Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Threema ist ein privacy-freundlicher Messenger aus der Schweiz. Chats, Gruppen­chats und Audio- und Video­telefonie werden standardmäßig verschlüsselt. Es wird nicht die Telefon­nummer als Kennung verwendet sondern eine zufällige Buchstaben­kombination.

Die Client Apps sind Open Source und die gesamte Software wurde mehrfach auditiert. Die Finanzierung erfolgt durch geringe, einmalige Kosten beim Download der App. Außerdem gibt es mit Threema Work und Threema OnPrem Lösungen für sichere Unternehmens­kommunikation, mit denen weitere Einnahmen für die Firma erwirtschaftet werden. Die Server stehen in der Schweiz.

Das Erstellen von Channels und Bots (wie sie bei Telegram sehr populär sind) ist nur mit dem kosten­pflichtigen Zusatzfeature Threema/Broadcast möglich, was den Missbrauch reduziert. Die Channels und Bots können aber von allen Threema Nutzern abonniert werden.

Threema bietet "horizontale Anonymität" (Anonymität gegenüber Kommunikations­partnern). Man kann seine Threema-ID mit einem Link https://threema.id/<8-stellige-ID> in einem Blog oder auf einer Webseite veröffentlichen, ohne die eigene Identität zu kompromittieren und gleich­zeitig anderen eine Möglichkeit zur anonymen Kontakt­aufnahme zu geben.

(Hinweis: mit den Push Services von Google (FCM) oder Apple (APN) kann ein Nutzer deanonymisiert werden.)

Wenn man Threema vorrangig für die private Kommunikation mit Bekannten verwendet und nicht die Anonymität im Vordergrund steht, kann man in den Profileinstellungen die Threema-ID mit einer Telefonnummer verbinden. Dabei wird ein Hashwert der Telefonnummer mit der Threema-ID auf dem Server gespeichert. (Das Hashen der Telefonnummer bietet ein bisschen Schutz, sollte aber nicht überbewertet werden. Ein Angreifer, der Zugriff auf die Daten auf dem Server hat, kann mit überschaubarem Aufwand eine Rainbow Table mit den Hashwerten aller möglichen Telefonnummer erstellen und damit die Telefonnummern aus den Hashwerten ermitteln.)

Kommunikationspartner können anhand der Telefonnummern Kontakte finden und mit der farbig dar­gestellten Vertrauens­stufe verifizieren, dass sie mit dem Bekannten verbunden sind, mit dem sie bereits die Telefonnnummer ausgetauscht haben. Threema kennt folgende Vertrauensstufen:

  1. rot  ID und öffentlicher Schlüssel wurden vom Server geholt. Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer/E-Mail), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
  2. rot  Der Kontakt wurde im Adressbuch gefunden. Da der Server Handynummern und E-Mail-Adressen prüft, kann man sich ohne zusätzliches Verifizieren relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
  3. rot  Der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes verifiziert. Solange das Gerät der Person nicht gestohlen/gehackt wurde, ist es unmöglich, dass ein Dritter die Nachrichten fälschen oder mitlesen kann.

Bei Threema speichert der Client alle Informationen zu Kontaktlisten, Mitglied­schaften in Gruppen­chats usw. lokal. Die Server haben keine Informationen. Wenn man das Smartphone wechselt, ist es wichtig, dass man ein Backup der Daten zu erstellt und auf dem neuen Smartphone einzuspielen. Ansonsten beginnt man komplett neu mit einem neuen Account und verliert Kontakte und Gruppen.

Das Backup wird mit einem Passwort verschlüsselt und kann auf dem Threema Server gespeichern werden oder auf einem beliebigen WebDAV Server. Wenn man das Backup auf einem eigenen WebDAV Server speichern möchte, muss man dort ein Verzeichnis für Threema Safe anlegen (beispielsweise "threema-safe") und ein Unterverzeichnis "backups". In dem Threema Safe Verz. ist die Datei "config" mit folgendem Inhalt anzulegen: {
"maxBackupBytes": 524288,
"retentionDays": 180
}
Dann kann man auf dem Smartphone ein Threema Safe Backup erstellen und als Experte die eigene WebDAV Adresse des Threema Safe Verzeichnisses angeben.

Der Name der Backupdatei ist die mit dem Backup Passwort verschlüsselte Threema-ID. Auch wenn das Backup auf dem Threema Server rumliegt, ist nicht erkennbar, zu welchem Account das Backup gehört. Trotzdem kann die Datei beim Restore eindeutig gefunden werden. Dieses Backup Konzept ist bisher unter Messengern einmalig. 


Für Android Smartphones bringt Threema 4.71+ einen eignen Threema Push Service mit, der die Probleme für Privatsphäre und die mögliche Denonymisierung anonymer Threema Accounts durch Googles Push Service (FCM) vermeidet und den Akku Verbrauch nur wenig erhöht.


Für Android Phones gibt es neben Google Play weitere Downloadmöglichkeiten für Threema.


Parallel zur Smartphone App kann man Threema Desktop auf dem PC oder Laptop installieren, was nach dem Download relativ simple ist und nicht weiter erklärt werden muss.

Wenn man Threema Desktop startet, muss man mit der Threema App auf dem Smartphone den angezeigten QR-Code scannen, um beide Geräte zu verbinden. Die Smartphone App ist dabei der Boss in dem Verbund und in den Einstellungen die aktiven Desktop Clients verwalten.

Multi-Device Support bietet Threema noch nicht. Aber wenn man mehrere Geräte nutzt, kann man sich mit einem kleinen Trick behelfen und die Gruppenchats dafür missbrauchen.

  1. Anton verwendet mehrere Geräte und erstellt auf jedem Gerät eine Threema-ID.
  2. Für die Kommunikation mit Beatrice erstellt er eine Gruppe mit allen seinen Accounts und außerdem fügt er den Account von Beatrice hinzu.
  3. Für die Kommunikation mit Conrad erstellt er eine weitere Gruppe mit seinen Accounts und fügt den Account von Conrad dazu.
  4. Dann muss er Beatrice und Conrad noch erklären, die jeweilige Gruppe zu verwenden, wenn sie ihm schreiben wollen und nicht eine von seinen einzelnen Threema-IDs.
Das ist ein bisschen umständlicher als bei echtem Multi-Device Support, aber machbar.