Bericht: Sicherheitsbedenken bei der Verschlüsselung des Schweizer Messengers TeleGuard

Der Schweizer Messenger-Dienst TeleGuard, ein Produkt der Swisscows AG, steht im Zentrum einer Debatte um Datensicherheit und irreführende Werbeversprechen. Obwohl die Applikation, die nach eigenen Angaben über eine Million Mal heruntergeladen wurde, mit Attributen wie „maximaler Sicherheit" und einer „Ende-zu-Ende-Verschlüsselung" (E2EE) beworben wird, weisen Berichte von Sicherheitsexperten und Juristen auf fundamentale architektonische Mängel hin.

Grundlage dieser Berichterstattung sind Recherchen des US-amerikanischen Tech-Mediums 404 Media sowie eine detaillierte rechtliche Einordnung des Schweizer Anwalts für Digitalrecht, Martin Steiger.

1. Die technischen Vorwürfe: Mangelhafte Verschlüsselungsarchitektur

Im Kern der Kritik steht die Implementierung der kryptografischen Schlüssel. Bei einer standardkonformen Ende-zu-Ende-Verschlüsselung verbleibt der private Schlüssel (Private Key), der zwingend für die Entschlüsselung eingehender Nachrichten benötigt wird, ausschließlich auf dem lokalen Endgerät der nutzenden Person. Die Recherchen von 404 Media legen jedoch dar, dass TeleGuard von diesem Branchenstandard signifikant abweicht:

• Zentraler Upload privater Schlüssel: Die App überträgt den privaten Schlüssel der Nutzer an die Server der Swisscows AG.
• Statische Verschlüsselungsparameter: Zwar erfolgt der Upload des Schlüssels in verschlüsselter Form, jedoch werden die zur Entschlüsselung notwendigen Parameter gleich mitgeliefert. Laut den zitierten Sicherheitsforschern verwendet TeleGuard sogenannte „Salts" und „Nonces" – kryptografische Werte, die zwingend bei jedem Vorgang zufällig neu generiert werden müssen – in statischer, also konstanter Form.
• Gefahr durch Dritte (API-Schwachstelle): Durch diese statische Implementierung ist der Serverbetreiber (Swisscows) prinzipiell in der Lage, die privaten Schlüssel aller Nutzer zu entschlüsseln und somit die Kommunikation im Klartext zu lesen. Zudem stellten die Forscher fest, dass es möglich sei, allein durch die Eingabe einer öffentlichen Nutzer-ID in die Programmierschnittstelle (API) von TeleGuard den privaten Schlüssel der entsprechenden Person abzugreifen.

2. Rechtliche und regulatorische Einordnung

Die technischen Mängel werfen weitreichende juristische Fragen auf, insbesondere hinsichtlich des Datenschutzes und der Haftung, wie Rechtsanwalt Martin Steiger in seiner Analyse ausführt.

• Anwendbarkeit der DSGVO: Swisscows argumentiert in den offiziellen FAQ von TeleGuard, dass das Unternehmen aufgrund des Serverstandorts in der Schweiz nicht den Datenschutzgesetzen der EU unterliege. Diese Rechtsauffassung wird von Steiger als „kaum haltbar" eingestuft. Gemäß dem Marktortprinzip (Art. 3 Abs. 2 DSGVO) sind Unternehmen, die ihre Dienste Nutzern im Europäischen Wirtschaftsraum (EWR) anbieten, an die europäische Datenschutz-Grundverordnung gebunden.
• Verstoß gegen die Datensicherheit: Sollten die dokumentierten Fehler zutreffen, könnte dies eine Verletzung der gesetzlichen Sorgfaltspflichten zur Gewährleistung der Datensicherheit darstellen. Dies betrifft sowohl das revidierte Schweizer Datenschutzgesetz (Art. 8 DSG) als auch die europäische DSGVO (Art. 32). Verstöße können mit erheblichen Geldbußen geahndet werden.

3. Behördliche Zugriffe und praktische Konsequenzen

Die Behauptung der Swisscows AG, Metadaten und Kommunikation seien absolut sicher und vor Behörden geschützt, wird durch Berichte aus der Praxis infrage gestellt.

Die Washington Post berichtete über einen Fall, in dem amerikanische Strafverfolgungsbehörden einen mutmaßlichen Täter im Bereich des sexuellen Kindesmissbrauchs (unter dem Pseudonym „LuvEmYoung") identifizieren konnten. Der Beschuldigte hatte sich in dem Glauben an absolute Anonymität über TeleGuard ausgetauscht. Ermittlungsbehörden konnten jedoch durch die Struktur der App und die Zusammenarbeit mit Plattformbetreibern (unter anderem durch die Auswertung von Push-Benachrichtigungs-Tokens) die Identität des Nutzers aufdecken und das geteilte Material als Beweismittel sichern. Dies untermauert die These der Sicherheitsforscher, dass die Verschlüsselung von TeleGuard im Ernstfall weder vor dem Zugriff durch Betreiber noch durch Behörden schützt.

4. Reaktionen des Unternehmens und historischer Kontext

Auf die Veröffentlichung der Recherchen reagierte die Swisscows AG bislang nicht mit einer transparenten technischen Aufarbeitung. Gegenüber 404 Media bestritt Swisscows-CEO Andreas Wiebe die Vorwürfe in einer privaten Nachricht auf der Plattform LinkedIn. Er bezeichnete die Informationen pauschal als „falsch" und den zitierten Sicherheitsforscher als „nicht kompetent", legte jedoch keine technischen Belege zur Widerlegung der dokumentierten Schwachstellen vor.

Dieser Umgang mit Kritik ist nicht neu. Bereits im Mai 2022 veröffentlichte das Schweizer Portal dnip.ch (Das Netz ist politisch) eine Recherche, die Diskrepanzen zwischen den Werbeversprechen („maximaler Datenschutz") und der technischen sowie unternehmerischen Realität bei der Swisscows AG und deren E-Mail-Dienst aufzeigte. Auch damals verweigerte das Unternehmen die Beantwortung kritischer Fragen der Redaktion.

Update: Offizielle Gegendarstellung von TeleGuard-CEO Andreas Wiebe

7. April 2026 – Der CEO von Swisscows AG, Andreas Wiebe, hat in einer offiziellen Stellungnahme auf LinkedIn ausführlich auf die Vorwürfe reagiert.

Kernpunkte der Gegendarstellung:

• Kritik an der Berichterstattung von 404 Media als "oberflächlich und unsubstantiiert"
• Technische Erklärung: TeleGuard verwendet Standardalgorithmen (Salsa20)
• Behauptung: Private Keys bleiben verschlüsselt auf dem Gerät
• "Keys" dienen nur für Einladungsmechanismen, nicht für Nachrichtenverschlüsselung
• Kategorische Ablehnung der Assoziation mit kriminellen Aktivitäten
• Aufforderung an 404 Media, reproduzierbare Beweise vorzulegen
• Angebot eines Testkontos unter kontrollierten Bedingungen
• Bekenntnis zu Datenschutz und Privatsphäre der Nutzer

Komplette Stellungnahme: Our official response to 404 Media - Andreas Wiebe auf LinkedIn

Logo des TeleGuard Messenger-Dienstes

Quellen und Belege

• Steiger Legal (Rechtsanwalt Martin Steiger): Mangelhafte Verschlüsselung beim Messenger TeleGuard aus der Schweiz (Veröffentlicht am 5. April 2026). Detaillierte juristische und technische Zusammenfassung der Schwachstellen.

  • Link: https://steigerlegal.ch/2026/04/05/teleguard-swisscows-verschluesslung/

• 404 Media (Joseph Cox): A Secure Chat App's Encryption Is So Bad It Is 'Meaningless' (Veröffentlicht am 2. April 2026). Ursprüngliche investigative Recherche zu den kryptografischen Fehlern bei TeleGuard.

  • Link: https://www.404media.co/a-secure-chat-apps-encryption-is-so-bad-it-is-meaningless/

• dnip.ch – Das Netz ist politisch (Adrienne Fichter & Patrick Seemann): Wieviel Datenschutz steckt in Teleguard und Swisscows-Email drin? Spoiler: Nicht viel (Veröffentlicht am 25. Mai 2022). Hintergrundbericht zur Unternehmensstruktur und früheren Sicherheitsbedenken.

  • Link: https://dnip.ch/2022/05/25/wieviel-datenschutz-steckt-in-teleguard-und-swisscows-email-drin-spoiler-nicht-viel/

• The Washington Post (Drew Harwell & Aaron Schaffer): The FBI's new tactic: Catching suspects with push alerts (Veröffentlicht am 29. Februar 2024). Bericht über die Überführung eines Straftäters, der TeleGuard zur Verbreitung illegaler Inhalte nutzte.

  • Link: https://www.washingtonpost.com/technology/2024/02/29/push-notification-surveillance-fbi/

• Swisscows AG / TeleGuard: Offizielle FAQ und Werbeaussagen des Unternehmens (abgerufen zur Überprüfung der Versprechen zu E2EE und DSGVO).

  • Link: https://teleguard.com/de#faq

• Andreas Wiebe (CEO Swisscows AG): Our official response to 404 Media (Veröffentlicht am 7. April 2026). Offizielle Gegendarstellung zu den Vorwürfen.

  • Link: https://www.linkedin.com/pulse/our-official-response-404-media-andreas-wiebe-8kqce/