Threema: Diskussion um Schwachstellen der Messenger-App

Threema: Der Schweizer Messenger setzte bis vor kurzem auf veraltete Kryptografie. Das Update auf die Version 4.9 behob das Sicherheitsproblem. Der Messenger kann nach wie vor im App Store von Apple geladen werden und belegt dort aktuell Platz 1 in den Charts seiner Kategorie. Threema kostet einmalig 5,99 Euro und versteht sich als Alternative zu WhatsApp oder Telegram.

Mit dem Update 4.9 wurden vor allem neue Sicherheits- und Privatsphäre-Funktionen integriert – und das wohl aus gutem Grund. Ein Bericht eines Expertenteams der Eidgenössischen Technischen Hochschule Zürich (ETH) sagt aus, dass man mehrere Schwachstellen mit der von Threema genutzten Verschlüsselungsmethode entdeckt und die Entwickler der Messenger-App auf diese aufmerksam gemacht habe.

Mit den entdeckten sechs Schwachstellen wäre es unter anderem denkbar gewesen, dass Angreifer unter bestimmten Umständen die Metadaten der Kommunikation, darunter die Reihenfolge der versendeten Nachrichten ändern, einsehen und löschen könnten, sowie sehen könnten, wer wann mit wem kommuniziert hat. Potentielle Angreifer hätten dafür allerdings einen ungeheuren Aufwand betreiben müssen. Eine Gefahr, an die Inhalte von Threema-Chats zu gelangen, habe überdies nicht bestanden.

Martin Blatter, Geschäftsführer von Threema, hat sich in der Neuen Züricher Zeitung zu den gefundenen Schwachstellen geäußert und erklärt: „Die Ergebnisse der Forscher sind nicht gravierend, sondern rein akademischer Natur. Die Daten unserer Nutzer waren nie in Gefahr.“ Die angreifbaren Metadaten sind aber dennoch als sensibel einzuschätzen, zumal laut des Forscherteams Threema von der Schweizer Armee und Regierung sowie von Politikern wie dem deutschen Bundeskanzler Olaf Scholz genutzt wird.

Professor Kenneth Paterson von der ETH findet deutliche Worte für den Schweizer Messenger: „Die Verschlüsselung von Threema hinkt mehrere Jahre hinterher“. Der Sicherheitsforscher hatte in der Vergangenheit bereits andere Messenger und ihre Verschlüsselungsmethoden untersucht und dabei unter anderem Schwachstellen bei Telegram gefunden. Threema hat die Schwachstellen inzwischen durch die Einführung von dem neuen kryptografischen Kommunikations-Protokoll Ibex behoben.

Kryptologie-Professor Christian Cachin von der Universität Bern betont trotz aller Kritik an Threema, dass es wichtig sei, dass es einen Messenger wie Threema gäbe. „Es ist neben Signal und in begrenztem Rahmen auch Telegram der einzige Messenger, der eine eigene Suite von Protokollen zur verschlüsselten Kommunikation verwendet“, so Cachin. „Threema kann froh sein, dass sich die erstklassigen Forscher der ETH ihr Protokoll angeschaut haben.“