piwik no script img

Phänomen CryptopartyKampfsport für Computer

Menschen treffen sich, quatschen und lernen nebenher, wie sie sich sicher im Internet bewegen. Cryptopartys gibt es weltweit – am Freitag wieder in Berlin.

Auf jeden Fall lehrreich: Bei Cryptopartys geht es nicht nur ums Bier trinken, sondern auch darum, wie man seine Daten schützt. Bild: spacejunkie / photocase.com

BERLIN taz | Harry Potter, da sind sich alle schnell einig, taugt schon mal nicht. Denn selbst wenn man eine hohe Zahl von Wörtern aus dem Roman aneinanderreihen und als Passwort verwenden würde – das Ergebnis wäre viel zu schnell zu knacken.

Es ist Cryptoparty heute Abend in einer zu einer Art Künstlerbüro gemachten Eckkneipe im Berliner Stadtteil Neukölln. Elektromusik wabert durch die Räume, auf den Tischen stehen Bierflaschen neben Salzstangen neben Notebooks. An die leeren Wände hat jemand Zettel gehängt. „Anonymity“ steht darauf, „Encryption“ und „Virtual Private Networks“. Ein Beamer wirft Zahlen- und Buchstabenkauderwelsch auf ein abgehängtes Fenster. Von draußen muss es ein bisschen gruselig wirken.

Eine Cryptoparty geht so: Menschen sitzen nett zusammen, quatschen und lernen nebenbei, wie man sich sicher und anonym im Internet bewegt. Das Konzept erinnert an die Stromwechselpartys, die vor einigen Jahre populär waren: Infos und Service für alle, die sich schon auskennen, und gleichzeitig ein niedrigschwelliger Einstieg für solche, die erst einmal nur schauen wollen.

Weltweit gab es bisher Dutzende Partys – von Kairo bis Canberra. Die Dos und Dont’s sind immer ähnlich: Bring einen Computer oder ein Smartphone mit und was zu trinken. Frage nicht nach Nachnamen und erstell keine Aufnahmen von dem, was wir hier machen.

Da wäre zum Beispiel Veronika. Gegen halb acht hat sich die 60-jährige Dame durch die Tür geschoben. Unter dem Arm ihren Laptop, eines von diesen Riesengeräten, die man eigentlich höchstens vom Schreibtisch auf die Couch und in die Küche trägt.

„Was, Windows?“

Veronika also produziert, als sie ihr Gerät aufklappt, unter den anwesenden Technikexperten den ersten Kulturschock. „Was, Windows?“, fragt einer über ihre Schulter, als er ihr Betriebssystem sieht. „Damit kenne ich mich nun gar nicht aus.“ Gerade Menschen, denen die Sicherheit ihrer Computer sehr wichtig ist, meiden das viel benutzte Betriebssystem. Aus Ablehnung gegen den mächtigen Konzern Microsoft. Und weil weit verbreitete Programme anfälliger für Viren, Spähprogramme oder Hackangriffe sind.

Auch später wird es nicht viel besser: Die nächsten beiden Gäste sind zwei junge Frauen mit MacBooks der Firma Apple im Gepäck. Über den Abend werden allerdings die männlichen Besucher mit Linux-Systemen auf ihren Computern in der Übermacht bleiben.

„Privatsphäre ist etwas Abstraktes“

Das mit den sicheren Passwörtern, dem Verschlüsseln von Mails und Festplatten und dem anonymen Unterwegssein im Internet ist ein bisschen wie mit dem regelmäßigen Entkalken der Waschmaschine: Jeder weiß, dass man es tun sollte. Aber kaum jemand macht sich die Mühe. „Privatsphäre ist etwas Abstraktes“, sagt Julian, wenn man ihn fragt, warum sich nur so wenig Nutzer darum kümmern.

Sind Sie sicher?

Suchen: Googlesharing, ein Add-on für den Browser Firefox, mixt Suchanfragen von Nutzern zusammen. So ist für Google nicht erkennbar, wer was gesucht hat. Eine alternative Suchmaschine: //duckduckgo.com/:http://https://duckduckgo.com/duckduckgo.com

Surfen: Die Software Tor leitet Kommunikation zwischen dem Nutzer und einer Website über zahlreiche Rechner weltweit und verschlüsselt weiter – bis nicht mehr nachvollziehbar ist, wer die Anfrage gesendet hat.

Verschlüsseln: Mit dem Programm TrueCrypt lässt sich die Festplatte verschlüsseln.

Dabeisein: Partytermine stehen unter cryptoparty.org. Nächster Termin in Deutschland: 11. Januar in Berli.

Julian Oliver – einer der wenigen mit Nachnamen heute Abend – ist einer der beiden Veranstalter. Wenn er nicht gerade Verschlüsselungspartys schmeißt, arbeitet der Neuseeländer als „Critical Engineer“, kritischer Entwickler. Er hält Vorträge, macht Beiträge für Ausstellungen und kennt sich aus mit Hacking, Softwareentwicklung und Augmented Reality, dem Verschwimmen zwischen unmittelbarer und computergestützter Realität.

Er wurde in der Londoner Galerie Tate Modern ausgestellt und hat auf der Ideenkonferenz TEDx gesprochen. Heute erklärt er Anfängern, wie man mit Google suchen kann, ohne dem Konzern die eigenen Daten zu hinterlassen (siehe Kasten).

Wissenslücken bei den Nutzern

„Wenn man jemanden fragen würde, wie eine Mail vom Sender zum Empfänger kommt, die meisten Leute wüssten es nicht“, sagt Julian. Und da liege das Problem. Die Kunden haben eine Wissenslücke und die Anbieter kein Interesse, diese zu schließen. Unter anderem deshalb, weil so manche Geld damit verdienen, die Mails auf Begriffe zu scannen und dementsprechend Werbung zu schalten. Verschlüsselte Nachrichten bedeuten weniger Informationen über den Kunden und weniger Infos machen weniger Geld, so einfach ist das.

Während die beiden jungen Frauen versuchen, auf einem MacBook ein Mailprogramm zum Laufen zu bringen, um anschließend einen Schlüssel installieren zu können, hackt Malte Veronikas Computer. Na gut, hacken ist übertrieben. Aber für Veronika sieht es genau danach aus. Denn nur mithilfe eines USB-Sticks, den Malte aus seiner Tasche kramt, kann er leicht an ihre gespeicherten Dateien herankommen, auch ohne ihr Passwort zu kennen. Veronika ist baff. „O.K., und wie verhindere ich das jetzt?“, fragt sie. Malte grinst. Und holt sich kurz was zu trinken.

Was ganz zu Beginn nach Fachgespräch unter Gleichgesinnten aussah, entwickelt sich im Laufe des Abends und der zunehmenden Zahl unkundiger Gäste tatsächlich in Richtung Party. Mit dem Unterschied, dass die Smalltalkthemen hier nicht Job und Bekannte sind, sondern signierte Mails und sichere Festplatten. „Und was nutzt du so?“, ist die Einstiegsfrage.

Ab und an springt jemand auf für einen kurzen Vortrag, dann schaltet Julian die Musik aus, die Gespräche werden leiser oder man verzieht sich in den Nebenraum. Daniel redet über Freiheit im Internet, Christophe über Wege, sicher zu kommunizieren. Nicht alles ist verständlich und nimmt auch die Anfänger mit. Als Danja ein Skript vorstellt, das Webseiten nach Daten durchforstet, aus denen sich Passwörter generieren lassen, fragt Veronika nach zehn Minuten, worum es denn da bitte gehen soll.

„Zwischen Robocop und ’Schöne neue Welt‘“

Jeder hat hier seine eigene Theorie. Zum Beispiel Daniel: „Wir steuern auf so etwas wie eine Mischung zwischen Robocop und ’Schöne neue Welt‘ zu. Nur ohne die coolen Sachen.“ Oder Malte: „Mit Computern ist es genauso wie mit der Fitness. Man muss nicht den ganzen Tag Kampftraining machen, aber zumindest mal ein bisschen was.“

Und ziemlich viele Nutzer machen wirklich gar nichts. Denn auch wenn nur ein kleines Mehr an Nachdenken für ein großes Mehr an Sicherheit sorgen würde, haben sie es lieber bequem – und sind dabei sogar noch von Harry Potter weit entfernt. Das zeigte sich vor etwa einem halben Jahr: Hacker veröffentlichten die Anmeldedaten zu mehr als 400.000 Yahoo-Accounts. Die Top Drei der Passwörter: 123456, password und welcome. Genau, willkommen zu den persönlichen Daten.

Doch, wie das so ist, haben drei Experten auch drei unterschiedliche Lösungen. Möglichst kompliziert soll ein Passwort sein, das ist klar. Malte schlägt vor, dass man ein nur selten nötiges Kennwort aufschreiben, den Zettel zerschneiden und die Teile bei verschiedenen Freunden deponieren kann. Julian bricht eine Lanze für Passwort-Generatoren aus dem Internet, aber das Ergebnis solle man unbedingt noch etwas verändern. Und Christophe erzählt, dass einer seiner Freunde sich Schablonen bastelt und nur er weiß, auf welche Buchseiten sie gehören. Die Löcher ergeben dann das Passwort.

Gegen Mitternacht hat irgendjemand das Notebook-Kabel aus dem Beamer gezogen. Auf der blauen Fläche, die er nun auf das abgehängte Fenster wirft, machen zwei Gäste Schattenspiele. Julian dreht die Musik wieder auf. Veronika überlegt noch, welchen Weg sie wählt, um künftig ihre Festplatte zu verschlüsseln. „Aber immerhin weiß ich jetzt, worauf es ankommt.“

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

6 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • U
    Ute

    Ich war auf dieser Veranstaltung und muss sagen, dass ich es sehr informativ fand. Ich benutze privat Windows (hatte auch mal ne Zeit lang Ubuntu, aber ganz ehrlich: Windows mit seinen Macken, die ich allein beheben kann ist mir lieber, als ein Betriebssystem, mit dem ich nichts alleine machen kann - ich war auch zu faul). Ähnlich wie es hier geschrieben wurde, waren Informationen für Laien bzw. Durchschnittsnutzer dabei als auch für Fortgeschrittene bzw. Profis. Ein weiterer Besuch ist bei mir auf alle Fälle sicher.

  • W
    WeAre99%

    Das Problem bei diesem Clientel ist wie schon so treffend beschrieben die Fixierung auf Linux as holy cow of security (was nux definitiv NICHT ist). Kommt da Hänschen oder Lieschen mit einem OS das auch Normalsterbliche bedienen können (yadda yadda NEIN linux ist NICHT einfach zu beherrschen, und grade wenns thematisch komplex wird schon gar nicht) ist das Getöse gleich gross und als erstes "Sicherheitsupdate" wird die Umstellung auf linux verordnet. Das ist gelinde gesagt nerdmässiger bullshit und für otto normal user definitv völlig sinnlos. Ich behaupte dass ein normal user oder Anfänger NIEMALS mit Linux ohne fremde Hilfe klarkommt wenn es um komplexeres geht als einfach nur ubuntu aufzuspielen und mal ins internet zu gehen...allenfalls die allersimpelsten Konfiguationsschritte die hoffentlich flawless funktionieren sofern die Hardware ordentlich unterstützt wird kann man hier auch Anfängern bzw Fortgeschrittenen zumuten. ICh selbst bin 20 JAhre lang MS User seit MS DOS 5.0 und kann nur sagen, jedesmal wenn ich mich mit dem Thema Linux befasse ende es früher oder später mit einem Wutanfall ob der kryptischen Bedienung wenn es um fortgeschrittenere Themen geht. Und bläd bin ich bestimmt nicht. Es ist mir einfach nicht intuitiv genug.

  • S
    Sunny

    Ahja, doch nur eine Werbeveranstaltung der Linux-Sekte, voll mit paranoiden Frickel-Nerds für die das OS zur Religion geworden ist.

    Kommanoszeile ... von denen liebevoll gepflegte Steinzeit-Technologie, und da sind die auch noch stolz drauf. Haben's bis heute nicht geschafft ihre Kräfte zu bündeln und eine einheitliche und brauchbare GUI zu fabrizieren. Weil, Kommandozeile ist ja sooo toll, wer braucht da eine GUI, gelle?

    Treiber- und Softwareinstallation, eine einzige Katastrophe. Klar, OpenOffice installieren geht ganz leicht, aber wehe man hat mal was leicht spezielles. Da geht denen richtig einer ab wenn die 6 Stunden frickeln dürfen.

    Und soll hier keiner behaupten ich hätte keine Ahnung oder wäre MS-Fanboi. Ich hasse MS und im Freundeskreis bin's immer ich der ranzgezogen wird nachdem alle anderen "Profis" versagt haben. Linux musste ich auch schon zigmal installieren und konfigurieren weil's die nicht hinbekommen.

    Reden tu ich mit Hardcore-Linuxern schon gar nicht mehr, die werden immer ganz schnell aggressiv wenn man ihren Gott kritisiert, totale Fanatiker und Sektierer. Benehmen sich auch genauso, halten sich für die kleine eingeschworene Gemeinde die sich auf Biegen und Brechen gegen die Welt verteidigen muss. Kritik aus den eigenen Reihen wird gnadenlos verfolgt und ausgemerzt, fast wie Scientology.

    Die Welt könnte wirklich ein unabhängiges und weitverbreitetes OS brauchen, aber mit diesen fanatischen Kommandozeilen-Frickel-Spinnern wird das nie was.

  • HL
    Hauke Laging

    Es ist unbedingt notwendig, dass an dieser Front mehr Know-How unters Volk gebracht wird. Ich war auf einem dieser Termine; für Leute mit Kryptografie als Hobby mag so ein Rundumschlag recht interessant sein, ich frage mich aber, was bei Normalsterblichen davon hängenbleibt.

     

    Ich biete bei der Berliner Linux User Group kostenlose Schulungen zu einem kleinen Ausschnitt dieses Themas (OpenPGP: Verschlüsselung und Signaturen primär für E-Mails) an, bisher nur für Leute mit Computern als Hobby (wie gesagt: Linux...), und meine Erfahrungen bezüglich der Menge an Wissen, die man auf einem solchen Termin in Leute hineinfüttern kann, sind – gelinde gesagt – ernüchternd. Bisher verläuft die Weiterentwicklung der Schulung so, dass der Anspruch beständig heruntergeschraubt wird.

     

    Außerdem fehlt mir dort ein Bewusstsein für die Relevanz der einzelnen Abschnitte auf der Paranoia-Skala. Da werden Neulinge, deren bisheriger Höhepunkt an IT-Sicherheit das VPN ins Uni-Netz ist, mit Zeug konfrontiert, das für Leute relevant ist, die sich vor Geheimdiensten schützen wollen. Was soll das? Auch diese Nachnamen-Panik ist doch irre. Damit wird genau der falsche Eindruck erweckt, dass Kryptografie nur etwas für die paar Leute sei, die vor der Polizei weglaufen, dabei braucht sie (in anderem Rahmen) jeder.

     

    Ich glaube, dass es dem Verständnis dienlicher ist, erst mal in ein Thema mit relevanter Tiefe einzusteigen (sinnvollerweise E-Mail-Kryptografie). Das dort erworbene Wissen ist für die meisten anderen Anwendungen hilfreich, so dass man sich dann mit besseren Voraussetzungen weiterarbeiten kann.

     

    Für alle, die sich das Wissen aneignen oder bei der Wissensvermittlung helfen möchten:

    http://www.openpgp-schulungen.de/

     

    Und natürlich bleibt die Frage: Was ist mit der taz? Ich wollte gerade schon eine Schulung vor Ort anbieten, aber nun sehe ich, dass es – schon seit Jahren – eine Menge Leute bei der taz gibt, die OpenPGP verwenden. Warum merkt man das auf der Webseite nicht?

  • AT
    Analoge Telepathie

    Voll kreativ, einfallsreich und progressiv und elektronische "Musik" hält sich passend dazu auch schon genauso lange wie die überaus einfallsreiche und kreative Bartfrisur, genannt "Gesichtsfotze".

    Als Begleitung empfiehlt sich ein schmales, eckiges Kassengestell und da Computer voll begeistert schon Kleinkindern die Augen zerstören, laufen bald alle ganz gleich rum, nur noch durch Tätowierungen am Arsch zu unterscheiden und damit diesen kreativen Mutanten das nicht auffällt, holt man 3-D aus der Mottenkiste.

  • R
    RedHead

    Zu Windows: Das Problem ist nicht, dass Microsoft böse ist, das sind sie vielleicht- je nach Wahl des Kriteriums der Moralisierung. Schwerwiegender ist, dass Closed Source Software nicht vertrauenswürdig ist und dass bei Windows wirklich richtig üble Sicherheitsprobleme regelmäßig vorkommen. Das trojanische Pferd namens Flame hat sich z.B. über Windows-Update unter Nutzung einer MD5-Hash-Kollision verbreitet, das trojanische Pferd hatte damit ein gültiges MS-Zertifikat. Dem Technik-Laien sagt das natürlich nichts, aber niemand der Ahnung von der Materie hat würde MD5 für kryptographische Zwecke einsetzen, dass es dafür nicht geeignet ist, ist schon sehr lange bekannt. Mir scheint es unplausibel, dass dies ein Versehen von MS gewesen sein soll (was sie ja behaupten), so blöd sind auch die bestimmt nicht. Ich halte es für wahrscheinlicher dass ein US-Geheimdienst auf diesem Weg auf Bestellung seine Schadsoftware signiert bekommen hat. Aber selbst wenn es nur ein Versehen war, dann beweist das dennoch, dass auf Windows in Sachen Sicherheit kein Verlass ist, das hieße ja dann die zuständigen Leute dort sind wirklich extrem unfähig.

     

    Zum Kästchen mit gut gemeinten Ratschlägen: Von TrueCrypt würde ich abraten. Das mag jetzt paranoid klingen, aber ich würde deshalb von TrueCrypt abraten, weil das BSI (immerhin ehemaliger Teil des BND) auch bei Linux zur Nutzung von TrueCrypt geraten hat, dort aber mit LUKS bereits ein sehr gutes Verschlüsselungssystem mit an Bord ist. Diese Diskrepanz ergibt für mich nur in 2 Szenarien Sinn (lasse mich aber auch gerne eines besseren belehren): Entweder ist das BSI ahnungslos (was ich nicht glaube) oder dem Staat sind bereits Methoden bekannt, TrueCrypt auszuhebeln (Passwort per Trojaner abgreifen oder so). Anzunehmen das Sicherheitsinteresse der Bürger stände tatsächlich im Mittelpunkt einer Behörde halte ich für naiv. Bei Windows brauchen wir nicht über Sicherheit reden, bei Linux, *BSD etc. gibt es bessere Optionen als TrueCrypt.