Sichere elektronische Kommunikation und verschlüsselte Rechner
Stand Mai 2016
Elektronische Kommunikation ist auch in politischen Zusammenhängen unerlässlich. Allerdings ist dabei eine sichere Verschlüsselung des Datenverkehrs ein absolutes Muss. Das beginnt bei strafrechtlich relevanten Inhalten und endet bei scheinbar trivialen Nebensächlichkeiten. Schließlich interessiert sich der Staatsschutz nicht nur für juristisch zu bewertende Kommunikationsinhalte, sondern auch (bzw. vor allem) für Hintergrundinformationen über politisch agierende Strukturen und Zusammenhänge. Eine Unterscheidung zwischen „harmlosen“ und „heißen“ Inhalten ist deshalb nicht sinnvoll. Prinzipiell sollte überhaupt die gesamte – auch private – elektronische Kommunikation verschlüsselt ablaufen. Die oft geäußerte Meinung „was wollen die schon mit diesen Infos anfangen, ich habe nichts zu verbergen“ ist für die politische Praxis schlicht ungeeignet. Es geht nicht darum, was der Staatsschutz ggf. dir konkret anhängen kann, sondern darum, dass die Spitzel Informationsbruchstücke über unsere Strukturen mosaikartig zusammensetzen.
Im Folgenden deshalb einige Basics (Stand Mai 2016), die zum Teil sehr technisch werden (müssen). Technische Entwicklungen geschehen sehr schnell. Halte dich auf dem Laufenden und entwickel ein Bewusstsein für die Angriffsmöglichkeiten, die den Repressionsorganen offenstehen.
Wie immer gilt: Auch die besten technischen Schutzvorkehrungen schützen nicht vor Anwendungsfehlern. Du solltest grob verstehen, was genau du tust und welchem Schutzniveau das entspricht (und wo die jeweiligen Grenzen liegen). Wer ein sehr hohes Schutzniveau benötigt, muss die verschiedenen Facetten der technischen Details verinnerlicht haben und sich permanent auf dem Laufenden halten.
Falls du Probleme beim Installieren und Bedienen der Programme oder Fragen zu Computersicherheit usw. hast, kannst du dich an die regionalen hackerspaces und CCC-Gruppen wenden.
Per Mail (pgp)
Für die verschlüsselte Kommunikation per Mail ist Open PGP der weltweit am meisten verbreitete Standard und vollständig lizenzfrei. Das PGP-Protokoll (PGP steht für „pretty good privacy“) verwendet so genannnte public-key-cryptography. Es definiert also Standard-Formate für austauschbare öffentliche Schlüssel um Nachrichten, Signaturen und Zertifikate verschlüsselt zu versenden. Dafür werden zwei elektronisch erzeugte Schlüssel verwendet – ein so genannter public-key (der öffentlich zugänglich sein kann) und ein privater Key (der geheim bleiben muss). Wenn du sicher kommunizieren willst, musst du nur mit deinen Kommunikationspartner*innen die jeweils öffentlichen Schlüssel austauschen (z.B. per Anhang zur Mail) und los geht’s. Wie genau das funktioniert, findest du hier.
Die Installation und Bedienung ist recht einfach, wenn das Verschlüsselungs-Programm mit einem E-Mail-Programm zusammen verwendet wird. Es geht aber auch ohne E-Mail-Programm, dann ist die Bedienung etwas umständlicher. Die am häufigsten verwendete Konstellation besteht aus:
-
Gnupg als lizenzfreie pgp-Verschlüsselungssoftware (sorgt für die Ver- und Entschlüsselung)
-
Thunderbird als E-Mail-Programm
-
Enigmail als Add-on für Thunderbird (automatisiert und vereinfacht die Bedienung indem es das Gnupg mit dem Thunderbird verbindet.)
Alle diese Programme gibt es als Freeware für die gängigsten Betriebssysteme. Nach der Installation lässt sich alles in gewohnter Optik von der Thunderbird-Oberfläche aus bedienen. Es gibt selbstverständlich aber auch andere Konstellationen aus Programmen.
Per xmpp-Server (Jabber)
Eine andere Möglichkeit verschlüsselt zu kommunizieren, ist per Jabber – auch xmpp-Protokoll genannt. Dieses Protokoll wird für Instant-Messaging – also Echtzeitkommunikation per Chat – genutzt. Weltweit gibt es mehrere tausend XMPP-Server (die meisten davon kommerziell). Einige Privatpersonen, aber auch Zusammenschlüsse wie der Chaos Computer Club (CCC) betreiben eigene Server ohne kommerzielle Absicht. Die Kommunikation läuft allerdings über angreifbare Server und ist deshalb alleine noch nicht sicher. Erst wenn beide Chat-Partner*Innen zusätzlich ein OTR-Add-on installiert und aktiviert und sich gegenseitig autorisiert und verifiziert haben, ist die Übertragung von Anfang bis Ende verschlüsselt. Sie kann auch dann nicht mitgelesen werden, wenn ein Server angezapft werden sollte.
Dazu brauchst du:
-
eine Chat-Software für xmpp-Protokoll (z.B. pidgin, gaijm)
-
eine OTR-Erweiterung für das Chat-Programm (z.B. bei https://otr.cypherpunks.ca/)
-
einen Jabber-Account bei einem xmpp-Server (z.B. CCC)
Wichtig: Nach der Installation der Chat-Software und der OTR-Erweiterung muss noch die Protokollierungsfunktion des Chat-Programms ausgeschaltet werden (über Einstellungen). Falls nicht, werden deine Chats mitgeschnitten und im Rechner gespeichert – blöd, wenn der Rechner in die falschen Hände gerät. Auch sehr wichtig zu wissen: Es ist per Jabber auch möglich, Dateien zu übertragen – allerdings nur unverschlüsselt (auch mit installiertem OTR). Zum Dateien übertragen ist Jabber daher kein geeigneter Weg – sicher verschlüsselt geht das nur per pgp-verschlüsselter Mail (siehe oben).
Per Telefon
Telefone (und ganz besonders Smartphones) sind generell kritische Angriffspunkte, die auch immer wieder von den Verfolgungsbehörden angezapft, beschlagnahmt und ausgewertet werden. Gegen das Mitschneiden von geführten Telefonaten, SMS-Inhalten und gegen die Positionsbestimmung deines Mobiltelefones kannst du dich technisch generell nicht schützen. Da hilft nur eines: keine politischen Inhalte übers Telefon – lieber mal ein Spaziergang im Wald!
Auch die meisten Smartphone Messenger wie z.B. Whats-App sind keine sicheren Übertragungswege – auch dann nicht, wenn sie Verschlüsselung anbieten. Schließlich ist die dahinter stehende Software in den meisten Fällen unbekannt, da die Konzerne die Programmcodes nicht offenlegen. Kaum jemand kann beurteilen, wie sicher diese Apps tatsächlich arbeiten. Open source- Alternativen für Messenger gibt es wenige. Stand Frühjahr 2016 wäre das Signal (für Android und i-OS).
Diese App bietet OTR-Verschlüsselung (Nachrichten sind also auch beim Passieren des Servers verschlüsselt) und verschlüsselt immerhin ihre erzeugten Daten im Gerät. Der Sicherheitsstandard dieser App-Software ist brauchbar und kann sogar zum verschlüsselten telefonieren genutzt werden.
Ein großer Nachteil ist, dass auch die sicherste App über ein unsicheres Betriebssystem des Mobiltelefones angreifbar ist – z.B. wenn Trojaner auf das Gerät geschleust werden. Da sich open-source-Betriebssysteme für Mobilgeräte noch nicht durchgesetzt haben, ist man auf Android und iOS angewiesen. Damit sehen wir die Sicherheit von Datenübertragungen via Mobiltelefon nur als eingeschränkt gegeben.
Generell: In unseren Augen sind Telefone (und ganz besonders Smartphones) keine sicheren Geräte, auch wenn man sie teilweise verschlüsseln kann. Daher sollten mit ihnen keine politischen Informationen ausgetauscht werden und sie gehören nicht auf politische Versammlungen wie Plena, Demos usw. Zu vielfältig sind die Zugriffsmöglichkeiten der Cops – sei es verdeckt durch heimliche Bespitzelung oder offensiv durch Beschlagnahmung und Auswertung des Gerätes. Zu vielfältig und sensibel sind auch die gespeicherten Daten (Telefonnummern, Adressen, Terminkalender, Fotos, Videos, …), die im Zweifelsfall in die falschen Hände geraten. Wenn du es gar nicht lassen kannst, dann nutze wenigstens die oben genannten Messenger-Apps – das ist immer noch sicherer. Du solltest dabei allerdings technisch auf der Höhe der Zeit sein und etwas Hintergrundwissen mitbringen. Das größte Sicherheitsrisiko sind immer noch die guten alten Anwendungsfehler aus Unwissenheit oder Überheblichkeit. Absolutes Basic sollte es sein, dass deine Programme immer auf neuestem Stand aktualisiert sind.
Per Tor
Ein großer Teil der digitalen Kommunikation identifiziert die Anwender*innen über die sogenannte IP (Internet Protocol)-Adresse. Ein Router, über den du ins Netz gehst, bekommt diese IP-Adresse vom Internetanbieter zugewiesen. Die IP-Adresse wird bei jeder Netzaktivität über ein standardisiertes Protokoll (lesbar) mitgeschickt. Dein Surfen, Chatten oder Mailen ist grundsätzlich mit der Identität und Lokalität dieses Routers nachvollziehbar verknüpft und damit deiner Person zuzuordnen.
Mit der Benutzung der Tor-Software verschleierst du deine elektronische Identität beim Surfen im Internet, indem die Anwahl der jeweiligen Internetseite über drei Zwischenstationen (Tor-Rechner) geleitet wird. Dabei kennt keiner der drei Tor-Rechner den kompletten Pfad von deinem Rechner bis zum Zielserver. Der Inhaber des Servers, auf dem die Zielseite liegt (oder ein dort mitlesender Schnüffler) erhält nicht deine IP-Adresse, sondern die des Tor-Exit-Rechners. Zwar ist erkennbar, dass es sich hierbei um einen Rechner des Tor-Netzwerkes handelt, aber Identität und Lokalität des Ursprungs-Rechners sind nicht rekonstruierbar. Das gilt allerdings nur so lange, wie der Inhalt deiner Kommunikation dich nicht verrät (z.B. indem du dich bei einem dir zuzuordnenden Account einloggst oder dein Mailprogramm nicht mit Tor verknüpft hast). In diesem Fall gibst du natürlich einem möglichen Schnüffler deine Identität preis, bleibst aber zumindest nicht lokalisierbar.
Tor steht als kostenlose open-source-Software für Mac-, Windows- und Linux-Rechner zur Verfügung (https://www.torproject.org). Beim Umgang mit Tor ist generell zu beachten, dass sämtliche Programme, die auf das Intrenet zugreifen (Mailprogramm, Jabber, etc.) mit dem Tor-Netzwerk gesondert verknüpft werden müssen.
Der verschlüsselte Rechner
Nicht nur beim Übertragen von Daten ist Verschlüsselung erforderlich – auch der Ort auf dem die Daten entstehen und gespeichert sind, muss verschlüsselt sein. Rechner verschlüsseln – das geht mit allen Betriebssystemen. Ob Windows, Ubuntu oder Mac: gängige und einfach zu bedienende open-source-Programme gibt es einige. Bekannt ist z.B. das (manchmal als True-Crypt-Nachfolger bezeichnete) Vera-Crypt. Auch Speichermedien wie USB-Sticks und externe Festplatten können mit solchen Programmen verschlüsselt werden. Mit den Daten kann dann im Falle einer Beschlagnahme durch Ermittlungsbehörden (oder auch falls das Gerät geklaut wird) keine*r etwas anfangen – zumindest solange das Passwort sicher genug ist.
Bei der Verschlüsselung gibt es verschiedene Varianten:
-
Vollverschlüsselung des Rechners inkl. System-Partition – d.h. inklusive des Betriebssystems, aller Programme und deiner Dateien.
-
Eine Nicht-System-Partition verschlüsseln – d.h. z.B. eine vorher eingerichtete Daten-Partition oder ein separates Laufwerk werden vollständig verschlüsselt. Die Partition des Betriebssystems und die installierten Programme bleiben unverschlüsselt.
-
Einen verschlüsselten „Container“ einrichten. Dieser „Container“ sieht aus wie eine Datei und kann an jedem beliebigen Ort des Rechners gespeichert werden. Dahinter verbirgt sich ein verschlüsselter Bereich, der zur Speicherung von sensiblen Daten (wir empfehlen: allen Daten) genutzt werden kann.
Die Vollverschlüsselung ist selbstverständlich die sicherste Variante und kann (je nach verwendetem Betriebssystem – z.B. bei macOS oder Windows) oft auch nachträglich installiert werden, ohne dass Daten verloren gehen oder bereits installierte Programme neu aufgesetzt werden müssen. Bei Verwendung von Linux als Betriebssystem muss die Verschlüsselung von Anfang an eingerichtet werden, bzw. sollte eine komplette Neuinstallation des gesamten Rechners (inkl. aller Programme) erwogen werden.
Bei den anderen Varianten (Teilverschlüsselungen) muss beachtet werden, dass die System-Partition unverschlüsselt bleibt. Das bedeutet, dass temporäre Dateien, Cache-Dateien, swap-Speicher etc. (die vom Betriebssystem ungefragt angelegt bzw. beschrieben werden) unverschlüsselt bleiben. Das betrifft auch Dateifragmente sowie gelöschte Dateien, die durch professionelle Auswertung der Festplatte in den allermeisten Fällen wieder hergestellt werden können. Auch spezielle Löschprogramme geben keinen vollumfassenden Schutz dagegen, da sie i.d.R. nicht alle Dateifragmente erwischen.
Generell: Eine nicht optimale Verschlüsselung ist immer noch um Längen besser, als keine Verschlüsselung! Ihr müsst euch nur entsprechend euren Kenntnissen und Fähigkeiten für eine der drei Varianten entscheiden oder ihr lasst euch z.B. von den Cracks eures Vertrauens helfen. Übrigens: Auch Mobiltelefone lassen sich verschlüsseln.
Zuletzt: Die Sicherheit der Verschlüsselung steht und fällt mit der verwendeten Passphrase. Dabei ist vor allem die Länge entscheidend – derzeit (Frühjahr 2016) werden mind. 20 Zeichen empfohlen. Dabei ist vor allem die Länge der Passphrase entscheidend, weniger ob Sonderzeichen enthalten sind. Es spricht wenig dagegen, sich einen möglichst sinnfreien Satz zu überlegen und mit einigen Sonderzeichen sowie Groß-/ Kleinschreibung gespickt als Passphrase zu verwenden. Die einzelnen Wörter des Satzes dürfen auch tatsächlich vorkommende Wörter sein, solange die Passphrase nicht nur aus EINEM tatsächlich existierenden Wort besteht. Leicht zu erratende oder oft vorkommende Passwörter sind selbstverständlich tabu. Abgesehen von „admin“, „default“, „ACAB“ oder „geheim“ ist also eine leicht zu merkende möglichst lange Passphrase besser, als ein kryptisches Passwort zu setzen und sich dieses dann irgendwo unverschlüsselt aufzuschreiben und aufzubewahren.
Höhere Schutzniveaus
Die Liste der technisch zu beachtenden Details beim Umgang mit Rechnern und elektronischer Kommunikation ist lang. Je nach dem, welches Sicherheitsniveau von der Anwender*in benötigt wird, sind ggf. stärkere Sicherheitsvorkehrungen zu treffen.
Es gibt beispielsweise die Möglichkeit Tails (ein sog. Live-Betriebssystem) zu verwenden. Dieses wird von einer DVD oder einem schreibgeschützten USB-Stick gestartet und läuft ausschließlich im Arbeitsspeicher des Rechners. Solange du während der Sitzung keine Dateien auf der Festplatte des Rechners speicherst, hinterlässt die Sitzung keinerlei Spuren im Rechner. Durch den Schreibschutz der DVD bzw. des USB-Sticks ist es zudem sehr viel schwerer, dir während der Sitzung einen Trojaner unterzuschieben. Die sichere Anwendung ist allerdings an einige Verhaltensregeln geknüpft.
Für alle, die ein höheres Schutzniveau benötigen, sei deshalb die sehr ausführliche Tails-Anleitung wärmstens empfohlen. Dort finden sich auch sehr viele weitere Infos, sowohl zu den oben schon angesprochenen Themen (Tor, pgp, verschlüsselte Rechner, Passwortwahl), als auch zu weiteren Themen wie z.B. sicheres Löschen von Dateien, Verwendung von externen Laufwerken, Vor- und Nachteile von unterschiedlichen Speichermedien und auch interessante Aspekte zu den Grenzen der technisch herstellbaren Sicherheit.