DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Wie häufig nutzt du die Schweizer Messenger-App? Die Umfrage dazu folgt unten in der Story. bild: shutterstock

Tschüss WhatsApp? Threema, die Schweizer Alternative, erhält sehr gute Noten

Unabhängige IT-Experten haben die iPhone- und Android-App unter die Lupe genommen. Zudem will die Firma den Quellcode in Kürze offenlegen.



Die Schweizer Smartphone-App Threema, die es für iPhones und Android-Handys gibt und die über den Browser auf dem PC genutzt werden kann, ist von unabhängigen IT-Experten einer professionellen Sicherheitsüberprüfung unterzogen worden. Über den sogenannten «Sicherheitsaudit» informiert die Threema GmbH im Firmenblog (siehe Quellen).

watson hat den 19-seitigen Bericht gelesen und fasst die wichtigsten Erkenntnisse zusammen. Die Entwickler versprechen zudem, «volle Transparenz» zu schaffen. Darum soll der Quellcode der Threema-Apps «in Kürze» offengelegt werden. (Eine entsprechende Ankündigung war bereits erfolgt.)

Gibt's gefährliche Sicherheitslücken?

Nein. Die Überprüfung durch die Fachleute der deutschen IT-Sicherheitsfirma Cure53 ergab keine gravierenden Schwachstellen oder potenziell verheerende Sicherheitslücken. Bei dem sogenannten Penetration-Test wurde versucht, die iPhone- und die Android-Version der Threema-App zu hacken und User-Daten abzufangen. Ohne Erfolg.

Im Bericht heisst es, Cure53 sei bei der im Oktober 2020 durchgeführten Prüfung zu einem positiven Urteil gekommen. Dies werde unterstrichen «durch die niedrige Gesamtpunktzahl der Probleme und die begrenzten Schweregrade, die den entdeckten Fehlern zugeschrieben werden».

Die Prüfer sind voll des Lobes in ihrem Bericht, der von Threema in Auftrag gegeben worden war und auf der Threema-Website als PDF-Dokument verfügbar ist. Sie beschreiben ihren Gesamteindruck bezüglich der Codequalität von Threema und der allgemeinen Struktur des Softwareprojekts als «aussergewöhnlich solide». Aufbau und Umsetzung seien zweifellos von einem «seltenen Team erfahrener und sicherheitsaffiner Entwickler» durchgeführt worden.

Bild

Der Bericht mit den technischen Details ist frei einsehbar. screenshot: threema.ch

Wie reagieren die Threema-Entwickler?

Von den wenigen «unkritischen Verbesserungsvorschlägen», die die Tester vorbrachten, seien einige bereits in den aktuellen App-Versionen berücksichtigt worden, und die anderen würden mit kommenden Updates umgesetzt.

Weiter empfiehlt der Prüfbericht den Threema-Entwicklern, parallel zur Veröffentlichung des Quellcodes ein vernünftiges Bug-Bounty-Programm zu installieren. Dies soll in Zukunft unabhängige IT-Experten motivieren, «kontinuierlich nach Schwachstellen in der bereits vorhandenen Codebasis und allen zukünftigen Änderungen derselben zu suchen».

Dazu schreibt Roman Flepp von Threema:

«Wir haben die Empfehlung zur Kenntnis genommen und überlegen uns auf die Offenlegung des Quellcodes hin, ob und wie wir ein solches Programm ausgestalten.»

Zuletzt hatte das Labor für IT-Sicherheit der FH Münster im Jahr 2019 einen Audit zu Threema durchgeführt. Auch damals zeigten sich keine gravierenden Schwachstellen.

Warum Threema nutzen?

Threema kostet für den Privatgebrauch eine einmalige kleine Gebühr (3 Fr.) und ist werbefrei. Wie andere «abhörsichere» Smartphone-Messenger hat Threema eine Ende-zu-Ende-Verschlüsselung implementiert, so dass die übers Internet gesendeten Daten nicht eingesehen werden können.

Die Entwicklerfirma betont, dass keine Userdaten (Metadaten) gesammelt würden. Für Firmen und Schulen gibt es Threema als kostenpflichtige sichere Kommunikationsplattform.

Die App kann im Gegensatz zu Facebooks WhatsApp auch ohne (eigene) Mobilfunknummer genutzt werden. Man braucht nur eine Threema-ID, die man auch ohne Verbindung zu einer E-Mail-Adresse anlegen kann.

Damit die eigene Threema-ID, die Kontakte und Gruppen (sowie weitere Daten und Einstellungen) nicht verloren gehen, lässt sich freiwillig ein verschlüsseltes Cloud-Backup erstellen. Diese Funktion wird Threema Safe genannt, wobei der Speicherort für das Backup selber festgelegt werden kann.

Warum nicht Signal?

Der Funktionsumfang der App ist kleiner und User-Daten landen auf Servern, die im direkten Zugriffsbereich der amerikanischen Geheimdienste liegen. Zudem setzt Threema das Sicherheitskonzept Privacy by Design (Datensparsamkeit) vorbildlich um. Dass bei Signal zur Registrierung eine Mobilfunknummer verlangt wird, gilt als ein grosser Nachteil.

Im Mai dieses Jahres hat Signal eine PIN-Funktion eingeführt, die es ermöglicht, von wichtigen persönlichen Daten ein verschlüsseltes Cloud-Backup zu erstellen. «Secure Value Recovery» soll die Wiederherstellung der Daten im Falle eines Geräteverlusts oder Gerätewechsels ermöglichen. Mittelfristig soll auch erreicht werden, dass sich User nicht mehr zwingend mit ihrer Mobilfunknummer registrieren müssen.

Die neue PIN-Funktion, mit der sich Kontakte, Profil-Informationen, Einstellungen und weitere Daten auf einem Signal-Server speichern lassen, hat Sicherheitsexperten alarmiert. Sie kritisierten die Entwickler und drohten damit, die App nicht mehr zu verwenden, wie «Vice» im Juli berichtete.

Und jetzt du!

Wie häufig nutzt du Threema?

Quellen

Der Chef kämpft gegen die Smartphone-Plage (im watson-Video):

Video: watson/madeleine sigrist, maurice thiriet, nico franzoni

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Keine Lust, Facebook noch mehr Daten zu liefern? Hier sind 6 Alternativen zu WhatsApp

1 / 9
Keine Lust Facebook noch mehr Daten zu liefern? – Hier sind 6 Alternativen zu WhatsApp
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

SwissCovid-App noch nicht installiert?

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel