Schlauer, als dem Spitzel lieb ist
GRUNDLAGEN Wenn Sie dachten, dass Ihre Mails und Suchanfragen im Internet sicher seien, wissen Sie es seit den Enthüllungen von Edward Snowden hoffentlich besser. Wie Sie sich vor dem Ausspähen schützen, erfahren Sie hier
■ Festplatte und Mails verschlüsselt, Google verlassen, fertig? Nicht ganz. Ein Großteil der Kommunikation läuft über das Handy oder über ein Tablet. Egal ob Sie telefonieren, surfen oder Ihr Smartphone und Tablet einfach in der Tasche haben – es lohnt beispielsweise einen Blick, ob das Gerät seinen Standort per GPS bestimmt. Was für lange Wanderungen ohne Karte praktisch sein mag, führt im Alltag vor allem dazu, dass der Hersteller des Betriebssystems, also meist Google oder Apple, ganz genau weiß, wo sich der Nutzer aufhält. Das GPS abzuschalten spart nebenbei Strom, der Akku hält deutlich länger. Außerdem sollte man sich genau anschauen, was heruntergeladene Programme, die Apps, so alles anstellen, wenn sie sich unbeobachtet glauben. Schicken sie regelmäßig Daten übers Netz, womöglich noch unverschlüsselt? Stellen Sie das aus. Oder, falls das nicht geht, schmeißen Sie die App gleich ganz von Ihrem Gerät.
VON SVENJA BERGT
UND MARTIN KAUL
Geheimdienste und Unternehmen fischen im globalen Datenmeer. Seit den Enthüllungen von Edwar Snowden fragen sich Internetnutzer deshalb, wie sie sich gegen die Spähattacken wehren können. Mit kleinen Einstellungen können Sie immerhin Ihre Privatsphäre im Internet vergrößern. Als Erstes steht die Wahl des Browsers an, mit dem Sie im Internet surfen. Internet Explorer, Chrome oder Safari heißen die Angebote der Datensammler Microsoft, Google und Apple. Die Alternative heißt Firefox. Das Programm der gemeinnützigen Mozilla-Stiftung hat einen Vorteil: Durch kleine Erweiterungen, sogenannte Add-ons, passt es sich nach Belieben den eigenen Vorlieben an.
Add-ons sind ergänzende Bausteine, die leicht installiert werden können. Viele machen das Surfen bequemer, andere lassen den Nutzer anonymer im Netz unterwegs sein. Sie finden die Add-ons, wenn Sie im Internet sind. Gehen Sie in der Menüleiste auf „Extras“. Dann: Add-ons klicken, suchen, prüfen, installieren, fertig.
BetterPrivacy ist so ein Add-on. Damit können Nutzer die sogenannten LSOs löschen. LSO steht für Local Shared Object. Das sind besonders üble Cookies, also kleine Dateien, über die Seitenbetreiber das Verhalten ihrer Besucher über einen längeren Zeitraum verfolgen, um daraus Rückschlüsse zum Beispiel auf das Konsumverhalten zu ziehen (siehe „Edward Snowden und ich“ in der taz.am wochenende). Die einfachen Cookies lassen sich automatisch am Ende jeder Sitzung löschen. Dafür genügt ein Haken in den Sicherheitseinstellungen des Browsers beim Punkt „Cookies beim Schließen des Browsers löschen“.
Geheimdienste haben es beim Überwachen auch deshalb einfach, weil Nutzer ihre Daten unverschlüsselt durch die Welt schicken. Das betrifft auch Websites, die meist über unverschlüsselte Verbindungen laufen. Zu erkennen ist das am http am Anfang der Adresszeile. Ein https zeigt dagegen an: Die Daten werden verschlüsselt übertragen.
Theoretisch können auch https-Seiten mitgelesen werden. Das Add-on https everywhere soll dafür sorgen, dass nur verschlüsselte Verbindungen aufgebaut werden. Doch Vorsicht: Das funktioniert nur auf Grundlage einer Liste von Websites, die das Programm mitliefert. Darauf stehen aber nicht alle deutschen Websites mit Verschlüsselung. Wer sichergehen will, versucht auf den http-Seiten, manuell ein s dazuzutippen.
Steht der Server in Europa? Oder in den USA? Die Frage beantwortet das Add-on Flagfox. Damit erscheint neben der Adresszeile eine kleine Flagge, die zeigt, in welchem Land sich der Server befindet. Das lässt Rückschlüsse zu, welcher Geheimdienst an Inhalte kommen kann.
Anonym und sicher surfen
Noch mehr Anonymität bietet die Software Tor. Sie muss heruntergeladen werden und leitet die Kommunikation zwischen dem Nutzer und einer Website über zahlreiche Rechner weltweit und verschlüsselt weiter, bis nicht mehr nachvollziehbar ist, wer die Anfrage ursprünglich gesendet hat. Der Nachteil: Das Surfen wird langsamer.
Wer seine Suchanfragen bei Google macht, liefert dem Konzern haufenweise Daten: Wer sucht was wann wo? Wer dann noch seine Mailadresse und seinen Kalender bei Google führt, ist leicht zu durchleuchten. Seit Bekanntwerden der Geheimdienstaktivitäten haben alternative Suchmaschinen einen enormen Zulauf (siehe Wirtschaft + Umwelt Seite 9).
Zu Recht. So lässt sich mit der Suchmaschine Duckduckgo unüberwacht das Internet durchstöbern. Eine andere Alternative heißt Startpage. Die Suchmaschine zeigt die Ergebnisse einer Google-Abfrage an – filtert aber vorher alle persönlichen Datenspuren heraus, sodass die Suche anonym bleibt. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat die Suchmaschine deswegen ausgezeichnet.
Nach einer kurzen Umgewöhnung an die andere Optik sind die Suchmaschinen genauso gut benutzbar. Das gute: Beide Websites stehen frei im Netz. Wer sie dauerhaft nutzen will, fügt sie etwa in den Browser-Einstellungen als Startseite hinzu. Dann nutzen Sie Google nur noch, wenn Sie es explizit wollen.
■ Dass „1234“ und „password“ keine sicheren Passwörter sind, hat sich mittlerweile herumgesprochen. Grundsätzlich gilt: Ein Passwort darf kein Wort sein, nichts mit der Adresse und den Geburtsdaten zu tun haben. Ein gutes Passwort besteht aus Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen und ist möglichst lang – 12 Zeichen dürfen es ruhig sein, gerne auch mehr. Der Grund ist einfach: Starke Passwortsimulatoren haben kurze und einfache Passwörter binnen Minuten geknackt. Jede zusätzliche Passwortstelle potenziert den Aufwand.
■ Auf dem eigenen Rechner sollte man sensible Daten vor unbefugtem Zugriff schützen, etwa in verschlüsselten Ordnern. Das geht zum Beispiel mit einem Programm namens Truecrypt. Das erzeugt sichere Container, in denen Steuererklärungen, Liebesbriefe und Putschpläne vor unbefugtem Zugriff geschützt sind. Bevor man sensible Daten dort hineinlegt, ist allerdings ein Test unumgänglich.
■ Immer mehr Menschen speichern Daten in der Cloud – also auf fremden Rechnern irgendwo im Netz, damit sie von überall darauf zugreifen können. Die Anbieter heißen auch hier z. B. Google und Apple. Wer sichergehen will, verschlüsselt seine Daten, etwa mit Truecrypt, selbst, bevor er sie hochlädt. Eine schlechte Idee ist es, einfach alles unverschlüsselt in die Dropbox zu legen. Besser ist es da, die Daten auf dem Weg in die Dropbox zu verschlüsseln. Das macht etwa die Software Cloudfogger. Eine verschlüsselte Alternative zu Dropbox heißt Wuala.
Sicheres Mailen beginnt mit dem Anbieter. Einige haben ihren Service inzwischen speziell auf den Schutz der Privatsphäre ausgelegt – wie Riseup oder Posteo.de. Der Anbieter wirbt besonders mit der Datensicherheit: Die Server stehen in Deutschland, die Anmeldung ist anonym möglich, die Bezahlung auch – indem das Geld im Briefumschlag per Post eingesendet wird.
So verschlüsselt wie eine Postkarte: sicheres Mailen
Unabhängig vom Anbieter ist unverschlüsseltes e-mailen per se unsicher. Eine E-Mail ist so geschützt wie der Grußtext auf einer Postkarte. Deshalb empfiehlt es sich, auf die Nutzung von E-Mail-Verschlüsselung umzusteigen. Das bedeutet einen einmaligen Aufwand, etwas Einarbeitungszeit und eine neue Routine – ist anschließend aber kinderleicht. Je mehr Menschen diese Technologie nutzen, desto sicherer wird das Kommunizieren. Denn die Verschlüsselung ermöglicht, dass nur Absender und Empfänger den E-Mail-Verkehr entschlüsseln können.
Für E-Mails empfiehlt es sich, Thunderbird zu nutzen. Dafür können Sie das Add-on Enigmail herunterladen. Das hilft bei der Erzeugung und Verwaltung von Schlüsseln, den PGP-Keys. Anleitungen finden Sie im Netz. Wenn Sie von mehreren Rechnern aus verschlüsselte E-Mails lesen und schreiben, müssen Sie die Schlüssel auf allen Rechnern installieren. Auf dem iPhone hilft die App ipgmail (siehe links).
Ob beim Surfen oder Mailen: Unverschlüsselte WLANs, also die meisten Netzwerke, auf die Sie sofort und umsonst zugreifen können, sollten Sie meiden. Wenn Sie sie doch nutzen, sollten Sie nur verschlüsselte Verbindungen wählen. Wenn Sie mal ausprobieren wollen, was sonst passiert, spielen Sie selbst NSA: Es gibt Programme, mit denen Sie alles mitschneiden und lesen können, was über ein unverschlüsseltes WLAN in der Umgebung gesendet wird. Das kann sehr spannend sein.
