Threema

Threema unterscheidet sich von den meisten konkurrierenden Messengern durch sein Geschäftsmodell. Im Gegensatz zu Signal oder Telegram ist der Quellcode von Threema zwar offen, die Apps kosten jedoch einen geringen Obulus. Entwickelt wird der Dienst von der Threema GmbH mit Sitz in der Schweiz. Finanziert wird das Angebot über den Verkauf der Apps und spezielle Business-Dienste.

Das Bild zeigt drei Screenshots von Threema für Android.
Bilder aus dem Threema Pressematerial

Im Gegensatz zu vielen anderen Lösungen hat Threema sein Produkt bereits mehreren Audits unterzogen. Das letzte Audit von Cure53 fand im Jahr 2020 statt und es wurden keine gravierenden Sicherheitsmängel festgestellt. Zudem setzt Threema viele Funktionen besser um als die Konkurrenz.

Jegliche Kommunikation über Threema wird verschlüsselt. Dazu wird die Open-Source-Bibliothek NaCI verwendet. Diese wird von vielen Open-Source-Programmen verwendet und gilt als sicher. Im Gegensatz zum Signal-Protokoll ist jedoch keine Perfect Forward Secrecy möglich.

Die Anmeldung und Identifizierung erfolgt über eine Threema ID. Somit ist keine SIM-Karte oder Telefonnummer notwendig, da die Identifikation über diese ID erfolgt. E-Mail-Adresse und Telefonnummer sind lediglich zusätzliche optionale Zuordnungsmöglichkeiten, um die Vernetzung zu erleichtern. Der optionale Telefonbuchabgleich zur Identifizierung anderer Threema-Nutzer anonymisiert die Telefonnummern und löscht sie anschließend (siehe FAQ).

Die Kontakte unterliegen unterschiedlichen „Vertrauensstufen“. Erst wenn man die Identität eines anderen Teilnehmers manuell überprüft hat, erhält er die höchste Vertrauenswürdigkeit. Ein System, das z.B. auch von GnuPG bekannt ist. Zur Verdeutlichung verwendet Threema ein Ampelsystem. Rot ist die geringste Sicherheit, Grün wurde persönlich über den QR-Code verifiziert. Gelb bedeutet, dass der Kontakt über den Telefonbuchabgleich gefunden wurde.

Die Server-Infrastruktur wird direkt in der Schweiz betrieben. Telefongespräche werden standardmäßig nicht über die Server, sondern direkt zwischen den beteiligten Kommunikationspartnern und deren Geräten geführt.

Einziger Nachteil ist die eingeschränkte Plattformunterstützung. Es werden nur Android (hier allerdings ohne Play Store/Services) und iOS unterstützt. Hervorzuheben ist die offizielle App ohne proprietäre Google-Bibliotheken im F-Droid-Store und die optional verfügbare eigene Push-Infrastruktur – genannt Threema Libre.

Vorteile:

  • Vollständiger Audit
  • Eigene Serverinfrastruktur
  • Keine Telefonnumer als ID notwendig
  • Open Source Apps
  • Klare Finanzierungsstrukturen

Nachteile:

  • Nur für iOS & Android
  • Kostenpflichtig
  • Zentralisierter Dienst

URL: https://threema.ch/

Android-APKF-DroidPlay StoreiOS