Mastodon
Zuletzt aktualisiert am
Datenschutzerklärung
Lazou

Signal vs. Threema: Infrastruktur - Recht - Vertrauen

Lazou
Lazou Datenschutz

Messenger-Apps gibt es wie Sand am Meer – und täglich versprechen neue Anbieter mehr Sicherheit, mehr Kontrolle, mehr Privatsphäre. Doch gerade in Zeiten digitaler Umbrüche, wachsender politischer Unsicherheit und globaler Machtverschiebungen ist es wichtig, hinter die Marketingversprechen zu blicken.

Was zählt, sind nicht schöne Interfaces oder hippe Features, sondern: echter Datenschutz, digitale Souveränität und technische wie rechtliche Resilienz gegenüber Überwachung und Einflussnahme. Besonders in einem Jahr wie 2025, in dem die Weltlage brodelt und der Ruf nach digitaler Selbstbestimmung lauter, wird denn je.

Zwei Dienste stehen dabei besonders oft im Fokus: Signal und Threema. Beide gelten als sicher – aber auf sehr unterschiedliche Weise.

Der Knackpunkt: Wo stehen die Server – und wem gehören sie?

Viele unterschätzen, wie viel Einfluss der Standort eines Dienstes hat. Es geht nicht nur darum, wo die Daten liegen, sondern unter welchem Rechtssystem sie verarbeitet werden – und wer die Infrastruktur kontrolliert.

Signal nutzt u. a. folgende Infrastrukturkomponenten:

  • Microsoft Azure: Hosting von Servern und Backend-Diensten

  • Cloudflare: Als DDoS-Schutz, TLS-Offloading, und Reverse Proxy – z. B. bei Domain Fronting oder „Sealed Sender“-Zustellung

  • Twilio (oder vergleichbare Anbieter): Für SMS-Verifizierung bei der Registrierung

  • Amazon S3 (früher): Zwischenzeitlich für Medienübertragung eingesetzt

Auch wenn alle Daten Ende-zu-Ende verschlüsselt sind, bedeutet das: Deine Daten reisen durch Netzwerke und Dienste, die unter US-Gesetzgebung stehen.

Und das ist mehr als nur ein technisches Detail – es ist ein handfester politischer Risikofaktor:

Die USA haben mehrfach bewiesen, dass sie nicht zögern, auf Kommunikationsdaten zuzugreifen – sei es durch Geheimdienstprogramme wie PRISM (Planning tool for Resource Integration, Synchronization, and Management) oder rechtliche Konstrukte wie den CLOUD Act (Clarifying Lawful Overseas Use of Data Act).

  • Auch demokratische Regierungen geraten zunehmend unter Druck, Überwachung auszubauen – oft unter dem Vorwand von "Sicherheit" oder "Cyberabwehr".

  • Selbst NGOs und Presseorganisationen stehen mittlerweile auf Beobachtungslisten.

Threema hingegen:

  • Eigene Server in der Schweiz: Die Schweiz ist bekannt für ihre politische Neutralität, rechtsstaatliche Stabilität und strenge Datenschutzgesetze, die sie zu einem sicheren Hafen für datenschutzbewusste Dienste machen. Threema betreibt seine eigenen Server in der Schweiz, was bedeutet, dass alle Daten innerhalb der Schweizer Gesetzgebung gespeichert und verarbeitet werden.
  • Keine US-Cloud-Dienste: Threema nutzt keine Drittanbieter für seine Infrastruktur. Dies bedeutet, dass Threema vollständige Kontrolle über seine Server und Daten hat, ohne auf externe Cloud-Dienste angewiesen zu sein. Durch den Verzicht auf US-Cloud-Dienste wie Microsoft Azure oder Amazon Web Services (AWS) vermeidet Threema die damit verbundenen rechtlichen und sicherheitstechnischen Risiken.
  • Kein Dritter sieht die Kommunikation oder Metadaten: Threema nutzt ein eigenes Push-System und verzichtet auf externe Dienste. Dies bedeutet, dass weder die Kommunikationsinhalte noch die Metadaten durch Dritte eingesehen oder verarbeitet werden.
  • Kein Einfluss durch US-amerikanische oder EU-weite Gesetze: Die Schweiz bietet einen stabilen rechtlichen Rahmen, der Datenschutz priorisiert. Da Threema in der Schweiz ansässig ist, unterliegt der Messenger nicht den Überwachungsgesetzen der USA oder der EU. Dies bedeutet, dass Threema nicht unter den "Fourteen Eyes"-Abkommen fällt, einem internationalen Überwachungsbündnis, das den Austausch von nachrichtendienstlichen Informationen zwischen 14 Ländern, einschließlich der USA und vieler EU-Mitgliedstaaten, regelt. Die Schweiz ist kein Mitglied dieses Bündnisses, was Threema einen zusätzlichen Schutz vor staatlicher Überwachung bietet.

Threema wird häufig als Paradebeispiel für datenschutzfreundliche Kommunikation genannt – und das aus gutem Grund: Der Dienst setzt auf eigene Server in der Schweiz, verzichtet auf US-Cloud-Dienste und bietet eine vollständig anonyme Nutzung ohne Telefonnummer oder E-Mail-Adresse. Technisch wie organisatorisch ist Threema durch und durch auf Unabhängigkeit ausgelegt. Doch: Auch in der Schweiz bröckelt die rechtliche Basis für digitale Selbstbestimmung zunehmend.

Zwar gilt das Land noch immer als neutral, rechtsstaatlich stabil und vergleichsweise datenschutzfreundlich – doch neue Gesetzesvorhaben könnten genau das ins Wanken bringen. So plant der Bundesrat derzeit eine Revision des BÜPF (Überwachungsgesetz), die unter anderem vorsieht, Dienste wie Threema und ProtonMail stärker zur Kooperation mit Überwachungsbehörden zu verpflichten. Laut Entwurf sollen Anbieter mit über einer Million Nutzer:innen und 100 Millionen Franken Umsatz künftig zur Echtzeitüberwachung sowie zur Speicherung von Verbindungsdaten über sechs Monate verpflichtet werden – ein klarer Paradigmenwechsel.

Technisch besonders brisant: Vorgesehen ist eine Ausweitung der Echtzeitüberwachung von sogenannten Randdaten – also Informationen darüber, wann, mit wem, wie lange und von wo aus kommuniziert wurde. Zusätzlich sollen Anbieter mitteilen müssen, auf welchen E-Mail- oder Messaging-Dienst ein Nutzer zuletzt zugegriffen hat. Selbst rückwirkende Überwachung zur Identifikation von Internetverbindungen ist geplant – Maßnahmen, die tief in die Privatsphäre eingreifen.

Besonders kritisch: Threema hatte 2021 vor dem Bundesgericht noch erfolgreich durchgesetzt, nicht als klassischer Fernmeldedienst eingestuft zu werden – und musste deshalb weniger Daten herausgeben. Die neue Gesetzesinitiative scheint genau darauf abzuzielen, dieses Urteil zu „korrigieren“. Threema selbst spricht von „Überwachung durch die Hintertür“ und erwägt sogar eine Volksinitiative zum Schutz der Privatsphäre.

Auch Proton – ein Schweizer Anbieter von E-Mail und VPN-Diensten – zeigt klare Kante. CEO Andy Yen sieht in der Revision einen „aggressiven Ausbau des Überwachungsstaats“ und kündigte öffentlich an, das Unternehmen werde das Gesetz nicht erfüllen können – im äußersten Fall droht sogar der Wegzug aus der Schweiz.

Die Entwicklungen zeigen deutlich: Auch in der Schweiz ist digitale Souveränität keine Garantie, sondern ein fortlaufender Aushandlungsprozess. Dass sich ausgerechnet Dienste wie Threema und Proton gegen die neuen Pläne stemmen, ist ein Warnsignal – und macht einmal mehr deutlich, wie fragil datenschutzfreundliche Rahmenbedingungen auch in vermeintlich liberalen Staaten sein können.

Threema profitiert davon, dass es vollständig in der Schweiz betrieben wird, keiner US- oder EU-Überwachung unterliegt und seine Server unabhängig betreibt. Die Zusammenarbeit mit ausländischen Behörden ist streng geregelt und nur bei schweren Straftaten im Rahmen internationaler Rechtshilfe möglich – doch auch hier gilt: Digitale Souveränität ist kein Selbstläufer, sondern bleibt eine politische Aushandlung.

Sicherheit ist mehr als nur Verschlüsselung

Signal punktet mit modernster Technik: Sealed Sender, Open Source, minimale Metadatenspeicherung – inzwischen auch mit quantenresistenter Verschlüsselung, basierend auf dem Algorithmus CRYSTALS-Kyber und benutzerdefinierten Usernamen, die es ermöglichen, weitgehend ohne Preisgabe der eigenen Telefonnummer zu kommunizieren. Das Signal-Protokoll wurde erweitert, um sich langfristig gegen Angriffe durch Quantencomputer zu wappnen – ein Schritt, den nur wenige Messenger bislang gegangen sind. Das ist alles beeindruckend. Aber: Wenn du eine Nachricht verschickst, läuft sie durch Azure, durch Cloudflare – und deine Nummer wurde mit Hilfe eines US-SMS-Dienstes verifiziert. Wer hier die Infrastruktur kontrolliert, kontrolliert (indirekt) auch die Risiken.

Gerade in einem politischen Klima, in dem Datenschutz zunehmend als Hindernis wahrgenommen wird, ist das kein kleines Risiko. Wer sagt, dass in ein paar Monaten nicht neue Gesetze kommen, die Plattformen wie Signal zwingen, Hintertüren einzubauen – oder wenigstens Metadaten zu loggen?

Doch Signal hat hier eine klare Haltung: Die aktuelle Präsidentin der Signal Foundation, Meredith Whittaker, hat mehrfach öffentlich betont, dass Signal niemals Hintertüren implementieren wird – selbst wenn das gesetzlich gefordert würde. Sollte ein solches Szenario eintreten, würde man lieber den Dienst einstellen, als die Grundprinzipien zu verraten. Diese Haltung macht Signal einzigartig unter den großen Messengern – und verdient Anerkennung.

Threema dagegen verzichtet konsequent auf Drittanbieter, benötigt keine persönlichen Daten und bleibt vollständig unter Schweizer Kontrolle. Die gesamte Architektur folgt dem Prinzip Security and Privacy by Design – also Datenschutz und Sicherheit von Anfang an.

Die Server fungieren ausschließlich als Relaisstation: Sie leiten Nachrichten weiter und löschen sie sofort nach erfolgreicher Zustellung. Es gibt keine dauerhafte Speicherung, keine zentralen Nutzerkonten und keine zentrale Kontakt- oder Gruppenverwaltung – all das geschieht dezentral und lokal auf dem Gerät.

Threema setzt auf bewährte Open-Source-Kryptografie mit NaCl, durchgängige Ende-zu-Ende-Verschlüsselung, Perfect Forward Secrecy und starke Verschlüsselung auf dem Endgerät. Es wird garantiert, dass kein Dritter – auch nicht Threema selbst – Zugriff auf Inhalte erhält.

Die App ist vollständig Open Source, unterstützt Reproducible Builds (insbesondere unter Android) und wird regelmäßig durch externe Sicherheits-Audits überprüft – deren Ergebnisse öffentlich einsehbar sind.

Threema kann völlig anonym genutzt werden: Es wird keine Telefonnummer, keine E-Mail-Adresse und kein Nutzerkonto benötigt. Die generierte Threema-ID genügt. Die Android-App lässt sich auf Wunsch komplett ohne Google-Dienste verwenden (Threema Libre), und ein Bargeldkauf ist ebenfalls möglich – maximale Privatsphäre.

Selbst der Adressbuchzugriff ist optional und erfolgt nur einwegverschlüsselt und ohne Speicherung auf einem Server.

Unter iOS nutzt auch Threema systembedingt den Apple Push Notification Service (APNS), da Apple keine alternative Infrastruktur zulässt. Die App-Inhalte bleiben jedoch verschlüsselt und sind für Apple nicht einsehbar.


Die Frage ist also nicht nur: „Ist es verschlüsselt?“, sondern auch: „Wer hat Zugriff, wer kann analysieren – und wer kontrolliert die Infrastruktur?“ Bei Threema ist die Antwort eindeutig: niemand außer dir selbst – unter den Schutzprinzipien eines neutralen, datenschutzorientierten und weitgehend politischen Einflussnahmen entzogenen Rechtsraums.

Was ist mit Metadaten?

Signal:

Signal speichert nur minimale Metadaten, wie den Zeitpunkt der letzten Serververbindung ("last seen") und die Information, ob ein Nutzer aktiv ist (z. B. für Zustellbenachrichtigungen). Es werden keine Nachrichteninhalte, Kontaktlisten oder IP-Adressen dauerhaft protokolliert. Dank "Sealed Sender" kann selbst Signal nicht erkennen, wer mit wem kommuniziert. Dennoch ist zur Registrierung eine Telefonnummer erforderlich, die über Drittanbieter wie Twilio verifiziert wird – was potenziell Metadaten an externe Stellen leaken kann.

Threema:

Hier ist Metadaten-Sparsamkeit Prinzip. Die Kommunikation erfolgt ohne zentrale Speicherung, Gruppen und Kontakte werden ausschließlich lokal auf dem Gerät verwaltet. Nachrichten werden nach Zustellung sofort gelöscht. Es gibt keine Log-Dateien, keine zentralen Nutzerkonten, und auch keine permanente IP- oder Geräteerfassung. Selbst der optionale Adressbuchabgleich erfolgt einwegverschlüsselt und ohne dauerhafte Speicherung. Die Nutzung ist vollständig anonym möglich – ohne Telefonnummer, ohne E-Mail, ohne Google-Dienste.

Signal: Die Schattenseiten eines vermeintlich sicheren Messengers

Signal wird oft als sicherer Messenger gepriesen, doch ein genauerer Blick offenbart einige beunruhigende Aspekte. Die Plattform hat enge Verbindungen zu staatlichen Institutionen und großen Technologiekonzernen, was ihre Unabhängigkeit und Sicherheit infrage stellt.

Verbindungen zu staatlichen und großen Unternehmen: 

Signal entstand aus Open Whisper Systems, gegründet von Moxie Marlinspike. Die Finanzierung erfolgte durch den Open Technology Fund (OTF), der wiederum aus Radio Free Asia hervorging – einem Projekt mit Wurzeln in der US-amerikanischen Propaganda während des Kalten Krieges, gegründet von der CIA. Der OTF wird heute genutzt, um US-Außenpolitik digital zu flankieren – unter anderem durch die Unterstützung regimekritischer Medienprojekte in Kuba oder Osteuropa. Der OTF ist eng mit staatlichen Stellen, Think Tanks und Konzernen wie Google, Microsoft und der Ford Foundation verknüpft. Er fördert gezielt Technologien, die als strategisch im Sinne US-amerikanischer Interessen gelten – darunter auch Signal.

Führungspersonen und Netzwerke:

Die aktuelle Präsidentin der Signal Foundation, Meredith Whittaker, war Mitglied im OTF-Beirat, arbeitete für Google und gründete den Think Tank AI Now – mit Unterstützung durch Microsoft, Google und das Weiße Haus. Sie war außerdem Beraterin der Federal Trade Commission unter Obama und Biden. Auch andere Mitglieder im Vorstand – etwa Jay Sullivan (ehemals Facebook/Twitter) oder Katherine Maher (mit Verbindungen zum Atlantic Council und US-Außenministerium) – zeigen, dass die Führungsspitze tief in elitären politischen und wirtschaftlichen Kreisen verankert ist.

Finanzielle Strukturen und Gehälter:

2023 prognostizierte Signal jährliche Betriebskosten von rund 50 Millionen US-Dollar. Laut Steuerunterlagen bezog Meredith Whittaker ein Jahresgehalt von 785.271 US-Dollar, während die sieben bestbezahlten Angestellten gemeinsam 4,24 Millionen US-Dollar erhielten – rund 12 % des Gesamtbudgets. Finanziert wird die Signal Foundation unter anderem durch Spenden der Musk Foundation (2 Mio. USD), Fidelity Investments (16 Mio. USD) und die Goldman Sachs Foundation. Die Herkunft weiterer Mittel ist nicht vollständig transparent.

Technische Abhängigkeiten: 

Signal ist stark abhängig von großen Cloud-Diensten. 2023 zahlte Signal etwa 2,29 Millionen US-Dollar an Amazon, 1,86 Millionen US-Dollar an Google und 1,38 Millionen US-Dollar an Microsoft für Hosting-Dienste. Diese Unternehmen arbeiten eng mit US-Behörden zusammen und könnten Signal-Daten überwachen.

Auch wenn Signal selbst keine Inhalte oder detaillierten Metadaten wie IP-Adressen, Kontaktlisten oder Kommunikationsbeziehungen dauerhaft speichert, bleibt die zugrunde liegende Infrastruktur in der Hand großer US-Cloudanbieter. Diese könnten – unabhängig von Signals eigener Datenhaltung – theoretisch Netzwerkmetadaten wie Verbindungszeitpunkte oder IP-Adressen erfassen und analysieren. Das stellt ein potenzielles Risiko dar – insbesondere für Menschen, die auf maximale Vertraulichkeit angewiesen sind.

Signal speichert zwar nur minimale Metadaten (etwa den Zeitpunkt der letzten Serververbindung), hat jedoch in der Vergangenheit auf rechtliche Anfragen hin genau solche Daten weitergegeben. Die Weigerung, alternative App-Stores wie F-Droid zu unterstützen, verstärkt zudem den Eindruck einer technopolitischen Einbindung in die dominante Infrastruktur westlicher Digitalkonzerne.

Zusammenarbeit mit Behörden:

Auch wenn Signal keine Inhalte speichert, hat es in der Vergangenheit Metadaten an Behörden weitergegeben – darunter Registrierungszeiten und letzte Serververbindungen. Im August 2024 lieferte Signal auf Anfrage Metadaten zu mehreren Telefonnummern. Das zeigt: Selbst ein „sicherer“ Messenger kann gesetzlich zur Kooperation gezwungen werden – und tut dies in der Praxis auch.

Trügerische Sicherheit?: 

Die weitverbreitete Annahme, dass Signal durch Ende-zu-Ende-Verschlüsselung vollkommen sicher sei, ist trügerisch. Viele Schwachstellen liegen vor oder nach der Verschlüsselung: etwa in den Betriebssystemen von Apple oder Google, in ungeschützten Push-Notifications oder physischen Zugriffen auf Geräte. Tools wie Cellebrite können bei beschlagnahmten Geräten Inhalte extrahieren – auch Signal-Nachrichten, wenn das Gerät entsperrt oder die App offen ist. Gerade in aktivistischen Kontexten – etwa bei Protesten oder Grenzübertritten – kann das fatal sein. Ein kompromittiertes Gerät reicht aus, um ganze Netzwerke offenzulegen.

Politische Selektivität?:

Ein weiterer Kritikpunkt: Signal arbeitet eng mit Google zusammen, wie etwa bei der Bekämpfung russischer Cyberangriffe auf ukrainische Nutzer. Diese Partnerschaften werfen die Frage auf, ob Signal im geopolitischen Spiel tatsächlich neutral ist – oder ob Schutz nur bestimmten politischen Gruppen gewährt wird, die in das westliche Narrativ passen.

Kritische Reflexion und Alternativen: 

Signal ist technisch stark, aber strukturell nicht unabhängig. Für Menschen mit erhöhtem Schutzbedarf – etwa Journalist:innen, Aktivist:innen, Whistleblower:innen – ist das ein ernstzunehmendes Risiko. Die Abhängigkeit von staatlicher Finanzierung, US-Infrastruktur und marktliberaler Führung widerspricht dem Ideal von vertrauenswürdiger, demokratisch kontrollierter Kommunikation.

Wer radikale Privatsphäre sucht, braucht mehr als gute Verschlüsselung – man braucht strukturelle Unabhängigkeit.

Dezentrale Kommunikationsmethoden, selbstverwaltete Server, Open-Source-Apps ohne Konzernbindung oder sogar „Low-Tech“-Lösungen wie persönliche Treffen oder analoge Netzwerke können oft sicherer – und verbindender – sein als der nächste neue Messenger-Hype.

Fazit: Technik ist gut – aber Vertrauen zählt mehr

Signal und Threema sind beide deutlich sicherer als WhatsApp oder Telegram – keine Frage. Sie bieten starke Verschlüsselung, transparente Entwicklung und keine Werbung. Doch in der Praxis entscheidet nicht nur die Technik, sondern das gesamte System: Wer kontrolliert die Infrastruktur? Unter welchem Recht agiert der Dienst? Wie unabhängig ist das Projekt tatsächlich?

Signal wird zwar oft als Vorbild für sichere Kommunikation genannt, doch ein genauerer Blick auf seine Entstehung, Finanzierung und technische Abhängigkeiten zeigt: Die Plattform ist tief in US-Strukturen eingebettet – mit engen Verbindungen zu Regierungsstellen, großen Tech-Konzernen und milliardenschweren Geldgebern. Auch wenn die Verschlüsselung stark ist, bleibt die Frage: Wie souverän kann eine Plattform sein, die auf Amazon-, Google- und Microsoft-Infrastruktur basiert?

Signal speichert zwar nur wenige Metadaten, hat aber in der Vergangenheit auf rechtliche Anfragen hin genau diese offengelegt. Die Weigerung, alternative App-Stores wie F-Droid zu unterstützen, verstärkt den Eindruck einer technopolitischen Einbindung in die dominante Infrastruktur westlicher Digitalkonzerne. Für Menschen in besonders sensiblen Kontexten – etwa Journalist:innen, Aktivist:innen oder Whistleblower:innen – können solche Abhängigkeiten gravierende Risiken darstellen.

Auch ethisch stellt sich die Frage, ob ein Dienst, der auf Strukturen basiert, die von Konzernen mit teils fragwürdigen ökologischen, sozialen oder geopolitischen Rollen kontrolliert werden, langfristig ein vertrauenswürdiger Ort für unsere sensibelsten Daten sein kann. Und selbst wenn Signal selbst integer bleibt – wie lange kann eine solche Plattform im geopolitischen Druck bestehen, ohne Kompromisse eingehen zu müssen?

Wenn du auf Nummer sicher gehen willst – technisch, juristisch und politisch – führt an Threema kaum ein Weg vorbei. Nicht, weil Signal unsicher wäre, sondern weil Threema kompromisslos auf Unabhängigkeit, Anonymität und Metadatenfreiheit setzt. Die Schweizer Rechtslage, eigene Infrastruktur, offene Architektur und die Möglichkeit zur anonymen Nutzung ohne Telefonnummer oder Drittanbieter machen einen echten Unterschied.

In einer digitalen Welt, in der jede Kommunikation Spuren hinterlässt, ist es nicht nur eine technische Entscheidung, welchen Messenger du nutzt – es ist eine politische. Angesichts der Tatsache, dass selbst westlich geprägte Staaten Überwachung ausbauen, biometrische Identitäten verknüpfen und Plattformbetreiber zur Kooperation zwingen, ist ein unabhängiger, neutraler Standort keine Luxusentscheidung mehr, sondern ein fundamentaler Schutzfaktor – für alle, die ihre digitale Kommunikation nicht aus der Hand geben wollen.

Digitale Souveränität beginnt mit bewusster Entscheidung

Sie bedeutet, Verantwortung zu übernehmen – für die eigene Kommunikation, für die eigenen Daten und letztlich für die eigene Freiheit. Du musst nicht gleich zum Hacker werden – aber du solltest wissen, wem du deine Kommunikation anvertraust, welche Infrastrukturen im Spiel sind, unter welchen Gesetzen ein Dienst agiert und wie viel Kontrolle du tatsächlich hast. Wer blind auf Komfort setzt, gibt seine digitale Selbstbestimmung oft unbemerkt ab. Wer hingegen kritisch hinterfragt und bewusst wählt, kann sich ein Stück digitale Freiheit zurückholen. Digitaler Selbstschutz beginnt dort, wo Vertrauen nicht verlangt, sondern durch Technik, Transparenz und Souveränität verdient wird.

Quellen:
1. CounterPunch: The Revolution Will Not Be Signaled (März 2025)
2. Amnesty International – Forderungen an die Schweiz zur Überwachungspolitik
3. Schweizer Tech­firmen wehren sich gegen Ausbau des Überwachungs­staats

Ein Artikel von Lazou

Lazou

Lazou

IT-Sicherheitsspezialist & Analyst, IT-Techniker mit fundiertem Fachwissen und analytischem Denken. Erfahren, lösungsorientiert und sicherheitsbewusst. Leidenschaft für lebenslanges Lernen – stets am Puls neuer IT-Sicherheits- und IT-Technologie-Trends, offen für Innovationen und fokussiert auf zukunftssichere Sicherheitsstrategien.

Featured

Follow us

Authors

Tags