Ich stolpere immer mal wieder über Kritik an Matrix. Das sei schon auf Protokoll-Ebene Bullshit. Z.B. hier: https://wire.com/en/blog/matrix-not-safe-eu-data-privacy?utm_source=newsletter&utm_medium=email&utm_campaign=NL-202506-Matrix_Blog_Post-DE&utm_term=secure
Kann jemand helfen, das einzuordnen?
Ich frage mich, ob man z.B. auf Cryptoparties den Mitmenschen überhaupt noch Matrix empfehlen soll.
Wire macht Marketing für sich, also gegen andere. Proton verlässt die Schweiz…
Alle Messenger sind m.E. schwach was das Schlüsselmanagement angeht. Ein Messenger der für den Unternehmenseinsatz verwendet werden soll muss Schlüssel hinterlegen (oder auf E2E verzichten) um eine Auskunft erteilen oder Mitarbeiter ersetzen zu können - insofern musst Du Dir erstmal über die Kriterien des Vergleichs Gedanken machen.
Ich verwende Matrix, weil ich damit auch andere Messenger erreiche und er damit bequemer ist, nicht weil er sicherer ist.
Mir geht es hier ausdrücklich gar nicht um die Usability. Da nehme ich gerne Abstriche in Kauf, wenn ganz grundlegende Dinge stimmen.
Mir geht es hier um den Vorwurf, dass es schon auf Protokoll-Ebene kaputt ist. Wenn da wirklich etwas dran ist und es hier nicht nur drum geht, dass Wire einen Konkurrenten beschmutzen will, dann würde das für mich bedeuten, dass ich es auch keinen anderen Menschen empfehle, sondern nach einem anderen dezentralen Messenger suche.
Da kann ich nur schreiben: hör auf zu missionieren, bringt nichts. 99,9..% der Menschen verstehen die Technik oder Sicherheit sowieso nicht, Peer-Group und Usability sind wichtiger. Und alle schreiben heute “ende-zu-ende-verschlüsselt” und “sicher” drauf, weil das keine geschützten oder normierten Begriffe sind.
Eine ernsthafte Analyse vom Konzept bis zur Implementierung (Signal lässt nur letzteres auditieren) ist super kompliziert und aufwändig, das kann man nicht nebenbei machen. Aber schon alleine die Marketingaussagen von Wire finde ich so widersprüchlich, dass ich nicht auf die setzen würde. GDPR-konform und Schlüssel verlassen das Enduser-Device nicht (was auch heißt, wenn die kaputt sind kommst Du nicht mehr ran) - das passt in meinen Augen nicht zusammen und ist daher unglaubwürdig. Das erhöht meine Motivation genauer hinzusehen nicht.
Die Spezifikation selbst wird kein Bullshit sein, sondern ist sauber dokumentiert und funktioniert. Zudem ist das Wort “bullshit” nicht im Artikel von wire zu finden. Also immer hinterfragen, woher die Info kommt.
Für unternehmensinternen Einsatz ist Matrix als Slack-Alternative ein super Ersatz - als WhatsApp-Alternative eher nicht.
Es gibt nämlich tatsächlich begründete Bedenken in Bezug auf den Datenschutz bei offener Matrix-Föderation. Das hängt mit der Synchronisation zwischen allen beteiligten Servern zusammen, da Matrix überhaupt nicht z.B. mit dem Prinzip E-Mail vergleichbar ist, sonden “Chatten per verteilter Datenbanken” (a lá Git) ist. Die ausführliche Beschreibung dazu: https://www.freie-messenger.de/matrix/datenschutz
Bei dem Artikel ist zu beachten, dass dieser kurz vor der Entscheidung des IT-Planungsrats veröffentlicht wurde, eine neue, einheitliche Kommunikationsinfrastruktur auf Basis des offenen Standards Matrix sowie des Protokolls MLS zu beschließen. [Heise: Entscheidung Ende Juni: Ist bald Schluss mit dem staatlichen Postfach-Chaos?]
Element ist in einem Blogpost auf die genannten Vorwürfe eingegangen: Addressing fear, uncertainty and doubt thrown at Element and Matrix.
Der CEO von Element, Matthew Hodgson, geht in seinen Hacker-News-Kommentaren, regelmäßig auf Kritik ein: https://news.ycombinator.com/threads?id=Arathorn .
warum? Wenn ich an einer Mailingliste teilnehme oder an einer Diskussion mit reply-all an viele Teilnehmer auch anderer Organisationen teilnehme, dann gibt es auch ganz viele Kopien die nach eigenen Regeln gelöscht oder auch nicht gelöscht werden. Das Protokoll ist anders, das Ergebnis verteilte Kopien m.E. nicht. Und ja, Diskussionen laufen in Chats meist strukturierter als per Email.
Noch auf die Frage von Joachim:
Beim Datenschutz ist es nicht interesant, was man will oder ob das Ergebnis verteilten Kopien entspricht, sondern wer auf welche Daten Zugriff hat und was tatsächlich gemacht werden kann - auch wenn das evtl. gerade nicht gemacht wird.
Matrix kennt keine “Datenhoheit”, da es lt. Matrix keinen Kontrollpunkt gibt. Diese Datenhoheit ist im Zusammenhang mit dem Datenschutz jedoch elementar. Zudem ist deutsches Recht nicht unbedingt mit EU-Recht (oder gar darüber hinaus) deckungsgleich.
Wenn man bei öffentlichen Chaträumen im Vorfeld nicht weiß, ob später mal Server aus britischen, schweizerischen, us-amerikanischen oder vielleicht sogar aus totalitären Umfeld (Diktaturen) beteiligt sind, ist das bei offener Matrix-Föderation spannend
Im Einzelfall ist es am Besten, immer einen fähigen Datenschutzbeauftragten ins Boot zu holen, denn die Gleichung “Matrix=E-Mail” funktioniert nicht. Wenn, dann kann der Ablauf von E-Mail allenfalls mit dem Ablauf beim Chatten auf der Basis von XMPP verglichen werden.
Zumindest der/die Bundesdatenschutzbeauftragte kann bezüglich der offenen Matrix-Föderation kein pauschales “ist alles fein” abgeben.
Ich lasse mich gerne korrigieren - soweit jedoch mein derzeitiger Stand.
kannst Du bitte Technik von Deiner Datenschutzinterpretation trennen. Auch bei Email können auf einer Mailingliste Teilnehmer in Schurkenstaaten sein und zeitverzögert Deine Kommunikation weiteleiten. Ich sehe da wirklich keinen fundamentalen Unterschied, und Du konntest ihn mir bisher nicht erklären. Und ich würde es gerne verstehen.
Formal sind sowohl Matrix- als auch Emailbetreiber TK-Anbieter, und unterliegen in Europa sowohl der DSGVO als auch spezifischeren TK-Richtlinien der EU (z.B. die in Art. 95 DSGVO angeführten RL 2002/58). Soweit deutsches Recht vom EU-Recht ohne Öffnungsklausel abweicht ist es nichtig, die Unterschied zwischen deutschem Recht oder EU-Recht besteht also v.a. in den Köpfen von Juristen die das europäische Recht gerne ausblenden. Richtig ist aber, dass z.B. in den USA oder China anderes Recht gilt, aber schon immer war Telekommunikation rechtsraum-übergreifend. Auch da m.E. kein Unterschied zwischen Email und Messengern. Und wenn die Briten starke Verschlüsselung verbieten trifft das auch auf beides zu.