June 28, 2022

Threema

Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.

Seit Ende 2016 veröffentlicht die Threema GmbH einen jährlichen Transparenzbericht, in dem sie Behördenanfragen offenlegt und die Art der in diesen Anfragen mitteilbare Daten erläutert. Gruppennachrichten werden an jeden Empfänger einzeln versandt, um zu verhindern, dass der Server die Zusammensetzung der Gruppen erfährt. Da sich die Server von Threema nach Angaben des Herstellers ausschließlich in der Schweiz befinden, unterliegt die Firma unter anderem dem schweizerischen Bundesgesetz über den Datenschutz und der Datenschutz-Grundverordnung. Das Rechenzentrum ist außerdem ISO zertifiziert. Die Anruf-Funktion lässt sich vollständig deaktivieren. September 2017 veröffentlichte Threema die finalen Updates für die iOS- und Android-Versionen der App, die dieses Feature beinhalteten.

Widerrufen Der Threema

Im Ergebnis wurden einige kleinere Fehler behoben und Cure53 bestätigte eine hohe Codequalität und beschrieb die „Struktur des Projekts“ als „aussergewöhnlich solide“. Da alle Daten ausschließlich diese quelle lokal auf dem Gerät gespeichert werden, war es früher nicht möglich, seine Threema-ID, Chatverläufe und restliche Daten auf ein anderes Gerät zu übertragen, ohne dass man ein Backup seiner Daten erstellt hat. Bei der Deinstallation der Android-App werden, wie es bei Android normal ist, alle Daten aus dem internen Speicher gelöscht, d. H., sowohl die Threema-ID mit dem privaten Schlüssel als auch die restlichen Daten wie Chatverläufe und Medien sind nach der Deinstallation entfernt. Unabhängig davon bietet Threema allerdings ein separates Verzeichnis, in welchem die entschlüsselten Medien und die Datensicherungen abgespeichert werden. Der Hersteller bietet zusätzlich mit seiner Validation-Logging-Funktion die Möglichkeit an, verschlüsselte Nachrichten auf Ihre Verschlüsselungsgüte hin zu untersuchen.

  • Die Anruf-Funktion lässt sich vollständig deaktivieren.
  • Der Text ist unter der Lizenz „Creative Commons Attribution/Share Alike“ verfügbar; Informationen zu den Urhebern und zum Lizenzstatus eingebundener Mediendateien können im Regelfall durch Anklicken dieser abgerufen werden.
  • Diese Aussage und die Wirksamkeit der dokumentierten Sicherheits- und Datenschutzmechanismen wurden bei externen Audits im November 2015, im März 2019 und im Oktober 2020 bestätigt.
  • Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten.

Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen „Threema Safe“, zunächst nur für die Android-Version. Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte. Das neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch. Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmäßig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert.

Lösungen Für Firmen

Die Validierung zeigt somit lediglich, ob die NaCl-Bibliothek korrekt angewendet wurde. Mai 2017 veröffentlichte Threema Updates, die für alle unterstützen Plattformen Profilbilder einführten, die vom Nutzer für seine eigene Threema-ID selbst festgelegt werden können. Die Profilbilder können optional gesetzt werden und werden ausschließlich Ende-zu-Ende-verschlüsselt beim Nachrichtenversand an andere Nutzer gesendet. Der Nutzer kann dabei bestimmen, ob das Profilbild an alle Nutzer, denen er Nachrichten sendet, nur an ausgewählte Kontakte oder gar nicht versandt werden soll. Wenn letzteres gewählt wird, sieht man somit nur selbst sein Profilbild.

Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Außerdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren. Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein. Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden, sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.

Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.