Home Office Tools (Teil 2: Messenger)

Messenger

von Jan Ulrich Hasecke – erschienen am 27.04.2020 – Technik, Sicherheit, Datenschutz, Tools

Die Coronakrise versetzte Hunderttausende von heute auf morgen ins Home Office. Das macht eine zentrale Frage der Digitalisierung plötzlich ganz akut. Welche Tools braucht eine Organisation, deren Mitarbeiter dezentral und digital über das Internet zusammenarbeiten? Im zweiten Teil unserer Blogserie über Home Office Tools geht es um Instant Messenger für den Unternehmenseinsatz

Die Serie im Überblick

Instant Messenger versprechen eine schnelle und direkte Kommunikation, ohne dass die eintreffende Nachricht den Empfänger gleich so stark ablenkt wie ein Telefongespräch. Eine Chat-Nachricht hat aber auch einen informelleren Charakter als eine E-Mail und ist viel schneller geschrieben. Das macht Instant Messenger für den Einsatz im Unternehmen und damit auch im Home Office interessant. Sie ersetzen den Flurfunk des Büros durch eine digitale Lösung.

Das Chatten unter Freunden und Kollegen ist so beliebt, dass viele verschiedene Messengerdienste entstanden sind. Das bekannteste und kommerziell erfolgreichste System ist WhatsApp, ein Dienst, der zu Facebook gehört und vor dem Datenschützer regelmäßig warnen. Glücklicherweise haben Unternehmen Alternativen. Es gibt erprobte Open-Source-Lösungen, die ein Unternehmen einsetzen kann.

Die Lösungen basieren auf Protokollen, die leider nicht immer untereinander kompatibel sind. Einige Systeme können aber über sogenannte Bridges miteinander verbunden werden. Bei der Auswahl einer geeigneten Unternehmenslösung gibt es also einiges zu bedenken.

Datenschutz und Datensicherheit an erster Stelle

Wenn Sie digitale Unabhängigkeit und ein hohes Datenschutzniveau anstreben, fallen die proprietären Systeme, bei denen Nachrichten und Metadaten über einen zentralen Server geleitet werden, sofort unter den Tisch. Denn hier ergeben sich Bedenken hinsichtlich der Datensicherheit und des Datenschutzes. Manchmal können die Nachrichten selbst zwar Ende-zu-Ende verschlüsselt werden, sodass der Diensteanbieter sie nicht mitlesen kann. Aber die Metadaten, also zum Beispiel die Information, wer wann mit wem kommuniziert hat, werden in der Regel nicht verschlüsselt.

Es ist daher empfehlenswert, einen Messengerdienst auf eigener Infrastruktur zum Beispiel bei Hostsharing zu betreiben.

Im ersten Teil unserer Blogserie haben wir mit DeltaChat eine Lösung präsentiert, die auf bestehender E-Mail-Infrastruktur aufbaut, sodass Sie auf der Hostsharing Plattform keine zusätzliche Software installieren müssen, um einen unternehmensweiten Messengerdienst aufzubauen.

Es gibt aber gute Gründe, ein dezidiertes Instant Messaging System zu betreiben. Im Folgenden wollen wir Ihnen deshalb eine Auswahl empfehlenswerter Systeme vorstellen.

XMPP – die Mutter aller Messengerprotokolle

Viele Messenger nutzen das standardisierte Extensible Messaging and Presence Protocol (XMPP), das eigens für die Echtzeit-Kommunikation entwickelt wurde und weit verbreitet ist. Das Protokoll ermöglicht den Austausch von Nachrichten zwischen zwei oder mehreren Benutzern. Es zeigt den Online-Status der Benutzer an und überträgt Dateien zwischen zwei Teilnehmern. Mit Hilfe von Erweiterungen können zusätzliche Funktionen implementiert werden, sodass das Messengersystem den individuellen Bedürfnissen eines Unternehmens sehr gut angepasst werden kann. So ist zum Beispiel mit der Erweiterung OMEMO eine Ende-zu-Ende-Verschlüsselung von Nachrichten möglich, die Perfect Forward Secrecy und Plausible Deniability gewährleistet.

Wenn Sie das Messengersystem ohne Federation nur innerhalb Ihres Unternehmens einsetzen, bietet bereits die Transportverschlüsselung einen hohen Schutz.

Alle Programme und Apps, die XMPP unterstützen, können untereinander Nachrichten austauschen. Die Teilnehmer müssen sich dafür nicht einmal auf dem gleichen Server anmelden.

Server und Clients

Um einen Messengerdienst im Unternehmen zu implementieren, benötigt man einen XMPP-Server und Client-Programme auf den Endgeräten der Mitarbeiter. Die Auswahl sowohl an Servern als auch an Clients ist groß.

Die Grundfunktionen von XMPP werden von allen Servern unterstützt. Wenn man spezielle Funktionen nutzen möchte, muss man sich die Leistungen der Server genauer anschauen. Es gibt Implementierungen in verschiedenen Programmiersprachen. Ejabberd ist in Erlang geschrieben und einer der beliebtesten Server. Er unterstützt auch die Konfiguration einer Single-Sign-On-Lösung mit Active Directory/LDAP. Der XMPP-Server Prosody ist in Lua programmiert, Openfire in Java und Jackal in Go.

Da es sich bei XMPP um ein standardisiertes Protokoll handelt, können Nachrichten – wie bei E-Mail – auch mit Personen ausgetauscht werden, die kein Konto auf Ihrem Unternehmens-Server haben. Das erleichtert bei Bedarf die Einbindung von Kunden, Lieferanten und freien Mitarbeitern.

Mitglieder von Hostsharing können sich vom Webmaster on Demand bei der Auswahl der Software und der Konfiguration des Dienstes beraten lassen.

XMPP-Clients gibt es für alle Betriebssysteme und Endgeräte. Hostsharer haben auf Android mit Conversations und unter iOS mit ChatSecure gute Erfahrungen gemacht.

Mattermost

Mattermost ist ein webbasierter Instant-Messaging-Dienst, der einen anderen Weg geht. Es handelt sich um einen Webservice auf einem zentralen Server, an dem alle Teilnehmer angemeldet sein müssen. Mattermost kann auf der Managed Operations Platform von Hostsharing installiert werden.

Mattermost unterstützt den Chat zwischen Einzelpersonen sowie über sogenannte Kanäle auch die Kommunikation in Gruppen. Auf der Website des Herstellers wird Mattermost mit Slack und Microsoft Teams verglichen. Die moderne Weboberfläche und seine Funktionsvielfalt machen Mattermost zu einer attraktiven Lösung, die die unternehmensinterne Kollaboration revolutionieren kann. Die Anforderungen an die technischen Ressourcen sind höher als bei XMPP, da Mattermost eine datenbankbasierte Lösung ist.

Gegenüber proprietären Software-as-a-Service-Lösungen wie Slack oder Microsoft Teams hat ein selbstgehosteter Mattermost-Server große Vorteile. Sämtliche Daten und Metadaten bleiben im Unternehmen und werden nicht an fremde Unternehmen transferiert und dort gespeichert.

Es stehen Clients für alle wichtigen Betriebssysteme zur Verfügung.

Gegen Mattermost sprechen folgende Argumente.

  1. Die Software ermöglicht nur die Kommunikation mit Teilnehmern, die auf dem gleichen Server ein Konto besitzen. Wenn Sie mit Lieferanten, Kunden und freien Mitarbeitern über Mattermost kommunizieren wollen, müssen Sie den Personen zunächst ein Konto auf Ihrem Mattermost-Server installieren. Das macht Mattermost gegenüber XMPP-Lösungen unflexibler.

  2. Mattermost wird nicht von einer unabhängigen Community, sondern von einem Unternehmen entwickelt und in unterschiedlichen Lizenzen vertrieben. Dadurch entsteht, obwohl Mattermost unter einer Open-Source-Lizenz steht, eine gewisse Abhängigkeit von einem einzelnen Unternehmen, dessen Geschäftspolitik man als Nutzer in keinster Weise beeinflussen kann.

  3. Eine Single-Sign-On-Lösung, wie man sie zum Beispiel mit Active Directory/LDAP realisieren kann, wird nur von der kostenpflichtigen Enterprise-Edition unterstützt. Hier zeigt sich eine der zentralen Schwächen von Software, die nicht ausschließlich unter einer Open-Source-Lizenz steht, sondern vom Hersteller auch kommerziell vertrieben wird. Will man Features der Enterprise-Lösung nutzen, gerät man in einen Vendor-Lockin.

Rocket Chat

Rocket Chat hat ein ähnliches Funktionsprinzip wie Mattermost, allerdings unterstützt Rocket Chat auch die Kommunikation zwischen zwei oder mehreren Servern (Federation), sodass Sie mit externen Mitarbeitern, Kunden und Lieferanten kommunizieren können, wenn diese auf einem anderen Rocket-Chat-Server ein Benutzerkonto haben. Das System wird als Webservice auf einem zentralen Server installiert. Benutzer können auch über Single-Sign-On-Lösungen verwaltet werden. Die Funktionen von Rocket Chat decken sich im Großen und Ganzen mit denen von Mattermost. Die Entwicklung wird von einer Community getragen. Es stehen Desktop und Mobile Apps sowie Installationsroutinen für gängige Server-Deployments zur Verfügung.

Matrix und Riot

Matrix ist wie XMPP ein offener Standard für die dezentralisierte Echtzeitkommunikation per Chat, IP-Telefonie und Video-Telefonie. Über sogenannte Bridges ist die Einbindung anderer Protokolle wie zum Beispiel XMPP möglich. Die Entwicklung der Matrix Spezifikation wird von einer Stiftung koordiniert. Server- und Clientprogramme werden in der Regel unter einer freien Lizenz entwickelt.

Matrix ermöglicht wie E-Mail und XMPP die Kommunikation zwischen Personen, die auf verschiedenen Servern ein Konto besitzen. Sie können also selbst dann mit externen Mitarbeitern, Kunden und Lieferanten kommunizieren, wenn diese nicht auf Ihrem Server, sondern auf einem anderen als Benutzer registriert wurden. Dies macht aus Matrix ein universelles Kommunikationswerkzeug, das wie beim E-Mail-Verkehr Organisationsgrenzen überspringen kann. Das System stellt dem Benutzer ähnliche Funktionen zur Verfügung wie Slack oder Mattermost.

Es gibt verschiedene Clients für Matrix. Der bekannteste ist Riot, weshalb Matrix und Riot oft in einem Atemzug genannt werden.

Die Entwicklung von Matrix hat in den letzten Jahren Rückenwind von der Politik bekommen. So wurde Matrix im Jahr 2018 von der französischen Regierung als Basis für einen sicheren Regierungs-Messengerdienst ausgewählt. Und die deutsche Regierung evaluiert Matrix für den Einsatz bei der Bundeswehr.

Der Referenzserver für Matrix ist Synapse. Die Installation der Software wird im Hostsharing-Wiki beschrieben.

Auf der hochverfügbaren Managed Operations Platform von Hostsharing lässt sich Matrix nicht nur sicher und zuverlässig betreiben. Es können auch, wie das Beispiel eines Messengerdienstes im kirchlichen Umfeld zeigt, hohe datenschutz- und seelsorgerechtlichen Anforderungen erfüllt werden.

TIPP: Webmaster-Dienste nutzen
TIPP: Webmaster-Dienste nutzen

Mitglieder von Hostsharing können beim Betrieb von Messenger-Diensten den Webmaster on Demand oder den Webmaster as a Service in Anspruch nehmen.

Der Webmaster on Demand erledigt punktuelle Arbeiten, wie zum Beispiel die Erst-Installation der Software. Der Webmaster as a Service betreut die Anwendung im Auftrag des Mitglieds kontinuierlich. Er spielt beispielsweise regelmäßig Software-Updates ein.

Die Webmasterdienste wurden geschaffen, um auch Mitgliedern mit geringeren technischen Ressourcen zu mehr digitaler Unabhängigkeit zu verhelfen.

Photo by NordWood Themes on Unsplash