Verschlüsselter Messenger Threema ist jetzt eine Open-Source-App

Sicherheitsbewusste hatten an der Schweizer WhatsApp-Alternative meist nur eines auszusetzen: Anders als manche Konkurrenten war die Messenger-App nicht quelloffen – bis jetzt. Nun kann sie untersucht und kopiert werden.
Threema: WhatsApp-Alternative aus der Schweiz

Threema: WhatsApp-Alternative aus der Schweiz

Foto: SASCHA STEINBACH/EPA-EFE/REX/Shutterstock

Als Threema im Jahr 2013, mit Beginn der Snowden-Enthüllungen, an Popularität gewann, wollte ihr Gründer Manuel Kasper nicht viel mehr, als seine Betriebsausgaben decken . 50.000 Menschen nutzten die Messenger-App damals. Mittlerweile sind es acht Millionen, und aus dem einstigen Nebenprojekt von Kasper ist ein kleines Unternehmen mit Sitz in Zürich geworden.

Kern von Threema ist eine Ende-zu-Ende-Verschlüsselung: Nur Absender und Empfänger können eine Nachricht lesen oder einen (Video-)Anruf mithören, das gilt auch für Gruppen. Bis auch WhatsApp 2016 so eine Technik einführte, galten solche Krypto-Messenger als sicherere Alternativen. Mittlerweile gehört Ende-zu-Ende-Verschlüsselung zum guten Ton.

Anders als manche Konkurrenten, darunter Signal und Wire, war Threema bislang aber keine Open-Source-Software. Der Quellcode der App lag nicht vollständig offen, damit Dritte ihn überprüfen oder darauf aufbauen können. Das gilt als Goldstandard, kann aber zum Geldproblem werden, wenn jemand den Code kopiert und mit der Kopie erfolgreicher wird als das Original.

Einzig die Software-Bibliothek zur Verschlüsselung war von Anfang an quelloffen, fortgeschrittene Nutzerinnen und Nutzer konnten dadurch stets die korrekte Umsetzung der Verschlüsselung überprüfen. Threema gab zudem mehrere Audits in Auftrag, um seine Sicherheit zu demonstrieren.

»Threema war bis anhin selbstfinanziert, das heißt, wir haben nur das ausgegeben, was wir mit dem Verkauf der App einnehmen konnten«, sagt Martin Blatter, einer der Mitgründer. Mittlerweile verdient Threema an speziellen Lösungen für Unternehmen und Bildungseinrichtungen, nicht mehr allein am Verkaufspreis der einzelnen App.

Absolute Transparenz als »Gebot der Stunde«

Seit dem 21. Dezember liegt der Quellcode nun vollständig offen einsehbar vor. Blatter sagt: »Inzwischen haben wir uns eine treue Nutzerschaft und einen großen Kundenstamm bei Threema Work (dem Threema-Produkt für Unternehmen Anm. der Red.) aufgebaut, sodass wir glauben, das Risiko einer Offenlegung des Quellcodes eingehen zu können.« Außerdem sei »angesichts der aktuellen Begehrlichkeiten diverser Behörden in der EU, die Entwickler von Ende-zu-Ende-verschlüsselten Messengern zum Einbau von Hintertüren zu verpflichten, absolute Transparenz das Gebot der Stunde – auch wenn wir selbst nicht in der EU ansässig und damit nicht direkt betroffen sind«.

Neben der nun möglichen unabhängigen Sicherheitsüberprüfung des Codes nennt Blatter einen weiteren Vorteil, der sich durch die Offenlegung des App-Codes ergibt: »Beim Android-Quellcode unterstützen wir sogenannte reproduzierbare Builds. Das heißt, dass sich jeder selbst eine Paketdatei erstellen kann und das Resultat mit den im Play Store verfügbaren Paketen vergleichen kann, um sicher zu sein, dass der veröffentliche Quellcode damit übereinstimmt.«

Der Quellcode steht unter einer Lizenz, die bestimmt, was man damit anstellen darf und was nicht. »Wir haben uns für die AGPLv3  entschieden«, sagt Blatter. »Das ist eine sogenannte Copyleft-Lizenz: Unser Code darf nicht in anderen Projekten verwendet werden, ohne dass deren Quellcode wiederum unter dieser Lizenz verfügbar gemacht wird.«

Eins-zu-eins-Kopien fürchtet Threema nicht mehr, neue Apps auf Threemas Codebasis dürften sich laut Blatter wohl eher »auf spezielle Nutzerbedürfnisse beschränken, die wir selbst nicht abdecken«: »Letztlich geht es um Privatsphäre und Sicherheit, da werden die meisten Nutzer das Original wollen und nicht eine modifizierte Kopie.«

Zudem könnten Dritte nicht einfach eine kompatible und im Gegensatz zu Threema kostenlose App anbieten, um mit anderen Threema-Nutzerinnen und -Nutzern zu chatten: »Die Nutzung unserer Server ist an eine gültige Lizenz gebunden«, stellt Blatter klar.

Die Wiedergabe wurde unterbrochen.