Interview: "Große Bedenken, auf Mastodon zu setzen – aus technischer Sicht"
Taugt Mastodon als Twitter-Alternative? Softwarearchitekt Golo Roden hält aus technischer Sicht Skepsis für angebracht.
- Silke Hahn
Seit Elon Musk im Herbst 2022 Twitter übernommen hat, sind ehemals passionierte Privatnutzer, aber auch Behörden und Medienvertreter in Scharen zu anderen Diensten abgewandert – oder haben ein zweites Standbein anderswo in den sozialen Medien aufgebaut. Das dezentrale Fediverse diente vielen Twitterflüchtlingen als Auffanglager, insbesondere der Nischendienst Mastodon ist seither stark gewachsen. Wir haben uns gefragt, wie es von technischer Seite aussieht: Was taugt die Twitter-Alternative? Hätte Mastodon gar das Zeug, Teil der kritischen Infrastruktur zu werden, wie manche behaupten?
Der Softwarearchitekt Golo Roden war neugierig und wollte für seine Firma eine eigene Mastodon-Instanz aufsetzen. Dabei legte er Wert auf Sicherheitsaspekte – und machte überraschende, teils auch eher abschreckende Entdeckungen. Seinen Unmut tat er im Netz kund und stieß dabei eine kontroverse Diskussion auf Twitter an. Silke Hahn hat für heise Developer hat mit ihm über seine Erfahrungen gesprochen.
heise Developer: Wie stehst du zurzeit zu Twitter?
Golo Roden: Spricht man über Twitter, muss man zwischen der technischen Implementierung der Plattform und der inhaltlichen Nutzung unterscheiden.
Aus rein technischer Sicht mache ich mir tatsächlich verhältnismäßig wenige Gedanken um Twitter. Nach der Übernahme durch Elon Musk und den Massenentlassungen wurde vielfach geunkt, dass Twitter bald nicht mehr funktionsfähig sei. Allerdings gab es bislang keinen einzigen nennenswerten Ausfall, und im Großen und Ganzen läuft das System nicht weniger stabil oder langsamer als vorher. Zumindest ich persönlich habe bislang ehrlich gesagt überhaupt keinen Unterschied bemerkt. Ob die eingeschlagene Richtung mit kostenpflichtigen blauen und gelben Häkchen richtig ist, wird die Zeit zeigen. Tendenziell finde ich es aber positiv, dass es endlich ein Bezahlmodell gibt.
Lass uns dazu nachher unbedingt noch im Detail sprechen. Zurück zu Twitter, hast du auch Kritikpunkte?
Golo: Im Vergleich zum Technologischen sehe ich Twitter inhaltlich sehr kritisch. Ich finde es in höchstem Maße bedenklich, dass zahlreiche Teams aufgelöst wurden, die nicht direkt einen technischen Beitrag leisten, sondern dafür Sorge getragen haben, dass ein vernünftiger Umgangston durchgesetzt wird. Zwar war Twitter in der Hinsicht auch vor Elon Musk kein Paradebeispiel, aber zum Beispiel Teams für Menschenrechte und Diversität einfach von heute auf morgen zu streichen, finde ich sehr schwierig. Und das ist etwas, was neben der Stabilität der Plattform unter Umständen der viel wichtigere Faktor ist: Fühlen sich die Nutzerinnen und Nutzer wohl, herrscht ein positiver, konstruktiver und vor allem respektvoller Umgangston vor, und so weiter.
Das verstehe ich gut. Du bist auf Twitter ja nicht nur privat unterwegs, sondern auch als Unternehmer, hatte ich gesehen. Nutzt du es noch aktiv?
Golo: Ich persönlich und auch wir als Unternehmen haben lange überlegt, wie wir weiter verfahren wollen. Meinen privaten Account nutze ich seit Anfang des Jahres nicht mehr. Mit dem Unternehmensaccount sind wir derzeit mangels Alternative noch vertreten. Wie lange das allerdings noch der Fall sein wird, bleibt abzuwarten. Inzwischen ist es um Twitter und Elon Musk wieder etwas ruhiger geworden. Ich denke, wie gesagt, dass die Zeit zeigen wird, ob es sich lohnt, noch auf Twitter vertreten zu sein oder nicht.
Es gibt ja auch Alternativen. Wie geht es dir als IT-Profi mit Mastodon?
Golo: Grundsätzlich finde ich die Idee für ein dezentrales soziales Netzwerk, das auf offenen Standards basiert, eine schöne Sache. Von Mastodon bin ich aber bislang nicht besonders angetan. Das hat zum einen technische Gründe, zum anderen herrscht im Allgemeinen eine aus meiner Sicht verkehrte Erwartungshaltung vor: Des Öfteren ist zu hören, dass genau das, was ich gerade bei Twitter kritisiert habe, bei Mastodon so viel besser sei, nämlich der Umgangston. Dass man dort, anders als bei Twitter, so viele "vernünftige" Menschen antreffe.
Kann ich bestätigen, ich habe mir im November neben Twitter zum Ausprobieren ein Mastodon-Konto eingerichtet, und Heise hat nun eine eigene Instanz. Trolle scheinen Mastodon noch zu meiden.
Golo: Das mag so sein, das ist aber kein Verdienst von Mastodon. Denn Mastodon ist, genauso wie Twitter, zunächst einmal nur eine technische Plattform, und was daraus gemacht wird, liegt zum größten Teil in der Hand der Anwenderinnen und Anwender. Wenn es also bei Mastodon so ist, dass sich dort derzeit vornehmlich eine gewisse Zielgruppe trifft, dann liegt das primär daran, dass das die Ersten waren, die von Twitter zu Mastodon gewechselt sind, weil sie sich auf Twitter nicht mehr wohlgefühlt haben. In Anbetracht der Tatsache, welche Teams bei Twitter gestrichen wurden, liegt auf der Hand, dass das primär Menschen sind, denen Themen wie beispielsweise Inklusion und Diversität wichtig sind. Es ist aber naiv zu glauben, dass das an Mastodon läge – denn je mehr Menschen auf diese Plattform wechseln, desto mehr werden sich auch andere Weltanschauungen auf Mastodon finden.
Mir fällt auf, dass man auch als kleiner Account leicht ins Gespräch kommt und rasch interessante Kontakte findet. Die Chats laufen etwas sachlicher ab, es wird ernsthafter diskutiert, kommt mir vor. Es ist sicher hilfreich, dass ein Toot doppelt so viele Zeichen umfassen kann wie ein Tweet. Ist die Kultur vielleicht doch eine andere, aufgeschlossenere?
Golo: Facebook bietet noch mehr Zeichen pro Beitrag, und ich würde jetzt nicht unbedingt behaupten, dass dort noch weitaus ernsthafter diskutiert wird – eher im Gegenteil. Für ausführliche sachliche Diskussionen war Twitter der falsche Ort, das ist richtig, aber eine fundierte Meinung darlegen, erklären und mit Fakten zu unterlegen, dafür sind auch 500 Zeichen nicht ausreichend. Stell Dir mal vor, wir müssten dieses Interview per Mastodon führen!
Oh je … stimmt!
Golo: Unabhängig davon ist das dann auch immer noch eine Frage dessen, was die Betreiberin oder der Betreiber der jeweiligen Mastodon-Instanz zulässt, aber das ist schlussendlich eine Frage der Kultur und der Atmosphäre, die durch die Anwenderinnen und Anwender entsteht, und keine technische Frage. Insofern ist Mastodon keine schlechte Sache – nur wird der Aspekt mit der Positivität aus meiner Sicht deutlich überbewertet. Es würde mich nicht überraschen, wenn Mastodon mittelfristig mit genau den gleichen inhaltlichen Problemen zu kämpfen hat wie Twitter, denn spätestens, wenn es Server gibt, auf denen gewisse Meinungen toleriert werden, verlagern sich auch die zugehörigen Themen zu Mastodon.
Was ist aus deiner Sicht besser: ein zentraler Dienst, der von einem Unternehmen gesteuert und überwacht wird, das aber verantwortungsbewusst damit umgeht – oder eine Handvoll Betreiberinnen und Betreiber, die das in ihrer Freizeit machen?
Golo: Ehrlich gesagt, weder noch. Dass ein zentral gesteuerter und kontrollierter Dienst schwierig sein kann, haben wir mit Twitter nun gerade erlebt. Positiv ist aber, dass ein Unternehmen den Dienst betreibt, das gewisse Ressourcen aufwenden kann. Ob Twitter das nun profitabel gemacht hat oder nicht, sei mal dahingestellt. Der Punkt ist aber, dass eine derartige Plattform viel Aufwand nach sich zieht, in der Wartung, im Betrieb und so weiter. Und da weiß ich nicht, ob ich das in den Händen einiger weniger Freiwilliger sehen möchte, die das unentgeltlich machen. Die Absichten sind sicherlich hehrer Natur, das will ich gar nicht in Abrede stellen – aber es gibt halt einen großen Unterschied zwischen einem professionellen, sicheren und verlässlichen Betrieb und dem, was eine Privatperson leisten kann oder will.
Um das zu betonen: Ich möchte niemandem die Kompetenz oder den Willen absprechen, aber es ist einfach ein Unterschied, ob sich zig Leute 24/7 ausschließlich um den Betrieb kümmern, oder ob das jemand nebenher in ihrer oder seiner Freizeit machen muss. Spätestens, wenn auf einer Mastodon-Instanz sehr viele Nutzerinnen und Nutzer registriert sind, dann wird es kritisch. Ich will nicht den Teufel an die Wand malen, aber ich bin da skeptisch.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Wieso will man eine eigene Instanz aufsetzen bei Mastodon? Was sind Vorteile, mögliche Nachteile?
Golo: Es ist erstaunlich, wie wenige Mastodon-Instanzen es bislang gibt. Natürlich entstehen ständig neue, aber in Anbetracht dessen, wie viele Menschen in den vergangenen Monaten von Twitter zu Mastodon gewechselt sind, sind es überraschend wenige. Eigentlich müsste man bei einem dezentralen System ja eher erwarten, dass mehr oder weniger alle ihre eigene Instanz betreiben, denn ansonsten ist es zwar technisch ein dezentrales System, aber wenn sich die meisten Menschen am Ende doch wieder auf einer Handvoll Instanzen wiederfinden, ist das nicht das, was man unter dezentral vermutlich erwarten würde – und es schadet genau der Verlässlichkeit, über die wir gerade gesprochen haben.
Insofern finde ich es sehr wichtig – wenn man Mastodon nutzen möchte – dass man, sofern man technisch dazu in der Lage ist, etwas zum Fediverse beiträgt und eine eigene Instanz aufsetzt. Denn das macht das ganze System resilienter und unabhängiger, und vermeidet außerdem das Problem, dass irgendjemand in ihrer oder seiner Freizeit sich mit der Wartung und Pflege von Servern befassen muss, von denen auf einmal doch wieder Tausende oder Zehntausende von Menschen abhängen.
Klingt plausibel. Wie gehst du das an, machst du das als Unternehmen oder privat?
Golo: Für uns als Unternehmen lag es nahe, dass wir eine eigene Instanz aufsetzen würden, wenn wir zu Mastodon wechseln wollen. Ob man die komplett selbst betreibt oder sich einkauft, steht noch einmal auf einem anderen Blatt, aber einfach nur einen Account bei einer komplett fremden Instanz abzuschließen, käme für uns nicht infrage. Außerdem hat man mit einer eigenen Instanz mehr Kontrolle über zum Beispiel die langfristige Stabilität von Accountnamen – denn niemand garantiert, dass eine Instanz, auf der man lediglich Mitglied ist, dauerhaft erhalten bleibt, und wenn dem nicht so ist, sind zwar nicht unbedingt die eigenen Daten weg, aber zumindest der Accountname, da die Domain eventuell nicht weiter existiert.
Und das Ziel dabei, was wäre der Mehrwert?
Golo: Unterm Strich geht’s um Stabilität und Verlässlichkeit, und um die Kontrolle über die eigenen Daten, Accounts und Co. Da spielen dann Themen mit hinein wie zum Beispiel: Wo werden denn die Daten überhaupt gespeichert, also in welchem Land? Das ist für die DSGVO relevant, und die wiederum ist spätestens bei privaten Direktnachrichten – die es in dieser Form auf Mastodon ja gar nicht gibt – wichtig zu beachten.
Was ist dir auf technischer Seite aufgefallen?
Golo: Leider war unser erster Versuch, eine Mastodon-Instanz testweise aufzusetzen, nicht sonderlich erfolgreich, sondern ziemlich ernüchternd. Mastodon weist nämlich eine Reihe von technischen Aspekten auf, die ich persönlich als schwierig ansehe. Dabei geht der erste Eindruck in eine andere Richtung, denn die Dokumentation für Anwenderinnen und Anwender ist schön gemacht, gut verständlich, anschaulich, und so weiter. Leider endet dieser Eindruck, wenn man damit beginnen möchte, eine eigene Instanz zu betreiben – und zwar so, dass sie tauglich für den Produktivbetrieb ist, das heißt hochverfügbar, redundant, mit einem Loadbalancer versehen, über TLS abgesichert und containerisiert.
Container kommen in der Dokumentation mit keinem einzigen Wort vor, die Installation wird ausschließlich für Bare-Metal beschrieben. Docker und Kubernetes scheinen nicht zu existieren. Eine Bare-Metal-Installation ist aus meiner Sicht aber weder zeitgemäß noch erstrebenswert, außerdem erfüllt sie die Anforderungen an (elastische) Skalierbarkeit nur bedingt. Immerhin enthält das Repository von Mastodon ein Dockerfile und ein Docker-Compose-Skript, aber auch hier: keine Dokumentation, auch nicht auf dem offiziellen Docker Hub.
Ich bin überrascht, das klingt nicht gut. Gibt es denn keine Anleitung zur Installation?
Golo: Doch, das schon, aber eben nur zur Installation von Hand, Containerisierung wird wie gesagt nicht erwähnt, so als ob die Dokumentation aus den 90er-Jahren sei. Darin wird dann erwähnt, dass man Ruby on Rails installieren müsse. Das liegt daran, dass Mastodon auf Basis dieser Technologie entwickelt wird. Und das finde ich wiederum für ein Produkt, was es erst seit 2016 gibt, eine schwierige Entscheidung.
Ruby on Rails hatte seine Hochzeit um 2007 herum, plus/minus zwei Jahre, aber es ist seit Jahren auf dem absteigenden Ast, was die Verbreitung angeht. Dass es bestehende Projekte auf dieser Basis gibt, ist selbstverständlich – aber ich hätte mir bei einem noch so verhältnismäßig jungen Projekt dann doch eine etwas andere Technologie gewünscht. Es geht dabei nicht darum, das Neueste zu verwenden, sondern etwas zu nutzen, bei dem absehbar ist, dass es nicht beständig Marktanteile und Relevanz verliert – und das war bei Ruby bereits 2016 absehbar, dass das so kommen würde.
Stimmt, zu Ruby hattest du dich auf Twitter geäußert und ich hatte das auf Mastodon geteilt. Da schlugen die Wogen der Empörung hoch, es gab auch starke Befürworter dieser Technologie. Was war dein Take-away aus dieser hitzigen Diskussion damals?
Golo: Auffallend war, welche Gegenargumente genannt wurden. Da hieß es zum Beispiel, dass Ruby aber doch sehr verbreitet sei. Das habe ich allerdings auch gar nicht bestritten, ich habe nur gesagt, dass die Verbreitung stetig abnimmt, weil es für neue Projekte zunehmend weniger eingesetzt wird. Dann wurde gefragt, ob es mir lieber wäre, wenn man auf das Neueste vom Neuen setzen würde. Auch das habe ich so nicht gesagt – mir geht es nicht darum, auf Biegen und Brechen etwas Neues zu nutzen, sondern ich hätte gerne eine Basis, bei der zumindest nicht absehbar ist, dass ihre Verbreitung immer weiter sinken wird. Natürlich kann niemand die Zukunft voraussagen, und gerade Aussagen über die Zukunft von Technologien sind schwierig. Aber trotzdem gibt es Tendenzen, wenn man den Markt über Jahre beobachtet. Und da zeigt Ruby eben eher eine Tendenz nach unten.
Das Ganze endete dann darin, dass mir jemand einen Link zu einer Webseite geschickt hat, wo man in einem Diagramm ganz klar sehen konnte, dass Ruby auf einem der vorderen Plätze der Verbreitung war, was er als Beleg dafür angeführt hat, dass meine These nicht stimmen würde. Hätte er allerdings den Text unter dem Diagramm gelesen, hätte er dort wortwörtlich lesen können, dass Ruby seit Jahren auf dem absteigenden Ast ist. Ich habe diese Diskussion dann nicht weitergeführt, denn das führt zu nichts. Interessant, wenn auch nicht überraschend, fand ich, wie wenig faktenbasiert diskutiert wird und wie emotional vieles dann direkt wird, dass sich Menschen persönlich angegriffen fühlen, wenn man eine zwar negative, aber faktengestützte Aussage über ihre Lieblingssprache trifft … nun ja.
Bin gespannt, was unsere Leser hier dazu sagen werden. Aber zurück zu deinem Testlauf mit der eigenen Instanz. Wie ging es da weiter?
Golo: Die nächste Enttäuschung war die Anbindung der Datenbanken. Mastodon braucht PostgreSQL und Redis, optional lässt sich noch ElasticSearch anbinden. Abgesehen davon, dass das Aufsetzen der Konfiguration dafür in Mastodon sehr umständlich, fehleranfällig und vor allem schlecht dokumentiert ist, haben wir es nach einiger Arbeit doch geschafft, Mastodon auf Kubernetes zu starten. Leider sind wir nicht weit gekommen, denn wir sind an der Verbindung zu Redis gescheitert: Denn unsere Redis-Installation setzt eine TLS-Verbindung voraus, was Mastodon aber nicht unterstützt, weil das zugehörige Ruby-Modul über vier Jahre alt ist und TLS schlichtweg nicht kennt!
Wow, aus Sicherheitsperspektive klingt das eher übel.
Golo: Das empfinde ich schon als fahrlässig. Es geht nicht darum, dass Mastodon perfekt sein müsste, das wäre zu viel erwartet – aber dass derart grundlegende Sachen wie eine TLS-Verbindung zur Datenbank nicht möglich sind, weil der Client dafür hoffnungslos veraltet ist, das vermittelt leider kein gutes Gefühl, dass es im Code nicht noch mehr solche Probleme gibt, und dass man sich hier eventuell ein größeres Sicherheitsproblem ins Haus holt, denn anscheinend stehen Themen wie Verschlüsselung oder Pflege von Dependencies nicht besonders weit oben auf der Tagesordnung. Insofern war das sehr enttäuschend.
Klingt nach einer ziemlichen Durststrecke. Wo stehst du gerade beim Aufbau dieser eigenen Instanz und wie gehst du nun vor?
Golo: Wie gerade geschildert, habe ich vor allem aus technischer Sicht große Bedenken, auf Mastodon zu setzen. Natürlich lässt sich alles irgendwie lösen, so kann man beispielsweise das Problem mit der TLS-Verbindung mit stunnel umgehen, und theoretisch könnte man den Code auch selbst patchen, aber die Frage ist natürlich: Wie viel Aufwand zieht das nach sich, und welche Probleme gibt es noch alle, von denen man erst einmal gar nichts weiß? Will man das alles wirklich, und lohnt sich das langfristig?