FM4-Logo

jetzt live:

Aktueller Musiktitel:

Collage: Linux Pinguin Tux vor lauter Corona-Viren

CC0

Erich Moechel

Sichere freie Software für Gruppenkommunikation

Die Hacker Community stellt ihre Kommunikationstools zu Verfügung. Vom einfachen „Schwarzen Brett“ bis zur Videokonferenz sind diese freien Tools alle selbsterklärend, intuitiv zu bedienen und Ende-zu-Ende verschlüsselt.

Von Erich Moechel

Das EU-Parlament, wo es bereits die ersten Infektionen gibt, hat am Donnerstag erstmals per E-Mail abgestimmt. Britische Minister wiederum kommunizieren über das US-Videoportal Zoom, sehr zum Entsetzen des britischen Geheimdienstes GCHQ. Davor hatte das Verteіdigungsministerium den Einsatz von Zoom aus Sicherheitsgründen verboten. Der Ausbruch der Coronapandemie hat auch die politische Kommunikation auf höchster Ebene quer durch Europa völlig unvorbereitet erwischt.

Offensichtlich gibt es nirgendwo einen technischen „Plan B“ für einen Notbetrieb der internen Kommunikation. Dabei sind einfachst zu bedienende, schlanke Lösungen mit freier Software für Gruppenkommunikation bis hin zu Videokonferenzen mit sicherer Verschlüsselung verfügbar. Deren Kapazität reicht zumindest für virtuelle Ausschüsse, Kabinettsitzungen, Schulklassen, im Universitätsbereich werden diese Softwares teils schon seit Jahren eingesetzt.

CryptPad

C3W

Cryptpad ist ein rundum nützliches Werkzeug zur Zusammenarbeit in Gruppen, es wird vom Chaos Computer Club Wien zur Verfügung gestellt. Zur Nutzung der Grundfunktionen ist nicht einmal ein Log-In nötig. Weder Metadaten noch Kommunikationen werden dauerhaft gespeichert. Die übrigen freien Tools finden sich auf dieser Seite des CCC Unna, sie werden von weiteren Chaptern des Clubs gehostet.

Was wird überhaupt gebraucht?

Da alle hier beschriebenen Tools sehr schlank und wenig datenintensiv sind, kommt das vielen neuen Teleworkern sehr entgegen, die mit schwachbrüstigen Leitungen angebunden sind.

Was zu beachten ist, wenn man freie Kollaborationssoftware etwa im Bildungsbereich, für virtuelle Meetings oder ähnliches nutzt, ist auf der Website der Humboldt-Universität Berlin sehr übersichtlich dargestellt. Die wohl wichtigste Anleitung dabei ist es, zuvorderst die Anforderungen der eigenen Gruppe zu reflektieren und wieviel Zeit und bzw. Finanzmittel es braucht, um die Tools einzusetzen.

Realistischerweise gehen die Techniker der Humboldt-Universität davon aus, dass keine bis sehr wenige Finanzmittel dafür verfügbar sind. Das wichtigste Feature all dieser Softwares aber ist, dass sie allen aktuellen Ansprüchen für Datenschutz und -sicherheit genügen, denn alle sind Ende-zu-Ende verschlüsselt. Sind sie richtig konfiguriert, können sie als schnelle Lösungen nahezu ad hoc eingesetzt werden. Fast alle dieser Lösungen kommen ohne Installation zusätzlicher Software auf den Rechnern der Teilnehmer aus.

Zoom Privacy Policy

Zoom

Auszug aus der Privacy Policy der führenden kommerziellen Videochat-Plattform Zoom, die derzeit regelrecht gestürmt wird. Damit ist zweifach klar, dass dieses Tool für professionellen Einsatz oder gar auf Regierungsebene ein absolutes No-Go ist.

Für kollaboratives Schreiben von unformatierten Texten gibt es das zum Beispiel das nachgerade primitive Etherpad, eine Ein-Klick-Lösung ohne Login-pflicht. CryptPad ist die gehobene Variante davon, aber dabei ebenso einfach zu bedienen. Hier ist es möglich, gemeinsam Tabellen für Tagesordnungen, Sitzungsprotokolle usw. zu erstellen, auch ein Modus zur Abstimmung oder ein Schwarzes „Brett“ und Ähnliches sind integriert. Dazu kommen ein Tool zur gemeinsamen Kalenderführung und eine ganze Reihe weiterer, allesamt für Verwendung in Gruppen, also für Gruppenkommunikation. Das neueste davon ist Jitsi für Chats und Videokonferenzen.

Was Jitsi kann und was nicht

„Für eine Größenordnung von mehreren hundert Teilnehmern wie im Plenum des EU-Parlaments reicht so ein ‚Jitsi‘ natürlich nicht, weil es nicht skaliert. Aber alles deutlich unter hundert Teilnehmern ist machbar. Der größte Vorteil dabei ist, Jitsi funktioniert direkt im Browser“, sagte der Open-Source-Berater Ralf Schlatterbeck zu ORF.at. „Man braucht also nichts zu installieren, nur einen gut konfigurierten kleinen Server. Das kann genausogut eine virtuelle Maschine sein, die man in Rechenzentren um sehr wenig Geld mieten kann“. Die freie Software JitsiMeet - so heißt sie offiziell - setzt auf einem Mechanismus namens WebRTC das Standardgremiums W3C auf, der in allen Browsern verfügbar ist. Probleme soll es derzeit mit aktuellen Versionen des Firefox geben, in Chrome, Chromium und Derivaten läuft Jitsi ohne Probleme, dasselbe trifft auch auf die gängigen Apple-Browser zu.

Ralf Schlatterbeck

Ralf Schlatterbeck

Dr. Ralf Schlatterbeck ist Berater für den Einsatz von freier Software in Unternehmen.

„Jitsi lässt sich im Wesentlichen in drei aufsteigenden Sicherheitsstufen konfigurieren. Die einfachste Lösung ist, dass der frei wählbare Name des Videochatrooms vor unerwünschten Teilnehmern schützt, die einzelnen Streams sind ohnehin standardmäßig Ende-zu-Ende verschlüsselt. Das genügt für ad hoc Videochats in kleineren Gruppen. In der dritten und obersten Sicherheitsstufe mit Login und Benutzerlisten wäre Jitsi dann gut genug für eine Kabinettssitzung oder einen Ministerrat. Denn Sicherheit wird bei allen diesen Open Source Programmen groß geschrieben. Sieben Jahre nach Edward Snowden sollte man sich im Jahr 2020 keine Illusionen mehr über Sicherheit und Vertraulichkeit machen“, so Schlatterbeck abschließend.

Wichtiger Hinweis zu Jitsi, großer Dank

Alle hier vorgestellten Tools sind Ende-zu-Ende verschlüsselt, auch direkte Videocalls in Jitsi zwischen zwei Teilnehmern. Im Konferenzmodus von Jitsi werden jedoch nur die Streams vom Benutzer zum Server und umgekehrt verschlüsselt, nicht jedoch am Server selbst. Es handelt sich damit nicht um E2E sondern um Transportverschlüsselung, deshalb ist es entscheidend, wer den Server kontrolliert. Derzeit sind die weitaus meisten Betreiber engagierte Hacker, denn aus diesen Gemeinschaften kommen die Tools auch her. Man darf also beruhigt sein, was die Vertrauenswürdigkeit dieser Server aktuell betrifft. Am besten ist es natürlich, wenn Communities aller Art, die diese Tools dauerhaft nützen wollen, selbst kleine Server betreiben (lassen). Technische Anfragen dazu werden wir weiterleiten.

Und dann ist hier noch ein großer Dank an alle überfällig, die Typo-Korrekturen und inhaltliche Unschärfen im Text durch eine Nachricht an den Autor korrigieren. Dass eine solche „ad hoc Quality Assurance“ zur Verfügung steht ist für den Autor ein großes Privileg.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: