Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Threema Logo

Sicherer Messenger benötigt? Threema nutzen

Sichere Kommunikation ist ein heikles Thema. Viele verschiedene Faktoren müssen bedacht werden, da neben der Verschlüsselung der Inhalte auch Metadaten und andere Faktoren berücksichtigt werden müssen. In der Gesamtschau schlägt Threema hier die Konkurrenz.

Kommunikation ist hier auf [Mer]Curius schon immer ein wichtiges Thema. Die Artikel zu PGP und sicherer Kommunikation via E-Mail gehörten zu den ersten geschrieben Texten. Die E-Mail Verschlüsselung ist inzwischen jedoch quasi tot (siehe: Die E-Mail wird niemals sicher sein!). Erstens mangels Verbreitung, zweitens weil man es nie geschafft hat, die Anwendungshürden zu senken (siehe: Reale E-Mail Verschlüsselung - Eine Persiflage) und drittens weil außer der reinen Inhalte-Verschlüsselung immer noch so viel zu viel offen liegt - Betreff, Metadaten und vieles mehr. E-Mail Verschlüsselung ist einfach mangels Relevanz nie auf die Höhe der Zeit gebracht worden.

In vielen Artikeln empfehle ich daher auf Messenger auszuweichen, weil diese ein viel höheres Sicherheitsniveau bieten. Abseits einer Übersicht (siehe: Sichere Messenger - Verschlüsselung und Metadaten) habe ich aber nie konkret einen Messenger empfohlen. Persönlich bin ich via iMessage, Signal, Threema und WhatsApp erreichbar (Messenger in alphabetischer Reihenfolge). Wenn man mich fragt welchen Dienst ich präferiere, dann ist dies ganz klar Threema.

Warum Threema?

Threema bietet die beste Kombination aus Sicherheit, Benutzbarkeit und Verbreitung.

1. Finanzierung

Die Apps von Threema kosten Geld. Sowohl die App für Android als auch iOS kosten gegenwärtig 3,99€. Gelegentlich gibt es Angebote mit günstigeren Preisen. Mit Threema Work gibt es zudem eine Lösung für Unternehmen. Im Gegensatz zu konkurrierenden Lösungen wie Signal oder Telegram ist das Geschäftsmodell von Threema also nachvollziehbar und gibt Anlass zu vertrauen.

2. Verfügbarkeit

Threema existiert für Android und iPhone. Die App für Android kann man zudem auch als APK ohne den Play Stores beziehen. Der Webclient ermöglicht die Nutzung am Desktop. Die Apps wurden für beide Plattformen mehr als 1. Mio Mal gekauft. Threema selbst gibt im Januar 2018 mehr als 4,5 Mio. Nutzer an. Statista sieht die Zahl im Januar 2020 sogar bei 8 Mio Anwender. Threema hat unter den WhatsApp Konkurrenten nach Telegram die meisten Anwender. Die Zahl der Signal-Anwender ist nicht zuverlässig bekannt.

3. Funktionen

Threema bietet alle notwendigen Funktionen und noch einiges mehr. Neben Text- und Sprachnachrichten gibt es die inzwischen obligatorischen Gruppen und Verteilerlisten. Anrufe sind zwischenzeitlich genau so möglich, wie der Dateiaustausch. Hier kann man alle Arten von Dateien inklusive Medien und Standortdaten teilen.

4. Sicherheit

Threema bietet Ende-zu-Ende Verschlüsselung der Inhalte. Dazu greift man auf die quelloffene NaCI Bibliothek zurück. Die Ende-zu-Ende Verschlüsselung lässt sich hierdurch verifizieren, obwohl Threema selbst nicht quelloffen ist.

Inhalte-Verschlüsselung ist allerdings nicht alles, da man nicht weiß, ob die Inhalte wirklich beim beabsichtigten Empfänger landen. Threema stuft den Kommunikationspartner daher in eine von drei Gruppen ein. Rot bedeutet geringe Sicherheit, Gelb heißt der Kontakt entstammt dem Telefonbuch und nur persönlich via QR-Code verifizierte Kontakte erreiche die beste Stufe Grün.

Die Vertrauensstufen verweisen bereits auf ein weiteres Sicherheitsmerkmal. Jeder Anwender verfügt über eine persönliche 8-stellige ID. Die Verknüpfung mit Mobilfunknummer und/oder E-Mail Adresse erleichtert zwar die Auffindbarkeit, ist aber im Gegensatz zu konkurrierenden Angeboten optional.

Threema nutzt zwar zentrale Server, speichert aber so wenig Daten wie möglich. Nachrichten und Daten werden über die Server lediglich weitergeleitet und nur temporär zwischengespeichert. Direkt nach der erfolgreichen Übermittlung werden sie auf dem Server gelöscht. Die freiwillig übertragene Mobilfunknummer oder E-Mail Adresse werden anonymisiert (Hashwert) und nach dem Abgleich sofort gelöscht. Die Schlüssel zur Verschlüsselung werden auf den Endgeräten generiert und verlassen diese nicht.

Sprachanrufe können wahlweise direkt P2P durchgeführt werden. Das stärkt zwar die Sicherheit, da keine zentralen Server als potenzieller Schwachpunkt dazwischen hängen, bedeutet aber die Preisgabe der eigenen IP, weshalb Threema alternativ auch zentrale Server für Sprachanrufe anbietet.

Aber Open Source?

Threema ist nicht quelloffen. Die Entwickler haben weder die Clients noch den Serverpart offen gelegt oder dies angekündigt. Threema hat die Sicherheit aber mehrfach durch Audits überprüfen lassen (zuletzt Anfang 2019) und es wurden keine nennenswerten Schwachstellen gefunden. Ich halte nichts von Open Source-Befürwortern, die glauben auf Basis der Quelloffenheit Empfehlungen geben zu können - selbst wenn die empfohlenen Projekte erhebliche Sicherheitsprobleme haben. Zumal nur sehr wenige Menschen wirklich in der Lage wären den Quellcode fundiert zu prüfen. Natürlich wäre es schön, wenn Threema seinen Quellcode öffnen würde, aber das wäre das Ende des Business-Modells. Man darf schließlich nicht vergessen, dass die quelloffenen Alternativen alle kein Wirtschaftsmodell haben, sondern von Mäzenen abhängen.

Ebenso mag ich es nicht, wenn die Aspekte digitale Souveränität mit Sicherheit und Datenschutz vermischt werden (siehe: Grundbegriffe: Datenschutz - Datensicherheit - IT-Souveränität). Riot oder Matrix sind nach allen bisherigen Analysen nicht besonders sicher, sondern immer noch experimentelle Baustellen.

Wer wirklich auf allerhöchste Sicherheit angewiesen ist nutzt sowieso keinen der populären Messenger, sondern Spezialsoftware wie Briar. Der Messenger ist quelloffen, verzichtet auf jeden Komfort und stellt Sicherheit über alles.

Zusammengefasst

Threema bietet die richtige Kombination aus Sicherheit, Komfort und Verbreitung. In meiner nicht repräsentativen Kontaktliste nutzen die meisten Menschen WhatsApp, direkt gefolgt von Threema. Es gibt theoretisch vermutlich auch viele iMessage-Nutzer aber Apple hat hier die leichte Auffindbarkeit versaut. Signal oder gar die föderalisierten Dienste verwenden nur sehr wenige Kommunikationspartner.


Bilder:

Einleitungs- und Beitragsbild ist das offizielle Logo von Threema.

"

Tags: Sicherheit, Verschlüsselung, Kommunikation, Messenger, Threema

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Nutze auch Threema, alle meine Kontakte ebenso. Wers nicht hat dem wirds zur Not gekauft.

Mir fehlen Video Anrufe inzwischen sehr. Man wird älter, die Kinder würden gerne mit den Grosseltern Videochatten, geht aber nicht mit Threema. Das nervt mich sehr. Inzwischen nutzen wir Jitsi dazu jedoch ist dort die Qualität teilweide schlecht, oft hat ein Teilnehmer grössere technische Probleme. Und ende zu ende verschlüsselt ist dort ab spätestens 3 Teilnehmer auch nix.

Gerrit
So unterschiedlich sind die Anforderungen. Ich nutze für Videoanrufe spezialisierte Lösungen. Allerdings wäre es natürlich trotzdem nicht schlecht, wenn Threema das anböte.
Anon
Oder man nimmt eine Lösung die kostenlos, OpenSource und trotzdem nachgewiesen sicher ist wie Signal. Videotelefonie unterstützt das auch gleich noch.
Gerrit
Wie eingangs erwähnt lehne ich Signal auch nicht grundsätzlich ab. Man hat dort aber das Problem, dass die Mobilfunknummer das einzige Identifikationsmerkmal ist.
Ich nutze Treema quasi seit es den Messenger gibt und bin auch dabei geblieben. Allerdings nutze ich Treema nicht mehr primär, da er im Alltag sich manchmal sehr ungeschickt anstellt, vor allem auf iOS Basis. Die Android-Version läuft m.E. nach besser. Beispiel gefällig? Hat man mal EDGE Empfang, dann ist es ein Glücksspiel mit Threema noch kommunizieren zu können oder es dauer bis der rote Strich grün wird.
Bilder über die iOS Gallerie sind auf 10 beschränkt und auch hier funktioniert das Versenden von mehreren Bildern auf einmal meisten nicht zuverlässig.

Aus dem Grund bin ich mehr zu Signal übergegangen. Ohne jetzt Werbung zu machen aber als fachliche Argumentationsgrundlage verweise ich mal auf meine Zusammenfassung wieso ich Signal für die beste Whatsapp-Alternative halte: https://youtu.be/cpAseBU8c_o

Auch die erst im Jahr 2020 kommende Videotelefonie bei Threema zeigt, daß es um Threema hinsichtlich aktueller Funktionen nicht gerade bestens steht. Das kommt viel zu spät in Verbindung damit, daß es ein Kaufmessenger ist. Mir wäre es ziemlich egal ob sich Threema oder Signal durchsetzt aber man tut sich argumentativ schwer mit Threema, wenn dann bei EDGE auf dem Land kaum was geht oder Bilder mehrfach gesendet werden müssen.

Das sind zumindest meine Erfahrungen damit.

Viele Grüße

Michi
Hi, hier eine kurze Rückmeldung von mir.

Der These das Threema vertrauenswürdiger als Signal ist weil Threema Geld kostet kann ich nicht zustimmen. Signal wird z.B. von einer gemeinnützigen Stiftung getragen und lebt von Spenden: https://www.heise.de/newsticker/meldung/Krypto-Messenger-WhatsApp-Mitgruender-investiert-50-Millionen-Dollar-in-Signal-Stiftung-3975878.html

Was dem Open-Source-Gedanken angeht (Sicherheit durch einsehbaren Quellcode) stimme ich im Gegensatz zu dir https://digitalcourage.de/digitale-selbstverteidigung/alternativen-zu-whatsapp-und-threema-instant-messenger#threema zu.

Ich habe mich deshalb schon für Signal entschieden, als es noch TextSecure hieß, und seit dem bis heute WhattsApp verbannt.

Inzwischen habe ich auch Threema und Telegram installiert, die ich aber kaum Nutze. Meine Erfahrung bei der Nutzerzahl widerspricht deiner übrigens auch deutlich.

Die Kontakte sind bei mir wie folgt:
Threema 7
Telegram 8
Signal 36

Wenn man im Google-Playstore schaut werden bei Threema 1.000.000+ Installationen angegeben. Bei Signal 10.000.000+. Deine Persönliche Erfahrung scheint also nicht repräsentativ zu sein.

Mfg Michi

Gerrit
Zitat :
Signal wird z.B. von einer gemeinnützigen Stiftung getragen und lebt von Spenden:

Ich schrieb doch Mäzenatentum. Nichts anderes steht in deinem Link.

Zitat :
Was dem Open-Source-Gedanken angeht (Sicherheit durch einsehbaren Quellcode) stimme ich im Gegensatz zu dir https://digitalcourage.de/digitale-selbstverteidigung/alternativen-zu-whatsapp-und-threema-instant-messenger#threema zu.

Hast du dir mal angeschaut, was sie stattdessen empfehlen? Natürlich ist Open Source ein Faktor in der Gewichtung, aber sie gewichten diesen viel zu hoch. Riot/Matrix oder XMPP mehr zu empfehlen als Signal oder Threema zeigt ein sehr komisches Gewichtungssystem.

Zitat :
Deine Persönliche Erfahrung scheint also nicht repräsentativ zu sein.

Natürlich, weil so etwas stark vom sozialen Umfeld (und auch Land) abhängt. Fakt ist halt, dass Signal keine offiziellen Zahlen rausgibt und die Play Store Statistiken halt nur Hinweise geben.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius