Anzeige
Anzeige
News
Artikel merken

Veraltete Kryptografie: Threema hatte einer Studie zufolge mehrere Schwachstellen

Einer Schweizer Forschungsarbeit zufolge wurde bei dem Messengerdienst Threema über Jahre eine veraltete Verschlüsselungstechnologie verwendet. Laut Threema sind die Erkenntnisse „rein akademischer Natur“. Daten seien nie in Gefahr gewesen.

Von Hannah Klaiber
2 Min. Lesezeit
Anzeige
Anzeige

„Der sichere Messenger“: Threemas Ruf könnte unter den Forschungserkenntnissen leiden – beim Kurznachrichtendienst sieht man die Lage nicht so dramatisch. (Bild: Shutterstock / Postmodern Studio)

Wer Whatsapp nicht traut, wechselt zu Threema: Das Schweizer Unternehmen genießt schon lange den Ruf, eine datensichere Alternative zum zu Meta gehörenden Kurznachrichtendienst anzubieten. Dieser Ruf ist so gut (oder der von Whatsapp so schlecht), dass nicht nur die Schweizer Bundesverwaltung den Dienst nutzt, auch der deutsche Bundeskanzler Olaf Scholz verschickt Nachrichten einem FAZ-Bericht zufolge per Threema.

Anzeige
Anzeige

„Die Verschlüsselung von Threema hinkt Jahre hinterher“

Ein Trugschluss? Dem wollte ein Forscher:innenteam der Eidgenössischen Technischen Hochschule Zürich (ETH) nachgehen und untersuchte im vergangenen Frühjahr über einen Zeitraum von sechs Monaten, wie Verschlüsselung bei Threema zum Einsatz kommt. Ihre Ergebnisse lagen der Neuen Zürcher Zeitung (NZZ) zuerst vor – und attestieren dem Messengerdienst sechs gravierende Schwachstellen, die sich in sieben Angriffen auf die von Threema verwendeten kryptografischen Protokolle in drei verschiedenen Bedrohungsmodellen zeigten.

Demnach habe ein Angreifer beispielsweise die Metadaten der Kommunikation mitlesen können – also herausfinden können, wer wann mit wem kommuniziert. „Wenn Angreifer in den Chat-Server von Threema eindringen konnten, was bei staatlichen Gruppen gut möglich ist, könnten sie gar Nachrichten löschen oder deren Reihenfolge ändern“, heißt es in dem Beitrag der NZZ.

Anzeige
Anzeige

Auch das Klonen eines Accounts – beispielsweise durch den Zugriff auf ein Smartphone und die Threema-App – ist der Studie zufolge, die mittlerweile auch unter breakingthe3ma.app verfügbar ist, möglich.

Das Konzept der Verschlüsselung weist grundlegende Schwächen auf, wird ETH-Professor Kenneth Paterson, der die Forschungsgruppe im Bereich angewandte Kryptografie leitete, von der NZZ zitiert. Demzufolge schneidet Threema besonders im Vergleich zum Konkurrenzdienst Signal schlecht ab: „Die Verschlüsselung von Threema hinkt mehrere Jahre hinterher.“

Anzeige
Anzeige

Threema reagiert: Daten waren nie in Gefahr

Threema reagierte prompt mit einer Stellungnahme auf die Veröffentlichung und wies darauf hin, dass „keines der Findings […] jemals nennenswerte Relevanz in der Praxis“ hatte. Realistisch seien die Angriffe demnach nicht: „Die meisten [Findings] gehen von umfassenden und realitätsfernen Vorbedingungen aus, die an sich schon weit folgenschwerere Konsequenzen hätten als das jeweilige Finding selbst.“

Auch im Gespräch mit der NZZ betonte Threema-Chef Martin Blatter die „akademische Natur“ der Erkenntnisse, mit den Schwachstellen habe zudem auf keinerlei Inhalte zugegriffen werden können: „Die Daten unserer Nutzer waren nie in Gefahr.“

Anzeige
Anzeige

Schwachstellen bereits beseitigt – alles gut? Alle vorgelegten Findings wurden „bereits berücksichtigt und gelten nicht mehr für Threemas gegenwärtiges Kommunikationsprotokoll ‚Ibex‘“, heißt es in der Threema-Stellungnahme. Ibex enthält nun auch das Konzept von Perfect Forward Secrecy für Chatnachrichten, mit dem frühere Nachrichten auch dann verschlüsselt sind, wenn der private Schlüssel entwendet wird.

Die Einführung dieses Protokolls war augenscheinlich schon lange zum zehnjährigen Jubiläum von Threema im Dezember 2022 geplant. „Allerdings wirkt die Einführung etwas überstürzt“, heißt es in der Einschätzung der NZZ. „Die verbesserte iPhone-App war erst ab Ende Dezember verfügbar. Zudem ist Perfect Forward Secrecy noch nicht standardmäßig aktiviert.“

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

NanoPolymer

Echt schwierig einzuordnen da ich die Angriffe hier auch nicht nachvollziehen kann.

Lediglich beim kopieren der ID sehe ich kein gravierendes Problem. Bei Angriffen wo ich physischen Zugriff auf das Gerät brauche bin ich immer erst mal skeptisch ob ich das wirklich als Risiko einordnen soll. Wenn da wer Zugriff auf das gesamte Gerät hat hat man echt andere Probleme.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige