Von Veröffentlicht am

Signal vs. Threema: Sicherheit, Recht, Vertrauen

Messenger-Apps gibt es wie Sand am Meer – und täglich versprechen neue Anbieter mehr Sicherheit, mehr Kontrolle, mehr Privatsphäre. Doch gerade in Zeiten digitaler Umbrüche, wachsender politischer Unsicherheit und globaler Machtverschiebungen ist es wichtig, hinter die Marketingversprechen zu blicken. Was zählt, sind nicht schöne Interfaces oder hippe Features, sondern: echter Datenschutz, digitale Souveränität und technische wie rechtliche Resilienz gegenüber Überwachung und Einflussnahme. Besonders in einem Jahr wie 2025, in dem die Weltlage brodelt und der Ruf nach digitaler Selbstbestimmung lauter wird denn je.

Zwei Dienste stehen dabei besonders oft im Fokus: Signal und Threema. Beide gelten als sicher – aber auf sehr unterschiedliche Weise. Die Wahl des Messengers ist nicht nur eine Frage der Technik, sondern auch der politischen und rechtlichen Rahmenbedingungen.

INFRASTRUKTUR

Signal

Signal setzt auf eine Infrastruktur, die zu großen Teilen auf Diensten US-amerikanischer Tech-Giganten basiert. Die Server laufen beispielsweise über Microsoft Azure, was das Backend und Hosting umfasst. Für Schutzmaßnahmen wie TLS-Offloading und DDoS-Abwehr ist Cloudflare eingebunden – ein Unternehmen, das auch Funktionen wie Domain Fronting oder den „Sealed Sender“-Mechanismus unterstützt. Letzterer dient dazu, die Absender-Identität zusätzlich zu verschleiern. Zur Nutzerverifizierung nutzt Signal Drittanbieter wie Twilio, die den Versand von Registrierungs-SMS übernehmen. Auch Amazon S3 war zeitweise Bestandteil der Medienübertragung.

Technische Infrastruktur von Signal (Auszug):
– Microsoft Azure (Server & Backend)
– Cloudflare (DDoS-Schutz, TLS, Domain Fronting, Sealed Sender)
– Twilio (SMS-Verifizierung)
– Amazon S3 (ehemals Medienübertragung)

Systemunterstützung & Funktionen:
– Plattformen: Android, iOS, Windows, macOS, Linux
– Keine Webversion verfügbar
– Audio-/Videochats, Sprachnachrichten, Gruppen bis 1000 Teilnehmer
– Selbstzerstörende Nachrichten
– Lokale Backups unter Android, verschlüsselt

Sicherheitstechnische Eigenschaften:
– Open Source (GPLv3), vollständige Ende-zu-Ende-Verschlüsselung
– Quantenresistente Verschlüsselung (CRYSTALS-Kyber)
– Fingerprint-Verifikation bei Kontakten, Hinweise bei Schlüsselwechsel
– Push-Benachrichtigungen: Google (FCM), Apple (APN), Direktverbindung

Datenschutzaspekte:
– Registrierung erfordert Telefonnummer
– Teilweise Schutz vor Metadaten
– Nutzung auch ohne Adressbuchfreigabe möglich
– Keine Tracker, werbefrei

Threema

Im Gegensatz dazu betreibt Threema seine komplette Infrastruktur selbst – ausschließlich in der Schweiz. Die Server stehen unter der Kontrolle des Unternehmens, es kommen keine externen Cloudanbieter zum Einsatz. Threema setzt bewusst keine Dienste aus den USA oder anderen Staaten ein, in denen datenschutzrechtlich bedenkliche Gesetzgebungen greifen könnten. Auch das Push-System für Benachrichtigungen ist vollständig in Eigenregie aufgebaut, was bedeutet, dass keine Metadaten oder Nutzungsinformationen an Dritte gelangen.

Technische Infrastruktur von Threema (Auszug):
– Eigene Server in der Schweiz (Hosting und Backend unter eigener Kontrolle)
– Eigenes Push-System (kein Google/Apple bei Android, außer systembedingt APNS bei iOS)
– Keine Nutzung von US-Cloud-Diensten wie AWS, Azure oder Google Cloud
– Threema Libre: Android-Version ohne Google-Dienste
– Keine zentrale Nutzerverwaltung oder Kontosysteme – alles bleibt lokal auf dem Gerät

Systemunterstützung & Funktionen:
– Plattformen: Android, iOS, Windows, macOS, Linux, Webbrowser
– Audio-/Videochats, Sprachnachrichten, Gruppen bis 256 Teilnehmer
– Keine selbstzerstörenden Nachrichten
– Lokale und serverbasierte verschlüsselte Backups
– Keine WebSocket-Verbindungen, sondern regelmäßige Abfragen – etwas energieintensiver, aber datensparsamer

Sicherheitstechnische Eigenschaften:
– Open Source (AGPLv3 – nur Client), vollständige Ende-zu-Ende-Verschlüsselung
– NaCl/Ibex-Kryptografie, keine proprietären Bibliotheken (außer Store-Version)
– Fingerprint-Verifikation bei Kontakten, Hinweise bei Schlüsselwechsel
– Push-Benachrichtigungen: Direktverbindung, FCM/APN (nur bei Bedarf)

Datenschutzaspekte:
– Nutzung ohne Telefonnummer oder E-Mail-Adresse möglich
– Keine Tracker, werbefrei
– Kein zentraler Adressbuchabgleich – optional, einwegverschlüsselt

Finanzierung & Modell:
– Einmalige Kosten von 5,99 € (auch anonym bar bezahlbar)
– Klare Finanzierungsstruktur ohne externe Kapitalgeber
– Zentrale Struktur, aber mit vollständig eigener Infrastruktur

DSGVO-Kommentar:
– Threema unterliegt direkt dem europäischen Datenschutzrecht (DSGVO-konform).
– Signal steht aufgrund seiner US-Zugehörigkeit in einem potenziellen Spannungsverhältnis zur DSGVO – insbesondere bei Metadatenverarbeitung über US-Infrastruktur.

RECHT

Signal

Signal ist ein Produkt unter US-amerikanischer Jurisdiktion – mit allen Konsequenzen. Das Unternehmen unterliegt dem CLOUD Act, der es US-Behörden erlaubt, Zugriff auf Daten zu verlangen, selbst wenn sie außerhalb der Vereinigten Staaten gespeichert sind. Zwar speichert Signal selbst nur minimale Metadaten – etwa den Zeitpunkt der Registrierung und der letzten Serververbindung – dennoch hat der Dienst in der Vergangenheit genau diese Daten an Ermittlungsbehörden weitergeben müssen. Ein Beispiel aus dem Jahr 2024 zeigt, dass bei entsprechender rechtlicher Grundlage durchaus Kooperation erfolgt.

Darüber hinaus verpflichtet die US-Gesetzgebung Unternehmen zur Kooperation mit Sicherheitsbehörden – oft unter Geheimhaltungspflicht (Gag Orders). Das bedeutet: Selbst wenn Signal gezwungen würde, Überwachungsmaßnahmen umzusetzen oder Schnittstellen für Metadatenzugriffe bereitzustellen, dürfte der Dienst dies unter Umständen nicht einmal öffentlich machen. Das schränkt die Transparenz massiv ein und stellt ein strukturelles Risiko dar – gerade für Menschen in sensiblen Kontexten wie Journalismus, Aktivismus oder Whistleblowing.

Neben dem CLOUD Act sind weitere US-Gesetze von Bedeutung:

FISA §702 (Foreign Intelligence Surveillance Act): Erlaubt US-Geheimdiensten, auf Daten von Nicht-US-Bürger:innen im Ausland zuzugreifen – insbesondere, wenn diese über US-Dienste oder -Server laufen. Das betrifft auch Metadaten, die über Signal-Infrastruktur wie Cloudflare oder Microsoft Azure übertragen werden. Auch wenn die US-Regierung betont, dass FISA §702 keine Massenüberwachung, sondern gezielte Erfassung betrifft, zeigen Praxisbeispiele und Leaks, dass technische Infrastruktur und Metadaten dennoch in großem Stil erfasst und ausgewertet werden können.
Quelle: FISA Section 702

Patriot Act (Abschnitt 215): Erlaubt US-Behörden den Zugriff auf sogenannte „geschäftsrelevante“ Daten („tangible things“) wie Verbindungsprotokolle, Dokumente oder Telefondaten – auch bei Ermittlungen mit Auslandsbezug. In der Vergangenheit wurde dieser Paragraph insbesondere zur massenhaften Sammlung von Telefondaten (z. B. Zeitpunkt, Dauer, Nummern) genutzt. Zwar wurde das Programm in Teilen eingeschränkt und 2020 formell beendet, die grundlegende Befugnis zur Datenerhebung besteht jedoch fort – insbesondere im Rahmen nationaler Sicherheitsinteressen. Für Kommunikationsdienste bedeutet das: Auch Metadaten können unter bestimmten Bedingungen eingefordert werden – ohne dass Inhalte betroffen sein müssen. Dass es sich „nur“ um Metadaten handelt, ist allerdings trügerisch: Sie verraten oft mehr über soziale Netzwerke und Bewegungsprofile als Inhalte selbst.
Quelle: Patriot Act (Abschnitt 215)

Executive Order 12333: Diese präsidentielle Anordnung erlaubt der NSA, Kommunikationsdaten außerhalb des FISA-Rahmens und ohne richterliche Anordnung zu sammeln – insbesondere im Ausland. Die Sammlung erfolgt oft direkt an internationalen Knotenpunkten oder über globale Infrastruktur, unabhängig vom Speicherort. Auch wenn Signal selbst keine Inhalte speichert, kann der darüber laufende Verkehr – etwa Metadaten, IPs oder Routing-Informationen – technisch dennoch erfasst werden. EO 12333 gilt als besonders weitreichend, da sie keine individuellen Verdachtsmomente voraussetzt und sich der üblichen juristischen Kontrolle entzieht.
Quelle: Executive Order 12333

National Security Letters (NSL): Eine besonders umstrittene Form geheimdienstlicher Anfragen. Sie verpflichten Unternehmen – etwa Telekomprovider, Cloud-Anbieter oder Finanzdienste – zur Herausgabe von Kundendaten, insbesondere Metadaten. Die Anordnung erfolgt ohne richterliche Kontrolle, und oft ist der Empfänger verpflichtet, über die Existenz des NSL zu schweigen („Gag Order“). Das untergräbt Transparenz und macht unabhängige Überprüfung nahezu unmöglich. Auch Signal – als US-Anbieter – könnte prinzipiell Empfänger eines solchen Schreibens sein, ohne dies je öffentlich machen zu dürfen.
Quelle: National Security Letters (NSL)

Hinweis zur Einordnung politischer Nähe: Es existieren keine Beweise für eine operative Einflussnahme durch US-Regierungsstellen oder Förderorganisationen auf Signal. Die strukturelle Nähe – etwa durch frühere Förderungen des Open Technology Fund oder die Biografie führender Personen – ist jedoch dokumentiert und bietet berechtigten Anlass zur kritischen Reflexion.

Threema

Threema profitiert bislang von der stabilen, datenschutzfreundlichen Gesetzeslage in der Schweiz. Als Schweizer Anbieter unterliegt Threema keinem internationalen Überwachungsbündnis wie den „Fourteen Eyes“ und ist nicht verpflichtet, Daten an ausländische Behörden weiterzugeben – es sei denn, eine entsprechende Rechtshilfeersuchen liegt vor und betrifft schwere Straftaten.

Doch dieser oft zitierte Standortvorteil hat Schattenseiten: Die Schweiz gilt zwar gemeinhin als Datenschutzparadies – neutral, stabil, unabhängig –, aber dieser Ruf ist zunehmend brüchig. Bereits seit 2017 erlaubt das Nachrichtendienstgesetz (NDG) dem Schweizer Nachrichtendienst weitreichende Befugnisse: Erlaubt sind etwa die sogenannte Kabelaufklärung (das Abgreifen von Daten direkt am Internetkabel), der Einsatz von Staatstrojanern und eine intensive Kooperation mit ausländischen Geheimdiensten – selbst dann, wenn kein konkreter Verdacht vorliegt. Während im politischen Vorfeld der NDG-Abstimmung 2016 noch betont wurde, dass nur Auslandsverbindungen betroffen seien, stellte sich später heraus, dass auch inländischer Datenverkehr erfasst wird. Begriffe wie "Filterung" oder "Überwachung" wurden nie eindeutig definiert – ein juristisches und demokratisches Vakuum, das viele Fragen offenlässt.

Zwar existieren Kontrollinstanzen und Genehmigungsverfahren, doch deren Effektivität ist umstritten. In der Praxis führt das dazu, dass der Schweizer Staat über legale Mittel verfügt, um tief in die digitale Privatsphäre seiner Bürger – und auch internationaler Nutzer – einzugreifen. Das betrifft letztlich auch Dienste wie Threema und ProtonMail: Sie werben mit technischer Sicherheit, Verschlüsselung und No-Log-Prinzipien – aber auch sie sind nicht immun gegen gesetzlich legitimierte Zugriffsbefugnisse.

Besonders brisant wird es durch die geplante Reform des Überwachungsgesetzes (BÜPF). Diese sieht vor, dass Dienste mit mehr als einer Million Nutzer:innen oder 100 Millionen Franken Umsatz künftig zur Vorratsdatenspeicherung sowie zur Echtzeitüberwachung von sogenannten Randdaten verpflichtet werden könnten. Dazu gehören etwa Informationen darüber, wann, wie lange, mit wem und von wo aus kommuniziert wurde. Zudem sollen Anbieter darüber Auskunft geben, welche Messaging-Dienste zuletzt verwendet wurden – eine tiefgreifende und potenziell missbrauchsanfällige Informationspflicht.

Threema, das 2021 erfolgreich vor dem Bundesgericht durchgesetzt hatte, nicht als klassischer Fernmeldedienst zu gelten, könnte durch diese Gesetzesreform erneut in eine Rolle gedrängt werden, die weit über das bisher gesetzlich Erlaubte hinausgeht. Das Unternehmen spricht selbst von einer "Überwachung durch die Hintertür" und erwägt eine Volksinitiative zum Schutz der digitalen Privatsphäre. Auch andere Anbieter wie ProtonMail zeigen Widerstand – mit der klaren Botschaft: Wenn die rechtlichen Rahmenbedingungen kippen, steht sogar ein Rückzug aus der Schweiz im Raum.

All das zeigt: Auch ein vermeintlich sicherer Standort wie die Schweiz ist keine Garantie für digitale Souveränität. Die Zahlen sprechen für sich: Allein im Jahr 2023 wurden über 9.400 Überwachungsmaßnahmen durch den Dienst für Überwachung des Post- und Fernmeldeverkehrs (ÜPF) durchgeführt – Tendenz steigend. Mit der geplanten Gesetzesreform würde nicht nur der Zugriff auf Randdaten massiv ausgeweitet, sondern auch eine rückwirkende Identifikation von Internetverbindungen möglich.

Für Unternehmen wie Threema hätte das drastische Folgen. Laut CEO Robin Simon müsste der Dienst künftig einen 24/7-Pikettdienst für Überwachungsanfragen bereitstellen, was personell und organisatorisch kaum zu stemmen wäre. Besonders paradox: Während der Bundesrat Threema selbst für interne Gruppenkommunikation nutzt – ebenso wie die Schweizer Armee – soll derselbe Dienst nun zur permanenten Überwachungskooperation gezwungen werden.

Für Threema steht damit nicht weniger als die eigene Existenz auf dem Spiel. Der Kern des Dienstes – keine Vorratsdaten, keine zentrale Speicherung, keine Drittanbieter – würde durch die gesetzlichen Vorgaben ausgehöhlt. Deshalb zeigt sich Threema entschlossen, auch juristisch und politisch gegen die Pläne vorzugehen – bis hin zu einer Volksinitiative zum Schutz der Privatsphäre.. Der rechtliche Schutz ist nicht statisch, sondern politisch verhandelbar – und damit potenziell anfällig für Verschiebungen, die mit Datenschutz wenig, mit staatlicher Kontrolle aber sehr viel zu tun haben. Auch andere Anbieter wie ProtonMail schlagen Alarm und kündigen Widerstand an – notfalls bis hin zum Rückzug aus der Schweiz.

Ergänzend dazu weist Amnesty International auf eine weitere, häufig übersehene Problematik hin: die unzureichende politische und strafrechtliche Aufarbeitung ausländischer Überwachung in der Schweiz. Trotz zahlreicher Hinweise – etwa durch die Enthüllungen der NSA – wurde bislang keine umfassende Untersuchung der Aktivitäten ausländischer Nachrichtendienste auf Schweizer Boden eingeleitet. Strafanzeigen wegen Spionage wurden mit knapper Begründung abgelehnt, und die vom Parlament geforderte Expertenkommission zur Zukunft der Datensicherheit wurde bis heute nicht eingesetzt.

Amnesty kritisiert zudem das Nachrichtendienstgesetz (NDG) sowie die Revision des BÜPF scharf: Beide erlauben Überwachungsmaßnahmen, die weit über das hinausgehen, was menschenrechtlich vertretbar ist. Die sogenannte Kabelaufklärung – also das massenhafte Abhören von Internetverbindungen – und die verdachtsunabhängige Vorratsdatenspeicherung stellen laut Amnesty schwerwiegende Eingriffe in die Privatsphäre dar. Besonders problematisch sei, dass von diesen Maßnahmen alle Nutzer:innen betroffen sind – unabhängig von konkretem Verdacht.

Darüber hinaus fordert Amnesty strengere Exportkontrollen für Überwachungstechnologien sowie ein robustes gesetzliches Fundament zum Schutz von Whistleblowern. Ohne diese Elemente, so Amnesty, könne die Schweiz ihrem Anspruch als demokratischer Rechtsstaat nicht gerecht werden.

VERTRAUEN

Signal

Signal überzeugt auf technischer Ebene: Die App ist vollständig Open Source, nutzt moderne kryptografische Verfahren, bietet Forward Secrecy und inzwischen sogar quantenresistente Verschlüsselung mit dem Algorithmus CRYSTALS-Kyber. Auch das Feature "Sealed Sender" ist innovativ. Nutzer können inzwischen auch über Benutzernamen statt Telefonnummern kommunizieren – ein wichtiger Schritt zu mehr Anonymität.

Doch Vertrauen entsteht nicht nur durch Technik. Ein näherer Blick auf Signal offenbart strukturelle Schwächen, die vielen Nutzer:innen nicht bewusst sind – oder bewusst verschleiert werden. Die Signal Foundation, die den Messenger betreibt, ist zwar eine gemeinnützige Organisation, doch die Entscheidungsprozesse sind hochgradig zentralisiert und nicht demokratisch legitimiert. Entscheidungen werden ausschließlich vom Vorstand getroffen – einer Gruppe mit engen Verbindungen zu Konzernen und politischen Institutionen.

Meredith Whittaker, aktuelle Präsidentin der Signal Foundation, war früher bei Google tätig und Teil des Open Technology Fund (OTF), der aus einem Netzwerk US-naher Organisationen wie Radio Free Asia hervorgegangen ist – ursprünglich ein Propaganda-Instrument mit CIA-Wurzeln. Der OTF dient heute als Schaltstelle, in der Staat, Wirtschaft und NGOs strategisch zusammenwirken, um digitale Technologien im Sinne US-amerikanischer Interessen zu fördern – insbesondere für sogenannte "regime change"-Zwecke. Signal gehörte zu den Projekten, die von diesen Strukturen unterstützt wurden. Auch andere Mitglieder der Signal-Führung haben Verbindungen zu Think Tanks, großen Tech-Unternehmen oder Regierungsinstitutionen.

Finanziell agiert Signal ebenfalls nicht unabhängig. Zwar präsentiert sich die Organisation als spendenfinanziert, doch große Beträge stammen von Akteuren wie der Musk Foundation, Fidelity Investments oder der Stiftung von Goldman Sachs. Im Jahr 2023 belief sich das Jahresbudget auf etwa 50 Millionen US-Dollar – davon entfielen über 4 Millionen allein auf die sieben bestbezahlten Mitarbeitenden. Whittaker selbst erhielt laut Steuerunterlagen ein Jahresgehalt von über 785.000 US-Dollar. Diese Zahlen werfen Fragen zur Fairness und Transparenz eines Projekts auf, das sich als gemeinnützig und basisnah präsentiert.

Hinzu kommt: Signal ist technisch stark abhängig von Infrastrukturkonzernen wie Amazon, Google und Microsoft – also von genau jenen Unternehmen, die weltweit mit Überwachung, Datenmonetarisierung und geopolitischen Interessen verknüpft sind. Diese Abhängigkeit betrifft nicht nur Hosting, sondern auch kritische Infrastruktur wie Push-Benachrichtigungen oder App-Distribution. Signal verweigert sich bis heute einer Veröffentlichung auf F-Droid – einer datenschutzfreundlichen, freien Alternative zu Googles Play Store. Offiziell heißt es, das sei aus Sicherheitsgründen – inoffiziell liegt der Verdacht nahe, dass wirtschaftliche Abhängigkeit eine Rolle spielt.

Auch wenn Signal keine Inhalte speichert, hat der Dienst in der Vergangenheit wiederholt Metadaten wie Anmeldezeitpunkte oder zuletzt aktive Telefonnummern auf Anfrage an Behörden übermittelt. Öffentlichkeitsarbeit und Transparenzberichte werden dabei oft mit ironischen Kommentaren versehen – etwa, dass man „nichts weiß“, obwohl Informationen sehr wohl weitergegeben wurden. Ein solcher Umgang fördert nicht gerade Vertrauen.

Ein weiterer Aspekt: Signal wurde in der Vergangenheit gezielt von westlichen Regierungen und IT-Konzernen in Konfliktzonen gefördert – etwa durch Partnerschaften mit Google zur Absicherung ukrainischer Signal-Nutzer:innen gegen russische Cyberangriffe. Das klingt auf den ersten Blick unterstützenswert, wirft aber die Frage auf, ob vergleichbare Unterstützung auch für andere, geopolitisch unliebsame Gruppen gelten würde. Die politische Selektivität ist offensichtlich – und sie relativiert das Bild eines angeblich neutralen Tools.

Nicht zuletzt stellt sich die Frage, wie sinnvoll es ist, kritische Kommunikationsinfrastruktur auf einem zentralisierten, kostenintensiven Modell aufzubauen – unter Kontrolle eines US-nahen Vorstands, gehostet von Big Tech, abhängig von millionenschweren Zuwendungen. Wenn Geräte beschlagnahmt oder kompromittiert werden – etwa durch forensische Tools wie Cellebrite –, hilft keine Ende-zu-Ende-Verschlüsselung. Und wenn ganze Protestnetzwerke über eine App wie Signal laufen, wird aus Sicherheit schnell ein Risiko.

Signal bietet starke Technik, aber schwache strukturelle Resilienz. Besonders deutlich wird das beim Umgang mit dem Feature "Sealed Sender": Zwar ermöglicht es verschleierte Absenderinformationen, doch es ist kein fester Bestandteil der Architektur – sondern lediglich ein "Best-Effort"-System, wie Signal-Entwickler:innen selbst auf GitHub einräumen. Der Server validiert bei jeder Nachricht, ob der Absender ein gültiges Token besitzt. Ist dies nicht der Fall – etwa weil der Empfänger dich blockiert hat oder seinen Schlüssel geändert hat –, wird ein HTTP 401 zurückgegeben, was automatisch zum Fallback auf unverschleierte Zustellung führt. Problematisch ist, dass dieser 401-Code technisch nicht unterscheidbar ist von einem gezielten Block durch den Server selbst. Der Signal-Server könnte also theoretisch jederzeit beschließen, Sealed Sender nicht mehr zu unterstützen – und niemand würde es sofort bemerken.

Eine Benachrichtigung bei einem solchen Fallback erfolgt standardmäßig nicht. Wer dennoch mehr Transparenz möchte, kann in den Einstellungen einen Sealed-Sender-Indikator aktivieren, der anzeigt, ob eine Nachricht tatsächlich verschleiert versendet wurde.

Dass Signal diesen Kompromiss bewusst eingeht, zeigt eine zentrale Schwäche im Design: Die Kontrolle über diese sicherheitsrelevante Funktion liegt letztlich beim Server – nicht bei den Nutzer:innen. Und genau da liegt das Problem.

Signal hat mehrfach betont, niemals Hintertüren einzubauen – selbst wenn dies gesetzlich gefordert würde. Im Zweifel wolle man lieber den Dienst einstellen. Diese Haltung verdient Respekt, reicht allein aber nicht aus, um vollstes Vertrauen zu rechtfertigen – gerade, wenn die Infrastruktur in den Händen von Konzernen liegt, die selbst nicht frei von politischen Interessen sind.

Threema

Bei Threema ist Vertrauen nicht nur ein Versprechen, sondern tief in der Architektur und im Selbstverständnis des Unternehmens verankert. Die App kann vollständig anonym genutzt werden – ohne Telefonnummer, ohne E-Mail-Adresse, ohne zentral gespeichertes Benutzerkonto. Alles Wesentliche geschieht lokal auf dem Gerät: Nachrichten, Kontakte, Gruppen, Schlüssel. Selbst der Adressbuchabgleich ist optional und erfolgt einwegverschlüsselt – ohne dass Daten dauerhaft oder zentral gespeichert würden.

Technisch setzt Threema auf bewährte Kryptografie: NaCl/Ibex, vollständige Ende-zu-Ende-Verschlüsselung, Forward Secrecy, Reproducible Builds. Die App ist Open Source (Client) und wird regelmäßig extern auditiert – mit öffentlich einsehbaren Ergebnissen. Für besonders datenschutzbewusste Nutzer:innen bietet Threema die Android-Variante Threema Libre, die komplett ohne Google-Dienste auskommt. Der Erwerb der App ist sogar anonym per Barzahlung möglich – ein Detail, das sinnbildlich für den kompromisslosen Fokus auf Privatsphäre steht.

Wichtig zu wissen: Die Server-Komponenten von Threema sind derzeit nicht quelloffen – was bedeutet, dass der vollständige Quellcode der Serversoftware nicht öffentlich überprüfbar ist. Das steht im Kontrast zum offenen Client-Code und wirft berechtigte Fragen hinsichtlich vollständiger Transparenz auf. Zwar wurden in der Vergangenheit externe Sicherheits-Audits durchgeführt, doch ein echtes „Trust, but verify“-Prinzip lässt sich auf Serverseite derzeit nur eingeschränkt anwenden.

Auch auf infrastruktureller Ebene bleibt Threema unabhängig: Eigene Server in der Schweiz, keine Cloud-Dienste von US-Anbietern, keine externen Push-Infrastrukturen (außer bei iOS aus systembedingten Gründen). Die Architektur verzichtet bewusst auf zentralisierte Nutzerverwaltung oder Metadatenaggregation. Gruppenverwaltung, Nachrichteninhalte, Verbindungen – all das verbleibt unter der Kontrolle der Nutzer:innen.

Im Unterschied zu vielen anderen Anbietern agiert Threema ohne strategische Investoren, Venture-Capital-Logik oder milliardenschwere Spender. Das Unternehmen ist vollständig eigenfinanziert, entwickelt seine Software inhouse und verfolgt ein klares Geschäftsmodell: Einmalzahlung statt Datenauswertung, Sicherheit statt Wachstum um jeden Preis. Diese wirtschaftliche Unabhängigkeit ist selten – und ein essenzieller Bestandteil dessen, was Vertrauen überhaupt erst möglich macht.

Ein nicht zu unterschätzender Faktor: Threema hat sich wiederholt auch politisch positioniert. Als der Schweizer Bundesrat eine Ausweitung der Überwachungspflichten plante, gehörte Threema zu den ersten, die offen dagegen protestierten – mit der Androhung einer Volksinitiative und der klaren Botschaft, notfalls nicht mitzuspielen. Während andere schweigen oder sich wegducken, spricht Threema öffentlich über digitale Grundrechte und verteidigt den Kern seiner Plattform aktiv gegen politische Eingriffe.

Natürlich ist auch Threema nicht völlig immun gegen Überwachung – vor allem angesichts der geplanten Gesetzesänderungen in der Schweiz. Aber der Dienst macht keine falschen Versprechungen: Er informiert offen über Grenzen, stellt keine Marketinghülsen vor rechtlich fragwürdige Konstrukte und setzt auf ein Sicherheitsmodell, das möglichst wenig Vertrauen erfordert – weil es auf technischer Kontrolle basiert.

In einer Welt, in der fast alle Kommunikationsdienste auf zentralisierten Strukturen, US-Clouds und persönlichen Identitäten basieren, geht Threema einen anderen Weg. Und dieser Weg ist nicht nur technisch clever, sondern vor allem: politisch konsequent.

FAZIT

Signal und Threema sind beide deutlich sicherer als WhatsApp oder Telegram – keine Frage. Sie bieten starke Verschlüsselung, transparente Entwicklung und keine Werbung. Doch in der Praxis entscheidet nicht nur die Technik, sondern das gesamte System: Wer kontrolliert die Infrastruktur? Unter welchem Recht agiert der Dienst? Wie unabhängig ist das Projekt tatsächlich?

Signal wird zwar oft als Vorbild für sichere Kommunikation genannt, doch ein genauerer Blick auf seine Entstehung, Finanzierung und technische Abhängigkeiten zeigt: Die Plattform ist tief in US-Strukturen eingebettet – mit engen Verbindungen zu Regierungsstellen, großen Tech-Konzernen und milliardenschweren Geldgebern. Auch wenn die Verschlüsselung stark ist, bleibt die Frage: Wie souverän kann eine Plattform sein, die auf Amazon-, Google- und Microsoft-Infrastruktur basiert?

Threema dagegen setzt kompromisslos auf Unabhängigkeit, Anonymität und Metadatenfreiheit. Die Schweizer Rechtslage, eigene Infrastruktur, offene Architektur und die Möglichkeit zur anonymen Nutzung machen einen echten Unterschied.

In einer digitalen Welt, in der jede Kommunikation Spuren hinterlässt, ist es nicht nur eine technische Entscheidung, welchen Messenger du nutzt – es ist eine politische. Angesichts der Tatsache, dass selbst westlich geprägte Staaten Überwachung ausbauen, biometrische Identitäten verknüpfen und Plattformbetreiber zur Kooperation zwingen, ist ein unabhängiger, neutraler Standort keine Luxusentscheidung mehr, sondern ein fundamentaler Schutzfaktor – für alle, die ihre digitale Kommunikation nicht aus der Hand geben wollen.

Digitale Souveränität beginnt mit bewusster Entscheidung

Sie bedeutet, Verantwortung zu übernehmen – für die eigene Kommunikation, für die eigenen Daten und letztlich für die eigene Freiheit. Du musst nicht gleich zum Hacker werden – aber du solltest wissen, wem du deine Kommunikation anvertraust, welche Infrastrukturen im Spiel sind, unter welchen Gesetzen ein Dienst agiert und wie viel Kontrolle du tatsächlich hast. Wer blind auf Komfort setzt, gibt seine digitale Selbstbestimmung oft unbemerkt ab. Wer hingegen kritisch hinterfragt und bewusst wählt, kann sich ein Stück digitale Freiheit zurückholen. Digitaler Selbstschutz beginnt dort, wo Vertrauen nicht verlangt, sondern durch Technik, Transparenz und Souveränität verdient wird.

Quellenangaben:
1. CounterPunch: The Revolution Will Not Be Signaled (März 2025)
2. Amnesty International – Forderungen an die Schweiz zur Überwachungspolitik
3. Schweizer Tech­firmen wehren sich gegen Ausbau des Überwachungs­staats

Gregor

Gregor

IT-Sicherheitsspezialist und Analyst – trendbewusst, lösungs- und zukunftsorientiert. Mit Leidenschaft für smarte Sicherheitsstrategien, die Technik und Schutz optimal verbinden.