1. Backdoor oder Design-Entscheidung?
Am vergangenen Freitag sorgte The Guardian mit seiner Berichterstattung über eine vermeintliche »Backdoor« in WhatsApp für Aufregung. Der Grund: The Guardian behauptet, WhatsApp bzw. Geheimdienste seien in der Lage, die verschlüsselten Nachrichten der Nutzer mitzulesen – trotz einer Ende-zu-Ende-Verschlüsselung. Wiederum andere Quellen behaupten, dies sei eine bewusste »Design-Entscheidung« von WhatsApp, die verhindere, dass Millionen von Nachrichten verloren gehen.
Im vorliegenden Kommentar möchte ich auf den technischen Hintergrund nicht weiter eingehen, sondern die Thematik aus unterschiedlichen Perspektiven beleuchten.
2. WhatsApp bzw. Facebook
Kein anderer Messenger polarisiert wohl so stark wie WhatsApp. Ein Blick in die nunmehr achtjährige Geschichte des Messengers verrät weshalb. In der Vergangenheit hatte WhatsApp mit einer Vielzahl von Sicherheitslücken und Datenschutzproblemen zu kämpfen, die bis heute nicht vollständig beseitigt sind.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Sicherheitslücken und Datenschutzprobleme
- Im Mai 2011 wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglichte, Benutzerkonten zu kapern
- Bis August 2012 wurden Nachrichten unverschlüsselt im Klartext gesendet und empfangen. Mit einfachen Mitteln konnten Angreifer die Konversation mitlesen.
- Im Mai 2012 wurde WhatsApp kritisiert, weil es alle auf dem Smartphone gespeicherten Telefonnummern unverschlüsselt auf die WhatsApp-Server überträgt.
- Im September 2012 wurde bekannt, dass WhatsApp für die Authentifizierung am Server ein selbstgeneriertes Passwort nutzt. Sowohl auf Android, als auch auf iOS konnten fremde Konten gekapert werden.
- […]
2.2 Mangelnde Transparenz und Ehrlichkeit
Die Kritik gegenüber WhatsApp bezieht sich allerdings nicht ausschließlich auf fragwürdige Design-Entscheidungen, sondern richtet sich auch gegen die mangelnde Transparenz und Ehrlichkeit des Unternehmens. Insbesondere die Übernahme durch Facebook im Jahr 2014 und später die Verknüpfung der Telefonnummern mit Facebook wurde heftig kritisiert:
In einem offiziellen Blog-Beitrag vom 19.02.2014, der kurz vor der Übernahme von WhatsApp durch Facebook veröffentlicht wurde, heißt es:
[…] Und das wird sich für euch, unsere Benutzer, ändern: Nichts. WhatsApp wird eigenständig bleiben und unabhängig arbeiten. […]
In einem weiteren Eintrag vom 17.03.2014 äußert sich WhatsApp erneut zur Übernahme durch Facebook:
[…] Wenn die Zusammenarbeit mit Facebook bedeutet hätte, dass wir unsere Werte hätten ändern müssen, hätten wir es nicht getan. Stattdessen streben wir eine Partnerschaft an, die es uns erlaubt, weiterhin unabhängig und autonom zu operieren. Unsere grundlegenden Werte und Prinzipien werden sich nicht ändern. […]
Am 25.08.2016 – also gute zwei Jahre danach heißt es nun:
[…] Durch die Zusammenarbeit mit Facebook haben wir mehr Möglichkeiten, z. B. können wir grundlegende Kennzahlen über die Häufigkeit, mit der Benutzer unsere Dienste verwenden, verfolgen, und besser gegen Spam auf WhatsApp vorgehen. Indem deine Telefonnummer mit den Facebook-Systemen verbunden wird, kann Facebook dir besser Freunde vorschlagen und dir passendere Werbung anzeigen, falls du einen Account dort haben solltest. Du könntest z. B. Werbung von einem Unternehmen sehen, mit dem du bereits in Kontakt standst, anstatt eines vorgeschlagen zu bekommen, von dem du noch nie gehört hast. […]
Das bedeutet: Innerhalb von WhatsApp registrierte Telefonnummern werden an Facebook übermittelt und mit einem dort bereits bestehenden Profil verknüpft. Dieser Schritt erfolgte ausschließlich deshalb, um die egoistischen und wirtschaftlichen Motive von Facebook weiter voranzutreiben – der Nutzer wurde schlichtweg angelogen bzw. getäuscht.
2.3 Zwischenfazit
Die Geschichte von WhatsApp zeigt: Bei der Erschaffung des Dienstes stand weder eine sichere Kommunikation, noch ein datenschutzfreundlicher Umgang mit personenbezogen Daten im Vordergrund. Vielmehr wollte man einen Messenger schaffen, der einfach zu bedienen ist und keine Kosten beim Anwender verursacht. Der Erfolg gibt WhatsApp recht – der Dienst hat über 1 Milliarde Nutzer weltweit. Ändern wird sich daran wohl auch nach der Veröffentlichung der vermeintlichen »Backdoor« bzw. »Design-Entscheidung« nichts. Denn bei Nutzern von WhatsApp steht die Sicherheit und der Datenschutz nicht an erster Stelle – ansonsten hätten sie WhatsApp schon länger den Rücken gekehrt. Angesichts der vielen Sicherheits- und Datenschutzwarnungen der vergangenen Jahre kann wohl niemand behaupten, dies nicht zumindest am Rande mitbekommen zu haben – außer er lebt auf dem Mars.
3. OpenWhisper Systems
Kurz nach der Berichterstattung durch The Guardian veröffentlichte OpenWhisper Systems eine Stellungnahme – die Entwickler hinter der in WhatsApp genutzten Verschlüsselungstechnik. Moxie Marlinspike weist in seinem Beitrag »There is no WhatsApp ‚backdoor’« die Vermutung einer absichtlich eingebauten Hintertür zurück. Vielmehr verteidigt er die »Design-Entscheidung« von WhatsApp wie folgt:
The fact that WhatsApp handles key changes is not a „backdoor,“ it is how cryptography works. Any attempt to intercept messages in transmit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.
Er ergänzt seine Ausführungen mit weiteren Beschwichtigungen und verharmlost nach meiner Ansicht die »Design-Entscheidung« schamlos. In diesem Zusammenhang sollte man sich vor Augen führen, dass OpenWhisper Systems in enger geschäftlicher Beziehung zu WhatsApp steht. Eine objektive Darstellung können wir demnach nicht erwarten – die Befangenheit ist vorprogrammiert.
Man könnte auch fast den Eindruck gewinnen, die PR-Abteilung von WhatsApp hat an dem Beitrag mitgewirkt:
[…] It is great that the Guardian thinks privacy is something their readers should be concerned about. However, running a story like this without taking the time to carefully evaluate claims of a „backdoor“ will ultimately only hurt their readers. It has the potential to drive them away from a well engineered and carefully considered system to much more dangerous products that make truly false claims. […]
Und:
We believe that WhatsApp remains a great choice for users concerned with the privacy of their message content.
Das wirft zum wiederholten Male kein gutes Licht auf Marlinspike, der sich schon einige Verfehlungen geleistet hat.
4. Die Rolle der Medien
Die Meldung über eine vermeintliche Backdoor in WhatsApp verbreitete sich rasant in den Medien – das Interesse an diesem Thema ist im Allgemeinen groß. Ebenso groß scheint der Drang zu sein, dem Nutzer vermeintliche Alternativen an die Hand zu geben. Äußerst beliebt ist die Nennung der beiden WhatsApp-Alternativen Threema und Signal. Doch sind diese Empfehlungen angesichts der rasanten Veränderungen am Messenger-Markt noch zeitgemäß bzw. überhaupt verantwortungsvoll?
- Threema: Ebenso wie WhatsApp ist Threema Closed-Source. Das bedeutet, der Quelltext lässt sich nicht einsehen bzw. auf mögliche Sicherheitslücken oder Backdoors prüfen. Die Empfehlung für einen weiteren Closed-Source Messenger in den Medien ist daher nicht nachvollziehbar. WhatsApp demonstriert immer wieder aufs Neue, wie gefährlich Closed-Source ist. Nach meiner Auffassung erfüllt Threema nicht die Anforderungen für einen sicheren und datenschutzfreundlichen Messenger.
- Signal: Über die Empfehlung für Signal lässt sich trefflich streiten. Fakt ist, dass der Hauptentwickler Moxie Marlinspike für eine zentralisierte Infrastruktur wirbt. Generell halte ich Signal für sicher, allerdings hat der Messenger in Bezug auf die Privatsphäre diverse Defizite. Zum einen setzt der Messenger proprietäre Google-Bibliotheken (GCM) voraus und zum anderen werden Telefonnummern als Identifizierungsmerkmal genutzt. Weiterhin erstickt OpenWhisper Systems alle Versuche, eine vernünftige WebSocket Version ohne Google-Bibliotheken zu supporten, im Keim.
Gebetsmühlenartig werden in den Medien demnach fast immer Threema oder Signal als Alternative zu WhatsApp empfohlen. Sogar Netzpolitik.org, die ich sehr gerne lese, wird nicht müde die beiden Messenger zu empfehlen. Hier besteht dringend Nachholbedarf.
5. Messenger: Kriterien an Sicherheit und Datenschutz
Wer sich auf die Suche nach einem »sicheren« und datenschutzfreundlichen Messenger begibt, der verliert vermutlich aufgrund des vorherrschenden »Messenger-Dschungels« schnell den Überblick. Das ist verständlich, denn es ist wahrlich nicht einfach den Messenger-Markt zu überblicken bzw. überhaupt einzuschätzen, welcher Messenger sich nun tatsächlich für eine sichere und datenschutzfreundliche Kommunikation eignet. Den Beitrag Messenger: Kriterien an Sicherheit und Datenschutz könnt ihr als eine Art Kompass begreifen, der euch bei der Suche nach solch einem Messenger behilflich sein kann.
In Bezug zur aktuellen WhatsApp-Thematik möchte ich nochmal ein wichtiges Kriterium herausgreifen, dass nach meiner Auffassung eine unerlässliche Voraussetzung für einen sicheren bzw. datenschutzfreundlichen Messenger darstellt:
- Freie, quelloffene Software: Vom Client bis hin zum Server sollte jeglicher Quellcode frei für jeden einsehbar sein und unter eine freien Lizenz stehen (bspw. GPL). Das macht den Messenger nicht per se sicher, sorgt allerdings für die notwendige Transparenz und ermöglicht eine Überprüfung des Quellcodes auf Fehler und Hintertüren.
Mit einem Zitat von Bruce Schneier möchte ich diese Anforderung untermauern:
In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice.
Vereinfacht ausgedrückt bedeutet das: Kein Open-Source → kein unabhängiger Audit → keine Sicherheit, dass die implementierte Verschlüsselungstechnik einwandfrei funktioniert und keine Backdoor eingebaut hat.
Update
17.01.2017: Den Messenger Conversations halte ich persönlich für empfehlenswert.6. Fazit
WhatsApp ist eine Blackbox. Letztendlich steht Aussage gegen Aussage. Die einen nennen es eine »Design-Entscheidung«, die anderen nennen es »Backdoor«. Am Ende bleiben wir alle ratlos, denn der Quelltext von WhatsApp lässt sich nicht überprüfen. Wenn es sich tatsächlich um eine Design-Entscheidung handelt, dann wird Sicherheit ganz klar der Bequemlichkeit geopfert – und das ist wenig verwunderlich, wenn wir die Geschichte von WhatsApp genauer betrachten. Bequemlichkeit und eine einfache Bedienung stand schon immer im Fokus des Dienstes.
Es bleibt also vermutlich alles beim Alten: WhatsApp-Nutzer werden dem Dienst weiterhin treu bleiben, während sicherheits- und datenschutzbewusste Nutzer schon längst das Weite gesucht haben. Am Ende muss man nüchtern feststellen: Die Bequemlichkeit siegt über den Wunsch nach Privatsphäre.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Datenschutzfreundliche und sichere WhatsApp-Alternativen
Signal: Hohe Sicherheit und Zero-Knowledge-Prinzip – Messenger Teil9
WhatsApp: Wie man seine Identität vor Meta/Facebook schützt – Teil2
WhatsApp: Datenschutzkonforme Nutzung möglich?
WhatsApp: Wie sich Datenschutz/Privatsphäre verbessern lässt – Teil1
59 Ergänzungen zu “Kommentar: WhatsApp ist eine Blackbox”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Wenn mein Englisch so gut wäre, die Zitate zu übersetzen/verstehen, würde ich direkt einen englischsprachigen Security-Blog lesen. Meine Empfehlung: entweder übersetzen oder weg lassen.
Meine Empfehlung: Die Zitate keinesfalls weglassen.
Mit einer zusätzlichen Übersetzung könnte ich leben, halte sie aber nicht für erforderlich. Ein Blog ist für mich immer nur eine Quelle. Wenn es mich weiter interessiert, muss ich ohnehin die primären Quellen lesen (angefangen mit den Links im Artikel) und die sind fast immer auf Englisch.
Eine ernsthafte Auseinandersetzung mit dem Thema Security ohne Englischkenntnisse halte ich für äußerst schwierig.
Meine Empfehlung: Dafür gibt’s auch Online-Translatoren. Solche Schnipsel können die gut übersetzen.
Übrigens: Viele englischsprachige Security-Blogs können mit Mike’s Blog nicht mithalten. Ganz zu schweigen, dass sich dort viele Infos gar nicht finden, die hier gepostet werden.
DAGEGEN!
Es ist IMHO (englisches Akronym :p) schon ‚ein wenig‘ egoistisch zu verlangen, Anderen essentielle Informationen vorzuenthalten, nur weil man selbst sie nicht versteht. Überspring die Stellen doch einfach.
Verbessere lieber Dein Englisch: Es ist die IT-Sprache: Die meisten Diskussionen, Dokus, Software ist Englisch. (Gute) Software wird auf Englisch entwickelt und dokumentiert (breitere Workforce, Interoperabilität) und danach übersetzt – Du erhältst also später eine deutsche Version mit zusätzlichen(!) Bugs. Und englischsprachige Fehlermeldungen haben meiner Erfahrung nach eine um (gefühlt) Faktor 10 höhere Trefferquote (== Lösungswahrscheinlichkeit und -qualität), als Deutsche.
Welche denn?
Lies dir zum beispiel mal den github-eintrag durch: https://github.com/LibreSignal/LibreSignal/issues/37
Ich bin durch diesen Blog auf Conversations (Smartphone mit Sailfish Betriebssystem) (vorher Threema) umgestiegen. Mein Bruder macht wahrscheinlich mit. Aber mit dem Rest der Welt kommuniziert er weiter mit WhatsApp. Ich nutze WhatsApp nicht. Das schränkt natürlich den Kreis der Kommunikationsteilnehmer enorm ein. Ich habe mir im Bekanntenkreis schon den Mund fusselig geredet und versucht, einige zum Umsteigen zu bewegen. Keine Chance. Es interessiert in meinem Bekanntenkreis keine S.. die Privatsphäre. Standardspruch: Ich habe nichts zu verbergen. Ein Vorteil hat das Ganze: Ich muß mir nicht den ganzen Müll, der da immer gepostet wird, durchlesen.
Schon mal versucht den Leuten zu erklären das man andere Messenger parallel zu WhatsApp installieren kann.
Ich selbst bin ein großer Fan von http://www.kontalk.org
Da werden m.E. Sicherheit und Bequemlichkeit gut miteinander verbunden.
Und durch diese Kombination konnte ich die wichtigsten Leute in meinem Leben davon überzeugen Kontalk wenigstens parallel zu installieren. Die App ist nicht groß, ist kostenlos und auch nicht sonderlich batteriefressend.
Zwei Leute haben daraufhin sogar komplett auf WhatsApp verzichtet.
Ich denke mit kleinen Schritten kommt man besser ans Ziel als wenn man sagt:Du musst komplett auf WhatsApp verzichten.
Besser ist da wohl: Für deinen paranoiden Freund hast du bestimmt die paar MB Speicher für Kontalk (oder deinen Lieblingsmessenger) auf deinem Telefon frei ;-)
Genau so gehts mir auch, ich versuche meine Familie und meine Geschwister zu überreden, Whatsapp zu verlassen – keiner sieht ein , wieso?
„Ich habe keine Geheimnisse“ – Ich schreibe schwäbisch, das verstehen die Amis nicht“
Mein Hinweis, das es nicht um das hohle Geschwätz in der App, sondern um die Kontakte, Handyinhalte, Standorte usw. geht, wird nicht kapiert. Ich hab mir neulich Threema installiert, in der stillen Hoffnung, dort den einen oder anderen aus meiner Kontaktliste anzutreffen – Fehlanzeige.
Alles Schlachtvieh!
Ich würde gerne Whatsapp den Rücken kehren, aber was nützt mir ein sicheres System, wo ich quasi in meinem Umfeld alleine bin?
Whatsapp hat (leider) das schlagende Argument, 99% aller Personen in meinem Umfeld sind darüber zu erreichen. Durch alle Altersschichten, Berufe, IT-Kenntnisse etc.
Mit Whatsapp erreiche ich Personen, deren eMail-Account hoffnungslos verstopft (mit Spam etc) ist.
Das macht es alles nicht besser und ich weiß ehrlich nicht, wie man es ändern soll :-(
Man kann nur versuchen den Zugriff von Whatsapp per Xprivacy etc. zu reduzieren, tatsächliche Standorte etc. zu verschleiern.
Haben wir alle unser Handy ausgeschaltet, weil wir darüber zu orten sind?
Ich will hier überhaupt nicht Whatsapp gut heißen, ich sehe leider nur wenig wirkliche Alternativen.
> …aber was nützt mir ein sicheres System, wo ich quasi in meinem Umfeld alleine bin?…
Du hast natürlich vollkommen recht, genau dieses Problem hat jeder, der sich für was anderes entscheiden möchte. Aber genau das ist auch der Knackpunkt. Wenn alle mit dem Strom schwimmen, wird es nie anders werden – und gegen den Strom ist anstrengend. Dennoch werde ich konsequenter Whatsapp-Verweigerer bleiben. Das hat auch was mit der inneren Zufriedenheit zu tun ;-)
Diese Einstellung finde ich super und ich mache es genauso.
Und das sogar mit immer mehr Erfolg dahingehend das die Leute die mich erreichen wollen Kontalk als zweiten Messenger auf ihr Telefon packen ;-)
Tipp zur Vorgehensweise, Beispiel: Deine Mutter will mit Dir in Kontakt bleiben. „Geht nur, via Conversations, nicht WhatsApp“. Das wirkt zumindest in meinem Umfeld. Dann natürlich immer für Support bereit stehen. Die meisten so überzeugten finden Conversations sogar sehr gut.
Guter Beitrag. Werde meine Strategie Threema anstatt WhatsApp zu verwenden nochmals überdenken und durch eine OpenSource-App ersetzen.
Danke für den Blog, der hat mir schon die ein oder andere Anregung gegeben.
Grüße
Carsten
Die einen nennen es eine »Design-Entscheidung«, die anderen nennen es »Backdoor«
Why not both? ‚Designentscheidung für Einbau einer Backdoor‘
Was für eine kranke Bedürfnisausbeute. Ja der Mensch möchte kommunizieren und ja, es soll einfach und unbeschwert gehen. Früher war das vermehrt Email und SMS und heute sind es eben irgendwelche Messenger. Alle drei Kommunikationswege sind standardmäßig unverschlüsselt gewesen und werden heute auch größtenteils unverschlüsselt genutzt. Ist der Mensch also faul, unwissend oder gibt es keine bessere Kommunikationslösungen?
Die Konzerne, sowie der Staat, wollen doch gar keine transparenten Open-Source Lösungen für die Masse. Da gäbe es doch keine Daten mehr mit den man Geld verdient oder Verbrecher ausfindig macht. Verbrecher kann potenziell jeder werden, deshalb besser alle überwachen um keine böse Überraschungen zu erleben und selbst wenn diese Vorstellung in die Luft geht, hat man immer noch Geld verdient. Wieso fehlt es den vorhandenen Lösungen an Benutzer? Zu wenig Geld für Werbung oder ist die Anwendung zu technisch?
Da wird wieder das Herdenverhalten und die Bequemlichkeit des Menschen offensichtlich. Kaum hat sich eine App auf dem Markt etabliert, wird diese von der Masse verwendet. Wenn eine bessere Alternative da ist, dauert es immer noch lange um oder überhaupt umzusteigen. Man möchte ja nicht seine Kontakte aufgeben oder die neue Anwendung hat zu wenig Smileys.
Man braucht sich nichts vormachen, WhatsApp und Facebook haben kein Interesse den Benutzern was gutes zu tun, sondern mit denen Geld verdienen, genauer gesagt mit deren Bedürfnissen. Fragt euch selbst wie lange ihr euch freiwillig verkaufen wollt. Oder wagt den ersten Schritt aus diesen Strudel von Unwissenheit und Verblendung. Informiert euch, überprüft es und lernt.
PS: Threema ist nett aber eine Blackbox. Mit dem Schweizer Nachrichtendienstgesetz, das dieses Jahr in Kraft tritt, wird auch das legalisiert was schon gemacht wird. Threema entwickelt sich zu einem Honeypot oder ist es schon längst.
Es gibt keinen idealen Messenger. Jeder hat so seine Vor- und Nachteile, sei es betreffend Sicherheit, Privatsphäre, Features, Usability, Verbreitung, usw.
Wegen dieser Whatsapp-Lücke mache ich mir keine Sorgen. Und 99,9 Prozent in unseren Breitengraden sollten sich auch keine Sorgen machen. Dass der Staat hier diese Lücke rigoros ausnützt gegen Normaluser ohne dass dieser es merkt (Option Schlüsseltausch aktiviert) ist sehr theoretisch. Sorgen würde ich mir erst machen wenn ich in bestimmten Ländern leben würde, z. B. Iran, Irak etc. als Menschenrechtler. Und auch als Schwerstkrimineller und als Geheimnisträger.
Was mich an Whatsapp stört ist die Privatsphäre betreffend dem Adressbuch hochladen. Und jetzt mit Facebook die Handynummer-Weitergabe.
Dafür hat es viele Features, die sehr gut sind. Ich zähle sie jetzt nicht auf.
Muss man etwas sehr Vertrauliches im Messenger austauschen, dann kann man speziell für dies einen anderen Messenger gebrauchen, den man sicherer findet.
Und genau das ist ein Problem. Wenn nur die Sachen verschlüsselt werden, die tatsächlich schützenswert sind, dann kann jemand mit genügend Ressourcen sich dran machen, und versuchen diese Verschlüsselung zu brechen (oder davor – beim Sender – oder dahinter – beim Empfänger – anzusetzen). Erst wenn ALLES, also auch völlig Unwichtiges verschlüsselt wird, dann lohnt der Aufwand den daraus resultierenden Nutzen nicht mehr.
Kurzfassung deiner Position: Hier im freien Westen können wir uns kompromittierbare Krypto leisten, in autokratischen Systemen (dein Beispiel: Irak) sollte man tatsächlich auf Sicherheit setzen.
Erst mal zum Punkt „freier“ Westen – Amnesty International hat gerade ein Dossier zu dem Thema vorgelegt, dessen Titel bezeichnend ist: DANGEROUSLY DISPROPORTIONATE /THE EVER-EXPANDING NATIONAL SECURITY STATE IN EUROPE. Tatsächlich ist es gerade umgekehrt, wie von dir postuliert. Solange wir noch völlig gefahrlos die Möglichkeit haben, hier in Europa mit ernst zu nehmender Verschlüsselung zu kommunizieren oder unsere Identität im Web durch Tor zu verschleiern, sollten wir die Gelegenheit nutzen. Die Nutzerbasis solcher Technologien muss dringend bei uns ausgebaut werden, damit, wenn die zügig vorangetriebene Entdemokratisierung unserer Gesellschaft einen kritischen Punkt erreicht hat, damit nicht nur wenige wie die schwarzen Schafe aus der Herde hervorstechen. Und die Zeit läuft uns davon.
In Ländern wie dem Irak ist es dazu natürlich zu spät. Ich habe beispielsweise hin und wieder mit syrischen Kriegsflüchtlingen zu tun. Wenn sie hier ankommen, nutzen sie alle WhatsApp, und ich empfehle ihnen dann Conversations (allerdings nur, wenn ich beim Einrichten helfen kann) oder beispielsweise Kontalk – allerdings nur für ihre innereuropäische Kommunikation. Mit ihren Angehörigen zuhause in Syrien sollen sie wie bisher das dubiose WhatsApp benutzen. Warum? Weil die Gefahr, dass diese Familienangehörigen durch regimekritische Äußerungen ins Schussfeld geraten, nahe Null liegt – diese Menschen, die in einem ziemlich brutalen autokratischen System gelebt haben oder noch leben, gehen meiner Erfahrung nach grundsätzlich davon aus, dass ihre Kommunikation überwacht wird, und sind entsprechend vorsichtig. Technisch gesehen gehen die einzelnen außerdem durch die Verwendung von WhatsApp in der Masse unter.
Genau das wäre nicht der Fall, wenn sie ernst zu nehmende Verschlüsselung beim Messaging praktizieren würden. In einem Land wie Syrien mit seinen 17 Geheimdiensten muss ich davon ausgehen, dass der Traffic flächendeckend mit Deep Packet Inspection gesant wird. Bleiben dabei Nutzer von im Vergleich zu WhatsApp exotischen Messengern wie Conversations, Kontalk oder meinetwegen Signal im Filter hängen? Ich weiß es nicht, muss aber im Sinne der Angehörigen meiner syrischen Bekannten davon ausgehen.
So kommen wir zu einer paradoxen Situation. In Ländern wie dem unseren sind die Leute zu unwissend oder zu träge, um wirkungsvolle Verschlüsselung einzusetzen. In Ländern, in denen der Einsatz von Verschlüsselung „state of the art“ eigentlich dringend angebracht scheint, birgt sie schwer abschätzbare Risiken.
Vor Jahren gab es mal einen Song von Geier Sturzflug: „Besuchen Sie Europa (so lange es noch steht“. Analog könnte man sagen „Setzt wirkungsvolle Verschlüsselung ein (solange ihr noch dürft)“.
Danke für Deine Ausführungen! Werde ich mir genau anschauen und durch den Kopf gehen lassen.
Noch mal ein kleiner Nachschlag, was den „threat level“ für wirkungsvolle Krypto in Europa angeht. In Frankreich gab es schon von 1990-96 ein Gesetz, das bei Einsatz von Krypto die Hinterlegung des Schlüssels bei einer „vertrauenswürdigen Behörde“ vorschrieb – damit war PGP de facto verboten. (Und damals befand sich das Land nicht wie heute in einem Dauerausnahmezustand, der das Aussetzen diverser Verfassungsartikel erlaubt.)
@Thomas: Es ist immer eine Freude, auf nachdenkliche Menschen zu stoßen.
Und wenn sich unser System ändert? Z.B. wenn die bequeme Mehrheit bei der nächsten Bundestagswahl AfD wählt.
Vielleicht sind dann die die nichts zu verbergen haben plötzlich im falsche Fastfoodladen gewesen…
Das war eine Designentscheidung und kein Bug. Whatsapp ist die sicherste App die man auf dem Markt bekommt. Milliarden nutzen sie und sie funktioniert perfekt. Bessere Recherche wäre wünschenswert.
Dieses Conversations mit Steinzeit XMPP wird standig empfohlen, ist aber tatsächlich unbrauchbar und teuer.
Ausnahmsweise lasse ich diesen Kommentar mal zu. Nicht weil er inhaltlich etwas Wichtiges zur Diskussion beitragen würde, sondern um zu demonstrieren, wie eindimensional Trolle gerne argumentieren – keine Ahnung, aber einfach mal was raushauen. Wie ich auch auf der Danke-Seite schon schreibe: Trolle dürfen in ihrer Höhle bleiben!
Es wäre klug, wenn du deine Thesen mit Belegen stützt. Sonst ist es bloß Müll.
,,Du kannst behaupten was dazu willst, solange du es belegen kannst.“
Bitte nicht weiter darauf eingehen. Das war ein typischer Troll-Kommentar, der hier nur als Beispiel steht.
Bruce Schneiers Fazit:
„How serious this is depends on your threat model. If you are worried about the US government — or any other government that can pressure Facebook — snooping on your messages, then this is a small vulnerability. If not, then it’s nothing to worry about.“
https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html
Ohne auf den konkreten Fall einzugehen, ist es sicher generell eine gute Idee, vor irgendwelchen Schutzmaßnahmen ein paar Fragen zu klären. Um welches Bedrohungsszenario geht es? Was will ich schützen? Wogegen will ich es schützen? Absolute Sicherheit gibt es ja nicht (außer in der Reiseapotheke von Schlangenölverkäufern), und die jeweils angestrebte relative Sicherheit richtet sich nach diesen Grundsatzfragen.
Als Mitglied einer (post-)demokratischen Gesellschaft, als jemand, dessen Kommunikationsinhalte nicht brisant sind, ist mein Risikoprofil beispielsweise kein ausgeprägtes. Ich habe auch keinen Anlass, meine Endgeräte gegen gezielte Überwachung abzusichern (ein ziemlich hoffnungsloses Unterfangen), ich will mich nur bestmöglich gegen die allgegenwärtige Massenüberwachung schützen.
Daraus würde nach Bruce Schneiers Ansatz folgern, dass ich mich beispielsweise mit dem zweit- oder drittbesten Messenger zufriedengeben könnte, wenn es um die Vertraulichkeit der Kommunikation geht. (Als ich mich mit ihm 2010 unterhalten hab, ging es zwar nicht um Messenger, sondern darum, wie ich meinen Laptop abgesichert hatte und dass ich bei einer wirklich brisanten Unterhaltung den Akku aus meinem Mobiltelefon entfernen würde. Aber seine Reaktion entsprach seiner heutigen Bewertung: „Einiges von dem, was Sie da aufführen, ist extrem, aber es gibt Menschen, die extremen Risiken ausgesetzt sind – Menschenrechtler in totalitären Staaten zum Beispiel.“)
Aus zwei Gründen stehe ich seiner Position kritisch gegenüber. Zum einen hängt das persönliche Risikoprofil von äußeren Rahmenbedingungen ab, die sich extrem schnell verändern können. In der Weimarer Republik, dem bis dahin freiheitlichsten Deutschland aller Zeiten, haben sich die allermeisten beispielsweise auch nicht träumen lassen, dass sie plötzlich in einer Diktatur aufwachen würden. Das von Schneier erwähnte „threat model“ ist tatsächlich nur eine Augenblicksaufnahme. Zum anderen stärkt der Einsatz von wirklich tauglicher Krypto deren Entwickler (wer will sich schon die Mühe machen, wer kann schon die Ressourcen aufbringen, etwas für eine Handvoll Paranoiker zu entwickeln?)
Für die Masse derer, die bisher WhatsApp bedenken- und gedankenlos eingesetzt haben, mag es tatsächlich ein Vorteil sein, jetzt eine eher minderwertige Krypto verpasst bekommen zu haben. (Weil Vertraulichkeit der Kommunikation für sie noch nie einen Gedanken wert war, werden sie jetzt durch vermeintliche Sicherheit auch nicht unvorsichtiger.)
Für uns, die wir nicht bedenken- und gedankenlos an die Sache herangehen, sieht es anders aus. Und wenn es um den Einsatz von ernstzunehmender Krypto geht, lautet die Frage: Wer, wenn nicht wir?
Obwohl ich Facebook/WhatsApp ungefähr so weit traue, wie ich eine Ratte spucken kann, halte ich es für plausibel, dass es sich bei der aktuell diskutierten Schwachstelle nicht um eine tückisch eingebaute Backdoor, sondern tatsächlich um eine riskante Konzession an die Nutzerbequemlichkeit handelt.
Diese Diskussion wird hier zum Anlass genommen, um auf die Backdoor, äh, entscheidende Sicherheitslücke von Signal noch mal klar hinzuweisen: https://blogs.fsfe.org/larma/2017/signal-backdoors/
Ich lege viel Hoffnung in die Entwicklung von Ricochet. Leider gibt das Programm noch nicht für iOS oder Android aber immerhin bereits für Windows, Mac & Linux.
In der aktuellen ct (3/2017): Sichere Whatsapp-Alternativen im Vergleich
Ein „toller“ Vergleich. Vorgeschlagene Alternativen:
* Allo
* Facebook Messenger
* Kik
* Line
* Signal
* Telegram
* Threema
* Viber
* Wire
Alle nutzen proprietäre Server-Software, alle außer Signal und Telegram proprietär Client-Software. Nur 6 von diesen Messengern haben E2E-Verschlüsselung (was man wieder nicht unabhängig prüfen kann) und alle bis auf Kik erfordern Identifizierung über Telefonnummer/Account beim zentralen Anbieter.
Testsieger soll übrigens Signal sein, über die Schwächen und Probleme hat Mike genügend geschrieben. Zumindest weißt c’t daraufhin, dass bei allen Messengern Metadaten anfallen, die auf den Servern der zentralen Anbieter gespeichert werden und ausgewertet werden können.
Unverständlich, weshalb Conversations von der CT bzw. auch heise-online so ignoriert wird.
Ich unterstelle dem „Medienmarkt“ Absicht. Im Ernst.
Und Kontalk ;-)
Ich finde das ohnehin spannend:
Gibt es bei WhatsApp ein neues Emoticon überschlägt sich die Fachpresse mit Lobeshymnen.
Gibt es bei offenen Alternativen wie Conversations oder Kontalk ein wichtiges Update wird es konsequent ignoriert …
Threema hat auch keine Identifizierung über die Telefonnummer und Co.
Auch wenn Threema eine Blackbox sein soll nutze ich es lieber als Zwischenlösung als Signal und bspw. Wire. Über Wire hate Mike ja irgendwann mal was postives geschrieben, z.B, dass die eine Dezentralisierung ansteuern. Allerdings habe ich bei Wire das Gefühl, dass die zZ. extrem auf Nutzerjagd sind um es dann höchstbietend zu verkaufen. Ich meine, die haben kein wirkliches Finanzierungsystem, aber dafür ziemlich viele Mitarbeiter, gerade eine klare Finanzierung finde ich äußert wichtig fürs Vertrauen.
Bei Signal fehlt mir einfach das Vertrauen und das ist wichtig für Leute wie mich, die vom Wissen her nicht in der Lage sind den Quellcode zu überprüfen.
Einerseits soll Signal Open-Source sein, andererseits sind die deutlich verschlossener als Threema.
Threema hat die Arbeit an einem Open-Source Clienten und an einem unabhänigen ( nicht von ihnen bezahlten ) Audit ermöglicht, in dem sie dafür das Reverse-Engineering Verbot entfernt.
Threema hat aus meiner Sicht einfach ein nachvollziehbare Strucktur.
Wie anfangs gesagt stellt es für mich aber nur eine Art Übergangslösung dar.
Ich denke nicht, dass alle die ich auf Threema als Kontakt habe mit Conversation oder wenn sie IOS oder WindowsPhone nutzen mit dem jeweiligen Clienten, zurechtkommen. Klar werden es einige schaffen, aber für die meisten muss es halt „sofort“ gut und stetig funktionieren und XMPP mit Omemo ist noch in den Kinderschuhen. Für technik uninteressierte kannes zudem Unsicherer sein, da sich leicht ( wenn das Passwort unsicher ist ) unbekannte Schlüssel einschleichen können ohne bemerkt zu werden, da solche Personen wohl kaum regelmäßig die Keys ihrer Kontakte prüfen.
Mir gefällt Conversation schon jetzt recht gut und ich kann mir mittlerweile auch gut vorstellen, dass es in den nächsten Jahren vielleicht nötig sein wird / gut wäre auf ggf. XMPP zu wechseln.
Hallo Nedal,
ich arbeite bei Wire und würde kurz auf deinen Kommentar eingehen. Bezüglich unserer Finanzierung möchte ich kurz sagen, dass wir von Iconical finanziert werden – für unsere künftige Finanzierung sind Premium-Features geplant.
Bezüglich unserem Protokoll (open source seit Sommer 2016 auf GitHub) und dessen Implementierung – beides wurde kürzlich von unabhängigen Krypto-Experten überprüft, mehr dazu hier: https://medium.com/@wireapp/wires-independent-security-review-61f37a1762a8
Hallo Anonymous,
ich arbeite bei Wire und würde kurz auf deinen Kommentar eingehen. Unser Protokoll sowie deren Implementierung wurde kürzlich von unabhängigen Krypto-Experten überprüft, mehr dazu hier: https://medium.com/@wireapp/wires-independent-security-review-61f37a1762a8
Mit Q1 in 2017 werden wir zudem auch unseren Server-Code veröffentlichen, um vollständig open source zu sein. Den Programm-Code gibt es bereits seit Sommer 2016 auf GitHub.
Hallo Julian,
Euer bisheriger Umgang mit der (konstruktiven) Kritik an Wire und Eure Bereitschaft in vielen Punkten nachzubessern ist begrüßenswert.
Solltet Ihr jedoch weiterhin Amazon Cloud/Server nutzen (egal wo sie stehen), wären Eure Nachbesserungen, für meinen Geschmack, nicht konsequent genug und immer noch ein Grund, Wire weiterhin aus der Distanz zu betrachten.
Vor allem weil es hier um ein „Sicherheitstool“, also auch um Glaubwürdigkeit und Vertrauen geht.
Amazon hat für mich denselben negativen Stellenwert wie Google, Facebook & Co.
Keiner kann mir erzählen, daß es ohne Amazon Server schlecht oder gar nicht ginge.
Viele andere Kommunikationslösungen funktionieren auch ohne Amazon.
Ricochet ist eine gute Idee und feine Ausführung. Für eine Online-Kommunikation gehört Ricochet zu meiner engsten Auswahl. Die Main von Ricochet: https://ricochet.im/
Wie du schon selbst geschrieben hast, fehlen bei Bitmessage und Ricochet Audits. Das sollte man hervorheben, weil das nichts ist, was man einfach so unter den Tisch fallen lassen kann.
Ungeprüfte Software kann letztendlich unbewusst/bewusst Sicherheitslücken/Hintertüren enthalten …
Na ja, Du schreibst doch selber, daß ich den fehlenden Audit ERWÄHNT habe.
Weil es nicht schlagzeilenartig in Sonderschrift stand, bedeutet es nicht automatisch „…einfach so unter den Tisch fallen lassen…“.
Ich weiß also nicht, was dieser unbedacht oder bedacht suggestive, völlig überflüssige Nebensatz soll.
Ich traue dem einzelnen Leser schon zu, einen Text selbständig zu lesen, zu erfassen, zu sortieren und zu interpretieren, ohne ihn gleich mit einem Hammer auf diverse Aspekte hinzuweisen.
Ich erwähne auch, daß das Ganze in Entwicklung ist und den Beta Status hat.
Ich erwähne auch die Unvollkommenheit der Apps. usw.
An keiner Stelle schreiben Bob und ich, daß die angesprochenen Tools perfekt wären oder die beste Lösung schlechthin sind. Und an keiner Stelle wird versucht, ob mit Absicht oder durch Nachlässigkeit, eine Schwäche zu verharmlosen oder eben „…einfach so unter den Tisch fallen lassen…“.
Da ist doch alles nachvollziehbar und es dürfte also kein Grund für die Panik vorliegen, man wäre vielleicht nicht ausreichend betont über die Gefahren informiert.
Das fehlende Audit ist kein alleiniger Stellungsmerkmal von Ricochet und Bitmessage.
Wie ich schrieb, betrifft es die meisten Projekten in laufender Entwicklung.
Und nicht nur die. Auch viele „stabile“ Sicherheitstools, die schon seit Jahren in Nischen und in Massen benutzt werden, haben immer noch kein Audit, was natürlich zu bedauern ist. Selbstverständlich ist ein Audit sehr wichtig. Und ich hoffe, daß sich bald Geldgeber/Spenden finden, die ein Audit für diese Tools ermöglichen.
Aber das noch fehlende Audit und die „Grenzen der Ende-zu-Ende-Verschlüsselung“ (geltend für ALLE e2ee Tools) – wobei schon mal die Grenze der Metadaten von Ricochet und Bitmessage überwunden ist (die beiden produzieren ja keine) – sollten kein Hindernis und keine Abschreckung sein, um, wie Bob und ich meinen, die vielversprechende Sicherheitstools, mit einem konsequenten Konzept versehen, kennenzulernen und zu beschnuppern. Ein Angebot zum Reinschauen. Um mehr ging es auch nicht.
Welche sind die beiden zentralen Begriffe, die Bob und ich bei unseren jeweiligen Empfehlungen miteinander verknüpfen? – Hoffnung und Entwicklung!
Damit sind doch unmissverständlich die „Grenzen“ (fürs Erste) für die Empfehlung und die Vorstellung der beiden Tools schon gesetzt.
Geduld. Es geht hier nicht um Tools, die längst „fertig“ sind und schon lange benutzt werden, in ihren Konzepten aber diverse Sicherheitsschalter aus Dummheit oder Absicht von vornherein nicht einbauen und anbieten wollten und somit ihre Schwächen zur Standardausstattung machten.
Nein, es geht hier um Programme, die von Beginn an sehr streng durchdachte Sicherheitsansprüche auf ihrem Radar haben und auf dem Weg sind, diese konsequent zu verwirklichen, aber noch nicht gänzlich am Ziel sind.
Ich finde, solche Programme (und ähnlich konzipierte) verdienen eine Chance.
Eine ermunternde!
Mit einer unbedachten, voreiligen und indifferenten Einschätzung kommt die Gefahr auf – und wegen dieser Gefahr schreibe ich hier so ausführlich, weil sie sich quer durch alle Foren immer wiederholt – den einen oder anderen User gleich am Anfang zu verschrecken und ihm die Lust zu rauben, sich unvoreingenommen mit einer neuen Materie auseinanderzusetzen, Veränderungen zu wagen und für Alternativen zu kämpfen.
Ansonsten werden wir weiterhin in Foren und Blogs, in den Diskussionen zur Sicherheit, Messenger & Co, die ewig gleichen – ich bin es so leid – und ewig ignoranten, gebetsmühlenartig wiederholten Vorschläge zu den inkonsequenten Lösungen wie „Threema“, „Telegram“, „Signal“ und was es da noch an Hirschen aus der Schlangenöl- und Nebelkerzen Hitparade gibt, hören.
Und es werden die gleichen Fragen gestellt und die gleichen Antworten gegeben… usw…usw… .
Und wir kommen nicht vom Fleck, drehen uns im Kreis und tanzen den „Verarsch mich Walzer“… usw…usw… .
Und es wird uns gegeben… und es wird uns genommen… usw… usw… .
Und dann müssen Blogger ihre Sisyphusarbeit leisten und wieder mit Artikeln dagegen anschreiben… usw… usw… .
Und irgendwann werden die Menschen müde, geben auf und richten sich in ihrer Resignation ein.
Die Erde existiert schon ca. 4,6 Milliarden Jahre.
War Zeit genug, um mit manch wiederkehrendem Schwachsinn fertig zu werden und neue Tänze zu wagen.
Aber Hey! Wir haben ja noch etwa 900 Millionen Jahre, also lass uns es weiter versuchen.
Oder Fernsehen gucken? Da gibt es ja schöne Wiederholungen.
Es gibt ein Audit für Ricochet, siehe: https://ricochet.im/files/ricochet-ncc-audit-2016-01.pdf
Na wunderbar. :)
Unabhängig vom asozialen/rechtswidrigen(!) Verhalten der Nutzer von Whatsapp&Co (Upload des Adressbuches ohne Einwilligung der Dateninhaber (a.k.a. Adressbucheinträge) in die Weitergabe persönlicher Daten):
Jeder, der einen Sprachassistenten (Siri, Cortana, Google Translate App, …), eine X-Box, ein Amazon Echo, … benutzt ermöglicht es den Anbietern (und damit wenigstens potentiell auch den Diensten), ein Profil der eigenen Stimme anzulegen. Das erscheint mir wenigstens ebenso gefährlich, wie Lücken in Messengers.
P.S. Das „taggen“ von „Freunden“ auf Bildern ist IMO auch so eine Sauerei, deren Privatspäre unbewilligt zu verletzen.
Es hat etwas von „Selbstverteidigung“ ;-) Ich habe mir vor ein paar Tagen einen Jabber Server eingerichtet und steige auf SecureChat um. OMEMO scheint mir ein vielversprechender Ansatz zu sein. Bedauerlicherweise gibt es dafür noch keinen Desktop Client für macOS. Es hat mich sehr irritiert, dass der Entwickler von Coy.im sich so massiv gegen OMEMO sträubt, seine Kommentare auf GitHub kann ich nicht wirklich nachvollziehen. Wie ja hier auch viele schreiben, ist es sehr mühsam bis unmöglich Freunde, Bekannte und Geschäftspartner davon zu überzeugen sich vom unsäglichen WhatsApp zu verabschieden. Letztlich gehe ich konsequent meinen persönlichen Weg – ich kann nur Hilfe anbieten.
Jeder „Freund“, der deine Telefonnummer an WhatsApp ohne deine Erlaubnis weitergibt oder deine E-Mails durch Google analysieren lässt, gefährdet letztendlich auch deine (IT-)Sicherheit und greift in deine Privatsphäre ein.
Erneut ein interessanter Beitrag, Mike; Danke. Ich folge dem blog schon eine Weile, und versuche wie einige andere hier, ohne google-kram auszukommen und mittlerweile auch weitgehend dezentrale und sichere Messenger zu verwenden.
Ich scheine allerdings nicht der einzige zu sein, der sein Umfeld nur schwer von Whatsapp & Co. „weglotsen“ kann. Da stellt ein Umstieg auf Threema & Signal teils schon einen „Zwischenerfolg“ dar (Leider noch häufiger Signal).
Signal benötigt allerdings bekanntermaßen GCM; LibreSignal ist keine Option mehr; Noise müsste man mal testen. Meine Fragen in diesem Kontext:
Was hälst Du, Mike, von GCM- Alternativen wie microG?
Falls Du MicroG nicht empfehlen kannst, gibt es bessere Alternativen?
Ich stimme Dir zu; im Optimalfall sollte gar kein Signal verwendet werden.
Aber mein Umfeld muss Schritt für Schritt überzeugt werden…
Die Devise sollte stattdessen „ganz oder gar nicht“ lauten, am besten nur „ganz“. Wenn du jetzt von bspw. 100 WhatsApp-Nutzern 10 überzeugt bekommst, auf Signal umzusteigen, dann bekommst du im nächsten Schritt vielleicht 1 zu XMPP.
Was soll also der Zwischenschritt, der im Prinzip nichts verbessert?
Offener Brief von Crypto- und Sicherheitsexperten:
„In Response to Guardian’s Irresponsible Reporting on WhatsApp: A Plea for Responsible and Contextualized Reporting on User Security“
http://technosociology.org/?page_id=1687
Die Probleme des nicht unabhängig überprüfbaren Quellcodes von Client und Server bestehen weiterhin. Die Probleme des Datenschutzes besonders in Bezug auf übermittelte Telefonnummern bestehen weiterhin.
Das Einzige, was diese Art von Berichten jetzt erzeugen, ist:
„Hab‘ ich doch gleich gesagt, dass WhatsApp sicher ist.” (typischer WhatsApp-Nutzer)
Nicht der Bericht von The Guardian war verantwortungslos, sondern jetzt so zu berichten, als sei WhatsApp schon immer der sicherste Messenger der Welt und ist es immer noch.
Kann ich mich nicht anschließen: Reaktionen auf WhatsApp »Backdoor«
Diese Reaktion stammt von Soziologen (http://technoSOCIOLOGY.org/?page_id=1687), die per se keine datenschutzzentrierte Sicht haben, sondern (siehe auch die Argumentation) eher ‚Personenschutz‘ durch Wattebällchen und safe spaces.
Fefe bloggte gestern dieses schöne Bild, das meine Herausforderung mit Soziologen gut beschreibt: https://i.imgur.com/74I7MBx.jpg .
Der Guardian hat auf den offenen Brief reagiert :
We ran a series of articles highlighting and discussing a verified vulnerability in WhatsApp and its potential implications. WhatsApp was approached prior to publication and we included its response in the story, as well as a follow up comment which was received post-publication. While we stand by our reporting we have amended the article’s use of the term ‘backdoor’ in line with the response and footnoted the articles to acknowledge this. We are aware of Zeynep Tufekci’s open letter and have offered her the chance to write a response for the Guardian. This offer remains open and we continue to welcome debate.
techcrunch.com
Danke Kuketz, dass Du Deine Umwelt erziehst :-)
Ich habe gerade erfahren, dass chatsecure nun OMEMO für IOS unterstützt:
https://chatsecure.org/blog/chatsecure-v4-released/
D.h. Gajim (Desktop), Conversations (Android) und chatsecure für IOS. OMEMO für alle.
Das stand auch im Microblog und „für alle“ ist etwas übertrieben, da es noch wesentlich mehr Betriebssysteme und Messenger gibt, die eben noch kein OMEMO unterstützen.
Die ersten Kommentare hier sprachen die englischen Zitate/Verweise an und es wurde ein allgemeiner Hinweis für die Online-Translatoren gegeben. Damit man nicht die Translatoren von Google, Bing & Co nutzen muss, hier eine datenschutzfreundliche Alternative: https://translate.swisscows.ch/
Dieser Translator kann problemlos mit scharf gemachtem uBlock benutzt werden.
Swisscows selber ist eine alternative Suchmaschine, die mit Datenschutz wirbt:
https://swisscows.ch/de/privacy
Habe mal angefragt, ob der Datenschutz der Suchmaschine ebenfalls für den Translator gilt:
Antwort:
…wenn man des Englischen soweit mächtig ist, dass nur einige Wörter fehlen:
https://dict.leo.org/englisch-deutsch/ *
ist mein Lieblings-Onlineübersetzer – insbesondere wegen der breiten Auswahl an Synonymen und/oder alternativen Bedeutungen.
* „An online service of LEO GmbH, originally established by the Rechnerbetriebsgruppe der Fakultät für Informatik of Technische Universität München“
Weitere Kommentare zur Übersetzungsthematik werden nicht mehr freigeschaltet – das ist nicht das Thema.