Kommunikation mit Kurznachrichtendiensten
Gegen die Macht der Digitalkonzerne – Alternative Software und Dienste – Teil 5
In „Teil 3 – Bürokommunikation“ wird der Schwerpunkt auf Anwendungen / Apps und Funktionen gelegt, die eher der Produktion von Inhalten und dem in diesem Zusammenhang stehenden Nachrichtenaustausch gelegt. In diesem Abschnitt geht es weniger um Anwendungen und Apps, sondern mehr um den Nachrichtenaustausch an sich sowie die dafür erforderlichen organisatorischen und technischen Voraussetzungen.
Kurznachrichtendienste / Messenger / Instant Messaging
Kurznachrichtendienste sind weit verbreitet und spielen eine wichtige Rolle im Alltag vieler Menschen. Die Nutzung von Kurznachrichtendiensten wird auch als „Instant Messaging“ (Sofort-Nachrichtenübertragung), die Apps werden als „Messenger“, die Dienste auch als „Messenger-Dienste“ und deren Nutzung als „Chat“ (Plappern) bezeichnet. Mehrere Nutzer bilden oft „Chatgruppen“.
Die bekanntesten und am häufigsten genutzten Dienste sind bekannt und bedürfen von daher bereits keiner besonderen Erwähnung. Zugleich ist die Nutzung einiger populärer Dienste in mehrfacher Hinsicht ausgesprochen problematisch. Die Misere wird durch ein leider sehr weit verbreitetes falsches Verständnis einiger Merkmale von Kurznachrichtendiensten verstärkt.
Zur Klarstellung
- Kurznachrichtendienste sind (abgesehen von SMS) Internetdienste.
- Telefonnummern werden im Internet nicht für die Adressierung von Geräten im Netz genutzt.
- Telefonnummern werden bei Internetanwendungen oft als Benutzername eines Online-Kontos genutzt werden.
- Vor allem Mobiltelefonnummern sind in der Regel Einzelpersonen zugeordnet und stellen (mit Ländervorwahl) weltweit eindeutige Identitäten von Menschen dar.
Ausforschung von Identitäten und Metadaten
Mit (Mobil-)Telefonnummern können vor allem Nutzer der populären Kurznachrichtendienste weltweit eindeutig identifiziert werden. Sie sind daher ein begehrtes Gut für die Daten- und Werbewirtschaft. Ähnlich verhält es sich mit den sog. Metadaten. Dies sind personenbezogene Daten, die neben den Nachrichteninhalten anfallen, nicht durch eine Verschlüsselung geschützt sind und viele Rückschlüsse auf die Gewohnheiten, Vorlieben und das Verhalten von Nutzern der Dienste erlauben.
Die Daten- und Werbewirtschaft nutzt die erkannten Identitäten und die Metadaten vor allem zum Zwecke der benutzerorientierten Direktwerbung, die im Grunde einer versuchten Manipulation gleichkommt.
Die Ausforschung von Identitäten findet u.a. durch das invasive Auslesen von Kontakten und der Anrufliste einiger Kurznachrichtendienste statt; das deutsche Bundeskartellamt hat diese Praxis in einer 2023 durchgeführten Untersuchung vor allem hinsichtlich des Kurznachrichtendienstes WhatsApp kritisiert.
Viele Nutzer der populären Kurznachrichtendienste wissen um die Ausforschung und Verwertung der Metadaten, die für die Daten- und Werbewirtschaft von großem Wert sind, blenden dies jedoch in ihrer Wahrnehmung aus (sog. „Privacy Paradox“).
Paradox ist angesichts dieses Verhaltens auch, dass viele Menschen den Eintrag ihrer Telefonnummer in den Telefonverzeichnissen aus Angst vor Missbrauch scheuen, jedoch das ungefragte Auslesen ihrer eigenen Identität sowie die anderer Menschen (in den Kontakten) durch die Betreiber der populären Kurznachrichtendienste klaglos akzeptieren.
Vollends abstrus wirkt vor diesem Hintergrund das von Vielen vorgebrachte Argument der Ende-zu-Ende-Verschlüsselung. Diese ist mit Sicherheit wichtig, schützt aber weder die Identität, noch die Metadaten. Sie bietet, über den Schutz von Daten auf den Servern der Betreiber hinausgehend, keine Sicherheit vor Missbrauch, z. B. durch andere Kommunikationspartner.
Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption – E2EE) bedeutet, dass die Kommunikation zwischen mehreren Kommunikationspartnern so verschlüsselt wird, dass nur die beteiligten Sender und Empfänger die Nachrichten lesen können.
Während der Übertragung sind die Daten durchgehend verschlüsselt und können von Dritten, z. B. den Dienstanbietern, nicht entschlüsselt werden. Der Ver- und Entschlüsselungsprozess erfolgt direkt auf den Geräten der Nutzer. Sowohl bei den Sendern, als auch bei allen Empfängern einer Nachricht sind die verschlüsselten Nachrichten offen lesbar.
E2EE bietet vor allem in größeren Chatgruppen nur eine Scheinsicherheit, da evtl. kompromittierende Nachrichten bei allen beteiligten Kommunikationspartnern offen lesbar sind und eine missbräuchliche Verwendung weder verhindert, noch erkannt werden kann.
Strafbare Inhalte in Chatgruppen
Viele unterliegen dem Irrglauben, dass die Kommunikation in Kurznachrichtendiensten anonym erfolgt und dass die Ende-zu-Ende-Verschlüsselung (E2EE) ihre Nachrichten vor dem Zugriff anderer schützt. Es werden (leider) jedoch immer wieder Fälle bekannt, in denen Straftatbestände wie Volksverhetzung, Verbreitung von Kinderpornografie, Bedrohungen, Öffentliche Aufforderungen zu Straftaten usw. verwirklicht werden. Deren Aufdeckung erfolgt jedoch nicht durch die Betreiber der Dienste, die wegen der E2EE keinen Zugriff auf die Inhalte haben, sondern durch andere Teilnehmer an Chatgruppen.
Eine besondere rechtliche Qualität entsteht, wenn Teilnehmer an Chatgruppen Inhalte empfangen, bei denen bereits deren Besitz strafbar sein kann. Dazu gehören solche, die z. B. den Delikten Kinder- und Jugendpornografie, Gewaltdarstellung oder Volksverhetzung zuzuordnen sind. Auch aus Empörung dürfen derartige Inhalte nie weitergeleitet oder auf andere Weise anderen zugänglich gemacht werden. Solche Fälle sollten sofort den Betreibern der Dienste und der Polizei angezeigt werden, auch wenn dies zunächst mit weiteren Ermittlungen gegen die Hinweisgeber verbunden ist.
Den besten Schutz hiergegen bietet schlicht und einfach das Vermeiden der Teilnahme an großen, anonymen Chatgruppen.
Kurznachrichtendienste auf eigenen Servern
Es ist durchaus möglich, Kurznachrichtendienste auf eigenen Servern zu betreiben. Das Maß dafür notwendigen Wissens ist unterschiedlich. So kann z. B. Nextcloud Talk relativ einfach dort eingerichtet werden, wo eine Nextcloud-Installation bereits vorhanden ist. Die Einrichtung von Nextcloud-Instanzen wiederum ist für diejenigen, die eine eigene Webseite betreiben, relativ einfach. Viele Webhosting-Dienstleister bieten Assistenten für die Einrichtung von Nextcloud an.
Aber auch die Herausgeber der bekannteren Kurznachrichtendienste Signal und Threema bieten Organisationen, Behörden oder Unternehmen die Möglichkeit, die Server-Software auf jeweils eigenen Plattformen zu betreiben. Das FZI Forschungszentrum Informatik in Karlsruhe hat hierzu eine Studie sowie einen Leitfaden erarbeitet.
Der Betrieb öffentlicher, für jeden verfügbarer Kurznachrichtendienste erfordert über das erforderliche Wissen hinaus Aufwände für Technik, Organisation und finanzielle Mittel, die nicht unterschätzt werden sollten.
Wahlfreiheit erfordert Umdenken
Abgesehen von SMS gibt es derzeit bei den populären Kurznachrichtendiensten keine echte Wahlfreiheit. Anwendungen / Apps, Übertragungsprotokoll und Serverdienste sind meistens proprietär, d.h., sie stammen jeweils von einem Anbieter, der Apps, Protokolle und Server-Dienste eigenständig anbietet bzw. betreibt. Alternative Anwendungen gibt es im Grunde nur außerhalb der Ökosysteme der populären Dienste.
Die meisten Nutzer entscheiden sich für den Kurznachrichtendienst, der ihnen von der Familie oder Bekannten empfohlen wird. Die Angst „den Anschluss zu verlieren“ oder „von Informationen abgehängt zu sein“ ist sehr weit verbreitet (bekannt als „Fear of Missing Out – FOMO“; bezeichnet die Angst, etwas zu verpassen, wenn man nicht schnell genug handelt, wenn z. B. in Chatgruppen oder sozialen Netzwerken auf neue Aktivitäten oder Ereignisse hingewiesen wird). Vor allem jüngere Menschen haben jedoch kein Problem damit, mehrere Kurznachrichtendienste zu installieren bzw. zu nutzen und Nachrichten entsprechend der Zielgruppe in unterschiedliche Dienste zu steuern. Dies dürfte der derzeit am ehesten gangbare Weg aus dem beschriebenen Dilemma sein.
Idealtypischer Aufbau von Kurznachrichtendiensten
Diese Voraussetzungen erfüllen jedoch nicht alle Dienste und Anwendungen gleichermaßen.
Auswahl hilfreicher Alternativen zu populären Kurznachrichtendiensten
Nachfolgend werden zum Zwecke der Erklärung und des Vergleichs einige Anwendungen und Dienste vorgestellt. Zuvor erfolgt hiermit noch ein Hinweis auf die Seiten des Karlsruher IT-Sicherheitsexperten und Bloggers Mike Kuketz, der sich unter anderem sehr ausführlich diesem Thema widmet.
Ein größere Auswahl finden Sie auf den bereits erwähnten Seiten von Mike Kuketz sowie auf weiteren Seiten dieses Blogs.
Rich Communication Services (RCS) – der Nachfolger der SMS?
Rich Communication Services (RCS) ist ein auf Internetverbindungen basierender Kommunikationsstandard, der bereits 2007 von der GSM Association (weltweite Organisation, die Mobilfunknetzbetreiber und -Unternehmen vertritt) entwickelt wurde. RCS war ursprünglich für die Nachfolge von SMS vorgesehen. RCS bietet, ähnlich wie die bekannten Kurznachrichtendienste moderne Funktionen, wie Gruppenchats, Dateitransfers, Lesebestätigungen und eine verbesserte Medienunterstützung sowie je nach Betreiber und Anwendung auch Videotelefonate. Nachteilig ist aus Sicht des Schutzes der Privatsphäre, dass die Mobilfunknummer zur Adressierung verwendet wird. Außerdem wird Ende-zu-Ende-Verschlüsselung bislang nur bei Verwendung von Googles App „Messaging“ gewährleistet. Es ist jedoch eine Weiterentwicklung zu einem weltweiten Standard vorgesehen.
Die deutschen Telekommunikationsanbieter boten RCS seinerzeit (ab 2007) nur halbherzig und schleppend an, was teilweise wohl auch an den geringen Anreizen für die Netzbetreiber lag, da sie durch SMS immer noch hohe Einnahmen erzielen konnten. Auch Apple hat dazu beigetragen, die breite Einführung von RCS zunächst zu verhindern. Das Unternehmen setzt stark auf sein eigenes Messaging-Ökosystem iMessage, das exklusiv für Apple-Geräte zur Verfügung steht.
Google hat RCS unter dem Namen „Messages“ in seine Android-Nachrichten-App integriert und dadurch die Einführung von RCS beschleunigt. Über eine Kopplung mit einem unter Android betriebenen Smartphone kann RCS auch auf unter Android laufenden Tablets genutzt werden.
Unter erheblichem Druck von Seiten der Europäischen Union, Chinas sowie öffentlicher Forderungen hat Apple mittlerweile RCS auf iPhones, die unter iOS ab der Version 18.x (wurde im September 2024 veröffentlicht) laufen, integriert.
Anleitungen zur Einrichtung von RCS finden Sie z. B. hier:
– DIE!ANLEITUNG – RCS einfach erklärt
– Netzwelt – … RCS …
– Google – RCS-Chats … aktivieren
Delta Chat – Kurznachrichten über die E-Mail-Protokolle
Delta Chat ist eine Kurznachrichten-App auf Open-Source-Basis, die sich durch einige einzigartige Merkmale von anderen bekannten Messengern unterscheidet. Delta Chat wird von dem Freiburger Unternehmen Merlinux GmbH entwickelt.
Delta Chat nutzt die weltweit standardisierten E-Mail-Protokolle. Das bedeutet, dass die Anwendung grundsätzlich mit jedem E-Mail-Server und jedem E-Mail-Anbieter kompatibel ist. Delta Chat nutzt E-Mail-Adressen zur Adressierung. Jede Nachricht, die über Delta Chat gesendet wird, ist im Grunde eine E-Mail, die innerhalb der App jedoch im gleichen Stil dargestellt wird, wie dies in anderen Kurznachrichten-Apps geschieht. Nutzer können im Grunde mit jedem kommunizieren, der eine E-Mail-Adresse besitzt, auch wenn die andere Person Delta Chat nicht nutzt.
Delta Chat unterstützt Ende-zu-Ende-Verschlüsselung und setzt dabei auf das Autocrypt-Protokoll, das entwickelt wurde, um die Einrichtung von Ende-zu-Ende-Verschlüsselung in der E-Mail-Kommunikation so einfach wie möglich zu machen. Es wurde geschaffen, um die Barrieren für die Nutzung von verschlüsselter E-Mail-Kommunikation zu senken, die oft als kompliziert und technisch anspruchsvoll angesehen wird. Wenn Autocrypt nicht verwendet wird, bleiben die Nachrichten unverschlüsselt und können wie normale E-Mails von Dritten eingesehen werden.
Threema
Threema ist ein Kurznachrichtendienst, der sich durch seinen Schutz der Privatsphäre und Wahrung eines hohen Maßes von Anonymität auszeichnet. Der Dienst ist sowohl für Privatpersonen, für Bildungseinrichtungen, als auch für Unternehmen konzipiert und bietet verschiedene Funktionen zur sicheren Kommunikation. Herausgeber der Apps und Betreiber des Dienstes ist die Schweizer Threema GmbH.
Threema Work Education ist Teil der Bildungsplattform Baden-Württemberg. Es sind auch Schilderungen vom Einsatz Threemas an einzelne Schulen zu finden. Unternehmen und Behörden können Threema auf hauseigenen Servern betreiben.
Threema kann auf Mobilgeräten (Android, iOS) sowie in Webbrowsern (über Threema Web) genutzt werden kann. Die Hauptfunktionen umfassen Textnachrichten, Sprach- und Videoanrufe, das Senden von Bildern, Dateien und Standortdaten sowie das Erstellen von Umfragen.
Anstelle von Telefonnummern oder E-Mail-Adressen verwendet Threema eine anonyme „Threema-ID“, die aus einer zufälligen Kombination von acht Zeichen besteht. Ein Abgleich mit den gespeicherten Kontakten, um festzustellen ob von diesen bereits jemand Threema nutzt, ist möglich, findet jedoch nur auf ausdrücklichen Wunsch statt.
Die Verschlüsselung von Threema basiert auf modernen Verschlüsselungstechnologien und gilt als sehr sicher. Die Server von Threema befinden sich in der Schweiz.
Threema bietet ein faires und transparentes Bezahlmodell. Die Mobilfunk-Apps für private Nutzung müssen jedoch nur einmal bezahlt werden, es muss kein Abonnement abgeschlossen werden. Die Kosten für Privatpersonen betragen derzeit 5,99 EUR.
Signal
Signal ist ein plattformübergreifender Kurznachrichtendienst, der als App für mobile Geräte (Android, iOS) sowie als Desktop-Anwendung (Windows, macOS, Linux) verfügbar ist. Der Dienst legt großen Wert auf Schutz der Privatsphäre und Sicherheit. Signal bietet Funktionen wie Textnachrichten, Sprachnachrichten, Videoanrufe, Gruppenchats und den Austausch von Dateien und Bildern. Darüber hinaus ermöglicht Signal verschlüsselte Sprach- und Videoanrufe. Signal sammelt und speichert nur sehr wenige Metadaten.
Die Adressierung in Signal erfolgt hauptsächlich über eine Telefonnummer des Nutzers; dabei können auch Festnetznummern verwendet werden. Darüber hinaus kann auch ein eigenständiger „Signal-Nutzername“ eingerichtet werden.
Signal verwendet für die Ende-zu-Ende-Verschlüsselung ein eigens entwickeltes Protokoll, das als „Signal-Protokoll“ bekannt ist. Dieses Protokoll basiert auf einer Kombination von etablierten kryptografischen Methoden und ist Grundlage der Ende-zu-Ende-Verschlüsselung anderer bekannter Kurznachrichtendienste. Das Signal-Protokoll ist quelloffen und wurde umfassend von Sicherheitsexperten geprüft.
Signal wird von der Signal Foundation und der Signal Messenger LLC entwickelt und betrieben. Die Stiftung ist eine Non-Profit-Organisation. Die Server von Signal befinden sich hauptsächlich in den USA, werden aber in einem weltweit verteilten Netzwerk betrieben. Die Server-Software von Signal wird unter einer Open-Source-Lizenz vertrieben und kann auf eigenen Servern installiert und betrieben werden.