Man braucht kein eigenes Rechenzentrum für 80.000 Benutzer

Das System skaliere gut, erklärt Reiners. Auch wenn er keine Details nennen dürfe, sei die benötigte Rechenleistung für die aktuell 80.000 Clients wirklich überschaubar. Man brauche kein eigenes Rechenzentrum oder zahlreiche Racks, um Matrix in einer Institution dieser Größenordnung zu betreiben. "Das konnte man mit dem machen, was wir dahaben", sagt Reiners.

Noch verwendet die BWI jedoch dedizierte Server für den Betrieb. In Zukunft wolle man eine hauseigene Cloud mit Container betreiben, dann lasse sich das System noch dynamischer an die aktuellen Bedürfnisse anpassen, betont Reiners.

Safety first beim Bwmessenger

Die größere Herausforderung sei die Sicherheit, meint Reiners. Bisher seien beispielsweise die Matrix-Umgebungen für die privaten und dienstlichen Geräte nicht föderiert. Eine Kommunikation zwischen diesen kann nicht stattfinden. Das liegt vor allem daran, dass die dienstlichen Geräte von Secusmart für Geheimhaltungsstufe Verschlusssache nur für den Dienstgebrauch (VS-NfD) eingesetzt werden dürfen, während auf den privaten Geräten nur Informationen bis zur Einstufung offen verarbeitet werden.

"Wir wollen hier fö­de­rie­ren", sagt Reiners. "Aber wir müssen sicherstellen, dass keine VS-NfD-Informationen auf privaten Geräten landen." Dafür sollen beispielsweise Warnhinweise erscheinen, wenn eine Kommunikation zwischen einem privaten und einem VS-NfD-klassifizierten Gerät geführt werde. Gleichzeitig muss technisch sichergestellt sein, dass keine eingestuften Dokumente gepostet werden können.

Doch nicht nur die Föderation zwischen den verschiedenen Matrix-Umgebungen muss sicher stattfinden, auch der Messenger selbst will auf den privaten Geräten abgesichert werden. Beispielsweise erhalten nicht alle Smartphones zeitnah Sicherheitsupdates oder die Nutzer können sich Schadsoftware einfangen.

"Wir haben beim Bwmessenger viele Funktionen abgeschaltet, die die Sicherheit für die Bundeswehr beeinträchtigen", erklärt Reiners. So hätten die Entwickler beispielsweise die Teilen-Funktion herausgenommen, damit Informationen nicht leichtfertig geteilt werden könnten. Zudem habe man einen eigenen PDF-Reader integriert, damit die PDFs nicht mit einer Third-Party-App geöffnet werden können.

"Es gilt eben: safety first. Auch wenn die Nutzer das nicht immer mögen oder verstehen", sagt Reiners. Bring your own Device (BYOD) und Sicherheit seien eben ein Spagat.

Ein noch bestehendes Problem sei der Push-Service. Hier setze man weiterhin auf die Dienste von Apple und Google, allerdings nur für die Benachrichtigung, nicht für die Übertragung der Inhalte, erklärt Reiners. Hier wünsche man sich jedoch einen alternativen Push-Service, um den Bwmessenger komplett unabhängig von Google und Apple betreiben zu können.

"Wir haben einen reinen Pull-Ansatz versucht, bei dem die Messenger den Server regelmäßig kontaktieren und nach neuen Nachrichten fragen", erklärt Reiners. Das sei allerdings bei den Nutzern nicht gut angekommen, da Nachrichten auf manchen Geräten erst mehrere Minuten später statt sofort zugestellt wurden, wenn sich die App im Hintergrund befand. Bei Endgeräten ohne Play Services werde aber weiterhin auf einen Pull gesetzt, wie es Element, aber auch Signal oder Threema von Haus aus unterstützen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Open Source

"Die BWI entwickelt die App als agiles Projekt", sagt Reiners. Alle vier Wochen gebe es ein neues Release. Neben den Basisfunktionen werde der Messenger nach und nach um Bundeswehrspezifisches erweitert. Beispielsweise eine Ruhezeitregelung, dass am Wochenende oder im Urlaub keine Benachrichtigungen erscheinen. Aber auch Sprachnachrichten sind in der Zwischenzeit hinzugefügt worden, eine Möglichkeit, Abstimmungen durchzuführen, soll in den kommenden Wochen folgen.

Die Eigenentwicklungen gebe man derzeit noch nicht an die Community zurück, da die rechtlichen Rahmenbedingungen derzeit noch geklärt würden. Das Ziel sei es aber, Funktionen von denen alle profitieren, auch wieder zurückzugeben. Allerdings wurde in der Vergangenheit nicht alles selbst entwickelt, sondern für manche Funktionen New Vector beauftragt, die Firma hinter Matrix und Element. Sprachnachrichten oder ein Fingerabdruck-/Passwortschutz seien so entwickelt und auch wieder an die Community zurückgegeben worden, meint Reiners.

Insgesamt profitiere man stark von der Community und es gebe immer mehr Staaten und Behörden, die auf Matrix als Messenger setzen. So nutzt beispielsweise Frankreich Matrix, aber auch die Gematik setzt auf Matrix als Messenger für die Gesundheits-IT. Mit letzterer sei man auch im direkten Austausch, sagt Reiners. Das Interesse von Behörden sei insgesamt groß. Es gebe auch schon Nachahmer in manchen Bundesländern.

Die BWI habe mit dem Bwmessenger gezeigt, dass ein Open-Source-Messenger in Behörden funktioniere - auch oder gerade mit erhöhtem Sicherheitsbedürfnis. Und Matrix zeige, welche Synergien man mit Open Source nutzen könne - am Ende profitierten alle, meint Reiners. Das fördere nicht zuletzt auch die digitale Souveränität.

Die Entwicklung geht weiter

Die Hauptaufgabe sei es neben der Sicherheit, den Messenger von einem Community-Projekt in eine Enterprise-Lösung zu überführen. Dabei müsse der Nutzen für die Angehörigen der Bundeswehr über die klassischen Messengerfunktionen hinausgehen und einen Mehrwert zu anderen Messenger bieten und letztlich vor allem den Arbeitsalltag erleichtern. Das könnten auch so Kleinigkeiten sein, wie den Speiseplan in der Kantine über den Messenger zur Verfügung zu stellen.

Auch müsse die Nutzung des Messengers weiter vereinfacht werden, meint Reiners. Beispielsweise über die Registrierung mittels eines QR-Code auf einem abgesicherten Rechner innerhalb der Bundeswehr. Letztlich sei der Bwmessenger ein langfristiges, iteratives Projekt, das sich stetig weiterentwickelt - und dabei nicht selten Community, andere Behörden und Unternehmen und die BWI gegenseitig voneinander profitieren.