Threema – Eine „sichere“ Alternative zu Whatsapp und SMS

Wie wichtig sichere Nachrichten sind, wird in den letzten Wochen und Monaten mehr als deutlich. Auch wenn viele Leute bisher behauptet haben, dass sie nichts zu verbergen haben – so zeigen die Nacktselfies (Snappening, Fappening), dass dem vielleicht doch nicht so ist. Und wer weiss schon was die Versicherung sagt, wenn man sich vorm Abschluss der Berufsunfähigkeitsversicherung bei seinem Partner per SMS immer über starke Bauchschmerzen beklagt hat?

Die meisten Menschen verwenden aktuell zum Kommunizieren wohl SMS oder Whatsapp. Erstere sind praktisch überhaupt nicht verschlüsselt und WhatsApp Nachrichten können von Whatsapp bzw. Facebook komplett mitgelesen werden. Apples iMessage bietet zwar eine Ende zu Ende Verschlüsselung, da die Schlüssel aber von Apple verwaltet werden, ist hier ein Angriff durch Regierungen durchaus möglich. Zudem gibt es iMessage nur fürs iPhone.

Viele Bekannte und Freunde von mir sind deshalb zu Threema gewechselt. Threema bietet eine Ende zu Ende Verschlüsselung und auch wenn der Quelltext von Threema nicht offen und damit nicht richtig prüfbar ist, gehen viele Bekannte von mir aus der Hackerszene davon aus, dass die Verschlüsselung einigermassen sicher ist.

Threema ScreenshotGenerell verhält sich Threema wie die anderen Messaging Apps. Es kann Nachrichten in Text und Bild an eine oder mehrere Personen verschicken und das eigene Adressbuch mit ihm bekannten Nutzern abgleichen um zu sehen, welche Bekannte bereits bei Threema registriert sind. Zusätzlich kann man auch über einen QR Code einen Nutzer hinzufügen. Der QR Code bietet zudem auch die Sicherheit, dass der Schlüssel wirklich von diesem Menschen ist und nicht von einer Regierung, Geheimdienst oder Polizei erzeugt wurde. Dazu scannt man bei einem Treffen einfach den QR Code der anderen Person in Threema. Danach erscheinen drei grüne Punkte neben dem Kontakt.

Sicherheit hat aber auch nicht nur Vorteile. So sollte man sich möglichst am Anfang ein Backup seiner Daten machen. Das geht ganz einfach unter „Meine ID“ und dann „Backup“. Denn Threema verwaltet die Schlüssel nicht selber und ohne Backup müsste man sich sonst einen neuen Schlüssel erstellen, wenn man sein Mobiltelefon zurücksetzt oder ein neues Mobiltelefon benutzen möchte. Zudem zeigt das zumindest das iPhone in den Benachrichtigungen nur an, dass man eine Nachricht von User XY bekommt hat. Den Inhalt der Nachricht sieht man erst, wenn man Threema öffnet. Da die Entschlüsselung im iPhone selbst stattfindet, ist es nicht möglich die Nachricht im Lockbildschirm schon zu entschlüsseln.

Für einige Menschen ist auch die Information, wer einem eine Nachricht geschrieben hat, schon zuviel. Denn Threema weiss demnach, wer mit wem kommuniziert. Und diese sogenannten Verkehrsdaten können von Threema auch überwacht werden. Nicht vergessen sollte man zudem die Verschlüsselung auf dem eigenen Mobiltelefon. Wer sein iPhone z.B. ohne Sperrcode nutzt kann auch nicht darauf vertrauen, dass seine Daten sicher sind.

Leider kann Threema aktuell nur auf einem Gerät benutzt werden. Ein zusätzlicher Desktop Client wäre zum Verfassen von Nachrichten natürlich praktisch. Threema sagt dazu in der FAQ, dass dies langfristig geplant sei.

Threema gibt es fürs Apple iPhone und für Android. Eine Windows Phone Version soll demnächst erhältlich sein.

1 Comment

  1. Lars Becker

    2. November 2014 - 14:42

    Gehen Bekannte aus der Hackerszene davon aus… Welche denn? Wannabes? Namen/Nicks?

    Tatsache ist: über die Sicherheit Threemas lassen sich keine Aussagen machen. Sowohl was das Vertrauen in die dauerhafte Integrität des Betreibers betrifft, noch was die technischen Verfahren betrifft. Es gab schon mehr als ein „sicheres“ technisches Produkt, bei dem unsichere Kryptographie verwendet wurde. Threema steht und fällt mit diesem Vertrauen. Jetzt sag mir doch mal: worauf gründet sich der Vertrauensvorschuss?

    Warum promotest Du Nieschenprodukte, aber setzt z. B. noch nicht auf OpenPGP oder S/MIME mit sicheren Algorithmen und geprüftem Code? Nacktbilder sind quantitativ vermutlich auch das viel kleinere Problem, als Geschäftsgeheimnisse, die ungeschützt per Mail verschickt werden. Und falls die Bilder für Dich doch ein Problem sind: liegen sie nach dem Empfang verschlüsselt auf deinem Handy? Und falls sie es tun, hat Apple (oder die NSA via Apple) keine Wege an die Daten zu gelangen? Threema schützt allenfalls den Transport. Die Geräte, auf denen die Daten lagern, sind dann aber meistens das größere Problem (dies gilt in besonderer Weise für Android)…