Security first!

Die Firma Whatsapp wurde ursprünglich 1814 gegründet, um elektronische Kommunikation zu ermöglichen. Da man technisch damals noch nicht so weit war, wurden zuerst Pferde und die Postkutsche erfunden.

Inzwischen haben wir aber 2014. Postkutschen sind irgendwie out, Pferde dank globaler veganer Ernährung ausgestorben, Whatsapp kann Nachrichten vom Handy auf andere Handys schicken und auch komplette Adressbücher auf seine eigenen Server. Tolle Sache, fand auch das globale Volkszählungsnetzwerk Facebook und hat dieser Tage den Kauf von Whatsapp … öh, kommuniziert?

Was wir in dieser Zeit auch gelernt haben, oft crowd-basiert: Es gibt jede Menge Alternativen zu Whatsapp. Die wurden in den vergangenen Tagen vielfältig im Web kommuniziert, z. B. hier, hier und hier.

In den Fokus geriet dabei ziemlich schnell das Schweizer Produkt Threema. Weil: Ist ja sicher, verschlüsselt, vom einen bis zum anderen Ende, und alle beteiligten Server stehen nicht nur, sondern laufen auch in der Schweiz. Nachteil: Verdammt, die App ist gar nicht kostenlos!

Erstmal zum Nachteil: Jungs, ich bitte euch – 2 Franken! Seid ihr wirklich schon so verwöhnt, dass jede App gratis auf eurem Smartphone landen muss? Ist es euch nicht einmal schnöselige 2 Franken wert, mit der gesamten Welt sicher in Kontakt stehen zu können?

Somit sind wir auch beim besagten Vorteil: Die App ist sicher. Weil die Ende-zu-Ende-Verschlüsselung vom Sender bis zum Empfänger gewährleistet sei. Und weil auch die Daten, die auf Servern abgelegt werden, derart verschlüsselt sind, dass selbst die Hosting-Dienstleister sie nicht auslesen könnten. Jedoch – wo ist der Beleg für diese Behauptungen?

Kurz: Eigentlich bisher noch nirgends. Jedenfalls nicht öffentlich einsehbar. Es soll hier niemandem etwas unterstellt werden, aber nur, weil in jedem Bericht aus den vergangenen Tagen – und auch auf threema.ch selbst – steht, dass dieser Messenger sicher sei, muss er es noch lange nicht sein.

Leider ist es so, dass Threema ein Closed-Source-Produkt ist. Das heisst der Quelltext des Programms ist “geheim” und erstmal nur seinen Herstellern bekannt. Also kann aktuell auch nur Threema wissen, welche Verschlüsselungsalgorithmen genau zur Anwendung kommen, mit welchen Servern deine App wirklich kommuniziert und schnickschnack. Ist ja schön, dass Threema mit Verschlüsselung und Zertifikaten die Kette des Vertrauens in die App-Welt bringen will – diese beginnt aber normalerweise viel früher. Etwa mit einer Open-Source-App, bei der die Öffentlichkeit nachvollziehen kann, was der Programmcode wirklich tut und wie zuverlässig zum Beispiel die implementierten Sicherheitsfeatures sind.

Einen etwas schalen Beigeschmack löst auch aus, dass der Barcodescanner, den Threema supportet (ZXing), bei der Installation Rechte anfordert, die nicht auf Anhieb nachvollziehbar sind. Das Ding soll Barcodes lesen, also fotografieren, aber doch nicht meine “Kontaktdaten lesen”, “Internet-Verlauf und Lesezeichen ansehen” oder den “Inhalt des USB-Speichers ändern/löschen”. Das alles durfte vielleicht meine Mutti, bis ich 15 war, aber damals gab es ja noch nicht mal Internet.

Also, wenn du wirklich nach Sicherheit lechzt, dann lass dich von mir, dem Flying Duetschman, beschützen. Schick mir einfach einen Tweet mit deinem “Hilfeschrei” an @FlyingDeMan – mal sehen, ob ich Zeit habe.

P.S.: Falls du mich nach diesem Artikel für paranoid hältst – mir doch wurst, denn ich bin nicht allein.

Guets Mörgeli, Wientnam!

Eigentlich würde ich lieber sagen: “Die nachfolgenden Blogposts verschieben sich um ca. 24 Stunden”. Grund ist, dass ich gestern bereits sehr herzlich – und lange – in Wien willkommen geheissen wurde. Aber was soll’s, gesagt ist gesagt, und wie heisst es so verbindlich: Gesagt, getut, getätet.

Hier der Einfachheit halber nochmal die Regeln.

Continue reading

And the winner iiiiissss …

… the Internet! Hab ich doch gesagt, dass die “Party” dort stattfinden wird.

Ich jedenfalls werde mich in Wien aufhalten. Dafür ist auch schon alles vorbereitet; das habe ich aber bereits in meinem eigenen Blog beschrieben: www.digitalerhebel.com