piwik no script img

Netzüberwachung durch StaatenVier Schritte zum Ausbruch

E-Mails und Dateien können heutzutage sehr einfach und sehr gut verschlüsselt und anonymisiert werden. Hier sind vier Grundsätze für mehr Privatsphäre.

Einfach den neugierigen Blicken ausweichen Bild: johny schorle / photocase.com

In den vergangenen Tagen ist durch die Veröffentlichungen im Guardian ein weitreichendes Überwachungsprogramm des US-Geheimdienstes NSA bekannt geworden, der vor allem ausländische Bürger überwacht. Schon lange ist dagegen bekannt, dass der deutsche Geheimdienst BND, E-Mails nach Schlagworten durchsucht. Doch viele Arten der Überwachung wären gar nicht möglich, wenn Computer besser geschützt wären.

Ganz gewöhnliche Nutzer haben seit mehreren Jahren Techniken der Verschlüsselung und Anonymisierung zur Verfügung, die auf dem neuesten Stand der Technik und zugleich einfach zu bedienen sind. Und dennoch werden allerlei sensible Daten oft im Klartext durch das Internet verschickt: Bankdaten, Privatadressen oder Passwörter.

Folgende Möglichkeiten bieten einen grundsätzlichen Schutz vor staatlicher Schnüffelei, aber auch vor Kriminellen, die gerne Zugriff auf sensible Daten hätten – vorausgesetzt, es sind keine Viren oder andere Schadsoftware auf dem Rechner installiert.

Grundsatz 1: Verschlüssele deine E-Mails

E-Mails gelten im Internet als etwa so sicher wie eine Postkarte. Der erste Schritt zu mehr Sicherheit und weniger Überwachung beim E-Mail-Verkehr heißt deshalb: verschlüsseln. Am einfachsten und sichersten ist, E-Mails grundsätzlich über ein Mailprogramm abzurufen. Programme wie Mozilla Thunderbird haben einfach zu installierende Plugins, die eine Verschlüsselung per Mausklick ermöglichen.

Kryptographischer Standard ist seit mehr als 20 Jahren ein Verfahren, das sich „Pretty Good Privacy“ nennt. Jeder Nutzer generiert dabei //www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/Grundlagenwissen/AsymmetrischeVerschluesselung/asymmetrische_verschluesselung_node.html:zwei Codes, einer ist öffentlich und der andere privat. Das Verfahren kann man sich so vorstellen: Die Nachricht wird in eine Kiste gelegt, die mit einem Vorhängeschloss (öffentlicher Code) verschlossen wird. Während jeder und jede eine solche Kiste verschließen kann, kann sie nur mit dem Schlüssel (privater Code) geöffnet werden.

Sicher sind die Mails aber nur, wenn sie verschlüsselt werden, bevor sie an den Mailanbieter gehen. Grundsätzlich sollten sie deshalb nicht im Browser, sondern mit dem Mailprogramm abgerufen werden. So verbleiben privater Code und die Klartexte der Mails auf dem eigenen Rechner. Webmail wie beispielsweise Gmail können aber weiterhin benutzt werden: Alle Webmail-Anbieter bieten Nutzern inzwischen auch den Abruf per Mailprogramm an.

Grundsatz 2: Traue keinem Webmailanbieter

Bei Verschlüsselung wird nur verheimlicht, was geschrieben wurde und nicht wer an wen schrieb. Wer zusätzlich Wert darauf legt, nicht als Absender erkannt zu werden, sollte sich ein anonymisiertes Konto bei einem Webmail-Anbieter anlegen. Das geht meist, indem man einfach ein Pseudonym verwendet und falsche Addressdaten angibt. Eine Alternative ist die Nutzung von Mailanbietern, die grundsätzlich anonyme Konten anbieten wie etwa „Riseup“ oder „Posteo“.

Allerdings können selbst Konten unter Pseudonym echten Namen zugeordnet werden, wenn die IP-Adresse des Nutzers bekannt ist. Das ist meist bei Sicherheitsbehörden der Fall, die diese Daten sowohl von Mailanbietern als auch von Internetprovidern einfordern und anschließend abgleichen können. Wer sich also vor staatlicher Überwachung schützen will, braucht zusätzlichen Schutz.

Die us-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation schlägt dafür beispielsweise den konsequenten Abruf von Webmail über das TOR Netzwerk vor. Dabei wird der Abruf einer Website so oft über andere Server geleitet und verschlüsselt, dass der Absender nicht mehr ohne weiteres erkennbar ist. TOR ist übrigens auch eine sichere Möglichkeit das eigene Surfverhalten zu verdecken oder verschlüsselt zu skypen.

Grundsatz 3: Verschlüssele deine Daten

Sind Mails verschlüsselt und anonymisiert, bleibt eine Schwachstelle: der eigene Computer. Wird der gestohlen oder beschlagnahmt – was Sicherheitsbehörden auch immer wieder tun – könnten sensible Dateien und Kommunikationsdaten kompromittiert sein. Dafür sollte sich das Betriebssystem eines Computers nicht automatisch in ein Nutzerkonto einloggen, sondern erst ein Passwort verlangen. Zusätzlich können besonders sensible Daten – oder einfach komplette Festplatten – verschlüsselt werden. Ein einfaches Verschlüsselungsprogramm ist „Truecrypt“. Für Daten in Clouddiensten wie Dropbox bieten sich Programme wie „Cloudfogger“ an.

Passwörter sind allerdings berüchtigt einfach zu knacken. Die grundsätzliche Schwierigkeit ist, dass Passwörter, die besonders verständlich sind, auch von Computern einfach nachvollzogen werden können. Im Umkehrschluss sind sichere Passwörter auch für Menschen besonders schwierig zu verstehen und zu merken: etwa eine Reihe von 50 zufälligen Buchstaben. Diese können dann mit einem Spezialprogramm verwaltet werden, dessen „Master Passwort“ beispielsweise im Portemonnaie mitgetragen werden kann. Eine andere Lösung ist, sich leicht zu merkende Sätze auszudenken und nur die Anfangsbuchstaben der Worte und dazu Zahlen und Sonderzeichen zu verwenden.

Grundsatz 4: Smartphones sind nichts für sensible Daten

Die Smartphones der großen Anbieter sind schwieriger zu sichern als andere Computer, weil sie Nutzern nur eingeschränkten Zugang zu Festplatten und Betriebssystemen erlauben. Zudem machen ihre ständige Verbindung mit Netzanbietern und die Tatsache, dass sie öfter geklaut werden, sie anfälliger für Überwachung. Sie sollten deshalb so wenig wie möglich für sensible Daten und Kommunikation verwendet werden. Wer unbedingt Mails per Smartphone abrufen muss, kann auch hier Verschlüsselungs-Programme installieren geht aber das Risiko ein, dass ihr privater Code bei einem Diebstahl verloren geht.

Ausführlichere Hinweise zu sichere Kommunikation und Abwehr gegen Überwachung gibt es bei der Electronic Frontier Foundation (Englisch), beim Bundesamt für Sicherheit und Informationstechnik und beim Chaos Computer Club.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

8 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • RB
    Rainer B.

    @ dirk

     

    Open-Source-Systeme wie Linux haben einen Quellcode, der für jedermann zugänglich ist. Zumindest Leute, die sich mit Programmierung auskennen, können verdächtige Schlupflöcher, so es sie gibt, problemlos erkennen und beseitigen, indem sie den Quellcode ändern und neu kompilieren. Bei Windows ist das nicht möglich, weil Microsoft den Quellcode weitgehend geheim hält.

     

    Verschlüsselung ist solange sicher, wie die Methode unbekannt ist. Wenn man die Methode kennt, ist es nur eine Frage der Zeit und der Rechenkapazität, bis die Verschlüsselung geknackt wird. Ein schönes Beispiel ist die Verschlüsselungsmaschine "Enigma" der Nazis. Nachdem die Engländer ein Exemplar erbeutet hatten und damit auch die Methode kannten, konnten sie Funksprüche dechiffrieren, obwohl der Schlüssel täglich geändert wurde.

  • D
    dirk

    Es gibt keine Kryptoprogramme ohne backdoor für

    die Behörden,kein Us basierendes programm darf laut

    US Gesetze auserhalb der USA vekauft oder vertrieben werden,(ohne Hintertür)gilt auch für sämtliche Betriebssysteme alle

    haben schlupflöcher die eine privatsphäre unmöglich machen!!!Oder sehe ich das Falsch???

  • M
    mando

    Der Artikel von Lalon Sander ist völlig korrekt. Der Leserkommentar von Hauke Laging hingegen üble Einschüchterung. Es geht in erster Linie darum, den Staatsschnüfflern Steine in den Weg zu legen. 100%-ige Sicherheit gegen Spionage ist unmöglich, und letztlich auch nicht erwünscht. Schliesslich gibt es nun einmal widerliche Kriminalität, die bekämpft werden muss (z.B. Kinderpornographie, Menschenhandel...) und dafür muss es auch im Internet Werkzeuge geben, die eine Fahndung ermöglichen. Das aktuelle Thema ist aber völlig anders gestrickt. Hier geht es um flächendeckende Bespitzelung möglichst aller Internet-User. Das ist eine Staatsüberwachung die alle bisherigen Versuche, inklusive Gestapo und Stasi, weit in den Schatten stellt. Wir können das mit ganz einfachen Mitteln behindern. Behindern, nicht ganz verhindern. Aber behindern ist unsre Pflicht. Ich möchte nur ein praktisches Beispiel geben. Die einfachste Möglichkeit die es überhaupt gibt, eine neue E-Mail-Adresse zu erstellen, ist tormail (im Artikel erwähnt). Erst das Tor-Browser-Bundle laden. Zu tormail surfen. Die gewünschte Adresse und ein Passwort eingeben. Wenige Minuten später ist die Webmail betriebsbereit. Niemand verdient dabei etwas, niemand verliert etwas. Je mehr Menschen solche Werkzeuge verwenden, umso grösser wird der Aufwand für die kranken Schnüffler. Nur so kann dieser Wahnsinn auf ein normales Mass gestutz werden.

  • H
    hans

    @Hauke: Bitte noch einmal lesen: Es ging ja eben darum das "eine Reihe von 50 zufälligen Buchstaben" unsinnig wäre, weil sie sich keiner merken könnte.

     

    Ihren Link werd' ich bei Zeit lesen, danke.

  • A
    anke

    Jeder Schutz ist relativ. Vor allem der, der auf dem jeweils "neuesten Stand der Technik" beruht. Rüstet die eine Seite auf, rüstet die andere erfahrungsgemäß nach. Im Vorteil ist der, der schneller ist, als der Gegner ihm drauf kommen kann.

     

    Mein ganz persönlicher Tipp ist deswegen ein rein nicht-technischer: Augen und Ohren auf, Situation checken, kurz nachdenken (am besten mit dem eigenen Hirn) und anschließend nur die Dinge ins Netz stellen oder auf internetfähigen Computern ablegen, für die man im Zweifel den Kopf hinhalten würde.

     

    Übrigens: Etwas weniger Leichtsinn im Netz würde ganz nebenbei auch die vielen Informationsflutgeschädigten entlasten, die schon gar nicht mehr zu wissen meinen, wo ihnen eigentlich der Kopf steht bzw. was sie glauben oder denken sollen.

     

    Ach ja, eins noch zur Klarstellung: Ich rede hier nicht von Selbstzensur. Ich rede von Verantwortung. Dass die beiden Dinge nicht identisch sind, glaubt einem zwar heutzutage kaum noch einer, es ist aber trotzden ein Fakt. Wie wäre es also, wenn wir den Chefideologen der unendlichen Freiheit eine Absage erteilen? Wir wissen doch ganz genau, was diese Leute mehr als alles andere wollen. Sie wollen, dass wir uns von ihnen kommandieren lassen. Und den Job, mal ganz ehrlich, gönne ich dann doch eher dem guten alten Vater Staat. Von dem nämlich, so meine Hoffnung, werden wir uns eines schönen Tages mal emanzipieren.

  • WS
    Winston Smith

    Was leider völlig vergessen wurde: Benutze kein Microsoft Windows (und mac OS auch nicht)! Proprietäre Betriebssysteme haben Hintertüren!

    Keine Angst vor Linux, viele Distributionen (Wie z.B Ubuntu) sind mittlerweile benutzerfreundlicher als Windows-Systeme. Wenn mensch dann wirklich sicher gehen will, kann das System Verschlüsselt werden. Dann Tor ( https://torproject.org ) zum Surfen verwenden und immer fein den Scriptblocker aktiv haben.

  • N
    noevil

    Beim Versuch, den ChaosComputerClub anzuklicken kam sofort die Meldung "keine vertrauenswürdige Verbindung". Ein Schelm, wer... ;>

     

    Aber im Ernst, das Thema solte nicht unterschätzt werden.

  • HL
    Hauke Laging

    Das sind ja mal merkwürdige Grundsätze. Ich habe nicht den Eindruck, dass die Kryptografieexperten im Konsens sagen: "Verschlüssele alle Deine E-Mails!" Das geht ja auch typischerweise gar nicht, nämlich dann, wenn ein Empfänger das nicht unterstützt. Was ist dann der Ratschlag, "schreib keine E-Mails mehr"?

     

    Die Überschrift "Traue keinem Webmailanbieter" erscheint angesichts des folgenden Textes total sinnlos.

     

    "etwa eine Reihe von 50 zufälligen Buchstaben" – Warum sollte jemand bei klarem Verstand das machen? Sogar wenn man sich auf Kleinbuchstaben ohne Umlaute beschränkt, erreicht man bei 22 Buchstaben die aktuelle "Reststärke" von AES; bei 17, wenn man Großbuchstaben, Kleinbuchstaben und Ziffern verwendet. Wer meint, das reiche (unter normalen Umständen) nicht aus, hat einfach keine Ahnung.

     

    Ich würde der Allgemeinheit folgenden Grundsatz empfehlen: Such Dir jemanden, der Ahnung davon hat, den Du fragen kannst.

     

    Was soll denn auch dabei herauskommen, wenn Ahnungslose sich im Alleingang OpenPGP-Schlüssel erzeugen? Was, jenseits der Illusion von Sicherheit, die durchaus gefährlich ist? Die Bevölkerung muss geschult werden, im ganz großen Maßstab. Da könnte die taz sich ja mal hinterklemmen. Aber mit einzelnen Artikeln kommt man diesem Ziel nicht seriös näher.

     

    Die Aktion ist noch nicht weit genug gediehen, um die versammelte Öffentlichkeit aus sie loszulassen, aber das hier wird ja sowieso nicht von tausenden von Leuten gelesen werden :-) , deshalb gestatte ich mir mal den Hinweis:

     

    http://www.openpgp-schulungen.de/