Messaging und Open Source – Ein kurzer Blick auf Riot.IM (Gastbeitrag)

Liebe Leser_innen. Im heutigen Gastbeitrag geht es um einen Dauerbrenner, den wir hier im Blog schon oft angesprochen haben: Das unüberschaubare Meer an Messaging-Apps. Auch hier bei DeathMetalMods stellt sich natürlich die Frage: Wie kommunizieren wir, die wir im Hintergrund am Blog werkeln, eigentlich miteinander? Dazu hat sich Lurz in seinem zweiten Gastbeitrag einmal das Team-Tool Riot angesehen. Viel Spaß beim Lesen, DMM.

Die Suche nach einem neuen Messaging-Dienst begann für mich mit der folgenden Geschichte. Drei Menschen, nennen wir sie der Einfachheit halber Alice, Bob und Charlie, haben sich im „Real Life“ angefreundet und sich zu verschiedenen Anlässen auch regelmäßig persönlich getroffen. Alice verlässt nun wegen beruflicher Veränderungen den Kreis. Private Treffen sind aufgrund der räumlichen Distanzen leider schwierig bis praktisch unmöglich. Die Frage nach dem aufrechtzuerhaltenden Kontakt über die Ferne wird von allen bejaht, die Präferenzen fallen dabei jedoch völlig unterschiedlich aus.

MEXICAN STAND-OFF MIT UMGEKEHRTEN VORZEICHEN

Alice ist ein großer Anhänger von Threema. Sie meint, das Tool wäre ideal für den schnellen Austausch von Ideen und hat sich bereits ein stattliches Netz von Threema-Nutzenden in ihrem Umfeld aufgebaut. Bob ist eher ein Aluhut und gleicht in seiner Digitalskepsis dem Elektro-Sensibelchen Chuck McGill aus Better Call Saul. Charlie schließlich kann man kommunikativ als Traditionalisten bezeichnen, dem E-Mail, SMS und Telefon eigentlich vollkommen ausreichen. WhatsApp kommt für alle drei nicht infrage, schon aus Höflichkeit gegenüber Dritten, die sich im elektronischen Adressbuch befinden.

Charlie ist von Threema zwar nicht vollkommen überzeugt, wäre aber zu überreden, wenn Bob auch mitmacht. Bob schaut sich den Schweizer Messenger deshalb genauer an und ist aufgrund des proprietären Ansatzes nicht bereit, Threema auf seinem Phone zu installieren. Bob begibt sich deshalb selbst auf die Suche und findet in Riot eine Open-Source-Alternative, die sogar mit VOIP-Integration mehr bietet als derzeit Threema. Er ist begeistert. Alice rümpft jedoch die Nase und kann sich Riot als Tool zur Alltagskommunikation nur schwer vorstellen. Charlie wiederum ist vom Hin und Her mittlerweile leicht genervt und versteift sich darauf, dass E-Mail, SMS und Telefon doch vollkommen ausreichen. Das Ergebnis: Ein Mexican Stand-Off mit umgekehrten Vorzeichen, der bereits an der Wahl der richtigen „Waffen“ scheitert.

Das Dilemma kennen sicher viele, allerdings eher bei der Frage ob man sich heute dem allgegenwärtigen WhatsApp überhaupt noch verweigern kann. Um die Geschichte aufzulösen: Ich bin der Bob in der Geschichte, die auch nicht besonders dramatisch ausging. Wir sind alle Drei noch befreundet und stehen in regem Kontakt, nur eben nicht über einen gemeinsam genutzten Messenger. Die Threema-Anfrage von Alice hat mich allerdings dazu bewegt, mir das große Meer der Messenger mal genauer anzusehen. Bislang blieb mir diese Chat-Odyssee erspart, denn persönlich kam auch ich bisher gut ohne Whatsapp & Co. aus. Grundsätzlich sehe ich aber natürlich die Vorteile einer netzbasierten Kommunikation, die schneller und direkter ist als die E-Mail.

DER WALD VOR LAUTER BÄUMEN

Da die Auswahl an Messaging-Diensten (auch solcher mit Fokus auf Datenschutz) mittlerweile beträchtlich ist, habe ich mir einmal Gedanken gemacht, was überhaupt meine persönlichen Anforderungen an einen Chat-Dienst wären. Im Wesentlichen bin ich bei vier Kernanliegen gelandet: Open Source, Ende-zu-Ende-Verschlüsselung, Nutzung ohne eindeutige Kennungen und Föderation.

Open Source ist einer meiner persönlichen Grundsätze: Auf meinem Phone lasse ich keine Software ins Internet, die nicht vollständig Open Source ist. Die wenigen unfreien Apps, die ich dennoch nutzen muss, werden von der Firewall meines Smartphones am Netzzugang gehindert. Alice hatte mich diesbezüglich in der Threema-Diskussion darauf hingewiesen, dass Threema seine proprietären Bestandteile durch Externe auditieren ließ und Open Source ja auch Heartbleed nicht verhindert habe. Dem kann ich nicht widersprechen. Mir geht es bei Open Source aber eher um die Resistenz offener Software gegen die Vereinnahmung durch Geschäftsinteressen. Offene Software kann jeder verändern. Sobald der Verdacht entsteht, dass sich ein schattiges Geschäftsmodell andeutet, ist in aller Regel schnell ein Fork da. Siehe Google, Android und Custom-ROMS wie LineageOS (die völlige Freiheit bzw. das mögliche Potenzial wird dort eher aufgrund der Verquickung des Betriebssystems mit proprietären Hardware-Bestandteilen ausgebremst).

Eine Ende-zu-Ende-Verschlüsselung ist natürlich ein No-Brainer, eine robuste und trotzdem für technisch weniger kundige Nutzer handhabbare Verschlüsselung sollte in jeder Chat-Apps Pflicht sein. Dass die Metadaten (also wer mit wem und wann kommuniziert) dennoch einen hohen Wert für den Betreiber der Plattform oder externe Angreifer besitzen, ist hoffentlich jedem bewusst. Für alle anderen verweise ich hier auf den Artikel zur Verschlüsselung bei Whatsapp, in dem all das ausführlich erklärt wird.

Als drittes Kriterium lege ich viel Wert auf etwas, was in Fachkreisen als „Nichtverkettung“ oder „Unlinkablility“ diskutiert wird. Ich möchte schlicht nicht, dass Messenger sich mit meiner Telefonnummer oder meiner E-Mail-Adresse verbinden. Klar ist das unpraktisch, aber ich möchte das eben selbst entscheiden können. Vor allem geht es dabei auch nicht nur um mich. Chat-Dienste, die sich an solche persönlichen Identifikatoren klammern, führen immer dazu, dass Freunde oder Bekannte die mir ihre Daten im Einvernehmen zur gemeinsamen Kommunikation gegeben haben, von diesen Messenger-Diensten im Hintergrund durchleuchtet werden. Anders können diese verkettenden Messenger schließlich nicht feststellen, wer Teil des Nutzerkreises ist. Diese Unsitte, die bei sehr vielen Marktteilnehmern zu finden ist, dient oft aber einzig und allein dem Ausbau der Nutzerschaft im Unternehmens-eigenen Datensilo.

Zuletzt ist für mich Föderation entscheidend. Was ist Federation? Das beste Beispiel ist der bekannte E-Mail-Verkehr. Dank des föderierten E-Mail-Standards können Web.de-, GMX- und T-Online-Nutzende auch E-Mails als Posteo- oder Startmail-Konten schicken. Sogar eigene E-Mail-Server sind kein Problem. Man stelle sich vor, das wäre nicht so, sondern wie bei Messengern bräuchte es immer ein Konto beim jeweiligen Anbieter. So wie Whatsapp-, Threema- und Telegram-Nutzende nur untereinander chatten können, könnte man dann nur innerhalb von GMX oder Googlemail E-Mails versenden und bräuchte überall jeweils ein Konto. Schwer vorstellbar, dass sich die E-Mail zu dem verbreiteten Standard entwickelt hätte, der sie heute ist. Stattdessen gäbe es wohl einen großen E-Mail-Provider und ein paar Nischenkanäle, siehe WhatsApp-Problematik. Ein weiterer Aspekt an Föderation ist sogar noch viel entscheidender. Ich sehe die Entwicklung des gesellschaftlichen Klimas mit einiger Sorge. Worte wie „Zensur“ haben zwar noch nicht völlig ihren ekligen Geschmack verloren, aber unter vielerlei Deckmäntelchen wird in letzter Zeit verstärkt an einem Zugewinn an Kontrolle im Netz gekämpft, nicht unbedingt zum Wohle des Rechtsstaats und der freien Meinungsäußerung (Ja, die gilt eben gerade für abweichende Meinungen). Ohne mich zu weit aus dem Fenster lehnen zu wollen, wage ich die These, dass offene Software und dezentrale Infrastrukturen weitaus zensur- und diktaturresistenter sind als zentrale und herstellerabhängige proprietäre Modelle.

THERE’S A RIOT GOIN‘ ON

Ich bin trotz meines beruflichen Technik-Hintergrunds natürlich nicht in der Lage einzelne Dienste bis ins Letzte auf meine Kriterienliste hin zu überprüfen. Ich habe für mich im Meer der Angebote aber zwei mögliche Dienste identifiziert, die alle Anforderungen erfüllen: Apps, die XMMP nutzen und solche auf Basis des Matrix-Protokolls. XMPP war früher unter Jabber bekannt und dient unter iOS und Android als Grundlage vieler Messenger-Dienste.

Das Matrix-Protokoll ist u.a. die Basis für den Dienst Riot. Der hat mir letztlich am Besten gefallen, weil er Telefonie-Dienste integriert (quasi als freie Alternative zu Skype). Das sehe ich als entscheidenden Mehrwert an, um Freunde und Bekannte zu einer Installation zu bewegen. Ein weiterer für mich entscheidender Vorteil von Riot liegt in der einfachen Handhabbarkeit über mehrere Geräte hinweg, da die Daten (ähnlich wie bei Telegram) verschlüsselt auf dem Server liegen. Egal ob Telefon, Tablet oder Desktop: Ich habe auf allen Geräten den gleichen Kommunikationsstand. Der Umzug auf ein neues Gerät ist zwar ein wenig tricky, da die aktuellen Schlüssel der Räume manuell exportiert und im neuen Client wieder importiert werden müssen, um Zugriff auf verschlüsselte Inhalte aus der Vergangenheit zu erhalten. Diese Notwendigkeit zur manuellen Übertragung ist aus meiner Sicht aber konsequent. Die Alternative wäre – wie bei WhatsApp – neue Schlüssel durch den Anbieter generieren zu lassen oder – wie bei Telegram – verschlüsselte Kommunikation auf das Geräte zu beschränken, mit dem sie gestartet wurde. Gerade die Lösung von Whatsapp hat aber gerade erst (nicht ganz treffende) Vorwürfe einer Backdoor laut werden lassen und bei Telegram ist die Ende-zu-Ende-Verschlüsselung für Mehr-Geräte-Nutzer leider wenig zu gebrauchen.

Vom Funktionsumfang unterscheidet sich das Grundgerüst von Riot nicht wesentlich von anderen Instant Messengern. Es gibt Chaträume, welche zum direkten Austausch genutzt werden können und Gruppenchats. Es können Dateien in allen Formaten hochgeladen werden, Bilder bis hin zu animierten GIFs werden direkt angezeigt. Das Schmankerl ist die Möglichkeit zu telefonieren, in unverschlüsselten (!) Gruppenchats sind auch Konferenzanrufe möglich. Riot wirbt auch in erster Linie damit als Team-Kollaborations-Tool zu dienen, was ich mir durchaus gut vorstellen kann.

Eein Kritikpunkt an Riot: Die Ende-zu-Ende-Verschlüsselung muss manuell aktiviert werden und derzeit bekommt man noch ein Warnfenster, dass es sich nur um ein Beta-Feature handelt. Das wird nach Angaben der Entwickler bald verbessert, zumindest steht es ganz oben auf der ToDo-Liste. Weiterhin sehe ich die derzeit noch fehlende Löschfunktion für Chaträume kritisch. Ich kann einen Raum zwar verlassen, aber die Inhalte bleiben dann als verlassene Objekte auf dem Server. Zwar kann ich vor dem Verlassen einzelne Beiträge im Chat löschen, aber die Mühe werde ich bei ein paar hundert Einträgen kaum auf mich nehmen. Die Datenschutzerklärung von Riot ist aus meiner Sicht auch verbesserungswürdig, da nicht groß zwischen Website und Dienst unterschieden wird. Auf der Website wird zum Beispiel Google Analytics eingesetzt während die Plattformen selbst davon (soweit ich das prüfen konnte) nicht betroffen ist. Schlussendlich sei noch erwähnt, dass die Nutzungsbedingungen auch die Möglichkeit eines Verkaufs des Projektes nicht ausschließen, aber wie oben bereits erwähnt, hoffe ich dann auf einen Fork wenn kommerzielle Verwertungsinteressen ins Spiel kommen sollten. Genau das sollte aufgrund der föderalen Struktur des eingesetzten Matrix-Protokolls ja möglich sein.

Als Fazit möchte ich damit schließen, dass ich Riot durchaus weiterempfehlen kann. Mein Umfeld hat den Dienst dankbar aufgenommen (meist Leute ohne Messenger-Erfahrung), gerade weil auch Bekannte ohne Smartphones mitmachen können. Riot ist allerdings kein explizit auf Security ausgelegter Krypto-Messenger, das muss jedem klar sein. Mit dem datensparsamen Identitätsmanagement, der Multi-Plattform- und -Geräte-Ausrichtung sowie der recht gut funktionierenden (Video-) Telefonie kommt Riot für mich persönlich aber ziemlich nah an die berühmte eierlegende Wollmichsau heran.

Ich freue mich auf Kommentare mit euren Erfahrungen.

Euer Lurz

4 Kommentare

Artikel kommentieren

Dein Kommentar wird in der Regel sofort veröffentlicht. Bei erhöhtem Spam-Aufkommen kann es aber zu Verzögerungen kommen. Hab dann bitte einfach Geduld. Zur Erkennung von Spam verwendet das Blog ein Plugin, das den Inhalt des Kommentars, seine Uhrzeit sowie einige weitere Daten, wie zB enthaltene URLs, berücksichtigt. Bitte beachte deshalb die Datenschutzhinweise zur Kommentarfunktion.

Notwendige Felder sind mit * markiert.