Trotz Open Source: Threema kostet weiterhin Geld
Threema: Open Source, aber nicht gratis
Bild: Threema
Was macht eine sichere WhatsApp-Alternative aus? Darüber wird von Messenger-Experten seit Jahren kontrovers diskutiert. Ein Serverstandort in einem Land ohne geheimdienstlichen Zugriff auf die Server, eine Ende-zu-Ende-Verschlüsselung oder eine komplett anonyme Nutzbarkeit zählen sicherlich dazu. Immer wieder wird aber auch gefordert: Der Quellcode des Messengers muss Open Source sein, damit er von unabhängigen Experten überprüft werden kann - beispielsweise auf Sicherheitslücken oder versteckt eingebaute Hintertüren.
Und Letzteres war bei einem seit Jahren als WhatsApp-Alternative beworbenen Messenger noch nicht so: bei Threema. Denn der Messenger wurde und wird nicht von einer freien Community entwickelt, sondern von einem kommerziellen Unternehmen in der Schweiz. Schon im Herbst hatte Threema daher angekündigt, dass von allen Apps der Quellcode veröffentlicht werden soll. Das wurde nun umgesetzt - kostenlos wird Threema damit aber nicht.
Kritiker sollen Einsicht erhalten
Threema: Open Source, aber nicht gratis
Bild: Threema
In dieser Woche teilte Threema nun mit, dass die Threema-Apps Open Source seien. "Zur Feier" habe man den App-Preis bis 28. Dezember um 50 Prozent gesenkt. Threema wird also weiterhin ein kostenpflichtiger Messenger bleiben.
Threemas kryptographische Verfahren seien "seit jeher umfassend dokumentiert", die korrekte Anwendung der Verschlüsselung habe sich schon immer "selbständig nachprüfen" lassen. Externe Audits hätten die Sicherheit des Systems "wiederholt bestätigt".
Doch wenn der Quellcode einer Software nicht komplett offen liegt, können Kritiker stets bemängeln, dass der Entwickler möglicherweise etwas verheimlichen will. Nach der Quellcode-Veröffentlichung sei es "nicht mehr erforderlich, unseren Aussagen zu glauben oder auf die Einschätzung Dritter zu vertrauen", schreibt Threema. Sachverständige hätten nun die Möglichkeit, sich selbst von Threemas Sicherheit zu überzeugen.
Hier kann man den Code herunterladen und prüfen
Alle Informationen zum Herunterladen und Kompilieren des Quellcodes sowie zum Reproduzieren der App hat Threema auf der Seite threema.ch/open-source veröffentlicht.
Software-Entwickler können sich dann auf Github den entsprechenden Quellcode herunterladen und erhalten dazu eine Anleitung, wie sie den Code kompilieren können. Reproduzierbare Builds sind momentan allerdings nur verfügbar für Threemas Android-App, da Apple dies nicht so ohne weiteres erlaubt. Mit einer reproduzierbaren Build-Version kann ein externer Prüfer abgleichen, ob die als Open Source veröffentlichte Variante des Messengers auch wirklich mit der kommerziell im Appstore vertriebenen Threema-Variante übereinstimmt.
Folgt nun eine Gratis-App für Threema?
Die Veröffentlichung des Quellcodes von Threema könnte zu der Annahme verleiten, dass nun findige Entwickler den Quellcode herunterladen, daraus eine funktionierende App kreieren und diese dann wieder als Open Source für eine kostenlose Nutzung anbieten.
Doch das ist nicht so einfach: Die Threema-Apps unterliegen der GNU Affero General Public License Version 3. Threema weist darauf hin, dass die Threema-Apps, obwohl sie frei kompiliert und geändert werden können, dennoch kostenpflichtige Apps sind. Eine anonyme Lizenzprüfung verhindert die Erstellung von Threema-IDs in selbst kompilierten Apps. Wenn Nutzer eine selbst kompilierte App verwenden möchten, müssen sie die Sicherung einer vorhandenen Threema-ID wieder herstellen. Sie können Threema-IDs und Sicherungen davon aber nur mit der gekauften App erstellen.
Wer Fragen zur Verwendung selbst kompilierter Apps oder zur Lizenz im Allgemeinen habe, solle sich an Threema wenden. Das Unternehmen veröffentliche den Quellcode "in gutem Glauben", wobei Transparenz "das Hauptziel" sei. Indem die Benutzer für die Entwicklung der App bezahlen, könne Threema sicherstellen, dass die Ziele "nachhaltig" mit den Zielen der Benutzer übereinstimmen: "Großartige Privatsphäre und Sicherheit, keine Werbung, keine Erfassung von Benutzerdaten".
Immer wieder fordern Sicherheitspolitiker einen "Generalschlüssel" für Messenger, um den Nachrichtenaustausch von Verdächtigen mitlesen zu können. Doch laut Threema ist das technisch unmöglich.