Das Threema-Experiment – Teil 2: Threema – simpel eingerichtet, aber schwer verschlüsselt

Durch den Kauf von WhatsApp durch Facebook hat Threema in den vergangenen Tagen eine ungeahnte Zuwanderung neuer Nutzer bekommen. Laut eigenen Angaben hat man seine Nutzerzahlen über Nacht verdoppeln können. Dass ich gerade umgestiegen bin und das Experiment Threema durchführe, hat rein gar nichts mit dem Aufkauf von WhatsApp zu tun. Ich habe diesen weder geahnt, noch das Experiment erst danach gestartet. Ich habe mich von WhatsApp aus den vorhergehenden Gründen getrennt und bereue bis heute nichts. Im heutigen Artikel möchte ich euch kurz erklären, was Threema ist, wie es funktioniert und wie ihr es einrichtet.

Was ist Threema

Threema ist ein ganz gewöhnlicher Messenger, wie der Messenger von Facebook, WhatsApp, Lime, Telegram und wie sie alle heißen. Letztlich hast du eine Liste mit all deinen Kontakten, kannst Einzelnachrichten und Gruppenchats führen, Dateien hin und her senden und das ganze via Internet. Dabei werden deine Nachrichten ähnlich WhatsApp nur solange auf den Servern gespeichert, wie sie nicht zugestellt wurden. Kommt der Kontakt online und ruft seine Nachrichten ab, so werden diese auch von den Servern gelöscht (da traue ich Threema aber mehr als WhatsApp, dass es wirklich geschieht -.-).

Threema setzt seinen Fokus allerdings ganz klar auf die Sicherheit und Verschlüsselung der Nachrichten und möchte sich dadurch hervorheben. Hierbei kommt den Entwicklern nicht nur zugute, dass sie aus der Schweiz kommen, die Server für den Nachrichtenversand in der Schweiz stehen und somit noch strengere Datenschutzbestimmungen als in Deutschland zu berücksichtigen haben, sondern auch das Setzen auf eine End-zu-End-Verschlüsselung. Das heißt also, dass eure Nachrichten auf eurem Smartphone verschlüsselt, dann an den Server gesendet und erst wieder beim Chatpartner auf dem Gerät entschlüsselt werden.

Da man hier auf eine asymmetrische ECC-Verschlüsselung, mit einer Stärke von 255 Bits setzt, kann niemand zwischen dem Sender und dem Empfänger diese Nachrichten entschlüsseln. Das heißt, dass nicht mal die Entwickler selber auf dem Server Zugriff auf die Klartext-Nachrichten haben.

Funktionsweise

Wie bereits erwähnt, wird bei Threema ein großer Wert auf Verschlüsselung gesetzt. Hierbei kommen sogenannte öffentliche und private Schlüssel zur Anwendung. Beim Einrichten von Threema (siehe weiter unten) wird praktisch ein vollkommen willkürlicher und individueller privater Schlüssel aus Zahlen und Buchstaben generiert, der theoratisch und auch unter normalen Verhältnissen praktisch unerratbar ist.

Im weiteren Verlauf der Einrichtung meldet man sich dann bei den Threema-Servern an und bekommt eine achtstellige Identifikationsnummer zugewiesen. Diese ID ist mit einem öffentlichen Schlüssel verknüpft, der auf den Servern von Threema liegt.

Nun hat man auch die Möglichkeit seine Telefonnummer beziehungsweise eine Email-Adresse bei Threema zu registrieren, was den Vorteil hat, dass andere dich in ihrer Liste finden, wenn sie eins von beiden in deinen Kontaktdaten gespeichert haben.

Die Nachrichten werden also generell mit der starken Standard-ECC-Verschlüsselung verschlüsselt. Um allerdings wirklich zu verhindern, dass die Daten unterwegs geknackt werden, werden die Nachrichten auch in Kombination mit dem öffentlichen und dem privaten Schlüssel vercryptet. Sprich, der Postbote sieht zwar auch nie was in einem Paket enthalten ist, weil im Standard Paketpapier drum herum ist, aber wenn das Päckchen zusätzlich ein Schloss hat, wozu nur die beiden Chatteilnehmer den Schlüssel besitzen, kann auch der Postbote nicht heimlich lunschen :-).

Damit ist schon fast das ganze Prinzip erklärt. Threema setzt jetzt nämlich auf drei Sicherheitsstufen, die letztlich ebendiese Vertrauenswürdigkeit des Nachrichtenverkehrs widerspiegeln sollen.

Rot:

Die rote Sicherheitsstufe erscheint dann, wenn ich keinerlei Daten von dem Gegenüber habe. Ich habe ihn also über seine achtstellige ID hinzugefügt und habe somit weder den öffentlichen, noch den privaten Schlüssel von ihm. Somit wird der Nachrichtenverlauf zwar mit dem Standard verschlüsselt, aber es ist und bleibt der Standard.

Orange:

Diese Stufe wird so ziemlich die häufigste in eurer Kontaktliste sein. Diese sagt aus, dass die Threema-Server Daten haben, die auch bei dir lokal vorliegen. Ob nun die Handynummer oder die Email-Adresse des Nutzers, aber somit ist es schon mal möglich, den öffentlichen Schlüssel vom Server herunterzuladen und euren Nachrichtenversand in Kombination mit dem Standard zu verschlüsseln.

Grün:

Die grüne Stufe heißt, widererwarten, dass ihr auf höchster Sicherheitsstufe miteinander kommuniziert. Das bedeutet also, dass man den anderen mal getroffen hat und seine ID abgescannt oder abgetippt hat und sie dem eigenen lokalen Kontakt zugeordnet hat. Somit hat man also den privaten Schlüssel des anderen und die künftigen Nachrichten werden mit ECC-Standard, dem öffentlichen Schlüssel und dem privaten Schlüssel kombiniert verschlüsselt.

[tl-hinweis Der private Schlüssel verlässt euer Gerät niemals! Nicht mal Threema weiß ihn. Er wird lokal erstellt und sollte daher niemals über das Netz verschickt werden. Orange reicht vollkommen aus und für grün solltet ihr euch wirklich beim nächsten Treffen kurz zusammensetzen und euch gegenseitig abscannen!!!]

Einrichtung

Anfangen müssen wir logischerweise mit dem Herunterladen und Installieren von Threema.

[appbox googleplay ch.threema.app]

[appbox appstore 578665578]

[tl-hinweis Ja die App kostet einmalig 1,79 €. Da allerdings Threema damit im Gegensatz zu WhatsApp gleich von Anfang an ein Finanzierungskonzept vorgestellt hat, kann man sich schon ein wenig sicherer sein, dass da keine Daten verkauft werden und nicht irgendwann Werbeeinblenungen erscheinen. Sicherheit sollte einem das wenige Geld wert sein!]

Nach der erfolgreichen Installation begrüßt euch der erste Bildschirm, wo ihr mit einem eurer Finger einen ganz persönlichen Schlüssel generieren müsst. Hier einfach ein wenig den Finger bewegen bis der Balken oben voll ist.

Im nächsten Bildschirm wird euch eure ID angezeigt, die ihr euch zwar merken könnt, aber nicht unbedingt braucht.

Nun könnt ihr noch Threema die Erlaubnis erteilen, euer Telefonbuch zu durchsuchen.

[tl-hinweis Hierbei werden die Daten nur kurz auf den Servern abgeglichen und sofort wieder gelöscht. Sprich, es findet nach eigenen Angaben keine Langzeitspeicherung statt. Aus diesem Grund kann es vorkommen, dass neu hinzugefügte Kontakte erst nach 24 Stunden korrekt angezeigt werden (also auch wenn Handynummer oder Email-Adresse eigentlich im Telefonbuch vorhanden sind). Denn der Abgleich erfolgt nur alle 24 Stunden.]

Also Empfehlung? Schaltet es an!

Im nächsten Schritt könnt ihr euch nun über eure Handynummer und/oder Email-Adresse authentifizieren. Hier müsst ihr einfach abwägen, was eure Kontakte im meisten Falle von euch haben. Ihr solltet aber auf jeden fall eines von beiden machen.

Nach der Registrierung eines Datensatzes könnt ihr euch noch einen öffentlichen Nicknamen ausdenken, der bis dato allerdings nur bei iOS-Geräten angezeigt wird.

Im letzten Schritt könnt ihr noch überlegen, ob ihr ein Passwort erstellen wollt zum Schutze der Threema-App. Diese muss wie die PIN-Nummer beim Neustart des Gerätes erneut eingeben werden. Muss nicht, solltet ihr aber vergeben. Allerdings solltet ihr euch das Passwort gut merken, denn ohne kommt ihr da nicht mehr ran und wäre ja schade um die Nachrichten.

Fertig? Fertig. Das war´s auch schon. Nicht schlimm oder? :-)

Besonderheiten

Joar, Threema ist eben kein WhatsApp. Weder hat man eine fünfjährige Bestehensgeschichte zu verzeichnen, noch die große Nutzerschaft bisher. Das muss man sich immer wieder vor Augen führen und auch ich entdecke bis heute immer wieder neue Eigenarten oder Funktionen, die diese App mit sich bringt. Der Mensch ist eben ein Gewohnheitstier und man sollte Threema nicht gleich abstempeln, nur weil da einige Sachen anders sind als beim geliebten WhatsApp. Gebt dem ganzen eine Chance.

Einige Dinge habe ich den Threema-Entwicklern bereits geschrieben und ich hoffe, dass alsbald ein Update mit den Umsetzungen herauskommt.

Bisherige Fehlerliste bzw. fehlende Funktionen, die mir aufgefallen sind:

Teilnehmer nachträglich zum Gruppenchat hinzufügen

Man kann zwar Gruppenchats erstellen, allerdings keine Teilnehmer mehr nachträglich hinzufügen. Hierbei muss man immer wieder eine neue Gruppe erstellen, was natürlich nicht nur den Nachrichtenverlauf nichtig macht, sondern auch ein bisschen Arbeit bedeutet. Dringende Umsetzung erwünscht

Bestätigung auch als Push

Man kann sich das “Joar”, “Jo”, “Ok” und “Jop” als Bestätigung des Nachrichtenlesens bei Threema sparen, denn bei langem Druck auf eine Nachricht bekommt diese einen Haken und suggeriert dem Gegenüber eine Bestätigung, dass man die Nachricht gelesen und verstanden habe. Problem ist nur, dass man nicht ständig wieder reinschaut und vielleicht auf eine Antwort wartet und dann reinschauen muss um das Häkchen zu sehen. Besser wäre hier eine Benachrichtigung, dass die Nachricht bestätigt wurde. Ebenfalls dringende Umsetzung erwünscht.

Dateiversand unterstützt bisher nicht alle Dateien

Der Dateiversand unterstützt derzeit leider nicht jeden Dateityp. Sollte ebenfalls dringend aktualisiert werden.

Medien-Dateien nicht als im Dateisystem bei Android

Bei WhatsApp habe ich mir mit Tasker meine erhaltenen Bilder und Videos via WhatsApp immer auf dem PC abgespeichert, um diese auch irgendwie zu archivieren. Bei Threema gibt es die Möglichkeit nur in der iOS-Version. Bei Android kann man nur die Auflösung einstellen, aber nicht dass man die Mediendateien herunterladen kann.

Fazit

Kurzes Fazit – gebt Threema eine Chance. Teilt diesen Beitrag, redet mit Freunden über Verschlüsselung und Co. und beschäftigt euch mit dieser oder anderen Apps, die ihren Fokus auf Sicherheit der Nutzerdaten gelegt haben. Threema war für mich die wirklich sinnvollste Alternative, aber das erfahrt ihr im nächsten Teil der Serie. Also folgt uns fleißig und verpasst nicht die Fortsetzung.