Das falsche Signal

In der näheren Vergangenheit wurde in datenschutz-sensiblen und aktivistischen Kreisen vermehrt zur Nutzung der App Signal von Open Whisper Systems (OWS) aufgerufen. So machten nach der Wahl des rechtsradikalen Trump zum US-Präsidenten bei Twitter Aufrufe die Runde, man solle seine Festplatten verschlüsseln und auf Signal umsteigen. [1] Auch auf dem aktivistischen Nachrichtenportal Linksunten-Indymedia findet sich ein Artikel, der die Nutzung der App nahelegt und vor den Konkurenten Threema und Telegram warnt. [2] Wir sehen hier einen Diskurs, sich sowohl politisch in die falsche Richtung entwickeln, als auch Menschen und Strukturen in erhöhte Repressionsgefahr bringen, weshalb wir zu dem Thema einen Debattenbeitrag veröffentlichen.

Wir wollen nicht die große Leistung schmälern, die die technischen Entwicklungen von OWS der kryptographisch gesicherten Kommunikation erbracht hat. Das Signal-Protokoll (ehemals Axolotl) hat Kryptographie im Gegensatz zu Konzepten wie Pretty Good Privacy (PGP) auf eine von Normalsterblichen nutzbare Ebene gehoben, ohne dabei in der Sicherheit Abstriche zu machen. [3] Im Gegenteil gewährleistet es Perfect Forward Secrecy, verschlüsselte Offline-Nachrichten und Dateiübertragung. Alles Features, die von Nutzer*innen erwartet werden und die durch Konzepte aus dem Bereich von Open Source Software (OSS) wie PGP oder Off The Record (OTR) nicht zusammen bereitgestellt werden. Darüber hinaus wurde es nicht, wie so oft im Open-Source-Bereich, bei der Entwicklung der Hintergrund-Bibliotheken belassen, sondern ein Graphical User Interface (GUI) geschaffen, das es in seiner einfachen User Experience (UX) mit kommerziellen Konkurrenten wie WhatsApp aufnehmen kann. Dies setzt andere Anbieter unter Druck, Verschlüsselungstechnologien zu implementieren und entsprechenden Code zu veröffentlichen.

Besucht man die Homepage von Signal, vermittelt sie vor allem eines: „Wir sind Profis, installiere unsere Software und deine Kommunikation ist sicher und einfach zu handhaben. Mehr willst und musst du nicht wissen.“ Nutzer*innen von IT-Technologien sollten auf derartige Aussagen zu Sicherheit mit äußerster Skepsis reagieren. Absolute Sicherheit gibt es ebenso wenig wie das Medikament gegen sämtliches Leiden und es führt kein Weg daran vorbei, sich die Frage zu stellen, wogegen man Schutz sucht. Will man sich gegen „kriminelle“ Hacker schützen, gegen kommerzielle Großunternehmen/Anbieter von Kommunikationsdiensten oder gegen staatliche Institutionen? Will man verhindern, dass Nachrichteninhalte mitgelesen werden, Metadaten analysiert werden, die Identität des Gegenübers gefälscht oder die Kommunikation blockiert werden kann? Dabei ist die Sicherheit nur so gut, wie das schwächste Glied im System. Etwa bringt mir die beste Verschlüsselungstechnologie meiner Nachrichten zwischen den Geräten nichts, wenn sich an meiner Tastatur ein Keylogger befindet oder ich alle Texteingaben an einen Onlinedienst weiterleite. Das Gerede von abstrakter Sicherheit führt nämlich jenseits von tatsächlich erhöhtem Schutz gegen Überwachung vor allem dazu, dass Menschen blind ihren technischen Gerätschaften Dinge anvertrauen, die sie ihnen besser nicht anvertrauen sollten.

Allerdings spricht dieses zweifelhafte Marketing von OWS nicht gegen eine Nutzung von Signal. Dafür ist die Frage zu stellen, welche tatsächlichen Probleme im Sicherheitsversprechen der App liegen.
Signal wickelt seine Kommunikation über einen Server unter der Kontrolle von OWS ab. Zwar können andere Organisationen einen Server dank dessen offenen Quellcodes betreiben, allerdings ergibt das keinen Sinn, da OWS eine Kommunikation zwischen den Servern (Federation) strikt ablehnt. Somit legen die Nutzer*innen auch hier ihre Kommunikation in die Hand eines einzelnen Unternehmens, welches jederzeit die Nutzungskonditionen ändern kann. Außerdem können alle Metadaten abgefangen werden, die aufgrund der Nutzung der Telefonnummern als Benutzeridentität äußerst aufschlussreich sind. Und darüber hinaus ist es für offizielle Stellen ein Leichtes, bei gegebenem Anlass die Kommunikation zu den OWS-Servern einfach zu unterbinden. Dieses Szenario ist nicht hypothetisch, sondern Regierungen wie die türkische haben derartige Methoden bei den großen Kommunikationsanbietern wie Twitter und Facebook unlängst unter Beweis gestellt. Und in Anbetracht der politischen Entwicklungen in Staaten des „demokratischen Westens“ beschränkt sich diese Problematik nicht mehr nur auf Gebiete wie die Türkei oder China.
Ein weiterer Punkt wurde oben bereits angerissen. Signal nutzt zwangsweise die Telefonnummern der Nutzer*innen als Identifikation in ihrem Service. Und diese Telefonnummern dürften nur in seltenen Fällen anonym sein. Dies gilt auch für anonym registrierte Simkarten, über die normal telefoniert wird. Über ihre Position im sozialen Netz sowie das Standortprofil sind sie einfach zu deanonymisieren. Fälle staatlicher Repression, z. B. über den §129 auch hierzulande, haben gezeigt, dass es oft genügt, zu wissen, wer mit wem im Kontakt steht. Zwar werden die Metadaten zwischen Server und Client verschlüsselt (SSL), aber sowohl OWS als auch den unzähligen Zertifizierungsstellen muss vertraut werden. Außerdem kann ein befreundeter Client unter Kontrolle eines Überwachungsdienstes gelangen und dessen Kontaktliste weißt zweifelsohne eine nicht abstreitbare Verbindung nach.
Ein dritter Punkt liegt im Bereich des Schutzes des Kommunikationsgerätes gegen sog. Quellen-TKÜ. Nicht nur ist vielen Nutzer*innen unbekannt, dass über den Google Play Store etwa unauthorisiert Apps (z. B. Staatliche Trojaner) nachinstalliert werden können [4]. Von anderen Sicherheitslücken von Android-Geräten soll gar nicht die Rede sein. Eine Problematik, die OWS nicht nur verschweigt, sondern auch aktiv verhindert, dass Nutzer*innen versuchen, ihre Geräte gegen Zugriff Dritter abzusichern. So benutzt Signal im Gegensatz zu allen anderen Messengern mit Fokus auf Sicherheit zwangsweise das sogenannte Google Cloud Messaging (GCM) und dieser proprietäre Service bedarf zwangsläufig der Google Play Services mit oben genannter Problematik. Die Community entwickelte darauf hin Code, der ohne die Google-Abhängigkeit auskommt, aber OWS verweigerte die Übernahme in Signal und verbot zusätzlich einer unabhängigen Version der App „LibreSignal“ die Mitnutzung ihres Servers [5] sowie die Führung von „Signal“ im Namen. [6] Signal verhindert also erhöhte Sicherheit aus Gründen, über die sich bloß mutmaßen lässt.
Als letztes wäre anzuführen, dass OWS Signal allein über den Google Play Store vertreibt und unabhängige Versionen zu verhindern sucht. Sei nun der Code quelloffen oder nicht – am Ende müssen wir mit einer Binärdatei leben, die durch die Hände von OWS und Google gegangen ist. Dies eröffnet das Thema potentiellen Missbrauchs durch Paketbetreuer, dass kaum zu lösen ist. Aber warum sollten die Nutzer*innen nicht entscheiden, wem sie in dieser Rolle vertrauen?

Die soeben nachgezeichnete Policy von OWS bezüglich ihres Vertriebes von Signal lässt Rückschlüsse auf ihre grundsätzlichen politischen Positionen zu, die sich von weiten Teilen der Open-Source-Community unterscheiden. Offenbar geht es OWS darum, eine Marke zu schaffen, die den Hype um Snowden und die NSA Enthüllungen nutzt, um sich als Held für Bürgerinteressen zu inszenieren. Die Forderung der Community nach einem dezentralen Internet unter der Kontrolle der Nutzer*innen oder von ihnen frei gewählten Expert*innen erscheint in diesem Kontext hinderlich. Kooperationspartner für OWS sind nicht in erster Linie Projekte aus der OS-Community sondern kommerzielle Player wie insbesondere Google, die motiviert werden sollen, Kryptographie in ihre Produkte zu integrieren – etwa dem neuen Messenger Allo. Um wirkliche umfassende Sicherheit geht es dabei natürlich nicht, sondern eine Privacy-Marktlücke wird bedient, ohne damit den Zugriff der kommerziellen Anbieter auf ihr Kapital, das Kommunikationsverhalten der Nutzer*innen, wirklich einzuschränken. So haben wir eine großartige Verschlüsselung auf dem Übertragungsweg, aber keinen Schutz der mobilen Endgeräte und keine Anonymisierung der Metadaten. Dazu kommt eine Zentralisierung der Kommunikation, die es Autoritäten ermöglicht, bei Bedarf den Stecker zu ziehen, sei es wörtlich, sei durch den Kooperationszwang der Provider nach dem Patriot Act.

Der Erfolg von OWS ist aber auch elitären und bürokratischen Positionen im Open-Source-Umfeld anzulasten. Der Standardisierungsprozess von XMPP verläuft zäh und es ist über viele Jahre nicht gelungen, einen nativen Kryptographie-Standard zu entwickeln. Entwicklungen wie OTR waren Notlösungen außerhalb des Protokolls, die in vielen Szenarien nicht sauber funktionieren. Deshalb weigerten sich Projekte wie Pidgin, sie als Standard zu implementieren. Allgemein scheint bei vielen OSS-Projekten das Interesse zu schwinden, wenn es darum geht, grafische Oberflächen mit intuitiver UX für die „Noobs“ zu entwickeln oder gar eine Benutzerdokumentation zu schreiben und zu pflegen. Oft kommt eine Misanthropie in dem Gegensatzpaar Entwickler*in vs. Nutzer*in zum Ausdruck. Der Mensch wird zum notwendigen, unkalkulierbaren Übel im Protokoll-Stack, zum Layer 8 [7] Problem.

Die Nutzung von Signal für eine komfortable, abgesicherte Kommunikation inklusive Gruppen und Bildversand ist dabei nicht alternativlos. Das Signal-Protokoll wurde für die Nutzung mit Jabber/XMPP portiert und eine normierte Integration in das XMPP-Protokoll (XEP) angefragt. Dieses Protokoll, das die Vorteile von Signal und Jabber zusammenbringt, heißt OMEMO. Obwohl die Übernahme in die XMPP-Standards wohl noch etwas Zeit in Anspruch nehmen wird, kann es bereits heute stabil genutzt werden. Etwa mit dem Messenger „Conversations“ auf Android-Smartphones [8] oder Gajim [9, 10] auf dem Desktop. Conversations zum Laufen zu bringen, sollte so einfach sein wie Signal. Gajim braucht noch etwas Gefrickel, aber es existieren einige Anleitungen für Linux und Windows. IOS-Benutzer*innen müssen sich aus Lizenzgründen noch etwas gedulden. Zusätzlich kann bei dieser Lösung der Account über Tor anonymisiert genutzt werden. Nutzer*innen sollten auch bedenken, dass diese Technologien ohne große Kooperationspartner*innen aus der Industrie entwickelt werden und ihre Erwartungen daran anpassen. Überzogene Kritik an der Stelle gleicht in etwa, ein selbstorganisiertes Nachbarschaftszentrum für den fehlenden Treppenaufzug zu kritisieren, der bei der Staatsoper lange Standard ist. Im Zweifel muss man im Umkreis fragen, ob einem nicht Leute helfen können. Diese Solidarität untereinander ist die Stärke derer, die heute Unten stehen und kann weder durch Technik noch elitäre Krypto-Helden ersetzt werden.

[1] security tips for protesters (EFF, 16.11.2016) https://www.eff.org/deeplinks/2016/11/digital-security-tips-for-protesters

[2] Empfehlung für Signal: „Zur Benutzung ’sicherer‘ Messenger“ (indymedia, 4.11.2016) https://linksunten.indymedia.org/de/node/195943

[3] Kryptoverfahren (Heise, 24.11.2016) https://www.heise.de/newsticker/meldung/Entwickler-dokumentieren-Krypto-Verfahren-des-Messengers-Signal-3501150.html

[4] Update Section in Legal Information of Play Services https://play.google.com/about/play-terms.html

[5] Kommentar Moxie Marlinspike (17.06.) https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-226646872

[6] Kommentar Moxie Marlinspike zur Verwendung des Namens in LibreSignal (5.5.) https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165 

[7] https://en.wikipedia.org/wiki/Layer_8

[8] Android XMPP Messenger App Converstions https://conversations.im/

[9] Cross-Plattform XMPP Client Gajim https://gajim.org/

[10] OMEMO Plugin für Gajim https://github.com/omemo/gajim-omemo

P.S.: Wir grüßen reproduce(future) in HH. Btw „Der Kapitalismus ist eine anarchistische Produktionsweise“?! lol
 

Zum Originalbeitrag