"Symbolbild Chat"

Beim Privacy-Handbuch hat man sich die Arbeit gemacht und in zwei Artikel Matrix/Riot und Jabber/XMPP hinsichtlich der Sicherheitskonzepte überprüft. Beim Jabber/XMPP wird als Maßstab ausdrücklich Signal und Threema angelegt, bei Matrix/Riot zumindest unterschwellig. Beides lohnt sich zu lesen.

Bei beiden werden strukturelle Schwächen im Sicherheitskonzept ausgemacht. Das ermöglicht nicht nur Man-in-the-middle-Angriffe, sondern es gibt auch Datenschutz-Probleme wie unverschlüsselte Kontaktlisten, Gruppenmitgliedschaften etc. pp. auf den Servern. Ein Punkt, den man bei WhatsApp so gerne kritisiert. Im Fall von Jabber kritisieren sie beim Privacy-Handbuch auch die zusammen gestückelte Verschlüsselung (ich hatte hier schonmal darüber geschrieben: Dezentralisierte Dienste – Zu spät, zu kompliziert, zu fragmentiert).

Eine strukturelle Schwäche liegt einfach im föderalen Ansatz beider Protokolle. Dieser verhindert nicht nur systembedingt einige Sicherheitsmaßnahmen, sondern setzt z. B. bei Matrix/Riot auch Vertrauen in alle anderen Server-Betreiber voraus.

Beide Artikel sind auch deshalb lesenswert, weil in Teilen der Datenschutz-Szene und Open Source Community beide Protokolle als vermeintlich sichere Alternativen zu den klassischen Messengern hoch geschrieben werden. Hier fällt eine nicht Fakten-basierte Vermengung von Open Source-Begeisterung mit einem Faible für dezentrale Ansätze und Sicherheits-Illusionen zusammen. Dies kann man leider sehr oft beobachten, wenn Open Source und Eigenbetrieb pauschal mit Sicherheit gleich gesetzt werden (siehe auch: Kommentar: Der fatale Glaube an Open Source).

Ganz ähnlich ist das mit Telegram, dessen Popularität sich eigentlich nur aus der Halbwahrheit es sei Open Source speist und der Möglichkeit Clients für jede noch so kleine Nischenplattform zu entwickeln. Kurioserweise führte beides zu der weit verbreiteten Annahme Telegram sei in irgendeiner Form sicherer als die proprietären Alternativen (siehe: Kommentar: Telegram ist unsicher – welch Überraschung).

Die strukturellen Probleme bedeuten nicht, dass Matrix/Riot oder XMPP keine Grundlage für sinnvolle Entwicklungen seien können. So testet die Bundeswehr momentan Matrix und die französische Regierung machte dies bereits erfolgreich vor. Beide werden allerdings kaum den föderalen Ansatz unterstützen. Privatanwender sollten weiterhin auf Signal (wenn Open Source) oder Threema zurückgreifen (siehe auch: Sichere Messenger – Verschlüsselung und Metadaten). Beides ist nach aktueller Erkenntnislage sicherer als Matrix und XMPP.


Bilder:
Einleitungs- und Beitragsbild von geralt via pixabay

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein