hike, Telegram, Threema – Drei im Test

Veröffentlicht am 23. Februar 2014 von Torsten Dünnwald in Testbericht
Hike, Telegram, Threema - Drei im Test

Spätestens seit bekannt wurde, dass Facebook WhatsApp gekauft hat, haben sich die meisten User des beliebten Messengers Gedanken darüber gemacht, ob sich nicht doch der Umstieg auf eine sichere Alternative lohnt. Diesen Aspekt als Schlüssel zum Erfolg haben mehrere Unternehmen schon früher erkannt und klettern nun mit ihren Kreationen die Bestenlisten der Appstores nach oben. Doch halten die Hersteller ihr Versprechen und bieten zudem einen akzeptablen Mix aus Sicherheit und Komfort oder steckt das sichere Versenden von Nachrichten für den Normalnutzer noch in den Kinderschuhen und sollte noch nicht für eine große Masse bereitgestellt werden?

Das WhatsApp im Thema Sicherheit noch nie wirklich gut war, ist bekannt. Andere Apps nehmen dieses allerdings nicht auf die leichte Schulter und wollen ihren Kunden mehr bieten. So zum Beispiel hike, ein vom indischen Entwickler BSB ins Leben gerufenes Projekt, oder der Messenger Telegram, welcher von den Durow-Brüdern, die für das berühmteste russische Netzwerk Vk.com bekannt sind, erstellt wurde, und natürlich die kostenpflichtige App aus der Schweiz, Threema.

Allgemeines

hike ist für Android, iOS, Windows Phone, BlackBerry OS sowie für ausgewählte Nokia-Telefone kostenlos verfügbar und kombiniert chatten mit einer Art Mikrobloggingdienst. Es präsentiert sich in Googles Holo-Design und ist in Updates (Mikroblogging), Chats und Freunde (hinzufügen und einladen) unterteilt, Suche, Profil und Einstellungen lassen sich über die obere rechte Ecke leicht erreichen. Allgemein ist der Messenger ähnlich wie WhatsApp gehalten, hat durch den jeweils individuellen Hintergrund bei Kontakten und die verschiedenen Farben der Buttons allerdings etwas von Samsungs verspielter Benutzeroberfläche. Die Anmeldung funktioniert “für Faule” auch über Facebook.

hike messenger
Entwickler: Hike Ltd.
Preis: Kostenlos

Telegram ist ebenfalls kostenlos für Android und iOS erhältlich und sogar teilweise quelloffen, so dass inoffizielle Clients für Windows Phone, OSX, Linux, Windows und den Browser existieren. Die Bedeutung der Haken, die nach dem Versenden einer Nachricht erscheinen, unterscheidet sich in der Theorie von der bei WhatsApp: Ein Haken bedeutet versendet, zwei bedeuten, dass die App und die Konversation geöffnet wurden. Bei Telegram sind Gruppen mit bis zu 200 Mitgliedern möglich und die Datenübermittlung basiert auf dem von den Entwicklern selbstgeschriebenen Protokoll MTProto.

Telegram
Preis: Kostenlos

Threema ist für Android (1.60€) und iOS (1.79€) erhältlich und ist ganz in schwarz bzw. dunkelgrau mit weißen Texten und Überschriften in hellblau gehalten. Abgesehen vom Icon der App wirkt das schweizer Programm sehr aufgeräumt und ist an die jeweilige Designlinie des Betriebssystems angepasst. Es benutzt eine End-to-End-Verschlüsselung und ermöglicht wahlweise die Kontaktaufnahme über eine generierte ID (Stufe 1 – rot), die Synchronisation der Telefonkontakte (Stufe 2 – orange) oder bei einem Treffen über QR-Codes (Stufe 3 – grün). Threema erlaubt Gruppen mit bis zu 20 Sicherheitsfanatikern.

Threema
Entwickler: Threema GmbH
Preis: 2,49 €

Einrichtung und Bedienung

Da sich das Design bei allen drei Apps stark an Holo orientiert, sind alle wichtigen Funktionen schnell zu erreichen. Wer an WhatsApp gewöhnt ist, dem fällt die Bedienung bei diesen Alternativen auch nicht schwer. Trotzdem bringt Telegram in den Einstellungen dank den auch in den Android-Einstellungen vertretenen Schiebereglern (ON und OFF) einen gewissen Komfort mit sich.

Weitaus schwieriger gestaltet sich die Einrichtung. Bei keinem der drei Kandidaten kam die Aktivierungs-SMS, sowohl bei mir wie auch bei meinem iOS-Testpartner, rechtzeitig an, so dass sie vom Programm erkannt wurde. Vermutlich ist das auf die hohe Auslastung während dieses Zeitraum, vielleicht auch durch die Probleme bei WhatsApp, zurückzuführen. Mit der Anruffunktion hat es aber (nach einiger Wartezeit) dann aber doch funktioniert.

Bei hike gibt man die vollständige Telefonnummer ein und nach der erfolgreichen Aktivierung über eine kostenlose SMS oder einen Anruf aus Kanada wird man dazu aufgefordert, Vornamen und Geschlecht einzugeben, Nachname und Geburtsdatum sind freiwillig. Nach diesen Schritten wird man mit einem “Geschenk” und ein paar PopUps begrüßt, die einem wohl die tollen Funktionen näherbringen sollen. Nach dem Durchklicken bekommt man eine englische Willkommensnachricht von Emma from Hike. Von nun an kann sogar die Funktion aktiviert werden, dass alle SMS mit hike empfangen werden. Die Einstellungen für Mediendateien automatisch downloaden ist ebenfalls aus dem verbeitesteten Messenger bekannt.

Telegram verlangt bei der Registrierung nur den Vornamen, der Nachname ist optional. Danach wird ebenfalls eine SMS versendet, die allerdings nach mehreren Versuchen entweder nicht ankam oder mit der Meldung No workers running kommentiert wurde. Nachdem der Code über einen lange erwarteten Anruf übermittelt wurde, drehte sich am oberen Bildschirmrand endlos das Ladesymbol mit der Beschriftung Updating…, der Dienst war folglich nicht nutzbar. Dennoch konnte ich kurz nach der Registrierung eine Nachricht absetzen und einen sicheren Chat starten, ohne den die End-To-End-Verschlüsselungsmechanismen nicht greifen. Die Begründung dafür könnte dieser Tweet des Entwicklers geben:

The SMS gateways we use to send registration codes are overloaded and slow — 100 SMS per second is too much. Trying to find a solution.

— Telegram Messenger (@telegram) 22. Februar 2014

Der aus den Händen von Martin Blatter und Silvan Engeler stammende Service Threema fordert den Nutzer als erstes dazu auf, den Finger wahllos in einem Feld aus Zahlen und Buchstaben zu bewegen, damit ein neues Schlüsselpaar generiert werden kann. Ist dieser Vorgang abgeschlossen, wird die neue ID, die wie ein Benutzername den User kenntlich macht, angezeigt. Diese dient dazu, manuell Kontakt mit Freunden aufzubauen. Da das Weitergeben aber sehr einfach und unsicher ist, wird diese Stufe der Kontaktaufnahme rot gekennzeichnet. In einem weiteren Schritt kann man die Sicherheitsstufe auf orange erhöhen, indem man Threema erlaubt, auf die Kontakte zuzugreifen und diese zu synchronisieren, damit automatisch durch Telefonnummern und E-Mailadressen Benutzer hinzugefügt werden können. Um selbst über diese Angaben gefunden werden zu können, kann man wahlweise eines oder beides angeben, erst jetzt erfolgt die Verifizierung der Nummer über eine Aktivierungs-SMS. Falls diese fehlschlägt, besteht die Möglichkeit, einen Anruf anzufordern, in dem eine Computerstimme den sechsstelligen Code zweimal vorliest. Ist auch diese Hürde überwunden, so kann ein Anzeigename (öffentlicher Nickname) ähnlich wie bei der Konkurrenz WhatsApp für iOS-Geräte angegeben werden, der standardmäßig gleich der ID ist. Insgesamt hat Threema den wohl längsten Authentifizierungsprozess, allerdings wird man gut durch die einzelnen Schritte geleitet und bekommt viele Funktionen auf der Homepage und in der App erklärt. Eventuell kann noch ein PIN, der den Zugriff nach einer bestimmten Zeit bzw. einem Neustart verwehrt, festgelegt werden sowie die Backups von Nachrichten und Medien auf dem Telefonspeicher und der SD-Karte mit einem Passwort geschützt werden. Schon hier wird deutlich, wie ernst die beiden Schweizer die Sicherheit sehen und versuchen, auch Datenverlust bzw. -klau vorzubeugen. Der für diese Einstellungen benötigte Bereich lässt sich über den Menü-Softkey erreichen. Möglicherweise haben es die Entwickler aber auch zu gut mit der Sicherheit gemeint, da man eine Gruppe, um einen neuen Nutzer hinzuzufügen, vorher löschen muss, weil anscheinend ein neues Schlüsselpaar für diese erstellt werden muss. Hier wäre eine komfortablere Lösung wünschenswert.

Sicherheit

Der indische Vertreter unter den sich selbst als sicher bezeichnenden Messengern bietet, wenn man die Technik im Hintergrund betrachtet, nicht viel mehr Sicherheit als der Konkurrent WhatsApp – hier kommt nur eine 128bit SSL-Verschlüsselung “über WLAN” zum Einsatz. Betrachtet man die Website des Entwicklers und besonders ihr Menü, so scheinen die unzähligen Sticker und Anpassungsfunktionen eher im Mittelpunkt zu stehen als die erst im Januar 2013 nach heftiger Kritik nachgereichte Verschlüsselung. Unterm Strich verspricht die Anwendung zwar Sicherheit, die dafür genutzte Technologie und Schlüsselstärke wird von Experten nicht als sicher bezeichnet.

Etwas anders sieht es bei Telegram aus, hier besteht wenigstens die Möglichkeit, eine End-To-End-Verschlüsselung, also eine Verschlüsselung vom Absender über alle Übertragungswege bis zum Empfänger, zu nutzen. Zwar muss dafür der User extra den “Secret Chat” starten und auf das Akzeptieren des Chat-Partners (OTR) warten, ist dies aber geschehen, so verspricht der Entwickler, dass keine Spuren des Chats auf den Servern zurückbleiben und ähnlich wie bei Snapchat ein “Selbstzerstörungsmechanismus” vorhanden ist, um Inhalte nach bestimmten Zeiten automatisch löschen zu lassen. Das Weiterleiten von einzelnen Nachrichten kann ebenfalls verboten werden. Trotzdem wird von einigen Experten Kritik am Projekt geäußert, da das verwendete Protokoll MTProto vom Entwickler Nikolai Durow selbst geschrieben wurde und er kein Kryptologe, sondern “nur” Mathematiker ist. Es wird also kein bewährtes und als sicher empfundenes Protokoll verwendet, sondern man versucht, alles aus Eigenregie auf die Beine zu stellen, wodurch es für andere schlecht verständlich wirkt und nicht mehr den neusten Stand repräsentiert. Ein weiterer Nachteil ist, dass die Daten in der Cloud bei Telegram liegen und nicht lokal, was trotz Verschlüsselung das Entwenden einfacher macht. Durch die PR-Aktion, $200.000 in Bitcoins an denjenigen zu zahlen, der es schafft, Telegram zu hacken, machen die Durow-Brüder den eigenen Service zur Zielscheibe. Mangelnde Transparenz ist auch beim Deaktivieren des Profils erkennbar, da der User im Unklaren gelassen wird, was gelöscht wird bzw. bleibt. Genauso zeigt es sich bei den AGB’s und den FAQ’s.

Das Gegenbeispiel dazu bietet Threema. Die Website ist auf Deutsch und über den Menüpunkt Häufige Fragen gelangt man zu allen wichtigen Dingen, die normale Nutzer und Kryptologen für die Bewertung der Applikation benötigen, inklusive einer Suchfunktion. Hier lassen sich auch Lösungsansätze bei verschiedenen Problemen finden und jede Frage ist ausführlich und gut verständlich beantwortet. Sogar die Berechtigungen, die man dem Programm einräumen soll, sind erklärt.

Wozu werden welche Berechtigungen unter Android benötigt?

Hier eine Erklärung der wichtigsten Berechtigungen, die Threema für Android anfordert:

  • Kontaktdaten lesen/schreiben
    Wird für die Adressbuch-Synchronisation verwendet. Wenn die Synchronisation ausgeschaltet ist, erfolgt kein Zugriff auf die Kontaktdaten.
  • SMS empfangen
    Wird für die Verknüpfung der Handynummer verwendet (um die Verifizierungs-SMS mit dem Code automatisch zu empfangen und auszuwerten) und ist nur solange aktiv, wie auf dem Bildschirm der Dialog mit dem Statusbalken für die Handynummern-Verknüpfung erscheint.
  • Standort
    Wird für die Funktion «Standort senden» gebraucht.
  • Konten
    Wird für die Kontaktsynchronisation bzw. Integration in die Kontenverwaltung von Android benötigt.
  • Speicher
    Wird zum Abspeichern von Mediendaten (Bilder, Videos) benötigt.

Quelle: Threema FAQ

 Als weiteres Alleinstellungsmerkmal gilt der Standort der Server: Alle Server stehen in der Schweiz, unterliegen also auch dem dort geltenden Datenschutzgesetz. Auf dem Weg ins EU-Ausland bekommt jede Nachricht einen einmaligen 256bit Schlüssel, zu diesem wird ein 128bit langer Verifikationscode hinzugefügt sowie eine zufällige Anzahl von kryptografischen Füllbytes, um Manipulationen an der Nachricht zu verhindern. Sind sie dann in der Schweiz angelangt, so werden sie nur temporär im Arbeitsspeicher gespeichert und nochmals verschlüsselt auf den Festplatten abgelegt, um Datenverlust vorzubeugen. Nach dem Versand an den Empfänger werden diese aber wieder gelöscht. Doch das Hashen und Verschlüsseln fängt schon bei der Adressbuchsynchronisation an, denn nur die SHA-256 Prüfsummenwerte werden übermittelt und auf den Servern abgeglichen. Dadurch ist ein Rückschluss auf die eigentlichen Daten unmöglich. Dieser ist ebenfalls durch das Verhindern des Abhörens der Verbindung zwischen App und Server nicht möglich. Der Hersteller versichert, dass die zur Entschlüsselung erforderlichen privaten Schlüssel das eigene Gerät nie verlassen, was aber auch den Nachteil mit sich bringt, dass nach Datenverlust etc. ohne Backup eine neue ID generiert werden muss und alle Chats verloren gehen. Da der Quellcode nicht öffentlich zugänglich ist, können die Verschlüsselungsmechanismen nicht von Dritten überprüft werden. In den Einstellungen ist aber eine unabhängige Überprüfung der Ende-zu-Ende-Verschlüsselung durch eine Validierungslog-Option erreichbar.

 

Zusammengefasst bieten nur Telegram und Threema eine echte und wirkungsvolle End-To-End-Verschlüsselung, wobei diese bei Telegram nur bedingt aktiviert ist. Trotzdem bringt die ganze Prozedur nur etwas, wenn das Smartphone oder Tablet des Users nicht mit Malware etc. verseucht ist, da sonst die noch nicht verschlüsselten oder schon entschlüsselten Nachrichten mitgelesen werden können. Diese Gefahr besteht aber immer, egal wie gut die Mechanismen zur sicheren Übertragung sind.

Fazit

Alle drei Messenger haben ihre Vor- und Nachteile und mal wieder liegt die Entscheidung beim Benutzer, da jeder andere Vorlieben hat. Im Moment ist der Nachteil aller Kandidaten, dass keine die gleiche Verbreitung wie WhatsApp erreicht hat und so wahrscheinlich relativ wenige im Freundes- und Bekanntenkreis darüber erreichbar sind. Trotzdem muss man leider noch für das Plus an Sicherheit ein Minus beim Komfort in Kauf nehmen, aber es wird geringer. hike zählt zwar laut dem PlayStore 5.000.000 – 10.000.000 Installationen, ist aber im Heimatland Indien mit insgesamt ca. 850 Millionen mobilen Geräten weiter verbreitet als in Europa. Der Messenger verspricht zwar, Sicherheitsfunktionen zu besitzen, hat aber wie WhatsApp nur eine reine Transportverschlüsselung, also nur die Verbindung zwischen Mobilgerät und Server ist sporadisch gesichert. Der bewährte amerikanische Konkurrent scheint für einen hier ansässigen User aufgrund der Anzahl der Nutzer als die bessere Wahl. Mit etwa der gleichen Anzahl an Downloads bietet Telegram schon etwas mehr an Sicherheit, ist aber umständlich, wenn man die angepriesene End-To-End Encryption wirklich nutzen möchte. Für die Menschen, die ihre Daten am liebsten gar nicht aus der Hand geben wollen, eignet sich der Serverstandort Schweiz eher als Russland. Threema zählt nur 100.000 – 500.000 Installationen, die Anzahl der Nutzer hat sich aber am Freitag (21.02.2014) auf 400.000 verdoppelt und die App steht im PlayStore an erster bzw. zweiter Stelle. Aufgrund der vielen Vorzüge und der ordentlichen Programmierarbeit der Entwickler hat diese meiner Meinung nach die besten Zukunftschancen, wenn der Trend sich weiterhin in Richtung Sicherheit bewegt. Der Preis von 1.60€ lohnt sich auf jeden Fall, alleine schon weil das System durchdacht wirkt und die Server ausnahmsweise mal in Europa stehen und nicht beim Geheimdienst in den USA.

Kleine Bugs und Wartezeiten bei der Registrierung muss man mal in Kauf nehmen, besonders wenn sich ein Hype um solche Apps bildet, da die Firmen nicht mit dem Aufrüsten der Server hinterherkommen. Auf jeden Fall wird in der nächsten Zeit einiges aus dieser Richtung kommen und sich in Bezug auf das “große” WhatsApp und die “kleine” Konkurrenz etwas ändern.


Über den Autor

Torsten Dünnwald

Inhaber. Administrator. Blogger. Android-Freak. Experte & Mädchen für alles.

  1.  
    Jazz

    Closed-Source als Sicher zu bezeichnen ist schlicht nur von der Wand bis zur Tapete gedacht.




  2.  
    Lisa

    Kann ich mit Threema auch die Chats von Whatsapp oder Hike empfangen? Nicht alle meine Freunde sind bereit, Threema zu installieren, sonst müsste ich alle drei installiert lassen.




    •  
      Philipp Kolb

      Hallo Lisa, nein das ist nicht möglich. WhatsApp kann ja auch keine Nachrichten von anderen Messengern empfangen.
      Entweder legst du Wert auf die Sicherheit und bist Konsequent und sagst, dass du nur noch über Threema/SMS/Telefon erreichbar bist und löscht WhatsApp oder fährst eben zweigleisig. Oder noch mehr Überzeugungsarbeit leisten :D




  3.  
    skyerjoe

    Du hast Text secure vergessen das mit dem neuen v2 protkoll die fortschrittlichste Technologie hat ..




    •  
      Johannes

      Hi skyerjoe,

      ich habe mich auf diese drei beschränkt, da sie gerade einen ziemlichen Boom feiern können. Theoretisch könnte ich die Liste endlos ergänzen mit myEnigma etc. etc. etc.

      Johannes




  4.  
    Cladon

    In Kenya ist der Download von Threema nicht möglich (gesperrt oder unterdrückt). Wie komme ich z.B. in Kenya trotzdem an Threema? Ist eine andere Installationsmöglichkeit (per VPN) z.B. möglich? Weiß jemand einen Rat?

    Viele Grüße Cladon




    •  
      Philipp Kolb

      Hallo Cladon, ich nehme an du versuchst es über den Play Store zu laden? Wenn ja, kannst du einmal die Variante über den Threema Shop probieren. https://shop.threema.ch/ Dort zahlst du dann per Paypal/KK oder Click and Buy. Updates kommen dann allerdings nicht über den Play Store und du musst diese manuell einspielen.




  5.  
    karlnapf

    “Die Haken, die nach dem Versenden einer Nachricht erscheinen, haben die gleiche Bedeutung wie beim Konkurrent WhatsApp.”

    Das stimmt soweit ich weiß nicht, denn die Haken bei WhatApp bedeuten gesendet und angekommen und bei telegram ist die Bedeutung gesendet und gelesen.




    •  
      Johannes

      Hallo karlnapf,

      danke für den Hinweis, wobei bei WhatsApp auf iOS zwei Haken bedeuten, dass WhatsApp geöffnet wurde, was allerdings durch die Struktur des Betriebssystems bedingt ist. Im Fall WhatsApp auf Android stimme ich dir zu. Die betreffende Stelle ist geändert, obwohl Telegram zwar im FAQ den gleichen Sachverhalt schildert, in der Praxis allerdings auch hier wieder Ausnahmen herrschen (mein Testpartner hat nur eine Push-Nachricht auf dem iPhone-Lockscreen bekommen und konnte meine eigentliche Nachricht nicht lesen, sie wird allerdings trotzdem mit zwei Haken angezeigt).

      Johannes




  6.  
    micha

    Zu Telegram:
    die Server stehen nicht nur in Russland sondern sind in der Welt verteilt. Auch die Registrierungsbestätigung findet verteilt statt. Neben den (zur Zeit überlasteten) SMS Gateways, kommen auch Sprachansagen zum Einsatz. Diese Anrufe kommen dann auch schonmal aus den USA.




    •  
      Johannes

      Hallo micha,

      das ist sachlich richtig, verändert allerdings nichts am Problem, denn es gelten die Datenschutzgesetze des jeweiligen Standortes. So gibt es von der Seite aus gesehen keinen Vorteil zu WhatsApp. Und das Telegram trotz HQ in Berlin nicht wirklich für den deutschen Markt ausgerichtet ist, zeigt die fehlende Übersetzung.

      Johannes





HINTERLASSE EINEN KOMMENTAR

(notwendig)