Als Datenschutz für viele noch ein Fremdwort war, gründeten Christopher Bick und Felix Ferchland die stashcat GmbH. Einen High Secure Messenger, der damit wirbt, datenschutzkonform und vor allem ganz besonders sicher zu sein.
10 Jahre nach der Gründung des Unternehmens gehört es zum Konzern der secunet Security Networks AG mit mehr als 1000 Mitarbeitenden und das Thema Datenschutz und sichere Kommunikation ist in aller Munde. Im Gespräch erzählt uns CEO Christopher Bick von den Anfängen des Unternehmens, dem Umgang mit Hackern und stashcats Plänen im Mittleren Osten.
Herr Bick, Sie gehören mit Ihren 34 Jahren zur Generation Facebook. Erinnern Sie sich noch daran, wie sie das erste Mal einen Messenger Dienst genutzt haben?
Ich bin in Schmarrie einem Dorf in Niedersachsen groß geworden, – hier gibt es mehr Kühe als Einwohner. 2002 hat unser Dorf schnelles Internet bekommen, womit ich im Vergleich zu meinen Mitschülern plötzlich wahnsinnig gut vernetzt war. Das war großartig. Damals habe ich für die Schule Hausaufgaben gegoogelt.
Am regelmäßigsten habe ich den Messengerdienst ICQ genutzt. Wir hatten damals sogar einen Client namens “Trillian“, der nicht nur ICQ unterstützte, sondern mehrere Messenger Accounts zusammenfasste. Im Prinzip war damals schon das möglich, was wir heute wieder versuchen: Eine App, die mehrere Messenger vereint und z.B Threema und stashcat miteinander verbindet.
Was hat Sie und Co-Founder Felix Ferchland dazu bewegt einen Messengerdienst zu entwickeln?
Felix und ich haben uns 2004 auf dem Gymnasium kennengelernt und waren unzertrennlich. In der 11. Klasse haben wir eine Band gegründet und unsere Mitschüler haben damals schon gewettet, dass wir später mal gemeinsam eine Firma gründen.
Felix hat dann IT in Lüneburg studiert und einen Messenger entwickelt, der für den Schulmarkt interessant war. Ich habe mit meinem Studium der digitalen Medien dann Felix Idee in den Markt eingebracht und wir haben 2012 die stashcat GmbH gegründet.
Wann war Ihnen bewusst: Wir haben etwas erschaffen, was vor allem für die Gesellschaft nützlich werden könnte?
Häufig denken Gründer, dass sie mit ihrer Idee die Welt verändern. Wir dachten: Diesen Messengerdienst müssen alle Schüler und Lehrkräfte lieben. Das war aber erst mal gar nicht so. Denn die langen Wege der Bürokratie haben es uns schwer gemacht, an Schulen bekannt zu werden. Durch die Unterstützung der Madsack Mediengruppe hatten wir den nötigen Rückenwind, den Schulmarkt zu erobern. Nach kurzer Zeit haben wir mit unserer schul.cloud bereits 1.200 Schulen ausgerüstet. Durch das pandemiebedingte Homeschooling beliefern wir mit der schul.cloud mittlerweile über 6.000 Schulen.
2016 haben Sie dann einen Anruf vom Verfassungsschutz bekommen, was war Ihr erster Gedanke?
Wir dachten: Die wollen uns überwachen und eine Schnittstelle zum Mitlesen haben. (lacht)
Das war aber Quatsch. Tatsächlich kamen sie bei uns vorbei und haben uns offenbart, dass sie nach einem High Secure Messengerdienst für die Polizei Niedersachsen suchen. Die Polizei hat damals im Einsatz teilweise über ihre privaten Handys kommuniziert, was eindeutig zu unsicher war. Wenn eine Polizei in einer Großeinsatzlage einen US-Anbieter Messenger nutzt und dafür Gruppen erstellt, kann ich von top down nicht kontrollieren, wer Administrator ist und wer andere in die Gruppe hinzufügen kann. So kann es der Presse gelingen, in solche Gruppen zu gelangen. Ein Super-GAU, der so in Belgien passiert ist. Dem wollte der Verfassungsschutz hier in Deutschland dann natürlich zuvorkommen.
Wir haben uns an der Ausschreibung beteiligt und einen Messenger für die Polizei Niedersachsen entwickelt, der konkret auf die Bedürfnisse der Beamt:innen eingeht.
Mittlerweile nutzen auch andere Landespolizeien stashcat z.B die Polizei Hessen oder Mecklenburg-Vorpommern.
2020 hat das Bundeskartellamt eine Sektoruntersuchung für Messenger- und Videodienste durchgeführt. Dabei stellte sich heraus, dass “eine Ende-zu-Ende-Verschlüsselung noch lange kein Standard bei allen Messenger Anbietern ist“.
stashcat ist Vorreiter in Sachen Ende-zu-Ende-Verschlüsselung und bietet diesen Dienst schon länger an.
Damals, 2015/16 kristallisierte sich ein Marktbedarf an Ende-zu Ende-Verschlüsselungen ab. Wir haben es dann in unser Produkt eingebaut und waren auf kommerzieller Seite in Europa – neben Threema – die Ersten, die dies umgesetzt haben. Threema ist ein technologisches Vorbild für uns, – unser Fokus liegt aber tatsächlich auf der kommerziellen Nutzung.
Auch die verpflichtende Interoperabilität, die das Digitale-Märkte-Gesetz der EU fordert, das am 2.Mai 2023 in Kraft tritt, birgt Schwierigkeiten. Manche Dienste vermuten hier eine Gefahr für die Ende-zu-Ende-Verschlüsselung. Sichere Messenger wie Threema oder Signal wollen gar keine Interoperabilität, weil sie die Sicherheit der Kommunikation ihrer Messenger in Gefahr sehen. stashcat 2.0 ist bereits interoperabel, wie funktioniert das trotz höchster Sicherheitsstandards?
Ja, wir sind dem zuvorgekommen und mit stashcat 2.0 bereits interoperabel. Anfang 2022 haben wir die Grundsatzentscheidung getroffen, ob wir den Threema-Weg gehen oder nicht. Threemas Argument ist “Interoperabilität schadet der Sicherheit“. Und das stimmt auch: Wenn verschiedene Produkte miteinander kommunizieren sollen, muss es einen gemeinsamen Nenner geben. Da wird die Sicherheit in der Regel abgestuft und die Ende-zu-Ende-Verschlüsselung an einem Punkt aufgehoben und neuverknüpft.
Wir haben die Entscheidung getroffen, dass das Matrixprotokoll für uns die perfekte Lösung ist. Das bedeutet, wir machen stashcat interoperabel und nutzen damit ein Protokoll, welches nicht aufgehebelt werden muss, um mit anderen zu kommunizieren. Also: Ja, wir sind interoperabel, aber nur mit anderen Messengern die ebenfalls ein Matrixprotokoll nutzen.
Ein “Recht auf Verschlüsselung“ verspricht die designierte Bundesregierung in ihrem Koalitionsvertrag. Die Innenminister der Länder forderten 2021 den Bund auf, das Netzwerkdurchsetzungsgesetz zu ändern, um rechtswidrige Inhalte in Messengerdiensten melden zu können. Das bedeutet, dass man dazu die Ende-zu-Ende-Verschlüsselung, umgehen müsste. Was halten Sie von einer Chatkontrolle?
Also grundsätzlich haben wir keinen Messenger für Konsumenten gebaut. Wir als stashcat GmbH verstehen uns als Dienstleister für Behörden. Wenn die Kunden eine echte Ende-zu-Ende-Verschlüsselung haben wollen, bekommen sie diese. Dies ist aber nicht in allen Bereichen gewünscht. Gerade im Dienstherrenverhältnis (bei der Polizei) gibt es eine Revisionspflicht. Daher kann bei der Polizei mit Vorankündigung auch gewährleistet werden, dass eine dritte Person mit im Chat anwesend ist, die potenziell überwachen kann, ob ein Polizist oder eine Polizistin gegen seine/ihre Dienstaufsichtspflicht verstößt.
Wie definieren Sie den Erfolg von stashcat?
Erfolg bedeutet für uns, wenn viele Polizisten eines Bundeslandes den Messenger nutzen. In Niedersachsen haben wir 25.000 Polizeibedienstete und 19.000 davon nutzen stashcat. Das ist schon enorm!
Trotzdem wissen wir, dass es nicht den einen Messenger geben wird, der alle Polizeien und alle Länder gleichermaßen glücklich macht.
Warum?
Weil die Länder alle unterschiedliche Anforderungen haben. Und das Prinzip Eier legende Wollmilchsau hat schon in dem Bereich nicht funktioniert, den wir auch sehr gut kennen: dem Schulmarkt. Unser Versuch war es, die eine große Lernplattform zu erfinden, die alle Schulformen und Träger glücklich macht. Wir mussten uns dann eingestehen, dass es die Eier legende Wollmilchsau nicht geben wird. Am Ende setzen sich die schlanken Tools durch: WhatsApp, Dropbox o.ä. Deshalb werden wir auch die Anforderungen, die die Polizei hat, nicht alle abbilden können.
Jetzt setzen wir auf Interoperabilität, sodass verschiedene Polizeien ihre Daten austauschen können und nebenbei in Verbindung mit unserem Produkt ihre “eigenen“ Dienste nutzen können.
Laut der Sektoruntersuchung des Bundeskartellamts ist bei vielen Messengeranbietern “auf den ersten Blick allerdings nicht ersichtlich, in welchem Land sich die Server befinden, teilweise verwenden die Anbieter auch mehrere Standorte.“ Dabei ist der Standort der Server essenziell, um Auskunft darüber zu bekommen, welchem Datenschutzrecht die Kommunikationsdaten unterworfen sind.
Wo befinden sich die stashcat Server?
Alle unsere Server befinden sich im Süden Deutschlands.
Machen hochkarätige Kunden wie Politik; Polizei; Behörden stashcat gefährdeter für Cyberangriffe?
Unsere größten Hackangriffe kommen vom Schulmarkt. Es sind oft ambitionierte Schüler:innen die versuchen die Schulplatform lahmzulegen. Wir bekommen das raus und streuen Gegenmaßnahmen ein.
Sprechen Sie dann die Hacker ganz gezielt an?
Wir nutzen diese Angriffe tatsächlich, um Akquise zu betreiben: Wenn wir feststellen, dass es einen Angriff gab, dann sprechen wir die Schüler an. Wir sind immer auf der Suche nach neuen Entwicklern.
Also gibt es keine Bestrafungen?
Nein, das darf man aus meiner Sicht nicht machen. Wer eine Schwachstelle findet, wird belohnt.
Herr Bick, welche Möglichkeiten bietet stashcat, damit die Speicherung der sensiblen Daten und die Nachrichtenverläufe nicht eingesehen werden können?
Mit unserer ausschließlichen Ende-zu-Ende-Verschlüsselung können wir man-in-the-middle-Attacken komplett ausschließen. Weil die Metadaten ausschließlich verschlüsselt abgelegt werden.
Trotzdem: Es gibt immer Möglichkeiten Daten in Form von Screenshots etc zu vervielfachen. Daher geben wir mit dem Programm auch Dokumente in einfacher Sprache aus, die den Nutzern das Thema Datensicherheit näher bringen und sie darin schult auf Sicherheit zu achten.
Was ist Ihre größte Vision für die kommenden Jahre?
Wir wollen international auftreten. Wir haben erste Projekte im Mittleren Osten und auch in die Europäischen Sicherheitsbehörden haben bereits Interesse an stashcat bekundet. Aktuell ist unser Kernmarkt in Deutschland, aber die Nachfrage nach sicheren Kommunikationsmitteln, die sich von den US-Anbietern abheben, ist hoch.
Außerdem wollen wie die Interoperabilität weiter ausbauen – es soll praktisch so werden wie “damals“ als ich in Schmarrie den Trillian Client genutzt habe. Wir wollen bei stashcat einen großen Marketplace ausbauen. So, dass ich das, was ich täglich benötige, egal ob Polizist oder Ärztin, in einem one-stop-shop bekomme. Egal ob der Zugriff auf die Patientenakte, oder auf ein Fahndungstool: es soll alles an einem Ort stattfinden. Die Vision ist es, dass wir in den Nischenmärkten, in denen wir uns bewegen, der Vorreiter werden.