Massenüberwachung, nächster Akt – Messenger

Es gibt mal wieder einen neuen Vorschlag, die Freiheit der Bevölkerung einzuschränken. Auch dieses Mal wieder von unserem Innenminister Seehofer. Er möchte gerne Chatverläufe von den Betreibern von Messengerdiensten bekommen. Anscheinend reicht der Staatstrojaner nicht aus, um weit genug in die Privatsphäre der Bürger vorzudringen.

Ja ja, die Instrumente der Ermittlungsbehörden müssen mit dem technischen Fortschritt mit halten.

Aber irgendwie hat man es doch geschafft etwa den “Wall Street Market” lahmzulegen und die Betreiber zu verhaften, obwohl die im “Darknet” waren und “Kryptowährungen” nutzten. Also scheinen die Ermittler ja nicht ganz so hilfslos da zu stehen, wie es uns manche Politiker Glauben machen wollen.

Aber Bürgerrechte, wie sie das Grundgesetz festlegt, sind ja für bestimmte Gruppierungen schon immer ein Dorn im Auge gewesen. Deswegen wurden vor 70 Jahren die Väter des Grundgesetzes von der “Organisation Gehlen” überwacht. Das war der Vorläufer des BND; nach dem unter dem US-Besatzungsregime gegründet, aber trotzdem mit hochrangigen Nationalsozialisten besetzt.

Ich sehe es wie unser oberster Datenschützer Ulrich Kelber, der der Meinung ist , dass es jetzt erst einmal eine Pause für neue “Sicherheitsgesetze” geben sollte.

Messenger – Teil 3 (Die Lösung?)

In meiner kleinen Reihe über Messenger schrieb ich im ersten Teil warum ich WhatsApp nicht nutzte und im zweiten, was gegen Alternativen spricht. Hier möchte ich über (m)eine Lösung schreiben.

In der Radio-Tux-Sendung vom August 2016 wurde ich auf die App Conversations aufmerksam. Das ist eine Messenger-App, die das XMPP-Netzwerk nutzt. XMPP, oder früher “Jabber”, ist ein relativ altes Protokoll für Messenger. Es wird eine dezentrale Struktur, mit mehreren Servern benutzt. Die Vielseitigkeit von XMPP ist aber auch schon wieder das größte Manko. Es gibt nicht DEN EINEN XMPP-Client und nicht DEN EINEN XMPP-Server. Man muß sich also für einen Client und einen Server entscheiden. Das ist für die meisten Menschen schon zu viel. Bei den Clients hat sich Conversations hervor getan, da dieser recht modern ist und die neue Verschlüsselungsmethode OMEMO unterstützt. Das Design und die Funktionalitäten lehnen sich an anderen Messegern an. Conversations ist zwar OpenSource, wird allerdings im Google Play Store für drei Euro angeboten. Wer den FDroid-App-Store nutzt, kann Conversations kostenlos herunterladen. Natürlich freuen sich die Entwickler über eine kleine Spende.

Conversations löst auch gleich ein weiteres Problem, nämlich die Erstellung eines Accounts auf einem XMPP-Server. Die Entwickler bieten nämlich auch gleich einen Server an. Man kann den Account sechs Monate lang kostenlos nutzen, danach muß man acht Euro pro Jahr für den Zugang zahlen. Ich finde das fair, ist aber ebenso wie der Preis der App für viele ein Hindernis.

Man kann aber auch andere Server nutzen. Man kann das Ganze mit E-Mail vergleichen. Auch dort muß man sich irgendwo bei einem Dienstleister (Posteo, GMX, Google, etc.) anmelden und kann dieses Konto mit verschiedenen Programmen nutzen. Verwirrend mag vielleicht auch sein, daß eine XMPP-Adresse genau wie eine E-Mail-Adresse aussieht, also etwa christian@example.com. Es gibt viele freie XMPP-Server. Im Internet finden sich viele Listen, in denen diese freien Server geführt werden. Unklar ist oft, wer sich hinter dem Angebot versteckt; ob das seriöse Anbieter sind, oder jemand nur als Hobby einen Server betreibt und den öffentlich zur Verfügung stellt und wie zuverlässig der Server ist. Nutzer des einen Servers können übrigens mit Nutzern auf einem anderen Server kommunizieren. Auch hier gilt wieder die Analogie zum E-Mail-Service. Die einzelnen Server leiten die Daten an den richtigen Server weiter.

Wer sich allerdings ein wenig mit Linux auskennt und irgendwo im Internet einen kleinen Server laufen hat, kann sich recht einfach einen eigenen XMPP-Server aufsetzen. Thomas Leister hat dazu eine schöne Anleitung veröffentlicht. Natürlich erfordert so ein Server einen gewissen Wartungsaufwand (Updates, Backups, etc.). Aber wer bereits einen eigenen Server betreibt, sollte das ohnehin wissen.

Ich fahre mit der Lösung sehr gut. Das einzige Problem ist nur, daß ich bisher wenige Leute dazu bringen konnte, ebenfalls XMPP zu nutzen. Ich hoffe das wird sich ändern.

Messenger – Teil 2 (Alternativen)

Im ersten Teil dieser kleinen Artikelserie schrieb ich, warum ich kein WhatsApp nutze, jetzt schreibe ich über mögliche Alternativen und warum die für mich nicht in Frage kommen. Ich habe die Messenger nicht testen können, da ich keine sichere Testumgebung (also ohne private Daten) zur Verfügung habe. Die Aussagen habe ich also aus Beschreibungen und Tests herausgenommen.

Threema

Threema ist nicht Open-Source. Das ist für eine Software, nicht vertrauensfördernd. Außerdem gibt es eine zentrale Serverstruktur, die einzig in der Hand des Anbieters liegt. Alternativserver sind nicht vorgesehen.

Signal

Signal ist eine Open-Source-Software. Bis vor kurzem wurden aber Google-Play-Dienste genutzt. Das war für mich schon Ausschlusskriterium genug, da ich keine Google-Dienste auf meinem Smartphone haben möchte. Seit kurzem gibt es auch eine Variante, die ohne Google-Play auskommt. Die Serverinfrakstruktur ist ebenfalls zentral. Technisch wäre dezentrale Server möglich, allerdings möchte der Hauptentwickler diese Funktion nicht implementieren.

Telegram

Telegram ist wie WhatsApp an die Telefonnummer gebunden. Die Weitergabe des kompletten Adressbuches an den Anbieter kann wohl mittlerweile unterbunden werden. Die Client-Software ist zwar Open-Source, die Server-Software allerdings nicht. Die Kontrolle über die Server liegt allein beim Hersteller. Andere Server zu nutzen ist nicht vorgesehen.

Fazit

Man sieht schon, daß die Hersteller versuchen Kritikpunkte zu beseitigen, so hat ja sogar WhatsApp eine Ende-zu-Ende-Verschlüsselung eingeführt. Allerdings gibt es nicht DIE Rundum-Sorglos-Wohlfühl-Lösung. Allen alternativen Lösungen gemeinsam ist die Tatsache, daß die Nutzerbasis und somit die Zahl der erreichbaren Kontakte um Größenordnungen geringer ist als bei WhatsApp. Das sollte aber kein Ausschlußkriterium sein, schließlich kann man problemlos auch mehrere Messenger parallel nutzen.

Was ich schließlich gemacht habe, beschreibe ich im dritten Teil.

Bundesnetzagentur schießt daneben

Die Bundesnetzagentur hat diversen Softwareherstellern und Entwicklern einen Brief geschickt, in dem sie aufgefordert werden, ihren angeblichen Kommunikations-Dienst anzumelden. Dabei gibt es aber um XMPP-Clients. Also eine Software mit denen man über XMPP-Server chatten kann. Irgendwie muß da etwas durcheinander gekommen sein. XMPP ist ein freies Protokoll, über welches man mittels unterschiedlicher Programme und Apps die Dienste verschiedener Server nutzen kann. XMPP ist dezentral. Ganz einfach gesehen, kann man XMPP technisch mit E-Mail vergleichen. Es gibt verschiedene Clients die mit einem oder mehren Servern kommunizieren. Die Server tauschen wiederum Daten untereinander aus, damit der Nutzer mit Nutzern anderer Server kommunizieren können. Den eigentlichen Dienst stellt somit der Serverbetreiber zur Verfügung. Entweder hat das die Netzagentur nicht verstanden oder es ist denen einfach zu umständlich sich an die Serverbetreiber zu wenden.

Besonderes Highlight: Gegenüber Golem wurde gesagt, einer der Anbieter säße in der Sowjetunion.

Messenger – Teil 1 (Kein WhatsApp)

Ich gehöre zu den wenigen Menschen, die zwar ein Smartphone besitzen, aber kein WhatsApp benutzen, und zwar bewußt. Ich mag WhatsApp nicht und mochte auch schon nicht, als sie noch nicht zu Facebook gehörten. Die grundsätzliche Idee eines Messengers auf einem Mobilgerät finde ich nicht grundsätzlich verkehrt, auch wenn das für mich keine der Hauptanwendungen ist. Ich habe auch schon früher wenig SMS geschrieben. Das lag nicht nur an den Kosten, sondern daran, daß ich meistens alternative Kommunikationswege wie E-Mail oder Telefonanruf gewählt habe. Chatten war auch nie mein Thema. Zu Zeiten meiner Anfänge im Internet gab es IRC, was viele Leute benutzt haben, dann kam irgendwann ICQ noch mehr nutzen das. Gruppenchats empfand ich als unübersichtlich (Wer antwortet da auf wen?) und ich empfand es wie einen Raum, in dem alle einfach durcheinander reden. Eins-zu-eins-Chats mochte ich ebenfalls nicht, da ich nicht sonderlich schnell tippen konnte, und deswegen war für mich diese Kommunikation einfach völlig unproduktiv.

Ich habe aber mittlerweile auch festgestellt, daß eine SMS oder eine Nachricht über einen Messenger doch schneller ankommt, damit meine ich nicht die reine Datenübertragung, sondern auch das Lesen durch den Empfänger. Es gibt durchaus Situationen in denen das sinnvoll sein kein. Ein Messenger wäre also doch nicht so schlecht. Aber warum nehme ich nicht einfach WhatsApp (WA), wie fast alle Anderen?

Ein Punkt, der mich massiv an WA stört, ist eigentlich auch einer der Punkte warum WA so erfolgreich ist. WA ist an die Mobilfunknummer gebunden, obwohl die Kommunikation über eine normale Datenverbindung stattfindet. Dadurch kann man mit Menschen über WA kommunizieren, wenn man die entsprechende Telefonnummer hat. Das ist DER Grund warum WA eine solche breite Nutzermasse hat.

Die Nummern hat man oft in dem Adressbuch seines Smartphones gespeichert. Bei der Installation von WA werden alle Kontakte zu den WhatsApp-Servern hochgeladen. Das ist in mehrfacher Hinsicht hochproblematisch. Der Anbieter sitzt in den USA, mit faktisch kein gültiges Datenschutzabkommen mehr besteht; Safe Harbour ist tod und Privacy Shield ist praktisch auch nicht mehr anwendbar. Man mag sich vielleicht fragen, ob WA überhaupt die ganzen Kontaktdaten haben darf. Und da haben die sich etwas Tolles ausgedacht: Der Nutzer ist verpflichtet zu überprüfen, ob er die Daten Dritter zur Verfügung stellen darf. WA schiebt also die Verantwortung auf die Nutzer. In den WhatsApp-Nutzungsbedingungen (Stand 25. August 2016) heißt es:

Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.

Diese Bedingungen hat jeder WA-Nutzer akzeptiert und wahrscheinlich hält sich niemand daran. Alle die meine Handynummer gespeichert haben und WA nutzen, verstossen auf jeden Fall gegen die Bedingungen. Ich habe niemanden erlaubt, meine Kontaktdaten der Firma WhatApp zur Verfügung zu stellen. WA ist ja raus, soll ich nun also meine Freunde verklagen, weil sie widerrechtlich meine Daten weitergegeben haben? Bei der Installation wird einem allerdings auch keine Wahl gelassen, ob man die Daten hochladen möchte oder vielleicht einzelne Kontakte sperren möchte. Alles oder Nichts ist die Option. Alle Daten oder man kann die App nicht nutzen. Daher ist es fraglich, ob dieser Passus deutschem Recht standhält. Eine Klage dagegen wäre wünschenswert.

Ein weiterer Grund gegen WA, ist die Tatsache, daß ich keine Monopolisten mag. WA ist ein Monopolist, auch wenn es andere Anbieter gibt, alle zusammen spielen die hier nur eine untergeordnete Rolle. Monopolisten bestimmen die Spielregeln, ob sie einem passen oder nicht. Die Dienste könnten theoretisch von einem Tag auf den anderen kostenpflichtig oder eingestellt werden.

Die Nachrichten werden mittlerweile Ende-zu-Ende-verschlüsselt, da die Software aber closed-source ist, der Quellcode also geheim ist, lässt sich das nicht überprüfen. Außerdem fallen trotzdem Metadaten an, also wer wann von wo mit wem kommuniziert. Und WA hat ausnahmslos sämtliche Metadaten von allen Kommunikationen und Nutzern zur eigenen Verfügung. Ein riesiger Datenschatz über die Nutzer.

Ich bin eher der Freund von dezentralen Lösungen und Open-Source-Software. Deswegen habe ich mich nach Alternativen umgesehen. Um diese geht es dann im zweiten Teil dieser kleiner Artikelreihe.