digitale Tools und Themen für Journalisten

Sicherer als WhatsApp: Threema und Telegram im Test

Manchmal habe ich den Eindruck, jeder Deutsche hat WhatsApp auf seinem Smartphone. Das hat den Vorteil, dass man fast jeden – beruflich wie privat – per WhatsApp über seine gewohnte Handynummer erreichen kann. Aber seit der Übernahme von WhatsApp durch Facebook bleibt ein mulmiges Gefühl, was die US-Datenkrake mit den ganzen Handydaten macht. Es gibt sichere Alternativen und bei meiner Recherche habe ich zwei Dienste gefunden, die immer wieder empfohlen werden: Threema und Telegram. Ein Vergleich.

Threema (Foto: Threema)

Threema (Foto: Threema)

Verschlüsselte Verbindung

Beide Anbieter werben damit, dass die Daten auf dem Smartphone des Absenders verschlüsselt und erst auf dem Empfänger-Smartphone wieder entschlüsselt werden. Der Anbieter selbst habe so keinen Zugriff auf die Nachrichten. Threema speichert die Nachrichten nach eigenen Angaben nur so lange, bis sie an den Empfänger übertragen wurden. Ich formuliere bewusst vorsichtig, denn überprüfen kann man die Aussagen von Threema nicht: Der Sourcecode ist nicht öffentlich und eine externe Überprüfung der App hat die Firma bisher aus wirtschaftlichen Gründen abgelehnt, weil jedes Update erneut überprüft werden müsste. Bei Telegram ist der Sourcecode teilweise öffentlich und kann überprüft werden, aber das hat die Stiftung Warentest in einem Vergleich nur bedingt überzeugt. Einer der Kritikpunkte: Während bei Threema alle Nachrichten verschlüsselt sind, muss man bei Telegram den Secure Chat explizit auswählen. Die Datenschutz-Bewertung fällt insgesamt „kritisch“ aus, während Threema als „unkritisch“ eingestuft wird. Zum Vergleich: WhatsApp, Blackberry Messenger und Line bekommen ein „sehr kritisch“.

Telegram (Foto: Screenshot)

Telegram (Foto: Screenshot)

Der Funktionsumfang von Threema und Telegram erinnert an andere Dienste: Man kann Nachrichten, Fotos und Videos an einzelne Personen oder Gruppen (Threema: Bis 20 Personen) schicken und von ihnen empfangen.

Telegram erlaubt Nutzung auf mehreren Geräten gleichzeitig

Threema unterstützt bislang die Smartphone-Plattformen iOS, Android und Windows Phone, Telegram geht deutlich weiter: Es gibt Apps für Windows, Mac, Linux und für den Browser. Während der Telegram-Nutzer eine Nachricht auf allen Geräten gleichzeitig empfängt und beantworten kann, müssen Threema-Nutzer für jedes Gerät eine eigene Threema-ID einrichten und an Freunde und Kollegen verteilen. Das erhöht die Sicherheit, macht die Nutzung auf mehreren Geräten aber umständlich. Der Trick: Für jedes Gerät eine eigene Threema-ID einrichten und dann einen Gruppen-Chat einrichten, in dem die eigenen Geräte und die des Partners eingetragen werden.

Wechselt man später das Smartphone, wird beim Herunterladen der App eine neue Threema-ID generiert und man muss seinen Kontakten die neue ID schicken – bzw. wieder den QR-Code abscannen. Wer die selbe Plattform behält (iOS zu iOS oder Android zu Android) kann seine ID in ein Backup sichern und so behalten. Wie das geht, beschreibt Threema auf seiner Website. Auf Wunsch lässt sich die Threema ID mit der eigenen Handynummer und/oder der eigenen E-Mail-Adresse verbinden, um auf diese Weise von neuen Gesprächspartnern gefunden zu werden.

Die Threema-Server stehen in der Schweiz

Threema gibt an, dass alle Server – die für die App-Nutzung gebraucht werden – in der Schweiz stehen. Telegram hat in einem Tweet mitgeteilt, dass seine Server in Amsterdam, Singapur und San Francisco stehen und das kein Byte an britische, us-amerikanische oder andere Behörden weitergeleitet wurden.

Der Einstiegspreis für die Sicherheit ist niedrig

Threema (Foto: Threema)

Threema (Foto: Threema)

Erfreulich: Die WhatsApp-Konkurrenten sind nicht teuer. Threema kostet einmalig 1,99 Euro (iOS, Android und Windows Phone) und Telegram ist sogar ganz kostenfrei. Finanziert wird Telegram vom wohlhabenden Russen Pawel Walerjewitsch Durow, der zusammen mit seinem Bruder die russische Facebook-Alternative vk.com gegründet hat. Threema möchte seinen Dienst einzig über den Verkaufserlös der App decken, was klappen kann, denn zumindest im iOS-AppStore belegt die App Platz 1 der Liste der meistverkauften Apps und bei Windows Phone Platz 2. Threema war auch die meistverkaufte iOS-App im Appstore im Jahre 2014.

Sicherheit versus Komfort

Höher als die 1,99 Euro (für Threema) ist aus meiner Sicht der Komfort-Verlust: Um wirklich sicher kommunizieren zu können, muss man seine Threema-Kontakte persönlich treffen und gegenseitig den in der App angezeigten QR-Code abscannen. Das mag in einem Team, das sich eh jeden Tag in der Redaktion sieht, funktionieren – wird aber in anderen Fällen schwierig. Und man muss damit leben, dass man – anders als zum Beispiel beim Apple-Dienst iMessage – die Nachrichten immer nur auf einem Gerät empfangen und beantworten kann. Erhält man eine Nachricht, zeigt das iPhone zwar eine Push-Nachricht an – aber nicht gleich den Inhalt der Nachricht, denn die wird ja erst von der App beim Öffnen entschlüsselt. Viele kleine Punkte, bei denen sich Threema für Sicherheit und gegen Komfort entschieden hat.

Fazit

Mit Threema und Telegram kann man gefühlt deutlich sicherer Nachrichten von Smartphone zu Smartphone schicken als mit WhatsApp und Co. Mir hat bei Threema gefallen, wie konsequent auf die Sicherheit geachtet wird – auch wenn darunter der Nutzungskomfort leidet. So wird man bei der Installation gefragt, ob man sein Adressbuch hochladen möchte und man kann den Dienst nutzen, ohne seine Handynummer und/oder seine Mailadresse einzutragen. Letztlich sind Threema und Telegram aber keine Massen-Dienste und man muss seine Kollegen und Freunde davon überzeugen, den Dienst zu nutzen. Bei WhatsApp und erst recht bei iMessage (Standard auf jedem iPhone und automatisch aktiviert!) braucht man weitaus weniger Überzeugungskraft.

Update (12. März 2015): Kurz nach der Veröffentlichung dieses Beitrages hat Telegram per Twitter mitgeteilt, dass die europäischen Server seit Juni 2014 in Amsterdam und nicht mehr in London stehen. Ferner sei bis heute kein Daten-Byte an britische, us-amerikansiche oder andere Behörden weitergeleitet worden. Ich habe den Absatz aktualisiert und den Tweet eingebettet.

Update (17. Mai 2015): Korrektur: Man kann – anders als in dem Beitrag erwähnt – die Threema-ID auf ein neues Smartphone (derselben Plattform) mitnehmen: Also von iOS auf iOS oder von Android auf Android. Wie das geht, beschreibt Threema auf seiner Website. Danke für den Hinweis an den User Niels.

Update (6. April 2016): WhatsApp hat heute angekündigt, alle Nachrichten mit einer Ende-zu-Ende-Verschlüsselung zu schützen. 

Verpassen Sie keinen neuen Beitrag auf Journalisten-Tools.de: Abonnieren Sie meinen monatlichen Newsletter.

15 Responses to “Sicherer als WhatsApp: Threema und Telegram im Test”

  1. inkaboll

    halte threema durchaus für massentauglich. in meinem umfeld gibt’s kaum noch welche, die’s nicht nutzen. dass die id eines kontakts verifiziert wird, ist ja nicht zwingend erforderlich.

    Antworten
  2. Niels

    Nächstes Mal vllt. was sauberer recherchieren:
    Selbstverständlich kann man seine Threema ID auf ein anderes Gerät übertragen.
    Und man muss auch niemanden persönlich trefffen um sicher zu kommunizieren. Ein anderweitig gesicherter Austausch der QR-Codes genügt ja.

    Antworten
    • Sebastian Brinkmann

      Vielen Dank für Ihr Feedback!

      • Es stimmt, die ID lässt sich über ein Daten-Backup zumindest innerhalb einer Plattform (iOS, Android) auf ein neues Gerät mitnehmen. Die Information habe ich ergänzt. Vielen Dank für den Hinweis.
      • Der sichere Austausch des QR-Codes erscheint mir schwierig. Ein einfacher Austausch per E-Mail oder SMS / WhatsApp oder so wäre unsicher. Man müsste die Bild-Datei verschlüsselt und authentifizieren können. Aber da freue ich mich über Tipps und Tricks, wie das gehen soll.
      Antworten
      • Tom

        Bildschirmfoto von dem QR-Code machen, dann lokal über Kabel auf den Rechner übertragen. In einen Ordner packen, diesen dann mit AES-256 Bit als Zip verschlüsseln. Kann dann normal per Mail versendet werden. Passwort zum entschlüsseln muss halt auf konventionellen Weg übermittelt werden. Am Rechner dann das Zip entschlüsseln und mit dem Smartphone scannen. Voila das war es auch schon. Wer so etwas nicht hinbekommt der braucht auch kein Threema und soll bei WA bleiben.

        Antworten
          • Tom

            Für eine Variante muss man sich entscheiden:
            einfach = unsicher
            umständlich = sicher

            Gibt auch noch andere Möglichkeiten. Problem ist aber immer das der QR-Code ja nicht auf dem Smartphone landen soll, da er von da aus als Bild nicht in Threema eingescannt werden kann. Option wäre über iMessage das Bild zu senden (ist auch relativ sicher) und da vom Mac Client den Code zu scannen.

  3. Rina

    Neben diesen beiden Diensten gibt es noch TextSecure das ist open source und benutzt auch ende zu ende Verschlüsselung

    Antworten
  4. Lars

    Die Threema-ID lässt sich ebenfalls plattformübergreifend, also z.B. ios->android, übertragen. Ein neuer Account ist nicht notwendig. Gerade eben erfolgreich praktiziert.

    Antworten
    • Sebastian Brinkmann

      Vielen Dank für Ihren Kommentar. Das Übertragen einer ID bei Geräte-Wechsel ist möglich und wird in der FAQ auch beschrieben. Aber mir wäre neu, dass man eine ID gleichzeitig auf mehreren Geräten verwenden kann. Genau das wäre aber notwendig, um dann Nachrichten auf mehreren Geräten empfangen zu können. Das widerspricht nach meinem Verständnis aber dem Sicherheitssystem von Threema.

      Antworten
      • X5

        Es ist die Rede von „plattformübergreifend“ benutzen und nicht von gleichzeitigem Gebrauch auf mehreren Geräten. D.h., dass man die Threema-ID nicht nur wie im Artikel beschrieben von Android zu Android oder iOS zu iOS, sondern auch von Android zu iOS oder umgekehrt übertragen kann. Wohl gemerkt NICHT gleichzeitig.

        Antworten
  5. Klara

    Warum nicht einfach den QR-Code ausdrucken und per Post verschicken? Wer sollte das auffangen? Aufwand geht gegen Null, Sicherheit dürfte jeder Art elektronischer Übermittlung überlegen sein. Porto muss man halt investieren.
    Nur so eine Idee, kenne mich nicht wirklich aus.

    Antworten
    • Sebastian Brinkmann

      Danke für Deinen Kommentar! Laut Telegram FAQ unterscheidet Telegram zwischen zwei Verschlüsselungsarten. Standardmäßig wird die Verbindung zwischen Server und Client verschlüsselt. Auf Wunsch werden die Nachrichten mit einer Ende-zu-Ende-Verschlüsselung codiert. Dann hat der Anbieter keine Chance, die Nachrichten selbst zu lesen oder an Behörden auszuhändigen.

      Antworten

Schreibe einen Kommentar zu Sebastian Brinkmann Antworten abbrechen

Einfaches HTML ist erlaubt. Ihre E-Mail-Adresse wird nicht angezeigt.

Abonnieren Sie weitere Kommentare zu diesem Beitrag per RSS