Threema: ThreemaSafe bald als neue Backup-Möglichkeit

Threema steht vor der Veröffentlichung eines großen Features für den eigenen Messenger-Dienst. Das Unternehmen testet derzeit in der Beta, will aber später dann den ThreemaSafe vorstellen. Hierbei handelt es sich um die Möglichkeit, ein sicheres automatisches Online-Backup mit Self-Hosting-Möglichkeit aufzusetzen.

Statt der Sicherung auf dem Gerät kann man so verschlüsselt extern sichern. ThreemaSafe ersetzt das unzuverlässige Android-Backup, so die Macher. Es ist plattformübergreifend und wird auch für iOS und Windows Phone verfügbar sein. Das Backup wird einmal pro Tag per HTTPS PUT auf einen beliebigen Server hochgeladen. Die Schlüsselableitung erfolgt mittels SCrypt. Die Dateinamen lassen keinen Rückschluss auf den Urheber zu.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

52 Kommentare

  1. schön, daß mal über einen seriösen messenger-dienst berichtet wird, statt immer nur über whatsapp. wenn dann auf whatsapp werbung erscheint, wird threema noch weiter an popularität zunehmen. mich freut’s.

  2. Das hört sich äußerst interessant an.

  3. Ex Threema Nutzer says:

    Coole Idee. Nur schade, daß Threema Applikationsquelltexte nicht veröffentlichen will. So muß man der gewinnorientierten Threema GmbH 100% vertrauen https://de.wikipedia.org/wiki/Threema#Kritik. Mir ist das zu riskant.

    • Du musst auch bei veröffentlichtem Quelltext auf Dritte vertrauen. Nämlich auf Personen, welche über das Fachwissen und die freie Zeit verfügen, den veröffentlichten Quelltext angemessen zu prüfen. Du musst auch darauf vertrauen, dass das installierte Paket und die Software auf dem Server tatsächlich genau dem publizierten Code entsprechen. Das Risiko ist also genau das gleiche.

      Mir ist ein Entwickler mit klarer Finanzierung viel sympathischer als einer, der an der langen Leine von staatlichen Stiftungen, Investoren oder Sugardaddys hängt. Denn wer sein Geld mit dem Produkt selbst verdient, hat ein Interesse daran, keine Zweifel an der Sicherheit entstehen zu lassen.

      • @Claus:
        Perfekt erklärt! Dem ist nichts hinzuzufügen!

      • Es ist aber deutlich einfacher, einer Gruppe die nichts miteinander verbindet zu vertrauen, als einer Firma, die sowas aus eigenen Interessen ggf. niemals publik machen wird.

        Das das installierte Paket bei mir lokal dem publizierten Code entspricht kann ich nachprüfen ohne jemanden vertrauen zu müssen. Stichwort reproducable Builds. Mit dem Server hast du Recht, aber mit dem richtigen Clienten ist die Angriffsfläche dort sowieso so minimal wie möglich.

        Außerdem kann es ja niemals Schaden, wenn der Quelltext zusätzlich einsehbar ist. Wenn du Threema vertraust hat das keinen Nachteil. Von daher ist die Kritik durchaus berechtigt.

        • Builds sind aber heutzutage nicht mehr reproducable. Die APK-Datei ist ja eine ZIP-Datei, und da hängt es z.B. vom Dateisystem ab, in welcher Reihenfolge die Sachen eingepackt werden. Von Timestamps gar nicht zu reden…

        • Hast du schon mal von Verantwortungsdiffusion gehört? Zudem ist die Analyse von Quellcode nicht gerade trivial. Wer das freiwillig in seiner Freizeit macht, ist vielleicht nicht die qualifizierteste Fachperson dafür. Das nimmt etliche Wochen, wenn nicht Monate in Anspruch. Wer die nötigen Skills hat, will dafür entlöhnt werden.

          • Und weil es Open Source ist, werden plötzlich keine professionellen Audits gemacht? Wire hat schon welche durchgeführt, und von denen ist alles Open Source. Signal ebenfalls.
            Es wurden auch schon genug Sicherheitsprobleme außerhalb von solchen Audits aufgedeckt, ohne dass die Person dafür vorher angeheuert und entlohnt wurde.

            Zur Verantwortungsdiffusion: Weil es also die Möglichkeit gibt, dass doch keiner den Leuten auf die Finger schaut, weil jeder dies jemand anderen überlässt, sorgen wir am besten dafür, dass dies überhaupt keiner mehr machen kann? Genau das wäre ja die Alternative Closed Source.
            Dafür ist die Lösung, mehr Leute dazu motivieren, etwas zu tun, und nicht das genaue Gegenteil zu machen.

      • Hallo.

        Dank Millionen Nutzern auf Github sind Sicherheitsprüfungen in der heutigen Zeit kein Problem mehr. Einfach nur ein paar Taler zur Verfügung stellen und Nutzer erledigen die Aufgaben. Schau dir mal den Bereich Indien an. Für die sind 1000 Dollar super viel Geld und Inder haben es in der Programmierung sehr gut drauf. Ansonsten einfach einen Profi-Audit nach jedem Update, wenn man die Quelltexte verheimlichen will.

        Servercode ist bei E2E nicht relevant, denn ich könnte ja anhand des *App*-Quelltextes prüfen, dass auf meinem Handy alles E2E verschlüsselt verlässt. Dazu noch ne ausführliche Dokumentation und fertig. Das kann ich bei Threema aber nicht machen. Ich kann den Datenverkehr auslesen aber der nützt mir wenig ohne vollständige Infos. Wie werden Schlüssel ausgetauscht, usw.

        Vertrauen ist gut, aber bei nem gewinnorientierten Unternehmen hört mein Vertrauen auf.

        „Klare Finanzierung“ ist dann auch so ne Sache… vergiß nicht, dass es alles Einmalbeträge dort sind. Damit lässt sich kein Messengerdienst dauerhaft finanzieren, auch wenn Threema nur ganz winzig ist. Ich hatte mal gelesen, daß Telegram vor Jahren schon über eine Million Dollar ***monatlich*** kostete (und die haben wohl nicht mal ein echtes Büro?). OK, die haben das 1000-fache an Nutzern, aber trotzdem bei solchen Beträgen fällt man ja in Ohnmacht.

        Server, Traffic, Ersatz-Server die jederzeit bereitstehen müssen, Angestellte, etwaige SMS-/Anruf-Kosten, Fachpersonal, Büromiete usw. alles nicht günstig – vor allem in der Schweiz wo die Kosten ja doch höher als in Deutschland sind (Gehalt ist natürlich entsprechend auch höher). Will Threema nichts böses unterstellen, nur wird sowas gern vergessen zu erwähnen.. und deshalb hab ich doch Zweifel an dem gesamten Geschäftsmodel. Dauerhaft kann das nichts werden, es sei denn die Nutzer bezahlen die App, probieren sie aus und löschen sie wieder = Einnahmen ohne laufende Nutzerkosten. Vielleicht wird das erhofft?

        Ein Abo würde auf *mich* seriöser wirken als eine Einmalzahlung bei nem kommerziellen Dienst. (unwichtig ob die App nun sicher ist oder nicht oder ich bereit wäre das zu zahlen. Geht einzig um die Seriösität.)

        • FriedeFreudeEierkuchen says:

          Und weil das alles ja gar kein Problem ist, hat man nach nur 19 Jahren einen Bug in OpenSSH gefunden… Heartbleed hatte auch schon viele Jahre unerkannt geschlummert. Dazu gab es vor kurzem noch eine uralte Kernellücke.
          Mir gefällt die Idee von Open Source. Aber so einfach ist das mit den Audits nicht. Man braucht qualifizierte Sicherheits-Spezialisten, die viel Zeit in Code Reviews oder Fuzzing-Tests stecken können. Dabei fehlt in vielen Projekten ohnehin die Man-Power. Dein Argument ist ein theoretisches und hat mit der Realität nur wenig zu tun.
          Immerhin erlaubt Open Source zumindest theoretisch umfassende Checks, während Closed Source immer eine Black Box ist.

        • Telegram speichert auch alle Daten in der Cloud. Das kostet natürlich um Grössenordnungen mehr als ein einfaches Relay, wie es bei Threema der Fall ist.

    • zum glück ist facebook nicht gewinnorientiert. dort arbeiten die mitarbeiter ohne entlöhnung, und zuckerberg ist so arm wie franz von assisi. darum wird’s be whatsapp auch bald werbung geben.

  4. Wird das auch beinhalten, dass wenn man mit seiner ID auf ein neues Gerät umzieht, man weiterhin in Gruppenchats ist und Nachrichten empfängt? Wieviele Gruppenchats wir schon neu aufsetzen mussten, weil der Admin ein neues Gerät hat und kein Backup sondern nur seine ID hatte. Katastrophe.

    • Ich denke, das ist der Hauptzweck von Threema Safe: Es soll so einfach wie möglich sein. Mit dem händischen Erstellen eines Backups sind die meisten Nutzer nämlich bereits überfordert. Andererseits will man möglichst kein Cloud-Backup von kritischen Daten wie dem privaten Schlüssel. Durch das erwähnte Self-Hosting von Threema Safe muss man auch keinem Cloud-Anbieter wie Google oder Amazon vertrauen.

  5. Wenn die das einbauen und die Backups sich auch auf der jeweils anderen Platform wiederherstellen lassen, installier ich mir sofort wieder Threema. Aktuell lassen sich Daten-Backups aber nur auf der Platform wiederherstellen wo sie gemacht wurden. Leute die von Android zu iOS wechseln (oder andersrum) verlieren also ihre Daten.

  6. Man muss schon sagen, dass das Mitnehmen der Chats bei einem Gerätewechsel bislang eine Totalkatastrophe für den normalen Nutzer darstellt. Insofern längst überfällig und hoffentlich funzt es.

  7. Solange threema nicht open-source ist, ist das ganze doch ein Witz. Da bleibe ich lieber bei Telegram.

    • Du vertraust also lieber einem russischen Messenger der vom FSB kontrolliert wird! … interessant!

      • Denen muss er wenigstens wirklich voll und ganz vertrauen. Threema müsste sich ja schon Mühe geben, dass heimlich zu machen, Telegramm guckt einfach einmal in die Datenbank, die meisten Chats sind ja unverschlüsselt (Eine Verschlüsselung, für die man die Keys hat, ist genauso gut nicht existent)

        • Threema muss sich überhaupt keine Mühe geben. Sie können bei jeder Nachricht einfach den Key mitschicken und schon ist das ganze gegessen.

          • Deswegen sagte ich auch, Mühe geben, dass heimlich zu machen. Und ganz so einfach ist das dann auch nicht, darf ja unter keinen Umständen auffallen.

            • Würde Threema sowas machen, und würde es auch nur einem Nutzer auffallen, dann wäre wohl ihre Reputation komplett zerstört.

              Als Firma, deren Geschäftsmodell die Entwicklung eines privaten Messengers ist, werden sie sich hüten, jemals einen so dummen Schritt zu wagen. Im Gegensatz zu anderen Firmen ist der User der Geldgeber, nicht irgend ein Investor der irgendwann mal ein ROI sehen will, ungeachtet der Firmen-Grundwerte.

    • Woher kommt immer der Glaube, dass Telegram eine gute Lösung wäre? Da ist ja selbst WhatsApp noch besser!

      Telegram ist standardmäßig NICHT Ende-zu-Ende-verschlüsselt, die Krypto wird von Experten immer wieder kritisiert, Threema ist deutlich sparsamer bei den Metadaten, Threema betreibt EIGENE Rechenzentren und basiert nicht auf Cloud-Services von Dritten, Telegram basiert auf Handynummern usw.

      • Dieserr Irrglaube stammt aus der Zeit, als WhatsApp noch nicht E2E-verschlüsselt war. Damals war Telegram verglichen mit WA sicher (auch wenn Threema schon damals unerreicht war).

  8. Ich finde Threema sehr gut, aber warum wechseln nicht alle dorthin?

    • Weil es halt einmalig Geld kostet und der Großteil nach der „Geiz ist geil“-Mentalität lebt.

      • Was UI und Features angeht hinkt Threema WhatsApp aber auch einige Jahre hinterher.

        • Mitnichten. Ich hab mir einmal zeigen lassen, wie WhatsApp eingerichtet und verwendet wird. Meine Güte…

      • Selbst wenn es nichts kostet will niemand wechseln. Ich habe meiner engsten Familie die Lizenzen sogar gekauft, um den Umstieg auf Threema so angenehm wie möglich zu gestalten. Interessiert nur leider niemand. Also bin ich entweder per SMS oder Threema verfügbar, WA habe ich schon längst nicht mehr.

    • Das Userinterface ist einiges schlechter als bei WhatsApp oder Telegram.
      Das stört einige sehr.

    • Und ich finde Signal toll, warum nutzt das nicht jeder? Das kannst du auf Wire und all die anderen erweitern. Bei den meisten wird die erhrliche Antwort sein: weil die meisten halt WhatsApp nutzen.

      • Das muss aber nicht so bleiben. Es gab Zeiten, da nutze noch niemand WhatsApp. Man muss nur seine engsten Kontakte zu Threema bringen, dann kann man WA noch für die übrigen verwenden.

    • Theema, Signal, Wire, Telegram und wie sie alle heißen haben alle ein gemeinsames Problem: Es gibt zuviele Alternativen zum Platzhirschen WhatsApp.

      Ich bin nicht bei Telegram, weil die Verschlüsselung absolut unzureichend ist. Andere sind nicht bei Threema, weil nicht Open Source. Wiederrum andere nicht bei Signal weil doch zugegeben einige Funktionen fehlen. Bei Wire stört das Design. Die Liste kann man noch lange so fortführen.
      Aber einen Messenger haben fast alle, und das ist WhatsApp. Es fehlt einfach _die_ Alternative, die alle akzeptieren könnten.

      • @Flo:
        Kann ich absolut bestätigen und so erlebe ich es auch in meinem Freundeskreis. Jeder Messenger hat so seine Vor- und Nachteile. Ich persönlich nutze z.b ausschließlich Signal, dennoch stört mich z.b extrem die Desktop-Variante, da ich – wenn ich zu Hause bin – gerne am Rechner Nachrichten beantworte.

  9. Schaut euch mal Signal an, dank des Millionen Investments durch den WhatsApp Gründer tut sich langsam dort etwas, gerade in Sachen Performance und App-Design.

  10. 1. Signal hat seine Server in den USA stehen – das ist ein No-Go.

    2. Die Kommunikation bei Signal läuft wieder über die Mobilfunknummer – das ist nicht nur rückständig, sondern fatal, denn jede Mobilfunknummer in Deutschland ist auf einen Name registriert und somit ist man ratzfatz ermittelbar und auch ortebar!

    Nur die Threema-ID garantiert echte Anonymität – weil die nur ich und mein Threema-Gegenüber kennen.

    • Das habe ich auch nur bei Threema gesehen. Man kann selbst im Flugmodus einen Kontakt sicher hinzufügen ohne eine E-Mailadresse oder Telefonnummer von dem Kontakt zu kennen. Einfach den QR Code vom Kontakt Einscannen, und schon ist die ID samt öffentlichem Schlüssel sicher ausgetauscht. Alternativ kann man auch eine E-Mailadresse und.-oder Telefonnummer hinterlegen mit der man Kontakte finden kann (muss man aber nicht). Sehr schön gelöst

    • @Marcel:
      1. Dann gehe ich mal davon aus dass du nicht das normale Android oder iOS verwendest, sondern eine abgeschottete Custom-ROM? Wenn nicht, dann kommunizierst du andauernd mit Servern in den USA.

      2. Und deine IP-Adresse? Wird die verschleiert? Oder nutzt du irgendwelche VPN-Apps? Echte IP-Adressen lassen sich auch zurückverfolgen.

      Btw: „ECHTE“ Anonymität KANN KEINER GARANTIEREN. Wer dir sowas garantiert, der ist unseriös. Echte Anonymität ist: > Smartphone wegwerfen, Portemonnaie wegwerfen < Das ist echte Anonymität! Alles andere fällt unter der Kategorie "Risiken abwägen". Krass ausgedrückt, aber so ist es nun mal.

      Man muss mal mit den Füßen auf den Teppich bleiben. Sowohl Threema als auch Signal bieten beide ein hohes Maß an Sicherheit an. Alles andere wäre "Jammern auf hohen Niveau". Ich denke kein "normaler nicht-krimineller" Mensch wird jemals in so einer extremen Bedrohungslage sein, dass Nuancen zwischen Signal und Threema den Unterschied machen werden.

      • Wer Android RICHTIG konfiguriert und seine Einstellungen bei privacy.google.com RICHTIG setzt, der sendet fast nichts mehr in die USA.

        Schon gar nicht verschlüsselte Threema-Nachrichten, die über einen schweizer Server huschen.

        Die Threema-ID bekommt jeder der Threema installiert OHNE das irgendwelche Daten dafür notwendig sind – keine Email, keine Mobilfunknummer, kein Name, einfach nichts!

        Kurzum: Threema ist der einzige Messenger der das bietet und garantiert somit völlige Anonymität.

        Erst informierten – dann losplappern!

        Fang Dir eine Signal-Nachricht ab und eine Threema-Nachricht (zB mit dem Paketmitschnitt Deines Routers) und dann wirst Du sehen, wo der große Qualitätsunterschied liegt.

        • Sehr interessant. Gibt’s hierzu etwas Zitierbares auf dem Nezt? Ich meine, hat das mal jemand (du?) so durchgeführt und dokumentiert?

        • @Marcel:
          Das ist der größte Quatsch den ich jemals gehört habe. Selbst wenn du sämtliche Einstellungen im Android-OS deaktivierst, bleiben noch so extrem viele Funktionen übrig die einen Datenabgleich durchführen mit Google und „nach Hause telefonieren“. Das ist einfach realitätsfern was du sagst.

          Ich finde Threema gut, aber auch Signal, dennoch weißt DU nicht was alles mit-gesendet wird bei deinen Threema-Nachrichten, daher kannst du nur spekulieren. Eins ist sicher – und da machst du einen großen Fehler – völlige Anonymität gibt es nicht und Spuren hinterlässt du immer wenn ein Server dazwischen steht.

          Du wirfst mir vor ich wäre nicht richtig informiert, aber ich denke einfach dass du keine Ahnung hast wenn um „IT“ geht. Alleine die Aussage „Garantierte völlige Anonymität“ ist absolut naiv und völlig unqualifiziert.

          • Marcel? Das was du schreibst strotzt nur so vor Unwissenheit und völliger Naivität. So ein Mist habe ich schon lange nicht mehr gelesen.

    • Das ist auch ein Grund, weshalb ich Signal nicht mehr (so gerne) verwende. Der andere ist, dass der Verbrauch mobiler Daten (mehrere MB für simple Textnachrichten?!) viel zu hoch und das UI sehr rudimentär ist (iOS). Da ist Threema schon viel professioneller.

  11. Hier hat niemand WhatsApp als die bessere Alternative zu Threema hingestellt? Damit ist die Hälfte deines Textes eh hinfällig, das ist hier sicher allen bekannt.

    Zu 2: Joa, WhatsApp hat auch einige OpenSource-Bestandteile. Wie du aber selbst schon ausführtest bringt das rein gar nichts. Ist also auch für Threema hinfällig als Argument.

    Zu 3: Zunächst einmal bekomme ich als zweiten Eintrag und alle folgenden Einträge was ganz anderes angezeigt. Andere Messenger haben damit auch kein großes Problem, fordert man Google oder Apple halt auf das zu löschen. Als Firma kann man ja wohl regelmäßig mal nachgucken, dass die eigene Marke nicht missbraucht wird. Muss man ggf. sogar sowieso.
    Außerdem sagst du ja selbst, dass es eine solche Nachmache schon gibt (keine Ahnung, sehe sie wie gesagt nicht). Closed Source hat da wohl doch nicht geholfen, was? Dass das vielleicht aktuell noch offensichtlich erkennbar ist (für dich! Frag mal meine Oma…), zeigt höchstens dass der andere nicht mehr Arbeit rein stecken wollte.

    Zu den Sicherheitsfeatures: Ich weiß nicht, aber Wire kommt da auch super weg. Die sind immerhin Open Source. Kann man anders als da angegeben anonym mit einer E-Mail-Adresse benutzen, und die kriegt man noch sehr einfach ganz anonym. Und ist auch noch kostenlos, also kann ich die Demokratie auch mit 0 Euro verteidigen, wie du so schon hochspurig sagtest.
    Wie es etwas weiter oben schon steht, gibt es einfach zu viele durchaus gute Alternativen, und genau deswegen setzt sich keine davon gegen WhatsApp durch.
    Threema würde einen großen Schritt weiter zur „perfekten“ Alternative gehen, wenn sie Open Source wären und noch ein paar andere Kleinigkeiten besser machen würden.

  12. Immer wieder dieses gleiche endlose geplappere bei Threema… immer die gleiche Leier.
    Die Bibeltreuen OSS Evangelisten, die es einfach nicht peilen.

  13. Ich antworte WA Nachrichten immer per SMS. Hab kein Vertrauen zu Facebook. Deinstallieren geht nicht weil ich eine Gruppe nicht verlassen will. Außerdem hat WA keinen Zugriff auf meine Kontakte.

  14. Threema leaks metadata. By using the Apple and Google push notification services, Threema must store the Push Token, and release it to the authorities when asked. Then the authorities can ask Apple or Google whose device is associated with that Push Token. Simple as that.

    In other words: You are NOT anonymous using Threema (or Signal or WhatsApp – even if they didn’t require a phone number). A prosecutor could only ask to Threema: ‚Hey, give me the Push Token associated with the ID xxyyzz‘, then ask Apple: ‚Hey, tell me who is this person, where he is right now, his email address, his phone, his phone, his photos…‘

    • @Leonardo: What you say is wrong. On Android it is possible to use Threema without a Push Token.
      However it seems like Google is going the same way as Apple by more and more inhibiting background execution of apps in Android and effectively making the use of their push service compulsory if you want timely notifications when the app is not in use. But if you turn „app optimization“ off, Threema’s polling option still works fine on Android 9.

  15. @Simon you are right. But it’s not possible for most people to throw their iPhones and buy new Androids only to use Threema. Or to keep a secondary smartphone for Threema. I agree that for super conscious people, that is an option.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.