Howto: Schutz vor Prism & Co.

Wir nutzen das Internet, Email und Web, heute täglich. Und seit dem Aufkommen der Smartphones nicht nur am Computer zuhause oder im Geschäft. Ein gefundenes Fressen für Geheimdienste, welche die meist unverschlüsselte Kommunikation nach Belieben mitschneiden. Was kann man dagegen tun?

Dass einem das Gesetz nicht davor schützt, Opfer eines Verbrechens zu werden, ist ein Gemeinplatz. So schliessen wir unser Velo ab, wenn wir es in der Öffentlichkeit abstellen – auch wenn der Diebstahl so oder so ein Verbrechen wäre. Viel sorgloser gehen die meisten allerdings mit dem Computer und im Internet vor. Allenfalls installiert man einen Virenscanner zum Schutz des eigenen Computers vor Angriffen. Doch die kostbaren eigenen Daten werden unverschlüsselt gespeichert – lokal und in der Cloud, also auf Servern, von denen man nicht mal weiss, wo sie liegen.

blogpost_diy-schnueffler_squareNach den Enthüllungen zu Prism, Tempora und anderen Geheimdienstschnüffeleien veröffentlichen nun verschiedene Medien endlich praktische Anleitungen, wie man sich im Internet sicherer bewegt und praktisch Sorge dazu trägt, dass die eigenen Daten nicht wie ein offenes Buch für alle lesbar sind, die dies gern möchten. Die Herausforderung ist allerdings gross. Eine umfassende Lösung müsste nicht nur Computer, Mail und Webverkehr abdecken, sondern auch die mobile Nutzung des Internets via Smartphone, die bequeme Speicherung von Daten in der Cloud sowie das Telefonieren und den Versand von Kurznachrichten. Gleichzeitig müsste die Lösung praktikabel sein im Alltag – und nach Möglichkeit auch mit KommunikationspartnerInnen funktionieren, welche allerhöchstens einen kleinen Aufwand treiben möchten, um sicherer mit uns zu kommunizieren.

In den nächsten Tagen möchte ich hier eine – hoffentliche wachsende – Liste von Anleitungen/HowTos publizieren, welche einzelne Teilbereiche abdecken. Gerne nehme ich auch Inputs entgegen, z.B. unten in den Kommentaren oder per Mail an nationalrat at glaettli punkt ch.

Zuerst ein Disclaimer

All diese Anleitungen decken nur jeweils einen Teilbereich des Schutzes ab. Der Schutz der eigenen Daten ist aber nur so stark wie die schwächste Stelle. Ein konkretes Beispiel: Es nützt nix, die ganze Kommunikation und die Daten auf dem eigenen Rechner zu verschlüsseln, wenn der Zugang zum Rechner und der eigene Private Key mit einem Trivialpasswort wie mickey007 “geschützt” ist! Einen Überblick über verschiedene Aspekte, sich gegen die Überwachung zu schützen, gibt die EFF auf englisch unter dem Titel Surveillance Self-Defense.

Hier einige deutsche Anleitungen:

Netznutzung verschleiern: Tor

Wer seine Netznutzung verschleiern will, nutzt entweder Tor (The Onion Routing) oder – wesentlich unsicherer – VPNs zu speziellen Anbietern im Ausland. Am einfachsten ist Tor über einen speziell konfigurierten Router zu nutzen, ein Eigenbau-Projekt eines Tor-Routers auf der Basis des Raspberry-Pi hat der Spiegel Online veröffentlicht. Um die eigene Netznutzung wirklich zu verschleiern, muss aber Tor konsequent genutzt werden. Selbstverständlich gilt dies auch für die Webnutzung via Smartphone. Hier gibt es Tor Software für Android. Um allerdings Tor transparent (d.h. unsichtbar für mich und für die sonstigen Apps und damit automatisch für alle Apps) zu installieren, muss das Handy gerootet werden. Man kann Tor auf Android auch nutzen, ohne das Handy gerooted zu haben, dann muss aber jede App speziell konfiguriert werden.

Netzkommunikation verschlüsseln

Um den Datenverkehr zwischen dem eigenen Computer und einem anderen Computer zu verschlüsseln, muss die Verbindung über ein sicheres Protokoll hergestellt werden. Also Websiten, bei denen man Daten eingibt, nur via https:// und nie via http:// ansteuern, die Verbindung zum eigenen Email-Provider verschlüsseln, keine normalen ftp: Connections zum eigenen Webserver etc. Für die Firefox und Chrome-Browser hat die Electronic Frontier Foundation (EFF) das Projekt HTTPS Everywhere ins Leben gerufen.

Keine offenen Daten in der Cloud speichern

Auch wenn die Kommunikation verschleiert und die Daten während des Transports verschlüsselt sind: Solange sie auf dem Server (in der Cloud) offen liegen, kann der dortige Anbieter – z.B. Google bei der Nutzung von Gmail für Emails – die Daten lesen und weitergeben.

Eine Möglichkeit, die ich noch nicht vertieft geprüft habe, könnte der Einsatz von owncloud auf einem eigenen (virtuellen) Server sein. Kalender, Kontakte und Filesharing sind so möglich. Natürlich muss die Verbindung verschlüsselt sein, und die Daten müssen auch verschlüsselt abgelegt werden. Eine andere Möglichkeit wäre der Einsatz der OpenSource Groupware von kolabsys.com. Wenn eine Leserin oder ein Leser mehr Erfahrungen mit einer dieser Lösungen oder auch anderen Alternativen, sowie mit der Installation auf verschiedenen Hostern hat und eine präzisere Einschätzung zur Sicherheit der Lösungen abgeben kann: Bitte unten kommentieren oder einen Link angeben!

Lokale Daten verschlüsseln

Um die Daten auf einem Desktop- oder Laptop-Computer sicher zu speichern, bietet sich das Programm TrueCrypt an. Es ist einfach zu installieren und zu bedienen.Update 4.1.2017: TrueCrypt wird seit einiger Zeit nicht mehr weiter entwickelt. Als Alternative bietet sich einerseits der auf TrueCrypt basierende Nachfolger VeraCrypt an. Andererseits gibt es auch andere Lösungen, inklusive das in Windows eingebaute aber nicht quelloffene Programm BitLocker. Ich verweise dazu auf einen Beitrag von Bruce Schneier, einem international anerkannten Experten.

Die privaten Datensammler nicht vergessen!

Im Zusammenhang mit Prism steht wieder der Staat als Oberschnüffler im Zentrum. Allerdings leben viele vermeintlichen gratis Internet-Angebote davon, dass wir ihnen – ungemerkt und gratis – wichtige persönliche Daten über uns mitteilen. Konkret: Wir zahlen mit unseren Daten, statt mit Geld.

Das Browser-Plugin Disconnect.me zeigt einem auf, wieviele verschiedene Dienst wir mit dem Besuch jeder Website mit Informationen über unsere Surfgewohnheiten, unsere Konsumvorlieben etc. versorgen – und ermöglicht es, die privaten Datensammler auszusperren.