Threema-App

Fluch oder Segen? So funktionieren sichere Mobile-Chats

Verschlüsselte Kommunikation ist über die Threema-App möglich.

Verschlüsselte Kommunikation ist über die Threema-App möglich.

Über den Schweizer Messenger-Dienst Threema lässt sich verschlüsselt kommunizieren. Terroristen könnten die App missbrauchen, doch für verfolgte Minderheiten ist sie oft überlebenswichtig.

Die App Threema gilt als sichere Alternative zu Whatsapp. Sie sammelt keine Daten und ermöglicht es, verschlüsselt Nachrichten auszutauschen. Populär wurde sie im Frühjahr 2014, als Facebook den beliebten Messenger Whatsapp aufkaufte.

Damit niemand mithört: So wirbt «Threema» selbst für seinen Dienst.

Damit niemand mithört: So wirbt «Threema» selbst für seinen Dienst.

Innerhalb weniger Tage stiegen Threemas Nutzerzahlen von 40 000 auf 1,5 Millionen. Mittlerweile haben über 3,5 Millionen die App für 2 Franken gekauft und installiert.
Threema ist eine Schweizer Erfolgsgeschichte. Die App wurde von Journalisten dafür gelobt, dass sie die Privatsphäre und die Sicherheit der Nutzer respektiert.

Doch nun wird sie kritisiert – und zwar genau deshalb: Weil sie sichere Kommunikation ermöglicht. «Die Terrormiliz IS nutzt für ihre Planung Technologie aus der Schweiz: die Smartphone-App Threema», schreibt die «SonntagsZeitung».

Die App werde in den Handbüchern der IS empfohlen, weil sie ein einzigartiges Sicherheitskonzept habe, das stark und zuverlässig sei.

Mitlesen nicht möglich
Die Verschlüsselung der App ist so gut, dass sie auch von Geheimdiensten und Sicherheitsbehörden nicht geknackt werden kann. Nur wer die entsprechenden Schlüssel besitzt, kann die Nachrichten dechiffrieren.

Gemäss «SonntagsZeitung» verlangte das Bundesamt für Polizei (Fedpol) von Threema die Herausgabe der Schlüssel, um Kommunikation von verdächtigen Personen mitlesen zu können. Doch wie Threema der «Nordwestschweiz» berichtet, trifft dies nicht zu.

«Wir wurden weder vom Fedpol noch vom Nachrichtendienst dazu aufgefordert, Schlüssel oder Daten herauszugeben», sagt Martin Blatter, Mitgründer von Threema. Und auch das Fedpol kann die Recherche der «Sonntags Zeitung» «nicht bestätigen».

Es wäre auch ziemlich sinnlos, von Threema die Schlüssel zu verlangen. Denn die Firma besitzt diese gar nicht. «Der private Schlüssel wird auf dem Handy des Nutzers erstellt und verlässt diesen nie», sagt Blatter. Die App ist so konzipiert, dass nicht einmal ihre Betreiber die darauf stattfindende Kommunikation mitlesen können.

Meine Schlüssel sind privat
Dabei wird ein sogenanntes asymmetrisches Verschlüsselungsverfahren benutzt. Das heisst, es wird nicht einfach mit einem gemeinsamen Geheimschlüssel kommuniziert, sondern jeder Nutzer hat sein eigenes Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Erzeugt werden diese mithilfe eines Zufallsgenerators auf dem Handy.

Der öffentliche Schlüssel wird dann den Kommunikationspartnern zur Verfügung gestellt. Mit ihm können diese eine Nachricht so codieren, dass sie nur der gewünschte Empfänger mit dem privaten Schlüssel decodieren kann.

Plastisch kann man sich das so vorstellen: Jede Nachricht, die man versendet, wird in eine Box gelegt und mit einem Vorhängeschloss abgeriegelt. Dieses kann nur jene Person öffnen, die den Schlüssel dafür hat.

Die Person, welche die Nachricht verschickt, muss den Schlüssel nicht besitzen, sondern nur ein Vorhängeschloss, das auf den Schlüssel passt. Und der Pöstler, der die Nachricht ausliefert, muss erst recht nicht im Besitz des Schlüssels sein.

Möglich wäre für den Pöstler bloss, aufzuschreiben, wer an wen Nachrichten verschickt. Rand- oder Metadaten wird das in der digitalen Kommunikation genannt. Telekommunternehmen wie die Swisscom sind dazu verpflichtet, diese Daten auf Vorrat zu speichern, für Technikunternehmen wie Threema gilt das aber nicht.

Deshalb speichert das Unternehmen auch so wenig Metadaten wie möglich.

Kurz: Von Threema gibt es also eigentlich gar keine Daten zu holen. «Wenn ein Dienst für verschlüsselte Kommunikation wie Threema seriös arbeitet, sind ihm selber die privaten Schlüssel der Nutzer nicht zugänglich», sagt Rolf Oppliger, Sicherheitsexperte und Titularprofessor an der Universität Zürich.

Mitlesen geht also nur, wenn bewusst Löcher eingebaut werden, und das System so künstlich unsicher gemacht wird. In den USA können Technologie-Unternehmen dazu per Gesetz verpflichtet werden – in der Schweiz nicht.

Die so erzeugten Schwachstellen sind dann aber nicht nur den Geheimdiensten, sondern prinzipiell auch Hackern mit unlauteren Motiven zugänglich. «Jede Sicherheitstechnologie kann auch missbraucht werden», sagt Oppliger. «Sie deswegen nicht zu entwickeln, wäre falsch.»

Für Minderheiten lebensrettend
Es ist zwar denkbar, dass sich über Threema Terroristen austauschen. Ebenso können über die App aber auch Homosexuelle im Iran kommunizieren, denen aufgrund ihrer sexuellen Neigung die Todesstrafe droht.

«Die verschlüsselte Kommunikation ist in totalitären Staaten für Dissidenten oder Angehörige religiöser oder sexueller Minderheiten oft die einzige Möglichkeit, Vertrauliches auszutauschen», meint Threema-Gründer Blatter.

Gegen die Einschränkung von Apps für verschlüsselte Kommunikation spricht auch, dass eine gut aufgestellte Terroristengruppe im 21. Jahrhundert wohl auch dazu fähig wäre, ein eigenes verschlüsseltes Kommunikationswerkzeug zu entwickeln.

«Mit dem heutigen Fachwissen und den verfügbaren Software-Bibliotheken ist das keine allzu grosse Herausforderung», sagt Sicherheitsexperte Oppliger. Es werde immer Möglichkeiten geben, verschlüsselt zu kommunizieren.

Meistgesehen

Artboard 1