Threema ist ein Instant Messenger für persönlichen oder Gruppenchat, ähnlich wie WhatsApp. Er verschlüsselt standardmäßig die gesamte Kommunikation zwischen den Teilnehmern. Die Server stehen in der Schweiz.

Seit Facebook WhatsApp aufgekauft hatte, ist Instant Messaging plötzlich wieder hipp. Jeder rennt mit seinem Handy vor der Nase herum und tippt oder spricht allerlei wichtige und unwichtige Nachrichten in das Gerät.

Die meisten der – überwiegend minderjährigen – Nutzer machen sich dabei keinerlei Gedanken, dass ihre Daten vollständig les- und indexierbar über amerikanische Server geleitet werden.

Threema ist ähnlich wie WhatsApp

Threema ist für ale großen Smartphone-Plattformen – auch Windows-Phone und als Web-App verfügbar

Wer sich zu diesem Thema vor ein paar Jahren mehr Gedanken machte, griff schon bald zu Alternativen wie Threema. Deren Entwickler versprachen, die Daten ihrer Kunden bestimmt nicht zu scannen und zu analysieren und ausserdem auch dafür Sorge zu tragen, dass die Server in sicheren Drittländern – in diesem Fall in der Schweiz – stehen. Dieses kleine Detail ist nämlich besonders wichtig, denn die gesammte Kommunikation der Messenger läuft asynchron und muss deshalb auf einem Server zwischengespeichert werden. Daran hat sich nichts geändert. Threema ist immernoch eine sehr gute Alternative zu WhatsApp. Ich muss aber zugeben, dass ich es schon lange nicht mehr benutze.

Threema ist vom Prinzip genauso aufgebaut wie der Platzhirsch WhatsApp

Früher wurde auch hier wird die Telefonnummer als Erkennungsmerkmal verwendet und auch hier wird das persönliche Telefonverzeichnis auf den Server hochgeladen, wenn der Nutzer dazu seine Einwilligung gibt. Es lassen sich also auf diesem Weg leicht persönliche Beziehungen über große Gruppen herstellen. Unter Datenschutzaspekten ist das nicht ideal.

Mittlerweile, so schreibt der Hersteller, ist die Identität bei Threema nicht mehr an eine Rufnummer gebunden. Bei der ersten Nutzung vom Threema wird jedem Nutzer eine zufällig erzeugte, achtstellige Threema ID zugeteilt. Diese Threema ID ist die eindeutige Adresse bei Threema. Dadurch ist es möglich, Threema komplett anonym zu benutzen, ohne private Daten preisgeben zu müssen.

Threema ver- und entschlüsselt mit einem asynchronen Schlüsselpaar

Daraus wird dann ein Schlüsselpaar erzeugt (genauso wie die asynchrone Verschlüsselung bei PGP). Der private Schlüssel verbleibt auf dem Handy, während der öffentliche Schlüssel auf die Threema-Server hochgeladen wird, welche diesen an Ihre Gesprächspartner verteilen. Auf dem Handy der Gesprächspartner werden Nachrichten mit dem öffentlichen Schlüssel verschlüsselt. Diese Nachrichten können ausschliesslich mit dem privaten Schlüssel wieder entschlüsselt werden. Das Prinzip erklärt auch die Probleme mit dem Webclient (siehe unten), denn man braucht immer den Zugriff auf den privaten Schlüssel auf dem Smartphone, um die Kommunikation zu entschlüsseln.

Eine Ausnahme stellt Threema deshab dar, weil sie auch einen Client für Windows-Phone parat haben. Gerade Nutzer dieses Spartenphones werden von anderen Entwicklern ja eher stiefmütterlich behandelt (Das ist vielleicht ein Grund, über einen Wechsel nachzudenken ;-).

Threema Web für den PC

Threema bietet auch einen Webclient

Mit Threema Web kann man den Dienst auch bequem vom PC oder Notebook aus nutzen, wie bei ähnlichen Diensten auch. Damit hat man, wie der Hersteller zu Recht feststellt, den vollem Zugriff auf Chats, Kontakte und Medien. Gerade in letzterem Fall ist das sehr praktisch, um Fotos oder Audioaufzeichnungen lokal zu sichern.

Diese Funktion funktioniert, soweit ich verstanden habe, vorerst nur zusammen mit einem Android-Smartphone, da dieses über einen QR-Scan den Kontakt herstellen und freigeben muss. Das ist natürlich ziemlich umständich, denn das heißt ja, dass ich mich ohne die Freigabe mit dem Android-Phone nicht bei Threema einloggen kann. Das haben Konkurrenten wie Wire (siehe dort) besser gelöst. Immerhin ist hier der Quellcode frei zugänglich und Open Source. Außerdem werden offene Standards wie WebRTC und SaltyRTC verwendet.

Seit einiger Zeit verschlüsselt auch WhatsApp seine Daten mit einem als sicher geltenden Protokoll (siehe Signal). Bleibt noch die Frage, ob diese Daten auch wirklich sicher verschlüsselt sind und ob der Standort der Server nicht doch noch eine Rolle spielt. Schließlich sind US-amerikanische Firmen der amerikanischen Gesetzgebung unterworfen und deren Geheimdienste sind bekanntlich nicht zimperlich, wenn es darum geht, an Daten von Nutzern heran zu kommen. Threema und Kollegen bleiben deshalb sicher auf Weiteres die bessere Wahl.

Nachtrag: Besonders freut mich, dass es Threema für Android neuerdings direkt beim Hersteller in einem eigenen Store zu kaufen gibt. Das löst das Problem, auf einem “google-freien” Smartphone, etwa auf Basis von LineageOS, die App zu installieren.

 

  • Pro: Kommuniktion vollständig verschlüsselt mit perfect forward secrecy, Chat, auch Gruppenchat, Instant Messaging, Sprachübertragung,  Videoübertragung, Webclient
  • Contra: Leider immernoch geringe Verbreitung, Nicht quelloffen

 

Links: