Anzeige

Ist die WhatsApp-Alternative Threema wirklich sicherer?

Facebook_WhatsApp_Th_37362945.jpg

Nach dem WhatsApp-Verkauf an Facebook sind Nutzer auf der Suche nach Alternativen - Threema erfährt besonderen Zuspruch. Innerhalb kürzester Zeit verdoppelte die vermeintlich sichere App ihre Nutzer. Der Meedia-Test zeigt: Threema ist durchaus eine Alternative. Das Verlangen nach Sicherheit wird damit aber größer - und legt neue Fragen offen.

Anzeige
Anzeige

Die WhatsApp-Übernahme scheint viele Nutzer verärgert und dazu angeregt zu haben, sich über Messenger-Alternativen Gedanken zu machen. Eine davon ist der von Schweizern entwickelte Dienst Threema, der mit einer besonderen Art der Verschlüsselung arbeitet und deshalb wesentlich sicherer sein soll, als die Konkurrenz WhatsApp, Line und Co.. Die Kommunikation mit Threema ist mit der so genannten End-To-End-Verschlüsselung geschützt. Das bedeutet, dass gesendete Nachrichten nur vom Endgerät des tatsächlichen Nutzers gelesen werden können. So sollen Nachrichten von unterwegs nicht abgefangen und gehackt werden können. Gleichzeitig versucht die App zu signalisieren, wie authentisch der Kontakt auf der gegenüberliegenden Seite ist, und ordnet sie in drei Sicherheitsstufen ein.

Aufwendige Installation

Nach dem Herunterladen wird der Nutzer aufgerufen, ein individuelles Schlüsselpaar zu erstellen, indem er mehrere Sekunden mit über ein Feld wischt. Durch das Kreuzen unterschiedlicher Ziffern und Buchstaben errechnet die App zwei Schlüssel, einem privaten und einem öffentlichen. Ersterer bleibt beim jeweiligen Gerät. Der zweite Schlüssel dient zur Entschlüsselung der eigenen ID-MTNachrichten und ist somit für Chatpartner vorgesehen. Die Konversation zwischen jedem Senderschlüssel und Empfängerschlüssel wird zudem aus einem extra dafür erstellten dritten Schlüssel geschützt. Die Verschlüsselungstechnik versichere dem Nutzer, dass seine Nachrichten unter jeglichem Ausschluss der Öffentlichkeit ans Ziel gelangen. Auch auf den Servern des Betreibers seien die Nachrichten sicher, da sie bereits auf dem Handygerät verschlüsselt werden. Nach Erstellung der Schlüssel erhält jeder Nutzer eine eigene ID.

Diese ist besonders wichtig, wenn es darum geht, mit möglichst authentischen Kontakten zu chatten. Um die eigene Kontaktliste – sie ist zu Beginn leer – zu füllen, gibt es drei Varianten, die in die oben genannten Sicherheitsstufen eingeteilt sind. Die sicherste Möglichkeit, um den Chatpartner zu identifizieren ist die persönliche Übergabe der ID (funktioniert per QR-Code). Wie auch bei WhatsApp ist es möglich, der App Zugriff auf das eigene Telefonbuch zu geben, um Kontakte zu synchronisieren. Dies ist aber nur nach der Eingabe der Handynummer oder eigenen Email-Adresse möglich. Eine letzte Möglichkeit ist die manuelle Eingabe einzelner IDs, was nicht nur besonders lange dauert, sondern auch die umständlichste Variante ist. 

Zum lokalen Schutz wird dem Nutzer die Möglichkeit eingeräumt, den Zugriff auf die App durch ein gesondertes Passwort (Passphrase) zu schützen. Umständlich: Bei jedem Wiederöffnen fragt die App nach dem mindestens achtstelligen Code. Die Passphrase kann bei Bedarf wieder ausgestellt werden.

Gleiche Funktionen wie andere Messenger

Nach der Identifizierung am eigenen Handy bietet Threema in etwa die gleichen Funktionen wie WhatsApp. Das Versenden von Textnachrichten ist ebenso simpel wie das Versenden von Videos oder Bildern. Lediglich die Voice-Mail, die WhatsApp vor einigen Monaten eingeführt hat, ist bei Threema nicht zu finden. Besser als beim großen Konkurrenten: Dem Nutzer wird ersichtlich, welchen Status die eigene Nachricht hat. So wird sofort ersichtlich, ob die eigene Nachricht gesendet (in der Chatliste ein Pfeil nach links) wurde, beim Chatpartner angekommen ist (Pfeil geht in eine Box ein) und sogar gelesen wurde (Augensymbol). Bei WhatsApp, das den Nachrichtenstatus mit Häkchen symbolisiert, ist dies weniger transparent und nachvollziehbar umgesetzt.

Anzeige

Was Threema wiederum nicht hat: Die App übermittelt dem Empfänger nicht, wann der andere Kontakt zum letzten Mal online gewesen ist. Das Layout der App wirkt beim ersten Betrachten altbacken und trist. Synchronisierte Kontakte tauchen in erster Linie mit ID-Namen auf, was eine erste Identifizierung unmöglich macht. Erst wenn die anderen Nutzer einen Nickname angelegt haben, wird ersichtlich, wer hinter den Kontakten steht. Kontakte, die sich mit ihrem Email-Account verifiziert haben, erscheinen mit der dazugehörigen Adresse in der Kontaktliste, was vor allem für Unübersichtlichkeit sorgt. Vereinfacht wird das Switchen von Chat- in die Kontaktliste und in die eigenen Accountdaten durch Fingerwischen.

Threema

Die Nutzung läuft größtenteils einfach wie die Bedienung von WhatsApp. Threema benachrichtigt per Push-Mitteilung über neue Nachrichten, Dateien lassen sich genauso schnell versenden wie bei anderen Anbietern. Fraglich wird die App allerdings tatsächlich in Sachen Datenschutz. Zwar verschlüsselt Threema Nachrichten, sodass sie sicher beim Empfänger ankommen. Allerdings bleibt unklar, inwiefern die App auf das Smartphone zugreifen kann. Dies wird deutlich, als während unseres Tests bei einigen Nutzern Profilfotos aufgetaucht sind und auch unser Testprofil bei einigen Kontakten mit Profilfoto angezeigt wurde.

Betreiber verspricht sichere Kommunikation, liefert aber keine Beweise

Die Kontakte der App werden  nicht nur mit den wesentlichen Daten synchronisiert, sondern auch mit Profilfoto aus dem Telefonbuch. Wie der Betreiber auf seiner Seite erklärt, landen Telefonnummer und Email-Adresse (sofern die Synchronisation zugelassen wurde) auf den Betreiber-Servern, würden aber nur kurzweilig gesichert. Auf der Threema-Homepage heißt es: „Die Server halten diese Hashes nur kurzzeitig im Arbeitsspeicher, um die Liste der übereinstimmenden IDs zu ermitteln, und löschen sie sofort wieder. Zu keinem Zeitpunkt werden die Hashes oder die Ergebnisse des Abgleichs auf einen Datenträger geschrieben.“ Es ist aber fraglich – und auch hier gesteht der Betreiber mögliche Probleme ein – inwiefern die Smartphone-Hersteller Daten ziehen können. „Wir wurden schon gefragt, ob wir garantieren können, dass die NSA die Nachrichten nicht lesen kann.“

„Wir sind zwar von unserer App überzeugt, aber wir können nicht wissen, ob es zum Beispiel in den gängigen Betriebssystemen anfällige Hintertüren gibt, über die Apple und Co. alle Tastatureingaben oder den Bildschirminhalt mitschneiden können“, sagt Betreiber Manuel Kaspar gegenüber stern.deZudem bleibt weiterhin unklar, inwiefern die Threema-Server selbst geschützt sind und was genau mit den übermittelten Daten passiert. Einige Messenger-Anbieter legen deshalb die Quellcodes ihrer Programme offen, um so für Transparenz zu sorgen. Bei verborgenem Quellcode wissen nur die Betreiber, was mit den Daten der User tatsächlich passiert. Andere Apps halten es mit der Offenlegung des Quellcodes gleich. Eine ausführliche Übersicht weiterer verschlüsselter Angebote, finden Sie bei repat.de.

Anzeige

Mehr zum Thema

Anzeige
Anzeige

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*