Sicher Chatten

Threema & Co.: Verschlüsselung allein reicht nicht für perfekten Messenger

Verschlüsselte Messenger sind der Trend der Stunde. Die perfekte Lösung ist derzeit aber noch nicht in Sicht. Wir zeigen Ihnen, welche WhatsApp-Alternativen überzeugen und welche Messenger dem wirklich sicheren Chatten schon sehr nahe kommen.
Von Hans-Georg Kluge
AAA
Teilen (1)

WhatsApp hatte in der Vergangenheit oft mit Sicherheitslücken zu kämpfen - der Datenschutz gilt trotz des Verzichts auf Werbung als niedrig. Dass Facebook WhatsApp für 19 Milliarden Dollar in Bargeld und Aktien gekauft hat, vergrößert die Sorgen der Nutzer: Wie sicher sind meine Daten? Wie privat sind meine Chats wirklich? Bleiben die Kosten auch künftig im Rahmen?

Threema, Telegram und Surespot - aber auch Line und Viber - gelten derzeit als die größten Gewinner unter den WhatsApp-Alternativen, denn viele Nutzer sehen sich - aufgeschreckt von Mark Zuckerberg - jetzt Alternativen an. Wir haben bereits einige Alternativen vorgestellt - heute widmen wir uns Messaging-Diensten, deren Kern die Sicherheit und die Verschlüsselung darstellen. Speziell über Datenschutz-Fragen informieren wir Sie in unserem Artikel Datenschutz der WhatsApp-Alternative Telegram als kritisch eingestuft.

Verschlüsselung: Open-Source für das Vertrauen

Verschlüsseltes Messaging mit Threema liegt im Trend. Doch wie sicher ist der Messenger wirklich?Verschlüsseltes Messaging mit Threema liegt im Trend. Doch wie sicher ist der Messenger wirklich? Ende-zu-Ende-Verschlüsselung ist die erste wichtige Voraussetzung für sicheres Chatten. Diese gelingt mit Hilfe asymmetrischer Algorithmen. Dennoch können Meta-Daten anfallen - um diese abzusichern, muss auf Verbindungsebene eine Verschlüsselung zum Einsatz kommen. Forward Secrecy sollte dabei aktiv sein: Diese Technologie verhindert, dass der verschlüsselte Datenstrom - wenn ihn ein Angreifer aufzeichnet - später zu dechiffrieren ist.

Verschlüsselung ist keine einfache Thematik, die sich in kürzester Zeit umsetzen ließe - viele Verschlüsselungsmethoden und -protokolle sind über Jahre hinweg in der Entwicklung gewesen und von Experten auf ihre Sicherheit überprüft. Das Chat-Protokoll XMPP und Off-the-Record-Messaging sind so ein Beispiel - allerdings ist diese Kombination für Smart­phones nicht optimal geeignet, da beide Clients gleichzeitig online sein müssen.

Open-Source-Projekte haben einen großen Vorteil: Der Quellcode ist öffentlich einsehbar - so können Programmierer und Krypto-Forscher einschätzen, ob die Implementierung Schwächen aufweist. Im Fall von Threema sind hier Bedenken aufgetaucht, denn die Entwickler geben den Quellcode vorerst nicht frei. Closed-Source muss aber nicht unbedingt schlechter sein. Nur: Ohne eine unabhängige Überprüfung der Programmierung können Nutzer bestenfalls dem Unternehmen vertrauen, dass es seine Versprechen hält und keine Hintertüren für Geheimdienste offen lässt.

Der Blogger Joshua Lund kommt zu dem Ergebnis, es gebe derzeit keinen optimalen Messenger. Zwar verschlüsselt Textsecure sehr gut und ist Open-Source, dafür fehlt dem Messenger eine iOS-Version. Telegram verfüge über eine schwache, zudem nur optionale Ende-zu-Ende-Verschlüsselung - Chatsecure und surespot sollen punktuelle Schwächen haben. Silent Circle ist teuer und Closed-Source - für Threema gilt letzteres. Vor dem BBM warnt er übrigens mit gutem Grund: Dieser Messenger verschlüsselt Nachrichten nicht Ende-zu-Ende. Über den in unserem Forum und auch schon in unseren Berichten erwähnten Dienst MyEnigma sagt Lund, hier lägen keinerlei Informationen zur Verschlüsselungstechnik vor.

Ohne Vertrauen geht es nicht

Open-Source ist allerdings kein alleiniger Heilsbringer - letztlich kommt auch hier eine Portion Vertrauen hinzu: Nicht nur der Quelltext muss überprüft sein. Auch die daraus erstellte ausführbare Software muss dann dem entsprechen - wer garantiert und kann überprüfen, dass im Appstore auch tatsächlich die unverfälschte App eingestellt ist? Wer auf maximale Sicherheit Wert legt, kommt daher nicht darum herum, eigene Server zu betreiben und die nötige Client-Software aus dem überprüften Quellcode eines Open-Source-Projektes selbst zu erstellen. Nicht einmal ein Server-Standort innerhalb der EU oder der Schweiz ist ein Garant für absoluten Datenschutz.

Für Verbraucher ist dieser Aufwand ohnehin meist nicht zu bewältigen. Closed-Source muss trotzdem nicht zwangsläufig unsicher sein - ohne Vertrauen zum Anbieter geht es hier aber nicht. Auch an anderer Stelle ist die Sicherheit gefährdet: Auf Betriebssystem-Ebene sind weitere Angriffe denkbar. Hier helfen nur Speziallösungen wie das PrivatOS des Blackphones, welches auf einem angepassten Android-Kernel basiert. Dort kommt übrigens die Sicherheitslösung von Silent Circle für verschlüsselte Textnachrichten zum Einsatz.

Nicht zu unterschätzen: Der Komfort

Sicherheit und Komfort - wie kommt das zusammen? Beispiel surespot: Nach dem ersten Start informiert eine bildschirmfüllende Texttafel über diverse Aspekte der App - kaum benutzerfreundlich. Kontakte synchronisiert surespot gar nicht. Das hat einerseits einen Datenschutzvorteil, kommt aber kaum an die Einfachheit von WhatsApp & Co. heran. Threema geht hier den Mittelweg: Kontakte synchronisieren ist optional, optimale Sicherheit ist jedoch nur dann gewährleistet, wenn beide Chatpartner ihre Verschlüsselungsinformationen händisch via QR-Code austauschen.

Threema verfügt über Apps für iOS und Android. Blackberry (10), S40 oder Windows Phone: Fehlanzeige. Auf diesen Systemen sieht es überhaupt schlecht aus in puncto verschlüsseltes Chatten. Auch Messenger wie Textsecure oder surespot sind auf diesen Plattformen nicht erhältlich.

Fazit: Perfekte Lösung derzeit nicht in Sicht

Zusammenfassend ist aktuell deutlich: Der perfekte Ersatz ist Threema nicht - das liegt vor allem an der Tatsache, dass der Quellcode nicht überprüft ist. Dafür punktet der Messenger aus der Schweiz mit hohem Komfort. Textsecure dürfte dem Ideal eines komfortablen und sicheren Messengers schon recht nahe kommen - jedenfalls setzt das Community-Android Cyanogenmod auf diesen Dienst.

Teilen (1)

Mehr zum Thema Verschlüsselung