Unabhängiger Sicherheits-Audit bestätigt: Threema hält, was es verspricht

02.Nov 2015

Wir sind überzeugt, dass die Threema-App derzeit die sicherste Möglichkeit ist, mobil zu chatten. Ein renommiertes Schweizer IT-Forschungsinstitut hat Threema auf Herz und Nieren untersucht. Das Ergebnis bestätigt die Qualität und Sicherheit des Systems nun auf ganzer Linie: «We confirm the quality of the system as claimed by Threema in their public specification». Untersucht wurden alle sicherheitsrelevanten Aspekte in den Bereichen Server, Apps (iOS, Android) und Gateway. Die Prüfungsstelle hatte für ihre ausgiebige Untersuchung uneingeschränkten Zugang zum Source Code der Threema-App, zu den Servern und die volle Unterstützung des Entwicklerteams.

Zwei der zentralen Versprechen von Threema: Bei Threema ist die gesamte Kommunikation – auch Gruppenchats, Medien, Dateien und Statusmeldungen – Ende-zu-Ende verschlüsselt; Threema ist so konzipiert, dass möglichst keine Datenspur entsteht (z.B. werden Gruppen und Kontaktlisten auf Ihrem Gerät und nicht auf den Servern verwaltet). Dies hat der Audit bestätigt. Weiter attestiert das Forschungsteam in seinem Bericht:

  • Die Konzepte von Threema entsprechen den Erwartungen, die an eine wirklich sichere und vertrauenswürdige Nachrichtenübermittlung gestellt werden
  • Die Verschlüsselung ist korrekt und wie von Threema dokumentiert implementiert
  • Die verwendeten Protokolle weisen keine Schwachstellen auf
  • Die lokalen Daten in der App sind geschützt und sicher untergebracht
  • Die Server speichern nur Daten, die für die Nachrichtenübermittlung und Kontaktabgleich unbedingt nötig sind
  • Die Server befinden sich in der Schweiz

Mit diesem externen Audit wollen wir, ergänzend zu unserem umfassenden Cryptography Whitepaper, für noch mehr Transparenz sorgen. Das gute Ergebnis bestärkt uns. Wir werden weiterhin unserer Linie treu bleiben und alles daran setzen, Threema noch sicherer und gleichzeitig benutzerfreundlicher und funktionsreicher zu machen.

Das zusammengefasste Prüfungsergebnis finden Sie hier.