<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

13.08.14Leser-Kommentare

SIMSme: Deutsche Post launcht Messenger – Details, Konkurrenz & Zukunft

Auch die Deutsche Post will im boomenden Messenger-Markt mitmischen. Die neue, für iOS und Android angebotene App SIMSme soll mit dem Thema Datensicherheit punkten. Schlecht macht sie das nicht.

SIMSmeWhatsApp sorgt immer wieder für kleine Skandale bezüglich seines nachlässigen Umgangs mit Sicherheitsaspekten. Als Facebook sich den Instant Messenger dann einverleibte, wurde es einigen Nutzern gar zu viel und sie wechselten, da ihre Daten ihnen nicht mehr sicher erschienen. Der Wechsel war auch nicht schwer, denn es existieren verhältnismäßig viele Alternativen. Unter anderem genügend, die verschlüsseltes, also für Geheimdienste (offiziell) nicht mitlesbares Messaging anbieten.

Allerdings bleibt ein Problem: Die kritische Masse – das, was WhatsApp trotz aller Kritik erreicht hat.

Nun möchte ein neuer Akteur mitspielen. Die Deutsche Post hat SIMSme für iOS und Android veröffentlicht.

Und alle so: “Deutsche Post?! Ernsthaft?” 

Ja. Ernsthaft.

Und hier die Überraschung: Die App ist besser als ich erwartete hätte.

Nicht weiter überraschend ist dagegen das Thema, mit dem SIMSme sich positionieren möchte: Sicherheit.

Das wird mit folgenden Features umgesetzt:

  • Passwort: Gleich zu Beginn legt man ein Passwort fest, das man jedes Mal eingeben muss, wenn man die App öffnen möchte. Dieses kann man später in den Einstellungen wieder ausschalten.
  • Unterhaltungen sind grundsätzlich auf beiden Seiten verschlüsselt.
  • Man kann einen Timer zur Selberzerstörung hinzufügen.

Der Trend der vergänglichen Nachricht, die wohl seit Snapchat an Beliebtheit gewonnen hat, zeigt übrigens auch den Ansatz eines Businessmodells. Die ersten eine Million Nutzer erhalten einen Gutschein-Code, alle anderen zahlen 89 Cent.

Die Nachrichten werden außerdem ausschließlich auf Servern in Deutschland abgelegt und nach der Zustellung beim Empfänger von den Servern gelöscht, verspricht die Deutsche Post. Man habe zudem keinerlei Interesse an Inhalten, Bildern usw.. Nutzer behalten alle Rechte.

Vergleich zu anderen Messengern

Verglichen mit Telegram könnte man sagen, dass SIMSme die Secret Chats sind, allerdings, wie erwähnt, ist das selbstzerstörbar Feature nicht wie bei Telegram für alle inklusive.

SIMSme zeigt große Parallelen zu Threema, allerdings kostet es (maximal) 89 Cent, statt – wie der genannte Schweizer Konkurrent – 1,79 Euro.

Zukunft

Es ist denkbar, dass der Service langfristig für unternehmensinterne Kommunikation Anklang findet, da das “Made in Germany”-Siegel und die Deutsche Post als Unternehmen an sich großes Vertrauen genießen. Bietet man dazu noch eine Desktop Version an, könnte der Dienst für Firmen durchaus interessant werden.

Für den Peer-2-Peer Gebrauch bleibt die entscheidende Frage, ob und wie schnell sich der Service verbreitet. Zwar ist Deutschland dafür bekannt, einen hohen Sicherheitsanspruch zu haben, jedoch nutzen User gerne einen Messenger und nicht viele verschiedene, um mit anderen zu kommunizieren.

Facebook, das die “Facebook Messenger App” nun final aus der Facebook App ausgeklammert hat, spielt in diesem Markt außerdem mit. Während diskutiert wird, welche Strategie das soziale Netzwerk damit verfolgt, ist es in meinen Augen klar: Facebook möchte den Messenger von dem Netzwerk lösen, um nicht als “Nachrichtensystem innerhalb eines Social Networks” gesehen zu werden. Während Telefonnummern hin und wieder gewechselt werden, bleiben die meisten Facebook Accounts bestehend. Heißt: Der Facebook Messenger hat bei vielen nicht nur die meisten aktuellen Kontaktdaten und somit Erreichbarkeiten, sondern befreit außerdem von lästigem “Kontakte bestätigen”.

Link: SIMSme

Kommentare

  • Max

    13.08.14 (18:34:01)

    Hallo, ich vermisse in dem Artikel eine kritische Auseinandersetzung mit den "Sicherheitsfeaturen". Schön und gut, dass die Server in DE stehen, allerdings sollte man nicht verschweigen dass der Internetverkehr mit hoher Wahrscheinlichkeit aus DE rausgeleitet, und somit von der NSA / GHCQ abgehört wird. Desweiteren ist die App nicht opensource, und das ist quasi das KO-Kriterium: Wie kann ich mir sichersein dass mein Schlüssel auf meinem Gerät verbleibt und nicht von der Post auf deren Server geladen wird?

  • Felicitas Hackmann

    14.08.14 (08:37:25)

    Hallo Max, danke für die Frage. Ich habe sie an die Deutsche Post weitergeleitet – hier ist die Antwort: "Beim Versenden von Nachrichten mit SIMSMe wird jede Nachricht Ende-zu-Ende verschlüsselt. Das funktioniert folgendermaßen: Jede erstellte Nachricht wird auf dem Gerät, auf dem sie erstellt wurde, mit einem jeweils pro Nachricht eigens erstellten Schlüssel verschlüsselt. Die Verschlüsselung erfolgt dabei symmetrisch, d.h. der Schlüssel zur Verschlüsselung ist derselbe wie der, der zur Entschlüsselung benötigt wird. Das hierbei verwendete Verschlüsselungsverfahren heißt AES mit einer Schlüssellänge von 256 bit (genauer: AES-256, 128 Bit IV CBC). Die verschlüsselte Nachricht wird über den SIMSMe-Server denjenigen Kommunikationspartnern bereitgestellt, an die die Nachricht adressiert ist. Die Kommunikationspartner müssen nun, damit diese auf ihren Endgeräten die Nachricht wieder entschlüsseln können auch den zur AES-Verschlüsselung benutzten Schlüssel erhalten. Dies geschieht wie folgt: Der AES-Schlüssel, mit dem das erzeugende Gerät die Nachricht verschlüsselt hat, wird mit einem asymmetrischem Verschlüsselungsverfahren (RSA-2048) jeweils einzeln für jeden adressierten Kommunikationspartner verschlüsselt und an diesen übertragen. Bei der hier verwendeten asymmetrischen Verschlüsselung wird ein getrennter Schlüssel zur Ver- und Entschlüsselung verwendet. Jedes an SIMSme angemeldete Gerät erzeugt hierzu ein Schlüsselpaar bestehend aus einem privaten (geheimen) und einem öffentlichen Schlüssel.Die öffentlichen Schlüssel werden auf dem Server im Adressverzeichnis bereitgestellt, der private Schlüssel verlässt das angemeldete Endgerät nicht und bleibt daher geheim. Da der Ersteller der Nachricht die Kommunikationspartner auswählt, an die die Nachricht gesendet werden soll, und nachfolgend den AES-Schlüssel, mit dem die Nachricht verschlüsselt wurde mit dem öffentlichen Schlüssel aller adressierten Kommunikationspartner jeweils einzeln verschlüsselt, sind nur diese mit ihrem privaten Schlüssel in der Lage, den asymmetrisch verschlüsselten AES-Schlüssel zu entschlüsseln, mit dem dann nachfolgend die Nachricht entschlüsselt werden kann. Somit sind andere Kommunikationspartner, wir als Betreiber aber eben auch Angreifer, die die Nachricht und die verschlüsselten AES-Schlüssel ggf. irgendwo im Gesamtsystem abgreifen, nicht in der Lage, die Nachricht zu entschlüsseln. Somit sind Integrität und Vertraulichkeit der Nachrichten gewahrt. Ein Dritter (und hierzu gehören auch wir als Betreiber) kann die Nachricht unmöglich mitlesen. Natürlich verwenden wir zudem auch eine Transportverschlüsselung, die die Daten zusätzlich auf dem Transportweg noch einmal zusätzlich verschlüsselt (SSL-Verschlüsselung). Neben der nochmaligen Verschlüsselung wird damit auch sichergestellt, dass die SIMSme-Clients mit unseren Servern und keinen anderen Servern kommuniziert. So werden sog. Man-in-the-Middle Angriffe unterbunden. Mit den genannten Mitteln kann noch nicht sichergestellt werden, dass Sie auch sicher wissen, von wem Sie Nachrichte erhalten bzw. wem Sie Nachrichten senden (sog. Authentizität der Nachricht). Immerhin kann es im Adressverzeichnis viele Nutzer mit dem Namen „Hans Müller“ geben. Durch Scannen des Kontaktes können Sie sicherstellen, dass der bereitgestellte private Schlüssel von der Person stammt, dessen Kontakt Sie gescannt haben. Diese Kontakte werden dann als vertraulich dargestellt, weil hier die Herkunft der Nachrichten (Authentizität) gewährleistet ist. Es ist also zu erkennen, dass die eingesetzten kryptographischen Verfahren nach dem derzeitigen Stand der Technik ein Höchstmaß an Sicherheit und Vertraulichkeit gewährleisten. Wir bestätigen außerdem, dass die eingesetzten kryptographischen Algorithmen und Verfahren der Technischen Richtlinie 02102-1 des Bundesamtes für Sicherheit in der Informationstechnik in der aktuellen Fassung vom 10.02.2014 genügen. Adressbuch: SimsMe erhält ja Zugriff auf das Adressbuch. Die Telefonnummern im Adressbuch werden mit bcrypt gehasht und die gehashten Telefonnummern werden an den Server übertragen. Der Server prüft dann, ob er in der Liste der SimsMe Nutzer einen passenden Treffer findet, und gibt dann die SimsMe-ID des Nutzers zurück. Das ist einer der Gründe, warum beim Anlegen eines SimsMe - Accounts eine Bestätigungssms erzeugt wird. Die gehashten Telefonnummern werden selbstverständlich nicht auf dem Server gespeichert. Neue SimsMe Kontakte werden gefunden, in dem dieser Vorgang periodisch wiederholt wird."

  • Berni

    14.08.14 (12:32:57)

    Das größte Sicherheitsproblem für Deutsche ist wohl, dass die Server in Deutschland stehen.

  • Max

    14.08.14 (17:11:20)

    Hallo Felicitas, es ist freundlich von dir, dass du die deutsche Post angeschrieben hast, aber entweder hast du meine (zweite) Frage nicht richtig wiedergegeben oder die Post hat sie falsch verstanden: In der zitierten Antwort wird der Verschlüsselungsmechanism beschrieben, u.a.: "...der private Schlüssel verlässt das angemeldete Endgerät nicht und bleibt daher geheim." - und genau darum geht es doch: Woher weiß ich dass das stimmt? Da die App nicht open source ist muss ich der Deutschen Post vertrauen. Und einseitiges Vertrauen ist keine gute Geschäftsbasis.

  • Christian Häusler

    17.08.14 (00:46:01)

    Hallo Berni, Ich verstehe nicht, wieso es ein Sicherheitsproblem sein soll, dass die Server in Deutschland stehen.!? Der Datenverkehr verlässt DE nicht, außer Nutzer nützen außerhalb Deutschlands die App.

  • tar

    17.08.14 (07:18:48)

    Solange der Deutschlandvertrag nicht endlich aufgehoben und der Aufenthaltsvertrag nicht neu verhandelt worden ist (vgl. Prof. Foschepoth), macht es keinen Unterschied, ob man deutsche Programme auf deutschen Server in deutschen Landen oder gleich us-amerikanische Programme nutzt.

  • Berni

    17.08.14 (11:33:10)

    Moderner Datenschutz wendet sich weniger gegen individuelle Datendiebe oder kriminelle Organisationen sondern viel mehr gegen öffentliche Institutionen. Diese haben nicht nur die finanziellen Mittel, technisches know-how anzuwerben sondern auch die juristischen Mittel, sich selbst im Zweifel vorm "eigenen" Gewaltmonopol zu bewahren. Der Universalität der Technik geschuldet kann sich ein Argument der Datensicherheit, das nationale Grenzen ins Feld führt, nur auf juristische Argumente beziehen. Letztere sind aber irrelevant, da der Agressor, den moderner Datenschutz zu bekämpfen versucht, aus systematischen Gründen gar nicht juristisch Dingfest gemacht werden kann. Der einzige nicht-technische Grund, der mir einfiele, einen spezifischen Standort dem anderen vorzuziehen, ist der Umstand das es sich eben nicht(!) um meinen eigenen Standort handelt. tl:dr: Deutsche Institutionen haben mit GMX weit weniger Probleme als mit einem indonesischen Spartenhoster. *g

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer