Zurück zum Blog

Proxys für Threema in Unternehmensumgebungen: Einrichtung, Sicherheit und Umgehung von Sperren

Wir erklären, warum Unternehmen einen Proxy für Threema benötigen, wie man ihn richtig einrichtet und welchen Proxy-Typ man für die Unternehmenssicherheit wählen sollte.

📅26. Juni 2026
```html

Threema ist einer der wenigen Messenger, der tatsächlich mit dem Fokus auf Unternehmenssicherheit entwickelt wurde: End-to-End-Verschlüsselung, minimale Metadaten, Server in der Schweiz. Doch selbst er hat eine Schwachstelle – die Netzwerkschicht. Wenn Ihr Anbieter den Verkehr blockiert, die Unternehmens-IT-Abteilung die Verbindungen einschränkt oder Sie den bloßen Gebrauch des Messengers verbergen müssen – ohne Proxy geht es nicht.

In diesem Artikel werden wir erörtern, wie man einen Proxy mit Threema Work und der regulären Version verbindet, welcher Proxy-Typ für Unternehmensaufgaben geeignet ist und wie man bei der Einrichtung nicht an Sicherheit verliert.

Warum Threema einen Proxy benötigt: reale Unternehmensszenarien

Viele denken, dass, da Threema alles mit End-to-End-Verschlüsselung schützt, ein Proxy überflüssig ist. In der Praxis ist das jedoch nicht so. Die Verschlüsselung schützt den Inhalt der Nachrichten, verbirgt jedoch nicht die Tatsache, dass eine Verbindung zu den Threema-Servern besteht. Genau auf der Netzwerkschicht treten die meisten Unternehmensprobleme auf.

Lassen Sie uns konkrete Situationen betrachten, in denen ein Proxy zur Notwendigkeit wird:

Szenario 1: Regionale Sperren

In einigen Ländern und Unternehmensnetzwerken wird der Verkehr zu den Threema-Servern auf Firewall-Ebene blockiert. Dies ist besonders relevant für Unternehmen, die Büros in Ländern mit strengen Internetregulierungen haben. Ein Mitarbeiter öffnet Threema Work und sieht einen Verbindungsfehler. Der Proxy fungiert in diesem Fall als Zwischenknoten: Der Verkehr geht nicht direkt zu den Threema-Servern, sondern über eine IP-Adresse in einer erlaubten Jurisdiktion.

Szenario 2: Unternehmens-IT-Kontrolle

Große Unternehmen leiten oft den gesamten Verkehr der Mitarbeiter über einen Unternehmensproxy-Server – zur Überwachung, Filterung und Protokollierung. Wenn Threema Work nicht für die Arbeit über diesen Proxy konfiguriert ist, wird es einfach nicht im Firmennetzwerk verbunden. IT-Administratoren müssen den Proxy ausdrücklich in der Anwendungs-Konfiguration angeben, andernfalls ist der Messenger auf den Arbeitsgeräten nicht verfügbar.

Szenario 3: Wettbewerbsanalyse und Anonymität der Gespräche

Für das Top-Management und die Rechtsabteilungen ist nicht nur der Inhalt der Gespräche wichtig, sondern auch die Metadaten: Von welchen IPs wird kommuniziert, in welcher Region befinden sich die Teilnehmer. Ein Proxy ermöglicht es, die reale IP-Adresse des Unternehmensbüros oder eines bestimmten Mitarbeiters zu verbergen – insbesondere während M&A-Verhandlungen, bei denen bereits die Tatsache der Kommunikation mit einer bestimmten Partei sensible Informationen sein kann.

Szenario 4: Arbeit von Remote-Mitarbeitern

Remote-Mitarbeiter aus verschiedenen Ländern haben oft mit instabilen Verbindungen zu den Threema-Servern zu kämpfen. Ein Proxy mit Servern in der benötigten Region hilft, die Latenz zu verringern und eine stabile Verbindung zu gewährleisten – insbesondere für Teams in Asien, Lateinamerika und Afrika, wo die direkte Verbindung zu den Schweizer Threema-Servern instabil sein kann.

Wichtig zu verstehen:

Ein Proxy ersetzt nicht die Verschlüsselung von Threema – er arbeitet auf einer anderen Ebene. Zusammen bieten sie eine doppelte Schutzschicht: Der Inhalt ist verschlüsselt und die Quelle des Verkehrs ist verborgen.

Threema Work vs reguläres Threema: Was ist der Unterschied für Unternehmen

Bevor Sie mit der Einrichtung fortfahren, ist es wichtig zu verstehen, mit welcher Version Sie arbeiten. Das beeinflusst, wie der Proxy konfiguriert wird.

Parameter Threema (privat) Threema Work (unternehmerisch)
Verwaltung Benutzer IT-Administrator über MDM
Proxy-Einrichtung Über die Systemeinstellungen des Geräts Über MDM-Profil oder Konfigurationsdatei
Unterstützung von SOCKS5 Hängt von den Systemeinstellungen ab Wird über die Konfiguration unterstützt
Sicherheitsrichtlinien Keine Zentralisierte Richtlinien
Zielgruppe Privatpersonen Unternehmen ab 10 Personen

Für die meisten Unternehmensszenarien wird Threema Work verwendet – es ermöglicht dem IT-Administrator, die Einstellungen, einschließlich des Proxys, zentral über ein MDM-System (Mobile Device Management) zu verwalten – beispielsweise Jamf, Microsoft Intune oder VMware Workspace ONE.

Wenn Sie das reguläre Threema verwenden – wird der Proxy über die Systemeinstellungen des Geräts konfiguriert (Wi-Fi-Proxy auf iOS oder globaler Proxy auf Android). Dies ist weniger flexibel, aber eine durchaus funktionierende Option für kleine Teams.

Welchen Proxy-Typ für Threema wählen

Nicht jeder Proxy eignet sich gleich gut für einen Unternehmensmessenger. Lassen Sie uns die Haupttypen und ihre Anwendbarkeit für Threema betrachten.

Residential Proxys

Residential Proxys verwenden IP-Adressen von echten Haushaltsbenutzern. Dies ist der unauffälligste Typ: Der Verkehr von einer solchen IP sieht aus wie von einem normalen Internetbenutzer und nicht wie von einem Unternehmensserver. Für Threema ist dies wichtig, wenn es darum geht, eine Sperre nach IP-Typ zu umgehen – viele Firewalls blockieren genau die IPs von Rechenzentren, während Residential-Adressen durchgelassen werden.

Ein Nachteil von Residential Proxys für Unternehmensmessenger ist die IP-Rotation. Wenn der Proxy alle paar Minuten die Adresse ändert, kann dies Probleme mit der Authentifizierung in Threema verursachen. Daher sollten für diese Aufgabe Residential Proxys mit sticky-Sessions gewählt werden – eine feste IP für längere Zeit (von 10 Minuten bis 24 Stunden).

Mobile Proxys

Mobile Proxys arbeiten über IP-Adressen von Mobilfunkanbietern (3G/4G/5G). Dies ist der vertrauenswürdigste Verkehrstyp aus Sicht aller Filterungssysteme – mobile IPs landen selten auf Blocklisten. Für Threema sind mobile Proxys besonders gut geeignet, wenn Mitarbeiter die App auf Smartphones verwenden: Der Verkehr fügt sich organisch in das mobile Muster ein.

Mobile Proxys sind teurer als Residential, aber für die Unternehmenssicherheit sind diese Ausgaben gerechtfertigt – insbesondere für das Top-Management und die Rechtsabteilungen, wo die Anonymität der Gespräche entscheidend ist.

Datacenter Proxys

Datacenter Proxys sind die schnellste und kostengünstigste Option. Sie eignen sich gut für die Umgehung von Unternehmensfirewalls innerhalb des Unternehmens, wenn der IT-Administrator den Proxy-Server selbst für die Routenführung des Threema-Verkehrs konfiguriert. Wenn das Ziel jedoch darin besteht, den Unternehmensverkehr vor externen Beobachtern zu verbergen, sind Datacenter-IP-Adressen leichter als "nicht-hausgemacht" zu identifizieren.

Proxy-Typ Geschwindigkeit Anonymität Bestes Szenario für Threema
Residential Mittel Hoch Umgehung regionaler Sperren
Mobile Mittel Maximal Anonymität des Top-Managements
Datacenter Hoch Mittel Unternehmensproxy-Server

Proxy in Threema auf Android einrichten

Auf Android gibt es zwei Möglichkeiten, einen Proxy mit Threema zu verbinden: über die Systemeinstellungen für Wi-Fi oder über eine Proxy-App (z. B. ProxyDroid oder Shadowsocks). Die erste Methode ist einfacher, die zweite flexibler.

Methode 1: Über die Wi-Fi-Einstellungen (HTTP-Proxy)

Diese Methode funktioniert, wenn Ihr Proxy das HTTP/HTTPS-Protokoll unterstützt. Schritte:

  1. Öffnen Sie Einstellungen → Wi-Fi auf Ihrem Gerät.
  2. Drücken und halten Sie das verbundene Netzwerk – wählen Sie „Netzwerk ändern“.
  3. Erweitern Sie „Erweiterte Optionen“.
  4. Wählen Sie im Feld „Proxy“ „Manuell“.
  5. Geben Sie Proxy-Host (IP-Adresse Ihres Proxy-Servers) und Port ein.
  6. Wenn der Proxy eine Authentifizierung erfordert – geben Sie Benutzername und Passwort in die entsprechenden Felder ein (verfügbar auf Android 10+).
  7. Klicken Sie auf „Speichern“ und starten Sie Threema neu.

Überprüfen Sie die Verbindung: Gehen Sie in Threema zu Einstellungen → Über Threema und klicken Sie auf die Version, um eine Diagnose zu senden – wenn die Verbindung hergestellt ist, zeigt die App den grünen Status an.

Methode 2: Über SOCKS5 (für fortgeschrittene Benutzer)

Android unterstützt SOCKS5 nicht direkt auf Systemebene. Um SOCKS5 mit Threema zu verwenden, nutzen Sie die App ProxyDroid (benötigt Root) oder richten Sie einen Tunnel über SSH ein. Unternehmensbenutzern fällt es einfacher, ein Unternehmens-VPN in Kombination mit einem Proxy zu verwenden – dies ist eine besser verwaltbare Lösung.

Tipp für die Unternehmensbereitstellung:

Wenn Sie die Geräte der Mitarbeiter über MDM (z. B. Microsoft Intune) verwalten, kann die Proxy-Einrichtung zentral auf allen Unternehmens-Android-Geräten über ein Konfigurationsprofil angewendet werden. Dies erspart die Notwendigkeit, jedes Gerät manuell einzurichten.

Proxy in Threema auf iPhone (iOS) einrichten

Auf iOS verwendet Threema die Systemeinstellungen für Proxys – es gibt keine separate Einstellung innerhalb der App. Der Proxy muss auf Netzwerkebene Wi-Fi oder über ein MDM-Profil konfiguriert werden.

Einrichtung über Wi-Fi

  1. Öffnen Sie Einstellungen → Wi-Fi.
  2. Tippen Sie auf das Symbol (i) neben dem verbundenen Netzwerk.
  3. Scrollen Sie nach unten zum Abschnitt „HTTP-Proxy“.
  4. Wählen Sie „Manuell“.
  5. Geben Sie Server (IP-Adresse des Proxys) und Port ein.
  6. Wenn eine Authentifizierung erforderlich ist – aktivieren Sie den Schalter „Authentifizierung“ und geben Sie Benutzername und Passwort ein.
  7. Tippen Sie auf – iOS wendet die Einstellungen automatisch auf alle Apps, einschließlich Threema, an.

Einrichtung über PAC-Datei

Für die Unternehmensnutzung ist es bequemer, eine PAC-Datei (Proxy Auto-Configuration) zu verwenden – sie ermöglicht es, Regeln festzulegen: Welcher Verkehr geht über den Proxy und welcher direkt. Beispielsweise kann der Verkehr von Threema über den Proxy geleitet werden, während der restliche Verkehr unverändert bleibt.

  1. Wählen Sie im Abschnitt „HTTP-Proxy“ „Automatisch“.
  2. Geben Sie die URL der PAC-Datei ein, die von Ihrer IT-Abteilung bereitgestellt wurde.
  3. iOS lädt die Konfiguration und wendet sie automatisch an.

Einrichtung über MDM (Jamf, Intune)

Der Unternehmensweg besteht darin, ein Konfigurationsprofil über MDM bereitzustellen. In Jamf Pro geschieht dies über Configuration Profiles → Network → Proxy. Das Profil wird automatisch auf alle Unternehmens-iPhones der Mitarbeiter ohne deren Beteiligung angewendet. Dies ist der richtige Ansatz für Unternehmen mit einem Gerätepark von mehr als 20 Stück.

Proxy in Threema auf dem Computer (Windows/Mac) einrichten

Threema Desktop (die Version für Computer) verwendet ebenfalls die Systemeinstellungen für Proxys des Betriebssystems. Es gibt keine separate Proxy-Einstellung innerhalb der App – dies ist eine bewusste architektonische Entscheidung der Entwickler zur Vereinfachung der Verwaltung.

Windows 10/11

  1. Öffnen Sie Einstellungen → Netzwerk und Internet → Proxy-Server.
  2. Aktivieren Sie im Abschnitt „Manuelle Proxy-Einrichtung“ den Schalter „Proxy-Server verwenden“.
  3. Geben Sie Adresse (IP des Proxys) und Port ein.
  4. Wenn lokale Adressen ausgeschlossen werden sollen – aktivieren Sie das Kontrollkästchen „Proxy-Server für lokale Adressen nicht verwenden“.
  5. Klicken Sie auf „Speichern“ und starten Sie Threema Desktop neu.

macOS

  1. Öffnen Sie Systemeinstellungen → Netzwerk.
  2. Wählen Sie die aktive Netzwerkverbindung (Wi-Fi oder Ethernet) und klicken Sie auf „Erweitert“.
  3. Gehen Sie zum Tab „Proxy“.
  4. Aktivieren Sie den gewünschten Proxy-Typ: „Web-Proxy (HTTP)“ oder „Sicherer Web-Proxy (HTTPS)“.
  5. Geben Sie die Adresse und den Port des Proxy-Servers ein. Bei Bedarf – Benutzername und Passwort.
  6. Klicken Sie auf „OK“ und „Anwenden“. Starten Sie Threema Desktop neu.

Überprüfung der Proxy-Funktion:

Nach der Einrichtung öffnen Sie einen Browser und gehen Sie zu whatismyip.com – wenn die IP Ihres Proxys angezeigt wird und nicht die reale IP des Büros, wurde die Einrichtung korrekt durchgeführt. Starten Sie dann Threema Desktop und überprüfen Sie den Verbindungsstatus.

Unternehmenssicherheit: Was bei der Bereitstellung zu beachten ist

Die Verwendung eines Proxys mit Threema in einer Unternehmensumgebung ist nicht nur eine technische, sondern auch eine organisatorische Aufgabe. Hier sind die Schlüsselaspekte, die vor Beginn der Bereitstellung bearbeitet werden müssen.

1. Auswahl der Jurisdiktion des Proxy-Servers

Die Server von Threema befinden sich in der Schweiz. Für minimale Latenz wählen Sie Proxys mit Servern in Westeuropa. Wenn Mitarbeiter aus Asien arbeiten – suchen Sie nach Proxys mit Präsenzpunkten in Singapur oder Hongkong. Wichtig: Stellen Sie sicher, dass die Jurisdiktion des Proxy-Anbieters ihn nicht verpflichtet, Verkehrsdaten zu speichern und weiterzugeben – das ist entscheidend für die Unternehmensvertraulichkeit.

2. Protokollierungsrichtlinie des Proxy-Anbieters

Fordern Sie beim Proxy-Anbieter die Protokollierungsrichtlinie (No-logs policy) an. Für Unternehmenskommunikationen über Threema ist es entscheidend, dass der Anbieter keine Metadaten speichert: Wer, wann und mit welcher IP verbunden war. Obwohl der Inhalt der Kommunikation auf Threema-Ebene verschlüsselt ist, können die Metadaten der Verbindungen sensibel sein.

3. Protokoll: HTTP vs SOCKS5

Für Threema wird empfohlen, SOCKS5 zu verwenden, wenn dies technisch möglich ist. SOCKS5 arbeitet auf einer niedrigeren Ebene und ändert die Header der Anfragen nicht – das ist wichtig für die ordnungsgemäße Funktion von Push-Benachrichtigungen und die Synchronisierung von Nachrichten. HTTP-Proxys funktionieren ebenfalls, können jedoch Verzögerungen bei der Übertragung von Binärdaten (Dateien, Sprachnachrichten) verursachen.

4. Proxy-Authentifizierung: IP-Whitelist vs Benutzername/Passwort

Für die Unternehmensnutzung ist die Authentifizierung über eine IP-Whitelist (IP-whitelist) vorzuziehen – sie erfordert nicht, Passwörter auf den Geräten der Mitarbeiter zu speichern und ist einfacher zu verwalten. Wenn Mitarbeiter von dynamischen IPs (z. B. von zu Hause) arbeiten, verwenden Sie die Authentifizierung mit Benutzername und Passwort und rotieren Sie die Anmeldedaten vierteljährlich.

5. Überwachung und Backup-Proxy

Für kritische Unternehmenskommunikationen richten Sie eine Überwachung der Verfügbarkeit des Proxy-Servers ein. Verwenden Sie mindestens zwei Proxys in verschiedenen Rechenzentren – einen Haupt- und einen Backup-Proxy. Wenn der Hauptproxy nicht verfügbar ist, sollten die Mitarbeiter wissen, wie sie ohne Verlust des Zugangs zu Threema Work auf den Backup-Proxy umschalten können.

Häufige Fehler bei der Verwendung von Proxys mit Threema

In der Praxis treten die meisten Probleme mit Threema über Proxys aufgrund mehrerer typischer Fehler auf. Lassen Sie uns diese im Detail erörtern, damit Sie nicht die gleichen Fehler machen.

Fehler 1: Verwendung von kostenlosen Proxys

Kostenlose Proxys stellen eine direkte Bedrohung für die Unternehmenssicherheit dar. Sie protokollieren oft den gesamten durchlaufenden Verkehr, können schädlichen Code einfügen und sind häufig bereits auf der Ebene der Threema-Server blockiert. Für einen Unternehmensmessenger, den Sie gerade wegen der Sicherheit verwenden, hebt ein kostenloser Proxy die Vorteile von Threema vollständig auf.

Fehler 2: Proxys mit IP-Rotation ohne sticky-Sessions

Wenn Ihr Proxy alle 1-5 Minuten die IP wechselt, wird Threema ständig die Verbindung verlieren und eine erneute Authentifizierung verlangen. Für den Messenger sind sticky-Sessions erforderlich – eine feste IP für mindestens 30 Minuten. Bei der Auswahl des Proxy-Anbieters sollten Sie unbedingt die maximale Dauer der sticky-Session erfragen.

Fehler 3: Proxy nur für einen Teil der Geräte

Häufige Situation: Der Proxy ist auf den Unternehmens-Laptops konfiguriert, aber nicht auf den Smartphones der Mitarbeiter. Infolgedessen wird dasselbe Threema Work-Konto mal über den Proxy und mal direkt – von verschiedenen IPs – verbunden. Dies kann Verdacht bei Sicherheitssystemen erregen und zur Sperrung des Kontos führen. Konfigurieren Sie den Proxy einheitlich auf allen Geräten eines bestimmten Mitarbeiters.

Fehler 4: Ignorieren von DNS-Lecks

Selbst wenn ein Proxy eingerichtet ist, können DNS-Anfragen daran vorbeigehen – direkt an den DNS-Server des Anbieters. Dies wird als DNS-Leck bezeichnet. Infolgedessen kann trotz Proxy der tatsächliche Standort des Büros offengelegt werden. Überprüfen Sie nach der Proxy-Einrichtung auf der Website dnsleaktest.com auf DNS-Lecks. Zur Behebung verwenden Sie DNS-over-HTTPS (DoH) oder richten Sie einen Proxy mit Unterstützung für DNS-Proxys (SOCKS5 mit entferntem DNS) ein.

Fehler 5: Proxy ohne Unterstützung für WebSocket

Threema verwendet WebSocket, um eine ständige Verbindung zum Server aufrechtzuerhalten (Push-Benachrichtigungen, schnelle Nachrichtenübermittlung). Einige HTTP-Proxys unterstützen WebSocket nicht oder blockieren langlebige Verbindungen. Erkundigen Sie sich vor der Auswahl des Anbieters nach der Unterstützung von WebSocket – andernfalls werden Benachrichtigungen mit Verzögerung oder gar nicht zugestellt.

Fehler 6: Fehlende Tests vor der Bereitstellung

Bevor Sie den Proxy auf allen Unternehmensgeräten bereitstellen, testen Sie die Konfiguration eine Woche lang auf 2-3 Geräten. Überprüfen Sie: Stabilität der Verbindung, Geschwindigkeit der Nachrichtenübermittlung, Funktion von Sprachanrufen und Dateiübertragungen. Nur nach erfolgreichem Testen sollten Sie zur massenhaften Bereitstellung übergehen.

Fazit und Empfehlungen

Threema ist ein leistungsstarkes Werkzeug für Unternehmenskommunikationen, aber seine Sicherheit kann erheblich verbessert werden, indem ein Proxy auf Netzwerkebene hinzugefügt wird. Der Proxy löst Probleme, die die Verschlüsselung allein nicht abdeckt: Umgehung regionaler Sperren, Verbergung der Unternehmens-IP, Routenführung des Verkehrs durch die Unternehmensfirewall und Gewährleistung einer stabilen Verbindung für Remote-Mitarbeiter.

Wichtige Erkenntnisse aus dem Artikel:

  • Zur Umgehung regionaler Sperren verwenden Sie Residential Proxys mit sticky-Sessions.
  • Für maximale Anonymität des Top-Managements – mobile Proxys.
  • Für die Unternehmensbereitstellung konfigurieren Sie Proxys über MDM (Jamf, Intune), nicht manuell.
  • Überprüfen Sie immer auf DNS-Lecks nach der Einrichtung.
  • Fordern Sie vom Anbieter Unterstützung für WebSocket und sticky-Sessions von mindestens 30 Minuten.
  • Verwenden Sie niemals kostenlose Proxys für Unternehmenskommunikationen.

Wenn Sie nach einer zuverlässigen Lösung zum Schutz der Unternehmenskommunikation über Threema suchen, empfehlen wir, Residential Proxys in Betracht zu ziehen – sie bieten ein hohes Maß an Anonymität, minimales Risiko von Sperren und Unterstützung für sticky-Sessions, die für den stabilen Betrieb des Messengers erforderlich sind. Für Aufgaben, bei denen maximale Anonymität der Gespräche entscheidend ist, sind mobile Proxys die optimale Wahl – ihr Verkehr sieht für alle Filterungssysteme am organischsten aus.

```