Facebook holt WhatsApp für 19 Milliarden Dollar in sein Reich. Facebook, die große Datensammelmaschine, interessiert sich für die privaten Gespräche von 450 Millionen Menschen, könnte man sagen. Für manche ist das ein Anlass, WhatsApp den Rücken zu kehren und nach Alternativen zu suchen. Nach Messaging-Apps, die ebenso leicht zu bedienen sind, aber mehr Privatsphäre versprechen, als es WhatsApp je tat.

Threema ist die im deutschsprachigen Raum bekannteste Alternative, die dank Verschlüsselung vor heimlichen Mitlesern schützt. Derzeit führt Threema sogar die iTunes-Charts in Deutschland und Österreich an. Aber es ist nicht die einzige App, die einen Messenger mit Ende-zu-Ende-Verschlüsselung kombiniert. Die NSA-Enthüllungen haben hier offenbar einen Markt geschaffen – Anlass genug, Threema mit den neuen Konkurrenten zu vergleichen. Joshua Lund aus Utah hat das vor Kurzem getan, sein Anforderungskatalog für die perfekte Messenger-App ist Vorbild für den Vergleichstest von ZEIT ONLINE.

Vier Apps werden hier gegenüber gestellt: Threema, surespot, ChatSecure und Telegram. Die Kriterien lauten:

1. Funktioniert die App plattformübergreifend, also mindestens auf iOS und Android (zusammen 94 Prozent Marktanteil) – und im allerbesten Fall auch noch auf dem Desktop?

2. Ist sie so einfach zu bedienen wie WhatsApp?

3. Ist der eingesetzte Verschlüsselungsstandard anerkannt sicher?

4. Handelt es sich um Open-Source-Software, die von Dritten überprüft werden kann, oder wurde sie zumindest in Audits überprüft?

Threema

Threema hat in diesem Vergleich einen Startvorteil, weil der Autor die App seit Monaten intensiv benutzt und besser kennt als die Konkurrenten.

Wie die App funktioniert, steht im Artikel vom August und soll hier nicht wiederholt werden. Seitdem hat Threema einige neue Funktionen bekommen, die wichtigste dürfte der Gruppenchat sein. Von den vier Anforderungen für die mustergültige Messenger-App erfüllt Threema drei:

1. Die App gibt es für iOS und Android, immerhin. Sie kostet 1,79 beziehungsweise 1,60 Euro. Alle anderen Apps in diesem Vergleich sind zwar kostenlos, aber teuer ist Threema nicht.

2. Beide Versionen erschließen sich Neulingen schnell, das gilt auch für die Erzeugung des kryptografischen Schlüssels, der für die Ende-zu-Ende-Verschlüsselung nötig ist. Die Bedienungsoberfläche ist sogar eine große Stärke von Threema: Die Verschlüsselung findet zwar bei jeder Nachricht statt, fällt aber nicht auf. Die App zeigt mit einem Punktesystem an, welche Kontakte wie vertrauenswürdig sind. Zudem gibt es ein vorbildliches deutsches und englisches FAQ auf der Website des Anbieters.

Die iOS-Version ist ein kleines bisschen übersichtlicher, aber auch Android-Nutzer kommen mit Threema problemlos klar. Das liegt nicht zuletzt am optionalen Abgleich mit dem Adressbuch im Smartphone, der dem Nutzer anzeigt, welche Bekannten die App ebenfalls nutzen.

3. Die eingesetzte Verschlüsselung basiert auf NaCl, einer Open-Source-Bibliothek, die von den renommierten Kryptografen Tanja Lange, Daniel J. Bernstein und Peter Schwabe entwickelt wurde. Nach allem, was bisher bekannt ist, darf die Threema-Verschlüsselung deshalb als prinzipiell sicher gelten.

Der Rest der App ist allerdings nicht Open Source und wurde auch nicht von unabhängigen Experten überprüft. Was auf den Schweizer Servern passiert, weiß also außer dem Entwickler Manuel Kasper niemand. Kasper hatte im vergangenen Jahr gesagt, ein Audit könne er sich nicht leisten, zumal es eigentlich nach jedem Update der App von Neuem durchgeführt werden müsste. Hat sich daran nun, da er nach eigenen Angaben rund 300.000 Nutzer hat und zwei feste Mitarbeiter, etwas geändert? Er schreibt in einer E-Mail: "Momentan haben wir keine konkreten Pläne für externe Audits; falls sich aber etwas mit einer geeigneten Instanz zu akzeptablen Bedingungen ergibt, sind wir nicht grundsätzlich abgeneigt." Bis es soweit ist, müssen Threema-Nutzer dem Schweizer schlicht vertrauen.

surespot: Etwas spartanisch, aber quelloffen

surespot

Die App surespot ist ein direkter Herausforderer für Threema und erfüllt ebenfalls – mit Abstrichen – drei unserer vier Anforderungen:

1. Surespot gibt es für iOS und Android und ist kostenlos.

2. Surespot ist einfach zu bedienen, sieht aber vergleichsweise spartanisch aus. Auf der Startseite erscheint nach der ersten Anmeldung ein langer, optisch nicht sehr ansprechender Einführungstext. Danach ist die Bedienung recht intuitiv, auch wenn es ein paar lustige Ungereimtheiten in der Übersetzung der Texte vom englischen Original ins Deutsche gibt. Die sind den Entwicklern bekannt und sollen im nächsten Update korrigiert werden.

Andere Nutzer kann man per E-Mail, SMS, Twitter, Google plus, Tumblr oder Facebook einladen – oder man gibt ihre Profilnamen per Hand ein. Ähnlich wie bei Threema gibt es zudem die Möglichkeit, den QR-Code eines anderen Nutzerprofils zu scannen, um ihn in die eigene Kontaktliste aufzunehmen.

Drei Nachteile hat die App: Einen Gruppenchat gibt es noch nicht. Die Funktion Sprachnachrichten ist kostenpflichtig (1,79 Euro). Und surespot speichert nur die 1.000 aktuellsten (verschlüsselten) Nachrichten eines Nutzers auf seinen Servern. Wer sehr viele Nachrichten empfängt, muss damit leben, dass ältere schnell im digitalen Nirvana verschwinden.

3. Surespot ist komplett quelloffen, kann also von Experten jederzeit auf Sicherheitslücken untersucht werden. Bisher gibt es aber kein komplettes Gutachten. Das ist eben der Haken an Open-Source-Lösungen: Es nützt wenig, wenn sie überprüfbar sind, wenn niemand sie  überprüft. 

Zur Sicherheit der gewählten Verschlüsselungsmethoden können wir deshalb nicht viel sagen. Theoretisch ist sie gut: Nachrichten werden mit 256bit AES GCM verschlüsselt – damit bewegt sich surespot in einem Bereich, den auch die NSA als hinreichend sicher für die verschlüsselte Übertragung von Dokumenten betrachtet.

Auf Reddit.com gibt es eine Diskussion, in der die Macher auf einige (zum Teil längst behobene) Schwachstellen eingehen. Sie haben zudem ein ausführliches Bedrohungsmodell veröffentlicht, aus dem mögliche Angriffspunkte hervorgehen. Der wohl kritischste Punkt darin: Nach einem erfolgreichen Angriff auf die surespot-Server könnte jemand neue öffentliche Schlüssel und Signaturen für einen Nutzer generieren, dessen Kontakte würden Schlüssel und Signatur für echt halten. Das bedeutet, sie würden nicht merken, dass sie mit dem kompromittierten Konto eines Freundes kommunizieren. Die Schwachstelle kann aber beseitigt werden, schreiben die Entwickler. Wann das passiert, steht dort nicht.

ChatSecure: Sichere Verschlüsselung, aber komplizierte Handhabung

ChatSecure

Was für Android-Geräte bis vor einigen Monaten noch Gibberbot und für iOS ChatSecure hieß, heißt nun auf beiden Plattformen ChatSecure. Es handelt sich um eine Chat-Software, die verschlüsseltes Off-the-record-Messaging (OTR) über das Protokoll XMPP ermöglicht. Klingt kompliziert, ist aber eine anerkannt sichere und vielseitige Open-Source-Lösung.

Die größten Vorteile von ChatSecure: Die App versteht sich auch mit anderen XMPP-Clients, Nutzer können also zum Beispiel verschlüsselt mit jemandem kommunizieren, der Programme wie Pidgin oder Adium auf dem Desktop benutzt.

ChatSecure kann in Verbindung mit der App OrBot über Anonymisierungsnetzwerk Tor geleitet werden. Wer will, kann einen eigenen XMPP-Server betreiben und damit die vollständige Kontrolle über die Kommunikation behalten. Diese Möglichkeiten sind zwar nichts für Anfänger, die eine simple Chat-App wollen, andererseits sind es aber Alleinstellungsmerkmale.

Außerdem kann man zumindest in der Android-Version seine OTR-Schlüssel vom Desktop per Keysync übertragen, muss also keine neuen Schlüssel anlegen, die den eigenen Kontakten noch unbekannt sind.

Die größten Nachteile: Die Bedienung der App erschließt sich nicht von selbst. In iOS sieht sie ganz anders aus als in Android. Beide Versionen sind nicht komplett übersetzt, was für eine Hürde sein kann. Englische Beschreibungen zu Verschlüsselungseinstellungen dürften nicht jedermanns Sache sein. Der Start der App ist auch nicht gleichbedeutend mit der Anmeldung am XMPP-Server, es ist also aufwendiger, eine Unterhaltung einzuleiten, als in anderen Apps in diesem Vergleich. Das Einladen von neuen Chatpartnern per E-Mail aus der App heraus hat im Test nicht funktioniert.

Hinzu kommt: Wer noch nie einen OTR-Client benutzt hat, steht in ChatSecure auf verlorenem Posten. Wer es genauer wissen will, kann sich diese beiden Anleitungen durchlesen – sie verdeutlichen, wie vergleichsweise kompliziert ChatSecure ist. 

Ein iOS-spezifisches Problem ist die automatische Unterbrechung der Verbindung zum XMPP-Server durch das Betriebssystem nach zehn Minuten. Wer also nach elfminütiger Inaktivität einen Chat fortsetzen will, hat Pech gehabt und muss einen neuen starten.

Dennoch erfüllt ChatSecure drei unserer Anforderungen:

1.     Es ist kostenlose Open-Source-Software.

2.     Es ist mit vielen Plattformen kompatibel, weil es für das zugrundeliegende XMPP-Protokoll auch Desktop-Anwendungen gibt.

3.     OTR gilt als sichere Verschlüsselungstechnik.

Telegram: Schick und vielseitig, aber unter Experten verhasst

Telegram

Telegram für iOS kam an dem Tag auf den Markt, als ZEIT ONLINE den Artikel über Threema veröffentlichte – am 14. August 2013. Die Android-Version folgte im Oktober. Telegram ist eine Erfindung der Brüder Pawel und Nikolai Durow, den Gründern von VK (ehemals VKontakte), dem größten sozialen Netzwerks Russlands. 

Seitdem verbreitet sich die App offenbar besonders in spanisch-sprachigen Ländern rasant. Das sagen jedenfalls die Entwickler. Was sie sonst noch sagen und was nicht, wirft einige Fragen auf.

Das geht schon bei der Anmeldung los: Beim ersten Aufrufen der App wird der Nutzer nach seiner Handynummer gefragt. An die wird ein Validierungscode gesendet, mit dem die App beim ersten Mal aktiviert werden soll. Im Test wurde der Code zwar per SMS versendet, aber er musste aber nicht eingegeben werden – die App öffnete sich auch so. Warum das so ist, wird nirgendwo erklärt. Auch das FAQ und die Datenschutzerklärung enthalten Unschärfen, etwa zu den Daten, die Telegram löscht, wenn man sein Profil löscht. Das geht nur über eine sogenannte Deaktivierungsseite im Netz, wobei Deaktivieren dem Namen nach nicht das gleiche ist wie Löschen. Auch wird nicht klar, ob dabei auch die eigene Handynummer gelöscht wird oder ob Telegram die aus irgendeinem Grund behält. Erst auf Nachfrage sagt der Support, auch die Telefonnummer werde gelöscht.

Unter Contacts werden alle eigenen Kontakte angezeigt, die ebenfalls Telegram installiert haben. Die App greift also auf das Adressbuch zu und gleicht es mit dem eigenen Nutzerbestand ab. Laut Datenschutzerklärung fragt Telegram dabei immer um Erlaubnis. Im  Test ist das eindeutig nicht passiert.

Zwei Anforderungen erfüllt Telegram:

1. Grundsätzlich ist die App aufgeräumt und leicht zu bedienen. Es gibt zwei Wege, sich zu schreiben. Normale Chats werden verschlüsselt auf den Servern von Telegram vorgehalten, damit sind sie von verschiedenen Geräten eines Nutzers abrufbar. Die sogenannten Secret Chats sind Ende-zu-Ende-verschlüsselt. Sie können nur auf einem Gerät wieder entschlüsselt werden und zudem ein Verfallsdatum verpasst bekommen, an dem sie sich selbst löschen. Secret Chats werden nur so lange auf den Telegram-Servern gespeichert, bis sie vom Empfänger abgerufen werden. Das ist übrigens auch bei Threema so. Ob der Nutzer sich in einem Secret Chat befindet, sieht er an kleinen Schloss-Symbolen. 

2. Telegram ist sehr vielseitig. Es gibt es sogar inoffizielle Desktop-Apps und Apps für Windows-Phone.

Was den Quellcode und die Sicherheit angeht, hinterlässt Telegram einen zwiespältigen Eindruck. Open Source sind nur Teile der App. Die Entwickler schreiben im FAQ aber, dass sie in Zukunft weiteren Code veröffentlichen wollen. Wer das bei Threema akzeptiert, wird das auch bei Telegram akzeptieren können.

Die meisten Fragen wirft die Verschlüsselung auf. Mehrere Kryptografie-Experten haben die Telegram-Lösung als Murks bezeichnet, als wilde Mischung aus zum Teil hoffnungslos veralteten und als angreifbar geltenden Bausteinen. Nun könnte man sagen: Auch eine schlechte Verschlüsselung muss erst einmal gebrochen werden, es erfordert einen gewissen Aufwand. Wie leicht angreifbar Telegram ist, ist Ansichtssache. Es ist nicht so, dass Secret Chats im Klartext durchs Netz gehen. Aber in den Hacker News gibt es eine für Nicht-Kryptografen inhaltlich kaum nachvollziehbare Diskussion zwischen den Telegram-Machern und dem renommierten Krypto-Experten Moxie Marlinspike. Der ist zwar nicht unvoreingenommen, schließlich hat er mit TextSecure ein vergleichbares Produkt entwickelt. Aber sein Wort hat in der Szene Gewicht, und er ist nicht der einzige, der reihenweise Merkwürdigkeiten in Telegrams Verschlüsselungsmethoden gefunden haben will.

In ihrem erweiterten FAQ gehen die Macher auf einige der Kritikpunkte ein. Doch einen schlechten Ruf haben sie unter Experten trotzdem – und der aggressive Tonfall der Telegram-Macher in Foren und auf der eigenen Website macht ihn nicht besser.

Fazit: Die perfekte Messaging-App gibt es noch nicht

Fazit: ChatSecure setzt auf einer anerkannte, sichere Verschlüsselungstechnik und ist theoretisch sehr flexibel. Die App hat aber die Unannehmlichkeiten, die das XMPP-Protokoll mit sich bringt. Wer bis heute nur WhatsApp benutzt hat, wird mit ChatSecure deshalb nicht glücklich.

Telegram sieht gut aus, ist kostenlos, bietet viele Funktionen und funktioniert plattformübergreifend. Wenn die Macher noch klarer sagen würden, was die App im Hintergrund tut, und wenn sie es schaffen würden, ihren Ruf in der Krypto-Community zu verbessern, wäre Telegram eine empfehlenswerte Alternative zu WhatsApp.

An Threema haftet lediglich der Makel fehlender Transparenz, um auch unter Sicherheitsexperten wirklich anerkannt zu sein. Alle anderen werden die App als gelungene Alternative zu Messaging-Apps ohne Ende-zu-Ende-Verschlüsselung sehen. Der Threema-Entwickler Manuel Kasper ist ein netter Mensch, aber er meidet die üblichen Hackerkonferenzen. Dabei könnte er dort und im besten Fall mit einem Audit oder der Offenlegung des Quellcodes letzte Zweifel an seiner App ausräumen.

Alles, was surespot fehlt, um besser zu sein als Threema, ist ein etwas größerer Funktionsumfang und die unabhängige Bestätigung dafür, dass alle wichtigen Sicherheitsbedenken ausgeräumt wurden.

Nicht berücksichtigt wurden in unserem Test Silent Text von Silent Circle und TextSecure von Open Whisper Systems, auch wenn beide Apps technisch würdige Konkurrenten wären, entwickelt von Menschen, die wissen, was sie tun. Aber TextSecure gibt es bisher nur für Android und dessen Abkömmling CyanogenMod. Und Silent Text ist zu teuer: Die App selbst ist kostenlos, aber der Service von Silent Circle kostet 9,95 US-Dollar im Monat oder 99,95 im Jahr. Um eine ernsthafte Alternative zu WhatsApp oder Viber sein zu können, ist das zu viel. Die Wahrscheinlichkeit, dass eine nennenswerte Anzahl von Menschen von einem kostenlosen Dienst auf einen umsteigt, der sie 100 Dollar im Jahr kostet, ist nahe null.