Nach WhatsApp: Verschlüsselt heißt nicht “sicher”

Nachdem Facebook die Übernahme von WhatsApp bekannt gab, konnte man wunderbar einen Schneeballeffekt bewundern, denn vermehrt suchen sich Nutzer seitdem Alternativen. Spätestens während der WhatsApp-Downtime am Wochenende lief das Fass dann für viele über. “Sicher” und “verschlüsselt” soll es nun sein, allerdings wird das Thema viel zu oberflächlich betrachtet.

Besonders und profitieren von dieser Situation, der Nutzerstrom war immens, besonders bei hatte man mit starken Problemen zu kämpfen, da sich teilweise bis zu 100 Nutzer pro Sekunde registrierten. Was mich an dieser ganzen Sache aber stört ist die Tatsache, dass man das Sicherheitsthema viel zu oberflächlich betrachtet. Sobald ein mit dem Stichwort “sicher” wirbt, wird er aktuell interessant. Dass vor allem die beiden genannten aber nicht “sicher” sind, entgeht vielen Nutzern, da eben besagte Oberflächlichkeit vorherrscht.

Telegram Messenger

Telegram verschlüsselt Konversationen nicht per se

Bei Telegram wirbt man damit, dass der Messenger verschlüsselt sei, darüber hinaus ist der Quellcode Open-Source. Letzteres ist in erster Linie sehr löblich und der erste Schritt, um prinzipiell überhaupt als “sicher” gelten zu dürfen. Nichtsdestotrotz zeigt diese Offenheit den Nutzern gegenüber aber auch die Problematik an Telegram, denn der Messenger ist schlichtweg nicht sicher.

Zunächst einmal sollte man wissen, dass Telegram Konversationen nicht per se verschlüsselt. Lediglich die Secure-Chats, die vom Nutzer selbst für jede neue Konversation ausgewählt werden müssen, werden verschlüsselt. Aber auch, wenn der Nutzer darauf achtet, ist Telegram nicht sicher, denn das Verschlüselungsprotokoll setzt auf Methoden, die das Prädikat “” nicht mehr verdienen. Beispielsweise wird SHA1 genutzt – bereits 2005 konnte man die Kollisionsberechnung drastisch vereinfachen und in den darauffolgenden Jahren wurde der Berechnungsaufwand immer weiter simplifiziert. Telegram verwendet also einen Standard, der bereits seit neun Jahren nicht mehr als sicher gilt.

Weitere Probleme im Bezug auf den Sicherheitsaspekt bei Telegram werden bei der Betrachtung der Verschlüsselung auffällig, beispielsweise werden Public-Keys nicht authentifiziert. Das sind nur zwei Probleme der Telegram-Verschlüsselung, die man (wie gesagt) auch erst manuell anstoßen muss, damit sie arbeitet. “Sicher” ist anders. Das Sicherheitsproblem wurde bei CryptoFails übrigens sehr gut verdeutlicht:

Telegram’s Cryptanalysis Contest

Threema

Bereits per Definition gilt Threema nicht als “sicher”

Der Messenger, der noch mehr Aufmerksamkeit bekam, als Telegram, ist definitiv Threema. Das schweizer Entwicklerteam wirbt mit einer End-To-End-Verschlüsselung, aber: Threemas Verschlüsselung ist Closed-Source, der Quelltext also nicht öffentlich einsehbar. Bereits per Definition gilt Threema somit nicht mehr als “sicher”, denn es kann nicht überprüft werden, ob die Verschlüsselung überhaupt als “sicher” eingestuft werden kann. Verschlüsselungen müssen unbedingt überprüft werden können, um auszuschließen, dass hier schlampig gearbeitet wurde. Im schlimmsten Fall kann man so z.B. nicht erfahren, ob die Entwickler eine backdoor, als ein Hintertürchen, eingebaut haben, um die Verschlüsselung zu umgehen. Wäre dies der Fall, wäre die komplette Verschlüsselung abermals hinfällig.

Sicherlich kann man auch sagen, dass Verschlüsselungen dann besser sind, wenn keiner weiß, wie sie im Detail funktionieren. Das aber ist wieder nur oberflächlich gedacht. Unter Crypto-Experten sagt man gerne sinngemäß: “Werfe der Verschlüsselung möglichst viele Gegner entgegen – hält sie das aus, ist sie sicher”. Überprüfen also beispielsweise 5.000 Crypto-Experten die Sicherheit der Verschlüsselung und geben ihr grünes Licht, kann man davon ausgehen, dass die Verschlüsselung auch stichfest ist. Andernfalls muss man sich darauf einlassen, den Entwicklern zu vertrauen und eben jenes Vertrauen ist beim Thema “Sicherheit” eine hinfällige Angelegenheit.

Generell weiß man also nicht allzu viel darüber, wie man bei Threema vorgeht. Ein weiteres Problem ist aber trotzdem bekannt, denn der PFS (Perfect Forward Secrecy) erfolgt bei Threema nur alle sieben Tage. PFS ist eigentlich dafür gedacht, Sitzungsschlüssel in kurzen Zeitabständen zu erneuern – sieben Tage sind aber sicherlich nicht als “kurzer Zeitabstand” einzustufen, weswegen das Prinzip von PFS ad absurdum geführt wird.

Nicht sicherer als WhatsApp

Threema und Telegram dürfen sich aktuell vor allem aus dem Grund über neue Nutzer freuen, weil die beiden Messenger als sicher gelten. Das aber ist nicht der Fall, beide sind per Definition unsicher. Überschlägt man das Ganze mal, tun sich Threema, Telegram und WhatsApp in diesem Bezug nicht wirklich viel, denn auch die Verschlüsselung von WhatsApp ist nicht Open-Source, darüber hinaus setzt man als Basis für die eigene Verschlüsselung auf RC4 (von dem angenommen wird, dass die NSA diesen Standard in Echtzeit brechen könnte).

Überhaupt sollte man sich die Frage stellen, wie sich z.B. Telegram finanziert. Die Entwickler sagen, dass es ein Nonprofit-Projekt sei, man also zumindest keinen Profit erwirtschaften möchte. Trotzdem stellt sich die Frage, wie man zumindest die laufenden Kosten decken möchte, die in Zukunft garantiert stark ansteigen werden. Hier heißt es von den Entwicklern seit jeher lediglich, dass man Genug Geld zur Verfügung habe – eine, wie ich finde, mehr als vage Aussage. Bei Threema ist die Situation ähnlich. Die Apps kosten einmalig 1,50 Euro und damit kommt man auch nicht weit, denn so muss man ständig neue Nutzer generieren, man spielt ein Wettrennen gegen die Kosten.

Der Unterschied?

Der Unterschied, den die Nutzer machen, ist ganz klar die Leitung von WhatsApp durch Facebook (die übrigens noch gar nicht behördlich genehmigt wurde). Für mich ist das allerdings ein fadenscheiniger und naiver Grund, urplötzlich den Messenger zu wechseln. WhatsApp hat lange Zeit komplett auf Verschlüsselung verzichtet und nutzt inzwischen eine, die an vielen Stellen kritisiert wird und dazu nicht überprüft werden kann.

Darüber hinaus stellt sich die Frage, was WhatsApp denn bisher mit den Nutzerdaten angestellt hat, ich gehe mal frecherweise davon aus, dass diese nicht einfach nur brach lagen. Ob die Nutzerdaten nun auch in Facebooks Hand liegen mögen, ist nicht weiter relevant – aus Prinzip vor allem dann nicht, wenn man gerade auf Facebook teilt, wie man nun bei Threema oder Telegram erreichbar ist oder welchen Messenger man denn von nun an nutzen solle.

 

Verschlüsselung ist wichtig, aber…

Es ist durchaus begrüßenswert, dass die Akquise von WhatsApp durch Facebook in offenbar vielen Nutzern ein Bedürfnis für Sicherheit weckt und, dass sich diese nun (für viele das erste Mal) überhaupt mit dem Thema auseinandersetzen. Einmal mehr wird aber deutlich, dass dieses Verhalten in erster Linie von Naivität bestimmt wird. Nur, weil “sicher” drauf steht, muss nicht “sicher” drin sein.

Ich möchte hier definitiv keinem absprechen, einen der genannten Messenger zu nutzen, denn das muss jeder für sich selbst entscheiden. Die eigene Entscheidung, so sie denn auf Threema oder Telegram fällt, dann aber in der Sicherheit zu begründen, ist letztlich naiv und schlichtweg falsch – am Ende des Tages tun sich WhatsApp, Threema und Telegram in diesem Punkt nicht viel. Meint man es tatsächlich ernst damit, auf mehr Sicherheit setzen zu wollen, sollte man sich im Vorfeld einhergehender informieren, denn die Möglichkeiten sind da. Als Beispiel sei hier nur Surespot genannt, ein Messenger mit Open-Source-Verschlüsselungsmethode und einem Finanzierungsmodell, der für das Versenden von Sprachnachricht 1,70 Euro per In-App-kauf kostet – das macht im Vergleich zu Telegram immerhin schonmal den Eindruck eines Finanzierungsmodells.

Welchen Messenger man aber auch nutzen möchte, am Ende des Tages gilt: Nachdenken, recherchieren und nicht einfach nur naiv der Masse folgen.

  • http://www.mobiflip.de/ Benno

    VIELEN VIELEN DANK für dieses Bollwerk gegen Hysterie!

    • des Direktors Gehilfe

      Ein Bollwerk gegen Kompetenz über das was man sagt, trifft es wohl deutlich besser.

  • http://iamhavoc.de/ Fabian Peter

    Klär mal bitte auf, inwiefern das Abgreifen der Nachrichten auf Threemas Servern den gesamten Übertragungsweg kompromittiert? Du greifst nach wie vor verschlüsselte Daten ab – das ist nunmal der Sinn einer End-to-End Encryption. Und verschlüsselte Daten kannst du auch im WLAN oder an anderen Stellen mitschneiden.

    Der Hype weg von WhatsApp und das Herdenverhalten unbedarfter und unwissender Leute ist schon typisch und zugleich unsinnig – nichts desto weniger: zumindest Threemas Konzept in Sachen Verschlüsselung ist, sagen wir mal, schlüssig und nur so angreifbar wie die Endgeräte der Nutzer es sind.

    Dass die umgesetzte “Sicherheit” nicht vollends geprüft werden kann, ist klar und wird sich auch mit Veröffentlichung des SourceCodes nicht ändern. Public Code und Code der auf Servern rennt muss nicht notwendigerweise der gleiche sein.

    Wer also mal für 5 Cent nachdenkt und sich WIRKLICH um die Sicherheit seiner Daten sorgt, der kann nur zu dem Schluss kommen, dass Fremdlösungen nicht akzeptabel sind. Seit zig Jahren gibt es PGP zur Verschlüsselung für E-Mails und OTR für Jabber – beides Dienste, die man selbst hosten kann, womit man zum größten Teil Herr seiner Daten ist.

    Die meisten Leute schlagen jetzt die Hände überm Kopf zusammen und jammern wegen der Sicherheit Ihrer Daten – stellen aber den Komfort, den Apps wie WhatsApp und Threema bieten, allem anderen voran.

    Ist schlussendlich ein absolutes Hype-Thema, mit dem man Leute dazu kriegt, dass sie einem zuhören, wenn man drüber spricht oder schreibt. Aber mal ehrlich: Sicherheit bedeutet Aufwand, Anonymität bedeutet Verzicht und Verlassen der Komfortzone. Das will keiner. Möglichkeiten gäbe es da hinreichend.

  • Manuela Potthast

    Wunderbar – danke dafür! Immer diese Panik, und dass man sich nicht mal richtig die Mühe macht, etwas richtig zu recherchieren, bevor man den Massen folgt …

    • Dot2010

      Man muss eben den Massen, ähm den Dummen folgen. Diese sind in der Mehrheit auch meist im Freundeskreis. Will man mit den Dummen kommunitieren muss man sich eben auf deren Niveau herablassen. Da hilft es auch nix wenn man bis dato gut aufgepasst hat, wenn man sich nur 1 solchen App aufheizt ists vorbei.
      Mit 2 Telefone rumlaufen ist nicht!
      Ebenso ist es trügerisch anzunehmen das es Sicherheit gibt. Nichts ist sicher, außter der Tod, und vielleicht noch die Steuer. Der Rest ist ehe eine Glückssache ob man z.B. abgehorcht wird oder gerade mal einer auf der Toilette ist und man in der Zeit munter sein Unmut kund tun kan über öffentliche Leitungen…

  • http://scriptogr.am/rantanplan1980 Daniel

    Naja, Gibbterbot (inzwischen Chatsecure) wollte niemand mit mir nutzen, obwohl dies eine Jabber OTR Verschlüsselung nutzt, die sowohl offen als auch erprobt ist.

    Jetzt habe ich zwar bekannte, die Threema mit mir nutzen, nur muss ich hier eben darauf vertrauen, dass die Anbieter alles richtig machen.

    Zumindest dürfte es die Kosten für die NSA erhöhen weiter alle Daten in Echtzeit abzugreifen, und für den normalen Hausgebrauch ohne kritischen/sicherheitsrelevanten Daten ist das okay, wenn sich jemand die Mühe macht mein verschlüsseltes Sexting zu entschlüsseln, dann hat er wohl eine Belohnung verdient.

  • Sven

    Kurze Ergänzung zu Threema: für die eigentliche Kryptographie wird laut Betreiber NaCL genutzt und keine Eigenbaulösung, aus genau dem Grund, den du nanntest, eben weil das Risiko für Bugs in Closed Source Eigenentwicklungen schlicht zu hoch ist.

    • Rolf

      Da geb ich dir Recht, das ist ein sehr entscheidender Punkt. Das sollte korrigiert werden.

    • esgames.org

      “laut Betreiber”

      • Sven

        Ach, du meinst, die lügen?

        • esgames.org

          In diesem fall denk ich nicht. Aber ansich sollte man den betreibern nie glauben gerade was krypto angeht.

  • http://www.koblow.com/ Björn Koblow
  • Schroeffu

    ” Das schweizer Entwicklerteam wirbt mit einer End-To-End-Verschlüsselung, auf dem Transportweg von A nach B wird also verschlüsselt. Auch hier werden einige problematische Dinge direkt deutlich. Beispielsweise findet man keine Aussage darüber, inwieweit die Threema-Server gesichert werden. Sollte dort eine ungenügende Verschlüsselung eingesetzt werden, wird die End-To-End-Verschlüsselung hinfällig, denn dann ist es für Angreifer in der Theorie wesentlich interessanter, die zentrale Serverstruktur von Threema anzugreifen, denn die Aussicht auf zufriedenstellende Ergebnisse sind hier ungleich höher.”
    Das erklärt deutlich, der Author hat keinen blassen Schimmer von End-to-End Verschlüsselung. Bei einer End-to-End Verschlüsselung ist die zentrale Server Struktur das irrelevanteste, was es im Konzept gibt.

  • Understater

    Korrektur:
    Surespot nimmt EINMALIG irgend was bei 1,70 EUR fuer die Moeglichkeit Sprachnachrichten (also Ton) zu verschicken!

    • http://about.me/charles.engelken Charles Engelken

      Danke für die Korrektur, habe ich dann mehrfach falsch gelesen. Ergänze ich gleich.

  • Pingback: Nach WhatsApp: Verschlüsselt heißt n...()

  • Martin

    Ich habe derzeit 3 Messenger installiert und hoffe, dass sich einer davon durchsetzt: Kontalk, surespot und Textsecure.
    Sollte wieder ein closed source Programm der Quasi-Standard werden, boykottiere ich das. ;)

  • derderimmermuedeist

    Das für mich wichtigste Feature bei Threema ist die Möglichkeit den automatischen Kontakteabgleich abzuschalten. Und das schon bei der Installation.
    Das heißt ich brauche meine kostbaren Kontakte (weit über 300) nicht Zuckerberg schenken. Meine Eltern und meine Kinder haben noch nichts mit Facebook zu tun.

    Ob die NSA oder auch “nur” Zuckerberg mitbekommt zu wann und wo wir uns zum Feiern oder Radfahren verabreden, das finde ich nicht soo schlimm.

    Allerdings finde ich es aber auch besser, wenn dadurch keine Fotos mehr mit Gesichtern Facebook in den Rachen geworfen werden. Bei WhatsApp ist das ja jetzt wohl so.
    Das wird ja mal gerne Übersehen, genauso wie das (zwingend nötige) Kontakte übermitteln bei der Insatllation von WhatsApp.

    So dürfte Zuckerberg an 4,5 Milliarden neue Kontakte kommen, wenn auch nur 10 “interessante” sich auf jedem Smartphone befinden …

    • wechsler123

      Danke!!! Ich sehe das genau wie du. Der Autor bezieht sich ja lediglich auf die Verschlüsselung. Was bestimmt auch alles richtig sein mag. Denke, er hat da bestimmt Ahnung. Dass der “dummen Masse”, wie hier leider oft erwähnt, vielleicht noch andere Kriterien für den Wechsel wichtig sind wird hier wohl gerne übersehen. Aber es lässt sich halt zu gerne klugscheißern. Leute, leben und leben lassen. Lasst doch bitte jeden tun was er gerne möchte. Dazu bedarf es keinen einseitigen Kommentar. Die Verschlüsselung war für meinen Wechsel auch nur zweitrangig. Vordergründig möchte ich, nun bald facebook, nicht noch mehr Nutzungs- und Zugriffsrechte erteilen. Deshalb kein Whatsapp und facebook mehr am Telefon. Kann ja jeder für sich selbst entscheiden. Egal ob allein oder mit der Masse.

  • http://solariz.de/ Marco G

    Sorry aber die Pauschale Aussage das beide Messenger dadurch nicht sichrerer Sind als Whatsapp ist absoluter Käse und teilt nicht meine Auffassung.

    Nur weil eine Sicherheit nicht 100% erreicht wird ist sie damit komplett obsolet und wir können direkt offene Nachrichten Senden? Das wäre der selbe Vergleich wie zu behaupten: Nur weil die meisten Nutzer nicht sicheres Passwörter setzten brauchen wir eben gar keine Passwörter.

    Im Endeffekt ist es doch nur der Persönliche subjektive Mehrgewinn und unser aller objektiver Mehrgewinn für die “Awarness” und damit kann ich nur sagen “DANKE” da die Leute massive die alternativen Hypen, denn nur so kommt es vielleicht auch mal in den Konzern Zentralen an.

    Alles andere ist Kopf in den Sand stecken und Heulen auf hohem niveu das man sowieso nichts ändern kann ohne es auch nur zu versuchen.

    • http://about.me/charles.engelken Charles Engelken

      Ich hätte kein Problem damit, wenn man speziell Threema und Telegram bodenständiger betrachten würde. “Sicher” sind sie nicht – wenn, dann wäre “sicherer” angebracht. Das ist ein Aspekt der Naivität, die ich angesprochen habe, denn die beiden Messenger sind eben nicht “sicher”, genau das wird aber angenommen.

      • http://solariz.de/ Marco G

        Bodenständiger gerne, aber man sollte mal an der Definition Sicher arbeiten. Sicher für einen Milliarden Konzern oder Sicher für Frisöse Tina?

        Bei Bedarf echter Sicherheit wird KEINER auf eine App wie Threema oder Telegram Setzen. Von daher reden wir hier nur von Privater Sicherheit und hier ist nach wie vor meine Aussage gültig: Besser 80% erreichen als 0%.

        Der Aufwand der betrieben werden müsste um eine End zu End Verschlüsselung zu knacken steht über jeglichem Ertrag. Der wichtigste Aspekt, und deswegen scheidet Telegram für mich auch aus, ist die Tatsache das selbst wenn die Daten auf einem Anbieterserver liegen – sie nicht systematisch ausgewertet werden können.

        • esgames.org

          Wieso scheidet Telegram dadurch für dich aus? Dessen Secure Chat benutzt End-zu-End-Verschlüsselung.

        • Michi

          Wenn ihr wirklich Sicherheit wollt, geht mal ins Darknet… ;)

      • kai

        Wieso stellt du es als Fakt hin, dass Threema nicht sicher ist? Du kannst es doch gar nicht überprüfen.
        Was wäre, wenn die X Sicherheitsgurus Codeeinsicht gewähren und alle sagen das ist sicher? Reicht das? Oder muss es zwangsweise OS sein um als sicher zu gelten?
        Wo ziehst du die Grenze?
        Hast du ein selbst kompiliertes Android laufen? Bist du dir sicher, dass deine Tastatureingaben innerhalb jeder App nicht sonstwohin gehen?

        Alles ist besser als WA, dass ungefragt sämtliche Kontaktdaten über die Leitung schickt…

    • Rainer Moos

      Volle Zustimmung !!!
      Alles andere spielt nur den Gegenseite in die Karten.
      Lassen wir die Haustüre unverschlossen, nur weil Einbrecher auch trotzdem rein kommen?
      Allein der irrwitzige Kaufpreis für WA (und sei es auch bisher nur ein Angebot) sollte doch wirklcih auch dem Letzen klar machen, dass es sich jetzt zu schützen gilt ;-)

  • Christian

    Die Kryptoanalyse zu Telegram war aufschlussreich, aber “unsicher” würde ich das jetzt nicht nennen – eher “nicht so sicher wie möglich”. SHA1 ist bisher nur theoretisch kaputt, HMAC fehlt, bzw. wurde kaputt implementiert. Das ist ärgerlich, kann aber gepatcht werden. Viel heftiger ist da die fehlende Validierung von Public Keys. Die _muss_ gepatcht werden, sonst hat Telegram den gleichen Sicherheitsstandard wie iOS/OSX bis vor kurzem…

    Immernoch besser als Threema jedoch: Das ist per Definition nicht vertrauenswürdig, weil nicht offen. Da ist es egal ob die behaupten sie machen nur aktuelle und sichere Krypto. Solange sie das nicht zeigen, müssen wir davon ausgehen dass Threema ROT13 macht und eigentlich ein Botnetzclient ist.

  • Aaron

    Bin ganz der Meinung meines Vorredners Marco G.

  • http://schumyswelt.de/ Yannik

    Viele von meinen Bekannten wollen jetzt zu Telegram wechseln. Dass diese App jedoch von den “russischen Facebook-Machern” (VKontakte) ist, wird einfach ignoriert..

    • Josh

      Die ehemaligen VK.com Gründer haben Telegram initiiert. Und? Telegram hat sonst nix mit VK.com zu tun. Die sind und bleiben unabhängig von VK. Btw, Server stehen für Europa momentan in London (Gut net so toll wenn man ans GCHQ denkt, aber Nachrichten sind ja verschlüsselt auf deren Servern), Telegram HQ ist in Berlin… Hat ja soviel mit Russland zu tun :O

  • Pingback: [Vorstellung/Diskussionen zu]Telegram - die bessere Alternative zu Whatsapp - Seite 10 - Android-Hilfe.de()

  • Pingback: Threema - die wichtigsten Fragen - Seite 17 - Android-Hilfe.de()

  • julianwki

    Zum Thema Threema noch ein paar Punkte, was zu deinem Artikel erwähnt werden sollte:
    1.
    Die PFS kann erzwungen werden, indem die App neugestartet wird, oder
    erfolgt zwangsweise nach 7 Tagen. Die PFS betrifft “nur” den Transport,
    aber nicht die verschlüsselten Nachrichten an sich. (Quelle:
    https://threema.ch/de/faq.html)
    2. Auch wenn der Source closed ist,
    wird die Möglichkeit geboten, die Verschlüsselung zu prüfen. Dazu wird
    auf der Webseite eine Anleitung zur Validierung (so gut es eben mit
    Closed Source geht) angeboten. https://threema.ch/validation/
    Ich für
    meinen Teil vertraue den Jungs von Threema mehr als Zuckerberg &
    Co. Absolute Sicherheit erwarte ich hier aber auch nicht.

  • Olli

    Woher hast du die Behauptung, dass die PFS-Keys nur alle sieben Tage erneuert werden? Nicht zugestellte Nachrichten liegen sieben Tage lang (end-to-end-verschlüsselt) auf den Servern von Threema, das stimmt, aber die Sitzungsschlüssel werden meines Wissens bei jedem Appstart erneuert. Wenn die privaten Keys über QR getauscht wurden, besitzt Threema diese nicht und die Nachrichten können nur noch per brute force (mit erheblichem Aufwand) geknackt werden (genau wie Fabian Peter es so schön beschreibt). Klar ist es schade, dass Threema den Quellcode nicht offen legt, aber die Gründe dafür liegen ja auf der Hand. Es geht doch gar nicht darum, dass Threema SICHER ist, es ist definitiv VIEL VIEL sicherER als WhatsApp und natürlich auch Telegram (was ein schlechter Witz), und DAS ist, worauf es ankommt. Wer SICHER will, soll offline gehen und sich mit den Leuten in einer Bleikammer privat unterhalten.

    • https://blog.wiersbitzki.com/ julianwki
      • http://www.huggenknubbel.de/ Steffen aka schlüppi

        “mindestens aller 7 Tage” Genauigkeit ist hier gefragt.

        • https://blog.wiersbitzki.com/ julianwki

          Interpretiere ich als “Neuer PFS-Key bei jedem Start der App oder wenn der PFS-Key älter als sieben Tage ist”. Oder was meintest du?

    • http://about.me/charles.engelken Charles Engelken

      die Sitzungsschlüssel werden meines Wissens bei jedem Appstart erneuert

      Kurz angerissen: Ein “App-Start” bedingt (sofern sich die Definition von mir nicht von der des Threema-Teams unterscheidet – was ich übrigens auch gerne mal wissen würde), dass die App vorher geschlossen sein musste. Android beispielsweise lässt Apps ausgezeichnet im Hintergrund laufen, in der Praxis wird die App wohl nie “geschlossen” im klassischen Sinne sein.

      • https://blog.wiersbitzki.com/ julianwki

        Ich würde bei Android von der onStart() Methode und dem Activity-Lifecycle ausgehen. Vgl. http://developer.android.com/training/basics/activity-lifecycle/stopping.html (Figure 1)

      • des Direktors Gehilfe

        Und ist dir auch bewusst, dass es dabei gar nicht um die End-to-End Verschlüsselung der Nachricht geht? Es geht um SSL. Da wären sogar 7 Tage nicht unvorsichtig.

      • Olli

        Android ist ja auch ein Haufen Schrott. Bei iOS hat der Nutzer (auch ohne systembremsende Tweaks) volle Kontrolle über die aktiven Apps. Ich halte es aber auch für unwahrscheinlich, dass die App auf Android eine ganze Woche lang aktiv bleibt (julianwiki hat dazu offenbar mehr). Ändert außerdem nichts daran, dass die Nachrichtenverschlüsselung sicher bleibt.

        • Gast0815

          Zitat: “Bei iOS hat der Nutzer (auch ohne systembremsende Tweaks) volle Kontrolle über die aktiven Apps.”
          DAS halte ich aber für ein Gerücht! ;)
          iOS Nutzer denken halt nur gerne, sie hätten die supi-dupi-beste Auswahl getroffen – teuer ist nicht immer besser.
          Android hat da (zumindest als nicht-stock-Installation) doch deutlich mehr zu bieten.

          • Gast1948

            “Android hat da (zumindest als nicht-stock-Installation) doch deutlich mehr zu bieten.”

            Die Standardaussage eines Android-Users. Ich sage nicht, dass teuer = besser ist, jedoch bevorzuge ich die Einfachheit von iOS und dass die Updates immer direkt für das Gerät verfügbar sind und nicht wie bei anderen Handys, dass man mehrere Wochen auf ein Update warten darf. Zudem brauche ich nicht alle Möglichen Optionen was zu verändern, da da s Gerät einfach nur funktionieren soll, was es auch tut.

            Zum Thema: Mir geht es nicht um Sicherheit, sondern einfach nur darum, dass Facebook meine Handynummer nicht haben soll, bin daher auf Telegram umgestiegen, da es gratis ist und hab auch schon viele meiner WhatsApp Kontakte zu diesem Wechsel gebracht.
            Von mir aus können andere mitlesen was ich schreibe, habe nichts großartig zu verbegen. Wenn ich mit jemandem rede, können andere auch zuhören, von daher ist das sowieso egal.

          • Olli

            Nö, ohne Tweaks eben nicht. Die Datenschutzeinstellungen sind mangelhaft, genauso, wie das intransparente Multitasking. Genau darum geht es ja gerade. Und mit Jailbreak und Tweaks kann ich auf iOS auch alles machen.

        • https://blog.wiersbitzki.com/ julianwki

          Hörensagen führt nur zu unnützen Aussagen wie “…ist ein Haufen Schrott.”. Wenn man keine Ahnung von einer Technologie hat, sollte man nicht probieren darüber zu urteilen.#my2cents

          • Olli

            Mit Hörensagen hat das nix zu tun. Auf Android hat man ohne Tweaks keine richtige Kontrolle über das Multitasking. Das ist ein Fakt. Androidnutzer sprechen immer von der tollen Kontrolle, die ihr System bietet, die de facto aber überhaupt nicht vorhanden ist. Android ist unsicher und ohne Tweaks noch unkomfortabler als iOS ohne Tweaks. Dass man dann einige Tweaks ohne zu rooten installieren kann, macht das dann auch nicht viel besser.

            • https://blog.wiersbitzki.com/ julianwki

              Wie ich schon sagte, du hast keine Ahnung von Android und dessen App-Lifecycle. Auf welche Tweaks, die man angeblich unbedingt bräuchte, du anspielst, ist mir auch nicht klar. Hörensagen eben. Aber ich will dich nicht mit Fakten verwirren, du hast ja deine Meinung.

  • Rainer Moos

    Wenn die Basis einer Betrachtung falsch ist, erscheint alles darauf Aufbauende folgerichtig und damit richtig, ist aber trotzdem falsch;-)

  • Al

    Was hält die 5.000 Crypto-Experten davon ab, Threema-Nachrichten zu entschlüsseln???

    • Raul Katos

      Der hohe Aufwand und der geringe Nutzen. Ganz einfach. Du scheinst zu glauben, man könne mit genug Ressourcen mal eben alle Nachruchten von Threema entschlüsseln. Ähm, nein, kann man nicht. Man kann mit hohen Aufwand vielleicht eine bestimmte entschlüsseln, wenn man wüsste, dass sie wichtig genug wäre.

  • Anna

    Wow! Ist der Artikel gekauft? Es geht vielleicht nicht nur darum, ob eine Verschlüsselung zu 100% sicher ist, sondern viel mehr darum, ob der Messenger darauf abzielt, Informationen auszuspähen… Im Fall von Whatsapp ist anscheinend auch das Mitschneiden von Gesprächen kein Problem – selbst wenn die App inaktiv im Hintergrund läuft.

    http://www.pcgameshardware.de/Sicherheit-Thema-229955/News/NSA-ueberwacht-auch-beliebte-Handy-Apps-1106969/

    http://www.derwesten.de/staedte/hohenlimburg/wie-die-super-wanze-whatsapp-die-privatsphaere-aushoehlt-id8973421.html

    • http://www.koblow.com/ Björn Koblow

      … und die eine App kann die Kamera nutzen und die andere loggt die Tastatureingaben mit … Am besten das Smartphone ausschalten und das gute alte Nokia 3210 rauskamen, ne?! ;)

      • http://solariz.de/ Marco G

        Sorry abre ich verstehe nicht wieso so viele Leute, die es eigentlich besser wissen müssten, solch ein stupides Schwarz Weiß denken bei diesem Thema offenbaren. Es gibt auch was dazwischen….

        Wie ein anderer in den Kommentaren oben erwähnte:
        Nur weil ich mir bewusst bin das jeder etwas geübte Einbrecher meine Haustür in 0 komma nix aufbrechen kann, so lasse ich sie auch nicht direkt offen stehen.

        Bei der Smartphone Nutztung dagegen sehen viele Nutzer ein Ohnmachtsgefühl und unternehmen dann gleich gar nix, weil nur ein bisschen was zu machen bringt ja nix ?!?! WTF?

        • http://www.koblow.com/ Björn Koblow

          Sorry, habe wohl die Sarkasmus-Tags gegessen ;)

          Ich stehe total auf den gesunden Menschenverstand. Dein “dazwischen” gefällt mir deshalb sehr.

    • http://about.me/charles.engelken Charles Engelken

      Wow! Ist der Artikel gekauft?

      Ja, das ist er tatsächlich. Deswegen liege ich gerade auch mit einer Flasche Champagner neben mir in Monaco und lass mir die Sonne auf den Bauch scheinen.

      Mal im Ernst: Willst Du mich verarschen? Sobald Dir irgendwas ansatzweise nicht gefällt, ist es gekauft? Sicher. Deswegen schreibe ich auch, dass WhatsApps Verschlüsselung auf RC4 aufbaut, is klar…

      Zu den beiden Links: Hast Du Dir die Texte auch mal durchgelesen und nicht nur die Headlines – vor allem den Artikel von der WAZ?

  • Guy

    Der Masse folgen. Da liegt ja gerade der Hund begraben. Was nützt mir eine gute App, wenn ich der Einzige bin? Mit mir selbst kommunizieren macht ja weniger Spass. Darum muss man dort hin wo die Masse hin geht…

    • Orakel

      Die Schweizer sind an Datenschutzgesetze gebunden. Werden diese verletzt, btw missachtet, hagelt es Klagen. In Amiland gibt es keinen Datenschutz und verklagen kan man als Deutscher auch kein US-Unternehmen seit dem WWII(ganz abgesehen von den sich willkürlich ändernden AGB, denen man mit dem Installieren der App zugestimmt hat.

  • Lindworm

    Dieser Artikel lässt mir die Haare zu Berge stehen. Und zwar aus 3 Gründen.

    1. Hier wird mit dem Wort “sicher” gearbeitet, es gibt aber verschiedene Formen von “Sicher” über die man sprechen kann und der Autor benutzt mehrere dieser Arten synonym. Eins muss mal klar werden. Es gibt kein SICHER. Weder im Straßenverkehr, noch beim Sex und schon garnicht im Internet.

    2. Es wird behauptet WhatsApp sei verschlüsselt. Das ist insofern richtig, als das WhatsApp den Transport zwischen Sender und Server, sowir zwischen Server ud Empfänger SSL-verschlüsselt. Das hat mit einer Ende-zu-Ende Verschlüsselung wie Threema und andere programme sie nutzen absolut nichts zu tun. Hier werden also Äpfel mit Birnen verglichen.

    3. Eine WhatsApp Nachricht ist Klartext und maximal (wenn alles gut läuft) auf dem Transportweg SSL-verschlüsselt. Sie ist nicht signiert und könnte von einem ManInTheMiddle oder dem Server verändert werden. Das ist bei Ende-zu-Ende Verschlüsselung wie sie z.B. Threema praktiziert nicht möglich. Jede veränderung der Nachricht(warum auch immer) würde spätestens durch die Signatur auffallen.

    Im Endeffekt stellt sich die Frage für den Benutzer. Schicke ich meine private Konversation mit Postkarten (lesbar für praktisch alle) mit einem Postboten dem ich vertraue (SSL) auf den Weg, oder benutze ich lieber einen Brief (Ende-zu-Ende), der aufgerissen werden müsste (was ich bemerke) an meinen Gesprächspartner?

    Allgemein senden wir viel zu viel mit Postkarten durch das Internet.

    BTW: Wenn der WhatsApp-Client nen Problem mit dem SSL hat schaltet er auch diese Verschlüsselung einfach aus. (Kann man testen, wenn man SSL an seinem Heimrouter sperrt.)

    • Martin

      Danke, ich stimme vollends zu.

  • rainerjun

    Ich finde das ganze Thema total überflüssig und bin im Endeffekt der Meinung des Autors… Mir ist es total egal wie Sicher Whatsapp ist. Wenn ich meinen nächsten Terroranschlag auf irgendjemand oder was plane, werde ich das eben nicht mehr per Whatsapp planen… Was glaubt ihr denn wie sehr sich die NSA für euer Whatsapp Gelaber interessiert? Sollten Sie sich für euer Gelaber interessieren stehen Sie mit dem Richtmikrofon vor eurem Bleikeller, bzw. haben V-Männer in eurer Verwandschaft…

    Defakto ist Whatapp der einzige Dienst der fast an die Abdeckung und Stabilität vom SMS Server heran reicht und der einzige Dienst, wo ich alle meine Kontakte auf einen Schlag erreiche. Auf dem Telefon dümpelt Hangout und SMS ohne Nutzen herum und nur Whatsapp wird wirklich genutzt…

    Vielleicht muss ich jetzt noch Threema und Telegram neben SMS und Hangout installieren und einfach da liegen lassen… Stört ja eigentlich nicht wirklich, wobei mich dann vier oder fünf Dienste beobachten und verfolgen und bei mir mit lesen :-)))

    Vielleicht bleibe ich da doch besser bei Whatsapp, lösche alles andere und lege die Ohren an :)

    Witzig ist ja das alle Whatsapp Flüchtlinge noch bei Facebook oder hier mit chatten… Eigentlich der Beleg für die fadenscheinige Debatte..

    Grüße…

    • zuckerberg

      Whatsapp ist absoluter Bockmist, lieber umsteigen und weniger Kontakte haben,.. nur welche App setzt sich durch? oder kann das nur Whatsapp?
      FB braucht kein Mensch…

      Blackphone hört sich auch interessant an..

    • https://blog.wiersbitzki.com/ julianwki

      “Stabilität”, der ist gut! :-D

    • Patrick Bäder

      Also ich sehe es so ähnlich wie rainerjun mus ich sagen.

      Viele die grad Panik am schieben sind posten auf facebook, Google+, instagram oder sonst wo ihr halbes Leben und erzählen nun plötzlich was von wegen Sicherheit. Da kann man nur mit dem Kopf schütteln………….

      Wenn einer generell damit ein Problem hat und sonst auch auf seine Privatsphäre achtet der muss eben wechseln zu Threema.

  • Pingback: WhatsApp-Konkurrenz: Auch Threema und Telegram sind nicht sicherer()

  • martin

    sehr destruktiver beitrag. solche beiträge werden in zukunft leider öfter zu lesen sein, dafür wird facebook schon sorgen. ich finde gut, dass sich die leute nach alternativen umschauen. das hat nix mit hysterie zu tun, sondern dass die menschen sich zu wehren wissen gegen monopolisten.

  • des Direktors Gehilfe

    Mensch ist der Artikel peinlich. Ein paar Punkte hat ja Lindworm schon angesprochen. Hier noch ein paar Punkte:

    1) Der Autor behauptet: Threemas Verschlüsselung wer nicht Open-Source. Wie wenig muss man sich mit Threema auseinander gesetzt haben, um nicht zu wissen, dass das falsch ist? Threema verschlüsselt mit der Open-Source-Bibliothek NaCl.

    2) Das mit dem Austausch der PFS-Schlüssel: Der Autor glaubt anscheinend ernsthaft, dass damit die Nachrichten verschlüsselt werden. Leute, dass ist der Schlüssel für die SSL-Verbindung, die zusätzlich oben drauf kommt.

    Etwas mehr Kompetenz sollte man schon erwarten können. Oder alternativ vielleicht auch mal die FAQ schauen? https://threema.ch/en/faq.html

    Ansonsten muss man ja nicht unbedingt so tun, als hätte man zu dem Thema was zu sagen…

  • ccgin

    “Verschlüsselt” ist wahrlich nicht der Grund. Hauptsächlich nicht mehr grün.. wäre hier richtig gewesen. So etwas regt mich auf!!! Mein Gott, hat der Schreiberling dieses Artikels gar nichts verstanden….

  • Georg

    Inwiefern macht mich denn eine FOSS-Verschlüsselung *garantiert* sicherer? Wenn ich den Code nicht lesen kann, muss ich Analysen Dritter vertrauen. Zudem habe ich keine Garantie dafür, dass auf den Servern eine absolut identische Software läuft.

    Die einzige akzeptable Lösung wäre eine FOSS-App, deren Verschlüsselung von wirklich sehr glaubwürdigen Stellen getestet wurde (da findet man wohl generell nciht wirklich viel…) oder eben ein eigener FOSS-basierter Server daheim.

    Dein Text ist in jedem Fall super, er wird mir sicherlich noch einige Male als Argumentationshilfe dienen :)
    (PS: Aber über Sicherheit und den Umgang mit gesammelten Daten sprechen, und dann für die Kommentare Disqus erzwingen, najaaaa ;-))

  • Chris

    Wie schon so mancher Vorredner schrieb. Ein wirklich nicht durchdachtes Statement – Artikel würde ich das geschreibsel oben nicht nennen, weil es dazu nicht objektiv genug ist. Natürlich ist Threema nicht 100% sicher. Nichtmal eine per GPG verschlüsselte über ChatSecure über TOR geschickte Nachricht ist 100% sicher. Aber 500% (Zahl erfunden) sicherer als WhatsApp. Denn mir geht es nicht nur um die Man in the Middle Attacke, die bei WhatsApp mehr schlecht als Recht verhindert wird, nein, es geht mir (vor allem) darum das WhatsApp aka. Facebook meine Nachrichten analysieren (lesen wirds wohl keiner) kann. Ich wehre mich dagegen immer gläserner zu sein. Und ich wehre mich auch so dagegen, indem ich alle meine Daten woanders habe. So habe ich meine Cloud bei Dropbox – das ist auch unverschlüsselt, hab da aber eh nur unwichtiges Zeug drauf. Und wenn mal was wichtiges dabei ist, verschlüssel ich halt nen 5 MB Container mit TrueCrypt. Ich nutze aber eben nicht GoogleDrive. Und ich nutze auch nicht das Adressbuch von Google, auch wenns komfortabler wäre, sondern das bei Posteo (ist sogar verschlüsselt…) – wo ich auch meine Mail-Adresse habe. Meine News lese ich bei rivva.de und ähnlichen aggregatoren. Ich lösche alle Browserdaten immer wenn ich ihn schliesse. Kurzum diversität. Das erschwert Konzernen das Datensammeln und dadurch manipulieren sehr. Habe auch eine Zeit lang versucht möglichst alles bei Google zu haben, weils “leichter” ist. Aber in Summe habe ich so ein besseres Gefühl. Ausserdem merkt man wirklich sehr, wie sehr man vorher in seiner “Filter-Bubble” festsaß.

  • http://www.tesnex.de/ Maximilian O.

    Ich persönlich bin aus einem komplett anderen Grund zu Telegram gewechselt. Mir geht es nicht um die Verschlüsselung. Mir geht es darum, Facebook daran zu hindern, ein noch vollständigeres Nutzerprofil zu erstellen. Ich vertrete die Auffassung, dass geteilte Daten immer besser sind als kombinierte Daten. Das ganze habe ich hier etwas ausführlicher beschrieben:

    http://www.mobiflip.de/tipp/whatsapp-warum-ein-wechsel-eben-doch-sinnvoll-ist/

    Daher finde ich es durchaus richtig, dass man einen Wechsel mit dem Argument der Sicherheit & des Datenschutzes begründet. Egal, wohin man wechselt, man tut etwas dagegen, dass ein Unternehmen alleine das gesamte Leben kennt. Und das ist grundsätzlich richtig. Im Grund genommen ist derzeit jeder Messenger besser als Whatsapp. Es sei denn, man nutzt kein Facebook, dann ist es egal.

  • pone

    Bei der ganzen Diskussion vergessen Sie, dass Whatsapp bzw. Herr Zuckerber jetzt mit 19Mrd in der Bringschuld steht. Ich bin zwar kein Betriebswirt, aber ich gehe davon aus, dass diese Leute Geld verdienen müssen und somit mindestens 19Mrd-und-1-Dollar mit dem Deal reinholen müssen.
    Vielleicht sollten sie darüber mal recherchieren und bloggen.
    Mir ist die NSA tatsächlich egal. Frau Merkel nicht. Sie benutzt sicherlich keine dieser hier beschriebenen Anwendungen.
    Ich als Laie muss ja erstmal “glauben”, dass etwas vermeintlich sicher ist und meine Inhalte nicht verkauft werden. Skeptisch werden ich erst, wenn etwas ca. 1 Euro im Jahr bringt aber 19Mrd kostet. Die werden nicht 28Jahre auf Rendite warten.
    Sicherheitslücken tauchen immer wieder auf. Aktuell war die Fritzbox einer massiven Sicherheitslücke ausgesetzt. Da schreiben sie doch auch nicht “Firewall einschalten nützt nichts, es gibt Hacker die diese umgehen können”.
    Aktuell eine extrem üble Lücke in allen Apple OS. Wo ist der Artikel lieber kein Apple?

  • Uffta82

    Ich finde hier sollte man aber auch mal die Kirche im Dorf lassen. Es geht nicht um sicher oder nicht sicher, sonder darum, was der Anbieter mit den Daten machen kann und ob er die “mitliest”. Bei Threema wird das wohl nicht der Fall sein.

    Keiner der eine sichere Kommunikation möchte, wird einen solchen Messanger benutzen. Aber auch wenn diese Kommunikation keinen Geheimstempel braucht, möchte man trotzdem nicht, dass diese von der Werbeindustrie resp. FB missbraucht werden kann. Das ist wohl die Intention der Leute, die jetzt wechseln.

    Ich selbst nutze den höchstmöglichen Schutz, ich kommuniziere nicht über Messenger :-)

  • Norbert naiv

    Das man ‘naiv’ So oft in einem Beitrag platzieren kann ist mir neu. Und das surespot besser sein soll zeugt einzig davon, das selbst der verfasser es nicht so genau mit seinem fazit nimmt, nämlich recherchieren und nachdenken.

  • Josh

    Ohne dir auf die Füße zu treten, aber in der Telegram FAQ steht schon lange dass die Nachrichten IMMER verschlüsselt sind. Secret Chat ist End-to-End. Normaler Chat ist Client-Server / Server-Client. Das heißt nicht dass die Nachrichten auf dem Server verschlüsselt liegen sondern lediglich dass sie auf den Servern gespeichert sind. Das ermöglicht die Benutzung von mehreren Clients parallel und dass man immer auf seine Nachrichten zugreifen kann. ;)

  • Mister X

    Um mal das Fazit aufzugreifen: Dann hat man zwar einen Anbieter mit Finanzierugsmodell, Open Source Code und sicherer Verschlüsselung gefunden, weil man brav recherechierte. Aber was nutzt es, wenn alle anderen bei Threema stranden???

  • Peter

    Angestellter von WhatsUp oder FaceCopy?
    Im Ernst: grundsätzlich ist OpenSource die sicherste Option, aber dass ein Enwickler sein KnowHow erstmal für sich behalten will ist auch verständlich. Eine spätere Überprüfung des Codes durch eine Nicht USA/NSA oder englischen Inselreich-GHCQ kann auch einen hohen Sicherheitsstandard versprechen.
    DAS WICHTIGSTE: Eigene EU-Produkte gegen die gegen uns und unsere Wirtschaft gerichtete Spionage !!!
    Nur wirtschaftliche Interessen werden Spionagetätigkeit der USA und England einschränken können.
    Nur das Abwandern auf europäische Produkte setzt Zeichen!
    Daher gebe ich gern den Euro etwas aus, selbst wenn ich mich in ein paar Monaten oder Jahren ein anderes nicht Zuckerberg-Produkt entscheiden sollte.

  • Pingback: Whatsapp, Facebook, Sicherheit | blogarithmus()

  • gast

    die leute wechseln nicht wegen der verschlüsselung oder besserem datenschutz. das sinst höhstens paar nette nebeneffekte. viele wechseln einfach deswegen weil sie nicht alles bei facebook haben wollen.whatsapp hatte einen besseren ruf wie FB deswegen wurde es z.T auch etwas “offener” genutzt

  • Jim

    Ich finde es ist ganz einfach:

    Man geht davon aus, dass es unsicher ist.

    Wenn die NSA eine Hintertür im Betriebssystem
    hat, die z.B. jeden Buchstaben den ich tippe auslesen kann, dann bringt mir
    auch keine Verschlüsselung mehr was.

    Würden alle meine Freunde ein iPhone haben
    müsste ich mir wegen der Apps weniger Gedanken machen, weil ich dann iMessage
    nutzen könnte.

    Für mich zählt daher primär eins: Wem gehört
    die Firma.

    Und Facebook gehört zu einem nicht kleinen Teil
    der Private Equity Gesellschaft der Geheimdienste.

    Und denen gebe ich meine Onlinekommunikation
    nicht einfach so für lau.

    Wenn sie diese illegal von mir klauen ist das
    was anderes.

    Außerdem ist Facebook einer der schlimmsten
    Zensoren, die es gibt.

    Beispiele: Mutter postet Foto von Kind auf Demo gegen Monsanto (weltgrößte
    Giftmischer und Feinde sämtlichen Lebens auf der Erde), wird angemahnt das Foto
    raus zu nehmen, sonst wird ihr Profil gelöscht.

    Geschmacklose Fotos von Soldaten neben
    geköpften Unschuldigen etc., alles kein Problem, das darf gepostet werden.

    Deswegen: Facebook sind Faschisten, mit denen
    ich nichts zu tun haben will.

  • Andreas Meyer

    Oberflächlich ist hier leider vor allem dein Beitrag… Zero neue Information, und logisch unschlüssig. Dich stört, dass Leute wechseln und erkennst ihnen einfach mal das Hirn ab, wenn sie “stumpf der Masse folgen”. Du bist ein Wichtigtuer, kein Experte

  • Andreas Meyer

    Omg, kritische Kommentare sind wohl nicht zugelassen und werden sofort gelöscht… Na dann weiß man ja jetzt Bescheid wie man dein Halbwissen da oben einzuordnen hat…

  • Benji

    Für mich ist NICHT die vermeintliche Sicherheit der Grund zum Wechseln, sondern ein Anderer: Die Tatsache, dass WhatsApp seine Nutzer (und Prinzipien) verkauft hat und Facebook offenbar meint, sich alles kaufen zu können. Facebook ist bekannt dafür, die gesammelten Daten der Benutzer für eigene Interessen zu missbrauchen – nicht im Sinne der Benutzer.
    Zwar ist das sicherlich der Preis, den man für Komfort und große (kostenlose) Vernetzung zahlen muss. Jedoch muss man nicht wollen, dass alles unter einem Hut steckt. Bei Facebook gibt es praktisch keine populären Alternativen, WhatsApp ist dagegen sehr leicht zu ersetzen.
    Es geht doch darum eben dieser unliebsamen Monopolbildung entgegenzutreten und Zuckerberg für seine arrogante Übernahme eines beliebten “vertrauenswürdigen” Unternehmens ein Schnippchen zu schlagen.

  • Raul Katos

    Selten einen derart undifferenzierten Schwachsinn gelesen. Deine vermeintliche Kompetenz hast Du aber sowas von gut kaschiert. Ich lese über Threema genau eine Aussage, nämlich closed Source. Das wars aber schon. Und es ist eben kein Beweis für Unsicherheit. Den erbringst Du nicht.

  • Tim

    Wenn alle Threema loben, erregt man mit der gegenteiligen Meinung natürlich mehr Aufsehen…
    1. Nur weil du Sicherheit einen Absatz vorher mit open source gleichsetzt, ist das noch nicht die Definition von Sicherheit. Zumal der Crpyto-Teil ja open-source ist.
    2. Für die Verschlüsselung wird die als sicher bekannte open-source-Bibliothek NaCl verwendet, die Verschlüsselung als solche kann also als sicher gelten.
    3. Forward Secrecy: Hättest du dir die Mühe gemacht zumindest die FAQs auf der Threemasite zu lesen wäre dir aufgefallen, dass nicht nur alle 7 Tage automatisch sondern auch bei jedem Start der App zusätzliche zufällige Sitzungs-Schlüssel ausgehandelt werden.
    Es sieht ganz danach aus als hättest du dich nur sehr oberflächlich mit Threema beschäftigt. Die Informationen, die inzwischen verfügbar sind zeigen, dass es sich bei Threema um eine sehr gut durchdachte Konzeption handelt, die maximale Sicherheit und Privatsphäre bei gleichzeitiger Bedienerfreundlichkeit bietet. Vielleicht erst mal etwas recherchieren bevor man seinen Blog hinrotzt und mit Effektheischenden “Meinungen” dafür sorgt, dass Laien nicht verstehen warum sie dann nicht einfach bei Whatsapp bleiben sollten.

  • Die Enten und Tim

    Wenn alle Threema loben, erregt man mit der gegenteiligen Meinung natürlich mehr Aufsehen…
    1.
    Nur weil du Sicherheit einen Absatz vorher mit open source gleichsetzt,
    ist das noch nicht die Definition von Sicherheit. Zumal der Crpyto-Teil
    ja open-source ist.
    2. Für die Verschlüsselung wird die als sicher
    bekannte open-source-Bibliothek NaCl verwendet, die Verschlüsselung als
    solche kann also als sicher gelten.
    3. Forward Secrecy: Hättest du
    dir die Mühe gemacht zumindest die FAQs auf der Threemasite zu lesen
    wäre dir aufgefallen, dass nicht nur alle 7 Tage automatisch sondern
    auch bei jedem Start der App zusätzliche zufällige Sitzungs-Schlüssel
    ausgehandelt werden.
    Es sieht ganz danach aus als hättest du dich nur
    sehr oberflächlich mit Threema beschäftigt. Die Informationen, die
    inzwischen verfügbar sind zeigen, dass es sich bei Threema um eine sehr
    gut durchdachte Konzeption handelt, die maximale Sicherheit und
    Privatsphäre bei gleichzeitiger Bedienerfreundlichkeit bietet.
    Vielleicht erst mal etwas recherchieren bevor man seinen Blog hinrotzt
    und mit Effektheischenden “Meinungen” dafür sorgt, dass Laien nicht
    verstehen warum sie dann nicht einfach bei Whatsapp bleiben sollten.

  • Gustel

    Was Threema betrifft ist das hier ein Troll-Blog-Eintrag, der nur viele Kommentare provozieren möchte. Schlecht recherchiert und daraus eine unsachliche von Meinung produziert, die von der die sich mit der Thematik auskennen abweicht.

    • Peter

      Stimmt

      • Felix

        Warum antwortest du dann darauf?

        • Gustel

          Keine Ahnung, Langeweile am Sonntag

          • Peter

            Deine Kommasetzung könnte noch verbessert werden ;-)

            • Gustel

              Oh ja, stimmt. Na ja passe mich der Qualität des Blogs an. ;-)

  • Pingback: Telegram – Mein Verschlüsselungs-Fail « Netroid()

  • rainfall

    JA! Aber das Wichtigste ist doch, dass man NICHT alle Kontaktdaten automatisch abgegriffen bekommt (und mit wer weiss-Methoden alle möglichen Daten mit XKeyscore womöglich WLAN-Zugänge etc. personen-analysiert werden…) — UND schon gar nicht direkt in die USA (auch nicht als “Schweiz Partner der NSA”… Backdoor usw.) – UND ob man zudem den Newcomer Telegram mit dem Automatik-Kontakte-Abgriff mit der Historie “russisches Facebook” trauen kann (z.B. Server in GB, direkt bei GCHQ…)… + womit will der denn Geld verdienen..?

    Dann doch lieber ein lange im Markt stehendes Tool, grosse Nutzerbreite (2. nach WA) und allen Anwendungen (Chat + Gruppe + Bilder + Video + VoIP + Chat-Timeline) und Handys/PC/Mac, mit sicherer Inhaltsverschlüsselung mit ehrlicher Finanzierung durch optionale Zusatzsticker oder auch Spiele… – in Japan… (nur AGB nicht so gut und keine E-2-E)

  • Tom

    Wer es mit Verschlüsselung und Sicherheit ernst meint, kann sich ja mal TextSecure ansehen:
    http://www.kuketz-blog.de/textsecure-crypto-held-oder-weiterer-blindgaenger-teil1/

  • Pingback: WhatsApp erhält sichere Ende-zu-Ende-Verschlüsselung und ist dennoch nicht “sicher” › Blog to go · Marcels Blog()

  • Pingback: telegram sicherheit | bruinrow()