Alternativen zu Whatsapp NSA-Affäre bringt europäischen Start-ups viele Kunden

Die Daten werden verschlüsselt und nicht in den USA gespeichert: Europäische Konkurrenten des Kurznachrichtendienstes Whatsapp versprechen mehr Sicherheit. Amerikanische Datenspeicher befürchten einen Milliardenverlust. Doch ein Problem bleibt: der Nutzer.

Von Stephan Dörner, Wall Street Journal Deutschland

Die Überwachung des Internets durch den US-Geheimdienst NSA und britische Geheimdienste habe sie "aufgerüttelt", sagt Michael Bank, Maschinenbaustudent aus Köln. Zusammen mit dem 30-jährigen Informatik-Studenten Daniel Wirtz hat er sich deshalb daran gesetzt, eine App für den sicheren verschlüsselten Austausch von Nachrichten zu entwickeln.

Inzwischen gehört Whistle.im zu den beliebtesten Apps in Googles Play Store. Google führt die kostenlose App zum verschlüsselten Austausch von Nachrichten im Play Store als "trending" - so werden Apps bezeichnet, die gerade besonders häufig heruntergeladen werden.

Dabei handelt es sich bei der App nur um ein Freizeitprojekt, das die beiden Studenten in den Semesterferien programmiert haben und das vor vier Wochen offiziell veröffentlicht wurde. Aufgrund der Prism-Affäre hätten die beiden das Programm mit dem Fokus auf völlige Anonymität entwickelt. So liest Whistle.im auch das Adressbuch nicht aus.

Geld verdienen wollen die beiden Studenten mit der App nicht - seit Mittwoch rufen sie allerdings zu Spenden per Banküberweisung oder mit Hilfe der virtuellen Währung Bitcoin auf. "Die Spenden sind nur für das Projekt gedacht, nicht für uns", sagte Bank - zum Beispiel zur Finanzierung der Server-Infrastruktur. Noch gibt es Whistle.im nur für Android und als Erweiterung im Webbrowser Mozilla Firefox auf dem PC - Versionen für iPhone und Windows-Smartphones sind in Arbeit.

Die Berichte über die Internetüberwachung bringen aber auch Unternehmen Vorteile, die ähnliche Lösungen entwickeln. Auf dem iPhone feiert derzeit die verschlüsselte Whatsapp-Alternative Threema große Erfolge. Die App ist für 1,79 Euro auf dem iPhone zu haben und für 1,60 Euro für Android-Smartphones. Derzeit steht sie auf Platz 20 der am häufigsten gekauften Apps im deutschen App Store von Apple - zwischenzeitlich war es auch schon einmal Platz 8. Für eine Security-App ist das ungewöhnlich, konkurriert sie doch gegen die auf Smartphones so beliebten Mini-Spiele, die die Charts der App Stores dominieren.

"Seit Anfang Juni geht es rund", sagt Manuel Kasper, Chef der Kasper Systems GmbH aus Zürich, die Threema entwickelt. Damals gab es die ersten großen Medienberichte über den Überwachungsskandal. Allerdings wurde Anfang Juni auch zeitgleich die lange erwartete Android-App veröffentlicht, sodass die Effekte sich überlagern.

Der Vorteil sowohl von Threema als auch Whistle.im: Die Apps verwenden vom Nutzer erzeugte Schlüssel, wodurch der Anbieter keinen Zugriff auf die Inhalte der Nachrichten hat. So können die App-Anbieter beispielsweise bei Behördenanfragen nur Zugriff auf die Verbindungsdaten gewähren - also wer, wem zu welchem Zeitpunkt Nachrichten geschickt hat - nicht aber auf den Inhalt von Nachrichten. Nach Angaben von Kasper gab es bislang noch keine Behördenanfragen für Threema - sollten diese jedoch durch ein Schweizer Gericht legitimiert sein, bliebe ihm nichts anderes übrig, als zumindest Zugriff auf die Verbindungsdaten zu gewähren.

Ein Kryptografieexperte des Chaos Computer Clubs kritisierte allerdings eine Reihe von Fehlern bei der Implementation des Verschlüsselungsalgorithmus bei Whistle.im. So würden beispielsweise auch die geheimen Schlüssel auf den Servern des Betreibers gespeichert, sodass diese Zugriff auf die Nachrichten hätten, wenn ihnen das eingesetzte Passwort bekannt wird. Zudem würden der Absender einer Nachricht nicht geprüft - der Server akzeptiere ein beliebiges auch selbst signiertes Zertifikat beim verschlüsselten Verbindungsaufbau.

Um sicher zu kommunizieren, sollte der Nutzer übrigens die Threema-App vom Internet-Backup iCloud ausnehmen, auch wenn Apple nach eigenen Angaben keinen Zugriff auf den privaten Schlüssel hätte, da dieser in einem Schlüsselbund mit einem gerätespezifischen Code geschützt ist von dem Apple nach Unternehmensangeben keine Kopie hat.