Artur's Blog | wlabs.de

Hinweis: Dies ist mein privater Blog.
Für Software-Entwicklung und Refactoring siehe weigandtlabs.de.

Ich habe Threema ausprobiert

Ich habe Threema ausprobiert und muss sagen, dass ich ein wenig enttäuscht bin. Wie das bei Hypes so üblich ist, erwartet man meist viel und ist dann doch enttäuscht. So ist das jetzt bei mir mit Threema.

Erstmal ein paar positive Dinge

Verschlüsselte Gruppenchats sind möglich. Und der verschlüsselte Dateiversand ist auch möglich. Die stromsparende Benachrichtigung über GCM kann man gut oder schlecht finden. Ich finde sie nicht gut. Hmm, ich glaube, das war es schon. Ansonsten sehe ich keine Vorteile gegenüber XMPP mit OTR.

Ok, man könnte noch positiv hervorheben, dass die Synchronisierung der Kontakte optional ist und nur über Hashes abläuft. Das Problem, dass man darüber andere Nummern herausfinden kann, bleibt trotzdem, wie die Macher von TextSecure auch in diesem interessanten Blogpost feststellen. Aber glücklicherweise ist auch das Hinterlegen seiner Handynummer oder Emailadresse bei Threema optional. Ich finde es immer noch ziemlich dreist, dass Whatsapp sich zwingend mit einer Handynummer verbindet und sämtliche Kontakte abgreift. Sowas finde ich asozial. Dass das bei Threema zu Glück nicht so ist, empfinde ich nicht als Vorteil, sondern als selbstverständlich.

Kommen wir zu den nicht ganz so schönen Dingen

Ich finde die Idee mit den 3 Sicherheitsstufen lächerlich. Wenn ich meine Threema ID mit meinem Freund austausche, dann gibt es einen Punkt. Wenn Threema meine Kontakte synchronisiert und da eine Verbindung findet, weil jemand meiner Freunde seine Handynummer hinterlegt hat, dann gibt es dafür zwei Punkte. Wenn ich mir jetzt also eine Handynummer ausdenke und in meinen Kontakten speichere und Threema findet diese Nummer auf dem Server hinterlegt, dann wird diese Nummer eines mir Unbekannten mehr vertraut, als wenn ich die Threema ID von meinem Freund bekomme oder mir die Threema ID nur ausdenke. Wieso denn das? Ich behaupte mal, das beide Wege gleich vertrauenswürdig (oder eben nicht vertrauenswürdig) sind. Da eine prominente Unterscheidung in Form von ein und zwei Punkten zu machen, finde ich lächerlich.

Die 3 Punkte Stufe finde ich schon besser. Diese Stufe bedeutet, dass der Schlüssel des Kontakts auf einem zweiten Kanal verglichen worden ist. Aber warum wird hier das Einscannen eines QR Codes als einziger Kanal zugelassen? Ich hatte vor einigen Tagen eine Telefonkonferenz mit ein paar Freunden. Bei der Gelegenheit haben wir direkt unsere XMPP-Fingerprints verglichen und in unseren Clients als vertrauenswürdig festgelegt. Bei Threema ist das ja nichts anderes, nur dass man hier nicht die Kontakte als vertrauenswürdig festlegen kann, sondern dass die App das selber machen will. Und das nur über einen QR Code.

Weil ich das mal testen wollte, hat mir mein Freund einen Screenshot seines QR Codes geschickt. Über Threema! Den hab ich dann eingescannt und hatte dann 3 Punkte. Klar ist das nicht der Sinn der Sache, aber es zeigt sehr schön, wie absurd dieser QR Code Zwang ist. Letzten Endes musste ich also selber entscheiden, ob ich meinem Kontakt vertraue (und ob ich seinen QR Code einscanne) oder nicht. Da kann man die Sache auch direkt vereinfachen und eine Einstellung anbieten, ob man dem Kontakt vertraut.

Eingeschränkte Gruppenchats

Nächster Punkt sind die Gruppenchats. Man wählt einen Namen für die Gruppe und wählt die Kontakte aus, die in die Gruppe gehören. Das wars, man kann sofort miteinander schreiben. Das Problem ist, dass es das wirklich war. Mitglieder können nicht hinzugefügt oder entfernt werden. Nur den Namen der Gruppe kann man noch ändern. Um jemanden neu in die Gruppe aufzunehmen, muss man eine neue erstellen. Seriously, Threema?

Ich kann mir denken, dass das der Verschlüsselung in den Gruppen zu verdanken ist. Aber das ließe sich über einen neuen Schlüsselaustausch lösen. Aber in der jetzigen Form ist das nicht wirklich geeignet, um wachsende Gruppen zu verwalten.

Closed Source

Der letzte Punkt ist der geschlossene Quellcode. Solange man keinen Blick in den Quellcode werfen kann, lässt sich nicht sagen, ob Threema die ganzen Versprechungen bezüglich Verschlüsselung und Hashen der Nummern einhält. Und wegen des geschlossenen Protokolls gleicht der Wechsel von Whatsapp zu Threema einem Wechsel des Käfigs. Dadurch sind die User wieder davon abhängig, dass möglichst viele der Freunde ebenfalls zu Threema wechseln. Bei XMPP ist es egal, welchen Client (respektive welche App) die einzelnen Nutzer verwenden. Die Kontakte bleiben auf dem XMPP Server und lassen sich auch einfach zu einem anderen (z.B. seinem eigenen) Server umziehen.

Fazit

Als Fazit bleibt zu sagen, dass Threema für die meisten Nutzer durchaus als empfehlenswerter Ersatz für Whatsapp taugt. Wer mehr Wert auf Sicherheit und Datenschutz legt und keine Gruppenchats braucht, der ist weiterhin mit XMPP gut versorgt. Ich werde Threema erstmal weiter verwenden, auch wegen einiger Kontakte, die ich jetzt darüber erreichen kann. Und wer weiß: Vielleicht sorgt der Schub an neuen Nutzern (und damit mehr Verkäufe) bei Threema dafür, dass bald einige Dinge verbessert werden. Raum nach oben hin gibt es immer.

Beitrag veröffentlicht

in

von

Artur

Schlagwörter:

, ,

Kommentare

Eine Antwort zu „Ich habe Threema ausprobiert“

  1. Kommentar: Was XMPP noch fehlt – weigandtLabs

    […] ich meinen Freunden daher zumindest Threema, um Whatsapp nicht zu benutzen. Mehr dazu habe ich hier […]