+251944022222 ino@mewaeltours.com

Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen „Threema Safe“, zunächst nur für die Android-Version. Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte. Das neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch. Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmäßig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert.

Im Ergebnis wurden einige kleinere Fehler behoben und Cure53 bestätigte eine hohe Codequalität und beschrieb die „Struktur des Projekts“ als „aussergewöhnlich solide“. Da alle Daten ausschließlich lokal auf dem Gerät gespeichert werden, war es früher nicht möglich, seine Threema-ID, Chatverläufe und restliche Daten auf ein anderes Gerät zu übertragen, ohne dass man ein Backup seiner Daten erstellt hat. Bei der Deinstallation der Android-App werden, wie es bei Android normal ist, alle Daten aus dem internen Speicher gelöscht, d. H., sowohl die Threema-ID mit dem privaten Schlüssel als auch die restlichen Daten wie Chatverläufe und Medien sind nach der Deinstallation entfernt. Unabhängig davon bietet Threema allerdings ein separates Verzeichnis, in welchem die entschlüsselten Medien und die Datensicherungen abgespeichert werden. Der Hersteller bietet zusätzlich mit seiner Validation-Logging-Funktion die Möglichkeit an, verschlüsselte Nachrichten auf Ihre Verschlüsselungsgüte hin zu untersuchen.

Die Validierung zeigt somit lediglich, ob die NaCl-Bibliothek korrekt angewendet wurde. Mai 2017 veröffentlichte Threema Updates, die für alle unterstützen Plattformen Profilbilder einführten, die vom Nutzer für seine eigene Threema-ID selbst festgelegt werden können. Die guarantee success in fitness Profilbilder können optional gesetzt werden und werden ausschließlich Ende-zu-Ende-verschlüsselt beim Nachrichtenversand an andere Nutzer gesendet. Der Nutzer kann dabei bestimmen, ob das Profilbild an alle Nutzer, denen er Nachrichten sendet, nur an ausgewählte Kontakte oder gar nicht versandt werden soll. Wenn letzteres gewählt wird, sieht man somit nur selbst sein Profilbild.

Threema Safe

Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Außerdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren. Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein. Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden, sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.

Windows 10-Treiber

Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.

  • Die Daten werden jedoch, zumindest beim iCloud-Backup, zusätzlich durch die eindeutige Geräte-ID des Gerätes verschlüsselt.
  • Die App kann so vollkommen anonym und ohne Angabe personenbezogener Daten benutzt werden.
  • Durch WebRTC wird via ICE mit Threema-eigenen STUN- und TURN-Servern eine möglichst direkte Verbindung zwischen beiden Geräten hergestellt, d.
  • Das Versenden der Nachrichten erfolgt über Schweizer Server des in der Schweiz ansässigen Herstellers Threema GmbH. Die Kommunikation zwischen den Threema-Servern und dem Endgerät ist zudem durch eine Transportverschlüsselung gesichert.

Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.

Sicherung Von Daten

Seit Ende 2016 veröffentlicht die Threema GmbH einen jährlichen Transparenzbericht, in dem sie Behördenanfragen offenlegt und die Art der in diesen Anfragen mitteilbare Daten erläutert. Gruppennachrichten werden an jeden Empfänger einzeln versandt, um zu verhindern, dass der Server die Zusammensetzung der Gruppen erfährt. Da sich die Server von Threema nach Angaben des Herstellers ausschließlich in der Schweiz befinden, unterliegt die Firma unter anderem dem schweizerischen Bundesgesetz über den Datenschutz und der Datenschutz-Grundverordnung. Das Rechenzentrum ist außerdem ISO zertifiziert. Die Anruf-Funktion lässt sich vollständig deaktivieren. September 2017 veröffentlichte Threema die finalen Updates für die iOS- und Android-Versionen der App, die dieses Feature beinhalteten.

Gruppenchat

Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. Auf Wunsch auch auf einem gewählten Server des Nutzers, siehe den Abschnitt zu „Threema Safe“. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt. Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.

Translate »