Threema: Das sichere WhatsApp?

Aufgrund der zahlreichen Meldungen über Sicherheitslücken in der Vergangenheit in Whatsapp und nicht zuletzt wegen dem Prism-Skandal machen sich sicher viele User Gedanken über eine sichere Kommunikation auf dem Handy. Hier setzt Threema an, eine App die ich euch heute vorstellen möchte.

[appbox googleplay ch.threema.app]

[appbox appstore 578665578]

Threema ist eine Messaging App aus der Schweiz, die Whatsapp-ähnliche Kommunikation mit Ende-zu-Ende-Verschlüsselung bietet. Das bedeutet, dass eine Nachricht auf dem Gerät des Senders verschlüsselt wird und nur der Empfänger diese wieder entschlüsseln kann. Die Serverbetreiber (auch die Server stehen in der Schweiz, was einen datenschutztechnischen Vorteil hat) haben so zu keiner Zeit die Möglichkeit, die gesendeten Inhalte zu entschlüsseln. Verspricht zumindest der Entwickler, der vieles auch auf der sehr guten FAQ-Seite erklärt.

Beim ersten Start der App wird per Zufall (Finger auf Bildschirm bewegen) deine ID erstellt. Diese kann mit der Handynummer verknüpft werden, sodass man einen ähnlichen Komfort für neue Kontakte wie unter WhatsApp hat. Hierbei wird die Vertrauenswürdigkeit des Kontaktes allerdings am niedrigsten eingestuft. Die höchste Stufe erhält man, wenn man die ID des Kommunikationspartner über eine eingebaute Funktion per QR-Code scannt, also den Partner persönlich trifft. Symbolisiert wird die Vertrauenswürdigkeit durch bis zu drei Punkte, die sich auch im Icon der App wieder finden.

Vorteile gegenüber Whatsapp:

• sichere end-to-end Verschlüsselung
• Betreiber in der Schweiz
• geplante Features

Nachteile:

• (noch) keine Gruppenchats
• (noch) keine in-App Emoticons
• kleiner Benutzerkreis
• aktuell nur für Android und iOS verfügbar

Neutral:

• sein eigenes Kontaktbild kann man nicht festlegen. Als Bild wird das Foto des Handykontakts genommen

Wie bereits erwähnt sind für die Zukunft einige coole Features geplant, weshalb manche Nachteile bald nicht mehr vorhanden sein sollten:

• Gruppenchats
• Emoticons
• Multi-Device-Unterstützung
• Desktop-Anwendung (!)

Kritiker der App sagen, dass das Versprechen der Entwickler bezüglich Sicherheit wertlos ist, solange der Quellcode nicht opensource ist. Das sehe ich ähnlich und habe gestern in dieser Sache den Support angefragt. Hier die heutige Rückmeldung:

Guten Tag,

besten Dank für Ihr Feedback. Es ist schon so, dass man der App vertrauen muss, dass sie den privaten Schlüssel nicht herausgibt – wie man auch seinem Betriebssystem vertrauen muss, dass es Tastatureingaben und Bildschirminhalte nicht abfängt und an Dritte weiterleitet.

Open Source kann da etwas helfen, ist aber auch keine absolute Garantie, denn zu beweisen dass die im Store verfügbare Version (die wohl der allergrösste Teil der Benutzer einsetzen würde – bei iOS sogar zwingend wegen Push) auch tatsächlich 100% dem veröffentlichten Quellcode entspricht, ist sehr schwierig.

Derzeit ist nicht geplant, den Quellcode der App zu veröffentlichen. Wir planen aber, diesen durch eine unabhängige, renommierte Firma prüfen und zertifizieren zu lassen, um allfälligen Bedenken zu begegnen. Bislang ist das noch an den immensen Kosten für so einen Audit gescheitert.

Mit freundlichen Grüssen,

Threema Support

Damit haben die Entwickler einen Punkt, schade ist es trotzdem. Die Zertifizierung hört sich aber gut an. Kauft euch also die App damit das möglich wird. ;)

Der Benutzerkreis ist wirklich klein, wenn man Threema benutzen will sollte man entsprechend die wichtigsten Kommunikationspartner zur Benutzung überzeugen. Bei mir hatte niemand der Kontakte die App. Ich konnte meine Freundin überzeugen und sie ist auch heute noch der einzige Kontakt der Threema benutzt, dafür haben wir bei Chats ein angenehm sicheres Gefühl.

Habt ihr Threema schon im Einsatz? Wie sind eure Erfahrungen?

Edit: Artikel zum Thema bei zeit.de