Mit überwältigendem Erfolg haben sich in den letzten Jahren geschlossene Messenger-Dienste wie WhatsApp, Snapchat etc. auf den Smartphones der Bürger verbreitet. Deren oft fragwürdiger Umgang mit persönlichen Daten ist schon im privaten Umfeld mindestens lästig. Im Unternehmen ist er jedoch gefährlich und kann seit Einführung der DSGVO sogar empfindliche Strafen nach sich ziehen. Die Aufbruchsstimmung im Messenger-Markt hat inzwischen durchaus umwälzenden Charakter. Allerdings fehlt der Welle der Drive zur Offenheit: Messenger als geschlossene Systeme – diese Praxis scheint auch für die Zukunft besiegelt.

Ad hoc Kurznachrichten verschicken – im Internet des Jahres 2018 ist das keine wirkliche Herausforderung mehr. Ein Blick auf das aktuelle Marktgeschehen vermittelt ein ganz anderes Bild. Aufgerüttelt durch die neue, seit 25. Mai diesen Jahres geltende EU-Datenschutzgrundverordnung (EU-DSGVO) avancieren Datenschutz und Persönlichkeitsrechte zum Top-Thema in Unternehmen. Mit einher geht vielerorts die beklemmende Erkenntnis, dass genau diese Themen bislang an vielen Stellen grob vernachlässigt wurden – nicht zuletzt eben auch beim Messaging. Das betrifft sowohl die im Rahmen einer offiziell von der Unternehmens-IT gesteuerten, umfassenden UCC-Strategie (Unified Communications and Collaboration) implementierten Messaging-Module als auch Stand-alone-Messenger, die Mitarbeiter sehr oft an der offiziellen IT vorbei nutzen. „Bring Your Own Messenger“ ist anscheinend das Motto, nach dem für private Zwecke konzipierte Messenger auf Firmengeräten landen.

Das große Problem dabei: Die privaten Messenger verweigern sich jeglichem steuernden Zugriff. Einige dieser Nachrichtenvermittler, darunter auch der Publikumsliebling WhatsApp, verlangen den Zugriff auf das komplette, im Smartphone gespeicherte Adressverzeichnis und übertragen es ungefragt zum Kommunikationspartner. Für diese Synchronisation sendet der Messenger Daten wie die Statusanzeige, die Rückschlüsse auf das Nutzungsverhalten zulassen, an Server des Herstellers – im Falle von WhatsApp sind das die der Muttergesellschaft Facebook in den USA. So gelangen fremde Personen und ausländische Firmen an private Daten von Menschen, die dem niemals zugestimmt haben, ja nicht einmal Kenntnis von diesem Datentransfer haben. Verboten war solches Vorgehen nach europäischem Recht schon lange, seit Einführung der DSGVO können Millionenstrafen die Folge für solche Verstöße sein. Und die treffen nicht den Nutzer, der oft selbst keine Ahnung hat, was der Messenger mit seinen Smartphone-Daten anstellt, sondern das Unternehmen, bei dem er beschäftigt ist. Die seit Kurzem auch in Europa erhältliche Business-Variante von WhatsApp ist datenschutzrechtlich kein Stück besser als die Version für Privatpersonen – lediglich für die Administration sind unternehmensgerechte Management-Tools ergänzt.

Die Verstöße gegen die Gebote der DSGVO sind indes oft noch viel weitreichender. Betroffen sind Dinge wie das Recht auf Zugriff, das Recht auf Vergessenwerden, der grundsätzlich mangelhafte Datenschutz, die Datenübertragbarkeit und der Datentransfer. Viele Anwendungen erheben, speichern und verarbeiten personenbezogene Daten der Mitarbeiter, etwa die IP-Adresse, Zugriffe auf Dokumente, Aufenthaltsorte oder Nutzungszeiten – und das an Orten und damit Rechtsräumen, die dem Nutzer verborgen bleiben. All das lässt sich schwerlich mit modernen Datenschutzrichtlinien vereinbaren.

Messenger sind heute geschlossene Systeme

Anders als beispielsweise E-Mail oder File Transfer gehört Instant Messaging nicht zu den frühesten Anwendungen im Internet. Die Anfänge reichen in das Jahr 1988 zurück, als mit dem Internet Relay Chat (IRC) erstmals ein entsprechendes Protokoll im Internet eingeführt wurde. Die passenden, noch sehr rudimentären Clients kamen primär im universitären Umfeld zum Einsatz. Erst 1996 existierte mit ICQ ein netzweiter Messenger auf den Markt Dabei handelte es sich ein einfaches, proprietäres kleines Tool, das sich in der Internet-Gemeinde schnell großer Beliebtheit erfreute. Mit Jabber folgte 1999 ein Echtzeit-XML-Streaming-Protokoll, im Wesentlichen eine Individualentwicklung, die von der Internet Engineering Task Force (IETF) als Basis für das 2004 verabschiedete Extensible Messaging and Presence Protocol, kurz XMPP, verwendet wurde. Mit ihm sollte sich die Messaging Welt wieder öffnen – jeder Messanging-Client sollte also mit jedem anderen Messanging-Client Nachrichten austauschen können.

Während die Durchsetzung interoperabler Standardplattformen bei anderen Anwendungen wie beispielsweise E-Mail gut gelang, ging sie beim Messaging gründlich in die Hose. Jeder halbwegs marktbedeutende Messenger ist heute ein geschlossenes System, die Kommunikation läuft nur, wenn alle den gleichen Messenger verwenden. Die Industrie sieht wenig Hoffnung, dass sich daran künftig etwas ändern wird. „Wenn wir einen für alle Anbieter geltenden Standard fordern, wird sich derjenige durchsetzen, der die meisten Anwender auf seiner Plattform vereint“, sagte Fabio Marti, Director Business Development bei Brabbler, im Gespräch mit LANline. „Und wenn alle die WhatsApp-Plattform nutzen, welche Chancen hätten dann noch die Mitbewerber, sich zu profilieren – von lizenzrechtlichen und technischen Problemen einmal ganz abgesehen?“

Der verschlüsselte Messenger Ginlo@work von Brabbler für Unternehmen lässt sich neuerdings zusätzlich zu iOS- und Android-Smartphones auch auf Windows-PCs nutzen. Bild: Brabbler

Zumindest im Unternehmensumfeld steht eine solche Lösung ohnehin nicht zur Diskussion: Als Reaktion auf die DSGVO haben die ersten großen Unternehmen bereits gehandelt und WhatsApp, Snapchat und Co. und von den Firmenhandys ihrer Mitarbeiter verbannt. Die Forderung nach Interoperabilität verschiedener Messenger-Dienste indes gewinnt mittlerweile Unterstützung aus der Politik. Zumindest hat Bundesjustizministerin Katarina Barley vergangenen Sommer davon gesprochen, Anbieter von Messaging-Diensten per EU-Gesetz zwingen zu wollen, ihre Apps mit einer einheitlichen Schnittstelle auch für Nutzer anderer Anbieter erreichbar zu machen. Eine solche Schnittstelle sei laut Experten zwar technisch umsetzbar, aber nicht zielführend – zumindest ohne gleichzeitig die Anforderungen an den Datenschutz gesetzlich einzufordern: „Den Datenschutz verbessert man nicht, indem man Schnittstellen zu Anbietern erzwingt, die für ihre unterirdischen Sicherheitsstandards berüchtigt sind“, erklärte Karsten Schramm, Aufsichtsratsvorsitzender von Brabbler. „Warum sollte das einen US-amerikanischen Konzern dazu bringen, etwas zu ändern? Ganz im Gegenteil: Können die Nutzer von WhatsApp künftig mit Nutzern anderer Messenger kommunizieren, haben sie einen Grund weniger, sich von dieser Datenkrake zu verabschieden. Das wird die Monopolstellung von WhatsApp sogar noch verstärken.“ Denkbar wäre, Facebook bei seinen Messenger-Diensten in Europa gesetzlich zu zwingen, europäische Datenschutzstandards einzuhalten. Wenn man sich aber die unbeholfenen Versuche der EU-Kommission im Frühjahr 2018 vor Augen führt, Facebook-Chef Mark Zuckerberg angesichts der eklatanten Datenlecks seines sozialen Netzwerks auf Spur zu bringen, ist es sehr zweifelhaft, ob das bei WhatsApp mit gesetzlichen Auflagen gelingt.

Hoffnungsträger XMPP ist kaum verbreitet

Der bessere Ansatz wäre sicherlich eine einheitliche, neutrale Messaging-Plattform, wie einst mit XMPP geplant. Gesetzlich verordnen lässt sich so etwas allerdings natürlich nicht. So hat es XMPP bis heute nur in eine sehr überschaubare Zahl von Messaging-Clients mit eher bescheidener Verbreitung wie ChatSecure, Briar und Silence geschafft. Ein zumindest in Insider-Kreisen etwas populäreres Beispiel ist etwa Conversations, ein Messenger, der zusätzlich auch das Multi-Client-Ende-zu-Ende-Verschlüsselungsprotokoll OMEMO (OMEMO Multi-End Message and Object Encryption) unterstützt. Für den Server-Part benötigt XMPP entsprechende Unterstützung seitens des Providers.

Hier liegt möglicherweise eines der Schlüsselprobleme, warum das Standardprotokoll bis heute immer mehr an Bedeutung verlor. Einschlägige Foren beklagen die geringe Zahl an Providern, die noch XMPP unterstützen und von denen, die es tun, machen es viele offenbar nur halbherzig. Dabei hatte XMPP einst sehr populäre Förderer. Google Talk etwa war anfangs offen für Clients von Drittanbietern, bis Google im Jahr 2013 trotz massiver Proteste der User-Gemeinde entschied, den Dienst für fremde Clients zu schließen. Auch GMX/Web.de und sogar der Facebook Messenger waren anfangs dank XMPP für eine breite Auswahl an fremden Clients offen. Die jeweiligen Unternehmensführungen entschieden sich jedoch dazu, von dieser Strategie abzurücken. GMX/Web.de isolierte sich im Jahr 2014 und Facebook arbeitete so lange im XMPP-Protokoll herum, dass ab 2015 auch hier keine externe Kommunikation mehr möglich war. Ohne die Unterstützung einiger großer Service-Provider dürfte eine Wiederbelebung von XMPP kaum gelingen.

XMPP-Implementationen bedeuten einen hohen Aufwand

In diesem Zusammenhang wirkt möglicherweise auch die Form der XMPP-Weiterentwicklung negativ in das Geschehen. Nach Veröffentlichung des XMPP-Standards gab die IETF diese in die Hände der Jabber Software Foundation (JSF), die 2007 in XMPP Standards Foundation (XSF) umbenannt wurde. Die aus dem Open-Source-Projekt Jabber (seit 2009 im Besitz von Cisco) hervorgegangene, gemeinnützige Stiftung kümmert sich seither um die Entwicklung und Vermarktung der XMPP Extension Protocols (XEPs), die das ursprüngliche XMPP funktional und sicherheitstechnisch erweitern. Kritiker monieren, dass XMPP trotz laufender XEP-Erweiterungen nicht in der Lage sei, die Anforderungen eines modernen Messengers zu bedienen.

Der wahre Grund, warum XMPP gegenüber modernen geschlossenen Systemen manchmal blass aussieht, dürfte aber eher in der inkonsistenten Implementation der aktuell rund 150 XEP-Zusatzprotokolle bei den Providern liegen, ob diese nun einen eigenen Messaging-Dienst betreiben oder nicht. Viele scheuen offensichtlich den Aufwand einer vollständigen XMPP-Implementierung einschließlich aller seit 2004 neu hinzugekommener Add-on-Protokolle wie beispielsweise das bereits erwähnte OMEMO. Das Ergebnis ist, dass bestimmte Funktionen nicht nutzbar sind, Nachrichten verzögert oder gar nicht weitergeleitet werden und das Nutzererlebnis insgesamt schlechter ist, als in den proprietären Welten der kommerziellen Top-Messenger – abhängig davon, über welche Provider die Kommunikation gerade läuft. Die XSF führt und verteilt zwar aktuelle Listen über die Funktionsausstattung angeschlossener Provider, aber schon allein die Tatsache, dass so etwas nötig ist, widerspricht den modernen Vorstellungen von Komfort.

Technisch gesehen hat XMPP sogar das Zeug zur Anbindung proprietärer Messenger. So lässt sich der XMPP-Transport-Service in der Tat als offene Schnittstelle betrachten, wie sie die Bundesjustizministerin vor wenigen Monaten gefordert hat. In der Praxis sind damit jedoch viele Kompromisse in Sachen Datenschutz verbunden. Schon in der Vergangenheit wurde dieser Service daher kaum genutzt. Im Lichte der DSGVO fällt der Transport-Service nun endgültig durch.

An dieser Stelle sei angemerkt, dass XMPP nicht bedeutet, dass entsprechende Messenger automatisch modernen Datenschutzrichtlinien wie der DSGVO entsprechen. Wohl aber lassen sich auf dieser Basis DSGVO-konforme Messenger aufsetzen und die Konformität transparent nachweisen. Umgekehrt bedeuten proprietäre Protokolle nicht, dass entsprechende Messenger automatisch nicht konform mit der Datenschutzgrundverordnung sind. Ein gutes Beispiel dafür ist der seit einigen Jahren im Umlauf befindliche Open-Source-Messenger Signal, der als einer der sichersten im gesamten Markt gilt. Der Messenger lädt weder das Telefonbuch der Nutzer im Klartext auf die Server der Betreiber hoch, noch können Dritte den Nachrichteninhalt einsehen. Auch die Nutzerprofile mit Name und Foto sind verschlüsselt.

DSGVO-konforme Messenger-Dienste made in Europe

Nachdem erste Großunternehmen wie beispielsweise Continental und BMW nun als Konsequenz der DSGVO allzu geschwätziger Messenger wie WhatsApp auf Firmen-Smartphones verboten haben, melden sich immer mehr deutsche und europäische Hersteller mit angeblich unternehmensgerechten und DSGVO-konformen Alternativen zu Wort. Leider ist auch hier anscheinend kein einziger dabei, der sich Offenheit in der Kommunikation mit fremden Messengern auf die Fahnen geschrieben hat.

Die DSGVO fordert von konformen Messengern Vertraulichkeit (Verschlüsselung), Integrität und Verfügbarkeit. Gute Firmen-Messenger aggregieren, anonymisieren und verschlüsseln daher die Daten der Nutzer. Die Implementierung eines neuen Messengers in einem Unternehmen sollte des Weiteren in Übereinstimmung mit einer nach ISO 27001 zertifizierten IT-Strategie erfolgen.

Der R&S Trusted Communicator von Rohde & Schwarz Cybersecurity für iOS und Android greift auf ein abgesichertes, von den privaten Kontakten separiertes und verschlüsseltes Telefonbuch zu. Bild: Rohde & Schwarz Cybersecurity

Die Deutsche Post tritt vor diesem Hintergrund mit ihrer einfachen Chat-App SIMSme an. Für den Schutz von Daten und Privatsphäre sorgt eine Ende-zu-Ende-Verschlüsselung mit Servern ausschließlich in Deutschland. Der Dienst entspricht nach eigenen Angaben deutschen Datenschutzrichtlinien und ist DSGVO-konform. Der Messenger ist für private Anwender kostenlos und werbefrei. Für den beruflichen Dialog gibt es SIMSme in einer Business-Variante auf Lizenzbasis. Der aus der Schweiz stammende Messenger Beekeeper ist laut Hersteller rein für den professionellen Einsatz im Unternehmen konzipiert. Die DSGVO-konforme Mitarbeiter-App unterstützt Datensicherheit in der internen Kommunikation unter anderem durch sicheres Group Messaging, überwachte Benutzersteuerelemente und 256-Bit-TLS-Verschlüsselung.

Neue Messenger-Lösungen

Der erst Anfang 2018 erschienene, ebenfalls verschlüsselte Unternehmens-Messenger Ginlo@work von Brabbler (LANline berichtete: lanl.in/2HZlhnE) lässt sich seit November zusätzlich zu iOS- und Android-Smartphones nun auch auf Windows-PCs nutzen. Der Desktop-Client bedient sich ähnlich wie die mobile App und lässt sich parallel zu ihr einsetzen. Im Gegensatz zu den Desktop-Clients vieler anderer Messenger arbeitet die Lösung von Brabbler – abgesehen von der Erstregistrierung – völlig unabhängig von der mobilen App. Sie lässt sich auch dann nutzen, wenn das Smartphone ausgeschaltet oder nicht mit dem Internet verbunden ist. Zudem handelt es sich – ebenfalls im Unterschied zu vielen anderen Anbietern – um einen Windows-nativen und keinen Browser-basierten Client. Auch das Administrationstool von Ginlo@work hat Brabbler aufgepeppt – neue Management-Funktionen sollen IT-Abteilungen nun die Verwaltung großer Nutzerzahlen erleichtern.

Teamwire arbeitet für seinen gleichnamigen Messenger mit dem Cloud-Services-Anbieter Dracoon zusammen. Beides sind deutsche Unternehmen, die sich für ihren durchgängig verschlüsselten Messenger nach eigenem Bekunden an europäische und deutsche Datenschutzgesetze und somit auch an die Datenschutzgrundverordnung halten.

Die für den Einsatz in Unternehmen und Behörden konzipierte Lösung überträgt neben Textnachrichten auch digitale Inhalte wie Fotos, Videos, Sprachnachrichten, Standortangaben, Umfragen und vieles mehr in Echtzeit. Seit Kurzem bietet der Messenger Alarmierungs- und Krisenkommunikationsfunktionen, die über kritische Ereignisse sofort mit einem speziellen Alarmton informieren und diese in Teamwire visuell hervorheben sollen. „Wir wollen mit Dracoon eine komfortable Lösung bieten, die als zentrales Herzstück durch den Datenspeicher für eine Datensicherheit auf höchstem Niveau sorgt“, so Arved Graf von Stackelberg, Geschäftsführer Vertrieb und Marketing bei Dracoon. „Ein Partner wie Teamwire passt perfekt zu uns, weil er unsere Philosophie absolut teilt und unser Produkt optimal ergänzt.“

Vor wenigen Monaten überraschte das deutsche Unternehmen Rohde & Schwarz Cybersecurity mit einem eigenen Messenger. Der R&S Trusted Communicator für iOS und Android greift auf ein abgesichertes, von den privaten Kontakten separiertes und verschlüsseltes Telefonbuch zu. Dadurch soll die Kommunikations- und Kollaborationsplattform auch für die geschäftliche Nutzung eines privaten Smartphones geeignet sein. Als Besonderheit reklamiert der R&S Trusted Communicator für sich, neben Textnachrichten auch Telefonkommunikation innerhalb der App zu unterstützen – beides in einer vom Krypto-Provider SCIP verschlüsselten Form.

Ende-zu-Ende-verschlüsselte Gespräche bietet auch das Schweizer Unternehmen Wire – sowohl eins zu eins als auch in der Gruppenkonferenz. Die gleichnamige Open-Source-Software versteht sich als umfassende Kollaborationsplattform, die als einer von wenigen Messengern auch sichere Videokonferenzen anbietet – konform mit der DSGVO.

Fazit

Ermutigt durch die DSGVO emanzipieren sich europäische und deutsche Hersteller in einem bisher primär von US-amerikanischen Anbietern dominierten Markt. Funktional und in puncto Komfort nicht immer auf der Höhe der Platzhirsche punkten sie vor allem mit Transparenz und Achtung der in Europa geltenden Gesetze. Im betrieblichen Umfeld bahnt sich dadurch bereits sehr deutlich eine Neuordnung des Marktes an. Leider versäumen es bislang auch die Europäer, diesen Schwung gleichzeitig für eine Öffnung der verschiedenen Kommunikationsplattformen untereinander zu nutzen.