Es geht um Mobile Instant Messenger, im speziellen WhatsApp. Etwa 80% meiner Kontakte verwenden WhatsApp, 10% Facebook Messenger und der Rest einen anderen Messenger oder eben gar keinen. Auslöser dieses Blogposts sind zwei TV Berichte die ich letze Woche ertragen durfte, zu einem mal Gallileo und zum anderen Abenteuer Leben. In beiden Sendungen wurde WhatsApp als mittlerweile "Sicher" dargestellt. Nein, gerade WhatsApp hat mehrfach gezeigt, dass man an echter Sicherheit wenig Interesse hat. Aber dazu eine ganz kurze Einführung in Unterschiede der Verschlüsselungen:
 

Verschlüsselung?

Ich versuche mich kurz zu fassen, es gibt mehrere Möglichkeiten der Verschlüsselung. Zum einen die Transport-Verschlüsselung, hier werden die Daten auf dem Weg vom Nutzer zum Server verschlüsselt. Der Server selbst besitzt einen "Schlüssel" und entschlüsselt die Daten und verarbeitet/verteilt diese dann weiter:
MSDN;http://msdn.microsoft.com/en-us/library/ff647370.aspx
Symmetrische Verschlüsselung: Um zu verhindern das der Anbieter mitliest, kann man Nachrichten bereits bevor sie gesendet werden Verschlüsseln. Nur Empfänger welche den "Schlüssel" besitzen können die Nachricht Öffnen. Das Problem hierbei ist jedoch der Schlüssel selbst; Wie lasse ich jemandem einen Schlüssel zukommen, wenn ich mir nicht sicher sein kann das er nicht unterwegs abgefangen und womöglich kopiert wird. Da nutzt das beste Schloss nichts wenn der Einbrecher einen Schlüssel dafür besitzt. Und für jeden Kontakt einen Schlüssel persönlich auszutauschen ist unpraktikabel.
IBM;http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=%2Fcom.ibm.mq.csqzas.doc%2Fsy10500_.htm
 
Eine Alternative dazu ist die Asymmetrische Verschlüsselung, hier besitzt man einen öffentlichen Schlüssel und einen Privaten Schlüssel. Den ersten darf und muss sogar jeder besitzen der einem Nachrichten zustellen möchte. Der zweite bleibt, wie es der Name sagt, Privat und darf auf keinen Fall in fremde Hände geraten.
IBM;http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=%2Fcom.ibm.mq.csqzas.doc%2Fsy10500_.htm
Der Nachrichten Text wir mit dem Öffentlichen Schlüssel des Empfängers verschlüsselt, nur der Private Schlüssel ist in der Lage diese Verschlüsselung zu entschlüsseln.
Einfach erklärt: Stell Dir vor du besitzt eine Truhe; Zu dieser Truhe gibt es zwei Schlüssel. Ein Schlüssel kann nur  Abschließen und der andere kann nur aufschließen. Du gibst nun einem Freund den Schlüssel zum abschließen. Nun legt er dir eine Nachricht in die Truhe und verschließt diese.  Nur du verfügst über den Schlüssel zum aufsperren, folglich kannst nur du an diese Nachricht gelangen.
 

WhatsApp & Co

Um nun wieder zurück zu den Messengern zu kommen, WhatsApp verwendete zu Beginn gar keine Verschlüsselung. Schnell hagelte es Kritik und man schob eine SSL basierte Transport Verschlüsselung nach. Diese war zudem nur mit einem SHA-1 Zertifikat in 128bit sehr schwach und anfällig. Nachdem WhatsApp damit erneut 2012 in viele Schlagzeilen kam, schob man eine weitere Verschlüsselungs Ebene ein. Diese basierte auf einer Symmetrischen Transport Verschlüsselung. Abgesehen davon das es nach wie vor lediglich eine Transportverschlüsselung ist, wurden zudem bei der Einbindung  einige grobe Schnitzer gemacht. Mehr Details dazu z.B. bei Golem, WDR, Viamsec oder arstechnica.

Also, entgegen der Behauptungen in den genannten TV Sendungen: WhatsApp ist nicht als sicher zu bezeichnen.

Aber... Ich hab doch nichts...

Vielleicht geht es dem ein oder anderem ja ähnlich; Spricht man eine Alternativ Empfehlung aus, bekommt man Antworten wie: "Brauch ich nicht, ich verschicke ja keine Geheimsachen darüber", "Och ich hab nix zu verbergen"....

Eigentlich müsste man jedes mal eine Grundsatz Debatte über Privacy und das Internet auspacken. Kurz; Es geht nicht darum irgend welche Bomben-Bau Anleitungen geheim zu verschicken. Es geht einfach um die grundlegende Sicherheitsstruktur und den Wert der Privatsphäre. Nur weil es nicht unter klassifizierter Geheimhaltung steht muss ich doch trotzdem nicht leichtsinnig mit meinen Informationen und Gewohnheiten umgehen. Eine Leseempfehlung ist hier er Artikel: Von der informationellen Selbstbestimmung zur informationellen Fremdbestimmung.

Alternativen?

Zwei spannende Alternativen zu WhatsApp sind die Messenger Threema und Heml.is. Beide verwenden eine sehr ähnliche Technik um zwischen Sicherheit und Komfort eine gangbare Lösung zu bieten.
Sicherheitskonzepte haben nämlich eines oft gemein, sie sind furchtbar kompliziert und je höher das Sicherheitslevel wird desto impraktikabler sind die Anwendungen. Beide Messenger möchten nicht das Sichere aber hässliche Entlein sein und bieten in einer Hübschen UI all das was wir von WhatsApp kennen gelernt haben. In der Nutzung ist also keine Umgewöhnung notwendig.
Während der Schweizer Threema Client bereits seit geraumer Zeit für iOS und Android zu haben ist, bietet der per Kickstarter gegründete Heml.is bisher nur hübsche Bilder.

Das Problem...

Das Problem ist die kritische Masse der Alternativen, dank der NSA Affäre haben zwar beide viel Publicity erhalten aber gegen Whatsapp oder den Facebook Messenger kommt man nicht an. Wieso? Nun, da wären wir wieder beim Individuellen Wert der Privacy. Man schwimmt halt immer den Weg des geringsten Wiederstandes. "Whatsapp, dort sind ja alle, die anderen nutzt ja keiner" - Klassisches Henne - Ei Problem.

Auch einige Schwarze Schafe mit halbherzig implementierten Verschlüsslungen machen es gerade nicht leichter. Kryptographie ist ein sehr komplexes Gebiet, kleinste Fehler können einen aufwändigen Vorgang komplett unbrauchbar machen. Da sowohl bei Hemli.sh und Threema auf langjährig erprobte Verschlüsselungs Implementierungen gesetzt wird macht beide zu den einzigen aktuellen Alternativen.

Ich für meinen Teil hoffe mit diesem kleinen Artikel aufgezeigt zu haben wieso man das gegebene hin und wieder hinterfragen sollte. Und bitte glaubt nicht jeden Mist den man im TV erzählt.

Wer sich durchringt Threema zu installieren und meine Handynummer nicht in seinem Adressbuch hat, findet mich dort unter der ID: 4URR4YWN

Wie sieht es bei euch aus? Whatsapp Gewohnheitstier?

Auch interessant: Messenger Vergleichstabelle

Amazon Logo Diesen Blog unterstützen?
Bestell dir doch etwas bei Amazon. Nutze diesen speziellen Link, es kostet dich nichts extra und für jeden Kauf darüber erhalte ich eine kleine Gutschrift. Danke!
✉ Marco Götze//

Kommentare

Formate: | Größe: Mb
Anmelden mitoder Benutzernamen eingeben

Jorg Ehrmann
WhatsApp ist nicht mehr sicher.. Es gibt so viele WhatsApp Sniffer Apps heute, dass fast jedes WhatsApp Konto sehr leicht gehackt werden kann.
solariz
Die NSA ist mir nicht Egal spielt aber eher eine untergeordnete Rolle. Aber der Vergleich mit Youtube & Co. ist etwas gewagt denn YT udn Co sind öffentliche Kanäle die deren Nutzer auch so erkennen und behandeln. Bei Whatsapp denkt man nicht daran das eigentlich Gott und die Welt mitlesen könnte.Ich hoffe insgeheim das die anderen Messenger auf den Primus WahtsApp druck aufbauen und damit mal zeigen wie es richtig geht. Denn wenn WhatsApp nach eigenen Daten die Nachrichten aktuell nicht auswertet kann es ihnen in Zukunft ja egal sein wenn die Nachrichten wirklich verschlüsselt sind. Vielleicht ziehen sie nach.Threema hat meiner Meinung nach wenig Chance da macht es Hemlish besser. Denn wie du sagst sind 1.6€ wirklich eine Hürde. Denn den meisten Leuten ist die Sicherheit total egal, da wird sich nicht mal drüber gedanken gemacht. - Leider.
Neo
WhatsApp kostet nur für die 0,89 € im Jahr das ist richtig - aber das Business Model setzt sich eher durch als wenn du sofort die App kaufen must. Da ist die Hemmschwelle höher (selbst wenn es nur 1,60 € sind) - gerad in einer Zeit in der es Messenger zu hauf für lau gibt. Btw. ich hab WhatsApp livetime für Free - da ich damals die App noch bei iTunes gekauft habe (als ich mein iphone noch hatte und bevor die das model geändert haben).Wir hatten interessanterweise das gleiche thema auch in unserer runde mit dem Threema messenger. Weil jemand meinte auch wegen NSA etc. Aber wenns danach geht dürften wir kein youtube, google, facebook, twitter benutzten sowie die nutzung jeglicher Smartphones (auser es ist eins wo kein Android, iOS oder MS drin ist ) einstellen.Und da müssen wir realistisch bleiben - das ist in unserer Zeit einfach fast undenkbar.
solariz
Hangouts ist nett aber fällt für mich persönlich, wie auch der FB Messenger, komplett raus da es in China geblockt ist :(
moep0r
Ich habe es tatsaechlich geschafft, bei meinen engsten Freunden Google Hangouts durchzusetzen. Gegen Whatsapp habe ich mich erfolgreich gestraeubt, allerdings hauptsaechlich aus dem Grund, dass ich das weder auf dem PC noch auf dem Tablet nutzen kann und es fuer mich dadurch automatisch als Messenger wegfaellt.
solariz
Die NSA ist mir nicht Egal spielt aber eher eine untergeordnete Rolle. Aber der Vergleich mit Youtube & Co. ist etwas gewagt denn YT udn Co sind öffentliche Kanäle die deren Nutzer auch so erkennen und behandeln. Bei Whatsapp denkt man nicht daran das eigentlich Gott und die Welt mitlesen könnte.

Ich hoffe insgeheim das die anderen Messenger auf den Primus WahtsApp druck aufbauen und damit mal zeigen wie es richtig geht. Denn wenn WhatsApp nach eigenen Daten die Nachrichten aktuell nicht auswertet kann es ihnen in Zukunft ja egal sein wenn die Nachrichten wirklich verschlüsselt sind. Vielleicht ziehen sie nach.

Threema hat meiner Meinung nach wenig Chance da macht es Hemlish besser. Denn wie du sagst sind 1.6€ wirklich eine Hürde. Denn den meisten Leuten ist die Sicherheit total egal, da wird sich nicht mal drüber gedanken gemacht. - Leider.
Neo
WhatsApp kostet nur für die 0,89 € im Jahr das ist richtig - aber das Business Model setzt sich eher durch als wenn du sofort die App kaufen must. Da ist die Hemmschwelle höher (selbst wenn es nur 1,60 € sind) - gerad in einer Zeit in der es Messenger zu hauf für lau gibt.
Btw. ich hab WhatsApp livetime für Free - da ich damals die App noch bei iTunes gekauft habe (als ich mein iphone noch hatte und bevor die das model geändert haben).

Wir hatten interessanterweise das gleiche thema auch in unserer runde mit dem Threema messenger. Weil jemand meinte auch wegen NSA etc.
Aber wenns danach geht dürften wir kein youtube, google, facebook, twitter benutzten sowie die nutzung jeglicher Smartphones (auser es ist eins wo kein Android, iOS oder MS drin ist ) einstellen.

Und da müssen wir realistisch bleiben - das ist in unserer Zeit einfach fast undenkbar.
solariz
Hangouts ist nett aber fällt für mich persönlich, wie auch der FB Messenger, komplett raus da es in China geblockt ist :(
moep0r
Ich habe es tatsaechlich geschafft, bei meinen engsten Freunden Google Hangouts durchzusetzen. Gegen Whatsapp habe ich mich erfolgreich gestraeubt, allerdings hauptsaechlich aus dem Grund, dass ich das weder auf dem PC noch auf dem Tablet nutzen kann und es fuer mich dadurch automatisch als Messenger wegfaellt.
Sven
threema nutzer und in der tat nutzen das einige meiner Freunde :)
solariz
Das sie sich nicht durchsetzen wird liegt aber meiner Meinung nach nicht am Preis. Whatsapp kostet aktuell 0,89 € pro Jahr.Was ich bei Threema und auch Hemlish als kritisch erachte ist die Perspektive auf lange Sicht. Whatsapp kann mit den 89 Cent gut leben da sie millionen Nutzer haben die jedes Jahr aufs neue zahlen. Bei Threema gibt es nur eine Einmalzahlung. Hemlish dagegen möchte einen Plus Store anbieten, ich denke das wird dann wie bei Meizu Flyme laufen das man Icon Packs kaufen kann.
Sven
threema nutzer und in der tat nutzen das einige meiner Freunde :)
Neo
Threema wird sich auf Dauer nicht durchsetzen wenn die App 1,60 € im Play store kostet. Bei 10k Downloads sehr geringe Verbreitung.
solariz
Das sie sich nicht durchsetzen wird liegt aber meiner Meinung nach nicht am Preis. Whatsapp kostet aktuell 0,89 € pro Jahr.

Was ich bei Threema und auch Hemlish als kritisch erachte ist die Perspektive auf lange Sicht. Whatsapp kann mit den 89 Cent gut leben da sie millionen Nutzer haben die jedes Jahr aufs neue zahlen. Bei Threema gibt es nur eine Einmalzahlung. Hemlish dagegen möchte einen Plus Store anbieten, ich denke das wird dann wie bei Meizu Flyme laufen das man Icon Packs kaufen kann.
Neo
Threema wird sich auf Dauer nicht durchsetzen wenn die App 1,60 € im Play store kostet. Bei 10k Downloads sehr geringe Verbreitung.