WhatsApp-Konkurrenz: Auch Threema und Telegram sind nicht sicherer
Als WhatsApp von Facebook geschluckt wurde bzw. die Kaufabsichten an die Öffentlichkeit gelangte, waren plötzlich Messenger-Alternativen wie Threema und Telegram ganz hoch im Kurs. Aber ist die Konkurrenz eigentlich wirklich so viel sicherer, wie immer behauptet wird? Eine nüchterne Betrachtung des Themas und der beiden Konkurrenten bringt Erstaunliches zutage.
WhatsApp ist lange Zeit der Stern am Messenger-Himmel schlechthin gewesen, der in seiner knapp fünfjährigen Geschichte über 465 Millionen monatlich aktive Nutzer anhäufen konnte. Glaubt man jedoch der Stimmung der Netzgemeinde, dann müsste der Stern des (Noch-)Marktführers langsam sinken und die Konkurrenz davon profitieren. Insbesondere Telegram sah sich einem regelrechten Ansturm gegenüber, bei dem in den Spitzenzeiten bis zu 100 neue Nutzer pro Sekunde registriert wurden. Auch die Alternative aus der Schweiz Threema kann sich über einen regen Zulauf an Nutzern freuen. Aber sind die Alternativen wirklich so sicherer?
Sicherheit per Definition
Erst vor Kurzem hatten wir darüber berichtet, wie zwei Sicherheitsexperten Telegram kritisierten. Die Entwickler hinter Telegram konnten sich jedoch recht gut erwehren, zumal der Kryptoexperte selbst an einem Konkurrenzprodukt arbeitet und daher seine Entwicklung in einem besseren Licht erstrahlen lassen will. Trotzdem sind weder Telegram noch Threema als die aktuell beliebtesten WhatsApp-Alternativen wirklich sicher. Charles Engelken von CocasBlog hat sehr anschaulich verdeutlicht, wieso die WhatsApp-Konkurrenz nicht all zu viel sicherer ist im Vergleich zu WhatsApp. Es liegt vor allem an der Definition von „Überprüfbarer Sicherheit“. Zunächst einmal sollte festgehalten werden, dass in der Welt der Kryptologie der Leitsatz gilt:
Werfe der Verschlüsselung möglichst viele Gegner entgegen – hält sie das aus, ist sie sicher.
Heißt so viel wie wenn etliche Hundert oder Tausend Krypto-Experten eine Verschlüsselung zu knacken versuchen und daran überwiegend scheitern, dann ist die Verschlüsselung einer Software oder eines Dienstes auch wirklich als sicher einzustufen. Dazu müssen allerdings die Sicherheitskritischen Teile des Quellcodes offen einsehbar sein, wo Open Source ins Spiel kommt. Bei Closed Source kann die Verschlüsselung nicht von unabhängigen Experten überprüft werden und gilt damit per Definition als nicht sicher (genug). Nutzer müssen daher Vertrauen in die Behauptungen der Programmierer von Closed Source haben.
Als hätte ich es herbeigerufen. Der erste fragt zurück, welchen Messenger er nun nutzen solle. Über Facebook. Merkste wat?
— Charles Engelken (@CharlesEngelken) 20. Februar 2014
Telegram mit guten Ansätzen
Aber erstmal zurück zu Telegram, das von den Gründern des russischen Facebook-Kontrahenten VKontakte entwickelt wird. Zwar sind Teile der Software unter Open Source Lizenz gestellt, die sich auch um die Verschlüsselung kümmert aber das alleine reicht nicht aus. Zum Beispiel wird die veraltete Verschlüsselung SHA1 genutzt, die seit gut neun Jahren als nicht mehr sicher gilt. Außerdem werden Unterhaltungen nicht standardmäßig verschlüsselt, bzw. lässt sich das nicht einstellen.
Stattdessen müssen die Secure-Chats für jede Konversation erst per Hand eingerichtet werden, bevor die von Nutzern erwünschte und gewollte Verschlüsselung überhaupt zum Tragen kommt. Außerdem werden die sogenannten Public Keys nicht authentifiziert, die zur asymmetrischen Verschlüsselung genutzt werden.
Threema ist kaum besser
Ein wenig populärer als Telegram ist hingegen der WhatsApp-Konkurrent Threema, der mit einer End-to-End-Verschlüsselung um neue Nutzer wirbt. Aber auch dieser Konkurrent zu WahtsApp ist nicht sicher, jedenfalls wenn man nach der eingangs genannten Definition von Sicherheit geht. Denn Threema ist komplett Closed Source, was die Überprüfung der Algorithmen für die Verschlüsselung durch unabhängige Experten schwierig bis unmöglich macht. Es können weder Fehler in der Implementation der Algorithmen aufgedeckt werden noch lässt sich ausschließen, dass die Entwickler nicht vielleicht eine geheime Backdoor zum Umgehen der Verschlüsselung eingebaut haben.
Paranoide Naturen werden an dieser Stelle gleich wieder einen Bogen zur NSA und dem britischen GCHQ ziehen, auch wenn das totaler Quatsch ist. Insofern muss man den Schweizer Entwicklern blind vertrauen. Zwar kann keiner den Algorithmus zur Verschlüsselung einsehen und somit potentielle Schwachstellen ausfindig machen, was auch wieder eine gewisse Sicherheit mit sich bringt. Aber trotzdem bleib ein gewisser Nachgeschmack übrig. zumal ein Problem in Sachen Sicherheit definitiv bekannt ist: Perfect Foward Secrecy (PFS). bei diesem Prinzip wird der Schlüssel einer Sitzung innerhalb kurzer Zeitintervalle gewechselt aber die sieben Tage die Threema nutzt, sind wohl kaum als „kurze Zeitintervalle“ anzusehen.
WhatsApp und seine Wechsler
Letzten Endes sind die als so sicher bejubelten Alternativen zu WhatsApp nicht allzu viel sicherer, zumindest was die überprüfbare Sicherheit und Verschlüsselung betrifft. Ihr reger Nutzerzulauf beruht daher nur auf der Tatsache, dass sie von ihren Entwicklern als „sichere WhatsApp-Alternative“ beworben werden. Ob die Behauptungen nun stimmen oder nicht lässt sich auf den ersten Blick nicht erkennen, das Vertrauen in die Entwickler spielt dabei eine große Rolle. Zumal die Art der Finanzierung der Dienste ebenfalls zu denken geben sollte. WhatsApp finanziert sich durch eine jährliche Gebühr die laut den Entwicklern dazu reicht, die Server-Infrastruktur am Laufen zu halten und die Mitarbeiter zu bezahlen.
Bei Threema hingegen werden einmalig 1,60 Euro fällig, ansonsten fallen keine weiteren kosten an. Auf Dauer reichen solche einmaligen Einnahmen nicht aus, auf irgendeinem anderen Weg muss Umsatz erwirtschaftet werden. Also müssen ständig neue Nutzer für sich gewonnen werden damit der Geldfluss nicht aufhört, die aber auch wieder mehr Serverlast erzeugen: Ein Teufelskreis wie er im buche steht. Und bei Telegram sieht es nicht besser aus. Die App ist kostenlos und die Entwickler behaupten, dass genügend Geld vorhanden ist. Nur woher das Geld kommt ist nicht bekannt. Ein Schelm wer Böses dabei denkt.
Am Schluss bleibt eigentlich nur die Erkenntnis, das keiner der beiden WahtsApp-Alternativen sich in Sachen Sicherheit großartig absetzen können. Viele Nutzer folgen einfach der Masse ohne sich ernsthaft Gedanken über den Hintergrund gemacht zu haben. Aber wie heißt es doch so schön: Der Mensch ist auch nur ein Herdentier.
Übrigens ist die Übernahme von WhatsApp durch Facebook noch nicht über die Bühne gebracht. Noch müssen die Behörden ihr Einverständnis erteilen.