Interoperabilität von MessengernHolpriger Aufbruch von der Insel

Schon im Juni sollen Messenger in der EU miteinander reden können. Doch rund zwei Monate vor dem geplanten Start sind noch immer zahlreiche Probleme ungelöst, was zu einer Verschiebung führen könnte. Aber auch dann bleibt eine entscheidende Frage weiterhin offen.

Gängige Messenger sind bislang geschlossene Insellösungen. Das will ein neues EU-Gesetz ändern. – Alle Rechte vorbehalten IMAGO / ABACAPRESS

Eigentlich sollen in der EU bald Messenger miteinander reden können. Doch der ambitionierte Plan der EU schrumpft zusehends und könnte sich sogar noch weiter verzögern. Ob tatsächlich pünktlich zum 7. Juni zumindest Nutzer:innen von WhatsApp mit jenen anderer Dienste kommunizieren können, scheint zunehmend fraglich.

Die sogenannte Interoperabilität von Messengern ist Teil des Digital Markets Act (DMA), der vor knapp zwei Jahren beschlossen wurde. Indes gilt die Verpflichtung zur Öffnung nicht für alle Anbieter, sondern nur für die ganz großen. Erklärtes Ziel ist es, ihre Marktmacht und damit verbundene Netzwerkeffekte abzumildern. Beispielsweise hat WhatsApp in vielen EU-Ländern einen Marktanteil von rund 90 Prozent. Wer etwa an WhatsApp-Gruppen in der Schule oder am Arbeitsplatz teilnehmen will, muss sich die App wohl oder übel installieren – was zugleich die Verbreitung des Messengers nur weiter steigert.

Übrig geblieben ist davon bislang aber nur wenig. Außer zwei Dienste von Meta, WhatsApp und Facebook Messenger, hat die EU-Kommission keinen weiteren Anbieter als sogenannten Messenger-Gatekeeper eingestuft und damit zur Öffnung verpflichtet. Auch von der anderen Seite aus hält sich das Interesse an der Zusammenschaltung in Grenzen, schließlich gilt der Zwang nur für die dominanten Dienste. Abgewunken haben bereits kleinere Anbieter wie Signal oder Threema. Sie erwarten für sich und ihre Nutzer:innen mehr Nach- als Vorteile, etwa Probleme beim Datenschutz oder eine Beschädigung ihres Geschäftsmodells.

Matrix will Nachrichten austauschen

Gänzlich verpufft ist das Vorhaben freilich nicht. Mit Matrix hat mindestens ein Anbieter öffentlich angekündigt, Nachrichten mit WhatsApp austauschen zu wollen. Ob sich noch weitere Anbieter darauf vorbereiten, bleibt derzeit unklar: Es gibt keine offizielle, öffentlich einsehbare Liste von Interessenten und auch keine Pflicht dazu. Auf Anfrage wollten oder konnten sich weder Meta noch die EU-Kommission dazu äußern, Meta verweist lediglich auf einen allgemein gehaltenen Blog-Beitrag.

Fest steht jedenfalls, dass Meta Anfang März die technischen Spezifikationen vorstellen musste, mit denen sich Interoperabilität herstellen lassen soll. Auf deren Basis können Drittanbieter von Meta verlangen, innerhalb von drei Monaten ihre Dienste zusammenzuschalten. Vorerst tickt die Uhr nur für WhatsApp – für den Facebook-Messenger hat Meta im Januar um Aufschub gebeten, die Kommission prüft den Antrag derzeit noch.

Doch so umfangreich die Papiere von Meta auch sein mögen – sie erschlagen bei weitem nicht alle Details, die ein derart komplexes Unterfangen mit sich bringt. Und das, obwohl im ersten Schritt ohnehin nur der verhältnismäßig einfache Austausch von etwa Textnachrichten zur Pflicht für WhatsApp wird. Aufwändigere Funktionen wie Ende-zu-Ende-Videoanrufe sollen erst in den kommenden Jahren folgen.

Regulierer decken Baustellen auf

Einen Einblick in die zahlreichen offenen Punkte gewährt ein kürzlich veröffentlichtes Papier europäischer Regulierungsbehörden (BEREC), die sich den Entwurf des Referenzangebotes von Meta genauer angesehen haben. Unklar bleibt demnach unter anderem, wie sich Nutzer:innen über Messenger-Grenzen hinweg überhaupt finden und ihre Identität bestätigen können; wie die Bedienoberflächen aussehen sollen; ob sich mehrere Geräte eines Accounts für Interoperabilität nutzen lassen können; was genau bei Störungen oder Ausfällen passiert; oder auf welcher Rechtsgrundlage etwaige Datenverarbeitung durch Meta durchgeführt wird. Zu viel Handlungsspielraum soll sich Meta zudem bei der (Nicht-)Aktivierung oder Suspendierung von Interessenten einräumen, so der Bericht.

Viele der Punkte sind alles andere als trivial und dürften nicht einfach zu lösen sein, während die Umsetzungsfrist mit Riesenschritten naht. Über den aktuellen Stand hüllen sich derweil alle Beteiligten in Schweigen – wobei sich einem Blog-Beitrag von Matrix immerhin entnehmen lässt, dass erste Tests über das Signal-Protokoll erfolgreich verlaufen seien, auch wenn sich der Anbieter langfristig eine andere technische Basis wünscht. Auf Presseanfragen reagierte das Unternehmen nicht. Die Kommission gab gegenüber netzpolitik.org lediglich zu Protokoll, im Falle des Falles „zügig formelle Maßnahmen zur Durchsetzung ergreifen“ zu wollen.

Gespräche auf Hochtouren

Zugleich ist unter der Hand zu vernehmen, dass es regen bilateralen Austausch unter den Anbietern geben soll, in dem ausstehende Punkte konstruktiv geklärt würden. Und erst in der vergangenen Woche fand ein von der Kommission organisierter DMA-Workshop statt, bei dem auch die Interoperabilität von WhatsApp auf der Tagesordnung stand.

Der Prozess ist augenscheinlich sehr dynamisch, wenn nicht chaotisch: So untersucht die Kommission etwa noch, ob der Compliance Report von Meta aus dem März „effektiv dabei hilft, die Ziele des DMA zu erreichen“, sagt ein Kommissionssprecher. In die Bewertung sollen eben auch die Ergebnisse aus dem jüngsten Workshop einfließen, ebenso wie denkbare Eingaben von Drittanbietern. Gut möglich, dass danach noch BEREC eine Schleife zieht – und irgendwann im Sommer der Nachrichtenaustausch zwischen den zwei Anbietern tatsächlich funktionieren wird.

Frühestens dann wird sich erst die letztlich entscheidende Frage allmählich beantworten lassen: Hat sich der ganze Aufwand überhaupt gelohnt?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Hm… Aber wenn ich dann einen sicheren Messenger wie Signal oder Matrix verwende das gegenüber aber WhatsAPP wo dann alles in der Cloud landet. Würde das nicht u.a zu mehr Unsicherheit führen ? Also wenn ich mit OpenSource chatte dann aber die daten beim anderen Ende in einem proprietären Dienst landen ?

    1. Genau, das ist einer der problematischen (und immer noch nicht restlos geklärten) Punkte. Grundsätzlich wird – oder sollte – es keinen Automatismus geben, Matrix/Element oder wer auch immer wird jetzt nicht einfach so ohne ausdrückliche Einwilligung Daten übertragen, das wäre fahrlässig und wohl auch illegal. Signal zählt zu einem der Dienste, die u.a. aus diesem Grund bis auf Weiteres nicht mitmachen werden.

      1. „Signal zählt zu einem der Dienste, die u.a. aus diesem Grund bis auf Weiteres nicht mitmachen werden.“
        Und das ist sehr gut so!!!
        (Nächste Spende an Signal wird gestartet)

    2. Wenn die Adressierung sauber über sowas wie „UserID@dienst.server“ geregelt würde, könnte man blacklists und whitelists auf Dienste im client implementieren.

      Nur hat Meta da natürlich kein Eigeninteresse. Und es hilft nichts gegen Nachrichten, die von Meta-Benutzern gesendet werden, von deren Adressbuch-Uploads zu schweigen.

  2. „Abgewunken haben bereits kleinere Anbieter wie Signal oder Threema. Sie erwarten für sich und ihre Nutzer:innen mehr Nach- als Vorteile, etwa Probleme beim Datenschutz oder eine Beschädigung ihres Geschäftsmodells.“

    Exactly, ich meine wie bescheuert muss man als EU wieder sein? Ich dachte die seien selbst vor längerem auf Signal umgestiegen, eben aufgrund des Misstrauens in Facebook, Meta whatever.
    Dann jetzt aber zu erwarten, dass dieser Konzern die Hintertüren, bzw. „Nachhausefunk“ von denen man einfach ausgehen muss die er hat aufgrund seines Geschäftsmodelles, nicht nutzt und die Kommunikation von eben Signal oder Anderen nicht korrompiert wird, ist doch schlicht nicht vertretbar.

    1. Wie im Artikel beschrieben gilt die Interoperabilitätsverpflichtung nur für marktdominante Anbieter, konkret nur für zwei. Niemand nimmt dir dein Signal weg, wie du selbst quotest, oder zwingt kleinere Anbieter zur Kooperation mit Meta. Die können das selbst abwägen und entscheiden.

      1. Danke, ich denke ich hatte das schon ganz gut erfasst, lagen dem Kommentar doch jene Erwägungen zugrunde die auch „Der Frage Pirat“ und Du in deiner Antwort erwogen, wenn auch zu dem Zeitpunkt meiner Ergänzung noch nicht sichtbar.

        „Niemand nimmt dir dein Signal weg,[…]“
        Eben in gewisser Weise doch, denn ich sah und sehe nicht wie man die Dominanz von WhatsApp brechen will, wenn eben kleinere Anbieter, gerade solche die auf demselben Prinzip basierten bis gerade und die Nummer als Primärschlüssel nutzten, die Kooperation verweigern. Dann bliebe die Insel ja ohne Eurotunnel, gewissermaßen.
        Und natürlich funktioniert es so dass Menschen kommunizieren wollen, der Druck eben dann steigen wird und dann hast du auf einmal eine lex specialis die eben die von Dir angesprochenen Punkte wie Einwilligung und Nutzerdatenübertragungen zwischen den Diensten legalisiert.

        Dann hab ich/hast Du zwar auf einmal eine SigAPP Chatmöglichkeit mit deinen Kontakten die bisher nur WA nutzten aber der selbstgewählte positive Effekt an WA nicht teilzunehmen wäre zwangsweise verloren.
        Signal müsste dann, wenn sie sich nicht aus der kompletten EU zurück zögen, wie beim Überwachunsgesetz in UK angekündigt, mindestens Apple spielen und die Nachrichten mit neongrün umranden als Warnung sich nicht auf die Sicherheit der Verbindung bzw. Integrität des Chats zu verlassen.
        Was ja aber generell eine gute Idee ist.

        1. > Signal müsste dann, wenn sie sich nicht aus der kompletten EU zurück zögen, wie beim Überwachunsgesetz in UK angekündigt…

          Eigentlich müsste sich Signal aus den USA zurückziehen wegen Clarifying Lawful Overseas Use of Data Act bzw. CLOUD Act (H.R. 4943). Das wird bei Signal immer wieder gerne vergessen.
          Wer gerne weiterdenken möchte, der frage sich, warum Signal in den USA so nützlich ist, und nichts über seine Finanzierung sagen will.

  3. Will man die Interoperabilität in der EU nicht nur dafür, weil Strafverfolgungsbehörden und Geheimdienste auf eine Erleichterung der Überwachung hoffen weil man dann weniger 0-Days etc. braucht?

    1. Nein. Zum einen darf Interoperabilität ausdrücklich nicht zu einer Verschlechterung der bisherigen Sicherheit eines Dienstes führen, etwa zu Einbußen bei der E2E-Verschlüsselung. Zum anderen entstehen dabei nicht notwendigerweise mehr Metadaten, die sich ggf. für mehr Überwachung nutzen ließen – wobei das aber auf die genaue Ausgestaltung ankommt.

      So oder so sollten Ermittlungsbehörden jetzt schon genug Daten haben, dazu braucht es keine kruden Konstrukte über vier Ecken. Die Dominanz einzelner Player und Netzwerkeffekte sind legitime und echte Probleme, und die versucht der Ansatz zu lösen.

      1. > Zum einen darf Interoperabilität ausdrücklich nicht zu einer Verschlechterung der bisherigen Sicherheit eines Dienstes führen, etwa zu Einbußen bei der E2E-Verschlüsselung.

        Papier ist bekanntlich geduldig.

        > Zum anderen entstehen dabei nicht notwendigerweise mehr Metadaten, die sich ggf. für mehr Überwachung nutzen ließen – wobei das aber auf die genaue Ausgestaltung ankommt.

        Mein Gedanke in dem Punkt war, ob die Interoperabilität in Kombination mit einer Sicherheitslücke bei einem Anbieter dazu führen könnte, dass das Aufknacken von und Mitschnüffeln bei anderen Anbietern leichter wird.

        > So oder so sollten Ermittlungsbehörden jetzt schon genug Daten haben, dazu braucht es keine kruden Konstrukte über vier Ecken.

        Wo ein Trog ist, da sammeln sich die Schweine und aus Sicht der Schweine kann es nie genug Tröge geben.

        > Die Dominanz einzelner Player und Netzwerkeffekte sind legitime und echte Probleme, und die versucht der Ansatz zu lösen.

        Ich leugne nicht, dass das echte Probleme sind und möglicherweise bin ich ein bisschen durch Jean-Claude Juncker („Wenn es ernst wird, muss man lügen.“) und die Snowden-Enthüllungen „geschädigt“, aber bei der Chatkontrolle sehe ich, dass es vorgeblich um den Schutz von Kindern und Jugendlichen geht und man in Wahrheit auch „nur“ schnüffeln und sammeln will.

    2. Ob eine Vergrößerung der Angriffsfläche entsteht, bleibt abzuwarten. Letztlich kann ein toxischer Standard vieles verkomplizieren, was die Implementierung fehlerhaft macht, oder es sind bereits im Standard Schwachstellen enthalten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.