Threema: der sichere Messenger speichert Nachrichten in iOS im Klartext

Der schweizer Messenger Threema garantiert eine echte Ende-zu-Ende-Verschlüsselung von Nachrichten. Diese werden auf dem Smartphone verschlüsselt und auch wieder entschlüsselt. DIe nötigen Schlüssel haben nur die jeweiligen Nutzer, auf dem Server können die Nachrichten nicht ausgelesen werden. Verschickt werden können wie bei anderen Messengern auch, Textnachrichten, Bilder und Videos.

threema

Timo Hetzel hat sich einmal genauer mit den FAQ zu Threema beschäftigt und ist auf etwas gestoßen. Threema schreibt, dass auf dem Gerät selbst die iOS Data Protection genutzt wird, um die Nachrichten auf dem Massenspeicher zu verschlüsseln. Diese ist nur aktiv, wenn man einen Sperrcode in den Systemeinstellungen festgelegt hat.

[werbung] Das Problem, das sich daraus ergibt ist, dass die Nachrichten auf dem Gerät unverschlüsselt gespeichert werden können und auch in ein iCloud- oder iTunes-Backup übertragen werden. Nachrichten können so ganz einfach mittels USB ausgelesen werden. Dazu ist kein Jailbreak nötig, lediglich ein Programm wie iExplorer.

Sicher ist das nicht die alleinige Schuld von Threema, unter Android arbeitet der Messenger mit einer eigenen AES-256-Verschlüsselung, um die Nachrichten auf dem Gerät zu schützen. Und unterwegs können keine Nachrichten abgegriffen werden, da sie von Gerät zu Gerät verschlüsselt sind. Aber ein deutlicherer Hinweis, dass es unter iOS eben so aussieht, wäre sicher angebracht gewesen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Wollen sie jetzt dem Messenger einen Strick draus drehen , dass der Nutzer keinen Sperrcode vergibt?
    Find ich doch etwas daneben

  2. Gerade heute gekauft.
    Aber zum Glück hab ich einen Sperrcode

  3. Orangensaft-Trinker says:

    Ich freue mich sehr auf den BlackBerry Messenger!
    Der wurde für iOS, Android und Windows Phone angekündigt – und dann kommt endlich Stärke von BlackBerry [hohe Verschlüsselung] auf alle Geräte. Keine Kompromisse mehr. BBM! BBM! BBM!

  4. Besucherpete says:

    Trotzdem, so ist eben am Ende doch ein Messenger so sicher oder unsicher wie der andere.

  5. Heutzutage wird überhaupt nicht mehr darüber nachgedacht, was man eigentlich verbreitet im Web. Wenn man dort erst mal Anfangen würde, dann wäre schon Mal einem Teil geholfen.

    Sichere Messenger sind auch nur so sicher, wie man Vertrauen in das Gegenüber oder dne Vermittler hat, das sollte man auch nie vergessen.

  6. @O-Saft-Trinker: BlackBerry, das waren doch die die ihre super toll verschlüsselten E-Mail Server für diverse undemokratische Staaten geöffnet haben, damit diese da immer schön reinschauen können. Was bringt mir eine hohe Verschlüsselung wenn da immer ne Hintertür drin ist?

    Threema ist momentan wohl die sicherste Methode verschlüsselt zu chatten. Der Entwickler hat den Fehler gemacht sich auf ein iOS Feature zu verlassen, das wird sicherlich bald behoben sein.

  7. Schreibt doch mal bitte was zum neuen Messanger whistle.im

  8. Das ist schon seit Januar diesen Jahres bekannt,( ja, schade das noch immer kein Update dazu kam) da war der Timo ganz fix. Ich finde viel wichtiger das die nicht als Klartext durch das Netz gehen oder auf deren Server liegen.

  9. Ich teste gerade den hier: http://www.myenigma.com

  10. danke für die infos 😉

  11. Naja, das ist doch mal sowas von egal. Wer keinen Sperrcode nutzt ist doch selber Schuld.

  12. wer keinen Sperrcode nutzt hat sowieso etwas noch nicht verstanden

  13. Ich finde an Threema auch gut das mein seine Kontakte nicht hochladen muss, noch die eigene Nummer oder Email (wie bei myEnigma) angeben muss.

  14. Ich nutze nun Threema seit gut 2 Monaten aktiv unter Android ohne Probleme. Ein paar Funktionen fehlen zwar, aber ansonsten bin ich voll zufrieden.

    Im Text fehlt meiner Meinung nach die Info, dass die Verbindung und Übertragung zwischen den Geräten ja trotzdem verschlüsselt ist.

    PS: Auch wenn das Beschriebene oben nicht auf Android zutrifft hat jeder, der Zugriff auf das Gerät hat, theoretisch und praktisch die Möglichkeit die Nachrichten direkt im Threema Client nachzuvollziehen. 😉 Doof wäre es natürlich, wenn die Daten ungewollter Weise durch ein Backup Internet landet.

  15. Das ist doch das Konzept. Das iPhone mit Code-Sperre 8sofort wirksam, komplexes Passwort) und – wenn nötig – verschlüsselte iTunes-Backups. Dann ist das alles kein Problem. Dass iExplorer die Daten „sieht“ hängt nur daran, dass die Code-Sperre aus ist…
    Ich finde schon, wer sich Sicherheit bei Messenger-Apps auf die Fahnen schreibt und am iPhone keine Code-Sperre nutzt, hat etwas Grundsätzliches nicht verstanden.

  16. @ Florian, Ja BB waren auch die, bei welchen die email server 2 mal abgestuertzt sind dass man ueber Tage keine Emails empfangen oder senden konnte. Beim 2tem mal hat unsere Firma den Vertrag gekuendigt und stieg auf andere Anbieter an.

  17. Sehe dass genauso wie die meisten hier. Wer angst hat seine Nachrichten könnten über iExplorer ausgelesen werden, dann aber keinen Sperrcode benutzt und somit eh jeder der das Gerät in die Hand nimmt die Nachrichten über die App selbst lesen kann, der hat grundsätzlich was nicht verstanden.
    Nichtwahr Sascha?

  18. @Sascha: Wo genau liegt das Problem? Es geht doch um sicheres Messaging, nicht um sicheres Speichern auf dem eigenen Gerät?!

    Das Problem bei Threema liegt anderswo: Man muss dem Anbieter vertrauen. Und das liegt spätestens seit den Snowden-Enthüllungen eigentlich nicht mehr drin.

  19. Verstehe das Problem jetzt nicht so ganz. Hat jemand direkten Zugriff auf ein iPhone ohne Sperrcode hat kann er die App doch auch einfach öffnen und die Nachrichten dort lesen. Da bringt es dann auch nichts mehr wenn sie nochmal auf dem Gerät verschlüsselt sind. Oder muss man beim öffnen von Threema zuerst ein Passwort eingeben?

  20. Die Leute, die hier die ganze Zeit schreiben, dass man, wenn man keinen Sperrcode hat, etwas nicht verstanden habe, die haben was nicht verstanden.
    Es gibt auch Leute, die WOLLEN keinen Sperrcode, da sie keine geheimen Chats haben, keine Nacktbilder auf ihrem Smartphone etc.. Trotzdem wollen diese Leute einen sicheren Messenger, da sie nicht wollen, dass die NSA (=! Familie) die Chats mitlesen kann.

    Ich traue Threema übrigens nicht, da die Apps nicht Open Source sind.

  21. Der Autor nimmt dazu in einem Interview / Podcast Stellung. http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung Im Podcast bei 32:50.

  22. TobiH8: Auch dann _chatten_ sie immer noch sicher. Sie dürfen nur ihr Handy nicht aus der Hand geben, und immer am Mann/Frau tragen. Solang das kein anderer an sein Rechner anschließt, ist es noch verhältnismäßig sicher. Vorausgesetzt, sie backuppen nicht in die iCloud und verschlüsseln die Backups per iTunes.

  23. Wer sein Handy ohne Sperrcode verwendet hat so oder so nie über Sicherheit nachgedacht (die Folgen solches Handelns kann man hier https://netzpolitik.org/2013/handy-polizei-kontrolle-von-andreas-baum-hat-kein-juristisches-nachspiel/ nachlesen).

  24. Die Threema mache äußern sich dazu mit:

    „Das Thema einer eigenen Verschlüsselung der lokal gespeicherten Daten durch Threema kommt immer wieder mal auf. Leider wird dabei aber oft vergessen, dass es für eine Ver*schlüsselung* auch einen *Schlüssel* braucht. Diesen kann man natürlich nicht am selben Ort speichern wie die zu verschlüsselnden Daten (sonst ist das reine Security by Obscurity), und zudem muss der Schlüssel lang genug sein, um Brute-Force-Attacken standzuhalten – kurze PINs o.dgl. scheiden also aus. Bei einer App wie
    Threema würde es auf ein mindestens 10-stelliges Passwort herauslaufen, das nach jedem Neustart des App-Prozesses eingegeben werden müsste. Je nach Arbeitsspeichersituation kann dies sehr oft geschehen (u.U. sogar bei jedem Aufrufen der App) und wird normalerweise vom Benutzer gar nicht bemerkt. Wir glauben nicht, dass eine signifikante Anzahl der Benutzer diesen massiven Usability-Kompromiss eingehen würde.“

    Also ich würde auch ein langes Passwort immer wieder eingeben, schön wäre es wenn man es sich einfach in der App aussuchen könnte.

  25. Bei einem icloud sync wandern die daten also allesamt an apple und die nsa.

    Die krönung ist die option, einen chat per email zu senden.
    es wird ein unverschlüsseltes textfile wahlweise mit oder ohne Bilder per email versendet. Das geht gar nicht.
    Auf meine Anfragen diesbezueglich erhielt ich von Threema schon 3 mal keine Antwort.
    Ich sage nur finger weg von dieser app. Da kann man seine privaten nachrichten auch gleich hier ins forum posten. bei whatsapp wusste man wenigstens dass es nicht sicher war. Bei threema wiegelt man sich in falscher Sicherheit.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.