Threema

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Threema

Basisdaten

Entwickler Threema GmbH[1]
Erscheinungsjahr 2012[2]
Aktuelle Version 5.6.1 (Android)
20. November 2024[3]

6.4.1 (iOS)
18. November 2024[4]
1.2.46 (Desktop)
29. Oktober 2024[5][6] 2.0 Beta 44 (Desktop)
12. November 2024[7][8]

Programmier­sprache Java (Android-Client), Swift und Objective-C (iOS-Client), JavaScript (Web Client), Python (Kommunikationsprotokoll)
Kategorie Instant Messaging, IP-Telefonie, Videotelefonie
Lizenz AGPLv3 (Apps, Web-Client)[9]
MIT (Kommunikationsprotokoll)[10]
proprietär (Server)
deutschsprachig ja
threema.ch

Threema (englische Aussprache: /ˈθɹiː.mə/) ist ein Ende-zu-Ende-verschlüsselter Schweizer Instant-Messaging-Dienst zur Nutzung auf Smartphones und Tablets. Die Software ist auf Sicherheit, Datenschutz und Datenvermeidung ausgelegt und erfordert im Gegensatz zu den meisten Konkurrenzprodukten für die Nutzung weder eine Telefonnummer noch sonstige personenbezogene Angaben.[11][12] Mit Threema OnPrem können Organisationen mit hohen Sicherheitsanforderungen Threema Work als Server selbst betreiben – getrennt von Threemas Infrastruktur.[13]

Der Name Threema ist vom Akronym EEEMA, kurz für End-to-End-Encrypting Messaging Application, abgeleitet, wobei die drei E durch den Begriff Three (englisch für drei) ersetzt wurden.[14][15]

Funktionsumfang

[Bearbeiten | Quelltext bearbeiten]

Die zugehörige Software ist kostenpflichtig und für Mobilgeräte mit den Betriebssystemen Android (ab Version 5.0)[16] und iOS (mit Funktionseinschränkungen ab Version 9 / vollständig ab Version 15)[17] verfügbar. Unter Windows Phone / Windows 10 Mobile ist Threema seit Juni 2020 nicht mehr benutzbar.[18][19] Über die Webanwendung «Threema Web» und seit 2021 über die Desktop-App[20] kann Threema auch am Desktop-Computer genutzt werden, wenn zusätzlich die Smartphone-App installiert wird.[21]

Mit Threema können Textnachrichten, Bilder, Videos, der eigene Standort und Sprachnachrichten versandt sowie Sprach- und Videoanrufe getätigt werden. Unter Android und iOS können ab Version 2.4 Dateien beliebiger Art mit bis zu 50 MB versendet werden.[22][23] Seit Januar 2015 gibt es auch die Möglichkeit, Umfragen innerhalb einer Konversation oder im Gruppenchat durchzuführen.[24]

Threema bietet Unterstützung für Android-Wear-Smartwatches (ab Version 2.0), Android Auto und kann in der Familie mit Google Play Family Library genutzt werden, wenn man es nach dem 2. Juli 2016 erworben hat.[25]

Am 15. Februar 2017 wurde Threema Web offiziell veröffentlicht. Damit können Nutzer der Android-App (ab Version 3.0) Nachrichten über den Computer versenden. Es erfolgt eine vollständige Synchronisation aller Nachrichten mit der Android-App. Auch Threema Web ist Freie Software.[26] Die Unterstützung für iOS folgte im Oktober 2018.[27]

Seit 2023 können sowohl mit der Android- wie auch mit der iOS-Version von Threema Gruppengespräche und -videotelefonate durchgeführt werden. Diese sind Ende-zu-Ende-verschlüsselt.

Threema wurde ursprünglich vom Schweizer Manuel Kasper mit seiner Kasper Systems GmbH erschaffen.[28] Gemeinsam mit den Software-Entwicklern Silvan Engeler und Martin Blatter gründete er am 11. März 2014 im Kanton Schwyz die Threema GmbH,[29] welche die Software weiterentwickelt und betreibt.[30] Geschäftsführender Gesellschafter war Martin Blatter.[31] Laut Aussage von Threema befinden sich alle Server des Dienstes in der Schweiz.[28][32]

Im Jahr 2018 bestand das Unternehmen aus 15 Mitarbeitern, wobei je etwa die Hälfte in Softwareentwicklung bzw. in Kommunikation und Marketing tätig waren.[33]

Zur Expansion in weitere Länder und Geschäftsfelder gab das Unternehmen im September 2020 bekannt, den deutschen Finanzinvestor Afinum gefunden zu haben.[34]

Seit dem 21. Dezember 2020 sind die Threema-Apps für Android und iOS sowie verschiedene Bibliotheken und Server-Komponenten[35] quelloffen.[36]

Seit dem 9. September 2024 sind die Gründer von Threema nicht mehr in der Geschäftsleitung des Unternehmens vertreten.[37]

Sicherheit ist einer der Entwicklungsschwerpunkte von Threema. So werden Nachrichten ausschliesslich Ende-zu-Ende-verschlüsselt verschickt.[28] Diese Aussage und die Wirksamkeit der dokumentierten Sicherheits- und Datenschutzmechanismen wurden bei externen Audits im November 2015,[38] im März 2019[39] und im Oktober 2020[40] bestätigt. Das Versenden der Nachrichten erfolgt über Schweizer Server[41] des in der Schweiz ansässigen Herstellers Threema GmbH. Die Kommunikation zwischen den Threema-Servern und dem Endgerät ist zudem durch eine Transportverschlüsselung gesichert.

Threema nutzt die quelloffene Programmbibliothek «NaCl» für Kommunikation und Verschlüsselung.[42] Es werden 256 Bit lange asymmetrische Schlüssel verwendet, die mittels Elliptische-Kurven-Kryptografie erzeugt werden und die laut Aussage des NIST mit 3072 Bit langen RSA-Schlüsseln vergleichbar seien.[43] Dieser Schlüssel wird benutzt, um für jede gesendete Nachricht einen einmaligen symmetrischen 256-Bit-Schlüssel zu erhalten. Zum endgültigen Verschlüsseln der Nachricht wird die Stromchiffre XSalsa20 genutzt. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt.[44] Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an «kryptographischen Füllbytes» werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.

Threema bietet ausserdem Perfect Forward Secrecy, für die Kommunikation zwischen dem Server und der App, sowie seit Dezember 2022 (manuell) bzw. seit August 2023 (automatisch) auch zwischen den per Ende-zu-Ende-Verschlüsselung geschützten Chats, sofern die APP-Versionen der kommunizierenden Personen auf einem aktuellen Stand sind.[45][46]

Bei Gruppenchats wird die Nachricht für jeden Empfänger separat verschlüsselt und einzeln zugestellt. Die Threema-Server können dadurch weder nachvollziehen, welche Gruppen es gibt, noch wer Mitglied in einer Gruppe ist. Medien werden dagegen verschlüsselt einmalig auf die Threema-Server hochgeladen. Der symmetrische Schlüssel zum Entschlüsseln des Mediums wird danach wie eine normale Nachricht an alle Gruppenmitglieder verschickt, welche diese entschlüsseln, das Medium herunterladen und danach die Datei entschlüsseln.[47]

Funktionen der Software

[Bearbeiten | Quelltext bearbeiten]

Sicherheitsstufen

[Bearbeiten | Quelltext bearbeiten]
Farbcode Sicherheit
•• Geringe Sicherheit; keine Prüfung, ob mit dem beabsichtigten Kontakt kommuniziert wird
•• Kontakt im Adressbuch gefunden; nicht über QR-Code verifiziert
••• Kontakt über QR-Code verifiziert
••• Verifizierungsstufe Threema Work. Blaue Punkte: interner Kontakt

Beim ersten Start von Threema wird der Nutzer aufgefordert, seinen Finger auf dem Touchscreen zu bewegen, um Zufallsdaten für die spätere Verschlüsselung zu sammeln. Seit Februar 2015 werden die Bewegungen des Geräts zusätzlich beim Erstellen einer ID miteinbezogen.[48] Anschliessend kann die Threema-ID optional mit der eigenen Telefonnummer und E-Mail-Adresse verknüpft werden. Neben jedem Kontakt befindet sich eine Sicherheitsstufe, die durch drei Punkte dargestellt wird. Es zeigt an, wie sicher der Nutzer sein kann, dass der gespeicherte öffentliche Schlüssel des Kontakts tatsächlich zu diesem gehört. Wird dieser öffentliche Schlüssel nicht geprüft, können Man-in-the-Middle-Angriffe nicht ausgeschlossen werden.

Es gibt folgende drei Sicherheitsstufen:

  1. Die Threema-ID und der öffentliche Schlüssel wurden durch den Server übertragen. Es gibt keine Übereinstimmung der Daten mit dem lokalen Adressbuch, sodass der Nutzer ohne weitere (externe oder indirekte) Informationen keine Bestätigung hat, mit jener Person zu kommunizieren, die sie vorgibt zu sein.
  2. Die Telefonnummer oder E-Mail-Adresse des Kontakts wurde im lokalen Adressbuch gefunden. Der Nutzer kann davon ausgehen, mit dem effektiven Inhaber der Telefonnummer resp. Mail-Adresse zu kommunizieren – und somit mit der gewünschten Person, sofern dessen Nummer oder Mail-Adresse nicht gehackt wurden.
  3. Die ID und der öffentliche Schlüssel wurden durch das Scannen des QR-Codes des Kontakts manuell überprüft. Der Nutzer kann somit davon ausgehen, mit der gewünschten Person zu kommunizieren. Dies stellt die höchste Sicherheitsstufe dar.

Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer[49] ist in den aktuellen Versionen für alle Betriebssysteme verfügbar. In den Gruppenchats hat der Nutzer, der die Gruppe ursprünglich erstellt hat, besondere Rechte («Admin»). Er alleine darf das Profilbild und den Gruppennamen festlegen. Personen können zu einer Gruppe (vom Administrator) hinzugefügt und ab Version 2.3 für Android und iOS nachträglich wieder entfernt werden. Des Weiteren gibt es bei der Android-Version eine Funktion, Kontakte zu Verteilerlisten hinzuzufügen.

Es gibt keinen Online-Status der Kontakte, und es ist nicht möglich, einen persönlichen Statustext zu definieren. Man kann jedoch den «Gelesen»-Status der Nachrichten in den Einstellungen aktivieren oder deaktivieren. In Gruppenchats gibt es keine «Gelesen»-Anzeige.

Sicherung von Daten

[Bearbeiten | Quelltext bearbeiten]

Da alle Daten ausschliesslich lokal auf dem Gerät gespeichert werden, war es früher nicht möglich, seine Threema-ID, Chatverläufe und restliche Daten auf ein anderes Gerät zu übertragen, ohne dass man ein Backup seiner Daten erstellt hat. Daher wird von Threema ausdrücklich empfohlen, eine Sicherheitskopie («backup») zu erstellen, da ansonsten – beispielsweise beim Verlust des Gerätes – keine Möglichkeit besteht, die Threema-ID (mit dem zugehörigen privaten Schlüssel) wiederherzustellen.[50] Bei der Deinstallation der Android-App werden, wie es bei Android normal ist,[51] alle Daten aus dem internen Speicher gelöscht, d. h., sowohl die Threema-ID mit dem privaten Schlüssel als auch die restlichen Daten wie Chatverläufe und Medien sind nach der Deinstallation entfernt. Unabhängig davon bietet Threema allerdings ein separates Verzeichnis, in welchem die (auf Wunsch des Benutzers) entschlüsselten Medien und die Datensicherungen abgespeichert werden.

Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. auf Wunsch auch auf einem gewählten Server des Nutzers,[52] siehe den Abschnitt zu «Threema Safe».

Bei der iOS-Version bleibt bei der Deinstallation die Threema-ID mit dem privaten Schlüssel erhalten, da dieser mit in das iCloud-Backup eingeht. Der Schlüssel wird vorher allerdings mit einem einmaligen Schlüssel des Gerätes (dem UID-Key) verschlüsselt, sodass er nur auf demselben Gerät wiederhergestellt werden kann. Die Kontakte, Nachrichten und Medien werden bei einer Deinstallation allerdings gelöscht.[53]

Widerrufen der Threema-ID

[Bearbeiten | Quelltext bearbeiten]

Über die Website des Anbieters[54] lassen sich Threema-IDs widerrufen. Hierzu wird ein Widerrufspasswort benötigt das zuvor in App festgelegt werden muss. Dieses kann seit der Version 2.20 für iOS bzw. Version 2.21 für Android festgelegt werden.[55]

Über eine vom Hersteller vorgegebene Webseite oder eine selbstgehostete Instanz der quelloffenen Threema Web-Anwendung können Nutzer Threema auch über den Desktop (oder andere Geräte mit Browsern, die die Systemvoraussetzungen erfüllen) nutzen. Durch Einscannen eines speziellen QR-Codes auf der Webseite wird eine sogenannte Sitzung erstellt, und der benutzte Webbrowser und Threema App verbinden sich über WebRTC/SaltyRTC miteinander.[56] Durch WebRTC wird via ICE mit Threema-eigenen STUN- und TURN-Servern eine möglichst direkte Verbindung zwischen beiden Geräten hergestellt, d. h., befinden sich beide Geräte in demselben Netzwerk, werden die Daten nur in diesem Netzwerk ausgetauscht. Durch das eigens dafür entwickelte Protokoll SaltyRTC, welches auf WebRTC «aufsetzt», werden die ausgetauschten Daten zusätzlich (zur TLS-basierten Verschlüsselung von WebRTC) mit der NaCl-Verschlüsselungsbibliothek Ende-zu-Ende-verschlüsselt.[57] Dazu wird SaltyRTC als Signalling-Protokoll[58] und ein von Threema-betriebener SaltyRTC-Server als Signalling-Server eingesetzt, um Metadaten, die für den Verbindungsaufbau benötigt werden, auszutauschen. Im Gegensatz zu «purem» WebRTC muss diesem SaltyRTC-Server für eine sichere Verbindungsherstellung nicht vertraut werden, was durch einen entsprechenden (für die Sitzung gültigen) Schlüssel realisiert wird[59], der durch «Übertragung» durch den QR-Code beiden Geräten bekannt ist.

Nach der Verbindungsherstellung kann der Nutzer Nachrichten versenden und empfangen, Gruppen verwalten und Handy-Kontakte (inklusive Telefonnummern und E-Mail-Adresse) auf dem Desktop anzeigen.[60] Die Erstellung oder Teilnahme an Umfragen ist derzeit (Stand: Februar 2017) nicht möglich. Um Sitzungen schneller wiederherstellen zu können, kann der Nutzer vor Einscannen des QR-Codes ein Passwort festlegen, mit dem die Sitzung mit der NaCl verschlüsselt,[57] lokal im Browser (im Local Storage) gespeichert und so durch Eingabe des Passworts beim nächsten Besuch der Seite entschlüsselt und wiederhergestellt werden kann.[61] Dabei wird mittels eines weiteren Threema-Servers ein Push (bei Android via Google Cloud Messaging) an die Threema-App gesandt, welcher diese aufweckt und so die Wiederherstellung der Sitzung initiiert. Die gespeicherte Sitzung kann zudem (ohne Passworteingabe) im Browser gelöscht werden.

Die Nachrichten werden bei Threema Web jeweils vom Handy verarbeitet, an den Web Client gesendet bzw. im Web Client (vom Nutzer) entgegengenommen und über die Threema-App versandt. Ein Betrieb des Web Clients ohne eine verbundene Threema-App ist somit nicht möglich.

Threema Web ist mit der Android-App ab der Version 3.0 sowie der iOS-App ab Version 4.0[27] nutzbar. Als Browser werden aktuelle Browser-Versionen empfohlen, wobei Safari nur mit der iOS-Version der App funktioniert.[62]

Am 15. Mai 2017 veröffentlichte Threema Updates, die für alle unterstützen Plattformen Profilbilder einführten, die vom Nutzer für seine eigene Threema-ID selbst festgelegt werden können.[63] Die Profilbilder können optional gesetzt werden und werden ausschliesslich Ende-zu-Ende-verschlüsselt beim Nachrichtenversand an andere Nutzer gesendet. Der Nutzer kann dabei bestimmen, ob das Profilbild an alle Nutzer, denen er Nachrichten sendet, nur an ausgewählte Kontakte oder gar nicht versandt werden soll. Wenn letzteres gewählt wird, sieht man somit nur selbst sein Profilbild. Als Empfänger des Profilbildes kann der Nutzer ebenfalls entscheiden, ob die selbstgewählten Profilbilder angezeigt werden sollen (entspricht der Voreinstellung) oder nicht, wodurch – wie zuvor – die evtl. eigens festgelegte Kontaktbilder benutzt werden.

Am 7. August 2017 startete Threema einen öffentlichen Beta-Test für iOS und Android-Nutzer der App, mit dem VoIP-Anrufe ermöglicht werden. Zum Verbindungsaufbau werden dabei «normale» Threema-Nachrichten benutzt, d. h., es wird nur die Threema-ID zur Identifizierung der Teilnehmer benutzt.[64] Damit entfällt eine zwangsläufige Angabe der Telefonnummer, wie bei anderen Anbietern üblich. Für die Audio-Kodierung wird eine konstante Bitrate (mit dem Opus-Codec[57]) verwendet, um zu verhindern, dass Angreifer aufgrund der variablen Grösse des Datenstroms (bei variabler Bitrate) Inhalte erraten können.[65][66] Zur Verschlüsselung selbst wird WebRTC genutzt, wobei (D)TLS 1.2 und festgelegte Ciphersuites verwendet werden. Threema-Anrufe bieten auch auf Ende-zu-Ende-Ebene Forward Secrecy.[57]

Ist der angerufene und anrufende Kontakt über einen QR-Code verifiziert (grüne Vertrauensstufe), wird die Verbindung, wenn möglich, standardmässig ebenfalls direkt von Gerät zu Gerät (Peer-to-Peer) aufgebaut. Da dabei zwangsläufig die IP-Adresse den Gesprächsteilnehmern gegenseitig bekannt wird, kann dieses Verhalten in den Einstellungen deaktiviert werden, womit alle Anrufe über Threema-Server geleitet werden. In diesem Fall werden die IP-Adressen den Gesprächsteilnehmern nicht bekannt.

Die Anruf-Funktion lässt sich vollständig deaktivieren. Am 14. September 2017 veröffentlichte Threema die finalen Updates für die iOS- und Android-Versionen der App, die dieses Feature beinhalteten.

Am 13. Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen «Threema Safe», zunächst nur für die Android-Version.[52] Unterstützung für die iOS-Version wurde am 5. Februar 2019 mit Version 4.1 implementiert.[67] Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte.[68] Das neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch.[69] Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmässig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert. Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Ausserdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren.[70][71] Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein.[72]

Ausserdem kann das Backup ebenfalls auf einem eigenen Server, der WebDAV unterstützt, gespeichert werden.[73] So kann es derzeit beispielsweise mit OwnCloud/Nextcloud[74] oder mit einer inoffiziellen, quelloffenen Server-Implementierung in der Programmiersprache Rust genutzt werden.[75]

Es sollte beachtet werden, dass das Backup nicht die Chatverläufe und Medien sichert und so gewöhnlich auch nur einige Kilobyte gross ist. Die Möglichkeit des lokalen Datenbackups in einer ZIP-Datei (unter Android), sowie des alleinigen Backups der eigenen ID bleibt dabei erhalten.

Am 9. April 2020 wurde eine Betaversion für Videoanrufe veröffentlicht.[76] Am 10. August 2020 sind die finalen Updates für die vollständig Ende-zu-Ende verschlüsselten Videoanrufe erschienen.[77]

Da sich die Server von Threema nach Angaben des Herstellers ausschliesslich in der Schweiz befinden, unterliegt das Unternehmen unter anderem dem schweizerischen Bundesgesetz über den Datenschutz[78] und der Datenschutz-Grundverordnung.[41] Das Rechenzentrum ist ausserdem ISO 27001 zertifiziert.[79]

Threema bietet an, das eigene Adressbuch mit den Threema-Servern abzugleichen. Stimmt die Telefonnummer oder E-Mail-Adresse eines Kontakts im Adressbuch mit der Threema-Datenbank überein, wird die Kontakt-ID automatisch in die Threema-Kontaktliste eingefügt. Anstatt das lokale Adressbuch auf einen Server hochzuladen, wie es andere Messaging-Dienste praktizieren, werden von den Kontaktdaten (E-Mail-Adresse und Telefonnummer) nur Prüfsummenwerte (SHA-256-HMAC mit einem statischen Schlüssel) zum Server gesendet.[80] Wegen der geringen Anzahl der möglichen Zahlenkombinationen einer Telefonnummer kann die zu einer Prüfsumme gehörende Telefonnummer allerdings leicht per Brute-Force ermittelt werden.[81] Adressbuchdaten werden laut dem Hersteller nur im Arbeitsspeicher des Servers gehalten und nach der Prüfung auf bekannte Kontakte wieder gelöscht.

Beim optionalen Verknüpfen der eigenen Threema-ID mit der E-Mail-Adresse oder Telefonnummer wird nur der SHA-256-HMAC auf dem Server gespeichert. Die Telefonnummern wurden dagegen bis 2017 im Klartext gespeichert.[78][82] Als Grund dafür wurde von Mitarbeitern die leichte Angriffsmöglichkeit mit Brute-Force-Angriffen genannt.[83] Seit 2018 werden allerdings auch die Telefonnummern beim Upload gehasht gespeichert.[41] Die Verknüpfung beider Daten zur Threema-ID kann zudem jederzeit entfernt werden. Die App kann so vollkommen anonym und ohne Angabe personenbezogener Daten benutzt werden.

Gruppennachrichten werden an jeden Empfänger einzeln versandt, um zu verhindern, dass der Server die Zusammensetzung der Gruppen erfährt.

Die Stiftung Warentest bewertete Threema im Februar 2014 als einzige von fünf getesteten Messenger-Apps als unkritisch in Sachen Datenschutz.[84]

Die auf dem Gerät gespeicherten Daten werden verschlüsselt gespeichert und können bei Android optional mit einem Passwort versehen werden.[85]

Seit Ende 2016 veröffentlicht die Threema GmbH einen jährlichen Transparenzbericht, in dem sie Behördenanfragen offenlegt und die Art der in diesen Anfragen mitteilbare Daten erläutert.[82][86]

Im Sommer 2013 und Frühjahr 2014 gehörte Threema zeitweise zu den beliebtesten kostenpflichtigen Apps im deutschsprachigen Raum.[87][88] Im Zuge des «iTunes Rewind» wurde Threema zu der meistverkauften iPhone-App des Jahres 2014 gekürt.[89] Am 21. Februar 2014 verdoppelte Threema die Anzahl seiner Nutzer innerhalb eines Tages auf 400.000.[90] Grund dafür war die Übernahme von WhatsApp durch Facebook. Von Februar bis April versiebenfachte sich die Anzahl der Nutzer auf mehr als 2,8 Millionen.[91][92] Im Dezember 2014 lag sie bei 3,2 Millionen Nutzern.[93] Bis Juni 2015 verzeichnete Threema 3,5 Millionen Käufe und im Januar 2018 nutzten rund 4,5 Mio. Menschen Threema.[94] Im Januar 2020 waren es bereits 8 Millionen Nutzer.[95]

Nachdem WhatsApp im Januar 2021 angekündigt hatte, in Zukunft Daten an den Mutterkonzern Facebook weiterzugeben, wurde ein massenhaftes Abwandern zu anderen Messenger-Apps prophezeit.[96][97] Neben Signal[98] verzeichnete auch Threema einen deutlichen Anstieg an Neuregistrierungen.[99][100]

Stand Januar 2021 nutzen weltweit über 9 Millionen Personen Threema, davon 2 Millionen Nutzer «Threema Work» in über 5000 Unternehmen bzw. Institutionen.[101] Am 1. Juni 2021 hat Threema auf Twitter verkündet, dass sie jetzt über 10 Mio. aktive Nutzer haben.[102] Im Blogeintrag anlässlich des zehnten Jahrestages der Veröffentlichung der App wird Ende 2022 die Zahl von 11 Millionen Privatnutzern genannt.[103]

Da der Quelltext der Anwendung lange nicht veröffentlicht wurde,[28][104] konnte man die Entwicklerangaben zu den Funktionen und der Sicherheit des Programms lange nur mittels Reverse-Engineering überprüfen,[105] was der Hersteller in seinen Lizenzbedingungen nicht explizit ausschliesst und was auch bereits durchgeführt wurde.[47] Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden,[106] sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden. Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess.[107] Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden.[108][109] 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt.[39] Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen («low to medium risk»), merkten allerdings an, dass diese schnell behoben wurden. Zusätzlich bestätigten sie, dass die in dem Whitepaper und auf der Webseite von Threema getätigten Aussagen korrekt sind und attestierten, dass Threemas «Sicherheits- und Privatsphärenfeatures intakt und effektiv» («[Threema’s] security and privacy features are intact and effective.») seien.[110] Bei dem seit Ende 2020 veröffentlichten Quellcode ist sogar nachvollziehbare Herstellung der ausführbaren Dateien gegeben, so dass die Sicherheit von beliebigen fachlich versierten Personen oder Unternehmen geprüft werden kann, man also nicht mehr gemäss dem Autoritätsargument Audit-Dienstleistern vertrauen muss. Vor Veröffentlichung des Quellcodes liess Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen. Im Ergebnis wurden einige kleinere Fehler behoben, und Cure53 bestätigte eine hohe Codequalität und beschrieb die «Struktur des Projekts» als «aussergewöhnlich solide».

Der Hersteller bietet zusätzlich mit seiner Validation-Logging-Funktion die Möglichkeit an, verschlüsselte Nachrichten auf ihre Verschlüsselungsgüte hin zu untersuchen. Ob die Nachrichten aber auch tatsächlich genau so übertragen werden, lässt sich nicht eindeutig ermitteln, da der Kommunikationsaustausch zwischen den Teilnehmern über eine TLS-verschlüsselte Verbindung mit dem Server des Herstellers erfolgt. Die Validierung zeigt somit lediglich, ob die NaCl-Bibliothek korrekt angewendet wurde.[111]

Im August 2013 wurde bekannt, dass die verschlüsselt versendeten Nachrichten unter iOS im Klartext auf dem Speicher des Gerätes gespeichert werden, sofern das verwendete Gerät nicht über eine Codesperre geschützt ist.[112] Diese auf dem Gerätespeicher befindlichen Daten werden bei Aktivierung der Datensicherung und bei Aktivierung des iCloud-Backups ebenfalls in die iCloud hochgeladen. Die Daten werden jedoch, zumindest beim iCloud-Backup, zusätzlich durch die eindeutige Geräte-ID (UID) des Gerätes verschlüsselt.[113]

Im Oktober 2022 informierte eine Gruppe von ETH-Kryptologen Threema über aufgefundene Schwachstellen. Diese wurden behoben und von den Forschern nach 90 Tagen veröffentlicht.[114][115]

Lösungen für Unternehmen

[Bearbeiten | Quelltext bearbeiten]

Threema ist laut Anbieter auf die private Nutzung «zugeschnitten».[116] Dies scheint eine geschäftliche Nutzung nicht auszuschliessen. Angeboten für geschäftliche Nutzung werden folgende Produkte:

Threema Gateway

[Bearbeiten | Quelltext bearbeiten]

Seit dem 20. März 2015 bietet Threema den Dienst «Threema Gateway» für Geschäftskunden an. Ähnlich einem SMS-Gatewaydienst lassen sich damit Nachrichten übermitteln und empfangen. Bei Threema werden diese allerdings verschlüsselt zugestellt. Anwendungsfälle sind nach eigenen Angaben beispielsweise der sichere Versand von mTAN, eTAN oder OTP, Alarmierungen für Blaulichtdienste, sicherer Passwortaustausch, sicherer Newskanal für interne Kommunikation oder eine vertrauliche Kundenkommunikation. Zur Nutzung des Gateways ist eine Registrierung und der Erhalt eines API-Keys erforderlich, wobei zwischen einer Variante ohne Ende-zu-Ende-Verschlüsselung und – mit Aufpreis bei der Einrichtungsgebühr – mit Ende-zu-Ende-Verschlüsselung gewählt werden kann.[117] Eine selbst festgelegte (Gateway-)Threema-ID ist im Angebot mit enthalten, wobei die ID zwingenderweise immer mit einem Stern (*) am Anfang der ID beginnt, um sie von «normalen» Threema-IDs unterscheiden zu können.[118] Die Software zur Verschlüsselung der Nachrichten ist Open Source und kann zur vollständigen Ende-zu-Ende-Verschlüsselung genutzt werden. Die Einbindung der Funktion ist mittels einer API möglich. Ein Software Development Kit in den Sprachen PHP, Python und Java, lizenziert unter der MIT-Lizenz,[119][120][121] wird von Threema dafür bereitgestellt.[122]

Seit dem 8. Juni 2015 kann man das Gateway ausserdem mit begrenzter Nachrichtenanzahl gratis über ein Web-Interface testen und ein Profilbild für die eigene Threema-ID festlegen.[123]

Am 24. August 2015 wurde die Funktion eingeführt, Bilder und andere Dateien (mit einer Maximalgrösse von 20 MB) über das Gateway zu versenden.[124]

Seit dem 25. Mai 2016 bietet Threema eine spezielle Version der Threema App für Unternehmen an („Threema Work“), welche sich zusätzlich zur „normalen“ auf Privatkunden ausgerichteten Version der App installieren und auch über MDM-Systeme verteilen lässt.[125] Diese Version der App kann seit November 2016 auch über Reseller vertrieben werden.[126]

Anfang 2017 gab Threema auf Twitter bekannt, dass eines der grössten Krankenhäuser der Niederlande (das Universitätsklinikum Academic Medical Center) Threema Work benutzt.[127] Auch Daimler setzt Threema Work als „sichere Chat-Lösung“ ein.[128][129]

Anfang Dezember 2017 aktualisierte Threema die Management-Weboberfläche, welche es Administratoren nun auch erlaubt, Threema ohne ein spezielles MDM-System zu konfigurieren. Ausserdem können grundlegende Nutzungsstatistiken (Betriebssystemversion, Nutzeranzahl, …) angezeigt werden.[130] Gleichzeitig wurde das Produktportfolio vereinfacht, so dass es, ausser für NGOs und Bildungsinstitutionen[131], nur noch Angebote mit periodischer Zahlung gibt. Es wurde stattdessen eine kostenlose Testphase eingeführt.[132]

Am 3. April 2018 wurde mit Threema Education eine preisvergünstigte Edition von Threema Work für Bildungseinrichtungen veröffentlicht.[133] Kurz nach Veröffentlichung wurde das Preismodell geändert, sodass bei Threema Education, im Gegensatz zu Threema Work, nur noch eine einmalige Zahlung benötigt wird und keine wiederkehrenden Kosten entstehen.[134]

Anfang 2019 gab Threema bekannt, dass die Schweizer Bundesbehörden Threema Work zur internen Kommunikation nutzen werden.[135] Am 13. Juni 2019 folgte die Bekanntgabe, dass Bosch Threema Work benutzt.[136] Ab April 2020 wurden Lizenzen für Lehrkräfte des Landes Baden-Württemberg kostenlos und freiwillig zur dienstlichen Kommunikation freigegeben.[137]

Anfang 2022 gab auch die Schweizer Armee bekannt, dass zukünftig für die dienstliche Kommunikation ausschliesslich Threema verwendet werden soll. Als Grund für die Abkehr von WhatsApp und anderen Messenger-Apps nennt die Armee die Faktoren Sicherheit und Anonymität. Es handelt sich dabei allerdings um ein zeitlich befristetes Pilotprojekt, denn bei einem institutionalisierten Einsatz müsste der Schweizer Bund eine Ausschreibung vornehmen, auf die sich auch andere Anbieter bewerben könnten.[138]

Threema Broadcast

[Bearbeiten | Quelltext bearbeiten]

Auf einer Mercedes-Veranstaltung im April 2017 wurde das Beta-Projekt „Threema Broadcast“ vorgestellt. Dies sei zur Verteilung „periodische Information“ an „grössere Nutzergruppen“ gedacht und bilde mit den zwei anderen Produkten die Threema Business Solutions.[139] Offiziell vorgestellt wurde das Produkt am 9. August 2018.[140]

Mit Threema Broadcast können Feeds (ähnlich wie öffentliche Newsletter), geschlossene Verteilerlisten (um eine feste Gruppe an Kontakten zu erreichen) und Chatbots erstellt werden, sowie spezielle (zentralisierte) Gruppenchats verwaltet und moderiert werden.[141] Die Aufzeichnung/Verwaltung eines Gruppenchats erfolgt dabei durch eine im Gruppenchat vorhandene Broadcast-ID, die auch den Gruppenadmin darstellt. Ob die Nachrichten von dieser ID aufgezeichnet werden, lässt sich durch alle Gruppenmitglieder abfragen.[142] Das Angebot ist hauptsächlich für „Top-Down-Kommunikation“ ausgelegt, z. B. zum Versenden von Newslettern oder Beantworten von Kundenfragen.[143]

Die Verwaltung erfolgt über ein Webinterface und ist – im Vergleich zur Threema Gateway mit der SDK-Methode – nicht Ende-zu-Ende-verschlüsselt. Stattdessen werden die Nachrichten zentral auf den Threema-Servern verwaltet und verschlüsselt. Für den Nutzer funktioniert es ähnlich wie Threema Gateway. So sind beispielsweise Threema Broadcast IDs auch an einem Stern (*) am Anfang der ID erkennbar, wobei sich die ID standardmässig mit „BC“ fortsetzt, allerdings kostenpflichtig ebenfalls frei gewählt werden kann.[144] Es kann einzeln in verschiedenen Preispaketen – je nach Nutzeranzahl – erworben werden, oder mit Threema Work oder Threema Education, in dem es mit enthalten ist, genutzt werden.

Neben der offiziellen Support-Webseite existiert ein deutschsprachiges Threema-Forum. Dort ist seit Oktober 2015 auch das offizielle Support-Team von Threema aktiv.[145]

Threema in Film und Fernsehen

[Bearbeiten | Quelltext bearbeiten]

Threema wird in der Amazon-Serie „The Terminal List – Die Abschussliste“ in Folge 2 in Minute 22:53 als sicherer Instant Messenger anstelle von WhatsApp empfohlen.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Die Apps der Threema GmbH. In: Google Play. Abgerufen am 25. Januar 2021.
  2. threema.ch.
  3. Threema – Änderungsprotokoll für Android. Abgerufen am 20. November 2024.
  4. Threema – Änderungsprotokoll für iOS. Abgerufen am 20. November 2024.
  5. Threema – Änderungsprotokol für Desktop. Abgerufen am 20. November 2024.
  6. Ohne Browser 1am Computer chatten. Abgerufen am 30. Dezember 2022.
  7. Threema – Änderungsprotokol für Desktop MultiDevice. Abgerufen am 20. November 2024.
  8. Threema für iOS: Unabhängig vom Smartphone am Computer chatten. Abgerufen am 18. November 2024.
  9. Threema Web auf GitHub. Abgerufen am 30. Januar 2020 (englisch).
  10. App Remote Protocol auf GitHub. Abgerufen am 30. Januar 2020 (englisch).
  11. Diese Messenger sind sicherer als verschlüsselte E-Mails. 13. Mai 2018, abgerufen am 20. März 2020.
  12. SECURE MESSAGING APPS COMPARISON. Abgerufen am 23. März 2020 (englisch).
  13. Selbstgehostetes Enterprise Messaging. Abgerufen am 2. September 2021.
  14. Woher kommt der Name? Threema GmbH, abgerufen am 4. November 2014.
  15. Threema. Der meistverkaufte sichere Messenger. (PDF) Threema GmbH, abgerufen am 31. Januar 2017.
  16. Welche Android-Version wird vorausgesetzt? – Threema. Abgerufen am 14. März 2020.
  17. Welche iOS-Versionen werden unterstützt? – Threema. Abgerufen am 28. September 2022.
  18. Threema wird im März 2020 aus dem Windows Store entfernt. In: www.microsoft.com. Abgerufen am 15. März 2020.
  19. threema.ch
  20. Ohne Browser am Computer chatten. In: Threema Blog. Abgerufen am 25. Mai 2022.
  21. Threema Web. Abgerufen am 23. März 2020.
  22. Beliebige Dateien sicher versenden: Jetzt neu bei Threema. Threema GmbH, abgerufen am 14. Juli 2015.
  23. Wie kann ich eine Datei verschicken? – Threema. Abgerufen am 20. September 2017.
  24. Wie erstelle ich eine Umfrage? Threema GmbH, abgerufen am 18. November 2015.
  25. Threema Blog: Grosses Update für Android 9. Dezember 2014.
  26. Threema Web. Der Web-Client für Threema ist da. Threema GmbH, 15. Februar 2017, abgerufen am 15. Februar 2017.
  27. a b Threema für iOS: Web-Client und vieles mehr. 29. Oktober 2018, abgerufen am 14. Dezember 2018.
  28. a b c d Patrick Beuth: Eine App, um die NSA zu ärgern. In: Die Zeit. 14. August 2013, abgerufen am 4. November 2014.
  29. Staatssekretariat für Wirtschaft SECO: Handelsregister, Neueintragungen. In: Schweizerisches Handelsamtsblatt. 17. März 2014, abgerufen am 13. Oktober 2024.
  30. Kontakt. Threema GmbH, abgerufen am 4. November 2014.
  31. Rafaela Roth: Der Mann, der die Camouflage-App der Schweizer Armee entwickelte. In: Neue Zürcher Zeitung. 8. Januar 2022, abgerufen am 13. Oktober 2024.
  32. Wo befinden sich die Server? Threema GmbH, abgerufen am 4. November 2014.
  33. Niklas Hintermayer: Verschlüsselte Botschaften. Forbes.at, 7. Januar 2019, abgerufen am 17. Januar 2019.
  34. Schweizer Messenger Threema findet Investoren und wird Open Source – HZ. Abgerufen am 7. September 2020.
  35. Open Source – Threema. Abgerufen am 19. Januar 2021.
  36. Heise: Threema-Apps sind nun komplett quelloffen, abgerufen am 21. Dezember 2020
  37. Bundesamt für Justiz (BJ): Mutation Threema GmbH, Freienbach. In: Schweizerisches Handelsamtsblatt. 12. September 2024, abgerufen am 13. Oktober 2024.
  38. External Audit – Security Statement. (PDF) 2. November 2015, abgerufen am 13. Januar 2015 (englisch).
  39. a b Neuer Threema-Audit. 28. März 2019, abgerufen am 28. März 2019.
  40. Pentest- & Audit-Report Threema Mobile Apps 10.2020. (PDF) 26. November 2020, abgerufen am 21. Dezember 2020 (englisch).
  41. a b c Datenschutzerklärung – Threema App. 3. Juli 2018, abgerufen am 10. Februar 2019.
  42. threema.ch, 1. März 2014: Threema Encryption Validation (englisch) (Memento vom 25. November 2018 im Internet Archive)
  43. NSA, 15. Januar 2009: The Case for Elliptic Curve Cryptography (Memento vom 29. Mai 2015 im Internet Archive) (englisch).
  44. Teltarif.de, 2. Oktober 2013, Hans-Georg Kluge: Erfahrungsbericht: Threema sichert Chats mit Verschlüsselung ab.
  45. https://threema.ch/de/blog/posts/ibex-de
  46. https://threema.ch/de/blog/posts/sicherheitsbeweis-ibex
  47. a b Hristo Dimitrov, Jan Laan, Guido Pineda: Threema security assessment (Memento vom 3. März 2014 im Internet Archive) (PDF, englisch).
  48. Threema Blog: iOS Update 2.1.1 11. Februar 2015.
  49. Threema FAQ Gruppenchat. In: threema.ch. Abgerufen am 28. Januar 2021.
  50. Threema, FAQ – Wieso ist es wichtig, dass ich ein Backup meiner ID erstelle?
  51. Android, developer.android.com
  52. a b Threema Safe: Die anonyme Backup-Lösung für Ihre wichtigsten Threema-Daten. In: Threema Blog. 13. Dezember 2018, abgerufen am 14. Dezember 2018.
  53. Threema, FAQ – Warum erhalte ich keine oder verzögerte Push-Benachrichtigungen?
  54. myid.threema.ch
  55. Ronald Eikenberg: Threema zerstört Account auf Wunsch. In: heise.de. 30. März 2015, abgerufen am 11. Januar 2023.
  56. Threema Web – Threema. Abgerufen am 16. Februar 2017.
  57. a b c d Threema Web Whitepaper. 15. Februar 2017, abgerufen am 16. Februar 2017 (englisch).
  58. Why SaltyRTC? Abgerufen am 16. Februar 2017 (englisch).
  59. GitHub – saltyrtc/saltyrtc-client-js: SaltyRTC JavaScript implementation. Abgerufen am 16. Februar 2017 (englisch).
  60. Welche Funktionen bietet Threema Web? – Threema. Abgerufen am 16. Februar 2017.
  61. Was ist eine Sitzung und wozu dient das Sitzungspasswort? – Threema. Abgerufen am 16. Februar 2017.
  62. Welche Systemvoraussetzungen gelten für Threema Web? – Threema. Abgerufen am 16. Februar 2017.
  63. Profilbilder nach Threema-Art. 15. Mai 2017, abgerufen am 16. Mai 2017.
  64. Threema-Anrufe – Threema. Threema GmbH, abgerufen am 6. Dezember 2017.
  65. Threema-Anrufe: öffentlicher Betatest. 7. August 2017, abgerufen am 7. August 2017.
  66. Threema kann jetzt verschlüsselte Sprachanrufe: Entwickler bitten um Unterstützung beim Beta-Testen. In: heise online. 7. August 2017, abgerufen am 7. August 2017.
  67. Threema Safe für iOS. In: Threema Blog. 5. Februar 2019, abgerufen am 10. Februar 2019.
  68. Wo ist «Android Backup»? In: Threema FAQ. Abgerufen am 14. Dezember 2018.
  69. Welche Daten sind in Threema Safe-Backups enthalten? In: Threema FAQ. Abgerufen am 14. Dezember 2018.
  70. Threema, Cryptography Whitepaper (englisch)
  71. Was macht Threema Safe sicher? Threema-FAQ, abgerufen am 14. Dezember 2018.
  72. Messenger-App: Threema führt neue Back-up-Lösung ein. In: Spiegel Online. 14. Dezember 2018 (spiegel.de [abgerufen am 14. Dezember 2018]).
  73. Wie kann ich Threema Safe-Backups auf einem eigenen Server speichern? In: Threema-FAQ. Abgerufen am 14. Dezember 2018.
  74. Threema Safe mit Nextcloud nutzen. Threema-Forum, 14. Dezember 2018, abgerufen am 14. Dezember 2018.
  75. Danilo Bargen: Sekurŝranko, an efficient and memory-safe Threema Safe server implementation in Rust.: dbrgn/sekursranko. 14. Dezember 2018, abgerufen am 14. Dezember 2018.
  76. Videoanrufe: Betaphase startet. In: threema.ch. 9. April 2020, abgerufen am 11. April 2020.
  77. Videoanrufe nach Threema-Art. In: threema.ch. 10. August 2020, abgerufen am 10. August 2020.
  78. a b Datenschutzerklärung – Threema. Archiviert vom Original (nicht mehr online verfügbar) am 30. Oktober 2017; abgerufen am 10. Februar 2019 (Version von 2017 zur App).
  79. Merkblatt: Sicherheit und Datenschutz. (PDF) Threema GmbH, 24. August 2017, abgerufen am 6. Dezember 2017.
  80. rugk/threema-msgapi-sdk-php. Abgerufen am 1. Februar 2017 (englisch).
  81. Threema, Häufige Fragen – Werden meine Adressbuchdaten übertragen?
  82. a b Transparenzbericht – Threema. 25. Oktober 2016, archiviert vom Original (nicht mehr online verfügbar) am 23. Juni 2018; abgerufen am 1. Februar 2017 (Version von 2018).
  83. Danilo Bargen: Webauftritt aktualisiert inkl. Transparenzbericht. Antwort in Thread. Threema Forum, 27. Oktober 2016, abgerufen am 10. Februar 2019.
  84. Messenger-Schnelltest der Stiftung Warentest test.de vom 26. Februar 2014.
  85. Threema, FAQ – Werden Nachrichten auf meinem Gerät verschlüsselt gespeichert?
  86. Transparenzbericht – Threema. 11. Januar 2019, abgerufen am 10. Februar 2019.
  87. Threema-Entwickler im Interview: Die NSA hilft mit. In: Appgefahren.de. 20. Juli 2013, abgerufen am 4. November 2014.
  88. Henning Steier: Messenger Wire: Schwierige Suche nach Alleinstellungsmerkmalen. In: Neue Zürcher Zeitung. 12. August 2015, abgerufen am 19. Juni 2017.
  89. Daniela Leistikow: iPhone und iPad: Threema ist die meistverkaufte App 2014. In: Computer Bild. 9. Dezember 2014, abgerufen am 19. Juni 2017.
  90. Hakan Tanriverdi: Whatsapp-Konkurrent Threema verdoppelt Nutzerzahl. In: Süddeutsche Zeitung. 21. Februar 2014, abgerufen am 19. Juni 2017.
  91. Martin Weigert: Threema hat 2,8 Millionen Nutzer. In: Netzwertig.com. 2. Mai 2014, abgerufen am 4. November 2014.
  92. Marco Metzler: Kryptografie-App Threema: Schweizer sorgen für Privatsphäre. In: Neue Zürcher Zeitung. 28. Juni 2015, abgerufen am 12. August 2015.
  93. Die Zeit: Die Deutschen suchen nach Threema, vom 16. Dezember 2014.
  94. Threema. Der meistverkaufte sichere Messenger. (PDF) Threema GmbH, 22. Dezember 2015, abgerufen am 15. Februar 2017.
  95. Über uns – Threema: Meistverkaufte Chat-App. Abgerufen am 13. Januar 2021.
  96. Simon Hurtz: Whatsapp: Das droht, wenn man den Nutzungsbedingungen nicht zustimmt. Abgerufen am 18. März 2021.
  97. Jörg Breithut: WhatsApp: Was die AGB-Änderungen bedeuten – und welche neue Frist gilt. Abgerufen am 18. März 2021.
  98. WhatsApp verliert User: Elon Musk empfiehlt Signal und Server des Messengers knicken ein. 8. Januar 2021, abgerufen am 11. Januar 2021.
  99. WhatsApp-Debakel: Auch bei Threema explodieren die Nutzerzahlen. 11. Januar 2021, abgerufen am 11. Januar 2021.
  100. Whatsapp-Alternative – Threema, die «Antithese des Silicon Valley-Modells». In: Schweizer Radio und Fernsehen (SRF). 18. März 2021, abgerufen am 18. März 2021.
  101. Joachim Hofer: Threema: WhatsApp-Alternative Threema punktet bei Firmenkunden. In: handelsblatt.com. 1. Februar 2021, abgerufen am 31. Januar 2024.
  102. https://twitter.com/threemaapp/status/1399638841217097728. Abgerufen am 23. Juni 2021.
  103. https://threema.ch/de/blog/posts/ein-jahrzehnt-sicheres-messaging
  104. Threema – Seriously secure messaging – Warum wird der Quellcode nicht offengelegt? threema.ch, abgerufen am 20. Januar 2016.
  105. Jan Ahrens: Threema-Protokoll-Analyse. (PDF, englisch).
  106. Open Source – Vertrauen ist gut. Transparenz ist besser. In: threema.ch. Threema GmbH, abgerufen am 4. Januar 2021.
  107. Warum unterzieht sich Threema keiner externen Sicherheitsprüfung? In: Threema FAQ. Archiviert vom Original (nicht mehr online verfügbar) am 11. Januar 2015; abgerufen am 12. November 2015.
  108. Threema-Audit abgeschlossen: „Ende-zu-Ende-Verschlüsselung ohne Schwächen“. Heise online, abgerufen am 3. November 2015.
  109. Wie erfolgt die Sicherheitsprüfung bei Threema? In: Threema FAQ. Abgerufen am 10. Februar 2019.
  110. Fabian Ising, M.Sc., Damian Poddebniak, M.Sc., Prof. Dr. Sebastian Schinzel.: Security Audit Report – Threema 2019. Hrsg.: FH Münster. 28. März 2019, S. 27 (englisch, threema.ch [PDF]).
  111. golem.de, Validation von Threema ist wenig aussagekräftig, abgerufen am 29. Juni 2014.
  112. Hetzel.net, 12. August 2013, Timo Hetzel, Threema – Klartext via USB und iCloud-Backup.
  113. Threema, Cryptography Whitepaper (PDF, S. 9).
  114. Pauline Lüthi: Vulnerabilities in secure messenger Threema discovered. In: inf.ethz.ch. 9. Januar 2023, abgerufen am 11. Januar 2023 (englisch).
  115. Stellungnahme zu ETH-Findings. Abgerufen am 31. Januar 2023.
  116. Threema support-Webseite: Kann ich Threema auch geschäftlich nutzen? threema.ch, abgerufen am 29. Juli 2020.
  117. Threema Gateway – Angebot. In: gateway.threema.ch. Threema GmbH, abgerufen am 18. November 2015.
  118. Threema Gateway – Seriously secure messaging. In: gateway.threema.ch. Threema GmbH, abgerufen am 18. November 2015.
  119. threema-ch/threema-msgapi-sdk-java. In: GitHub. Abgerufen am 17. August 2015 (Aktuelle Version auf der Threema Gateway Webseite).
  120. threema-ch/threema-msgapi-sdk-php. In: GitHub. Abgerufen am 17. August 2015 (Aktuelle Version auf der Threema Gateway Webseite oder in einem Fork).
  121. lgrahl/threema-msgapi-sdk-python. In: GitHub. Abgerufen am 18. November 2015 (Dies ist der offizielle Fork, wie auf der offiziellen Threema Gateway-Seite verlinkt, eine veraltete Version ist ebenfalls auf GitHub zu finden).
  122. Threema Gateway ermöglicht Versenden selbst verschlüsselter Nachrichten. Abgerufen am 18. November 2015.
  123. Threema Gateway mit neuen Funktionen. In: threema.ch. Abgerufen am 10. Juni 2015.
  124. Mit Threema Gateway neu Bilder und Dokumente empfangen und versenden. In: threema.ch. Abgerufen am 24. August 2015.
  125. Threema jetzt auch für Unternehmen: Threema Work. In: threema.ch. 25. Mai 2016, abgerufen am 13. Januar 2017.
  126. Reseller-Programm für Threema Work. In: threema.ch. 23. November 2016, abgerufen am 13. Januar 2017.
  127. Threema on Twitter. In: Twitter. 12. Januar 2017 (englisch, twitter.com [abgerufen am 1. Februar 2017]).
  128. Daimler nutzt Threema Work als internen Firmen-Messenger. 21. März 2017, abgerufen am 21. März 2017.
  129. ThreemaWork. In: Daimler. (daimler.com [abgerufen am 11. März 2017]).
  130. Threema-MDM: Volle Kontrolle über die Threema Work-App. Threema GmbH, 6. Dezember 2017, abgerufen am 6. Dezember 2017.
  131. Dokumentation – Threema Work. Threema GmbH, abgerufen am 6. Dezember 2017.
  132. Angebote und Preise – Threema Work. Abgerufen am 6. Dezember 2017.
  133. Threema Education: Ein Sonderangebot. Abgerufen am 10. August 2018.
  134. Noch mehr Gründe für Threema Education. Abgerufen am 10. August 2018.
  135. Sebastian Grüner: Messenger: Schweizer Bund setzt auf Threema – Golem.de. Golem.de, 14. Februar 2019, abgerufen am 7. Mai 2019.
  136. Bosch setzt auf Threema Work für die mobile Kommunikation. 13. Juni 2019, abgerufen am 13. Juni 2019.
  137. Julian Burgert: Messenger für Lehrkräfte. In: km-bw.de. Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 15. April 2020, abgerufen am 6. Mai 2020.
  138. Lukas Mäder: Die Schweizer Armee verbietet Whatsapp – aber private Geräte bleiben ein Risiko. Neue Zürcher Zeitung, 5. Januar 2022, abgerufen am 6. Januar 2022.
  139. Speakerprofil: Roman Flepp @ 65. MBSMN 6.4.17. In: Social Media Club Stuttgart. 4. April 2017 (smcst.de [abgerufen am 1. Mai 2017]).
  140. Threema Broadcast: Threema-Kommunikation erreicht eine neue Dimension. Abgerufen am 10. August 2018.
  141. Threema Broadcast. Abgerufen am 10. August 2018.
  142. Häufige Fragen – Threema Broadcast – Was sind zentral verwaltete Gruppenchats? Abgerufen am 10. August 2018.
  143. Instant Messaging: Threema Broadcast erleichtert Firmen-Kommunikation. Abgerufen am 10. August 2018.
  144. Häufige Fragen – Threema Broadcast – Kann die Broadcast-ID frei gewählt werden? Abgerufen am 10. August 2018.
  145. Zusammenarbeit mit Threema-Forum lanciert. In: threema.ch. Abgerufen am 7. November 2015.