wechselnd bewölkt
DE | FR
78
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Digital
Schweiz

Vergiss WhatsApp und Telegram! Die Schweizer App Threema ist besser

Threema App auf dem iPhone 6
Laut den Threema-Entwicklern bietet ihre App Schutz vor «Entführern».Bild: Threema

Vergiss WhatsApp! Vergiss Telegram! Darum ist die Schweizer App Threema besser – und vor allem sicherer

Mit einem fiesen Trick lassen sich zwei der populärsten Smartphone-Messenger, die eigentlich abhörsicher sein sollten, überlisten. Zum Glück gibt es eine Alternative, bei der die Angriffe ins Leere laufen.
08.06.2016, 09:2721.03.2017, 11:39

Dank Ende-zu-Ende-Verschlüsselung sind WhatsApp und Telegram abhörsicher*. So weit die gute Nachricht.

Doch es gibt auch schlechte News: Beide Smartphone-Messenger sind nicht vor einem so genannten Man-in-the-Middle-Angriff geschützt. Das kann verheerende Konsequenzen haben: Angreifer können fremde Profile kapern, um Daten abzugreifen und Nachrichten in falschen Namen zu verschicken.

Beim Schweizer Konkurrenten Threema ist das hingegen nicht möglich, dazu gleich mehr ...

Zu WhatsApp und Telegram gilt zu sagen, dass die beiden populären Apps, die zusammen über eine Milliarde Nutzer haben, keine gravierende Sicherheitslücke aufweisen, die den Angriff ermöglicht. Das Problem ist vielmehr eine Schwachstelle in einem System, das von Mobilfunk-Anbietern rund um den Globus für die mobile Kommunikation genutzt wird.

Hintertür seit Jahren offen

Das SS7-Netz ist die Schnittstelle zwischen Swisscom und anderen Providern im In- und Ausland. Darüber werden SMS, Telefonate und mobile Daten untereinander ausgetauscht. Es gibt aber auch immer wieder Angriffe, die über das SS7-Netz geführt werden.  Die Probleme sind seit Jahren bekannt, doch die Schwachstellen bestehen weiter. 2014 demonstrierten zwei Hacker live vor Publikum, wie man Handys abhören kann.

Und nun sind bei YouTube Videos aufgetaucht, die zeigen, wie fremde WhatsApp- und Telegram-Konten durch einen Angriff über das SS7-Netz übernommen werden können. Das Techportal The Next Web hat Ende letzter Woche darüber berichtet.

Die Angreifer gaukeln dem Mobilfunknetz vor, sie besässen die Handynummer, die eigentlich dem Opfer gehört. Dann installieren sie die WhatsApp- oder die Telegram-App neu auf einem Mobilgerät, legitimieren sich (dank falscher Handy-Nummer) als rechtmässiger Besitzer des Messenger-Kontos und können den Sicherheitscode vom Firmen-Server abrufen. Schwuppdiwupp ist ein fremder Account gekapert, das Opfer machtlos.

Hier wird der Angriff auf einen WhatsApp-Nutzer demonstriert

Und eine erfolgreiche «Entführung» eines fremden Telegram-Nutzerkontos

Bei Threema nicht möglich

Und nun zur guten Nachricht aus Nutzersicht: Es gibt eine sichere Alternative aus der Schweiz, die von der SS7-Schwachstelle, respektive dem Angriff, nicht betroffen ist. Dazu Roman Flepp von Threema: 

«Anders als die meisten anderen Mobile-Messenger setzt Threema nicht auf die Handynummer als primäres Identifizierungsmerkmal. Es ist deshalb nicht möglich, eine Identität auf diese Weise zu kapern.»

Bei Threema sei die Handynummer nur ein optionaler Weg, um Kontakte via Adressbuch-Synchronisation zu finden. Die kryptografische Identität hänge an der achtstelligen Threema-ID; diese Nummer sei «das eindeutige Identifizierungs- und Adressierungselement im Threema-Netzwerk».

«Was die optionale Verknüpfung von Threema-IDs mit Handynummern anbelangt, wäre es zwar theoretisch möglich, dass ein Angreifer mit SS7-Zugang eine Threema-ID mit einer fremden Handynummer verknüpft. Allerdings würde das vom Chatpartner bemerkt, da es sich um eine neue Identität handelt.»
Roman Flepp, Threema

Die Threema-App, die es für das iPhone und für Android-Handys gibt, biete darüber hinaus einen Sicherheitsmechanismus, um Man-in-the-Middle-Attacken auszuschliessen. Gemeint ist das Ampelsystem der verschiedenen Vertrauensstufen:

Roman Flepp erklärt: «Threema-IDs und öffentlicher Schlüssel von Chatpartnern können als QR-Code gescannt werden. Alternativ können anstelle des Scannens auch die achtstellige Threema-ID und den in der App angezeigten Schlüssel-Fingerabdruck manuell über einen sicheren Kanal verglichen werden.»

So können die Nutzer sicherstellen, dass am anderen Ende der Leitung auch tatsächlich der gewünschte Chatpartner steht.

Wieso wird SS7 nicht verbessert?

Bleibt die Frage, warum das angreifbare SS7-Netz nicht schon längst sicherer gemacht wurde? Das Problem sei, dass zu viele Akteure mitreden könnten und die Verantwortlichkeiten nicht richtig geregelt seien, konstatiert The Next Web. Solange nicht jemand die Initiative ergreife und mit den nötigen Befugnissen ausgestattet sei, blieben die Sicherheitslücken bestehen.

Und dann gibt es auch noch eine Vermutung, die nach Verschwörungstheorie klingt, nach den Snowden-Enthüllungen aber durchaus zutreffen könnte: Geheimdienste, allen voran die amerikanische NSA und CIA, stünden zwischen den Mobilfunk-Netzbetreibern und den Kunden – die Spione hätten keinerlei Interesse, solche Hintertüren wirksam zu schliessen.

Telegram bietet nur bei den geheimen Chats Ende-zu-Ende-Verschlüsselung. Die normalen Chats haben das nicht. Das wissen viele Nutzer nicht. Bei Threema ist alles Ende-zu-Ende verschlüsselt, auch Gruppenchats und Statusnachrichten.

Welche Chat-App verwendest du am häufigsten?

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

78 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Rudolf die Banane
08.06.2016 09:30registriert Januar 2016
Klar ist Threema besser. Aber was bringt mir Threema, wenn niemand in meinem Freundeskreis diese App benutzt?
757
Melden
Zum Kommentar
avatar
Moe Mentmal
08.06.2016 10:38registriert August 2014
Ich hab's mit Threema versucht. In meinem Bekanntenkreis verwenden nur IT-Nerds und politisch interessierte/engagierte Threema. Das sind zwar einige, aber trotzdem eine Minderheit. Ausserdem ist der (vollständige) Authentifizierungsprozess zu kompliziert. Die meisten nutzen mittlerweile wieder WhatsApp.
416
Melden
Zum Kommentar
avatar
mrgoku
08.06.2016 09:49registriert Januar 2014
Schön und gut aber bringt mir nichts. Wenn ich Threema benutze kann ich mich mit mich selbst unterhalten weil kein einziger meiner kontakte die App benutzt... und wer so krass geil auf Datenschutz ist soll schon gar nicht ein Smartphone benutzen oder überhaupt Internet... wenn jemand will kriegt er alles...ob über Threema, Whats App oder sonst wo...
4916
Melden
Zum Kommentar
78
SBB-App versagt bei Billettkontrolle – «EasyRide»-Funktion in der Kritik
Laut SBB sind es Einzelfälle, für die Betroffenen ist das scheinbar zufällige Versagen der SBB-App allerdings sehr ärgerlich und kostspielig. Was steckt hinter dem Software-Fehler, der im dümmsten Moment auftritt?

Bislang sind wenige Fälle dank Rückmeldungen von Betroffenen bekannt, doch die übereinstimmenden Schilderungen werfen Fragen auf: Warum fällt die in die SBB-App integrierte EasyRide-Funktion unerwartet aus? Und dies ausgerechnet im dümmsten Moment ...

Zur Story