Facebook-Gründer Mark Zuckerberg versuchte, die aufgeschreckten Nutzer des Kurznachrichtendienstes WhatsApp zu beruhigen. Das Online-Netzwerk werde nach der Übernahme durch Facebook keine Nutzerdaten auswerten, versprach er auf dem Mobile World Congress in Barcelona. Doch dem internationalen Boom alternativer Messaging-Dienste hat dies keinen Abbruch getan. Vor allem zwei WhatsApp-Konkurrenten profitieren: Telegram und Threema.

Beide Anbieter stellen den Datenschutz der Nutzer in den Vordergrund und treffen damit den Nerv potenzieller Neukunden. In vielen Ländern wird Telegram, ein kostenloser Nachrichtenübermittler, bereits öfter heruntergeladen als WhatsApp. Das Programm ist inzwischen in Deutschland und 39 weiteren Ländern auf Platz eins der Appstore-Charts für kostenlose Apps. Threema, ein Programm aus der Schweiz, belegt in Deutschland und anderen europäischen Ländern sowie der arabischen Welt den Spitzenplatz für kostenpflichtige Apps.

Telegram: Intransparent und unsicher

Hinter Telegram stehen die Brüder Pawel und Nikolai Durow. Die beiden russischen Unternehmer haben mit der Facebook-Kopie VK (ehemals VKontakte) das größte soziale Netzwerk Russlands geschaffen. Der Reiz an Telegram: Die App ist ähnlich wie WhatsApp zu bedienen und enthält bereits den besonders bei Teenagern sehr beliebten Dienst Snapchat, der versendete Nachrichten nach einer gewissen Zeit löscht.

Das Problem ist nur: Telegram ist alles anderes als transparent. Der Dienst gibt an, seine Zentrale in Berlin zu haben. Eine Berliner Büroadresse ist allerdings nirgendwo zu finden, auch ein Impressum gibt es nicht. Auf Anfrage der Berliner Zeitung erklärte Telegram vage, mit einem Fünf-Mann-Team von Berlin-Mitte aus zu operieren, aber keine deutsche Firma zu sein.

Dagegen gibt es Hinweise, dass Telegram seinen Sitz in Großbritannien hat. Damit ist auch der Umgang mit den Nutzerdaten nach britischem Recht geregelt, was den Kunden aufmerksam machen sollte. Denn dort wird deutlich weniger Wert auf den Datenschutz legt als hierzulande.

Die Telegram Messenger LLP ist unter der Londoner Adresse eines Dienstleistungsanbieters für Unternehmen registriert, der seinen Hauptsitz auf den Seychellen hat. Als Gesellschafter sind zwei Firmen eingetragen, die auf den Jungferninseln und in Belize residieren.

Telegram erklärte das Konstrukt damit, dass man unabhängig von der Rechtshoheit spezifischer Länder operieren wolle. Insgesamt habe man sieben verschiedene Unternehmen in unterschiedlichen Staaten gegründet, sagte ein Sprecher der Berliner Zeitung. „Wenn wir in einem Land rechtliche Schwierigkeiten bekommen – etwa weil wir der Forderung nach der Herausgabe von Daten durch lokale Behörden nicht nachkommen – können wir nahtlos in einen anderen Staat überwechseln.“ Die Gründer Pawel und Nikolai Durow hätten aus ihren Erfahrungen in Russland gelernt, dass Internet-Dienste früher oder später gezwungen wären, den Datenschutz ihrer Nutzer zu kompromittieren, wenn sie an lokale Gesetze gebunden sind.

Allerdings weisen IT-Sicherheitsexperten darauf hin, dass Telegrams Verschlüsselungstechnik keineswegs sicher ist. Skeptisch ist auch Kryptographie-Experte Rüdiger Weis, Professor für Informatik an der Beuth-Hochschule für Technik Berlin: „Es finden sich an verschiedenen Stellen kritikwürdige Entscheidungen hinsichtlich der verwendeten kryptographischen Verfahren“, sagt er. Das Design von sicheren Protokollen gelte in der Wissenschaft als eine der anspruchsvollsten Aufgaben. Trotzdem entwickelten Firmen oft eigene Protokolle, obgleich sie nicht einmal die bestehenden Lösungen ausreichend studiert hätten, so Weis.

Telegram hat zwar einen Wettbewerb ausgeschrieben, der 200.000 US-Dollar demjenigen in Aussicht stellt, der die Verschlüsselung des Dienstes überwinden kann. Doch für Weis ist dies noch ein weiterer Grund zur Skepsis. „Die Bedingungen des ausgeschriebenen Wettbewerbs sind nicht sachgerecht. Sie lassen die Zweifel an der kryptographischen Kompetenz sogar noch wachsen.“

Auch die Stiftung Warentest bewertete den Datenschutz der App in einem Test als kritisch. Sie weist darauf hin, dass die App beispielsweise automatisch alle Adressbucheinträge ohne die Zustimmung des Nutzers oder der betroffenen Personen speichert.

Threema: Einfach und unkritisch

Als „unkritisch“ bewertet Stiftung Warentest dagegen die App Threema aus der Schweiz, die 1,60 Euro für Android und 1,79 Euro für iOS kostet. Bei ihr werden die Daten Dritter aus dem Adressbuch nur nach ausdrücklicher Zustimmung durch den Nutzer in pseudonymisierter Form übertragen.

Die eingesetzte Verschlüsselung basiert auf einer Technik, die bekannt ist und als sicher gilt. Bei ihr kommt eine sogenannte Ende-zu-Ende-Verschlüsselung zum Einsatz, bei der Nachrichten auf dem Smartphone des Absenders kodiert und dann erst auf dem Handy des Empfängers entschlüsselt werden, sodass abgefangene Nachrichten nicht mitgelesen werden können. Der Dienst ist ähnlich einfach wie WhatsApp zu bedienen und verfügt auch über Funktionen zum Gruppenchat.

TextSecure: Kostenfrei und vertrauenswürdig

Als noch vertrauenswürdiger gilt die kostenfreie App TextSecure des renommierten Kryptographie-Experten Moxie Marlinspike. Bei TextSecure kommt ebenfalls eine Technik der Ende-zu-Ende-Verschlüsselung zum Einsatz, doch anders als bei Threema basiert die App auf freier Software. Der gesamte Quellcode ist für alle einsehbar, sodass Kryptographie-Spezialisten selbst die App auf Schwachstellen überprüfen können anstatt sich wie bei Threema auf die Angaben des Herstellers verlassen zu müssen.

TextSecure war zunächst als App zur SMS-Verschlüsselung auf dem Markt gekommen, hat aber inzwischen hinsichtlich der Funktionalität zu Diensten wie Threema und Telegram aufgeschlossen. So bietet die Messaging-App inzwischen Gruppenchat-Funktionen und es lassen sich auch Bilder teilen. Bislang gibt es die App zwar nur für Android, doch eine iOS-Version für das iPhone soll in Kürze folgen.

Grund zur Sorge dürfte das alles für Facebook-Gründer Zuckerberg dennoch nicht sein. Auch bei der Übernahme vom Foto-Netzwerk Instagram im April 2012 gab es einen Aufschrei der Nutzer. Einen Einbruch bei der Nutzung gab es dennoch nicht. Stattdessen ist der Dienst noch schneller gewachsen als vor der Übernahme.