Der Digital Markets Act (DMA) erfordert von besonders großen Konzernen – den Torwächtern – dass ihre Messenger interoperabel werden. Das heißt, dass sich beispielsweise der Platzhirsch WhatsApp öffnen muss. Es soll dann möglich sein, über andere Messenger mit WhatsApp-Usern zu kommunizieren.
Dick Brouwer, technischer Direktor bei WhatsApp, hat bei Wired nun durchblicken lassen, wie diese Änderungen technisch umgesetzt werden sollen. Weitere Details sollen aber erst im März veröffentlicht werden, das Feature selbst soll dann in den kommenden Monaten ausgerollt werden.
Die Verlagerung in Richtung Interoperabilität bei WhatsApp betrifft nicht Gruppenchats, sondern zunächst Textnachrichten, Bilder, Sprachnachrichten, Videos und Dateien zwischen zwei Nutzenden. Grundsätzlich soll das System Opt-In werden: Das heißt, dass sich Nutzer:innen von WhatsApp bewusst zur Interaktion mit anderen Messengern entscheiden müssen. Zudem sollen die Nachrichten in einer eigenen Mailbox innerhalb der App angezeigt werden, um klarzumachen, dass die Kommunikation „nach außen“ geht.
WhatsApp will bei Signal-Protokoll bleiben
Wenn ein anderer Messenger mit WhatsApp interoperabel werden möchte, soll dieser laut Brouwer eine Vereinbarung mit WhatsApp unterzeichnen. WhatsApp wünscht sich, dass die Messenger das Signal-Protokoll nutzen, das nicht nur von WhatsApp und Signal, sondern auch von Google und Skype genutzt wird. Um Nachrichten zu senden, müssen Drittanbieter-Apps Inhalte mit dem Signal-Protokoll verschlüsseln. Für den Empfang von Nachrichten müssen die Apps zudem eine Verbindung zu den Servern von WhatsApp herstellen. Meta will aber auch die Nutzung anderer Protokolle erlauben, wenn diese „die Sicherheitsstandards erreichen, die WhatsApp in seinem Leitfaden“ einfordert.
Ein solches Protokoll wäre Messaging Layer Security (MLS). Der Standard ermöglicht verschlüsselte Gruppenchats mit tausenden Teilnehmenden und mehr Sicherheit auch bei kompromittierten Mitgliedern. Gut fünf Jahre haben Expert:innen an dem Protokoll gearbeitet und dabei eine Art „Bauanleitung für plattformübergreifende Chats“ geschaffen.
Arbeit an anderen Messenger-Standards
Raphael Robert vom Unternehmen Phoenix R&D, das an der Entwicklung von MLS beteiligt war, hat Verständnis dafür, dass WhatsApp erstmal beim Signal-Protokoll bleibt. Es brauche Zeit, Systeme dieser Größenordnung umzustellen und WhatsApp sei wegen des DMA unter Zugzwang gewesen. Dennoch sieht er das Signal-Protokoll kritisch, da „es nie eine vollständige Spezifikation gab, die es anderen ermöglicht, das Protokoll sicher nachzuimplementieren“.
Bei der IETF, die für Internetstandards zuständig ist, wird seit 2022 in der sogenannten MIMI-Arbeitsgruppe an einem neuen Satz von Protokollen für Private Messaging gearbeitet, die auf der Grundlage von MLS arbeiten sollen. Bei MIMI beteiligen sich unter anderem Google, Cisco, Mozilla, Wire und Matrix.
Ein Wurmloch voller Probleme
Auch wenn Interoperabilität bei Messengern in Sachen Nutzbarkeit grundsätzlich wünschenswert ist, gibt es auch Bedenken. Anbieter wie Signal und Threema haben in der Vergangenheit gewarnt, dass der Nachrichtenaustausch über Plattformgrenzen ein Sicherheitsrisiko sei. Nutzende müssen sich dabei auf die Integrität und Sicherheit anderer Messenger verlassen. Zudem könnten Konzerne wie Meta Zugang zu noch mehr Daten erhalten. Deswegen ist es zentral für Datenschutz und IT-Sicherheit, wie genau die Interoperabilität zwischen Messengern technisch umgesetzt wird.
Probleme sind auch unterschiedliche Levels an Anonymität. Während WhatsApp und Signal Telefonnummern als Identifizierungsmerkmal nutzen, ist Threema davon unabhängig. Bei einer Interoperabilität könnten Threema-Nutzer beispielsweise de-anonymisiert werden, fürchtet eine Threema-Sprecherin gegenüber Wired. Weitere Probleme könnte es auch mit Spam geben, der erst durch die Interoperabilität Zugang zu den Messengern findet.
Die Schwierigkeiten der Interoperabilität sieht auch Brouwer. Gegenüber Wired sagt er: „Wir glauben nicht, dass sich Interop-Chats und WhatsApp-Chats im gleichen Tempo weiterentwickeln können.“ Es sei schwieriger, ein offenes Netzwerk im Vergleich zu einem geschlossenen Netzwerk weiterzuentwickeln. „In dem Moment, in dem man etwas anderes macht als das, von dem wir wissen, dass es wirklich gut funktioniert, öffnet man ein Wurmloch aus Sicherheits- und Datenschutzproblemen. Die Komplexität wird immer viel größer sein als man denkt.“
Update 17:25 Uhr:
Die Signal Foundation hat auf eine Presseanfrage von netzpolitik.org nun ein Statement von Meredith Whitaker nachgereicht. In diesem heißt es, dass der Messenger Signal sich derzeit nicht für Interoperabilität zu WhatsApp öffnen werde und dies nicht zur Debatte stehe. „Derzeit würde eine Zusammenarbeit mit Facebook Messenger, iMessage, WhatsApp oder sogar mit einem Matrix-Man-in-the-Middle-Routing-Dienst eine Verschlechterung unserer Datenschutzverpflichtungen bedeuten“, so Whittaker. Eine Zusammenarbeit mit diesen Apps berge das Risiko, dass diese Zugang zu Daten erhalten, die dann in einer Weise verwendet oder verkauft werden könnten, die nicht mit der Mission von Signal übereinstimmten, so Whittaker weiter.
> … öffnet man ein Wurmloch aus Sicherheits- und Datenschutzproblemen.
Sogenannte „bridges“ zwischen unterschiedlichen Protokollen sind in der Tat ein Alptraum was die Sicherheit betrifft. Metadaten sind ein großes Problem.
Wer sich https://en.wikipedia.org/wiki/Messaging_Layer_Security ansieht, erkennt schnell, dass VLOPs damit ihren Verpflichtungen gegenüber Behörden und Diensten nicht mehr in gewohnter Weise nachkommen können. MLS ist state of the art u.a. mit forward secrecy, post-compromise security.
Es gibt ernstzunehmende Vorbehalte gegen Signal, z.B. hier:
https://digitalcourage.de/digitale-selbstverteidigung/messenger
Warum wurde in den Regeln der EU die Interoperabilität von Messengern gefordert und nicht offene APIs auf der Serverseite der Messageing-Dienste?
Dann hätte es eine Möglichkeit gegeben, datenschutzfreundlichere Open-Source-Clients für die Dienste zu verwenden.