Fallbeispiel: Threema entschlüsselt seinen Quellcode

Die Schweizer Entwickler von Threema sind überzeugte Open-Source-Verfechter. Noch im Dezember wird der Quellcode der sicheren Nachrichten-App vollständig offengelegt. Und auch reproduzierbare Builds will der Entwickler zur Verfügung stellen.

Artikel erschienen in Swiss IT Magazine 2020/12

     

Im September 2020 kündigte Threema an, in den kommenden Monaten den App-Quellcode der sicheren Messaging-App vollständig offenzulegen und reproduzierbare Builds zu ermöglichen. «Diese umfassende Transparenz erlaubt es jedermann, die Sicherheit und Funktionsweise von Threema selbständig zu überprüfen und zu verifizieren, dass der veröffentlichte Quellcode mit der installierten App übereinstimmt», so Roman Flepp, Marketing-Chef bei Threema, damals.


«Swiss IT Magazine» wollte es genauer wissen: Wie funktioniert ein solcher Prozess? Und welche Vorteile ergeben sich tatsächlich durch die Freigabe des Quellcodes einer ehemals proprietären Software?

Verschlüsselte Nachrichten, offener Quellcode

Threema ist eine Kurznachrichten-App mit einem besonderen Fokus auf Sicherheit und Datenschutz. Echte Ende-­zu-Ende-Verschlüsselung garantiert, dass niemand ausser dem vorgesehenen Empfänger eine Nachricht lesen kann. Threema kann ausserdem auch anonym, ohne Angabe von personenbezogenen Daten wie Telefonnummer oder E-Mail-Adresse, genutzt werden. Nachrichten werden auf den Servern nach der Auslieferung umgehend gelöscht, wodurch Nutzer vor Missbrauch, Diebstahl oder Weitergabe der Daten geschützt werden.

Doch wie kam es dazu, dass sich das Unternehmen entschied, seinen wertvollen Quellcode der Applikation frei zugänglich und reproduzierbar zu machen? «Wir sind überzeugte Verfechter der Open-Source-Initiative», erklärt Roman Flepp. «Einer der Threema-­Gründer hat zum Beispiel 2003 das M0n0wall-Projekt ins Leben gerufen, welches zur Grundlage vieler Sicherheits- und Firewall-Produkte wurde.» Möglich wurde das Projekt zur Offenlegung des Quellcodes zudem dank der Beteiligungsgesellschaft, die kürzlich bei Threema eingestiegen ist. Dies gab dem Unternehmen die Chance, den App-Quellcode offenzulegen, ohne das Geschäftsmodell und damit die Einnahmequelle grundlegend zu gefährden.


Der Schritt soll volle Transparenz schaffen, so Flepp weiter. «Die Nutzer brauchen sich nicht allein auf unser Wort oder die Expertise Dritter zu verlassen. Zwar haben wir regelmässig externe Sicherheits-Audits in Auftrag gegeben, aber nun kann sich jeder selbst davon zu überzeugen, dass alles mit rechten Dingen zugeht.» Es geht also um Vertrauen. Anders als bei anderen, vermeintlich sicheren Kurznachrichten-Apps, galt Threema aber schon davor als besonders sicher. Gerade, weil bekannt war, welche Technologien zur Verschlüsselung genutzt werden.

Doch aufs Erste klingt die Verknüpfung von verschlüsselter Kommunikation mit offenem Quellcode doch etwas paradox. Tatsächlich macht es aber Sinn, wie Roman Flepp erläutert: «Zu den eingangs genannten Gründen der Transparenz kommt, dass wir an unserem Beispiel Best Practices im Bereich Sicherheit und Datenschutz demonstrieren können. Wenn sich Dritte durch unsere Arbeit inspirieren lassen, bringt uns das als Community weiter.»

Copyleft-Lizenz

Und auch der Code der Threema-Work-Apps wird offengelegt. «Threema Work ist eine Kommunikationslösung für Unternehmen und Organisationen. Sie unterscheidet sich vor allem durch die umfangreichen Administrations- und Konfigurationsmöglichkeiten und die enthaltenen Zusatzdienste wie Threema Broadcast vom privaten Threema», erklärt Roman Flepp.

Die App wird unter die GNU Affero General Public License, Version 3 (AGPLv3) gestellt. Dabei handelt es sich um eine Copyleft-Lizenz, die sicherstellt, dass allfällige Weiterentwicklungen auch Open Source bleiben. Wo der Quellcode verfügbar sein wird, ist derweil noch offen.


Die Threema-Apps basieren auf einer Vielzahl unterschiedlicher Technologien, darunter auch Open-Source-Komponenten – laut Roman Flepp wäre etwas anderes auch nicht denkbar: «Im Mobile-Umfeld ist es heute eigentlich nicht mehr möglich, eine grössere App ohne OSS-Komponenten zu ent­wickeln.»

Doch der Anteil an OSS-Software dürfte bei Threema doch etwas höher als beim Durchschnitt sein. «Wie erwähnt sind wir Verfechter der Open-Source-Initiative. Wir haben schon immer von uns entwickelte Basis-Technologien sowie ganze Applikationen wie Threema ­Web unter Open-Source-Lizenz veröffentlicht.»

Geht es um den eigentlichen Vorgang, sprich die Offenlegung des Quellcodes, gibt es laut Flepp derweil keinen allgemeingültigen Pfad: «Es gibt kein Standardverfahren. Letztlich muss man sich für die geeignete Lizenz entscheiden und die Lizenz-Header im Quellcode anpassen.» Die Entscheidungsfindung erfordert, so Flepp, auch diverse rechtliche Abklärungen. «Wir haben uns zudem entschieden, die Apps vor der Veröffentlichung einem externen Code-Audit durch ein renommiertes Cybersecurity-U­nternehmen zu unterziehen.»

Der Startschuss dazu fiel im Frühherbst 2020, und der Threema-Quellcode soll, insofern alles nach Plan verläuft, noch im Laufe des Dezembers 2020 verfügbar gemacht werden.

Open Source bleibt ein Thema

Threema unterscheidet sich von anderen sicheren Kommunikations-Apps in verschiedenen Punkten. «Heute vermarkten sich praktisch alle Messenger-Dienste als sicher», so Flepp. «Die meisten haben aber ihren Fokus erst nachträglich auf Sicherheit gelegt, während Threema von vornherein auf Sicherheit und Datenschutz ausgelegt wurde.» Abgesehen davon, dass Threema im Gegensatz zu anderen Diensten ohne Angabe personenbezogener Daten wie Telefonnummer oder E-Mail-Adresse nutzbar ist, fallen bei der App auch nur so wenige Metadaten wie technisch möglich an. Und selbstverständlich ist die gesamte Kommunikation (inklusive Steuernachrichten, Signalisierung etc.) bei Threema Ende-zu-Ende-verschlüsselt.
Hinsichtlich der Frage, ob Threema Inhalte von Nachrichten auslesen und gar weitergeben kann, sind die Ingenieure des Unternehmens einen cleveren Weg gegangen. «Diese Frage stellt sich für uns glücklicherweise gar nicht erst, denn wir haben prinzipbedingt keine Möglichkeit, Nachrichten unserer Nutzer zu entschlüsseln», erklärt Flepp. «Auch wenn der politische Druck noch so gross wäre, würde sich daran nichts ändern. Es ist schlicht nicht möglich.»

Open Source soll deshalb bei Threema auch in Zukunft eine wichtige Rolle spielen und ein Teil der Entwicklung bleiben. Als nächsten Meilenstein hat das Unternehmen eine neuartige Multi-­Device-Lösung in Angriff genommen, an der derzeit intensiv gearbeitet wird, und die es ohne Einbussen bei der Sicherheit und dem Datenschutz erlauben soll, Threema auf mehreren Geräten parallel zu verwenden.


Roman Flepp schaut zudem optimistisch in die Zukunft: «Prognosen auf längere Distanz sind zwar stets gewagt, es zeichnet sich jedoch ab, dass Sicherheit und Datensparsamkeit gerade im Unternehmensumfeld eine noch weitaus wichtigere Rolle spielen werden als bisher.»

Threema

Die Anfänge von Threema gehen ins Jahr 2012 zurück. Schritt für Schritt hat sich die App als sichere und datenschutzkonforme Alternative zu Whatsapp und vergleichbaren Diensten etabliert. Mit Threema Work ist das Unternehmen auch als einer der ersten Anbieter im Business-Umfeld aktiv. Threema zählt derzeit über 8 Millionen Nutzer, davon verwenden mehr als 2 Millionen die Unternehmenslösung Threema Work, darunter namhafte Organisationen wie Daimler, Bosch und die Schweizer Bundesverwaltung. (swe)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER