Große Tech-Konzerne wie Meta und Google haben gemeinsam einen offenen Standard für Messenger-Verschlüsselung erarbeitet. Er könnte künftig den Nachrichtenaustausch zwischen verschiedenen Apps ermöglichen. Wichtige Fragen sind aber noch ungeklärt.
Ein neuer Standard könnte revolutionäre Änderungen für Messenger-Apps bringen. Er ermöglicht verschlüsselte Gruppenchats mit tausenden Teilnehmenden und erlaubt mehr Sicherheit auch bei kompromittierten Mitgliedern. Mehr noch: Als offizieller Standard hat Messaging Layer Security (MLS) gute Chancen, eines Tages die Grundlage für den Austausch verschlüsselter Nachrichten zwischen Nutzer:innen unterschiedlicher Apps zu bilden.
Diese Woche hat die Standardisierungsorganisation IETF das Protokoll in seiner endgültigen Fassung veröffentlicht. Gut fünf Jahre lang arbeiteten Expert:innen aus Unternehmen wie Cisco und Meta mit Forscher:innen aus Oxford oder dem französischen INRIA-Institut daran. Beteiligt waren auch Mitarbeiter:innen von Mozilla, Google, Amazon und Apple.
Das neue Protokoll ist „wirklich eine Gruppenleistung der akademischen Gemeinschaft und der Industrie“, sagt Raphael Robert von der Berliner Softwarefirma Phoenix R&D, der ebenfalls daran mitgearbeitet hat. Dass Konzerne, die einander sonst erbitterte Konkurrenz liefern, zusammengearbeitet haben, spricht aus seiner Sicht für den neuen Standard.
Bauanleitung für Chats über Plattformgrenzen hinweg
Von der IETF abgesegnete Protokolle sind die Grundlage des Internets. Das TCP/IP-Protokoll sorgt etwa dafür, dass Computer unabhängig vom Hersteller oder Betriebssystem Datenpakete über Netzwerke miteinander austauschen können. Ähnlich ermöglicht das HTTP-Protokoll unter anderem das Laden von Websites oder IMAP den Zugriff auf E-Mails. Doch für moderne Messenger-Dienste wie WhatsApp, iMessage oder Signal fehlte bislang ein vergleichbarer offener Standard.
Für Ende-zu-Ende-verschlüsselte Messenger wie WhatsApp, iMessage oder Signal gilt das Prinzip: Nachrichten werden vor dem Versenden verschlüsselt und erst nach dem Empfang entschlüsselt. Das stellt sicher, dass selbst der Betreiber einer App keinen Zugriff auf den Nachrichteninhalt hat. Das neue MLS-Protokoll ist quasi eine Bauanleitung dafür, wie diese Verschlüsselung für viele Nutzer:innen und über Plattformgrenzen hinweg funktionieren kann.
Warum Konzerne wie Google und Meta, sonst erbitterte Konkurrenz, dafür zusammenarbeiten? Bislang nutzen Messenger wie WhatsApp und Skype für ihre Ende-zu-Ende-Verschlüsselung das Signal-Protokoll, dass von Gründern der Messenger-Apps Signal entwickelt wurde. Dieses gilt als „Stand der Dinge“ in der Branche, allerdings sei es kein offener Standard, sagt Raphael Robert.
Der Entwickler sieht klare technische Vorteile von MLS, welches das Signal-Protokoll ablösen soll. Denn im Gegensatz zum Signal-Protokoll bewältige MLS große Gruppenchats kryptografisch viel effizienter, damit spare das Protokoll Rechenleistung und Bandbreite. Was bisher technisch schwierig war, werde dadurch möglich, heißt es von den Entwickler:innen: Verschlüsselte Gruppenchats für tausende, vielleicht sogar zehntausende Teilnehmer:innen.
Bei WhatsApp sind Gruppen bislang auf 1.024 Teilnehmende beschränkt, bei Telegram sind Gruppenchats nicht Ende-zu-Ende-verschlüssselt. Mit dem neuen Protokoll hätten die Konzerne innerhalb der IETF etwas geschaffen, was vermutlich „in der Reife keine Firma alleine hätte erarbeiten können“, sagt Raphael Robert.
Wie die Firmen das MLS-Protokoll nun in ihre eigenen Produkte einbauen, ist noch offen. Vor allem Meta lässt sich bislang nicht in die Karten schauen. Einzelne Anbieter haben allerdings bereits gehandelt, Cisco hat etwa eine Entwurfsversion von MLS bereits in seine Meetingsoftware Webex integriert. Auch Google, das in der Vergangenheit immer wieder mit eigenen Messengerprojekten gescheitert ist, könnte mit MLS einen neuen Anlauf unternehmen.
Puzzlestück für die Messenger-Öffnung
Das MLS-Protokoll ist unterdessen ein wichtiges Puzzlestück für Bestrebungen der Europäischen Union, große Messengeranbieter zur Öffnung ihres Dienste zu zwingen. Das hat die EU im Digitale-Märkte-Gesetz festgeschrieben. Wer einen der großen Messenger nutzt, soll künftig auch Nachrichten von einem anderen Messenger empfangen können.
Im Visier der EU ist dabei insbesondere WhatsApp: Die App des Meta-Konzerns ist weltweit auf rund zwei Milliarden Geräten installiert – viele Menschen kommen im Alltag bislang nicht an ihr vorbei. Indem die EU den freien Nachrichtenaustausch zwischen verschiedenen Apps erzwingt, will sie den Wettbewerb stimulieren und kleineren Anbietern helfen.
Einige dieser Anbieter wie Signal und Threema warnen allerdings, der Nachrichtenaustausch über Plattformgrenzen sei ein Sicherheitsrisiko, ein Konzern wie Meta könnte dadurch außerdem Zugang zu noch mehr Nutzer:innendaten erhalten. Die technische Methode, wie die Interoperabilität zwischen Messengern umgesetzt wird, hat womöglich große Auswirkungen auf Datenschutz und IT-Sicherheit.
Während etwa Signal seinen Nutzer:innen verspricht, möglichst wenige Daten zu sammeln und diese sobald als möglich zu löschen, sammelt WhatsApp die Metadaten seiner Nutzer:innen. Das bietet ein mögliches Einfallstor für Überwachung durch US-Geheimdienste. Auch gibt es seit längerem Befürchtungen, dass Meta die Metadaten von WhatsApp-Nutzer:innen für Werbezwecke nutzen könnte.
Das MLS-Protokoll lässt es denjenigen, die es in ihre Messenger implementieren, grundsätzlich offen, ob und wie viele Metadaten sie speichern wollen, erklärt Raphael Robert. Eine weitere IETF-Arbeitsgruppe, an der Robert ebenfalls mitarbeitet, soll nun offene Fragen zu Interoperabilität wie den Umgang mit Metadaten klären. Ziel sei es, einen Standard mit den „stärksten nutzbaren Sicherheits- und Privatsphäreeigenschaften zu erreichen“. Ob das gelingt und dann auch bei WhatsApp und anderen großen Apps zum Einsatz kommt, ist allerdings noch offen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires