Threema: Hoch gelobt – aber, was ist dran?
Im zweiten Teil unseres Messenger-Tests beschäftigen wir uns ausführlich mit Threema. Nachdem Facebook WhatsApp kaufte, gewann Threema aufgrund des Versendens verschlüsselter Nachrichten an Bekanntheit. Aber existieren auch bei diesem Messenger sicherheitsrelevante Mängel? Wir haben genau hingeschaut:
Threema: Nicht für alle eine Alternative
Bevor wir richtig in den Test eintauchen, sei gesagt, dass Threema leider nicht für alle eine Alternative sein kann: Die App gibt es nur für iOS und Android. Während WhatsApp nur auf Smartphones verwendet werden kann, funktioniert Threema auch auf Tablets, allerdings können Sie nicht gleichzeitig beide Geräte mit dem Server verbinden. Ihre Nachrichten werden ausschließlich am zuletzt verwendeten Gerät angezeigt. Um Ihre ID auf ein anderes Gerät zu übertragen, erstellen Sie ein Backup. Sie erhalten einen Backup-QR-Code, den Sie nun mit Ihrem zweiten Gerät scannen und das Backup wird nach Eingabe Ihres Passworts eingespielt.
Bei der Erstinstallation von Threema werden Sie sofort merken, dass die Vereinbarkeit von Sicherheit und Komfort einer Gratwanderung gleicht: Nachdem Sie Threema aus Ihrem App-Store oder direkt von der Website heruntergeladen (nur für Android) und installiert haben, starten Sie die Anwendung. Nun muss ein individuelles Schlüsselpaar erstellt werden – ein privater und ein öffentlicher Schlüssel, damit die Ende-zu-Ende-Verschlüsselung funktioniert. Das Generieren Ihres Schlüsselpaars funktioniert denkbar einfach: Durch Fingerbewegungen erstellt der Messenger Ihre individuellen Codes aus zufälligen Buchstaben und Zahlen. Im Anschluss erhalten Sie Ihre eigene ID, die Ihre Echtheit bestätigen soll.
Sie haben drei Möglichkeiten, mit anderen Threema-Nutzern in Kontakt zu kommen und zu kommunizieren: Threema selbst empfiehlt als sicherste Methode, Ihrem Kontakt persönlich gegenüberzustehen und seine ID per QR-Code zu scannen. Mit Kollegen und Freunden im direkten Umfeld klappt das sicher toll, aber ist Ihr Kontakt weiter weg, kommen die anderen Methoden ins Spiel: Sie können Ihr eigenes Adressbuch synchronisieren lassen. Dafür muss Ihr Kontaktpartner seine Handynummer und E-Mail-Adresse seiner ID zugeordnet haben. Einmal täglich gleicht Threema diese Daten automatisiert ab. Die dritte und unsicherste Methode ist die manuelle Eingabe der Kontakt-ID. In Ihrer Kontaktliste wird Ihnen später der Sicherheitsstatus jedes Kontakts angezeigt.
Wir sind noch nicht ganz fertig mit dem Einrichten: Sie selbst können, müssen aber nicht Ihre eigene E-Mail-Adresse und Handynummer eingeben und mit Ihrer ID verknüpfen. Dann geben Sie sich einen Nicknamen, der Ihrem Chatpartner bei Push-Benachrichtigungen angezeigt wird. Wollen Sie den Zugriff auf Threema absichern, können Sie in den Einstellungen zusätzlich eine Passphrase eingeben, die optional nach jedem Start oder in einem vorher festgelegten Zeitintervall abgefragt wird. Sie können ein Häkchen bei der Option setzen, dass alle Daten in der App nach zehn erfolglosen Eingabeversuchen gelöscht werden.
Usability & Kosten: Threema braucht sich nicht zu verstecken
Dass Threema für mehr Sicherheit entwickelt wurde, spüren Sie garantiert beim Einrichten der App, aber nicht mehr in ihrer Anwendung. Der Messenger erinnert in seiner Bedienung sehr an WhatsApp, sodass Ihnen der Umstieg bestimmt genauso leicht fällt wie der grundsätzliche Einstieg in die Messengerwelt. Per Fingertipp übertragen Sie auch bei Threema Fotos und Videos oder setzen in Windeseile Textnachrichten mit oder ohne Smileys ab. Wenn Sie von WhatsApp umsteigen, könnte es sein, dass Ihnen die kürzlich eingeführte „Push-to-Talk“-Funktion fehlt, darüber verfügt Threema nicht. Aber der Messenger erlaubt ebenfalls Gruppenchats und Sie erfahren bei Threema auch, ob Ihr Chatpartner Ihre Nachricht bereits gelesen hat – ein Feature, das wiederum bei WhatsApp fehlt.
Für 1,79 € (iOS) beziehungsweise 1,60 € (Android) laden Sie die App herunter. Die Gebühren fallen einmalig an, sodass Threema spätenstens dann, wenn WhatsApp seine jährliche Nutzungsgebühr von 99 Cent eintreibt, sogar günstiger ist. Der Versand von Fotos funktioniert nur einzeln (bei WhatsApp bis zu 10 Fotos), das hat aber seinen guten Grund: Die Qualität der Bilder bleibt besser erhalten, da sie nicht so heruntergerechnet werden wie bei WhatsApp. Leider fehlt es an Zahlenmaterial für die maximale Größe des Dateiversands. Sind Ihnen diesbezüglich Informationen bekannt, freuen wir uns über Ihren Kommentar! Wir haben den Support von Threema angeschrieben und um Zahlen gebeten – Threema schreibt, dass die vielen Anfragen zu Verzögerungen führen können. Wir ergänzen die maximale Größe, sobald uns der Support geantwortet hat.
Bei Threema entscheiden Anwender über Datenschutz mit
Bei WhatsApp ergibt sich eine Sicherheitsproblematik aus dem Auslesen des Adressbuchs. Threema überlässt diese Entscheidung Ihnen, dem Anwender: Grundsätzlich lässt sich der Messenger auch ohne Zugriff aufs Adressbuch verwenden. Schalten Sie die Synchronisation aus, liest die App keine Adressbuchdaten. Ihre Threema-Kontakte müssen Sie dann manuell – via ID-Eingabe oder QR-Code-Scan – eingeben. Entscheiden Sie sich für die Synchronisation, werden die E-Mail-Adressen und Telefonnummern aus Ihrem Adressbuch gehasht, also einwegverschlüsselt. Mittels zusätzlicher SSL-Sicherung werden die Daten an die Schweizer Server übertragen. Diese löschen die Hashes aus ihrem Arbeitsspeicher, sobald die Liste der übereinstimmenden IDs ermittelt wurde. Threema selbst versichert, dass weder Hashes noch Abgleich-Ergebnisse auf Datenträger geschrieben werden. Theoretisch können Hashes aufgrund der recht geringen möglichen Zahlenkombinationen der Telefonnummern mittels Brute-Force-Attacken entschlüsselt werden. Threema erklärt dazu auf seiner FAQ-Seite: „Dies ist prinzipbedingt und kann nicht anders gelöst werden (die Verwendung von Salts wie beim Hashing von Passwörtern funktioniert für so einen Datenabgleich nicht). Wir behandeln daher die Telefonnummern-Hashes mit der selben Vorsicht, als wenn es rohe/ungehashte Telefonnummern wären.“
Hinter der App steckt die Threema GmbH mit Sitz in Einsiedeln, Schweiz. Die Schweiz gehört nicht zur EU, und während sich WhatsApp in seinen AGB vorbehält, Auskünfte über User weiterzugeben, ohne den Nutzer zu informieren, ist im Falle Threema eine Überwachungs-/ Auskunftsanordnung seitens eines Schweizer Gerichts notwendig. Entwickelt wurde Threema von Manuel Kasper, der in einem Interview Mitte 2013 von rund 50.000 Nutzern sprach; mit dem WhatsApp-Kauf durch Facebook dürften die Userzahlen noch mal angekurbelt worden sein. In demselben Interview spricht Kasper auch davon, wie sich die App finanziert: Derzeit geschehe das ausschließlich durch die Appverkäufe selbst, Kasper könne sich aber auch ein Abomodell in Anlehnung an WhatsApp vorstellen. Bestandskunden seien davon ausgeschlossen, da diese bereits bezahlt hätten, so Kasper. Die Kasper Systems GmbH aus Zürich ist das eigentliche Steckenpferd des knapp 30-jährigen Informatikers, der die Server für Threema selbst hostet.
Ende-zu-Ende-Verschlüsselung: Was Threema kann, fehlt bei WhatsApp
Es ist kein Leichtes, Sicherheit und Benutzerfreundlichkeit zu verbinden, und während sich WhatsApp eindeutig für die Benutzerfreundlichkeit entschieden hat, gelingt die gesunde Mischung aus beidem bei Threema recht gut. Zum Erstellen des Schlüsselpaars während der Einrichtung der App ist Threema beispielsweise offline. Der private und der öffentliche Schlüssel verlassen während der Einrichtung das Smartphone nicht – alles geschieht lokal. Während der öffentliche Schlüssel verbreitet werden muss, damit verschlüsselte Botschaften versendet werden können, verbleibt der private auf dem genutzten Device. Aus beiden Schlüsselpaaren, also dem öffentlichen Key des Empfängers und dem privaten vom Sender, errechnet die App einen dritten Schlüssel, der die Nachricht selbst verschlüsselt. Der Nachrichtenempfänger dekodiert eine Nachricht mit seinem Private Key. Auf den Threema-Servern werden Nachrichten nicht dechiffriert, sodass sie auch nicht an irgendwelche Behörden rausgegeben werden können. Wenn also ein Schweizer Gericht nach Schweizer Gesetz Auskünfte anordnet, können diese Auskünfte nicht aus versendeten Nachrichten bestehen. Und auch sonst sähe die Auskunft ziemlich mager aus: Werden Nachrichten vom Empfänger abgerufen, werden sie vom Server gelöscht. IP-Adressen oder Verkehrsdaten (wer hat wann wem welche Nachricht geschickt) werden ebenso wenig gespeichert. Entscheidet sich der Nutzer gegen das Verknüpfen der E-Mail-Adresse und Handynummer mit seiner ID, liegen auch diese Daten nicht auf den Servern.
Geht bei dem asymmetrischen Verschlüsselungsverfahren etwas schief, war es das mit der sicheren Kommunikation – CryptoCat musste diese Erfahrung bereits machen. Genau deshalb hat sich Kasper für eine fertige Lösung entschieden und setzt auf die vom Kryptografie-Guru Daniel J. Bernstein entwickelte NaCl Cryptography Library. Der Quellcode dieser Bibliothek liegt offen und sie wird von Sicherheitsexperten als sicher eingestuft.
Aber apropos Quellcode: Hier liegt ein Schwachpunkt von Threema. Kasper legt den Quellcode der App nämlich bis heute nicht offen. Es ist zwar nicht anzunehmen, dass Threema eine Hintertür hat, aber überprüft werden kann das aufgrund des geschlossenen Quellcodes nicht. Threema wirbt damit, eine Validation vornehmen zu lassen – damit ließe sich die richtige Umsetzung der Verschlüsselung prüfen. Eine englischsprachige Anleitung stellt Threema auf seiner Website bereit. Zeit für ein zweites Aber: Golem hat sich die Validation genauer angesehen und musste feststellen, dass sie wenig aussagekräftig ist.
Keine Garantie auf Sicherheit
Threema verzichtet auf XMPP und kann nicht Brief und Siegel darauf geben, dass NSA & Co. nicht doch mitlesen können. Das allerdings hat wenig mit der App selbst zu tun als eher mit der Möglichkeit, Hintertüren im Betriebssystem auszunutzen und vielleicht Bildschirminhalte mitzuschneiden. Dieses Risiko besteht allerdings bei jeder App und soll deshalb nicht Threema allein zugeschrieben werden. So gesehen ist es am sichersten, auf Smartphone und Tablet generell zu verzichten – und auf den Desktop-Rechner idealerweise auch. Da das keine Option ist, zählt das Prinzip der größtmöglichen Sicherheit. Und gäbe es nur die Wahl zwischen WhatsApp und Threema, läge die größtmögliche Sicherheit eindeutig bei Threema.
Es gab hier und da bereits Vorwürfe bezüglich etwaigen Schwachstellen in Threema. Diese bezogen sich allerdings ausschließlich auf Situationen, in denen Dritte Zugang zu dem Device hatten. Um sich vor neugierigen Blicken zu schützen, können unter Android Passphrasen, unter iOS eine PIN eingerichtet werden. Auch hier bietet Threema also größtmögliche Sicherheit. Bezüglich der Zuverlässigkeit gibt es nichts zu meckern: Threema ackert, wenn der User die App braucht; Ausfälle sind bislang nicht bekannt. Die AGB beziehungsweise Datenschutzrichtlinien von Threema sind nachvollziehbar und transparent auf der Threema-Website zu finden.
Verglichen mit der „Mutter aller Messenger“, WhatsApp, macht Threema eine gute Figur: Usability ist gegeben, Sicherheit ebenfalls – nur hapert es daran, dass der Quellcode nicht offenliegt und die Aussagekraft der Validation als fragwürdig eingestuft werden kann. Als plattformübergreifende App ist es schade, dass Threema auf nur zwei Plattformen arbeitet. Um richtig User zu ziehen, wäre es schön, Threema auch auf anderen Systemen finden zu können. Threema-Entwickler Kasper plant keine weiteren Plattformen, lediglich eine Webversion kann er sich vorstellen, plant aber noch nicht konkret.
Threema: Hier die Zusammenfassung
- Verbreitung: iOS und Android
- Einschränkungen: alle weiteren Betriebssysteme
- Installation: einfach
- Einrichtung: schwerer als bei WhatsApp, aber gut gelöst
- Optik/ Bedienbarkeit: ansprechend & einfach, an WhatsApp angeglichen
- Flexibilität: bislang keine Aussagen
- Kosten: günstig (iOS: 1,79 €, Android: 1,60 €, jeweils einmalig)
- Orga/ Land hinter dem Service: Threema GmbH, Schweiz
- Verschlüsselung: Ende-zu-Ende-Verschlüsselung, sehr gut
- Quellcode: kein Zugriff
- Datenschutz: App kann, muss aber nicht auf Adressbuchdaten zugreifen
- AGB: transparent
- Zuverlässigkeit: sehr gut
- Sicherheitsprobleme: keine direkten
- Jugendfilter: nicht vorhanden
- Datenspeicherung: keine Daten auf eigenen Servern
- XMPP: nein
- Finanzierung: durch Download-Kosten
Messenger-Dienste: Wie wichtig sind uns unsere Daten? | medienMITTWEIDA | 27. April 2014
[…] Messenger und konnte keine direkten Sicherheitsprobleme feststellen. Der ausführliche Test ist hier zu […]
27. April 2014 @ 17:57