Threema: Instant-Messaging-Dienst aus der Schweiz – Messenger Teil2

1. Schweizer Allzweck-Taschenmesser?Threema

Der Messenger Threema hat seinen Ursprung in der Schweiz – alle Server des Dienstes befinden sich ebenfalls dort. Stand Januar 2020 hat der Dienst ungefähr 6 Millionen private Nutzer – 2 Millionen nutzen Threema Work als Unternehmenslösung. Die App ist für Android und iOS verfügbar. Sie kostet 3,99 Euro und ist neben den gängigen App-Stores ebenfalls auf der Unternehmenswebseite über einen Webshop erhältlich.

Threema wirbt mit einem »höchstmaß an Datensparsamkeit«, da das Sammeln und Verarbeiten von Metadaten laut den Angaben der Entwickler auf ein Minimum reduziert ist. Zur Identifizierung ihrer Nutzer erstellt die App beim ersten Start eine (Threema-)ID, über die anschließend Kontakt mit anderen Threema-Nutzern hergestellt werden kann. Das bedeutet: Für die Nutzung von Threema ist weder eine Telefonnummer noch der Zugriff auf das Adressbuch notwendig.

Clientseitig ist Threema quelloffen, dadurch ist eine unabhängige Überprüfung der Sicherheit ebenfalls möglich. Der letzte Sicherheitsaudit von Threema wurde im November 2020 von Cure53 durchgeführt, bei dem einige wenige unkritische Schwachstellen gefunden wurden.

Update

11.12.2020: Auf diesen Beitrag wird oft mit dem Hinweis verlinkt, »Threema sei der sicherste Messenger«. Das ist ein verzerrtes Bild und wird so im Beitrag nicht dargestellt. Daher bitte aufmerksam lesen.


Dieser Beitrag ist Teil einer Artikelserie:

2. Verschlüsselung | Kryptografie

Zur Gewährleistung einer »abhörsicheren« Kommunikation setzt Threema auf die Ende-zu-Ende-Verschlüsselung (E2EE) der Nachrichteninhalte. Dazu nutzt der Messenger die quelloffene Kryptobibliothek NaCl, die eine Verifikation der E2EE ermöglicht. Leider beherrscht NaCl keine Perfect Forward Secrecy (PFS). Das Schutzziel Folgenlosigkeit ist daher nicht umsetzbar. Dennoch erfreulich: Die gesamte Kommunikation ist standardmäßig verschlüsselt – sowohl im Einzel- als auch Gruppenchat.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Authentifikation

Wer eine Authentifizierung seines Gegenübers nicht durchführt, kann nie wirklich sicher sein, ob er tatsächlich mit dem gewünschten Kommunikationspartner Nachrichten austauscht oder womöglich mit einem unbekannten Dritten. Zu diesem Zweck unterscheidet Threema drei Sicherheitsstufen bzw. unterschiedliche Vertrauensstufen. Die Darstellung erfolgt über ein Ampelsystem mit drei unterschiedlichen Farbcodes, die direkt neben dem jeweiligen Kontakt angezeigt werden:

  • Rot: Geringe Sicherheit, möglicherweise nicht der beabsichtigte Kontakt
  • Gelb: Kontakt im Adressbuch gefunden, nicht über QR-Code verifiziert
  • Grün: Kontakt über QR-Code verifiziert

Threema Verifikation

Schon bei der Vertrauensstufe gelb kann man sich relativ sicher sein, dass der jeweilige Kontakt wirklich derjenige ist, für den er sich ausgibt. Allerdings funktioniert diese Vertrauensprüfung nur dann, wenn Threema Zugriff auf das Adressbuch erhält und sowohl Handynummer als auch E-Mail-Adresse der Kontakte zu einem Abgleich auf die Server von Threema hochlädt. Wer das nicht möchte, der sollte seinen Kontakt verifizieren bzw. den QR-Code bei einem persönlichen Treffen scannen – das ist gleichzeitig auch die höchste Sicherheitsstufe, da hierbei die Threema-ID und der öffentliche Schlüssel überprüft werden.

Hinweis

Weitere Details zur Verschlüsselung bzw. verwendeten Kryptografie findet ihr im Cryptography Whitepaper von Threema.

3. Zentral | Föderiert | Dezentral

Bei Threema erfolgt jegliche Kommunikation bzw. Nachrichtenaustausch über zentrale Server in der Schweiz, die laut Angaben des Herstellers ISO 27001-zertifiziert sind. Es gibt also einen Server bzw. Server-Cluster, an dem sich jeder Teilnehmer anmelden / registrieren muss. Letztendlich liegt die Kontrolle über den gesamten Dienst und seine zukünftige Ausrichtung allein in der Verantwortung der Threema GmbH.

4. Metadaten

Laut Angaben von Threema sind die Threema-Server lediglich »Relaisstationen«, die Nachrichten und Daten an Teilnehmer weiterleiten, diese aber nicht dauerhaft speichern. Abgeleitet von »Welche Daten werden bei Threema gespeichert?« bedeutet das:

  • Kontaktlisten: Diese werden bei Threema ausschließlich auf dem Endgerät verwaltet bzw. gespeichert. Entscheidet sich ein Nutzer für die optionale Übermittlung seines Adressbuchs, werden die E-Mail-Adresse als auch Telefonnummern der Kontakte ausgelesen und gehasht übermittelt. Nach dem Abgleich auf dem Server sollen die Informationen laut Angaben von Threema umgehend wieder gelöscht werden.
  • Nachrichten / Gruppenchats: Sobald eine Nachricht an den jeweiligen Empfänger übermittelt wurde, wird sie vom Server gelöscht.
  • Schlüsselmaterial: Das Schlüsselpärchen (notwendig für die E2EE) wird lokal auf dem Gerät des Nutzers generiert. Der private Schlüssel verbleibt ausschließlich auf dem Gerät und wird nicht übermittelt.
  • Wer mit wem, wann und wo: Threema soll keine Logs darüber speichern, wer mit wem wann in Verbindung tritt bzw. Nachrichten austauscht.

Nicht alle Aussagen sind überprüfbar, da der Serverpart von Threema nicht quelloffen ist. Als Nutzer muss man diesen Aussagen letztendlich vertrauen.

Zur Vermeidung von Metadaten zählt ebenfalls, dass Threema vollständig losgelöst von Google betrieben werden kann. Über einen Webshop lässt sich Threema unabhängig vom Google Play Store beziehen. Nachdem Threema die Bezahlung verbucht hat, bekommt man eine E-Mail mit einem Lizenzschlüssel übermittelt, mit dem sich die APK-Datei der Android-Version direkt von der Threema Webseite herunterladen lässt. Der Verzicht auf Google bzw. proprietäre Google-Bibliotheken hat allerdings seinen Preis:

Threema uses Firebase Cloud Messaging (FCM) to notify the app of new messages in the background. If Google Play Services are not installed, Threema checks for new messages using polling. The polling interval is configurable between 5 and 30 minutes and may cause additional battery drain and data usage.

Wie stark die Verzögerung der Nachrichtenzustellung ausfällt und ob die Leistung des Akkus dadurch mehr beansprucht wird, ist sicherlich von Gerät zu Gerät verschieden. Bei einem Test über zwei Tage war der Akku-Verbrauch als gering zu bewerten – obwohl mich über 130 Threema-Nutzer zu Testzwecken kontaktiert haben.

Web-Polling

Zusammengefasst bedeutet das: Sofern die Angaben von Threema korrekt sind, ist die Datenspur, die man bei der Nutzung des Messengers hinterlässt, relativ gering.

5. Identifier

Threema generiert lokal auf dem Gerät eine 8-stellige Threema-ID. Diese Threema-ID kann an andere Threema-Nutzer weitergegeben werden, um darüber miteinander in Kontakt zu treten. Standardmäßig werden also keine Adressbuchdaten ausgelesen bzw. an externe Server übermittelt. Optional kann die Threema-ID mit der eigenen Telefonnummer und E-Mail-Adresse verknüpft werden. Dies kann sinnvoll sein, wenn man das eigene Adressbuch mit den Threema-Servern abgleichen möchte. Stimmt die Telefonnummer oder E-Mail-Adresse eines Kontakts im Adressbuch mit der Threema-Datenbank überein, wird die Kontakt-ID automatisch in die Threema-Kontaktliste eingefügt. Der Abgleich dieser Informationen erfolgt via Hash (über E-Mail-Adresse und Telefonnummer) und wird laut Angaben von Threema nach der Prüfung auf bekannte Kontakte wieder gelöscht.

Datenschutz-Einstellungen

Bei Threema ist der Identifier eines Nutzers also nicht zwangsläufig an die Telefonnummer gebunden, wie es bei WhatsApp oder Signal der Fall ist. Optional wird das Contact Discovery via Telefonnummer und E-Mail-Adresse angeboten.

6. Quelloffenheit | Transparenz

Der Quelltext des Threema-Clients steht unter der AGPLv3-Lizenz und ist damit für jeden einsehbar. Dadurch ist eine unabhängige Überprüfung der Sicherheit grundsätzlich möglich. Diese Offenheit ist ein essenzieller Schritt zu mehr Transparenz der Anwendung und sorgt damit für Vertrauen. Der Serverteil hingegen ist proprietär.

Die Threema GmbH lässt Threema regelmäßig von externen Penetrationstestern auditeren. Der letzte Security-Audit von Threema wurde im Monat November 2020 von Cure53 durchgeführt, bei dem einige wenige unkritische Schwachstellen gefunden wurden:

Cure53 needs to underline that the overall impression of the code quality and general structure of the project can only be described as unusually solid. The design and implementation were clearly accomplished by a rare team of experienced and securityaffine engineers. In Cure53’s opinion, there should be no doubt about the focus of these processes being on providing a highly secure messaging application without encumbering the overall user-experience. (p. 17)

Allerdings gilt zu bedenken: Ein solch externer Audit ist immer versionsgebunden und müsste für neue Versionen erneut durchgeführt werden. Damit kann der Audit keine Aussage über das Sicherheitsniveau der geprüften Systeme / Software für die Zukunft ableiten – das ist allerdings ein generelles Problem, das Audits im Allgemeinen betrifft. Die regelmäßigen Audits bestätigen allerdings das hohe Sicherheitsniveau von Threema.

Anfang 2019 wurde Threema vom Labor für IT-Sicherheit der FH Münster einem Sicherheits-Audit unterzogen. Unter Leitung von Prof. Dr. Sebastian Schinzel hat das Team einige wenige unkritische Schwachstellen gefunden – die auch rasch gefixt wurden.

7. Wissenswertes

Nachfolgend sind noch einige wissenswerte Punkte zusammengefasst, die Threema bietet:

  • Ohne Google-Abhängigkeit: Über einen Webshop lässt sich Threema vollkommen losgelöst vom Google Play Store beziehen. Damit nicht genug: Es funktioniert auch komplett ohne proprietäre Google-Bibliotheken bzw. Firebase Cloud Messaging – das gilt ebenfalls für die Standortanzeige.
  • OpenStreetMap: Das Kartenmaterial sowie die Orte von Interesse stammen von OpenStreetMap.
  • Threema Work / Education: Für Unternehmen und Bildungseinrichtungen bietet Threema eine spezielle Version der App an. Einige Unternehmen wie Daimler und Bosch nutzen Threema Work. Für diesen Zweck bietet Threema ebenfalls eine Vereinbarung zur Auftragsverarbeitung an.
  • Sprach- und Videoanrufe:: Threema bietet ebenfalls die Möglichkeit, (verschlüsselte) Sprach- bzw. Viideoanrufe zu führen. Die Verbindung zwischen den Teilnehmern erfolgt entweder Peer-to-Peer (direkt) oder wird über Threema-Server geleitet (indirekt), um die IP-Adresse zu verschleiern. Fun fact: Im Gegensatz zur Nachrichtenverschlüsselung bietet die Verschlüsselung der Sprachanrufe auf Ende-zu-Ende-Ebene Perfect Forward Secrecy (PFS).
  • Webchat: Über Threema Web können Nutzer auch über den Desktop (via Browser) chatten. Nachdem sich die Threema-App und der Browser über einen QR-Code miteinander gekoppelt haben, kann der Nutzer Nachrichten versenden und empfangen, Gruppen verwalten oder auch Kontakte auf dem Desktop anzeigen. Das funktioniert ebenfalls auf einem googlefreien Android.

Threema Web

8. Threema: Vor- und Nachteile auf einen Blick

Positiv:

  • Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats und auch Gruppen-Chats aktiv
  • Über Threema Web kann über einen Browser (am Desktop) gechattet werden
  • Client ist quelloffen und der Quellcode damit einsehbar
  • Threema ist ohne die Verknüpfung einer Telefonnummer nutzbar
  • Vollständig ohne Google-Konto bzw. proprietäre Google-Bibliotheken nutzbar
  • Anstrengung bei der Vermeidung von Metadaten
  • Verschlüsselte Sprach- und Videoanrufe möglich
  • Externe Auditoren bescheinigen Threema eine hohe Sicherheit (unabhängige Überprüfung allerdings nur clientseitig möglich)
  • Ermöglicht ein verschlüsseltes Backup von Schlüssel(n), Kontakten, Gruppen und Einstellungen auf einem (eigenen) Server
  • Nachrichten werden verschlüsselt auf dem Gerät gespeichert
  • Klares Finanzierungsmodell über App-Verkäufe und Threema Work / Threema Education
  • Verständliche Datenschutzerklärung (in deutscher Sprache)

Negativ:

  • Der Serverpart ist nicht quelloffen bzw. Open-Source
  • Threema ist (einmalig) kostenpflichtig – im Gegensatz: Klares Finanzierungsmodell sorgt für Vertrauen
  • Zentralisierter Dienst

9. Fazit

Threema ist ein auf Datenschutz und Sicherheit bedachter Messenger – regelmäßige Audits bestätigen dies. Leider lassen sich aufgrund des proprietären Serverparts nicht alle Aussagen der Threema GmbH verifizieren. Mit dieser Einschränkung geht eine gewisse Intransparenz der Datenverarbeitung einher, die ein bekannter Pferdefuß von proprietärer Software ist.

Trotz dieser Einschränkung halte ich Threema für einen prima Messenger, der insbesondere datenschutzsensible Nutzer ansprechen dürfte, die Wert auf die Vermeidung von Metadaten legen und ihre Telefonnummer nicht als Identifier nutzen möchten. Ein vernünftiges Finanzierungsmodell sorgt für Vertrauen und die stetige Weiterentwicklung des Messengers.

Bildquellen:

Threema Logo: https://threema.ch/de/press

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

52 Ergänzungen zu “Threema: Instant-Messaging-Dienst aus der Schweiz – Messenger Teil2”

  1. Comment Avatar Ronald sagt:

    Sehr gut geschrieben!

    Zwei Anmerkungen noch:

    1.) Wenn andere Menschen den Quellcode checken, muss ich der Qualität ihrer Arbeit auch vertrauen schenken! Es ist also aus der Sicht eines Nicht-Programmierers fast kein Unterschied, ob ich der Threema GmbH oder mir unbekannten Quellcode-Checkern vertraue!

    2.) Perfect Forward Secrecy wird nur dann benötigt, wenn zeitversetzt ein erneuter Abruf von Nachrichten stattfindet. Das gibt es bei Threema jedoch nicht! Es gibt immer nur EIN Gerät, EINE ID und immer nur EINE Nachricht – wenn die eine Nachricht vom Server abgeholt wurde, löscht Threema die und dann kann sie nicht noch einmal abgerufen werden. PFS ist also nur für Messenger gut, die zB Nachrichten in der Cloud speichern, damit man sie von einem anderen Gerät noch mal abrufen kann.

    Schade das Du die BAT´s des Brave-Browsers nicht unterstützt, sonst hätte ich jetzt 10 Dollar gespendet!

    • Comment Avatar Ifm sagt:

      Punkt 1 sehe ich anders.

      Bei einem Unternehmen sind nur ein paar wenige „gecastete“ Mitarbeiter, die einen Code bearbeiten, eine Sichtung findet oft nur sehr rudimentär statt … und dann müssen die auch noch wirtschaftlich agieren.

      Das ist bei open source komplett anders. Es schauen (bei interessanten Projekten) zig Leute mit der unterschiedlichsten „Background“ und Sichtweisen auf den Quellcode. Sie tun es aus Interesse, Ideologie und teilweise auch um daraus für eigene Projekte zu lernen. Und das passiert immer wieder, ohne einen Anlass wie eine Programmänderung oder einen (vermuteten) Fehler an der Stelle. Ob die Sichtung mehr kostet als sie einbringt, ist nahezu irrelevant.

    • Comment Avatar ... sagt:

      Dem zweiten Punkt stimme ich nicht zu. Ein Angreifer, der in den Besitz des Langzeitschlüssels gelangt, kann alte, abgefangene Chiffrate nachträglich entschlüsseln. In diesem Fall könnte der Threema-Server das tun, da er die Chiffrate zugesendet bekommt (und eben vllt. nicht löscht). Da ist es egal, von wie vielen Geräten die Nachrichten abgerufen werden.

    • Comment Avatar Anonymous sagt:

      1.) Wenn andere Menschen den Quellcode checken, muss ich der Qualität ihrer Arbeit auch vertrauen schenken! Es ist also aus der Sicht eines Nicht-Programmierers fast kein Unterschied, ob ich der Threema GmbH oder mir unbekannten Quellcode-Checkern vertraue!

      Ich mache bei entsprechenden Schulungen unter Jura-Studis immer die Umfrage, ob wir mit genau dieser Argumentation nicht auch unseren Gesetzeskorpus (als die „Software“, die unsere Gesellschaft reguliert) unter Verschluss halten sollten (Gesetzestexte versteht in der Form, mit ihnen umgehen zu können, auch nur eine kleine Elite der Gesellschaft. Nicht-Jurist*innen brauchen Anwälte, um sie im Ernstfall zu verstehen). Das würde uns das Drucken/Veröffentlichen bei Gesetzes-Aktualisierungen sparen sowie das ganze kritische öffentliche und daher oft anstrengende Drumherum bei entsprechenden Änderungen. Erschreckenderweise fänden das einige Studis gar keine so schlechte Idee – das sind dann meist auch die, die Freiheiten Freier Software nicht nachvollziehen können.

  2. Comment Avatar Christoph sagt:

    Whatsapp ist schon längst obsolet, dennoch kaum verdrängbar vom Markt.
    Meine Kontakte in Whatsapp == nahezu alle Telefonbuchkontakte
    Kontakte in Telegram ~ 10 Personen
    Kontakte in Threema == 3 Personen (alle technikaffin und datenschutzorientiert)

    Viele meiner Bekannten sind sich der Datenschutzproblematik bei Whatsapp und FB bewußt, es interessiert sie aber schlichtweg nicht. Es ist zum kot…

  3. Comment Avatar Jan sagt:

    Threema nutze ich seit etlichen Jahren. Leider nur ca. 7 Prozent meiner Kontakte nutzen ebenfalls Threema, jedoch habe ich das Glück, mit eben diesen 7 Prozent etwa 80 Prozent meiner Messagingaktivitäten zu absolvieren.

    • Comment Avatar jid sagt:

      Verwendest du neben Threema auch noch Whatsapp? Ich verzichte seit Jahren auf Wathsapp, was dazu führte, dass die meisten meiner Kontakte Threema installierten. Anfangs wird mittels SMS kommunziert, bis der Leidensdruck zu groß wird (Bilder, Standorte, Umfragen, Gruppen etc.).

      Wobei die Teilnahme an große Gruppenchats (Vereine, Schule etc.) unmöglich ist. Aber auf diese kann ich verzichten. Die wichtigen Angelegenheiten erreichen mich auch ohne das tägliche Hintergrundrauschen.

    • Comment Avatar .max. sagt:

      So sieht’s bei mir auch aus. Nutze Threema von Beginn an. Kein Whatsapp. Und mit ein bisschen Missionsarbeit und verschenken Threema Lizenz Codes sind dann viel mit zu Threema gekommen. Als erstes die Familie. Und klar, viele nutzen parallel auch noch Whatsapp. Ich habe aber aktuell mehr als 70 Threema Kontakte. Mit ca 20 regelmäßigen Austausch. Ich vermisse nichts. Schon gar nicht Whatsapp oder vergleichbare Seuchen wie Telegram 😉.

  4. Comment Avatar Simon sagt:

    Zusätzlich bietet mir Threema von der geräteverschlüsselungsunabhängig an meine Nachrichten auf meinem Gerät mit einem Passwort zu verschlüsseln.
    Außerdem werden standardmäßig empfangene Medien (Bilder, Videos, …) nicht in die Galerie abgespeichert.

    So haben Apps mit Speicherberechtigung trotzdem keinen Zugriff auf die empfangenen Medien.

    Ganz nett ist auch, dass ich Backups auf ein eigenes Webdavverzeichnis (Nextcloud, o.ä.) ablegen kann und man so im Gegensatz zu WhatsApp nicht zu einem Drittanbietern sichern muss.

    • Comment Avatar Izzy sagt:

      Ganz nett ist auch, dass ich Backups auf ein eigenes Webdavverzeichnis (Nextcloud, o.ä.) ablegen kann

      Leider gilt das nur für „Threema Safe“ – nicht für das „Komplett-Backup“. Chat-Verläufe (und Anhänge) bleiben somit außen vor. Das ist einer der wenigen Punkte, die mir bei Threema fehlen: dass auch das Komplett-Backup automatisch (nächtlich, wöchentlich, …) auf meiner Nextcloud landet – und ich es nicht jedes Mal händisch mit Passwort-Eingabe anstoßen muss. Letzteres vergisst man einfach zu oft.

  5. Comment Avatar Marius sagt:

    Kein einziges Wort zum Überwachungsstaat in der Schweiz? BÜPF, NDG? Und zum unterdurchschnittlichen Datenschutz in der Schweiz?

    Gut, für Nutzer ausserhalb der Schweiz gilt die DSGVO. Aber wie wird die DSGVO gegen ein Unternehmen in der Schweiz durchgesetzt?

    • Comment Avatar jid sagt:

      Inwiefern ist dies ein Problem bei E2E-Verschlüsselung? Und solange das Versprechen eingehalten wird, dass die Metadaten nicht gespeichert werden, kann der Staat nichts abgreifen. Die Kabelaufklärung des NDG betrifft „nur“ den Datenverkehr, welcher die Schweiz verlässt. Für Schweizer, die mit Schweizer über Schweizer-Server kommunizieren, dürfte dies kein Problem sein. Alle anderen sind durch die E2E-Verschlüsselung geschützt. Wobei mir die fehlende Umsetzung von PFS Sorgen bereitet. Sollte der private Schlüssel kompromittiert werden, ist die Kabelaufklärung sehr wohl ein Problem… Ich kann mir aber nicht vorstellen, dass dieses Problem nicht auch in EU-Ländern existiert. Zumal ein anderer Serverstandort das Problem nicht lösen wird, solange der komplette Datenverkehr an irgendeinem Internetknoten aufgezeichnet wird. Denkst du wirklich, dass der DE-CIX nicht mehr überwacht wird?

  6. Comment Avatar sibylla sagt:

    Danke für den Beitrag!
    Sind die Versionen aus dem Webshop und aus dem Google Play Store unterschiedlich?

    • Comment Avatar Elmer sagt:

      Ja, sie sind unterschiedlich. Das ist der Abrechnung geschuldet (wie auch schon anderweitig in den Kommentaren erwähnt wird).
      Du kannst direkt in der App sehen, welche Version installiert ist (Drei Punkte -> Einstellungen -> Über Threema).
      In der Benutzung / Kompatibilität zueinander sind natürlich beide Versionen gleichwertig.

  7. Comment Avatar Erwin sagt:

    Wer sich die Mühe macht und sich den „Transparency“ Report von Threema anschaut kann an dieser Stelle getrost mit dem Lesen aufhören.

    Bei Threema kommt noch das Problem hinzu, dass die Firma zu Nahe beim Staat steht (H/T RA Martin Steiger, https://forum.kuketz-blog.de/viewtopic.php?p=43787#p43787 [ist mir selber entgangen]) und damit in ein (ungesundes) Anhängigkeitsverhältnis geraten ist.

    Threema argumentiert mit dem Standort Schweiz („Die Threema GmbH betreibt ihre eigenen Server in zwei hochsicheren Rechenzentren eines «ISO 27001»-zertifizierten Colocation-Partners im Grossraum Zürich.“), was bei End-to-End-Verschlüsselung und Zero Knowledge (was immer das auch heissen mag) eigentlich irrelevant sein sollte. Da könnte man ebenso gut einen Amazon-Bucket mieten.

    Um nochmals auf den Auftrag vom Militär- und Verteidigungsdepartement (VBS, ehem. EMD) zurückzukommen: Während Threema im Januar 2017 laut über einen Wegzug aus der Schweiz nachdachte (http://archive.is/07etL), scheint dies heute kein Thema mehr zu sein. Honi soit qui mal y pense…

    Nochmals wegen den Schlagwörtern End-to-End, Zero Knowledge etc. Da hat John McAfee halt schon Recht: https://twitter.com/officialmcafee/status/1218492518003810304?lang=en

    @Marius: Zum Eintrag von Marius vom 4.2.2020 kann ich nichts mehr hinzufügen. Er hat den Nagel auf den Kopf getroffen. Davon können Deutsche und Amerikanische Bankkunden (und leider auch Schweizer selber) ein Lied singen.

    Und nein, es ist einfach nicht richtig wenn Threema behauptet IP-Adressen würden nicht gespeichert. Gemäss nBÜPF muss Threema dies, genauso wie ProtonMail auch, tun. Die Gesetzesvorlage kann man selber durchlesen.

    • Comment Avatar Thomas sagt:

      Hallo Erwin,

      ich denke viele fühlen sich einfach besser, wenn sie wissen/annehmen können, dass die Server in der Schweiz stehen. Denen ist es vielleicht lieber als die USA oder sonst wo.

      Die meisten Nutzer, wollen ja nichts vor dem Staat geheim halten oder sind Kriminelle usw. Sie wollen einfach relativ sicher kommunizieren und eine funktionale App dazu und fertig.

      Dein Einwand und wissen über gewisse Themen haben sicher ihre Legitimation und sind toll. Dennoch wird Threema einfach der Messenger für den Otto-Normalverbraucher sein. Eben diese, die kein WhatsApp wollen.

      Für alle anderen wie eventuell Dich, gibt es sicher einen anderen Messenger der auch seine Lücken haben wird.
      Wenn Du sicher leben möchtest, hilft es nicht einen sicheren Messenger zu haben, wenn über oder neben Dir eine liebe Oma wohnt, die bereitwillig alles über Dich erzählt. Der ist Datenschutz egal, die freut sich dass jemand zum reden da ist.

    • Comment Avatar ThorstenE sagt:

      Also ich habe den Transparenzreport von Threema gelesen!

      Kann jeder auch selber machen unter:
      https://threema.ch/de/transparencyreport

      Und dort findet man folgendes:

      „Wir speichern keine IP-Adressen und bewahren keine Nachrichten-Logs auf.“

      „Die Threema GmbH ist gemäss Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) (Version in Kraft seit 1.3.2018) und der entsprechenden Verordnung VÜPF aufgrund Nichterreichens der Mindestumsatzgrenze nicht verpflichtet, Kommunikationsranddaten («Metadaten») auf Vorrat zu speichern.“

      „Sofern die rechtlichen Voraussetzungen vollständig erfüllt sind, können wir folgende Angaben zu einer gegebenen Threema-ID liefern:

      Hash der Handynummer, sofern durch den Nutzer verknüpft *
      Hash der E-Mail-Adresse, sofern durch den Nutzer verknüpft *
      Push-Token, sofern der Nutzer einen Push-Dienst verwendet *
      Öffentlicher Schlüssel
      Datum (ohne Uhrzeit) der Erstellung der Threema-ID
      Datum (ohne Uhrzeit) des letzten Logins“

      * = und auf diese Infos hat der User selbst einen Einfluss!

      Kann jeder, der Threema nutzt auch selber checken! Einfach die ID „*MY3DATA“ hinzufügen und dort das Wort „info“ hinschicken – dann wird angezeigt, was bei Threema über einen gespeichert ist!

      Was im Test nicht so hervorgeht: Es kann jeder Threema User – auch zwischendurch mal wieder – seine Telefonnummer und Email hinterlegen und auch selbst wieder löschen. Der Nutzer hat selber die volle Kontrolle – sie müssen nicht permanent hinterlegt sein!

      Insgesamt bietet die ThreemaApp ein hohes Maß an Kontrolle, darüber, wer was sehen kann. Seitens der Threema GmbH und auch seitens der Kontakte – z.B. kann man selber festlegen, wer sein Profilfoto sehen darf und wer nicht!

      Und wer will kann nur von seinen Kontakte angeschrieben werden – alle unbekannten Kontakte können automatisch geblockt werden. Sehr gut für Kinder, Jugendliche und ggf. Frauen!

      Ich kenne keinen Messenger, der mehr auf echten Datenschutz programmiert ist, als Threema!

    • Comment Avatar Threema GmbH sagt:

      Der Kommentar von Erwin enthält lauter Unterstellungen und Unwahrheiten. Gerne möchten wir diese richtigstellen:

      Wer sich die Mühe macht und sich den „Transparency“ Report von Threema anschaut kann an dieser Stelle getrost mit dem Lesen aufhören.

      Natürlich stehen wir nicht über dem Gesetz und sind verpflichtet, auf behördliche Anordnung die uns vorliegenden Angaben zu liefern. Dabei weisen wir diese Anfragen und Auskünfte in unserem Transparenzbericht vollständig aus.

      «Die uns vorliegenden Angaben» entsprechen dem Datensatz, den jeder Nutzer selber einsehen kann, wenn er info an die Threema-ID *MY3DATA sendet.

      Bei Threema kommt noch das Problem hinzu, dass die Firma zu Nahe beim Staat steht (H/T RA Martin Steiger, http://archive.is/CE2SJ [http://archive.is/CE2SJ] [ist mir selber entgangen]) und damit in ein (ungesundes) Anhängigkeitsverhältnis geraten ist.

      Das ist eine bösartige Unterstellung. Der Staat ist weder an unserer Firma beteiligt, noch hat er irgend einen Einfluss auf uns, der über die gesetzlichen Pflichten hinausgeht.

      Die Bundesverwaltung ist einer von vielen tausend Threema Work-Kunden aus Privatwirtschaft und Verwaltung, aber bei weitem nicht der grösste oder wichtigste.

      Threema argumentiert mit dem Standort Schweiz („Die Threema GmbH betreibt ihre eigenen Server in zwei hochsicheren Rechenzentren eines «ISO 27001»-zertifizierten Colocation-Partners im Grossraum Zürich.“), was bei End-to-End-Verschlüsselung und Zero Knowledge (was immer das auch heissen mag) eigentlich irrelevant sein sollte. Da könnte man ebenso gut einen Amazon-Bucket mieten.

      Ein Amazon-Bucket wäre natürlich keine Alternative, siehe z.B. Intel CPU Design Flaw

      Die Ausgestaltung eines Rechenzentrums, der Standort und die Zertifizierungen sind gerade für Firmenkunden ein wichtiges Entscheidungskriterium. Wir betreiben bewusst unsere eigene Server-Infrastruktur, auch weil dort eben prinzipbedingt zumindest flüchtige Metadaten wie z.B. IP-Adressen anfallen, die Amazon nichts angehen.

      Um nochmals auf den Auftrag vom Militär- und Verteidigungsdepartement (VBS, ehem. EMD) zurückzukommen:

      Das ist falsch. Wir haben keinen Auftrag des VBS.

      Während Threema im Januar 2017 laut über einen Wegzug aus der Schweiz nachdachte ( http://archive.is/07etL [http://archive.is/07etL] ), scheint dies heute kein Thema mehr zu sein. Honi soit qui mal y pense…

      Unsere Position hat sich nicht geändert. Der zitierte Artikel bezog sich auf einen Verodnungsentwurf der zum damaligen Zeitpunkt in der Vernehmlassung war.

      Da wir nun aber gemäss dem am Ende verabschiedeten Gesetzestext keiner Vorratsdatenspeicherung unterworfen sind, ist der Wegzug derzeit kein Thema.

      Und nein, es ist einfach nicht richtig wenn Threema behauptet IP-Adressen würden nicht gespeichert. Gemäss nBÜPF muss Threema dies, genauso wie ProtonMail auch, tun. Die Gesetzesvorlage kann man selber durchlesen.“

      Falsch. Die Threema GmbH ist nicht verpflichtet, Kommunikationsranddaten («Metadaten») oder gar IP-Adressen zu speichern. Um das Gesetz zu zitieren:

      3 Anbieterinnen abgeleiteter Kommunikationsdienste und Betreiberinnen interner Fernmeldenetze müssen dem Dienst die ihnen vorliegenden Angaben liefern.

      4 Der Bundesrat kann Anbieterinnen abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, verpflichten, alle oder einen Teil der Angaben aufzubewahren und zu liefern, welche die Anbieterinnen von Fernmeldediensten gestützt auf Absatz 2 liefern müssen.

      Man beachte die kann-Formulierung.

      Die Threema GmbH ist ein unabhängiges und ausschliesslich über den Verkauf der Software finanziertes Unternehmen, das den drei Gründern und Entwicklern gehört und von ihnen selbst geleitet wird. Bei uns sind keine Investoren und keine Milliardäre involviert. Wir haben ein richtiges Büro und nicht nur einen Briefkasten in der Schweiz. Wir entwickeln die ganze Software selbst bei uns im Hause und betreiben kein Outsourcing.

      Auch wenn sich die Rechtslage mal ändern würde: Threema ist von allen vergleichbaren Messengern am metdatensparsamsten und es ist somit wenig zu holen. Wir treiben einen enormen Aufwand und investieren viel Herzblut, um technische Lösungen zu finden, dieses Ziel zu erreichen. Threema funktioniert weder mit einem Konto, bei dem man sich anmelden muss, noch speichern wir Profilinformationen, Kontaktlisten, Gruppenmitgliedschaften oder ähnliches. Zur Nutzung wird weder eine Handynummer noch eine E-Mail-Adresse vorausgesetzt.

    • Comment Avatar Mike Kuketz sagt:

      Nach der ausführlichen Antwort von Threema wäre es schön, wenn du keine weiteren Verschwörungstheorien posten würdest, für die es keine Beweise gibt. Auf dieser Basis ist eine sachliche und konstruktive Diskussion nicht möglich.

      Hinweis: Die letzten fünf Versuche wurden von mir alle in den Papierkorb befördert. Siehe auch die Etikette: https://www.kuketz-blog.de/danke/

      Beleidigungen sind auch nicht gerade sehr hilfreich, aber nicht jeder weiß eben, was Anstand ist. Schade. Erwin hat sich leider disqualifiziert.

  8. Comment Avatar Kajo sagt:

    Es funktioniert auch komplett ohne proprietäre Google-Bibliotheken bzw. Firebase Cloud Messaging – das gilt ebenfalls für die Standortanzeige.

    Da hat sich dann wohl im letzten Jahr was getan. Ende 2018 bekam ich ein paar Standortanzeigen geschickt und konnte bis auf das Standort-Icon, sowie „Unknown Address“ absolut nichts sehen. Werde mir mal einen Standort zum wiederholten Test schicken lassen :-)

    • Comment Avatar Kajo sagt:

      Tja, leider funktioniert das (bei mir) immer noch nicht (LOS 14, eingerichtet wie hier im Blog beschrieben + Threema-Shop-Variante).

      Gibt es hier jemanden, bei dem es funktioniert?

      • Comment Avatar Izzy sagt:

        Bei mir mit LOS 14.1 auf dem BQ Aquaris X5 Plus (gohan), Shop-Variante. Funktioniert problemlos – nur dass natürlich eingehende Anrufe ohne FCM meist mehrere Anläufe brauchen.

  9. Comment Avatar jid sagt:

    Toll ist auch das Speichermanagement. Hier ist es möglich Nachrichten und Medien zu löschen, die älter sind als: alles oder 1 Woche bis 2 Jahre. Leider kann dies noch nicht automatisiert werden.

  10. Comment Avatar Kommentator sagt:

    @Mike: Danke für den Bericht.

    @Marius / Erwin: Vielen Dank für den Hinweis. Das war mir nicht so bekannt, ich werde aber trotzdem weiterhin Threema einsetzen, da ich dort ein Stück weit mehr „gefühlte“ Sicherheit habe als bei vielen anderen Messengern. Während ich mittlerweile einige Kontakte mit Threema habe werde ich bei meinem zukünftigen Messenger Riot wohl in der Diaspora landen …

  11. Comment Avatar .max. sagt:

    Danke, ein sehr guter Beitrag zu Threema. Und obwohl ich schon berufsbedingt tief in der Materie bin habe ich noch ein paar neue Aspekte erfahren.

  12. Comment Avatar Anonymous sagt:

    Der Absatz

    Bei Threema erfolgt jegliche Kommunikation bzw. Nachrichtenaustausch über zentrale Server in der Schweiz, die laut Angaben des Herstellers ISO 27001-zertifiziert sind. Es gibt also einen Server bzw. Server-Cluster an dem sich jeder Teilnehmer anmelden / registrieren muss. Letztendlich liegt die Kontrolle über den gesamten Dienst und seine zukünftige Ausrichtung allein in der Verantwortung der Threema GmbH.

    scheint mir der Wichtigste. Ich kann jedoch nicht nachvollziehen, wie man Threema dennoch das Prädikat „empfehlenswert“ geben kann. Die Grundproblematik ist und bleibt doch vielmehr die, die sich bereits in der Überschrift von Why Privacy is more than Crypto zeigt: Was bringt mir die tollste Crypto, wenn eine einzelne Instanz darüber entscheidet, ob ich überhaupt kommunizieren darf?

  13. Comment Avatar Andi sagt:

    Threema bietet doch PFS und zwar auf die Transportverschlüsselung. Also jedes mal wenn die App neu gestartet wird, wird ein neuer Sessionkey generiert. Daher müsste man schon den Server überwachen/kontrollieren um alle Nachrichten aufzuzeichnen um diese dann zu entschlüsseln, wenn dieser Kontrolleur in den Besitz des priv. Schlüssels käme.

    Oder habe ich das Crypto-Whitepaper falsch verstanden?

  14. Comment Avatar Anonymous sagt:

    Wie sicher ist Threema Web?

    Bei mir bleiben Sessions als Untitled session / Not saved erhalten. Ist das ein bekanntes Problem?

    • Comment Avatar Elmer sagt:

      Also da ich dieses Detail leider im eigentlichen Artikel vermisst habe, wie doch so großer Wert (natürlich zu Recht) auf Open Source und eigene Server gelegt wird:
      Threema Web ist zu 100 % Open Source. Du könntest Dir sogar einen eigenen Server aufsetzen, der im Großen und Ganzen nur die Web-Applikation bereitstellen und die direkte Kommunikation zwischen der App im Browser und der App auf dem Smartphone ermöglichen muss (https://github.com/threema-ch/threema-web/blob/master/docs/self_hosting.md).

      Ich habe mir nicht selbst die Implementierung angeschaut, aber zumindest hin und wieder kleinere Bugs gemeldet (nichts Sicherheitskritisches, nur Kleinigkeiten der Nachrichtenformatierung oder dergleichen), die auch sofort diskutiert und zeitnah korrigiert wurden.

      Ja, die einmalig angelegten Threema-Web-Verbindungen werden nicht automatisch aus der Liste gelöscht. Nach meiner Einschätzung ist das aber normal und kein Problem. Die Kommunikation läuft sehr sparsam ab. Nicht immer ist eine lokale Verbindung möglich, sondern manchmal muss auch der Umweg über das Internet genommen werden, wenn sich beide Geräte nicht im selben LAN befinden. Die beiden Apps funken nicht ständig hin und her und natürlich kann man im Browser auch einfach den Tab schließen, ohne explizit die Sitzung zu beenden (gleiches gilt bei allen anderen Trennungen der Verbindung). Bei Aussetzern der Verbindung (bei kabellosen Verbindungen eher der Normalfall) sollte auch nicht einfach automatisch die Session verworfen werden.
      Für jede Sitzung werden ohnehin neue Schlüssel generiert, so dass eine abgerissene, „ungespeicherte“ Sitzung ohnehin nur durch Passwortschutz wiederbelebt werden könnte.

    • Comment Avatar Elmer sagt:

      Noch ein kleiner Nachtrag zu den „liegenbleibenden“ Threema-Web-Sessions:
      Ich mache mir nie die Arbeit, diese Sessions manuell zu löschen. – Ich deaktiviere einfach Threema-Web insgesamt, womit alle Sessions wegfallen (schon aus Sicherheitsgründen – weil ich es nicht mag, ein gerade nicht benötigtes Feature eingeschaltet zu lassen).
      Es stellt also auch keinen Mehraufwand für den Benutzer dar.

  15. Comment Avatar Tom sagt:

    Ich habe Threema vor Jahren im Playstore gekauft, bin aber mittlerweile (Dank dieses Blogs) auf ein Smartphone mit Custom Rom ohne Google Apps umgestiegen. Jetzt kann ich Threema nicht mehr nutzen, da ich KEINEN Playstore auf meinen Smartphone installieren möchte und ich nicht einsehe warum ich noch eine zweite Lizenz über den Threema Webshop erwerben soll Text.
    Diese Verkaufspolitik spielt u.a. Whatsapp perfekt in die Hände. Schade, jetzt nutze ich nur noch Signal und SMS.

    • Comment Avatar Thomas sagt:

      Stimmt so nicht ganz. Du kannst über https://shop.threema.ch/retrieve_keys mit deiner Googlemail Adresse und der Rechnungsreferenz den Schlüssel holen und es dann via Shop abhandeln. Somit bleibst Du PlayStore frei :)

      • Comment Avatar Tom sagt:

        Ich habe bei Threema angefragt und folgende Antwort bekommen:

        Guten Tag Herr X,

        Herzlichen Dank für Ihre Anfrage.

        Aufgrund von Einschränkungen von Google ist die Übernahme von Lizenzen aus dem Google Play
        Store nicht möglich. Sie können die App aber unter https://shop.threema.ch kaufen und ohne
        den Google Play Store installieren.

        Ich hoffe, dass ich helfen konnte und stehe bei weiteren Fragen gerne zur Verfügung.

        Ein schönes Wochenende wünscht Ihnen

        XY

        • Comment Avatar Anonymous sagt:

          Warum beschwerst du dich dann über die Verkaufspolitik von Threema? Lies doch beim nächsten Mal die AGBs vom Google Play Store. Es sollte jedem klar sein, dass man dort nur Lizenzen für die Nutzung auf Android-Geräten mit Google-Diensten erwirbt. Da kann auch Threema nichts machen. Rechtlich sind Ihnen die Hände gebunden.

          Ich finde es im Gegenteil sehr erfreulich, dass Threema auf deren Webseite selbst Lizenzen vertreibt. 2-3 Mal im Jahr zum halben Preis. Da kann man sich immer gut mit ein paar Lizenzen eindecken und im Laufe des Jahres an Freunde und Familie verteilen.

          • Comment Avatar Tom sagt:

            Ok, vielleicht beschwere ich mich zu Unrecht – und nein die 3€ brechen mir nicht das Genick, immerhin hab ich ja eine Lizenz gekauft, was die meisten meiner Kontakte nicht getan haben.
            Man könnte über die Threema ID die Lizenz koppeln, die ist doch eindeutig.
            Mein Frust kommt daher, dass es unglaublich mühselig ist, meine Freunde bzw. Kontakte zu überzeugen Whatsapp den Rücken zu kehren oder wenigstens Threema oder einen anderen Messenger zu benutzen.

    • Comment Avatar Martin Steiger sagt:

      @Tom:

      «Diese Verkaufspolitik spielt u.a. Whatsapp perfekt in die Hände. Schade, jetzt nutze ich nur noch Signal und SMS.»

      Ach, komm, wir reden von weniger als 4 Euro!

    • Comment Avatar Elmer sagt:

      @Tom – eigentlich zu Toms Kommentar von „8. Februar 2020 um 00:26 Uhr“:
      Nein, man kann die Lizenz nicht an eine bestimmte Threema-ID koppeln!
      Das sind zwei vollkommen verschiedene Dinge:
      – Die Lizenz beweist, dass Du (oder jemand anderes, der sie Dir geschenkt hat) gekauft hast (/ hat).
      – Die ID hast Du Dir selbst angelegt – und Du kannst / darfst Dir auch ständig neue anlegen, nur nicht gleichzeitig betreiben!

      Das Problem gibt es immer mal wieder: Die Leute legen sich keine ID-Sicherung an (obwohl die App deutlich darauf hinweist), verlieren dann ihr Handy oder setzen es zurück oder löschen die App-Daten oder … oder … oder …
      Damit sind sie ihren Account praktisch los, da niemand den privaten Schlüssel widerherstellen kann. — Aber die einmal gekaufte App sind sie damit noch lange nicht los!
      Mit derselben Lizenznummer müssen sie sich dann eben erneut anmelden bzw. eine neue ID anlegen und ihren Kontakten die Änderung kundtun.

  16. Comment Avatar Jan Kreutzer sagt:

    So ist das halt, wenn ich einem Öko-System den Rückenkehre, dann muss ich lieb gewonnene Apps, halt nochmal bezahlen.

    Das ist bei vielen Apps doch so, auch wenn ich von iOS zu Android (oder umgekehrt) wechsel.

    Das ist ja kein Geheimnis und wenn man sich vorher informiert ist das auch keine Überraschung.

    Wem die 3 Euro nun also das Genick brechen, der wartet dann halt auf einer der Rabattaktionen.
    Gerade erst war wieder eine Aktion (letzten 2 Wochen im Dezember) bei der es Threema mit 50% Rabatt gab.

    @Danke der Threema GmbH für die oben gepostete Klarstellung einiger dubiosen „Anschuldigungen“/Vermutungen.

  17. Comment Avatar Schotti sagt:

    Stand 2018 hat der Dienst ungefähr 5 Millionen (private) Nutzer.

    Neueste Info, die ich gestern erst (zufällig) gelesen habe:
    Laut Threema – https://threema.ch/de/press
    (About Threema (DE) ):
    Threema zählt derzeit (Stand: Januar 2020) über 8 Millionen Nutzer, davon verwenden mehr als 2 Millionen die Unternehmenslösung «Threema Work» (ca. 5000 Organisationen). 80% der Nutzer stammen aus dem Ausland.

    @Mike: Danke für die ersten zwei Teile – bin schon gespannt auf die folgenden!

  18. Comment Avatar Kai sagt:

    Noch ein paar Punkte zu dem Testbericht:

    Nutzerzahlen

    Im Sommer 2019 hat der Pressesprecher von Threema bereits von über 6 Mio. aktiven Usern gesprochen – mittlerweile sind mind. 500.000 neue User dazugekommen.

    Das heißt es gibt derzeit ca. 6.5 Mio. aktive Privat-Nutzer der Threema App.

    „Einige Unternehmen wie Daimler und Bosch nutzen Threema Work.“
    =das ist sehr nett untertrieben! Z.B. Daimler hat 85.000 ThreemaWork User und Bosch über 410.000.
    Die Grünen über 60.000 und die schweizer Bundesverwaltung über 80.000.

    Insgesamt gibt es über 3.000 Firmen/Behörden/Einrichtungen die Threema Work nehmen um DSGVO-konform zu kommunizieren! Alle zusammen haben über 3 Mio. Work User.

    Da Threema Work Nutzer auch mit ThreemaApp (privat) User schreiben können, darf man sie auch ruhig zusammenaddieren!

    Insgesamt kommt Threema derzeit also auf 9.5 Mio. aktive User. Davon sind mehr als 80% aus Deutschland, d.h. wir haben rund 8 Mio. aktive Threema Nutzer in Deutschland.

    Es kann sich nur noch um Wochen handeln, bis die Threema GmbH erstmals die 10 Mio. User Schallmauer durchbricht (weltweit)…

    Support

    1.) Da man für die App bezahlt hat man auch Anspruch auf Support (das wurde leider nicht erwähnt). Einfach die Threema-ID „*SUPPORT“ hinzufügen und dort kann man sich jederzeit bei Problemen hinwenden. Sollte die App nicht gehen, geht auch eine Email an help ÄÄHD threema.ch

    2.) Es gibt ein sehr lebhaftes Forum der Threema Nutzer, dort findet man eigentlich auch für jedes Problemchen eine Lösung. Man findet es unter:

    http://www.Threema-Forum.de

    Open-Source

    Zahlreiche Bestandteile der ThreemaApp sind auch als Quellcode zu haben auf Github – u.A. die Weboberfläche Threema-Web. Ihr findet sie hier:

    https://github.com/threema-ch

    Threema wurde vor einigen Jahren von ein paar Sicherheitsforschern (unabhängig von den Audits) für den Chaos Computer Congress auseinander genommen. Und die haben auch keine Sicherheitslücken oder Backdoors gefunden, stattdessen konnten sie nur eine Vortrag über das Threema-Protokoll bringen.

    Ihr Beitrag ist heute noch abrufbar unter:
    https://media.ccc.de/v/33c3-8062-a_look_into_the_mobile_messaging_black_box#t=3225

    Eine unabhängige Überprüfung der Threema App ist also durchaus möglich. Es gibt kein „reverse-engineering“-Verbot seitens der Threema GmbH!

    Sicherheits-Audits

    Der Bericht erwähnt zwar mehrfach die regelmäßigen Sicherheits-Audits, die Threema erstellen lässt – er sagt aber nicht, das die dabei gefundenen Sicherheitslücken von Threema umgehend behoben wurden.

    3 Sicherheits-Aspekte finde ich noch wichtig:

    1.) Threema hat eine ScreenShot-Sperre eingebau, die man einschalten sollte, um zu verhindern, das zB Trojaner über ScreenShots alles mitlesen können. Die funktioniert auch schon, wenn die App verkleinert wurde.

    2.) Threema hat eine Inkognito-Tastatur mit drin, auch die sollte man sich einschalten, damit Keylogger nur Zufallszeichen bekommen und nicht den echten Text, den man in Threema eintippt. Die Schnüffelei von Google kann man auch selber in den Android-Einstellungen abschalten – leider wird dieser Punkt von Google sehr sehr tief versteckt, damit ihn nicht jeder findet.

    3.) Der Standort Schweiz hat für uns dt. Bundesbürger auch den riesigen Vorteil, das die Threema GmbH und ihre ThreemaApp außerhalb der juristischen Reichweite unserer dt. Politiker liegen. „Uns Horst“ möchte ja auch stets alle Messenger zur Entschlüsselung zwingen, das wird ihm mit der Threema GmbH nicht gelingen.

    Und die wichtigste Frage ist noch offen:

    Behälst Du denn Deine Threema-ID (die oben zu sehen ist), Mike?

    • Comment Avatar Mike Kuketz sagt:

      Nein. Die Threema-ID war nur zum Test.

    • Comment Avatar Martin Steiger sagt:

      Threema und andere Internet-Unternehmen liegen nicht ausserhalb der juristischen Reichweite von deutschen und anderen ausländischen Behörden. Stichwort: Internationale Rechtshilfe in Strafsachen.

      Der Kampf gegen Ende-zu-Ende-Verschlüsselung wird auch in der Schweiz geführt:

      https://steigerlegal.ch/2019/09/23/instant-messaging-verschluesselung-schweiz/

      Richtig ist hingegen, dass Deutschland ein Internet-Unternehmen in der Schweiz aus heutiger Sicht nicht direkt auf dem Rechtsweg zwingen kann, Hintertüren einzubauen oder die Verschlüsselung zu schwächen. Wenn Deutschland aber beispielsweise nur noch Messaging-Dienste zulassen würde, die nicht wirksam verschlüsseln, hätte Threema mit Blick auf den deutschen Markt dennoch ein Problem.

  19. Comment Avatar Michi sagt:

    Jetzt, wo klar ist, dass eine Schweizer Security-Firma wie die Crypto AG (Zug) von in- und ausländischen Geheimdiensten unterwandert war (tatsächlich gehörte sie den Geheimdiensten), muss Threema gute Ideen haben, um die eigene Reputation zu stärken. Ein Offenlegung der Besitzverhältnisse der Firma (AG=SA=societé anonyme) wäre hilfreich; die Personen im (öffentlich bekannten) Verwaltungsrat könnten ja reine Strohmänner sein.
    Als Threema Nutzer muss man sich deshalb fragen, ob diese App nicht auch eine Backdoor hat.Deshalb wäre die Offenlegung des Quellcodes wieder ein Thema. Denn auch bei der Crypto AG gab es viele Prüfungen, die die Sicherheit der Produkte bestätigten. Wie man sieht, hat das nicht den Tatsachen entsprochen…

    • Comment Avatar Kurman Gee sagt:

      Ich finde die Meldung über die „Crypto AG-Affäre“ auch wirklich seeehr interessant! Von jener schweizer Firma direkt auf Threema zu schließen ist jedoch zu kurzgedacht. Ausschließen kann man ein solches Vorgehen auch in 2020 jedoch nicht, denke ich. Daher muss man immer vorsichtig sein. Übrigens genau so vorsichtig wie bei Signal, das ja anscheinend der Kryptographie-Star unter den Messengern ist. Auch er kommt aus den USA und könnte für solche Zwecke genutzt werden.

    • Comment Avatar Martin Steiger sagt:

      Threema ist als GmbH organisiert, nicht als AG:

      https://sz.chregister.ch/cr-portal/auszug/auszug.xhtml?uid=CHE-221.440.104

      Hr. Kasper hält seine Anteile an Threema über seine Einzel-GmbH:

      https://sz.chregister.ch/cr-portal/auszug/auszug.xhtml?uid=CHE-154.985.108

    • Comment Avatar Maxi sagt:

      Öhmm… ja.
      Genau das dachte ich auch (mal wieder).

      Da hilft nur eins: Quellcode offenlegen.

      Dann wäre Threema – ganz nebenbei – der derzeit mit großem Abstand beste Messenger der Welt.
      :-)

      • Comment Avatar frank76 sagt:

        Hi Mike,
        vielen Dank für diesen tollen Artikel, der hier in den Kommentarspalten auch kontrovers diskutiert wird.

        Ich hoffe es kommen noch viele weitere Messenger dran, gibt es eine Roadmap, welche du alle vorstellen wirst? Vielleicht habe ich die übersehen.

        Danke

      • Comment Avatar Elmer sagt:

        Ja! … Aber wahrscheinlich auch ganz schnell der beste, „freie“ – und damit auch tote Messenger der Welt! :-(

        Ich mag auch freie, sichere und *kostenlose* Software. Ich kenne auch Beispiele, in denen sich Firmen über die kostenpflichtigen Supportleistungen zu ihren Produkten über Wasser halten können. Das sind aber ganz andere Domänen!
        Ich sehe momentan keinen Weg, wie eine Threema GmbH auch nur ihre Server am Laufen halten können sollte, wenn sie nur noch den Support für die offiziellen Kunden hätte, während „alle Menschen der Welt“ die dann sicher schnell verfügbaren kostenlosen Clients benutzen und die Threema-Server damit überlasten würden.
        Die Threema GmbH müsste sich ständig gegen die Umgehung ihres Lizenzmechanismus wehren – anstatt die App zu warten und weiterzuentwickeln.

  20. Comment Avatar DerYupp sagt:

    Danke für die tolle Artikelserie.

    Was mich an Threema etwas stört:
    1. Ein Account ist (prinzipbedingt) nur mit einem Gerät nutzbar. ThreemaWeb funktioniert, ist aber immer neu einzurichten. Ich fände da eigene Apps/Programme besser, die sich mit dem Handy auf dem der Threemaaccount läuft, verbinden.
    2. Man kann in der App nur eine Threema-Id einrichten (Geschäftlich/Privat/…). Geschäftskunden haben dafür eine zweite App, die man als Privatperson aber nicht nutzen kann.

    Zu den großen Unternehmen die Threema nutzen:
    Ich arbeite bei einem solchen. Bei uns haben aber nur Besitzer eines Firmenhandys einen Threemaaccount und das ist die Minderheit. Normale Ingenieure also nicht und Bandarbeiter schon gar nicht. Ich schätze da die Quote bei deutlich unter 1%. Da bleiben also nur einige tausend übrig, wohingegen hier in der Diskussion die gesamte Mitarbeiterzahl Weltweit angesetzt wird. Schade eigentlich.

    • Comment Avatar Elmer sagt:

      Zu 1. kann ich vielleicht helfen, auch wenn ich es selbst nicht nutze:
      Es wird doch angeboten, für eine Threema-Web-Sitzung ein Passwort zu vergeben. Dann kann die Sitzung später weitergenutzt werden, ohne eine neue anzulegen.

      Zu 2. kann ich nur spekulieren:
      Es ist doch möglich (bei Android wohl nativ auf Tablet PCs und auf Smartphones zumindest mit App-Unterstützung?) mehrere Nutzer anzulegen, was zur Trennung von privater und geschäftlicher Nutzung doch wohl auch generell gefordert sein sollte. Dann sollten beide Threema-Installationen auch unterschiedliche Accounts nutzen können (und mit unterschiedlichen Lizenzen betrieben werden).

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.