Interview: Über den Bundeswehr-Messenger und warum Open Source wichtig ist

Sichere, verschlüsselte Kommunikation spielt besonders bei der Bundeswehr eine wichtige Rolle, stellt Anwender und Entwickler aber immer wieder vor Herausforderungen. heise online hat mit Björn Reiners, Produktmanager bei der BWI GmbH, dem bundeseigenen IT-Dienstleister der Bundeswehr gesprochen. Er begleitet den BwMessenger, den Messenger der Bundeswehr, seit Beginn. Im Gespräch ging es um die Anforderungen an den sicheren Messenger und die Zusammenarbeit mit der Matrix Foundation. Deren Open-Source-Protokoll bildet die Basis für den BwMessenger und einen geplanten BundesMessenger.

heise online: Das Fundament für den BwMessenger bildet das Matrix-Protokoll. Wie ist denn überhaupt die Zusammenarbeit mit Matrix zustande gekommen?

Björn Reiners: Vor ungefähr fünf Jahren hat auch das Bundesministerium der Verteidigung (BMVg) den Trend des Messengers erkannt. Das war zu der Zeit, wo man auf dem Smartphone WhatsApp hatte. WhatsApp in der Bundeswehr ist jedoch aus Datenschutzgründen und so wie es betrieben wird, nicht erlaubt. Darum kam die Frage nach einem eigenen Messenger auf. Wichtig war auch der Betrieb On-Premises in eigenen Rechenzentren zum Zweck der Datenhoheit. Bei WhatsApp wäre beispielsweise keine permanente Ende-zu-Ende-Verschlüsselung möglich gewesen. Auch bei vielen anderen Messengern war das zu dem Zeitpunkt nicht der Fall. Die Bundeswehr braucht da einen dezentralen Aufbau – verschiedene Server für das Messaging und diese können sich miteinander verbinden. Es gibt des Weiteren Vorgaben bei der Bundeswehr, dass etwa Sicherheitsdomänen zu trennen sind.

Also es gibt beispielsweise Bereiche für offene Kommunikation, die isoliert von nicht offener Kommunikation aufgebaut werden. Das geht so weit, dass die Bundeswehr ein Messaging-System gesucht hat, das im Heimatland, aber auch im Einsatz aufgebaut werden kann. Das Matrix-Protokoll hatte das damals geliefert. Und auch heute ist Matrix eines der wenigen Protokolle, die Messaging mit dezentralem Ansatz unterstützen. Gleichzeitig verfolgt Matrix auch einen Open-Source-Ansatz, den wir in eigener Regie bedarfsgerecht weiterentwickeln können, damit es in eigenen Rechenzentren stattfindet, mit hoher Sicherheit und Dezentralität. Zu weiteren möglichen Messenger-Kandidaten, die wir evaluiert haben, gehörten beispielsweise Mattermost, Threema for Work, Signal oder Stashcat. Mit den verschiedenen Produkten haben wir dann auch im Labor herumexperimentiert. Gegen Signal haben wir uns beispielsweise entschieden, weil man zur Registrierung eine Telefonnummer braucht und andere Vorgaben für uns nicht in Ordnung waren.

Wie ging es dann weiter?

Wir haben nach reiflicher Überlegung Kontakt zu der Matrix Foundation aufgenommen. Das waren damals Matthew Hodgson und Amandine Le Pape. Das war zu der Zeit, als Frankreichs Regierung anfing, einen Messenger auf Matrix-Basis zu nutzen. Da sind wir auf die Idee gekommen, den BwMessenger zu bauen, angepasst auf die Bedürfnisse der Bundeswehr. Das BMVg hat sich nach Erprobung anderer Messenger durch den CIH für den BwMessenger entschieden.

Gibt es beim BwMessenger und dem BundesMessenger gleiche Projektgruppen?

Der BwMessenger ist ein Open-Source-Projekt der Bundeswehr, das bedarfsgerecht hergestellt worden ist. Im Jahr 2021 wurde eine Vereinbarung zwischen dem BMVg und dem Bundesministerium des Inneren (BMI) zur Stärkung der digitalen Souveränität geschlossen. Dort wurde festgelegt, dass der auf Matrix basierende Open-Source-Messenger anderen Behörden zur Nachnutzung als Blaupause zur Verfügung gestellt werden soll.

Jedoch enthält der BwMessenger Anteile, die der militärischen Sicherheit unterliegen und aus diesem Grund entfernt wurden. Das Produkt hieraus ist ein generisches Produkt, der BundesMessenger. Er enthält die gleiche Source-Code-Basis und baut genauso wie der BwMessenger auf dem Quellcode von Matrix oder Element auf, dem Messenger von Matthew Hodgson und Amandine Le Pape. Gemeinsam entwickeln wir dann an verschiedenen Features weiter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt etwa einen neuen kryptologischen Standard in Aussicht (PDF) – das Messaging Layer Security (MLS). Den wollen wir unbedingt nutzen und beteiligen uns auch an der Integration in Matrix. Ziel ist, dass Sicherheit von Anfang an mitgedacht wird und weniger umständlich ist wie beispielsweise das Verschlüsseln von E-Mails mittels PGP-Key. Damit keiner überlegt, ob er die Sicherheit aus Gründen der Performanz ausschaltet.

Wir wollen den MLS-Standard einsetzen, weil er mit der Perfect Forward Secrecy (PFS) und Post-Compromise Security (PCS) mehr Sicherheitsgarantien bietet als die bisherigen Verfahren. Außerdem ist es so, dass MLS Gruppen mit bis zu 50.000 Nutzern eine verschlüsselte Kommunikation erlaubt. WhatsApp-Nutzer mögen sich jetzt fragen: "Wofür brauche ich das?" In der Bundeswehr oder in der Verwaltung hat das allerdings schon eine Relevanz, wenn man sehr große Gruppen hat oder auch Dinge mit dem Internet of Things (IoT) macht. Für eine Nationen-übergreifende Zusammenarbeit ist das ebenfalls hilfreich. Beim BwMessenger haben wir beispielsweise Gruppen mit mehr als 4.500 Nutzern. Da kann es schon einen Moment dauern, bis das ganze Schlüsselmaterial für die Nachrichten ausgetauscht ist. Mit dem Einsatz von MLS wird das noch mal deutlich performanter.

Welche Schlüssel kommen aktuell zum Einsatz?

Aktuell nutzen wir ein Verfahren, das auf das Diffie–Hellman und auf das Double-Ratchet-Verfahren aufbaut, sowie auch Signal es macht, das soll in Zukunft durch MLS ersetzt werden. MLS setzt auf einen sogenannten Binary Tree auf, so funktioniert der Schlüsselaustausch in MLS. Signal erlaubt derzeit Gruppen mit maximal 1.000 Leuten, ansonsten würde man das vielleicht an der Performanz merken. Mit "Matrix over MLS" wollen wir das aktuelle-Verfahren in Matrix in Zukunft durch MLS ersetzen. In Deutschland sind wir sehr früh dabei, diesen Standard einzuführen. Das ist sehr vielversprechend, auch für große Unternehmen.

Wenn das in Element beziehungsweise im Bw- und BundesMessenger integriert wird, ist das natürlich eine gute Sache, da es dann früh für alle zugänglich ist und ein bisschen mehr Sicherheit für alle bedeutet.

Gibt es auch so etwas wie verschlüsselte Sprachnachrichten? Ist das nicht sehr rechenaufwendig?

Ja, es gibt sichere Sprachnachrichten. Bei Verschlüsselung entsteht immer etwas mehr Datenkonsum, aber bei uns heißt es: Safety First. Für uns ist Sicherheit so wichtig, dass wir sie so umsetzen, dass niemand aufgrund von Performance-Problemen darüber nachdenken wird, die Verschlüsselung auszuschalten. Wir evaluieren neue Funktionen wie verschlüsselte Sprachnachrichten oder das Teilen des Standorts, darauf, wie sicher und datenschutzkonform sie sind. Erst dann kümmern wir uns darum, wie es aussehen könnte. Es muss im Kontext der Bundeswehr sicher sein.

Also kommt wahrscheinlich auch kein Google Maps zum Einsatz, sondern Standortkoordinaten?

Exakt. Wir nutzen dann datenschutzkonforme Alternativen, also Geoinformationen oder ähnliches, wo wir keinen Fußabdruck hinterlassen und was den Sicherheitsvorgaben der Datenschutz-Grundverordnung (DSGVO) entspricht.

Wie arbeiten Matrix und die BWI GmbH zusammen?

Wir haben eine Entwicklungspartnerschaft mit Element, der Firma hinter Element und der Matrix Foundation. Sofern dieser endet, machen wir entweder einen neuen Rahmenvertrag oder treten der Matrix Foundation bei. Wir bringen Ressourcen für die Entwicklung ein, stellen Code bereit und testen auch viel. Die Community ist für uns das vierte Paar Augen. Dabei wird sowohl Code von uns eingebracht als auch durch uns finanzierter Code beziehungsweise Funktionen Open Source wie der neue Composer oder Sprachnachrichten und so weiter. Wir haben immer gesagt: Das Produkt muss leben, damit wir ein stabiles Fundament haben, auf dem wir aufbauen können und das sicher ist.

Wie arbeitet die BWI GmbH? Muss man sich das vorstellen wie in einer Behörde?

Wir setzen auf hybrides Projektmanagement. Nach Innen arbeiten wir tatsächlich agil mit Scrum, einem Jira-Board mit Backlog und User-Stories und allem, was zu einem Software-Projekt dazugehört. Wir setzen auf einen Nutzer-zentrierten Ansatz. Ebenfalls für die Bundeswehr relevant ist der Mobile-First-Ansatz.

Wie kann man sich den BwMessenger als Anwendung vorstellen?

Es ist ähnlich wie WhatsApp, wobei wir drei Standard-Funktionen für den Austausch haben: Die Direct Message (DM), den geschlossenen Raum, in den eingeladen werden muss und es gibt offene Communities, nach denen auch gesucht werden kann. Außerdem verfügen wir auch über andere Funktionen, etwa eine Abstimmungsfunktion oder ein Schwarzes Brett. Es gibt auch einen Desktop-Client, der aus dem Netz der Bundeswehr erreichbar ist.

Ist es aktuell so, dass Angehörige auch den BwMessenger nutzen können?

Grundsätzlich ist der BwMessenger nur für Bundeswehrangehörige und das BMVg verfügbar. Perspektivisch sollen über ein Extranet der Bundeswehr eine weitere BwMessenger-Instanz zur Verfügung gestellt werden. Das System soll mit dem bestehenden BwMessenger föderieren. Damit können Soldaten im Einsatz zum Beispiel sicher mit der Familie kommunizieren, aber auch für Reservisten soll das möglich sein.

Wir haben den BundesMessenger im Dezember 2022 auf der Plattform des BMI, Open CoDE zur Verfügung gestellt. Open CoDE ist etwas wie Github für die öffentliche Verwaltung. Nach der Veröffentlichung haben sich viele Interessenten bei uns gemeldet, die den BundesMessenger nutzen wollen. Schnell hat sich auch die Frage nach Betrieb und Support für das Produkt abgebildet. Genau das, was die BWI GmbH exklusiv nur für die Bundeswehr macht. Nicht jede Behörde hat wie bei der Bundeswehr eigene Rechenzentren oder die Mittel für den Betrieb eines Messengers. Wir haben den Aufbau vom Backend vereinfacht, sodass dieser mit wenigen Befehlen möglich ist. Derzeit evaluieren wir das, um Ende des Jahres Realease 1.0 zu erreichen.

In welchem System ist dann das Backend und ist das dann auch komplett Open Source?

Das ist auch komplett Open Source, sowohl Backend als auch Frontend. Als BWI stellen wir die App BundesMessenger in den App Stores zur Verfügung, aber auch alle anderen Komponenten. Um den BundesMessenger betreiben zu können, braucht man ein Backend – also ein Rechenzentrum oder ein entsprechender Dienstleister, der ein geeignetes hat. Die Betriebsplattform hierfür ist Kubernetes, die wir auf den Vorgaben der deutschen Verwaltungscloud Strategie (DVS) umsetzen. In diesem Kubernetes-Cluster können Sie das BundesMessenger-Backend recht flott installieren. Anschließend gibt es dann noch eine Freischaltung durch die BWI zur Nutzung des Backends in der App.

Welche Motivation steckt bei Ihnen dahinter?

Es gibt für uns eine Vereinbarung zwischen BMI und BMVg und die heißt, baut eine Blaupause für einen Messenger, die auf OpenCoDE vom BMI veröffentlicht wird und das ist der BundesMessenger. Finanzielle Vorteile haben wir dadurch nicht. Aber je mehr Menschen das testen, desto eher werden wir auch auf Chancen und Risiken aufmerksam gemacht. Durch die Möglichkeit zur Föderation entsteht eine Schnittstelle. Damit kann durch die Nutzung des BundesMessengers in Deutschland ein Netzwerk entstehen.

Wenn wir viele BundesMessenger-Server haben, die sich föderiert miteinander verbinden, könnte es in Zukunft beispielsweise die Möglichkeit geben, dass es zwischen der Bundeswehr und anderen Bereichen der öffentlichen Verwaltung Kommunikationsmöglichkeiten geben kann, etwa mit der Polizei oder der Feuerwehr, einem THW oder einzelnen Gemeinden. Diese Schnittstellen könnten im Krisenfall, wie beim Ahrtal-Hochwasser, schnell aktiviert werden. Wir haben die Möglichkeit, eine souveräne Kommunikationsplattform zu schaffen, die wir bedarfsgerecht für die öffentliche Verwaltung weiterentwickeln können. Gleichzeitig müssen wir auch aufpassen, dass die Open-Source bleibt, was es ist.

(mack)