Auf Mastodon ansehen
Tja, das ist ein spezieller Artikel. Zum einen, habe ich ihn aus dem Threema-Blog abgeschrieben, zum anderen hat Threema die Eigentümerin gewechselt, was Fragezeichen zurücklässt. Beginnen möchte ich mit der Sicherheit und der Privatsphäre. Diese Begriffe werden häufig miteinander verwechselt, weshalb eine Klarstellung gut tut.
Sicherheit und Privatsphäre
Privatsphäre und Sicherheit sind eng mit dem Schutz von Daten und Personen verknüpft, verfolgen jedoch unterschiedliche Ziele und setzen unterschiedliche Mechanismen ein.
Sicherheit ist eine Eigenschaft von Systemen, bei der es darum geht, etwas vor externen Bedrohungen zu schützen und zu verhindern, dass Unbefugte Zugriff darauf erhalten. Dafür werden unter anderem Verschlüsselung, Firewalls und Authentifizierung eingesetzt.
Privatsphäre hingegen können nur Menschen haben, Systeme nicht. Beim Schutz der Privatsphäre geht es darum, die Kontrolle über die eigenen Daten zu haben und zu gewährleisten, dass diese nur im gewünschten Kontext verwendet werden. Mechanismen dafür sind unter anderem Datensparsamkeit und Anonymität.
Kurz gesagt: Die Privatsphäre bestimmt, welche Daten erfasst bzw. weitergegeben werden und unter welchen Bedingungen, während die Sicherheit dafür sorgt, dass diese Daten nicht in die falschen Hände geraten.
Konkrete Beispiele
Ein einfaches Beispiel ist deine Haustür: Die Sicherheit wird dadurch gewährleistet, dass sie stabil gebaut ist und über ein Schloss verfügt; die Privatsphäre ist dadurch gewahrt, dass sie blickdicht ist und man sie schliessen kann. Wäre sie transparent, aber abschliessbar, wäre sie zwar sicher, aber Ihre Privatsphäre wäre nicht geschützt. Wäre sie hingegen blickdicht, aber nicht abschliessbar, würde sie zwar (bis zu einem gewissen Grad) Ihre Privatsphäre, aber nicht deine Sicherheit schützen.
Ein weiteres Beispiel ist Social Media: Um die Sicherheit deines Kontos zu gewährleisten und sicherzustellen, dass niemand darauf zugreifen kann, setzt du ein Passwort. Deine Privatsphäre schützt du, indem du nur Inhalte hochlädst, die du teilen möchtest, und indem du festlegst, wer diese Beiträge sehen kann.
Wie hängen die beiden Konzepte zusammen?
Ist ein Dienst sicher, schützt er bis zu einem gewissen Grad auch die Privatsphäre der Nutzer, indem er deren Daten vor dem Zugriff Dritter bewahrt. Sicherheit allein ist jedoch nicht hinreichend für umfassenden Privatsphäre-Schutz: Welche Daten überhaupt erhoben und zu welchen Zwecken sie vom Dienst-Betreiber verwendet werden, ist ebenso ausschlaggebend.
Beispiel: WhatsApp verschlüsselt Chats, sodass sie sicher sind, aber durch die Identifikations- bzw. Rufnummer-Pflicht sowie die systematische Erhebung und Auswertung von Metadaten ist die Privatsphäre der Nutzer trotzdem erheblich beeinträchtigt.
Ganzheitlicher Privatsphäre-Schutz umfasst also neben technischen Massnahmen wie Verschlüsselung noch weitere Faktoren wie Datensparsamkeit oder die Hoheit über die eigenen Daten. Sicherheit ist somit zwar eine notwendige Voraussetzung, aber kein Garant für umfassenden Privatsphäre-Schutz.
So weit, so informativ. Threema hat im Blog das Thema präzise und verständlich zusammengefasst. Doch während ich von Threema abschrieb, überraschte mich gestern Abend diese Meldung:
Neue Eigentümerin
Anfang Jahr übergibt Afinum Management GmbH die Eigentümerschaft von Threema an Comitis Capital GmbH. Die deutsche Investitionsgesellschaft, welche sich auf Unternehmen mit klaren Grundwerten und nachhaltiger Ausrichtung fokussiert, wird Threema unterstützen, die Position im Bereich Sicherheit und Datenschutz weiter auszubauen.
Ok, jetzt mal langsam. Im Impressum steht:
Threema GmbH
Churerstrasse 82
CH-8808 Pfäffikon SZ
Die Firma Threema GmbH wird beim Handelsregisteramt Schwyz mit Sitz in Freienbach unter der EHRAID 1174008 geführt. Sie kann schriftlich über die Firmenadresse Churerstrasse 82, 8808 Pfäffikon SZ erreicht werden. Die Steuernummer lautet CHE-221.440.104 sowie die CH-ID: CH13040204620. Ihr Status wird als aktiv geführt.
Im Jahr 2020 schrieb Threema:
Threema investiert in die Zukunft: Mit dem Einstieg der Beteiligungsgesellschaft Afinum wird das Fundament für langfristige Stabilität und beschleunigte Produktentwicklung gelegt.Gleichzeitig reagiert das Unternehmen auf die Pandemie-Situation und ergänzt die App um sichere, verschlüsselte Videoanrufe.
Die Afinum Management GmbH, Theatinerstraße 7, D-80333 München, ist seit 2000 eine der etablierten Private-Equity-Gesellschaften im deutschsprachigen Raum, spezialisiert auf Nachfolgelösungen im Mittelstand. Hier seht ihr die Beteiligungen dieser Firma. Es gibt kritische Einschätzungen zu dieser Firma, die ich nicht bewerten möchte.
Jetzt hat Afinum Threema an Comitis übergeben. Dort heisst es im Marketing-Sprech:
Comitis Capital unterstützt Unternehmer und Unternehmen dabei, ehrgeizige Ziele mit einem starken Sinn für Zweckmäßigkeit zu erreichen. Wir glauben an eine gesunde, nachhaltige und digitale Zukunft und möchten gleichgesinnte Changemaker unterstützen.
Comitis Capital GmbH
Untermainkai 40
60329 Frankfurt am Main
In ihrer Ankündigung vom 12. Januar 2026 schreibt die nächste Beteiligungsgesellschaft in der Geschichte der Threema GmbH:
Comitis Capital („Comitis“) gab gestern bekannt, dass es eine Vereinbarung zum Erwerb der Threema Holding AG („Threema“), einem führenden Anbieter von hochsicheren digitalen Kommunikationslösungen, von Afinum und den Gründern des Unternehmens geschlossen hat.
Die Plattform von Threema mit Hauptsitz in der Schweiz reagiert auf die steigende Nachfrage nach Datenhoheit, Cybersicherheit und konformer digitaler Kommunikation. Mit einer skalierbaren, flexiblen Architektur für Cloud- und Vor-Ort-Implementierungen bedient Threema einen vielfältigen Kundenstamm, der von KMUs bis hin zu globalen Konzernen reicht – zusätzlich zu seiner starken Basis treuer, datenschutz- und sicherheitsbewusster Verbraucher.
Threema zeichnet sich durch eine „Privacy-by-Design”-Philosophie aus, die auf einer Zero-Knowledge-Architektur und Open-Source-Software, Schweizer Souveränität und erstklassiger Technologie basiert, die proprietäre Verschlüsselungsalgorithmen kombiniert, die von führenden Cybersicherheitsexperten und Communities weltweit verifiziert wurden.
Nikolaus Bethlen, geschäftsführender Gesellschafter von Comitis, sagte: „Threema ist einzigartig positioniert, um von den langfristigen strukturellen Wachstumstrends in den Bereichen sichere Kommunikation, europäische Datenhoheit und Einhaltung gesetzlicher Vorschriften zu profitieren. Wir freuen uns darauf, das Unternehmen in seiner nächsten Wachstumsphase zu unterstützen und auf dem Erbe seiner vertrauenswürdigen Marke, seiner führenden Technologie und seiner kompromisslosen Privatsphäre aufzubauen.“
Warum überrascht mich das?
Bisher habe ich die Threema GmbH als solides mittelständisches Unternehmen in der Schweiz gesehen, welches gegen Bezahlung, die Privatsphäre der privaten und Unternehmensanwender:innen garantiert. In der Threema-App muss ich keine Telefonnummer und keine sonstigen Identifikatoren hinterlegen; dafür zahle ich einmalig 6 Franken.
Nun bin ich überrascht, dass Private-Equity-Gesellschaften seit 2020 das Sagen bei Threema haben. Ihr könntet einwenden, dass Beteiligungsgesellschaften nicht das Sagen haben. Ich behaupte das Gegenteil. Wer finanziert, der bestimmt.
Bei GNU/Linux.ch-TALK wurde gefeixt, bzw. im dunklen Wald gepfiffen:
Yeah, Threema wurde gekauft...
Enshittification in 3, 2, 1...
Oje. Immerhin von einer deutschen Firma.
Don‘t Panic … es ist nicht wirklich irgendwas grossartiges passiert ;)
Also nichts wildes passiert, legt euch wieder hin.
Ich bin gespannt, wie sich das entwickelt. Eigentlich habe ich keine Lust, schon wieder den privaten Messenger zu wechseln. Mittlerweile sind es meine Familie und Freunde leid, alle naselang meinen Empfehlungen zu folgen, die sich dann nach einem Jahr wieder als Fehler erweisen. Bisher gab es diese Migrationen bei mir:
- WhatsApp zu Telegram
- Telegram zu Threema
Was soll jetzt noch kommen?
- Threema zu Matrix (ist zu kompliziert für Freunde und Familie)
- Threema zu Signal (USA!)
- Threema zu Delta Chat (vielleicht)
Ach, ist das mühsam. Aber vielleicht erweist sich die Übernahme von Threema durch Comitis doch nicht als schlimm.
Nachtrag
Da das Thema, also der geplante Verkauf von Threema an Comitis, auf Interesse stösst, habe ich heute noch ein wenig gegraben. Via Caschys Blog habe ich in den Kommentaren (TorbenW) diese beiden Äusserungen von "Insideren" gefunden (Links sind in den Quellen).
ljrk schreibt auf Mastodon:
Puh, ich glaube ich muss hierzu Mal was schreiben, auch wenn ich ungern so detailliert zu meiner Arbeit schreibe. Disclosure: Ich war an dem Verkauf beratend beteiligt. Und jetzt wo der Kauf durch ist, darf ich auch drüber reden.
1. Threema war schon 2020 verkauft worden an PE.
2. Unter dem PE wurde Threema open-sourced. Wenn das für euch Enshittification ist, okay...
3. Die Gründer haben 2024 das Unternehmen verlassen, es lebt trotzdem weiter.
4. Threema, das ist nicht nur die B2C-App die hier die Leute haben, sondern auch ein B2B-Angebot. Wo Investoren sich was erhoffen ist hoffentlich klar...
5. Ja, neuer Investor heißt erstmal Unklarheit. Kann auch schlechter werden. Muss aber nicht.
Ich verstehe die Logik nicht, dass das JETZT schlechter werden MUSS. Wie hat Threema denn dann den letzten Investor "überlebt"?!
Und ich möchte gar nicht Threema groß verteidigen oder meine Liebe aussprechen. Aber mich nervt diese stark verkürzte "Argumentation" die einfach nicht haltbar ist.
Und Lenny schreibt ebenfalls auf Mastodon:
Ich arbeite schon sehr lange bei #Threema und sehe, dass hier gerade eine Panikwelle durchzieht, man die App jetzt plötzlich boykottiert, weil Threema verkauft wird. Vielleicht darf ich das mal einordnen:
Ich habe viele Jahre mit den drei Gründern zusammen an Threema gearbeitet. Ich habe den Verkauf an Afinum 2020 miterlebt und später den Rückzug der Gründer in 2024. Derzeit wird Threema an Comitis verkauft - auch ein Private Equity Unternehmen, genau wie Afinum damals. Wenn's also nur um den Verkauf geht, gibt es erstmal eigentlich keinen Grund zur Panik.
Aber: Es ist eine Änderung. Auf jeden Fall gilt es, das kritisch zu betrachten und zu beobachten. Auf jeden Fall sollte laut geschrien werden, sobald Enshittification stattfindet! Bitte, macht das! Und ich wäre mit Sicherheit unter den ersten Personen, die aus Protest gehen würden, sollte Threema mal die eigenen Werte aufgeben.
Aber warum diese Aufregung jetzt, weil Threema gerade von Private Equity A an Private Equity B verkauft? Das verstehe ich nicht.
Ausserdem äusserten mehrere Personen, dass dieser Schritt mit dem Vüpf zu tun haben könnte. Ihr erinnert euch; Proton hatte sich entschieden, Dienste nach Deutschland und Norwegen auszulagern.
Ich denke, wir halten den Ball flach, und warten einmal ab, ob sich bei Threema überhaupt etwas ändern wird.
Titelbild: https://threema.com/de/why-threema
https://threema.com/de/blog/sicherheit-vs-privatsphaere
https://threema.com/de/why-threema
https://www.gomopa.io/artikel/licht-und-schatten-bei-afinum-management-und-buy-out-fonds/
https://comitiscapital.com/about
https://comitiscapital.com/news/comitis-capital-announces-the-acquisition-of-threema
https://stadt-bremerhaven.de/threema-hat-neue-besitzer-mal-schauen-wie-es-da-weitergeht/
Selber habe ich die Meldung heute gelesen, wobei ich Threema gar nicht verwende, und auch nur von einem meiner Kontakte vermute, dass er Threema hat. WhatsApp haben sie leider alle, wie es den Anschein hat!
Zum Thema Sicherheit bei soliden mittelständischen Unternehmen in der Schweiz habe ich eine Story, die ich hier nicht aufwärmen will, und eine weitere, nach der sich die "Sicherheit" des Routers insbesondere dadurch auszeichnete, dass (a) das Gehäuse gefühlt aus "Gußeisen" war, und (b) das Gerät ein "Pro" im Namen hatte: In der Schweiz war das damals jedenfalls der Renner!
Gibt es Information zu den Eigentümern der zwei erwähnten Beteiligungsgesellschaften? Eine vermeintliche Lösung zu Deiner Schlußfrage mag einerseits in Signal bestehen, aber auch darin, Matrix "handhabbarer" oder gar einfacher zu machen, bzw. hier entsprechend aufzuklären.
Dass die Übernahme von Threema nicht schlimm wäre, mag auch durchaus sein, ..aber ist das... "sicher"? :D
> Matrix (ist zu kompliziert für Freunde und Familie) Leider ist die Privatsphäre gerne gegen Einfachheit eingetauscht. Der Wechselkurs ist halt von Person zu Person unterschiedlich. (für die Meisten Menschen ist WA ja immer noch ein Guten Tausch. {zumindest glauben sie das})
Hi,
ich bin ebenfalls erstaunt, dass ein Schweizer Produkt nun von deutschen geführt (zumindest finanziert) wird.
Ich war nun Jahrzehnte bei Messengersn, bei denen ich meine Ruhe hatte. Maximal 10 technisch affine Kontakte. Zuerst xmpp, dann Matrix. Zuletzt hatten ein paar Freunde und meine Familie von sich aus Interesse gezeigt. Nur leider hat element einfach nicht zuverlässig formuliert. Meine Mutter testet den Messenger - geht. Sie fährt in Urlaub, stellt Fragen, schickt Fotos und ankommen tut "Nachricht ist verschlüsselt".
Natürlich verifiziert, Schlüssel ausgetauscht und mit Weihrauch angebetet, aber mein Supportaufwand für 7 Familienmitglieder und 5 technisch unversierte Freunde blieb rießig.
Nun bin ich bei Signal. Ja AWS (Amerika) aber immerhin zuverlässig verschlüsselt (auch die Metadaten) und von einer Foundation. Und mit Molly auch ohne Google-Push.
Seither erlebe ich, wie es ist, wenn andere Menschen den gleichen Messenger haben :-) Und mein Supportaufwand ist im Grunde auf null reduziert.
Sehr schade, aber momentan halte ich Signal als den besten Kompromiss aus Datenschutz, Sicherheit, Netzwerkeffekt und Aufwand.
Ginlo wäre eine deutsche Alternative (unterstützt durch den (oder einen) Gründer von gmx). Aber irgendwie nicht ganz open-source. Der schafft es daher nicht mal auf die messengermatrix. Und dort wäre ich wahrscheinlich auch wieder recht allein.
Und jetzt noch ein kleiner Tagtraum: Signal verzichtet auf föderale Strukturen, da sie sagen, dass die Zuverlässigkeit leidet (offensichtlich zurecht). Aber wie wäre es mit EINEM Rechenzentrum in der EU, die sich mit dem amerikanischen Netzwerk verbindet? Das ist minimal-föderiert und die Verbindung kann wirklich zuverlässig betrieben werden. Nicht jeder, der es halbwegs kann, betreibt einen eigenen Server, aber die EU und die USA.
Grüße
Ja Ralf, es wundern sich einige. Allerdings wusste ich nicht, dass bei Threema seit 2020 bereits ein anderes Unternehmen involviert ist. Also vertraue ich auf den Lindy-Effekt. Ich warte ab was passiert. Erst danach handle ich. Zusätzlich versuche ich schon seit einigen Jahren Jami oder SimpleX zu testen, jedoch macht es allein keinen Spaß. :-/
Zumindest was Jami angeht, kann ich nach zwei Tests im Abstand von mehreren Jahren (der letzte allerdings auch schon wieder >2 Jahre her) sagen, dass ein Test mit mehreren Menschen auch keinen Spaß gemacht hat. Durch permanente Konnektivitätsprobleme (insb. bei A-/V-Verbindungen und in Gruppen) waren wir sehr häufig dazu gezwungen, auf unsere Fallback-Kommunikationslösung zu wechseln.
Da ich das P2P-Prinzip von Jami sehr gut finde, waren die realen Erfahrungen für mich damals sehr enttäuschend. Sie decken sich aber leider mit meinen (noch älteren - ca. 2018) Erfahrungen mit dem ebenfalls serverlosen Chatprotokoll https://tox.chat. Seit unserem letzten Umstieg auf XMPP funktioniert alles auf einem zufriedenstellenden (wenn auch sicher nicht perfekten) Niveau, weshalb die Bereitschaft meines Freundeskreises zu erneuten Experimenten (z.B. mit Simplex) sich doch eher in Grenzen hält.
Es gibt da noch ein weiteres Problem: https://tarnkappe.info/artikel/it-sicherheit/datenschutz/proton-verlaesst-die-schweiz-ceo-warnt-vor-ueberwachungsstaat-324338.html Die zunehmende Ausbreitung des Faschismus (Politik + Konzerne gegen die Bürger) würde auch Threema nicht in Ruhe lassen.
Ehrlich gesagt, ist mir das fast egal, da ich Threema für nur einen Kontakt nutze. Wenn gleich es auch schade ist. Muss aber nicht zwingend schlecht sein. Ich breche das gerne auf einen gemeinsamen Nenner runter: SMS und-/oder Telefon - fertig! Mir wird das langsam echt zu lästig.
Ich habe einen Nachtrag in den Artikel geschrieben.