Messaging und Gruppen-ChatsWie die IETF Sicherheit für Milliarden Menschen schafft

Wie können Gruppen-Chats massentauglich sein und zugleich höchsten Sicherheitseigenschaften genügen? Wie lässt sich technisch absichern, dass niemand Drittes mitlesen kann? Darüber sprechen wir mit Raphael Robert, der sich in der IETF dafür engagiert, Messenger sicherer zu machen. Er und seine Mitstreiter haben dafür das Protokoll Messaging Layer Security (MLS) entworfen.

Wie sich eine KI vorstellt, dass wir Messenger benutzen (Diffusion Bee)
Wie sich eine KI vorstellt, dass wir Messenger auf Smartphones benutzen (Diffusion Bee)

Der Podcast „Dicke Bretter“ erklärt, wie Gesetzgebungen, Regulierungen und Standards zustandekommen, wie die Diskussionen und die Willensbildung in solchen Zusammenhängen verlaufen und welche Institutionen daran mitwirken. Diesmal geht es um Protokolle und technische Standards, konkret den Standard Messaging Layer Security (MLS). Er hat das Ziel, Ende-zu-Ende-Verschlüsselung bei Messengern und in Gruppen-Chats flächendeckend zu ermöglichen.

Das MLS-Protokoll, das im Juli als RFC 9420 veröffentlicht wurde, ist ein neuer Standard der Internet Engineering Task Force (IETF) für verschlüsselte Nachrichten zwischen zwei oder mehr Menschen. Es ist das bislang erste frei zugängliche und vollständig spezifizierte Ende-zu-Ende-Verschlüsselungsprotokoll für Gruppen-Chats und Messaging, also auch für die beliebten Nachrichten-Apps, die auf den meisten Smartphones weltweit im Einsatz sind. MLS soll ganz praktisch vor Abhören, Nachrichtenmanipulationen und -fälschungen schützen und sogar Schutz bieten für den Fall vergangener oder zukünftiger Gerätekompromittierungen.

Raphael Robert
Raphael Robert

Zusammen mit dem Chaosradio des Chaos Computer Clubs bringen wir den Podcast „Dicke Bretter“ in gekürzter schriftlicher Form: ein Gespräch zwischen Elisa Lindinger, Constanze Kurz und Raphael Robert über den Standard MLS, die Running-Code-Arbeitsgruppen der IETF und deren Tragweite und Relevanz für immerhin Milliarden Menschen. Diese ergibt sich bereits aus der öffentlichen Unterstützung von Google und weiteren großen Anbietern und Organisationen für das MLS-Protokoll.

Raphael Robert leitet Phoenix R&D, ein Berliner Technologieunternehmen mit Fokus auf sicheres Messaging und dem Ziel, Ende-zu-Ende-Verschlüsselung zugänglicher zu machen. Raphael ist seit über einem Jahrzehnt im Bereich des sicheren Messagings tätig und war Head of Security beim Messenger Wire. Er ist Co-Autor und Co-Initiator des MLS-Protokolls und hat die MLS-Implementierung OpenMLS ins Leben gerufen.

Potentiell Milliarden Menschen betroffen

Constanze Kurz: Wir sprechen heute mit Raphael Robert über eine Institution und einen bestimmten technischen Standard. Wir wollen etwas darüber lernen: Wie entsteht ein technischer Standard eigentlich? Warum engagiert man sich dafür, wie gerät man da rein?

Der Standard, an dem du mitwirkst, betrifft potentiell Milliarden Menschen und hat auch eine gewisse politische Relevanz. Aber am Anfang wollen wir kurz über deinen Hintergrund sprechen. Was machst du beruflich?

Raphael Robert: Ich bin beruflich eigentlich genau da beheimatet, worüber wir heute sprechen wollen: sicheres Messaging und die Wahrung der Privatsphäre. Ich war früher viele Jahre lang für die Sicherheit zuständig bei dem Messenger Wire. Seit etwas über zwei Jahren leite ich Phoenix R&D. Wir haben uns der Forschung und Entwicklung im Bereich sicheres Messaging verschrieben, insbesondere bei den Themen Ende-zu-Ende-Verschlüsselung und Minimierung von Metadaten.

Constanze Kurz: Genau über Messenger wollen wir heute auch reden. Wie bist du dazu gekommen, dich mit Standards und wie sie zustandekommen zu beschäftigen? Wie wurdest du zu einem der Autoren eines solchen Standards?

Raphael Robert: In Teilen war es sicherlich Zufall. Im Messaging-Bereich stellte sich die Frage: Brauchen wir nicht einen Standard, um Ende-zu-Ende-Verschlüsselung zu ermöglichen?

Constanze Kurz: Aber es gibt ja bereits Messenger, die Ende zu Ende verschlüsseln?

Raphael Robert: Genau, diese Messenger gab es und die Technologie gab es auch, in Teilen zumindest. Es gab aber keinen Standard. Das haben einige Leute so gesehen, die dann circa 2016 angefangen haben, darüber zu sprechen, nach Lösungen zu schauen und auch zu verstehen: Was sind eigentlich die Probleme, die wir lösen wollen? Ist das, was wir jetzt haben, schon gut genug? Zu dem Zeitpunkt gab es verschiedene Protokolle: Das, was man heute als das Signal-Protokoll kennt, oder das Off-the-Record-Protokoll.

Constanze Kurz: … Off The Record war sogar ziemlich breit benutzt, zumindest erinnere mich daran …

Raphael Robert: … genau. In manchen Kreisen wurde das sehr stark benutzt …

Elisa Lindinger: … in der Jabber-Fraktion war das.

Raphael Robert: Das hat aber nie diese Massentauglichkeit erreicht. Der Grund dafür war eigentlich ganz einfach: Das war zwar ein exzellentes Protokoll, hatte sehr viele moderne Sicherheitseigenschaften. Es hatte aber einen gravierenden Nachteil: Es war für eine Art der Kommunikation gebaut, wie man sie damals von Skype kannte. Da mussten beide Seiten gleichzeitig online sein, damit eine Nachricht überhaupt durchging. Es ging also nicht, dass eine Seite, die eine Nachricht verschickt hat, offline gegangen ist und dann sehr viel später die andere Seite online gegangen ist. Es war also nicht dafür gemacht, was man heute unter dem Begriff asynchrones Messaging kennt.

Erst zwischen Desktop-Computern, dann zwischen Smartphones

Constanze Kurz: Um das Jahr 2016 herum explodierten die Nutzerzahlen bei den verschiedenen Messaging-Anbietern.

Raphael Robert: Genau. In den Jahren davor gab es eine Art Transition beim Messaging, was eigentlich zwischen Desktop-Computern stattfand, aber auf einmal auf Smartphones stattfinden konnte. Zunächst war das Internet auf Smartphones nicht besonders gut, es gab auch keine Apps auf den Smartphones, die durchgängig verfügbar waren. Dann hat sich eine völlig neue Art von asynchronem Messaging etabliert, als Ersatz für das, was man eigentlich von der SMS kannte. Es war auch deswegen so erfolgreich, weil es meistens kostenlos war oder deutlich günstiger als eine SMS.

Constanze Kurz: Du hast die Defizite der damals verwendeten Protokolle schon teilweise angesprochen. Welche weiteren gab es?

Raphael Robert: Bei dem Off-The-Record-Protokoll war das Defizit im Wesentlichen die Tatsache, dass man asynchrones Messaging auf Smartphones damit nicht machen konnte. Das Signal-Protokoll hat das aufgegriffen und daraus eine asynchrone Version gemacht, die deutlich geeigneter für Smartphones war. Das ist eigentlich schon das Ende der Geschichte: Das ist, was das Protokoll so populär gemacht hat, weil das auf einmal überall eingesetzt werden konnte – in Signal selbst, aber es wurde auch von anderen verwendet.

Es gab noch andere Protokolle, die aber nie so populär geworden sind, zum Beispiel wickr. Den zugehörigen Messenger gibt es theoretisch immer noch, aber sie wollen ihn nicht weiterbetreiben für Verbraucher. Das ist ein US-amerikanischer Anbieter, wurde aufgekauft von Amazon vor ungefähr zwei Jahren. Die hatten ein eigenes Protokoll, das auch sehr gut war, aber nie sehr weite Verbreitung gefunden hat.

Constanze Kurz: Wie bist du da hingeraten?

Raphael Robert: Ich war im Messaging-Bereich unterwegs, weil ich bei Wire gearbeitet habe. Es kamen mehrere Leute zusammen, auch aus der Forschung, die über ein Konzept namens ART (Asynchronous Ratcheting Trees) nachdachten. Das war ein Vorschlag, wie man Ende-zu-Ende-Verschlüsselung in größeren Gruppen sehr viel effizienter machen kann. Ende-zu-Ende-Verschlüsselung ging immer mit einem gewissen Aufwand einher, gerade was Gruppenkommunikation angeht, da man typischerweise für jeden Teilnehmer in der Gruppe individuell noch mal die Nachrichten verschlüsseln musste. Im neuen Konzept war das nicht mehr der Fall, und trotzdem war die Sicherheit gut.

Das war so ein bisschen der Auslöser. Das ist letztlich nicht das, was im technischen Standard gelandet ist. Aber das hat die Debatte aus akademischer Sicht losgetreten.

Elisa Lindinger: Was hat dann dazu geführt, Ideen wirklich in einer Standardisierung einzubringen? Saßt ihr zusammen und habt gedacht, das machen wir jetzt einfach mal?

Raphael Robert: Ich glaube, der Auslöser war letztlich, dass der damalige technologische De-facto-Standard, also das Signal-Protokoll, nicht wirklich verfügbar war. Es gab keine vollständige Spezifizierung davon. Das heißt: Man konnte kein Dokument lesen und das nachimplementieren. Ferner gab es auch keine Implementierung unter einer permissiven Lizenz. Das heißt: Wer das verwenden wollte, musste das kommerziell von Signal lizenzieren. Die großen Firmen haben das auch gemacht: Facebook, Skype, Google.

Keine Ausreden!

Eine sehr offene Organisation

Constanze Kurz: Die IETF ist die Institution, wo der Standard entsteht. Warum dort?

Elisa Lindinger: IETF ist die englische Abkürzung für Internet Engineering Task Force.

Raphael Robert: Das ist eine Standardisierungsorganisation, die es schon seit einer ganzen Weile gibt. Es ging in den 1980er um das Internet: Wenn man Netzwerke zusammenschließt, muss man sich auf Standards einigen. Da kann nicht jeder sein eigenes Süppchen kochen. Also muss man sich zusammenschließen und einen Konsens erreichen. Das hat in den Jahrzehnten danach Fahrt aufgenommen, genau wie das Internet. Die IETF ist eine Organisation, die in gewissen Bereichen Standards setzen will, nämlich im offenen Internet.

Die IETF hat den großen Vorteil, dass es – zumindest theoretisch – eine sehr offene Organisation ist, wo man als Individuum mitmacht und zum Beispiel nicht als Vertreter einer Firma.

Constanze Kurz: Und du bist bei der IETF auch nicht angestellt, sondern das ist eine Form von Engagement.

Raphael Robert: Das eine gute Wortwahl. Es wird sehr viel aus einer inneren Überzeugung gemacht, die Leute machen tatsächlich viel in ihrer Freizeit. Es sind oftmals Leute – aber eben nicht nur –, die bei großen Firmen arbeiten. Sie unterstützen das zu einem gewissen Grad auch, indem sie ihren Mitarbeitern ermöglichen, da hinreisen zu können, ihre Reisekosten tragen und erlauben, in ihrer Arbeitszeit daran mitzuwirken. Aber selbst bei den Angestellten sehr großer Firmen, die sich das locker leisten können, ist es trotzdem so, dass die Leute in ihrer Freizeit mitmachen, weil sie es mehr aus diesem Engagement heraus und weniger als Job sehen.

Constanze Kurz: Bist du, da du nicht zu einem Riesenkonzern gehörst, eher die Ausnahme? Von den sechs Autoren des Standards gehört die Mehrzahl ja zu großen Konzernen.

Raphael Robert: Mittlerweile ja. Als es anfing, waren noch einige Mitwirkende bei Forschungseinrichtungen und Universitäten und sind später zu den Konzernen gewechselt, konkret zwei davon. Aber es gibt auch andere Arbeitsgruppen, wo auch beispielsweise Studierende mitmachen können. Es ist nicht so, dass man eine sogenannte Affiliation haben muss, also eine Zugehörigkeit zu einer Firma. Man kann auch persönlich hingehen und mitmachen, sofern man irgendeine Kompetenz vorzuweisen hat, die passt.

Elisa Lindinger: Ich war auch schon mal beteiligt. Wenn die Reisemittel und die Kosten für die Teilnahme vorhanden sind, steht das erst mal allen offen. Auch eine Online-Teilnahme war schon vor der Pandemie quasi vorgesehen. Das hat sich, soweit ich das gesehen habe, in der Pandemie nochmal verstetigt und wurde ausgebaut, was die Zugangshürden auch nochmal abbaut. Insofern ist das ein besonders offenes Umfeld.

Constanze Kurz: Können sich auch Leute beteiligen, die von anderen Kontinenten kommen, die lange Reisewege hätten?

Raphael Robert: Das ist natürlich eine ständige Diskussion, auch gerade jetzt für die Konferenzen, die abgehalten werden: Wo werden die abgehalten und wer kann dann kommen? Für wen ist das ein Problem?

Der Alltag einer IETF-Arbeitsgruppe

Constanze Kurz: Wie läuft das denn im Alltag in einer IETF-Arbeitsgruppe?

Raphael Robert: Die Arbeitsgruppen müssen natürlich erst mal zustandekommen. Es müssen sich genügend Leute zusammenfinden und ein Thema klar benennen und auch umreißen können. Dafür gibt es auch einen Prozess, denn es gibt für alles einen Prozess bei der IETF. Dieser Prozess nennt sich BoF, das ist die englische Abkürzung für „Birds of a Feather“. Das kommt aus dem Satz „Bird of a feather flock together“. Das heißt: Leute, die ähnliche Gedanken haben, die finden zueinander. Vielleicht könnte man sagen: Gleich und Gleich gesellt sich gern.

Die Idee dahinter ist bei der IETF, dass sich Gleichgesinnte zusammenfinden und dann diskutieren, welches Problem sie eigentlich bewältigen wollen und und wie. Dann gibt es ein wichtiges Dokument, bevor eine Arbeitsgruppe entsteht. Das nennt sich Charta. Da steht drin, worum es eigentlich geht, was dazugehört, welches Problem man bearbeiten will – und auch ganz konkret, was man nicht bearbeiten will.

Constanze Kurz: … als Problemaufriss würde ich es mal beschreiben. „Birds of a Feather“ begann für MLS im März 2018. Das ist auch öffentlich …

Raphael Robert: … sehr guter Punkt. Alles ist komplett öffentlich. Die Dokumente sind öffentlich, die Meetings werden in aller Öffentlichkeit abgehalten, Mailinglisten sind immer öffentlich. Und das ist das Schöne daran. Man kann das immer nachlesen und nachvollziehen, was diskutiert wurde, wie Entscheidungen getroffen wurden, und man kann auch jederzeit Einwände äußern.

Zurück zu dem Entstehungsprozess: Wenn ein Konsens darüber besteht, dass die Charta in Ordnung ist und das Problem relevant ist und es einer Liste an Kriterien entspricht, dann entsteht formal so eine Arbeitsgruppe. Ab dann kann man im Rahmen dieser Charta aktiv werden. Dreimal im Jahr trifft man sich, meistens in Nordamerika, Europa und Asien – wenn nicht gerade Pandemie ist. Und zwischendrin kann es noch kurzfristige Meetings geben, spezifisch für eine Arbeitsgruppe.

Was man unbedingt braucht, ist Konsens. Das ist ein ganz zentrales Element bei der IETF. Es gibt diesen Ausdruck: „Rough consensus and running code“. Das ist ein Ausschnitt aus so einem etwas längeren Credo. Da geht es darum, dass man nicht ein Wahlsystem hat, wo Mehrheiten darüber entscheiden, was gemacht wird, sondern wo man Konsens hinbekommt.

Constanze Kurz: Rausgekommen ganz am Ende ist ein sogenannter RFC (Request for Comments), also dem Namen nach die Aufforderung, bitte Kommentare abzugeben. Das war Mitte Juli …

Raphael Robert: Das ist ein guter Punkt. Denn der Name passt eigentlich nicht ganz dazu. Der RFC ist statisch und in dem Moment nach der mehrstufigen Begutachtung und sprachlichen Korrektur wirklich in Stein gemeißelt.

Die Tragweite von RFCs

Elisa Lindinger: RFCs haben eine tolle geschichtliche Dimension. Noch vor den ersten Treffen der Internet Engineering Task Force entstand der erste RFC. Er ist von 1969. Sie sind aufsteigend einfach durchnummeriert. Manche frühe RFCs sind heute nicht mehr dokumentiert. Wir können also nicht mehr richtig rekonstruieren, was da drinstand. Es ging anfangs auch darum, sich in diesen RFCs erst mal selber Regeln zu geben und sogar die sprachlichen Feinheiten dort abzustimmen. Es gibt RFCs, die Fachbegriffe definieren und genau abgrenzen: Was heißt eine bestimmte Begrifflichkeit, wenn sie verwendet wird, um sie klar und verständlich zu machen.

Es gibt auch dreistellige RFCs, die heute noch relevant sind, etwa die Standards für TCP oder UDP. Weißt du, welche Nummer ihr habt?

Raphael Robert: Wir haben 9420.

Constanze Kurz: Lass uns über die Tragweite sprechen: Nicht alle RFC hat sind von hoher Relevanz für Milliarden Menschen. Bei euch ist das anders. Warum ist der Inhalt dieses RFCs von so hoher Relevanz?

Raphael Robert: Es geht um Messenger, also ist das Zielpublikum meistens relativ groß und kann enorm skalieren. Wir wissen ja, wie groß Messenger werden können. Wenn man in so einem Messenger einen Teil der Technologie austauscht, dann betrifft das die ganze Nutzerbasis.

Es geht darum, Gruppen effizient bedienen zu können, also auch mit dutzenden Teilnehmern bis hin zu Hunderten vielleicht. Und warum ist das so wichtig? Der Grund dafür ist einfach der, dass die meisten Leute Messaging auf dem Smartphone verwenden. Das Smartphone hat nur eine Batterie und die geht schnell leer, wenn man es viel verwendet. Deswegen muss das Messaging dementsprechend effizient sein.

Der Status quo war einmal, dass man die Wahl hatte: Entweder wir machen es sehr sicher auch in Gruppen, aber dann geht es auf die Batterie und auf den Datenverbrauch, der Geld kosten kann, oder aber wir drehen die Sicherheit runter. Das war die Stellschraube, die man hatte.

Es ist effektiv, was zum Beispiel WhatsApp gemacht hat. Sie verwenden zwar das Signal-Protokoll für Eins-zu-Eins-Kommunikation, aber in Gruppen hat das einfach nicht mehr die gleichen Sicherheitseigenschaften. Das war kein toller Trade-Off.

Elisa Lindinger: Wir sprachen vorhin von „Rough consensus and running code“. Was ist denn mit dem Running Code? Den gibt es schon, richtig?

Raphael Robert: Ja, genau. Das ist auch eine formale Anforderung der IETF, dass es diesen Running Code geben muss. Das heißt, jemand hat was programmiert und das funktioniert auch halbwegs. Es muss nicht so fertig sein, dass man es jetzt in eine App gießen und an Endverbraucher weitergeben kann. Aber es muss erkennbar sein, dass es funktioniert.

Typischerweise schreiben den Code auch die Autoren. Es ist wichtig, den Code zu haben, um beweisen zu können, dass es funktioniert und dass es verschiedene Implementierungen gibt, die auch zueinander kompatibel sind.

Constanze Kurz: Ich hab zwei Implementierungen gesehen. Mit welcher hattest du zu tun?

Raphael Robert: Mit „OpenMLS“. Das ist eine Implementierung in Rust. Es gibt noch eine andere Implementierung, die wurde von Cisco geschrieben, die ist in C++ geschrieben. Beide sind unter einer permissiven Lizenz veröffentlicht.

Unter einer permissiven Lizenz versteht man eine Lizenz, mit der man fast alles machen kann, was man will. Da kann man einfach den Code nehmen für sein eigenes Produkt, auch ein sehr kommerzielles Produkt, auch wenn es selbst nicht quelloffen ist, und da gibt es dann keine weiteren Einschränkungen.

Elisa Lindinger: Das ist in der Tradition der IETF, der offene Code?

Raphael Robert: Es ist zumindest in ihrem Sinne, aber es ist keine formale Anforderung, dass dieser Code quelloffen ist.

Die Sicherheitsrelevanz

Constanze Kurz: Wichtig für den Standard ist die Interoperabilität. Warum ist das sicherheitsrelevant?

Raphael Robert: Die Messenger müssen im Zusammenspiel miteinander sicher funktionieren. Wir wollen ja Nachrichten mit sicherer Ende-zu-Ende-Verschlüsselung. Was da einfach funktionieren muss, ist, dass eine Nachricht an einem Ende verschlüsselt und am anderen Ende dann entschlüsselt wird.

Man überlegt sich: Welche Möglichkeiten haben Angreifer? Das wird formal definiert. Da wird klar gesagt, Angreifer haben zum Beispiel das Netzwerk unter Kontrolle, Angreifer können zeitweise Endgeräte kompromittieren, sie können passiv mitlesen oder können aktiv in die Kommunikation eingreifen. Das muss spezifiziert werden. Das fasst man unter einem sogenannten Threat Model zusammen, dann kann man sagen, ob wir uns gegen diese oder jene Art von Angriffen schützen können oder eben nicht.

Constanze Kurz: Es gibt ja gesellschaftliche Interessenträger, die nicht so interessiert daran sind, dass es technisch abgesichert ist, dass von einem Gerät zum anderen sicher verschlüsselt wird. Man könnte vielleicht Gründe vorbringen, warum man in die Nachrichteninhalte bei Messengern hineinhorchen will. Damit wird Protokoll eminent politisch, es wird vor allen Dingen dann politisch, wenn die Unternehmen den Standard einzusetzen beginnen. Waren die Snowden-Veröffentlichungen für dich eine Motivation?

Raphael Robert: Ich würde das so nicht formulieren, aber das hat sicherlich dazu beigetragen, dass es mehr Bewusstsein dafür gibt.

Eine neue Art zu leben

Constanze Kurz: Es gibt relevante gesellschaftliche Gruppen, die es vielleicht nicht so eine gute Idee finden, wenn man technisch absichert, dass jemand Drittes nicht in Messenger-Nachrichten hineinhorchen kann und das auch noch in sehr großem Maße zum Einsatz kommen wird.

Raphael Robert: Zum einen wurde in den letzten zehn Jahren natürlich immer Terrorismusbekämpfung angeführt, um es mal beim Namen zu nennen. Zum anderen ist das neueste Stichwort CSAM (Child Sexual Abuse Material). Es werden immer wieder politische Debatten in die IETF hineineingetragen, das ist natürlich auch wichtig. Bei der Ende-zu-Ende-Verschlüsselung gab es hin und wieder mal einen Anflug von Debatten, aber der Konsens war einfach unter den Teilnehmern so groß, dass niemand das ernsthaft infrage gestellt hat.

Elisa Lindinger: Die Geheimdienste sind noch nicht offen an euch herangetreten, auch nicht die Überwachungsfreundinnen da draußen?

Raphael Robert: … um uns zu unterwandern?

Elisa Lindinger: … oder um das Gespräch zu suchen?

Raphael Robert: Das ist mir nicht bekannt. Die Mailinglisten sind ja öffentlich. Ich weiß auch nicht, was der Inhalt von Gesprächen sein sollte. Staaten haben eine gewisse Dualität: Einerseits wollen sie an Informationen rankommen, das liegt in der Natur der Aufträge und der Legitimation der Geheimdienste. Andererseits haben sie aber genauso hohes Interesse, dass Informationen geschützt werden. Der Trend geht glücklicherweise aus meiner Sicht dahin, dass man die Schutzwürdigkeit der Information grundsätzlich anerkennt.

Constanze Kurz: Es fällt was auf, wenn man die offene IETF-Kommunikation liest: Es gibt wenig „nicht westliche“ Namen auf euren Listen.

Raphael Robert: Das stimmt. Das reflektiert auch, was bei der IETF insgesamt passiert. Das sind auch gefestigte Kreise. Und das ist natürlich ein Problem.

Elisa Lindinger: Dazu eine Erfahrung von mir: 2019 war ich bei meinem ersten IETF-Treffen in Singapur. Ich habe dort auch Interviews geführt, um die ganze Szene zu erkunden: Wer ist eigentlich hier und wer ist nicht hier, etwa demographisch gesehen. Diese Fragen konnten kaum beantwortet werden. Ich glaube, erst seit 2021 werden auch demographische Berichte veröffentlicht, die Auskunft darüber geben: Wer ist da eigentlich, auch Herkunft, Alter, Gender. Es gibt Missverhältnisse, auch bei der Frage, wer für die Zivilgesellschaft, für die Wirtschaft oder für die Wissenschaft und Forschung mitwirkt. Ich habe das Gefühl, dass jetzt mehr Interesse an diesen Fragen da ist.

Wir haben jetzt den Motor, aber das Getriebe fehlt noch

Constanze Kurz: Würdest du das eigentlich wieder tun, also dich bei der IETF engagieren?

Raphael Robert: Grundsätzlich ja. Ich bin auch noch in anderen Arbeitsgruppen engagiert.

Wir wollen in der MLS-Gruppe andere in die Lage versetzen, Ende-zu-Ende-Verschlüsselung verwenden zu können. Ein Schritt war, erst einmal eine Spezifizierung dafür zu haben. Ein anderer Schritt war, eine Implementierung dafür zu haben: Running Code, den man auch verwenden kann unter einer permissiven Lizenz, damit die Hürde so gering wie möglich ist. Der nächste Schritt ist nun zu fragen: Was braucht es eigentlich noch drumherum? Denn mit so einem Ende-zu-Ende-Verschlüsselungsprotokoll haben wir eigentlich nur den Kern. Wenn man sich das Ganze wie ein Auto vorstellt, haben wir jetzt den Motor gebaut, aber das Getriebe vom Auto fehlt noch.

Constanze Kurz: Was würdest du denn jemandem raten, der sich auch gern einbringen will?

Raphael Robert: Ich würde die Person erst mal ermutigen, das zu machen. Es gibt glücklicherweise bei der IETF sehr viel schriftliche Dokumentation. Das ist gleichzeitig ein Nachteil, denn man ist davon ein bisschen erschlagen, auch von diesem Formalismus. Was beängstigend wirken kann, das muss man auch klar benennen, sind diese gewachsenen Strukturen und demographische Ungleichheiten. Das sind Hürden, um da mitmachen zu können. Man muss auch erst mal hinreisen können und muss die Zeit haben, muss das Budget dafür haben.

Der Umgangsstil kann am Anfang auch befremdlich wirken. Es ist nicht unbedingt unfreundlich, im Vergleich zu anderen Communities auch sehr nett. Aber er kann einschüchternd wirken in dem Sinne, dass man sich vielleicht nicht traut, da gleich mitzumischen, weil man den Eindruck hat, da sind Leute, die haben sehr viel Kompetenz. Man selbst hat die vielleicht nicht unbedingt. Man will nichts Falsches sagen auf einer Mailingliste, von der man gar nicht weiß, wie viel tausende Leute da vielleicht mitlesen. Ich würde die Person, die jetzt mitmachen will, aber dazu ermutigen, das trotzdem mal zu versuchen.

Constanze Kurz: Gibt es Mentoren oder Einstiegshilfen?

Raphael Robert: Es gibt Orientierungshilfen, zumindest bei den Konferenzen selbst.

Elisa Lindinger: Die nächste Sitzung der IETF wird nicht zu weit entfernt hier in Europa stattfinden: Sie ist im Herbst in Prag, also eine schöne Zugreise von Berlin oder von vielen anderen Orten in Deutschland entfernt. Zumindest früher gab es auch für Leute, die noch studieren oder promovieren, Stipendien von der IRTF, der Internet Research Task Force. Denn das Finanzielle ist ein wichtiger Faktor für die Teilnahme, um einfach mal reinzuschnuppern. Ich glaube, auf der Mailingliste den Mund aufzumachen, ist tatsächlich schwierig, aber bei so einem Treffen mal dabei zu sein, das macht es schon konkreter.

Raphael Robert: Ja, wahrscheinlich senkt das die Hürde. Gut, dass du es ansprichst, denn finanziell gibt es diese Hürde tatsächlich. Die physische Teilnahme kostet einfach Geld. Es ist günstiger, wenn man online teilnimmt. Aber dann ist es auch nicht unbedingt das, was man haben will. Die Kosten werden in einigen Sonderfällen wohl erlassen, aber diese Sonderfälle sind wenige. Das ist einer der Kritikpunkte, dass es diese finanzielle Hürde für Interessierte gibt.

Constanze Kurz: Kann ich die wichtigste Frage noch loswerden: Welchen Messenger benutzt du?

Raphael Robert: Wir haben noch keinen MLS-basierten Messenger, aber da werden auf jeden Fall welche kommen. Im Alltag verwende ich momentan Signal.

Constanze Kurz: Du hast also deine Telefonnummer abgegeben!

Raphael Robert: Das ist einer der großen Kritikpunkte. Ich verwende natürlich auch andere, einfach weil ich daran interessiert bin, sie zu vergleichen. Das ist auch berufliche Neugierde.

Constanze Kurz: Herzlichen Dank, dass du bei „Dicke Bretter“ zu Gast warst, Raphael!

7 Ergänzungen

  1. Der Link hinter “ Podcast „Dicke Bretter“ “ führt nicht zum Podcast, sondern zur Übersicht. Bitte korrigieren. Danke.

    1. Ne, es gibt zwei Links für den Podcast „Dicke Bretter“, der eine führt zum Podcast, der andere führt zur Übersicht der verschriftlichten Versionen bei uns.

  2. Ich hätte im Interview Raphael Robert noch gefragt warum er nicht für sich privat den Messenger Wire benutzt statt Signal? Schließlich war er doch Head of Security beim Messenger Wire. Ist doch schon etwas komisch oder ???

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.