Facebook kauft WhatsApp für $19 Mrd., und jetzt suchen viele User nach Alternativen. Wie sinnvoll das ist, sei mal dahin gestellt – Facebook nutzen eh die meisten, und die zu WhatsApp hochgeladenen Adressbücher verschwinden ja auch nicht plötzlich, weil man einen anderen Messenger installiert. Jedenfalls aber gibt es gerade viel Unsicherheit und Halbwissen zum Thema sicheres Instant Messaging.

WhatsApp ist funktional, aber ihr Umgang mit Sicherheit ist keine große Erfolgsgeschichte. Als Alternativen werden z.B. Threema, Telegram, SureSpot, TextSecure und Jabber/XMPP gehandelt. Die kurze Version:

  • Threema ist Closed Source und kann somit nicht vertrauenswürdig sein, außerdem wird der initiale Kaufpreis die Verbreitung einschränken (WhatsApp war da geschickter, mit kostenlosem Download und erstem Jahr der Nutzung);
  • Telegram hat hehre Ziele, aber die verwendete Verschlüsselung ist nicht State of the Art. Mehr dazu auf Hacker News, kurz: Nicht mit Sicherheit rechnen;
  • Surespot sind Open Source und die verwendeten kryptografischen Verfahren haben keine offensichtlichen Schwachstellen, außerdem haben sie eine Bedrohungsanalyse veröffentlicht. Surespot verwendet allerdings einen zentralen Server und begrenzt die Anzahl der Nachrichten auf 1000. Außerdem schlagen sie ein paar fragwürdige Dinge vor, wie z.B. den privaten Schlüssel auf Google Drive zu speichern.
  • Heml.is existiert noch nicht, und ihre Kommunikation zum Thema Verschlüsselung macht mir nur mäßig Hoffnung, aber man sollte Hemlis im Auge behalten;
  • TextSecure ist offen, standardisiert und sicher, aber momentan nur auf Android zu benutzen und setzt außerdem (noch) auf SMS auf. Die nächste Version ist in Arbeit und wird voraussichtlich alle Probleme der aktuellen Version lösen. Momentan ist es aber eher ein Nice to Have als eine echte Alternative für Instant Messaging mit anderen.
  • Jabber/XMPP mit OTR wäre theoretisch eine hervorragende Lösung, weil sie nicht nur offen, standardisiert und föderiert ist, sondern weil OTR gleich einen ganzen Schwung an Vorteilen gegenüber klassischer Kryptographie mitbringt. So sind Nachrichten nicht nur von einem Angreifer nicht mitzulesen, sondern OTR garantiert, dass alte Nachrichten selbst bei Bekanntwerden der aktuellen Schlüssel nicht auslesbar sind. Außerdem kann man nach Ende einer OTR-Konversation glaubwürdig abstreiten, die Nachrichten darin geschrieben zu haben – wichtig z.B. für Aktivisten. Leider setzt OTR voraus, dass beide Parteien gleichzeitig online sind, sonst verliert man viel Sicherheit. Gruppenchats sind im Protokoll noch nicht vorgesehen, sind aber in Arbeit. Schließlich sind die meisten Jabber-Clients, gerade im mobilen Umfeld, leider schlicht nicht besonders gut.

Was nutzen?

Es gibt keine eindeutige, abschließende Antwort. Man muss sich überlegen, welche Tradeoffs okay sind für das eigene Kommunikationsverhalten. Es wurden schon Aufstände über Telefon, SMS und sogar Twitter koordiniert, aber als Aktivist würde ich mich dennoch für OTR entscheiden. Für die normale Kommunikation privilegierter Menschen in der „First World“ dürften Threema und SureSpot okay sein. Sogar Telegram ist nicht so gravierend unsicher, dass man strikt davon abraten sollte, außerdem können (und wollen) Telegram ihre Verfahren ja noch anpassen. Insgesamt rechne ich Telegram sogar ganz gute Chancen aus, da es von vKontakte unterstützt wird und WhatsApp sehr ähnlich sieht. Die beste Lösung wäre wohl TextSecure v2; das dafür entwickelte Verschlüsselungsverfahren könnte auch asynchrones OTR vereinfachen.

Comments

Michael Nordmeyer

2014-02-20 16:12 CET

Du kannst Deinen WhatsApp-Account vor der Deinstallation der App löschen. Vielleicht werden die hochgeladenen Adressbücher tatsächlich gelöscht, weil sie mit dem Account verbunden sind.

igorette

2014-02-20 18:03 CET

Es gibt noch chatsecure von den textsecure-leuten

moeffju

2014-02-20 18:09 CET

@igorette Ha, ich dachte mir schon, dass da jemand was zu sagt. ChatSecure ist auch nur Jabber mit OTR, und hat mit TextSecure auch nicht direkt was zu tun. Es gab darüber sogar eine Diskussion mit @moxie auf Twitter.

onto

2014-02-20 22:30 CET

Es gibt auch noch CryptoCat (http://crypto.cat/) - aber die taten sich in der Vergangenheit auch durch ein paar Sicherheitslücken hervor. Zumindest wird es regelmäßig aktualisiert.

Romy Mlinzk

2014-02-21 08:40 CET

@Michael: Die Hoffnung stirbt bekanntlich zuletzt? ;)

Aber warum WhatsApp überhaupt löschen? Wenn man nur privat ab und zu Nachrichten austauscht, dann ist das meist wenig kritisch - das könnte man auch öffentliche Stati auf FB gleichsetzen. Abgreifbar, aber hey, selbst Schuld. Und jetzt auf FB groß anzukündigen, dass man aufgrund des Kaufs durch FB WhatsApp deinstalliert, hat sich mir eh noch nicht ganz erschlossen…

Für Aktivisten finde ich aber moeffjus obenstehende Anmerkungen sehr interessant und bin gespannt, wie die Entwicklung weitergeht.

P.S.: Jugendliche wird das kaum interessieren, für die ist WhatsApp das, was für uns früher SMS war. Das hat in deren Kreisen so gut wie jeder, ist geschlossener als FB und zumeist ohne Eltern - die löschen das ja gerade panikartig… - guter Schachzug also von FB, diese Zielgruppe durch den Kauf wieder einzufangen.

Ilka

2014-02-21 09:58 CET

Kennst Du schon enjoystr? (www.enjoystr.com) Anonym, sicher, kostenlos. Nachrichten werden mit Selbstzerstörungsmechanismus versehen und können sogar zurückgerufen werden …

Nicolas

2014-02-21 12:34 CET

Was ist mit Viber? Kit kat oder so ähnlich gibts nicht auch noch? Bitte ALLES auflisten… danke :)

flo

2014-02-21 12:53 CET

Gibt es eigentlich einen Grund wieso niemand auf den BBM eingeht? Da würde mich mal eine Bewertung im Vergleich interessieren. Oder ist BB schon überall abgeschrieben? O.o

WhatsApp, Facebook? « Spreeblick

2014-02-21 13:19 CET

…Technologien natürlich sofort Expertenstreits entbrannt sind, liegt in der Natur der Techniksache (moeffju hat eine kleine und verständliche Übersicht über die erhältlichen “Secure Messaging Apps” verfasst und ), vergessen sollte man aber bei allem Respekt vor den Anbietern verschlüsselter Clients auch …

Nonym

2014-02-21 13:29 CET

Ich vermisse den Messenger Kontalk: https://play.google.com/store/apps/details?id=org.kontalk http://kontalk.org/

Reni

2014-02-21 13:41 CET

Und Kontalk? Open source, im Gegensatz zu Threema, und kostenlos.

moeffju

2014-02-21 14:46 CET

@onto Das neue CryptoCat sieht tatsächlich ganz gut aus, nachdem sie durch das Feuer der Kryptographen gegangen sind.

@Romy_Mlinzk statūs ;)

@Nicolas Viber ist proprietär und all-around fishy. Sie machen keine Angaben zur Sicherheit oder Verschlüsselung, machen keine Gewinne, die israelische Firma ist in Zypern registriert und die Entwicklung wird in Weißrussland gemacht, und es sollen $20 Mio. Investment von „Friends ≠

@flo Ich kenne schlicht niemanden, der BlackBerry oder BBM benutzt.

@Nonym @Reni Kontalkt kannte ich noch nicht, schau ich mir aber mal an.

moeffju

2014-02-21 14:49 CET

@Ilka Enjoystr macht nur TLS, keine Ende-zu-Ende-Verschlüsselung. Die Nachrichten landen im Klartext auf deren Server. Nachrichten zurückrufen ist ein Wunschdenken-Feature; dass sie sowas anbieten, deutet für mich darauf hin, dass sie Kryptographie, Sicherheit und Angriffsszenarien nicht wirklich durchdacht haben. Color me skeptical.

Kurztests verschlüsselter WhatsApp-Alternativen: Threema, ChatSecure, surespot, Telegram, SafeSlinger « Spreeblick

2014-02-21 15:44 CET

…ht lassen, weil ich davon nicht genug Ahnung habe. Hierfür verweise ich erneut auf die Artikel von moeffju und . Mich hat in erster Linie interessiert, ob die WhatsApp-Alternativen leicht zu installieren un…

Facebook übernimmt WhatsApp: Was nun? ← Pilzkuh

2014-02-21 22:42 CET

…ige, die mehr können – und doch hat jedes seine Schwächen, wie Matthias Bauer gestern in einem Beitrag auf moeffju.net dargelegt hat. wird zurzeit allenthalben sehr hoch gehandelt, ist aber längst nicht so sicher, wi…

Cem

2014-02-22 12:11 CET

Verstehe immer noch nicht ganz, weshalb Twitter seinerzeit nicht die IM Funktionalität ausgebaut hatte. Die User-Basis und das Geld hatten sie ja dafür schon früh.

die ennomane » Links der Woche

2014-02-23 12:00 CET

…  23. Februar 2014 Sicheres Instant Messaging: “Facebook kauft WhatsApp für $19 Mrd., und jetzt suchen viele User nach Alternativen. Wie sinnv…

Ben

2014-02-25 04:08 CET

@moeffju TextSecure V2 für Android ist draußen, jetzt gilt es nur noch auf die angekündigte iOS Version zu warten. Du könntest vielleicht noch drauf hinweisen, dass es anders als Threema auch unter alten Android Versionen ab 2.2 funktioniert, das Protokoll mit abstand das beste ist, da es unter anderem ähnlich zu OTR Abstreitbarkeit unterstützt, anders als Telegram auch die Gruppenchats verschlüsselt und keinen unnötigen Platz auf dem Startscreen braucht, da es die normale SMS App ersetzt. Dass es dank der Implementierung als Teil des Betriebssystems in den neueren Versionen von CyanogenMod bald einen gehörigen Anteil an dessen über 10 Millionen Usern haben dürfte, ist sicherlich auch nicht zu verachten.

Grüße Ben

kruemi

2014-02-27 16:02 CET

@Ilka eine app, die mit selbstzersörenden Nachrichten wirbt, disqualifiziert sich im meinen Augen sofort selbst. Es ist ein nicht erfüllbares versprechen das ein falsches Gefühl von Sicherheit vermitteln kann. Wenn mich die Macher schon da anlügen (oder es selbst nicht besser wissen) soll ich ihnen meine Kommunikation anvertrauen?!?

Marco

2014-02-27 19:20 CET

Die Kernaussage bleibt; Jede Sicherheit ist besser als keine Sicherheit :)

Ich habe bei mir im Blog auch mal eine Vergleichstabelle mit den meist Diskutierten Messengern erstellt.

http://solariz.de/de/messenger_vergleich_threema_whatsapp_telegram_textsecure_surespot.htm

Die Frage ist halt immer wofür braucht man die Sicherheit und wie viel ist hier ausreichend? 100% Sicherheit gibt es per Definition nicht.

Sicherheitstechnik Instant Massenger

2014-02-27 22:40 CET

Gute Infos! Ich persönlich bleibe bis sich etwas eindeutiges abzeichnet bei SMS um nicht unnötig Daten raus zu geben und mir den Stress zu sparen. Aber wie geschrieben ist es als Aktivist IMMER eine Frage der Sicherheit. Ich werde mich mal genauer mit OTR befassen…

THX für den zusammentrag. Jay.

KlausL

2014-05-18 02:56 CEST

Die Preisträger der diesjährigen Open Source Rookies: … • Tox, eine Skype-Alternative für Anwender, die auf Privacy Wert legen (leider noch nicht fertig); …