Threema

Für die Metalcoregruppe, siehe Thrima

Threema

Verweis	Offizielle Weltnetzseite
Wahlspruch	„Der Messenger mit Fokus auf Sicherheit und Privatsphäre.“
Registrierung	Notwendig
Urheber	Kasper Systems GmbH
Erschienen	2012

Threema ist eine Nachrichtensofortversand-Anwendung für Mobiltelefone, die für die Betriebssysteme Android (ab Version 4.0), Apple iOS (ab Version 5.1.1) und Windows Phone verfügbar ist.^[1]

Die Anwendung ist kostenpflichtig und lässt sich auch anonym mit Bargeld bezahlen. Mit dem über F-Droid erhältlichen Threema Libre^[2] soll die verschlüsselte Kommunikation ohne jegliche Google-Dienste möglich sein.^[3]

Nutzung

Die Anwendung kann zwar über Umwege auch als kostenfreie (geknackte) Version bezogen werden, davon ist jedoch dringend abzuraten.^[4]

Threema wurde nach eigenen Angaben von Grund auf mit besonderem Augenmerk auf Datensparsamkeit und Sicherheit entwickelt. So ist z. B. für die Nutzung keine Angabe personenbezogener Daten erforderlich, und die gesamte Kommunikation (Einzel- und Gruppen-Nachrichten, Audio- und Video-Anrufe etc.) sei Ende-zu-Ende-verschlüsselt. Das Entschlüsseln einer Nachricht sei nur mit dem privaten Schlüssel des vorgesehenen Empfängers möglich. Da nur der Empfänger selbst Zugriff auf dessen privaten Schlüssel hat, sei es niemandem – auch nicht der Threema GmbH als Dienstbetreiberin – möglich, übertragene Nachrichten zu entschlüsseln.

Auf den Servern der Threema GmbH würden so wenige Daten wie nur möglich und immer nur so lange wie zwingend nötig zwischengespeichert. Kontaktlisten und Gruppenchats würden z. B. direkt auf den Endgeräten der Nutzer verwaltet, nicht zentral auf einem Server.

Sicherheit

Neben Textnachrichten können auch Bilder, Videos, Standorte und Sprachnachrichten verschickt werden. Alle Daten werden laut Threema mittels Ende-zu-Ende-Verschlüsselung verschickt.^[5] Das quelloffene Threema-Protokoll wurde im November 2015^[6] und im März 2019^[7] sowie 2020, 2023 und 2024 erfolgreich Sicherheitsüberprüfungen unterzogen.^[8] Eine Gruppe von Schweizer Sicherheitsforschern teilte der Threema GmbH am 3. Oktober 2022 ihre eindrückliche Sicherheitsanalyse von Threema mit, in welcher sieben Angriffe auf die kryptographischen Protokolle von Threema in drei verschiedenen Angrifssszenarien nachgewiesen wurden.^[9] Kurz darauf trafen sie sich mit Threema-Vertretern, um über deren Arbeit und deren Veröffentlichung zu sprechen. Am 29. November 2022 hat Threema ein neues Protokoll, „Ibex“, veröffentlicht, um mögliche Angriffe weiter abzuschwächen. Das Ibex-Protokoll zielt darauf ab, die Vorwärtssicherheit für die E2E-Schicht in Threema zu gewährleisten.^[10] Von „Ibex“ liegt ein formaler Sicherheitsbeweis vor.^[11]

Entwickelt und gegründet wurde Threema von dem Schweizer Manuel Kasper mit seiner Kasper Systems GmbH. Betreiber des Dienstes ist die Schweizer Firma Threema GmbH. Laut Aussage von Threema befinden sich alle Server des Dienstes in der Schweiz.^[12] Threema bietet ähnlich der Messenger-Matrix einen Vergleich zwischen Threema und anderen Nachrichtensofortversand-Anwendungen an.^[13]

Der Name der Anwendung leitet sich von dem Akronym EEEMA (von engl. End-to-end encrypting messaging application, dt. Nachrichten-Programm mit Ende-zu-Ende-Verschlüsselung) ab. Der Quellcode von Threema ist quelloffen, die Server-Software jedoch nicht.^[14]

Kritik

Im Juli 2019 wurde bekannt, daß die Verschlüsselung von Threema bei einer Infizierung des Mobiltelefons mit dem Geheimdienst-Trojaner „FinSpy“ durch Modifizierung des Betriebssystems von selbigem umgangen werden kann. Dies ist mit dem israelischen Spioange-Programm „Pegasus“ ebenfalls möglich. Die Blogleitung der Netzseite Sicherheitshinweise für Nationalisten veröffentlichte eine Einschätzung zur Sicherheit von Threema.^[15]

Siehe auch

• SimpleX
• Briar
• Telegram
• Conversations
• ObscuraCam
• E-Post
• Signal
• WhatsApp
• Messenger-Matrix

Verweise

• Offizielle Weltnetzseite
• Session [1] – Sofortkommunikation mit Sicherheitsanspruch

Fußnoten