Datenschutz im digitalen Alltag

Damit Privates privat bleibt

"Symbolbild Chat"

XMPP und Matrix im Vergleich mit Signal und Threema

Beim Privacy-Handbuch hat man sich die Arbeit gemacht und in zwei Artikel Matrix/Riot und Jabber/XMPP hinsichtlich der Sicherheitskonzepte überprüft. Beim Jabber/XMPP wird als Maßstab ausdrücklich Signal und Threema angelegt, bei Matrix/Riot zumindest unterschwellig. Beides lohnt sich zu lesen.

Bei beiden werden strukturelle Schwächen im Sicherheitskonzept ausgemacht. Das ermöglicht nicht nur Man-in-the-middle-Angriffe, sondern es gibt auch Datenschutz-Probleme wie unverschlüsselte Kontaktlisten, Gruppenmitgliedschaften etc. pp. auf den Servern. Ein Punkt, den man bei WhatsApp so gerne kritisiert. Im Fall von Jabber kritisieren sie beim Privacy-Handbuch auch die zusammen gestückelte Verschlüsselung (ich hatte hier schonmal darüber geschrieben: Dezentralisierte Dienste - Zu spät, zu kompliziert, zu fragmentiert).

Eine strukturelle Schwäche liegt einfach im föderalen Ansatz beider Protokolle. Dieser verhindert nicht nur systembedingt einige Sicherheitsmaßnahmen, sondern setzt z. B. bei Matrix/Riot auch Vertrauen in alle anderen Server-Betreiber voraus.

Beide Artikel sind auch deshalb lesenswert, weil in Teilen der Datenschutz-Szene und Open Source Community beide Protokolle als vermeintlich sichere Alternativen zu den klassischen Messengern hoch geschrieben werden. Hier fällt eine nicht Fakten-basierte Vermengung von Open Source-Begeisterung mit einem Faible für dezentrale Ansätze und Sicherheits-Illusionen zusammen. Dies kann man leider sehr oft beobachten, wenn Open Source und Eigenbetrieb pauschal mit Sicherheit gleich gesetzt werden (siehe auch: Kommentar: Der fatale Glaube an Open Source).

Ganz ähnlich ist das mit Telegram, dessen Popularität sich eigentlich nur aus der Halbwahrheit es sei Open Source speist und der Möglichkeit Clients für jede noch so kleine Nischenplattform zu entwickeln. Kurioserweise führte beides zu der weit verbreiteten Annahme Telegram sei in irgendeiner Form sicherer als die proprietären Alternativen (siehe: Kommentar: Telegram ist unsicher - welch Überraschung).

Die strukturellen Probleme bedeuten nicht, dass Matrix/Riot oder XMPP keine Grundlage für sinnvolle Entwicklungen seien können. So testet die Bundeswehr momentan Matrix und die französische Regierung machte dies bereits erfolgreich vor. Beide werden allerdings kaum den föderalen Ansatz unterstützen. Privatanwender sollten weiterhin auf Signal (wenn Open Source) oder Threema zurückgreifen (siehe auch: Sichere Messenger - Verschlüsselung und Metadaten). Beides ist nach aktueller Erkenntnislage sicherer als Matrix und XMPP.


Bilder:
Einleitungs- und Beitragsbild von geralt via pixabay

"

Tags: Open Source, Messenger, Signal, Threema, XMPP, Jabber, Matrix, Riot

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Struppi
Nur zu Telegram eine Bemerkung.

Ich nutze einen Messanger eigentlich nur für kurze Kommunikation mit mir bekannten Menschen. Dazu benötige ich kein sicheres Protokoll. Deine Verwunderung über die Popularität nährt sich aus der falschen Annahme für die Menschen wäre ein Messanger ein irgendwie sicherheitsrelevantes Werkzeug (Dann hätten wir nie SMS benutzen dürfen). Die Populiarität kommt daher, dass diese Software relativ viel Komfort ohne Anbindung an den US Geheimdienst und Facebook Konzern bietet. Das Telegram darüber hinaus mit russischen Behörden im Clinch liegt schafft dahingegend zumindest mehr vertrauen, als zu anderen.

Wer einen sicheren Messanger sucht wird eine andere Wahl treffen, bzw. evtl. einen anderen Kanal bemnutzen. Aber für die meisten Menschen inkl. mir, ist ein Messanger eher ein Spielzeug mit dem ich mich mal schnell mit dem Bekanntenkreis kommunizieren kann.

Das sind also einfach zwei völlig verschiedene Dinge. Auch wenn natürlich Sicherheit in manchen Situationen wichitger ist - aber selbst dann wird Telegram gerne genutzt, wie z.b. aktuell in Hongkong oder in der Vergangenheit im Iran. Aber da das für mich und mein Umfeld in dem Fall keine Rolle spielt kann ich das nicht beurteilen. Ich musste noch nie sicher kommunizieren.

Gerrit
Zitat :
Ich nutze einen Messanger eigentlich nur für kurze Kommunikation mit mir bekannten Menschen. Dazu benötige ich kein sicheres Protokoll.

Das ist bereits die erste falsche Grundannahme, auch wenn sie weit verbreitet ist. Jeder Mensch hat ein Anrecht auf Privatsphäre, egal ob er objektiv etwas zu verbergen hat oder nicht.

Zitat :
ohne Anbindung an den US Geheimdienst

Wenn die Software nicht konsequent verschlüsselt kann jeder fähige Geheimdienst mitlesen. WhatsApp & Co haben auch keine Standleitung nach Fort Meade.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius