Threema: Sicherer Messenger aus der Schweiz nun auch für das Android-Smartphone zu haben

Threema kam Anfang 2013 in die Medien. Der kostenpflichtige Messenger versprach Dinge, die andere Messenger nicht halten konnte. Echte Ende-zu-Ende-Verschlüsselung garantiert, dass niemand ausser dem vorgesehenen Empfänger eine Nachricht lesen kann. Im Unterschied zu anderen populären Messaging-Apps (einschliesslich derer, die Verschlüsselung einsetzen), hat bei Threema selbst der Serverbetreiber absolut keine Möglichkeit, die Nachrichten mitzulesen. Ansonsten lassen sich sicher Daten wie Bilder, Text oder auch Videos zu anderen Threema-Nutzern versenden.

Threema
Threema
Entwickler: Threema GmbH
Preis: 2,99 €
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot

[werbung]

Hierbei gibt es drei Kontaktgruppen, die höchste Stufe hat die Farbe grün. Hierbei muss man das Gegenüber getroffen haben, welches wiederum einen QR-Code von eurem Gerät einscannen muss, inklusive eures öffentlichen Schlüssels. Eine entsprechende Liste mit häufigen Fragen und Informationen findet ihr hier. Und nun? Nun steht seit heute die ebenfalls kostenpflichtige Variante für Android zur Verfügung.

Threema
Threema
Entwickler: Threema GmbH
Preis: 3,49 €
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot
  • Threema Screenshot

Wie immer gilt: Verschlüsselung und Co sind gut und wichtig. Das große Problem neuer Messenger-Apps ist halt immer nur Benutzer-Basis. Nutzt keiner den Messenger, dann greife man vielleicht weiter zu anderen Messengern. Und eben jene dürften hierzulande WhatsApp, Facebook Messenger, Skype und Google Hangouts sein.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

48 Kommentare

  1. Ich habe nicht viel Ahnung was Verschlüsselung angeht aber mich würde es mal interessieren ob andere Leute das auch prüfen können ob so verschlüsselt wird wie angegeben. Ich denke mal nicht das man prüfen kann wie die Daten auf den Servern von Threema behandelt werden und in dort nicht noch die Möglichkeit besteht die Daten zu entschlüsseln.

  2. Also die FAQ von ihnen zu Lesen hilft einem schon. Jedoch ist es nicht Open source und niemand kann es überprüfen, jedoch ist die Frage bei Opensource, wer überprüft das schon?
    http://threema.ch/de/faq.html

  3. Grundsätzlich ist Threema ein interessanter Ansatz und in jedem Fall ein weiteres Argument gegen WhatsApp. Ich bleib aber bei XMPP mit der Android-App Xabber. Ich kann sehr den Server twattle.net empfehlen, der sehr stabil ist. XMPP hat alle „Killerfeatures“ von Threema. Grundsätzlich kann man über XMPP auch Dateien austauschen. Das ist aber in vielen Clients noch nicht implementiert, so leider auch bei Xabber. Daher kann ich derzeit mit Xabber direkt keine Bilder oder Videos austauschen.
    Bei XMPP mag ich allerdings den OpenSource Ansatz und die vielfältigen Nutzungsmöglichkeiten. Mein kleiner Server zuhause sagt mir so z.B. täglich skriptgesteuert via XMPP aufs Handy, ob es ihm gut oder schlecht geht.

  4. In Deutschland kommt dann bald der DE-Mail-Messager, der sich nicht lange mit so nervigen Klamotten wie Veschlüsselung aufhält. Da macht man dann einfach ein Gesetz, dass den Messenger per Beschluss für sicher erklärt und damit gut… ist doch viel praktischer.

    Das Konzept hört sich in der Tat gut an – leider ist meinen Mitmenschen im Allgemeinen Verschlüsselung und Datenschutz etc. eher nicht wichtig. Als ich mal verushct habe, Emailsignatur/Verschlüsselung zu nutzen fragten mich schon manche, was das für komische Mails wäre und für Anhänge. In den lezten 5 Jahren hat sich da leider NICHTS getan. WARTEN AUF DKIM

  5. Wenn die Daten wirklich mit Pub und Private Key etc. verschlüsselt werden, dann können noch so viele Nachrichten gespeichert werden bei denen. Ohne die Schlüssel können sie die Nachrichten nicht lesen. Interessanter Ansatz, aber welcher 0815-Nutzer will den Aufwand betreiben bzw. wie soll man denen verständlich machen, dass dies wirklich nützlich ist?

  6. Ich nutze Threema schon einige Monate, habe natürlich auch schon alles auf der Seite durchgelesen. Habe auch gesehen das man eine Validierungs-Log einstellen kann in der App selbst und somit die Verschlüsselung zu testen. Ich aber halt nicht 🙂
    Allein durch die Verschlüsselung glaube ich den Herstellern schon das die Nachrichten nicht abgefangen werden können, jedoch wie sieht es dann bei denen aus?
    Die Verknüpfung zwischen den Kontakten soll ja auch, bei jedem kompletten schliessen der App oder spätestens alle 7 Tage, wechseln. Finde ich echt eine gute idee und wie gesagt, für mich im moment die attraktivste App.

  7. Aber muss der Schlüssel nicht irgendwie übertragen werden damit zb. der Empfänger die Nachricht lesen kann?

  8. Stephan Lipphardt says:

    Ich möchte, dass Verschlüsselung *im Hintergrund* – quasi als unsichtbare Selbstverständlichkeit – abläuft. Als User möchte ich davon nichts sehen.

  9. Wieso verschwinden meine Kommentare hier einfach?

  10. Von Handy aus geht es einen Kommentar zu schreiben, komisch.

    @Daniel Muss denn der Schlüssel nicht irgendwie übertragen werden damit der Empfänger die Nachricht dann lesen kann?

  11. webrebell says:

    Kontalk hat ebenfalls eine Ende-zu-Ende-Verschlüsselung ist aber ein Open Source Project, das noch Unterstützer sucht. https://play.google.com/store/apps/details?id=org.kontalk

  12. @Tony

    dafür gibt es ja den öffentlichen Schlüssel, den der Empfänger von einem Schlüsselserver herunterlädt.

  13. Ja, runde Sache glaube ich. Gut, dass du wenigstens für Verbreitung sorgst. Es brauch nur soviel „kritische Masse“ zusammenkommen, damit Whatsapp das nachrüstet 😉

  14. Ist nur die Frage, ob man die kritische Masse erreicht, mit einem von Anfang an kostenpflichtigen Version. Da war Whatsapp schlauer, und ich vermisse hier eine Testversion, um zu schauen ob es meien Whatsapp ersetzen kann, und wie es arbeitet (Identifizierung nummer, Upload des Adressbuches usw…)

  15. @Tonymann das Telefonbuch wird hochgeladen wie auch bei whatsapp. Lies dich mal auf der Seite ein, die haben da sehr viel gut beschrieben wie es funktioniert. Die App gab es zur Erscheinung auch gratis, jedoch wurde es nicht so oft erwähnt in den Blogs, wie jetzt.

    @.marc dann liegt der öffentliche Schlüssel also auf dem Server? Und threema selbst kann den nicht nutzen um die Nachrichten zu entschlüsseln?

  16. @Tonymann

    „Wie stellen Sie sicher, dass sensible Informationen wie die Handynummern nicht in falsche Hände geraten?
    Die App überträgt nur sogenannte Hashes (einwegverschlüsselte Codes) der E-Mail-Adressen und Telefonnummern an den Server, so dass dieser nicht direkt auf die jeweiligen Adressen und Nummern schliessen, sondern einzig feststellen kann, ob es einen passenden Threema-Benutzer gibt. Zudem werden diese Hash-Listen nur für den Abgleich verwendet und gleich nach Beantwortung der Anfrage wieder gelöscht.“

  17. Und was ist mit XMPP (Jabber) und OTR (Off-the-Record Messaging)? Alles frei und Open Source. Das gibt es bereits seit vielen Jahren. Für die Verschlüsselung wird meines Wissens GnuPG verwendet. Clients gibt es auch für ziemlich jede Plattform. Bspw. Pidgin mit OTR-Plugin, Jitsi oder Xabber für Android. Bei Wikibedia findet man noch mehr: https://de.wikipedia.org/wiki/Off-the-Record_Messaging

  18. @Tony
    der öffentliche Schlüssel wird dazu verwendet um eine Nachricht zu verschlüsseln. Entschlüsselt kann eine solche Nachricht nur mit dem privaten Key der jeweils nur dem Besitzer bekannt sein sollte. Damit kann sichergestellt werden, dass nur eine bestimmte Person bzw. nur derjenige der im Besitz des privaten Schlüssels ist die Nachricht öffnen kann – Stichwort asynchrone Verschlüsselung

  19. @Harry
    Danke. Das bedeutet das nur ich und der Empfänger den privaten Key besitzen? Wie kommt der Empfänger an diesen ran? Also speziell bei Threema jetzt. Wenn ich seine ID scanne während er neben mit sitzt kann ich mit vorstellen das dieser mit übertragen wird, jedoch wie soll das funktionieren wenn ich denjenigen manuell zu meinen Kontakten zufüge?

  20. Hört euch einfach mal den Podkast dazu an, der Entwickler macht nen ganz vernünftigen Eindruck, nicht perfekt, aber auf jedenfall ernsthaft um die Sicherheit bemüht.

    http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung

  21. Ich habe mir den Podcast schon angehört. Dort wird auch gesagt das wenn man einen Jailbreak auf dem iPhone hat, die Nachrichten die sich noch in der App befinden einfach ausgelesen werden können, sprich keine eigne verschlüsselung in der App haben. Was in meinem Fall irrelevant ist aber wie ich finde doch schon erwähnt werden sollte.

  22. Ich befürchte, dass die meisten User Datenschutz nicht die Bohne interessiert.
    Zudem ist der Preis ja geradezu abschreckend… 😉
    Wenn ich so einige App-Bewertungen sehe…. die App kann (nach meinem Geschmack) noch so gut sein – es finden sich imemr einige Kommetnare, die dann bemängeln, dass es das nicht kostenlos gibt – statt 0,99 € oder 1,99€.
    Ebenso bei der Sucher nach Apps: kann mir einer eine gute App für XY empfehlen – aber bitte eine die nichts kostet…
    Da WA schon so weit verbreitet ist, glaube ich zumindest nicht, dass sich ein kostenpflichtiger Messanger in größeren Kreisen durchsetzen wird.

  23. Ich schmeiße mal die App Gibberbot in die Runde https://guardianproject.info/apps/gibber/
    Free, Open Source, OTR

  24. @Tony

    Nein, den privaten Schlüssel kennst nur Du. Alles Andere wäre fatal.

    Stelle Dir den öffentlichen Schlüssel so vor:

    Du gibst den Leuten einen Schlüsselbundschlüssel (public key) in die Hand, womit ein Vorhängeschloss an Deiner Sendung (aka Nachricht) abgeschlossen wird. Nur Du bist im Besitz des passenden Schlüssel (private key), um dieses Schloss wieder zu öffnen.

  25. Hallo,
    Jetzt mal eine vielleicht blöde Frage. Kann ich mit Threema jemanden eine Nachricht senden, der nur Whatsapp benutzt?
    Wenn nicht, dann ist die App doch nur sinnvoll, wenn man mit einer Gruppe kontakt hält, die alle das Programm nutzen. Und da Whatsapp nun mal am meisten verbreitet ist, wird sich dieser Messenger nicht durchsetzen.
    Also, kann man mit Threema jemanden mit Whatsapp kontaktieren und zwar ohne Probleme?

  26. @.marc Ok aber wie entschlüsseln dann andere die Nachricht? Mit dem öffentlichen Schlüssel mit dem die Nachricht verschlüsselt wurde? Wenn ja, wie kommen diese an den Schlüssel? Also wie übergebe ich diesen? Und wozu habe ich einen Privaten Schlüssel wenn die Nachricht doch mit dem öffentlichen verschlüsselt wird?

  27. @Ralf
    Nein, man keine Nachrichten zu Whatsapp schicken.

  28. Danke Tony für den Hinweis, das hatte ich nach meinem Post dann auch gelesen. Das mit der kostenlosen Version ist dann leider an mir vorbei gegangen. Wobei ich mich auf der HP regisitriert hatte,. und heute ne mail kam. Fände ne Testversion trotzdem gut!

    Hier findest du INfos über die Verschlüsselung http://de.wikipedia.org/wiki/Public-Key-Verschl%C3%BCsselungsverfahren oder über die Google Bildersuche, da ist das gut erklärt.

    @Ralf: nee, das geht nicht, aber es geht darum endlich ne VERNÜNFTIGE Alternative zu haben. Und ne Schweizer Firma, die nen guten Eindruck macht, hat schon was. Dazu nen vernünftiger Abgleich der nummern, das ist schon sehr verlockend.

  29. Jetzt habe ich es verstanden. Danke

  30. Es fehlte mit das Verständnis das ich den Public Key von dem Empfänger nutze um die Nachricht zu verschlüsseln.

    Dieser Public Key wird durch meinen Privaten Key generiert? Und man hat nicht die Möglichkeit dies umzurechnen wenn ich das richtig verstehe. Wenn das ganze OpenSource ist, gibt es da keinen Algorithmus wie die Schlüssel generiert werden?

  31. Der Key wird mit einer Einwegfunktion generiert.

    http://de.wikipedia.org/wiki/Fallt%C3%BCrfunktion

    Theoretisch denkbar wäre es, das man irgendwann soviel Rechenpower hat, diese Zahlen in verhältnismäßig kurzer Zeit entschlüsseln kann.

    Aber Du musst es ins Verhältnis setzen. Rechenpower gegen Schlüssellänge.

    Hier findest Du einen interessanten Thread zum Thema.

    http://security.stackexchange.com/questions/4518/how-to-estimate-the-time-needed-to-crack-rsa-encryption

  32. Es gibt noch mySMS aus Österreich. Hat da jmd. Einwände?

  33. Surespot gibts da auch noch – ohne die Komfortable Handynummeridentifikation, dafür auch kein Hochladen vom Adressbuch nötig.

  34. Next please! Wird wohl das gleiche ereilen wie Hike. Habe unter Freunden für Hike Werbung gemacht, aber nur 2 Kontakte haben es installiert. Den Rest interessieren Alternativen einfach nicht, solange die Mehreit WA hat. „Warum soll ich mir noch eine App dafür installieren?“. Schade, ich würde Hike definitiv WA vorziehen – vor allem da hier offener kommuniziert werden zu scheint, als im PR-Nirvana von WA.

    Und wenn das Ding dann von Anfang an kostenpflichtig ist, keine Chance. Es müßte zumindest eine Trialversion geben mit z.B. 30 Tagen damit es testen kann. Wer kauft sich denn für 1,69 (auch wenn es nicht viel ist) eine App um dann festzustellen, außer mir benutzt das keine S**?

    Die Idee mit den 3 Stufen ist schon eine nette Sache nur wie bekomme ich von jemand einen grünen Punkt von dem ich definitiv weiß, dass es seine Nummer ist (z.B. weil er mich damit anruft), ich ihn aber nicht treffen werde, da er z.B. in Honolulu wohnt oder ich niemals nach Dortmund kommt? Nett, aber irgendwie auch nicht 100% zu Ende gedacht. Da wäre es sinnvoll, dass z.B. der Anrufer eine Nummer generiert, diese dann dem anderen telefonisch sagt damit er die bei sich einträgt und somit die Telefonnummer des anderen authorisiert.

  35. AndroidFan says:

    Gibt es auch ein Gruppenchat? Wenn ja, dürfte hier die Verschlüsselung nicht funktionieren.

  36. AndroidFan says:

    Was viele ja bei WhatsApp bemängeln ist, dass es nicht auf dem Computer nutzbar ist. Wird Threema das noch ausbauen?

  37. @Timo: Es gibt einen Workaround für die grünen Punkte. Einen Screenshot vom QR-Code machen, per E-Mail dem anderen zuschicken, und dort dann mit dem Smartphone einscannen. Zwar nicht so gedacht, geht aber gut.
    @AndroidFan: Gruppenchat gibt es noch nicht, ist aber auch mit Verschlüsselung möglich. Ein Gruppenchat ist im Prinzip vergleichbar mit einer Mailingliste. Einer sendet, alle Teilnehmer empfangen. Der CCC hat dazu was entwickelt, was übertragbar wäre, da es auch auf einer asynchronen Verschlüsselung beruht.
    Gruppenchats und PC-/Mac-Client sind laut dem Podcast auf der Wunschliste des Entwicklers, es wird aber noch seine Zeit dauern.

  38. AndroidFan says:

    @matzle
    Danke für das Feedback, ich hoffe, es wird noch mal eine Trial-Version veröffentlicht.

  39. Getestet, läuft gut. Jetzt kommts nur auf die Verbreitung an. Die Idee mit der Free Trial (60 Tage Testversion?) finde ich gut, doer ein öffentliches Testen-lassen durch SIcherheitsexperten (vielleicht etwas ZU plakativ …).

  40. no rocketscience… wer mal selbst mit sowas „spielen“ will: http://assl.sullof.com/assl/

  41. fireskyer says:

    xmmp ist über OTR problematisch da.

    1. keine möglichkeit einer history gegeben ist ( man kann nichts zurückverfolgen)

    2. der wechselnde schlüssel von otr das problem darstellt, das der partner online sein muss ( dauerhafte verbindung) steht auch auf der threema seite.

    Das Spricht aufjedenfall gegen xmmp und dem OTR Mechanismus …

  42. @Webrebell
    Kontalk sieht interessant aus. Wie funktioniert das dort mit der Verschlüsselung?

  43. https://threema.ch/validation/ , also so ein wenig Testen ist definitiv machbar sogar unter Anleitung mit HilfsCode 🙂

    @matzle du weisst aber schon das du damit das System torpedierst?
    Man kann genauso gut sich normal unterhalten wenn es nur 1 oder 2 Punkte sind und sich den Fingerabdruck gegenseitig vorlesen am Telefon.

  44. Ich denke es müsste mehr Firmen wie Threema geben um Druck auf andere Messenger-Anbieter auszuüben damit ein umdenken stattfindet im Bezug auf Sicherheitsstandards.

  45. Elias, es gibt massig Messenger die aus dem Boden schießen, myenigma, kontalk, xabber, Threema, und nun auch noch hemlis.
    Bedarf ist da, und darum zieht das Angebot jetzt auch nach.
    Nur am Bedarf müssen wir noch Arbeiten, diese Ignoranz von „Ich hab nichts zu verbergen“ muss weg 😀

  46. Also mir ist es egal ob die Mehrheit weiterhin WA nutzt. Ich bin da schon aus Prinzip weg. Totale Marktkontrolle und Überwachung versuche ich zu umgehen so gut es eben geht. Threema ist ein guter Schritt und zieht auch immer weitere Kreise. Meine Kollegen waren vor 2 Tagen auch absolut wegen einen Wechsel weg von WA. Gestern hatten sie noch vor mir Threema installiert. Stand sogar in den Klatsch Zeitungen was Datenschützer empfehlen. Also ich bin da ganz entspannt. 1 Woche und dann hat sich die Zahl zumindest verdoppelt 🙂

  47. @fireskyer:
    – Es ist OTR ueber XMPP, nicht andersherum.
    – Die Logfiles werden nach der Entschluesselung angelegt und sind ohne Probleme nutzbar.
    – Der Schluessel muss sich nicht automatisch aendern, tatsaechlich tut er dies in gaengigen XMPP Clients nicht, sondern nur auf manuelles Anstossen hin – Offline-Nachrichten sind kein Problem.

    Einer der grossen Vorteile von XMPP gegenueber allen anderen IM-Technologien ist die Kombination von Features – es gibt meines Wissens nach keine andere praktisch nutzbare Methode Private Nachrichten von beliebig vielen Geraeten ueber beliebig viele Accounts an beliebig viele Geraete zu schicken, das Transportverschluesselt, OTR-Verschluesselt und auch auchnoch als FOSS.

    Ich wuenschte es gaebe was besseres, was dann auch irgendwer benutzt, aber leider ist da trotz regelmaessigem Suchen nichts handfestes zu finden. Viele Ideen, halbfertige Projekte und verwaiste Seiten, wenig gute Software.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.