Fallbeispiel: Threema entschlüsselt seinen Quellcode

Fallbeispiel: Threema entschlüsselt seinen Quellcode

Artikel erschienen in IT Magazine 2020/12

Copyleft-Lizenz

Und auch der Code der Threema-Work-Apps wird offengelegt. «Threema Work ist eine Kommunikationslösung für Unternehmen und Organisationen. Sie unterscheidet sich vor allem durch die umfangreichen Administrations- und Konfigurationsmöglichkeiten und die enthaltenen Zusatzdienste wie Threema Broadcast vom privaten Threema», erklärt Roman Flepp.

Die App wird unter die GNU Affero General Public License, Version 3 (AGPLv3) gestellt. Dabei handelt es sich um eine Copyleft-Lizenz, die sicherstellt, dass allfällige Weiterentwicklungen auch Open Source bleiben. Wo der Quellcode verfügbar sein wird, ist derweil noch offen.

Die Threema-Apps basieren auf einer Vielzahl unterschiedlicher Technologien, darunter auch Open-Source-Komponenten – laut Roman Flepp wäre etwas anderes auch nicht denkbar: «Im Mobile-Umfeld ist es heute eigentlich nicht mehr möglich, eine grössere App ohne OSS-Komponenten zu ent­wickeln.»

Doch der Anteil an OSS-Software dürfte bei Threema doch etwas höher als beim Durchschnitt sein. «Wie erwähnt sind wir Verfechter der Open-Source-Initiative. Wir haben schon immer von uns entwickelte Basis-Technologien sowie ganze Applikationen wie Threema ­Web unter Open-Source-Lizenz veröffentlicht.»

Geht es um den eigentlichen Vorgang, sprich die Offenlegung des Quellcodes, gibt es laut Flepp derweil keinen allgemeingültigen Pfad: «Es gibt kein Standardverfahren. Letztlich muss man sich für die geeignete Lizenz entscheiden und die Lizenz-Header im Quellcode anpassen.» Die Entscheidungsfindung erfordert, so Flepp, auch diverse rechtliche Abklärungen. «Wir haben uns zudem entschieden, die Apps vor der Veröffentlichung einem externen Code-Audit durch ein renommiertes Cybersecurity-U­nternehmen zu unterziehen.»

Der Startschuss dazu fiel im Frühherbst 2020, und der Threema-Quellcode soll, insofern alles nach Plan verläuft, noch im Laufe des Dezembers 2020 verfügbar gemacht werden.

Open Source bleibt ein Thema

Threema unterscheidet sich von anderen sicheren Kommunikations-Apps in verschiedenen Punkten. «Heute vermarkten sich praktisch alle Messenger-Dienste als sicher», so Flepp. «Die meisten haben aber ihren Fokus erst nachträglich auf Sicherheit gelegt, während Threema von vornherein auf Sicherheit und Datenschutz ausgelegt wurde.» Abgesehen davon, dass Threema im Gegensatz zu anderen Diensten ohne Angabe personenbezogener Daten wie Telefonnummer oder E-Mail-Adresse nutzbar ist, fallen bei der App auch nur so wenige Metadaten wie technisch möglich an. Und selbstverständlich ist die gesamte Kommunikation (inklusive Steuernachrichten, Signalisierung etc.) bei Threema Ende-zu-Ende-verschlüsselt.
Hinsichtlich der Frage, ob Threema Inhalte von Nachrichten auslesen und gar weitergeben kann, sind die Ingenieure des Unternehmens einen cleveren Weg gegangen. «Diese Frage stellt sich für uns glücklicherweise gar nicht erst, denn wir haben prinzipbedingt keine Möglichkeit, Nachrichten unserer Nutzer zu entschlüsseln», erklärt Flepp. «Auch wenn der politische Druck noch so gross wäre, würde sich daran nichts ändern. Es ist schlicht nicht möglich.»

Open Source soll deshalb bei Threema auch in Zukunft eine wichtige Rolle spielen und ein Teil der Entwicklung bleiben. Als nächsten Meilenstein hat das Unternehmen eine neuartige Multi-­Device-Lösung in Angriff genommen, an der derzeit intensiv gearbeitet wird, und die es ohne Einbussen bei der Sicherheit und dem Datenschutz erlauben soll, Threema auf mehreren Geräten parallel zu verwenden.

Roman Flepp schaut zudem optimistisch in die Zukunft: «Prognosen auf längere Distanz sind zwar stets gewagt, es zeichnet sich jedoch ab, dass Sicherheit und Datensparsamkeit gerade im Unternehmensumfeld eine noch weitaus wichtigere Rolle spielen werden als bisher.»

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER