Edward Snowden, WhatsApp und Co gegen Telegram
von caschy | 80 Kommentare
Whistleblower Edward Snowden besitzt einen Twitter-Account. Über diesen kommen gelegentlich Aussagen zur Sicherheit. Ein recht aktueller Retweet fiel mir da ins Auge. Snowden retweete die Aussage einer Person, dass die Nachrichten von Telegram unverschlüsselt auf den Servern des Betreibers liegen würden. Es war ein einfacher Retweet mit kurzer Aussage, infolge dessen sich aber durchaus bekanntere Personen aus dem „Messenger-Geschäft“ einklinkten.
Snowden kritisiert hier die Standards, die Telegram anwendet. Telegram wird laut Aussagen der Macher von Millionen Menschen genutzt, die meisten von ihnen nutzen aber die normale Chatfunktion und vielleicht sogar öffentliche Gruppen zur Kommunikation, sodass im schlimmsten Falle beim Überwachen der Nutzer herausgefunden werden kann, worüber sich diese unterhalten. Abhilfe schaffen hier die nicht standardmäßigen Secret Chats, die verschlüsselt von Gerät zu Gerät abgehalten werden können (siehe FAQ).
Das rief natürlich auch Pavel Durov auf den Plan, seines Zeichens Founder und CEO von Telegram. Er warf dem Ersteller der Nachricht vor, Blödsinn zu posten und fragte nach ob dieser für diese Falschaussagen Geld bekommen würde. Zudem gab es noch die direkte Antwort an Edward Snowden, die Person, der Durov 2013 einen Job anbot und sie als persönlichen Helden bezeichnete:
Durov entgegnete, dass Nutzer, die dem Anbieter nicht trauen oder den Cloud-Sync nicht nutzen wollen, die Secret Chats nutzen können. Ende-zu-Ende verschlüsselte Nachrichten von Gerät zu Gerät – die aber eben nur am entsprechenden Gerät gelesen werden können, nicht an einem Zweitgerät.
Hier mag es manchmal etwas verwirrend wirken auf den Nutzer. Ein Messenger, der die Sicherheit immer als Marketinginstrument benutzt. Sollte dieser nicht die oberste Sicherheit zum Standard machen, anstatt die sichere Methode optional anzubieten? Klar verliert Telegram massig Komfort durch die Sicherheitsstufe. Aber sollte das nicht bei diesem Produkt an erster Stelle stehen?
Dann schaltete sich noch Jan Koum ein. Seines Zeichens der Kopf hinter WhatsApp, der sein Unternehmen für Milliarden an Facebook verkaufte. Er nutzte die Gunst der Stunde um noch einmal darauf hinzuweisen, dass WhatsApp keinen Chat-Verlauf auf den Servern speichere – angeblich ein Grund, warum der WhatsApp-Client im Web nur dann arbeite, wenn das Smartphone auch an ist. Eine Aussage, die von einem Telegram-Mitarbeiter öffentlich infrage gestellt wurde, da man Ende-zu-Ende-Verschlüsselung auf mehreren Clients haben könne.
Auch Open Whisper Systems brachte sich dann noch in das Gespräch ein, die zeichnen sich zum Beispiel für den Messenger Signal verantwortlich (dessen Desktop-Client eine Gmail-Adresse voraussetzt). Auch sie behaupten etwas, was Durov in einem anderen Tweet von sich wies.
Zum Zeitpunkt dieses Beitrages ist die Diskussion ins Stocken gekommen. Neue Erkenntnisse werde ich nachtragen. Festzuhalten bleibt sicherlich: wenn ich vermeintlich sicher kommunizieren möchte, dann nutze ich die bestmöglichen Sicherheitsstufen einer Kommunikationsplattform. Dies ist bei Telegram standardmäßig nicht der Fall. Und während sich die Lauten und die Bekannten aus der Messengerszene via Twitter bekriegen, dürfte sich sicherlich wieder jemand in der Schweiz freuen: Threema. Deren Schutzschilde sind standardmäßig hochgeklappt.
Und ich frage mich derweil bei all dem Rummel: sind eigentlich jemals Einbrüche bei Telegram, WhatApp, Hangouts oder dem Facebook Messenger durchgeführt wurden, welche als Folge das Veröffentlichen von privaten Nachrichten zur Folge hatten?
Wird geladen ...
Bei Telegram ist für jeden etwas dabei: wer es sicher will, kann es sicher machen und wer Komfort möchte, nutzt den Komfort. Ich sehe da ehrlich gesagt kein Problem bei Telegram.
Lustig ist allerdings, wie sich gleich alle mit einklinken. Höchst unsympathisch, wie WhatsApp auch gleich dabei ist. Haben nix an Funktionen, aber denken es sei ein Vorteil, dass man über den Browser über das Smartphone chatten kann? Ernsthaft? Da ist ICQ ja seit Jahrzehnten technisch besser aufgestellt 😉
WhatsApp sollte mal besser still sein…
Und wie in Tests festgestellt wurde kann die Verschlüsselung von WhatsApp jederzeit von WhatsApp ausgeschaltet werden und der Nutzer merkt nichts davon (bzw. funktioniert die Verschlüsselung nicht zw allen Plattformen)…
Krieg der Messenger? 😀
Wie ist das denn mit End-zu-End Nachrichten bei Telegram? Funktionierwn die in der Onlineversion ebenfalls?
Falls ja: Wieso dann nicht als Standart, wenn alle End-zu-End Nachrichten online genau so funktionieren wie Nachrichten ohne?
Irgendeinen Vorteil müsste Telegram dann ja haben die Nachrichten nicht standartmäßig zu verschlüsseln?
Ob Telegram, Whatsapp oder slebst Pushbullet mit beworbener P2P Verschlüsselung – das Problem ist die Nachrichten nur unzureichend gekennzeichnet werden ob / wie sie verschlüsselt wurde. Jede Webseite hat durch das kleine Schloss in der URL Leiste eine klare optische darstellung ob und wie verschlüsselt. Bei den meisten Messengern kannst du dich nur „darauf verlassen“ was unter der Haube passiert.
Das ganze drum rum um kostelnlose Messenger ist mir eh dubios, klar müssen die Geld verdienen. Und neben dem Nachrichten Inhalt gibt es noch genügend andere Metadaten die sich verkaufen lassen.
Wer auf Privacy wirklich Wert drauf legt dem empfehle ich nach wie vor Threema. Kostet einmalig Geld.
Einzige Alternative: Signal
der sicherste massenger ist nach wie vor threema, threema ist von a bis z durchdacht.
Durov ist angepisst wenn jemand das Telegram-Marketing unter die Lupe nimmt. Telegram ist gerade deswegen so populär weil er Komfort vor Sicherheit stellt.
Bei Secret-Chats wird auch alles unverschlüsselt abgelegt, nur eben auf dem Gerät selbst: https://blog.zimperium.com/telegram-hack/
Wenn man den normalen Weg benutzt geht alles über die Server, damit man mit mehreren Geräten synchen kann. Mit echter Ende-zu-Ende Verschlüsselung würde das nicht gehen (wie Koum anmerkt).
@M Götze: Oder auch mehrmalig, wenn man die Betriebssystemplattform wechselt – geht gar nicht!
Der Desktop-Client von Signal setzt (derzeit) nur deshalb einen Google-Account voraus, weil er noch in der geschlossenen Beta-Phase ist.
@Besucherpete
soviel ich weiß nicht wenn man bei threema direkt die app als geschenk erwerbt
@Besucherpete Das ist quatsch, wenn du die App natürlich in einem properitärem Store kaufst dann kannst du sie auch nur dort wieder installieren (Problem Adnroid IOS) kauft man die App jedoch direkt im Threema Store erhält man einfach einen Aktivierungscode der auf jeder Platform funktioniert.
Und das „Geht gar nicht…“ wenn ich eine Platform wechsle ist in dies in Regel mit dem Kauf eines Handys verbunden. Ich tippe einfach mal 500 – 600 € Investition. Da nun wegen der unsagbaren Neu-Investition von 2€ zu meckern… ich weiss ja nicht.
@Caschy
Noch keinen Kaffee gehabt heute? Hast ja ohne Ende Fehler im Text versteckt. Allein der letzte Absatz klingt so, als wärst du etwas neben dir. 😉
Ach witzig … mich stört letztendlich schon der Gedanke, meine Kommunikation einem Anbieter und seinen (!) Servern zu überlassen! Für wirklich sichere Kommunikation stehen doch schon lange Alternativen zur Verfügung, die sich vollkommen auf offene Standards stützen und unabhängig von bestimmten Anbietern und Servern funktionieren (xmpp + otr). Das sich Edward Snowden jetzt so weit aus dem Fenster lehnt und bestimmte Anbieter empfiehlt oder so plump angeht ist da schon irgendwie eher traurig und entspricht nicht der Rolle, die er sonst so gern einnehmen möchte!
@icancompute: Komm. Nicht einfach einen reinstellen hier. Was stört dich konkret?
Zwei Aspekte, die beim Thema Sicherheit beachtet werden müssen:
Zum einen die mögliche Absicht oder das Interesse des Anbieters an den Daten. Dies ist wahrscheinlich das größte Manko an WhatsApp, weil zumindest theoretisch hat Facebook ein Riesen-Interesse daran, was die Nutzer so schreiben und machen.
Die andere Seite ist die eigentliche Sicherheit, die durch technische Maßnahmen umgesetzt wird. Diese steht immer im Gleichgewicht mit dem Komfort, wie caschy ja vollkommen korrekt durchleuchtet hat.
So viel zu den Fakten. Der Rest ist persönliche Präferenz. Ich zum Beispiel mag Telegram, weil es einfach ein Messenger auf allen Plattformen ist und verschiedene Sicherheitsstufen zu Verfügung stellt. Theoretisch kann man Whatsapp auch im Web nutzen, aber vom reinen Komfort finde ich das absolut beschissen umgesetzt. Ich persönlich bin fast immer pro-Sicherheit, aber man darf auch nicht vergessen, um was es hier geht: Textnachrichten. Die Tatsache einen Service von einer Firma zu nutzen, die kein Interesse an den Daten hat, ist schon mal ein riesen Grund für den Service und auch der Grund warum ich WhatsApp nicht mag. Threema ist natürlich das andere extrem, aber bei der Art von Inhalten, die ich per Nachricht verschicke ist mir der Komfort von Telegram um ein vielfaches wichtiger als die leicht erhöhte Sicherheit von Threema. Dieses Thema wird man auch nicht ausdiskutieren können, weil es immer eine persönliche Präferenz bleibt.
Wenn ihr extrem private oder sensitive Nachrichten verschickt, seid ihr bei Threema wohl richtig. Für alles andere halte ich es für overkill und wirklich unpraktisch auf jeder Ebene.
Wieso wird hier Threema wieder beworben? Signal ist mit Abstand die bessere Wahl, da quelloffen, mit Desktopclient und dazu noch kostenlos. Und dort ist per Standard alle end-to-end verschlüsselt, genau wie bei Threema.
@caschy: hättest Du in Deinem Artikel auch erwähnen sollen
@pietz:
Ich gebe Dir durchaus Recht, es ist natürlich die eigene Entscheidung wieviel Privatsphäre man verlangt.
Aber leider hat man da nicht die Kontrolle darüber. Es reicht ja schon, dass irgendjemand aus dem Freundeskreis WhatsApp benutzt. Schon landet die EIGENE Telefonnummer bei WhatsApp / Facebook. Ganz egal ob man selber den Dienst nutzt.
Ob das jetzt schlimm und dramatisch ist, muss jeder selbst entscheiden. Aber letztendlich geht es hier ums Prinzip. Kommunikation sollte IMMER verschlüsselt sein, ganz egal was sie für Inhalte hat. Denkt nur mal darüber nach, was im dritten Reich passiert wäre, wenn damals schon eine solche Massenüberwachung der Kommunikation möglich gewesen wäre…
Und nebenbei sind die METADATEN viel interessanter als die Inhalte der Nachrichten, da diese maschinell einfacher auswertbar sind und leichter Informationen über Personen preisgeben. Was meint ihr, welche Krankenversicherung hätte nicht Interesse daran, mit welchen Ärzten wir telefonisch häufiger in Kontakt stehen?!? Daraus lässt sich eine Menge ableiten… Und plötzlich ist die Prämie beim nächsten Versicherungsabschluss gestiegen… Komisch!
Bei Telegram hat die freie Wahl zwischen Sicherheit (End-to-End-Verschlüsselung) und Komfort (Multi-Plattform-Synchronisation).
Bei Whatsapp hat man gar nichts.
@Caschy
Vielleicht der letzte Satz: „Welche als Folge … zur Folge hatten“? Nicht das es mir aufgefallen wäre … 🙂
Aber zu deinem letzten Absatz: wenn man bei WhatsApp einbricht wird man nicht viel finden. Im Unterschied zu den anderen leitet WhatsApp die Nachrichten nur weiter (bzw legt sie bis zur Zustellung auf dem Server ab). Wäre ja auch nicht anders möglich bei der hohen Anzahl an Nutzern. Stell dir mal die Serverfarmen vor, das schafft kein Startup wo der Dienst 1 € im Jahr kostet. Bei Telegram, Hangouts und Facebook Messenger ist das anders. Aber bei Hangouts kann man ja den Verlauf abstellen bzw alte Chats aus dem Account löschen.
Das war ja bei WhatsApp schon immer ein „Problem“. Wenn man die App neu installiert oder auf ein neues Gerät umzieht muss man vom Chatverlauf vorher ein Backup machen.
@Dominik
Ende-zu-Ende gibt’s nur bei Telegram Secret-Chats. Das würde im Browser nicht gehen, bzw es wäre extrem unkomfortabel. Ende-zu-Ende geht prinzipiell nur zwischen zwei Geräten. Für jedes weitere Gerät müsstest du erneut eine Ende-zu-Ende Paarung einrichten, Nachrichten würden dann mehrfach verschlüsselt und verschickt, an jedes Gerät im Verbund (iMessage macht das zBsp so). Wenn du das jetzt in einem Browser umsetzt müsste man den jedesmal neu Paaren. Das wäre extrem unkomfortabel.
@pietz
Wer Telegram gegründet hat und woher das Geld kommt ist dir bewusst?