„Privacy“ als oberstes Ziel – große Unterschiede bei Sicherheitsfeatures
Fulda – Als sich die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) vor einem Jahr die beiden Messenger-Dienste Threema und Telegram hinsichtlich Sicherheit und Funktionsumfang genauer ansahen, konnten beide Dienste unterschiedlicher nicht sein: Während Threema mit Ende-zu-Ende-Verschlüsselung, transparenten AGB und Datenschutzrichtlinien sowie leichter Bedienbarkeit positiv auffiel, warf Telegram dagegen etliche Sicherheitsfragen auf: Das hauseigene Verschlüsselungsprotokoll wurde kritisiert und der Datenschutz als unzureichend eingestuft. Positiv waren immerhin die immense Flexibilität, die Nutzung ohne Kosten sowie die einfache Bedienung.
Nun hat sich das Team beide Messenger noch einmal angesehen – und war insgesamt positiv überrascht.
Im vergangenen Jahr hat sich Threema vorrangig um die Weiterentwicklung der Optik und Bedienbarkeit gekümmert. Neue Features wie der lang ersehnte Versand von Sprachnachrichten, aber auch neue Icons und Bedienelemente machen Threema zu einem Messenger, der sich intuitiv bedienen lässt und keine Fragen aufwirft. „Bezüglich der Sicherheit sind wir nach wie vor überzeugt von Threema. Das Schichten-Prinzip, also die Ende-zu-Ende Verschlüsselung zwischen den Kommunikationsteilnehmern sowie die zusätzlich Verschlüsselung, die das Abhören der Verbindung zwischen Server und App verhindert, schützt nicht nur Textnachrichten und Medien vor Schnüfflern. Auch das nachträgliche Entschlüsseln ist unmöglich. Die Vorteile des Serverstandorts in der Schweiz sind gemeinhin bekannt – Threema gelingt, Sicherheit, Datenschutz und Usability gekonnt zu verbinden“, zeigt sich Christian Heutger, Geschäftsführer der PSW GROUP, begeistert vom Messengerdienst. Trotz Preiserhöhung – für alle Betriebssysteme kostet die App nun 1,99 Euro – stimmt auch das Bezahlkonzept: Durch die Downloadkosten ist die Zukunft des Messengers gesichert, während auf Seiten des Verbrauchers die Kosten bestens planbar sind.
Und Telegram? Noch vor einem Jahr existierte die offizielle Telegram-Messenger-App lediglich für iOS und Android, mittlerweile können auch Windows Phone-User die App in der Beta-Version downloaden. Weiter wurde eine Web-, Mac OS X-, Windows- und Linux-Version entwickelt, sodass Telegram nun tatsächlich als plattformübergreifender Messenger betitelt werden kann. Noch immer wird die App kostenfrei heruntergeladen und genutzt. „Aufgrund der neu hinzugekommenen Plattformen erlaubt es Telegram, unbegrenzt Fotos, Videos und sonstige Dateien auf PCs, Smartphones, Tablets oder über den Webbrowser zu versenden und zu empfangen. All das funktioniert intuitiv und schnell. Mit der erweiterten Plattformkompatibilität und der Cloud-Basis von Telegram greifen Anwender von überall auf ihre Medien und Nachrichten zu. Zudem können Chats mit einem Selbstzerstörungsmodus versehen werden“, fasst Christian Heutger die Vorteile der neuen Telegram-Features zusammen.
Auch in Sachen Sicherheit hat Telegram – zumindest etwas – nachgebessert: Mittlerweile besteht die Möglichkeit, mehr vom Quellcode einzusehen. Noch vor einem Jahr legte Telegram lediglich Teile davon offen. Heute sind Quelltext, Protokoll und der Entwicklerzugang (API) frei einsehbar und können unabhängig überprüft werden. Auch können Accounts inzwischen gelöscht, nicht mehr nur deaktiviert werden. „Wenngleich Telegram auf dem richtigen Weg ist, der von den Machern auch konsequent weiter verfolgt werden sollte, hat sich ansonsten noch nicht so viel getan. Telegram setzt weiter auf das hauseigene Verschlüsselungsprotokoll MTProto encryption, bei dem Kryptografie-Experten kritisieren, dass es veraltet und unsicher sei. Auch die Berechtigungen, die Telegram für die Installation haben möchte, sind nach wie vor sehr umfangreich, immerhin für die Verwendung jedoch größtenteils notwendig“, so Heutger. Er erklärt: „Die Android-App benötigt beispielsweise Lesezugriff auf SMS. Für die Validierung bei der Messenger-Installation ist dies unbedingt nötig, da der SMS-Code ausgelesen und abgeglichen werden muss. Theoretisch wird es mit dieser Berechtigung jedoch möglich, dass Telegram sämtliche SMS-Inhalte lesen kann.“ Im Quellcode wird ersichtlich, dass SMS ausschließlich zum Erkennen des Validierungscodes gelesen werden.
Das Adressbuch wird von Telegram weiterhin ohne Zustimmung des Users ausgelesen und synchronisiert. Ende-zu-Ende-verschlüsselt sind ausschließlich geheime Chats. Diese unterstützen auch die Selbstzerstörung von Nachrichten und lassen sich nicht weiterleiten. „Solche verschlüsselten Nachrichten können ausschließlich auf dem Endgerät genutzt werden, auf dem sie gestartet wurden, denn auf cloudbasierte Speicher verzichten geheime Chats natürlich“, ergänzt Heutger.