Ich gebe es auf - 16 Monate nur Threema, kein WhatsApp etc.

[chk142]

Wie schon oft gesagt:
Man kann niemanden zu einem anderen Messenger bringen oder für Datenschutz mobilisieren, wenn derjenige das nicht will.
Die Geiz-ist-geil-Mentalität ist größer als der gesunde Menschenverstand.
"Ich hab doch nichts zu verbergen"...

Das Problem ist, dass immer impliziert wird, dass derjenige, der WhatsApp nutzt, sich nicht um seine "Datensicherheit" schert. Vielleicht tut er das ja, und ist sich vollkommen bewusst darüber, was er tut. Schon mal darüber nachgedacht, oder ist da nur Platz für seine eigenen Vorstellungen?

Mal ganz abgesehen von der Tatsache, dass jeder WhatsApp nutzt, und ich auch gar keine Lust habe, mir 3, 4, 5 Messenger zu installieren. Wozu? Für einige unverbesserliche Weltverbesserer, die sich ihre eigene Welt aufbauen wollen?

 

[Miaz602]

oder ist da nur Platz für seine eigenen Vorstellungen?

Nein.

Wie oben geschrieben: Ist mir egal.
Ich tue meine Meinung kund (gefragt - oder im letzten Beitrag von mir ungefragt) - und der Gegenüber (in dem Falle Du) kann damit machen was er will. Evtl hat er sich ja einfach noch nicht mit dem Thema beschäftigt. Kommt IMHO sehr oft vor.
Genauso, wie Du ggf. nicht Threema installieren willst, werde ich persönlich definitiv nicht mehr WhatsApp installieren - nur weil es der Herdentrieb verlangt.
Mehr habe ich dazu eigentlich nicht zu sagen...

 

[Schotti]

Vielleicht tut er das ja, und ist sich vollkommen bewusst darüber, was er tut. Schon mal darüber nachgedacht, oder ist da nur Platz für seine eigenen Vorstellungen?

Die eigenen Vorstellungen & Erfahrungen besagen, dass sich viele Messenger-Nutzer durchaus bewusst sind, sich besser schützen zu müssen. Nur scheitert es in ganz vielen Fällen einfach an entsprechendem Wissen und der Zeit, die dafür aufgebracht werden müsste, um das persönliche Internetleben etwas sicherer zu gestalten. Die Smartphone - Bedienung als solches bereitet ja vielen Nutzern schon Probleme genug. Das ist so... *leider*

Für einige unverbesserliche Weltverbesserer, die sich ihre eigene Welt aufbauen wollen?

Damit ist dann eine vernünftige & sachliche Diskussion schon gar nicht mehr möglich.
Gruß
Schotti

 

[chk142]

Die eigenen Vorstellungen & Erfahrungen besagen, dass sich viele Messenger-Nutzer durchaus bewusst sind, sich besser schützen zu müssen.

Wovor genau müssen sie sich besser schützen?

Ich stelle hier jetzt mal ein Grundsatz-Statement auf: Das Internet ist keine private Zone, sondern öffentlicher Raum. Ich hatte da gestern eine gute Unterhaltung mit meinem Vater über das Thema, und er hat da ein exzellentes Beispiel gegeben: Ein Mann kommt in eine Bäckerei, der Bäcker, der ihn kennt, spricht ihn an: "Hallo, Herr Müller! Schön Sie zu sehen. Möchten Sie eine Nussecke, wie sonst auch immer?" Im Café-Bereich der Bäckerei sitzen 10 Leute, jeder hört mit. Also wissen alle, dass der Mann, der gerade reinkam, Herr Müller heißt, und am liebsten Nussecken isst. Was sagt uns dieses Beispiel? Die Leute haben kein Problem damit, dass sie in einen Laden gehen, mit dem Namen angesprochen werden, und personalisiert Waren angeboten werden, aber im Internet fürchten sie sich unheimlich davor, wenn anonymisiert eine IP ausgelesen wird, Cookies verteilt werden, und Werbung personalisiert wird.

Ich frage mich: Warum? Warum ist es offensichtlich kein Problem, dass man eine Bäckerei in der Innenstadt als öffentlichen Raum ansieht, aber nicht das Internet? Liegt es daran, dass das Internet auf meinem privaten PC auf dem Monitor angezeigt wird, und ich mich eigentlich eher im privaten Raum fühle? Und woran liegt es, dass man sich vor allem im Internet oft wie im wilden Westen fühlt, und Leute sich aufführen wie die letzten Menschen, nur weil sie sich hinter einenm anonymen Benutzernamen, oder einer IP verstecken kann? Ich würde sagen, das Problem liegt eher an der Auffassung der Menschen, weniger am Verhalten von Firmen, die kostenlose Dienste auf Basis der Einnahmen aus personalisierter Werbung machen. Denn die Alternative ist an jeder Ecke im Internet die Hand aufgehalten zu bekommen, und gefragt zu werden "Haste mal 'ne Mark ey?...".

 

[Nokius]

Die Leute haben kein Problem damit, dass sie in einen Laden gehen, mit dem Namen angesprochen werden, und personalisiert Waren angeboten werden, aber im Internet fürchten sie sich unheimlich davor, wenn anonymisiert eine IP ausgelesen wird, Cookies verteilt werden, und Werbung personalisiert wird.

Ich frage mich: Warum?

Weil personalisierte Werbung im Internet auch Nachteile mit sich bringen kann; Preisangebote z.B. für iPhone-Benutzer höher ausfallen können (, weil impliziert wird, dass der iPhone-Benutzer mehr zu investieren bereit ist resp. mehr Geld [auszugeben] hat), bestimmte Angebote (u.a. auch Suchergebnisse in Such-Maschinen) gar nicht mehr zu mir durchdringen (, weil irgendeine AI der Meinung ist, dass mich diese Angebote gar nicht interessieren dürften); etc. pp. Ich möchte so objektiv wie möglich auswählen können, wenn ich das schon im Internet tue.

Und das sind nur leicht vorstellbare Beispiele für die im Internet vornehmbare Kategorisierung der Nutzer. Ich möchte das nicht, deshalb werden bei mir alle Cookies nach Browserabschluss gelöscht und ich werde nicht in sozialen Netzwerken unterwegs sein, wenn ich das Gefühl habe, dadurch gläsern zu werden.

Das ist meine Meinung, andere mögen das anders sehen.

Ciao, Nokius

 

[Miaz602]

Und ich möchte auch nicht, dass der Bäcker laut ausspricht, dass ich einen gesegneten Appetit habe, weil ich heute schon zum zehnten mal bei ihm bin und mich lautstark fragt, was mir denn nun eigentlich fehlt, weil 10 Ärzte, 20 Apotheker und 30 Psychiater in meinem Bekanntenkreis sind...

 

[hcoe]

Und er dann gleich noch meine Krankenkasse über meine Essgewohnheiten informiert.

 

[Miaz602]

Oder so.
Ich wollte gerade noch als EDIT zu meinem letzten Beitrag hinzufügen, dass es ihn auch nicht interessieren muss, bei welchem Fleischer ich vorher war, und zu welchem Friseur ich nachher gehe.
Aber das kommt ja aufs Gleiche raus.

Ich denke mal, von der Verschlüsselung her muss sich WhatsApp nicht verstecken. Ist auch E2EE.
Aber die Metadaten sind heutzutage viel interessanter. Da muss man die Inhalte gar nicht mehr kennen.

 

[chk142]

Und er dann gleich noch meine Krankenkasse über meine Essgewohnheiten informiert.

Ein guter Punkt, denn genau das wird sicherlich in der Regel nicht passieren, genauso wenig wie im Netz immer das passiert, was Aluhutträger sich so täglich ausmalen.

Am Ende finde ich die ganze Diskussion äußerst überflüssig, vor allem, weil wir hier von WhatsApp sprechen, dem Messenger von Facebook, die ein Vermögen mit dem Willen der Leute gemacht haben, so viel Infos wie möglich über sich öffentlich im Internet preiszugeben.

 

[merlin2100]

Viel problematischer, wie die Metadaten empfinde ich, das jeder der WhatsApp nutzt im Grunde einen Verstoß gegen das Bundesdatenschutzgesetz eingeht, denn es wird das Telefonbuch des Gerätes an WA/FB übertragen und der User von WA sichert zu, das er dazu berechtigt ist diese Daten auch zu übertragen.

Das bedeutet im Grunde, jeder der WA nutzt muss sich von seinen Kontakten bestätigen lassen, dass diese mit der Übertragung ihrer Rufnummern an WhatsApp einverstanden sind. Kann ich diese Erklärung nicht vorweisen und einer meiner Kontakte erfährt davon, dass ich seine Daten übertragen habe, sitze ich gewaltig in der Sch****, den ich habe einen Verstoß gegen das Gesetz begangen, der zudem strafbewehrt ist.

Vor diesem Hintergrund, dürfte keiner in Deutschland mehr WA nutzen um zu vermeiden einen Rechtsverstoß zu begehen.

Die über WA verschickten Nachrichten dürften in etwas genauso sicher sein, wie bei anderen Messengern die mit E2E-Verschlüsselung arbeiten.

 

[chk142]

Viel problematischer, wie die Metadaten empfinde ich, das jeder der WhatsApp nutzt im Grunde einen Verstoß gegen das Bundesdatenschutzgesetz eingeht, denn es wird das Telefonbuch des Gerätes an WA/FB übertragen und der User von WA sichert zu, das er dazu berechtigt ist diese Daten auch zu übertragen.

Vergessen wir doch bitte aber nicht den Sinn des ganzen, nämlich, um mit anderen WhatsApp-Nutzern kommunizieren zu können, bzw. überhaupt zu wissen, dass sie WhatsApp nutzen.

Jeder andere Messenger macht das meines Wissens übrigens genauso.

Ist übrigens wieder ein gutes Beispiel dafür, dass die meisten Zwecken zur Datensammlung vollkommen banal und harmlos sind, und lediglich die Fantasie Verwendungszwecke suggeriert, die wahrscheinlich überhaupt nicht zutreffen. Am Ende geschieht das doch ohnehin alles vollautomatisiert mit Computeralgorithmen. Und da kann auch kein Mitarbeiter reingucken, wozu auch?

 

[merlin2100]

@chk142
Es macht nicht jeder Messenger übrigens genauso. Threema lässt sich z. B. ohne die Angabe einer Telefonnummer oder E-Mail Adresse benutzen, dass macht deutlich, wie wenig du den Inhalt meines Postes verstanden hast.

Der feine Unterschied ist der, dass Du bei WhatsApp dein Adressbuch an WhatsApp übermittelst und zusätzlich bestätigst, das du Einverständnis zur Übermittlung all deiner Kontakte hast. WhatsApp hat sich damit rechtlich abgesichert und dir den "Schwarzen Peter" zugeschoben, wenn es mal dazu kommt, das jemand fragt, woher die Telefonnummer stammt die bei WhatsApp gespeichert ist.

Im nächsten Schritt schaltet dieser dann den zuständigen Datenschutzbeauftragten ein, der dann mit Ermittlungen beginnt und zwar bei dem User, der die Daten an Whats App ohne Zustimmung übertragen hat. Das Verfahren kann dann mit einer Geldstrafe abschließen die je nach Art und Menge der übertragenen Daten eine durchaus existenzbedrohende Höhe annehmen kann, gerade auch diesen Grund haben viele Betriebe spätestens mit Einführung der EU-DSGVO die Nutzung von WhatsApp untersagt.

Gut dafür hast du natürlich vorher viele Personen in deiner Kontaktliste gehabt, denen du schreiben könntest, wenn es überhaupt einen Grund gäbe, diesen zu schreiben.

Bei anderen Messengern speicherst Du deine Telefonnummer beim Messengerdienst in einer Datenbank und beim Start der App wird die Datenbank mit deinen Kontakten auf dem Gerät abgeglichen. Dafür überträgst 1. keine Daten an den Dienst und zweitens für deine eigene Rufnummer bist du berechtigt diese zur Verwendung zu übertragen.

Das ist doch ein feiner Unterschied, wenn man es dann verstanden hat.

 

[Nokius]

Ich denke mal, von der Verschlüsselung her muss sich WhatsApp nicht verstecken. Ist auch E2EE.

Das ist ein Punkt, der mich tiefergehend interessiert: Viele Messenger arbeiten mit Verschlüsselungen der Nachrichten - WhatsApp, Telegram und Signal beispielsweise. Threema natürlich auch, aber das habe ich noch nicht benutzt. Bei den drei mir bekannten Messengern musste ich noch nie ein Passwort eingeben, d.h. die Verschlüsselung erfolgt mit einem Algorithmus, den nur der Messenger kennt bzw. ein Programmierer, der bei Open Source - Programmen den Code versteht. Bei PGP ist zwischen Sender und Empfänger ein Austausch der öffentlichen Schlüssel nötig. Wie kann man bei den aktuellen Verschlüsselungstechniken sicher sein, dass der Messenger nicht doch "transparent" gemacht werden kann?

Ciao, Nokius

 

[Miaz602]

Du musst nichts aktiv einstellen. Das ist anders als bei Mail mit PGP z.B.
Deshalb hat sich das bei Mail auch nie wirklich durchgesetzt.
Die privaten Schlüssel sind auf den Endgeräten. Nur dort kann die Nachricht E2E (Ende zu Ende) entschlüsselt werden.
Selbst Threema kommt nicht an den Inhalt der Nachrichten ran. (WhatsApp bei E2E Verschlüsselung auch nicht).
Nach Zustellung (oder 14 Tage, wenn keine Zustellung erfolgt ist) werden bei Threema die Nachrichten vom Server gelöscht.
Die Metadaten werden so gering wir möglich gehalten. Darauf musst Du Dich eben verlassen. Ich hatte noch keinen Grund, bei Threema daran zu zweifeln.
Bei WhatsApp ist es bekannt, was alles gespeichert wird. Daraus machen die auch keinen Hehl...

Bei Telegram z.B ist das mit dem Speichern anders. Da bleiben die Nachrichten auf dem Server. Deshalb geht dort alles schön parallel auf allen Handys und PCs. Wenn Du bei Telegram E2E haben willst, musst Du das gezielt einstellen. Dann geht es natürlich nicht mehr am PC...
[doublepost=1549987965,1549987706][/doublepost]Bevor ich mich zu weit rauslehne (bin kein Programmierer) verweise ich lieber auf einschlägige Veröffentlichungen...
[doublepost=1549988996][/doublepost]Mach nur mal einen kleinen Test. Ganz laienhaft und ohne weiteren Kommentar:
Installiere Telegram, WhatsApp und Threema auf einem neuen Handy.
Bei Telegram hast Du (ohne E2E Chats) alles wie zuvor. Bei WhatsApp hast Du extrem viel, auch alle Kontakte.
Bei Threema hast Du ohne existierendes Backup Null Komma Nichts (ThreemaSave ist jetzt ganz neu. Das ist ein Sonderfall, weil viele mit den Backups nicht klar kamen. Ist im Threema Blog genau beschrieben.)

 

[Nokius]

Die privaten Schlüssel sind auf den Endgeräten. Nur dort kann die Nachricht E2E (Ende zu Ende) entschlüsselt werden.

Ja, so dachte ich mir das. Dies wirft zwei Fragen auf:

1. Wie wird dieser Schlüssel generiert? Klar, es gibt in diversen Programmiersprachen Funktionen, um Zufallszahlen zu erzeugen. In Java, das für Android von Hauptinteresse sein wird, ist das Math.random(). Das sind aber immer Pseudozufallszahlen, die von der Systemumgebung (z.B. dem Generierungszeitpunkt) abhängen. Wie vermeidet man, dass diese generierten Zahlen vorhersehbar werden?
2. Wie kommt dieser Schlüssel sicher (d.h. unmodifiziert, unerkannt und authentifiziert) zum Kommunikationspartner? Es können ja unmöglich alle dasselbe Schlüsselpaar verwenden.

Ciao, Nokius

 

[Miaz602]

Lies Dich mal hier rein - und in den FAQ auf der Threema Homepage

Threema-Passwort knackbar? - Threema-Passwort knackbar?

Threema FAQ: Häufig gestellte Fragen - Threema
Threema Blog: Blog - Threema
Threema Cryptography Whitepater: https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf

 

[Miaz602]

@Nokius : In dem Zusammenhang ist sicher auch das interessant, was gerade eben offiziell über den Threema Channel reinkam.

Sind alle verschlüsselten Chat-Apps gleich sicher?

February 13, 2019

 

[merlin2100]

Ich habe das Gefühl, das die Jungs und Mädels die für die Programmierung und den Betrieb von Threema verantwortlich sind hier mitlesen und mit der Nachricht im Threema Channel auf unsere Diskussion hier reagieren. Vielleicht auch nur Verfolgungswahn - wer weiß schon.

Der Text ist gut geschrieben und stellt alles was Threema anbietet in ein gutes Licht. Das ist natürlich selbstverständlich zum einen ist man von seinem Produkt überzeugt und zum anderen denkt man ja auch an die Vermarktung dessen.

Überzeugender wäre der Text aber, wenn dieser von einer unabhängigen Stelle käme, die auf Test und Vergleiche spezialisiert ist und am besten noch aus der Kommunikationssicherheit kommt und keinen kommerziellen Zweck verfolgt, aber das wäre wohl zuviel verlangt.

Aber ich glaube es hilft wenn man sich mal diesen Text zu Instant Messengern des BSI durchliest und man wird ziemlich schnell merken, dass man mit Threema wohl die meisten der Anforderungen erfüllt, die für einen sicheren Umgang mit Informationen und Daten sprechen.

Danebenn würde ich wohl nur noch auf Signal setzen da hier neben E2E-Verschlüsselung des Datenverkehrs noch die Quell-offene-Software hinzukommt.

Was ich aber immer noch nicht verstehe ist, warum ich bei Threema nicht erst ein Zeit testen kann und dann bezahlen muss, das erst bezahlen und dann testen ist halt für die meisten das KO-Kriterium, aber genau so hat es WA geschafft - erst testen - dann zahlen - und letztlich kostenlos (naja, man zahlt mit seien Metadaten).

 

[Miaz602]

Ich habe das Gefühl, das die Jungs und Mädels die für die Programmierung und den Betrieb von Threema verantwortlich sind hier mitlesen und mit der Nachricht im Threema Channel auf unsere Diskussion hier reagieren. Vielleicht auch nur Verfolgungswahn - wer weiß schon.

Das wäre wünschenswert - und ich hätte garantiert nichts dagegen... Allerdings glaube ich das eher nicht - und wenn, dann garantiert nicht permanent. Es hat sich zumindest hier noch kein Threema-Mitarbeiter als solcher geoutet.
Selbst im Threema-Forum direkt ist die Beteiligung von Theema-Supportmitarbeitern eher sehr zurückhaltend.
Ist aber beides eher verständlich.
Auf direkte Anfragen innerhalb des Threema-Support-Chats oder bei Beta-Problemen wird aber schon recht zeitnah geantwortet.

EDIT: Bzgl. Testzeitraum bin ich durchaus der gleichen Meinung. Wird schon lange gewünscht...

EDIT2: @merlin2100 : Ich meinte, es wäre wünschenswert, dass Threema hier mitliest - und nicht, dass Du unter Verfolgungswahl leidest ...

 

[Schotti]

Mein letzter Kenntnisstand: die lesen hier durchaus anonym (?) mit bzw. haben den Threema - Bereich hier "auf dem Schirm". Auch wenn diese Info ziemlich weit zurück liegt und erst nach dieser Info hat das Threema-F*** (=T-F) überhaupt erst richtig Fahrt aufgenommen. Die Support-Mitarbeiter, die dann dort aktiviert wurden, habe ich nicht mehr wirklich mitbekommen. Der zuständige Herr dort hat ja leider ziemlich robust reagiert...
Aber das ist eine andere Geschichte.

Thema Threema irgendwie pushen: es könnte eigentlich in dieser Richtung mehr passieren. Die Verlosungen hier & im T-F (die ich begleitet bzw. durchgeführt habe) oder zu speziellen Anlässen reduzierte Kaufmöglichkeiten liegen zu lange zurück und in der Form könnte man mal wieder für einen Schub sorgen.
Der Support-Chat reagiert, wie @Miaz602 schon schrieb, durchaus zeitnah und eigentlich sehr schnell. Weiß gar nicht, ob andere Messenger ähnlich gut aufgestellt sind!?

Gruß (auch in die Schweiz)
Schotti