Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Whatsapp-Alternative: Sicher will sicher sein

Nach Threema und MyEnigma veröffentlicht ein weiterer deutschsprachiger Entwickler eine mobile Messenger-App als Alternative zu Facebooks Whatsapp . Ihr Name: Sicher. Doch ist Sicher wirklich sicher?
/ Steve Haak
201 Kommentare News folgen (öffnet im neuen Fenster)
Sicher will eine sichere Alternative zu Whatsapp sein. (Bild: Screenshot: Golem.de)
Sicher will eine sichere Alternative zu Whatsapp sein. Bild: Screenshot: Golem.de

Regelmäßig bekommen wir Nachrichten von Entwicklern: "Wir haben eine supertolle und sichere App, die in Deutschland entwickelt wird und deren Server in Deutschland stehen. Wollen Sie da mal drüber schreiben?" Wollen wir oft nicht. Denn in den meisten Fällen handelt es sich um Programme, die es massenhaft in den App Stores zu kaufen gibt oder die sogar kostenlos angeboten werden. Und deren Entwickler sich mit Kryptographie offensichtlich kaum auskennen .

Als uns die Stuttgarter Firma Shape(öffnet im neuen Fenster) anschrieb, ob wir über ihren neuen kostenlosen Messenger für iOS, Android und Windows Phone berichten wollen, war es etwas anders. Denn Shape hat mit IM+(öffnet im neuen Fenster) einen der ersten OTR-Messenger(öffnet im neuen Fenster) veröffentlicht und somit jahrelange Erfahrung mit verschlüsselter Kommunikation. So etwas lässt sich nicht einfach ignorieren. Und wer seiner App den Namen Sicher gibt, muss von der Sicherheit seines Produkts wirklich überzeugt sein, dachten wir.

Sicher – Messenger-App für iOS, Android und Windows Phone
Sicher – Messenger-App für iOS, Android und Windows Phone (00:30)
Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Expert*in Lösungsarchitektur IT Betrieb Deutsche Rentenversicherung Bund, Würzburg,Home Office (öffnet im neuen Fenster)
Informatiker / Fachinformatiker (m/w/d) Digitalisierung Landkreis Stade, Stade (öffnet im neuen Fenster)
Fullstack Softwareentwickler (m/w/d) LIMETEC Biotechnologies GmbH, Hennigsdorf (öffnet im neuen Fenster)
Fachinformatiker / Informatiker als 1st- und 2nd-Level-Supporter (m/w/d) TECNO PLAST Industrietechnik GmbH, Düsseldorf (öffnet im neuen Fenster)
Systemadministrator Netzwerkinfrastruktur (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Celle (öffnet im neuen Fenster)
SAP Modulbetreuer SD, Versand, Zoll und Export-Prozesse (m/w/d) Dürr CTS GmbH, Bietigheim-Bissingen (öffnet im neuen Fenster)
Software-Architekt / Lead Developer (w/m/d), DevOps / Cloud Engineer (w/m/d) FWU Institut für Film und Bild in Wissenschaft und Unterricht gemeinnützige GmbH, Grünwald (öffnet im neuen Fenster)
Senior M365 Services Engineer (m/f/x) STRABAG BRVZ GmbH & Co. KG, Stuttgart (öffnet im neuen Fenster)

Außerdem hat Shape im Jahr 2012 einen zweistelligen Millionenbetrag von einer russischen Investmentfirma bekommen(öffnet im neuen Fenster) . Genug, um ein Programm zu entwickeln, das die neuesten Verschlüsselungsmethoden einsetzt?

RSA mit 1024 Bit

In der Pressemappe des Unternehmens heißt es dazu: "Sicher benutzt Point-to-Point-Verschlüsselung, basierend auf asymmetrischer Kryptographie. Das heißt, dass nur der Empfänger, der den Schlüssel besitzt, die Nachricht entschlüsseln kann. Das RSA Krypto-System ist mit 1024 Bit Schlüsseln verschlüsselt."

Sicher im Vergleich zu anderen Messengern (Bild: Shape)
Bild 1/5: Sicher im Vergleich zu anderen Messengern (Bild: Shape)
Sicher benötigt unter Android Berechtigungen, um auf die Daten des Nutzers zugreifen zu können - unter anderem auf die Geräte-ID. (Screenshot: Golem.de)
Bild 2/5: Sicher benötigt unter Android Berechtigungen, um auf die Daten des Nutzers zugreifen zu können - unter anderem auf die Geräte-ID. (Screenshot: Golem.de)
Daten auf dem Smartphone werden mit einem Passwort geschützt. (Screenshot: Golem.de)
Bild 3/5: Daten auf dem Smartphone werden mit einem Passwort geschützt. (Screenshot: Golem.de)
Bei der erstmaligen Installation von Sicher wird ein Schlüssel für die Ende-zu-Ende-Verschlüsselung erstellt. (Screenshot: Golem.de)
Bild 4/5: Bei der erstmaligen Installation von Sicher wird ein Schlüssel für die Ende-zu-Ende-Verschlüsselung erstellt. (Screenshot: Golem.de)
Nachrichten können mit einer Selbstzerstörung versehen werden. (Screenshot: Golem.de)
Bild 5/5: Nachrichten können mit einer Selbstzerstörung versehen werden. (Screenshot: Golem.de)

RSA mit einer Schlüssellänge von 1024 Bit entspricht heute nicht mehr dem Stand der Technik. 2003 warnte sogar einer der Erfinder des Verfahrens, dass diese Schlüssellänge nicht mehr sicher sei. Bei HTTPS-Verbindungen sind solch kurze Schlüssel nicht mehr zu finden.

Das Team von Shape sieht darin kein Problem: "Das reicht uns und unseren Benutzern aus" , schreibt CEO Igor Berezovsky uns im Chat. "1024 Bit heißt mit anderen Worten absolut sicher." Laut Statistik fänden über 90 Prozent der Angriffe offline statt, zum Beispiel durch die Putzfrau, die eine Push-Notification eines Angestellten sähe.

Bleiben trotzdem noch 10 Prozent.

Gerne hätten wir uns auch die Details der verwendeten Verschlüsselungstechnologien angesehen. Doch die sind nicht dokumentiert. Aus dem Informationsmaterial geht lediglich hervor, dass Sicher AES und RSA verwendet. Dabei gibt es bei der Implementierung dieser Verschlüsselungsalgorithmen zahlreiche Fallstricke, beispielsweise bei der Wahl des korrekten AES-Modus oder bei der Verhinderung von Timing-Attacken.

Ende-zu-Ende-Verschlüsselung und deutsche Server

Immerhin verschlüsselt Sicher laut dessen Entwickler alle Daten Ende-zu-Ende. Das bedeutet: Daten wie Nachrichten oder Dokumente werden auf dem Smartphone des Senders verschlüsselt und später beim Empfänger wieder entschlüsselt. Dazu wird nach der Installation ein Schlüssel erstellt.

Diese Funktion ist zwar löblich, kann aber aufgrund des fehlenden Quellcodes nicht nachvollzogen werden. Denn wie bei Threema fehlt der Quellcode bei Sicher. Dessen Verfügbarkeit ist aber entscheidend für Kryptographieexperten, um die Sicherheit eines Programms überprüfen zu können.

Immerhin kann sich Berezovsky mittelfristig auch bei Sicher einen teiloffenen Quellcode wie bei Telegram(öffnet im neuen Fenster) vorstellen, wie er uns schrieb. Und auch, wenn Sicher kein Open-Source-Programm ist, sei man "nicht generell abgeneigt gegen Audit" . Das ist vermutlich auch notwendig, denn laut Berezovsky ist ein "Full-Time-Kryptographieexperte bei Shape nicht eingestellt" .

Wenn die Server in Deutschland stehen

Für App-Hersteller scheint es heutzutage ein unschlagbares Argument gegenüber Nutzern zu sein, dass ihre Server in Deutschland stehen. Auch Sicher wirbt damit. Laut Berezovsky möchte man das "Ecosystem so geschlossen wie möglich halten" . Außerdem habe sein Team von Nutzern aus den USA erfahren, dass Server in Deutschland als Vorteil angesehen werden.

Eigene Daten, die auf fremden Servern gespeichert werden, sind immer ein Risiko. Ganz egal, ob die Server in Deutschland oder anderswo auf der Welt stehen. Hier versucht das Team von Sicher, das Risiko so gering wie möglich zu halten. Adressbücher werden laut Berezovsky nicht gespeichert. Dafür eine sogenannte User-ID, die zur Identifikation des Nutzers gespeichert wird.

Sicher ist vielleicht sicher

Eine gehörige Portion Vertrauen in die Entwickler von Sicher müssen dessen Nutzer also mitbringen. Ob Sicher wirklich sicher ist, lässt sich nämlich nicht sagen, da es für uns keine Möglichkeit gibt, die Sicherheit des Messengers zu überprüfen. Somit können wir nur schreiben, dass Sicher vielleicht sicher ist. Wer wirklich auf Nummer sicher gehen will, sollte daher weiter zu Alternativen wie Chatsecure(öffnet im neuen Fenster) oder Textsecure(öffnet im neuen Fenster) greifen, deren Quellcode für jeden zur Verfügung steht.

Zur Startseite 201 Kommentare

Relevante Themen

VerschlüsselungSoftwareToolsSecurityInstant MessengerMessengerSoziales Netz