Threema: ThreemaSafe bald als neue Backup-Möglichkeit

Threema steht vor der Veröffentlichung eines großen Features für den eigenen Messenger-Dienst. Das Unternehmen testet derzeit in der Beta, will aber später dann den ThreemaSafe vorstellen. Hierbei handelt es sich um die Möglichkeit, ein sicheres automatisches Online-Backup mit Self-Hosting-Möglichkeit aufzusetzen.

Statt der Sicherung auf dem Gerät kann man so verschlüsselt extern sichern. ThreemaSafe ersetzt das unzuverlässige Android-Backup, so die Macher. Es ist plattformübergreifend und wird auch für iOS und Windows Phone verfügbar sein. Das Backup wird einmal pro Tag per HTTPS PUT auf einen beliebigen Server hochgeladen. Die Schlüsselableitung erfolgt mittels SCrypt. Die Dateinamen lassen keinen Rückschluss auf den Urheber zu.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

52 Kommentare

  1. schön, daß mal über einen seriösen messenger-dienst berichtet wird, statt immer nur über whatsapp. wenn dann auf whatsapp werbung erscheint, wird threema noch weiter an popularität zunehmen. mich freut’s.

  2. Das hört sich äußerst interessant an.

  3. Ex Threema Nutzer says:

    Coole Idee. Nur schade, daß Threema Applikationsquelltexte nicht veröffentlichen will. So muß man der gewinnorientierten Threema GmbH 100% vertrauen https://de.wikipedia.org/wiki/Threema#Kritik. Mir ist das zu riskant.

    • Du musst auch bei veröffentlichtem Quelltext auf Dritte vertrauen. Nämlich auf Personen, welche über das Fachwissen und die freie Zeit verfügen, den veröffentlichten Quelltext angemessen zu prüfen. Du musst auch darauf vertrauen, dass das installierte Paket und die Software auf dem Server tatsächlich genau dem publizierten Code entsprechen. Das Risiko ist also genau das gleiche.

      Mir ist ein Entwickler mit klarer Finanzierung viel sympathischer als einer, der an der langen Leine von staatlichen Stiftungen, Investoren oder Sugardaddys hängt. Denn wer sein Geld mit dem Produkt selbst verdient, hat ein Interesse daran, keine Zweifel an der Sicherheit entstehen zu lassen.

      • @Claus:
        Perfekt erklärt! Dem ist nichts hinzuzufügen!

      • Es ist aber deutlich einfacher, einer Gruppe die nichts miteinander verbindet zu vertrauen, als einer Firma, die sowas aus eigenen Interessen ggf. niemals publik machen wird.

        Das das installierte Paket bei mir lokal dem publizierten Code entspricht kann ich nachprüfen ohne jemanden vertrauen zu müssen. Stichwort reproducable Builds. Mit dem Server hast du Recht, aber mit dem richtigen Clienten ist die Angriffsfläche dort sowieso so minimal wie möglich.

        Außerdem kann es ja niemals Schaden, wenn der Quelltext zusätzlich einsehbar ist. Wenn du Threema vertraust hat das keinen Nachteil. Von daher ist die Kritik durchaus berechtigt.

      • Hallo.

        Dank Millionen Nutzern auf Github sind Sicherheitsprüfungen in der heutigen Zeit kein Problem mehr. Einfach nur ein paar Taler zur Verfügung stellen und Nutzer erledigen die Aufgaben. Schau dir mal den Bereich Indien an. Für die sind 1000 Dollar super viel Geld und Inder haben es in der Programmierung sehr gut drauf. Ansonsten einfach einen Profi-Audit nach jedem Update, wenn man die Quelltexte verheimlichen will.

        Servercode ist bei E2E nicht relevant, denn ich könnte ja anhand des *App*-Quelltextes prüfen, dass auf meinem Handy alles E2E verschlüsselt verlässt. Dazu noch ne ausführliche Dokumentation und fertig. Das kann ich bei Threema aber nicht machen. Ich kann den Datenverkehr auslesen aber der nützt mir wenig ohne vollständige Infos. Wie werden Schlüssel ausgetauscht, usw.

        Vertrauen ist gut, aber bei nem gewinnorientierten Unternehmen hört mein Vertrauen auf.

        „Klare Finanzierung“ ist dann auch so ne Sache… vergiß nicht, dass es alles Einmalbeträge dort sind. Damit lässt sich kein Messengerdienst dauerhaft finanzieren, auch wenn Threema nur ganz winzig ist. Ich hatte mal gelesen, daß Telegram vor Jahren schon über eine Million Dollar ***monatlich*** kostete (und die haben wohl nicht mal ein echtes Büro?). OK, die haben das 1000-fache an Nutzern, aber trotzdem bei solchen Beträgen fällt man ja in Ohnmacht.

        Server, Traffic, Ersatz-Server die jederzeit bereitstehen müssen, Angestellte, etwaige SMS-/Anruf-Kosten, Fachpersonal, Büromiete usw. alles nicht günstig – vor allem in der Schweiz wo die Kosten ja doch höher als in Deutschland sind (Gehalt ist natürlich entsprechend auch höher). Will Threema nichts böses unterstellen, nur wird sowas gern vergessen zu erwähnen.. und deshalb hab ich doch Zweifel an dem gesamten Geschäftsmodel. Dauerhaft kann das nichts werden, es sei denn die Nutzer bezahlen die App, probieren sie aus und löschen sie wieder = Einnahmen ohne laufende Nutzerkosten. Vielleicht wird das erhofft?

        Ein Abo würde auf *mich* seriöser wirken als eine Einmalzahlung bei nem kommerziellen Dienst. (unwichtig ob die App nun sicher ist oder nicht oder ich bereit wäre das zu zahlen. Geht einzig um die Seriösität.)

        • FriedeFreudeEierkuchen says:

          Und weil das alles ja gar kein Problem ist, hat man nach nur 19 Jahren einen Bug in OpenSSH gefunden… Heartbleed hatte auch schon viele Jahre unerkannt geschlummert. Dazu gab es vor kurzem noch eine uralte Kernellücke.
          Mir gefällt die Idee von Open Source. Aber so einfach ist das mit den Audits nicht. Man braucht qualifizierte Sicherheits-Spezialisten, die viel Zeit in Code Reviews oder Fuzzing-Tests stecken können. Dabei fehlt in vielen Projekten ohnehin die Man-Power. Dein Argument ist ein theoretisches und hat mit der Realität nur wenig zu tun.
          Immerhin erlaubt Open Source zumindest theoretisch umfassende Checks, während Closed Source immer eine Black Box ist.

        • Telegram speichert auch alle Daten in der Cloud. Das kostet natürlich um Grössenordnungen mehr als ein einfaches Relay, wie es bei Threema der Fall ist.

    • zum glück ist facebook nicht gewinnorientiert. dort arbeiten die mitarbeiter ohne entlöhnung, und zuckerberg ist so arm wie franz von assisi. darum wird’s be whatsapp auch bald werbung geben.

  4. Wird das auch beinhalten, dass wenn man mit seiner ID auf ein neues Gerät umzieht, man weiterhin in Gruppenchats ist und Nachrichten empfängt? Wieviele Gruppenchats wir schon neu aufsetzen mussten, weil der Admin ein neues Gerät hat und kein Backup sondern nur seine ID hatte. Katastrophe.

    • Ich denke, das ist der Hauptzweck von Threema Safe: Es soll so einfach wie möglich sein. Mit dem händischen Erstellen eines Backups sind die meisten Nutzer nämlich bereits überfordert. Andererseits will man möglichst kein Cloud-Backup von kritischen Daten wie dem privaten Schlüssel. Durch das erwähnte Self-Hosting von Threema Safe muss man auch keinem Cloud-Anbieter wie Google oder Amazon vertrauen.

  5. Wenn die das einbauen und die Backups sich auch auf der jeweils anderen Platform wiederherstellen lassen, installier ich mir sofort wieder Threema. Aktuell lassen sich Daten-Backups aber nur auf der Platform wiederherstellen wo sie gemacht wurden. Leute die von Android zu iOS wechseln (oder andersrum) verlieren also ihre Daten.

  6. Man muss schon sagen, dass das Mitnehmen der Chats bei einem Gerätewechsel bislang eine Totalkatastrophe für den normalen Nutzer darstellt. Insofern längst überfällig und hoffentlich funzt es.

  7. Solange threema nicht open-source ist, ist das ganze doch ein Witz. Da bleibe ich lieber bei Telegram.

    • Du vertraust also lieber einem russischen Messenger der vom FSB kontrolliert wird! … interessant!

      • Denen muss er wenigstens wirklich voll und ganz vertrauen. Threema müsste sich ja schon Mühe geben, dass heimlich zu machen, Telegramm guckt einfach einmal in die Datenbank, die meisten Chats sind ja unverschlüsselt (Eine Verschlüsselung, für die man die Keys hat, ist genauso gut nicht existent)

        • Threema muss sich überhaupt keine Mühe geben. Sie können bei jeder Nachricht einfach den Key mitschicken und schon ist das ganze gegessen.

          • Deswegen sagte ich auch, Mühe geben, dass heimlich zu machen. Und ganz so einfach ist das dann auch nicht, darf ja unter keinen Umständen auffallen.

            • Würde Threema sowas machen, und würde es auch nur einem Nutzer auffallen, dann wäre wohl ihre Reputation komplett zerstört.

              Als Firma, deren Geschäftsmodell die Entwicklung eines privaten Messengers ist, werden sie sich hüten, jemals einen so dummen Schritt zu wagen. Im Gegensatz zu anderen Firmen ist der User der Geldgeber, nicht irgend ein Investor der irgendwann mal ein ROI sehen will, ungeachtet der Firmen-Grundwerte.

    • Woher kommt immer der Glaube, dass Telegram eine gute Lösung wäre? Da ist ja selbst WhatsApp noch besser!

      Telegram ist standardmäßig NICHT Ende-zu-Ende-verschlüsselt, die Krypto wird von Experten immer wieder kritisiert, Threema ist deutlich sparsamer bei den Metadaten, Threema betreibt EIGENE Rechenzentren und basiert nicht auf Cloud-Services von Dritten, Telegram basiert auf Handynummern usw.

      • Dieserr Irrglaube stammt aus der Zeit, als WhatsApp noch nicht E2E-verschlüsselt war. Damals war Telegram verglichen mit WA sicher (auch wenn Threema schon damals unerreicht war).

  8. Ich finde Threema sehr gut, aber warum wechseln nicht alle dorthin?

    • Weil es halt einmalig Geld kostet und der Großteil nach der „Geiz ist geil“-Mentalität lebt.

      • Was UI und Features angeht hinkt Threema WhatsApp aber auch einige Jahre hinterher.

      • Selbst wenn es nichts kostet will niemand wechseln. Ich habe meiner engsten Familie die Lizenzen sogar gekauft, um den Umstieg auf Threema so angenehm wie möglich zu gestalten. Interessiert nur leider niemand. Also bin ich entweder per SMS oder Threema verfügbar, WA habe ich schon längst nicht mehr.

    • Das Userinterface ist einiges schlechter als bei WhatsApp oder Telegram.
      Das stört einige sehr.

    • Und ich finde Signal toll, warum nutzt das nicht jeder? Das kannst du auf Wire und all die anderen erweitern. Bei den meisten wird die erhrliche Antwort sein: weil die meisten halt WhatsApp nutzen.

      • Das muss aber nicht so bleiben. Es gab Zeiten, da nutze noch niemand WhatsApp. Man muss nur seine engsten Kontakte zu Threema bringen, dann kann man WA noch für die übrigen verwenden.

    • Theema, Signal, Wire, Telegram und wie sie alle heißen haben alle ein gemeinsames Problem: Es gibt zuviele Alternativen zum Platzhirschen WhatsApp.

      Ich bin nicht bei Telegram, weil die Verschlüsselung absolut unzureichend ist. Andere sind nicht bei Threema, weil nicht Open Source. Wiederrum andere nicht bei Signal weil doch zugegeben einige Funktionen fehlen. Bei Wire stört das Design. Die Liste kann man noch lange so fortführen.
      Aber einen Messenger haben fast alle, und das ist WhatsApp. Es fehlt einfach _die_ Alternative, die alle akzeptieren könnten.

      • @Flo:
        Kann ich absolut bestätigen und so erlebe ich es auch in meinem Freundeskreis. Jeder Messenger hat so seine Vor- und Nachteile. Ich persönlich nutze z.b ausschließlich Signal, dennoch stört mich z.b extrem die Desktop-Variante, da ich – wenn ich zu Hause bin – gerne am Rechner Nachrichten beantworte.

  9. Rolf von Bürgen says:

    „Ääääähh Threma ist ja kein Open-Source!“

    1. WhatsApp ist auch nicht Open-Source. Und dort liest Facebook/WhatsApp alles mit was geschrieben wird um User zu profilieren und für die Werbeindustrie gefügig zu machen:
    https://www.sat1.de/tv/akte/video/2018-was-weiss-das-netz-ueber-uns-das-akte-datenexperiment-clip
    Macht ihn selbst den „Hundefutter“-Test – bzw. schreibt über WA über ein Thema, über das ihr noch nie geschrieben habt.

    2. Der Kern von Threema ist sehr wohl Open-Source – es die freiverfügbare OS Verschlüsselungs-Bibliothek „NoCl“

    3. Wäre Threema Open-Source würde es die gesamt Sicherheit ad absurdum führen. Wer z.B. im Google Play-Store „Threema“ eingibt, bekommt als zweiten Treffer gleich „Threema kostenlos“ angezeigt – sprich: Sehr viele suchen danach, weil sie auch Threema haben wollen.

    Würde der Quelltext offen liegen, schnappt sich den Code ein X-beliebiger Hacker – schreibt ihn zu seinen Gunsten um und stellt ihn als „Threema kostenlos“ wieder ein. Die hundertausende von Installationen bringen ihn dann Daten ohne Ende.

    Dann lieber Closed-Source und 2.99 EUR dafür zahlen. Die technische Abwicklung von Threema findet jeder auf deren Webseite. Und es gab bisher in den letzten 6 Jahren KEINEN einzigen Grund, das man daran zweifeln sollte.

    Hier fallen scheinbar sehr viele gerne auf Ihre Voruteile rein, weil es das Denke so schön einfach macht. Das ist so, als wenn man sagen würde: Paket = Bombe! Und das ist auch nur sehr sehr selten der Fall….

    Es muss nicht immer alles offen liegen – wer schon mal am Rentner-FKK-Strand war, der weiß was ich meine!

    „Ääääähh Threma ist ja kein Open-Source!“ – ist die einzige Ausrede, die viele vorschieben um sich Threema nicht zu installieren.

    Tatsächlich aber ist bis heute Threema der Messenger mit den meisten Sicherheits-Features – wenn ihr bitte hier mal schauen wollt:
    https://www.securemessagingapps.com

    Screenshots während der Nutzung sind abschaltbar bei Threema – Tastatur-Overlay um es Keyloggern schwer zu machen. Und ein tolles Umfrage-Tool ist auch noch mit drin.

    Dazu kostenlose Telefonie in 1A-Qualität und das alles ohne Vorratsdatenspeicherung.

    Oder was meint ihr, warum man jeden guten Journalisten in Deutschland mittlerweile auch über Threema kontaktieren kann?

    Wer Facebook und WhatsApp mit seinen persönlichen Daten füttert, der gefährdet unsere Demokratie.
    Alles hier ausführlich nachzulesen – Profiling, Psychometrik, Ocean-Scores, Wahl-Manipulation, ect. pp.
    https://www.tagesanzeiger.ch/ausland/europa/diese-firma-weiss-was-sie-denken/story/17474918

    Facebook – dieses hoch A-Soziale-Netzwerk hat jetzt häufig genug unter Beweis gestellt, das es auf den Datenschutz pfeift… Der DSGVO ist es durch Datenflucht nach Amerika zuvor gekommen und dort werde Eure Daten,Profile, Infos frei verkauft.

    Und weil ich keinen Bock habe, das 2021 B. von Storch neue Bundeskanzlerin wird, stelle ich seit einiger Zeit nur eine Frage im Freundeskreis:

    Ist Dir unsere Demokratie nicht 2.99 EUR (3.49 EUR Apple) wert?

    • Hier hat niemand WhatsApp als die bessere Alternative zu Threema hingestellt? Damit ist die Hälfte deines Textes eh hinfällig, das ist hier sicher allen bekannt.

      Zu 2: Joa, WhatsApp hat auch einige OpenSource-Bestandteile. Wie du aber selbst schon ausführtest bringt das rein gar nichts. Ist also auch für Threema hinfällig als Argument.

      Zu 3: Zunächst einmal bekomme ich als zweiten Eintrag und alle folgenden Einträge was ganz anderes angezeigt. Andere Messenger haben damit auch kein großes Problem, fordert man Google oder Apple halt auf das zu löschen. Als Firma kann man ja wohl regelmäßig mal nachgucken, dass die eigene Marke nicht missbraucht wird. Muss man ggf. sogar sowieso.
      Außerdem sagst du ja selbst, dass es eine solche Nachmache schon gibt (keine Ahnung, sehe sie wie gesagt nicht). Closed Source hat da wohl doch nicht geholfen, was? Dass das vielleicht aktuell noch offensichtlich erkennbar ist (für dich! Frag mal meine Oma…), zeigt höchstens dass der andere nicht mehr Arbeit rein stecken wollte.

      Zu den Sicherheitsfeatures: Ich weiß nicht, aber Wire kommt da auch super weg. Die sind immerhin Open Source. Kann man anders als da angegeben anonym mit einer E-Mail-Adresse benutzen, und die kriegt man noch sehr einfach ganz anonym. Und ist auch noch kostenlos, also kann ich die Demokratie auch mit 0 Euro verteidigen, wie du so schon hochspurig sagtest.
      Wie es etwas weiter oben schon steht, gibt es einfach zu viele durchaus gute Alternativen, und genau deswegen setzt sich keine davon gegen WhatsApp durch.
      Threema würde einen großen Schritt weiter zur „perfekten“ Alternative gehen, wenn sie Open Source wären und noch ein paar andere Kleinigkeiten besser machen würden.

  10. Schaut euch mal Signal an, dank des Millionen Investments durch den WhatsApp Gründer tut sich langsam dort etwas, gerade in Sachen Performance und App-Design.

  11. 1. Signal hat seine Server in den USA stehen – das ist ein No-Go.

    2. Die Kommunikation bei Signal läuft wieder über die Mobilfunknummer – das ist nicht nur rückständig, sondern fatal, denn jede Mobilfunknummer in Deutschland ist auf einen Name registriert und somit ist man ratzfatz ermittelbar und auch ortebar!

    Nur die Threema-ID garantiert echte Anonymität – weil die nur ich und mein Threema-Gegenüber kennen.

    • Das habe ich auch nur bei Threema gesehen. Man kann selbst im Flugmodus einen Kontakt sicher hinzufügen ohne eine E-Mailadresse oder Telefonnummer von dem Kontakt zu kennen. Einfach den QR Code vom Kontakt Einscannen, und schon ist die ID samt öffentlichem Schlüssel sicher ausgetauscht. Alternativ kann man auch eine E-Mailadresse und.-oder Telefonnummer hinterlegen mit der man Kontakte finden kann (muss man aber nicht). Sehr schön gelöst

    • @Marcel:
      1. Dann gehe ich mal davon aus dass du nicht das normale Android oder iOS verwendest, sondern eine abgeschottete Custom-ROM? Wenn nicht, dann kommunizierst du andauernd mit Servern in den USA.

      2. Und deine IP-Adresse? Wird die verschleiert? Oder nutzt du irgendwelche VPN-Apps? Echte IP-Adressen lassen sich auch zurückverfolgen.

      Btw: „ECHTE“ Anonymität KANN KEINER GARANTIEREN. Wer dir sowas garantiert, der ist unseriös. Echte Anonymität ist: > Smartphone wegwerfen, Portemonnaie wegwerfen < Das ist echte Anonymität! Alles andere fällt unter der Kategorie "Risiken abwägen". Krass ausgedrückt, aber so ist es nun mal.

      Man muss mal mit den Füßen auf den Teppich bleiben. Sowohl Threema als auch Signal bieten beide ein hohes Maß an Sicherheit an. Alles andere wäre "Jammern auf hohen Niveau". Ich denke kein "normaler nicht-krimineller" Mensch wird jemals in so einer extremen Bedrohungslage sein, dass Nuancen zwischen Signal und Threema den Unterschied machen werden.

      • Wer Android RICHTIG konfiguriert und seine Einstellungen bei privacy.google.com RICHTIG setzt, der sendet fast nichts mehr in die USA.

        Schon gar nicht verschlüsselte Threema-Nachrichten, die über einen schweizer Server huschen.

        Die Threema-ID bekommt jeder der Threema installiert OHNE das irgendwelche Daten dafür notwendig sind – keine Email, keine Mobilfunknummer, kein Name, einfach nichts!

        Kurzum: Threema ist der einzige Messenger der das bietet und garantiert somit völlige Anonymität.

        Erst informierten – dann losplappern!

        Fang Dir eine Signal-Nachricht ab und eine Threema-Nachricht (zB mit dem Paketmitschnitt Deines Routers) und dann wirst Du sehen, wo der große Qualitätsunterschied liegt.

        • Sehr interessant. Gibt’s hierzu etwas Zitierbares auf dem Nezt? Ich meine, hat das mal jemand (du?) so durchgeführt und dokumentiert?

        • @Marcel:
          Das ist der größte Quatsch den ich jemals gehört habe. Selbst wenn du sämtliche Einstellungen im Android-OS deaktivierst, bleiben noch so extrem viele Funktionen übrig die einen Datenabgleich durchführen mit Google und „nach Hause telefonieren“. Das ist einfach realitätsfern was du sagst.

          Ich finde Threema gut, aber auch Signal, dennoch weißt DU nicht was alles mit-gesendet wird bei deinen Threema-Nachrichten, daher kannst du nur spekulieren. Eins ist sicher – und da machst du einen großen Fehler – völlige Anonymität gibt es nicht und Spuren hinterlässt du immer wenn ein Server dazwischen steht.

          Du wirfst mir vor ich wäre nicht richtig informiert, aber ich denke einfach dass du keine Ahnung hast wenn um „IT“ geht. Alleine die Aussage „Garantierte völlige Anonymität“ ist absolut naiv und völlig unqualifiziert.

          • Marcel? Das was du schreibst strotzt nur so vor Unwissenheit und völliger Naivität. So ein Mist habe ich schon lange nicht mehr gelesen.

    • Das ist auch ein Grund, weshalb ich Signal nicht mehr (so gerne) verwende. Der andere ist, dass der Verbrauch mobiler Daten (mehrere MB für simple Textnachrichten?!) viel zu hoch und das UI sehr rudimentär ist (iOS). Da ist Threema schon viel professioneller.

  12. Immer wieder dieses gleiche endlose geplappere bei Threema… immer die gleiche Leier.
    Die Bibeltreuen OSS Evangelisten, die es einfach nicht peilen.

  13. Ich antworte WA Nachrichten immer per SMS. Hab kein Vertrauen zu Facebook. Deinstallieren geht nicht weil ich eine Gruppe nicht verlassen will. Außerdem hat WA keinen Zugriff auf meine Kontakte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.