Wofür ist der QR-Code da?
Dieser FAQ-Artikel behandelt den QR-Code, welcher in der App angezeigt wird (und zum Bestätigen der Identität sowie zum Hinzufügen von Kontakten dient; grüne Vertrauensstufe), nicht zu verwechseln mit dem QR-Code auf threema.id-Webseiten (welcher nur zum Hinzufügen von Kontakten dient; rote Vertrauensstufe)
Das Scannen des QR-Codes dient dazu, die Identität eines Kontakts zu bestätigen. Dadurch können Man-in-the-Middle-Attacken effektiv verhindert werden: Erhalten Sie eine Nachricht eines so bestätigten Kontakts (Vertrauensstufe 3), ist gewährleistet, dass die Nachricht nicht von Dritten gefälscht oder gelesen wurde (sofern das Gerät des betreffenden Kontakts nicht gestohlen oder gehackt wurde). Zudem ist das Scannen von QR-Codes eine bequeme Art, anwesende Personen als Kontakte hinzuzufügen, ohne deren IDs abtippen zu müssen.
Eigenen QR-Code anzeigen
- Navigieren Sie zum «Mein Profil»-Reiter (Android) oder «Profil»-Reiter (iOS) und tippen Sie auf das QR-Code-Symbol
QR-Code scannen
- Android: Tippen Sie im «Kontakte»-Reiter auf «Neuer Kontakt», und wählen Sie «ID scannen»
- iOS: Threema > «Profil» > QR-Code-Symbol oben rechts
Sollten Sie Schwierigkeiten beim Scannen haben, vergewissern Sie sich bitte, dass genügend Abstand (über 25 cm) zum QR-Code besteht, damit die Kamera fokussieren kann.
Verwandte Einträge
Die Punkte geben die Vertrauensstufe eines Kontakts an. Sie ändern nichts an der Verschlüsselungsstärke, sondern sind ein Mass für die Sicherheit, dass der gespeicherte öffentliche Schlüssel eines Kontakts wirklich zu diesem gehört.
- Stufe 1 (rot): ID und öffentlicher Schlüssel wurden vom Server geholt, weil zum ersten Mal von diesem Kontakt eine Nachricht eingetroffen ist (oder der Kontakt manuell hinzugefügt wurde). Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer oder E-Mail-Adresse), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
- Stufe 2 (orange): Der Kontakt wurde im Adressbuch gefunden (mit Handynummer oder E-Mail-Adresse). Da der Server Handynummern und E-Mail-Adressen prüft (SMS bzw. E-Mail mit Aktivierungslink), kann man sich ohne zusätzliches Verifizieren relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
- Stufe 2 (blau): Diese Vertrauensstufe ist nur in Threema Work und Threema OnPrem verfügbar und zeigt an, dass es sich um einen internen Firmenkontakt handelt.
- Stufe 3 (grün): Der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes verifiziert. Solange das Gerät dieser Person nicht gestohlen/gehackt wurde, ist es ausgeschlossen, dass ein Dritter Nachrichten von dieser Person fälschen oder Nachrichten an diese Person mitlesen kann.
- Stufe 3 (blau): Diese Vertrauensstufe ist nur in Threema Work und Threema OnPrem verfügbar und zeigt an, dass Sie den öffentlichen Schlüssel dieses internen Kontakts durch Scannen des QR-Codes verifiziert haben.
Wenn Sie die falschen öffentlichen Schlüssel haben, kann theoretisch eine sog. Man-in-the-Middle-Attacke (MITM) durchgeführt werden. Daher ist es wichtig, die Schlüssel zu überprüfen.
Threema ermöglicht Ihnen, mittels Scannen des QR-Codes zu überprüfen, dass die ID der Person, mit der Sie kommunizieren, wirklich ihr gehört.
Wenn Sie sich über die ID Ihres Konversationspartners sicher sind, gibt es für einen Angreifer keinen Weg, Nachrichten von oder zu Ihrem Partner zu fälschen oder abzufangen bzw. zu entschlüsseln.
Die Verbindung zwischen der App und den Servern ist gegen MITM-Attacken gesichert, weil sich der Server bei der App mit einem Schlüssel authentifiziert, der fest in die App einprogrammiert ist und dessen entsprechender privater Schlüssel nur den legitimen Servern bekannt ist.
Bitte beachten Sie: Threema kann nur so sicher sein wie das Gerät, auf dem die App betrieben wird. Malware, die auf Ihrem Gerät im Hintergrund läuft, kann unbemerkt Daten ausspähen oder fälschen. Wir empfehlen dringend, immer die aktuellsten Updates des Betriebssystems zu installieren und nur Software aus vertrauenswürdigen Quellen zu verwenden.