Instant Messaging insbesondere mit dem Smartphone erfreut sich größter Beliebtheit. Dienste wie WhatsApp, iMessage oder die einfache SMS sind hierbei die Spitzenreiter und stellen täglich Aber-Millionen Kurznachrichten zu. Dass hierbei unter Umständen auch mal sensible Daten über die Leitungen huschen und auf den Servern der Anbieter zwischengespeichert werden, oder auf dem Weg dorthin abgegriffen werden, ist vielen hierbei gar nicht bewusst.
Mit Threema ist nun ein neuer Player auf dem Markt aufgetaucht. Dieser trumpft mit einer Ende-zu-Ende-Verschlüsselung des Nachrichtenverkehrs auf: Mittels asymmetrischen Kryptografie wird eine Mitteilung auf der Senderseite mit einem öffentlichen Schlüssel codiert und kann mithilfe eines zweiten privaten Schlüssels erst wieder auf der Empfängerseite dekodiert werden. Dies garantiert, dass auch wirklich nur der gewünschte Empfänger die übermittelte Kurzbotschaft lesen kann.
Wer glaubt, dass dies kompliziert ist, irrt!
Beim erstmaligen Start der App erzeugt jeder Nutzer durch einfaches “Fingerwischen” über ein Codefeld ein öffentlich-privates Schlüsselpaar. Der öffentliche Schlüssel wird dann zusammen mit einer ID auf einem KeyServer gespeichert. Bei Übermittlung der ersten Nachricht werden das Schlüssel/ID-Pakete unter den Kontakten ausgetauscht, die Verschlüsselung (ECC-basierende Verschlüsselung) ist aktiviert.
Wer ganz sicher gehen möchte, kann diese Schlüssel/ID-Kombinationen auch per QR-Code austauschen. Durch abscannen des jeweiligen Codes mit dem SmartPhone lässt sich die korrekte Identität des Kontakts persönlich bestätigen, so dass ein Man-in-the-Middle-Angriff ausgeschlossen werden kann.
Sicherheits-Punkte geben Gewissheit über die Identität:
Stufe 1 (rot): ID und öffentlicher Schlüssel wurden vom Server geholt, weil zum ersten Mal von diesem Kontakt eine Nachricht eingetroffen ist (oder der Kontakt manuell hinzugefügt wurde). Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer/E-Mail), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
Stufe 2 (orange): der Kontakt wurde im Adressbuch gefunden (mit Handynummer oder E-Mail). Da der Server Handynummern und E-Mail-Adressen prüft (SMS bzw. E-Mail mit Aktivierungslink), kann man sich relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
Stufe 3 (grün): der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes überprüft. Solange das Gerät dieser Person nicht gestohlen/gehackt wurde, ist es ausgeschlossen, dass ein Dritter Nachrichten von dieser Person fälschen oder Nachrichten an diese Person mitlesen kann.
Weitere Informationen zu der App findet sich auf den Seiten des Schweizer Herstellers.
Fazit: Genau wie bei WhatsApp ist es auch mit Threema möglich, Fotos, Videos und Standort zu teilen. Wer wert darauf legt, dass seine Kurzmitteilungen Ende-zu-Ende verschlüsselt beim Empfänger ankommen und von Dritten nicht gelesen werden können, kann sich diese App als Android-Version oder iOS-Ausgabe über die jeweilige Stores kostenpflichtig herunterladen.
