Verwaltung / BOS / Medien

- Lesezeit: 13 Minuten -

Vorwort

In der öffentlichen Verwaltung - aber auch bei Behörden und Organisationen mit Sicherheitsaufgaben (BOS / BORS) - wird am Einsatz von Messengern gearbeitet oder es sind teilweise bereits unterschiedliche Lösungen im Einsatz. Allen gemeinsam ist der nachvollziehbare Wunsch, einfach und sicher Informationen auszutauschen.

Leider ist es bei „Chat“ so, dass es zwar öffentlich zugängliche und herstellerunabhängige Systeme gibt - so wie das bei E-Mail, Telefon oder Mobilfunk selbstverständlich ist - allerdings steht hier keine Firma mit entsprechendem Werbebudget im Hintergrund.

Das bedeutet wiederum, dass auf Grund von fehlendem Wissen auf glitzernde (Werbe-)Aussagen von Firmen vertraut und viel Geld doppelt oder gar mehrfach für Spezialentwicklungen ausgegeben, die nicht der Öffentlichkeit zu Gute kommen, sondern Firmeneigentum und nur gegen Bezahlung nutzbar sind. Der Markt wird dadurch sehr lukrativ.

In der Folge gibt es gerade in diesem wichtigen Bereich viele verschiedene Projekte, die jedoch untereinander nicht föderieren bzw. nicht kompatibel sind. Auch ist (mir) nicht bekannt, ob mit Nutzern des jeweiligen Systems auch außerhalb der Verwaltungseinheit kommuniziert werden kann. Hier bin ich um jede Information dankbar!

Um die Vielfalt bzw. das Durcheinander zu veranschaulichen, folgt eine Übersicht der mir derzeit bekannten, im Einsatz befindlichen oder geplanten Messengern in öffentlichen Verwaltungen und „BOS“. Allein hier sind schon über 10 verschiedene Systeme aufgeführt!

In der Öffentlichkeit (und in der Verwaltung) wird noch zu wenig zwischen unfreien, zentralen Systemen auf der einen Seite und freien, dezentralen Systemen auf der anderen Seite unterschieden. Deshalb ist das nachfolgend entsprechend mit vermerkt …

Deutschland

Bundesweit

  • Bundespolizei: „MOKA“ („Jabber(XMPP)“) - quelloffen, frei, zentral
    „Bei der Bundespolizei befindet sich derzeit ein auf dem offenen Protokollstandard XMPP (Extensible Messaging and Presence Protocol) basierender Messengerdienst im Probebetrieb. Dieser Standard ermöglicht auch die Kopplung verschiedener Messengerdienste (vergleichbar wie bei E-Mail, Stichwort: Föderationsfähigkeit), so dass von Seiten der Bundespolizei kein Bedarf für die Einführung eines behördenübergreifenden Messengerdienstes gesehen wird. Stattdessen könnte eine verbindliche Festlegung auf einen Protokollstandard wie XMPP erfolgen, so dass eine behördenübergreifende Messengerkommunikation mit (ggf.) unterschiedlichen Messengerlösungen möglich wird (vergleichbar wie im Bereich der E-Mail-Kommunikation). Die Bundesregierung wird diese Einschätzungen der Bundespolizei mit Abschluss des Probebetriebs bewerten und gegebenenfalls weitere Maßnahmen prüfen.“
    Quelle: Antwort der Bundesregierung zu Polizei im digitalen Zeitalter (extern) vom 14.11.2019
    Vgl. auch: Antwort der Bundesregierung zu Digitalfunk und Einsatzkommunikation (extern) vom 11.09.2018
    Aber: Vermutlich ist keine Föderation mit anderen Servern möglich. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

  • Bundeskriminalamt: „SE-Netz“ (SE = Spezialeinheiten) - unfrei, zentral, Firmeneigentum
    „Das BKA wurde durch den AK II mit der Bereitstellung eines zentralen Einsatzkommunikations- und Unterstützungssystems (EKUS) für die Spezialeinheiten der Polizeien des Bundes und der Länder beauftragt. Als Produkt wurde durch den AK II die Software „SE-Netz“ des Fraunhofer-Instituts für Verkehr und Infrastruktur (Fh-IVI) festgelegt. Gegenwärtig erfolgt der Aufbau des Zentralsystems im BKA, die Datenanbindung der EKUS-Teilnehmer sowie die Ertüchtigung des Produkts im Hinblick auf Zentralsystemfunktionalitäten durch den Hersteller.“
    Quelle: Antwort der Bundesregierung zu Polizei im digitalen Zeitalter (extern) vom 14.11.2019
    Vgl. auch: Antwort der Bundesregierung zu Digitalfunk und Einsatzkommunikation (extern) vom 11.09.2018

  • Bundeswehr:

    • „BwMessenger“ (Matrix-Protokoll - frei, zentral, quelloffen)
      Quellen:
      heise.de (extern) vom 24.12.2019
      bwi.de (extern) vom 18.11.2020
      Aber: Wird nur Bundeswehr-intern genutzt; keine Föderation mit anderen Servern; kein Einsatz von Brücken zu anderen Systemen. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.
    • „Facebook“ (zentral, unfrei) als Marketing-Instrument
      Quelle: team-hr.de (extern) von 2019
  • Diverse Ministerien: „Wire“ für VS-NfD

    • Ausgehend vom Kanzleramt nutzen mehr als 30 Ministerien und Behörden den Messenger Wire für Verschlußsachen, Informationen Nur für den Dienstgebrauch (VS-NfD)
      Quelle: BSI Magazin - Ausgabe 2020 / 02 - vom 15.12.2020 (extern, PDF-Datei ca. 9 MB, auf Seite 10)
      Im Papier heißt es u.a.:
      Die Auswahl reduziert sich jedoch drastisch, wenn neben Benutzerfreundlichkeit auch Aspekte wie IT-Sicherheit oder Datenschutz eine Rolle spielen und Informationen ausgetauscht werden sollen, die nach der VSA „VS - Nur für den Dienstgebrauch“ eingestuft sind. Für eine sichere Kommunikation zwischen Teilnehmerinnen und Teilnehmern innerhalb der Netze des Bundes (NdB) und dem offenen Netz bleibt schließlich keine der modernen Lösungen übrig.
      Die Behauptung „es bleibt schließlich keine moderne Lösung übrig“ scheint von Lobbyisten zu stammen, denn sie stimmt nicht. Seit Jahren gibt es bewährte Systeme und internationale Standards hierfür.
      Querverweise: Empfehlung (s.u.), Schnellübersicht Messengersysteme

Bundesländer

  • Baden-Württemberg: Threema (unfrei, zentral, Firmeneigentum)
    Mit dem Pilotprojekt Messenger testet das Kultusministerium den pädagogischen Einsatz des Instant Messengers „Threema“ für die Schulen in Baden-Württemberg. Insgesamt nehmen 13 Schulen am Projekt teil. „Wir wollen die digitale Kommunikationsform dort einsetzen, wo sie pädagogisch und organisatorisch sinnvoll ist“
    Quelle: km-bw.de (extern) vom 22.11.2019

  • Bayern: „TeamWire“ (unfrei, zentral, Firmeneigentum)
    Quelle: stmi.bayern.de (extern) vom 16.05.2017
    Quelle: heise.de (extern) von 05/2017

  • Rheinlandpfalz: „poMMes“ (unfrei, zentral, Firmeneigentum)
    Kurz für polizeilicher Multimedia Messenger – ist ein vom Polizeipräsidium für Einsatz, Logistik und Technik (PP ELT) in Mainz entwickelter Messenger
    Quelle: e-recht24.de (extern) vom 31.05.2019

  • Niedersachsen: „NIMes“ (unfrei, zentral, Firmeneigentum; Basis: „Stashcat“)
    Quelle: polizei.niedersachsen.de (PDF-Datei; extern) proPolizei Heft 04/2018

  • Nordrhein-Westfalen: „Logineo“ (frei, zentral, basiert auf Element/Matrix)
    In NRW können Schulen Matrix über Server des Landes nutzen (Logineo NRW Messenger) mit gekoppeltem Jitsi.
    Quelle: Schulministerium NRW (extern)
    Aber: Förderation gibt es dabei jedoch nicht; die Instanzen sind abgeschottet. Es soll Überlegungen geben, die Instanzen soweit zu öffnen, dass zumindest eine Kommunikation zwischen Lehrkräften verschiedener Schulen möglich ist. Ob das jedoch tatsächlich kommt, muß abgewartet werden. Die Instanzen sind auch sonst stark eingeschränkt: Lehrer können Klassenchats öffnen; Schüler haben keine Möglichkeit, unabhängig davon untereinander zu kommunizieren.

  • Schleswig-Holstein und Hamburg: „Element Matrix (frei, zentral)
    „Similarly Dataport, a major IT service provider for public administration in Germany, will shortly begin to deploy a Matrix-based solution offering open source collaboration to 500k users across public offices and education throughout Schleswig-Holstein and Hamburg. The deployment, aimed at improving the region’s digital sovereignty, includes secondary schools and further education establishments in time for the September term. So far as we know, 500K users makes this the biggest single messaging and collaboration implementation in the world.“
    Quelle: element.io (extern)
    Aber: Vermutlich ist auch hier wie bei den anderen großen Matrix-Instanzen keine Föderation (Kommunikation zwischen Nutzern verschiedener Matrix-Instanzen) aktiviert und somit unterbunden. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

  • Hessen: „HePolChat“ (unfrei, zentral, Firmeneigentum; Basis: „Stashcat“)

Lokal und Regional

Rathäuser, Landkreise, TV- und Radiosender, Presse u.ä. verwenden oft
- „WhatsApp“ (!) (unfrei, Firmeneigentum) und manchmal
- „Telegram“ (unfrei, Firmeneigentum).
Auch auch hier wäre zumindest die ergänzende Nutzung von öffentlichen Chat-Standards in der Kommunikation angebracht.

Schweiz

  • „IMP“ (Instant Messenger Police) bei fast allen Polizeikorps (Code ist Firmengeheimnis; kostenpflichtig)
    Quelle: Herstellerseite „abraxas“ (extern) Stand 01/2020
  • „Threema“ bei der Verwaltung (Bundesamt für Informatik (BIT)) (kostenpflichtige Variante, Code ist Firmengeheimnis)
    Quelle: golem.de (extern) vom 14.02.2019

Frankreich

  • „Tchap“ für Französische Regierung (Matrix-Protokoll) (frei, zentral)
    Quelle: heise.de (extern) vom 21.04.2019
    Aber: Vermutlich ist auch hier wie bei den anderen großen Matrix-Instanzen keine Föderation (Kommunikation zwischen Nutzern verschiedener Matrix-Instanzen) aktiviert und somit unterbunden. Hier bitte ich um eine Information oder Korrekturmitteilung, falls das doch der Fall sein sollte.

Europa

Auf europäischer Ebene wird in der NATO zumindest das freie Jabber(XMPP) eingesetzt.
Aber: Auch hier ist vermutlich keine Föderation aktiviert.

Sonstige

Die bisher genannten Lösungen kommerzieller Anbieter sind nicht abschließend. Es gibt es noch weitere wie z.B. govchat (extern) (unfrei).


Empfehlungen für freien Chat

Von verschiedensten Stellen wird auf allenen Ebenen freie Software (=freier Chat) gefordert oder empfohlen:

  1. Bundesjustizministerium (BMJV)
    Forderung für Öffnung und Dezentralisierung der Messengerdienste.

  2. Bundesdatenschutzbeauftragter
    „Behörden und Unternehmen, die meiner Aufsicht unterstehen, rate ich regelmäßig davon ab, WhatsApp zur internen Kommunikation zu nutzen. Aus meiner Sicht sollten die Bundesbehörden einen eigenen datenschutzfreundlichen Messenger entwickeln bzw. sich an der Weiterentwicklung eines freien Messengers beteiligen, der dann schrittweise auch für die Kommunikation mit den Bürgern geöffnet werden könnte. Hierbei bietet sich die Entwicklung auf Open-Source-Basis natürlich in besonderem Maße an.“
    Quelle: Pers. Schreiben vom 29.10.2019

  3. Datenschutzbeauftragte aus anderen Bereichen
    Aber auch Datenschutzbeauftragte aus der Wirtschaft oder den Kirchen empfehlen freien Chat. Hier ein Beispiel der Kirche:
    „Die Entwicklung sowie der Einsatz und Betrieb eines eigenen Messenger-Dienstes in Kirche und Diakonie auf Basis von etablierten und frei zugänglichen Protokollen auf föderalen Servern wäre aus Sicht des Beauftragten für den Datenschutz der EKD die beste Lösung und wird daher empfohlen.“
    Quellen:

  4. Parteien stehen zu offenem Quellcode
    Fast alle Parteien sind sich einig, dass „public money - public code (extern) ein wichtiger Bestandteil bei IT-Entscheidungen sein sollte. Mit öffentlichen Geldern entwickelte Software soll als Freie Software allen Zugute kommen. Nun hat sich sogar die CDU angeschlossen und das in ihrem Parteitagsbeschluß im November 2019 in das Programm mit aufgenommen:
    „Die offenen und gemeinsam entwickelten Standards des Internets und die offenen Schnittstellen sind die Prinzipien, die wir für die Digitalisierung Deutschlands heranziehen. Nur durch Offenheit entsteht Wettbewerb, nur durch Offenheit können neue Akteure im Wettbewerb die Platzhirsche herausfordern. Deshalb gilt künftig für alle (öffentlichen) Digitalisierungsprojekte in Deutschland: Auftragsvergabe und Förderung sind an die Einhaltung der Prinzipien Open-Source und offene Standards gebunden. Durch öffentliche Mittel finanzierte Software soll allen Bürgern dienen. Zusätzlich sollen freie und offene APIs den Zugang für unabhängige Entwicklungen erleichtern.“

  5. Bundesregierung
    Wenige Tage nach dem Parteitagsbeschluß unterstreicht Bundeskanzlerin Merkel die Forderung in der Generaldebatte im Bundestag:
    ”… Das bedeutet aber als erstes mal, dass ich alles digitalisiert vorhanden habe, dass ich weiß, was ich habe. Wir sind dafür und ich kucke gerade Nadine Schön an, dass wir das auch möglichst im offenen, im ‘Open-Data’-Bereich machen - als ‘Open Source’ - dass das durchschaubar ist. Aber meine Damen und Herren, dass man daraus neue Produkte machen kann, dafür brauchen wir noch einen Kulturwandel in Deutschland der versteht, dass das dringlich ist. Und ich habe den Eindruck, dass wir da viel, viel zu langsam sind. Und dass wir sozusagen als Abgeordnete die Botschafter sein sollten ‘verschlaft diese Zeit nicht’, sonst werden Wertschöpfungsmodelle an uns vorbeigehen und wir werden zur verlängerten Werkbank - das ist meine ganz große Sorge aber ich glaube als Bundesregierung sind wir jetzt auf dem richtigen Weg. …”
    Quelle: Video von invidio.us (extern)

  6. Bildungswesen
    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein Faltblatt zum schulischen Datenschutz veröffentlicht. Hier heißt es u.a.:
    „Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung: http://lernenonline.bildung-rp.de (extern) Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers. Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-EndeVerschlüsselung anbieten, in Betracht (z. B. Wire, Hoccer, Pidgin/OTR, Chiffry oder Threema).“
    Quelle: Faltblatt Stand Nov. 2019
    Anmerkung:
    Der Herausgeber wurde darauf hingewiesen, dass Wire den Hauptsitz in die USA verlegt hat, Hoccer nicht für Kinder zu empfehlen ist (Ergänzung: Hoccer hat den Dienst im Mai 2020 eingestellt!), Pidgin nur ein mögliches Programm eines freien Messengersystem ist, Chiffry nur in einer sehr eingeschränkten Basisversion kostenlos ist und Threema ebenfalls nicht kostenlos ist. Zudem sind die meisten nicht quelloffen. Des Weiteren wird formuliert “europäische Anbieter”. Das können folglich auch Anbieter u.a. aus der Ukraine, Moldavien und Weißrussland sein.
    Es wurde der Vorschlag gemacht, hier alternativ statt dessen eine neutrale Formulierung wie „Im Geltungsbereich der DSGVO + E2EE + Open source von Server und Client“ zu verwenden. Mehr zu Messengern im Bildungswesen: >> hier <<

  7. Krankenhäuser
    In den „technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich“ wird empfohlen:
    „Es sollte zumindest optional der Einsatz offener Kommunikationsprotokolle (z.B. XMPP) möglich sein, um eine Kommunikation mit anderen Messenger-Diensten zu ermöglichen.“
    Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 07.11.2019

  8. Polizeiliches Umfeld
    Im Umfeld von Berufsgeheimnisträgern wird verstärkt über freie (und sichere!) Lösungen berichtet. So zum Beispiel im ausführlichen Artikel „Sichere Messenger bei der Polizei“

  9. Freie Messenger


Zusammenfassung

Durch eine solch unstrukturierte und gesamtgesellschaftlich unüberlegte (aus der Not heraus entstandene) Vorgehensweise mit verschiedensten Projekten gehen Millionen an Steuergeldern verloren. Außerdem begibt sich die öffentliche Hand ohne Notwendigkeit in eine kaum noch aufzulösende Abhängigkeit. Aus Sicht der zwingend einzuhaltenden Datenschutzbestimmungen müssen Systeme, bei deren Funktionen sich die Verwaltung blind auf die Aussagen kommerzieller Anbieter verlassen muss, ebenfalls als bedenklich eingeschätzt werden.

Wie bei E-Mail, Telefon oder Mobilfunk sollte eine freier Austausch auch beim Chat eine Selbstverständlichkeit sein - das ist möglich. Alle Funktionen der kommerziellen Produkte können auch auf Basis von standardisierten Protokollen realisiert werden. Hierzu muss sich die Messengerkompetenz bei Entscheidungsträgern verbessern und Lobbyisten in die Schranken verwiesen werden.

Bei allen Überlegungen sollte deshalb ein Grundgedanke über allem schweben: Steuergelder sollten nicht in Projekte gesteckt werden, die eine Abhängigkeit von Herstellern zur Folge haben. Besser formuliert:

Öffentliche Gelder -> öffentlicher Programmcode
Steuergelder sollten nur in Projekte gesteckt werden, die unabhängig von Herstellern sind.

Empfehlung

Im Gegensatz zur privaten Nutzung, bei der eine klare Empfehlung ausgesprochen werden kann, ist das bei der öffentlichen Hand jedoch nicht so einfach.

Aktuell wird gerne auf Matrix gesetzt, da dieses für Ausfallsicherheit optimal ist. Da jedoch bei aktivierter Föderation der komplette Chatverlauf auf alle Server der am Gespräch beteilgten Teilnehmer synchronisiert wird, ist das datenschutzrechtlich problematisch (Stichwort „Auftragsdatenverwaltung“). Deshalb bietet sich der Einsatz einer Brücke zum Protokoll „XMPP“ (internationaler Standard u.a. für Chat) an.

Derzeit empfehle ich deshalb die Kombination der Protokolle XMPP und Matrix: “X[M]PP”.

Querverweis: Interoperabilität