Your browser does not support language switching via CSS tags, such that the texts are shown simultaneously in all available languages. Please upgrade to a more standards compliant browser (and in particular, better not use Internet Exploder version 7 or below).

DE
EN

Recommendation: secure messaging app 'Threema'

English text TBD. For now, see the Wiki page.

Empfehlung: 'Threema'-App für sicheres Instant Messaging

Glücklicherweise gibt es zum sehr verbreiteten, aber bzgl. Datenschutz üblen Instant Messenger 'WhatsApp' die vorbildlich gesicherte Alternative Threema. Deren etwas sperriger Name leitet sich von «End-to-End Encrypting Messaging Application» ab und ist Programm: Nachrichten werden auf Sender-Seite so verschlüsselt, dass sie nur vom gewünschten Empfänger entschlüsselt werden können. Soweit ich auf Anhieb sehen kann (die Angaben auf der FAQ-Seite wirken sehr solide), ist diese für Android (ab 4.0) und iOS verfügbare App auch sonst sicherheitstechnisch und bzgl. Datenschutz, informationelle Selbstbestimmung und Nutzerfreundlichkeit vorbildlich.

[Threema logo Android] [Threema logo iOS]

Nachrichten werden auf zwei Ebenen mit top-aktueller hybrider Krypto-Technik verschlüsselt und auch gegen Manipulation geschützt. Das Management der Schlüssel geschieht weitgehend automatisch.
Damit der eigene private Schlüssel nicht erratbar ist, muss für seine Erzeugung anfangs ein Zufallswert mit großer Güte gebildet werden, und weil man sich auf den im Gerät eingebauten Zufallszahlengenerator nicht verlassen kann, wird der Nutzer um Mithilfe in Form von zufälligen Wischgesten gebeten.
Für die Echtheit der öffentlichen Schlüssel der Kommunikationspartner gibt die App eine recht anschauliche dreistufige Klassifikation und unterstützt den Nutzer dabei, die Zuordnung möglichst bequem und sicher zu bestätigen. Sie kann manuell erfolgen (und wird dann als unbestätigt angesehen), durch Verwendung einer rückbestätigten E-Mail-Adresse oder Telefonnummer des Kommunikationspartners (und gilt damit also mittelmäßig sicher), oder durch Einscannen eines QR-Codes, der auf dem Gerät des Gegenübers direkt optisch angezeigt wird (und gilt damit als ziemlich sicher).
Die lokale Datenspeicherung erfolgt auf Wunsch verschlüsselt. Backups der Kommunikations-Inhalte sind möglich und werden ebenfalls verschlüsselt.

Alle Teilnehmer erhalten eine Threema ID, ein Pseudoynm, mit dem man die App auch ohne Bekanntgabe seiner Identität (und der seiner Kommunikationsapartner) voll benutzen kann. Die Adressbuch-Einträge des Geräts können — aber müssen nicht — zum Auffinden von Kommunikationspartnern von der App gelesen werden. Die Kontaktdaten werden dabei nicht im Klartext zum Server übertragen, sondern nur Prüfcodes (sog. Hashwerte) davon. Damit sind in der Threema-Zentrale die Identitäten der Teilnehmer (wenn überhaupt) nur mit großem Aufwand rekonstruierbar.
Die für den Betrieb des Gesamtsystems nötigen Server laufen in der Schweiz und sind damit rechtlich relativ gut geschützt.
Damit bleibt man als Nutzer Herr über seine Daten, und selbst nach einem möglichen Verkauf von Threema kann niemand (außer auf den Mobilgeräten selbst) an die Daten ran.

Die Stiftung Warentest bewertete Threema am 26. Februar 2014 als einzige von fünf getesteten Messenger-Apps als unkritisch in Sachen Datenschutz.
Natürlich kann auch diese App nicht mehr Sicherheit bieten als das Gerät, auf dem sie läuft. Außerdem ist nicht auszuschließen, dass (versehentlich oder absichtlich eingebaute) Fehler in der App die beschriebenen Sicherheitsmaßnahmen nutzlos machen.
Sehr lesenswert finde ich auch auch den Kommentar von Thomas Leister zur Sicherheit von Threema.

Bild: Threema-Nutzer, halt die Fresse!

Über Threema erschien am 14. August 2013 in der «Zeit» ein aufschlussreiches Interview mit dem Entwickler Manuel Kasper, einem 29-jährigen Informatiker aus der Schweiz. Schon am 13. Dezember 2012, kurz nach dem Erscheinen der App, erklärte er kurz ihren Werdegang und das Geschäftsmodell. Threema finanziert sich unabhängig über eine einmalige Gebühr von 2 SFR (1,60€), wobei die Lizenz und die Software auch vorbei am Google Play und Apple Appstore direkt online bezogen werden kann.

Ein praktischer Tipp: Im Gegensatz zu WhatsApp kann man bei Threema nicht direkt über die App Profilbilder für sich und andere Kontakte vergeben, sondern dies geschieht indirekt über das allgemeine Adressbuch des Gerätes. Wie in der FAQ beschrieben, speichert Threema selbst keine Profilbilder, daher gibt es auch keine Möglichkeit, das Bild zu ändern, das bei anderen Benutzern erscheint. Wenn ein Nutzer in die Threema-Kontaktliste hinzugefügt und die ID mit einem Adressbucheintrag verknüpft wird, verwendet Threema automatisch das Foto aus dem Adressbuch. Beim Synchronisieren werden IDs und Adressbucheinträge zudem automatisch verknüpft.
Bei der Android-Version kann man das Bild ändern, das einem selbst für die eigenen Nachrichten im Chat angezeigt wird, indem man den «Ich»-Kontakt in der Kontakte-App entsprechend anpasst. Wenn man in der «Kontakte»-App einem Kontakt ein Foto zuweist, wird dieses ebenfalls in Threema übernommen. Bei Threema-Kontakten, die nicht automatisch einem Adressbuch-Eintrag zugeordnet werden konnten (z.B. weil die jeweilige Person ihre Threema-ID nicht mit einer Telefonnummer oder E-Mail-Adresse verknüpft hat), kann diese Zuordnung manuell über die «Kontakte»-App vorgenommen werden (Menüpunkt «Kontakte zusammenführen»).

backZurück
-----------------------------------------------------------------------------------------------
[Valid HTML5] URL: http://David.von-Oheimb.de/perlen/IM/Threema.html Last modified: Thu Apr 16 18:57:44 CEST 2015