Ein Überblick über Möglichkeiten für sichere Online-Kommunikation
Für viele Polit-Kollektive sind digitale Kommunikations- und Dokumentationswerkzeuge inzwischen zur kritischen Infrastruktur herangewachsen. Kollaboratives Texten, Terminumfragen, Videocalls, Gruppenchats und der gemeinsame Cloudspeicher haben spätestens in Pandemie-Zeiten in den meisten Organisationen Einzug gehalten. Oft wird die Entscheidung, auf welche Werkzeuge die Gruppe setzt, sehr pragmatisch, spontan, und leider auch ohne viel Recherche und Feedback gefällt: Eine Person initiiert spontan einen WhatsApp-Gruppenchat, der dann als zentrale Anlaufstelle für die Koordination auserkoren wird. Die eine oder andere Person, die WhatsApp bisher verweigert hat, kommt in ein Dilemma.
Alternativlos?
Die besten Debatten zu Datenschutz, Privatsphäre, Autonomie und Sicherheit sind meist wirkungslos, wenn keine mindestens so gute, niederschwellige Alternative in den Startlöchern steht. Tatsächlich sind wir mit ausgefeilten Technologien wie Google Docs und WhatsApp verwöhnt. Softwareprojekte dieser Komplexität, in Kombination mit einer einfachen Bedienbarkeit und Fülle an Funktionen, schienen in den letzten Jahren fast alternativlos. Doch es lohnt sich, hinsichtlich ethischer und sicherheitsrelevanter Fragen, einen Blick auf die weniger bekannten Alternativen zu werfen. Dabei stößt man auf faszinierende Technologien.
Zero knowledge
CryptPad ist eine Cloud-Kollaborations-Software, die man – ähnlich wie Google Docs oder PiratePads – für kollaboratives Protokoll schreiben und gemeinsame Excel-Exzesse verwenden kann. Auch gemeinsames Zeichnen und Organisieren ist möglich. Für die Verwendung muss keine App installiert und kein Account registriert werden, alles passiert möglichst datensparsam im Webbrowser. Das Besondere dabei ist, dass alle Daten so am Server gespeichert werden, dass die Administrator*innen des CryptPad-Servers selbst nicht mitlesen können. Nur wer die Web-Adresse des Pads kennt, kann auch dessen Inhalt entschlüsseln. CryptPad ist mit seinem „zero knowledge“-Ansatz in Kombination mit den vielen Funktionalitäten derzeit einzigartig: Dokumente, Spreadsheets, Kanban-Boards und vieles mehr können gemeinsam in Echtzeit bearbeitet werden. Und das, ohne dem Provider – zumindest aus einer technischen Perspektive betrachtet – vertrauen zu müssen: Die Verschlüsselung passiert direkt bei den Nutzer*innen.
Du hast eine neue Nachricht!
Als Chatsysteme sind zum Beispiel Matrix und XMPP als dezentral angelegte Systeme für private und Gruppenkommunikation interessant. Während Facebook, Google und Co ihre Nutzer*innen nicht plattformübergreifend kommunizieren lassen, kann hier für gewöhnlich unabhängig vom jeweiligen Chat-Server miteinander gechattet werden. Diese Abstraktion zwischen Protokoll und Provider kennt man auch vom guten alten E-Mail: Ein GMX-User kann zum Beispiel mit Yahoo- und Gmail-Usern kommunizieren. Achtung: Ende-zu-Ende-Verschlüsselung ist bei Matrix und XMPP möglich, aber nicht die Standardeinstellung.
Eine weitere Chatplattform ist Zulip. Dieses freie Softwareprojekt hat dort weiter gemacht, wo bekannte, kommerzielle, proprietäre Chat-Anbieter wie Slack aufgehört haben: Es geht vor allem darum, eine Brücke zwischen langsamer Kommunikation (wie bei E-Mail) und schneller Kommunikation (wie bei Chat) zu schaffen und dabei Effizienz und Übersicht zu bewahren. Im Gegensatz zu Matrix und XMPP gibt es bei Zulip allerdings keine Pläne für die Möglichkeiten der Föderation -–also der plattformübergreifenden Kommunikation. Es eignet sich daher eher als internes Kommunikations- und Managementwerkzeug für geschlossene Gruppen.
Der Vollständigkeit halber sollten auch die Messaging-Apps Signal und Telegram an dieser Stelle als pragmatische Lösungen erwähnt werden. Diese haben aber nur begrenzte Möglichkeiten und sind – obwohl teilweise Open Source – geschlossene Systeme ohne Föderation. Während das Konzept von Signal ernsthaft auf Sicherheit ausgelegt ist, ist Telegrams Ansatz eher fragwürdig: In Chats gibt es für gewöhnlich keine Ende-zu-Ende-Verschlüsselung und deren Inhalte werden automatisch in der Telegram-Cloud abgespeichert. Unverschlüsselte Chatprotokolle auf dem Server einer Organisation, über die man keine Kontrolle hat? Eine gefährliche Mischung.
Online-Plenum
Mit Covid-19 haben viele Gruppen ihre Meetings online stattfinden lassen. Der erste Impuls war oft, auf Zoom oder Skype zu setzen. Beide Plattformen und ihre Apps sind weder „offen“ noch „frei“. Es ist auch nicht klar, inwieweit Videomitschnitte seitens der Anbieter gespeichert und weiterverarbeitet werden. Zudem gibt es speziell bei Zoom viel Kritik von Expert*innen, was die Code-Qualität und Sicherheit betrifft. Bei den Sicherheitsbedenken geht es nicht nur um die Videokonferenzen selbst, sondern auch um die Integrität des Systems, auf dem die Zoom-App installiert ist.
Es gibt aber auch für Meetings selbst-betreibbare Alternativen. Wenn Audio ausreicht, ist Mumble interessant – und sehr schlank. Für einfache Videomeetings ist Jitsi Meet eine unkomplizierte Lösung, für die der Server nicht viel können muss. Für größere Videokonferenzen mit vielen Funktionen und Aufnahmemöglichkeit ist Big Blue Button (kurz: BBB) eine gute Alternative. Allerdings braucht diese Lösung mehr Serverressourcen und ist etwas aufwändiger aufzusetzen und zu warten.
Sowohl Jitsi Meet als auch BBB lassen sich – zumindest am Desktoprechner – direkt im Webbrowser bedienen. Der wesentliche technische Unterschied: Bei Jitsi Meet einigen sich alle Endgeräte der Teilnehmer*innen auf den kleinsten gemeinsamen Nenner der Streamingqualität. Damit hat der Server zwar weniger zu tun, da kein serverseitiges Transcoding stattfindet, das System ist allerdings tendenziell anfälliger für Fehler und Inkompatibilitäten.
Aufgrund der leichtgewichtigen Technik von Jitsi Meet gibt es auch einige frei verfügbare Instanzen. Trotz aller Bemühungen – wie der Einführung von Ende-zu-Ende-Verschlüsselung in der aktuellen Version – macht das Betreiben eines eigenen Servers für kritische Anwendungen grundsätzlich Sinn, denn nur so hat man die Verfügbarkeit und Integrität des Systems selbst in der Hand.
Komplettpaket
Die wohl bekannteste All-in-One-Lösung für Online-Kollaboration ist aktuell Nextcloud. Das Projekt setzt relativ pragmatisch auf altbewährte Servertechnologien wie PHP und MySQL, was für Hobbyadministrator*innen einen einfachen Einstieg bietet. Die Basis des Systems bildet ein gemeinsamer Dateispeicher, auf den via Webbrowser zugegriffen werden kann. Es ist auch möglich, diesen Datenspeicher mittels Desktop- und Mobile-Apps direkt ins Betriebssystem einzubinden. Die Plattform lässt sich mit einer Vielzahl an Apps erweitern und kann so Dienste wie Dropbox, Google Docs/Calendar, Doodle und Trello ersetzen. Sogar eine Videokonferenzlösung lässt sich installieren. Das Projekt hat eine sehr aktive Community von Entwickler*innen, ist gut gewartet und stark an die Bedürfnisse der Endanwender*innen anpassbar.
Aber wer soll das alles machen?
Viele der bereits genannten Systeme benötigen einen Server, und damit auch Personen, die diesen betreiben können. Das Hosting kann auch an Firmen ausgelagert werden. Es gibt aber ebenfalls Tech-Kollektive, die sich dem Hosting diverser Werkzeuge annehmen und sich über Spenden finanzieren: riseup.net gehört zu den bekannten internationalen Urgesteinen. Im deutschsprachigen Raum ist außerdem disroot.org relativ bekannt. In Österreich betreibt zum Beispiel der Chaos Computer Club Wien ein CryptPad (pads.c3w.at). Riseup bietet auch eine „Radical Servers“-Liste, auf der viele Tech-Kollektive gelistet sind (https://riseup.net/en/security/resources/radical-servers).
Darüber hinaus gibt es mehr oder weniger serverlose Lösungen. Ein Beispiel dafür ist SyncThing: Damit können Ordner zwischen mehreren Endgeräten synchronisiert werden. Das Programm bedient sich dabei dem Torrent-Protokoll, welches vor allem vom Filesharing bekannt ist. Diese Methode bietet allerdings wesentlich weniger Funktionen als typische Cloud-Speicher.
Die Entscheidung, auf welches Fundament man als Gruppe für die digitale Kommunikation setzen sollte, ist nicht trivial. Fragen wie „Welche Werkzeuge sind für unsere Prozesse sinnvoll?“, „Wem vertrauen wir?“ und „Wieviel Energie und Ressourcen wollen wir in eine gute und sichere Kommunikation investieren?“ sollten auf jeden Fall gestellt werden. Eine selbstgehostete Lösung kann – zumindest was Strom-, Internet- und Serverkosten angeht – auf Dauer sogar günstiger als eine externe kommerzielle Cloud sein. Zumal Cloud-Speicherplatz tendenziell teuer ist: Nachdem man mit den ersten Gigabytes bei Google & Co angefixt wurde, wird für gewöhnlich abgecasht.
Es lohnt sich zudem, sich mit befreundeten Gruppen zum Thema auszutauschen und gegebenenfalls Kooperationen einzugehen.