Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Threema ist ein privacy-freundlicher Messenger aus der Schweiz. Chats, Gruppen­chats und Audio- und Video­telefonie werden standardmäßig verschlüsselt. Es wird nicht die Telefon­nummer als Kennung verwendet sondern eine zufällige Buchstaben­kombination.

Das Erstellen von Channels und Bots (wie sie bei Telegram sehr populär sind) ist nur mit dem kosten­pflichtigen Zusatzfeature Threema/Broadcast möglich, was den Missbrauch reduziert. Die Channels und Bots können aber von allen Threema Nutzern abonniert werden.

Die Client Apps sind Open Source und die gesamte Software wurde mehrfach auditiert. Die Finanzierung erfolgt durch geringe, einmalige Kosten beim Download der App. Außerdem gibt es mit Threema Work eine Lösung für sichere Unternehmens­kommunikation, mit der weitere Einnahmen für die Firma erwirtschaftet werden. Die Server stehen in der Schweiz.

Threema bietet "horizontale Anonymität" (Anonymität gegenüber Kommunikations­partnern). Man kann seine Threema-ID mit einem Link https://threema.id/<8-stellige-ID> in einem Blog oder auf einer Webseite veröffentlichen, ohne die eigene Identität zu kompromittieren und gleich­zeitig anderen eine Möglichkeit zur anonymen Kontakt­aufnahme zu geben.

Wenn man Threema vorrangig für die private Kommunikation mit Bekannten verwendet und nicht die Anonymität im Vordergrund steht, kann man in den Profileinstellungen die Threema-ID mit einer Telefonnummer verbinden. Dabei wird ein Hashwert der Telefonnummer mit der Threema-ID auf dem Server gespeichert und die Anonymität gegenüber dem Betreiber nicht kompromittiert.

Kommunikationspartner können damit Kontakte schneller finden und anhand der farbig dar­gestellten Vertrauens­stufe verifizieren, dass sie mit dem Bekannten verbunden sind, mit dem sie die bereits die Telefonnnummer ausgetauscht haben. Threema kennt folgende Vertrauensstufen:

  1. rot  ID und öffentlicher Schlüssel wurden vom Server geholt. Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer/E-Mail), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
  2. rot  Der Kontakt wurde im Adressbuch gefunden. Da der Server Handynummern und E-Mail-Adressen prüft, kann man sich ohne zusätzliches Verifizieren relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
  3. rot  Der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes verifiziert. Solange das Gerät der Person nicht gestohlen/gehackt wurde, ist es unmöglich, dass ein Dritter die Nachrichten fälschen oder mitlesen kann.

Bei Threema speichert der Client alle Informationen zu Kontaktlisten, Mitglied­schaften in Gruppen­chats usw. lokal. Die Server haben keine Informationen. Wenn man das Smartphone wechselt, ist es wichtig, dass man ein Backup der Daten zu erstellt und auf dem neuen Smartphone einzuspielen. Ansonsten beginnt man komplett neu mit einem neuen Account und verliert Kontakte und Gruppen.

Das Backup wird mit einem Passwort verschlüsselt und kann auf dem Threema Server gespeichern werden oder auf einem beliebigen WebDAV Server. Wenn man das Backup auf einem eigenen WebDAV Server speichern möchte, muss man dort ein Verzeichnis für Threema Safe anlegen (beispielsweise "threema-safe") und ein Unterverzeichnis "backups". In dem Threema Safe Verz. ist die Datei "config" mit folgendem Inhalt anzulegen: {
"maxBackupBytes": 524288,
"retentionDays": 180
}
Dann kann man auf dem Smartphone ein Threema Safe Backup erstellen und als Experte die eigene WebDAV Adresse des Threema Safe Verzeichnisses angeben.

Der Name der Backupdatei ist die mit dem Backup Passwort verschlüsselte Threema-ID. Auch wenn das Backup auf dem Threema Server rumliegt, ist nicht erkennbar, zu welchem Account das Backup gehört. Trotzdem kann die Datei beim Restore eindeutig gefunden werden. Dieses Backup Konzept ist bisher unter Messengern einmalig.

Im Webshop von Threema gibt es eine Google-freie Version für Android Smartphones, die keine Bibliotheken von Google enthält und keine Google Server für Push Notifications nutzt. Statt dessen fragt diese Version alle 15min beim Server von Threema nach neuen Nachrichten und benötigt daher ein wenig mehr Energie vom Akku.

Threema war in mehreren Jahre die populärste kostenpflichtige App im Apple App Store und hat mehrere Millionen Nutzer. Es ist einer der sichersten Messenger. Die Umsetzung der Designziele (Whitepaper) und aller Sicherheitsempfehlungen für Smartphone Apps gemäß Stand der Technik wurde durch zwei Audits bestätigt. 

Multi-Device Support bietet Threema noch nicht. Aber wenn man mehrere Geräte nutzt, kann man sich mit einem kleinen Trick behelfen und die Gruppenchats dafür missbrauchen.

  1. Anton verwendet mehrere Geräte und erstellt auf jedem Gerät eine Threema-ID.
  2. Für die Kommunikation mit Beatrice erstellt er eine Gruppe mit allen seinen Accounts und außerdem fügt er den Account von Beatrice hinzu.
  3. Für die Kommunikation mit Conrad erstellt er eine weitere Gruppe mit seinen Accounts und fügt den Account von Conrad dazu.
  4. Dann muss er Beatrice und Conrad noch erklären, die jeweilige Gruppe zu verwenden, wenn sie ihm schreiben wollen und nicht eine von seinen einzelnen Threema-IDs.
Das ist ein bisschen umständlicher als bei echtem Multi-Device Support, aber machbar.