Praxisteil: technische Maßnahmen

Symmetrische vs asymmetrische Verschlüsselung

Über Jahrtausende nutzte der Mensch symmetrische Verschlüsselung. Das klingt sehr hochtrabend, ist aber das, was sich die meisten Menschen spontan vorstellen, wenn sie überhaupt an Verschlüsselung denken: ein Verfahren, bei dem man dasselbe Verfahren, mit dem ein Text veschlüsselt wurde, umkehrt, um sie wieder zu entschlüsseln. Als Beispiel stelle man sich eine Verschlüsselung vor, bei der man das Alphabet um einen Buchstaben nach rechts veschiebt. Aus “Klartext” wird dann “Lmbsufyu”. Um wieder auf die Ursprungsnachricht zu kommen, muss man nur wissen, um wie viele Buchstaben das Alphabet verschoben wurde und kehrt die Verschiebung um.

Natürlich sind moderne symmetrische Verfahren komplizierter. Allen diesen Verfahren ist jedoch gemein, dass sich Sender und Empfänger einer Nachricht auf einen gemeinsamen Schlüssel verständigen müssen. Im obigen Beispiel wäre es die Anzahl der Stellen, um die das Alphabet verschoben wurde. Dieses gemeinsame Geheimnis ist fast so wichtig wie die Nachricht selbst. Gerät es in fremde Hände, kann ein Angreifer die Nachrichten mitlesen.

Gerade im Internetzeitalter ist es meist nicht oder nur sehr schwer möglich, beim ersten Kontakt ein gemeinsames Geheimnis über einen sicheren Kanal zu transportieren. Aus diesem Grund ersann man sich asymmetrische Verfahren. Hier generiert man sich Schlüsselpaare, die so gebaut sind, dass die eine Hälfte des Schlüssels das entschlüsseln kann, was mit der anderen Hälfte verschlüsselt wurde – und umgekehrt. Eine Hälfte des Schlüsselpaars kann allerdings nicht genutzt werden, um eine Nachricht sowohl zu ver- als auch zu entschlüsseln.

Symmetrische Verfahren nutzt man heute beispielsweise zum Verschlüsseln der eigenen Festplatte. Klassische Anwendungsgebiete für asymmetrische Verfahren sind Chat, Mail, mobile Messaging und verschlüsselte WWW-Seiten wie beispielsweise Onlinebanking.

Mailverschlüsselung

Das bekannteste Verfahren ist PGP oder dessen freie Varaiante GPG. Unter Windows braucht man hierfür das Verschlüsselungsprogramm selbst (wir empfehlen GPG4Win), ein Mailprogramm (wir empfehlen Thunderbird, mit ein wenig Herumprobieren funktioniert auch Outlook) und schließlich innerhalb des Mailprogramms ein Zusatzmodul, welches das Mailprogramm um die zur Verschlüsselung nötigen Menus erweitert (bei Thunderbird nimmt man Enigmail). Nach Installation und Konfiguration dieser Programme erzeugt man sich sein eigenes Schlüsselpaar, importiert den öffentlichen Schlüssel derjenigen, denen man verschlüsselt schreiben möchte und legt los.

Für viele Menschen stellt die Umgewöhnung vom heiß geliebten Webmailer auf ein lokal laufendes Mailprogramm eine große Umgewöhnung dar. Alternativ kann man auch im eigenen Browser mit Hilfe des Plugins Mailvelope Mailverschlüsselung betreiben. Leider ist das Programm deutlich weniger komfortabel als Enigmail und hat sich in Praxistests als äußerst instabil erwiesen. Wir können Mailvelope deswegen nicht empfehlen.

Mobile Messaging

Seit auch Whatsapp die von Signal (früher Textsecure) verwendete Verschlüsselung bei sich implementiert hat, kann man auch Whatsapp einigermaßen vertrauen. Die Kritik, dass weiterhin bei Konzernmutter Facebook Metadaten anfallen und dass man, weil der Quelltext von Whatsapp geheim gehalten wird, nur schwer feststellen kann, ob das Programm nicht doch irgendwelche Hintertüren hat, bleibt allerdings bestehen. In dieser Hinsicht schneidet das Original Signal besser ab.

Datenträgerverschlüsselung

Wenn man gleich eine ganze Festplatte, einen kompletten USB-Stick oder eine komplette Partition verschlüsselt, ist das zwar ein in puncto Sicherheit sinnvoller, aber sehr weit gehender Eingriff, vor dem man am Anfang oft zurückschreckt. Weniger radikal ist die so genannte Containerverschlüsselung, bei der man eine Datei anlegt, die dann wie ein eigenes Laufwerk behandelt wird, in dem alle Informationen verschlüsselt abgelegt sind. Hierzu eignet sich das Programm Veracrypt.

Anonymes Surfen

Um die eigene IP-Adresse gegenüber den Servern, die man ansteuert, zu verschleiern, eignet sich das Anonymisierungssystem Tor (The Onion Router). Darüber hinaus kann man im durch Tor erzeugten anonymen Netz (Onion-Netz) eigene Dienste anbieten, die sich nicht ohne Weiteres lokalisieren lassen.

Tor anonymisiert IP-Adressen. Das ist nützlich, aber nicht alles. Wer nicht genau weiß, wogegen Tor schützt und naiv lossurft, verringert tendenziell seine Sicherheit mehr als dass er sie erhöht. Inbesondere schützt Tor nicht vor

  • Browser-Fingerprinting
  • Aussphähen und Manipulation des Datenstroms durch Exit-Nodes
  • vom Server verteilte Schadsoftware

Passwortverwaltung

Für die Verwaltung von Passwörtern gibt es keine goldene Regel. Als genereller Hinweis gilt: Passwörter sollten mindestens 12, besser 14 Zeichen beinhalten und ein möglichst wirres Durcheinander von Buchstaben und Zahlen sein. Bevor man sich darüber hinaus mit Sonderzeichen (wie beispielsweise $, %, &, /, (, ), ? oder !) herumschlägt, sollte man lieber das Passwort um ein oder zwei Zeichen verlängern, weil sich dadurch die Sicherheit mehr erhöht, als wenn man bei einem kurzen Passwort mit Sonderzeichen herumspielt.

Tails

Tails ist ein Live-Betriebssystem zur Bewahrung von Privatsphäre und Anonymität, das man auf vielen Computern von einer DVD, einem USB-Stick oder einer SD-Karte aus starten kann. Für die Installation braucht man einen Speicherstick mit mindestens 4 GB Kapazität. Der Stick wird bei der Installtion komplett gelöscht und kann, so lange Tails darauf installiert ist, auch nur für die vom Live-System vorgesehenen Zwecke verwendet werden. Insbesondere ist es nicht möglich, ohne Starten des Systems Daten auf dem Stick zu hinterlegen. Wenn man den Stick wieder als herkömmlichen Speicherstick nutzen möchten, kann man ihn jederzeit wieder formatieren.

Häufig gestellte Fagen (FAQ)

Lenke ich durch Verschlüsselung nicht gerade erst Aufmerksamkeit auf mich?

So lange ich einer von wenigen bin, falle ich natürlich auf. So ist es aber mit allen Änderungen: Man braucht immer jemanden, der den ersten Schritt geht und die anderen mitzieht. Wenn man sich ängstlich in den eigenen Keller verzieht und hofft, bloß nicht aufzufallen, wird sich nie etwas ändern – wenigstens nicht zum Guten. Im Gegenteil: Wenn der Gegner merkt, dass ihm niemand widerspricht, wird er seinen Machtbereich ausweiten, bis der Keller auch nicht mehr sicher ist. Nur wer sich widersetzt, wer es schafft, zu mobilisieren und damit die etwas Ängstlicheren zu schützen, hat die Chance, Freiheitsrechte zu verteidigen.

Ist es überhaupt sinnvoll, wenn ich allein verschlüssele?

Wenn ich mein eigenes Telefon, meine eigene Festplatte, meinen eigenen USB-Stick verschlüssle, schütze ich mindestens meine eigenen Daten, oft aber auch die Daten derer, die ich auf meinen Geräten gespeichert habe, beispielsweise Gruppenfotos, Mails und Adressen.

Was passiert, wenn ich jemandem, der nicht verschlüsseln kann, eine verschlüsselte Mail schicke?

Zumindest wenn ich asymmetrische Verfahren wie PGP verwende, sollte dieser Fall gar nicht eintreten können. Der Grund dafür ist, dass ich, um eine verschlüsselte Mail empfangen zu können, erst einmal mein Schlüsselpaar erzeugen und den öffentlichen Teil bekannt geben muss. Um also jemandem eine verschlüsselte Mail schicken zu können, muss ich dessen öffentlichen Schlüssel haben, was wiederum voraussetzt, dass die Gegenseite die hierzu nötige Software installiert hat.

Was passiert, wenn ich mir einen Virus oder ein trojanisches Pferd eingefangen habe?

Jede hier vorgestellte Maßnahme kann nur funktionieren, wenn der eigene Computer vertrauenswürdig ist. Wenn Sie davon ausgehen müssen, dass Sie die Kontrolle über Ihren Rechner verloren haben, weil lokal installierte Schadprogramme Sie ausspionieren, sollten sie zuerst Ihre Maschine säubern, bevor Sie irgendetwas Anderes unternehmen.

Urheberrecht kills historisches Gedächtnis

Willy Brandt am 17.6.1962
Willy Brandt am 17.6.1962

Ich arbeite gerade an einer kleinen App zum historischen Lernen, dazu in Kürze mehr. Im Zuge der Recherchen bin ich über eine Rede von Willy Brandt vom 17.6.1962 gestolpert. Für die App hätte ich aus der aufgezeichneten Rede bei einer Länge von 38:32 Minuten genau 30 Sekunden benötigt, in denen Willy Brandt die entscheidenden Sätze sagt: „Urheberrecht kills historisches Gedächtnis“ weiterlesen

NEP005: Thomas Lohninger: Netzneutralität

[podlove-episode-web-player publisher="175" post_id="175"]

Thomas war aus Wien zugeschaltet. Ihm ist es beeindruckend gut gelungen, das Thema Netzneutralität mit einfachen Worten passenden Metaphern zu erklären. Dabei wurde auch deutlich, an welcher Stelle das technische Verständnis in politische Forderungen mündet. Ohne ein generelles Verständnis über die Funktion von Netzwerken ist die Netzneutralität als politische Forderung nicht zu verstehen. Deshalb wird zu Beginn des Vortrags dieser Aspekt nachvollziehbar erklärt.

Shownotes:

(mit bestem Dank an unseren Shownoter Jochim aka count)

NEP004: Rena Tangens: Hackerkultur

[podlove-episode-web-player publisher="156" post_id="156"]

Rena Tangens ist es gelungen, aus dem historischen Rückblick, die Anliegen zur Sicherung eines menschenfreundlichen Internets zu benennen. Auch wenn es heute noch Menschen gibt, die das Internet für Neuland halten, so ist nicht zu leugnen, dass sich eine eigenständige Kultur im digitalen Raum ausgebildet hat, die von Menschen gestaltet wurde, die das Internet als Lebensraum begriffen haben. „NEP004: Rena Tangens: Hackerkultur“ weiterlesen

Datenschutz und Privatheit

Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre.
Mit der geplanten EU-Datenschutz-Grundverordnung setzen sich Kommission, Rat und Parlament im derzeit laufenden Diskussion  dafür ein, dass der Bürger die Selbstbestimmung und Kontrolle über seine Daten zurückgewinnt.

Weitereführende Links zum Thema:

Was bringt die EU-Datenschutzgrundverordnung? Darüber haben im Deutschlandfunk DLF-Studio auf dem 32c3 Jan-Philipp Albrecht, Manfred Kloiber, Frank Rieger und Peter Welchering am 29. Dezember 2015 diskutiert.

Big Data und informationelle Selbstbestimmung (BpB Bonner Gespräche 2016)

Podiumsdiskussion “Was ist uns Privatheit wert?” Stiftung Datenschutz