Die Verschlüsselung bei TeleGuard, angeblich ein «sicherer Messenger», ist derart mangelhaft, dass sie nutzlos ist. Die Anbieterin Swisscows und Dritte können die Kommunikation der Nutzer von TeleGuard abgreifen.
Die mangelhaft-nutzlose Verschlüsselung beim Messenger TeleGuard fasst «404 Media» in einem aktuellen Beitrag wie folgt zusammen (in deutscher Übersetzung):
«TeleGuard, eine App, die sich selbst als sichere, Ende-zu-Ende-verschlüsselte Messaging-Plattform vermarktet und mehr als eine Million Mal heruntergeladen wurde, implementiert ihre Verschlüsselung derart schlecht, dass ein Angreifer ohne Weiteres auf den privaten Schlüssel eines Nutzers zugreifen und dessen Nachrichten entschlüsseln kann […]. TeleGuard lädt zudem die privaten Schlüssel der Nutzer auf einen Firmenserver hoch, was bedeutet, dass TeleGuard selbst die Nachrichten seiner Nutzer entschlüsseln könnte; ausserdem kann der Schlüssel laut den Forschern zumindest teilweise bereits durch das einfache Abfangen des Datenverkehrs eines Nutzers abgeleitet werden.»
Der Bericht von «404 Media» bestätigt schwerwiegende Mängel bei TeleGuard, über die dnip.ch bereits im Mai 2022 berichtet hatte.
Der Messenger TeleGuard gehört zum Angebot der schweizerischen Swisscows AG.
Das Angebot von Swisscows umfasst auch Dienste für «sicheren Cloud-Speicher», E‑Mail mit «innovativer und sicherster Verschlüsselung» und VPN mit «maximaler Sicherheit» sowie eine «anonyme Suchmaschine».
Mit der Swisscows AG verbunden sind die Edelcoin AG, die Edelweiss Group AG, die Hulbee AG und die Hulbee Enterprise AG ebenfalls in der Schweiz. Der «Edelcoin» ist eine «Kryptowährung, die durch einen Mix aus Edel- und Basismetallen vollständig abgesichert ist.»
Im Verwaltungsrat der erwähnten Gesellschaften sitzt immer Andreas Wiebe, zum Teil gemeinsam mit Josef Reichert. Beide sind deutsche Staatsbürger.
Im Jahr 2020 arbeiteten nach Angaben der Neuen Zürcher Zeitung (NZZ) bei Swisscows insgesamt 54 Personen. Diese Mitarbeiter verteilten sich damals auf den Sitz in der Schweiz sowie weitere Standorte in Deutschland und Russland.
Was verspricht Swisscows für den «sicheren Messenger» TeleGuard?
Swisscows bewirbt den Messenger TeleGuard unter anderem als «sichere Zoom-Alternative», mit «maximaler Sicherheit bei Videokonferenzen» und als den «privatesten Messenger der Welt».
Swisscows präsentiert sich als «unabhängiges Unternehmen unter Schweizer Datenschutzrechten und DSGVO-konform», betreibt nach eigenen Angaben «alle Server in den Rechenzentren in der Schweiz» und verspricht für TeleGuard das «Schweizer Gefühl vom modernen Messenger».
In der FAQ für TeleGuard heisst es unter anderem:
«Wieso ist TeleGuard besser als andere Messenger?
TeleGuard verschlüsselt jede Nachricht und alle Telefongespräche mit dem besten Verschlüsselungsalgorithmus, den es derzeit gibt: SALSA 20. Da unsere Server in der Schweiz stehen, unterstehen wir nicht den Datenschutzgesetzen der EU / USA und müssen keine Daten weitergeben. Aber es ist DSGVO-konform. Es werden KEINE MetaDaten und keine IP´s gespeichert. Die Nachrichten werden nur so lange gespeichert bis sie zugestellt wurden.»
Wieso Swisscows davon ausgeht, dass die europäische Datenschutz-Grundverordnung (DSGVO) für Nutzer von TeleGuard im Europäischen Wirtschaftsraum (EWR) nicht anwendbar sein soll, erscheint aufgrund der Rechtslage gemäss Art. 3 Abs. 2 DSGVO kaum haltbar.
In der Datenschutzerklärung von TeleGuard wird allerdings tatsächlich keine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO genannt.
Wieso ist die Verschlüsselung bei TeleGuard mangelhaft?
Die mangelhafte Verschlüsselung bei TeleGuard betrifft den Umgang mit den privaten Schlüsseln, wie «404 Media» erklärt:
«Bei der Implementierung verschlüsselter Nachrichten weisen Apps Nutzern häufig ein Schlüsselpaar aus öffentlichem und privatem Schlüssel zu. Der öffentliche Schlüssel wird von anderen verwendet, um Nachrichten für einen Nutzer zu verschlüsseln, während der private Schlüssel dazu dient, diese Nachrichten zu entschlüsseln. Gelangt dieser Schlüssel in die Hände Dritter, können diese unter Umständen die Nachrichten eines Nutzers lesen.
Bei echter Ende-zu-Ende-Verschlüsselung erfolgt dieser Vorgang auf dem Gerät des Nutzers, und der Schlüssel sollte dieses Gerät niemals verlassen. Bei TeleGuard hingegen überträgt die App diesen hochsensiblen Schlüssel an die Server des Unternehmens. Technisch gesehen lädt die App zwar eine verschlüsselte Version des privaten Schlüssels hoch, übermittelt jedoch zugleich weitere Informationen, die es dem Server ermöglichen, diesen zu entschlüsseln […]. Dazu gehören die eindeutige Nutzer-ID, die zusammen mit dem Schlüssel übertragen wird, ein fest einprogrammierter Salt (der in der Kryptografie eigentlich eine zufällige Zeichenfolge sein sollte, bei TeleGuard jedoch konstant ist) sowie ein fest einprogrammierter Nonce (der ebenfalls für jede Kommunikation zufällig sein sollte, um bestimmte Angriffe zu verhindern, bei TeleGuard jedoch konstant bleibt). ‹Der Server kann den privaten Schlüssel jedes Nutzers entschlüsseln. Er hat alle›, schrieb [ein] Forscher in seinen mit ‹404 Media› geteilten Ergebnissen.»
Swisscows könnte aufgrund der Kenntnis der privaten Schlüssel die Kommunikation aller Nutzer von TeleGuard mitlesen.
In der Folge können Sicherheitsbehörden grundsätzlich die Daten über Nutzer von TeleGuard und ihre Kommunikation bei Swisscows herausverlangen oder die Kommunikation direkt überwachen.
Gemäss amerikanischen Staatsanwälten soll TeleGuard «‹berüchtigt› im Zusammenhang mit Material zu sexuellem Kindesmissbrauch» sein. Das scheint ein kurzer Beitrag in der «Washington Post» zu bestätigen (in deutscher Übersetzung):
«Der mutmassliche Pädophile ‹LuvEmYoung› hatte versucht, in den Chatrooms anonym zu bleiben, in denen er damit prahlte, Kinder sexuell missbraucht zu haben. Laut einer eidesstattlichen Erklärung verschleierte er seine Spuren, indem er TeleGuard, eine verschlüsselte Schweizer Messaging-App, nutzte, um im vergangenen Monat ein Video von sich mit einem schlafenden vierjährigen Jungen zu teilen.»
Ironischerweise setzen sich Swisscows und Andreas Wiebe nach eigenen Angaben für ein «extrem sicheres Netz für Kinder» ein und dabei auch gegen den sexuellen Missbrauch von Kindern im Internet.
Die privaten Schlüssel kennt im Übrigen nicht nur Swisscows, sondern auch unberechtigte Dritte können sie für alle Nutzer über die API von TeleGuard abgreifen, wie «404 Media» schreibt (in deutscher Übersetzung):
«[Ein] Forscher stellte fest, dass es möglich ist, den privaten Schlüssel eines bestimmten Nutzers abzurufen, indem man lediglich dessen Nutzer-ID in die API von TeleGuard eingibt. Viele Menschen teilen ihre Nutzer-ID öffentlich, um kontaktiert werden zu können, und setzen sich damit diesem Angriff aus.»
Gemäss dem neuen schweizerischen Datenschutzgesetz müsste Swisscows bei TeleGuard eigentlich «durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit» gewährleisten (Art. 8 DSG). Die Verletzung dieser Sorgfaltspflicht kann mit Busse bis zu 250’000 Franken bestraft werden (Art. 61 lit. c DSG).
Das Gleiche gilt gemäss Art. 32 DSGVO über die «Sicherheit der Verarbeitung». Im Anwendungsbereich der DSGVO drohen Geldbussen bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes (Art. 83 DSGVO).
Wie reagiert Swisscows auf die mangelhafte Verschlüsselung bei TeleGuard?
Andreas Wiebe, der Gründer und Geschäftsführer von Swisscows, bestreitet gegenüber «404 Media» die schwerwiegenden Mängel von TeleGuard (in deutscher Übersetzung):
«Zunächst reagierten weder TeleGuard noch Swisscows auf mehrere Anfragen nach einer Stellungnahme und gaben auch keinen Hinweis darauf, ob oder wann die Probleme behoben werden könnten. Nach Veröffentlichung des Artikels erklärte Andreas Wiebe, CEO von Swisscows, gegenüber 404 Media in einer LinkedIn-Direktnachricht: ‹Die Informationen sind falsch! Die Person, die Ihnen die technischen Informationen gegeben hat, hat Sie völlig in die Irre geführt. Diese Person ist nicht kompetent!› Wiebe legte dafür jedoch keine Belege vor und nannte auch keine konkreten Punkte.»
Im Jahr 2022 hatte Swisscows gegenüber dnip.ch eine Stellungnahme in der Sache verweigert:
«Entsprechend düpiert reagierte das Unternehmen Hulbee AG / Swisscows auf unsere kritischen Fragen ‹die sie sich nicht gewohnt› seien. Wir haben uns ausserdem in einigen Firmenregistern umgesehen und hätten da auch noch einige Fragen zur Finanzierung, Umsätzen und des Gesellschaftsmodells gehabt. Wir wollten der Firma Hulbee AG die Gelegenheit geben dazu Stellung zu nehmen und diese Zahlen einzuordnen aus ihrer Warte. Doch die Firma Hulbee AG / Swisscows AG verweigerte eine Stellungnahme. »
Fazit: Europäische Alternativen mit fragwürdigen oder falschen Versprechen
Viele Nutzer suchen sichere und unabhängige Alternativen zu etablierten amerikanischen Diensten. Sie kommen bei alternativen Angeboten in der Schweiz und im übrigen Europa aber immer wieder vom Regen in die Traufe.
Inzwischen ist es geradezu ein Cliché, dass die Werbung von Anbietern, die besonders aggressiv mit Schlagworten wie «Sicherheit», «Swissness» oder «digitaler Unabhängigkeit» werben, nicht mit der technischen Umsetzung übereinstimmt. Die Versprechen in der Werbung sind fragwürdig oder sogar falsch.
Beim Messenger TeleGuard ist das Problem gemäss dem Beitrag von «404 Media» besonders schwerwiegend: Die technische Umsetzung mag in der Schweiz erfolgen, doch die Verschlüsselung ist mangelhaft und nutzlos.
Dazu kommt, dass TeleGuard seit Jahren von der mangelhaften Verschlüsselung weiss, wie der oben erwähnte Bericht von dnip.ch aus dem Jahr 2022 zeigt. Es stellt sich die Frage, wieso TeleGuard das Problem nicht längst behoben hat.
Eine unrühmliche Rolle spielen einige Medien und Organisationen, die europäische Alternativen zu den etablierten amerikanischen Diensten unkritisch empfehlen und sich deren Werbung zu eigen machen, wie bereits dnip.ch im Jahr 2022 festgestellt hatte:
«Es gab unter den auf der Schweizer Mediendatenbank gefundenen 179 Artikeln […] mit wenigen Ausnahmen kaum redaktionelle Eigenleistung. Niemand hat sich bisher gross mit der Schweizer Firma, die sich Datenschutz auf die Fahne schreibt, eingehender oder kritisch auseinandergesetzt. Medien priesen vor allem die Schweizer Herkunft, den angekündigten Börsengang der Swisscows AG sowie den ehrgeizigen heroischen Plan, dem Monopolisten Google Marktanteile abzujagen. Wiebe betont, dass Swisscows auch in den USA stark wachse, was unüberprüft von Medienschaffenden übernommen worden ist.»
Bei Angeboten wie TeleGuard von Swisscows erhalten ausgerechnet jene Nutzer, die besonders schutzbedürftig sind, nicht den gesuchten Schutz. Im Fall von TeleGuard ist ihre Kommunikation sogar gar nicht mehr geschützt.
Gleichzeitig gibt es europäische und schweizerische Angebote, die tatsächlich sicher und unabhängig sind. Solche Angebote leiden unter Konkurrenten, die mit fragwürdigen oder falschen Versprechen werben, denn für die meisten Nutzer ist es schwierig bis unmöglich, die Versprechen von Anbietern zu prüfen.
Wieviel Datenschutz steckt in Teleguard und Swisscows-Email drin? Spoiler: Nicht viel! (dnip.ch, 2022)
Siehe auch:
- Forscher entdecken schwerwiegende Sicherheitslücken bei pCloud und anderen beliebten Cloud-Speicher-Diensten
- Mitto AG im schweizerischen Zug: SMS-Versand für weltweite Überwachung missbraucht?
- Proton verwendet amerikanische Infrastruktur für Proton Meet
- Die Crypto-AG: Ein Spionage-Thriller aus dem Kalten Krieg (Schweizer Radio und Fernsehen, SRF)
- INFOGUARD AG: Die mysteriöse Schwesterfirma der Crypto AG («Republik»)
Nachtrag: Erste Stellungnahme von Swisscows bei LinkedIn
Bei LinkedIn veröffentlichte Andreas Wiebe, der CEO von Swisscows, am 6. April 2026 die folgende Stellungnahme:
«Das stimmt nimmt nicht und ist absoluter Schwachsinn! Ich wundere mich Herr Steiger, dass Sie ohne zu prüfen auf solche Artickeln und dazu noch als Anwalt reinfallen! »
Nachtrag 2: Ausführliche Stellungnahme von Swisscows bei LinkedIn
Ebenfalls bei LinkedIn veröffentlichte Andreas Wiebe am 7. April 2026 eine ausführliche Stellungnahme zu Händen von «404 Media»:
Die Stellungnahme überzeugt nicht, wie eine treffende KI-basierte Prüfung der Argumentation ergibt – im Gegenteil:
«Die Stellungnahme von TeleGuard bzw. Swisscows überzeugt insgesamt nicht, weil sie die konkreten technischen Vorwürfe aus dem ‹404 Mecdia›-Beitrag nicht substantiiert widerlegt, sondern überwiegend pauschal bestreitet.
Zwar wird auf den Einsatz ‹etablierter› Algorithmen wie Salsa20 verwiesen, doch ist dies ohne Bedeutung, solange nicht die konkrete Implementierung, das Schlüsselmanagement und die Systemarchitektur offengelegt werden – genau dort setzen die Vorwürfe an. Besonders problematisch sind unklare und teilweise widersprüchliche Aussagen zur Natur der übertragenen Daten (‹Hash› versus ‹verschlüsselter Schlüssel›), die eher zusätzliche Fragen aufwerfen als klären. Auch die zentrale Behauptung, die relevanten ‹Keys› dienten ausschliesslich Einladungsmechanismen und hätten nichts mit der Nachrichtenverschlüsselung zu tun, bleibt unbelegt und steht im Spannungsverhältnis zu den erhobenen Vorwürfen.
Die Stellungnahme geht ferner auf mehrere konkrete Kritikpunkte – etwa einen möglichen API-Zugriff auf Schlüsselmaterial, die Ableitbarkeit aus Netzwerkverkehr oder den Umgang mit Metadaten – nicht technisch nachvollziehbar ein. Stattdessen dominieren rhetorische Elemente wie Angriffe auf die Quelle, allgemeine Hinweise auf die Komplexität moderner Systeme oder der Verweis darauf, dass kein System fehlerfrei sei. Gleichzeitig wird die Beweislast implizit auf die Kritiker verschoben, obwohl angesichts der weitreichenden Sicherheitsversprechen des Produkts (‹Ende-zu-Ende-Verschlüsselung›, ‹keine Metadaten›, maximale Privatsphäre) eine transparente und überprüfbare Darlegung durch den Anbieter selbst zu erwarten wäre.
Insgesamt entsteht der Eindruck einer primär reputationsorientierten Krisenkommunikation, nicht einer technisch fundierten Auseinandersetzung. Die Stellungnahme liefert keine belastbaren Nachweise, keine überprüfbaren Gegenargumente und keine klare Aufklärung der strittigen Punkte. Damit gelingt es ihr nicht, die im Artikel erhobenen Vorwürfe substantiiert zu entkräften.»
Nachtrag 3: Weitere Stellungnahme von Swisscows bei LinkedIn
Erneut bei LinkedIn veröffentlichte Robert Schüle, ein «Produktmanager» bei Swisscows, am 9. April 2026 folgende Stellungnahme:
«Sehr ‹professionelle› Arbeit von einem Anwalt. Etwas aufzugreifen, nur weil es in den Medien irgendwo geschrieben wurde und das als ‹Wahrheit› zu pushen, ohne die Position des Gegegenübers anzuhören. So arbeiten Anwälte???»
Robert Schüle blendet aus, dass «404 Media» und dnip.ch substanzielle Beiträge veröffentlicht haben. Ferner ignoriert Schüle, dass die Position von Swisscows in den Beiträgen von «404 Media» und dnip.ch als auch im vorliegenden Beitrag zu finden ist.
Beitragsbild: Google / Gemini.