🇬🇧 🇳🇱 🇫🇷 🇩🇪 ℹ️

BeLibre

Digitale Autonomie

BeLibre

Die Taube, die zurückflog: Wie Belgien sich leise für quelloffene Kommunikation entschied

🖊️ Emma, Jurgen Gaeremyn
matrix beam digitale-souveränität open-source regierung bsc

Hinweis: Dieser Text wurde von einer KI ins Deutsche übersetzt und nicht von einem Muttersprachler korrekturgelesen. Mehr dazu in unserem Aufruf an deutschsprachige Korrekturleser.

Logo Belgian Secure Communications

Stellen Sie sich vor: Wir schreiben das Jahr 1914. Irgendwo an der Westfront wird eine kleine Taube freigelassen, mit einer Nachricht am Bein. Sie weiß nicht, warum. Sie weiß nicht, für wen. Sie fliegt einfach — zuverlässig, unbemerkt, unermüdlich — und überbringt die Botschaft.

Die Taube war jahrhundertelang der Goldstandard sicherer Kommunikation. Keine Drähte zum Anzapfen. Kein zentraler Server zum Hacken. Von Natur aus dezentral. Und erstaunlich schwer abzufangen.

Wir mussten an diese Taube denken, als wir das Logo von BSC — Belgian Secure Communications sahen. Goldener Kreis. Belgische Farben. Und darin: ein großer weißer Vogel mit ausgebreiteten Schwingen. Sofort entstand eine Diskussion in unserem BeLibre-Chat. „Ist das ein Adler? Wir sind doch keine Amerikaner?" Jemand schlug vor: „Vielleicht ein Falke?" Und dann, nach einer kurzen Stille: „Looks like a pigeon. Communication bird. Makes sense."

Wir sind uns immer noch nicht einig, ob der Vogel im Logo eine Taube ist. Aber die Metapher passt so oder so.

# Beam: kein Geheimnis, aber auch keine Werbung

Am 18. März 2026 erscheint ein Artikel auf Computable.be: Die belgische Regierung bringt eine eigene, gesicherte Messenger-App für Beamte heraus. Beam heißt sie, ein Ersatz für WhatsApp, geeignet für Verteidigung, Polizei und Behörden. Entwickelt von Belgian Secure Communications (BSC), einer recht jungen Behörde unter dem Justizministerium.

Der Artikel beschreibt Beam als eine „halb intern entwickelte Anwendung". Damit ist der Ton gesetzt: mysteriös, geschlossen, selbst gebaut.

Aber ist das wirklich so?

# Die Detektivmethode: Browser-DevTools und eine Intuition

Emma öffnet die Webversion von Beam, startet die Browser-DevTools und erkennt sofort, was sie sieht: Die Netzwerk-Requests verraten unverkennbar den Fingerabdruck von Element und Synapse, den beiden meistgenutzten Open-Source-Bausteinen des Matrix-Ökosystems. Ein kleiner Umweg über den Version-Endpoint bestätigt die Vermutung. (Wollen Sie die Details? Lesen Sie weiter unten in der „Nerd-Sektion".)

Beam ist ein Rebranding von Element, dem populärsten Client für das Matrix-Protokoll. Kein Geheimnis, aber auch nicht ausdrücklich auf der offiziellen Website erwähnt. Schade nur, dass sie den „Powered by Matrix"-Link am Fuß der Login-Seite entfernt haben.

# Matrix: der offene Standard, der heimlich gewinnt

Matrix ist ein offenes, dezentrales Kommunikationsprotokoll. Nachrichten werden nicht auf einem zentralen Server irgendwo im Silicon Valley gespeichert, sondern auf einer Föderation von Homeservern verteilt — vergleichbar mit E-Mail, aber mit Ende-zu-Ende-Verschlüsselung.

Es existiert bereits seit 2014, und doch hat es nie den Mainstream erreicht. Discord hat den Markt gewonnen. WhatsApp hat die Familien gewonnen. Aber Matrix hat schleichend die Regierungen gewonnen: die französische Regierung läuft auf Tchap (einem Matrix-Fork), die Bundeswehr setzt es ein, die NATO hat ihren eigenen Element-Client, und nun also auch die belgische Verwaltung.

Matrix ist die Taube der digitalen Welt: nicht die schnellste, nicht die schönste, aber verdammt zuverlässig. Es sind keine besonders schwierigen Tiere zu halten, und jeder kann seinen eigenen Taubenschlag aufstellen, zugeschnitten auf den jeweiligen Kontext.

# Was BSC wirklich gebaut hat: ein Synapse-Fork

Hinter dem Element-Client läuft ein Homeserver. Bei Beam heißt er beam.belgium.be, und es stehen nicht eine, sondern mindestens 15 separate Synapse-Instanzen dahinter, vermutlich pro Domäne oder Dienst.

Synapse ist die Implementierung von Matrix, auf der Beam aufgebaut ist, und wurde von Element (dem Unternehmen hinter Matrix) entwickelt. Es steht unter der AGPLv3-Lizenz (was bedeutet: Wer es anpasst und als Dienst anbietet, muss den Quellcode offenlegen). Und genau das hat BSC ordnungsgemäß getan: Unten auf der Copyright-Seite von beam.belgium.be findet sich diskret ein Link zu ihrer GitHub-Organisation: bsc-oss, unter der das Beam-Synapse-Repository bereitgestellt wird. Keine Fanfare. Keine Pressemitteilung. Einfach eine stille Verpflichtung erfüllt. Ordentlich, wie es sich gehört.

Der Versionsstring ihres Homeservers verrät, dass es sich um eine angepasste Version handelt: 1.147.1+pg2. BSC nutzt aller Wahrscheinlichkeit nach die FOSS-Version von Synapse, ergänzt um ein eigenes Modul, das nicht freigegeben wird, das aber gemäß ihren übrigen Anpassungen sehr wahrscheinlich den Namen PG weiterträgt. Mehr dazu im technischen Teil weiter unten.

# Belgien steht nicht allein: die stille Matrix-Armee Europas

Beim Stöbern in den Details von Beam drängt sich eine Frage auf: Wie weit sind andere europäische Regierungen? Die Antwort ist verblüffend.

Matrix vollzieht seit Jahren einen stillen Vormarsch in der Behördenkommunikation, ohne dass die großen Tech-Seiten ihm wirklich Aufmerksamkeit schenken. Ein Auszug aus dem, was schon läuft:

Frankreich lag bereits 2017 vorn. Das Ergebnis ist Tchap, ausgerollt über alle Ministerien, mit 60 Matrix-Servern in einem geschlossenen Netzwerk. 2025 zählt Tchap fast 300.000 aktive Nutzer pro Monat. Am 4. August 2025 hat Premierminister Bayrou den Einsatz von Tchap per Rundschreiben offiziell festgelegt — als sicheren Messenger-Dienst, der WhatsApp und Telegram in allen Ministerien ersetzen soll. Auch was das Budget angeht, ist es bemerkenswert effizient: 2024 betrug das Budget von Tchap 1,5 Millionen Euro — also 0,50 Euro pro aktivem Nutzer. DINUM, der französische interministerielle Digitaldienst, wurde zudem das erste Land weltweit, das als Silver Member der Matrix.org Foundation beitrat.

Deutschland hat Matrix vielleicht am systematischsten umarmt. Die Bundeswehr nutzt den BwMessenger (mehr als 100.000 aktive Nutzer), es gibt einen BundesMessenger für den breiteren öffentlichen Sektor, und 2,5 Millionen Schulkinder in Nordrhein-Westfalen kommunizieren über Matrix. ZenDiS (Zentrum für Digitale Souveränität der Öffentlichen Verwaltung) betreibt Matrix als Kern von openDesk, der souveränen Arbeitsplattform für die gesamte deutsche Verwaltung. Das P20-Programm der 20 deutschen Polizeibehörden hat Matrix als einheitliches Messaging-Protokoll empfohlen.

Polen ging noch einen Schritt weiter: Das Ministerium für Nationale Verteidigung hat Merkury 2.0 komplett selbst auf Basis des Matrix-Open-Source-Codes gebaut — kein Element-Fork von der Stange, sondern eigenhändig entwickelt.

Die NATO experimentiert mit NI2CE (NATO Interoperable Instant Communication Environment), einem selbst gehosteten, Matrix-basierten Messenger. Die Architekturvision ist besonders: Jede Nation hostet ihre eigene Instanz, und diese Instanzen föderieren zu einem souveränen Netzwerk. Die Bundeswehr kann den BwMessenger weiterhin nutzen, die Franzosen Tchap, die Belgier Beam — und sie können trotzdem einfach über die Matrix-Föderationsschicht miteinander reden.

Neben Deutschland und Frankreich setzen auch die USA (US Navy, öffentlich gemacht durch die Senatoren Wyden und Schmitt), Großbritannien, die Ukraine, Schweden, Österreich, Estland und Luxemburg Matrix-basierte Systeme ein. Aktuell gibt es mindestens 16 Regierungen, die Matrix-basierte Software für ihre Kommunikation einsetzen — eine Zahl, die Element im Januar 2025 öffentlich gemacht hat. Da es typischerweise die sicherheitsbewusstesten Teile der Verwaltung sind, die Matrix zuerst einsetzen, können diese Einsätze oft nicht öffentlich genannt werden. Ende 2025 zählt Matrix bereits mehr als 25 Länder — die Zahl wächst schnell.

Belgien ist also kein Pionier, kommt aber auch nicht zu spät. Beam fügt sich in ein Muster ein, das schon seit Jahren wächst und zu dem die belgische Verwaltung jetzt aktiv beiträgt.

# Das Wissen ist jetzt da. Nutzt es weiter.

Hier möchten wir als BeLibre kurz innehalten, denn es geht über Beam allein hinaus.

Indem sie Beam auf Basis dieser Open-Source-Tools gebaut haben, hat BSC nicht nur eine Menge Arbeit gespart. So hat BSC etwas Wertvolles aufgebaut: Expertise im Matrix-Protokoll. Ein Team belgischer Entwickler, das Synapse von innen und außen kennt. Synapse an die strengen Anforderungen der Verwaltung anzupassen, verlangt mehr als Copy-Paste: Man muss verstehen, wie das System von innen funktioniert. Und dieses Wissen ist jetzt da.

Diese eigene Infrastruktur, verteilt auf mindestens 15 eigene Server, läuft im Produktivbetrieb. Das ist nicht wenig. Sie nutzen die große Anpassbarkeit von Matrix. Auch das ist nicht wenig.

Dieses Wissen ist jetzt in einer einzigen Anwendung gefangen, für eine einzige Zielgruppe: Beamte mit einer Regierungs-E-Mail-Adresse.

Aber warum dort aufhören?

Das Matrix-Protokoll ist nicht exklusiv für Verteidigung oder Justiz. Es ist ein offener Standard: dieselbe Schicht, auf der Schulen, Gemeinden, Krankenhäuser, Parlamente und öffentlich-rechtliche Sender kommunizieren könnten. Ohne Abhängigkeit von US-amerikanischen Cloud-Diensten. Ohne Abonnement bei einem Unternehmen, das seine Nutzungsbedingungen einseitig ändern kann. Ohne Daten, die durch Serverparks außerhalb Europas fließen.

Das bei BSC aufgebaute Wissen ist ein strategisches Gut für den gesamten belgischen öffentlichen Sektor. Wir ermutigen die beteiligten Behörden (BSC, BOSA sowie die flämische, wallonische und Brüsseler Verwaltung) daher ausdrücklich, diese Expertise nicht nur für den internen Verteidigungseinsatz zu verwenden, sondern auch zu prüfen, wie Matrix breiter eingesetzt werden kann: für die Kommunikation zwischen Behörden und Bürgern, für Schulen, die eine sichere Kollaborationsplattform brauchen, für Krankenhäuser, die Patientendaten sicher besprechen wollen, für Kommunalverwaltungen, die WhatsApp-Gruppen durch etwas ersetzen wollen, das sie selbst in der Hand haben.

Der geopolitische Kontext macht all das dringlicher denn je. Die Entscheidung der USA, im Februar 2025 Sanktionen gegen den Internationalen Strafgerichtshof in Den Haag zu verhängen, hat gezeigt, dass souveräne Staaten nicht länger davon ausgehen können, dass cloudbasierte IT-Dienste zuverlässig bleiben, wenn der geopolitische Wind dreht. Die EU läuft auf Microsoft — und das ist eine Verwundbarkeit, keine Entscheidung.

# Wo Computable kurz danebenlag

Der Computable-Artikel behauptete, Beam sei „geschlossen" und schließe Phishing durch die geschlossene Architektur „strukturell aus". Das stimmt nur teilweise.

Föderation ist aktiv. Beam betreibt 15 Synapse-Server mit aktiver Föderation. Das Raumverzeichnis ist über die Föderation hinweg manuell deaktiviert, aber das ist eine Konfigurationsentscheidung, keine architektonische Einschränkung. Ob Föderation auch aktiv genutzt oder nur nicht deaktiviert ist, bleibt unklar (haben wir aber auch nicht weiter untersucht). Sehr wahrscheinlich ist die aktuelle Föderationskonfiguration so eingestellt, dass dies nur zwischen den 15 Deployments von Beam selbst erlaubt ist, nicht mit anderen Instanzen oder dem weiteren Netzwerk von Matrix-Servern.

Die Zugangsbeschränkung über die Regierungs-E-Mail-Adresse ist real und sinnvoll — aber das ist eine Zugangskontrolle, nicht dasselbe wie ein geschlossenes System.

# Matrix für alle: auch für Sie

BSC hat sich für offene Standards und freie Software entschieden. Nicht für eine proprietäre Plattform eines US-Tech-Giganten mit allen damit verbundenen juristischen Risiken. Nicht für einen Vendor-Lock-in. Sie bauen auf Matrix, setzen AGPLv3-lizenzierte Software ein und veröffentlichen ihre Anpassungen auf GitHub. Das ist ein Dreipunkter für BSC!

Und Matrix ist nicht nur für Behörden.

  • Ein Konto anlegen geht auf Servern wie matrix.org, tchncs.de oder einem von Dutzenden anderen öffentlichen Servern.
  • Eine eigene Gruppe einrichten ist kaum schwieriger als das Aufsetzen einer WhatsApp-Gruppe und kann perfekt an deren Stelle treten.
  • Einen eigenen Server betreiben ist technisch machbar für eine Schule, Gemeinde oder einen Verein mit eigenem Server. Sie brauchen ein wenig technisches Know-how, aber weniger, als Sie denken — und es ist gut dokumentiert. So bekommen Sie die volle Kontrolle über Ihre Daten.
  • Element als Client läuft auf Desktop, Mobilgerät und im Browser (oder einer der anderen Clients wie FluffyChat auf dem Telefon) und ist vollständig kompatibel mit der Beam-Infrastruktur (auch wenn BSC Sie wahrscheinlich nicht auf ihre Server lässt).

Die belgische Regierung hat leise ein Signal gesetzt: Offene Standards sind der Goldstandard für Verteidigung und Justiz. Wenn sie für Staatsgeheimnisse taugen, dann taugen sie ganz sicher auch für Ihre Schulgemeinschaft, Ihr Nachbarschaftskomitee oder Ihren Verein — selbst für Familie und Freunde.

# Zum Schluss: zu diesem Vogel

Wir wissen immer noch nicht genau, was auf dem BSC-Logo zu sehen ist: Adler, Falke oder doch eine Taube?

Aber bleiben wir bei der Taube. Denn die Taube überbringt die Nachricht: ohne zentralen Server und ohne 47-seitige Datenschutzerklärung.

Matrix tut dasselbe. Und nun auch die belgische Regierung.

# Für die Nerds: technische Analyse des BSC-Synapse-Forks

Dieser Teil richtet sich an technisch interessierte Leser. Kein Interesse an der technischen Seite? Dann können Sie hier problemlos aufhören. Es wird nur noch erklärt, wie Emma das alles herausgefunden hat und welche technischen Unterschiede bestehen.

Für wer wissen will, was BSC im Vergleich zu Upstream-Synapse genau geändert hat: Es wurde ein direkter Diff zwischen dem öffentlichen BSC-GitHub-Repo und der entsprechenden Upstream-Version erstellt. Hier sind die auffälligsten Befunde, von den harmlosesten bis zu den tiefgreifendsten.

# 🔍 Wie Emma Beam erkannte

Die Login-Seite von Beam feuert Requests an /_synapse/client/rendezvous — den Endpoint, den Synapse für QR-Code-Login verwendet. Nach einem Page-Refresh wird config.json des Element Web-Clients abgerufen, inklusive Element-spezifischer Icon-Pfade.

Der Version-Endpoint auf web.beam.belgium.be/version liefert MS4wLjI= zurück — base64 für 1.0.2. Derselbe Endpoint auf app.element.io/version liefert 1.12.12 in Klartext. Zwei verschiedene Versionen, aber derselbe Endpoint und dasselbe Format: Der Fingerabdruck lügt nicht.

# ⏱️ Rendezvous-TTL: von 1 auf 5 Minuten

Das QR-Code-Login (Rendezvous) läuft im Standard-Synapse nach 1 Minute ab. BSC hat das auf 5 Minuten verlängert. Vermutlich pragmatisch: Beamte mit zentral verwalteten Geräten brauchen manchmal mehr Zeit, um das Kopplungsverfahren zu durchlaufen.

# 🔔 Benachrichtigungston standardmäßig aktiviert

Im Rust-Code für Push-Regeln wurde SOUND_ACTION zur Standard-Benachrichtigungsregel für Nachrichten hinzugefügt. Schlicht gesagt: Beam spielt bei neuen Nachrichten standardmäßig einen Ton ab, wo Upstream-Synapse stumm ist. Kleine Änderung, große Auswirkung auf den Alltag.

# 🔒 Manhole vollständig und gründlich entfernt

Synapse hat eine Debug-Funktion namens „Manhole" — im Kern eine interaktive Python-Shell, die per TCP erreichbar ist und direkten Zugriff auf den internen Zustand des laufenden Prozesses gibt. Praktisch für Entwickler, katastrophal, wenn sie versehentlich im Produktivbetrieb offen steht.

BSC hat das nicht nur abgeschaltet, sondern aktiv blockiert: Wer die Manhole-Option in der Konfiguration setzt, bekommt jetzt einen harten Fehler beim Start. Der Listener wurde aus der Liste der bekannten Listener-Typen entfernt, aus dem Config-Parser, aus der Worker-Konfiguration und aus den Kommandozeilenargumenten. Fünf einzelne Stellen in der Codebasis — gründliche Arbeit.

# 🙈 Gerätenamen vor anderen Nutzern verborgen — eine zweifelhafte Entscheidung

In Matrix lassen sich über /keys/query die Ende-zu-Ende-Verschlüsselungsschlüssel anderer Nutzer abfragen, inklusive des Anzeigenamens ihrer Geräte („Bobs Laptop", „Dienst-iPhone"). BSC hat das angepasst: Man sieht nur noch die Gerätenamen der eigenen Geräte, nicht die der anderen.

Auf den ersten Blick klingt das nach einer Datenschutzmaßnahme. Aber im Sicherheitskontext ist es eigentlich ein Rückschritt: Die Sichtbarkeit von Gerätenamen ist genau das, womit Nutzer erkennen können, dass ein unbekanntes oder verdächtiges Gerät auf ihrem Konto aktiv ist. Das Verbergen macht es schwerer, Kompromittierungen zu erkennen, weil die Daten auf kurze, zufällig generierte IDs reduziert werden (z. B. CNQATVTHNF). Eine diskutable Abwägung.

# 🧩 Das PG-Synapse-Modul: das geheime Herz von Beam

Dies ist die architektonisch tiefgreifendste Anpassung, und sie umfasst mehrere zusammenhängende Änderungen.

BSC hat ein neues Callback-System zur Synapse-Modul-API hinzugefügt: on_enrich_membership_content. Wenn jemand einem Raum beitritt (oder eingeladen oder entfernt wird), können registrierte Module den Inhalt dieses Membership-Events anreichern — Felder hinzufügen, bevor das Event festgeschrieben und föderiert wird.

Um das zu ermöglichen, musste BSC zudem den Event-Freeze-Mechanismus von Synapse umgehen. Synapse „friert" Events nach der Erstellung ein, um unbeabsichtigte Mutationen zu verhindern. BSC hat eine unfreeze()-Methode zur Event-Basisklasse hinzugefügt und wendet sie im check_event_allowed-Callback an — sodass Events durch das Modul doch mutiert werden können.

Das ist kein trivialer Eingriff. Er durchbricht eine bewusste Unveränderlichkeitsgarantie in Synapse und hat als Nebeneffekt, dass sich die Return-Semantik von check_event_allowed ändert: Während Upstream früher beim ersten Ablehnen oder Ersetzen aufhörte, iterieren die Callbacks von BSC jetzt über alle Handler und kombinieren die Ergebnisse. Das bricht die Kompatibilität mit bestehenden Synapse-Modulen, die auf das ursprüngliche Verhalten setzten.

Was tut das Modul nun konkret? Das wissen wir nicht sicher, das PG-Synapse-Modul ist nicht öffentlich. Aber die Architektur macht es deutlich: Das Modul schreibt zusätzliche Felder in Membership-Events, vermutlich um Nutzerdaten aus einem externen belgischen Identity-System zu injizieren. In den Kommentaren zu den Anpassungen wird übrigens explizit auf E-Mail-Adressen verwiesen.

# ⚠️ E-Mail-Adressen in der Sliding-Sync-Antwort

Im Sliding-Sync-Code (der moderneren Sync-API für Matrix-Clients) wird das Feld email aus Membership-Events als Teil der „Hero"-Daten weitergegeben — der Nutzerinformationen, die beim Raum-Sync an den Client zurückgeschickt werden.

Wenn das PG-Synapse-Modul die E-Mail-Adresse eines Nutzers ins Membership-Event einträgt (was die Architektur stark nahelegt), dann kann diese E-Mail-Adresse über Sliding Sync bei anderen Clients im selben Raum landen. Ob das tatsächlich so funktioniert, hängt davon ab, was das Modul genau injiziert und welche Zugriffskontrollen vorhanden sind — aber es ist ein Datenpunkt, der weitere Untersuchung verdient.

# 🐳 Eigene PKI und eine private Modul-Registry

Das Dockerfile installiert angepasste CA-Zertifikate (custom-cas) an mehreren Stellen im Build — was darauf hinweist, dass BSC eine eigene interne Zertifikatsinfrastruktur betreibt. Das PG-Synapse-Modul wird aus einer privaten GitLab-Package-Registry geholt, wobei ein Access-Token (pg_access_token) temporär in den Container kopiert und anschließend wieder entfernt wird. Das ist ein gängiges Vorgehen, bedeutet aber, dass die Build-Pipeline nicht vollständig reproduzierbar aus dem öffentlichen Repo heraus ist.

Zum Schluss: Durch den gesamten Diff hindurch sind die Anpassungen ordentlich als # PG_CHANGED markiert — inklusive einer sparsamen, aber treuen Sammlung von Trailing Spaces.