Digital
Online-Sicherheit

Im Streit zwischen Threema und dem Bund steht es 1:0 für den Datenschutz

Threema-App auf älterem Smartphone
Threema hat sich erfolgreich gegen den Zugriff der Behörden auf die Nutzerdaten gewehrt.bild: shutterstock

Im Streit zwischen Threema und dem Bund steht es 1:0 für den Datenschutz

Das Bundesverwaltungsgericht pfeift die Überwachungsbehörde des Bundes zurück: Diese wollte Zugriff auf gewisse Nutzerdaten der Schweizer Messenger-App Threema. Dafür sollte ein Teil der Verschlüsselung ausgehebelt werden.
02.06.2020, 20:0802.06.2020, 20:30
Mehr «Digital»

Threema muss keine weitreichenden Überwachungsaufgaben für den Staat übernehmen – zumindest vorerst nicht. Dies hat das Bundesverwaltungsgericht laut «NZZ am Sonntag» bereits am 19. Mai entschieden. Die Begründung: Als reiner Internet-Dienst gelte die Messenger-App nicht als Fernmeldedienstanbieter wie beispielsweise Swisscom, Salt oder Sunrise.

Laut Bericht verlangte der Überwachungsdienst ÜPF des Bundes von Threema «eine Echtzeitüberwachung der Metadaten sowie die Aufhebung der Transportverschlüsselung». Anhand der Metadaten können die Strafverfolger beispielsweise erkennen, wer, wann mit wem kommuniziert hat. Threema wehrte sich dagegen und bekam von den Richtern recht. Die Behörde kann das Urteil ans Bundesgericht weiterziehen.

«Die Verschlüsselung der Inhalte war nie in Gefahr»

Wichtig: Es geht beim Streit zwischen Threema und den Behörden ausschliesslich um die Metadaten der Kommunikation. Vom Urteil somit nicht betroffen ist der eigentliche Inhalt der Kurznachrichten. «Die Verschlüsselung der Inhalte selbst war dabei nie in Gefahr», sagte Threema-Mitgründer Martin Blatter in der «NZZ am Sonntag».

Das Parlament wollte kleinere Online-Anbieter von Anfang an von weitreichenden Überwachungsaufgaben ausnehmen. Der für die Datenbeschaffung im Auftrag der Strafverfolgung zuständige Dienst ÜPF legte das Überwachungsgesetz «wegen des schnellen technologischen Wandels» aber anders aus. Threema und andere kleinere Internet-Dienste sollen ähnlich wie grosse Telekomfirmen Metadaten auf Vorrat speichern. Der Grund: Threema ist offenbar relevant für die Strafverfolgung, da auch Kriminelle verschlüsselte Kommunikation einsetzen.

Vorratsdatenspeicherung? Darum geht's
Schweizer Telekom- und Internet-Provider sind laut Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) verpflichtet, Metadaten ihrer Nutzer zu speichern und bei einem konkreten Verdachtsfall den Strafermittlern herauszugeben.

Hierzu müssen die Firmen für mindestens ein halbes Jahr speichern, wer, wann, wo mit wem kommunizierte bzw. wer, wann welche Webseite besuchte. Diese Metadaten werden auch Vorratsdaten genannt, weil sie eben ohne konkreten Anlass auf Vorrat gespeichert werden, damit die Staatsanwaltschaft bei einem Verdachtsfall später darauf zugreifen kann.

Da bei der Vorratsdatenspeicherung massenweise Nutzerdaten ohne Verdacht gesammelt werden, ist das Vorgehen international umstritten. Im Gegensatz zur Schweiz, welche die Überwachung mit BÜPF und Nachrichtendienstgesetz (NDG) in den letzten Jahren ausgebaut hat, ist die Speicherung von Daten auf Vorrat in der EU seit 2016 grundsätzlich nicht mehr erlaubt. (oli)

So will sich Threema der Überwachung entziehen

Mit gut 8 Millionen Nutzern, davon sollen rund 20 Prozent aus der Schweiz stammen, ist Threema ein Winzling unter den Messenger-Apps. Nichtsdestotrotz bekommt auch Threema immer mehr Behördenanfragen. 2019 waren es laut Transparenzbericht 101 Auskunftsbegehren von Schweizer und ausländischen Behörden, die Nutzerdaten wollten. Da Threema nicht nur die Chats, sondern auch die Metadaten verschlüsselt, dürfte die Ausbeute für die Strafermittler äusserst gering sein.

Doch je mehr Nutzer hinzustossen, desto grösser dürfte der Druck seitens der Ermittler werden, an weitere Nutzerdaten zu gelangen. Threema stellt sich auf den Standpunkt: «Wo keine Daten sind, können sie auch nicht missbraucht werden.» Unabhängig von der Gesetzeslage habe man die App so entwickelt, dass man keine sensiblen Daten herausgaben könne: Keine E-Mail-Adressen, keine Telefonnummern und schon gar keine Chat-Inhalte. Das ist möglich, weil man Threema anonym nutzen kann (z.B. ohne Telefonnummer) und die Verschlüsselung vom Nutzer selbst auf dem Smartphone und nicht vom Betreiber angebracht wird. Threema verfügt daher laut Eigenaussage über keine Möglichkeit, die Nachrichten zu lesen.

Bundesangestellte nutzen Threema Work

Eine Aufweichung der Verschlüsselung würde den Datenschutz, das Vertrauen und somit Threemas Geschäftsmodell schwächen. Warum sollten Unternehmen und Private die Messenger-App noch kaufen, wenn sie nicht sicherer als die unzähligen anderen Gratis-Messenger-Apps ist?

Eine Lockerung der Verschlüsselung wäre auch insofern problematisch, weil nebst Unternehmen und Schulen auch der Bund auf Threema setzt. Rund 8000 Bundesangestellte kommunizieren vertraulich über Threema Work, die Business-Version des Messengers.

Threemas Programm-Code ist geheim: ein Problem?

Beim Threema besteht das Grundproblem aus Sicht der Kritiker darin, dass es sich nicht um Open-Source-Software handelt. Das heisst, der Programmcode ist geheim. Auch dies ist Teil des Geschäftsmodells, das sich hauptsächlich auf den Verkauf der App stützt, denn so kann die App nicht einfach von anderen kopiert werden.

Das bedeutet aber auch: Nutzer müssen wie bei Apple, Google, WhatsApp etc. darauf vertrauen, dass es keine Sicherheitslücken und Hintertüren gibt und keine Kooperation mit den Sicherheitsbehörden stattfindet.

Threema versucht diese Bedenken mit dem Hinweis zu zerstreuen, dass man mit NaCl «eine anerkannte und bewährte Open Source-Verschlüsselungstechnologie» einsetze. Ausserdem werde der Quellcode von externen IT-Spezialisten überprüft. 2019 hat die FH Münster im Auftrag von Threema einen sogenannten Quellcode-Audit durchgeführt. Dabei wird gezielt nach Sicherheitslücken und Hintertüren geforscht. Der offizielle Bericht der deutschen Fachhochschule stellt der Messenger-App bezüglich Sicherheit gute Noten aus. Man habe zwar gewisse kritische Aspekte, aber keine schwerwiegenden Lücken gefunden.

Doch die Prüfer wissen nie mit letzter Sicherheit, ob der Code, den sie vorgelegt bekommen, auch tatsächlich mit der veröffentlichten App übereinstimmt. Er gehe davon aus, dass dieser mit jenem aus den App-Stores übereinstimme. «Beweisen können wir das allerdings nicht», sagte IT-Professor Sebastian Schinzel von der FH Münster der NZZ.

Als Nutzer gilt: Man muss dem App-Entwickler wohl oder übel vertrauen. Threemas Erfolg basiert auf dem Vertrauen der Nutzer und dieses Vertrauen hinge mit einer Hintertüre am seidenen Faden. Doch IT-Experten weisen immer wieder auf ein grundlegendes Problem von Software-Firmen hin: Theoretisch genügt ein Mitarbeiter, der beispielsweise von einem Geheimdienst erpresst wird, um eine Schwachstelle in den Code zu schleusen. Fliegt die Lücke irgendwann auf, kann man immer noch sagen, es handle sich um einen Programmierfehler und nicht um Absicht.

Messenger-Apps im Vergleich: https://www.securemessagingapps.com/

(oli)​

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Schweizer Firmen Slogans sind so bescheuert, dass sie schlicht genial sind
1 / 22
Schweizer Firmen Slogans sind so bescheuert, dass sie schlicht genial sind
Ein grossartiges Wortspiel.
>>> Zur Story
Auf Facebook teilenAuf X teilen
Facebook überlegt Werbung auf WhatsApp zu schalten
Video: srf
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
41 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Linda Diaz
02.06.2020 22:47registriert Januar 2020
Allen Kritiken und Bedenken zu trotz, lieber Threema als WhatsApp!

Von einem Weltkonzern der beinahe wöchentlich in irgend einem Land der Welt in Sachen Datenschutz, Sicherheit und Pannen in der Kritik steht, und dessen Geschäftsmodel unsere Daten sind - sollte man in Zukunft die Finger lassen!
1173
Melden
Zum Kommentar
avatar
Funnyfarmer
02.06.2020 22:34registriert Juni 2020
Hauptsache Herr Zuckerberg hat seine Finger nicht dabei...
1085
Melden
Zum Kommentar
41
Darum sind «Indiana Jones»-Fans gerade weltweit aus dem Häuschen
Das Game-Jahr 2024 endet mit einem grossen Peitschenknall. Denn «Indiana Jones und der Grosse Kreis» ist richtig gut geworden und macht gerade alle Indy-Fans rund um den Globus überglücklich.

Kaum beginnt das Spiel, frohlockt der Indy-Fan und bekommt das Dauergrinsen nicht mehr aus dem Gesicht. Sofort wird beim Einstieg klar, dass die Entwicklerbude MachineGames ganz genau weiss, wie die Klaviatur gespielt werden muss. Auch die grosse Skepsis im Vorfeld, ob die Third-Person-Perspektive vielleicht doch eher die richtige Wahl gewesen wäre, verpufft sofort. Denn via Ego-Ansicht steuern wir unseren Lieblingsarchäologen nicht nur, nein, wir sind Indiana Jones und bestreiten nun ein Abenteuer, das genug Stoff hergibt, um damit ein richtig gutes Oldschool-Indy-Abenteuer zu zaubern.

Zur Story