Diese Woche hat das EU-Parlament die Chatkontrolle zum zweiten Mal abgelehnt. 311 Abgeordnete dagegen, 228 dafür. Klingt nach einem Sieg. Ist keiner.
Der dritte Versuch kommt. Er kommt immer. Jedes Mal mit neuem Namen, neuem Framing — aber “Kinderschutz!” bleibt der Hebel, der nie wechselt. Und interessanterweise stimmten diesmal die Sozialdemokraten (S&D) mehrheitlich dafür. Links-Rechts erklärt bei Überwachungsfragen schon lange nichts mehr.
Was das mit euren Apps zu tun hat? Alles.
Denn solange ihr über Apps redet statt über Infrastruktur, spielt ihr das Spiel mit das die Chatkontrolle erst möglich macht. Jedes Mal wenn irgendwo eine Behörde gehackt wird, ein Journalist verhaftet wird oder ein Skandal rauskommt, geht das Gleiche los: “Nutzt Signal!” Oder neuerdings: “Nutzt Matrix!” Oder Session. Oder Threema. Oder was auch immer gerade im Trend ist.
Das Problem ist nicht die App. Das Problem ist das Denken dahinter.
Crypto löst nicht das, was du denkst #
Die NSA hat im Jahr 2013 durch Edward Snowden ein Problem bekommen: Die Öffentlichkeit erfuhr, dass in Bluffdale, Utah, ein Datenzentrum für geschätzte 1,5 Milliarden Dollar gebaut wurde. Zweck: Alles speichern. Wirklich alles. Verschlüsselt oder nicht.
Warum verschlüsselt oder nicht? Weil Verschlüsselung ein Zeitproblem ist, kein absolutes. Was heute mit AES-256 sicher ist, ist morgen mit Quantencomputern vielleicht Klartext. Harvest now, decrypt later heißt die Strategie — sammle heute, entschlüssele wenn die Rechenleistung da ist.
Das ändert die Frage fundamental: Nicht “wie gut ist die Verschlüsselung?” sondern “wie viel ist die Information in 10 Jahren noch wert?”
Für die meisten Menschen: nicht viel. Für Journalisten, Aktivisten, Whistleblower: sehr viel.
Zentralisierung ist das eigentliche Angriffsziel #
Signal ist technisch gut. Das Protokoll ist solide, die Kryptographie ist state-of-the-art. Aber Signal ist ein US-Unternehmen mit einem Server in den USA. Ein Server, ein Betreiber, eine Jurisdiktion.
Metadata leakt Signal übrigens trotzdem: wer wann mit wem kommuniziert, ist nachweislich aus Traffic-Analysen rekonstruierbar, selbst ohne Nachrichteninhalte zu kennen.
WhatsApp (Meta), Telegram (Serverinfrastruktur in Dubai, Eigentümer in Dubai, Steuern auf den Britischen Jungferninseln) — alles zentrale Dienste. Ein Warrant, ein Serverzugriff, eine Backdoor-Anfrage genügt.
Matrix macht es bunter: Jeder kann einen Server betreiben. Aber de facto dominiert matrix.org als Heimserver mit einer riesigen Nutzerbasis. Und Matrix hat ein weiteres Problem: Es ist ein Protokoll das so gebaut wurde als hätte ein VC-finanziertes Startup beschlossen, IRC neu zu erfinden — mit Blockchain-Ästhetik, Room-State-DAGs und einer Komplexität, die selbst erfahrene Admins regelmäßig in die Knie zwingt.
XMPP: Das Protokoll das alle vergessen haben #
XMPP ist langweilig. Das ist das Beste was man darüber sagen kann.
Es existiert seit 1999. Es ist ein offener Standard (RFC 6120+). Es war mal das Rückgrat von Googles GTalk. Und es war — weniger bekannt — technisch Teil der frühen Skype-Infrastruktur für Präsenzmanagement, bevor Microsoft das in eine proprietäre Suppe verwandelt hat.
Heute betreiben Behörden, Militärorganisationen und kritische Infrastrukturen weltweit XMPP-Instanzen. Nicht weil es hip ist. Weil es funktioniert, weil es dezentral ist und weil man es selbst betreibt.
Das Ökosystem ist fragmentiert, ja. Die XEPs — XMPP Extension Protocols — sind der Mechanismus, durch den das Protokoll erweitert wird. OMEMO (XEP-0384) für Ende-zu-Ende-Verschlüsselung. Jingle (XEP-0166) für Voice/Video. HTTPFT (XEP-0363) für Dateiübertragung. Nicht jeder Client implementiert alles.
Das ist Absicht. Nicht Design-Versagen.
Fragmentierung bedeutet: Kein einzelner Akteur kann das Ökosystem kontrollieren. Conversations auf Android, Dino auf Linux, Gajim für Desktop-Power-User, Monal auf iOS — jeder Client hat seine Nische, und keiner braucht Permission von einem zentralen Gatekeeper.
Die ehrliche Antwort #
Wenn jemand fragt “wie kommuniziere ich sicher”, ist die richtige Antwort keine App-Empfehlung. Es ist eine Gegenfrage: Gegen welches Bedrohungsmodell?
- Vor neugierigen Mitbewohnern: WhatsApp reicht.
- Vor Datenkraken und Werbeprofilen: Signal oder XMPP mit OMEMO.
- Vor staatlicher Überwachung einer autoritären Regierung: XMPP, selbst gehostet, über Tor, mit sorgfältig ausgewähltem Client.
- Vor der NSA in 15 Jahren: Das ist eine andere Frage, und die ehrliche Antwort ist “schreib es nicht auf.”
Dezentralisierung schlägt Verschlüsselung nicht — aber sie erhöht den Aufwand für jeden Angreifer exponentiell. Es gibt keine einzelne Instanz die man mit einem Gerichtsbeschluss zwingen kann, alle Daten herauszugeben.
Das ist der eigentliche Punkt.
Was du tun kannst #
XMPP-Server einrichten ist kein Hexenwerk. Prosody oder ejabberd laufen auf jedem kleinen VPS. Mit OMEMO aktiviert und einem modernen Client ist die User Experience 2026 absolut alltagstauglich.
Für alle die keinen eigenen Server wollen: Es gibt öffentliche, datenschutzfreundliche XMPP-Anbieter in Europa — darunter auch uuxo.net.
Die Frage ist nicht ob XMPP perfekt ist. Die Frage ist ob man einem zentralisierten Dienst vertrauen will — oder dem Protokoll und dem eigenen Server.
Dieser Artikel entstand weil jeden Tag jemand fragt welche App sicher ist. Die Antwort ist komplizierter als eine App-Empfehlung. Und meistens unbequemer.
Update 28.03.2026: EU-Kommission gehackt — 350 GB weg #
Während die EU das dritte Mal die Chatkontrolle plant und digitale Identitäten für alle Bürger fordert, wurde die Europäische Kommission selbst gehackt.
Ein unbekannter Angreifer stahl laut BleepingComputer, TechCrunch und Bloomberg über 350 GB Daten — darunter mehrere Datenbanken — aus dem AWS-Cloud-Account der Kommission. Die EU-Kommission hat den Angriff bestätigt.
Zwei Punkte die man sich merken sollte:
-
AWS — die EU lagert ihre sensiblen Daten auf der Cloud eines US-Konzerns. Derselbe Apparat der europäische Bürger zur Identifikationspflicht zwingen will, vertraut seine eigenen Daten Amazon an.
-
Zentralisierung ist das Angriffsziel. Ein Einbruch, 350 GB. Wäre die Infrastruktur dezentral gewesen, gäbe es nichts zu stehlen.
Das ist kein Zufall. Das ist Systemlogik.