c't 23/2019
S. 51
aktuell

Problematische Messenger-Vorgaben für EU-Parlamentarier

EU-Parlamentarier müssen vertraulich kommunizieren und dabei auch Diskretion über ihre Gesprächspartner bewahren können. Genau dies hat die IT-Verwaltung des EU-Parlaments in den vergangenen Tagen massiv erschwert.

Zuerst verbot die Verwaltung den Parlamentariern die Nutzung des Messengers Signal und empfahl stattdessen WhatsApp. Nach massiver Kritik und Berichten unter anderem auf heise online ruderte sie zurück und schlägt nun Cisco Jabber als Messenger vor.

Entbrannt war der Streit, als Abgeordnete der Fraktion GUE/NGL (Vereinigte Linke/Nordische Grüne Linke) die Desktop-App zum Messengerdienst Signal in ihren Büros installieren wollten. Wie das Magazin Netzpolitik.org berichtet, brachte die EU-Parlamentsdirektion jedoch Sicherheitsargumente vor und verbot die Installation dieser Software.

Das offene Protokoll Signal und die zugehörige quelloffene Software werden zwar von zahlreichen angesehenen Sicherheitsfachleuten, darunter Edward Snowden, wegen ihrer vorbildlichen Sicherheitsmerkmale empfohlen [1], [2]. Das zugrundeliegende Verschlüsselungsverfahren Axolotl kommt bei Signal defaultmäßig für Einzel- und Gruppenchats ebenso wie für Video-Konversationen zum Einsatz. Es begrenzt auch die Abhörmöglichkeiten, wenn einmal ein Passwort in falsche Hände gerät. Doch die EU-Administration legte mehr Gewicht auf den Umstand, dass die EU-eigenen Sicherheits- und Konfigurationsteams selbst Signal noch nicht getestet haben.

Die Alternativ-Empfehlung, Abgeordnete mögen stattdessen WhatsApp verwenden, ist aus mehreren Gründen verwunderlich. Das von Facebook betriebene WhatsApp baut zwar ebenfalls auf das für Signal entwickelte Verfahren, Nachrichten Ende-zu-Ende zu verschlüsseln, doch erstens ist WhatsApp proprietäre Software und für niemanden ohne Weiteres überprüfbar.

Zweitens gibt es eine Übereinkunft der USA mit dem Vereinigten Königreich, Facebook gesetzlich zur Herausgabe verschlüsselter Nachrichten zu verpflichten. Im Raum stehen Forderungen, Facebook möge Hintertüren in seine Software einbauen, auch wenn sich der Konzern davon zurzeit distanziert.

Drittens übermittelt WhatsApp standardmäßig die kompletten Adressbücher seiner Benutzer an Facebook. Mitarbeitern in vielen Betrieben und zum Beispiel auch Lehrern in Niedersachsen und Bremen ist deshalb der dienstliche Gebrauch von WhatsApp verboten [3].

Die jüngste Empfehlung der EU-Verwaltung lautet nun auf den Einsatz von Cisco Jabber. In dieser Software hat Cisco den als Jabber entstandenen offenen Standard XMPP implementiert und so erweitert, dass er zumindest für Punkt-zu-Punkt-Verbindungen – nicht aber für Gruppenchats – ebenfalls eine Ende-zu-Ende-Verschlüsselung ermöglicht.

Für Martin Schirdewan, EU-Abgeordneter der GUE/NGL sind die Sicherheits-Argumente der EU-Verwaltung kaum nachvollziehbar. Signal hatte sie mit dem Hinweis verboten, die Software sei ungetestet, bei WhatsApp und Cisco Jabber spielte dieser Umstand aber offenbar keine Rolle. Bislang haben die Entscheidungsträger nämlich weder WhatsApp noch irgendeinen Messenger je auf Sicherheit überprüft. Das soll nun nachgeholt werden, könne aber „ein wenig dauern“, wie man dem Parlamentarier mitteilte.

Dieser kommentierte den Vorgang gegenüber c’t wie folgt: „Wenn mir die Verwaltung des Europäischen Parlamentes aus Sicherheitsgründen keinen gängigen Messenger installieren kann, ist das im Jahr 2019 doch ein wenig aus der Zeit gefallen und befremdlich. Ich werde durch weitere Anfragen versuchen in Erfahrung zu bringen, in welchen Bereichen die IT des Parlamentes auch nicht up to date ist.“ (hps@ct.de)

Kommentare lesen (8 Beiträge)