Threema – Die WhatsApp-Alternative mit Ende-zu-Ende-Verschlüsselung

Instant Messaging insbesondere mit dem Smartphone erfreut sich größter Beliebtheit. Dienste wie WhatsApp, iMessage oder die einfache SMS sind hierbei die Spitzenreiter und stellen täglich Aber-Millionen Kurznachrichten zu. Dass hierbei unter Umständen auch mal sensible Daten über die Leitungen huschen und auf den Servern der Anbieter zwischengespeichert werden, oder auf dem Weg dorthin abgegriffen werden, ist vielen hierbei gar nicht bewusst.

Mit Threema ist nun ein neuer Player auf dem Markt aufgetaucht. Dieser trumpft mit einer Ende-zu-Ende-Verschlüsselung des Nachrichtenverkehrs auf: Mittels asymmetrischen Kryptografie wird eine Mitteilung auf der Senderseite mit einem öffentlichen Schlüssel codiert und kann mithilfe eines zweiten privaten Schlüssels erst wieder auf der Empfängerseite dekodiert werden. Dies garantiert, dass auch wirklich nur der gewünschte Empfänger die übermittelte Kurzbotschaft lesen kann.

Wer glaubt, dass dies kompliziert ist, irrt!

Beim erstmaligen Start der App erzeugt jeder Nutzer durch einfaches “Fingerwischen” über ein Codefeld ein öffentlich-privates Schlüsselpaar. Der öffentliche Schlüssel wird dann zusammen mit einer ID auf einem KeyServer gespeichert. Bei Übermittlung der ersten Nachricht werden das Schlüssel/ID-Pakete unter den Kontakten ausgetauscht, die Verschlüsselung (ECC-basierende Verschlüsselung) ist aktiviert.

trema2

Wer ganz sicher gehen möchte, kann diese Schlüssel/ID-Kombinationen auch per QR-Code austauschen. Durch abscannen des jeweiligen Codes mit dem SmartPhone lässt sich die korrekte Identität des Kontakts persönlich bestätigen, so dass ein Man-in-the-Middle-Angriff ausgeschlossen werden kann.

Threema-Screenshots-iPhone

Sicherheits-Punkte geben Gewissheit über die Identität:

  • Level 1 Stufe 1 (rot): ID und öffentlicher Schlüssel wurden vom Server geholt, weil zum ersten Mal von diesem Kontakt eine Nachricht eingetroffen ist (oder der Kontakt manuell hinzugefügt wurde). Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer/E-Mail), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
  • Level 2 Stufe 2 (orange): der Kontakt wurde im Adressbuch gefunden (mit Handynummer oder E-Mail). Da der Server Handynummern und E-Mail-Adressen prüft (SMS bzw. E-Mail mit Aktivierungslink), kann man sich relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
  • Level 3 Stufe 3 (grün): der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes überprüft. Solange das Gerät dieser Person nicht gestohlen/gehackt wurde, ist es ausgeschlossen, dass ein Dritter Nachrichten von dieser Person fälschen oder Nachrichten an diese Person mitlesen kann.

Weitere Informationen zu der App findet sich auf den Seiten des Schweizer Herstellers.

Fazit: Genau wie bei WhatsApp ist es auch mit Threema möglich, Fotos, Videos und Standort zu teilen. Wer wert darauf legt, dass seine Kurzmitteilungen Ende-zu-Ende verschlüsselt beim Empfänger ankommen und von Dritten nicht gelesen werden können, kann sich diese App als Android-Version oder iOS-Ausgabe über die jeweilige Stores kostenpflichtig herunterladen. 

20 thoughts on “Threema – Die WhatsApp-Alternative mit Ende-zu-Ende-Verschlüsselung”

  1. Hallo, mag sein, dass es eine Alternative ist. Aber dies muss sich erst einmal durchsetzen und von Freunden, Bekannten und Kollegen ebenfalls installiert werden. Und genau da sehe ich dem Ganzen nicht positiv entgegen. Trotzdem vielen Dank für die Vorstellung der App.

    1. Hallo,

      stimmt – das Problem der (noch) schlechten Verbreitung bleibt. Aber je mehr mitmachen, destso schneller wird eine breite Basis an Usern entstehen. Einfach mal die Antworten priorisieren – in dem einen Programm erst nach ner Stunde antworten, in dem bevorzugtem Messenger dafür zeitnah. Sowas wirkt als Meinungsverstärker erstaunlich gut 🙂
      Grüße,
      MW, ABBZ

  2. Möglicherweise eine gute App. Ich bin auch bereit die Kosten von 1,60 € zu bezahlen. Dazu muss ich Google aber meine Kreditkartendaten hinterlassen. Das möchte ich aber nicht. Mal abgesehen vom Datenklau, wenn mir das Handy abhanden kommt, kann ggf. eine andere Person auf meine Kosten einkaufen. Leider gibt es keine andere Möglichkeit zur Bezahlung. Nun nutze ich weiter WhatsApp. Außerdem kenne ich niemanden, der die hier vorgestellte App nutzt. Das wird sich mit der Zeit sicherlich ändern. Eventuell dann, wenn für WhatsApp die kostenfreie Nutzung abgelaufen ist.

    1. Das Argument Kreditkarte zählt echt nimmer:
      Leute hat es sich immer noch nicht rumgesprochen dass es in Supermärkten, Mediamärkten, Rewe, Saturn und sonst wo jetzt Guthabenkarten wie bei Itunes gibt? Playstore Guthaben zu 15 und 25 € hab ich zumindest schon gesehen (und gekauft)

  3. ABER , 2 Hacken hat die Sache …

    “Der öffentliche Schlüssel wird dann zusammen mit einer ID auf einem KeyServer gespeichert. ”
    …abgreifbar !!!

    “Weitere Informationen zu der App findet sich auf den Seiten des Schweizer Herstellers.”
    … Hallo Nicht EU-Staat mit eigenen Gesetzen und Regeln…

    Denkt mal drüber nach, ob das ne Alternative ist.

    1. Der öffentliche Schlüssel dient nur zum Verschlüsseln, mit ihm kann nicht entschlüsselt werden. Zum Entschlüsseln benötigt man den privaten Schlüssel und dieser ist geheim, diese Methode der asymmetrischen Verschlüsselung ist sehr sicher.

      Und das die App aus der Schweiz kommt empfinde ich auch keinesfalls als Haken, dieses Land ist doch für seine Verschwiegenheit und Seriösität bekannt. Ist mir jedenfalls viel sympathischer als ein US-amerikanischer WhatsApp-Server, aber das muß jeder für sich entscheiden.

    2. Aber der persönliche Schlüssel wird von Threema selbst generiert bzw. zumindest letztlich benutzt. Auch der öffentliche Schlüssel. Hab ich die Schlüssel, kann ich die Nachrichten mitlesen. Außer die Nachrichten würden verändert beim mitlesen sodass ich dies mitbekommen würde. Aber davon ist mir nichts bekannt!?
      Ich muss also am Ende immer noch der Software selbst vertrauen. Und Threema ist nicht open source.

      Wenn am Ende der Skandal ist, dass die Schlüssel mißbraucht wurden, weil sie doch irgendwie auf die Server gelangt sind, hat man nichts gekonnt. Klar, klingt paranoid. Aber wenn man schon meint, seine Kommunikation verschlüsseln zu müssen, dann sollte man auch paranoid sein, oder?

    3. Klar darfst du paranoid sein, aber es nützt der Allgemeinheit oder konkret, deinem Umfeld, nichts, null, Nada.

      Ich bin auch auf Threema umgestiegen. Bereits 75% meiner Freunde auch – wer kein Geld hat, dem bezahle ich gerne die paar Cents, wer nicht mitzieht, ist nicht ein echter WhatsApp “Freund” und der Verlust stört nicht im geringsten, im Gegenteil.

      In erster Linie ist es positiv beeindruckend, merkt Herr und Frau Europäer, dass Verschlüsselung nicht nur für Geeks sein muss. Darum geht es heute, finde ich, um hohe Verschlüsselung für auch echt dumme Mitmenschen. Das bräuchten wir seit Jahren auch bei eMail, surfen oder FTP.

      Und die Ausrede “Ich habe nichts zu verbergen” ist echt ein Mist. Wenn die WhatsApp Server gehackt werden, und dein Chatverlauf inkl. Bildern und Videos auf Torrent landen würden (hübsch nach Handy-Nummern sortiert) – ich, deine “Freunde” und deine Verwandten würden deine Logs sofort lesen, amüsieren und dann hämisch weiterverbreiten, du Narr 😉

  4. Ich habe mir die App auf jeden Fall mal geholt. Das einzige Problem ist derzeit halt noch, dass kaum ein Anderer Threema benutzt. Aber das dürfte sich schnell ändern wenn man die Downloadzahlen betrachtet. Von daher sicherlich eine interessante Alternative 🙂

  5. Ich nutze die App schon länger, auch vor dem ganzen Hype und ich kann sie nur Empfehlen, aber ich denke gegen die starke Konkurrenz von Whatsapp ist sie machtlos…. wobei wer weiß was Facebook in nächster Zeit alles so mit Whatsapp anstellt.

    1. Hallo Chris,

      obwohl wir schon vor einem 3/4 Jahr über diese APP berichtet haben, rückt es jetzt ins richtige Licht. Der Beliebtheitsgrad und die zunehmenden Aspekte in Richtung Sicherheit von Threema, werden für viele Anwender zur echten Alternative.

      Grüße,
      TB, ABBZ

  6. Freut mich, dass so langsam bei jedem das Interesse für Sicherheit und Verschlüsselung geweckt wird. Viele denken ja “Ich hab nix zu verheimlichen” oder “so interessant bin ich nicht”, aber in Wahrheit muss man ernsthaft fragen:

    Interessiert es euch auch dann nicht, wenn die Briefumschläge in eurem Briefkasten geöffnet und mit einem Tesa-Streifen wieder verklebt wurde? – nichts anderes ist WhatsApp! Kurz mal im WLAN eines “bekannten” oder öffentlichen WLANs eingeloggt und dann passiert es: Man bekommt eine WhatsApp Nachricht und antwortet darauf. Die Nachricht wird unverschlüsselt bzw. sehr schlecht Verschlüsselt übertragen und jemand anders kapert den Account.

    Leider ist Threema nur für iOS und Android verfügbar, wer aber bei der Online Petition mitmachen möchte, kann evtl. bald Threema für Windows Phone oder Blackberry herunterladen: http://www.change.org/de/Petitionen/kasper-systems-gmbh-threema-wir-fordern-eine-ausweitung-der-app-auf-andere-plattformen-u-a-windows-phone-8

  7. Hallo Halbwissen!

    Zum einen nimmt sich Threema eine ganze Menge Rechte raus und zum anderen hat bislang NIEMAND die Sicherheit dieses Dienstes auch überprüfen können, da closed-source. Wofür braucht der angeblich so sichere Dienst bitte die ganzen Berechtigungen und was machen die damit? Fragen, die angesichts des aktuellen Hypes um Pseudosicherheit niemand der ganzen selbsternannten Experten stellt. Also funktioniert da in erster Linie das Marketing aus der Schweiz, nicht zwingend die Verschlüsselung.

    Von Euch hätte ich erwartet, dass Ihr nicht stumpf auf diesen Zug aufspringt, sondern nur schreibt, was Ihr auch belegen könnt. Da habe ich mich in diesem Fall allerdings getäuscht. Würde der Autor jetzt und hier erklären, er könne das Funktionsprinzip von Threema bestätigen, würde er lügen.

  8. Mich würde mal interessieren, wie Threema auf das wohl kommende Update von Whats App reagiert. Angeblich soll das neue Update ebenfalls mit einer Ende-zu-Ende Verschlüsselung ausgerollt werden. Ich persönlich benutze Threema und kann mir nicht vorstellen, dass Whatsapp wirklich sicher wird. Das würde mich doch sehr wundern. Davon abgesehen, passt überhaupt nicht in das Bild von Mr. Zuckerberg.
    Ich bleibe gespannt.

Kommentare sind geschlossen.