Messengerdienste wie WhatsApp und iMessage können miteinander keine Nachrichten austauschen. Warum eigentlich? Deutschland und die EU-Kommission denken laut nach, die Anbieter zur Öffnung zu verpflichten. Kleine Anbieter wie Threema sind skeptisch. Doch Entwickler tüfteln bereits an einem neuen Protokoll.

WhatsApp ist eine Insel im Internet. Wer die App nutzt, kann mit Leuten auf der Insel telefonieren und Nachrichten austauschen. Doch Leute jenseits des Eilands sind außerhalb der Rufweite. Denn WhatsApp erlaubt keinen Austausch mit anderen Diensten.

WhatsApp gehört zum Facebook-Konzern. Der Messengerdienst ist ein zentrales Instrument für Facebooks globale Datensammelei. Facebook setzt auf den Netzwerkeffekt – je mehr Menschen seine Dienste nutzen, desto nützlicher sind sie.

Mit WhatsApp, Facebook und Instagram besitzt der Konzern gleich drei der weltweit beliebtesten Messengerdienste. Sie sollen bald verschmelzen. Facebook, WhatsApp und Instagram haben weltweit nach Angaben des Konzerns gemeinsam rund 2,7 Milliarden Nutzer. In Zukunft wird es damit immer schwerer, von Facebooks Insel zu fliehen.

Brückenschlag zwischen den Inseln

Die Politik in Europa denkt spätestens seit dem Cambridge-Analytica-Skandal laut darüber nach, wie sich Facebooks Marktmacht einschränken lässt. Einen Vorstoß macht nun Justizministerin Katarina Barley. „Ich will, dass man auch zwischen Threema, Signal, Whatsapp etc. barrierefrei kommunizieren kann“, schrieb Barley, nebenbei SPD-Spitzenkandidatin im EU-Wahlkampf, jüngst auf Twitter.

Messenger-Dienste müssten wie bei E-Mail und Telefon erlauben, Nutzer anderer Anbieter zu kontaktieren, glaubt Barley. Im Bundestag fand die Idee im Vorjahr große Zustimmung.

Europas wohl mächtigste Digitalpolitikerin, EU-Kommissarin Margrethe Vestager, zeigt ebenfalls Sympathien für den Gedanken. Nutzerinnen und Nutzer sollten es einfacher haben, aus der Gefangenschaft des Prinzips „ein Dienst, ein Universum“ auszubrechen, sagte sie bei der re:publica in Berlin.

Der Ansatz könnte Facebooks Marktmacht bei Messengerdiensten beenden, hoffen Befürworter. Das belebe den Wettbewerb und soll in Zukunft dafür sorgen, die Dominanz eines einzelnen Konzerns zu verhindern.

Doch Fachkreise sind geteilter Meinung über den Ansatz. Im EU-Jargon wird die Idee „volle Protokoll-Interoperabilität“ genannt. Ein neues Papier der EU-Kommission beschreibt, dass sich damit Vorteile des Netzwerkeffekts auf die Mitbewerber einer dominanten Firma ausweiten lassen. Zugleich warnt das Papier, Standardisierung verwische die Unterschiede zwischen Diensten. Das hemme die Innovationskraft.

Knackpunkte Verschlüsselung und Metadaten

Betreiber kleinerer Messengerdienste sind kritisch. „Interoperabilität würde nicht zu mehr Vielfalt führen, sondern zu einer Zementierung der Monopolstellung der Platzhirsche“, sagt Roman Flepp von Threema.

Der Schweizer Messenger-Anbieter fürchtet etwa, das Datenschutzniveau sinke durch einen verpflichtenden Standard auf den kleinsten gemeinsamen Nenner. Threema werde damit wohl gezwungen, die User-IDs seiner Nutzer an WhatsApp oder andere große Dienste herauszugeben. Und unterdessen sinke der Anreiz, einen alternativen Messenger zu nutzen.

Der Gründer des bei Datenschutzfreunden beliebten Dienstes Signal, Moxie Marlinspike, argumentierte bereits 2016 in einem Blogeintrag gegen Interoperabilität. Es sei zwar toll, dass er seinen eigenen E-Mail-Server betreiben könne, weil E-Mail ein offener Standard sei. Zugleich bedeute die offene Natur des E-Mail-Standards, dass er kaum weiterentwickelt werde und unter anderem keine reguläre Ende-zu-Ende-Verschlüsselung aufweise, schrieb Marlinspike.

Zentralisierte, unregulierte Anbieter können solche Neuerungen im Handumdrehen mit einem simplen Update an alle Nutzer ausliefern. So gelang es etwa WhatsApp vor wenigen Jahren, auf das Signal-Protokoll umzusteigen und standardmäßig Ende-zu-Ende-Verschlüsselung zu aktivieren. Eine zu starre Interoperabilitäts-Verpflichtung könnte solche sinnvollen Verbesserungen im Keim ersticken.

Verschlüsselung, Anonymität und Metadaten zählen zu den wichtigsten Knackpunkten für die Interoperabilität. Weltweit arbeiten Staaten daran, verschlüsselte Kommunikation zu knacken. Wäre es da nicht reizvoll, einen eher niedrigen Standard für alle Messenger verpflichtend zu machen, damit die Sicherheitsbehörden mal reinkucken können?

Heikel ist auch die Frage der Identifizierung von Nutzerinnen und Nutzern und die Verwendung ihrer Daten. Auf WhatsApp muss man sich mit seiner Telefonnummer anmelden. Bei Anbieter wie Threema ist das hingegen nicht nötig.

Bedeutet nun ein interoperabler Standard, dass der Facebook-Konzern auf User-IDs aller Threema-Nutzer zugreifen kann, wenn diese Nachrichten austauschen? Und kann Facebook die gewonnenen Daten für seine Zwecke nutzen?

Schlüssel und Identitäten

Selbst wenn sich diese Fragen zufriedenstellend lösen lassen, bleibt immer noch das Problem der Schlüssel- und Identitätsverwaltung. Üblicherweise kommt dazu ein asymmetrisches Verfahren zum Einsatz, indem ein öffentlicher Schlüssel in einem Verzeichnisdienst gespeichert und mit einer bestimmten Identität oder einem Gerät verknüpft wird.

Vereinfacht dargestellt: Will ein Sender einen Empfänger kontaktieren, sucht die Messenger-App im zugehörigen Verzeichnisdienst nach dem öffentlichen Schlüssel des Empfängers und verschlüsselt anschließend die Nachricht. Das stellt sicher, dass die Nachricht nicht nur den richtigen Empfänger erreicht, sondern dass nur er oder sie diese Nachricht erfolgreich entschlüsseln kann.

Anders gesagt: Wer den Verzeichnisdienst und die Infrastruktur kontrolliert, kann womöglich neue öffentliche Schlüssel einer bestehenden Identität hinzufügen und damit Nachrichten mitlesen, die Ende-zu-Ende verschlüsselt sind. Apple beispielsweise verwaltet mit einer solchen Infrastruktur seinen iMessage-Dienst und sorgt so dafür, dass eine Nachricht an eine Empfängeridentität sämtliche mit dem gleichen iCloud-Account verknüpfte Geräte erreicht. Schon seit Jahren warnen Sicherheitsforscher, dass Apple etwa von Geheimdiensten theoretisch gezwungen werden kann, ihnen dieses potenzielle Einfallsloch zu öffnen.

Wer also würde, sollte Interoperabilität vorgeschrieben werden, diese Infrastruktur betreiben und kontrollieren? Wer würde die Identität der Teilnehmer und gegebenenfalls Geräte überprüfen? Und wie?

Freiwillige Interoperabilität?

Die Politik macht bisher ohnehin keine konkreten Vorschläge für interoperable Standards. Das Bundesjustizministerium stellt auf Anfrage von netzpolitik.org klar, dass es bisher bloß einen Gedankenaustausch der Ministerin mit den Messenger-Diensten gab.

Die Firmen müssten selbst handeln. „Hier sind zuallererst die Unternehmen gefordert, sich auf gemeinsame Standards zu einigen und für Interoperabilität zwischen Messenger-Diensten zu sorgen“, schrieb eine Sprecherin des Ministeriums. Aber wird Facebook seine globalen Datensilos freiwillig öffnen?

Der Konzern hält sich bedeckt. Facebook sei bei der Integration seiner Messenger mit WhatsApp noch „in den Anfängen“, sagte eine Sprecherin. Sie ließ offen, ob der Austausch mit anderen Diensten für Facebook überhaupt zur Diskussion steht.

Sollten Facebook und Co. nicht freiwillig handeln, wünscht sich Justizministerin Barley Gesetzesinitiativen auf europäischer Ebene. Eine mögliche Grundlage dafür bietet der seit Dezember 2018 geltende Europäische Kodex für die elektronische Kommunikation.

Der Kodex erlaubt es nationalen Behörden der EU-Staaten unter gewissen Umständen, Anbieter zur Interoperabilität zu zwingen. Das Mittel kam jedoch bisher nie zum Einsatz. EU-Beamte sehen es als Mittel der letzten Wahl. Wie Interoperabilität rechtlich vorgeschrieben werden kann, muss daher als offene Frage behandelt werden.

Angesichts der offenen Fragen ist die Skepsis in Deutschland groß. „Eine mögliche Interoperabilitätsverpflichtung für soziale Netzwerke birgt für Nutzerinnen und Nutzer einfach zu viele Unwägbarkeiten, vor allem beim Datenschutz und bei der Verschlüsselung“, sagt Elisabeth Niekrenz, politische Referentin der NGO Digitale Gesellschaft.

Wirtschaftsvertreter warnen vor einer möglichen Hemmung der Innovationskraft. Eine Stellungnahme des Branchenverbandes Bitkom an das Bundesjustizministerium sieht zwar nicht alles negativ, zählt aber einige mögliche Nachteile für betroffene Unternehmen sowie Nutzende auf.

Konkurrenz für das Signal-Protokoll

Firmen und die Forschung arbeiten indes bereits an einem neuen interoperablen Standard. Seit einiger Zeit trifft sich eine Arbeitsgruppe der IETF, eine Organisation, die sich der Standardisierung von Internet-Protokollen verschrieben hat.

Die Arbeitsgruppe hat das Ziel, ein Protokoll für den Ende-zu-Ende-verschlüsselten Nachrichtenaustausch zu schaffen. An „Messaging Layer Security“ (MLS) sind neben dem kleinen Anbieter Wire auch die Firefox-Schmiede Mozilla und die Konzerne Twitter und Google beteiligt.

Die MLS-Gruppe bastelt an einer eine Alternative zum Signal-Protokoll. Dieses wurde von den Entwicklern der Signal-App geschaffen.

Das Signal-Protokoll kommt bei WhatsApp und Skype zum Einsatz. Es erlaubt keinen Einsatz über Anbietergrenzen hinweg. Das MLS-Protokoll werde aber genau dafür die technische Grundlage liefern, sagt Raphael Robert von Wire.

Bis September 2019 soll das neue Protokoll fertig sein und der IETF als Standard vorgeschlagen werden. Es soll nach einem zuletzt getroffenen Beschluss der Entwickler „Föderation“ möglich machen, also den Austausch über Anbietergrenzen. Der Grundstein für verpflichtende Interoperabilität wäre damit gelegt.

Sicherheitsbedenken gegen den offenen Standard hält Robert für überzogen. Das MLS-Protokoll sei mit modernen Methoden konzipiert. Es erlaube eine ständige Weiterentwicklung.

„Schlussendlich halten wir einen demokratisch entwickelten Standard, der hohen Sicherheitsanforderungen entspricht und der dank völliger Offenheit selbst von kleineren Firmen und Organisationen genutzt werden kann, auch für den richtigen Weg bei diesem Thema“, schrieb Robert an netzpolitik.org.

Kommen die Browser-Messenger?

Das neue Protokoll könnte anderen Anbietern helfen, Facebook mit neuen, interoperablen Messengerdiensten Konkurrenz zu machen. Dabei geht es nicht unbedingt um neue Apps: Google und Mozilla könnten einen MLS-basierten Chat in ihre Browser integrieren – und auf einen Schlag Milliarden möglicher Nutzer erreichen.

Mozilla hält das neue Messenger-Protokoll für einen Schritt hin zu mehr Privatsphäre und Sicherheit im Netz, sagte Mozillas Kryptographie-Expertin Thyla van der Merwe zu netzpolitik.org. „Wir haben derzeit noch keine festen Pläne, MLS in unsere Produkte zu integrieren, aber wir beobachten die Entwicklung des Standards genau.“

Ein Sprecher von Google schrieb uns auf Anfrage, man arbeite an der Stärkung der Privatsphäre in der eigenen Messages-App. Mehr könne man derzeit nicht bekanntgeben.

Facebook nimmt ebenfalls an der Entwicklung des MLS-Protokolls teil. Den Konzern beschäftigt dort laut einem Arbeitspapier etwa die Frage, wie sich Schwächen des Signal-Protokoll bei Gruppenchats vermeiden lassen. Ob Facebook mit seinen Messengern auf das neue Protokoll umsteigen und seine Dienste für den Nachrichtenaustausch öffnen könnte, darauf will der Konzern vorerst nicht antworten.

Selbst wenn Facebooks Messenger-Inseln in den Weiten des Internets isoliert bleiben, könnte der MLS-Standard bald neue Brücken schlagen. Er könnte die Dominanz von Facebooks Messengern ein Stück weit schmälern.

Update vom 22. Mai 2019: Die Stellungnahme von Google wurde nachträglich hinzugefügt.