Messenger

Trotz Open Source: Threema kostet weiterhin Geld

Threema hat seine Messenger-Apps wie ange­kün­digt als Open Source veröf­fent­licht. Doch das dient nur zu einer Über­prü­fung des Quell­codes. Wir erläu­tern, warum keine Gratis-App zu erwarten ist.
Von

Threema: Open Source, aber nicht gratis Threema: Open Source, aber nicht gratis
Bild: Threema Was macht eine sichere WhatsApp-Alter­native aus? Darüber wird von Messenger-Experten seit Jahren kontro­vers disku­tiert. Ein Server­standort in einem Land ohne geheim­dienst­lichen Zugriff auf die Server, eine Ende-zu-Ende-Verschlüs­selung oder eine komplett anonyme Nutz­bar­keit zählen sicher­lich dazu. Immer wieder wird aber auch gefor­dert: Der Quell­code des Messen­gers muss Open Source sein, damit er von unab­hän­gigen Experten über­prüft werden kann - beispiels­weise auf Sicher­heits­lücken oder versteckt einge­baute Hinter­türen.

Und Letz­teres war bei einem seit Jahren als WhatsApp-Alter­native bewor­benen Messenger noch nicht so: bei Threema. Denn der Messenger wurde und wird nicht von einer freien Commu­nity entwi­ckelt, sondern von einem kommer­ziellen Unter­nehmen in der Schweiz. Schon im Herbst hatte Threema daher ange­kün­digt, dass von allen Apps der Quell­code veröf­fent­licht werden soll. Das wurde nun umge­setzt - kostenlos wird Threema damit aber nicht.

Kritiker sollen Einsicht erhalten

Threema: Open Source, aber nicht gratis Threema: Open Source, aber nicht gratis
Bild: Threema In dieser Woche teilte Threema nun mit, dass die Threema-Apps Open Source seien. "Zur Feier" habe man den App-Preis bis 28. Dezember um 50 Prozent gesenkt. Threema wird also weiterhin ein kosten­pflich­tiger Messenger bleiben.

Threemas kryp­togra­phi­sche Verfahren seien "seit jeher umfas­send doku­men­tiert", die korrekte Anwen­dung der Verschlüs­selung habe sich schon immer "selb­ständig nach­prüfen" lassen. Externe Audits hätten die Sicher­heit des Systems "wieder­holt bestä­tigt".

Doch wenn der Quell­code einer Soft­ware nicht komplett offen liegt, können Kritiker stets bemän­geln, dass der Entwickler mögli­cher­weise etwas verheim­lichen will. Nach der Quell­code-Veröf­fent­lichung sei es "nicht mehr erfor­der­lich, unseren Aussagen zu glauben oder auf die Einschät­zung Dritter zu vertrauen", schreibt Threema. Sach­ver­stän­dige hätten nun die Möglich­keit, sich selbst von Threemas Sicher­heit zu über­zeugen.

Hier kann man den Code herun­ter­laden und prüfen

Alle Infor­mationen zum Herun­ter­laden und Kompi­lieren des Quell­codes sowie zum Repro­duzieren der App hat Threema auf der Seite threema.ch/open-source veröf­fent­licht.

Soft­ware-Entwickler können sich dann auf Github den entspre­chenden Quell­code herun­ter­laden und erhalten dazu eine Anlei­tung, wie sie den Code kompi­lieren können. Repro­duzier­bare Builds sind momentan aller­dings nur verfügbar für Threemas Android-App, da Apple dies nicht so ohne weiteres erlaubt. Mit einer repro­duzier­baren Build-Version kann ein externer Prüfer abglei­chen, ob die als Open Source veröf­fent­lichte Vari­ante des Messen­gers auch wirk­lich mit der kommer­ziell im Apps­tore vertrie­benen Threema-Vari­ante über­ein­stimmt.

Folgt nun eine Gratis-App für Threema?

Die Veröf­fent­lichung des Quell­codes von Threema könnte zu der Annahme verleiten, dass nun findige Entwickler den Quell­code herun­ter­laden, daraus eine funk­tio­nie­rende App kreieren und diese dann wieder als Open Source für eine kosten­lose Nutzung anbieten.

Doch das ist nicht so einfach: Die Threema-Apps unter­liegen der GNU Affero General Public License Version 3. Threema weist darauf hin, dass die Threema-Apps, obwohl sie frei kompi­liert und geän­dert werden können, dennoch kosten­pflich­tige Apps sind. Eine anonyme Lizenz­prü­fung verhin­dert die Erstel­lung von Threema-IDs in selbst kompi­lierten Apps. Wenn Nutzer eine selbst kompi­lierte App verwenden möchten, müssen sie die Siche­rung einer vorhan­denen Threema-ID wieder herstellen. Sie können Threema-IDs und Siche­rungen davon aber nur mit der gekauften App erstellen.

Wer Fragen zur Verwen­dung selbst kompi­lierter Apps oder zur Lizenz im Allge­meinen habe, solle sich an Threema wenden. Das Unter­nehmen veröf­fent­liche den Quell­code "in gutem Glauben", wobei Trans­parenz "das Haupt­ziel" sei. Indem die Benutzer für die Entwick­lung der App bezahlen, könne Threema sicher­stellen, dass die Ziele "nach­haltig" mit den Zielen der Benutzer über­ein­stimmen: "Groß­artige Privat­sphäre und Sicher­heit, keine Werbung, keine Erfas­sung von Benut­zer­daten".

Immer wieder fordern Sicherheits­poli­tiker einen "Gene­ral­schlüssel" für Messenger, um den Nach­rich­ten­aus­tausch von Verdäch­tigen mitlesen zu können. Doch laut Threema ist das tech­nisch unmög­lich.

Mehr zum Thema Threema