Frag einen Datenschutzbeauftragten!

Threema: Der sicherste Messenger für Deine Privatsphäre!

21 Juni 2021

Newsletter abonnieren!




YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

0:00 – Teaser
0:24 – Intro
0:30 – Einleitung
1:24 – Ergebnis zu Threema
1:42 – Kriterien der Bewertung
3:03 – Die Technik
7:00 – Das Recht
8:02 – Die Wirtschaft
9:09 – Das Fazit

Threema heißt das aktuelle Wunderkind der Messengerdienste und lässt die Herzen der Datenschützer überschlagen. Doch ist wirklich alles Gold, was glänzt? Immerhin wurde Threema nur von einem einzelnen Entwickler programmiert. Ist das vertrauenswürdig? Wer weiß, wer weiß. Wir schauen dem Top-Messenger unter die Haube und prüfen das „Privacy-By-Design“ Kredo auf Herz und Nieren. Viel Spaß dabei!

Herzlich willkommen zu „Frag einen Datenschutzbeauftragten“. Diesmal mit der spannenden Analyse des Messengers „Threema“ und das wird für einige unter euch völliges Neuland. Angefangen beim Namen. „Threema“ hört sich an wie Thema mit zu viel Tippfehlern. Ja, ist aber tatsächlich der sicherste Messenger, der aktuell verfügbar ist. Selbst mein Favorit Signal kann da nicht ganz mithalten. Aber der Reihe nach.

Wir wollen die aktuellen Spitzenreiter der Messenger auf ihre Sicherheit prüfen und dabei Technik, Recht und Wirtschaft einbeziehen. Deshalb habe ich Punkte erarbeitet, die diesen Check ermöglichen sollen und euch helfen, die Ergebnisse richtig einzuordnen. Denn es geht ja darum, dass ihr eine fundierte und freiwillige Entscheidung treffen könnt.

Weil ich weiß, das die meisten von uns mit langen Vorreden nicht viel anfangen können, gibts hier erst mal das finale Ergebnis zu Threema.

Threema bietet die höchst mögliche Privatsphäre durch vollständige Anonymisierung seiner Benutzer basiert auf Open-Source Verschlüsselung der besten Klasse und wird von einem ISO-27001 zertifizierten Schweizer Unternehmen auf ausschließlich eigenen Servern betrieben.

Also schauen wir uns mal die Kriterien an die zu der super Bewertung im Fall von Threema geführt haben:

Auf der technischen Seite haben wir die Fragen:

  1. Gibt es Ende zu Ende Verschlüsselung und wenn ja, ist sie sicher?
  2. Werden Metadaten gesammelt und wenn ja, wie werden sie anonymisiert bzw. pseudonymisiert?
  3. Ist der Quellcode unabhängig überprüfbar und unabhängig bestätigt worden?

Auf der rechtlichen Seite haben wir:

  1. Sind die Nutzungsbedingungen im Einklang mit der DSGVO?
  2. Ist die Datenschutzerklärung einfach verständlich, transparent und präzise?
  3. Können die Nutzer ihre Rechte vollumfänglich wahrnehmen und ist der Prozess einfach zugänglich?
  4. Wo ist der Standort des Anbieters und welche nationale Gesetze wirken?

und auf der wirtschaftlichen Seite schließen wir mit:

  1. Was ist das Geschäftsmodell des Anbieters?
  2. Welche Vermögenswert und Besitzrechte sind bekannt?
  3. Welche Bestrebungen für die Zukunft sind bekannt?

Wieder mal eine ganze Menge an Süßholz, die es zu raspeln gilt. Also ich würde sagen, macht es euch gemütlich und freut euch auf diesen Messenger-Check.

Die Technik

In puncto Technik ist Threema der ganz klare Spitzenreiter unter den Messengern. Threema bietet alle gängigen und bekannten Funktionen zu privaten- und Gruppen-Chats, Audio- und Video-Anrufe, Adressbücher und so weiter und so fort. Mit Threema-Work erweitert sich die App sogar zu einer Moblie-Device-Management Lösung für Unternehmen und Teams.

Threema basiert auf der asymmetrischen Open-Source Verschlüsselung NaCI. Diese wurde von Daniel Bernstein und Tanja Lange entwickelt und genießt einen exzellenten Ruf unter Kryptografen. Asymmetrisch bezeichnet hierbei das Verfahren, bei dem alle Nachrichten zwischen Sender und Empfänger nur mittels eines abgestimmten Paars von Private und Public Key ver- bzw. entschlüsselt werden können. Wobei der Empfänger stets nur den Public Key erhält. Somit ist eine Veränderung oder Umgehung der Verschlüsselung durch dritte nahezu ausgeschlossen.

Threema wird mit einer ID statt der E-Mail Adresse oder Telefonnummer betrieben. Außerdem gibt es einen dreistufigen Verifikationsprozess, um die Sicherheit eines Kontaktes zu bestätigen. Hier wird nach „externen Nachrichten ohne Kontakt im Adressbuch“, „externen Nachrichten mit Kontakt im Adressbuch“ und „per QR-Code verifizierten“ Kommunikationen unterschieden. Was auch ein weiteres Feature anführt, nämlich die Verifizierung eines Kontaktes per QR-Code Scan. Dafür müssen natürlich beide Personen am selben Ort sein, um die QR-Codes zu zeigen als auch zu scannen.

Threema bietet außerdem Multi-Device-Support und erklärt, wie hierbei auch die Ende-zu-Ende Verschlüsselung garantiert bleibt. Den Link dazu findet ihr in den Quellenangaben der Videobeschreibung. Weil das natürlich ziemlich komplex ist.

Metadaten

Bei Threema ist wirklich alles verschlüsselt. Vorbei die goldenen Zeiten, in denen NSA, BND und KGB die Privatsphäre per Standleitung anzapfen konnten? Ja. Threema speichert nicht nur keine Daten in unverschlüsselter Form bis hin zu den Geräte-Gruppen bei der Synchronisation. Nein, sogar die Inhalte der Nachrichten werden nach der Zustellung an den Empfänger sofort vom Server gelöscht.

Darüber hinaus ist Threema der einzige Messenger, der aktuell ohne jegliche Angabe von personenbezogenen Daten genutzt werden kann. E-Mail Adresse oder Telefonnummern, werden nur bei Nutzung der Kontaktsuche erhoben. Auch hier ist die Verschlüsselung wieder exzellent, da die Daten auf deinem Endgerät in Inhaltssummen (sog. Hashwerte) verwandelt werden. Diese werden dann verschlüsselt an den Server übertragen dieser entschlüsselt die Daten und vergleicht die Hashwerte mit den bekannten Hashwerten der Nutzer. Nach dem Abgleich werden die Daten wieder vom Server entfernt.

Selbst die Teilnehmer der Gruppen-Chats sind dem Threema Server niemals bekannt. Dafür werden alle Nachrichten als private Nachrichten einzeln an die Nutzer zugestellt. Lediglich die Anzeige wird für dich wie eine Gruppe dargestellt, zur Vereinfachung.

Aber damit nicht genug denn Threema sammelt keine Daten über die Nutzungsdauer und Zyklen der App. Noch nicht einmal die Zugriffszeiten oder die Sende- und Empfangszeiten von Nachrichten werden zentral gespeichert. Hier ist wirklich nahezu alles geheim, was geheim sein kann.

Kleiner Funfakt am Rande. Selbst die Threema Webseite verwendet weder Cookies noch Tracking- oder Analysesoftware.

Quellcode

Wie bereits erwähnt, ist der Quell-Code von Threema frei verfügbar und in den Quellen dieses Videos selbstverständlich verlinkt. Die letzte unabhängige externe Prüfung wurde 2020 durchgeführt und ergab keine Einwände gegen die von Threema offiziell bekannt gegebenen Informationen. Außerdem ist die Nutzung der NaCI Verschlüsselung eine Vereinfachung der Programmierkomplexität und bietet so einen einfacheren Umgang.

Also. Alles in allem nichts zu beanstanden!

Das Recht

Threema wird betrieben von der Threema GmbH in der Schweiz. Damit unterliegt Threema sowohl dem nationalen Bundesgesetz über den Datenschutz und der EU-Datenschutzgrundverordnung. Auf der Webseite liegt eine Datenschutzerklärung vor. Diese ist jedoch in einem Punkt unvollständig, da sie keine Erläuterung von Cookies aufweist. Logisch betrachtet ist es jedoch unmöglich, eine Webseite aufzurufen, ohne dem Server eine Information zu senden, dass die Webseite angezeigt werden soll. Somit muss die IP-Adresse an den Server übertragen werden. Dies sollte in der Datenschutzerklärung sichtbar sein und eine Cookie-Box, die diesen Hinweis ausgibt, ist ebenfalls Teil der DSGVO Pflichten. Hier kann Threema also einen kleinen Schwachpunkt vorweisen.

Ansonsten gibt es nichts zu beanstanden, da die hervorragende „Privacy by Design“ Politik der Entwickler keine personenbezogenen Daten sammelt und somit auch nicht weiter verwenden kann.

Die Wirtschaft

Threema wurde im Jahr 2013 von Manuel Kasper, als „kleines Nebenprojekt“ mit seiner damaligen Firma Kasper Systems GmbH entwickelt. Nach anfänglichen Startschwierigkeiten, resultierend aus dem hohen Anspruch an Sicherheit, wird die App seit 2018 von der Threema GmbH betrieben und verkauft. Threema bietet neben der privaten Variante auch professionelle Lösungen für Teams und Unternehmen an die in verschieden Sparten unterteilt sind. Mit dem Mobile-Device-Management richtet sich Threema Work gezielt an Unternehmen und unterscheidet sich damit noch einmal deutlich von seinen Konkurrenten.

Das Unternehmen ist nach ISO-270001 zertifiziert und trägt somit ein international anerkanntes Gütesiegel für die Sicherheit der Datenverarbeitung im eigenen Rechenzentrum. Was ein weiteres Alleinstellungsmerkmal ist.

Die App kann mit einer einmaligen Zahlung von ca. 4€ in den Appstores erworben werden oder in den Work Varianten mit monatlichen Abonnements zu ähnlich günstigen Preisen.

Das Fazit

Abschließend können wir sagen: „Threema ist der wirklich sicherste Messenger, den ihr derzeit nutzen könnt.“ Wenn euch eure Privatsphäre wirklich wichtig ist, dann sollte der Preis keine Hürde darstellen und zur Überzeugung eurer Freunde, teilt dieses Video mit ihnen.

Wie geht es euch nach dieser Analyse? Habt ihr was Neues gelernt oder alles alter Kaffee? Schreibt mir eure Gedanken in die Kommentare und lasst mich wissen, welchen Messenger ihr nutzt und warum?

Vielen Dank für eure Aufmerksamkeit und bis zum nächsten Mal, wenn wir Edward Snowdens Lieblings-Messenger unter die Lupe nehmen. Tschau!

Quellen

Artikel:
https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf
https://threema.ch/de/blog/posts/md-architectural-overview-de
https://www.zeit.de/digital/mobil/2013-07/threema-app-manuel-kasper

Definitionen:
https://de.wikipedia.org/wiki/Threema
https://de.wikipedia.org/wiki/NaCl_(Software)

Source Code:
https://threema.ch/de/open-source
https://nacl.cr.yp.to/

Praxistaugliche Antworten auf Deutschlands größten Datenschutz Video-Blog

Frag einen Datenschutzbeauftragten

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Auftragsverarbeitung: Wie automatisiere ich die Unterzeichnung von AV-Verträgen mit meinen Kunden?

Wir zeigen Dir wie wir bei Datenschutz ist Pflicht die Unterzeichnung von AV-Verträgen mit unseren Kunden vollständig automatisiert haben.

Informationen über Frag einen Datenschutzbeauftragten

Wer steckt dahinter?

Stephan Plesnik „Der Enabler“ ist Datenschutzbeauftragter im unserem Team von Datenschutz ist Pflicht. Hauptberuflich ist er Trainer, Coach und Mentor für Persönlichkeitsentwicklung & Unternehmensführung und befähigt Menschen auf ihrem Weg innovativer und nachhaltiger Veränderungen. Auf seinem Kanal „Make . Your . Self“ veröffentlicht er regelmäßig Videos mit Problemlösungen aller Art. Seine Spezialausbildungen reichen von Musik-, Film- und Grafikproduktion über IT-Sicherheit, Datenschutz bis zu Business Transformation Management.

Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH und beschäftigt ein großes Team von Datenschutzbeauftragten. Was uns auszeichnet sind die vielfältigen Spezialausbildungen unserer Datenschutzbeauftragten. So sind unsere Mitarbeiter IT-Sicherheitsbeauftragte, Fachinformatiker oder IT-Business-Architekten und nutzen ihre fundierten Kenntnisse der digitalen Technologien, um unseren Kunden den Datenschutz so einfach wie möglich zu gestalten.