Mel
Der in der Schweiz entwickelte Messenger Threema (App Store-Link) ist eine gute Alternative zu Apps wie WhatsApp oder Telegram. Die gegenwärtig für 5,99 Euro im deutschen App Store erhältliche Anwendung hat Ende des vergangenen Jahres ein größeres Update auf Version 4.9 erhalten, mit dem das Entwicklerteam vor allem neue Sicherheits- und Privatsphäre-Funktionen integriert hatte. Auch wir berichteten über die Aktualisierung.
Das mit v4.9 eingeführte kryptografische Kommunikations-Protokoll Ibex ist wohl nicht ganz ohne konkreten Grund etabliert worden, wie ein neuer Bericht eines Teams der Eidgenössischen Technischen Hochschule Zürich (ETH) nahelegt. Das Forscherteam hatte mehrere Schwachstellen im Zusammenhang mit der von Threema verwendeten Verschlüsselungsmethode entdeckt und das Entwicklerteam darauf aufmerksam gemacht.
Die eingehende Analyse und ihre Ergebnisse haben die Forscher und Forscherinnen der ETH in englischer Sprache publiziert. Mit den entdeckten sechs Schwachstellen wäre es unter anderem denkbar gewesen, dass Angreifer unter bestimmten Umständen die Metadaten der Kommunikation, darunter die Reihenfolge der versendeten Nachrichten ändern, einsehen und löschen könnten, sowie sehen könnten, wer wann mit wem kommuniziert hat.
Die oben beschriebenen Szenarien sind allerdings nur mit sehr großem Aufwand möglich, zudem bestand keine Chance, an die Inhalte der Threema-Chats zu gelangen. Martin Blatter, Geschäftsführer von Threema, hat sich in der Neuen Züricher Zeitung zu den gefundenen Schwachstellen geäußert und erklärt: „Die Ergebnisse der Forscher sind nicht gravierend, sondern rein akademischer Natur. Die Daten unserer Nutzer waren nie in Gefahr.“
„Verschlüsselung von Threema hinkt mehrere Jahre hinterher“
Nichtsdestotrotz sind auch potentiell zugängliche Metadaten, beispielsweise Informationen darüber, wer wann mit wem kommuniziert, durchaus sensibel – zumal der Messenger Threema laut des ETH-Forschungsteams nicht nur von der Schweizer Armee und Regierung für Kommunikationszwecke genutzt wird, sondern auch der deutsche Bundeskanzler Olaf Scholz den Messenger verwendet.
Professor Kenneth Paterson von der ETH findet deutliche Worte für den Schweizer Messenger: „Die Verschlüsselung von Threema hinkt mehrere Jahre hinterher“. Der Sicherheitsforscher hatte in der Vergangenheit bereits andere Messenger und ihre Verschlüsselungsmethoden untersucht und dabei unter anderem Schwachstellen bei Telegram gefunden.
Mit dem neuen kryptografischen Kommunikations-Protokoll Ibex hat Threema sowohl in der iOS-, als auch in der Android-App die Schwachstellen in der Zwischenzeit behoben. Der Kryptologie-Professor Christian Cachin von der Universität Bern betont trotz aller Kritik an Threema, dass es wichtig sei, dass es einen Messenger wie Threema gäbe. „Es ist neben Signal und in begrenztem Rahmen auch Telegram der einzige Messenger, der eine eigene Suite von Protokollen zur verschlüsselten Kommunikation verwendet“, so Cachin. „Threema kann froh sein, dass sich die erstklassigen Forscher der ETH ihr Protokoll angeschaut haben.“
