Threema App - NSA & Co den Stinkefinger zeigen

Es gibt mittlerweile viele Apps, welche wie die beliebte App WhatsApp einen SMS-Ersatz bieten. Der große Mehrwert von Threema Messenger ist die Ende-zu-Ende-Verschlüsslung - und damit eine Möglichkeit eine Überwachung zumindest deutlich zu erschweren.

Schon seit Wochen juckte es mich, was zum Überwachungsskandal zu schreiben. Aber statt nun in das allgemeine Medien-Getöse in die eine oder andere Richtung einzusteigen und nun den besserwissenden Ober-Schlaumischlumpf per politischem Kommentar zu spielen, denke ich ist es das beste ganz praktische Abwehrmaßnahmen gegen den ausufernden Überwachungswahn vorzustellen. Eine solche Abwehrmaßnahme möchte ich heute als einen Baustein von vielen vorstellen - und damit unsere aller Kommunikation wieder ein kleines Stück Glauben an Vertraulichkeit zurückgeben.

SMS-Ersatz per Whatsapp ist im höchsten Grade unsicher

WhatsApp ist sicherlich fast jedem Smartphone-Nutzer mitlerweile ein Begriff, ist es doch heute DER SMS-Ersatz überhaupt. Der Versand von Kurznachrichten, Fotos, Videos und Links wird nicht per kostenpflichtigen SMS sondern über das Internet quasi zum Nulltarif abgewickelt.

Rein technisch funktioniert das ganze über zwischengeschaltete Server vom Whatsapp-Anbieter. Der Betrieb ist sicherlich aufwendig und teuer - nicht umsonst muss zwischenzeitlich eine Jahresgebühr erhoben werden. Whatsapp ist günstig, aber eben auch nicht kostenlos.

Wichtig aber bei Whatsapp ist: Die Kommunikation mit den Whatsapp-Servern funktioniert vollständig unverschlüsselt. Wird der Traffic der Mobilfunkanbieter abgehört oder angezapft, wovon man spätestens heute nach den ganzen Enthüllungen gesichert ausgehen darf auch ohne Verschwörungstheoretiker zu sein (die Verschwörungspraktiker sitzen beweilen übrigens immer in Berlin, Brüssel und auf jeden Fall in Fort George G. Meade in Maryland), dürfte jede Nachricht in Kopie auf den Servern von NSA & befreundeten Behörden liegen. Vermutlich sind allerdings zusätzlich auch die Whatsapp-Server vollständig kompromittiert, zumal Whatsapp der Einfachheit halber vermutlich wiederum in irgendwelchen Clouds die Server nur angemietet hat. Also massig Angriffsfläche für jegliche Form von "grundsätzlich feindlichen" Behörden.

Ende-zu-Ende-Verschlüsslung bei Threema

Die App Threema bildet die Funktionalität von SMS und Whatsapp im Prinzip genau nach - mit einem großen Unterschied: Es kommt eine sogenannte Ende-zu-Ende-Verschlüsslung zum Einsatz.

Dabei wird die Verschlüsslung auf Ihrem Smartphone und dem des Empfängers / Absenders einer Nachricht per Public-Key-Verfahren durchgeführt. Hierdurch wird die Nachricht verschlüsselt übertragen und ist damit sowohl für die Threema-Betreiber, etwa auf deren ebenfalls zwischengeschalteten Servern, als auch für abhör-lüsterne Behörden, zunächst völliges Kauderwelsch.

Ich schreibe hier bewusst "zunächst", den ob die NSA z.B. nicht Millionen von Servern hat um Nachrichten nicht doch per Brute-Force in humaner Zeit zu knacken mag ich nicht beurteilen. Im Zweifel sollten wir das aber als Vermutung annehmen. Aber das wären, nach allen was bekannt ist, schon gewaltige Geschütze und Resourcen die dann zum Einsatz kämen. Wer wirklich große Verbrechen, Anschläge und Weltkriege planen will, sollte sich also besser auch nicht auf solch eine Verschlüsslung verlassen ;)

Aber für die Allerwelts-Kommunikation und um eine sichere und vertrauensvolle Kommunikation beispielsweise auch unternehmensintern zu fahren, ist jegliche Verschlüsslung sicherlich der "Stinkefinger" gegen 08/15-Behörden und sonstige Gegner den man haben will.

Verschlüsslung leicht gemacht

Das große Problem jeglicher Verschlüsslung ist immer die zusätzliche Dimension der Komplexität und die damit einhergehende sinkende Nutzerfreundlichkeit. Threema versucht hier genau diese Komplexität auf eine maximal mögliche einfache Ebene runter zu holen. Die Schlüsselerzeugung geschieht beispielsweise direkt auf dem Smartphone offline, als Zufalls-Schlüssel kommen hier ein paar schnell erstellte Wischgesten zum Einsatz.

Wie beim Public-Key-Verfahren üblich wird ein Schlüsselpaar aus privatem - verlässt das Handy nicht - und öffentlichen - wird an die Kommunikationspartner verteilt - Schlüssel erstellt. Will uns jemand dann eine Nachricht schicken, wird diese mit Hilfe des öffentlichen Schlüssels codiert. Die verschlüsselte Nachricht geht dann zwar über unsichere Internetverbindungen (Mobilfunkanbieter + Internet-Backbones die abgehört werden) und unsichere Server (vom Threema-Betreiber) bis sie zu uns gelangt - aber nur der Empfänger kann diese mit dem privaten Schlüssel (der das Smartphone nie verlassen hat) entschlüsseln.

Diesen ganzen Zauber erledigt Threema, ganz geschickt gemacht, dezent im Hintergrund. Die ganze App ist zwar so aufgebaut, dass man die Verschlüsslung irgendwie immer "riecht", aber die Bedienung ist nie viel schwerer als bei Whatsapp. Ein wirklich sehr gelungener Spagat und Ausgleich zwischen Verschlüsslungs-Komplexität und Usability - und damit ein ganz wichtiger Punkt für die Akzeptanz.

Schlüssel-Austausch und Verifizierung

Um Menschen zunächst miteinander sichtbar zu machen, geht Threema den gleichen Weg wie alle Messenger: Die Handynummer und eMail-Adresse wird mit der ansonsten anonymen Threema-Account-ID verknüpft. Die eigenen Kontakte werden dann mit diesen bei Threema zentral gespeicherten Informationen abgeglichen. Wer sich erst später bei Threema anmeldet, aber mit Mailadresse und / oder Handynummer bereits in den Kontakten gespeichert ist, erscheint automatisch auch bei den den Threema-Kontakten.

Genial gemacht ist die Verifizierung der öffentlichen Schlüssel: Die öffentlichen Schlüssel werden dabei von Threema im Hintergrund sofort getauscht, davon bekommt man quasi nutzerfreundlich gar nichts mit. Auch die verschlüsselte Kommunikation ist sofort möglich. Um aber sicher zu gehen, dass der Kontakt wirklich der gewünschte Kontakt auch ist (und kein NSA-Spion), muss man diesen einmalig verifizieren. Dazu muss man die jeweilige Person physikalisch treffen und kann den Verifizierungsprozeß sehr einfach per QR-Code gegenseitig durchführen. Einfach und clever gemacht. In den Kontakten wird dies über eine Ampel schick visualisiert wer als "Person sicher verifiziert wurde" und welche öffentlichen Schlüssel nur "mutmaßlich" zu einer Person X gehören.

Damit ist Threema allen anderen Messengern weit überlegen. Whatsapp hat wie gesagt gar keine Verschlüsslung. Andere wie Apples iMessage haben zwar eine Verschlüsslung, welche aber komplett vom Anbieter übernommen werden. Die Verteilung der Schlüssel unterliegt damit nicht der eigenen Kontrolle - und ist damit schon wieder als unsicher anzusehen.

 

Sicherheits-Betrachtungen

Ich schrieb weiter oben bereits: Sicher ist heute sicher nichts. Große Behörden können sicherlich, mit den nötigen Resourcen von Millionen von Servern, irgendwie das ganze auch knacken.

Um sich derart zur Zielscheibe zu machen, ist allerdings schon eine gewisse "Portion feindliche Handlung" nötig. Kleinen Behörden wie Ordnungsämtern oder dem kleinen regulären Ermittlungs-Beamten, steht solche Power allerdings wohl eher nicht zur Verfügung. Und Mitbewerbern oder sonstigen "Feinden" wohl auch eher nicht. Von daher ist Threema aus meiner Sicht "DER Stinkefinger" gegen Abhör-Gelüste jeglicher Art im Messaging-Bereich.

Aber wie sieht es mit der restlichen Sicherheit von Threema aus ? Die Verkehrsdaten, also wer wem wann eine Nachricht etwa geschickt hat, liegen auf den Threema-Servern erstmal vor. Die Nachricht selber ist verschlüsselt, aber das ich an XYZ eine Nachricht gesendet habe, könnte spätestens bei Threema protokolliert und abgegriffen werden.

Wer steht also hinter Threema und sind die Betreiber als sicher einzustufen ?

Hinter Threema steht Manuel Kasper, ein Informatiker und Entwickler aus der Schweiz. Seine Firma Kasper Systems besteht laut eigenen Angaben nur aus ihm und einigen freien Entwicklern. Die zum Einsatz kommenden Threema-Server gehören angeblich ihm selbst. Verkehrsdaten wie IP-Adressen und wer wann wem eine Nachricht geschickt hat, sollen laut einem Interview bei der Zeit gar nicht erst gespeichert werden. Letztendlich sind solche Aussagen aber immer so eine Sache. Ob es stimmt oder nicht ist erstmal pure Vertrauenssache. Mir ist so eine kleine Firma aber im Zweifel erstmal viel sympathischer als so mancher millionenschwerer Konzern - aber Sympathie heißt nie sicher !

Von daher sollte sich da keiner in Sicherheit wiegen: Denn gerät ein solcher Anbieter erstmal ins Kreuzfeuer und wird wirklich wahrer Druck ausgeübt, dürfte wohl jeder aufgeben. Wie schnell dann logischerweise eingeknickt wird um die eigene Haut (völlig nachvollziehbar) zu retten, haben wir bei Lavabit gesehen - dem eMail-Anbieter der vermutlich durch Edward Snowdon ins Visir geriet und damit zum Staatsfeind Nummer 1 der USA wurde. Auf die Berichtserstattung bei Golem "Warum Lavabit schließen musste" sei dazu exemplarisch verwiesen. Ob die Schweiz nun ein besserer und sicherer Standort sind, kann sein - oder auch nicht.

Der Quellcode der Software ist nicht öffentlich und kann damit auch nicht überprüft werden. Ein echter Wehrmutstropfen. Für die Verschlüsslung zum Einsatz kommen soll die öffentliche Crypto-Bibliothek NaCl: Networking and Cryptography library - immerhin gemeinfrei und unter Experten anerkannt. Im Zweifel würde ich an diese Gedanken erstmal einen Hacken machen.

Hintertüren in Betriebssystemen ? Schwerwiegender dürfte der Gedanke sein, ob nicht Apple in iOS und Google in Android (und damit auch wiederum mit ziemlicher Sicherheit auch NSA & Co) massive Hintertüren haben, um beispielsweise alle Tastatureingaben und Bildschirminhalte auf Wunsch einsehen zu können. Damit wäre die gesamte Verschlüsslung im Zweifel auch ad-absurdum geführt. Kein schöner Gedanke irgendwie :/

Last but not least ist der physikalische Zugriff auf das Smartphone ebenfalls ein Gefahrenfaktor auf den ich hinweisen möchte: Ist das Gerät erstmal physikalisch im Zugriff (und damit der private Schlüssel kompromittiert), sind die entschlüsselten Nachrichten auch nicht mehr sicher. Denn (auch längere) Pins in der App oder Telefon sind im Zweifel kein Hinderniss, auch nicht für forensische Abteilungen kleiner Behörden zum Beispiel.

Vorsichtig sollte man auf Reisen sein: In einigen Ländern ist es den Sicherheitsleuten am Flughafen zum Beispiel schon längst gestattet, Smartphones willkürlich zu beschlagnahmen und / oder sich die kompletten Inhalte schnell zu kopieren. Neun Stunden wurde neulich beispielsweise David Miranda am Londoner Flughafen festgehalten und musste dabei Handys und Computer abgeben. Wer in die USA oder nach England fliegt, sollte von daher nie wichtige Daten auf physikalischen Geräten mitbringen. Die Einreise-Behörden können jegliche Geräte wie Computer und Smartphones beschlagnahmen und die Besitzer zur Herausgabe von Passwörter per Haft zwingen.

Davor bietet auch Threema keinen Schutz, die starke Verschlüsslung dürfte wohl eher für zusätzliche Komplikationen sorgen - das Smartphone also auf internationalen Reisen besser zu Hause lassen und auf Kommunikation verzichten ? Scheint so, als ob die dunkle Ecke in der Seitengasse und das leise Flüstern auch in Zukunft doch noch um einiges sicherer sein kann. Derweilen sei auf zwei Blogartikel mit zusätzlichen nützlichen Hinweisen verwiesen: "Laptop- und Handy-Kontrollen bei der Einreise in die USA – Das sollten Sie wissen!" sowie "US-Einreise: Schutz vor Computer-Durchsuchung."

Threema App - Zusammenfassung

Threema macht Verschlüsslung im Message-Bereich endlich wirklich nutzbar. Einfach nutzbar.

Es ist ein "Stinkefinger" gegen Abhör-Gelüste und zumindest ein dicker fetter Stein den man in den Weg schmeißen kann. Nein, schmeißen sollte. Nicht mehr und nicht weniger. Sicher ist am Ende nichts, vor allem nicht wenn man erstmal als Staatsfeind gesehen wird. Gegen Millionen von Servern kommt man genauso wenig an wie gegen Smartphone-Beschlagnahmung & Co.

Dennoch ist Threema eine große Bereicherung und gibt einem wenigstens ein wenig das Gefühl der Vertraulichkeit zurück - und wird von mir deshalb in Zukunft auch eingesetzt werden.

Wenngleich es nicht einfach werden wird, gegen die Whatsapp Verbreitung anzukommen. Gegen die bequeme Masse der vielen Schlaf-Schafe, die natürlich nichts zu verbergen haben, ist eben noch kein Kraut gewachsen :(

Abschließend hier noch die Links zu Threema zum sofortigem Loslegen:

 

Foto- und Bildquellen:

  • Im Abschnitt "Ende-zu-Ende-Verschlüsslung bei Threema": Fotos lizenziert von Fotolia (Rudie)
  • Im Abschnitt "Sicherheits-Betrachtungen": Fotos lizenziert von Fotolia (fotomek und olly)
Seite 1 Seite 2

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR , um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Björn Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

23.06.2017
21.07.2016
24.02.2016
26.05.2015
12.04.2015
  • SchmidtStretzEdelmetalle

    SchmidtStretzEdelmetalle taggt ein Projekt

    Regionales
    am 27.11.2018
  • Björn

    Björn taggt ein Projekt

    Service
    am 02.07.2018
  • Arnold77Stock

    Arnold77Stock hat sich angemeldet


    am 05.04.2018
  • BachmaierS

    BachmaierS hat sich angemeldet


    am 21.03.2018
  • Giess-Klauss

    Giess-Klauss hat sich angemeldet


    am 16.03.2018
  • JSchwoche

    JSchwoche hat sich angemeldet


    am 10.03.2018
  • jhjs1988

    jhjs1988 hat sich angemeldet


    am 01.03.2018
  • SEWA_DE

    SEWA_DE hat sich angemeldet


    am 23.02.2018
  • Toryius

    Toryius hat sich angemeldet


    am 20.02.2018
  • romulos

    romulos hat sich angemeldet


    am 16.02.2018
LocalSuite
LocalSuite: Sammlung von Tools für Ihr lokales Unternehmen - Schwerpunkte sind die Digitalisierung von Prozessabläufen und die Module für cleveres Online-Marketing.
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.