Nach NDG-JA: So verschlüsselst Du!

Nach dem JA zum Nachrichtendienstgesetz darf auch unser Geheimdienst den ganzen grenzüberschreitenden Internetverkehr nach gewissen Kriterien durchsuchen. Also Emails, Internetsuchen, Website-Besuche, Chats… Aber die Arbeit der Schlapphüte kann man erschweren. Durch Verschlüsselung. So geht’s!

UPDATE 14.11.2016: Die Digitale Gesellschaft hat eine weit ausführlichere Zusammenstellung verschiedenster Kommunikations-Mittel und Programme/Apps gemacht, die ich allen empfehle, welche sich über sicherere Kommunikationskanäle informieren wollen.

Auch wenn – gemäss den BefürworterInnen des Gesetzes – der Schweizer Nachrichtendienst nur in ein bis zwei Dutzend Fällen auf die Internetüberwachung (genannt „Kabelaufklärung“) Rückgriff nehmen sollte: ins Visier der Schnüffler gerät dann möglicherweise doch der ganze grenzüberschreitende Internetverkehr. Terroristen und andere Bösewichte wissen, wie man sich dieser Überwachung entziehen kann. Zeit, dass auch normale Bürgerinnen und Bürger lernen, wie man verschlüsselt kommuniziert. Hier einige Tipps zu folgenden Themen:

  • Signal: eine sichere App als Ersatz für Telefon, SMS und Datei-Austausch auf dem Mobiltelefon
  • Möglichkeiten und Grenzen des sicheren Mailens
  • Spurenarm surfen
  • Ein Warnhinweis…
  • …und zwei Ergänzungen: mit dem TAILS Live-Linux mit dem Computer nochmals sicherer online sein…
  • …und mit einem abgewandelten Android System nicht alle Daten gleich bei Google deponieren.

Signal: Die Sichere APP als Ersatz für Telefon, SMS und Datei-Austausch

Mit Signal können Nutzer verschlüsselte Nachrichten, Bilder und Videos verschicken und auch sicher telefonieren. Alle Daten sind Ende-zu-Ende verschlüsselt, das gilt auch für Gruppenchats. Zwar können Justizbehörden und Geheimdienste weiter herausfinden, WER die App benutzt. Aber mit wem man was kommuniziert, das lässt sich nicht herausfinden.

Signal ist werbefrei. Die kostenlose App gibt es für iOS- sowie für Android-Geräte. Und sie wird auch von Edward Snowden empfohlen. Update 10.4.2016: Die US-Regierung hat von Signal auch Infos zu den NutzerInnen eingefordert – aber viele Infos können aufgrund des Designs der App gar nicht weitergegeben werden, weil sie schlicht nicht gespeichert werden (hier die Details).

Eine weitere Alternative, mit der man allerdings nicht telefonieren kann, ist die Schweizer App Threema. Dafür hat Threema ein Doodle-ähnliches Abstimmungs-Feature. Threema ist nicht kostenlos, dafür ist es nicht nur für iOS und für Android, sondern auch für Windows Phone und mit eingeschränkter Funktionalität auch für Blackberry verfügbar. Die 2 Euro (iOS und Windows Phone) resp. 3 Euro (Android) sind gut investiert.

Der Nachteil: Auch Deine Kommunikationspartner müssen die App installiert haben. Und beim Telefonieren übers Internet verbraucht man Datenvolumen. Eignet sich also vor allem für Abos mit unlimitiertem oder grosszügigem Datenvolumen. Ich möchte der Vollständigkeit halber auch auf die kritischen Bemerkungen eines Sicherheitsexperten zu Signal verlinken. 

Sicher mailen – mit Pretty Easy Privacy bald einfach möglich.

Aktuell ist das Verschlüsseln von Mails relativ kompliziert. Eine Ausnahme sind hier Provider, welche die Verschlüsselung von Anfang an einbauen. Z.b. der Schweizer Anbieter Protonmail. Aber das heisst auch, dass man die Email-Adresse wechseln muss. Für alle, denen das nix ausmacht, sicher die einfachste Variante, umso mehr, als Protonmail nicht nur Webmail, sondern auch eine App für Android und iOS anbietet.

Wer seine bisherige Email-Adresse weiter benutzen will, muss PGP (Pretty Good Privacy) respektive die offene Implementierung GPG (Gnu Pretty Good Privacy) nutzen. Das ist – ehrlich gesagt – ziemlich kompliziert, auch wenn es mit GPG4Win zumindest eine Windows-Installation gibt, welche alle notwendigen Programme auf einmal installiert. Auch für Macs existiert die Installation GPGTools, welche den Umgang mit GPG erleichtert (Stand 27.9.2016 ist das Plugin für die Apple Mail-App allerdings noch nicht kompatible mit MacOS Sierra). Leider gilt aber auch nach der Installation dieser Helferlein: verschlüsselt Mailen bleibt auch damit mühsam.

Abhilfe verspricht hier das Projekt Pretty Easy Privacy. Dieses Projekt hat ein einfaches Ziel: all die komplizierten Regeln und Abläufe von GPG in einem Programm zu automatisieren. Und zwar für Mails auf dem Handy ebenso wie im häufig verwendeten Outlook. Währenddem Pretty Easy Privacy für Mobile bereits für Android und für iOS verfügbar ist, gibt es Pretty Easy Privacy für den Desktop erst für Outlook unter Windows (knapp 20 Euro für 1 Jahr, 45 Euro für 3 Jahre).

Hinweis: die Metadaten, also wer wann von welcher IP aus mit wem kommunziert, fallen hier natürlich weiterhin an. Und wenn man dazu noch sprechende Betreffzeilen unverschlüsselt mailt, kann man sich den Aufwand fürs Verschlüsseln eher sparen 😉 …

Anonym surfen ist schwierig. Spurenarm surfen weniger.

Wer wirklich anonym surfen will, nutzt sinnvollerweise eine Kombination von VPN (Virtual Private Networks) und Tor. Nachdem Tor lange als sicher galt, sind unterdessen hier auch Zweifel aufgetaucht. Allerdings gilt: anonym zu surfen ist weiterhin kompliziert. Und mit deutlichen Einschränkungen verbunden. Einfacher ist es dagegen zumindest spurenarm zu surfen. Damit werden vorab die privaten Datensammler, welche aus unserem Nutzerverhalten Geld machen, deutlich behindert. Für Geheimdienste ist es aber kein Problem, die besuchten Websites und je nachdem auch die abgefragten Inhalte herauszufinden. Ein Artikel der Digitalen Gesellschaft Schweiz erklärt, wie man mit Chromium spurenarm surft:

Spurenarm surfen mit Chromium

Immer wieder gibt es auch Hardware-Projekte, welche versprechen, mit einem entsprechend vorkonfigurierten Router die Benutzung von VPNs und TOR einfacher zu machen. Aktuell z.B. das Kickstarter-Projekt Betterspot. Dass man da allerdings direkt bei einer NSA-Tarnfirma einkauft, ist  nicht auszuschliessen…

Disclaimer: Hier noch ein Warnhinweis!

Die hier angebotenen Dienste habe ich nach bestem Wissen und Gewissen ausgesucht. Ich habe aber weder das Wissen noch die Zeit zu überprüfen, ob in den – offengelegten – Sourcecodes allfällige Hintertüren eingebaut sind. Zudem gilt, dass diese Verschlüsselungs-Programme nur den Nachrichtentransport im Internet verschlüsseln. Wenn das Endgerät, ein Computer, Laptop, Tablet oder Handy, mit einem Virus (zB mit einem Staatstrojaner) infiziert sind, dann werden direkt die Tastatureingaben abgefangen – und alle nachträgliche Verschlüsselung bringt nix. Immerhin: wenn Du Dich nicht besonders verdächtig machst, wird wohl kein Staatstrojaner auf Deinen Geräten installiert. D.h. mit wenig Aufwand kannst Du immerhin dafür sorgen, dass Deine Online-Kommunikation nicht offen wie Postkarten erfolgt. Sondern nur mit grossem und auf Dich persönlich gerichteten Aufwand entschlüsselt werden kann.

Mehr Sicherheit auch gegen Trojaner: Live-Linux TAILS

UPDATE 27.9.2016

Verschiedene Leser meines obigen Beitrags haben darauf hingewiesen, dass das sicherste Mittel gegen einen Staatstrojaner ein unveränderbares Live-System ist, das ab einem USB Stick oder von direkt von einer unveränderbaren DVD gestartet werden kann. Ein solches System ist TAILS, ein Live-Linux-System. Allerdings ist es auch hier wichtig, die Grenzen eines solchen Systems zu kennen.

Ein Android-Handy, das nicht dauernd zu Google „heimtelefoniert“

Wer ein Android-Handy hat, wird automatisch ins Google-Universum eingebunden. Gleich zu Beginn muss man sich bei Google anmelden – und das Handy wird ganz viele Daten ohne unser Zutun an Google weiterleiten. Wer das nicht will, kann andere Android-Systeme auf seinem Handy installieren. Allerdings ist das für technisch Ungeübte nicht ganz einfach, auch wenn es verständlich formulierte Anleitungen gibt. Ich weise aber ausdrücklich darauf hin, dass ich keinerlei Garantien übernehmen kann, dass das Mobiltelefon nach diesen Schritten noch funktioniert. Gewisse Modelle erschweren das „Rooten“ auch oder verunmöglichen es sogar.

Die Tipps der Electronic Frontier Foundation EFF

https://www.eff.org/secure-messaging-scorecard

Übrigens: Gerne nehme ich weitere Tipps auf!