Die EU setzt bei der sicheren Kommunikation mehrere Schritte zugleich – in unterschiedliche Richtungen, wie sich nun herausstellt. Die EU-Kommission empfiehlt ihren Beschäftigten seit kurzem die Verwendung von Signal, wie wir berichteten.
EU-Diplomaten rund um die Welt verwenden bereits seit einigen Monaten eine eigene Messenger-App für den Austausch von vertraulichen Informationen. Das sagte eine Sprecherin des Europäischen Auswärtigen Dienstes, Virginie Battu-Henriksson, auf Anfrage von netzpolitik.org.
Der Europäische Auswärtige Dienst (EAD) ist so etwas wie das „Außenministerium der EU“. Diplomatinnen und Diplomaten des Dienstes vertreten die EU an zahlreichen Orten auf der Welt, darunter in Konfliktgebieten wie Afghanistan.
Beschäftigte der EU-Institutionen verwenden bisher vielfach WhatsApp für die interne Kommunikation. Datenschutzbedenken und Spionageängste sorgen allerdings für ein langsames Umdenken. Die EU-Kommission empfiehlt ihrem Personal seit kurzem die App Signal, die von Überwachungsgegnern wie dem NSA-Whistleblower Edward Snowden empfohlen wird.
Einsatz seit September 2019
Der Auswärtige Dienst verfolgt eine andere Politik. „Der EAD hat seine Beschäftigten nicht angewiesen, Signal zu verwenden“, schrieb Sprecherin Battu-Henriksson auf unsere Anfrage. Stattdessen weise der Dienst sein Personal an, eine eigene App für den Austausch „sensibler und vertraulicher Information“ zwischen den Institutionen und untereinander zu verwenden.
Der Auswärtige Dienst der EU möchte so wenig wie möglich über die Anwendung verraten. „Wir möchten interne Sicherheitsmerkmale nicht kommentieren“, sagte die Sprecherin. Sie sagte lediglich, dass das „neue, sichere Messaging-System“ seit September 2019 eingesetzt wird.
Unklar bleibt etwa, ob der Nachrichtenaustausch darüber Ende-zu-Ende-verschlüsselt ist, wie das bei WhatsApp und Signal der Fall ist. In dem Fall könnte der EAD selbst nicht über den Server auf Nachrichteninhalte zugreifen. Offen ist auch, woher die Technologie für die neue Lösung stammt, ob sie auf Open Source setzt und ob sie einem Sicherheitsaudit unterzogen wurde.
Unbeantwortet blieben außerdem unsere Fragen zum Datenschutz. Der Datenschutzbeauftragte des EAD reagierte nicht auf unsere Anfrage, ob die Institution eine Datenschutz-Folgeabschätzung für die Messaging-App durchgeführt habe. Eine solche Folgeschutzabschätzung ist dann notwendig, wenn eine EU-Institution besonders sensible persönliche Daten verarbeitet.
Security by obscure app?
Guten Appity!
Es ist ja gut, dass sie keine Fremdsoftware einsetzen, aber ehrlich gesagt traue ich ihnen die Entwicklung einer modernen, sicherheitsorientierten App nicht zu. Wir haben zu oft erlebt, dass Behörden technische Entwicklungen nicht richtig einschätzen können, weil vor Ort einfach nicht die Kompetenz vorhanden ist. Dann werden zentrale Kompetenzen an Beratungen ausgelagert, was die Sache oft noch schlimmer macht.
Im Grunde sollte ab einem bestimmten Geheimhaltungslevel nicht einmal mit FremdGERÄTEN gearbeitet werden.
Es ist eine unbequeme, aber einfache Maßregel: wenn es geheim bleiben soll, NICHT TECHNISCH KOMMUNIZIEREN.
Keine Sorge… Es haben sich schon Leute vor dir Gedanken um den Schutzbedarf geheim eingestufter Daten gemacht.
Es geht hier um niedere eingestufte Daten. Wenn geheim eingestufte Daten über einen messenger verschickt werden ist schon vorher einiges schief gegangen und nicht die Wahl des messengers ist das Problem ;)
Spekulation, Jabber/XMPP oder Matrix/Riot (noch etwas Beta) Server in Eigenregie?
Wäre kein Hexenwerk.