Your browser does not support language switching via CSS tags, such that the texts are shown simultaneously in all available languages. Please upgrade to a more standards compliant browser (and in particular, better not use Internet Exploder version 7 or below).

DE
EN

Secure instant messaging app 'Threema'

English text TBD. For now, see

'Threema'-App für sicheres Instant Messaging

Der sperrige Name leitet sich von «End-to-End Encrypting Messaging Application» ab und ist Programm: Nachrichten werden auf Sender-Seite so verschlüsselt, dass sie nur vom gewünschten Empfänger entschlüsselt werden können. Soweit ich auf Anhieb sehen kann (die Angaben auf der FAQ-Seite wirken sehr solide), ist diese für Android und iOS (also mobile Apple-Geräte) verfügbare App auch sonst sicherheitstechnisch und bzgl. Datenschutz, informationelle Selbstbestimmung und Nutzerfreundlichkeit vorbildlich.

Ähnlich wie bei WhatsApp ist das Lesen und Schreiben von Nachrichten auch per Computer möglich, aber etwas umständlich, weil das Smartphone dazu ebenfalls aktiv sein muss. Bequemer geht das bei Signal, Telegram, Conversations und Wire, denn deren PC-Applikationen funktionieren auch unabhängig vom Smartphone.

[Threema logo Android] [Threema logo iOS]

Nachrichten werden mit aktueller Krypto-Technik verschlüsselt und auch gegen Manipulation geschützt. Seit Ende 2022 wird auch Perfect Forward Secrecy (PFS) unterstützt. Das Management der Schlüssel geschieht weitgehend automatisch, aber bei Bedarf für den Nutzer kontrollierbar.
Damit der eigene private Schlüssel nicht erratbar ist, muss für seine Erzeugung anfangs ein Zufallswert mit großer Güte gebildet werden, und weil man sich auf den im Gerät eingebauten Zufallszahlengenerator nicht verlassen kann, wird der Nutzer um Mithilfe in Form von zufälligen Wischgesten gebeten.
Für die Echtheit der öffentlichen Schlüssel der Kommunikationspartner gibt die App eine recht anschauliche dreistufige Klassifikation und unterstützt den Nutzer dabei, die Zuordnung möglichst bequem und sicher zu bestätigen. Sie kann manuell erfolgen (und wird dann als unbestätigt angesehen), durch Verwendung einer rückbestätigten E-Mail-Adresse oder Telefonnummer des Kommunikationspartners (und gilt damit also mittelmäßig sicher), oder durch Einscannen eines QR-Codes, der auf dem Gerät des Gegenübers direkt optisch angezeigt wird (und gilt damit als ziemlich sicher).
Die lokale Datenspeicherung erfolgt auf Wunsch verschlüsselt. Backups der Kommunikations-Inhalte sind möglich und werden ebenfalls verschlüsselt.

Alle Teilnehmer erhalten eine Threema ID, ein Pseudoynm, mit dem man die App auch ohne Bekanntgabe seiner Identität (und der seiner Kommunikationsapartner) voll benutzen kann. Die Adressbuch-Einträge des Geräts können — aber müssen nicht — zum Auffinden von Kommunikationspartnern von der App gelesen werden. Die Kontaktdaten werden dabei nicht im Klartext zum Server übertragen, sondern nur Prüfcodes (sog. Hashwerte) davon. Damit sind in der Threema-Zentrale die Identitäten der Teilnehmer (wenn überhaupt) nur mit großem Aufwand rekonstruierbar.
Die für den Betrieb des Gesamtsystems nötigen Server laufen in der Schweiz und sind damit rechtlich relativ gut geschützt.
Damit bleibt man als Nutzer Herr über seine Daten, und selbst nach einem möglichen Verkauf von Threema kann niemand (außer auf den Mobilgeräten selbst) an die Daten ran.

Natürlich kann auch diese App nicht mehr Sicherheit bieten als das Gerät, auf dem sie läuft. Außerdem ist nicht auszuschließen, dass (versehentlich oder absichtlich eingebaute) Fehler in der App die beschriebenen Sicherheitsmaßnahmen nutzlos machen.
Sehr lesenswert finde ich auch auch den Kommentar von Thomas Leister zur Sicherheit von Threema.

Bild: Threema-Nutzer, halt die Fresse!

Über Threema erschien am 14. August 2013 in der «Zeit» ein aufschlussreiches Interview mit dem Entwickler Manuel Kasper, einem damals 29-jährigen Informatiker aus der Schweiz. Schon am 13. Dezember 2012, kurz nach dem Erscheinen der App, erklärte er kurz ihren Werdegang und das Geschäftsmodell. Threema finanziert sich unabhängig über eine einmalige Gebühr, wobei die Lizenz und die Software auch vorbei am Google Play und Apple Appstore direkt online bezogen werden kann. Es ist also im Gegensatz zu vielen anderen Diensten nicht darauf angewiesen, sich über Werbung oder den Verkauf von Nutzerdaten zu finanzieren.

backZurück
-----------------------------------------------------------------------------------------------
[Valid HTML5] URL: https://David.von-Oheimb.de/perlen/IM/Threema.html Last modified: Mon Dec 12 07:49:33 CET 2022