Nach dem NSA-Skandal scheint sich jetzt mit Threema endlich mal ein Messanger fürs Handy zu implementieren, welcher aus Datenschutzsicht nicht eine komplette Katastrophe ist. Anders als WhatsApp, Google Hangouts, Facebook und SMS läuft hier die Kommunikation nicht unverschlüsselt durchs Netz, sondern wird für den Empfänger verschlüsselt. Da Threema auch nur dann ein beruhigendes Grün für den Kontakt anzeigt, wenn der Schlüssel des Kommunikationspartners einmal per QR-Code-Scan verifiziert wurde, trägt die App auch anders als solche welche die Schlüssel zentral verteilen nicht in trügerischer Sicherheit.
Dennoch hat natürlich auch Threema Probleme. Da der Quellcode nicht offen liegt ist es unmöglich sicherzustellen, dass der geheime Schlüssel nicht doch irgendwie nach außen geleaked wird. Wichtiger ist aber, dass die Verkehrsdaten, oft auch Metadaten genannt, weiterhin an einer zentralen Stelle anfallen. Es reicht also immer noch eine Stelle anzugreifen um an diese Daten zu kommen.
Als Alternative zu Whatsapp, Google Hangouts und Konsorten ist Threema definitiv ein Schritt in die richtige Richtung. Langfristig benötigt es aber eine ähnlich komfortable Lösung welche auf offenen Standards beruht, so dass eine komplett vertrauenswürdige Kette aufgebaut werden kann. Eine freie Implementierung würde es erlauben nach Hintertüren zu suchen. Insbesondere muss aber die Serverstruktur dezentralisiert werden, so dass nicht alle Verkehrsdaten an einem Punkt anfallen. Betreibt man einen eigenen Server, so müssen Nachrichten zu anderen Nutzen desselben die eigene Infrastruktur nie verlassen, und ein aufgemachter Server würde nur Verkehrsdaten von Nachrichten welche über diesen liefen betreffen, aber nicht die dritter. Im Prinzip gibt es Jabber und PGP ja auch schon die zugrundeliegende Infrastruktur für eine solche Lösung. Allerdings muss hier noch am Bedienkomfort gearbeitet werden. So bin ich beispielsweise mit den bisherigen Möglichkeiten Jabber-Nachrichten aufs Handy zu schieben unzufrieden, und auch die einfache Validierung des Kommunkationsschlüssels via QR-Code habe ich in einem solchen Setup bisher noch nicht gesehen.
Ich bin natürlich auch per Threema zu erreichen. Fragt mich einfach nach meiner ID. Meine alte ID YYYZBANM solltet ihr bitte nicht mehr verwenden. Nach einem kuriosen Androidfehler habe ich diese verloren und hatte leider auch kein Backup. Selbst mit letzterem würde ich ihr allerdings auch nicht mehr trauen.