Wenn du dich fragst, wieso man dafür eine Anleitung braucht, dann ist die Antwort recht simple: Für ein verschlossenes Paket sind auch mehr Schritte notwendig als den Zettel nur offen liegen zu lassen. Es ist nicht komplizierter, dennoch möchte ich die einzelnen Schritte euch kurz erläutern.

Download

Code generieren

Nachdem du dir die APP für dein System runtergeladen und installiert hast wirst du freundlich begrüßt und zeitgleich gebeten ein neues Schlüsselpaar zu generieren. Das ist nichts anderes als das du mit dem Finger zufällige Bewegungen erzeugst und somit auch einen Zufallscode.

Handynummer und E-Mail verknüpfen

Damit du schneller von deinen Freunden gefunden wirst kannst du neben der Handynummer noch deine E-Mail-Adresse hinterlegen. Das ist jedoch optional.

Nickname erstellen und ggf Passwort vergeben

Nachdem du nun einen persönlichen Nickname hinterlegt hast, kannst du alles noch durch ein Passwort schützen.

Kontakte hinzufügen

Es gibt nun drei Möglichkeiten deine Freunde auf die Kontaktliste zu bekommen.

1. Direkte Suche deines Freundes anhand der ID (vergleichbar wie bei Skype)
2. Der automatische Abgleich mit deinem Adressbuch. Genau wie bei WhatsApp wird geschaut, welcher deiner Kontakte die App Threema installiert hat. Ist dies der Fall wird der Kontakt automatisch in der Kontaktliste angezeigt.
3. Barcode vom Freund direkt vor Ort scannen und automatisch verbinden.

In genau dieser Reihenfolge wird auch die Sicherheitsstufe hinter dem Kontakt angezeigt.

• Wenn dich jemand nur per ID hinzufügt, kann das theoretisch auch ein fremder sein. Daher wird das als Rot mit nur einem von drei Punkten dargestellt.
• Wenn es einen Abgleich mit deinem Adressbuch gab, dann ist die Wahrscheinlichkeit hoch, dass ihr euch auch kennt und es gibt 2 Punkte die in gelb dargestellt werden.
• Erst wenn es einen persönlichen Austausch per Barcode gab, dann wird es mit drei grünen Punkten hinter deinem Kontakt dargestellt. Somit kann man sicher sein, das es auch wirklich die Person/Telefon ist die man hinter dem Namen vermutet.

Das war es auch schon. Mehr ist nicht nötig. Und du kannst nun sicher sein, das die Kommunikation zwischen deinen Kontakten sicher ist.

Wenn du weitere Informationen benötigst, findest du sie direkt auf der Webseite von Threema.

Der Nachrichten-Dienst WhatsApp ist komplett unverschlüsselt. Stört dich nicht? Ok, aber würdest du deine persönlichen Nachrichten auch ausdrucken und öffentlich auf der Straße oder im Büro aufhängen? Wer das mit nein beantwortet, der darf auch keinen offenen Dienst nutzen. Denn dein Handy-Provider und auch App-Hersteller können jederzeit deine Nachrichten mitlesen.

Daher kommen hier die Apps, die zum einen verschlüsselt sind, aber auch Apps, die unverschlüsselt deine Daten übertragen.

Persönlich kann ich nur die App Theema empfehlen. Denn es ist wirklich eine Client-to-Client-Verschlüsselung. Wenn man schon einen anderen, sicheren Dienst sucht, dann gleich richtig. Was die App kann, werde ich im nächsten Post genau sagen.

Verschlüsselte Apps

Wenn du nur eine Alternative zu WhatsApp suchst, aber die Verschlüsselung dir egal ist, dann wirst du hier fündig.

Unverschlüsselte Apps

BSI-Sicherheitstest antwortet

Der Schock war Anfangs schon recht groß. Wie ich? Wirklich?! Ich, der immer großen Wert auf Sicherheit legt und bei den Online-Accounts unterschiedliche Passwörter benutzt. Mist!
Hier genaue Text der eMail vom BSI.

Betreff: Ihre Anfrage bei sicherheitstest.bsi.de mit der Kennung […]
Sehr geehrte Dame, sehr geehrter Herr,

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse […] auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde.

Die von Ihnen angegebene E-Mail-Adresse […] wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:

1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.

2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.

3. Lesen Sie die weiteren Informationen hierzu unter www.sicherheitstest.bsi.de.

Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www.sicherheitstest.bsi.de.

Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team

Aber was bedeutet das nun konkret? Das eMailpostfach ist also nicht gehackt worden, sondern lediglich die eMailadresse in Kombination mit einem Passwort. Nur welches?

Was ist zu tun?

Als erstes habe ich trotzdem das Passwort vom eMailpostfach geändert. Damit ist der Punkt trotzdem gesichert, falls sie doch Zugang hatten. Nun geht es zu den Accounts. Bei welchem Onlinedienst habe ich mich mit dieser eMailadresse registriert? Gute Frage?!

Ein Glück nutze ich seit Jahren das Passwort-Tool KeePass. Ein kostesloses Tool, das alle Passwörter verwaltet und durch ein Masterpasswort gesichert ist.
Dort kann man nicht nur nach Diensten suchen, sondern eben auch nach Benutzernamen. YEAH! Leider war das Ergebnis etwas ernüchternd. Über 30 Ergebnisse wurden angezeigt. Zwar waren in der Liste viele alte Dienste, aber eben auch die großen wie Amazon, Apple, Dropbox und Google!

Also hieß es nun alle Dienste durchgehen, anmelden und das Passwort ändern. In diesem Zug auch gleich die Passwortstärke auf ca. 150 Bits bzw ca. 25 Zeichen erhöht. Die besonders großen Dienste haben eine noch höhere Passwortstärke erhalten Und einige Dienste konnte ich auch gleich löschen, da ich sie seit Jahren nicht nutze.

Als weiteren Dienst sehe ich die folgenden Webseiten, die mich nach der Änderung per eMail über diese informiert haben. Dazu zählen Apple, Pixorial, Dropbox, Amazon und Google. Bei Google gab es sogar 2 eMails. Einmal an die eigentliche eMailadresse und einmal an die Alternativadresse Gut zu wissen, das man dort immer nochmal informiert wird, falls jemand das Passwort ändern will.

Fazit

Jetzt kann ich wieder ruhigen Gewissens im Netz surfen, da ich durch diesen Vorfall zwangsläufig mal wieder die Passwörter bei den meisten Diensten ändern musste. Viele Dienste hatten (laut dem Passwortmanager) seit über 4 oder mehr Jahren das gleiche Passwort. Man könnte bei einigen Diensten sagten, seit immer

Um so mehr bin ich froh, dass Tool zu nutzen. Ohne das Tool hätte ich vermutlich nie alle Dienste aus dem Kopf wieder zusammen bekommen, um die Passwörter dort zu ändern.

Für alle die etwas Geld ausgeben wollen, es gibt natürlich auch noch andere Dienste wie 1Password, das kostet aber Geld.
[appbox appstore id568903335] [appbox googleplay com.android.keepass]

Randinfo: Das Passwort im Bild dient nur als Symbolfoto und ist natürlich so nicht in Verwendung