stark ansteigen werden. Hier heißt es von den Entwicklern seit jeher lediglich, dass man Genug Geld zur Verfügung habe – eine, wie ich finde, mehr als vage Aussage. Bei Threema ist die Situation ähnlich. Die Apps kosten einmalig 1,50 Euro und damit kommt man auch nicht weit, denn so muss man ständig neue Nutzer generieren, man spielt ein Wettrennen gegen die Kosten.
Der Unterschied?
Der Unterschied, den die Nutzer machen, ist ganz klar die Leitung von WhatsApp durch Facebook (die übrigens noch gar nicht behördlich genehmigt wurde). Für mich ist das allerdings ein fadenscheiniger und naiver Grund, urplötzlich den Messenger zu wechseln. WhatsApp hat lange Zeit komplett auf Verschlüsselung verzichtet und nutzt inzwischen eine, die an vielen Stellen kritisiert wird und dazu nicht überprüft werden kann.
Darüber hinaus stellt sich die Frage, was WhatsApp denn bisher mit den Nutzerdaten angestellt hat, ich gehe mal frecherweise davon aus, dass diese nicht einfach nur brach lagen. Ob die Nutzerdaten nun auch in Facebooks Hand liegen mögen, ist nicht weiter relevant – aus Prinzip vor allem dann nicht, wenn man gerade auf Facebook teilt, wie man nun bei Threema oder Telegram erreichbar ist oder welchen Messenger man denn von nun an nutzen solle.
Als hätte ich es herbeigerufen. Der erste fragt zurück, welchen Messenger er nun nutzen solle. Über Facebook. Merkste wat?
— Charles Engelken (@CharlesEngelken)
20. Februar 2014
Verschlüsselung ist wichtig, aber…
Es ist durchaus begrüßenswert, dass die Akquise von WhatsApp durch Facebook in offenbar vielen Nutzern ein Bedürfnis für Sicherheit weckt und, dass sich diese nun (für viele das erste Mal) überhaupt mit dem Thema auseinandersetzen. Einmal mehr wird aber deutlich, dass dieses Verhalten in erster Linie von Naivität bestimmt wird. Nur, weil “sicher” drauf steht, muss nicht “sicher” drin sein.
Ich möchte hier definitiv keinem absprechen, einen der genannten Messenger zu nutzen, denn das muss jeder für sich selbst entscheiden. Die eigene Entscheidung, so sie denn auf Threema oder Telegram fällt, dann aber in der Sicherheit zu begründen, ist letztlich naiv und schlichtweg falsch – am Ende des Tages tun sich WhatsApp, Threema und Telegram in diesem Punkt nicht viel. Meint man es tatsächlich ernst damit, auf mehr Sicherheit setzen zu wollen, sollte man sich im Vorfeld einhergehender informieren, denn die Möglichkeiten sind da. Als Beispiel sei hier nur Surespot genannt, ein Messenger mit Open-Source-Verschlüsselungsmethode und einem Finanzierungsmodell, der für das Versenden von Sprachnachricht 1,70 Euro per In-App-kauf kostet – das macht im Vergleich zu Telegram immerhin schonmal den Eindruck eines Finanzierungsmodells.
Welchen Messenger man aber auch nutzen möchte, am Ende des Tages gilt: Nachdenken, recherchieren und nicht einfach nur naiv der Masse folgen.
14 Bewertungen / Ø4.6
Pingback: Nach WhatsApp: Verschlüsselt heißt n...
Pingback: [Vorstellung/Diskussionen zu]Telegram - die bessere Alternative zu Whatsapp - Seite 10 - Android-Hilfe.de
Pingback: Threema - die wichtigsten Fragen - Seite 17 - Android-Hilfe.de
Pingback: WhatsApp-Konkurrenz: Auch Threema und Telegram sind nicht sicherer
Pingback: Whatsapp, Facebook, Sicherheit | blogarithmus
Pingback: Telegram – Mein Verschlüsselungs-Fail « Netroid