Verschlüsselnde + benutzbare Whatsapp-Alternativen: Threema und TextSecure (update)

In zwei vorigen Beiträgen habe ich mich bereits zum Thema Email-Verschlüsselung geäußert – und wie das mit PGP + Thunderbird ganz gut und vor allem einfach machbar ist. Nun geht es um etwas, das viele nutzen, um Nacktbilder zu verschicken wesentlich privatere Gespräche miteinander zu führen: Den Messenger auf dem Handy.

Oder auch: Whatsapp.

Von Facebook gekauft und auf amerikanischen Servern liegend, kann man getrost davon ausgehen, dass alles, aber auch wirklich alles, was darüber verschickt wird, für die Ewigkeit gespeichert und auf absurde Gefahrenmuster gescannt wird. Und wenn man Pech hat, landet man vielleicht nur wegen der falschen Wortwahl in einem privaten Chat auf einer der ominösen schwarzen Listen und darf in nicht allzu ferner Zukunft mit massiven Repressionen rechnen… oder so. Irgendwie jedenfalls nicht schön, wenn man die Konsequenzen der Totalüberwachung einmal zu Ende denkt. Der Gedanke des „Wechsels“  oder zumindest des Alternativen-Ausprobierens liegt daher mehr als nahe. Durch eine gewisse Popularität – auch angeschoben durch bestimmte deutsche Online-Medien – fiel meine erste Wahl auf den Schweizer Messenger mit dem dezent  sperrigen Namen Threema.

Threema vereint im Prinzip das, was z.B. PGP-Verschlüsselung bei Mails nicht leisten kann: Es funktioniert sofort ohne großes Tamtam. Der Messenger baut sich wie Whatsapp auf, nur eben mit dem Unterschied, dass die Nutzerin beim ersten Start automatisch Schlüssel generiert bekommt und dadurch beim Texten in eine sichere Ende-zu-Ende-Verschlüsselung gepolstert wird. Wobei auch hier Sicherheit im Auge des oder der Betrachtenden liegt: Die App ist nicht Open Source, das heißt, der Code bleibt unter Verschluss und kann nicht unabhängig geprüft werden. Das wird möglicherweise zu Recht kritisiert. Allerdings gestatten die Entwickler zumindest die Möglichkeit einer Prüfung der Verschlüsselung – dass diese also Ende-zu-Ende stattfindet und Gesprächsinhalte damit auch für den Anbieter nicht lesbar sind, dürfte als gesichert gelten. (Man korrigiere mich bitte, falls ich hier falsch liege.) Zudem bietet die App noch ein kleines Gimmick: Threema schützt sich nicht nur durch eine Passphrase, sondern erlaubt auch, zusätzlich eine PIN zu definieren: Wer das macht, stellt sicher, dass selbst bei einem gestohlenen Handy mit abgeguckten Entsperrcode die Gesprächsinhalte nicht so einfach abgerufen werden können.

Der Grund, warum diese Schweizer App meine erste Wahl wurde, liegt in ihrer Einfachheit: Sie ist leicht aufgebaut und vor allem intuitiv nutzbar. Es fällt kaum auf, dass man es gerade nicht mit Whatsapp zu tun hat.  Threema funkioniert auch in puncto Adressbuch ähnlich wie Whatsapp und vollautomatisch – wenn man das so möchte. Andernfalls lassen sich auch Kontakte manuell einfügen. Die Usabillity haben die Entwickler wirklich zur Perfektion getrieben – meiner Meinung nach ist das der entscheidende Punkt, Kryptografie massentauglich zu machen und die staatlichen Schnüffler zu ärgern. A pro pos Masse: Threema nutzen in meinem Adressbuch immerhin ein paar Leute, gute 10% meiner aktiven Kontakte. Damit liegt es weit vor dem ebenfalls verschlüsselnden Telegram, was von meinen Kontakten exakt niemand aktiv nutzt und wegen seiner Abstürze von mir nicht weiter berücksichtigt wird.

Eine andere App dagegen scheint mir nach dem Hinweis eines Freundes auch noch erwähnenswert: Es handelt sich um TextSecure, von ausgewiesenen Kryptoexperten entwickelt und im Gegensatz zu Threema komplett Open Source. TextSecure fühlt sich im Gegensatz zu Threema allerdings nicht so an wie Whatsapp, auf den ersten Blick sieht man beispielsweise nicht, wer der Kontakte nun auch die App nutzt. Stattdessen greift das Menü immer auf das vollständige Adressbuch zurück. Das hängt auch mit der Funktion des kleines Programms zusammen, denn tatsächlich stellt es eher einen Ersatz für die klassische SMS-App dar. Im Normalmodus wird diese einfach durch TextSecure ersetzt: Solange die Gesprächspartnerin nicht ebenfalls TextSecure hat, verschickt man damit letzten Endes auch nur normale, unverschlüsselte SMS. Dazu lässt sich auch der gesamte bisherige SMS-Verlauf importieren, was auf meinem Billig-Smartphone keine Probleme bereitete. Interessant wird es aber trotzdem erst, wenn das Gegenüber ebenfalls die (noch) nur für Android erhältliche App nutzt – dann wird statt der SMS die Datenverbindung oder das WLAN für Ende-zu-Ende verschlüsselten Nachrichtenaustausch benutzt. Auch das wohl vollautomatisch. Ausprobieren konnte ich das allerdings nicht, da in meiner Kontaktliste niemand diese App nutzt.

Andererseits stört die TextSecure-Installation bislang auch nicht sonderlich, denn man kann sie ja trotzdem anstelle der normalen SMS-App nutzen. Und obendrein sieht sie zumindest bei meinem Handy auch noch besser aus als die Standard-App.

Wer keine SMS-Flatrate hat, kann diesen sogenannten „SMS-Fallback“ auch einfach in den Einstellungen ausstellen. Damit wird die App vollständig auf die Datenverbindung beschränkt, was für einige wohl deutlich günstiger sein dürfte. Aber dafür müssten dann auch wieder mehr Menschen TextSecure auf ihrem Handy installieren.

Fazit

Wer vom Feeling eher Richtung Whatsapp gehen möchte und vor allem keine SMS-Flatrate hat, der ist bei Threema bestens aufgehoben. TextSecure bietet sich aber genauso an, da es ähnlich einfach ist und die Verschlüsselung ähnlich wie bei Threema kaum auffällt. Threema scheinen jedoch gefühlt deutlich mehr Menschen zu benutzen als TextSecure, weshalb ich bei letzterem mangels Gegenüber auch nicht wirklich testen konnte, wie die eigentliche Krypto-Messengerfunktionalität aussieht.

Fakt ist jedenfalls: In Anbetracht der guten Funktionalität von nur zwei der zahlreichen Whatsapp-Alternativen gibt es eigentlich keinen Grund mehr, sich an dem Produkt aus dem Hause Zuckerberg noch weiter festzukrallen.

#Update 06.11.2014:

Nicht nur Snowden empfiehlt TextSecure, sondern auch die Electronic Frontier Foundation (EFF). In deren Analyse kommt die Software richtig gut weg, Threema dagegen spielt keine Rolle.

#Update 19.11.2014:

Nachdem derweil bekannt wurde, dass die Textsecure-Technik auch in Whatsapp implementiert wird, habe ich mich zu einem drastischen Plädoyer für den Textsecure-Messenger hinreißen lassen. Den mittlerweile auch immerhin zwei Leute aus meiner Kontaktliste nutzen ;)