Messenger: Die Metadaten und die Vertrauensfrage

Als Reaktion auf meinen Beitrag »Wire: Speicherung von Metadaten in Datenbank« erhielt ich Post von Raphael Robert – einem Wire-Mitarbeiter.

Er wies mich auf einen Beitrag von Wire hin, in dem erklärt wird, weshalb die Metadaten auf dem Server erhoben werden. Auszug:

Not relying on a phone number and address book meant that we needed an alternative way to maintain connections and sync the conversation list between devices.

Laut Raphael geht es darum, dass Messenger, die nur auf Telefonnummern beruhen zwar mit etwas weniger Metadaten auskommen, dafür aber bei der User-Experience ihre Einschränkungen haben (u.a. im Multi-Device-Bereich, siehe Liste im Blogpost).

Jetzt gehen wir mal einen Schritt zurück und schauen uns die Situation von einer anderen Perspektive an. Es geht hier nämlich um Vertrauen. Das Vertrauensprinzip zieht sich praktisch durch die ganze IT-Welt und eigentlich das gesamte Leben:

  • Ich muss dem Kfz-Mechaniker vertrauen, dass er die Bremsen korrekt einbaut und die Funktion prüft
  • Ich vertraue einem Freund, dass er mein Geheimnis nicht ausplaudert
  • […]

Das Vertrauensprinzip finden wir (natürlich) auch in der IT:

  • Ich muss einem App-Entwickler vertrauen, dass seine App nicht ungefragt personenbezogene Daten ermittelt bzw. überträgt
  • Ich muss dem Administrator im Unternehmen vertrauen, dass meine E-Mails nicht mitgelesen werden
  • […]

Letztendlich müssen wir also auch einem Messenger-Betreiber vertrauen, dass dieser die erhobenen Metadaten nicht weitergibt bzw. darin herumschnüffelt. Falls Wire demnächst Federation unterstützt, ist jeder in der Lage seinen eigenen Wire-Server aufzusetzen. Wer also nicht bereit ist einem Dritten zu vertrauen, der kann seinen eigenen Server aufsetzen.

Wir bewegen uns hier zu einer Grundsatzfrage: Wie viele Metadaten muss ein Messenger bzw. Server-Betreiber überhaupt erheben, damit die Funktionalität gewährleistet wird? In der XMPP-Welt haben wir ein ganz ähnliches »Vertrauensproblem«. Ein Betreiber eines Prosody-XMPP-Servers hat bspw. auf folgende Metadaten Zugriff:

  • Wer wann online ist
  • Mit wievielen Geräten jemand online ist
  • Welche Kontakte jemand hat
  • Wer mit wem wann kommuniziert
  • Die IP-Adressen der Geräte
  • […]

Die lieben Metadaten. Sie sind oftmals interessanter, als der Inhalt einer Nachricht, auf die Dank der oftmals eingesetzten Ende-zu-Ende Verschlüsselung nicht zugegriffen werden kann. Wie auch bereits im meinem Beitrag »Messenger: Kriterien an Sicherheit und Datenschutz« sollten daher so wenig wie möglich Metadaten erhoben werden. XMPP und auch Wire haben nach meiner Auffassung hier noch Nachholbedarf – ob das allerdings dann mit der angebotenen Funktionalität (unter anderem Multi-Device) kollidiert, vermag ich nicht zu beurteilen. Vermutlich aber schon, weshalb es schwierig bis unmöglich sein wird die Metadaten bei der Nutzung dieser Dienste zu reduzieren. Wir müssen daher entweder das notwendige Vertrauen in einen Serverbetreiber aufbringen oder selbst hosten – und damit auch die Verantwortlichkeit des sicheren Betriebs übernehmen.

Noch ein Hinweis: Der Messenger Signal zählt zu jenen, die offenbar mit wenig Metadaten auskommen bzw. diese auch nicht dauerhaft speichern. Den eigenen Server kann man allerdings nicht betreiben.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡