Warum Threema auf Bug Bounty setzt und bis zu CHF 10’000 für kritische Befunde zahlt

Threemas Bug-Bounty-Programm mit GObugfree ist ein wesentlicher Bestandteil ihres robusten Sicherheitsmanagements. Wenige Monate nach dem Start erhöhte Threema das Bounty für Funde von kritischen Schwachstellen von CHF 4'000 auf CHF 10'000.

GBF_Blog-Threema-belives-in-bug-bounty-programs.png

Im Mai 2022 gaben die Threema GmbH und die GObugfree AG gemeinsam den Relaunch des öffentlichen Bug-Bounty-Programms von Threema auf der Schweizer SaaS-Plattform von GObugfree bekannt. Threema hat sich zum Ziel gesetzt, die Sicherheit seiner Apps Threema und Threema Work durch die Zusammenarbeit mit der Community von Friendly Hackern und erfahrenen Sicherheitsexperten durch ein öffentliches Bug-Bounty-Programm zu verbessern. Jetzt, nur wenige Monate nach dem Start, erhöht der Schweizer Pionier die Bounty-Stufen, um noch mehr Aktivität in das Programm zu bringen.

Die Landschaft entwickelt sich stetig weiter

Die Cybersecurity-Landschaft entwickelt sich ständig weiter. Durch den technologischen Fortschritt wird es für Hacker immer einfacher, Informationen über potenzielle Ziele zu erlangen, und sie erhalten neue Möglichkeiten und automatisierte Tools, um ihre Angriffe auszuführen.

Die Daseinsberechtigung von Threema besteht jedoch darin, einen sicheren und datenschutzfreundlichen Messenger-Dienst anzubieten. Daher ist es ihre Aufgabe, die aktuellen und kommenden Risiken im Cyberspace genau zu kennen. Und sich entsprechend zu wappnen, um potenzielle Eindringlinge abzuwehren.

Threema, eine Liga für sich

Auch wenn sie von aussen ähnlich aussehen, unterscheidet sich Threema grundlegend von anderen Messenger. Ganz einfach: Threema hält sich an das Prinzip "privacy by design", die anderen (wie WhatsApp, Signal und Telegram) tun das nicht. Threemas Nutzer sollen kommunizieren können, ohne sich Gedanken über Datenschutz und Sicherheit machen zu müssen. Threema ist der einzige Dienst, der anonym genutzt werden kann, d.h. ohne Angabe von persönlichen Daten (wie Telefonnummer oder E-Mail-Adresse). Alle ihre Server werden von Threema selbst betrieben, und es sind keine Cloud- oder Hosting-Dienste (wie Amazon AWS oder Google Cloud) beteiligt. Schliesslich basieren alle Geschäftsentscheidungen und Softwareentwicklungen auf der Sicherheit und dem Datenschutz der Nutzer.

Bei Signal ist die Angabe einer Telefonnummer obligatorisch. Obwohl Signal ebenfalls auf Sicherheit und Datenschutz ausgelegt ist, unterliegt Signal als US-Dienst dem CLOUD Act, der US-Behörden den Zugriff auf die Daten des Dienstanbieters erlaubt. WhatsApp hat aufgrund seines Geschäftsmodells einen schwachen Schutz der Privatsphäre. Meta (Facebook), dem WhatsApp gehört, finanziert sich durch den Verkauf gezielter Werbung. Dieses Geschäftsmodell erfordert möglichst detaillierte Nutzerinformationen. Daher kann WhatsApp nicht genutzt werden, ohne persönliche Informationen preiszugeben, und die Nutzerdaten werden von Meta für Marketingzwecke verwendet.

Telegram ist eine Cloud-Lösung und kann nach keiner Definition des Wortes als "sicher" gelten: Nachrichten sind nicht nur standardmässig nicht Ende-zu-Ende-verschlüsselt, sie werden auch dauerhaft auf einem Server gespeichert, wo der Dienstanbieter (oder Hacker) sie jederzeit lesen könnte.

Der Schutz der Nutzerdaten hat bei Threema höchste Priorität

Der Dienst von Threema kann ohne Angabe von personenbezogenen Daten genutzt werden, und das System ist von Grund auf so konzipiert, dass nur so wenig Nutzerdaten wie zwingend nötig anfallen. Gruppen und Kontaktlisten werden auf den Geräten der Nutzer verwaltet, nicht auf dem Server. Die Nachrichten werden sofort nach der Zustellung gelöscht, es werden keine Logdateien erstellt und keine persönlich identifizierbaren Informationen gesammelt. Die Server von Threema übernehmen die Rolle einer Vermittlungsstelle; Nachrichten und Daten werden weitergeleitet, aber nicht dauerhaft gespeichert.

Die Verbindung zwischen der App und den Servern ist sicher gegen Man-in-the-Middle-Angriffe (MITM), da sich der Server gegenüber der App auf der Grundlage eines öffentlichen Schlüssels authentifiziert, der in der App fest codiert ist und dessen zugehöriger geheimer Schlüssel nur den legitimen Servern bekannt ist. Zudem führt Threema regelmässig Sicherheitsaudits und Penetrationstests durch und betreiben mit GObugfree ein öffentliches Bug-Bounty-Programm.

Indem Hacker aus verschiedensten Bereichen eingeladen werden, die Dienste zu testen, werden unsere Systeme kontinuierlich auf ein breiteres Spektrum auf Schwachstellen geprüft.
Roman Flepp, Leiter Marketing und Mitglied der Geschäftsleitung bei Threema

Die Crowd Intelligence von Friendly Hacker einsetzen

GObugfree verwaltet Threemas öffentliches Bug-Bounty-Programm. Im Rahmen dieses Programms werden Friendly Hacker eingeladen, Sicherheitslücken in Systemen zu entdecken und zu melden, bevor sie zu einem Problem werden. Bestätigte Funde werden je nach Schweregrad mit einer finanziellen Belohnung vergütet. Es handelt sich um einen White-Box-Ansatz, d. h. die Tests erfolgen aus verschiedenen Blickwinkeln und nicht nach vordefinierten Szenarien und Skripten.

Roman Flepp, Leiter Marketing und Mitglied der Geschäftsleitung bei Threema sieht hierin in grosses Vorteil: “Das Bug Bounty-Programm macht sich die kreative Kraft und Intelligenz der Masse zunutze und gibt uns eine Aussenperspektive. Indem Hacker aus verschiedensten Bereichen eingeladen werden, die Dienste zu testen, werden unsere Systeme kontinuierlich auf ein breiteres Spektrum auf Schwachstellen geprüft”. Angesichts des angehenden Fachkräftemangels verschafft diese Technik Zugang zu erfahrenen, unabhängigen Fachleuten aus der ganzen Welt.

Zudem handelt es sich um ein fortlaufendes Programm, was bedeutet, dass die Tests kontinuierlich durchgeführt werden.

In GObugfree haben wir ein junges Startup-Team und eine Gruppe von Fachleuten gefunden, die sich genauso leidenschaftlich für Sicherheit einsetzen wie wir.
Roman Flepp, Leiter Marketing und Mitglied der Geschäftsleitung bei Threema

Ein Bug-Bounty-Programm ist ein wesentlicher Bestandteil eines robusten Sicherheitsmanagements

In der Vergangenheit hat Threema ihr Bug-Bounty-Programm selbst durchgeführt. Es erforderte jedoch eine Menge Ressourcen, um es aufrechtzuerhalten. Der Aufwand für die Überprüfung von Forschern, die Auswertung, Gegenprüfung und Validierung von Ergebnissen und die Verwaltung von Auszahlungen bei einem breit angelegten öffentlichen Programm ist nicht zu unterschätzen.

Roman Flepp, Leiter Marketing und Mitglied der Geschäftsleitung erklärt: “In GObugfree haben wir ein junges Startup-Team und eine Gruppe von Fachleuten gefunden, die sich genauso leidenschaftlich für Sicherheit einsetzen wie wir. GObugfree bietet ein vollständig verwaltetes Programm an, das heisst sie kümmern sich um die gesamte Routinearbeit, damit wir unsere Zeit der Behebung der gemeldeten Schwachstellen und der Weiterentwicklung unserer Produkte widmen können”.

Hacker stehen nicht still. Genauso wie Unternehmen ihre Produkte und Dienstleistungen an das äussere Marktumfeld anpassen, müssen auch Unternehmen ihre Sicherheitsmassnahmen ständig anpassen und erweitern, um der Zeit voraus zu sein. Threemas Bug-Bounty-Programm mit GObugfree ist ein wesentlicher Bestandteil ihres robusten Sicherheitsmanagements zum Schutz der Daten und der Privatsphäre der Nutzer.


Die erste Threema-Version wurde am 12. Dezember 2012 in Apples App Store veröffentlicht. Ein paar Monate später kam die erste Android-Version. Die Nutzerbasis wuchs schnell auf 250.000. Heute gibt es rund 11 Millionen Threema-Nutzer.

Neben einer privaten Version bietet Threema auch eine Unternehmenslösung, Threema Work, an, die von Tausenden von Unternehmen und Organisationen weltweit als vertrauenswürdige Chat-App-Lösung genutzt wird.