In den letzten Wochen berichteten bereits verschiedene Medien über den bevorstehenden Eigentümerwechsel bei Threema.
Die Meldung kam sachlich daher, beinahe technokratisch – und vielleicht machte genau das einige Leser misstrauisch.
Denn kaum war der Deal öffentlich, meldeten sich mehrere Besorgte.
Threema, jener Messenger, der sich über Jahre als digitale Antwort auf Schweizer Banksafes einen Namen gemacht hatte, wechselt den Besitzer.
Käuferin ist die deutsche Beteiligungsgesellschaft Comitis Capital, Verkäufer sind die Gründer. Sitz und Server sollen weiterhin Zürich bleiben, heisst es.
Doch die Frage, die zwischen den Zeilen mitschwang, war eine andere: Bleibt damit wirklich alles beim Alten?
Bei einem Teil der Leserschaft schrillten die Alarmglocken, nicht aus Jux, sondern aus historischer Erfahrung.
Denn wer in der Schweiz die Worte „Datensicherheit“, „Ausland“ und „Vertrauen“ in einem Satz hört, denkt unweigerlich an die Crypto AG.
Auch sie war einst ein nationales Aushängeschild, hochangesehen, neutral, angeblich unangreifbar.
Bis sich Jahrzehnte später herausstellte, dass ausländische Geheimdienste über gezielt eingebaute Schwachstellen mitlasen und die Schweiz, freundlich formuliert, nicht ganz so souverän war, wie man sich das selbst erzählt hatte.
Der Skandal wirkte nach, weil er einen Urmythos erschütterte: den Glauben, Schweizer Herkunft sei per se ein Sicherheitsversprechen.
Dass Threema die nächste Crypto AG werden könnte, würden alle Involvierten selbstverständlich weit von sich weisen.
Mit gutem Recht. Sie wollen ja nicht ihr eigenes Asset riskieren, wie das bei der Crypto dann passierte.
Die Parallele liegt nicht in der Konstruktion, sondern im Bauchgefühl.
Wieder geht es um sensible Kommunikation, wieder um ausländische Investoren, wieder um das Versprechen, dass alles „gleich bleibt“.
Und wieder stellen sich Nutzer die Frage, ob Eigentumsverhältnisse nicht doch irgendwann Einfluss nehmen – subtil, indirekt, schleichend.
Besonders sensibel ist die Lage dort, wo Threema nicht nur Privatnutzer bedient, sondern Teil kritischer Kommunikationsinfrastruktur ist.
HIN Talk, der sichere Kanal für grosse Teile der Schweizer Ärzteschaft, setzt auf Threema-Technologie.
Wo medizinische Daten im Spiel sind, wird aus abstraktem Datenschutz sehr schnell eine konkrete Haftungsfrage.
Entsprechend nervös fielen die Reaktionen aus – nicht zuletzt, weil Ärzte ungern Versuchskaninchen für geopolitische Experimente sind.
Der Bundesrat tauscht sich dann, wenns pressiert und besonders heikel ist, über Threema aus. So im März vor 3 Jahren, als er mit Notrecht und 250 Milliarden Risiko die Bank der UBS übergab.
Ein genauer Blick relativiert jedoch vieles. Schon der bisherige Investor war eine deutsche Beteiligungsgesellschaft.
Der neue Eigentümer tritt in ein bestehendes Konstrukt ein, die Gesellschaft ist in der Schweiz domiziliert, gleich wie der Server und der Betrieb der Firma.
Anwendbar bleibt das Schweizer Datenschutzrecht. Technisch bleibt die Ende-zu-Ende-Verschlüsselung unverändert, organisatorisch ebenso die Führung.
Das ist die ernüchternde Wahrheit.
Die Pressestelle fasst es trocken zusammen: Der Eigentümerwechsel habe keinen Einfluss auf Datensicherheit, Datenschutz oder Partnerdienste; Mission und Werte blieben unverändert.
Aber eben: Es bleibt ein Rest Unruhe. Nicht, weil etwas Konkretes falsch wäre, sondern weil die Crypto-Affäre gezeigt hat, wie lange falsche Gewissheiten halten können.
Vertrauen ist schnell formuliert, aber langsam verdient – und in der Schweiz besonders empfindlich, wenn man es über die Grenze trägt.
Vermutlich von Putin persönlich aus seiner Portokasse gekauft;)
Für Comitis Capital ist Threema ein Produkt das angepasst und auch verkauft werden kann, natürlich an den Meistbietenden. Datensicherheit und andere gut tönenden Begriffe sind da nicht mehr ausschlaggebend. Interessenten kaufen auch wegen der Datenmenge und deren „Qualität.
Man kann es anpassen, aber die Ärzteschaft muss sich nun nach einem neuen Kommunikationskanal umschauen. Ich will nicht, dass meine Daten über einen vom Ausland angepassten Kanal gehen.
Gemäss der damaligen Aussage bemerkte der jugoslawische Geheimdienst, welcher Kryptopapazitäten hatte, diese Schwachstelle, und presste aus der Crypto AG heraus, wie man die Geräte trotzdem abhörsicher verwenden kann.
Deshalb sollen sämtliche Aufklärungen der USA diesbezüglich während der Jugoslawischen Kriege der 1990er gescheitert sein. Besonders für die Bombardierung durch die NATO 1999.
(Apropos 1999: dass Dänemark den abgetrennten Kosovo als Staat anerkannte vergas man nicht. In Serbien unterstützt man Trump deswegen bezüglich Grönland. Ähnliche Aussage machte auch der Präsident.)
Hände weg von Threema!
Das Produkt ist nicht mehr unter Schweizer Kontrolle! Ich wede die Ärzte darauf hinweisen, dass ich nicht mehr via HIN kontaktiert werden möchte.
Das Produkt ist quelloffen und wird audidiert. Was soll das mit der „Schweizer Kontrolle“ zu tun haben?
Immer dieser Verrat von den Gründern. Wie bei WhatsApp. Erst das grosse Bla Bla von anders als die Grossen und dann genau bei denen Kasse machen.
Ich kehre Threema den Rücken, mit so einem Capitalfuzzy im Boot ist schon alles gesagt. Ist am Ende wieder so ein SMG-Drehbuch wo abartige „Bewertungen“ auf Marktbeherrschung und drei mal Kasse machen (Datenverkauf) hinauslaufen wird.
Die Sorge ist berechtigt. Es ist ein grundsätzliches Problem, wenn Daten im Netz zirkulieren und auf irgendwelchen Servern gespeichert werden. Alle diese Daten können theoretisch unerlaubt genutzt werden, heute, morgen oder erst in ferner Zukunft, das müssen wir uns bewusst sein. Datensicherheit hört dort auf, wo die Profitgier oder das Verbrechen anfängt.
Es wird eben mit Perfect Forward Secrecy genau dagegen vorgegangen, dass die Nachrichten nicht einfach so entschlüsselt werden können. Wenn, dann nur diese eine Nachricht von gerade eben.
Mann ey, mal vorher informieren, bevor BS gelallt wird…
Bei korrekt implementierter Ende-zu-Ende-Verschlüsselung ist es egal, ob man den Servern vertrauen kann oder nicht, weil sie so ausgelegt, dass ein „Mann in der Mitte“ mit den Daten nichts anfangen kann. Das ist ja genau die Idee von Anwendungen wie Threema und unterscheidet sie grundlegend von klassischen Webanwendungen US-amerikanischer Provenienz, deren Geschäftsmodell auf dem Sammeln von personenbezogenen Daten und dem Verkauf von Werbung basiert.
Wenn ihr keine Ahnung habt von Tuten und Blasen, dann solltet ihr es lassen.
Es ist die Software, welche die e2e-Verschlüsselung auslöst und nicht der heilige Geist. Und diese Software ist nun in fremden Händen.
Hier scheint es einige von Threema gesponsorte Leute auf diesem Thread zu haben.
Auch PFS ist nicht davor gefeit, dass die (fremde) Software sich vor dem Verschlüsseln eine kleine Sicherheitskopie wegschreibt.
Welchen Teil von „quelloffen und mit Audits geprüft“ hast Du nicht verstanden?
Geniesse weiterthin WhatsApp. Viel Glück!
Ich bin CSO (Chief Security Officer) mit 30 Jahren Berufserfahrung.
Und ja, ich habe von ‚tuten und blasen‘ keine Ahnung.
Aber ich habe über Security sehr viel Wissen.
Hätte, wäre, würde, …
Das ist genau der Punkt: man kann der Software nicht mehr vertrauen, dass diese die Ende-zu-Ende-Verschlüsselung korrekt implementiert.
Korrekt, aber dieser Traffic würde sofort auffallen. Insbesondere wenn er zeitnah immer und immer wieder auftauchen würde, nachdem man eine Threema-Nachricht geschickt hat.
Die Heuristik liefert hier sehr gute Ergebnisse.
Arroganz: 6
Fachwissen: 1
Solange der Code quelloffen ist und mit Audits überprüft wird, sehe ich da überhaupt kein Problem. Wenn es keine Audits mehr gibt: Tschüss Threema.
Besser geht’s eigentlich nicht
Der Code bei Threema ist eben nur teilweise offengelegt. Besser ist Signal wo alles offengelegt ist.
Ich habe mich eh schon immer gefragt, wie Kuhhirten mit IT umgehen können. Die letzten 50 Jahre haben deutlich aufgezeigt, dass sie besser auf ihren Almen geblieben wären.
Schade, wenn ein Mensch seine Schwächen nicht sieht und zugeben kann!
Aber das haben die Helvetier wohl von ihrer KI gelernt.
Bei Threema liest man „At the beginning of 2026, ownership of Threema is transferred from Afinum Management GmbH to Comitis Capital GmbH“
Afininum Management GmbH scheint aber auch eine deutsche Firma zu sein. Was ändert sich also?
Wenn mich nicht alles täuscht, waren für die „Crypto-AG“-Affäre Schweizer Behörden verantwortlich, und nicht Private Equity Firmen.
Ärzte, bitte sofort handeln!
Jetzt wird Threema auf die niedrige Stufe wie Whatsup gestellt.
Ich bin raus.
Wenn man sich jetzt aufregt, dann ist das völlig falsch, da hätte man sich vor ein paar Jahren enervieren können als Threema aus CH-Hand an eine deutsche Beteiligungsgesellschaft verkauft wurde.
Zudem bin ich mir sehr sicher, dass einige der hier Schreibenden im Alltag soziale Netze nutzen, welche aus USA kommen, Software nutzen, welche aus USA kommt, Betriebssysteme nutzen, welche aus USA kommen etc. Dort werden die Daten noch viel schneller und penibler untersucht, gruppiert, verdichtet und gespeichert um dann an den Meistbietenden verkauft. Und JA, völlig legal da AGBs akzeptiert wurden.
Genau, es ist verjährt.
Nun müsst ihr eben mit dem kompromittierten System leben.
Die grössere Gefahr ist das Schweizer Ausschnüffelgesetz (VüPF). Dieses verunmöglicht eine vollständige Daten-Privatsphäre und könnte Dienste wie Threema oder Proton dazu bewegen, die Schweiz zu verlassen (z.B. in die EU, weil dort der Datenschutz besser ist). Proton hat bereits die neuen Datacenter-Kapazitäten für ihr KI-Produkt nicht in der CH sondern in der EU aufgebaut.
Wieso hat eigentlich kein CH-Investor Threema gekauft? Es gäbe hier doch genügend finanzkräftige Investoren. Keine Eier? Aber immer gross darüber jammern, dass gute CH-Firmen ins Ausland verkauft werden.
fragt ein Schweizer IT’ler seinen eingebürgerten Landsmann:
„hast du heute schon den Datensicherheits-Code gesehen?“
Klar hat der Käufer finanzielle Interessen. Irgendwann will er seine Anteile gewinnbringend weiterverkaufen. Er wäre aber extrem dumm, den USP des Produkts aufs Spiel zu setzen, indem er bei der Sicherheit irgendwelche Kompromisse macht. Denn das würde den Wert seiner Beteiligung sofort ins Bodenlose sinken lassen. Bei einer Open Source-Anwendung wie Threema würden Manipulationen schnell auffallen, weile jede Änderung nachvollziehbar ist. Der Vergleich zur Blackbox Crypto AG ist nur schon deshalb abwegig.
Es ist erschreckend wie viele Unternehmen in ausländischem Besitz heutzutage sind. Es scheint Ausverkauf zu sein. Für die Jungen Schweizer ist das eine Katastrophe.
Ich bin kein Threema-Spezialist, aber so weit ich weiss ist diese Firma in Corona Zeit unter Druck gekommen, das sie im Jahre 2020 einen externen Investor suchen mussten. Dieser Investor hat nun an einen anderen deutschen Investor verkauft.