Praxisteil: technische Maßnahmen

Symmetrische vs asymmetrische Verschlüsselung

Über Jahrtausende nutzte der Mensch symmetrische Verschlüsselung. Das klingt sehr hochtrabend, ist aber das, was sich die meisten Menschen spontan vorstellen, wenn sie überhaupt an Verschlüsselung denken: ein Verfahren, bei dem man dasselbe Verfahren, mit dem ein Text veschlüsselt wurde, umkehrt, um sie wieder zu entschlüsseln. Als Beispiel stelle man sich eine Verschlüsselung vor, bei der man das Alphabet um einen Buchstaben nach rechts veschiebt. Aus „Klartext“ wird dann „Lmbsufyu“. Um wieder auf die Ursprungsnachricht zu kommen, muss man nur wissen, um wie viele Buchstaben das Alphabet verschoben wurde und kehrt die Verschiebung um.

Natürlich sind moderne symmetrische Verfahren komplizierter. Allen diesen Verfahren ist jedoch gemein, dass sich Sender und Empfänger einer Nachricht auf einen gemeinsamen Schlüssel verständigen müssen. Im obigen Beispiel wäre es die Anzahl der Stellen, um die das Alphabet verschoben wurde. Dieses gemeinsame Geheimnis ist fast so wichtig wie die Nachricht selbst. Gerät es in fremde Hände, kann ein Angreifer die Nachrichten mitlesen.

Gerade im Internetzeitalter ist es meist nicht oder nur sehr schwer möglich, beim ersten Kontakt ein gemeinsames Geheimnis über einen sicheren Kanal zu transportieren. Aus diesem Grund ersann man sich asymmetrische Verfahren. Hier generiert man sich Schlüsselpaare, die so gebaut sind, dass die eine Hälfte des Schlüssels das entschlüsseln kann, was mit der anderen Hälfte verschlüsselt wurde – und umgekehrt. Eine Hälfte des Schlüsselpaars kann allerdings nicht genutzt werden, um eine Nachricht sowohl zu ver- als auch zu entschlüsseln.

Symmetrische Verfahren nutzt man heute beispielsweise zum Verschlüsseln der eigenen Festplatte. Klassische Anwendungsgebiete für asymmetrische Verfahren sind Chat, Mail, mobile Messaging und verschlüsselte WWW-Seiten wie beispielsweise Onlinebanking.

Mailverschlüsselung

Das bekannteste Verfahren ist PGP oder dessen freie Varaiante GPG. Unter Windows braucht man hierfür das Verschlüsselungsprogramm selbst (wir empfehlen GPG4Win), ein Mailprogramm (wir empfehlen Thunderbird, mit ein wenig Herumprobieren funktioniert auch Outlook) und schließlich innerhalb des Mailprogramms ein Zusatzmodul, welches das Mailprogramm um die zur Verschlüsselung nötigen Menus erweitert (bei Thunderbird nimmt man Enigmail). Nach Installation und Konfiguration dieser Programme erzeugt man sich sein eigenes Schlüsselpaar, importiert den öffentlichen Schlüssel derjenigen, denen man verschlüsselt schreiben möchte und legt los.

Für viele Menschen stellt die Umgewöhnung vom heiß geliebten Webmailer auf ein lokal laufendes Mailprogramm eine große Umgewöhnung dar. Alternativ kann man auch im eigenen Browser mit Hilfe des Plugins Mailvelope Mailverschlüsselung betreiben. Leider ist das Programm deutlich weniger komfortabel als Enigmail und hat sich in Praxistests als äußerst instabil erwiesen. Wir können Mailvelope deswegen nicht empfehlen.

Mobile Messaging

Seit auch Whatsapp die von Signal (früher Textsecure) verwendete Verschlüsselung bei sich implementiert hat, kann man auch Whatsapp einigermaßen vertrauen. Die Kritik, dass weiterhin bei Konzernmutter Facebook Metadaten anfallen und dass man, weil der Quelltext von Whatsapp geheim gehalten wird, nur schwer feststellen kann, ob das Programm nicht doch irgendwelche Hintertüren hat, bleibt allerdings bestehen. In dieser Hinsicht schneidet das Original Signal besser ab.

Datenträgerverschlüsselung

Wenn man gleich eine ganze Festplatte, einen kompletten USB-Stick oder eine komplette Partition verschlüsselt, ist das zwar ein in puncto Sicherheit sinnvoller, aber sehr weit gehender Eingriff, vor dem man am Anfang oft zurückschreckt. Weniger radikal ist die so genannte Containerverschlüsselung, bei der man eine Datei anlegt, die dann wie ein eigenes Laufwerk behandelt wird, in dem alle Informationen verschlüsselt abgelegt sind. Hierzu eignet sich das Programm Veracrypt.

Anonymes Surfen

Um die eigene IP-Adresse gegenüber den Servern, die man ansteuert, zu verschleiern, eignet sich das Anonymisierungssystem Tor (The Onion Router). Darüber hinaus kann man im durch Tor erzeugten anonymen Netz (Onion-Netz) eigene Dienste anbieten, die sich nicht ohne Weiteres lokalisieren lassen.

Tor anonymisiert IP-Adressen. Das ist nützlich, aber nicht alles. Wer nicht genau weiß, wogegen Tor schützt und naiv lossurft, verringert tendenziell seine Sicherheit mehr als dass er sie erhöht. Inbesondere schützt Tor nicht vor

  • Browser-Fingerprinting
  • Aussphähen und Manipulation des Datenstroms durch Exit-Nodes
  • vom Server verteilte Schadsoftware

Passwortverwaltung

Für die Verwaltung von Passwörtern gibt es keine goldene Regel. Als genereller Hinweis gilt: Passwörter sollten mindestens 12, besser 14 Zeichen beinhalten und ein möglichst wirres Durcheinander von Buchstaben und Zahlen sein. Bevor man sich darüber hinaus mit Sonderzeichen (wie beispielsweise $, %, &, /, (, ), ? oder !) herumschlägt, sollte man lieber das Passwort um ein oder zwei Zeichen verlängern, weil sich dadurch die Sicherheit mehr erhöht, als wenn man bei einem kurzen Passwort mit Sonderzeichen herumspielt.

Tails

Tails ist ein Live-Betriebssystem zur Bewahrung von Privatsphäre und Anonymität, das man auf vielen Computern von einer DVD, einem USB-Stick oder einer SD-Karte aus starten kann. Für die Installation braucht man einen Speicherstick mit mindestens 4 GB Kapazität. Der Stick wird bei der Installtion komplett gelöscht und kann, so lange Tails darauf installiert ist, auch nur für die vom Live-System vorgesehenen Zwecke verwendet werden. Insbesondere ist es nicht möglich, ohne Starten des Systems Daten auf dem Stick zu hinterlegen. Wenn man den Stick wieder als herkömmlichen Speicherstick nutzen möchten, kann man ihn jederzeit wieder formatieren.

Häufig gestellte Fagen (FAQ)

Lenke ich durch Verschlüsselung nicht gerade erst Aufmerksamkeit auf mich?

So lange ich einer von wenigen bin, falle ich natürlich auf. So ist es aber mit allen Änderungen: Man braucht immer jemanden, der den ersten Schritt geht und die anderen mitzieht. Wenn man sich ängstlich in den eigenen Keller verzieht und hofft, bloß nicht aufzufallen, wird sich nie etwas ändern – wenigstens nicht zum Guten. Im Gegenteil: Wenn der Gegner merkt, dass ihm niemand widerspricht, wird er seinen Machtbereich ausweiten, bis der Keller auch nicht mehr sicher ist. Nur wer sich widersetzt, wer es schafft, zu mobilisieren und damit die etwas Ängstlicheren zu schützen, hat die Chance, Freiheitsrechte zu verteidigen.

Ist es überhaupt sinnvoll, wenn ich allein verschlüssele?

Wenn ich mein eigenes Telefon, meine eigene Festplatte, meinen eigenen USB-Stick verschlüssle, schütze ich mindestens meine eigenen Daten, oft aber auch die Daten derer, die ich auf meinen Geräten gespeichert habe, beispielsweise Gruppenfotos, Mails und Adressen.

Was passiert, wenn ich jemandem, der nicht verschlüsseln kann, eine verschlüsselte Mail schicke?

Zumindest wenn ich asymmetrische Verfahren wie PGP verwende, sollte dieser Fall gar nicht eintreten können. Der Grund dafür ist, dass ich, um eine verschlüsselte Mail empfangen zu können, erst einmal mein Schlüsselpaar erzeugen und den öffentlichen Teil bekannt geben muss. Um also jemandem eine verschlüsselte Mail schicken zu können, muss ich dessen öffentlichen Schlüssel haben, was wiederum voraussetzt, dass die Gegenseite die hierzu nötige Software installiert hat.

Was passiert, wenn ich mir einen Virus oder ein trojanisches Pferd eingefangen habe?

Jede hier vorgestellte Maßnahme kann nur funktionieren, wenn der eigene Computer vertrauenswürdig ist. Wenn Sie davon ausgehen müssen, dass Sie die Kontrolle über Ihren Rechner verloren haben, weil lokal installierte Schadprogramme Sie ausspionieren, sollten sie zuerst Ihre Maschine säubern, bevor Sie irgendetwas Anderes unternehmen.

Datenschutz und Privatheit

Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre.
Mit der geplanten EU-Datenschutz-Grundverordnung setzen sich Kommission, Rat und Parlament im derzeit laufenden Diskussion  dafür ein, dass der Bürger die Selbstbestimmung und Kontrolle über seine Daten zurückgewinnt.

Weitereführende Links zum Thema:

Was bringt die EU-Datenschutzgrundverordnung? Darüber haben im Deutschlandfunk DLF-Studio auf dem 32c3 Jan-Philipp Albrecht, Manfred Kloiber, Frank Rieger und Peter Welchering am 29. Dezember 2015 diskutiert.

Big Data und informationelle Selbstbestimmung (BpB Bonner Gespräche 2016)

Podiumsdiskussion „Was ist uns Privatheit wert?“ Stiftung Datenschutz

 

Netzpolitik = Netz + Politik

Um Politik in Netzen machen zu können, müssen wir verstehen, welche unterschiedliche Arten von Netzen es gibt und wie sie die Kommunikation und Transfer von Daten beeinflussen. Das Internet ist letztendlich eine Vermischung aus zwei verschiedenen Formen von Netztopologien: Sternnetzen und verteilten/vermaschten Netzen. „Netzpolitik = Netz + Politik“ weiterlesen

Der Unterschied zwischen Analog und Digital

Eine Netzpolitik ist nur deshalb notwendig, weil die Gesetzgebung aus der bisher analogen Welt nicht ausreichen, um die aktuellen Zustände, auf die Politik eine Antwort finden muss nicht ausreichen. Welchen Unterschieden wir Rechnung tragen müssen, sollte die nachstehende Präsentation zur Diskussion stellen: „Der Unterschied zwischen Analog und Digital“ weiterlesen

Seminarbeschreibung

Das Internet ist zum gesellschaftlichen Betriebssystem geworden. Das heißt es ist die Plattform, auf der die Dienste zur Bewältigung unseres Alltags angeboten werden. Und gleichzeitig hat es Gesellschaften und das Wirtschaftssystem innerhalb weniger Jahre so radikal umgebaut, wie vor ihm kein anderes Medium. Netzpolitik hilft diesen radikalen Umbau nicht nur zu verstehen, sondern ihn auch jenseits der Angst vor Technik zu gestalten. Die Digitalisierung ist nämlich keineswegs ein Abbild der analogen Welt und deshalb lassen sich auch bestehende Regeln nicht so einfach auf das Internet übertragen, sondern es handelt sich um einen vollkommen neuen Aggregatzustand.Nur wer die Unterschiede kennt, kann auch adäquate Antworten auf die Digitalisierung finden. Im Seminar sollen darüber hinaus die umkämpften netzpolitischen Themen vorgestellt werden und das Handeln der jeweiligen Player erklärt werden.