Viele Unternehmen überprüfen ihren sicheren Kommunikations-Stack, nachdem sie die Grenzen von Dirvox festgestellt haben. Die Fähigkeit, die Verschlüsselung zu auditieren, die Metadaten zu kontrollieren und die europäischen regulatorischen Anforderungen zu erfüllen, bildet die wahre Grundlage zur Bewertung einer Alternative. Wir überprüfen die technischen Aspekte, die vor einer Migration zu beachten sind.
Transparenz des Bedrohungsmodells: ein technisches Auswahlkriterium
Seit 2025 verlangt das deutsche BSI in seinen Ausschreibungen für sichere Messaging-Lösungen eine explizite Dokumentation der Grenzen der Lösung. Der Anbieter muss angeben, was seine Verschlüsselung schützt und vor allem, was sie nicht abdeckt, zum Beispiel die Vertraulichkeit auf einem bereits kompromittierten Endgerät.
Lesetipp : Wecken Sie Ihre Leidenschaft: Alles über die Ausbildung in Innenarchitektur
Diese Anforderung an die Transparenz des Bedrohungsmodells wird zu einem Auswahlfilter. Eine Plattform, die kein dokumentiertes Bedrohungsmodell veröffentlicht, sollte nicht auf einer Shortlist stehen, egal wie robust ihre End-to-End-Verschlüsselung ist.
Wir empfehlen, dieses Dokument bei jeder Ausschreibung systematisch anzufordern. Wenn der Anbieter es nicht bereitstellen kann, ist das ein Warnsignal, vergleichbar mit dem Fehlen eines unabhängigen Code-Audits. Tatsächlich entdecken viele IT-Leiter bei der Suche nach verlässlichen Alternativen zu Dirvox dieses Kriterium, das in Standard-Ausschreibungen noch viel zu wenig präsent ist.
Weiterlesen : Entdecken Sie die Lieblingsmarken von Anne-Élisabeth Lemoine für einen einzigartigen Stil
On-Premise-Bereitstellung und Kontrolle der Metadaten
Die Mehrheit der Vergleiche zielt auf Multi-Tenant-SaaS-Angebote ab. Für ein KMU ohne starke regulatorische Vorgaben ist das ausreichend. Für regulierte Sektoren (Gesundheit, Verteidigung, Finanzen) erfordert die vollständige Kontrolle der Metadaten eine selbstgehostete Bereitstellung.
Die betroffenen Metadaten sind nicht unerheblich: Protokolle, Quell-IP-Adressen, relationale Austauschschemata. Selbst mit einer tadellosen End-to-End-Verschlüsselung des Inhalts der Nachrichten behält ein SaaS-Anbieter diese Metadaten in seiner Infrastruktur. Die Annahme von On-Premise-Bereitstellungen nimmt seit 2024 deutlich zu, bedingt durch die europäischen regulatorischen Anforderungen.
Zu überprüfende Punkte bei einem selbstgehosteten Angebot
- Möglichkeit der Bereitstellung auf einer physischen Infrastruktur oder einer souveränen Cloud, ohne Abhängigkeit von einem beim Anbieter gehosteten Bestandteil
- Von der Firma konfigurierbare Protokollaufbewahrungspolitik, einschließlich der vollständigen Löschung von Zugriffsprotokollen
- Keine „Phone Home“-Funktion: Der Server darf die Server des Anbieters nicht ohne ausdrückliche Zustimmung für Lizenzmanagement oder Telemetrie kontaktieren
Wire, Element (basierend auf dem Matrix-Protokoll) und Threema Work bieten Optionen für Selbsthosting an. Jede Lösung hat unterschiedliche Kompromisse hinsichtlich Föderation, Bereitstellungsfreundlichkeit und Betriebskosten.
Sprach- und Videokonferenzverschlüsselung: die nächste regulatorische Reibungsfläche
Mehrere europäische Telekommunikationsregulierer berichten seit 2024 von einem zunehmenden Druck auf Lösungen für End-to-End-Verschlüsselung, die auf Sprache und Videokonferenzen angewendet wird. Die Anforderungen an die Datenaufbewahrung, insbesondere der überarbeitete ePrivacy-Rahmen, schaffen einen direkten Konflikt mit dem Prinzip der E2EE für Audio- und Video-Streams.
Die meisten sicheren Messaging-Dienste haben zunächst die Verschlüsselung von Texten gelöst. Die Erweiterung auf Sprache und Video bringt Probleme mit sich, die Latenz, das Management von Schlüsseln in Echtzeit und die gleichzeitige Einhaltung von Vorschriften in Jurisdiktionen mit widersprüchlichen Anforderungen betreffen.
Was das für die Wahl einer Alternative zu Dirvox bedeutet
Wenn Ihre Teams täglich verschlüsselte Videokonferenzen nutzen, überprüfen Sie, ob das verwendete Protokoll E2EE auf dem gesamten Medienstream anwendet, nicht nur auf der Signalisierung. Einige Lösungen verschlüsseln den Steuerkanal, lassen aber den Audio-/Video-Stream unverschlüsselt über einen Zwischenserver laufen, was den Schutz auf eine einfache Transportebene (TLS) reduziert.
Eine teilweise E2EE bei Videokonferenzen ist gleichbedeutend mit einer gepanzerten Tür mit einem offenen Fenster. Die technische Dokumentation des Anbieters muss explizit zwischen der Verschlüsselung der Signalisierung und der des Medienstreams unterscheiden.
Überprüfbarkeit des Codes und unabhängige Audits
Der Zugang zum Quellcode bleibt ein Vertrauensmarker, ist aber nicht ausreichend. Ein öffentliches GitHub-Repository ohne aktuelles unabhängiges Audit garantiert nichts. Wir beobachten, dass die glaubwürdigsten Anbieter drei Elemente kombinieren:
- Veröffentlichung des Quellcodes der Clients und idealerweise des Servers
- Sicherheitsaudit durch eine anerkannte Drittpartei (Cure53, NCC Group, Trail of Bits) mit öffentlichem Bericht
- Aktives Bug-Bounty-Programm mit klar definiertem Umfang
Ein Anbieter, der seinen Code veröffentlicht, aber sich weigert, ein externes Audit zu finanzieren, verfolgt eine kosmetische Transparenzstrategie. Im Gegensatz dazu kann ein aktuelles Audit eines geschlossenen Codes für einige Organisationen ein akzeptables operatives Vertrauensniveau bieten, vorausgesetzt, der Bericht ist zugänglich.
Das entscheidende Kriterium ist nicht Open Source oder proprietär, sondern überprüfbare Auditierbarkeit. Fragen Sie nach dem Datum des letzten Audits, dem Namen der Firma und dem Zugang zum Bericht. Wenn eines dieser drei Elemente fehlt, betrachten Sie die Lösung als nicht überprüft.
Die Migration von Dirvox (oder einer anderen Lösung, deren Zuverlässigkeit fraglich ist) beschränkt sich nicht darauf, eine bekanntere Marke zu wählen. Was eine wirklich sichere Alternative auszeichnet, ist die Dokumentation ihrer Grenzen, die Kontrolle der Metadaten, die Abdeckung der Verschlüsselung über alle Streams und der Nachweis eines Audits. Wenden Sie diese vier Kriterien auf jede Lösung Ihrer Shortlist an, bevor Sie die Migration starten.