Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 20 2014

Leben im Überwachungsstaat. Oder: Warum wir das dunkle Monster in unserer Mitte nicht länger ignorieren dürfen.

Dieser Beitrag von Kai Biermann ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

UeberwachtesNetz-square_5112pxIch komme aus einem Land, das heute als der Inbegriff des Überwachungsstaates gilt. Für die Überwacher hatten wir damals viele Namen. Sie wurden “Horch und Guck” genannt, oder “die Firma”, meistens aber mit der Abkürzung bezeichnet, die bis heute jedem ein Begriff ist: “Stasi”. Das Ministerium für Staatssicherheit hatte so viele Angestellte, dass pro 180 Einwohner ein hauptamtlicher Mitarbeiter existierte. In keinem Land davor und in keinem danach kamen so viele Bewacher auf so wenige Überwachte, es war der größte Geheimdienstapparat der Weltgeschichte.

Die Stasi gehörte zum Alltag in der DDR. Niemand redete offen über sie, aber jeder wusste von ihr und jeder fürchtete sie. Die Warnung meiner Eltern, “das darfst du aber niemandem erzählen”, war in meiner Kindheit ein ständiger Begleiter. Meine Eltern hatten Angst, also hatte ich sie auch.

Trotzdem lebten alle irgendwie vor sich hin und versuchten, dieses Monstrum zu ignorieren, so gut es eben ging. Möglich war das durchaus, kaum jemand kannte Opfer des Terrors persönlich. Entweder waren die in den Westen abgeschoben worden, oder sie hielten wohlweislich die Klappe, um nicht wieder abgeholt zu werden. Das Dunkle ließ sich ganz gut verdrängen.

Von der vagen Ahnung zur Realität

Selbst im Herbst 1989 ging das noch. Dabei wurden bei den Montagsdemos nicht mehr nur Einzelne abgeholt. Zu Hunderten verhaftete die Stasi nun Demonstranten, jede Woche, wahllos. Und die, die anschließend wieder freikamen, wollten nicht mehr schweigen, sie fertigten Gedächtnisprotokolle über ihre Erlebnisse, sie redeten. Plötzlich bekam die Stasi ein hässliches Gesicht, plötzlich war sie keine vage Ahnung mehr, kein Gerücht, keine Verschwörungstheorie – sie wurde real, ihre Verhöre, ihre Drohungen, die Bedrohung, die von ihr ausging, wurde auf einmal jenen Menschen bewusst, die sie sehen wollten.

Noch immer aber konnte, wer wollte, das Monster beiseite schieben. Schließlich traf es nur die, die sich gegen den Staat auflehnten, die demonstrierten, Flugblätter druckten. Wer nicht aufmuckte, der hatte doch nichts zu befürchten, oder? Wie die Punkband Feeling B so richtig sang: “Wir woll’n immer artig sein, denn nur so hat man uns gerne.”

Der wahre Schrecken folgte erst später. Im Dezember 1991 trat das Stasi-Unterlagen-Gesetz in Kraft, die Opfer konnten nun nachlesen, was die Täter über sie gesammelt hatten. Meine Eltern beantragten sofort Einsicht in ihre Stasi-Akten. Es war ein Schock. In der kalten Sprache von Bürokraten wurde dort über Menschen geschrieben, die bereits verurteilt waren, obwohl noch nicht einmal eine Anklage existierte, geschweige denn irgendwelche Beweise.

Es war ein Schock, den wohl alle erlebten, die ihre Akten lasen. Denn plötzlich zeigte sich, dass jeder ein Staatsfeind gewesen sein konnte, auch wenn er selbst geglaubt hatte, dass er immer artig war. Ein Gerücht genügte, eine Bemerkung eines neidischen Nachbarn, eine Verdächtigung eines Bekannten – für die Stasi war jeder ein Feind. Und alles war ihr Recht, um mehr über die vielen Feinde zu erfahren, die sie überall sah.

In den Stasi-Akten standen Freunde und Kollegen als Zuträger, Männer, die ihre Frauen bespitzelten und Kinder, die ihre Eltern verrieten. Die Gründe dafür waren so banal wie niedrig: Geld, Eitelkeit, Missgunst. Jeder konnte zum Opfer werden, einfach so, ohne die Chance, es zu verhindern oder seine Unschuld zu beweisen.

Das neue Monster lässt sich nicht mehr verdrängen

Warum erzähle ich das alles? Der Gedanke, dass die allgegenwärtige Technik in unserem Leben dazu benutzt werden kann, uns auszuspähen, ist den meisten von uns schon lange gewärtig. Der Chaos Computer Club warnt seit vielen Jahren davor, dass Handys “Ortungswanzen” sind, die alles über ihren Besitzer verraten. Spätestens seit den Anschlägen vom 11. September werden immer mehr Gesetze verabschiedet, die Bürgerrechte einschränken und die Macht des Staates ausdehnen, die Überwachung zulassen, auch auf einen vagen Verdacht hin.

Trotzdem ließ sich das Monster bis zum Juni 2013 noch gut verdrängen. Der so verführerische wie gefährliche Satz, dass wer nichts zu verbergen hat, auch nichts zu befürchten habe, wurde von allzu vielen allzu gern geglaubt. Diejenigen, die vor allwissenden Geheimdiensten und einem misstrauischen, allmächtigen Staat warnten, wurden als Alu-Hüte verspottet, als Verschwörungstheoretiker und Sonderlinge.

Edward Snowden hat das geändert. Edward Snowden hat uns dank seiner mutigen Tat unsere Akten zugänglich gemacht. Und sie sind – selbst für jene, die es schon länger ahnten – ein Schock.

Wir wissen noch gar nicht so viel darüber, wie genau die ganzen Spionageprogramme von NSA, GCHQ, BND und wie sie alle heißen funktionieren. Dazu sind die von Snowden veröffentlichten Unterlagen zu vage und zu überblicksartig. Es sind fast ausschließlich Powerpoint-Folien, in denen stichpunkthaft über diese Projekte informiert wird. Nirgends finden sich bislang technische Beschreibungen, Organigramme oder konkrete Zahlen.

Eine Menge Heu

Doch das, was wir dank Edward Snowden wissen, genügt, um eigentlich auch dem Letzten klar zu machen, dass die Regierungen der Welt die Technik des Internets und des Mobilfunks missbrauchen, um ihre Bürger – uns – nahezu vollständig zu überwachen. Es braucht nicht einmal mehr ein Gerücht oder einen Verdacht, jeder ist das Ziel dieser Ausspähung. Mit der Begründung, wer eine Nadel finden wolle, müsse eben den ganzen Heuhaufen durchsuchen, wird inzwischen alles gefiltert und gespeichert, was es an elektronischer Kommunikation gibt.

  • Die Geheimdienste schneiden große Teil der Daten mit, die über die internationalen Seekabel laufen, nach Angaben der NSA sind das 29 Petabyte am Tag, 1,6 Prozent des gesamten Netztraffics, eine sicher geschönte Zahl.
  • Die Geheimdienste kopieren Metadaten von Telekommunikationsverbindungen bei den Anbietern in unbekannter Menge und aggregieren daraus Bewegungsprofile und Analysen der privaten Netzwerke der Abgehörten.
  • Die Geheimdienste filtern und speichern E-Mails in unbekannter Menge und für eine unbekannte Zeit, wenn die E-Mails verschlüsselt sind wahrscheinlich für ewig.
  • Die Geheimdienste überwachen via Internet geführte Gespräche mit Skype und anderen Messengerdiensten und speichern auch SMS in unbekanntem Umfang.
  • Die Geheimdienste hacken die Computer von Telefonbetreibern, um die eigentlich verschlüsselt übertragenen Gespräche von Mobiltelefonen abhören zu können.
  • Die Geheimdienste kopieren Daten von Finanztransaktionen, um Kontobewegungen verfolgen zu können.
  • Die Geheimdienste beobachten Kommunikation in sozialen Netzwerken wie Facebook und sammeln die dort öffentlich zugänglichen Informationen aus den Accounts, um Profile von den Vorlieben und Vorstellungen der Überwachten zu erstellen und um zu erfahren, mit wem diejenigen Kontakt haben.
  • Die Geheimdienste lesen Blogs und was sonst noch so in Newsgroups und Foren öffentlich im Netz verfügbar ist und werten diese Informationen aus.
  • Die Geheimdienste geben Milliarden von Dollar aus, um Verschlüsselungsverfahren zu knacken oder zu unterwandern.
  • Mit anderen Worten: Unsere Geheimdienste tun alles dafür, dass wir keine Geheimnisse mehr haben, gar keine.

    Und wer jetzt glaubt, dass davon ja nur andere betroffen sind und nicht er selbst – immerhin dürfen Geheimdienste wie NSA, GCHQ oder BND laut den Gesetzen ihrer Länder nur Ausländer überwachen und nicht die eigenen Bürger -, der darf nicht vergessen, dass eben diese Geheimdienste ihre Erkenntnisse gern und oft miteinander tauschen. Was der eine offiziell nicht erfahren darf, das darf der andere ganz problemlos. Denn, wie der Spontispruch sagt, jeder ist Ausländer, fast überall.

    Und wer jetzt glaubt, dass davon ja nur Terroristen betroffen sind und andere Bösewichter, der darf nicht vergessen, dass bereits ein Gerücht, eine böse Bemerkung, eine Verdächtigung oder auch ein Zufall genügen, um diesen riesigen Spähapparat auf Touren zu bringen. Und dass die Betroffenen keine Chance haben, ihre Unschuld zu beteuern, weil sie im Zweifel gar nicht erfahren, dass sie minutiös überwacht werden und weil jede Bewegung, jede Handlung ihnen zum Schlechten ausgelegt wird und ganz bestimmt nicht zum Guten und zu ihrer Entlastung.

    Das Problem ist das Misstrauen

    Die Stasi ließ sich ignorieren, zumindest bis ihre Akten zugänglich wurden. Die Bedrohung durch den technischen Überwachungsstaat ließ sich ignorieren, bis Edward Snowden uns die Akten der Überwacher zugänglich gemacht hat.

    Die Stasi hat sich erledigt, weil viele Tausende mutige Menschen monatelang auf die Straße gingen und letztlich den Staat zu Fall brachten, der das Ministerium für Staatssicherheit geschaffen hatte. Zu glauben, dass nun überall auf der Welt Menschen demonstrieren und die Regierungen der halben Welt stürzen, ist eine Illusion. Aber zu glauben, dass überall auf der Welt mutige Menschen auf die Straße gehen und mehr Bürgerrechte fordern, mehr staatliche Transparenz, engere Grenzen für Geheimdienste und besseren Schutz vor ihnen, ist keine Utopie. Immerhin leben wir in Demokratien, wir wählen diejenigen, die die Gesetze machen.

    Offensichtlich ist nur noch nicht genug Menschen aufgegangen, wie wichtig es ist, dass keine solchen Monster unter uns leben. Denn das Problem ist das Misstrauen, das sie säen. Früher richtete es sich gegen den Nachbarn und die Freunde, letztlich gegen jeden, denn jeder konnte einen verraten. Es zerfraß die Gesellschaft. Das Monster ließ sich zwar verdrängen, glücklich aber wurde damit niemand, die Angst blieb. Bei jedem Witz, den man erzählte, bei jeder Kritik, die man äußerte, war die Angst mit dabei. Heute richtet sich das Misstrauen gegen die Technik. Jedes Gespräch, jede Verbindung, jeder Datenaustausch kann uns verraten und uns zu Verdächtigen machen. Das Internet, das so viel Positives ermöglicht, wird von den Geheimdiensten als Waffe gegen uns missbraucht.

    Es macht keinen Unterschied, ob wir unseren Gegenüber fürchten oder das Gerät in unserer Hosentasche. Beides sind unsere Netzwerke, die uns bestimmen, in denen wir hängen und ohne die wir nicht leben können.

    Grundrecht und Bürgerpflicht

    Das 2008 formulierte IT-Grundrecht, das eigentlich Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme heißt, beschreibt, worum es geht. Im Urteil des Bundesverfassungsgerichtes, das dieses Grundrecht schuf, heißt es: “Die Nutzung der Informationstechnik hat für die Persönlichkeit und die Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt. Die moderne Informationstechnik eröffnet dem Einzelnen neue Möglichkeiten, begründet aber auch neuartige Gefährdungen der Persönlichkeit. Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. [...] Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. [...] Viele Selbstschutzmöglichkeiten – etwa die Verschlüsselung oder die Verschleierung sensibler Daten – werden überdies weitgehend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Geschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen. Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet.”

    Doch der Staat achtet die Vertraulichkeit der Technik nicht. Es wird Zeit, dass wir etwas dagegen tun, bevor die Zahl der Opfer der Überwachung so groß ist, dass wir sie nicht mehr ignorieren können. Wir sollten uns dagegen wehren, technisch und politisch.

    Verschlüsselung ist Bürgerpflicht, sagt Phil Zimmermann, der das Programm Pretty Good Privacy entwickelt hat. Wer seine Daten verschlüsselt, schützt nicht nur sich selbst, sondern auch viele andere, die das noch nicht können und noch nicht tun. Wer seine Kommunikation verschlüsselt, sorgt mit dafür, dass es zur Normalität wird, zum Standard. Auch wenn das keine Überwachung verhindert, macht Verschlüsselung es doch den Überwachern schwerer.

    Und es wird Zeit, dass wir für unsere Rechte auf die Straße gehen und dafür demonstrieren, nicht mehr überall und jederzeit überwacht zu werden. Im Zweifel jeden Montag.

    Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 13 2013

    Phil Zimmermann: “Ich dachte nicht, dass es so schlimm kommen würde”

    Phil Zimmermann entwickelte im Jahr 1991 die E-Mail-Verschlüsselungssoftware PGP und setzt sich für das Recht auf Privatsphäre ein. Darüber hinaus ist Zimmermann Mitgründer von Silent Circle, einem Unternehmen welches Dienste zur sicheren und verschlüsselten Kommunikation anbietet. Im Zuge der Schließung von Lavabit entschied sich Silent Circle seinen Emaildienst Silent Mail ebenfalls zu schließen. Zimmermann hat sich nun in zwei Interviews zu den Hintergründen geäußert, sowie seinen Ansichten zu Privatsphäre und der Überwachung der Gesellschaft.

    Im Interview mit dem Forbes Magazine gab Zimmermann einige Hintergründe zur Schließung von Silent Mail preis, darunter welche Informationen Geheimdienste oder Strafverfolgungsbehörden erhalten würden, wenn sie eine Anfrage an Silent Mail stellen würden:

    At the very least they would be able to see the plain text headers of the e-mails, [which] would say who the mail is from, who it’s to, the date it’s sent, time stamp, and subject line. If the message body is encrypted to a key that we hold on our server, they could ask for the key, or ask us to decrypt it, or ask for the key so they could decrypt it. That’s what we were afraid could happen.

    Dass Silent Mail überhaupt im Besitz von geheimen Schlüsseln seiner Benutzer war, lag laut Zimmermann an einer mangelhaften oder schlicht nicht vorhandenen Umsetzung von PGP auf mobilen Geräten. Um seinen Kunden aber dennoch verschlüsselte Dienste anbieten zu können, arbeitete man mit dem von Symantec entwickelten Programm PGP Universal, bei dem die geheimen Schlüssel direkt auf dem Server verwaltet werden können – aber eben auch die Herausgabe der Schlüssel durch Behörden verlangt werden kann. Um sich diesem Risiko nicht auszusetzen, entschied man sich Silent Mail zu schließen und alle Daten seiner Kunden zu löschen. Dass die Server von Silent Mail in Kanada standen, mache in der Praxis keinen Unterschied wie Zimmermann betonte:

    Well, the U.S. would approach the Canadian judicial system and ask for the Canadians to cooperate, and depending on the nature of the request, the Canadians might choose to cooperate.

    Ähnlich wie auch Ladar Levinson, der ehemalige Betreiber von Lavabit, gab auch Zimmermann an, kaum noch Emails zur Kommunikation zu nutzen. Stattdessen sei er auf „Mobile messaging“ umgestiegen.

    I don’t use e-mail that much anymore. One reason why I don’t is PGP doesn’t run very well on a Mac these days. Symantec hasn’t kept that up. So I hardly ever run PGP. When people send me PGP encrypted mail I have to go through a lot of trouble to decrypt it. [...]. Mobile messaging is less clunky than e-mail. E-mail has its place. [...] So e-mail is not going to go away, but if you want to send secure messages, there are more streamlined ways to do it now.

    Zum Schluss des Interviews gab Zimmermann noch an, in naher Zukunft auch einiger Server von Silent Circle in der Schweiz betreiben zu wollen. Auf die Frage warum denn gerade die Schweiz verpasste er der EU und seinen Plänen zur Vorratsdatenspeicherung einen Schuss vor den Bug:

    They don’t have the data retention laws that the European Union have. All of the EU countries are subject to EU data retention laws. In that respect Europe is worse than the U.S.

    Dass es in der Schweiz, unabhängig von der EU-Richtlinie, bereits seit über 10 Jahren eine Vorratsdatenspeicherung gibt, scheint Zimmermann dabei allerdings nicht zu wissen.

    In einem zweiten Interview mit Om Malik von GigaOM ging Zimmermann mehr auf die Auswirkungen der Komplettüberwachung durch die NSA ein und versucht das Thema in einem gesellschaftlichen Kontext einzubetten.

    Gleich zu Beginn des Gesprächs mit Om Malik gab Zimmermann an, dass Kryptographie nicht der richtige Ansatz sei, um sich aus der Überwachung zu befreien:

    The surveillance landscape is far worse than it has ever been and I feel like everything we do is now observable. All of our transactions and communications are all fused together into total information awareness apparatus. I don’t think any of this can be fixed merely by the application of cryptography. It is going to require some push back in the policy space.

    Dass die USA ein anderes Verhältnis zu ihren Geheimdiensten und Überwachung haben als wir Deutschen wird deutlich, wenn Zimmermann die NSA verteidigt und ihre Bedeutung nicht in Frage stellen möchte. Das größte Problem für die Amerikaner scheint weiterhin nicht zu sein, dass die NSA einen Überwachungsapparat aufgebaut haben, sondern dass sie als Auslandsgeheimdienst die Bürger im eigenen Land überwacht.

    I think the NSA has a job to do and we need the NSA. In general, all great nations need to have great intelligence apparatus to inform its leadership of what’s going on in the world. But when these tools are focused on domestic population, it is bad for democratic institutions.

    Zimmermann nennt hier als Beispiel eine Überwachung seiner Telefongespräche durch chinesische Behörden. Er gab an diese Vorstellung nicht zu mögen, aber nicht fürchten zu müssen, dass chinesische Beamten eines Tages an seiner Tür klopfen. Wenn Behörden aber die eigenen Bürger überwachen, hätten diese einen Einfluss auf die politische Opposition im Land und würde damit in demokratische Prozesse eingreifen.

    Auch zum Ende des Gesprächs mahnte Zimmermann, dass die Zukunft aktiv gestaltet werden müsse, anstatt sie sich nur passiv auszumalen:

    I wrote about these things over twenty years ago and when I first wrote PGP and technology extrapolations leading us to a future where the governments can listen to all our communications, can search through all our communications and do pattern recognition and study our traffic patterns. But I didn’t think it would get this bad.[...]there is a certain act of passivity in the act of prediction. I would rather not passively predict and I would rather actively correct. What kind of future we want to have, that’s the future we should all work together to create.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    July 24 2013

    Verschlüsselung: Lücken bei der Übertragung von E-Mails

    Beim Versenden einer E-Mail sollte man darauf achten, dass der Versand über eine verschlüsselte Verbindung erfolgt. Insbesondere in einem offenen WLAN hat sonst jeder weitere Nutzer des WLANs die Möglichkeit, den Inhalt der Nachricht zu lesen. Um das zu verhindern, sollte man die verschlüsselten Protokolle TLS oder SSL nutzen, um die E-Mail an den Server des Providers zu schicken. Wie Michael Kliewe nun aber herausgefunden hat und auf Golem berichtet, wird die Nachricht unter Umständen im weiteren Verlauf seines Weges dennoch unverschlüsselt zwischen den Servern der E-Mailprovider gesendet.

    Beim Einsatz von TLS oder SSL wird die gesamte Verbindung, also die gesamte E-Mail, verschlüsselt an den Server des Mailanbieters geschickt. Die Verschlüsselung wird dort aufgehoben und die Nachricht wird per SMTP an den Zielserver weiter geschickt. Wie Michael Kliewe nun in einem Test heraus fand, verzichten allerdings eine Reihe von E-Mailanbieter auf eine Verschlüsselung der Verbindung untereinander.

    Denn nur wenn beide beteiligten Mailserver TLS unterstützen und dies mittels StartTLS beim Verbindungsaufbau signalisieren, wird auf eine verschlüsselte Verbindung umgeschwenkt. Andernfalls werden E-Mails ohne TLS von einem Mailserver zum anderen weitergereicht.


    Bei einem Test von 15, sowohl internationalen wie deutschen, E-Mailanbietern war bei rund der Hälfte keine verschlüsselte Verbindung untereinander möglich.

    verschluesselung_mail

    Die Untersuchung der Anbieter fand mit dem Online-Tool Check-TLS vorgenommen. Das Tool steht jedermann offen, sodass auch noch weitere Anbieter einer Untersuchung unterzogen werden können. Das Ergebnis zeigt, dass ein Großteil der E-Mailanbieter keine Verschlüsselung der Verbindung per TLS unterstützt. Das Problem daran ist, dass Verbindungen nur verschlüsselt werden können, wenn beide Teilnehmer TLS unterstützen. Wer also von einem Anbieter mit möglicher Verschlüsselung wie Freenet eine Nachricht einen Anbieter ohne Verschlüsselung sendet, kann davon ausgehen, dass seine Mail zwischen den Anbietern unverschlüsselt übertragen wird. Kliewe sagt treffend, dass dieses Problem zwar schon länger bekannt sei, im Zuge der weltweiten Abhöraktionen des Internetverkehrs aber eine neue Betrachtung verdiene.

    Egal ob ein Server nun TLS unterstützt oder nicht, es wird nur die Verbindung verschlüsselt, nicht die Nachricht an sich. In jedem Fall wird diese Verbindung auf dem Server entschlüsselt und der Inhalt der E-Mail wird lesbar. Um sicherzustellen, dass wirklich nur der Empfänger den Inhalt der Nachricht lesen kann, muss die Nachricht mit einer Ende-zu-Ende-Verschlüsselung wie PGP gesichert werden. In diesem Fall ist der Inhalt einer E-Mail auch dann nicht lesbar, wenn die Verbindung, auf der die Nachricht übertragen wird, unverschlüsselt ist. Das Nutzen unverschlüsselter Verbindung ist dennoch nicht ratsam.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    July 02 2013

    Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

    Das gesamte Ausmaß des US-Datenschutzskandals ist längst noch nicht ersichtlich. Doch eine Sache scheint klar: auch in Deutschaland ist der NSA sehr aktiv und überwacht den Internetverkehr so massiv wie in kaum einem anderen Land. Sich in Gänze vor der Überwachung zu schützen ist sicherlich nicht möglich, doch es gibt Wege wenigstens bestimmte Bereich seiner Kommunikation im Internet vor der Spionage der Geheimdienste zu schützen. Beispielsweise durch die Verschlüsselung seiner E-Mails mittels PGP. Auch wenn PGP mittlerweile mehr als 15 Jahre alt ist, bietet es immer noch ausgezeichneten Schutz – selbst vor Geheimdiensten wie der NSA, wie auch Edward Snowden im Q&A mit dem Guardian noch einmal bestätigte:

    Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?

    Snowden: “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

    Einen ausführlichen Artikel zum Thema E-Mailverschlüsselung hat daMax auf seinem Blog veröffentlicht, den wir an dieser Stelle mit freundlicher Genehmigung ebenfalls veröffentlichen:

    PGP jetzt!

    Ein PGP-Key

    Ein PGP-Key

    Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

    Da in den letzten Tagen wenigstens einige der mir bekannten Blogger anfangen, PGP einzusetzen, dachte ich mir, ich klopp’ jetzt noch mal eine Anleitung heraus, wie PGP funktioniert und wie ihr das selbst einsetzen könnt.

    Die Voraussetzungen:

    • Ihr habt eine Mailadresse, an die ihr per POP3 oder IMAP heran kommt. Das geht auf jeden Fall bei GMX, Web.de, T-online und anderen Anbietern; wer eine eigene Domain á la www.huhuichbins.de hast, weiß wahrscheinlich eh Bescheid.
    • Ihr wisst, wie ihr eure Mails in einem eigenen Mailprogramm (Apple Mail, Outlook, Thunderbird o.ä.) lesen könnt. Wenn ihr eure Mails lest, indem ihr z.B. da oben www.gmx.de oder www.web.de eingebt, kann euch vielleicht mit Mailvelope geholfen werden.

    Die Funktionsweise:

    Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

    Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

    Das Prinzip der Mailverschlüsselung ist schnell erklärt. Jeder Teilnehmer hat 2 Schlüssel: einen privaten und einen öffentlichen. Der öffentliche wird an alle Leute gegeben, mit denen ihr komminuzieren wollt. Den privaten behaltet ihr immer nur für euch. Nie rausgeben. Klar?

    Nehmen wir an, ihr wollt mit Berta verschlüsselt kommunizieren. Ihr gebt Berta euren öffentlichen Schlüssel, Berta gibt euch ihren öffentlichen Schlüssel. Nun könnt ihr Berta eine Mail schicken, die ihr mit Bertas öffentlichem Schlüssel abschließt.

    Der Clou: Mails, die mit Bertas öffentlichem Schlüssel verschlüsselt wurden, können nur mit Bertas privatem Schlüssel wieder lesbar gemacht werden. Will Berta antworten, so verschlüsselt sie mit eurem öffentlichen Schlüssel, diese Mail ist nur mit eurem privaten Schlüssel zu öffnen. Das Ganze nennt sich Asymmetrische Kryptographie und wird bei Wikipedia nochmal mit anderen Worten erklärt.

    Das Prinzip der öffentlichen und privaten Schlüssel setzt voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Solche Schlüssel sind reine Textdateien und können prinzipiell per Mail verschickt werden. Komfortabler ist es jedoch, seinen öffentlichen Schlüssel auf einen sogenannten Keyserver hochzuladen, wo sich dann jeder andere den Schlüssel “abholen” kann. ACHTUNG: bevor ihr den letzten Schritt geht, möchte ich euch dringend raten, ein “Widerrufszertifikat” (revocation certificate) für euren Schlüssel zu erstellen, denn nur damit könnt ihr einmal auf Keyservern veröffentlichte Schlüssel wieder “aus dem Verkehr ziehen”.

    Der praktische Einsatz:

    Thunderbird mit EnigMail

    Thunderbird mit EnigMail

    Wie ihr nun PGP auf eurem Rechner installiert, euch einen (oder mehrere) private und öffentliche Schlüssel generiert und diese dann einsetzt, haben andere schon besser beschrieben als ich das könnte.

    • Anwender, die ihre Mails mit Thunderbird lesen und schreiben, klicken hier.
    • Update: Für Android-User gibt es hier eine offenbar ganz gute Anleitung, leider auf englisch. Allerdings ist zur Schlüsselerstellung wohl trotzdem Thunderbird mit EnigMail nötig. Wenn ihr etwas besseres wisst: her damit.
    • Update: es gibt noch einen PGP-Nachbau für Android.
    • Leute, die ihre Mails nur im Browser bei einem Webmailanbieter wie z.B. web.de oder gmx.de lesen, probieren es vielleicht mal mit Mailvelope, damit habe ich aber keine Erfahrung. Für diese Menschen wäre es sowieso dringend an der Zeit, sich Thunderbird herunterzuladen und sich an die Arbeit mit diesem großartigen Mailprogramm zu gewöhnen. Ganz im Ernst: ihr werdet es lieben, wenn ihr euch nur einmal darauf einlasst.

    Nur Mut. Macht es! Wenn ihr noch niemanden zum Testen habt, hinterlasst hier einen Kommentar mit Mailadresse, ich helfe euch gerne bei den ersten Schritten ind die kryptographische Welt. Natürlich ist Mailverschlüsselung nur ein kleiner Teil des Bildes, ein sicheres Passwort gehört z.B. zwingend dazu. Wie ihr euch ein solches erstellt und es euch trotzdem merken könnt und viele weitere Tipps für den Digitalen Survivalist findet ihr hier.

    In diesem Sinne:

    mQENBE8Lc4MBDADA/TMcFWnNu5i7OtxxmJA3fxdVjYjwRjqJsSuzI7pSYfAMLbWNeLGo/dHW
    WCGO1RZT3bupUo8qfa8bL0wjjoH+q0CGMNZQMXyxH1cMILFMiWsL7eqCbHxfb68VGDgYhkgP
    BhmEBxesMr5C2YVPjLkP4hAizi4/Uavn0yWUy0WDn7TN8wiSqV666nTMjdAuHPzT3gTNDd+v ;)

    PS: dieser Text darf so oft kopiert, angepasst, zensiert, restauriert, ausgedruckt, geschreddert, wiedereingescannt, verschickt, verfaxt und verbloggt werden bis das Internet platzt.

    Update: Matze weist mich darauf hin, dass ich das wichtigste Vergessen habe: Fingerprints, gegenseitiges Unterschreiben der Schlüssel etc.

    Dieses Video erklärt das Prinzip der asymmetrischen Verschlüsselung noch einmal auf anschauliche Art und Weise:

    Der digitale Briefumschlag (deutsch) from Linuzifer on Vimeo.

    Weitere Hinweise wie man sich als Nutzer im Internet schützen kann lieferte heute auch der Bundesdatenschutzbeauftragte Peter Schaar in einem Interview mit der Welt.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    June 27 2013

    Metronaut: Anleitung zur Mailverschlüsselung

    daMax hat beim Metronaut eine ausführliche Anleitung zur Mailverschlüsselung mit PGP zusammengestellt.

    Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
    Could not load more posts
    Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
    Just a second, loading more posts...
    You've reached the end.

    Don't be the product, buy the product!

    Schweinderl