Die Validierung zeigt somit lediglich, ob die NaCl-Bibliothek korrekt angewendet wurde. Mai 2017 veröffentlichte Threema Updates, die für alle unterstützen Plattformen Profilbilder einführten, die vom Nutzer für seine eigene Threema-ID selbst festgelegt werden können. Die Profilbilder können optional gesetzt werden und werden ausschließlich Ende-zu-Ende-verschlüsselt beim Nachrichtenversand an andere Nutzer gesendet. Der Nutzer kann dabei bestimmen, ob das Profilbild an alle Nutzer, denen er Nachrichten sendet, nur an ausgewählte Kontakte oder gar nicht versandt werden soll. Wenn letzteres gewählt wird, sieht man somit nur selbst sein Profilbild.

  • Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess.
  • Über die Webanwendung „Threema Web“ und seit 2021 über die Desktop-App kann Threema auch am Desktop-Computer genutzt werden, wenn zusätzlich die Smartphone-App installiert wird.
  • Im Jahr 2018 bestand die Firma aus 15 Mitarbeitern, wobei je etwa die Hälfte in Softwareentwicklung bzw.
  • So werden Nachrichten ausschließlich Ende-zu-Ende-verschlüsselt verschickt.

Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.

Threema Safe

Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen „Threema Safe“, zunächst nur für die Android-Version. Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte. Das treiber herunterladen neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch. Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmäßig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert.

Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.

Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Außerdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren. Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein. Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden, sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.

Gruppenchat

Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. Auf Wunsch auch auf einem gewählten Server des Nutzers, siehe den Abschnitt zu „Threema Safe“. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt. Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.

Lösungen Für Firmen

Seit Ende 2016 veröffentlicht die Threema GmbH einen jährlichen Transparenzbericht, in dem sie Behördenanfragen offenlegt und die Art der in diesen Anfragen mitteilbare Daten erläutert. Gruppennachrichten werden an jeden Empfänger einzeln versandt, um zu verhindern, dass der Server die Zusammensetzung der Gruppen erfährt. Da sich die Server von Threema nach Angaben des Herstellers ausschließlich in der Schweiz befinden, unterliegt die Firma unter anderem dem schweizerischen Bundesgesetz über den Datenschutz und der Datenschutz-Grundverordnung. Das Rechenzentrum ist außerdem ISO zertifiziert. Die Anruf-Funktion lässt sich vollständig deaktivieren. September 2017 veröffentlichte Threema die finalen Updates für die iOS- und Android-Versionen der App, die dieses Feature beinhalteten.