Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Threema hat sich erfolgreich gegen den Zugriff der Behörden auf die Nutzerdaten gewehrt. bild: shutterstock

Im Streit zwischen Threema und dem Bund steht es 1:0 für den Datenschutz

Das Bundesverwaltungsgericht pfeift die Überwachungsbehörde des Bundes zurück: Diese wollte Zugriff auf gewisse Nutzerdaten der Schweizer Messenger-App Threema. Dafür sollte ein Teil der Verschlüsselung ausgehebelt werden.



Threema muss keine weitreichenden Überwachungsaufgaben für den Staat übernehmen – zumindest vorerst nicht. Dies hat das Bundesverwaltungsgericht laut «NZZ am Sonntag» bereits am 19. Mai entschieden. Die Begründung: Als reiner Internet-Dienst gelte die Messenger-App nicht als Fernmeldedienstanbieter wie beispielsweise Swisscom, Salt oder Sunrise.

Laut Bericht verlangte der Überwachungsdienst ÜPF des Bundes von Threema «eine Echtzeitüberwachung der Metadaten sowie die Aufhebung der Transportverschlüsselung». Anhand der Metadaten können die Strafverfolger beispielsweise erkennen, wer, wann mit wem kommuniziert hat. Threema wehrte sich dagegen und bekam von den Richtern recht. Die Behörde kann das Urteil ans Bundesgericht weiterziehen.

«Die Verschlüsselung der Inhalte war nie in Gefahr»

Wichtig: Es geht beim Streit zwischen Threema und den Behörden ausschliesslich um die Metadaten der Kommunikation. Vom Urteil somit nicht betroffen ist der eigentliche Inhalt der Kurznachrichten. «Die Verschlüsselung der Inhalte selbst war dabei nie in Gefahr», sagte Threema-Mitgründer Martin Blatter in der «NZZ am Sonntag».

Das Parlament wollte kleinere Online-Anbieter von Anfang an von weitreichenden Überwachungsaufgaben ausnehmen. Der für die Datenbeschaffung im Auftrag der Strafverfolgung zuständige Dienst ÜPF legte das Überwachungsgesetz «wegen des schnellen technologischen Wandels» aber anders aus. Threema und andere kleinere Internet-Dienste sollen ähnlich wie grosse Telekomfirmen Metadaten auf Vorrat speichern. Der Grund: Threema ist offenbar relevant für die Strafverfolgung, da auch Kriminelle verschlüsselte Kommunikation einsetzen.

Vorratsdatenspeicherung? Darum geht's

Schweizer Telekom- und Internet-Provider sind laut Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) verpflichtet, Metadaten ihrer Nutzer zu speichern und bei einem konkreten Verdachtsfall den Strafermittlern herauszugeben.

Hierzu müssen die Firmen für mindestens ein halbes Jahr speichern, wer, wann, wo mit wem kommunizierte bzw. wer, wann welche Webseite besuchte. Diese Metadaten werden auch Vorratsdaten genannt, weil sie eben ohne konkreten Anlass auf Vorrat gespeichert werden, damit die Staatsanwaltschaft bei einem Verdachtsfall später darauf zugreifen kann.

Da bei der Vorratsdatenspeicherung massenweise Nutzerdaten ohne Verdacht gesammelt werden, ist das Vorgehen international umstritten. Im Gegensatz zur Schweiz, welche die Überwachung mit BÜPF und Nachrichtendienstgesetz (NDG) in den letzten Jahren ausgebaut hat, ist die Speicherung von Daten auf Vorrat in der EU seit 2016 grundsätzlich nicht mehr erlaubt. (oli)

So will sich Threema der Überwachung entziehen

Mit gut 8 Millionen Nutzern, davon sollen rund 20 Prozent aus der Schweiz stammen, ist Threema ein Winzling unter den Messenger-Apps. Nichtsdestotrotz bekommt auch Threema immer mehr Behördenanfragen. 2019 waren es laut Transparenzbericht 101 Auskunftsbegehren von Schweizer und ausländischen Behörden, die Nutzerdaten wollten. Da Threema nicht nur die Chats, sondern auch die Metadaten verschlüsselt, dürfte die Ausbeute für die Strafermittler äusserst gering sein.

Doch je mehr Nutzer hinzustossen, desto grösser dürfte der Druck seitens der Ermittler werden, an weitere Nutzerdaten zu gelangen. Threema stellt sich auf den Standpunkt: «Wo keine Daten sind, können sie auch nicht missbraucht werden.» Unabhängig von der Gesetzeslage habe man die App so entwickelt, dass man keine sensiblen Daten herausgaben könne: Keine E-Mail-Adressen, keine Telefonnummern und schon gar keine Chat-Inhalte. Das ist möglich, weil man Threema anonym nutzen kann (z.B. ohne Telefonnummer) und die Verschlüsselung vom Nutzer selbst auf dem Smartphone und nicht vom Betreiber angebracht wird. Threema verfügt daher laut Eigenaussage über keine Möglichkeit, die Nachrichten zu lesen.

Bundesangestellte nutzen Threema Work

Eine Aufweichung der Verschlüsselung würde den Datenschutz, das Vertrauen und somit Threemas Geschäftsmodell schwächen. Warum sollten Unternehmen und Private die Messenger-App noch kaufen, wenn sie nicht sicherer als die unzähligen anderen Gratis-Messenger-Apps ist?

Eine Lockerung der Verschlüsselung wäre auch insofern problematisch, weil nebst Unternehmen und Schulen auch der Bund auf Threema setzt. Rund 8000 Bundesangestellte kommunizieren vertraulich über Threema Work, die Business-Version des Messengers.

Threemas Programm-Code ist geheim: ein Problem?

Beim Threema besteht das Grundproblem aus Sicht der Kritiker darin, dass es sich nicht um Open-Source-Software handelt. Das heisst, der Programmcode ist geheim. Auch dies ist Teil des Geschäftsmodells, das sich hauptsächlich auf den Verkauf der App stützt, denn so kann die App nicht einfach von anderen kopiert werden.

Das bedeutet aber auch: Nutzer müssen wie bei Apple, Google, WhatsApp etc. darauf vertrauen, dass es keine Sicherheitslücken und Hintertüren gibt und keine Kooperation mit den Sicherheitsbehörden stattfindet.

Threema versucht diese Bedenken mit dem Hinweis zu zerstreuen, dass man mit NaCl «eine anerkannte und bewährte Open Source-Verschlüsselungstechnologie» einsetze. Ausserdem werde der Quellcode von externen IT-Spezialisten überprüft. 2019 hat die FH Münster im Auftrag von Threema einen sogenannten Quellcode-Audit durchgeführt. Dabei wird gezielt nach Sicherheitslücken und Hintertüren geforscht. Der offizielle Bericht der deutschen Fachhochschule stellt der Messenger-App bezüglich Sicherheit gute Noten aus. Man habe zwar gewisse kritische Aspekte, aber keine schwerwiegenden Lücken gefunden.

Doch die Prüfer wissen nie mit letzter Sicherheit, ob der Code, den sie vorgelegt bekommen, auch tatsächlich mit der veröffentlichten App übereinstimmt. Er gehe davon aus, dass dieser mit jenem aus den App-Stores übereinstimme. «Beweisen können wir das allerdings nicht», sagte IT-Professor Sebastian Schinzel von der FH Münster der NZZ.

Als Nutzer gilt: Man muss dem App-Entwickler wohl oder übel vertrauen. Threemas Erfolg basiert auf dem Vertrauen der Nutzer und dieses Vertrauen hinge mit einer Hintertüre am seidenen Faden. Doch IT-Experten weisen immer wieder auf ein grundlegendes Problem von Software-Firmen hin: Theoretisch genügt ein Mitarbeiter, der beispielsweise von einem Geheimdienst erpresst wird, um eine Schwachstelle in den Code zu schleusen. Fliegt die Lücke irgendwann auf, kann man immer noch sagen, es handle sich um einen Programmierfehler und nicht um Absicht.

Messenger-Apps im Vergleich: https://www.securemessagingapps.com/

(oli)​

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Schweizer Firmen Slogans sind so bescheuert, dass sie schlicht genial sind

Facebook überlegt Werbung auf WhatsApp zu schalten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

44
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
44Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Hans12 03.06.2020 09:03
    Highlight Highlight Whatsapp hat knapp 2 Milliarden Nutzer. Threema knapp 10 Millionen (nutzen diese es auch wirklich?). Ich gehe davon aus, dass Whatsapp ein Vielfaches an Nachrichten und Datenmenge verarbeitet. Ich bin mir nicht sicher, ob das Datenseelein in der Schweiz (dem Staat der gerne mal Fichen von seinen Bürgern anlegt) so viel sicherer ist, als ein Datenozean in den "fernen" USA. Ob die Technologie wirklich besser/sicherer ist, kann auch kaum jemand beurteilen. So bleibt es mal wieder "vom Hören sagen", und ich lade mir keine weitere App aufs Handy, die kaum jemand nutzt.
  • makla 02.06.2020 22:54
    Highlight Highlight Gerade der letzte Teil des Artikels zeigt auf, wieso Signal (signal.org) Threema massiv überlegen ist: Es ist open source und man muss nicht werweisseln, ob da jetzt Hintertüren drin sind oder nicht.

    Ausserdem state of the art Kryptographie von den anerkanntesten Experten und nicht "Man habe zwar gewisse kritische Aspekte, aber keine schwerwiegenden Lücken gefunden."

    Weiterhin ist Signal gratis, was eine grössere Userbasis einfacher möglich macht.
    • Ueli der Knecht 03.06.2020 00:27
      Highlight Highlight "Es ist open source und man muss nicht werweisseln, ob da jetzt Hintertüren drin sind oder nicht."

      Du weisst allerdings nicht, ob Signal tatsächlich den veröffentlichten Server-Code im Server einsetzt. Diese Unsicherheit birgt (eher geringe) Risiken. Du musst trotzdem "werweisseln", was mit dein dort anfallenden Metadaten geschieht.

      In diesem Sinne teile ich deine Einschätzung, dass Signal eine sehr sichere Kommunikation ermöglicht (erst recht wenn man seine Clients aus den Source-Codes selbst herstellt).

      Signal ist nicht nur gratis, sondern auch komplett werbefrei. Es lebt von Spenden.
    • Nora Flückiger 03.06.2020 06:07
      Highlight Highlight Signal ist eigentlich auch mein bevorzugter Messenger, der grösste Nachteil gegenüber Threema ist die Tatsache, dass bei Signal noch immer eine Telefon-Nummer benötigt wird. Dieses Problem wird aber wohl schon bald geupdatet werden, und man wird Signal rein über eine E-Mailadresse verwenden können.
    • HAL1 03.06.2020 09:11
      Highlight Highlight Naja am ende spielt es ja eigentlich keine rolle ob eMail oder tel Nummer. Bei beiden kannst du zurückverfolgt werden. Und wenn du nunmal nicht jeden einzelnen deiner kontakte manuell hinzufügen möchtest, muss eine gewisse zurückverfolgbarkeit auf dein gerät möglich sein. Also ist es mM besser über die telnummer und dafür sicher verschlüsselt.
      Aber all das spielt letztlich keine Rolle wenn alle suf biegen und brechen nur im w app sitzen.
  • Nora Flückiger 02.06.2020 22:47
    Highlight Highlight Allen Kritiken und Bedenken zu trotz, lieber Threema als WhatsApp!

    Von einem Weltkonzern der beinahe wöchentlich in irgend einem Land der Welt in Sachen Datenschutz, Sicherheit und Pannen in der Kritik steht, und dessen Geschäftsmodel unsere Daten sind - sollte man in Zukunft die Finger lassen!
    • Ueli der Knecht 03.06.2020 00:14
      Highlight Highlight "Allen Kritiken und Bedenken zu trotz, lieber Threema als WhatsApp!"

      Ich meine, das kann/darf man so pauschal nicht sagen, @Nora. Whatsapp und Threema sind beide unsicher, bzw. nicht vertrauenswürdig.

      Bei der Risikoabwägung hängt es sehr vom spezifischen Einzelfall und den spezifischen Anforderungen ab, welche Risiken man "lieber" eingehen will.

      zB. empfiehlt sich für Schweizer Dealer Threema eher nicht, dafür aber Snapchat oder Whatsapp-Anrufe. Für politische Gruppen, die in der Schweiz legal sind, aber im Ausland als Terrororganisationen gelten, empfiehlt sich weder Whatsapp noch Threema.
  • Funnyfarmer 02.06.2020 22:34
    Highlight Highlight Hauptsache Herr Zuckerberg hat seine Finger nicht dabei...
    • Donspliff 03.06.2020 00:22
      Highlight Highlight und Google.
  • SGR 02.06.2020 22:09
    Highlight Highlight chchch 😁 sidefin as Bei bislet ✌
  • premium nuts 02.06.2020 22:03
    Highlight Highlight Wie ist hier die Meinung über matrix.org / riot.im?
    • Kaktus Salat 02.06.2020 22:35
      Highlight Highlight An matrix wäre ich interessiert, soll relativ gut laufen. Nur scheinen viele Betriebe lieber auf Standards (Microsoft Teams od. ähnliches) zu setzen.
    • Ueli der Knecht 03.06.2020 00:05
      Highlight Highlight Immerhin ist das vollständig quelloffen, was eine hochsichere Messaging-Infrastruktur ermöglichen würde, vorallem wenn man über einen eigenen Homeserver verbunden ist.

      Wenn man Kerckhoffs’ Prinzip beachtet, ist Quelloffenheit der gesamten Kommunikation und Verschlüsselung das A und O der Sicherheit. https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip

      Matrix erfüllt Kerckhoffs’ Prinzip, weswegen es in Sachen Sicherheit allen anderen Messaging-Apps überlegen ist, die dieses Prinzip nicht oder (wie Threema oder die neue Swiss-Covid-App) nur teilweise erfüllen.

      Fazit: 👍
    • Kaktus Salat 03.06.2020 07:04
      Highlight Highlight Da haben wir wieder was gelernt. Danke.
    Weitere Antworten anzeigen
  • The_Doctor 02.06.2020 21:33
    Highlight Highlight „Doch die Prüfer wissen nie mit letzter Sicherheit, ob der Code, den sie vorgelegt bekommen, auch tatsächlich mit der veröffentlichten App übereinstimmt.“

    Aber das ist doch auch bei Open Source so (ausser man kompiliert selber, was wohl kaum ein User macht). Insofern führt das die ganze Diskussion um Open Source ja/nein ad absurdum.
    Die Vorteile von Open Source liegen wo anders (z.B. Forks).
  • Antichrist 02.06.2020 21:03
    Highlight Highlight Schon nur dass sich Threema gegen dem Staat wehren muss zeigt, dass nicht alle Verschwörungstheorien falsch und unnütz sind.
    • Ueli der Knecht 02.06.2020 23:47
      Highlight Highlight Die beste Werbung für eine staatlich gehackte Verschlüsselung, ist, wenn der Staat diese Verschlüsselung verbietet.

      So geschieht das in USA, in Russland, in China und auch in der Schweiz.

      Objektiv betrachtet ist es gar nicht möglich, dass sich Threema dem Zugriff der schweizer Justiz (oder der amerikanischen Justiz) entzieht. Das ist reinste Illusion, die mit solchen Rechtsverfahren aufrecht erhalten werden soll.

      Man sollte auch nicht blauäugig glauben, dass das FBI keinen Zugriff auf Apple-Geräte oder Whatsapp habe, oder Russland keinen Zugang zu Telegram oder Kapersky. Das wäre naïv.
  • Donspliff 02.06.2020 20:50
    Highlight Highlight threma 4 the win!
  • Ueli der Knecht 02.06.2020 20:42
    Highlight Highlight "Beim Threema besteht das Grundproblem aus Sicht der Kritiker darin, dass es sich nicht um Open-Source-Software handelt."

    Das ist ein gewichtiges Problem.

    Ein weiteres Problem sind die Zwangsmittel der Justiz, womit die Threema einfach unter Druck gesetzt werden kann. Die Justiz kann Threema jederzeit abstellen.

    Ein ähnliches Problem ist die Tatsache, dass Threema eine relativ kleine Firma ist, weshabl die Chefs oder die Mitarbeiter relativ billig gekauft (oder erpresst) werden können.

    Fazit: Threema ist ein relativ einfach angreifbarer Single Point of Failure (http://bit.ly/332RWDx).
    • Cash 02.06.2020 22:06
      Highlight Highlight ALLES ist single point of failure anfällig, wennn jemand mit einem Trojaner eine absolut sicheres Online Banking macht, kann es von Betrügern manipuliert werden. Dies ist für mich kein Grund gegen Threema, sondern einen Punkt gegen Computer generell. Der Mensch/Bediener ist immer für die meisten Fehler/Sicherheitslücken verantwortlich.
    • Cash 02.06.2020 22:09
      Highlight Highlight Ah erst jetzt SPOF gelesen, soweit ich weiss, ist Threema redundant aufgebaut und stürzt nicht so leicht in sich zusammen mit zwei physisch getrennten Servern, welche ISO 27001 zertifiziert sind (was das auch immer heissen mag) 😇
    • makla 02.06.2020 23:30
      Highlight Highlight Im Gegensatz zu Threema ist bei Signal der Quellcode offengelegt. Somit muss man eben nicht darauf vertrauen, dass die bei Threema absichtlich oder unabsichtlich eine Hintertür eingebaut haben.

      Sondern man kann den Code selber lesen. Oder darauf vertrauen, dass es Tausende andere tun und sich melden, wenn etwas faul ist.

      Tausende (!), welche aktiv den Code lesen sind eben nicht ein point of failure. Eine ganz andere Liga als ein Threema Team. Welches Fehler machen kann. Bestochen werden kann.
    Weitere Antworten anzeigen

Das steckt hinter den «Facebook lässt Nutzer sehen, wer dein Profil besucht»-Postings

In letzter Zeit häufen sich auf Facebook Statusbeiträge, die vorgaukeln, man könne mit einer «exklusiven Funktion» sehen, wer das eigene Profil besucht habe. Das ist natürlich Quatsch. Diese Funktion gibt es auch im Jahr 2020 nicht. Es handelt sich um eine klassische Phishing-Falle. Anders gesagt: Kriminelle machen sich einmal mehr die angeborene Neugier des Menschen zunutze, um an die Passwörter der Facebook-Profile zu gelangen.

Die Masche der Betrüger ist fast so alt wie Facebook selbst, aber …

Artikel lesen
Link zum Artikel