Datenschutz bei mobilen Messengern Teil 2 – Warum Threema keine sichere Alternative zu WhatsApp ist

CC-BY weneverlookup.com

Im ersten Teil unseres Artikels sind wir auf die elementaren Grundlagen der sicheren Messenger eingegangen, haben gezeigt, wie Verschlüsselungen funktionieren und welche Anforderungen ein Messenger haben sollte, um wirklich als sicher bezeichnet werden zu können.

In diesem Teil möchten wir daraus die medienpädagogischen Konsequenzen ziehen und auch ganz praktisch auf wirklich sichere Alternativen blicken.

WARUM THREEMA KEINE GUTE WAHL IST

An Threema kann man beispielhaft sehr gut sehen, was passieren könnte, wenn die im ersten Artikel genannten Kriterien nicht erfüllt werden. Threema ist closed-source, eine sichere Verschlüsselung der Nachrichten ist eine reine Behauptung der Firma, diese kann niemand überprüfen. Genauso gut ist es möglich, das jede Kommunikation auch durch die Betreiber und Weitere mitgelesen werden (z.B. aufgrund geheimer Vereinbarungen mit dem Schweizer Nachrichtendienst – vor Snowden konnte man ein solches Szenario noch als Verschwörungstheorie abtun, wer würde das jetzt noch pauschal ausschließen?). Egal an welcher Stelle ein Konzept unsicher ist, es könnte dazu führen, das alle Daten – evtl. auch rückwirkend auf Jahre – entschlüsselt und ausgewertet werden. Das Interesse eines zukünftigen Käufers ist potentiell sehr groß; das Facebook wieder einen großen Konkurennten vom Markt kauft, ist zumindest sehr wahrscheinlich. Alle vermeintlichen Vorteile des Umstiegs von WhatsApp zu Threema wären vollständig obsolet.

Selbst wenn die Verschlüsselung nicht geknackt wird, sind bei einem zentralen Serverkonzept wie dem bei Threema zahlreiche spannende Daten vorhanden, auf die es Käufer absehen können. Telefonbücher, Kontaktdaten, Meta-Informationen zu Beziehungen usw. – wobei es mit Jabber nur ein dezentrales Angebot auf dem Markt gibt, deswegen möchten wir dieses „Feature“ als nice-to-have deklarieren.


SICHERHEIT IST RELATIV ZUM SCHUTZBEDÜRFNIS

Ausserdem ist es wichtig, zu verstehen, das Sicherheit immer relativ zum eigenen Schutzbedürfnis ist. Ein Argument von Technikern ist immer wieder, das man sich bei Smartphones generell keine Hoffnung auf Sicherheit machen darf, da die Betriebssysteme schon eine Gefahr darstellen, die darauf laufenden Apps also gar nicht sicher sein können. Das mag stimmen, wenn man auf ein Sicherheitslevel „ich gegen Geheimdienste“ abzielt. Dagegen kann sich ein Laie und selbst ExpertInnen nicht/kaum dauerhaft schützen, unbestritten.

Das Sicherheitslevel „ich gegen massenhafte Ausspähung durch Staaten und privatwirtschaftliche Interessen“ jedoch ist mit ein wenig Auseinandersetzung mit dem Thema und dem Bewußtsein im Alltag zu erreichen. Gleichzeitig sollte man nicht dem Irrglauben erliegen, das Sicherheit und Privatsphäre ohne Aufwand zu bekommen sind – Sicherheitstechnologie wird weder „unsichtbar“, wie gerne gefordert wird, noch genauso leicht zu bedienen wie unsichere Alternativen: Wer Sicherheit möchte, wird dafür Aufwand betreiben müssen. Dieser Aufwand sollte möglichst gering sein, das ist Anforderung an die Entwickler. Die Notwendigkeit der Auseinandersetzung zu erklären, wird Aufgabe der Medienpädagogik sein und bleiben.


MEDIENPÄDAGOGISCHE KONSEQUENZEN

  • wir müssen uns (weiterhin) mit den technologischen Grundlagen auseinander setzen, um kompetente und umsetzbare Empfehlungen geben zu können
  • unabhängig vom genutzten Dienst oder Messenger muss die Sensibilität für öffentliche und private Kommunikation gestärkt werden, bei Kindern, Jugendlichen und natürlich auch Erwachsenen
  • das allgemein gewachsene Interesse an herrschaftsfreien Technologien sollten wir nutzen, um eine an den Interessen der Menschen ausgerichtete Netzpolitik zu gestalten
  • es sollten stets persönliche Möglichkeiten des Schutzes aufgezeigt, aber auch die Notwendigkeit politischen Engagements verdeutlicht werden

FREIE ALTERNATIVEN AUCH BEI DER KONTAKT-SYNCHRONISATION

Ein weiterer wichtiger Punkt neben der Wahl der Apps ist der persönliche Umgang mit der Kontakt- und Kalendersynchronisation der Smartphones. Sich einen verschlüsselten Messenger zu besorgen, damit die Kontakte in Sicherheit sind, gleichzeitig aber das Adressbuch mit Google (Android),  Facebook oder der iCloud (Apple) zu synchronisieren ist schon ein Widerspruch in sich. Das bedeutet natürlich nicht, dass wir auf den Komfort des Datenabgleiches verzichten müssen, sondern vielmehr freie Alternativen im Blick haben sollten, wie z.B. OwnCloud.


WELCHE APP SOLL ICH JETZT INSTALLIEREN?

„Leider gibt es auf diese Frage nicht die eindeutige Antwort, die wir gerne geben würden.“ – so stand es bis gestern noch im Artikel. Doch zum Glück ist das Feld der Messenger die letzten Tage sehr dynamisch und ein Anbieter, der hoffnungsvoll, aber noch nicht so weit mit seinem Konzept war, hat eine neue Version veröffentlicht. Gerade jetzt ist der perfekte Zeitpunkt, denn eine so breite Wechselstimmung gibt es nur sehr selten. Auch hat kaum jemand Lust, in ein paar Wochen oder Monaten schon wieder den Messenger zu wechseln. Aktuell fast alle Apps oder Sicherheitskonzepte haben (kleinere) Probleme – entweder ist die Verschlüsselung schlecht, schlecht umgesetzt oder falsch konzipiert. Oder das Sicherheitskonzept ist sehr gut, aber die App und die Usability lassen noch zu wünschen übrig oder die App ist nur für ein mobiles OS verfügbar. Sehr ausführlich und technisch kompetent geht dieser Artikel darauf ein (alternativ in deutsch und kompakter dieser Artikel).
Ganz konkret erscheinen unserer Meinung nach aktuell die folgenden Systeme besonders beachtenswert:

  • XMPP/Jabber

Seit mehreren Monaten testen wir selbst Lösungen und vergleichen Sicherheitskonzepte. Bisher war für uns die aussichtsreichste Lösung XMPP/jabber mit OTR-Verschlüsselung, da sie sowohl alle must-haves als auch die good-to-haves bedient. XMPP ist ein seit vielen Jahren etabliertes Protokoll im Desktopbereich. Für mobile Geräte ist es nicht ganz optimal, da es nicht auf die Minimierung von Akkuverbrauch und Datenmenge optimiert ist. Das besondere an XMPP: Es gibt nicht nur einen zentralen Server, sondern sehr viele von unterschiedlichen Betreibern (sehr ähnlich dem E-Mail-Konzept). Dennoch können die Nutzer der einzelnen Server miteinander kommunizieren – ein vorbildliches und das zukunftssicherste Konzept. Es gibt zahlreiche unterschiedliche Clients, aber alle Mobilversionen haben mehr oder weniger große Schwächen. Sowohl für Android als auch iOS gibt es z.B. ChatSecure, dass zwar gut benutzbar, aber im Moment noch recht fehleranfällig ist (gelegentliche Abstürze, fehlerhafte Anzeige des Online-Status der Kommunikationspartner, was insbesondere hinsichtlich der Verwendung von OTR ungünstig ist).

  • Telegram

Telegram wurde vom Gründer der russischen Facebook-Variante VK ins Leben gerufen. Es sieht nahezu genauso aus wie WhatsApp. Leider ist es im Moment nicht vollständig Open Source und Krypto-Experten kritisieren, dass Telegram bei der Verschlüsselung von Standardverfahren abweicht und eigene, fast schon obskure Wege geht. Dies könnte Angriffe auf die Verschlüsselung sehr erleichtern. Die End-to-End-Verschlüsselung muss zudem manuell eingeschaltet werden und ist nicht sehr intuitiv in der Handhabung, was in der Praxis wahrscheinlich dazu führt, dass die große Masse der Benutzer sie nicht verwendet. Telegram verzeichnet gerade einen großen Zuwachs an Benutzern, was zum Erreichen der „kritischen Masse“ hilfreich ist, bei der sich der Großteil der Anwender zu einem Wechsel entschliesst, weil die ganzen Kontakte auch da sind.

  • Surespot

Die Verschlüsselung ist bei Surespot an sich gut implementiert, leider kann man sich offenbar im Moment noch nicht hundertprozentig darauf verlassen, dass eine einmal gesicherte End-to-End-Verschlüsselung dauerhaft sicher bleibt. Die Entwickler arbeiten aber an dem Problem. Obwohl es sehr gut benutzbar ist, fristet Surespot im Moment eher ein Nischendasein.

  • TextSecure

TextSecure gibt es schon lange und es hat kürzlich wegen der Integration als Standard-SMS-App in der alternativen Android-Firmware Cyanogenmod (ca. 10 Millonen Nutzer!) einen enormen Verbreitungszuwachs erlebt, was ebenfalls der Erreichung der „kritischen Masse“ sehr dienlich ist. Bis jetzt hat TextSecure nur SMS verwendet, also die Nachrichten nicht über den Datenkanal gesendet. Aber gerade eben – vorgestern – ist TextSecure in einer neuen Version erschienen, die es in sich hat: Es kann jetzt sowohl per SMS als auch über den Datenkanal senden, wobei die Datenkanal-Nachrichten immer automatisch End-to-End verschlüsselt sind (das machen nur wenige andere Lösungen so).

SMS-Nachrichten werden logischerweise nur dann verschlüsselt, wenn der Empfänger auch TextSecure-Benutzer ist. Die Verschlüsselung wurde von namhaften Krypto-Experten designed. Eine echte Besonderheit: TextSecure bietet eine OTR-ähnliche Forward Secrecy – Lösung, aber diese erfordert nicht, dass beide Kommunikationspartner gleichzeitig online sind! Desweiteren wurde die Oberfläche überarbeitet und ist jetzt sehr intuitiv. Es gibt eine Gruppenchat-Funktion und auch Bilder, Sound- und Videodateien können übertragen werden. Da die Kommunikationspartner über ihre Telefonnummer ausgewählt werden, muss man die Kontakte nicht manuell hinzufügen. Aber das Adressbuch wird nicht automatisch komplett an den Server gesendet. Erst wenn man jemandem aus seinem Adressbuch schreibt, wird seine Nummer übertragen, was aber langfristig wohl den gleichen Effekt hat. Der Betreiber macht sich jedoch ausführlich und kompetent über das Missbrauchspotential Gedanken, was man als ein gutes Zeichen in Punkto Vertrauenswürdigkeit sehen könnte. TextSecure gibt es im Moment nur für Android, aber eine iOS-Version soll sehr bald erscheinen.

Eigentlich wollten wir keine deutliche Empfehlung aussprechen, sondern den Leser selbst entscheiden lassen, aber TextSecure macht es einem schwer, es nicht zu empfehlen. Das einzige größere Manko ist, dass es (wie alle anderen Lösungen auch, außer XMPP) auf einen zentralen Server zur Vermittlung setzt – und sich die iOS-User noch ein paar Tage gedulden müssen.


ZUSAMMENGEFASST KÖNNEN WIR ALSO SAGEN

  • Sicherheit gibt es nicht zum Nulltarif, sowohl die persönliche Auseinandersetzung als auch der tägliche Umgang entscheiden hier immer wieder neu über eine überwachungsfreie Kommunikation
  • nur durch eine große, vernetzte Community aus AktivistInnen, Netzpolitisch Aktiven, InformatikerInnen, MedienpädagogInnen uvm. werden wir erfolgreich das große Thema unserer Zeit – Überwachung – bewältigen
  • jedes System ist veränderbar – zahlreiche große Communities sind bereits auch wieder verschwunden, deswegen lohnt es sich immer, nach besseren Lösungen zu suchen und diese voran zu treiben

 

Dies ist ein Beitrag von

Daniel Seitz, Medienpädagoge bei mediale pfade.de – Agentur für Medienbildung und Vorstandsmitglied der GMK – Gesellschaft für Medienpädagogik und Kommunikationskultur ,

Christian Ilin, Diplom-Informatiker (FH) und Betriebssystem-Entwickler,

Tobias Albers-Heinemann, Referent für Medienbildung ; Twitter: @albersheinemann

Dieser Artikel steht unter der CC BY-SA 3.0 Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 international . Der Name des Autors soll wie folgt genannt werden: Daniel Seitz für medienpaedagogik-praxis.de
Daniel Seitz Kurzbio
lebt in Berlin, hat Mediale Pfade gegründet und brennt für eine freie, politisierte Gesellschaft, die ihre Verantwortung wahrnimmt. Als Medienpädagoge ist er überzeugt, dass Medienbildung einen wichtigen gesellschaftlichen Anteil zu politischer Teilhabe, Selbstentfaltung und Kreativität leisten kann.

39 Kommentare

  1. Christian am 27.02.2014:

    Ich finde Ihren Beitrag sehr schlecht recherchiert.
    1) Threema verwendet den anerkannten und von Sicherheitsexperten geprüften Open Source Code NaCl zur Verschlüsselung. Es stimmt, dass nicht der komplette Source Code veröffentlicht ist, wobei fsirerweise dazu gesagt werden muss, dass bdpw. Telegram such nur Teile veröffentlicht hat. Die Verschlüsselung ist auch prüfbar, es gibt eine spezielle Implementierung, die es erlaubt die gesendeten Daten zu analysieren.
    2) Threema speichert KEINE Telefonbücher oder Meta-Informationen auf deren Server. (Im Gegensatz zu Telegram oder gar Whatsapp). Somit kann auch im Nachhinein nichts am Server gefunden werden! Es werden keine Protokolle über Gesprächsverläufe aufgezeichnet (Thema Vorratsdatenspeicherung), da man in der Schweiz dazu nicht verpflichtet ist!
    3) Nach der Zustellung einer Nachricht bzw. nach dem Ablauf von 14 Tagen werden die verschlüsselzen Nachrichten vom Server unwiderbringlich gelöscht.
    4) Selbst wenn auf den Server von Threema eingebrochen werden würde, trifft man dort nur verschlüsselte Daten an, die nicht entschlüsselt werden können, da Threema immer End to End Verschlüsselung verwendet. Der notwendige Schlüssel liegt nur am Empfängergerät und kann nicht ausgelesen werden!

    Sehr verwunderlich ist für mich die Überschrift dies sagt das Threema keine sichere Alternative zu WhatsApp ist. Threema ist extrem sicher im vgl. zu Whatsapp, dass seine Nachrichten komplett unverschlüsselt überträgt und damit such sehr einfach mitgelesen werden kann. Zudem werden auf WhatsApp Servern alle Nachrichten, Bilder im Klartext gespeichert, was ein weiteres Nogo ist!

    Bitte prüfen sie ihre Aussagen bevir sie Halbeahreheiten ins Internet stellen!

  2. Christian Ilin am 27.02.2014:

    Zu 1. Threema selbst ist nicht Open Source. Auf welche Weise die Bibliothek verwendet wird, ist daher nicht ersichtlich. Es ist nicht schwer, die Bibliothek auf eine Weise mit Daten zu füttern – absichtlich oder unabsichtlich – die die Verschlüsselung bricht.

    Zu 2., 3. und 4. Hier gilt das Gleiche. Das sind alles nur Behauptungen. Da der Quellcode nicht offen liegt, kann das niemand überprüfen. Auf diese Problematik sind wir in beiden Artikeln schon eingegangen, leider haben Sie das völlig ignoriert.

    Wenn der Quellcode von Threema offen liegen würde (und möglichst auch der der Server-Software), würden wir möglicherweise anders über Threema reden (das würde dann von der konkreten Implementation abhängen).

  3. Christian Ilin am 27.02.2014:

    Nachtrag: Das Telegram nicht komplett Open Source ist steht im Artikel. Und da ist es genau andes herum: Bei Threema ist nur der Quellcode der Verschlüsselungsbibliothek offen und alles andere Closed. Telegram ist fast komplett offen, nur zwei Bibliotheken zum Thema Push-Notifications und Fehlerbericht- und Updatemanagment sind nicht offen – was auf jeden Fall auch zu kritisieren ist. Man kann Telegram jedoch ohne diese Bibliotheken selbst bauen – und es ist immer noch lauffähig.

  4. Michael Weis am 27.02.2014:

    Gute Werbung für Jabber! Vielleicht wird es ja noch was 😉
    Finde es aber schade, dass ihr nicht in die FAQ von Threema geschaut habt, da steht das, was Christian beschreibt.

  5. Christian Ilin am 27.02.2014:

    Noch ein Nachtrag, weil ich diese Sache unbedingt klar zum Ausdruck bringen möchte:

    Man kann sich vorzüglich über OpenSource/ClosedSource streiten, wenn es z.B. um mit hohem finanziellen Aufwand hochgezüchtete Bildbearbeitungsprogramme geht.

    Aber bei etwas so heiklem wie dem Programm, über das man intimste Dinge mit engen Freunde, Familie, Geschäftspartner usw. bespricht, ist Closed Source aus unserer im Artikel begründeten Sicht ein absolutes No-Go.

    So ein Mobil-Kommunikationsprogramm ist keine Rocket Science. Wenn ich der Betreiber von Threema wäre, dann würde ich den Quellcode einfach offenlegen. Das der Betreiber dies nicht tut, ist für mich kein Zeichen von Vertrauenswürdigkeit.

  6. Warum TextSecure besser als Threema ist. | jugendmedienblog am 27.02.2014:

    […] Medienpädagogik-Praxis-Blog hat hierzu ein paar Opensource-Alternativen genannt, die dagegen vielversprechender wirken: […]

  7. Daniel Seitz am 27.02.2014:

    @Michael Weis:
    Keine Sorge, wir haben nicht nur in die FAQ (=Selbstbehauptung eines kommerziellen Anbieters) geschaut, sondern uns über die letzten Wochen und Monate hunderte Fachdiskussionen, Quellcodes, Entwicklungsprozesse, Interviews uvm. angesehen.
    Ich zitiere mal fefe: „Vertrauen kann man nicht einfordern, Vertrauen muss man sich verdienen“. Threema fordert Vertrauen ein und offenbar sind viele (auch öffentlich für Threema aktive) bereit, einer kommerziellen Firma, von der wir nichts wissen, ausser das sie vor ein paar Monaten aus dem Nichts aufgetaucht ist und behauptet, sicher zu sein, ihr dieses Vertrauen zu schenken. Das kann man tun, aber ich habe dafür noch keine einzige vernünftige Begründung gehört.
    Ein Grund wäre die Verbreitung, da gibt es aber zum Glück nun stärkere Argumente für textsecure, als Standard-App für SMS und verschlüsselte Nachrichten bald auf allen cyanogenmod-Smartphones, auf einen Schlag 10 Millionen zusätzliche Nutzer – im Zweifesfall die, die in ihrer Peer-Group die mit dem meisten Sachverstand sind und deswegen bei noch mehr Menschen für einen Wandel sorgen können.
    Eine andere relevante Gruppe sind in meinen Augen MedienpädagogInnen – deswegen werben wir so stark für Entscheidungen auf Basis von fundiertem Wissen und haben diese ausführlich begründet.

  8. Lambert Zumbrägel am 27.02.2014:

    Gibt es einen Grund warum „My Enigma“ nicht in Euren Messengern auftaucht? Tobias hatte vor kurzem erst auf dieser Seite über ihn geschrieben http://www.medienpaedagogik-praxis.de/2013/07/23/myenigma-die-zweite-sichere-whatsapp-alternative/

  9. Björn Friedrich am 28.02.2014:

    Bei allen komplett kostenlosen Lösungen (z.B. Telegram, TextSecure) bin ich prinzipiell skeptisch, da ich dahinter kein funktionierendes Geschäftsmodell erkennen kann. Wie sollen die laufenden Kosten für die technische Infrastruktur und die permanente Weiterentwicklung der Software finanziert werden, wenn nicht durch Gebühren oder: Werbung? Ihr schreibt doch: „Sicherheit gibt es nicht zum Nulltarif“, und das ist in meinen Augen ein Argument für z.B. Threema. (Oder auch WhatsApp, hehe!)

  10. Christian Ilin am 28.02.2014:

    An Lambert:

    Ja, es gibt einen einfachen Grund, und zwar den gleichen warum wir von Threema abraten: MyEnigma ist nicht Open Soure. Bitte die restlichen Teile der beiden Artikel lesen für eine nähere Begründung.

  11. Christian Ilin am 28.02.2014:

    An Björn:

    Sowohl Telegram als auch TextSecure wurden von wohlhabenden Personen ins Leben gerufen. Telegram von jemandem, der wohl schon fast einer der russischen Oligarchen sein dürfte. TextSecure von einem im Netz weithin bekannten Datenschutz- und Privacy-Aktivisten. Ich denke, kurz- und mittelfristig dürfte die Finanzierung halbwegs gesichert sein.

    Es gibt bei Jabber nicht-kommerzielle Server-Betreiber, die das seit mehr als 10 Jahren aufrecht erhalten. Aber die haben es auch nicht mit 450 Millionen Usern zu tun.

    Ich bin bereit zu spenden, und das gilt bestimmt für eine ganze Menge Leute. Es gibt auch immer wieder reiche Unternehmen oder Einzelpersonen, die sich gerne die Unterhaltung von Prestige-Projekten ans Revert heften.
    Ich könnte mir auch Premium-Dienste für zahlende Kunden vorstellen. Denen wird etwas einfallen denke ich.

    Muss aber jeder selbst wissen natürlich. Ich würde jedenfalls nicht ein unsicheres System wählen, nur weil die Geld verlangen.

  12. Sven am 28.02.2014:

    Das Fazit, warum Telegram nun besser als Threema sein sollte, kann ich nicht ganz nachvollziehen. Sicherlich ist OpenSource zu bevorzugen. Ob eine (wenngleich nur beschriebene) Verschlüsselung mit einer derzeit als sicher geltenden Crypto-Bibliothek in einem proprietären Programm schlechter als angezweifelte Parameter in einer OpenSource-Variante ist, wage ich zu bezweifeln. Threema ist der einzige genannte Dienst, bei dem man Kunde sein kann, weil man etwas zahlt. Wer nicht der Kunde ist, ist das Produkt!

    Das Geheimdienstszenario gilt genauso für Telegram und diese Organisationen werden sich auch ganz sicher nicht am Cryptowettbewerb beteiligen, mit dem Telegram wirbt. Telegram verwendet auch zentrale Server. Als nicht zahlender Kunde (=Produkt) ist man darauf angewiesen, dass die Infrastruktur weiterhin durch andere betrieben wird.

    Dass Onlinestatus und OTR auf mobilen Geräten (mit potenziell ständig wechselnden Verbindungen) nur ungünstig ist, ist gelinde gesagt eine ziemliche Untertreibung: OTR ist session-basiert und bei jedem Verbindungswechsel geht diese verloren. Punkt!

    TextSecure hat Potenzial, vielleicht. Aber es wird erst ab Cyanogenmod 11 Standard-Nachrichten-App, eine stabile CM11 ist allerdings für viele Geräte noch nicht verfügbar. Ich selbst habe aufgegeben, als ich in mehreren Versuchen nur SMS, aber keine Nachrichten über das Datennetz verschicken konnte. Nebenbei belegte Textsecure auf CM10.2 90 MB Speicher.

    Wieso wurde Kontalk eigentlich nicht betrachtet? Oder Whistle.im?

  13. Michael Weis am 28.02.2014:

    @Daniel Seitz
    Nicht, dass ich falsch verstanden werde. Ich bin auf jeden Fall auf der Seite der offenen Quellcodes, offenen Protokolle, Freier Software.
    Werde mir auf jeden Fall TextSecure anschauen und ausprobieren. Wenn das ein Lösung ist, mir der auch Nicht-Nerds zurecht kommen, freue ich mich. Das war bisher ein Hauptgrund für Threema.
    Habe selbst CM11 auf dem Telefon und eben gesehen, dass TextSecure da unter dem Namen Whisper-Push installiert ist.

    Worüber ich mich noch freuen würde und was den Artikel komplett machen würde, sind ein paar Quellenangaben 🙂

    Auf der Suche nach Test zu z.B. TextSecure habe ich im Prinzip nur Artikel gefunden, die sagen, dass es Open Source ist und damit war das für den Autor erledigt. Gibt es irgendwo so eine Art Tests zum Nachlesen? (Vielleicht sogar so, dass es auch ein Normalsterblicher versteht.)
    Das Einzige was ich gefunden habe, ist zu Telegram. Dort hat jemand versucht, sich mit der Software zu beschäftigen, kam aber nicht zum Ende, weil auch dort (wie von euch ja beschrieben) eben auch nicht alles öffentlich ist. http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/

    Vielen Dank!

  14. Daniel Seitz am 28.02.2014:

    @Sven: warum (nicht nur) wir die Sicherheit von Threema und Co so einschätzen, haben wir ja ausführlich beschrieben. Die Meinung von Krypto-Laien liegen hier oft anders als die der ExpertInnen, im folgenden Video findest du sehr spannende, technische Überlegungen, was alles bei Sicherheit schief gehen kann: http://www.youtube.com/watch?v=KxTh45_VhFk
    Bei Threeam kannst du Kunde sein, aber du kannst halt nicht Sicherheit einfordern, du kannst ihnen nur schlichtweg Vertrauen. (Kannst du übrigens weiterhin, hier muss niemand seinen offenbar lieb gewordenen, schon bezahlten Messenger verteidigen oder wieder loswerden, wenn man nicht mag – potentielle Gefahren dabei sind hier beschrieben, mehr können wir da auch nicht tun..)

    Bei OTR gehen keine Sessions verloren, es ist genau das Konzept, Schlüssel nur einmalig zu vereinbaren – das ist unter perfect forward secrecy (http://de.wikipedia.org/wiki/Perfect_Forward_Secrecy) recht gut beschrieben. Unpraktisch für den Alltag ist es allemal, wie wir in den Anwendungsszenarien zum eigenen security-Bedürfnis beschrieben haben..

    Ansonsten haben wir nicht alle Messenger besprochen, weil wir kein IT-Magazin mit Anspruch auf Vollständigkeit sind. Wenn du gute Erfahrungen beitragen kannst: Genau dafür gibt es die Kommentarspalte!

    @Michael: open-source und Co: Dacht ichs mir doch 😉
    Zu den Quellenangaben: der oben verlinkte Artikel https://missingm.co/2014/02/fighting-dishfire-the-state-of-mobile-cross-platform-encrypted-messaging/ ist superspannend, auch sehr technisch versiert – einfacher, aber nicht minder spannend, unter https://moeffju.net/blog/sicheres-instant-messaging erklärt. Welche Quellenangabe vermisst du?

  15. Thorsten Belzer am 28.02.2014:

    Man muss ja nicht immer was dafür oder dagegen schreiben und wollte mich nur bei allen bedanken, für den kostenlosen Onlinekurs.

  16. Thorsten Belzer am 28.02.2014:

    Doch noch was zu meckern:
    Warum geht ihr nicht auf die Alternativen BOXmessage und flyMessage ein? Beide Apps gibt es seit Mitte 2013 und wurden von der „Generation Y“ mitentwickelt. Akzeptanzprobleme sollte es somit ehr nicht geben.
    Die erste flyMessage außerdem auf dem gleichen Terrain wie die erste E-Mail aus Deutschland verschickt. (Uni-Campus Karlsruhe) Zu den Apps: http://wp.me/p37QoV-qc
    und http://wp.me/p37QoV-sf

  17. Christian Ilin am 28.02.2014:

    An Sven:
    Bzgl. Telegrem: Die Telegram-Betreiber machen den Eindruck, als wollten sie die wichtigsten Kritikpunkte bzgl. ihrer Verschlüsselung angehen (siehe Diskussion im verlinkten Artikel). Und der Großteil ihres Quellcodes liegt offen. Threema aber ist Closed Source, da kann man einfach gar nichts zu sagen.
    Bzgl. TextSecure: Man muss nicht auf Cyanogenmod warten, sondern kann es sich z.B. aus dem Play Store einfach so installieren. Bei mir und allen meinen Testpersonen funktioniert der Datenkanal einwandfrei (evtl hast du ihn ausgeschaltet?)
    Ich rate jedem, gebt TextSecure einen ernsthaften Versuch, und urteilt selbst.

  18. Amber am 02.03.2014:

    Nehmen wir an die Firma lügt, einfach mal aus Spaß.
    Irgendjemand hat die App angeschaut und den SSL Tunnel und das Cert-Pinning aufgebrochen und das was von der App an den Server geschickt wird auf Twitter verlinkt:

    {
    „emailHashes“: [„texpHfLaKRdjdT2nESUSDCkomaAqJ6w9uSXeWhfWCyI=“],
    „mobileNoHashes“: [„fb+wcBrMsANZ1y7Emp6uZETRTHdc0GEns+PsDfS3A28=“, „faWLqS2\/gJ3luu4xyk529tiu0UAIc\/D\/Gt6tEDtWYfc=“]
    }

    Laut FAQ werden nur diese kryptischen Hashes mit einer ID Verbunden.

    Man hätte also , so der Server sie speichern würde , bestenfalls die Verknüpfung „ID1 und ID2 unterhalten sich hin und wieder“.
    Worüber ist weiterhin unklar, wer sie sind liegt auch im Dunklen, insbesondre wenn die Personen darauf verzichten ihre ID mit einer Telefonnummer zu verbinden.

    Der Punkt mit „Selbst wenn die Verschlüsselung nicht geknackt wird, sind bei einem zentralen Serverkonzept wie dem bei Threema zahlreiche spannende Daten vorhanden, auf die es Käufer absehen können. Telefonbücher, Kontaktdaten, Meta-Informationen zu Beziehungen usw“ würde ich also so nicht stehen lassen

  19. Sven am 02.03.2014:

    @Daniel Seitz: es geht mir nicht um die Verteidigung von Threema, sondern darum, dass Telegram mir zu gut wegkommt.

    Mit einem Tipp für XMPP/OTR und TextSecure kann ich mich gut anfreunden, aber Telegram?

    Würdest Du Dich denn als Crypto-Experte bezeichnen? Ich mich nicht. Musst Du, wenn Du Telegram empfiehlst, nicht auch sehr stark vertrauen, dass Einwände wie unter http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/ und http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest sich als falsch erweisen?

    Wie Ihr zu Eurer Einschätzung gelangt seid, habt ihr dargelegt, ja. Teilweise legt Ihr aber verschiedene Messlatten an.

    1. Vielleicht gibt es eine Hintertür in Threema, die nicht kontrollierbar ist, weil closed-source – ok. Vielleicht gibt es aber auch die Hintertür in Telegram, weil Telegram eine merkwürdige Anwendung von Krypografie unterstellt wird. Dann OpenSource hilfsweise als Entscheidungskriterium zu verwenden und plakativ zu behaupten, Threema sei keine sichere Alternative, finde ich hinterfragungswürdig. Ob OpenSource oder proprietär: schlechte Krypto ist und bleibt schlechte Krypto!

    2. Telegram läuft auch über zentrale Server. Der hohe Stellenwert der Server wird in einem der beiden von mir angeführten Quellen extrem kritisiert. In der Begründung Eurer Empfehlung: kein Wort davon. Ebenso wenig, dass bei Telegram natürlich Metadaten anfallen, die über russische Server laufen. Ebenso wenig, dass man sich bei Telegram mit der Mobilfunknummer anmelden muss (bei Threema kann, aber nicht muss) und damit Telegram weiß, wer wann mit wem wie viel Nachrichten ausgetauscht hat. Bei Threema wird Angst vor Geheimdiensten geschürt, aber wer sagt Dir, dass der Algorithmus von Telegram nicht genau so ist, weil andere Geheimdienste ihn genauso haben wollten? Wenn der eine Dienst an den Vorgaben für elliptische Kurven drehen kann, kann der andere auch dafür sorgen, dass er die Krypto knacken kann, dies idealerweise aber kein anderer kann. Zum Beispiel, indem ein merkwürdiges Verfahren eingesetzt wird.

    Kontalk ist open source, für Android verfügbar, Ende-zu-Ende-verschlüsselt und möchte das Protokoll auf XMPP aufbauen bzw. auf XMPP-Spezifikationen einwirken, damit sie besser auf mobilen Geräten funktionieren. Läuft problemlos, hat ein transparentes und dezentrales Betreibermodell, … Ich habe es erwähnt, weil ich dachte, genau darum geht’s Dir: http://www.zeit.de/digital/mobil/2013-08/sichere-messenger-alternative-whatsapp/seite-2

    Ich hatte durchaus mobil Probleme mit XMPP+OTR und scheinbar nicht nur allein: http://op-co.de/blog/posts/mobile_xmpp_in_2014/

    Whistle.im ist interessant, weil es auch im Browser läuft.

    @Christian Ilin: TextSecure ist über Google Play (oder auch F-Droid) installierbar, ist etwas anderes als 10 Mio. CM-Benutzer haben das. Ich habe das Testen abgebrochen, weil die Anwendung auf CM10.2 90 MB benötigt hat und der Versand über das Datennetz nicht wollte. Aufgeschoben ist nicht aufgehoben. Spätestens, wenn es eine stabile CM11-Version für mein Smartphone gibt 😉

  20. Christian Ilin am 03.03.2014:

    An Sven:

    Zunächst mal, wir empfehlen Telegram nicht, und zwar weil uns genau der von dir geschilderte Sachverhalt auch nicht gefällt. Wir stellen Telegram nur kurz vor weil eine ganze Menge Leute dahin wechseln. Wir empfehlen TextSecure.

    Aber ja, wir wenden verschiedene Messlatten an. Über Threema haben wir keine Informationen. Über Telegram schon, daher können wir die Sachlage anders bewerten.
    Jemand mit ein wenig Ahnung hat sich Telegram angesehen und findet einige Vorgehensweisen ungewöhnlich. Die Telegram-Betreiber begründen diese mit Optimierungen. Sie zeigen sich recht einsichtig an den Punkten, an denen der Vorwurf eindeutig stimmt. Sie fordern Nachweise, wo der Vorwurf nur durch das ungute Gefühl des Vorwerfenden gedeckt ist.
    Das ist in meinen Augen eine ganz andere Dimension an Transparenz als bei Threema, und es hört sich so an als sind die Telegram-Macher bereit, an der Sache zu arbeiten.

    Zu den zentralen Servern:
    Ja, das ist auch bei Telegram und auch bei TextSecure und bei allen Lösungen außer XMPP/Jabber eine schlechte Eigenschaft. Wir haben das nicht explizit bei jeder Lösung hingeschrieben, aber dass das generell schlecht ist, steht eindeutig im Text. Direkt nach der Stelle, wo wir das Threema anlasten, steht „wobei es mit Jabber nur ein dezentrales Angebot auf dem Markt gibt, deswegen möchten wir dieses “Feature” als nice-to-have deklarieren.“

    Kontalk ist noch nicht fertig und bis auf Weiteres nur für Android verfügbar. Es ist daher im Moment keine Alternative zu WhatsApp.

    Zu Cyanogenmod:
    Ok, aber auf dieser Ebene betrachtet wissen wir auch nicht wie viele Menschen Threema oder irgendeine Lösung wirklich benutzen.

  21. Michael Weis am 03.03.2014:

    @Daniel
    Sorry, „weiterführende Links“ wäre die bessere Formulierung gewesen.
    In deinem ersten Kommentar hast du geschrieben: „Keine Sorge, wir haben nicht nur in die FAQ (=Selbstbehauptung eines kommerziellen Anbieters) geschaut, sondern uns über die letzten Wochen und Monate hunderte Fachdiskussionen, Quellcodes, Entwicklungsprozesse, Interviews uvm. angesehen.“
    Die Links meinte ich.

    Textsecure habe ich installiert, danke für den Tipp. Ein Kombination aus Threema und TextSecure wäre nun das beste 🙂

  22. Christian Ilin am 03.03.2014:

    An Michael Weis:

    Wofür denn noch Threema?

  23. Michael Weis am 03.03.2014:

    @Christian Ilin
    Mir gefällt an Threema, dass ich ohne die Handynummer mit Leuten zu teilen schreiben kann.
    Ich finde die Darstellung der Sicherheitsstufen sehr gut, weil ich so auf einen Blick sehe, wen ich tatsächlich mal live gesehen habe (ja, er kann mir auch den QR-Code mailen..).
    Allgemein gefällt mir Threema gefällt mir optisch besser.

  24. WhatsApp und Alternativen wie Threema - Grundlagen zu Sicherheit und medienpädagogische Konsequenzen | Medienpädagogik Praxis-Blog am 05.03.2014:

    […] Datenschutz bei mobilen Messengern – Empfehlungen für die Medienpädagogik | Medienpädagogik Pra… am 27.02.2014: […]

  25. Renate H. am 06.03.2014:

    Neben dem ganzen Genörgel und „Meh, warum habt ihr die App xy net beachtet, die macht voll die tollen andren Sachen“, kriegt ihr von mir ein Danke *g*
    Ich hatte die ganze Zeit Probleme mich irgendwie in das Thema reinzulesen, weil es einfach oft too-much-information war und ich nicht wusste, wo zum Teufel ich eigentlich anfangen soll. Jetzt habe ich das Gefühl eine Basis zu haben und kann mich von hieraus endlich mal sinnvoll „weiterbilden“ 🙂 Also allerliebsten Dank für die zwei Beiträge.

  26. Ulrich Tausend am 11.03.2014:

    Danke für die spannende Diskussion. Übrigens hat TextSecure mit Snowden prominente Unterstützung bekommen: http://www.golem.de/news/verschluesselung-snowden-empfiehlt-textsecure-und-redphone-1403-105052.html

    Werde es ausprobieren, wenn es für iOS verfügbar wird. Wie ich aus meinem Bekanntenkreis mitbekommen habe ist das aber immer noch nicht genug Unterstützung. Können 2 Personen wegen Windows Phone oder Blackberry… nicht in eine neue Lösung wechseln, dann verpufft oft der Wechselschwung.

  27. Lynn Harris am 13.03.2014:

    Spannende Diskussion. Mein Input: Wichtig ist auch jeweils genau zu schauen, wer hinter der App steht (Firma/Entwickler). Dann kann jeder selbst entscheiden, wem er vertraut. 100% Sicherheit gibt es sowieso nicht. Persönlich vertraue ich seit einem halben Jahr myEnigma.

  28. Ulrich Tausend am 14.03.2014:

    Die Zeit hat sich mehrere Apps angeschaut. Ihr Fazit:

    http://www.zeit.de/digital/mobil/2014-02/threema-telegram-surespot-chatsecure-vergleich

    „ChatSecure ist eher nichts für Einsteiger und aufgrund des verwendeten XMPP-Protokolls generell nur bedingt für mobile Plattformen geeignet. Die russischen Entwickler von Telegram melden seit der angekündigten Übernahme von WhatsApp durch Facebook enorm gestiegene Nutzerzahlen, stehen aber wegen der von ihnen eingesetzten Verschlüsselungstechnik und ihrer Außendarstellung nach wie vor in der Kritik. Threema bleibt Vertrauenssache, weil der Schweizer Entwickler Manuel Kasper nicht vorhat, den gesamten Quellcode der App zu veröffentlichen. Und surespot ist im Vergleich zu Threema und Telegram ein wenig zu spartanisch. (…)

    TextSecure hat drei Nachteile: Erstens ist die langwierige Einrichtung eine vergleichsweise hohe Einstiegshürde. Zweitens müssen die Macher noch besser erklären, was sie mit den Adressbuchdaten der Nutzer machen. Und drittens fehlt eine iOS-Version, was sich aber bald ändern soll. Was den reinen Austausch von Nachrichten angeht, kommt TextSecure dem Ideal einer gleichermaßen sicheren wie simplen Messaging-App sehr nahe.

    Cryptocat, die andere Open-Source-App in diesem Vergleich, ist zu speziell, um eine ernsthafte Alternative zu einer Anwendung wie WhatsApp zu sein. Das liegt daran, dass es einen zweiten Kanal braucht, um sich zu einem Chat in Cryptocat zu verabreden.

    myENIGMA erinnert in mehrfacher Hinsicht an Threema, nicht nur, weil beide aus der Schweiz kommen. In Details wirkt Threema allerdings etwas durchdachter. Wer myENIGMA nutzen will, muss zudem dem dahinter stehenden Unternehmen Qnective vertrauen.

    Bis auf Weiteres bleibt es dabei, dass Smartphone-Nutzer bei der Wahl einer sicheren Messaging-App immer Kompromisse eingehen müssen.“

  29. Tobias Albers-Heinemann am 14.03.2014:

    Wieso ist TextSecure schwierig einzurichten? Hab ich da was falsch gemacht?

  30. Sandro Koller am 19.03.2014:

    Möchte noch auf diesen Test hinweisen: http://blog.psw-group.de/category/messenger-test

  31. raindrop am 29.04.2014:

    Das Wichtigste ist doch immer noch:
    1) Werden heimlich automatisch sämtliche KONTAKTDATEN von Unbeteiligten und mit allen sensiblen Daten und evtl. noch mehr wie Namen-Foto-Gesichter, Bankkontakte, womöglich WLAN-Zugänge, PWs, etc.) übertragen — und macht sich jeder Nutzer dann zu einem freien billigen „Informellen Mitarbeiter“ und ggfs. strafbar..?
    2) Muss man sich mit einem persönlichen IDENTITY-ACCOUNT mit allen Personendaten, und damit Personen-identitfiziert anmelden/registrieren? (dann sind alle Daten danach PERSONIFIZIERT..)? — Oder reicht nur eine Handy-Nr.?
    3) Ist der Dienst auch PERSONENLOS ohne personifizierten Kontakte (nur über Handy-Nr. oder Alias) zu benutzen?
    4) Liegen die KOMMUNIKATIONSDATEN direkt im unkontrollierten US-Bereich (meint auch GB)?
    5) Ist der Dienst kostenlos und hat KEIN FINANZIERUNGSKONZEPT — und sammelt dann noch UNKONTROLLIERT Daten ein? — Dann ist das hochgradig UNSERIÖS.
    — „Mir doch egal was die mitlesen..“ von naiven Usern (z.B. Verabredung) könnte dann endlich Relevanz bekommen — wenn die Mitteilungsdaten KEINER PERSON ZUGEORDNET werden können… (und keine Kontaktdaten gesammelt werden..)
    — Bei fehlender Personenzuordnung hat dann bei leichter Konversation auch eine Verschlüsselung E-2-E weniger Bedeutung, nur noch generelle Verschlüsselung.
    — Bei fehlender Personenzuordnung ist auch eine undetailierte AGB zur Weitergabe nicht mehr kritisch

  32. Simon am 05.05.2014:

    Ich weiß ja nicht! 😉
    Aber immerhin hat Threema seine Nutzerzahlen mittlerweile versiebenfacht! oO

    Quelle: http://threema-forum.de/thread-51-post-331.html

  33. Christopher Bechtold am 13.10.2014:

    Interessante Artikel-Reihe (gibt’s ne Fortsetzung?) und Kommentare dazu. Mehrere Dinge fallen mir dazu ein:

    Ich wollte mal Hoccer OX (hoccer.com/de) testen, weil ich hörte, die Entwickler kommen aus dem CCC Umfeld. Aber Open Source und dezentral ist diese App und ihr Service auch nicht. Da kann ich auch nur vertrauen und nicht kontrollieren (lassen).

    Ich frage mich seither, ob Open Source wirklich ein so zentrales Kriterium für die Sicherheit einer solchen App ist, vor allem nach dem Heartbleed-Supergau. Denn was nützt es mir, wenn der Source Code einer Messenger App vollständig veröffentlicht ist und auch noch Menschen ihn sich angesehen haben, aber ich z.B. auf einer Closed Source Plattform wie iOS gar nicht überprüfen kann, ob auch der veröffentlicht Code für das Bauen der AppStore-Version genutzt wurde. Zudem gibt es ja auch die Vermutung, das iOS und auch Googles Android vielleicht Hintertüren für die Esoteriker_innen der Geheimdienste haben.

    Befriedigend finde ich das nicht, aber zur Zeit wähle ich deshalb verschiedene mehr oder weniger sicher scheinende (Vertrauen), aber halbwegs praktikable Apps, bei denen ich auch noch jemand erreiche. Was nützt mir die sicherste App, wenn sie keiner meiner Kontakte verwendet.

    Denn leider Interessen sich immer noch sehr wenige Menschen in meinem Umfeld für das Thema und wenn, dann verwenden sie meist Threema. Zudem lassen sich auch nur wenige auf Experimente mit neuen Messenger ein.

    Und Jugendliche, mit den ich arbeite, die erreiche ich am besten immer noch über WhatsApp oder Facebook. Gegen WhatsApp konnte ich mich bis jetzt noch erfolgreich wehren, aber mit dem Preis, aus bestimmter Kommunikation ausgeschlossen zu sein. Einige erreiche ich deshalb gar nicht oder nur auf dem einen Kanal, andere aber nur auf einem anderen. Das führt zu viel Cross- und Multiposting und manchmal auch zu Verwirrung.

    Irgend wie muss was mehrheitsfähiges her, das dann auch noch sicher, bedienbar und nachvollziehbar ist. Was ich auf alle Fälle brauche, ist ein Dienst, der von meiner Telefonnummer, Facebook, Apple und Google unabhängig ist und auch Mobil und am Desktop funktioniert. Und ich hätte gerne die Hoheit über meine Daten und würde sie am liebsten dezentral, bei mir Zuhause haben. Jabber/XMPP mit OTR geht in die richtige Richtung, benutzen aber bei mir nur die Menschen vom Freifunk Mainz. Und auch ich finde es für den mobilen Einsatz nur bedingt zu gebrauchen.

    Also was machen ich? Ich kann meist nur weiter vertrauen, dass die Apps und die Betriebssysteme das halten, was ihre Hersteller versprechen. So wie bei der Reise mit der Bahn, ich muss vertrauen, dass der Zug technisch einwandfrei funktioniert und die Lokführer_in und die Menschen im Stellwerk ihre Arbeit richtig machen. Bis jetzt bin ich mit Vertrauen ganz gut durch’s Leben gekommen. Aber seit Sommer 2013 bin ich mir da beim Thema Messenger, aber auch allgemein bei den verschiedenen Kommunikationswegen und der Speicherung meiner digitalen Daten nicht mehr so sicher.

  34. Christopher Bechtold am 13.10.2014:

    Ich muss mich korrigieren, bzw. vielleicht hab ich falsch gehört: die Entwickler von Hoccer OX kommen eher aus dem Piraten Umfeld (siehe Spiegel Online-Artikel vom 03.12.2011).

    Aber Pavel Mayer, Geschäftsführer und Mehrheitsgesellschafter der Hoccer GmbH seit 2011 (siehe pavelmayer.de) ist oder war mal beim CCC, zumindest hat er beim Chaosradio des CCC mehrere Male mitgewirkt.

  35. Marcus Pauls am 02.03.2015:

    Die Diskussion ist schon etwas älter, aber ein wichtiger Punkt wurde vergessen: Die Privatsphäre. Verschlüsselung ist das eine, aber wenn ich (wie bei TextSecure oder Telegram) gezwungen werde, meine Handynummer anzugeben, dann werde ich stutzig.

    Threema macht es diesbezüglich besser. Die Angabe von Handynummer und E-Mail sind freiwillig. Die Verknüpfung mit dem Adressbuch muss nicht aktiviert werden, Gruppen werden dezentral auf den Handys verwaltet, nicht wie z.B. bei Telegram auf dem Server. Kontaktbilder werden keine übertragen. Alle Chats sind Ende-zu-Ende verschlüsselt, auch Gruppen und nicht nur gesondert zu aktivierende «Secret Chats». Dies alles ist übrigens nachprüfbar und bestens dokumentiert.

    Die Grundregel lautet: Je weniger Daten auf zentralen Servern entstehen, desto weniger kann missbraucht werden. Threema hat diesbzeüglich neben den dezentralen Lösungen (Jabber/OTR) definitiv das überzuegendste Konzept.

    Und was die Finanzierung betrifft: Die Motive irgendwelcher philantropischen Millionäre, die angeblich hinter TextSecure und Telegram stehen, mögen redlich sein. Letztlich hab ich aber das bessere Gefühl, wenn ich für einen guten Dienst selbst bezahle.

  36. Textsecure und Signal: Verschlüsselte Open-Source Messenger für iOS und Android | Medienpädagogik Praxis-Blog am 05.03.2015:

    […] Marcus Pauls bei Datenschutz bei mobilen Messengern Teil 2 – Warum Threema keine sichere Alternative zu WhatsAp… […]

  37. AGB im Zusammenhang mit Apps | zeitalterinternet am 23.04.2015:

    […] Ihr mehr Informationen möchtet, dann schaut einmal hier und auf dieser Seite […]

  38. rich626 am 11.10.2016:

    Euer Artikel ist wohl eine versteckte Werbung für WhatsApp. Ausgerechnet der Hauptkonkurent, zu dem jetzt viele aus Gründen des Datenschutzes wechseln soll nicht sicher sein?

    Threema ist allein schon deshalb eine sichere Alternative zu WhatsApp, weil praktisch a l l e s sicherer ist als WhatsApp. Alle Kritikpunkte die hier zu Threema beschrieben werden, treffen auch auf WhatsApp zu. Auch WhatsApp ist nicht Open Source. Im Gegensatz zu Threema hat WhatsApp bereits mehrmals Versprechen zu seinem Geschäftsgebahren gebrochen. Inzwischen ist die Datenweitergabe an Facebook Fakt. Wer den Unterschied von Threema und WhatsApp wissen möchte lese doch bitteschön die Datenschutzgesetze der USA und der Schweiz. Im Falle der USA ist man damit schnell durch.

    Die Verschlüsselung kann anhand des ausgendenden und ankommenden Datenstromes kontrolliert werden. Das wurde mit Threema ebenso gemacht, wie mit WhatsApp. Beide Dienste verschlüsseln End-to-End; und zwar nachprüfbar.

    Bei Threema kann man den Zugriff auf das Adressbuch des Smartphones sperren, und es funktioniert trotzdem. Auch das ist für jedermann nachvollziehbar. Threema funktioniert auch auf Tablets, die garkein Adressbuch haben. Open Source ist schön, aber nicht nötig; jedoch ist das Vertrauen in die Gesetze des Landes wichtig. Windows ist auch nicht Open Source, und trotzdem wird es weltweit sicher verwendet; eben im Rahmen der Landesgesetze, die der Hersteller einhalten muss.

  39. Freie Messenger am 13.09.2018:

    Zu diesem Thema gibt es informative Inhalte auf „freie-messenger.de“. Insbesondere der Systemvergleich sowie der Abschnitt „warum“ bzw. „warum nicht“ sind erwähnenswert:
    http://www.freie-messenger.de/warum
    http://www.freie-messenger.de/systeme/systemvergleich

    Aktueller Stand Jabber (XMPP)-Verschlüsselung ist „OMEMO“ (=Signal-Verschlüsselung) – Der Artikel ist insofern nicht mehr aktuell.

Kommentieren

*

Zusatzinfos

Pat-O-Meter

Monats-Archiv