Fallbeispiel: Threema entschlüsselt seinen Quellcode

Fallbeispiel: Threema entschlüsselt seinen Quellcode

5. Dezember 2020 - Die Schweizer Entwickler von Threema sind überzeugte Open-Source-Verfechter. Noch im Dezember wird der Quellcode der sicheren Nachrichten-App vollständig offengelegt. Und auch reproduzierbare Builds will der Entwickler zur Verfügung stellen.
Artikel erschienen in IT Magazine 2020/12
Im September 2020 kündigte Threema an, in den kommenden Monaten den App-Quellcode der sicheren Messaging-App vollständig offenzulegen und reproduzierbare Builds zu ermöglichen. «Diese umfassende Transparenz erlaubt es jedermann, die Sicherheit und Funktionsweise von Threema selbständig zu überprüfen und zu verifizieren, dass der veröffentlichte Quellcode mit der installierten App übereinstimmt», so Roman Flepp, Marketing-Chef bei Threema, damals.

«Swiss IT Magazine» wollte es genauer wissen: Wie funktioniert ein solcher Prozess? Und welche Vorteile ergeben sich tatsächlich durch die Freigabe des Quellcodes einer ehemals proprietären Software?

Verschlüsselte Nachrichten, offener Quellcode

Der Quellcode von Threema war bislang nicht einsehbar. was mitunter für Kritik sorgte. Die Offenlegung erlaubt es nun jedem, die Sicherheit und Funktionsweise von Threema selbst zu überprüfen und zu verifizieren. (Quelle: Threema)
Threema ist eine Kurznachrichten-App mit einem besonderen Fokus auf Sicherheit und Datenschutz. Echte Ende-­zu-Ende-Verschlüsselung garantiert, dass niemand ausser dem vorgesehenen Empfänger eine Nachricht lesen kann. Threema kann ausserdem auch anonym, ohne Angabe von personenbezogenen Daten wie Telefonnummer oder E-Mail-Adresse, genutzt werden. Nachrichten werden auf den Servern nach der Auslieferung umgehend gelöscht, wodurch Nutzer vor Missbrauch, Diebstahl oder Weitergabe der Daten geschützt werden.

Doch wie kam es dazu, dass sich das Unternehmen entschied, seinen wertvollen Quellcode der Applikation frei zugänglich und reproduzierbar zu machen? «Wir sind überzeugte Verfechter der Open-Source-Initiative», erklärt Roman Flepp. «Einer der Threema-­Gründer hat zum Beispiel 2003 das M0n0wall-Projekt ins Leben gerufen, welches zur Grundlage vieler Sicherheits- und Firewall-Produkte wurde.» Möglich wurde das Projekt zur Offenlegung des Quellcodes zudem dank der Beteiligungsgesellschaft, die kürzlich bei Threema eingestiegen ist. Dies gab dem Unternehmen die Chance, den App-Quellcode offenzulegen, ohne das Geschäftsmodell und damit die Einnahmequelle grundlegend zu gefährden.

Der Schritt soll volle Transparenz schaffen, so Flepp weiter. «Die Nutzer brauchen sich nicht allein auf unser Wort oder die Expertise Dritter zu verlassen. Zwar haben wir regelmässig externe Sicherheits-Audits in Auftrag gegeben, aber nun kann sich jeder selbst davon zu überzeugen, dass alles mit rechten Dingen zugeht.» Es geht also um Vertrauen. Anders als bei anderen, vermeintlich sicheren Kurznachrichten-Apps, galt Threema aber schon davor als besonders sicher. Gerade, weil bekannt war, welche Technologien zur Verschlüsselung genutzt werden.

Doch aufs Erste klingt die Verknüpfung von verschlüsselter Kommunikation mit offenem Quellcode doch etwas paradox. Tatsächlich macht es aber Sinn, wie Roman Flepp erläutert: «Zu den eingangs genannten Gründen der Transparenz kommt, dass wir an unserem Beispiel Best Practices im Bereich Sicherheit und Datenschutz demonstrieren können. Wenn sich Dritte durch unsere Arbeit inspirieren lassen, bringt uns das als Community weiter.»
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER