Matrix/Element aus der Perspektive eines Sicherheitsexperten

Fr, 30. Oktober 2020, Ralf Hersel

Mike Kuketz ist freiberuflicher Pentester und Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe. In seinem Blog schreibt er über sicherheits– und datenschutzrelevante Themen, um diese jedermann zugänglich zu machen. In einer bisher siebenteiligen Serie schreibt er über Messenger und unterzieht diese einer kritischen Analyse. Im aktuell siebten Teil nimmt er den Messenger Element (Matrix) unter die Lupe.

In der Serie wurden bisher diese Messenger betrachtet:

• Teil 1 - Die verrückte Welt der Messenger
• Teil 2 - Threema: Instant-Messaging-Dienst aus der Schweiz
• Teil 3 - Telegram: »Sicherheit« gibt es nur auf Anfrage
• Teil 4 - Wire: Vertrauen verspielt
• Teil 5 - Delta Chat: Messaging über die E-Mail-Infrastruktur
• Teil 6 - Conversations: Messaging über das XMPP-Protokoll
• Teil 7 - Element: Messaging über die Matrix
• Teil 8 - Briar: Anonymität und Sicherheit gehen vor

Nach der Untersuchung des Messengers Element in Teil 7 der Serie, zieht Mike Kuketz folgendes Fazit:

Element ist ein solider Messenger bzw. Client für das Matrix-Netzwerk. Über die Sicherheit des Clients als solcher kann aktuell nur spekuliert werden, da kein Security Audit vorliegt. Abgesehen davon ist der Austausch von Nachrichten zuverlässig, standardmäßig Ende-zu-Ende-verschlüsselt und ohne die Preisgabe einer Telefonnummer möglich. Das positive Gesamtbild wird allerdings von der intransparenten Finanzierungsstruktur getrübt. Zwischen der Matrix-Stiftung und der New Vector Ltd. besteht offenbar eine enge Verbindung, die einige Shareholder mit an Bord holt, die selbstverständlich eigene Interessen vertreten. Ob und wie diese allerdings Einfluss auf die Entwicklung bzw. Ausrichtung von Matrix nehmen ist ungewiss.

Eine weitere Baustelle des Matrix-Protokolls ist der Umgang mit Metadaten. Wer bei der Kommunikation möglichst auf die Speicherung von Metadaten verzichten möchte, muss sich nach einem anderen Messenger umschauen. Es bleibt insgesamt fraglich, ob die aufgezeigten Schwächen überhaupt behoben werden können. Aufgrund des föderalen Ansatzes und der Multiclient-Fähigkeit müssen gewisse Informationen systembedingt auf dem Homeserver vorgehalten werden.

Insgesamt hinterlässt Element bzw. Matrix einen durchwachsenen Eindruck. Für Nutzer, die ein hohes Autonomiebedürfnis haben, ist Matrix dennoch ein Blick wert. Den Schwächen sollte man sich dennoch bewusst sein.

Ich empfehle allen Lesern und Leserinnen, die sich für eine ausführliche Analyse der Messenger interessieren, unbedingt die Artikel der Serie zu lesen. Sie geben einen vertieften Einblick in die 'verrückte Welt der Messenger', insbesondere aus dem Blickwinkel der Sicherheit. Auch sind viele der Kommentare unter den Artikeln lesenswert, weil noch lange nicht jeder mit der Meinung des Autors einverstanden ist.

Quelle: https://www.kuketz-blog.de/element-messaging-ueber-die-matrix-messenger-teil7/