Weshalb es bei Threema keine Benutzerkonten gibt

Hand holding a keyring with a key and the Threema icon.

In der IT-Community geben derzeit gleich mehrere News-Meldungen zu reden, die auch bei einigen unserer User Fragen aufgeworfen haben. Zum einen verbreitet sich die Auffassung, dass kostenpflichtige Online-Dienste nicht mit Anonymität – und somit nicht mit konsequentem Datenschutz – vereinbar sind. Zum anderen stellt sich die Frage, was Ende-zu-Ende-Verschlüsselung nützt, wenn sich mittels Identitätsfälschung Benutzerkonten kapern lassen.

Anonymität und kostenpflichtige Online-Dienste

Wie Medien berichten, hat ein Schweizer E-Mail-Dienst auf behördliche Anordnung die Daten zu einem seiner Benutzerkonten herausgegeben. Weil darunter auch Kreditkarteninformationen waren und diese naturgemäss personenbezogene Angaben enthalten, konnten die Behörden einfach die Identität des betreffenden Benutzers ermitteln.

Auch Threema ist bekanntlich ein kostenpflichtiger Online-Dienst. Bei Threema bezahlen Nutzer jedoch nicht für ein Benutzerkonto, sondern für die Software. Erst nachdem die App erworben und heruntergeladen wurde, lässt sich innerhalb der App eine Threema-ID anlegen. Zahlungsdetails sind in der App nicht vorhanden, und eine Verknüpfung dieser Angaben mit der generierten ID ist daher unmöglich.

Falls Threema über den App Store von Apple oder über Google Play erworben wird, haben wir als App-Entwickler keine Kenntnis der Zahlungsdetails, und Apple bzw. Google wiederum hat keine Kenntnis der Threema-ID, die innerhalb einer App verwendet wird.

Von einer Threema-ID kann also nicht auf die Zahlungsdetails geschlossen werden, welche für den Kauf der App verwendet wurden. Um zu erfahren, welche Bestandsdaten zu ihrer ID konkret auf dem Server gespeichert sind, können Threema-Nutzer jederzeit «info» an *MY3DATA senden.

Kapern von Benutzerkonten

Anfang Woche haben die niederländischen Geheimdienste MIVD und AIVD vor einer gross angelegten Spionagekampagne gewarnt. Offenbar versuchen russische Staatsakteure gezielt, Signal- und WhatsApp-Benutzerkonten von Regierungsbeamten und hochrangigem Militärpersonal zu kapern.

Vorgegangen wird bei dem Phishing-Angriff offenbar meist wie folgt: Ein Kontakt, der als offizieller Support-Bot in Erscheinung tritt, weist die Zielperson an, aus Sicherheitsgründen ihren Verifizierungscode anzugeben. Leistet die Zielperson Folge, kann der Angreifer sofort das betreffende Benutzerkonto übernehmen.

Bereits der Vorfall, bei dem Regierungsmitglieder der USA versehentlich einen Journalisten zu einem hochsensiblen Gruppenchat hinzugefügt haben, hat gezeigt: Militärischer Informationsaustausch erfordert dedizierte Kommunikationslösungen und sollte nicht über Messaging-Dienste für Privatanwender abgewickelt werden.

Bei Threema Private, Threema Work und Threema OnPrem bestehen folgende Mechanismen zur Erschwerung bzw. Verhinderung der besagten Betrugsmasche:

  1. Vertrauensstufen zeigen in Threema an, mit welcher Art von Kontakt es ein Nutzer zu tun hat: unbekannt, bekannt oder verifiziert. Versucht sich ein unbekannter Kontakt als Threema-Support auszugeben, weist er die falsche Vertrauensstufe auf (einen roten Punkt). Der offizielle Threema-Support (*SUPPORT) ist ein verifizierter Kontakt und verfügt über drei grüne Punkte.

  2. Geschlossene Nutzergruppen ermöglichen Administratoren in Threema Work, die Kommunikation auf interne Kontakte zu beschränken. Das bedeutet, dass nur Nutzer innerhalb desselben Threema Work-Lizenzpakets miteinander kommunizieren können und es für Externe grundsätzlich nicht möglich ist, Nutzer zu kontaktieren und sich ihnen gegenüber als Support auszugeben.

  3. Self-Hosting mit Threema OnPrem bedeutet, dass Organisationen den Chat-Dienst auf ihrem eigenen Server betreiben und volle Kontrolle über jegliche Aspekte der Kommunikationslösung haben. In solch einer isolierten Umgebung ist die Kommunikation immer auf interne Kontakte beschränkt und eine derartige Phishing-Attacke von vornherein ausgeschlossen.

Wie unterscheidet sich die Threema-ID von einem klassischen Benutzerkonto?

Vor diesem Hintergrund lässt sich ein feiner konzeptueller Unterschied zwischen Threema und herkömmlichen Internet-Diensten aufzeigen.

Bei traditionellen Online-Diensten erstellen Benutzer zu Beginn ein Benutzerkonto auf dem Server, worauf sie üblicherweise mit ihrem Benutzernamen sowie einem frei gewählten Passwort zugreifen können. Oft entspricht dabei der Benutzername der E-Mail-Adresse oder Telefonnummer, und sollten Benutzer das Passwort einmal vergessen, können sie es bequem über die verwendete E-Mail-Adresse bzw. Telefonnummer wiederherstellen.

Herkömmliche Messenger verwenden meist die Telefonnummer als Benutzernamen. Bei der ersten Verwendung oder nach dem Wechsel auf ein neues Gerät erhalten die Nutzer daher eine Bestätigungs-SMS, um sich mit ihrer Telefonnummer anzumelden.

Bei Threema hingegen generiert jeder Nutzer zu Beginn eine zufällige Threema-ID – eine achtstellige Zeichenfolge ohne jeglichen Bezug zum Inhaber. Die Verknüpfung der Threema-ID mit einer Telefonnummer ist möglich, aber freiwillig, was auch eine anonyme Verwendung erlaubt.

Selbst wenn mit einer Threema-ID eine Telefonnummer verknüpft ist, lässt sich über diese Telefonnummer die Threema-ID aber nicht wiederherstellen. Wird eine Threema-ID nicht durch den Inhaber ausserhalb des Geräts gesichert (s.u.), kann sie bei Verlust des Geräts nicht wiederhergestellt werden.

Der Nachteil liegt auf der Hand: In so einem Verlustfall bleibt nichts anderes übrig, als eine neue ID zu generieren. Dem steht allerdings ein erheblicher Sicherheitsvorteil gegenüber, nämlich können auch Dritte nicht Zugriff auf die Identität erlangen, wie es bei der oben beschriebenen Phishing-Attacke geschieht.

Hinzu kommt, dass SMS als Kanal für die Identitätsverifizierung grundsätzlich bedenklich ist, zumal das Mobilfunknetz generell unverschlüsselt bzw. die entsprechende Infrastruktur fragil ist. In Ländern, in welchen die Telekommunikationsinfrastruktur als kompromittiert gelten muss, ist es für staatliche Akteure ein Leichtes, Benutzerkonten durch das Abfangen von Verifizierungs-SMS zu kapern.

Wenn Threema-Nutzer ihre ID zwar bestmöglich vor Fremdzugriff schützen, aber dennoch unter keinen Umständen verlieren möchten, ist ratsam, einen verschlüsselten ID-Export (z.B. in Form eines ausgedruckten QR-Codes) zu erstellen und an einem sicheren Ort aufzubewahren oder ein Threema Safe-Backup (ggf. auf einem eigenen Server) anzulegen.

Follow us

Threema

Made in Switzerland © 2026 Threema GmbH.

swiss made software + swiss hosting swiss digital services Association for Corporate Data Protection