Samstag, 1. März 2014

WhatsApp Nachwehen: Threema vs. Telegram

Der Kampf um die Thronfolge

Die Wechselwilligen haben offenbar gesprochen. Sowohl medial als auch „gefühlt“ gehen im Umfeld von Foren und Bekannten Threema und Telegram zumindest im deutschsprachigen Raum als die Sieger unter den Usern hervor, die ihre geballte Datenflut nicht einem einzigen Anbieter überlassen wollen. Objektiv betrachtet probieren die Leute wohl zuerst mal Telegram aus, vor allem auch weil die App - nennen wir es wie es ist - GRATIS ist. Das sorgt für eine entsprechende rasante Verbreitung (zumindest was Erstinstallationen angeht) unter einer Klientel die z.B. noch nie einen Bezahl Account, nichtmal auf Guthaben Basis, besessen hat und mehr oder weniger nur Gratis Apps lädt. Eine Vielzahl derer trifft man auf der Android Plattform, und/oder unter vor allem jugendlichen Smartphone Benutzern.
Ich will den Leuten gar nicht absprechen wenn sie sich für Telegram aufgrund persönlicher Vorlieben oder Verbreitung im Bekanntenkreis entschieden haben. Soll jeder nutzen was er will - aber im aktuellen Fall ist vielerorts ein Glaubenskrieg entfacht der „argumentativ“ gesehen so hanebüchen geführt wird, daß einem in den Kommentaren etlicher Newsseiten nur noch gesammelter, himmelsschreiender Schwachsinn entgegenschlägt, wenn es darum geht die eigene,- als grundsätzlich und unabstreitbar „bessere“ Wahl zu rechtfertigen. Was da einige Telegram Verfechtern sich selbst und potentiellen Mitlesern die Taschen vollhauen... Dabei ist Telegram natürlich nicht automatisch und schon gar nicht grundsätzlich „die bessere" Wahl. Warum?

OpenSource
NEIN! Auch wenn es noch so sehr propagandiert wird (und auch die Medien hier leider nicht genug differenzieren) Telegram ist nicht OpenSource (mal davon abgesehen das dieser Umstand nicht per se ein Qualitäts-, und schon gar kein Sicherheitsmerkmal ist!) Genaugenommen sind mit dem verwendeten Protokoll und der API nur rudimentäre Teile von Telegram Open Source. Mit der gleichen Argumentation könnte man auch Threema als Open Source bezeichnen, denn die Verschlüsselung verwendet die quelloffene und angesehene NaCl Bibliothek.

Verschlüsselung

Die Threema Lösung ist unter Kryptographie Experten anerkannt, die angewandte sogenannte asymmetrische Kryptographie entspricht mindestens der Stärke von RSA mit 2048 Bits. Bei Telegram können zwar Nachrichten verschlüsselt asugetauscht werden, aber die wilde Mischung innerhalb von MTproto wird von etlichen Experten kritisch hinterfragt und zudem als „veralteter Murks“ bezeichnet. Zudem werden Nachrichten nicht standardmäßig end-to-end verschlüsselt ausgetauscht.

Sicherheit
Es sind mittlerweile eine Vielzahl Fälle bekannt, daß der von Telegram verschickte Bestätigungscode gar nicht eingegeben werden muß um die App zu starten. Dieses Verhalten kann ich zumindest bei einem Test unter Android bestätigen. Ob das nur Einzelfälle oder grundsätzlich möglich ist lässt sich mangels weiterer Testobjekte nicht sagen, Vertrauenserweckend ist das jedenfalls nicht, da die Funktion somit entweder schlampig programmiert oder im schlimmsten Fall nur eine Atrappe ist um mit vorgegaukelter Sicherheit zu punkten.
 Zudem ist das Telegram Protokoll nachweislich anfällig für sogenannte „man-in-the-middle“ Attacken, was bei Threema aufgrund der asynchronen End-to-End Verschlüssung faktisch ausgeschlossen werden kann.

Datenschutz
Laut der eigenen in den FAQ nachlesbaren Datenschutzerklärung sollte die Telegram App explizit um Erlaubnis fragen wenn das eigene Adressbuch ausgelesen und mit dem Nutzerbestand online abgeglichen werden soll. In der Praxis passiert das nicht. Im Gegenteil, die Nutzung von Telegram erfordert zum Teil zwingend, daß (wie auch bei WhatsApp) das komplette Adressbuch auf den Server des Anbieters geladen wird.
Bei Threema steht es dem Nutzer frei ob er gar keine Daten, seine Telefonnummer oder seine eMail Adresse freigeben will. In jedem Fall betrifft das aber nur die jeweils eigenen Daten.  Diese werden zudem nicht als Klartext sondern in Form von Hashwerte beim Anbieter gespeichert. Die Daten des restlichen Adressbuches werden gar nicht fest gespeichert. Wie funktioniert nun aber der Kontakteabgleich, der auch bei Threema halb automatisiert möglich ist?
Wenn ich Threema z.B. erlaubt habe meine Telefonnummer zu speichern um von anderen „gefunden“ zu werden, dann wird diese dort als Hashwert hinterlegt. Hat jetzt jemand meine Telefonnummer in seinem Adressbuch und er stößt die „Aktualisierung“ der Kontaktliste an, dann wird der Hashwert aus seinem Adressbuch quasi "on-the-fly" (ähnlich mit dem Verfügbarkeitscheck in iMessage) in den Arbeitsspeicher des Threema Servers geladen, und dort in Echtzeit nach einem etwaigen gespeicherten Hashwert abgeglichen. Im Falle einer Übereinstimmung gibts das Ganze als Eintrag in der Threema Kontaktliste zurück. Ganz ohne das hierfür der Inhalt des Adressbuches auf dem Threema Server dauerhaft gespeichert werden muss.

Geschäftsmodell

Bei einer App die um die 1,70 kostet sollte das Geschäftsmodell auf der Hand liegen. Welches Geschäftsmodell aber verfolgt eine Gratis App? Reine Nächstenliebe? Kaum. Wenn man weiß dass hinter Telegram die Betreiber eines großen Social Networks stecken, sollte das Geschäftsmodell klar sein. Daten, bzw die Verbindung von Daten und deren Inhabern zueinander.

Vertrauensfrage

Oft gelesen: Telegram wäre ja so transparent. Aha. Die Daten liegen auf irgendeinem russichen Server. Die Macher selber pflegen in Foren und bei Nachfragen einen bisweilen agressiven Ton. Auf gezielte Nachfragen wie z.B. der zusammengewürfelten Verschlüsselungstechnik, oder das nicht-einhalten der eigenen Datenschutzerklärung bekommt man keine, oder nur ungenaue Antworten. Die Threema Server stehen in der Schweiz, die Programmierer sind bekannt und zudem recht kommunikativ und gesprächsbereit, die Geschäftsform und das Geschäftsmodell sind erkennbar, die rechtlichen Grenzen und Datenschutzbestimmungen nachvollziehbar.

Fazit
Stiftung Warentest hat vor einigen Tagen die WhatsApp Alternativen in Punkto Datenschutz getestet und kam zu dem Entschluß das Threema (Platz 1) vor Telegram (Platz 2) liegt. Ich frage mich bisweilen wie Telegram anhand der erwähnten Umstände überhaupt so weit vorn liegen kann!?
Von der Funktionalität her nehmen sich beide nicht viel. Telegram sieht halt nahezu 1:1 aus wie WhatsApp, was für umgewöhnungsfaule noch als "pluspunkt" gewertet wird. Wer kein Geld für einen Messenger ausgeben kann oder will, der soll meinetwegen ruhig Telegram benutzen, könnte aber im Grunde auch gleich bei WhatsApp bleiben und sollte zumindest nicht die „Sorge um seine Daten“ als Wechselgrund vorschieben - und schon gar nicht als Argument im Vergleich zu Threema. Wenn es denn eine „Sicherheit“ in Zeiten von Internet, Smartphones und NSA Skandalen gibt, dann ist Threema jedenfalls unzweifelhaft die sicherere und auf jeden Fall die seriösere Wahl. Dafür aber eben nicht kostenlos. Wer aber nicht bereit ist mal die 1,70 zu investieren, der ist in dieser Diskussion sowieso falsch. Ich habe in diesem Zusammenhang dieser Tage in einem Forum einen passenden Wortwechsel gelesen, mit dem ich hier schließen möchte:

A: Ich sehe nicht ein warum ich meine Freunde zwingen soll eine App für 1,70 zu installieren, nur um mit mir kommunizieren zu können wenn sie das mit WhatsApp oder Telegram auch gratis können.

B: Siehste, und ich sehe es nicht ein warum ich selbst, oder meine Freunde gezwungen werden sollen sich eine Gratis App zu installieren, welche meine und ihre Daten irgendwo auf einen Server lädt, dort auswertet, verwendet und sich dabei nicht um Datenschutz oder Privatsphäre schert.

Weiterführende Links:
=> Threema im AppStore für iOS kaufen
- Weird Encryption Apps: Telegram
- Hacker News: Telegram Discussion
- Mac & Apps: Threema oder nicht Threema ...

Kommentare:

  1. Erstmal großes Lob an den Autor bzw. Blogger, wie er sich auch immer nennen möchte...
    Die "großen" Medien haben sich mittlerweile verzogen. Viele haben gewechselt, wohin auch immer. Lese auch immer wieder "aktuelle" Artikel, wo Nutzerzahlen von ewig und zwei Wochen genannt werden... Und viele "Falschaussagen" und "Märchen".
    Ich vermute mal, das sich ein gewisser Teil der "Wechsler" in den nächsten Wochen wieder vom trägen Freundeskreis zurück ziehen lassen wird ins alte Lager, wenn in der Kontaktliste zu wenig "Freunde" gelistet werden.

    AntwortenLöschen
    Antworten
    1. Die großen Medien kochen so ein Thema eh immer nur einen Tag, vielleicht auch zwei. Das mit dem "zurückziehen" sehe ich entspannter. Wenn ich die mir wichtigen Leute in Threema habe reicht mir das. Mein WA Account ist mittlerweile gelöscht - wenn diese Leute dann mit dem Rest ihres Bekanntenkreises weiterhin per WA kommunizieren wollen/müssen, so sollen sie das tun. Ist ihr gutes Recht. Mich erreichen sie nur noch über Threema, und das reicht mir. Das "zurückwechseln" tritt wohl vor allem dann ein, wenn alle weiterhin parallel *auch* per WA erreichbar sind. Dann macht es ja keinen Sinn der Macht der Gewohnheit nicht nachzugeben. Wenn aber nur jeder zehnte oder meinetwegen zwanzigste WA komplett verbannt und gar nicht mehr darüber erreichbar ist, werden die anderen die Threema App nicht komplett von ihrem Handy löschen. Das ist dann zumindest ein Teilerfolg und eine gute Basis immer mal wieder Leute zu binden.
      Wenn Fragen in meinem Bekanntenkreis auftauchen verweise ich sie gern an die beiden Beiträge hier in diesem Blog, viel besser könnt ich ihnen das auch nicht näherbringen.

      Löschen
  2. Zuerst mal Danke fürs Lob. Ob nun Autor oder Blogger ist mir einerlei, solange es Leute gibt die den Artikeln hier etwas abgewinnen können :-)
    Nun, ich sehe das Thema "Messenger" auch keineswegs als "beendet". Klar, der große Hype aus der Woche um den WA Verkauf an FB ist vorbei, aber einen Wachstum anderer Apps gabs ja vorher auch, und der geht jetzt halt eben wieder in "normalen" Schritten weiter. Der zwischenzeitliche Medienhype hat hier am Ende noch gute Dienste geleistet, denn die Verbreitung ist ein großes Stück weiter als vorher. Ich habe z.B. Threema seit dem Spätsommer und darüber nahezu ein halbes Jahr lang nur mit einer, zum Jahreswechsel mit einer zweiten Person kommuniziert. Seit dem Medienhype ist meine Kontaktliste auf 20 angewachsen, und das bisweilen unabhängig irgendwelcher persönlicher Missionierungsaktivitäten. Wo vorher zwei Leute waren sind jetzt zwanzig. Nach dem Schneeballprinzip ist die Ausgangslage wie Pete schon angemerkt hat also jetzt auch ohne permanentes Medienecho deutlich besser als zuvor. Der Name Threema wird in Zukunft öfter fallen wenn es um Mobile Messenger geht, das ist unumkehrbar, dafür braucht es ab sofort auch keine täglichen Schlagzeilen. Und wenn sich die Leute in Zukunft zwei Messenger installieren statt nur einem ist auch schon vielen geholfen. Vorher war WA nahezu alternativlos. Jetzt ist wenigstens ein Bewusstsein dafür geschaffen das es sehr wohl Alternativen und Konkurrenzprodukte gibt. Ein Blick auf die AppStore Charts zeigt auch, dass die Entwicklung noch keineswegs abgeschlossen ist. Wer sich jetzt für Messenger interessiert wird sich zumindest auch mal Threema und Diskussionen darüber zu Gemüte führen. Er wird im Bekanntenkreis öfter über den Namen stolpern und wesentlich mehr Informationen dazu im Netz finden als noch vor einem Monat. Das mit dem WA Account löschen finde ich ebenso konsequent und bin genauso verfahren. Ein komplett ins "alte Lager zurückziehen" ist somit nicht mehr möglich, wenn es nur 1-2 Leute gibt, die im "alten Lager" nicht mehr anzutreffen sind, wird Threema mindestens eine zweit-App bleiben, die jetzt auch nicht exorbitant viel Speicherplatz vergeudet.
    Ich hatte vorher ~40 leute in meiner WA Kontaktliste, aber wirklich regelmäßig kommuniziert habe ich nur mit weniger als der Hälfte. Meine Threema Liste ist mittlerweile größer als meine tatsöächlichen regelmäßigen Kommunikationspartner - und das ist das was am Ende zählt. Nicht "wieviel Leute aus meinem Adressbuch haben den gleichen Messenger" sondern "Mit wievielen Leuten aus meinem Adressbuch kommuniziere ich über den gleichen Messenger".
    Da ich persönlich kein "WhatsApp Fallback" besitze findet jegliche Messenger Kommunikation (wenn nicht per SMS/iMessage) ab sofort also zu 100% über Threema statt. Für neue Kontakte werde ich mir auch kein WA mehr zulegen. Und wenn es nur 5 oder 10 Kontakte wären - es wären 5 oder 10 Kontakte die mit mir ausschließlich über Threema kommunizieren. Da spielt es gar keine Rolle ob WhatsApp auf 263738393 Geräten mehr installiert ist - solange man mit den vorhandenen Kontakten die Threema nutzen und - und sei es auch nur für diese handvoll - nicht mehr aufs alte Lager zurückfällt.

    AntwortenLöschen