Text-, Sprach- und Videonachrichten werden heutzutage nicht mehr über standardisierte Formate, sondern über Dienste in Firmenhand ausgetauscht. Damit einher geht ein riesiger Datenpool, denn selbst bei verschlüsselten Inhalten bleiben die wertvollen Metadaten ungeschützt. Abhilfe könne hier nur freie Dienste schaffen, aber das Angebot ist unübersichtlich und nicht konkurrenzfähig.
Wie prekär die Situation ist, zeigte sich kürzlich wieder anlässlich der geplanten Integration der drei Facebookdienste WhatsApp, Instagram und Facebook Messenger (siehe auch: Kommentar: Facebook – Einfach weiter wie bisher). Facebook legt damit potenziell eine Datenbank an, die für sehr viele Weltregionen beinhaltet wer, wann mit wem kommuniziert hat.
Facebook und seinen Tochterunternehmen spielt dabei in die Hände, dass sich die anderen großen IT-Firmen vollkommen verzettelt haben. Weder haben Google, Microsoft und Apple es hingekriegt einen Dienst als Gegengewicht aufzubauen, noch konnten die Telekommunikationsunternehmen ihre halbgaren Lösungen etablieren. Bei ersteren fehlt es definitiv am Willen zur Zusammenarbeit, bei letzteren an Marktmacht und fähigen Entwicklern.
Es bleiben somit nur freie Lösungen, die von der Community oder kleinen Firmen entwickelt und gepflegt werden.
Früher trennt man die Bereiche in Text-, Sprach und Videokommunikation. Heute können die meisten Apps mehrere oder gar alle dieser Funktionen gleichzeitig. Die ehemaligen Lösungen zur Videkommunikation haben Textlösungen implementiert und ehemalige Instant Messenger lassen nun auch Videokommunikation zu. Dateiaustausch bietet fast jede Lösung an.
Die folgende Auflistung behandelt nur komplett freie Angebote und keine halbfreien Pseudolösungen wie beispielsweise Telegram mit seinem proprietären Server.
Freie Kommunikationslösungen
Dezentrale Ansätze
Die beiden dezentralen Angebote basieren auf den Fortentwicklungen relativ alter Standards und dem Versuch diese den Gegebenheiten der Gegenwart anzupassen. Herausforderungen sind hier neben der Vielzahl der Endgeräte und ihrer mobilen Nutzung auch die staatliche Überwachung und das Bedürfnis nach starker Verschlüsselung.
IRC
IRC (Instant Relay Chat) ist vermutlich die älteste Lösung und kommt noch aus den Anfängen des öffentlichen Internets. War es anfänglich als Möglichkeit zum textbasierten Gruppenchat weit verbreitet, nutzt heute vor allem die Open Source Szene noch stark das System. Die Stärke des Systems ist sein dezentraler Ansatz und die Vielzahl an Clients, die das System auf allen denkbaren Betriebssystemen ermöglicht.
Das System hat aber auch zahlreiche Schwächen. IRC ist kein homogener Messenger sondern gespalten in unterschiedliche Netzwerk mit regionalen Schwerpunkten. Der Anwender muss sich mit einem solchen Netz (bspw. freenode) verbinden und kann sich dann nur innerhalb des verbundenen Netzes Nachrichten austauschen. Die Nachrichtenübertragung erfolgt standardmäßig unverschlüsselt, was in letzter Zeit lediglich mit den Transportverschlüsselung kompensiert wurde. Clientseitige Verschlüsselung hat sich weder für Gruppen- noch Privatnachrichten durchgesetzt. Dadurch ist IRC so sicher wie eine herkömmliche E-Mail.
XMPP
Das Extensible Messaging and Presence Protocol (kurz XMPP), früher auch als Jabber bekannt, ist etwas jünger als IRC und seit 2004 durch die IETF als Standard anerkannt. Jeder an das Internet angebundene XMPP-Server kann mit anderen Servern kommunizieren, wodurch XMPP ähnlich dezentral aufgebaut ist wie die E-Mail. Dadurch kann jeder Inhaber eines XMPP-Accounts alle anderen Anwender kontaktieren.
Der dezentrale Ansatz ist jedoch auch das größte Hindernis bei der Entwicklung. Verbindungen zwischen zwei Clients werden immer über mindestens einen Server aufgebaut. Sind die Anwender bei unterschiedlichen Servern angemeldet, müssen besagte Server miteinander kommunizieren. Das erfolgte ursprünglich mal alles unverschlüsselt, inzwischen haben die meisten Anbieter eine Transportverschlüsselung eingerichtet. Eine Verschlüsselung der Inhalte zwischen den Endgeräten (Ende-zu-Ende) ist zwar theoretisch mittels OTR bzw. OMEMO möglich, aber viele Clients haben das immer noch nicht implementiert. Audio- und Videokommunikatin ist bis dato noch fast immer unverschlüsselt.
Einige Zeit lang sah es so aus, als ob XMPP als Messenger eine vergleichbare Bedeutung wie die E-Mail erreichen könnte. Die Unterstützung durch Google und viele andere große Anbieter sollte es möglich machen. In den letzten Jahren beendeten jedoch viele Firmen ihr Engagement und XMPP ist tendenziell auf dem Rückzug. In Open Source Kreisen hofft man regelmäßig, dass XMPP sich doch noch durchsetzen kann (so wie bei Linux), aber das ist unwahrscheinlich. Die Bedeutung des Standards liegt heute vor allem darin, dass er die Basis für die vielen proprietären Lösungen von WhatsApp bis iMessage bildet.
Matrix/Riot
Matrix ist einer der neuesten Akteure auf dem Markt der dezentralen Angebote. Matrix möchte simplifiziert ausgedrückt die Schwächen von XMPP überwinden und ein zeitgemäßes Protokoll für die Text-, Sprach und Videokommunikation über das Internet anbieten.
Mit Synapse und dem mit Abstand wichtigste Client Riot – der sowohl für Desktop, wie Mobilbetriebssysteme zur Verfügung steht – gibt es quasi Referenzimplementierungen. Hierdurch vermeidet man zumindest vorerst die starke Zersplitterung von XMPP mit all ihren Nachteilen. Grundsätzlich erlaubt man allerdings eine Föderalisierung.
Der Fokus liegt dem Zeitgeist folgend stark auf Gruppenkommunikation wie sie das proprietäre Slack massentauglich gemacht hat.
Silence
Bei Silence (ehemals SMSSecure) handelt es sich im Prinzip um einen Aufsatz für SMS/MMS, der eine Verschlüsselung dieser Kommunikation gewährleistet. Das macht zentrale Server überflüssig, setzt aber eine Mobilfunknummer, sowie einen Tarif voraus. Zudem existiert Silence nur für Android und ist daher eine Insellösung.
Zentralisierte Messenger
Einige Entwickler haben sich den Erfolg von WhatsApp zum Vorbild genommen und konzeptionell ähnliche Angebote entwickelt, die jedoch sicherer sein sollen oder dem Anwender mehr Freiheiten lassen.
Signal
Signal ist sicherlich das Flaggschiff der sicheren Messenger. Seit 2015 firmieren die Kommunikationslösungen von Open Whisper Systems einheitlich unter der Marke Signal und lösen damit die Vorgänger TextSecure für Android ab. Finanziert wird das ganze durch Spenden und sonstige Einnahmen. Strukturell ähnelt Signal modernen Angeboten wie WhatsApp. Die Kommunikation erfolgt über Apps für Mobilbetriebssysteme und wird über zentrale Server abgewickelt. Zwar kann theoretisch jeder einen eigenen Signal-Server betreiben, allerdings würde man sich dann vom restlichen Signal-Netzwerk loslösen. Eine Dezentralisierung lehnen die Entwickler ab, da man genau jene Entwicklungshemmnisse fürchten in die XMPP und IRC geraten sind.
Die Verschlüsselungslösung von Signal, das vormals so genannte Axolotl-Protokoll, gilt als absolut sicher und findet auch in den konkurrierenden Lösungen WhatsApp und Wire Verwendung. Signal versucht zudem seit längerem die anfallenden Metadaten und Informationen zum Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist sowieso optional. Verschlüsselung ist hier nur nicht ein Placebo für die besorgte Anwenderseele.
Wire
Wire funktioniert oberflächlich ähnlich wie Signal und bearbeitet damit die gleiche Nische. Es gibt Apps die über einen zentralen Server miteinander verschlüsselt kommunizieren. Das Verfahren wurde erfolgreich einem Audit unterzogen und ist somit vertrauenswürdig. Die Entwicklung betreibt maßgeblich die Schweizer Firma Wire Swiss GmbH aber Apps und Server sind Open Source.
Peer-to-Peer Lösungen
Es gibt auch Lösungen, die ohne einen oder mehrere zentrale Server auskommen und die Verbindung direkt zwischen den Clients aufbauen.
Ring/Jami
Kaum eine Lösung hat sich so oft umbenannt, wie das was aktuell als Jami firmiert. Man kennt es möglicherweise auch unter den früheren Namen GNU Ring und SFLPhone. Insbesondere letzterer zeigt den ursprünglichen Fokus des Projekts auf eine SIP-basierende Lösung für Sprachkommunikation.
Jami ist quelloffen und benötigt keinen zentralen Server. Es steht Apps für alle verbreiteten Desktopsysteme, sowie für Android und iOS zur Verfügung.
Briar
Die ausschließlich für Android verfügbare Lösung Briar ist ein Sonderling. Der Datenverkehr wird über das Tor-Netz geleitet oder direkt über WLAN und Bluetooth. Kontakte lassen sich ausschließlich über das gegenseitige scannen des QR-Codes, d. h. also beim persönlichen Kontakt, hinzufügen. Alle Inhalte sind Ende-zu-Ende verschlüsselt und ausschließlich auf den Endgeräten gespeichert. Das Programm wurde einem Audit unterzogen den es mit Bravour bestanden hat.
Briar fällt in sofern aus der hiesigen Aufzählung, da die Entwickler nicht den Massenmarkt im Sinn haben, sondern einen extrem sicheren Dienst für besonders gefährdete Zielgruppen erstellen wollen. Komfortfunktionen werden daher grundsätzlich der Sicherheit untergeordnet. Ein Punkt wo Lösungen wie Signal durchaus machmal Kompromisse eingehen.
Tox
Tox ist ebenfalls eine Peer-to-Peer Lösung. Ursprünglich gab es zumindest in der Außendarstellung einen starken Fokus auf Videokommunikation, inzwischen bietet man auch hier das Komplettpaket aus Text, Sprach- und Videokommunikation. Ähnlich wie bei IRC und XMPP gibt es keine richtig offiziellen Clients, sondern das Angebot variiert je nach Plattform und beruht lediglich auf einem gemeinsamen Kern. Das betrifft leider auch Funktionsumfang und Stabilität.
Problematisch ist, dass die Hinzufügung von Kontakten lediglich über eine sehr lange ID erfolgen kann, die auf einem anderen Weg als Tox ausgetauscht werden muss. Zur Verschlüsselung greift man auf die NaCI Bibliothek zurück, was von allen anderen vergleichbaren Lösungen abweicht.
Zusammengefasst
Der Artikel umfasst nur einen Bruchteil der existierenden, quelloffenen Kommunikationslösungen und zeigt dennoch bereits das Problem auf. Viele verschiedene Lösungen wollen das gleiche Angebot machen: Sichere, quelloffene und transparente Software für Text-, Sprach und Videokommunikation zwischen Mobilgeräten und/oder Desktopsystemen. Dabei gibt es einen Wettstreit unterschiedlicher Ansätze von dezentralen Systemen, über zentrale Server bis hin zu Peer-to-Peer Verbindungen. Während man die Parallelität dieser Ansätze noch nachvollziehen kann, ergeben viele Doppelentwicklungen innerhalb dieser Bereiche kaum noch Sinn.
Im Kommunikationsbereich setzt sich nämlich nicht die beste Lösung durch, sondern die am weitesten verbreitete. Hier gilt insbesondere jenes Argument nicht, das im Linux-Bereich oft herangezogen wird: Vielfalt fördert Entwicklung. Denn der Netzwerkeffekt beförderte die Durchsetzung von WhatsApp und Facebook, die zu keinem Zeitpunkt die technisch beste oder beliebteste Lösung darstellten. Keine der oben genannten Lösungen hat die Chance eine nennenswerte Reichweite zu erreichen, wenn die für Sicherheit und Datenschutz sensibilisierte Zielgruppe sich auf dutzende Lösungen (und oben sind schließlich nur die freien Möglichkeiten aufgelistet) verteilt.
Deshalb bleibt WhatsApp & Co erfolgreich.