Neue Verschlüsselungssoftware: Digitale Selbstverteidigung
Jetzt als App: Mit „pretty easy privacy“ soll die Verschlüsselung von Kommunikation via Mails und Nachrichten im Netz simpel werden.
Berlin taz | Die Bühne ist dunkel. Ein DJ legt Techno auf, während ein zweiter dazu trommelt. Auf der Bühne sitzen sechs Menschen, die aus nicht erklärbaren Gründen ständig ihren Sitzplatz wechseln. Zwei von ihnen sind die Autorin Sibylle Berg und der Kabarettist Marc-Uwe Kling, die anderen sind dem großen Publikum, das zur letzten Veranstaltung des zweiten Tages der re:publica gekommen ist, unbekannt.
Im Hintergrund laufen auf einer Leinwand Aufzeichnungen von Videokameras und Gesichtserkennungsprogrammen. Alles wirkt wie eine inszenierte Kunstperformance. Berg fängt an zu sprechen, es geht um Überwachung.
Ein Thema, dem wir in unserem Alltag nicht entkommen können. Seit August 2017 läuft am Berliner Bahnhof Südkreuz ein Pilotprojekt für automatische Gesichtserkennung, das im Januar 2018 noch einmal für ein halbes Jahr verlängert wurde.
Ein Volksbegehren fordert flächendeckende Videoüberwachung in Berlin für mehr Sicherheit. Smartphones können mittels unseres Daumenabdrucks entsperrt werden. Mit der Payback-Karte an der Supermarktkasse geben Kund*innen ihre Daten preis, mit denen das Kaufverhalten der jeweiligen Besitzer*innen analysiert wird.
Verschlüsselung per App
Angebote, die uns Sicherheit, finanzielle Vorteile oder Komfort versprechen, sind auch immer eines: die Einschränkung unsrer Privatsphäre. Häufig können wir uns davon nicht mehr entziehen.
Selbst im Slalom-Lauf ist es in einer Großstadt kaum mehr möglich, nicht von einer Kamera aufgezeichnet zu werden – Flughäfen oder Bahnhöfe müssten in jedem Fall gemieden werden. Doch es gibt auch Wege, seine eigenen Daten zu schützen. Das Internet zu meiden, wäre eine Lösung, doch das ist weder bequem, noch zeitgemäß.
Auf der Veranstaltung „Freundeskreis Freiheit (im Netz) – Die freundliche Verweigerung“ wird am Donnerstagabend auf der re:publica ein Lösungsansatz präsentiert. Der Freundeskreis ruft zur „digitalen Selbstverteidigung“ auf. Nach der künstlerischen Einführung stellt Berg eine der Unbekannten auf der Bühne vor: Nana Karlstetter.
Die Unternehmerin und Mitgründerin der pEp-Kooperative soll vorstellen, wie so eine Selbstverteidigung aussehen kann. Berg warnt „Achtung, jetzt wird es kompliziert“. Doch Karlstetter verneint, denn genau das ist der Punkt des neuen Projekts „pEp“ („pretty easy privacy“).
Gemeinnützige Genossenschaft
Mithilfe von Softwarekomponenten soll die Verschlüsselung von Kommunikation via Mails und Nachrichten im Netz einfach gemacht werden. Die Ende-zu-Ende-Verschlüsselung soll automatisch ablaufen – sobald das Tool einmal installiert ist, muss sich die Nutzer*in nicht mehr darum kümmern.
Für das Mailprogramm Thunderbird gibt es jetzt schon das Plug-In, auch bei Gmail soll es bald folgen. Android-Nutzer*innen können sich jetzt schon eine App mit eigenem Mailprogramm herunterladen, für iOs existiert bislang eine Beta-Version.
Also doch keine Kunstperformance, sondern die Vorstellung einer neuen Verschlüsselungssoftware. Warum Berg und Kling da sind, spricht der Kabarettist Kling direkt aus: „Ich bin hier nur, um die Massen anzulocken“ und beginnt, aus seinem Buch vorzulesen. Die beiden gehören zu der pEp—Kooperative und sollen der eigens dafür gegründete Schweizer Stiftung um Hernâni Marques helfen, Aufmerksamkeit zu generieren. Und das funktioniert: Die Stühle vor der größten Bühne der re:publica sind bis auf einige wenige gefüllt.
„pEp“ soll gemeinnützig ablaufen, Gewinne sollen nicht erzielt werden, die Apps und Plug-Ins werden frei zur Verfügung gestellt. Wer bisher seine Nachrichten verschlüsseln wollte, braucht dafür eine gewisse technische Vorkenntnis. Bei Erklärungen, die sich im Netz vielfältig finden lassen, fehlt vielen Nutzer*innen allein schon das nötige Vokabular, um eine Verschlüsselung einzurichten. Eine Software wie „pEp“ kann das ganze Prozedere einfacher machen. Und das wäre ein wichtiger Schritt in Richtung Privatsphäre. Wenn auch nur ein erster.
Alle müssen mitmachen
Das Problem ist, die Technik funktioniert nur, wenn auch die Empfänger*in sie nutzt. Ansonsten werden die Nachrichten weiterhin unverschlüsselt verschickt. Und das ist, wie eine Binsenweisheit des Internets erzählt, wie eine Postkarte zu verschicken: Jede*r kann sie auf dem Versandweg mitlesen.
Um Privatsphäre zu schützen, müssen ebensolche Verschlüsselungen zu einem allgemeinen Standard werden. Aus diesem Grund gründete die Gruppe auf der Bühne eine Genossenschaft, die das Projekt „pEp“ tragen soll. Es ist zu einem Art Credo der diesjährigen re:publica geworden: Nur gemeinsam kann man etwas erreichen.
Leser*innenkommentare
hup
pEp ist nicht neu, die Software gibt es mindestens seit einem Jahr. pEp ist auch keine Verschlüsselung (zum Glück) sondern nur ein automatisiertes Key-Management, bzw. eine Art GUI-Aufsatz für GPG (bzw. ein integriertes Paketbestehend aus Texteditor, Mailer und GPG dahinter). Das Problem solcher für den User transparenter Keymanager ist, dass die User keine Ahnung haben wie die Keys erzeugt werden, wo sie gespeichert sind und wie sie verwendet werden (Authentifizierung, Signatur anderer Keys, bzw. kontakte). Das ist einerseits einfacher, andererseits aber auch unsicherer. Seinen tatsächlichen Level an Sicherheit kann der User so nicht mehr einschätzen. Das kann dann auch nach hinten losgehen, wenn man sich auf die scheinbare Sicherheit verlässt, sie aber durch social engineering bei den unwissenden Nutzern einfach aushebeln lässt (was jemand der Wissen um Key Management hat nicht so schnell passiert).
Letztlich ist das viel Aufwand und dauerhafter Kontrollverlust, nur um eine halbe Stunde Aufschlauung über manuelles Keymanagement vom User wegzuhalten.
Manche halten das für notwendig um Verschlüsselung mehr zu verbreiten - ich bin skeptisch. Wer verschlüsseln will, der lernt die Basics schnell und braucht pEp und Co. nicht wirklich. Wer nicht verschlüsseln will, der will sich auch kein pEp antun. Davon abgesehen benutzen viele User inzwischen zur Kommunikation hauptsächlich Messenger, die teilweise bereits gute e2e-Verschlüsselung implementiert haben.
pEp ist zwar irgendwie lobenswert, andererseits gab es ähnliche Konzepte schon öfter, richtig durchgesetzt hat sich nichts. Das wird sich nur ändern, wenn sich in der Breite das Bewusstsein zu Verschlüsselung ändert - aber wenn das der Fall ist, dann wäre Schulung zu Kompetenz im sicheren Key-Handling wichtiger als Software, die diese Kompetenz überflüssig machen will.
Meine 2 cents sind ein halb wohlwollendes „meh“ + Schulterzucken zu pEp. Der Heilsbringer als den es sich verkaufen will ist es nicht wirklich.
Cededa Trpimirović
Da war doch letztens eine Randnotiz, in der erklärt wurde, warum Facebook die End-to-End-Verschlüsselung von Whatsapp aushebeln kann - dann nämlich, wenn die Facebook-App ebenfalls installiert ist, weil die, da vom gleichen Hersteller, miteinander reden dürfen. Also kann zwar die Polizei (z.B.) nicht mitlesen, Zuckerberg allerdings schon. Fragt sich, wem man mehr traut...
Wenn man natürlich Facebook für ethisch makellos hält, kann man Google ("Don't be evil") erst rechts nichts vorwerfen.
Und all das nur, weil der Durchschnitts-Appbenutzer noch unfähiger ist als anno dazumal die PC-Programmbenutzer, und keiner mit PGP klar kommt...
magDeutschlandNicht
yay, als langzeitiger Pretty Good Privacy(PGP) Nutzer freue ich mich sehr über Pretty easy Privacy(PeP). Wenn Es Leicht genug ist um sich als Standard durchzusetzen währe endlich auch bei E-Mails der anlasslosen Massenüberwachung (aka Vorradsdatenspeicherung) etwas entgegengesetzt. Finde Das Briefgeheimnis eine gute Idee, die Ich gerne ins 21.Jhd. mitnehme.
wxyz
Die Angebote an Verschlüsselungstools sind enorm, und die dennoch erfolgreichen Hackerangriffe sind ebenso enorm.
Ich vertraue nur solchen Verschlüsselungsalgorithmen, die ich selbst programmiert habe. Ein Problem dabei ist allerdings, daß ich keinen wirklich nachvollziehbaren Grund habe, dem Empfänger der Entschlüsselungssoftware zu vertrauen, noch der Versendung meiner Tools per Internet an einen Empfänger.
hup
"Ich vertraue nur solchen Verschlüsselungsalgorithmen, die ich selbst programmiert habe"
Au weia. Und dann kommunizieren Sie mit ihrer homebrew-verschlüsselung mit wem? sich selbst? Weil sonst benutzt das (aus guten Gründen) auch keiner.