WhatsApp und der Rohstoff des 21. Jahrhunderts

Letztes Jahr stand WhatsApp von allen Seiten unter heftiger Kritik wegen umstrittenen und der Privatsphäre abträglichen Änderungen der Nutzungsbedingungen. Nun inszeniert sich der Messaging-Dienst aus dem Hause Meta (ehemals «Facebook») in einer breit angelegten Marketing-Kampagne als Hüter der Privatsphäre. Eine grobe Einordnung.

SMS als tiefer Vergleichswert

In den Werbevideos, die WhatsApp diese Woche veröffentlicht hat, begleiten die Zuschauer einen nonchalanten Postboten, der auf seiner Tour verdutzten Empfängern Briefe und Pakete überbringt, welche bereits geöffnet sind. Die unmissverständliche Botschaft: Wer SMS-Nachrichten verschickt, gibt unweigerlich seine Privatsphäre preis, wer hingegen WhatsApp nutzt, dessen Privatsphäre ist dank Ende-zu-Ende-Verschlüsselung bestens geschützt.

Auf den ersten Blick mag diese Herleitung nicht unplausibel erscheinen, doch sie beruht auf einem verkürzten Datenschutz-Verständnis, das bloss Inhalte berücksichtigt, Metadaten komplett ausblendet und mögliche Motive für Privatsphäre-Eingriffe unterschlägt. Selbstverständlich ist Ende-zu-Ende-Verschlüsselung einer unverschlüsselten Nachrichten-Übertragung vorzuziehen. Doch Ende-zu-Ende-Verschlüsselung allein garantiert noch lange keinen ernstzunehmenden Privatsphäre-Schutz.

Nutzerdaten: Der Rohstoff des 21. Jahrhunderts

Wie Facebook und Instagram setzt auch WhatsApp die Angabe personenbezogener Daten (insb. der Telefonnummer) voraus. Das ermöglicht Meta, Benutzer über verschiedene Dienste hinweg zu identifizieren und die Nutzerdaten der einzelnen Dienste zu umfassenden Profilen zusammenzuführen. Hinzu kommen weitere Datenquellen wie z.B. das Facebook-Plugin, welches Daten ausserhalb von Metas Diensten abgreifen und Aufschluss über das Surf-Verhalten von Internet-Nutzern geben kann.

Durch das systematische Sammeln von Nutzerdaten aus unterschiedlichen Quellen lässt sich ein so detailliertes Bild der einzelnen Nutzer zeichnen, wie es durch reine Chat-Inhalte kaum möglich wäre. Chat-Metadaten (wer kommuniziert wann mit wem etc.) ergeben bei der Nutzung von WhatsApp ein umfassendes und aufschlussreiches Beziehungsnetz («social graph»). Aus Facebook- und Instagram-Likes lassen sich nicht nur unmittelbare Interessen und Vorlieben der jeweiligen Nutzer ablesen, sondern auch weiterführende Informationen ableiten, wie z.B. Alters- und Einkommensklasse, Familienstand oder die sexuelle Orientierung. In Kombination können die einzeln gewonnenen Informationen mit dem Beziehungsnetz und Eigenschaften von engen Kontakten abgeglichen und ergänzt werden, was zu noch tieferen Einsichten und einem noch aussagekräftigeren Gesamtbild führt.

Metadaten sind zudem verlässlicher und einfacher zu verarbeiten als die ihnen zugrundeliegenden Inhalte. Edward Snowden drückte es einmal so aus:

Metadaten sind ausserordentlich invasiv. Als Analyst würde ich lieber Metadaten als Inhalte ansehen, weil das schneller und einfacher ist und sie nicht lügen.

Eine Frage des Geschäftsmodells

Der Grund, weshalb Meta unnachgiebig Nutzerdaten sammelt, ist untrennbar mit dem Geschäftsmodell des Tech-Giganten verknüpft. In typischer Silicon Valley-Manier bietet Meta seine Dienste kostenlos an und finanziert sie mittels zielgerichteter Werbung. Je mehr Meta über seine Nutzer weiss, umso zielgerichteter kann ihnen Werbung angezeigt werden. Je zielgerichteter Werbung angezeigt wird, desto kleiner ist der sogenannte «Streuverlust», umso teurer lassen sich Werbeflächen verkaufen und umso grösser ist Metas Profit.

Aufgrund des Geschäftsmodells hat Meta bzw. WhatsApp also ein vitales Interesse daran, möglichst viele und möglichst aufschlussreiche Nutzerdaten zu sammeln, was mit konsequentem Privatsphäre-Schutz absolut unvereinbar ist. Dass die Nachrichten bei WhatsApp (laut Meta) Ende-zu-Ende-verschlüsselt übertragen werden, ist ein Vorteil gegenüber SMS, aber insgesamt ein schwacher Trost.

SMS und WhatsApp haben gemeinsam, dass beide nicht mit besonderem Augenmerk auf Sicherheit und Datenschutz entwickelt wurden. Wie WhatsApp im Vergleich zu einem Messenger wie Threema abschneidet, welcher von Grund auf mit Hinblick auf Sicherheit und Datenschutz konzipiert wurde, ist dieser Gegenüberstellung zu entnehmen.

Datenschutzwoche: Setzen Sie ein Zeichen mit Ihrem Profilbild

Heute beginnt die Datenschutzwoche, welche am Freitag, 28. Januar, im Data Privacy Day ihren krönenden Abschluss findet. Ziel der Aktionswoche ist es, die Öffentlichkeit für Privatsphäre-Schutz im digitalen Raum zu sensibilisieren und Internet-Nutzer zu ermutigen, ihr Recht auf Privatsphäre wahrzunehmen.

Machen Sie mit!

Setzen Sie ein Zeichen für Datenschutz, und bringen Sie auf Ihrem Profilbild in Chat-Apps und auf Sozialen Netzwerken das #RegainPrivacy-Banner an. Signalisieren Sie Ihrem Umfeld, dass Ihnen Datenschutz am Herzen liegt und Sie Massenüberwachung durch Behörden und Vermarktung von Nutzerdaten durch Tech-Giganten ablehnen:

Hier #RegainPrivacy-Profilbild erstellen →

Hintergrund

Der Datenschutztag ist ein internationaler Aktionstag, der 2008 vom Europarat (nicht zu verwechseln mit dem Europäischen Rat) ins Leben gerufen wurde und seither alljährlich am 28. Januar stattfindet.

Dieses Datum wurde gewählt, weil der Europarat am 28. Januar 1981 die «Konvention 108» zur Unterzeichnung auflegte, welche das erste international verbindliche Abkommen zum Schutz personenbezogener Daten darstellt und als Vorläufer der EU-Datenschutz-Grundverordnung angesehen werden kann.

Seit 2008 nutzen verschiedenste Organisationen (sowohl staatliche als auch regierungsunabhängige), Bildungseinrichtungen und Unternehmen diesen Anlass, um für konsequenten Datenschutz zu plädieren und auf die inhärenten Gefahren systematischer Datenerhebung durch Tech-Konzerne und staatliche Stellen hinzuweisen.

Zum einen ist Privatsphäre ein grundlegendes Menschenrecht, das intrinsischen Wert hat. Zum anderen ist sie ein unverzichtbarer Eckpfeiler demokratischer Gesellschaften. Und zu guter Letzt ist völlig unabsehbar, welche Rückschlüsse über einzelne Individuen mit Hilfe der ungeheuren Datenmengen und neuer Technologien wie der künstlichen Intelligenz in Zukunft möglich sein werden.

Ohne Browser am Computer chatten

Mit Threema Web lässt sich Threema seit geraumer Zeit bequem und ohne Sicherheitseinbusse vom Desktop aus nutzen. Jetzt wird das Chatten am Computer noch ein Stück angenehmer.

Dank der neuen Desktop-App brauchen Sie Threema künftig nicht mehr im Browser zu suchen und mühsam zwischen verschiedenen Tabs hin und her zu wechseln, sondern Sie haben Ihren Lieblingsmessenger stets im Dock oder über den App-Switcher griffbereit. Wer regelmässig Kurznachrichten am Computer austauscht, wird diese Vereinfachung zu schätzen wissen, sie erleichtert das Chatten erheblich.

Die Desktop-Lösung basiert auf Threema Web und ist ab sofort für macOS, Windows und Linux verfügbar. Wie beim Web-Client wird eine Ende-zu-Ende-verschlüsselte Verbindung zum Mobilgerät hergestellt, und Threema für Desktop deckt selbstverständlich den gesamten Funktionsumfang von Threema Web ab.

In Sachen Sicherheit übertrifft der neue Desktop-Client sogar den hohen Standard der bewährten Web-Lösung. Denn einerseits besteht keine Möglichkeit, dass Browser-Plugins Schwachstellen einführen, und andererseits wäre es für Angreifer noch schwieriger, den App-Code zu manipulieren, da er nicht bei jeder Sitzung von einem Server abgerufen, sondern lokal beim Nutzer gespeichert wird.

Laden Sie die Desktop-App jetzt für Ihr Betriebssystem herunter:

Zu den Downloads →

Ausblick: Threema 2.0 für Desktop

Das nächste grosse Update der Desktop-App wird eine von Grund auf überarbeitete Benutzeroberfläche mit sich bringen und auf einer völlig neuen Architektur beruhen. Dank Multi-Device-Funktionalität wird dann keine aktive Verbindung mit dem Mobilgerät mehr nötig sein, d.h., mit dem 2.0-Update lässt sich die App selbst bei ausgeschaltetem Handy nutzen.

Die Entwicklung der Multi-Device-Technologie läuft auf Hochtouren, erweist sich jedoch als zeitaufwendiger als vorhergesehen. Etliche Hürden sind überwunden, doch es gibt noch einiges zu tun. Der sichere Weg ist selten der einfache, und was Sicherheit und Datenschutz angeht, sind wir a priori nicht kompromissbereit. Dadurch verzögert sich leider die Veröffentlichung der angekündigten Multi-Device-Lösung, wofür wir um Verständnis bitten.

Wir halten Sie auf dem Laufenden und werden Ende Jahr weiter über den Entwicklungsstand von Threema 2.0 für Desktop informieren.

Update 7.12.2022: Es steht eine Tech-Preview von Threema 2.0 für Desktop zur Verfügung, welche iOS-Nutzern erlaubt, die kommende Multi-Device-Funktionalität vorab zu testen.

Threema für Android führt Privatsphäre-Einstellungen pro Kontakt ein

Mit dem neuesten Update erhält Threemas Android-App eine nützliche Funktion, die es erlaubt, Privatsphäre-Einstellungen für einzelne Kontakte anzupassen.

Nicht alle Sachverhalte sind schwarz-weiss, und manche Entscheidungen im Leben lassen sich schlicht nicht pauschal fällen. So mag es z.B. bei gewissen Kontakten erwünscht sein, Lesebestätigungen zu senden, bei anderen hingegen nicht.

Aus diesem Grund besteht neu die Möglichkeit, bei Privatsphäre-Einstellungen zu differenzieren: Statt entweder jedem oder gar keinem Kontakt Lesebestätigungen zu senden, können Sie bei einzelnen Kontakten Ausnahmen festlegen. Dasselbe gilt für die «Melden, wenn ich tippe»-Einstellung.

Angenommen, Sie haben Lesebestätigungen global deaktiviert (unter «⋮ > Einstellungen > Privatsphäre > Bestätigungen»), möchten sie aber einem besonderen Kontakt senden, so öffnen Sie einfach die entsprechenden Kontaktdetails und setzen dort «Lesebestätigungen senden» auf «Senden». Damit wird die globale Einstellung überschrieben, und niemand ausser dem auserwählten Kontakt erhält Lesebestätigungen.

Alle Einzelheiten zu Threema 4.57 für Android finden Sie im Änderungsprotokoll.

Threema OnPrem: Maximale Sicherheit dank Self-Hosting

Threema Work hat sich als Goldstandard unter den sicheren Messaging-Apps für Organisationen etabliert. Namhafte Konzerne aus aller Welt setzen auf die bewährte Schweizer Chat-Lösung, um Unternehmensdaten zu schützen und volle Datenschutz-Konformität zu gewährleisten. Mit Threema Work nutzen Mitarbeiter die effizienzsteigernden Vorzüge von Instant Messaging, ohne auf nicht DSGVO-konforme Chat-Dienste aus dem Privatumfeld zurückgreifen zu müssen.

Threema OnPrem hebt nun die Sicherheit und Vertraulichkeit von Enterprise Messaging weiter an – und erreicht das absolute Höchstmass. Die neue Self-Hosting-Lösung erlaubt Organisationen mit aussergewöhnlichen Sicherheitsanforderungen, Threema auf dem eigenen Unternehmensserver zu betreiben. Das bedeutet totale Datenhoheit sowie komplette und alleinige Kontrolle über jegliche Aspekte der Kommunikationsanwendung. Nicht nur der Nachrichtenversand erfolgt über den betriebsinternen Server, auch die Administrationsumgebung ist selbstgehostet, wobei Threema OnPrem den vollen Funktionsumfang von Threema Work abdeckt.

Aus der Kombination von Threemas bewährter Sicherheitsarchitektur mit uneingeschränkter Datenhoheit resultiert eine unabhängige Chat-Umgebung, die an Vertraulichkeit nicht zu übertreffen ist. Threema OnPrem-Instanzen sind völlig eigenständig und in keiner Weise mit Threemas Infrastruktur verbunden. So ist Threema OnPrem prädestiniert für den professionellen Einsatz in Industriebetrieben und Behörden, bei Polizei und Justiz sowie überall, wo höchste Sicherheit und grösstmögliche Vertraulichkeit geboten oder sensible Daten im Spiel sind.

Mehr über Threema OnPrem erfahren

Warum Threema statt WhatsApp?

Am 15. Mai wird WhatsApp seine neuen Nutzungsbedingungen durchsetzen. Die Änderungen sind auf breite Ablehnung gestossen und haben neben einer Welle der Entrüstung auch eine neue Grundsatzdebatte über Datenschutz bei Messaging-Diensten ausgelöst.

Unzählige WhatsApp-Nutzer haben die Kontroverse zum Anlass genommen, sich von Facebooks umstrittenem Chat-Dienst loszusagen und der Verwertung ihrer Nutzerdaten Einhalt zu gebieten.

Die Einsicht, dass Privatsphäre einen unschätzbaren Wert und Gratis-Dienste oft einen hohen Preis haben, verbreitet sich immer weiter. Mehr Internet-Nutzer denn je sind heute bereit, einmalig einen kleinen Geldbetrag für einen Dienst zu bezahlen, statt kontinuierlich die eigene Privatsphäre preiszugeben.

Diese Entwicklungen haben seit Anfang Jahr bereits über eine Million neue Nutzer zu Threema geführt. Für die verbleibenden WhatsApp-Nutzer haben wir hier die wichtigsten Gründe zusammengefasst, die dafür sprechen, auf Threema umzusteigen, statt WhatsApps neue Nutzungsbedingungen zu akzeptieren:

Warum Threema statt WhatsApp?

Kommunikationstools für Unternehmen: Der grosse Vergleich

Geschäftliche Kommunikation besteht zu immer grösseren Teilen aus Instant Messaging. Die beliebte Kommunikationsform bringt zahlreiche Vorteile – erhöhte Erreichbarkeit, direkte Kommunikationswege und kurze Reaktionszeiten –, doch stellt Unternehmen vor eine Herausforderung: die Wahl der passenden Messaging-Lösung.

Chat-Apps aus dem Privatumfeld sind für geschäftliche Zwecke ungeeignet, da sie keine Möglichkeit der Administration und Nutzerverwaltung bieten. Zudem fehlen Business-Funktionen, und oft lassen Sicherheit und Datenschutz zu wünschen übrig. Mittlerweile gibt es jedoch eine Vielzahl von Kommunikationsdiensten, welche sich an den Bedürfnissen von Unternehmen orientieren und die sich grob in drei Kategorien einteilen lassen:

  • Sichere Instant Messenger: Stashcat, Threema Work, Wickr und Wire
  • Kollaborationstools: Google Chat und MS Teams
  • Engagement-Apps: Beekeeper und Staffbase

Um aufzuzeigen, inwiefern sich die verschiedenen Ansätze voneinander unterscheiden, haben wir einen umfassenden Vergleich zusammengestellt, der die wesentlichen Unterschiede zum Vorschein bringt und deutlich macht, welcher Dienst welchen Anforderungen genügt.

Die Gegenüberstellung bestätigt: Auch bei Unternehmen, die bereits ein Kollaborationstool oder eine Engagement-App einsetzen, führt kein Weg an einem sicheren Instant Messenger vorbei. Denn für den Austausch sensitiver Firmendaten sind Dienste wie MS Teams oder Staffbase schlicht zu unsicher. Überdies erfüllen sie nicht das Bedürfnis der Angestellten nach einer intuitiven Anwendung, die leicht zu bedienen und bzgl. Handhabung und Features mit Apps wie Threema oder WhatsApp vergleichbar ist.

Doch selbst unter den vermeintlich sicheren Business-Messengern treten in den Bereichen Sicherheit und Datenschutz erhebliche Unterschiede zutage, die verdeutlichen, dass nicht alle Apps aus demselben Holz geschnitzt sind. Verschaffen Sie sich selbst einen Eindruck:

Vergleich von Kommunikationstools für Unternehmen

Threema 4.5 für Android: Neue Features in Hülle und Fülle

Threema 4.5 für Android: Neue Features in Hülle und Fülle

Threemas Android-App erhält ein umfangreiches Update, das vor neuen Features strotzt und zahlreiche Verbesserungen beinhaltet. Zu den Highlights zählen die globale Suche, die integrierte Medien-Galerie und die optionale Bildersuche, welche auf einer lokalen und somit datenschutzkonformen Bilderkennung basiert.

Weiterlesen…

Datenschutztag 2021: Ein Reminder für den EU-Rat

Heute ist Datenschutztag. Dieser Aktionstag wurde auf Initiative des Europarats ins Leben gerufen, um Sensibilität für Datenschutz zu schaffen und auf die Gefahren schwindender Privatsphäre hinzuweisen.

Seit Lancierung des Datenschutztags im Jahr 2007 hat eine anhaltende Flut haarsträubender Datenschutz-Skandale den Internet-Nutzern schmerzlich vor Augen geführt, wie verletzlich ihre Privatsphäre im digitalen Raum ist.

Als positive Folge dieser Vorfälle verbreitet sich allmählich die Einsicht, dass auch die Privatsphäre derer schützenswert ist, die «nichts zu verbergen haben». Der gewaltige Zulauf, den Threema derzeit aufgrund der Kontroverse um WhatsApps Datenschutzerklärung erfährt, ist ein eindrücklicher Beleg dieses Umdenkens.

Nachdem immer weitere Teile der Internet-Gemeinschaft ihr Recht auf Privatsphäre durch die Nutzung verschlüsselter Dienste wie Threema wahrnehmen, stellt der EU-Rat dieses Grundrecht in Frage, indem er die Verschlüsselung sicherer Internet-Dienste aufweichen möchte.

In folgendem Statement legen wir gemeinsam mit ProtonMail, Tresorit und Tutanota dar, weshalb eine Unterwanderung sicherer Dienste nicht bloss verfehlt, sondern auch kontraproduktiv und gefährlich ist, und wir fordern den EU-Rat auf, sich auf den Leitgedanken des Datenschutztags zu besinnen und die zentrale Bedeutung von Privatsphäre für Demokratie anzuerkennen:

Reminder für den EU-Rat (PDF)

Threema für iOS: Grössere Gruppen und mehr

Die neueste Threema-Version für iOS enthält verschiedene kleine Verbesserungen. Zum Beispiel lassen sich nun Gruppen mit bis zu 256 Mitgliedern erstellen, und neu sind jegliche Nachrichtentypen zitierbar – auch Bilder, Sprachnachrichten und Standorte.

Alle Einzelheiten zum 4.6.4-Update finden Sie im Änderungsprotokoll.

In Threema für Android werden sich mit dem kommenden Update ebenfalls Gruppen mit bis zu 256 Mitgliedern erstellen lassen.

Mehr Kontakte, als Sie vielleicht denken, nutzen Threema bereits – und so werden es noch mehr

Wer einen Messaging-Dienst verwendet, fragt sich unweigerlich, welche Kontakte darüber erreichbar sind. Bei herkömmlichen Chat-Apps genügt ein Blick in die Kontaktliste, um diese Frage abschliessend zu beantworten. Bei Threema, wo Privatsphäre an oberster Stelle steht und kein Zwang zur Preisgabe der Telefonnummer herrscht, verrät die Kontaktliste nicht unbedingt alles.

Messenger wie WhatsApp oder Signal verwenden die Telefonnummer zur Identifikation ihrer Nutzer. Telefonnummern sind personenbezogene Daten, die grundsätzlich Rückschluss auf die Identität ihrer Inhaber zulassen. Deshalb dient bei Threema eine zufällige Zeichenfolge – die «Threema-ID» – zur Identifikation, und die Angabe der Telefonnummer ist freiwillig.

In Threemas Kontaktliste erscheinen somit nur die Kontakte automatisch, welche eine Telefonnummer mit ihrer Threema-ID verknüpft haben.

Es gibt verschiedene Gründe, Threema anonym zu verwenden und seine ID nicht mit einer Telefonnummer zu verknüpfen. Da rund 30% aller Nutzer Threema auf diese Weise einsetzen, gibt es vermutlich auch unter Ihren Kontakten solche, die noch nicht in Threema auftauchen.

So holen Sie noch mehr Kontakte ins Threema-Boot

Senden Sie Freunden, die in der Threema-Kontaktliste noch fehlen, Ihren individuellen Share Link, und fügen Sie diesen z.B. Ihrer E-Mail-Signatur hinzu. Wer Threema noch nicht verwendet, kann damit direkt die App herunterladen und dann sicher mit Ihnen kommunizieren.

Noch ein Tipp: Falls Sie sich noch nicht ganz von bedenklichen Instant Messengern losgesagt haben, verwenden Sie dieses Profilbild, um auf Ihre bevorzugte Chat-App hinzuweisen:

Profile Picture

Signal, Telegram, Threema: Welches ist die beste WhatsApp-Alternative?

Aufgrund der gegenwärtigen Kontroverse um WhatsApps Datenschutzbestimmungen fragen sich Internet-Nutzer rund um den Globus, welche Chat-Apps vertrauenswürdig sind.

Neben Threema werden meistens Telegram und Signal als sichere Alternativen zu WhatsApp genannt. Doch sind diese Lösungen wirklich gleichwertig, was Sicherheit und Datenschutz betrifft? Ist ihr Ansatz überhaupt vergleichbar? Und wodurch unterscheidet sich ihr Funktionsumfang?

Um diese Fragen zu beantworten, haben wir einen umfassenden Vergleich zusammengestellt, welcher die genannten Dienste einander unter verschiedenen Gesichtspunkten gegenüberstellt und die grössten Unterschiede zum Vorschein bringt.

Telegram

Aus dem Vergleich geht deutlich hervor, dass Telegram keine sichere Alternative zu WhatsApp ist, allein schon deshalb, weil Nachrichten standardmässig nicht Ende-zu Ende-verschlüsselt sind und permanent auf einem Server gespeichert werden, wo der Dienstbetreiber sie jederzeit lesen könnte.

Signal

Signal geniesst unter Experten einen hervorragenden Ruf und ist zweifellos eine gute Alternative zu WhatsApp. Doch wie WhatsApp setzt auch Signal die Offenlegung personenbezogener Daten voraus; die Angabe der Telefonnummer ist zwingend erforderlich. Als US-amerikanischer IT-Dienstleister unterliegt Signal zudem dem CLOUD Act, welcher US-Behörden berechtigt, auf Daten des Diensts zuzugreifen.

Threema

Threema wurde 2012 als sichere und privatsphärefreundliche Alternative zu WhatsApp ins Leben gerufen. So überrascht es kaum, dass der Schweizer Messenger hinsichtlich Sicherheit und Datenschutz auf ganzer Linie überzeugt. Als einziger der verglichenen Dienste erfüllt Threema das «Privacy by Design»-Credo: Es fallen nur für den Betrieb zwingend notwendige Daten an, und Threema lässt sich ohne Angabe personenbezogener Daten wie Telefonnummer oder E-Mail-Adresse nutzen.

Machen Sie sich selbst ein Bild. Finden Sie heraus, welches der passende Messenger für Sie ist:

Hier geht’s zum Messenger-Vergleich

Threema wird quelloffen: Wir feiern mit 50% Rabatt

Ab heute sind die Threema-Apps Open Source! Zur Feier senken wir den App-Preis bis 28. Dezember um 50% – das bedeutet volle Transparenz zum halben Preis. Wer Threema noch nicht nutzt, hat noch mehr gute Gründe, das jetzt zu ändern.

Threema herunterladen   Per E-Mail weitersagen

Hintergrund

Threemas kryptographische Verfahren sind seit jeher umfassend dokumentiert, die korrekte Anwendung der Verschlüsselung liess sich immer schon selbständig nachprüfen, und externe Audits haben die Sicherheit des Systems wiederholt bestätigt.

Jetzt gehen wir noch einen Schritt weiter. Um volle Transparenz zu schaffen und auch noch die leisesten Zweifel auszuräumen, ist der gesamte Quellcode der Threema-Apps ab sofort öffentlich einsehbar. Der Code unterliegt der AGPLv3-Lizenz, und dank Reproducible Builds lässt sich (vorerst unter Android) verifizieren, dass er mit dem übereinstimmt, welcher den Apps in den Verkaufs­plattformen zugrunde liegt.

Somit ist nicht mehr erforderlich, unseren Aussagen zu glauben oder auf die Einschätzung Dritter zu vertrauen. Sachverständige haben nun die Möglichkeit, sich selbst von Threemas Sicherheit zu überzeugen.

Alle Informationen zum Herunterladen und Kompilieren des Quellcodes sowie zum Reproduzieren der App finden Sie hier:

threema.ch/open-source

Weiterer Audit bestätigt Threemas Sicherheit

Wie angekündigt, wird der Quellcode der Threema-Apps in Kürze offengelegt. So entsteht volle Transparenz, und Sachverständige haben künftig die Möglichkeit, sich mit eigenen Augen von Threemas Sicherheit zu überzeugen.

Die Veröffentlichung des Quellcodes ist allerdings kein Ersatz für einen professionellen Sicherheitsaudit durch externe Experten. Dass der Quellcode einer Software offenliegt, heisst noch nicht, dass sich qualifizierte Fachleute die Mühe machen, den Code systematisch zu untersuchen. Denn neben fundierten Fachkenntnissen erfordert so eine Untersuchung bei Apps von Threemas Grössenordnung auch reichlich Zeit.

Nachdem zuletzt das Labor für IT-Sicherheit der FH Münster im Jahr 2019 einen Audit durchführte, haben wir diesmal Cure53 damit betraut. In minutiöser Kleinarbeit unterzogen Experten des renommierten Sicherheitsunternehmens die Threema-Apps während insgesamt 16 Personentagen einer gründlichen Prüfung.

So sorgfältig und gewissenhaft die Untersuchung auch durchgeführt wurde, ernsthafte Schwachstellen hat sie keine zutage gefördert. Im Gegenteil, die Experten loben Threemas Grundstruktur und Codequalität in höchsten Tönen:

«Cure53 muss herausstreichen, dass der Gesamteindruck der Codequalität und der allgemeinen Struktur des Projekts nur als aussergewöhnlich solide beschrieben werden kann. Aufbau und Umsetzung wurden zweifellos von einem seltenen Team erfahrener und sicherheitsaffiner Entwickler durchgeführt. Nach Ansicht von Cure53 sollte kein Zweifel daran bestehen, dass der Schwerpunkt dieser Prozesse darauf liegt, eine hochsichere Messaging-Applikation bereitzustellen, ohne dabei die User Experience zu beeinträchtigen.» (S. 17)

Von den wenigen unkritischen Verbesserungsvorschlägen, die Cure53 vorbrachte, sind einige bereits in den aktuellen App-Versionen berücksichtigt, und die anderen werden mit kommenden Updates umgesetzt. Hier gibt’s den kompletten Audit-Bericht zum Nachlesen:

Audit Report 2020 (Englisch)

Verbesserte Foto-Hand­ha­bung in Threema für iOS

iOS-Nutzer dürfen sich über ein kleines Threema-Update freuen, welches unter anderem Verbesserungen beim Umgang mit Fotos bringt.

Unter iOS 14 besteht neu die Möglichkeit, der Threema-App ad hoc Zugriff auf die Fotos zu gewähren, welche Sie gerade versenden möchten (statt wie bisher entweder pauschal auf alle oder auf gar keine):

  1. Navigieren Sie zu «iOS > Einstellungen > Threema > Fotos»
  2. Wählen Sie «Keine»

Wenn Sie nun in einem Chat auf das Pluszeichen und dann auf «Aus Album wählen» tippen, so erscheint nicht mehr Threemas Auswahldialog, sondern derjenige von iOS. Die Threema-App erhält nur Zugriff auf Fotos, welche Sie hier auswählen, nicht aber auf die gesamte Foto-Bibliothek.

Neu besteht auch innerhalb der App die Möglichkeit, Bildunterschriften anzubringen – bis anhin war das nur beim Versenden über die «Teilen»-Taste möglich. Und bei einer Mehrfachauswahl legen Sie auf Wunsch die Reihenfolge der zu versendenden Bilder bequem per Drag and Drop fest.

Eine Übersicht aller Neuerungen und Verbesserungen, welche das 4.6.3-Update enthält, finden Sie im Änderungsprotokoll.

Threema für iOS aktualisieren/herunterladen