Ende-zu-Ende-Verschlüsselung als neuer Standard
Discord hat einen bedeutenden Schritt in Sachen Datenschutz vollzogen: End-to-End Encryption (E2EE) ist nun der Standard für alle Sprach- und Videoanrufe auf der Plattform. Ob auf dem Desktop-Client, der mobilen App, im Browser oder auf Konsolen wie PlayStation und Xbox – die Verschlüsselung greift überall automatisch.
Damit setzt Discord einen Meilenstein, der in der Branche seinesgleichen sucht. Zwar ist E2EE bei Messengern wie Signal oder WhatsApp seit Jahren etabliert, doch Discord ist primär keine reine Messaging-App. Die Plattform vereint eine enorme Bandbreite an Endgeräten und Betriebssystemen in ein und derselben Sitzung. Genau diese Heterogenität macht die Implementierung einer echten Ende-zu-Ende-Verschlüsselung extrem komplex.
DAVE: Das Open-Source-Protokoll für die Konsole
Technologisch basiert der Meilenstein auf dem „DAVE“-Protokoll (Discord Audio/Video End-to-End), das das Unternehmen bereits im September 2024 als Open-Source-Lösung vorgestellt hat. In einem aktuellen Blogpost erklärt Discord-Manager Mark Smith die Herausforderungen der Umsetzung. Der Aufbau des Protokolls war demnach ein langsamer und komplizierter Prozess.
„Ein E2EE-Protokoll zu bauen, das nahtlos über all diese Oberflächen hinweg funktioniert, ist meines Wissens im Vergleich zu allem, was bisher ausgeliefert wurde, beispiellos“, so Smith. „DAVE ist wahrscheinlich eine der plattformdiversesten E2EE-Implementierungen für Sprache und Video im Internet.“
Diese Aussage ist technisch keineswegs übertrieben. Während Signal und Co. in der Regel auf Smartphones und Desktop-Betriebssysteme optimieren sind, muss DAVE auch die restriktiven Umgebungen von Spielekonsolen abbilden. Der Key Exchange und die Verschlüsselung von Echtzeit-Streams bei gleichzeitigem Betrieb auf einem Xbox- oder PlayStation-Client erfordern eine extrem ressourceneffiziente Architektur, die keine Latenzen in den Voice-Chat spült.
Kein Fallback: Discord reißt alten Code ein
Besonders erfreulich für Security-Experten ist eine Entscheidung, die über das reine „Einschalten“ von E2EE hinausgeht: Discord entfernt aktiv den verbleibenden Client-Code, der bisher unverschlüsselte Anrufe als Fallback ermöglichte. Das bedeutet, dass verschlüsselte Anrufe künftig nicht nur der Standard, sondern die einzige Option sind.
Das ist ein kritisches Detail. In der Vergangenheit haben viele Dienste E2EE als Option eingeführt, den unverschlüsselten Pfad aber als Fallback beibehalten – ein Einfallstor für Downgrade-Angriffe, bei denen Angreifer die Verbindung auf den unsicheren Standard zwingen. Indem Discord diese Code-Pfade rigoros ausradiert, schließt es diese Schwachstelle endgültig. Das verdient Anerkennung und sollte als Best Practice für die gesamte Branche gelten.
Die große Lücke: Textnachrichten bleiben unverschlüsselt
Dennoch bleibt ein gewaltiger Wermutstropfen: Discord hat aktuell keine Pläne, E2EE auf Textnachrichten auszuweiten. „Wir haben derzeit keine Pläne, E2EE auf Textnachrichten auszuweiten“, ließ Smith verlauten.
Aus technischer und wirtschaftlicher Perspektive ist diese Entscheidung nachvollziehbar, auch wenn sie den Datenschutz-Anspruch der Plattform relativiert. E2EE bei Textnachrichten auf einem Server-basierten System wie Discord aufzusetzen, bei dem tausende Nutzer in einem einzigen Channel kommunizieren, historische Nachrichten durchsuchbar sein müssen und Bots als dritte Instanz mitlesen, ist ein massives Architekturproblem. Signal löst dies durch die Aufgabe von Metadata-basierten Server-Strukturen, Discord hingegen profitiert geschäftlich von der uneingeschränkten Lesbarkeit der Textinhalte für Moderation, Suchfunktionen und gezielte Werbung. Hier zeigt sich: Die E2EE für Anrufe ist ein großer Fortschritt, das Grundgeschäft von Discord bleibt aber weiterhin gläsern.
Der Kontrast zu Big Tech: Ein Gegenentwurf zu Meta
Der vollständige Rollout von DAVE gewinnt zusätzliche Relevanz vor dem Hintergrund aktueller Entwicklungen bei Branchenriesen. Meta hat kürzlich die Ende-zu-Ende-Verschlüsselung für Instagram Direct Messages wieder entfernt – ein Rückschritt, der mutmaßlich auf regulatorischen Druck und das Bestreben zurückzuführen ist, Inhalte leichter moderieren zu können.
Während Big Tech also teils wieder von E2EE abrückt, geht Discord den umgekehrten Weg. Das Unternehmen beweist, dass sich plattformübergreifende, komplexe Echtzeit-Verschlüsselung umsetzen lässt, ohne das Nutzererlebnis zu zerstören. Es ist ein starkes Zeichen, dass Datenschutz und Usability sich nicht zwingend ausschließen müssen – auch wenn die halbe Wahrheit bleibt, solange der Text-Chat weiter offen einsehbar ist.
Quelle: MacRumors
