HH maczarr.de

Sicheres Instant-Messaging mit Threema

Seit etwa 1 1/2 Jahren nutze ich nun schon Threema für mein Instant-Messaging soweit möglich und meine häufigsten Kontakte sind glücklicherweise auch bereits gewechselt. Ein besonderer Tag war der, an dem verkündet wurde, dass WhatsApp - der Platzhirsch der IM-Dienste - von Facebook gekauft wurde. An diesem Tag bekam ich diverse neue Kontakte und viele sind auch geblieben. Wann immer jemand bei WhatsApp und Threema ist nutze ich die Kontaktmöglichkeit per Threema.

Lange hatte WhatsApp keinerlei Verschlüsselung, dann wurde eine Verbindungsverschlüsselung eingeführt und vor kurzem tatsächlich sogar Ende-zu-Ende-Verschlüsselung. Doch das Unternehmen gehört nach wie vor Facebook und die Metadaten (wer kommuniziert wann mit wem etc.) stehen dem Social Network auch bei Verschlüsselung zur Verfügung.

Doch auch Threema ist nicht perfekt, denn das Unternehmen bietet keine Open Source-Software - man muss dem schweizerischen Unternehmen vertrauen, dass seine Absichten und dessen Umsetzungen so sind, wie behauptet wird.

Was ist Ende-zu-Ende-Verschlüsselung?

Ende-zu-Ende-Verschlüsselung ist eigentlich einfach und erklärt sich schon durch die Bezeichnung: Sende ich eine Nachricht per Threema beispielsweise an meinen Kumpel Olli wird meine Nachrichten bereits bei mir am Smartphone verschlüsselt, anschließend dann wird die verschlüsselte Nachricht losgeschickt und ist somit unterwegs nicht lesbar. Bei Olli angekommen wird die Nachricht für die Anzeige auf seinem Smartphone mittels Threema wieder entschlüsselt und erst dort lesbar. Die Verschlüsselung erstreckt sich als von einem Ende der Kommunikationsteilnehmer (meinem Smartphone) zum anderen Ende der Kommunikationsteilnehmer (Ollis Smartphone).

Die Einstiegshürden

Threema kostet etwas, allerdings ist "etwas" genau der richtige Begriff, denn es kostet 1,60 Euro. Dennoch ist das für Menschen, die sich Smartphones im Wert mehrerer hundert Euro kaufen, anscheinend ein absoluter Hinderungsgrund weniger als zwei Euro in ihre Privatsphäre zu investieren. Immer wieder bekomme ich ein heulsusiges "das kostet aber" entgegen, wenn ich Threema erwähne.
Einmal eingerichtet (und das ist auch einfach) kann man Threema genauso simpel benutzen, wie jede andere bekannte IM-App auch. Keine Passwörter, die man ständig eintippen muss oder ähnliches.

Weitere Sicherheit

Threema bringt neben der Ende-zu-Ende-Verschlüsselung noch weitere Features zum Thema Sicherheit mit. Man kann Backups anlegen, um bei einem Datenverlust nicht komplett alles verloren zu haben oder wenn man ein neues Smartphone bekommt.

Was ist, wenn einem das Smartphone mal geklaut wird? Die Nachrichten werden zwar Ende-zu-Ende-verschlüsselt übertragen, aber auf dem Smartphone wären sie dann frei lesbar. Für Threema lässt sich nochmal eine gesonderte PIN-Sperre einstellen, die nach mindestens 30 Sekunden aktiv wird.

Nun kommt eine Person nicht mehr durch Diebstahl des Smartphones in die App - empfangene, lokal gespeicherte Daten (Bilder z.B.) liegen nun aber noch immer frei zugänglich auf dem Gerät - man glaubt gar nicht, wie viele Leute heute noch immer keine Display-Sperre für ihr Smartphone haben... Aber auch da hat Threema etwas in petto: mit einem gesonderten Hauptschlüssel verschlüsselt Threema auch auf dem Smartphone nochmal alle lokal gespeicherten Daten.

Und was ist mit der Benutzerfreundlichkeit? Ja, Sicherheit hat ihren Preis und ich meine jetzt nicht die Kosten für die App. Aber es hält sich in Grenzen. Nutzt man alle Sicherheitsfeatures von Threema gibt man einmalig beim Starten der App den Hauptschlüssel zum Entschlüsseln der lokalen Daten ein. Beendet man die App nicht ständig benötigt man den Hauptschlüssel selten. Wie häufig man den PIN eingeben muss hängt davon ab, wie schnell man die Sperre eingestellt hat - also ab wann die PIN nach Nichtnutzung der App abgefragt werden soll (Werte von 30 Sek. bis 30 Minuten sind möglich).

Privatsphäre

Für die Privatsphäre lässt es sich deaktivieren, dass eine Lesebestätigung an den Sender einer Nachricht übertragen wird und dass nicht gemeldet wird, dass man gerade eine Nachricht tippt. Außerdem kann man Ausschlusslisten für die Kontakt-Synchronisation erstellen und Kontakte blockieren, sowie unbekannte Kontakte von vornherein blockieren. Die Kontakt-Synchronisation lässt sich natürlich auch insgesamt deaktivieren.
Für den App-Switcher von Android (keine Ahnung wie der Task-Manager bei Apple heißt) kann man verhindern, dass Screenshots der App gemacht werden, in denen sensible Daten abgebildet sein könnten.

Eine weitere App in diesem Bereich ist Textsecure, die dazu auch noch Open Source ist und einer Quellcode-Untersuchung durch unabhängige Sicherheitsprofis standgehalten hat. Da ich Textsecure nicht nutze möchte ich hier aber gar keinen unqualifizierten Vergleich anstellen.

Technik