PreprintPDF Available

Sichere Messenger für die Polizei

Authors:
  • Fachhochschule Polizei Sachsen-Anhalt
Preprints and early-stage research may not have been peer reviewed yet.

Abstract

Es liegen heute sehr viele Informationen darüber vor, in welchem Maße Daten im Internet gesammelt werden. Gerade der Messengerdienst WhatsApp und das soziale Netzwerk seiner Mutterfirma Facebook können niemandem mehr mit gutem Gewissen empfohlen werden. Die Internet-Aktivitäten von Menschen werden gesammelt, gebündelt und ausgewertet. Auch PolizistInnen nutzen soziale Netzwerke und Messenger, die in der Regel Datenschutz und Privatsphäre sehr klein schreiben. Es wäre insbesondere für die Polizei, aber auch andere Bereiche der öffentlichen Verwaltung, sehr sinnvoll und wichtig, nach Alternativen zu suchen und diese selber den Beamten und Mitarbeitern verfügbar zu machen. Im vorliegenden Text wird zunächst die Problemlage herausgearbeitet. Anschließend wird eine Alternative für sichere und zuverlässige Kommunikation vorgeschlagen, deren Inhalte vor dem Zugriff Unberechtigter geschützt sind. Der Artikel ist in gekürzter Fassung im August 2019 in der Zeitschrift "Deutsche Polizei" erschienen.
Peter Löbbecke
Sichere Messenger für Polizistinnen und Polizisten1
In der Folge des Hochwassers 2013 in der Elbe und vielen anderen Flüssen,
in denen die Polizisten2 des Landes im Dauereinsatz waren, schrieb ich ei-
nen zweiteiligen Aufsatz zur Nutzung von WhatsApp durch Polizisten, in
dem ich zum ersten Mal ein Engagement der Polizeien in den sozialen Netz-
werken anregte3. Später habe ich meine Auffassung dahingehend präzisiert,
dass die Polizeien dringend ein „Organisationswissen“ über dieses immer
noch relativ neue soziale Phänomen aufbauen sollten4.
Den Hochwasser-Aufsatz würde ich heute so nicht mehr schreiben. Inzwi-
schen liegen nämlich sehr viel mehr Informationen darüber vor, in welchem
Maße Daten im Internet gesammelt werden. Gerade der Messengerdienst
WhatsApp und das soziale Netzwerk seiner Mutterfirma Facebook können
niemandem mehr mit gutem Gewissen empfohlen werden5. Ja, gerade (aber
nicht nur) Facebook ist dafür bekannt, sogar die Internet-Aktivitäten von
Menschen zu sammeln, zu bündeln und auszuwerten, die seine Dienste gar
nicht nutzen6. Datenschutz und Schutz der Privatsphäre gehen anders.
Warum also nicht einfach Polizisten die Nutzung von Facebook, WhatsApp,
Instagram und Co. verbieten? Weil es weltfremd wäre. Über 90% der über
14-Jährigen in der Bundesrepublik sind online, dabei im Durchschnitt 87
Minuten täglich zum Chatten, Emailen und zu anderen Formen der Kommu-
nikation7. Eine private Nutzung lässt sich kaum verbieten, so ein Verbot
würde sicher vor Gericht sofort scheitern. Viel sinnvoller wäre es insbeson-
dere für die Polizei, nach Alternativen zu suchen und diese selber den Be-
amten und Mitarbeitern verfügbar zu machen. Bevor ich eine solche Alter-
native vorschlage, möchte ich zunächst die Problemlage deutlicher herausar-
beiten.
Die großen Internet-Firmen wie Alphabet/Google, Facebook (mit seinen
Töchtern WhatsApp und Instagram) und andere bieten ihre Dienste in der
Regel kostenlos an. Dennoch gehören sie zu den Firmen mit dem weltweit
höchsten (Börsen-) Wert. Woher kommen diese gewaltigen Einnahmen, aus
denen ihr Wert resultiert? Sie stammen aus „targeted advertising“, also der
dem Verkauf von gezielt ausgewählten Nutzerdaten zu Werbezwecken.
Dazu ziehen die Firmen (ich nehme Facebook nur als Beispiel) sehr viel
mehr Informationen heran, als den meisten Nutzern bewusst ist. Zuerst sind
1 Ich danke meinen Mitstreitern für sichere Kommunikation „integrationsfigur“, M.
Gekeler, „nuron“, „erkanfiles“ für Inspiration, sachliche Hilfe, Korrekturlesen und das
Bewusstsein, dass der Text nun aber fertig werden muss.
2 Zur besseren Lesbarkeit verzichte ich auf das „Gendern“, schätze aber die Polizistinnen
genauso wie die Polizisten
3 Nutzung sozialer Netzwerke durch die Polizei. Erfahrungsbericht vom Hochwasser
2013, Teil I, in: Die Polizei 10/2014; Teil II, in: Die Polizei 11/2014
4 Polizei und Social Media: Was beschäftigt angehende Polizist/inn/en? in: Th.-G.
Rüdiger; P. S. Bayerl: Digitale Polizeiarbeit. Herausforderungen und Chancen,
Wiesbaden 2018 (Springer VS)
5 Der Umgang der beiden Firmen mit den Daten ihrer Nutzer ist regelmäßig Gegenstand
der Nachrichten, wird aber m.E. noch viel zu wenig ernst genommen.
6https://mobilsicher.de/hintergrund/facebooks-unsichtbare-datensammlung, 13.12.2018,
letzter Zugriff: 18.2.2019
7 vgl. ARD/ZDF-Onlinestudie 2018
da die Daten, die die Nutzer selbst angeben: Alles, was im Facebook-Profil
gespeichert ist, die Freundesliste, Fotos, die eingestellt werden, Aktivitäten
aus Gruppen, an denen man beteiligt ist, wird ausgewertet. Auch was im
Facebook-Messenger ausgetauscht wird, gehört dazu: Die „persönlichen
Unterhaltungen“ werden zentral im Klartext festgehalten8 – und ebenfalls
nach einem ausgeklügelten System ausgewertet. Hinzu kommt – wenn
WhatsApp genutzt wird – das Telefonbuch des Smartphones mit allen darin
gespeicherten Angaben über die Kontakte, – wozu übrigens die Erlaubnis
jedes Einzelnen erforderlich wäre9! Mittels dieser Informationen – aber nicht
nur damit – werden die angelegten Profile mit denen anderer Menschen ver-
knüpft.
Sehr viele Webseiten im Internet nutzen besonderen Programmcode, soge-
nannte „Tracker“ oder „Cookies“, die die Aktivitäten der Besucher der Seite
ohne deren Wissen aufzeichnen und an Facebook, Google, aber auch an vie-
le andere, in der Öffentlichkeit kaum bekannte Firmen weiterleiten, die
ebenfalls von der Sammlung, Auswertung und dem Verkauf von Nutzerda-
ten leben. Mit der Verbreitung von Smartphones sind weitere Möglichkeiten
hinzugekommen: Bei einer Studie zwischen August und Dezember 2018
wurde festgestellt, dass 42,55% aller kostenlosen Apps aus dem Google
Playstore Daten der Nutzer an Facebook übermittelten – lediglich Google
selbst erhielt Daten von noch mehr Apps10. Die Nutzer bekommen davon
nichts mit.
Übrigens ist es nicht einmal erforderlich, dass die Nutzer selbst über ein
Facebook- oder Google-Konto verfügen bzw. dort angemeldet sind. Über
spezielle, von den Firmen zur Verfügung gestellte Entwicklertools, die von
vielen Programmierern verwendet werden, weil sie einen bequemen Weg
zum Einsatz von Standardfunktionen bieten, werden ebenfalls Nutzeraktivi-
täten an Facebook, Google und weitere übermittelt. Die Verknüpfung mit
anderen, zur selben Person gehörenden Daten geschieht z.B. über die Wer-
be-ID, über die jedes Smartphone verfügt, über Telefonnummern und andere
persönliche Daten, die anderswo auf dem Telefon gespeichert sind, oder ein-
fach über den Abgleich der übermittelten Daten mit den vielen bereits ge-
speicherten Nutzerprofilen.
Telefonnummern, Werbe-ID, die Inhalte von Chats und ähnliches sind „ein-
fache“ Daten, die in irgendeiner Form auf dem Gerät vorliegen bzw. die der
Nutzer übermitteln will. Viel wichtiger für die Erstellung von Persönlich-
keitsprofilen sind jedoch die sogenannten Metadaten, also alle die Informa-
tionen, die unabhängig von den Nachrichten anfallen, die der Nutzer über-
mittelt. Dazu gehören z.B. der aktuelle Standort des Geräts (und damit des
Nutzers), Browserdaten (Größe des genutzten Fensters, installierte Add-
Ons), die Internet-Adresse, von der aus gesurft wird sowie die Adressen, die
angesprungen werden, die Verbindungsdauer und (sehr) vieles mehr. Die
Metadaten sind erheblich aussagekräftiger als üblicherweise die Inhalte von
Chat-Botschaften, so aussagekräftig, dass die USA auf ihrer Basis sogar
Menschen töten11. Deshalb ist es für (z.B.) die Firma WhatsApp auch uner-
8 … wie ich selbst feststellen musste, als ich meinen Datensatz heruntergeladen habe.
9 Amtsgericht Bad Hersfeld, 15.05.2017 - F 120/17 EASO
10 Privacy International: How Apps on Android Share Data with Facebook (even if you
don’t have a Facebook account), Dezember 2018,
https://privacyinternational.org/node/2647, letzter Zugriff: 21.2.2019
11 https://www.rt.com/usa/158460-cia-director-metadata-kill-people/, letzter Zugriff:
21.2.2019
heblich, ob die Chats ihrer Nutzer mit einer Ende-zu-Ende-Verschlüsselung
geschützt sind – wobei unklar ist, ob nicht WhatsApp/Facebook selbst sogar
trotz der Verschlüsselung mitlesen (können)12.
So entstehen im Laufe der Zeit für jeden Menschen, der im Internet unter-
wegs ist, Datensätze mit zehntausenden von Einzelinformationen, deren
Auswertung mit Algorithmen tiefgreifende Aufschlüsse über die jeweilige
Person erlaubt. Es sind alle Aktivitäten im Internet, aus denen ein sehr fein
strukturiertes Persönlichkeitsprofil entsteht, das auch so private Informatio-
nen wie politische Überzeugungen, Religionszugehörigkeit, Beschäftigungs-
und Beziehungsstatus (auch ohne das Facebook-Profil), Familienstand und
vieles mehr sehr präzise erkennen lässt. Berühmt geworden ist der Fall eines
15-jährigen Mädchens, dessen Schwangerschaft der Werbewirtschaft eher
bekannt war als ihren eigenen Eltern; der Fall der Firma Cambridge Analyti-
ca (2018), die ebenfalls Facebook-Daten zu politischen Zwecken miss-
braucht hatte, ist ein anderes Beispiel. Schließlich hat sicher schon jeder ein-
mal erlebt, dass er nach einem Produkt „gegoogelt“ hat, zu dem ihm plötz-
lich überall im Internet einschlägige Werbebotschaften gezeigt wurden –
auch dort, wo es um ganz andere Dinge ging. Entsprechend gefilterte Infor-
mationen – nach Schwangeren, politisch rechts oder links Interessierten,
Homosexuellen, Religiösen u.v.m. – kann im Prinzip jeder von den einschlä-
gigen Firmen kaufen, der ein entsprechendes Interesse besitzt. Forscher
konnten außerdem zeigen, dass bereits viel weniger Informationen ausrei-
chen, um eine Person eindeutig zu identifizieren13.
Die Beispiele zeigen, ohne dass ich das Thema hier vertiefen will, dass häu-
fig geäußerte Ansichten wie „Ich habe nichts zu verbergen“ kurzsichtig
sind; die wahren Sachverhalte sind wenig bekannt. Jeder Mensch hat etwas
zu verbergen, auch wenn er kein Krimineller ist: Den Kontostand, den Sei-
tensprung, die Wahlentscheidung, die Bewerbung zur Konkurrenz und tau-
senderlei andere private Angelegenheiten. In diese Privat- bzw. Intimsphäre
geschehen im Internet – ohne entsprechende Schutzmaßnahmen – tiefe Ein-
schnitte, die häufig durchaus harmlos sein mögen, etwa wenn ich „nur“
massenhaft mit Werbung zugemüllt werde. Aber möchte ich wirklich, dass
meine außereheliche Schwangerschaft in für andere sichtbare Werbebot-
schaften umgesetzt wird oder dass feststellbar ist, wann ich mich im Rot-
lichtviertel aufgehalten habe oder dass ich regelmäßig Haschisch rauche? In
Wirklichkeit ist noch viel mehr möglich.
Es ist eigenartig, dass solche Tatsachen, die bekannt und für jedermann ver-
fügbar sind, kaum einen Menschen zu interessieren scheinen. Besonders
problematisch scheint mir aber die Situation für Polizisten zu sein, schließ-
lich steht ihr Arbeitgeber doch gerade für die Sicherheit – auch der Privat-
sphäre – der Bürger ein. Gerade in der Organisation, die für die innere Si-
cherheit zuständig ist, wäre ein größeres Bewusstsein für den Schutz der ei-
genen Daten vor dem Hintergrund der inzwischen geführten öffentlichen
Diskussion eigentlich zu erwarten.
Nun stellt sich die Frage nicht für die eigentliche dienstliche Kommunikati-
on; dafür gibt es Funkgeräte bzw. das gute, alte Telefon. Ich konnte jedoch
12 https://www.heise.de/mac-and-i/meldung/Entwickler-Facebook-kann-WhatsApp-Chats-
einsehen-trotz-Ende-zu-Ende-Verschluesselung-4023461.html
13 https://hbr.org/2015/02/theres-no-such-thing-as-anonymous-data, letzter Zugriff:
21.2.2019
schon zeigen14, dass auch Polizeibeamte sich mittels privater Technik
(Smartphones) über soziale Netzwerke, den Facebook-Messenger oder
WhatsApp-Gruppen austauschen. Das beginnt schon in der Ausbildung. Es
ist ja auch komfortabel: „Morgen fällt der erste Stundenblock aus“, und alle
wissen Bescheid. Schwieriger wird es beim Austausch mit dem Prüfer über
die PDV 100 – einem VS-NfD-Dokument – über den Facebook-Messenger,
bei dem der Inhalt im Klartext auf dem amerikanischen Server der Firma
gespeichert und ausgewertet wird. Und dann, nach der Ausbildung/dem Stu-
dium, geht es vielleicht weiter: Die Kollegen fragen nach Ermittlungsdetails
– die dann auf dem Server landen; man verabredet sich zu Fahrgemeinschaf-
ten – und da man ja schon den eigenen Beruf im Datenprofil vorliegen hat,
werden auch die Kollegen als Polizisten erkennbar. Prinzipiell sollten in der
Polizei solche Risiken, auch wenn sie auf den ersten Blick hypothetisch er-
scheinen, vermieden werden. Man könnte es auch strenger formulieren:
Grundsätzlich gehören weder dienstliche Inhalte noch Informationen über
Polizisten in Kommunikationskanäle, die nicht zu kontrollieren, jedoch da-
für bekannt sind, Daten und Metadaten zu Geld zu machen – was übrigens
durch die geplante Zusammenlegung verschiedener Dienste noch intensi-
viert werden wird15 (ähnliches gilt übrigens auch für die Verwendung von
unverschlüsselter Email, was aber hier nicht zur Debatte steht).
Nun ist es, wie eingangs gesagt, unrealistisch, den Austausch über moderne
Messenger oder Netzwerke zu verbieten. Und natürlich kann im Alltag
kaum konsequent zwischen privater und dienstlicher Kommunikation unter-
schieden werden. Es reicht auch nicht, darauf hinzuweisen, dass es eine Rei-
he von Messengersystemen gibt, die im Vergleich zu denen der großen In-
ternetfirmen wenigstens ein etwas höheres Maß an Sicherheit und Vertrau-
lichkeit bieten. Bekannt sind etwa Signal, Threema, Wire oder Telegram.
Auch diese Systeme haben Nachteile, die bedenkenswert sind. Die Ver-
schlüsselung von Threema ist eine firmeneigene Konstruktion, deren Sicher-
heit nicht unabhängig überprüft werden kann; Telegram gilt schon länger als
potentiell unsicher16. Signal legt zwar seinen Quellcode einschließlich der
Verschlüsselungsmathematik offen, der Nutzer muss allerdings darauf ver-
trauen, dass der zentrale Server auch wirklich mit genau der gleichen Soft-
ware läuft. Auch das sehr ansprechende und komfortable Wire leidet (noch)
unter demselben Manko: Man muss der Betreiberfirma vertrauen, dass sie
keine Metadaten sammelt und auswertet – und man macht sich von ihr tech-
nisch abhängig.
Also doch die Nutzung von Messengern verbieten? Es gäbe durchaus eine
Alternative, und die heißt: Nutzung von standardisierten Internet-Protokol-
len mit „freier“ Software. „Frei“ bezieht sich hierbei nicht auf die mögli-
chen Kosten – obwohl „freie“ Software oft auch kostenlos oder preisgünstig
ist –, sondern darauf, dass der Quellcode der verwendeten Software – also
der eigentliche Programmtext – für jeden frei zugänglich und ohne Be-
schränkungen (frei) nutzbar ist.
Eigentlich würden als Standards die bewährten Protokolle ausreichen, die
auch für Emails verwendet werden. Diese erlauben allerdings nicht alle
14 mit P. Saskia Bayerl: Soziale Medien im polizeilichen Alltag. Eine Momentaufnahme
der Einstellungen von Polizeibeamten in Sachsen-Anhalt, Aschersleben 2015
15 https://www.mopo.de/news/politik-wirtschaft/messenger-hammer-whatsapp
instagram-und-facebook-werden-zusammengelegt-31937570; letzter Zugriff: 22.2.2019
16 https://www.connect.de/ratgeber/telegram-messenger-sicherheit-verschluesselung-
3197444-7432.html; letzter Zugriff: 22.2.2019
Funktionen moderner Messenger. Deshalb gibt es dafür eigene genormte
Protokolle. Die beiden wichtigsten sind derzeit das schon lange existierende
„XMPP“17- sowie das neu entwickelte „Matrix“-Protokoll. Beide sind hin-
sichtlich der wichtigsten Eigenschaften prinzipiell vergleichbar, allerdings
ist die Verschlüsselung bei Matrix noch nicht völlig ausgereift18, was gegen-
wärtig eher für die Nutzung von XMPP spricht. Andererseits scheint sich die
französische Regierung für den Aufbau eines staatlichen Matrix-Netzes zu
interessieren, was zukünftig einen hohen Verbreitungsgrad erwarten lässt.
Ich werde hier Beispiele aus der XMPP-Welt heranziehen – darüber bin ich
selbst erreichbar.
Beide Protokolle haben ein wesentliches Merkmal: Anbieter-Unabhängig-
keit. Sie ermöglichen es, dass prinzipiell jedermann, also auch die Polizeien,
selbst zum „Anbieter“ werden und einen entsprechenden Internet-Dienst
(„Server“) aufbauen kann, und zwar mit nur geringem Aufwand. Die Nutzer
solcher Server können problemlos Nachrichten und Dateien mit den Nutzern
aller anderen Anbieter/Server austauschen. Man bezeichnet die Zusammen-
arbeit solcher Servernetzwerke als „Föderation“. Bekannt ist das Prinzip
von Email und Telefon: Jeder kann jedem eine Email schreiben und von sei-
nem Telefon aus jedermann anrufen – gleichgültig bei welcher Telefonge-
sellschaft. Auf diese Weise gibt es keine Abhängigkeit von einem einzigen
Anbieter mit einem geschlossenen System (wie z.B. WhatsApp es darstellt),
dem man „blind“ vertrauen muss. Auch WhatsApp beruht übrigens ur-
sprünglich auf XMPP, hat dieses Protokoll jedoch zum Zweck der vollstän-
digen Datenauswertung und -vermarktung „weiter-“ entwickelt und gegen-
über anderen Anbietern abgeschottet.
Klar ist: Um eine wirklich vertrauenswürdige (also auch für dienstliche In-
halte geeignete!) Kommunikation mittels moderner Sofortnachrichten zu er-
möglichen und den Abfluss der immer anfallenden Metadaten beeinflussen
zu können, ist eine Kontrolle über die Kommunikationswege erforderlich.
Das ist bei externen Dienstleistern mit eigener Software oder ausländischen
Anbietern nicht gegeben. Das bedeutet: Es muss überprüfbar sein, ob die
verwendete Software wirklich das tut, was sie verspricht. Bei kommerziel-
len Diensten ist das bestenfalls teilweise gegeben: WhatsApp und Facebook
geben keinerlei Einblick in ihre Software (sie ist „proprietär“), Wire und Si-
gnal legen zwar den Quellcode offen, laufen jedoch über jeweils einen zen-
tralen Server, so dass sich wie bei allen „zentralisierten“ Angeboten die Ver-
trauensfrage hinsichtlich der Metadaten stellt.
Es gibt jedoch genug „freie“ Software, die dieses Problem nicht hat. Da ihr
Quellcode offen liegt, kann von Fachleuten jederzeit geprüft werden, was
sie tut, wie sie mit Daten und Metadaten umgeht, welche Informationen ge-
speichert werden und so weiter. Bei hohen Sicherheitsansprüchen – wie in
der Polizei – kann sogar der überprüfte Quellcode von der Organisation
selbst in lauffähigen Programmcode umgesetzt werden, so dass uner-
wünschte Funktionen sicher ausgeschlossen werden können.
Leider tut sich der öffentliche Dienst sehr schwer mit der Nutzung freier
Software, wie verschiedene Beispiele gezeigt haben19. Immer wieder werden
Sicherheitsbedenken geltend gemacht – obwohl freie Software eigentlich
17 Extensible Messaging and Presence Protocol
18 https://www.freie-messenger.de/sys_matrix/; letzter Zugriff: 22.2.2019
19 z.B. https://www.golem.de/news/oeffentliche-verwaltung-finanzverwaltung-
niedersachsen-wechselt-von-linux-zu-windows-1807-135678.html
„sicherer“ ist als nicht freie, wie wir noch sehen werden. Grundsätzlich gilt,
dass nur Software „sicher“ ist, die regelmäßig weiterentwickelt wird und de-
ren erkannte Sicherheitslücken geschlossen werden – jeder Nutzer kennt die
regelmäßigen Sicherheitsupdates des Betriebssystems. Das gleiche gilt na-
türlich auch für freie Software, und in der Tat wird auch diese weiterentwi-
ckelt, mitunter sogar intensiver als proprietäre. Manchmal besteht sogar das
Geschäftsmodell eines Softwareanbieters darin, die Software selbst offen
bzw. frei zur Verfügung zu stellen, dann aber für Firmen und Organisationen
kostenpflichtige Unterstützung anzubieten.
Mitunter stößt man in der öffentlichen Verwaltung auf das Vorurteil, freie
Software sei leichter zu „hacken“ als kommerzielle. Diese Aussage ist
falsch: In der Regel ist es nicht „die Software“, die „geknackt“ wird – son-
dern das System, in dem sie läuft. Wenn es eine Organisation versäumt, ent-
sprechende Sicherungsmaßnahmen zu treffen, dann ist sie empfänglich für
Angriffe aus dem Internet – unabhängig davon, ob sie freie oder proprietäre
Software einsetzt.
Freie Software ist in der Regel kostenfrei nutzbar und vermeidet außerdem
Lizenzprobleme und zusätzliche Kosten, wenn sich die Struktur der Arbeits-
umgebung, etwa durch mehr Anwender, ändert, und sie kann sogar flexibel
an die eigenen Bedürfnisse angepasst werden (z.B. an das Corporate Design
der Polizei oder durch Hinzufügen spezieller Funktionen). Das kann – ent-
sprechenden Sachverstand vorausgesetzt – entweder durch eigene Mitarbei-
ter oder notfalls durch Auftragsvergabe geschehen. Auch in diesem Fall
bleibt der Programmcode für die Organisation kontrollierbar.
Ich will an dieser Stelle nicht weiter auf die technischen Details eigener
XMPP-Server und die prinzipiellen Vor- und Nachteile freier Software ein-
gehen. Wichtiger ist in so einem Überblick für die Anwender, die Polizisten
im Lande, die Frage: Gibt es Software, die ähnlich komfortabel ist wie
WhatsApp oder der Facebook-Messenger, und die darüber hinaus die gebo-
tene Sicherheit garantiert? Die Antwort lautet „ja“, wobei die Einschrän-
kung gemacht werden muss, dass derzeit die komfortabelsten und vielsei-
tigsten Chat-Apps für Android-Smartphones existieren; für die meisten an-
deren Systeme gibt es jedoch ebenfalls Programme, die zufriedenstellend
ihren Dienst tun.
Ich werde mich praktischerweise (ohne zu
werben) auf die Smartphone-App(s) für
Android beschränken, die ich selbst verwen-
de und daher gut kenne; für andere Systeme
(iPhone, Mac etc.) verweise ich auf die um-
fangreiche Übersicht auf „Freie-Messenger.-
de“20. Auf meinem Smartphone läuft seit ei-
nigen Jahren die App „Conversations“, die
im Play Store für einen geringen Preis er-
worben werden kann; parallel dazu verwen-
de ich die (kostenlose) App „Pix-Art“, die
aus dem freien und offenen Quellcode von
Conversations entstanden ist. Sie stellt ein
gutes Beispiel dafür dar, wie ursprünglicher
Quellcode legal genutzt und an andere Be-
20 https://www.freie-messenger.de/sys_xmpp/; letzter Zugriff: 22.2.2019
Die App „Pix-Art“
dürfnisse angepasst werden kann. Ich beschränke mich hier auf Grundsätzli-
ches; der Unterschied zwischen den Programmen liegt eher im Detail und
kann daher vernachlässigt werden.
Beide Apps zeigen zunächst eine Übersicht über die Unterhaltungen, die ich
führe, und über die Gruppen, an denen ich mich beteilige. Die jeweils aktu-
ellsten werden dabei oben angezeigt. Durch Antippen wechselt man in die
jeweilige persönliche Konversation bzw. Gruppe. Beide Apps verwenden für
nicht-öffentliche Kommunikation standardmäßig eine Ende-zu-Ende-Ver-
schlüsselung („OMEMO“), die für besonders hohe Sicherheit garantiert, di-
verse Schutzziele erfüllt21 und unabhängig auditiert wurde. Die Verifizierung
der Schlüssel des Kommunikationspartners auf einem getrennten Weg ist
möglich und stellt damit sicher, dass ich auch wirklich mit der Person/dem
Gerät verbunden bin, mit der ich verbunden sein will.
Sehr komfortabel ist die Möglichkeit, verschiedene eigene Konten einzu-
richten, etwa für private und dienstliche Kommunikation, wie es von Emails
bekannt ist. Damit kann ich über verschiedene Adressen erreichbar sein,
falls ein Server einmal ausfallen sollte. Die von den geschlossenen Messen-
gern bekannten Funktionen wie Sprachaufzeichnung, die Übermittlung von
Bildern, Videos, Texten, dem eigenen Standort usw. ist ebenfalls komforta-
bel möglich, ebenso wie die direkte Aufzeichnung einer Sprachnachricht.
Dazu kommt eine Vielzahl von individuellen Einstellungsmöglichkeiten.
Insgesamt steht die Funktionalität anderen, bekannteren Messengern kaum
nach; beide werden zudem ständig weiterentwickelt. Lediglich die Verbrei-
tung ist noch geringer als z.B. bei WhatsApp.
Meine Ausgangsannahme war, dass Polizisten in großem Umfang Whats-
App oder den Facebook-Messenger privat und häufig auch für dienstliche
Kommunikation nutzen, dass sie aus Kollegen bestehende Gruppen aufbau-
en und sich darin austauschen. Damit geraten ständig Inhalte und Metadaten
in Hände, in denen sie nichts verloren haben. Ob dies bis zur konkreten Ge-
fährdung von Kollegen geht (man denke an Spezialeinheiten), kann ich hier
nicht untersuchen.
Die Situation würde sich mit geringem Aufwand deutlich verbessern, wenn
die Polizeien eigene XMPP-Server bereitstellen würden, deren Sicherheit
vor Angriffen der der allgemeinen Polizei-Infrastruktur entsprechen würde.
Auf diesen Servern könnten Polizeibeamten und sonstigen Bediensteten
Konten zur privaten und – nach entsprechender rechtlicher Prüfung – gege-
benenfalls sogar dienstlichen Nutzung angeboten werden (da starke Ver-
schlüsselung verwendet wird); selbst militärische Lösungen basieren auf
XMPP22, die NATO prüfte ebenfalls entsprechende Möglichkeiten23. Wie bei
unverschlüsselten Emails – allerdings ohne deren prinzipielle Offenheit und
Angreifbarkeit24 – wären alle dort angesiedelten Nutzer in der Lage, inner-
halb und außerhalb der Organisation ohne Zeitverzug zu kommunizieren.
Die Nutzerbezeichnungen könnten frei und sogar unabhängig von Konventi-
onen gewählt werden, so dass eine eindeutige Identifikation eines individu-
ellen Nutzers außerhalb der Polizei zumindest erschwert würde (wobei si-
cher schnell bekannt würde, dass die Serveradresse von der Polizei genutzt
21 https://conversations.im/omemo/; letzter Zugriff: 22.2.2019
22 https://www.isode.com/solutions/military-xmpp.html; letzter Zugriff: 23.2.2019
23 https://www.nato.int/docu/update/2007/pdf/majic.pdf
24 https://www.lfd.niedersachsen.de/technik_und_organisation/orientierungshilfen_und_ha
ndlungsempfehlungen/gefahren_bei_email/e-mailaber-sicher-56145.html
wird). Die Kosten und der Aufwand für ein solches System würden sich in
engen Grenzen halten, wie die große Zahl privater, in der Freizeit adminis-
trierter Server belegt. Und auch wenn die Nutzung solcher Kommunikati-
onsmöglichkeiten kaum vorgeschriebenen werden kann, so ist doch anzu-
nehmen, dass ein erheblicher Anteil dienstnaher Inhalte auf diesen wesent-
lich sichereren Weg geschickt würden.
Natürlich würde so ein Vorgehen in mancher Hinsicht ein Umdenken seitens
der Organisation bedeuten. Man müsste sich vom Primat der proprietären
Software verabschieden, und damit auch von der bequemen Verlagerung der
Verantwortung für das Funktionieren und Nicht-Funktionieren auf den An-
bieter. Die Polizei würde sich entscheiden müssen, die verwendete Software
selbst zu prüfen und zu pflegen. Dies würde jedoch ein Maß an Kontrolle
über die eigene Kommunikations-Infrastruktur hervorbringen, wie es mit
dem Einsatz kommerzieller Software niemals zu erzielen ist. Selbst die Ab-
hängigkeit von Email und ihrer prinzipiellen ! Unsicherheit würde wahr-
scheinlich deutlich zurückgehen. Der immaterielle Gewinn und praktische
Nutzen dürfte mögliche Kosten bei weitem aufwiegen.
Allen Lesern, die sich näher mit dem Thema beschäftigen wollen, empfehle
ich die umfangreiche, wohlsortierte und bisher regelmäßig aktualisierteund
auf Inhalte statt Optik konzentrierte Website: https://www.freie-
messenger.de/ . Insbesondere die Abschnitte für „Berufsgeheimisträger“ sind
im Polizeikontext interessant und empfehlenswert.
ResearchGate has not been able to resolve any citations for this publication.
ResearchGate has not been able to resolve any references for this publication.