Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Threema ist ein privacy-freundlicher Messenger aus der Schweiz. Chats, Gruppen­chats und Audio- und Video­telefonie werden standardmäßig verschlüsselt. Es wird nicht die Telefon­nummer als Kennung verwendet sondern eine zufällige Buchstaben­kombination.

Die Client Apps sind Open Source und die gesamte Software wurde mehrfach auditiert. Die Finanzierung erfolgt durch geringe, einmalige Kosten beim Download der App. Außerdem gibt es mit Threema Work und Threema OnPrem Lösungen für sichere Unternehmens­kommunikation, mit denen weitere Einnahmen für die Firma erwirtschaftet werden. Die Server stehen in der Schweiz.

Das Erstellen von Channels und Bots (wie sie bei Telegram sehr populär sind) ist nur mit dem kosten­pflichtigen Zusatzfeature Threema/Broadcast möglich, was den Missbrauch reduziert. Die Channels und Bots können aber von allen Threema Nutzern abonniert werden.

Threema bietet "horizontale Anonymität" (Anonymität gegenüber Kommunikations­partnern). Man kann seine Threema-ID mit einem Link https://threema.id/<8-stellige-ID> in einem Blog oder auf einer Webseite veröffentlichen, ohne die eigene Identität zu kompromittieren und gleich­zeitig anderen eine Möglichkeit zur anonymen Kontakt­aufnahme zu geben.

(Hinweis: mit den Push Services von Google (FCM) oder Apple (APN) kann ein Nutzer deanonymisiert werden.)

Zum Erstellen eines Account benötigt man ein Smartphone oder irgendein Gerät mit Android OS bzw. iOS mit Internetverbindung (Tablet o.ä. geht auch). Eine SIM Karte mit Telefonnummer ist nicht nötig. Auf diesem Smartphone bzw. Tablet o.ä. installiert man die kostenpflichtige Threema App.

Wenn man Threema vorrangig für die private Kommunikation mit Bekannten verwendet und nicht die Anonymität im Vordergrund steht, kann man in den Profileinstellungen die Threema-ID mit einer Telefonnummer oder E-Mail Addr. verbinden. Dabei wird ein Hashwert der Telefonnummer mit der Threema-ID auf dem Server gespeichert. (Das Hashen der Telefonnummer bietet ein bisschen Schutz, sollte aber nicht überbewertet werden. Ein Angreifer, der Zugriff auf die Daten auf dem Server hat, kann mit überschaubarem Aufwand eine Rainbow Table mit den Hashwerten aller möglichen Telefonnummer erstellen und damit die Telefonnummern aus den Hashwerten ermitteln.)

Kommunikationspartner können anhand der Telefonnummern Kontakte finden und mit der farbig dar­gestellten Vertrauens­stufe verifizieren, dass sie mit dem Bekannten verbunden sind, mit dem sie bereits die Telefonnnummer ausgetauscht haben. Threema kennt folgende Vertrauensstufen:

  1. rot  ID und öffentlicher Schlüssel wurden vom Server geholt. Da kein passender Kontakt im Adressbuch gefunden wurde (mit Handynummer/E-Mail), kann man sich nicht sicher sein, ob die Person wirklich die ist, die sie in ihren Nachrichten vorgibt zu sein.
  2. rot  Der Kontakt wurde im Adressbuch gefunden. Da der Server Handynummern und E-Mail-Adressen prüft, kann man sich ohne zusätzliches Verifizieren relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
  3. rot  Der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes verifiziert. Solange das Gerät der Person nicht gestohlen/gehackt wurde, ist es unmöglich, dass ein Dritter die Nachrichten fälschen oder mitlesen kann. 

Ende-zu-Ende Verschlüsselung ist bei Threema standardmäßig aktiv. Im Dezember 2022 hat Threema dafür das neue Protokoll Ibex eingeführt und im August 2023 standardmäßig aktiviert, welches einige Schwächen beseitigt und auch Forward Secrecy bietet. Im Gegensatz zum alten Protokoll wird für die Übertragung jeder Nachricht ein individueller Session Key ausgehandelt.


Ein Backup der Daten ist (im Gegensatz zu anderen Messengern) wichtig. Bei Threema speichert der Client alle Informationen zu Kontaktlisten, Mitgliedschaften in Gruppenchats usw. lokal auf dem Smartphone. Die Server haben keine Informationen. Wenn man das Smartphone wechselt oder verliert, muss man ohne Backup komplett neu beginnen und verliert damit alle Kontakte und Gruppen!

Das Backup wird mit einem Passwort verschlüsselt und kann auf dem Threema Server gespeichern werden oder auf einem beliebigen WebDAV Server. Wenn man das Backup auf einem eigenen WebDAV Server speichern möchte, muss man dort ein Verzeichnis für Threema Safe anlegen (beispielsweise "threema-safe") und ein Unterverzeichnis "backups". In dem Threema Safe Verz. ist die Datei "config" mit folgendem Inhalt anzulegen: {
"maxBackupBytes": 524288,
"retentionDays": 180
}
Dann kann man auf dem Smartphone ein Threema Safe Backup erstellen und als Experte die eigene WebDAV Adresse des Threema Safe Verzeichnisses angeben.

Der Name der Backupdatei ist die mit dem Backup Passwort verschlüsselte Threema-ID. Auch wenn das Backup auf dem Threema Server rumliegt, ist nicht erkennbar, zu welchem Account das Backup gehört. Trotzdem kann die Datei beim Restore eindeutig gefunden werden. Dieses Backup Konzept ist bisher unter Messengern einmalig. 


Für Android Smartphones bringt Threema 4.71+ einen eignen Threema Push Service mit, der die Probleme für Privatsphäre und die mögliche Denonymisierung anonymer Threema Accounts durch Googles Push Service (FCM) vermeidet und den Akku Verbrauch nur wenig erhöht.


Für Android Phones gibt es neben Google Play weitere Downloadmöglichkeiten für Threema.


Parallel zur Smartphone App kann man Threema Desktop auf dem PC oder Laptop installieren, was nach dem Download relativ simple ist und nicht weiter erklärt werden muss.

Wenn man Threema Desktop startet, muss man mit der Threema App auf dem Smartphone den angezeigten QR-Code scannen, um beide Geräte zu verbinden. Die Smartphone App ist dabei der Boss in dem Verbund und kann in den Einstellungen die aktiven Desktop Clients verwalten.