ETH-Studie deckt Mängel aufIst Threema jetzt unsicher?
Statt Whatsapp benutzen viele die Schweizer Alternative. Jetzt wird bekannt, dass diese veraltete Sicherheitstechnologie verwendet hat. Unser Digitalredaktor sagt, ob Handlungsbedarf besteht.
Muss ich sofort etwas unternehmen?
Nein. Die ganze Debatte fusst auf einer vor allem akademischen (aber durchaus berechtigten) Kritik. Als Nutzerin oder Nutzer der App muss man nichts unternehmen – und schon gar nicht in Panik verfallen. Sie können also ganz entspannt weiterlesen.
Was ist denn passiert?
Forschende der ETH Zürich haben über Monate die Sicherheit des Schweizer Messengers Threema unter die Lupe genommen. Die Ergebnisse der Untersuchung haben sie vorab der NZZ zur Verfügung gestellt, und diese titelt nun: «Verschlüsselung hinkt Jahre hinterher». Die Forscher haben nämlich herausgefunden, dass bei Threema eine neue Verschlüsselungstechnologie, die etwa Konkurrent Signal seit 2014 nutzt, nicht eingesetzt wurde. Das wurde inzwischen aber korrigiert.
Aber das ist doch schlimm?
Jein. Für Threema ist das auf jeden Fall schlimm. Bei verschlüsselten Messengern und Sicherheitsthemen sind der gute Ruf und das Vertrauen der Kundschaft das A und O – gerade weil die kryptografischen Verfahren komplex sind, ist bei solchen Apps immer eine grosse Portion blindes Vertrauen dabei. Ein Ausrutscher, eine Unvorsichtigkeit oder eine Nachlässigkeit bei solchen Sicherheitsdiensten kann jahrelange Arbeit zunichtemachen. Für die Kundschaft dagegen ist die Sache bedeutend harmloser. Wie die NZZ schreibt, ist das Ausnutzen dieser Lücke ausgesprochen aufwendig, sodass man als Angreifer auf anderen Wegen leichter zum Ziel kommen kann. Der Threema-Chef bekräftigt gegenüber der NZZ, «die Daten der Nutzer waren nie in Gefahr» und «mit den aufgeführten Schwachstellen könnten Angreifer nicht an die Inhalte der Chats gelangen». Er wäre nicht der erste Firmenchef, der in so einer Situation erst mal Entwarnung gibt und dann später kleinlaut zurückkrebsen muss. Dennoch sieht es derzeit vor allem nach einem Imageschaden für die Firma und weniger nach einem Problem für die Kundschaft aus. Die komplette Replik von Threema gibt es hier.
Aber Threema muss jetzt sofort die Lücke schliessen und die App verbessern, oder?
Solche Meldungen klingen immer, als wäre alles gerade eben passiert und aufgeflogen. Tatsächlich läuft das mit Forschung rund um Sicherheitslücken deutlich gemächlicher. In der Regel funktioniert das so: Wenn jemand einen Sicherheitsmangel findet, wird als Erstes die betroffene Firma informiert. Die bekommt dann eine Frist, um das Problem zu beheben. Erst dann wird die Entdeckung publik gemacht. Schliesslich will man als seriöser Sicherheitsspezialist die Firma und ihre Kundschaft durch die sofortige Publikation ja nicht auf dem falschen Fuss erwischen und in Gefahr bringen. Natürlich gibt es auch schwarze Schafe, die sich nicht daran halten und gefundene Sicherheitslücken sofort publik machen oder an noch schwärzere Schafe verkaufen. Denn solche Sicherheitslücken sind Gold wert, wenn es darum geht, Personen, Firmen oder Staaten zu hacken. Um dem entgegenzuwirken, bezahlen viele Techfirmen Finderlohn, wenn man Sicherheitslücken meldet.
Threema hat das also alles längst repariert und verbessert?
Ja. Die Forscher der ETH haben Threema im letzten Oktober kontaktiert und über ihre Entdeckung informiert. Sie setzten Threema eine Frist von 90 Tagen, um zu reagieren. Heute nun haben sie ihre Entdeckung publiziert. Hier kann man sie nachlesen. Threema selbst will das Problem inzwischen behoben haben. Laut NZZ seien die Android App im November und die iPhone-App im Dezember entsprechend aktualisiert worden.
Ende gut, alles gut?
Nun ja, absolute Sicherheit gibt es nie. Ist ein Problem gefunden und behoben, taucht vielleicht schon bald das nächste auf. Das liegt in der Natur von Software. Da wird immer verbessert, repariert und eben auch nach Fehlern gesucht. Je offener und transparenter Firmen damit umgehen, desto besser. Wie tiefgreifend der Verlust des Vertrauens in Threema nun ist, werden erst die nächsten Tage, Wochen und Monate zeigen.
Fehler gefunden?Jetzt melden.
