Threema Work hat sich vor allem den Datenschutz auf die Fahnen geschrieben. Inwieweit dies für einen nahtlosen Informationsaustausch förderlich ist, haben wir uns angesehen.
Kontaktvermittler
Veröffentlicht in Ausgabe 11/2021 - TESTS
WhatsApp führt zwar weltweit die Rangliste der populärsten Messenger-Dienste an, ist im Firmenumfeld aber eher selten anzutreffen – von der berüchtigten Schatten-IT einmal abgesehen. Es existiert zwar eine Business-Variante der App, diese richtet sich aber eher an Unternehmen, die mit WhatsApp Kundensupport betreiben möchten und weniger an Organisationen, die damit ihre interne Kommunikation bestreiten wollen. So ist es nicht verwunderlich, dass andere Anbieter diese Lücke besetzen wollen.
Einer davon ist die im Schweizer Pfäffikon beheimatete Threema GmbH, die ihren Messenger sowohl für Privatnutzer als auch für Unternehmen offeriert – letztere Variante hat der Entwickler Threema Work getauft. Außerdem gibt es seit Juli 2021 mit Threema OnPrem noch ein Angebot für selbstgehostetes Enterprise-Messaging, das jedoch nicht Gegenstand unseres Tests ist.
Threema punktet mit Sicherheit
Wer als eher kleiner Anbieter wie Threema – insgesamt nutzten laut Statista im Mai 2021 etwa 10 Millionen User den Messenger-Dienst – auf sich aufmerksam machen will, benötigt ein Alleinstellungsmerkmal. Die Schweizer haben hier das Thema Sicherheit für sich entdeckt. Sowohl für das Consumer-Angebot als auch Threema Work gilt: Nachrichten werden nur für die Dauer der Übermittlung auf den (in der Schweiz stehenden) Servern des Dienstleisters zwischengespeichert und unmittelbar danach gelöscht. Zudem unterliegen sämtliche Mitteilungen und Medien einer Ende-zu-Ende-Verschlüsselung. Die Generierung des Schlüsselpaars erfolgt dezentral auf den einzelnen Geräten. Zudem führt Threema laut eigenen Angaben kein Log darüber, wer mit wem kommuniziert.
WhatsApp führt zwar weltweit die Rangliste der populärsten Messenger-Dienste an, ist im Firmenumfeld aber eher selten anzutreffen – von der berüchtigten Schatten-IT einmal abgesehen. Es existiert zwar eine Business-Variante der App, diese richtet sich aber eher an Unternehmen, die mit WhatsApp Kundensupport betreiben möchten und weniger an Organisationen, die damit ihre interne Kommunikation bestreiten wollen. So ist es nicht verwunderlich, dass andere Anbieter diese Lücke besetzen wollen.
Einer davon ist die im Schweizer Pfäffikon beheimatete Threema GmbH, die ihren Messenger sowohl für Privatnutzer als auch für Unternehmen offeriert – letztere Variante hat der Entwickler Threema Work getauft. Außerdem gibt es seit Juli 2021 mit Threema OnPrem noch ein Angebot für selbstgehostetes Enterprise-Messaging, das jedoch nicht Gegenstand unseres Tests ist.
Threema punktet mit Sicherheit
Wer als eher kleiner Anbieter wie Threema – insgesamt nutzten laut Statista im Mai 2021 etwa 10 Millionen User den Messenger-Dienst – auf sich aufmerksam machen will, benötigt ein Alleinstellungsmerkmal. Die Schweizer haben hier das Thema Sicherheit für sich entdeckt. Sowohl für das Consumer-Angebot als auch Threema Work gilt: Nachrichten werden nur für die Dauer der Übermittlung auf den (in der Schweiz stehenden) Servern des Dienstleisters zwischengespeichert und unmittelbar danach gelöscht. Zudem unterliegen sämtliche Mitteilungen und Medien einer Ende-zu-Ende-Verschlüsselung. Die Generierung des Schlüsselpaars erfolgt dezentral auf den einzelnen Geräten. Zudem führt Threema laut eigenen Angaben kein Log darüber, wer mit wem kommuniziert.
Ebenso wenig ist es nötig, die App mit einer E-Mail-Adresse oder Telefonnummer zu versorgen, sodass es im Endgerät keiner SIM-Karte bedarf und der Tablet-Betrieb allein mit der sogenannten Threema-ID möglich ist. Wie die Consumer-Ausgabe arbeitet Threema Work mit einer Art Ampelsystem, das die Vertrauenswürdigkeit eines Kontakts beschreibt. Nur wenn sich Chatpartner schon einmal von Angesicht zu Angesicht begegnet sind und gegenseitig ihren ID-QR-Code erfasst haben, zeigt die Ampel grünes beziehungsweise bei Threema Work blaues Licht.
Inwieweit die beiden Werbeversprechen Anonymität und Dezentralität für den Betrieb eines Business-Messengers wichtig sind oder der hürdenlosen Kommunikation vielleicht sogar im Weg stehen, wird sich im Verlauf unseres Tests noch zeigen. Letztendlich aber ist anzuerkennen, dass Threema mit seinem Versprechen der vollen DSGVO-Konformität die Anforderungen der meisten europäischen Firmen erfüllen dürfte.
Während die Security-Merkmale zahlreich sind, zeigt sich der Nachrichtendienst bei der Preisgestaltung simpel: Der Service wird pro Monat und Nutzer berechnet, festlegen muss sich das Unternehmen nur auf die Business- (1,30 Euro) oder Enterprise-Variante (1,75 Euro). Die beiden Ausprägungen unterscheiden sich recht stark im Funktionsumfang. Vor allem die nützlichen MDM-Funktionen samt der Option für globale und individuelle Richtlinien und die interne Kontaktliste sprechen unserer Meinung nach für den Einsatz der Enterprise-Version.
Reibungslose Verwaltung über Webportal
Unternehmen können Threema Work nach der Eingabe einiger Kontaktdaten für 60 Tage und 15 Nutzer kostenlos testen, was auch wir so in Anspruch genommen haben. Nach der Registrierung erfolgt der Zugriff auf das Webportal von Threema Work mit "https://work.threema.ch/ de/anmelden". Hier sollte der Admin auf ein starkes Kennwort setzen, zusätzlich ist die Nutzung einer Zweifaktor-Authentifizierung möglich. Letztere ließ sich im Test problemlos aktivieren und etwa mit dem Google Authenticator verwenden. Das Management-Cockpit empfängt mit einer übersichtlichen und erprobten Ansicht – vier Reiter oben und rund ein Dutzend Menüpunkte in der linken Leiste ermöglichen eine intuitive und schnelle Navigation durch die Settings.
| Produkt |
Messenger-Dienst für den Unternehmenseinsatz.
|
|---|---|
| Hersteller |
Threema
|
| Preis |
Das Enterprise-Paket mit weitreichenden MDM-Funktionen, interner Kontaktliste und der Möglichkeit zum Löschen von Threema-IDs kostet 1,75 Euro pro Monat und Benutzer. Die Business-Variante mit deutlich abgespeckten Features ist für rund 1,30 Euro zu haben. In beiden Versionen nicht enthalten ist das Threema Gateway, mit dem sich Nachrichten automatisiert senden und empfangen lassen.
|
| Systemanforderungen |
Für den Einsatz des webbasierten Management-Cockpits kommen die aktuellen Versionen der Browser Mozilla Firefox, Google Chrome, Chromium, Opera und Safari in Frage. Die Nutzung der App selbst erfordert auf dem Mobilgerät mindestens Android 4.4 oder iOS 10 und iPhone 5s oder höher. Über Threema Web lässt sich der Kurznachrichtendienst außerdem im Browser verwenden.
|
| Technische Daten |
Als erste Tätigkeit haben wir die freien Lizenzen einzelnen Anwendern zugeteilt. Die Lizenzen lassen sich den Usern übrigens jederzeit wieder entziehen und neu verwenden. Threema Work lässt sich über MDM-Software von Drittanbietern ausrollen, was wir für unseren Test jedoch nicht in Angriff genommen haben. Die Nutzer der App mussten sich diese also erst einmal selbst besorgen, was über den App Store von Apple und Google Play aber nur eine Sache von zwei Minuten war. Wichtig ist dabei nur, dass sich Anwender die (blaue) Threema-Work-App und nicht die (grüne) Consumer-Ausgabe herunterladen. Startet der Benutzer die App, meldet er sich mit seinen Zugangsdaten an, die der Admin ihm vorher zum Beispiel per E-Mail mitgeteilt hat.
Im Webportal konnten wir dazu auch einen Aktivierungslink erstellen. Je nach genutzter E-Mail-App auf dem Mobilgerät funktionierte das bei uns aber nicht immer und nur ein manuelles Eintippen der Credentials führte dann zum Erfolg. Nach dem Login erzeugt ein wahlloses Hin- und Herwischen auf dem Touchscreen die achtstellige Threema-ID, die den Geräteinhaber in Zukunft eindeutig identifiziert und einmalig seitens des Anwenders gegenüber dem Threema-Work-Portal zu aktivieren ist. Und je nachdem, ob schon Voreinstellungen gesetzt wurden, muss der Nutzer diese noch abnicken. Danach kann er direkt mit dem Schreiben und Empfangen von Nachrichten beginnen oder einen Audio- respektive Videocall starten.
Nicht zuletzt bietet Threema Work Möglichkeiten zum Branding beziehungsweise für Corporate Identity. So etwa lässt sich ein Firmenlogo oder im Hilfe-Bereich eine eigene Support-URL in die App einbinden. Im Admin-Bereich wiederum informiert ein eher rudimentärer Statistikbereich unter anderem über die auf den Endgeräten laufenden Betriebssysteme oder die Anzahl der in letzter Zeit neu registrierten und mit einer Threema-ID versehenen User. Leider ist hier kein Drill-Down möglich – welche Kollegen aktuell neu hinzugekommen sind, verraten weder Statistik-Seite noch Dashboard proaktiv. Der Admin muss sich diese Information aus der tabellarischen Nutzerübersicht heraussuchen.
Nicht jede Richtlinie ergibt Sinn
Threema empfiehlt, den Messenger schon vor dem Ausrollen vorzukonfigurieren, um einerseits dem Benutzer Arbeit zu ersparen und andererseits für Compliance zu sorgen – besonders für privat und geschäftlich genutzte Devices ein wichtiger Punkt. Derartige Voreinstellungen lassen sich im Menü "Threema-MDM" treffen, und zwar sowohl auf globaler als auch auf Anwender-Ebene. So können Sie für den User hier etwa schon Vor- und Nachnamen, eine Abteilung sowie seine geschäftliche E-Mail-Adresse unveränderbar hinterlegen.
Neben derartigen Essentials lassen diese Richtlinien aber auch sehr granulare und mächtige Einstellungen zu. So ist es etwa möglich, die Synchronisation mit dem lokalen Adressbuch zu erlauben oder zu untersagen. Weiterhin lässt sich über diese Vorgaben das Exportieren von Chat-Verläufen oder das Speichern von Medien in die lokale Galerie verhindern. Insgesamt konnten wir hier auf rund 30 globale plus ein Dutzend individueller Vorgaben zugreifen, wobei globale Settings die nutzerspezifischen überschreiben. Die Einstellungen lassen sich außer im Management-Cockpit per zentraler CSV-Datei verwalten, was wir besonders für die individuellen Settings praktisch fanden.
Vor dem Setzen der Richtlinien kommen IT-Verantwortliche jedoch nicht umhin, sich grundlegend Gedanken dazu zu machen, inwieweit sie die Threema-Funktionen zur Anonymisierung des Users und zum Datenschutz wirklich verwenden wollen. Im Unternehmenskontext ergibt es unserer Ansicht nach beispielsweise wenig Sinn, per Richtlinie den Zugriff auf das Adressbuch zu untersagen oder das nutzerseitige Hinzufügen von Kontakten, sprich Kollegen, zu verhindern. Ebenso ließe sich zwar ein hohes Datenschutzniveau erreichen, wenn die IT jeden Anwender nur anhand seiner Threema-ID führt. Sowohl die Nutzbarkeit durch den User als auch die Verwaltbarkeit durch den Admin leidet bei zu viel Anonymisierung jedoch erheblich.
Nutzerverwaltung und Automatisierung
Scheidet ein Mitarbeiter aus dem Unternehmen aus, bietet Threema Work auf Wunsch vollständige ID-Portabilität. Getrennte IDs werden dann zwar aus der Liste der aktiven Nutzer entfernt und bei den Kollegen nicht mehr als interner Kontakt angezeigt. Sie lassen sich aber außerhalb des Lizenzpakets weiter nutzen – zum Beispiel in der Consumer-Version von Threema. Inwieweit das Sinn ergibt, muss auch hier die IT-Abteilung entscheiden. Denn nur durch die zweite Option, das unwiderrufliche Löschen einer ID, konnten wir im Test vermeiden, dass die ID länger als nötig genutzt wurde und der Ex-Mitarbeiter Zugriff auf zukünftige Chatverläufe hatte.
Wie erwähnt synchronisiert die App die Kontaktliste optional mit dem Adressbuch des mobilen Endgeräts. Ist das Adressbuch mit einem zentralen Verzeichnisdienst (Active Directory, LDAP) oder MS Exchange gekoppelt, erfolgt die Zuordnung der Kontakte und der Threema-IDs automatisch. Über die Threema-Work-API lässt sich zudem die Administration und Nutzerverwaltung weiter automatisieren. Über diese Schnittstelle sind diverse Anpassungen möglich, die im Management-Cockpit nur manuell durchzuführen wären.
Noch mehr Optionen zur Automatisierung bieten sich über den Dienst Threema Gateway. Dieser ist allerdings ein eigenständiger Service und im Testzugang zur Threema Work nicht mit enthalten, sodass wir keinen Blick darauf geworfen haben. Laut Hersteller lässt sich Threema mit dem Gateway einfach in bestehende Software einbinden. Organisationen können damit Threema-Nachrichten über ihre eigene Software versenden, empfangen und verarbeiten. Anwendungsmöglichkeiten sind etwa der automatisierte Versand mTAN, eTAN oder OTP, Alarmierungen für Blaulichtdienste oder technische Anlagen oder die Weiterleitung verschlüsselter E-Mails. Bei unserer Recherche erschien uns das Preismodell im Gegensatz zu Threema Work jedoch nicht sehr transparent: Der Nutzer erwirbt Credit-Pakete und kann diese dann für Nachrichten ausgeben, wobei die Kosten pro Nachricht je nach Inhalt (Text, Bild oder Datei) unterschiedlich hoch ausfallen.
Datensicherung nur in Eigenregie
Falls es für ein Unternehmen notwendig ist, aufgrund von Auditierungs- oder Reporting-Vorgaben Chats extern zu speichern, kann es seine Nutzer auffordern, Chats zu sichern beziehungsweise zu exportieren. Aufgrund der Ende-zu-Ende-Verschlüsselung von Threema Work mit dezentraler Aufbewahrung der Nachrichten ist es nicht möglich, Transkripte mit dem Management-Cockpit oder über die API zu erstellen. Eine Ausnahme bilden hier lediglich die über die Broadcast-Funktion – mehr dazu später – verschickten Nachrichten in Verteilerlisten oder Feeds. Diese sind seitens Threema gespeichert und somit auch im Management-Cockpit einsehbar.
Auf den Geräten unterscheidet Threema zwischen grundlegenden Nutzerdaten wie der Threema-ID, dem Profilbild oder der Gruppenzugehörigkeit auf der einen und dem Nachrichtenverlauf auf der anderen Seite. Die User-Informationen lassen sich über die Funktion "Threema Safe" sichern und bei Verlust des Geräts wiederherstellen. Zur Nutzung ist die Vergabe eines gesonderten Passworts nötig. Gerät es in Vergessenheit, ist auch das Nutzerdaten-Backup unwiederbringlich verloren. Die Sicherung erfolgt ungefähr alle 24 Stunden, sofern sich etwas an den Daten geändert hat und eine Internetverbindung besteht. Außerdem lässt sich der Backupvorgang manuell anstoßen. Dabei ersetzt jedes neue Backup das vorherige. Die Nutzung von Threema Safe lässt sich über globale und individuelle Richtlinien erzwingen, sodass zumindest für grundlegende Datensicherheit gesorgt ist.
Das Sichern des Nachrichtenverlaufs und der darin enthaltenen Mediendateien muss hingegen aktiv erfolgen und vom Anwender ausgehen. Richtlinien, die eine derartige Sicherung erzwingen, gibt es nicht. Dazu kommt, dass das Backup lokal auf dem User-Device erzeugt wird. Im Idealfall legt der Nutzer die ebenfalls mit einem Passwort geschützte Sicherungsdatei dann an einem sicheren Ort ab, um im Verlust- oder Schadensfall die Nachrichten wieder auf einem neuen Device einspielen zu können. Außerdem ist es möglich, den Chatverlauf als ZIP-Datei zu exportieren und direkt an ein anderes Ziel zu schicken.
Trotzdem: Die Backup- und Archivierungsfunktion komplett an den Endbenutzer auszulagern, stellt je nach Mitarbeiteranzahl und deren technischem Hintergrund keine ideale Lösung dar, ist aufgrund der Architektur von Threema mit Schwerpunkt Datenschutz allerdings nicht aus der Welt zu schaffen. Fakt ist allerdings, dass sich etwaige Archivierungsvorschriften so nur sehr umständlich erfüllen lassen.
Praktische Tools zur Top-Down-Kommunikation
Das in Threema Work enthaltene Threema Broadcast schließlich erlaubt über Gruppen, Feeds, Verteilerliste und Bots eine strukturiertere Kontaktaufnahme mit oder zwischen den Mitarbeitern. Gruppen gibt es ja bei fast allen Messengern, sie lassen sich über Threema Work aber zentral einrichten und verwalten. Während Nutzer sich bei Feeds selbständig an- und abmelden können, erreichen verwaltbare Verteilerlisten die gewünschten Adressaten ohne vorherige Anmeldung. Der Admin kann hier vielmehr bestimmen, welche Anwender oder Nutzergruppen Mitglied der Verteilerlisten sind.
Diese Unterschiede erschlossen sich uns im Test zu Beginn nicht immer intuitiv. So war in Verteilerlisten per Default kein Antworten auf Nachrichten möglich, was die App selbst aber nur mit der recht kryptischen Ausgabe "Unbekannter Befehl" quittierte. Wie beim Thema Backup gilt es also auch hier, die Kollegen an die Hand zu nehmen und über die im Messenger zur Verfügung stehenden Funktionen vorab zu informieren. Das Verwalten von Feeds, Verteilerlisten und Gruppen lässt sich übrigens über die Broadcast-API automatisiert abwickeln. Das Anbinden an einen Verzeichnisdienst ist ebenfalls möglich.
Fazit
Letztendlich mussten wir beim Test von Threema Work feststellen, dass das zentrale Verwalten einer dezentral konzipierten Messenger-App nicht immer zu befriedigenden Ergebnissen führt. Wem etwa das Thema einheitliches Backup und Archivierung bei einem Messenger wichtig ist, der dürfte mit Threema Work nicht glücklich werden. Dies liegt aber an der prinzipiellen Struktur der Software und ist der Business-Variante nur bedingt anzulasten. Denn insgesamt hat der Schweizer Hersteller mit Threema Work und dem Management-Cockpit einen übersichtlichen, funktionsreichen und vor allem DSGVO-konformen Clouddienst zur Verwaltung seines Kurznachrichtendiensts im Angebot. Die niedrige Preisschwelle – den Einsatz von Threema Gateway einmal außer Acht gelassen – dürfte vor allem kleinere Unternehmen ansprechen. Dem Anwender einen äußerst soliden Messenger bereitzustellen und gleichzeitig Schatten-IT im BYOD-Kontext zu vermeiden, ist damit gut machbar.
| Bewertung | |
|---|---|
| Dieses Produkt eignet sich |
optimal für kleine Firmen ohne eigene Infrastruktur, die Mitarbeitern einen verwalteten Kurznachrichtendienst anbieten wollen.
bedingt für Unternehmen, die beim Messaging hohe Compliance-Ansprüche an Backup und Archivierung haben.
nicht für Firmen, die die Messenger-Infrastruktur in Eigenregie hosten wollen. Hier wäre Threema OnPrem die richtige Wahl.
|