Shooting Messengers

Seit der Meldung, dass Facebook WhatsApp gekauft hat, schießen die Anmeldezahlen bei alternativen Messengern in die Höhe, das scheint also zumindest bei einigen Leuten irgendwas getroffen zu haben. Und allüberall werden jetzt Alternativen diskutiert, und Gründe, warum man wechseln sollte oder warum das doch egal sei – und vieles, was eigentlich gar nichts miteinander zu tun hat, in einen Topf geworfen. Ich versuche das deshalb hier mal von einer anderen Seite her aufzudröseln.

Vornweg: Ich gebe zu, ein bisschen amüsiere ich mich ja auch darüber, dass WhatsApp-Nutzer jetzt wechseln, weil sie facebook misstrauen, als ob WhatsApp vorher nicht auch schon alle ihre Daten mitgeschnüffelt hätte, teils deutlich dreister und mehr als Facebook oder Google das tun – in den letzten Jahren gab es ja nun wirklich zur Genüge Berichte über scheunentorgroße Sicherheitslücken und über die immense Neugierde der WhatsApp-Betreiber und dennoch wurde das Teil installiert und sogar zum Versenden wirklich privater Fotos und ähnlichem genutzt.

Nichtsdestotrotz wird dieser Einkauf natürlich tatsächlich Folgen haben bezüglich der persönlichen Privacy. Wie immer aber kommt es halt auch drauf an.

Zum einen ist da ja einfach die Frage: „Wenn mir als Facebook- und Googledienste-Nutzer bewusst ist, dass ich dort mehr oder weniger Privacy-frei kommuniziere und das mit WhatsApp eh auch nicht anders war und ich das deshalb auch eh nie für wirklich Privates nutzen würde, warum sollte ich da jetzt denn trotzdem wechseln?“

Also für mich, hätte ich WhatsApp bislang genutzt (Ich habe das Teil ärgerlicherweise tatsächlich genau für zwei Tage lang installieren müssen, weil ich damit auf einer Messe in Barcelona die Messedruckerei am besten erreichen konnte – weshalb man mich wahrscheinlich noch für Jahre dort angezeigt bekommt, obwohl ichs nicht nutze), hätte das was mit der Streuung meiner Daten zu tun. Ich nutze recht bewusst verschiedene von einander unabhängige Dienste, damit nicht ein großer Dienstleister quasi alles von mir mitbekommt. Genau das wäre theoretisch ein Grund für mich gewesen, u.U. tatsächlich WhatsApp zu nutzen (wobei mir das Teil wahrscheinlich doch einen Tick zu neugierig gewesen wäre und ichs selbst dann gelassen hätte, wahrscheinlich), hätte ich jemals Bedarf an so einem Dienst gehabt, obwohl ich das selbe auch per Facebook-Messenger machen könnte (den ich ja auch nicht nutze).

Klar, die NSA und andere staatlichen Behörden führen diese Daten dann am Ende, angereichert durch Telefon- und anderen Daten und Metadaten ja eh wieder zusammen, aber eben: diese tun das, facebook, Google und Co. können das nicht. Ich hab zum Thema informationelle Selbstbestimmung und auch zu diesem Unterschied ja schon einmal was geschrieben, drum geh ich da jetzt nicht nochmal näher drauf ein. Nur ein Punkt dazu: Überwachung wird durch Verschlüsselung immens teuer.

Nur eins dazu: Klar ist „Essen ist fertig!“ per Messenger keine Information, die Überwacher interessiert. Aber wenn sie’s erst mal für 1000$ entschlüsseln müssen (oder besser noch, für eine zukünftige Entschlüsselung teuer einlagern, weil sie’s derzeit noch nicht hinbekommen) anstatt es für 5 Cent als profan rausfiltern zu können, sehe ich das durchaus auch als eine Form von subversivem Widerstand 😉

Zum anderen stellt sich auch die Frage: Open Source oder Closed Source?

Ich bin in dieser Frage recht ideologiefrei, ich finde, beides hat sowohl Vorteile als auch Nachteile. Da ich eh nicht programmieren kann und mir der Source-Code nichts sagt, muss ich hier wie da auf Leute vertrauen, also den Herstellern als auch Leuten, die sich die jeweiligen Programme genauer anschauen.

Inwieweit ein Programm für mich dann vertrauenswürdig ist kommt auf die Politik der Herstellerfirma an, also wie transparent die, bei Closed Source abgesehen vom Quellcode ihrer Programme, arbeiten und inwieweit deren Angaben auch korrekt und nachvollziehbar bzw. auch hinreichend -prüfbar sind. Sowie auf die Leute, die sich das dann anschauen, also sich tatsächlich den Code ansehen oder eben z.B. Datenströme analysieren und z.B. nachschauen, ob da nach Hause telefoniert wird und wenn, welche Daten denn da rein und raus gehen.

Ich habe mit vielen Open Source Lösungen das Problem, dass ich da nicht Nerd genug bin. Will sagen: oft kapiere ich nicht, wie das funktioniert, die Anleitungen sind leider nicht selten völlig kompliziert geschrieben bis teilweise sogar komplett unverständlich für Menschen, die nicht tief in der fraglichen Materie drinstecken. Und der „Normaluser“ ist das eben nun mal selten. Wenn Leute wie ich, die immerhin schon seit den Achtzigern mit Computern rumspielen und auch hin und wieder tiefergehende Basteleien machen, aber auf Programmiererebene eben doch nur normale „Nutzer“ sind, mit manchen Dingen so richtig Probleme haben, wie sollen Leute damit zurecht kommen, die viel weniger Erfahrung haben als ich?

Viele Closed Source Programme sind da deutlich nutzerfreundlicher, immerhin wollen Hersteller solcher Software im Normalfall ihre Produkte ja verkaufen, während die gewerbliche Open Source-Szene eher von Consulting, Anpassung, Betreuung und Personalisierung lebt. Und deren Vertreter neben dem kaum zu vermeidenden Tunnelblick des Experten manchmal auch verständlicherweise nicht wirklich daran interessiert sind, dass Nutzer da zuviel Durchblick haben, weil man ja sonst ihre Dienste gar nicht mehr benötigen würde.

Da unter Nerds Closed Source aber gerade auch aus ideologischen Gründen misstrauischer betrachtet wird als Open Source, vertraue ich auch darauf, dass dieses Misstrauen dazu führt, dass sich Leute, die Ahnung haben, solche Programme ganz genau ansehen. Und das tun sie ja auch, das haben einige Vertreter dieses Geschäftsmodells ja schon des öfteren erfahren müssen. Es ist ja nicht nur der Quellcode, anhand dessen geschickte Hacker feststellen können – und es oft genug auch taten – dass eine App oder ein Programm dubiose Dinge tut. Und selbst – oder gerade – wenn (noch) keiner hat rausfinden können, was genau hinter einem Misstrauen erweckenden, dubiosen Verhalten einer App oder eines Programms steckt, ist auch gerade das ein Gesprächsthema.

Eine App oder ein Programm, dessen einziger Kritikpunkt in der Szene am Ende ausschließlich der Umstand ist, Closed Source zu sein, aber darüber hinaus keinerlei konkrete Beanstandung findet und deren Hersteller auch ansonsten keinen Grund liefert, seinen Aussagen zu misstrauen, indem er z.B. völlig intransparent agiert oder mit zweifelhaften Geschäftspraktiken auffällt, sehe ich deshalb als nicht weniger vertrauenswürdig an als jede Open Source-Lösung.

Denn für mich, der ich nicht selber in den Code schauen kann, ist da kein Unterschied mehr. Denn auch den Open Source Programmieren sowie den Menschen, die z.B. dezentral eigene Server aufziehen und betreiben muss ich ja ebenso irgendwie vertrauen. Und kann auch dort das nur anhand dessen, was sie sagen, wie sie sich verhalten und wie sie von anderen beleumdet werden.

Es sind eben einfach nur verschiedene Geschäftsmodelle. Wie gesagt, ich sehe das ideologiefrei. Und nutze deshalb, je nachdem wo ich meine Priorität sehe, mal das eine und mal das andere.

Letztlich kommts aber auch ganz praktisch darauf, wofür man einen mobilen Messenger überhaupt nutzen möchte. Also z.B. wie privat.

Facebook nutze ich ja z.B. öffentlich, ich hatte meinen Umgang mit Privacy und Internet ja hier erläutert. Eben, weil das Internet genau das immer schon war und Facebook genau das ist: öffentlich. Privacy ist kein „default“-Wert dieser Technik und war es nie, wer Privacy will musste diese schon immer selbst implementieren oder Dienste nutzen, die sie dazu bauen. Problematisch hier sind dann Dienste wie facebook, die „Private Messages“ anbieten, aber offenbar unter „Private“ was anderes verstehen als ich.

Deshalb ist auch in der Frage der Überwachung nicht „das Internet“ kaputt, sondern der politische Wille, der sich von demokratischen und menschenrechtlichen Werten verabschiedet hat. (Nachtrag: Ich empfehle dazu auch das Gespräch von Jens und Oliver über dieses „früher“TM, von dem immer alle reden aber offenbar viele vergessen haben, wie es wirklich war)

Die Daten liegen fern von meinem Zugriff auf einem Server, und weil in Amiland, mit mehr oder weniger direktem Zugriff amerikanischer Geheimdienste, die auch die sogenannten „privaten“ Messages mitlesen können und das auch bei ganz normalen Privatleuten tun, wie man ja diversen Berichten von Leuten, die in die USA einreisen wollten und sich an der dortigen Grenze mit Mails und Facebook-PMs konfrontiert sahen, wenn es um Zweifel an völlig harmlosen (also nicht terroristischen) Zwecken der Reise ging, entnehmen konnte. Da gingen in den letzten Monaten ja genügend entsprechende Meldungen rum.

Nicht weniger öffentlich würde ich da auch WhatsApp einzuschätzen. Weshalb ich das nie genutzt habe, schlicht, weil ich lange Zeit keinen zusätzlichen Messenger brauchte, dessen Kommunikation ich als öffentlich klassifizieren würde. Und für tatsächlich private Kommunikation nutze ich natürlich keinen Dienst, den ich als öffentlich einstufe.

Für reine kleine nicht-private Text-Direktchats reichte mir bislang Google Talk und für etwas privatere ein Jabber-Client auf dem Smartphone, einfach weil ich auch auf dem heimischen Desktop-PC einen Jabberclient habe und Google Talk damit auch bedient werden kann. Da brauche ich dafür keinen rein für mobil funktionierenden Client mit der Voraussetzung, dass mein Gegenüber genau den selben nutzt. Außerdem chatte ich auf einem Smartphone eh nicht so gerne rum. Ich hab auch in den mindestens 20 Jahren, die ich ein Handy nutze, wahrscheinlich noch keine 500 SMSe geschrieben.

Darüber hinaus hab ich auf meinem Smartphone eh eine App laufen, die die Internetverbindung ausschaltet, sobald der Bildschirm ausgeht, und ich deshalb unterwegs sowieso nur online bin, wenn ich auch tatsächlich ins Gerät gucke. Auch, weil ich mobil ungern chatte und es deshalb ganz praktisch finde, „offline“ zu sein, solange ich grade nicht bewusst und aktiv ins Netz gehe.

Das ist eben auch ein Faktor: wie schaut meine persönliche Kommunikationsmittelnutzung eigentlich aus?

Mit den Smartphones ging allerdings dann irgendwann auch bei mir irgendwann der Wunsch einher – oder auch teilweise die Notwendigkeit, die auch aus einem gewissen „das kann man damit jetzt machen“ einhergeht – auch „wirklich private“ Kommunikation damit zu realisieren, so mal eben unterwegs. Wirklich privat heißt: Bilder, Dokumente oder Gespräche, die wirklich nur der Empfänger sehen soll.

Wirklich privat heißt in diesem Fall: verschlüsselt. Eben: nicht öffentlich. Womit öffentliche Lösungen wie WhatsApp, Google und Facebook eben schon per Default rausgefallen sind.

Das Problem: ziemlich alle Lösungen setzen im Prinzip voraus, dass die Gegenstelle mit der selben Technik, heißt, demselbem „Programm“ arbeitet. Was aber freilich bei WhatsApp auch nicht anders ist, insoweit ist das nur eine Frage, wie interessiert meine privaten Kontakte an privater Konversation mit mir sind, was diese jeweils schon nutzen oder inwieweit sie bereit sind, das zu nutzen, was ich bevorzugen würde.

Im Bereich Chat theoretisch kein Problem, das bekannte und weit verbreitete Jabber-Protokoll bietet mit „Off the record“ ja schon länger ein entsprechendes Plugin an. Auch für mobile Clients. Problem hier: man muss die Verschlüsselung dazu schalten, und sie funktioniert nur per Handshake, also nur dann, wenn die Gegenseite auch OTR installiert hat sowie online ist. Für offline-Gespräche also ungeeignet. Und, wie ja erwähnt: ich bin mobil offline, sobald der Bildschirm aus ist.

Für Off the record-Jabber gibt es für Android (leider kann ich für andere Plattformen nix sagen, weil ich die nicht kenne – kann ja eventuell jemand in den Kommentaren die Infos dazu ergänzen, die mir fehlen) einige Clients, durch den offenen Standard ist es hier möglich, mit verschiedenen Clients untereinander kommunizieren zu können. Ob man auf dem Androiden also Xabber, ChatSecure, IM+, Beem oder sonstwas nutzt ist für die jeweilige Gegenstelle egal, solange diese auch irgendeinen dieser Jabberclients mit OTR nutzt. Ein weiterer Vorteil: man kann damit eben auch jegliche Desktopclients, die OTR unterstützen, erreichen.

Der Nachteil, wie erwähnt: Verschlüsselung geht nur online, nicht offline. Datenversand geht auch nicht überall. Und inwieweit allerdings das ein oder andere Clientprogramme selbst wiederum Daten neben der verschlüsselten Kommunikation vorbei ziehen, speichern oder sonstwie sammeln ist mir ebenfalls nicht immer ganz klar. Viele dieser Multi-Protokoll-Clients bieten auch Facebook- und Google-Logins, weil sie auch deren Protokolle unterstützen, und wie weit da dann Verschlüsselung und Privacy gewährleistet bleibt weiß ich nicht. Deshalb nutze ich diese auch ausschließlich für Jabber, ohne Google und FB-Login.

In meinem Fall ist das eben ChatSecure. Womit ich aus genannten Gründen wirklich Privates nur im direkten Chat bei erfolgtem OTR-Handshake mache. Aber dennoch nicht, selbst wenn es ginge (viele Clients können das bei OTR sowieso nicht) Bilder oder Dokumente verschicke, weil ich hier nicht sicher bin, ob das im Chatprotokoll oder Log auch für Anhänge verschlüsselt bleibt. Wie gesagt: ich kenn mich da nicht tief genug aus, und die Beschreibungen sind mir nicht so verständlich, als dass ich das 100% sicher draus ersehen könnte.

Und wie oben ja schon erwähnt, viele Open Source-Clients, auch die auf Android, bestechen leider durch mehr oder weniger schlechte Usability und mangelnde Hilfestellungen innerhalb der App. Und gern auch durch wirklich unterirdische Hässlichkeit. Es macht mir schlicht keinen Spaß, mit denen was zu machen. ChatSecure ist in dem Punkt zwar auch nicht schön, und auch in Punkto Usability durchaus verbesserungsfähig, aber es ist in diesen Punkten noch der Client, bei dem das am wenigsten schlimm ausgefallen ist.

Für tatsächlich private Konversationen nutze ich deshalb seit einiger Zeit schon Threema, das derzeit schwer durch alle Medien gehypet wird, als ob es nichts anderes gäbe.

Es gibt aber durchaus auch einige andere, die einen Blick wert sein können, z.B. Telegram (Open Source) oder whistle.im (noch sehr buggy), um nur zwei zu nennen.

Für mich allerdings hat sich Threema recht schnell als Favorit rauskristallisiert, da es tatsächlich das Thema Sicherheit sehr konsequent durchzieht – wer seine ID, also auch den Schlüssel, den wirklich niemand anderer zu Gesicht bekommen soll, z.B. für einen Gerätewechsel exportiert und das Passwort vergisst, mit dem er diesen Export gesichert hat, hat keine Möglichkeit mehr, an diesen Schlüssel nochmal dran zu kommen und muss einen neuen Account mit neuem Schlüssel anlegen.

Die Kommunikation wird auf dem eigenen Gerät verschlüsselt und auf dem Gerät des Gegenübers erst wieder entschlüsselt, so dass auch offline gesendete Messages und Dateien, die auf dem Threema-Server zwischengelagert werden, um ausgeliefert zu werden, sobald der Gegenüber mal wieder online ist, nicht gelesen werden können. Threema selbst hat sich da sowohl was Inhalte als auch was Useraccounts betrifft sehr konsequent selbst ausgesperrt.

Was mich ansonsten überzeugt hat: trotz der sehr konsequent durchgezogenen Verschlüsselung ist Threema das Userfreundlichste Produkt, das ich ausprobiert hatte. Und zwar bei Weitem. Schlüsselerstellung, Kontakterstellung, sogar der Umzug auf ein neues Gerät, den ich letztens machte, gingen wunderbar intuitiv, indem ich auf dem einen Gerät einen QR-Code generieren ließ, den ich mit dem anderen nur abscannen musste, ich wurde durch alle möglichen Schritte bei Einrichtung oder eben auch beim Export und Import der ID durchgeführt ohne dass ich je das Gefühl hätte, nicht zu wissen, was ich da jetzt tu oder tun soll.

Was wirklich ob der technischen Komplexität von Verschlüsselung eine nicht zu unterschätzende Leistung ist! Dass es für Vollaien so sauschwer ist, eine Verschlüsselung einzurichten liegt ja nicht nur daran, dass da manche Nerds kein Gespür dafür haben, dass das auch ein Anfänger hinkriegen können sollte. Sondern eben auch daran, dass das nun mal wirklich keine ganz profane Prozedur ist und diese eben nun mal bestimmte Arbeitsschritte benötigt. Und weit mehr als nur einfach irgendwo ein „Ich habe die Nutzungsbedingungen gelesen“-Button zu drücken und danach dreimal auf „Ja“. Ein Programm, das es schafft, seinen Nutzer durch diese Prozedur so gut durchzuführen zeigt, dass sich da jemand richtig Gedanken gemacht hat.

Darüber hinaus gefällt mir das Ding auch optisch am besten, man merkt, dass sich dort wer Gedanken gemacht hat beim Design. Und in Punkto Ausgereiftheit, also Abstürze oder Bugs, ist es auch vielen anderen schon ein gutes Stück davon gelaufen. Klar, ein paar Kleinigkeiten dran auszusetzen hab ich auch noch, aber im Vergleich zu anderen, die ich ausprobiert habe, sind das wirklich Kleinigkeiten, von denen ich ausgehe, dass die demnächst eh nach und nach behoben oder ergänzt werden.

Trotz Closed Source habe ich noch keine einzige ernstzunehmende Kritik gefunden, keine Zweifel oder Beschreibung eines Verhaltens, das Grund zu Misstrauen rechtfertigt. Solange die einzige Kritik aus der Szene die ist, dass es Closed Source Software ist, und Leute ausschließlich deshalb lieber was anderes nutzen „aus Prinzip, weil man jeder Closed Source grundsätzlich niemals trauen darf“, sehe ich keinen Grund, nicht davon auszugehen, dass Threema hält was es verspricht.

Somit hat Threema meine uneingeschränkte Empfehlung als App für private Kommunikation auf dem Smartphone.

NACHTRAG: Sehr schön, wenn sich mit Thomas ein „Nur Open Source ist überprüfbar sicher“-Vertreter (wie gesagt: no pun, das ist ein legitimer und nachvollziehbarer Ansatz, speziell für Leute, die auch wirklich selbst in Codes reinschauen und damit was anfangen können) ohne Scheuklappen Threema anschaut und sich zu seiner eigenen Überraschung zu einer Empfehlung durchringen kann. Er beschreibt das Sicherheitskonzept, das auch mich überzeugt hat, wie folgt (und so schön kurz und knapp hätt ich das nie hinbekommen, drum raubmordkopiere ich den relevanten Part einfach):

[…]Im Interview erklärt Manuel Kasper sehr deutlich, wie wenig Daten der Dienst über seine Nutzer haben will. Die Rechnung ist folgende: In der Schweiz ist Threema kein Telekommunikationsdienstleister, ist also nicht in der Pflicht, irgendwelche Master Keys zu implementieren oder an den Staat herauszugeben. Die Verschlüsselung kann also ganz ohne Backdoors implementiert werden. Threema kann allerdings dazu gezwungen werden, die Daten, die in Datenbanken und auf Servern liegen, herauszugeben. Um die Privatsphäre der Nutzer in diesem Fall zu erhalten, ist es Ziel von Threema, ganz einfach möglichst wenig über den Nutzer zu wissen. Jede Art von Information wird deshalb nur so lange im Speicher auf den Servern gehalten, wie es unbedingt nötig ist: Beim optionalen Adressbuchabgleich wird (außer einem Hash der E-Mail Adresse und der Telefonnummer des Abfragenden) nichts für längeren Zeitraum auf dem Server gespeichert. […] Die Nachrichten selbst sind natürlich niemals über die Server auslesbar – das liegt in der Natur der End-To-End Verschlüsselung. Sämtliche Daten, die die App für den Betrieb benötigt, werden in verschlüsselter Form auf dem Smartphone abgelegt. Zusätzlich zur End-to-End Verschlüsselung wird selbstverständlich auch eine starke Transportverschlüsselung zum Server genutzt, sodass niemand Metadaten zum Kommunikationsverhalten abgreifen kann. Natürlich müssen die Server wissen, wer mit wem kommuniziert – diese Infos werden aber nicht in Logfiles geschrieben und bleiben daher ebenfalls geheim. Auch zum Thema Open Source gibt es schon Überlegungen des Unternehmens, einzelne Codeteile öffentlich zu machen, um noch mehr Vertrauen herzustellen […]

Den Punkt „Threema will Teile seines Codes offenlegen“ wusste ich selbst noch nicht, ich denke, dass das tatsächlich eine gute Idee ist. Und dass die eigentliche Kryptografie bereits mit Opensource-Standards realisiert wird glaubte ich zwar schon mal irgendwo gehört zu haben, konnte es aber nicht verifizieren, weil ich den Link nicht mehr wieder gefunden hatte, weshalb ich das nicht dazu geschrieben habe, eben weil ohne Beleg – somit Danke auch für diese Info.

(Und was er über die Usability und die Überforderung von Normalusern, die bei vielen anderen Lösungen schlicht nicht durchblicken, sagt: meine Rede 🙂

Ach ja, und hier noch der Link zum hochinteressanten Podcast von Marcus Richter mit den Gästen Manuel Kasper von Threema und Thorsten Schröder als Auskenner zum Thema Verschlüsselung und Sicherheit.

 


10 Gedanken zu „Shooting Messengers

  1. Viele dieser Multi-Protokoll-Clients bieten auch Facebook- und Google-Logins, weil sie auch deren Protokolle unterstützen, und wie weit da dann Verschlüsselung und Privacy gewährleistet bleibt weiß ich nicht.

    „deren Protokolle“ sind auch nur Jabber bzw. XMPP. Und ja, man kann dort via OTR kommunizieren.

    Zu Threema: es macht sicher einiges besser als whatsapp (kenne/nutze beides nicht) effektiv hat es aber das selbe Geschäftsmodell. Auf deutsch: ab einer gewissen Nutzerbasis wird es aufgekauft werden. Dann geht wieder das grosse Ringelpiez los und man kann sich nach Alternativen umsehen, wo man eigentlich schon seit Jahren alle Freunde für (offenes) Jabber hätte sensibilisieren können.

    1. Ah, super, danke für die Info (Dass GTalk auf dem Jabberprotokoll basiert weiß ich ja, drum ists ja kompatibel) – heißt das, dass ich sogar GTalk-Chats verschlüsseln kann, ohne noch irgendeinen weiteren Aufwand starten zu müssen? 🙂

      Naja, inwieweit Threema „irgendwann aufgekauft“ wird usw. – es gibt genug Firmen, die das nicht werden oder auch nicht werden wollen. Das werden wir also mal sehen. Mal davon ab, dass auch mit OS nicht unbedingt zwingend Unabhängigkeit von Konzernen garantiert werden kann (Java, Open Office, Android, z.B.) – Wie gesagt, ich halte da viele Konjunktive, die gegenüber CS ins Feld geführt werden, für ideologisch eingefärbt. Was, nicht missverstehen, durchaus auch eine legitime Argumentation ist und für die, die in dieser Frage ideologisch Position beziehen damit auch ein legitimes Entscheidungskriterium ist. Für mich ist es halt kein Argument. Solange eine CS-Lösung außer dem Umstand, CS zu sein keinen weiteren Grund zu irgendwelchem Misstrauen liefert, hab ich kein Problem damit. Denn, wie gesagt, ich muss da wie dort der Expertise von Leuten glauben, die die jeweiligen Lösungen technisch unter die Lupe nehmen.

      Threema hat sich sehr konsequent „ausgesperrt“ aus sowohl den Accounts als auch den Konversationen seiner Nutzer, und diese Konsequenz zähle ich da durchaus auch in die Einschätzung der Intention der Macher hinein. Ich habe derzeit keinen Grund finden können (und ich habe danach gesucht), der mich an deren Intention, mit einer richtig guten Privacy-Lösung für private Kommunikation Geld verdienen zu wollen, zweifeln ließe. Und wenn das klappen soll, muss man ja gerade mit dem USP, mit dem geworben wird, speziell, wenn es ein so sensibler ist, sehr aufpassen – der geringste Zweifel würde ihn ja zunichte machen.

      Zu Jabber: wenn es irgendwann mal eine OS Jabber OTR-Lösung gibt, die mindestens so einfach einzurichten ist und deren Bedienbarkeit und Verständlichkeit auch halbwegs an Userfreundliche Lösungen wie Threema rankommen, und wenn man damit auch offline-Messages verschlüsseln kann, dann werde ich das auch meinem Vater empfehlen. Derzeit tu ich das nicht. Weil ich nicht alle paar Tage angerufen werden will um was zu erklären bzw. ich mir nicht sicher sein kann, dass z.B. er keinen Bedienungsfehler macht, den er nicht bemerkt, der dafür sorgt, dass die ganze Verschlüsselung für die Katz war. Und wenns z.B. nur das ist, dass er mir Sachen schickt, obwohl ich nicht online bin.

      Wie gesagt: mir geht es hier nicht um Auskenner und Checker, die kommen ja klar. Mir gehts um die, die vor Verschlüsselung zurückschrecken, weil sie glauben – oder auch die Erfahrung machten, weil sie es mit der für sie nicht passenden Lösung versuchten – dass das furchtbar kompliziert und aufwändig sei. Und genau in dem Punkt und aus dem Grund ist eben Threema hier meine Empfehlung. Weils das einzige ist, dem ich zutraue, dass auch Nicht-Auskenner mit zurecht kommen und dabei sogar trotzdem einen vielen OS-Lösungen deutlich überlegenen Grad an Verschlüsselung und Sicherheit bietet.

      1. Ich halte bis auf das Fazit (aber: es geht auch besser) sämtliche Schlussfolgerungen und Argumente in dem Artikel für Mumpitz und Schönrederei. Da jetzt jede einzelne Argumentation (sachlich) auseinanderzunehmen scheint mir für die Uhr-Zeit und Promillespiegel nicht zielführend, da auch recht umfangreich.
        Ich schreib da hier morgen nochmal was dazu und/oder nen eigenen Artikel.

        1. Bin gespannt. Vor allem auch darauf, was du als Alternative empfehlen würdest. Also als unkomplizierte Lösung, mit der auch ganz normale Leute sowohl bei der Einrichtung als auch der Nutzung zurecht kommen (es geht ja um eine WhatsApp-Alternative, die ja u.a. deshalb so beliebt war/ist, weil die Zugangsschwelle extrem niedrig ist), die Anhänge kann und auch offline funktioniert. Wie gesagt, an Grundsatzdiskussionen á la „Alle gewerblichen Lösungen sind böse, weil gewerblich immer böse ist“ bin ich eher nicht interessiert 😉

  2. Aus dem Artikel von Leister:

    wie wenig Daten der Dienst über seine Nutzer haben will. […] Die Verschlüsselung kann also ganz ohne Backdoors implementiert werden.

    Eine Firma, die mir irgendetwas – in diesem Falle noch einen weiteren proprietären Messenger verkaufen will, die kann mir recht viel erzählen. Der weisse Riese wäscht auch jährlich noch weisser. und in irgendwelchen Schokoriegeln ist auch jährlich 25% mehr drin.

    Mal zur Synchro, was mein Plot ist: Ich sage nicht, dass Threema Mist ist, ich sage, dass das ganze Gerede darum entweder heisse Luft oder vergeudete Zeit ist.
    Wenn die meine Daten und/oder Chats abgreifen wollen, dann können sie es. DAS ist das Problem.

    Sämtliche Daten, […] werden in verschlüsselter Form auf dem Smartphone abgelegt

    … sagt Threema … Wie stark oder gut die Verschlüsselung ist, und welchen Aufwand es macht, einen Nachschlüssel zu bauen, weiss ausser Threema niemand.

    Nicht der komplette Quellcode kann öffentlich gemacht werden, weil die Gefahr zu groß ist, dass alternative Clients geschaffen werden.

    Es geht also schlicht drum, mir was zu verkaufen und nicht was besser zu machen. Und bei der Datenkrake FB geht das komischerweise mit alternativen Clients…
    Das ist auch recht grosses Damentennis, wenn die das offen machen würden, würden trotzdem alle für die App zahlen. Und wenn das jemand forkt (da gibt es bei OSS übrigens auch Mittel und Wege und Lizenzen, das zu unterbinden) dann forkts eben jemand, dann hab ich Mist verkauft und muss umdenken.

    „Bedienbare“ Alternativen, nunja, ich kenne mich mit Handy-clients wenig aus, Chatsecure soll recht gut sein. Damit kann man verschlüsselt bspw. über Facebook chatten. Wenn Facebook das dann irgendwann unterbindet – nunja, dann weiss man als Normalsterblichen zumindest, wie Jabber funktioniert und packt da seine gmx-adresse oder irgendne andere jabber-id rein.

    Wie man das offline-problem bei verschlüsselten Chats lösen kann, übersteigt meine Kenntnisse, allerdings halte ich das nicht für allzugrossen Hokuspokus.

    1. Wie gesagt, mir geht es mir um vorhandene Lösungen. Und auch um offline und Dateien. Wenn es so einfach wäre, gäbe es ja was. Ein „irgendwann vielleicht“ nutzt mir da wenig. Und natürlich geht es Threema auch ums Geld verdienen, und wenn sie statt mit den Daten der Nutzer mit dem Service für die Nutzer Geld verdienen wollen, hab ich da überhaupt kein Aua mit, sie behaupten ja auch garnichts anderes 🙂

      Ich hab da jetzt noch kein konkretes Gegenargument gelesen, das über prinzipielle ideologische Vorbehalte und Konjunktive, die einfach mal was unterstellen, hinaus geht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert