Threema: Die sichere WhatsApp-Konkurrenz im Check

von

Sicherheitstechnisch steht WhatsApp in dem unteren Viertel der Bestenliste. Heute stellen wir eine Anwendung vor, welche möglicherweise sogar Position eins belegt. Threema ist eine in der Schweiz entwickelte Messenger-App und lässt WhatsApp alt aussehen. 

Threema: Die sichere WhatsApp-Konkurrenz im Check

Der beliebte Messenger WhatsApp erregt in letzter Zeit viel Aufsehen. Schlecht verschlüsselte Nachrichten und daraus resultierende Sicherheitsdefizite sind gang und gäbe. Zwar verbesserten die Entwickler in den letzten Monaten die Sicherheit mithilfe neuer Verschlüsselungen, können jedoch anderen WhatsApp-Alternativen wie beispielsweise Threema weiterhin nicht das Wasser reichen.

Und genau um Threema geht es in diesem Artikel. Der Messenger stammt aus der Schweiz und legt dessen Fokus primär auf Sicherheit. Im Grunde kann mal also von WhatsApp nur in sicher sprechen. Die Bedienung ist ähnlich einfach und selbsterklärend. Durch eine End-to-End-Verschlüsselung ist es praktisch unmöglich, Nachrichten zweier Austauschpartner mitzulesen, selbst für den Serverbetreiber.

Threema setzt auf gleich zwei Sicherheitsfaktoren. Neben der automatischen Verschlüsselung bei dem Versenden von Nachrichten verwenden die Entwickler ein Punkte-System.

Absender-Überprüfung in Threema

Threema

Dieses System ist in drei verschiedene Stufen (1-3 Punkte) unterteilt und gibt sozusagen für jeden Austauschpartner eine Wertung ab. Diese zeigt an, mit welcher Sicherheit die Person an dem anderen Ende der Leitung wirklich diejenige ist, für die sie sich ausgibt. Jeder Threema-Nutzer hat eine ID (Telefonnummer, E-Mail-Adresse), einen Schlüssel-Fingerabdruck, als auch einen QR-Code. Die höchste Sicherheitsstufe wird nur angezeigt, wenn man sich schonmal getroffen und dabei gegenseitig verifiziert hat:

  1. Stufe 1 (1 Punkt, rot): Sollte der Chatpartner nicht anhand der Telefonnummer oder E-Mail-Adresse im Adressbuch des Smartphones gefunden werden, ist Vorsicht geboten. Man kann sich nicht sicher sein, ob es sich wirklich um die Person handelt, für die sie sich ausgibt.
  2. Stufe 2 (2 Punkte, orange): Der Austauschpartner wurden im Adressbuch gefunden. Da der Server alle “registrierten” Nummern sowie E-Mail-Adressen anhand eines Codes (Aktivierungslink, zugesandt per SMS oder Telefon) überprüft, ist die Identität der Person ziemlich sicher.
  3. Stufe 3 (3Punkte, grün): Absolute Sicherheit ist nur durch ein Treffen des Gegenübers möglich. Jeder Nutzer erhält einen QR-Code. Scannt man den des Austauschpartners, so wird die höchste Sicherheitsstufe angezeigt.

Verschlüsselung der Nachrichten

Soweit, so gut. Nun zu der Verschlüsselung der Nachrichten während des Versands. Hier haut Threema ordentlich auf den Putz. Durch eine End-to-End-Verschlüsselung mit modernster asymmetrischen Kryptografie ist es niemandem möglich, Einblicke in Nachrichten Anderer zu ergattern.

“Die asymmetrische ECC-basierende Verschlüsselung, die Threema verwendet, hat eine Stärke von 255 Bits. Gemäss einer Schätzung des NIST (Seite 64) entspricht dies ungefähr der Stärke von RSA mit 2048 Bits. Mittels ECDH und einer Hashfunktion sowie einer Nonce wird für jede Nachricht ein eindeutiger, 256 Bits langer symmetrischer Schlüssel hergeleitet, und die Stromchiffre XSalsa20 wird dann für die eigentliche Verschlüsselung der Nachricht verwendet. Zudem wird ein 128 Bits langer Message Authentication Code (MAC) zur Entdeckung von Manipulationen/Fälschungen hinzugefügt.

Für weitere Informationen über die Verschlüsselungsalgorithmen in Threema siehe Cryptography in NaCl.

Threema fügt eine zufällige Menge an Füllbytes zu jeder Nachricht hinzu, um Versuche zu vereiteln, den Inhalt einer Nachricht zu erraten, in dem man die Menge an übertragenen Daten analysiert (beachten Sie, dass Bildnachrichten natürlich immer noch mehrere Grössenordnungen länger sind als Textnachrichten).”

Fakten, mit denen in erster Linie Sicherheitsexperte etwas anfangen können. Übersetzt heißt es: Die angewandten Techniken sind sehr^ sicher. Eine RSA-Verschlüsselung mit 2048 Bits ist momentan nicht zu knacken und wird auch in den nächsten Jahren mehr als sicher sein (korrigiert mich, falls ich falsch liege).

Die Threema-Server befinden sich in der Schweiz. Dort werden die Nachrichten (verschlüsselt) höchsten sieben Tage lang gespeichert, sollten sie nicht schon früher zugestellt werden können. Im Grunde ist es, zumindest nach dem jetzigen Stand der Technik, nicht möglich irgendeine Sicherheitslücke in Threema aufzufinden. Dem hat selbst die NSA (PRISM) nichts entgegenzusetzen.

Wie schon beschrieben, kann man bei Threema von einem wirklich schönen, einfachen und vor allem sicheren Messenger reden, welcher dem Dauerbrenner WhatsApp in keiner Weise nachsteht. Das Design ist ok und auch ein paar nette Features hat die Anwendung mit an Board. Somit kann man sich beispielsweise bei dem Start der App mithilfe einer Code-Sperre vor neugierigen Blicken schützen. Ein Feature, welches ich mir schon lange von WhatsApp gewünscht habe.

Threema ist für 1,60 Euro im Play Store (Android), respektive für 1,79 Euro im  (iOS) erhältlich:

Threema (AppStore Link)
QR-Code
Threema
| Preis: 1,79 €

Die Unterstützung weiterer mobiler Betriebssysteme ist momentan nicht in Arbeit, eine Desktop-Version hingegen befindet sich in langfristiger Planung.

Ich kann die Anwendung nur empfehlen. Was mir momentan fehlt, sind die Austauschpartner. Diese verwenden weiterhin hauptsächlich WhatsApp… Es wird Zeit, dass der Dauerbrenner von seinem Thron gestoßen wird.

Zum Thema:

iPhone-Display kaputt? Akku zu schnell leer? Kein Problem: Display oder Akku selbst tauschen mit den Komplettsets zur iPhone-Display-Reparatur oder dem iPhone-Akku-Wechsel von GIGA & Fixxoo!

Weitere Themen: Threema, Whatsapp für iPhone, WhatsApp für Android


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz