Mittlerweile wurde nachgebessert
Messenger Threema wegen Schwachstellen in der Kritik
Die Tatsache, dass die Entwickler des Messengers Threema zum Jahreswechsel neue Sicherheitsfunktionen und damit verbunden die Unterstützung des Ibex-Protokolls in ihre App integriert haben, hatte offenbar konkrete Gründe. Ein Team der Eidgenössischen Technischen Hochschule Zürich (ETH) hatte die Threema-Entwickler zuvor mit mehreren Schwachstellen im Zusammenhang mit der bislang von dem Messenger genutzten Verschlüsselungsmethode konfrontiert.
Einen detaillierten Bericht über ihre Analyse und die damit verbundenen Ergebnisse haben die ETH-Forscher auf der Webseite Breaking The 3ma App veröffentlicht. Die aufgezeigten Schwachstellen machten es beispielsweise möglich, dass Unbefugte einsehen können, wer wann und mit wem kommuniziert oder teilweise auch in der Lage sind, Nachrichten zu löschen sowie deren Reihenfolge zu ändern.
Allerdings seien die aufgezeigten Angriffsmethoden nicht nur mit großem Aufwand verbunden, sondern es war offenbar auf keinem dieser Wege möglich, an die Inhalte der Chats zu gelangen. Im Interview mit der NZZ lässt der Geschäftsführer von Threema, Martin Blatter, dann auch vernehmen, dass die Daten der Threema-Nutzer nie in Gefahr gewesen seien.
„Verschlüsselung hinkte mehrere Jahre hinterher
Im Zusammenhang mit der Kommunikation über Messenger muss man allerdings auch die sogenannten Metadaten, also zum Beispiel wer wann und mit wem kommuniziert, als sensibel einstufen. Insbesondere mit Blick auf die Tatsache, dass Threema nicht nur von Schweizer Behörden, sondern auch von Politikern wie der FAZ zufolge dem Bundeskanzler Olaf Scholz genutzt wird, hat dieser Punkt besonderes Gewicht.
Threema hat sich seit jeher als „sicherer Messenger“ vermarktet und sich nicht davor gescheut, sich in diesem Bereich über die Angebote der Konkurrenz zu stellen. Die ETH-Forscher kommen gegenüber der NZZ zu dem für Threema unangenehmen Schluss, dass die Verschlüsselung von Threema mehrere Jahre hinter dem beispielsweise von Signal genutzten Standard hinterherhinkt.
Signal war die bessere Wahl
Konkret setzt Signal bereits seit 2014 auf den Standard „Perfect Forward Secrecy“, der verhindert, dass Angreifer, die in den Besitz eines privaten Schlüssels kommen, nicht auch die älteren Nachrichten des betreffenden Nutzers entschlüsseln können. Bei Threema war dagegen seit zehn Jahren der gleiche Schlüssel gültig, der ungehinderten Zugang zu allen jemals ausgetauschten Nachrichten ermöglicht.
Besonders kritisiert werden in diesem Zusammenhang dann auch die von Threema als Beleg für die Sicherheit des Messengers angeführten externen Sicherheitsüberprüfungen. Die ETH-Forscher bezeichnen diese im Vergleich zu ihrer Untersuchung zu oberflächlich und keineswegs als Sicherheitsbeweis tauglich.
Mit dem Ende vergangenen Jahres veröffentlichten Update und einer serverseitigen Anpassung wurden die Schwachstellen Threema zufolge mittlerweile behoben.
