Er soll die Macht großer Plattformen aufbrechen: Vergangene Woche einigten sich EU-Verhandler:innen auf den Digital Markets Act. Darin festgeschrieben sind mehr als ein dutzend Verpflichtungen für die Plattformgiganten Google, Facebook und andere sogenannte Gatekeeper. Da soll faire Chancen für kleinere Konkurrenzfirmen ermöglichen.
Eine Verpflichtung sticht hervor: Messengerdienste von Gatekeepern sollen interoperabel werden. Mit Sicherheit treffen wird das die von Meta angebotenen Dienste WhatsApp, Facebook Messenger und Instagram Messenger sowie Apples iMessage. Nutzer:innen etwa von WhatsApp sollen künftig sowohl mit iMessage als auch mit anderen, kleineren Apps Nachrichten tauschen können. Wenn Facebook und Apple die Vorgaben nicht erfüllen und ihre Apps für den Nachrichtenaustausch mit anderen Diensten nicht öffnen, drohen ihnen Milliardenstrafen.
Vorbild dafür sind ältere Internetdienste wie E-Mail, die über Anbietergrenzen hinweg funktionieren. Doch während sich die dafür notwendigen Standards über Jahre hinweg entwickeln konnten, fehlen allgemein akzeptierte Mindestvorgaben für die deutlich jüngeren Messengerdienste. Da die EU zudem keine genauen technischen Vorgaben macht, rauchen jetzt überall die Köpfe, ob und wie sich das ausgegebene Ziel erreichen lässt.
Warnung vor unterwanderter Verschlüsselung
In den USA ist die Bestürzung jedenfalls groß. Expert:innen, die den Plattformen nahestehen, warnen vor Sicherheitsproblemen durch die neuen Vorschriften aus Europa. Es gebe einen „Konsens unter Kryptographen“, dass verpflichtende Interoperabilität schwierig, wenn nicht unmöglich mit der Ende-zu-Ende-Verschlüsselung von WhatsApp vereinbar wäre, schreibt etwa das Technologieportal The Verge.
Facebooks Ex-Sicherheitschef Alex Stamos unkt auf Twitter sogar, die EU könne mit ihrer vorgeblichen Maßnahme für fairere Märkte sogar absichtlich die Verschlüsselung unterwandern – ein Verweis auf langjährige Überlegungen in Brüssel, den Behörden Zugang zu verschlüsselten Inhalten zu verschaffen. Die Kritiker:innen aus der US-Techbranche stoßen damit in dasselbe Horn wie die US-Regierung, die vor „Cybersicherheitsrisiken“ durch das EU-Gesetz gewarnt hatte.
Droht also der Ende-zu-Ende-Verschlüsselung bei WhatsApp das Aus? Eine abschließende Antwort gibt es noch nicht, aber es gibt erste Einschätzungen und Hinweise.
Neue Vorschriften gelten ab 2023
Die technischen Details der neuen EU-Vorschrift sind bislang eine Leerstelle. Zwar einigten sich der Chefverhandler des EU-Parlaments, der CDU-Abgeordnete Andreas Schwab, mit der EU-Kommission und der französischen Ratspräsidentschaft in allen wesentlichen Fragen. Doch obwohl relevante Textpassagen durchgesickert sind, wird dem Vernehmen nach weiter an Details gefeilt. Ein fertiger Gesetzestext dürfte erst in einigen Wochen vorliegen. Dann müssen EU-Rat und Parlament die Einigung nochmal bestätigen. In Kraft tritt sie sechs Monate später – vermutlich zu Jahresbeginn 2023.
Klar ist bereits, dass die Messenger-Revolution schrittweise erfolgt. Erst sollen zwei einzelne Nutzer:innen verschiedener Messenger Nachrichten austauschen können. Technisch kompliziertere Dinge wie Gruppennachrichten, Audio- und Videocalls sollen später folgen. Ersteres sei frühestens drei Monaten nach Inkrafttreten des Gesetzes erwartbar, sagte ein EU-Kommissionssprecher; Videocalls in Gruppen könnten bis zu vier Jahre dauern. Der EU-Vorschlag sieht dabei ausdrücklich vor, dass der gleiche Privatsphäre-Standard – inklusive Ende-zu-Ende-Verschlüsselung – erhalten bleiben muss.
Kleinere Anbieter werden nicht verpflichtet, ihre Messenger interoperabel zu machen. Der Schweizer Hersteller Threema sagt etwa gegenüber netzpolitik.org, der Nachrichtenaustausch mit WhatsApp und iMessage sei „aus verschiedenen Gründen nicht interessant für uns“. Firmenchef und Gründer Martin Blatter möchte etwa Metadaten und Identitäten seiner Nutzer:innen nicht bei WhatsApp und anderen Firmen landen sehen – potenzielle Probleme beim Datenschutz seien das „schwächste Glied in der Kette“, sagt Blatter.
Auch aus wirtschaftlicher Sicht sei die Interoperabilität mit großen Anbietern nicht interessant. Sie könnte sogar die Marktmacht von WhatsApp und Co. stärken, würde sie lückenlos umgesetzt werden, so Blatter. Threema ist als einer von wenigen Messengern kostenpflichtig und habe dennoch in manchen sozialen Gruppen WhatsApp abgelöst, wie der Firmenchef erzählt. Wenn nun aber Threema nicht mehr notwendig sei, um Teil einer Gruppe – etwa eines Fußballvereins – zu sein, dann „bleiben die Leute bei WhatsApp“, anstatt ein paar Euro für eine Alternative auszugeben. Die Interoperabilität drohe, das Geschäftsmodell des Facebook-Konzerns zu zementieren.
Andere WhatsApp-Alternativen halten sich bedeckt. Der Messenger Signal äußerte sich etwa zunächst auf Anfrage nicht, zeigte sich in der Vergangenheit aber skeptisch über solche Ansätze. Ob Telegram, das in Deutschland mit den Behörden im Clinch liegt, den Nachrichtenaustausch mit WhatsApp oder iMessage anstrebt, war nicht in Erfahrung zu bringen. Eine kurzfristige Presseanfrage von netzpolitik.org blieb zunächst unbeantwortet. Unterstützung für den EU-Vorschlag äußerte hingegen die Stiftung hinter dem offenen Kommunikationsprotokoll Matrix, das etwa von der Bundeswehr genutzt wird. Facebook selbst wollte sich zu dem EU-Gesetz nicht äußern.
Interoperabilität ist technisch knifflig
Unbestritten ist, dass die verpflichtende Interoperabilität für verschlüsselte Messenger technisch knifflig ist. Jeder Anbieter kocht sein eigenes Süppchen, was kryptographische Standards, Nutzer:innen- und Schlüsselverwaltung oder die Auslieferung von Nachrichten an mehrere Geräte eines Accounts betrifft. Apple etwa knüpft die kryptographischen Schlüssel seines iMessage-Dienstes unter anderem an die Hardware von Nutzer:innen – ob das gleiche Ausmaß an Sicherheit auch für Plattformen außerhalb seiner Kontrolle gewährleistet werden kann, wie es eine vorläufige Fassung des DMA-Textes vorschreibt, bleibt vorerst offen.
Verhältnismäßig einfach dürfte noch der simple Austausch von Nachrichten sein. Allerdings erwartet Matthew Hodgson von der Matrix-Stiftung nicht, dass plötzlich alle großen Anbieter ihren eigenen Ansatz fallen lassen und sich auf einen gemeinsamen Standard verständigen. Ihm zufolge könnten indes sogenannte „Bridges“ zwischen den verschiedenen Anbietern vermitteln. Um das Brechen von Ende-zu-Ende-Verschlüsselung zu vermeiden, könnten die Bridges lokal auf den Geräten laufen.
Für Kopfzerbrechen sorgt auch die Frage, wie Nutzer:innen zwischen den verschiedenen Plattformen identifiziert und adressiert werden können. Für den Austausch verschlüsselter Nachrichten braucht es klare Identifikationsmerkmale, damit solche Nachrichten auch tatsächlich fälschungssicher die richtige Person erreichen. Derzeit ist schlicht kein zentrales oder dezentrales System einsatzbereit, das über Anbietergrenzen hinweg eine Telefonnummer, E-Mailadresse oder eine andere Kennung verlässlich mit dem passenden öffentlichen Schlüssel einer Person verknüpft.
Kurzfristig ließe sich dieses Problem vielleicht lösen, spekuliert der Matrix-Mitgründer Hodgson gegenüber netzpolitik.org, indem Nutzer:innen sich gegenüber mehreren Gatekeepern identifizieren und diese Verifikation dann von anderen Diensten genutzt wird. Allerdings müssten sich dann womöglich alle, die interoperabel kommunizieren möchten, beispielsweise einen Facebook-Account anlegen – was offensichtlich problematisch ist.
„Es wird alle stärker machen, einschließlich WhatsApp“
Langfristig könnte sich ein neuer Industriestandard entwickeln, der auf bereits bestehenden Lösungen aufsetzt. Laut Hodgson käme etwa das ENUM-System in Frage, das herkömmliche Telefonie mit internetbasiertem VoIP verbindet. Daneben arbeiten aber auch Gremien wie das World Wide Web Consortium oder private Unternehmen an „dezentralisierten Kennungsarchitekturen“, sagt Hodgson. Von zentralisierten Datenbanken, etwa einem von der EU betriebenen Verzeichnisdienst, raten hingegen alle Expert:innen ab. Es wäre gefährlich, alle Informationen an einer Stelle zu haben, warnt Threema-Chef Blatter: „Das wäre ein gefundenes Fressen für jeden Hacker“, ganz zu schweigen von Geheimdiensten oder Polizeien.
Wie der ambitionierte Plan der EU tatsächlich in der Praxis umgesetzt wird, wie viele kleine Anbieter sich daran beteiligen werden und ob die verpflichtende Interoperabilität letztlich die Marktmacht von WhatsApp & Co. bricht oder stärkt, muss sich noch weisen. Matthew Hodgson zeigt sich jedenfalls optimistisch: „Es ist ein erster Schritt und besser als nichts“, sagt Matrix-Mitgründerin Amandine Le Pape. „Es wird alle stärker machen, einschließlich WhatsApp“.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires