SfN
blank

Threema gewinnt vor Bundesgericht

Der Schweizer Messenger-Anbieter Threema hat vor dem obersten Gericht des Landes einen Sieg gegen das eidgenössische Justiz- und Polizeidepartement (EJPD) errungen, wonach die Threema GmbH nicht als Fernmeldedienstanbieterin im Sinne des BÜPF (Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs) zu betrachten sei, sondern nach wie vor als “Anbieterin abgeleiteter Kommunikationsdienste“. Somit ist Threema in der Schweiz nicht verpflichtet, Nutzer “mit geeigneten Mitteln” zu identifizieren und eine Vorratsdatenspeicherung zu betreiben.

von Der III. Weg

Threema schreibt hierzu auf ihren Medienkanal:
Der Versuch der Behörden, ihren Einflussbereich erheblich auszuweiten, um Zugriff auf noch mehr Nutzerdaten zu erhalten, ist somit endgültig gescheitert. Dass kein Präzedenzfall zulasten der Privatsphäre geschaffen wurde, ist nicht nur für Internetnutzer beruhigend, sondern auch erfreulich für hiesige Online-Dienste, welche andernfalls mit erheblichem administrativem Mehraufwand und grossen Wettbewerbsnachteilen gegenüber ausländischen Mitbewerbern konfrontiert gewesen wären.

Threema nutzt Open Source-Code

Sicherheit und Datenschutz sind tief in Threemas DNA verankert, weshalb die Apperstellerfirma den Code regelmässig extern prüfen ließ. In den kommenden Monaten wird zusätzlich der Quellcode der Threema Messenger-Apps vollständig offengelegt, somit werden reproduzierbare Builds ermöglicht. Das erlaubt jedermann, die Sicherheit und Funktionsweise von Threema selbst zu überprüfen und zu verifizieren, dass der veröffentlichte Quellcode mit der installierten App übereinstimmt.

Dank einer innovativen, plattformübergreifenden Multi-Device-Lösung wird Threema zudem künftig auf mehreren Geräten parallel nutzbar sein, auch am Computer und unabhängig vom Smartphone. Im Gegensatz zu bisherigen Lösungen am Markt werden dabei natürlich keine personenbezogenen Daten auf einem Server hinterlassen.

In Zukunft wird also Threema noch vertrauenswürdiger und die Nutzung noch bequemer.

Generelle Hinweise zur IT-Sicherheit

  • Den eigenen PC oder Laptop mittels VeraCrypt vollständig zu verschlüsseln. Die Verschlüsselung der Systempartition ist unabdingbar, da gerade die Microsoft-Betriebssysteme eine Menge Daten sammeln und auf dem Rechner in verschiedensten temporären Verzeichnissen ablegen, sodass die bloße Nutzung von verschlüsselten Containern keine Sicherheit bringt. Auch wenn es gerade bei der Benutzung des Betriebssystems Windows 10 zu Problemen mit den halbjährlich erscheindenen großen Updates kommen kann (möglicherweise muss vor der Installtion des Updates die Systempartition entschlüsselt und nach der erfolgreichen Installtion wieder verschlüsselt werden), raten wir von der Nutzung des Windows-eigenem Verschlüsselungsprogramms „Bitlocker“ dringend ab.
  • Externe Speichermedien (Festplatten und gerade USB-Sticks) sollten stets verschlüsselt sein. Hier bietet es sich an einen VeraCrypt Container zu erstellen (von der Vollverschlüsselung raten wir ab, da hier im Falle einer Beschädigung keine Diagnose und Reparaturprogramme genutzt werden können). Der Container sollte etwas kleiner sein als die Gesamtkapazität des Speichermediums. Am besten man lässt noch einen Bereich von 100 MB unverschlüsselt. Hier kann man die portable Version des Verschlüsselungsprogramms VeraCrypt speichern. So kann man seinen Container auch an fremden Rechnern, auf denen die Verschlüsslungssoftware nicht installiert ist problemlos öffnen. USB-Sticks sind aufgrund ihrer geringen Größe besonders gefährdet irgendwo verloren oder vergessen zu werden.
  • Bei der Aussonderung von Datenträgern sollte darauf geachtet werden, dass keine Daten mehr enthalten sind. Ein einfaches Löschen ist hier ungenügend, die Daten lassen sich in der Regel mit wenig Aufwand wiederherstellen. Da vermehrt sogenannte Flash-Speichermedien zum Einsatz kommen und hier bisherige Maßnahmen wie das mehrmalige Überschreiben der Daten (z.B. mit dem Programm Eraser oder CCleaner) nicht mehr funktionieren, sollten diese Datenträger vor der Entsorgung einfach komplett mit einem langen Passwort verschlüsselt werden.
  • Das Mobiltelefon sollte auf jeden Fall mit einem Kennwort gesperrt werden und die Vollverschlüsslung aktiviert sein. Wir raten von der Verwendung irgendwelcher Wisch-Gesten und den Fingerabdrucksensoren ab. Die Verschlüsselungsprogramme der Hersteller sind – von Ausnahmen abgesehen – zwar kein besonders guter Schutz aber besser als nichts. Daher gilt der Grundsatz: Desto weniger Daten auf dem Telefon gespeichert sind, desto besser.
  • Auf unsichere Messenger-Programme wie WhatsApp und Telegram sollte verzichtet werden. Wir empfehlen hier das Programm „Threema“ welches, bei diversen Tests in Punkto Sicherheit und Datenschutz stets am besten abschnitt. Der geringe Obolus der vor dem Download der App entrichtet werden muss ist somit gut investiert. Es ist besonders bei den Einstellungen darauf zu achten, dass IMMER eine Passphrase für den Schlüssel angelegt wird, das Programm beim Öffnen zusätzlich durch einen Zahlencode geschützt wird, Screenshots verhindert werden und der Speicher regelmäßig geleert wird.
  • Für die sichere Kommunikation per E-Mail ist in der Partei “Der dritte Weg” die Nutzung von PGP-Verschlüsslung vorgeschrieben. Nur der Absender und der/die Empfänger können die verschlüsselte E-Post entschlüsseln. Erfahrungsgemäß bereitet dieses Programm den Anwendern am Anfang immer die meisten Kopfschmerzen, bis das hinter der asymmetrischen Verschlüsselung stehende Prinzip verstanden ist.
  • Wichtig ist stets auch die Wahl der Kennwörter. Diese sollten so lang wie möglich (mindestens 25 Zeichen) sein, versehen mit Sonderzeichen und Groß- und Kleinschreibung. Auch ganze Wörter sollten bei Passwörtern vermieden werden.

3 Kommentare

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.