Sichere Kommunikation ist ein heikles Thema. Viele verschiedene Faktoren müssen bedacht werden, da neben der Verschlüsselung der Inhalte auch Metadaten und andere Faktoren berücksichtigt werden müssen. In der Gesamtschau schlägt Threema hier die Konkurrenz.

Kommunikation ist hier auf [Mer]Curius schon immer ein wichtiges Thema. Die Artikel zu PGP und sicherer Kommunikation via E-Mail gehörten zu den ersten geschrieben Texten. Die E-Mail Verschlüsselung ist inzwischen jedoch quasi tot (siehe: Die E-Mail wird niemals sicher sein!). Erstens mangels Verbreitung, zweitens weil man es nie geschafft hat, die Anwendungshürden zu senken (siehe: Reale E-Mail Verschlüsselung – Eine Persiflage) und drittens weil außer der reinen Inhalte-Verschlüsselung immer noch so viel zu viel offen liegt – Betreff, Metadaten und vieles mehr. E-Mail Verschlüsselung ist einfach mangels Relevanz nie auf die Höhe der Zeit gebracht worden.

In vielen Artikeln empfehle ich daher auf Messenger auszuweichen, weil diese ein viel höheres Sicherheitsniveau bieten. Abseits einer Übersicht (siehe: Sichere Messenger – Verschlüsselung und Metadaten) habe ich aber nie konkret einen Messenger empfohlen. Persönlich bin ich via iMessage, Signal, Threema und WhatsApp erreichbar (Messenger in alphabetischer Reihenfolge). Wenn man mich fragt welchen Dienst ich präferiere, dann ist dies ganz klar Threema.

Warum Threema?

Threema bietet die beste Kombination aus Sicherheit, Benutzbarkeit und Verbreitung.

1. Finanzierung

Die Apps von Threema kosten Geld. Sowohl die App für Android als auch iOS kosten gegenwärtig 3,99€. Gelegentlich gibt es Angebote mit günstigeren Preisen. Mit Threema Work gibt es zudem eine Lösung für Unternehmen. Im Gegensatz zu konkurrierenden Lösungen wie Signal oder Telegram ist das Geschäftsmodell von Threema also nachvollziehbar und gibt Anlass zu vertrauen.

2. Verfügbarkeit

Threema existiert für Android und iPhone. Die App für Android kann man zudem auch als APK ohne den Play Stores beziehen. Der Webclient ermöglicht die Nutzung am Desktop. Die Apps wurden für beide Plattformen mehr als 1. Mio Mal gekauft. Threema selbst gibt im Januar 2018 mehr als 4,5 Mio. Nutzer an. Statista sieht die Zahl im Januar 2020 sogar bei 8 Mio Anwender. Threema hat unter den WhatsApp Konkurrenten nach Telegram die meisten Anwender. Die Zahl der Signal-Anwender ist nicht zuverlässig bekannt.

3. Funktionen

Threema bietet alle notwendigen Funktionen und noch einiges mehr. Neben Text- und Sprachnachrichten gibt es die inzwischen obligatorischen Gruppen und Verteilerlisten. Anrufe sind zwischenzeitlich genau so möglich, wie der Dateiaustausch. Hier kann man alle Arten von Dateien inklusive Medien und Standortdaten teilen.

4. Sicherheit

Threema bietet Ende-zu-Ende Verschlüsselung der Inhalte. Dazu greift man auf die quelloffene NaCI Bibliothek zurück. Die Ende-zu-Ende Verschlüsselung lässt sich hierdurch verifizieren, obwohl Threema selbst nicht quelloffen ist.

Inhalte-Verschlüsselung ist allerdings nicht alles, da man nicht weiß, ob die Inhalte wirklich beim beabsichtigten Empfänger landen. Threema stuft den Kommunikationspartner daher in eine von drei Gruppen ein. Rot bedeutet geringe Sicherheit, Gelb heißt der Kontakt entstammt dem Telefonbuch und nur persönlich via QR-Code verifizierte Kontakte erreiche die beste Stufe Grün.

Die Vertrauensstufen verweisen bereits auf ein weiteres Sicherheitsmerkmal. Jeder Anwender verfügt über eine persönliche 8-stellige ID. Die Verknüpfung mit Mobilfunknummer und/oder E-Mail Adresse erleichtert zwar die Auffindbarkeit, ist aber im Gegensatz zu konkurrierenden Angeboten optional.

Threema nutzt zwar zentrale Server, speichert aber so wenig Daten wie möglich. Nachrichten und Daten werden über die Server lediglich weitergeleitet und nur temporär zwischengespeichert. Direkt nach der erfolgreichen Übermittlung werden sie auf dem Server gelöscht. Die freiwillig übertragene Mobilfunknummer oder E-Mail Adresse werden anonymisiert (Hashwert) und nach dem Abgleich sofort gelöscht. Die Schlüssel zur Verschlüsselung werden auf den Endgeräten generiert und verlassen diese nicht.

Sprachanrufe können wahlweise direkt P2P durchgeführt werden. Das stärkt zwar die Sicherheit, da keine zentralen Server als potenzieller Schwachpunkt dazwischen hängen, bedeutet aber die Preisgabe der eigenen IP, weshalb Threema alternativ auch zentrale Server für Sprachanrufe anbietet.

Aber Open Source?

Threema ist nicht quelloffen. Die Entwickler haben weder die Clients noch den Serverpart offen gelegt oder dies angekündigt. Threema hat die Sicherheit aber mehrfach durch Audits überprüfen lassen (zuletzt Anfang 2019) und es wurden keine nennenswerten Schwachstellen gefunden. Ich halte nichts von Open Source-Befürwortern, die glauben auf Basis der Quelloffenheit Empfehlungen geben zu können – selbst wenn die empfohlenen Projekte erhebliche Sicherheitsprobleme haben. Zumal nur sehr wenige Menschen wirklich in der Lage wären den Quellcode fundiert zu prüfen. Natürlich wäre es schön, wenn Threema seinen Quellcode öffnen würde, aber das wäre das Ende des Business-Modells. Man darf schließlich nicht vergessen, dass die quelloffenen Alternativen alle kein Wirtschaftsmodell haben, sondern von Mäzenen abhängen.

Ebenso mag ich es nicht, wenn die Aspekte digitale Souveränität mit Sicherheit und Datenschutz vermischt werden (siehe: Grundbegriffe: Datenschutz – Datensicherheit – IT-Souveränität). Riot oder Matrix sind nach allen bisherigen Analysen nicht besonders sicher, sondern immer noch experimentelle Baustellen.

Wer wirklich auf allerhöchste Sicherheit angewiesen ist nutzt sowieso keinen der populären Messenger, sondern Spezialsoftware wie Briar. Der Messenger ist quelloffen, verzichtet auf jeden Komfort und stellt Sicherheit über alles.

Zusammengefasst

Threema bietet die richtige Kombination aus Sicherheit, Komfort und Verbreitung. In meiner nicht repräsentativen Kontaktliste nutzen die meisten Menschen WhatsApp, direkt gefolgt von Threema. Es gibt theoretisch vermutlich auch viele iMessage-Nutzer aber Apple hat hier die leichte Auffindbarkeit versaut. Signal oder gar die föderalisierten Dienste verwenden nur sehr wenige Kommunikationspartner.

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein