Verschlüsselte Botschaften

Threema gilt als sichere Alternative von Whatsapp & Co. Fünf Millionen Nutzer vertrauen dem Schweizer Start-up bereits, doch lässt sich mit so viel Sicherheit auch Geld verdienen?

Threema ist mehr als nur ein Messaging-Dienst, das Start-up ist ein Statement. Das macht Martin Blatter im Verlauf des Interviews mehrmals deutlich. „Wir wollen das Versprechen einhalten, dem Nutzer den besten Schutz seiner personenbezogenen und insbesondere seiner Metadaten zu ermöglichen. Wir machen das bis in die letzte Konsequenz“, so der Mitgründer (links neben Silvan Engeler auf dem Bild, zum Gründerteam gehört auch noch Manuel Kasper, Anm.) des im Frühjahr 2014 gestarteten Unternehmens. Der Fokus auf Nutzerschutz und Privatsphäre passt zum Unternehmen, denn auch Threema gibt sich in der Kommunikation bedeckt. Informationen zu den Gründern findet man kaum, vielmehr sollen Produkt und Nutzen im Vordergrund stehen. Dementsprechend zeigt sich der Softwareentwickler Blatter im Gespräch zwar durchaus redefreudig, wählt seine Worte aber mit Bedacht.

Sicherheit made in Switzerland

Bis in die letzte Konsequenz, wie von Blatter erwähnt, geht Threema bereits seit einigen Jahren. Der Messenger gilt aufgrund seiner fortschrittlichen End-to-End-Verschlüsselung und (Meta-)Datensparsamkeit als einer der vielversprechendsten Anbieter am Markt. Die Nutzer­daten, so heißt es, sind vor dem Zugriff durch Hacker, Unternehmen und Regierungen geschützt, zudem kann Threema völlig anonym verwendet werden. Die Schweizer wollen sich von herkömmlichen Chat-Apps abgrenzen. Denn das systematische Sammeln von – und Handeln mit – Personendaten durch Unternehmen ist den Gründern ein Dorn im Auge.

Auf der Homepage bezeichnen die Gründer Threema als „meistverkaufte sichere App“. Tatsächlich überprüfen lässt sich diese Behauptung angesichts der fehlenden Definition des Begriffs „Sicherheit“ in diesem Zusammenhang nicht. Dennoch führte der Schweizer IT-Sicherheitsberater Cnlab Security AG beim Messenger 2015 einen Audit durch und bescheinigte diesem, keine Schwächen bei der sicheren Kommunikation zu haben. Die Userzahlen wachsen seit Jahren kontinuierlich. Die App wird überwiegend in der deutschsprachigen Region genutzt (Threema selbst stammt aus dem Großraum Zürich) sowie in Nordeuropa – wie etwa in Belgien, den Niederlanden und Finnland. Ebenso erfreut sich der Dienst in den USA wachsender Beliebtheit. Nachdem die erste iOS-Version 2012 sowohl medial als auch in der Community auf positive Resonanz stieß, zählte Threema relativ bald 250.000 User. Heute sind es bereits über fünf Millionen aktive Privatnutzer weltweit. Zum Vergleich: Whatsapp hat laut dem Datenanbieter Statista 1,5 Milliarden aktive Nutzer, bei Telegram waren es laut Eigenangaben im März 2018 über 200 Millionen.

Alternative zum Platzhirsch Whatsapp

Der Platzhirsch Whatsapp hat aber auch mit Schwierigkeiten zu kämpfen: Als Facebook den Messenger im Februar 2014 für 19,3 Milliarden US-$ kaufte (der letztendliche Preis betrug dann jedoch 22 Milliarden US-$, da ein Teil des Kaufpreises mit Facebook-Aktien beglichen wurde und diese bis zur Finalisierung des Deals an Aktienwert gewonnen hatten, Anm.), kehrten diesem viele User den Rücken und suchten nach einer Alternative – die sie unter anderem bei Threema fanden. Innerhalb weniger Wochen stieg die Nutzerzahl der Schweizer auf zwei Millionen Menschen an. Denn Threema spielen technische Schwachstellen und Lücken der Konkurrenz in die Hände, frei nach dem Motto: Was ihr euren Kunden nicht bieten könnt, machen wir umso besser.

Wirklich beeindruckend findet Threema-Mitgründer Blatter die hohen Nutzerzahlen von Whatsapp und Co. aber scheinbar ohnehin nicht. Das Unternehmen verfolgt eine andere Philosophie – Wachstum ja, aber nicht um jeden Preis. „Das „Label ,Nischenanbieter‘ empfinden wir nicht als Beleidigung. Jemand, der sich eine Amazon Alexa kauft, hat wahrscheinlich kein Problem damit, wenn seine Daten für Werbezwecke abgegriffen und weitergeleitet werden. Insofern ist es gut, wenn man ein Nischenplayer ist, aber seinen Werten treu bleibt“, so Blatter.

"Zwei Schlüssel"-Prinzip

Der Wertekanon des Unternehmens ist unweigerlich mit dessen Technologie verbunden. Und damit auch die Tatsache, dass Threema wohl niemals eine „App für jedermann“ sein wird. Denn das Konzept hinter dem Messenger ist nicht so unkompliziert. Nutzer können mit der App chatten sowie Bilder, Videos, Text - und Sprachnachrichten, Dateien oder Standortdaten verschicken. End-to-end-verschlüsselte Anrufe sind ebenso möglich. Seit 2017 können User Threema auch am Desktop-Computer nutzen (Threema Web). Größere Dateien bergen jedoch Herausforderungen. Blatter: „Eine gute Verschlüsselung ist relativ ressourcen- und speicherintensiv. Wenn man zum Beispiel größere Videos versenden möchte, ist man auf Handys mit wenig Speicherplatz schnell am Anschlag.“ Das Problem werde sich durch leistungsstärkere Smartphones jedoch egalisieren, so Blatter.

Im Gegensatz zu herkömmlichen Messengern benötigen Nutzer zur (gegenseitigen) Identifikation keine Rufnummer, sondern eine sogenannte „Threema-ID“, die erstellt wird. Diese besteht aus einer zufällig erzeugten achtstelligen Abfolge von Buchstaben und Ziffern und ist untrennbar mit dem Schlüsselpaar verbunden, das zur Verschlüsselung verwendet wird. Das Schlüsselpaar besteht aus zwei Schlüsseln: einem privaten (verbleibt auf dem Gerät) und einem öffentlichen (wird an den Server gesendet und den anderen Teilnehmern bei Bedarf zur Verfügung gestellt). Die Nachrichten werden durch den Absender mit dem öffentlichen Schlüssel des jeweiligen Empfängers verschlüsselt. Der Empfänger kann diese mit seinem privaten Schlüssel öffnen – und zwar nur er. Das alles passiert innerhalb von Sekunden. Keine Drittpartei, nicht einmal der Serverbetreiber, kann den Inhalt der Nachrichten entschlüsseln, so Threema in einem offiziellen Bericht.

Der Inhalt der Kommunikation ist durch zwei Verschlüsselungsschichten geschützt. Damit besteht eine Ende-zu-Ende-Schicht zwischen den Gesprächsteilnehmern sowie eine, die die Kommunikation zwischen der App und dem Server schützt. Damit soll verhindert werden, dass etwa Angreifer in einem öffentlichen, drahtlosen Netzwerk die Identität des Nutzers stehlen können. Das Verschlüsselungsprotokoll basiert auf der Open-Source-­Bibliothek NaCl, was bedeutet, dass der Quellcode von jedermann unabhängig überprüft werden kann.

Schweizer Geheimnis

Dennoch hat man als Nutzer die Wahl, die Threema-ID auch mit seiner Telefonnummer oder E-Mail-Adresse zu verknüpfen. Dies hat den Vorteil, dass man von anderen Nutzern über diese Merkmale gefunden werden kann. Und wenn man möchte, kann man auch sein lokales Kontaktbuch mit Threema abgleichen und so selbst Kontakte finden. Dabei werden jedoch weder E-Mail-Adressen noch Telefonnummern des lokalen Adressbuchs auf dem Server gespeichert. Überhaupt werden so wenige Kommunikationsdaten wie möglich gespeichert. Metadaten (wer kommuniziert mit wem, wie oft, wann, von wo aus etc.) werden genauso wenig aufbewahrt wie Logdaten (also welche Threema-IDs untereinander kommunizieren). Die Nachrichten und Gruppenchats werden nach erfolgreicher Übermittlung vom Server – dieser steht in der Schweiz – gelöscht.

Die Sicherheitsarchitektur unterscheidet Threema von anderen Anbietern. Eine End-to-End-Verschlüsselung besteht auch bei Whatsapp. Blatter ist aber skeptisch: „Andere Messenger werden als sicher verkauft, sind es aber nicht. Bei einem bestimmten Anbieter werden nur speziell gekennzeichnete Chats Ende-zu-Ende-verschlüsselt – diese stehen dann auch im Desktop-Client nicht zur Verfügung. Im Normalfall findet nur eine Transportverschlüsselung statt, das heißt, die Chats sind auf dem Server für den Betreiber lesbar“, so Blatter.

Threema Safe, Threema Work

Selbst wenn die Sicherheit ein starkes Argument für Threema ist, wird das Unternehmen weiter innovieren müssen – insbesondere, um neue Kunden anzusprechen und Breitenwirkung zu erzielen. Blatter: „Wir haben zwar das Gefühl, dass wir den Spagat zwischen Sicherheit – insbesondere der Metadaten – und Nutzerfreundlichkeit gut geschafft haben. Es gibt aber immer Verbesserungspotenzial. Die größte Herausforderung ist, weiter zu unseren Werten zu stehen. Die Technologie muss ebenso immer optimiert und an neue Bedingungen angepasst werden.“ Über neue Features spricht Blatter nicht, verrät nur, dass das Start-up soeben „Threema Safe“ auf den Weg gebracht hat: Bisher gab es keine Möglichkeit für Nutzer, ein Backup zu erstellen, um Daten sicher zu speichern. Mit „Threema Safe“ können die wichtigsten Daten wie Schlüssel, Gruppen oder Kontaktlisten gespeichert werden – entweder auf ­einem eigenen oder auf Threemas Server, und zwar anonymisiert und ­verschlüsselt.

Ebenso besteht seit 2016 mit dem Dienst „Threema Work“ eine Kommunikationslösung, die auf Unternehmen und Organisationen ausgerichtet ist. Insbesondere in Branchen, in denen personenbezogene Daten oder Geschäftsgeheimnisse ausgetauscht werden, bestünde eine große Nachfrage. So habe „Threema Work“ 3.000 zahlende Kunden (Unternehmen, Ämter und Organisationen) mit insgesamt zwei Millionen Nutzern. Dies kommt nicht von ungefähr, ist doch die Nutzung von privaten Chat-Apps zu geschäftlichen Zwecken datenschutzrechtlich problematisch.

Finanzielle Unabhängigkeit

Neben ihren Führungsaufgaben widmen sich die drei Gründer Blatter, Kasper und Engeler nach wie vor intensiv der Softwareentwicklung. Blatter ist für die Android-Version zuständig. Threema besteht aus insgesamt 15 Mitarbeitern, wobei jeweils die Hälfte in der Softwareentwicklung sowie im Bereich Kommunikation und Marketing tätig ist.

Die personelle Aufstellung reiht sich in das Selbstverständnis von Threema ein: „Ein wesentlicher Faktor ist, dass wir auf Investoren verzichten. Das Unternehmen ist organisch gewachsen und nur aus Eigenmitteln finanziert. Alles, was wir ausgeben, haben wir durch App-Verkäufe selbst verdient. Wir verkaufen die App, nicht den User“, sagt Blatter. Denn letztlich würden Investoren immer auf einen geldschweren Exit abzielen; ein solcher sei aber nur über möglichst viele verwertbare Nutzerinformationen möglich. Auskünfte über die Umsätze macht Blatter nicht: Mit rund fünf Millionen Nutzern und einem Preis (für die App) von drei CHF müssten sich die seit 2014 generierten Gesamtumsätze des Start-ups aber im mittleren zweistelligen Millionenbereich bewegen.

Diese finanzielle Unabhängigkeit spiegelt sich bei Threema auch im Umgang mit Werbung wider. Denn die Monetarisierung durch Werbung, die bei der Konkurrenz durchaus ein Thema ist, beschäftigt Threema nicht. „In unserem Bereich bringt klassische Werbung nicht viel. Online-Werbung wird getargetet, Nutzerdaten gesammelt, ausgewertet und weiterverkauft – genau die Dinge, die wir ablehnen. Das passt nicht zu uns“, so Blatter. Für den Platzhirsch Whatsapp kündigte Facebook hingegen kürzlich an, künftig Werbung im Statusbereich der Nutzer einsetzen zu wollen. Für den Whatsapp-Mitgründer und „Privatsphäre-Freak“ Brian Acton war dies vor einem Jahr bereits der Grund, aus dem Unternehmen auszusteigen. Im Forbes-Interview kritisierte er Facebook, kurz nach der Übernahme von Whatsapp Pläne in diese Richtung geschmiedet zu haben. Es bestünde so die Gefahr, dass die End-to-End-Verschlüsselung zwischen Nutzern und Unternehmen „aufgeweicht“ werden könnte, so Acton.

Treue und Loyalität

Threema will seinen Werten treu bleiben, selbst wenn sich die gesellschaftlichen Rahmenbedingungen zusehends ändern. So gesehen sei auch das Schweizer Bundesgesetz betreffend der Überwachung des Post- und Fernmeldeverkehrs (BÜPF) – oftmals „Vorratsdatenspeicherung“ genannt – laut Blatter kein Problem. Threema sei nicht verpflichtet, Metadaten auf Vorrat zu speichern, denn das Gesetz richte sich an Anbieter von Telekommunikationsdiensten. „Wenn es irgendwann so weit kommen würde, dass wir verpflichtet werden, Daten aufzubewahren, die wir nicht erfassen – würden wir das dennoch nicht machen. Notfalls weichen wir in ein anderes Land aus.“

Mit seinen speziellen Ansätzen wird Threema sicherlich auch in Zukunft über loyale Nutzer verfügen. Die Frage ist, inwiefern deren Zahl noch ausbaufähig ist. Blatter ist optimistisch: „Wenn in der Bevölkerung und bei Unternehmen das Bewusstsein wächst, dass es nicht nur um die reine Verschlüsselung von Gesprächsinhalten geht, sondern um den Schutz der Metadaten, wächst auch unser Unternehmen – ohne dass wir unsere Werte verkaufen müssen.“

Text: Niklas Hintermayer
Foto: Valeriano Di Domenico

Dieser Artikel ist in unserer Dezember-Ausgabe 2018 „Sharing Economy“ erschienen.

Niklas Hintermayer,
Redakteur

Up to Date

Mit dem FORBES-NEWSLETTER bekommen sie regelmässig die spannendsten Artikel sowie Eventankündigungen direkt in Ihr E-mail-Postfach geliefert.