Der Einsatz von Messenger-Diensten in der Verwaltung wirft Fragen der IT-Sicherheit und Transparenz auf. Jede Behörde regelt ihren Einsatz selbst. Abseits von Wire und dem BwMessenger werden keine öffentlichen Angaben zu spezifischen Messengern gemacht.
Eine zentrale Erkenntnis der Anfrage der Linken-Abgeordneten: Die Bundesregierung hat keine Richtlinien, die den Einsatz von Messenger-Diensten in Bundesministerien einheitlich regeln. Stattdessen greifen die bestehenden Vorschriften der Registraturrichtlinie (RegR) zur Bearbeitung und Verwaltung von Schriftgut in den Ministerien. Diese Richtlinie legt jedoch keinen besonderen Fokus auf digitale Kommunikationstools wie Messenger – sie stammt aus dem Jahre 2001. Eine Aktualisierung der RegR sei derzeit nicht geplant, so die Bundesregierung. Die einzelnen Bundesbehörden regeln den Einsatz von Messenger-Diensten demnach individuell, in Form von Hausanordnungen, Dienstvereinbarungen oder Geschäftsordnungen. Die Informationssicherheitsbeauftragten der jeweiligen Behörde führen eine Risikobewertung durch und entscheiden, welche Messenger auf den Dienstgeräten installiert werden dürfen. Unterstützung erhalten sie dabei durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das eine spezielle Plattform zum Testen von Apps anbietet.
Wire als bevorzugter Messenger
Viele Ministerien nutzen den Messenger-Dienst Wire zur internen Kommunikation, darunter das Bundesinnenministerium (BMI), Bundesbildungsministerium (BMBF) sowie das Bundeswirtschaftsministerium (BMWK) und das Bundesgesundheitsministerium (BMG) in der Pilotphase. Auch in den nachgeordneten Behörden kommt Wire zum Einsatz: im Bundesamt für Sicherheit in der Informationstechnik (BSI), Bundeskartellamt (BKartA), ITZBund, Bundesverwaltungsamt (BVA), Bundeskriminalamt (BKA) und Bundesamt für Verfassungsschutz (BfV). Wie die Bundesregierung in der Vergangenheit erklärte, verschlüsselt Wire Nachrichten Ende-zu-Ende und hat vom BSI eine Freigabeempfehlung für den Einsatz in der Bundesverwaltung bis zum Verschlussgrad „VS – Nur für den Dienstgebrauch“ (VS-NfD) erhalten. Die Server können bei Bedarf On-Premises betrieben werden. Der Hersteller Wire Swiss GmbH hat seinen Sitz in der Schweiz.
Auch das Bundesministerium der Verteidigung (BMVg) nutzt Wire bei ausgewählten Endgeräten in einem Pilot-Projekt. Vorrangig kommt aber der speziell für die Bundeswehr entwickelte BwMessenger zum Einsatz. Keine andere Behörde oder Ministerium nutzt diesen – zumindest bislang. Wire (Bund) kann nicht über öffentliche App-Stores heruntergeladen und demnach im Regelfall nicht auf privaten Geräten installiert werden.
Sicherheitskritische Informationen
Welche Bundesbehörden welche anderen Messenger verwenden, beantwortet die Bundesregierung nicht öffentlich. Diese Information wird als VS-NfD eingestuft und dem Deutschen Bundestag gesondert übermittelt. Grund dafür sind Sicherheitsbedenken. Details zu den genutzten Messengern könnten Cyber-Angriffe und Sabotageversuche auf Behörden und Ministerien erleichtern.
Besonders sensibel sind Informationen zur Messenger-Nutzung durch den Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV). Die Bundesregierung befürchtet, dass die Nennung weiterer genutzter Messenger-Dienste Rückschlüsse auf die Arbeitsweise des Verfassungsschutzes ermöglichen könnte. Auch bestünde die Gefahr, dass ausländische Akteure Sicherheitslücken der Messenger nutzen könnten, um die dienstliche Kommunikation des BfV auszuspionieren. Weiterhin gebe es kleinere Messenger-Dienste, welche bevorzugt von Extremisten genutzt werden. Würde bekannt, welche Messenger das BfV nutzt, könnten so sein „Aufklärungsinteresse“ vermutet und seine Arbeit beeinträchtigt werden. Auch könnten womöglich BfV-Mitarbeitende identifiziert werden.
Vorwurf der Intransparenz
Die Linksfraktion bemängelt in ihrer Anfrage die fehlende Transparenz behördlichen Handelns, wenn Messenger verwendet werden. Die Abgeordneten sind der Überzeugung, dass in Chats über Entscheidungen beraten würde, die anschließend nicht aktenkundig seien. Somit sei das Behördenhandeln in diesen Fällen nicht nachvollziehbar und für die Öffentlichkeit zu kontrollieren. Die Bundesregierung erläutert, dass die Aktenrelevanz von Informationen aus Messenger-Diensten im Einzelfall geprüft werden müsse.
Grundsätzlich seien alle entscheidungsrelevanten Informationen unabhängig von ihrem Übermittlungsweg zu dokumentieren – dies schließe auch Messenger-Nachrichten ein. In der Regel dienten Chatnachrichten aber nur der internen und persönlichen Kommunikation. Bislang wurden dem Bundesarchiv keine Chat-Nachrichten aus Bundesbehörden zur Archivierung angeboten. Die automatische Archivierungsfunktion von Wire nutzt die Bundesregierung nicht.
Liebes Behörden Spiegel Team, liebe Leser:innen,
im Artikel wird erwähnt, dass der Hersteller Wire Swiss GmbH seinen Sitz in der Schweiz hat. Doch eine kurze Internet-Recherche offenbart eine komplexere Geschichte: Wire verlegte 2019 seinen Hauptsitz in die USA, was damals Fragen zur Datensicherheit aufwarf. Später wurde ein Umzug nach Berlin verkündet. Wurde diese bewegte Firmengeschichte in der Analyse der Bundesregierung berücksichtigt? Und was bedeutet sie für die Datensicherheit und rechtliche Einordnung des Dienstes?
Der Artikel erwähnt Wire als bevorzugten Messenger in vielen Ministerien und Behörden. Was jedoch nicht angesprochen wird, ist die Frage, wie lange dieser „Piloteinsatz“ noch andauern soll. Es drängt sich der Eindruck auf, dass wir es hier mit einem „Pilot, der nie endet“ zu tun haben. Könnte dies an einer mangelnden Akzeptanz unter den Nutzern liegen? Den Piloten gibt es schon länger zu Wire BUND. (https://fragdenstaat.de/anfrage/entscheidungsgrundlage-fuer-den-einsatz-von-wire-bund-als-pilotprojekt/)
Der BwMessenger, eine Entwicklung des BWI auf Basis Open-Source Software von Matrix und elements, hat bereits über 100.000 Nutzer:innen, so das Internet, und läuft auf dienstlichen wie privaten Smartphones (eine NfD-Lösung soll es auch noch geben). Anfang September 2024 startete die Föderation mit dem BundesMessenger, was eine sichere, organisationsübergreifende Kommunikation ermöglicht (https://www.bwi.de/magazin/artikel/foederation-schafft-sicheres-messaging-zwischen-bundeswehr-und-bwi).
Ein wichtiger Aspekt, der bisher weder im Originalartikel noch in unserer Analyse ausreichend beleuchtet wurde, sind die Kosten.
Einen Einblick in die Kosten der Messenger von BMVg und BWI gibt es auch bei Frag den Staat:
– Wire: Als kommerzielles Produkt fallen hier Lizenzkosten an. Alle Infos dazu hier (https://fragdenstaat.de/anfrage/kosten-und-sicherheit-von-wire-bund/899160/anhang/29062023-ifg-280198-geschwarzt.pdf)
– BwMessenger/BundesMessenger: Als Eigenentwicklung auf Open-Source-Basis fallen hier primär Entwicklungs- und Betriebskosten an. Alle Infos dazu hier (https://fragdenstaat.de/anfrage/kosten-und-sicherheit-von-bwmessenger-und-bwchat/)
Eine detaillierte Analyse beider Kostenstrukturen wäre sicher aufschlussreich.
Das Thema mit der Transparenz und der Flucht ins Geheimnis. Offenbar haben einige Behörden aus der jüngeren Geschichte nichts gelernt..blödes Neuland. Während BMI und BMVg offen über ihre Messenger-Technologien sprechen, hüllen sich andere in geheimnisvolles Schweigen – als hätten die zahlreichen Fälle von erfolgreichen Cyberangriffen auf vermeintlich sichere Systeme nicht eindrucksvoll bewiesen, dass Geheimhaltung allein keine Sicherheit garantiert.
In Zeiten von Open Source und kollaborativer Sicherheitsforschung wirkt diese Geheimniskrämerei wie ein digitaler Kopf-in-den-Sand-Ansatz: aufwändig, teuer und letztlich kontraproduktiv. Vielleicht sollten die zögerlichen Behörden einen Blick auf erfolgreiche Open-Source-Sicherheitsprojekte werfen – oder einfach mal mit ihren Kollegen vom BMVg oder BMI chatten.
Aber Vorsicht: Dafür müssten sie erst einmal einen funktionierenden Messenger haben.
Viele liebe Grüße
Andi