Thema – Internet

Suchen Newsletter ABO Mediathek

Safety first

Im Internet gibt es kein „sicher“, aber es gibt ein „sicherer“. Wie du mit Ende-zu-Ende-Verschlüsselung weitgehend verhindern kannst, dass Stalker, Betrüger oder die NSA mitlesen

Verschlüsseln

Ob im 1:1-Chat mit Freunden oder beim Mailverkehr mit der Bank: Wer über das Internet kommuniziert, muss damit rechnen, dass jemand mitliest. Die Daten werden schließlich nicht direkt von Gerät zu Gerät verschickt, sondern über eine Reihe von zwischengeschalteten Servern, die vor Stalkern oder Kreditkartenbetrügern nur bedingt sicher sind. Auch so mancher Geheimdienst interessiert sich für die (politischen) Aktivitäten von Internet-Usern. 

Wie bei einem Fahrradschloss geht es bei Verschlüsselung darum, einen Angriff möglichst unattraktiv zu machen, indem man den Aufwand zum Knacken erhöht

Wer seine Unterhaltungen privat halten will, kann sich entweder aus dem Internet verabschieden – oder aber er versucht, sie zu verschlüsseln. Hier gibt es ganz verschiedene Wege. Gerade groß in der Diskussion: Die „Ende-zu-Ende-Verschlüsselung“. Das Verfahren verwandelt Nachrichten in einen unverständlichen Datenwust, der sich nur schwer entziffern lässt – außer der Empfänger hat den passenden Schlüssel. Lange war die Umsetzung eine komplizierte Angelegenheit, in letzter Zeit aber wird die Verwendung einfacher – und damit die Chance größer, dass auch Otto Normaluser auf sichere Kommunikation umsteigt. 

Bei alldem gilt: Kein System ist komplett vor Angriffen geschützt, es besteht immer ein Wettlauf zwischen Angreifern und Softwareentwicklern. Ist eine Software Open Source, ist also der Quellcode für die Öffentlichkeit einsehbar, können „gute“ Hacker und Softwareaktivisten Schwachstellen entdecken, bevor es andere tun, und diese melden – ansonsten muss man sich darauf verlassen, dass der Anbieter gut arbeitet. Es gibt also nicht „sicher“, aber es gibt „sicherer“. Es ist nur eine Frage der Zeit, bis Supercomputer einen bestimmten Datenwust entschlüsseln – sie probieren einfach Billionen von Schlüsseln aus. Wie bei einem Fahrradschloss geht es deshalb bei Verschlüsselung darum, einen Angriff möglichst unattraktiv zu machen, indem man den Aufwand zum Knacken erhöht. Wenn es viele verschlüsselte Inhalte gibt, wird irgendwann auch völlig unklar, hinter welchem Schloss intime Informationen oder nur Katzenbilder liegen. 

Und so geht es:

1. Messenger

Die Situation: Über Textnachrichten koordinieren sich sowohl Schulklassen und Kegelvereine als auch Dissidentengruppen. Die verschiedenen Dienste sind aber unterschiedlich sicher. Fangen wir mit dem allerschlimmsten an: der SMS. Sie liegt den Telefonbetreibern offen vor, und die Metadaten werden sogar von der Vorratsdatenspeicherung erfasst.

WhatsApp sendet standardmäßig gut verschlüsselt, gehört allerdings zu Facebook – was Kritiker nicht gerade optimal finden. Facebook interessiert sich dabei vor allem für die sogenannten Metadaten, die nicht verschlüsselt werden und oftmals wichtiger als der Inhalt der Nachrichten sind. Also: Wer kommuniziert mit welchem Gerät wann, von wo und wie oft mit wem? Ob Facebook daraus Bewegungs- und Personenprofile erstellt, ist unklar. Zumindest verbindet der Konzern die Telefonnummern und Daten über die Nutzungshäufigkeit mit den Infos aus den Facebook-Profilen der Nutzer. 

Der Schweizer Messenger Threema gilt hingegen als relativ sicher. Der Account ist dabei nicht zwingend an eine Telefonnummer gekoppelt. Allerdings ist die Software nicht komplett Open Source. Eine Überprüfung des Schweizer IT-Sicherheitsberaters Cnlab Security befand die App 2015 für gut. Telegram, ein weiterer Messenger wie Threema oder WhatsApp, ist hingegen nicht standardmäßig Ende-zu-Ende-verschlüsselt. 

Nicht mehr ganz so geheim ist Signal, das es als Handy- und als Desktop-Version gibt. Auch NSA-Whistleblower Edward Snowden nutzt es angeblich. Aber Achtung: Selbst Signal ist nicht bombensicher, erst im Mai wurden Schwachstellen in der Desktop-Version geschlossen. Trotzdem hat der Messenger einen großen Vorteil: Die App sammelt anders als WhatsApp kaum Metadaten – nur die Telefonnummer, das Registrierungsdatum und das Datum der letzten Verbindung zum Server werden gespeichert. Und verschlüsselt telefonieren kann man mit Signal auch, das geht sonst nur bei Threema.

Der Haken: Ein sicherer Messenger bringt natürlich nur etwas, wenn ihn auch die eigenen Freunde nutzen. Es braucht also eine kritische Masse. Leider ist es gar nicht so einfach, Leute davon zu überzeugen, dass sie einen vierten, fünften oder sechsten Kommunikationskanal installieren sollen, über den dann doch wieder nicht alle erreichbar sind. Threema ist außerdem nicht kostenlos, Signal wiederum hat keine Sticker. Letztlich geht es aber auch um Vertrauen zum Anbieter – denn trotz Ende-zu-Ende-Verschlüsselung sind die Metadaten bei allen Apps unverschlüsselt. Experten nennen das Scheinsicherheit.

2. E-Mail-Kommunikation

Die Situation: Unverschlüsselte Mails sind ungefähr so sicher wie eine Postkarte – jeder, der sie in die Hand bekommt, kann einfach mitlesen. Dabei gibt es schon recht einfache Ende-zu-Ende-Verschlüsselung für Mails wie etwa die Thunderbird-Erweiterung „Enigmail“. Sie automatisiert fast alle Schritte. Enigmail verwendet den PGP-Standard, das steht für „Pretty Good Privacy“. Dass die Verschlüsselung tatsächlich nur „pretty“, also „ziemlich“ gut ist, zeigte sich im Mai, als große Sicherheitslücken bekannt wurden.

Privatsphäre sollte nicht nur „ziemlich gut“ sein, sondern auch „ziemlich einfach“ zu erreichen, findet die recht junge Schweizer pEp-Initiative und fordert deshalb „pretty Easy privacy“. Ihre Vorhaben stellte die Initiative unter anderem im Mai bei der Netzkonferenz re:publica vor.

Die pEp-Vertreter fordern „Privacy by Default“: Verschlüsselung soll nicht ein Ausnahmezustand, sondern der Standard sein. Läuft pEp, wird ins Mailprogramm eine ampelartige Farbcodierung eingebunden, die zeigt, ob und wie gut eine Mail verschlüsselt ist. 

pEp gibt es aktuell für Outlook und für das Android-Betriebssystem. Im Rahmen des Enigmail-Plug-ins soll es auch für Thunderbird kommen, die iOS-Version für Apple-Geräte ist noch in der Betaphase. 

Der Haken: Ob das pEp-Team alle seine Vorhaben so easy und vor allem sicher umsetzen kann wie geplant, ist natürlich nicht gesagt. Eine Mail zu verschlüsseln bringt nämlich nur etwas, wenn beide Seiten mitspielen. Nutzt der Empfänger nicht das gleiche Verschlüsselungsprotokoll wie der Sender, wird die Mail ungeschützt verschickt.

3. Browser

Die Situation: Wer surft, kommuniziert nicht immer mit anderen Personen, aber auf jeden Fall mit Servern. Hier geht es weniger um konkrete Inhalte als um die Seiten, die ein User besucht – Daten, aus denen sich Persönlichkeitsprofile erstellen lassen, die mindestens die Werbeindustrie interessieren. Für die Browser-Marktführer Firefox und Chrome (letzterer gehört zu Google) gibt es für die Verschlüsselung einige Browser-Plug-ins, zum Beispiel HTTPS Everywhere, das immer eine verschlüsselte Verbindung zur Webseite erzwingt, wenn diese möglich ist. Die Stiftung Warentest listete im Herbst 2017 das Plug-in uBlock Origin als besten Tracking-Blocker.

Auch der Tor-Browser verspricht anonymes Surfen. Bekannt geworden ist er durch die Berichterstattung über das Darknet, man kann ihn aber auch zum Surfen im herkömmlichen, „Surface Web“ genannten Netz nutzen. Daten werden über mehrere Knotenpunkte in einem Servernetzwerk geschickt und sind so schwerer zurückzuverfolgen und besonders geschützt. Außerdem sind bei Tor schon mehrere Sicherheits-Plug-ins vorinstalliert. Was sich in der Theorie gut anhört, ist in der Praxis nicht immer so sicher. Auch Geheimdienste können Knotenpunkte einstellen und versuchen, den Datenverkehr abzufangen und zu manipulieren, was in der Vergangenheit regelmäßig geschehen ist. Der Bundesnachrichtendienst warnte deswegen 2010 Bundesbehörden, dass die Anonymisierung mittels Tor unwirksam sei. Doch je mehr Menschen mitmachen und selbst Knotenpunkte bereitstellen, umso schwieriger wird es, das Netzwerk zu unterwandern.

Eine weitere Alternative sind Virtual Private Networks (VPN). Sie verschlüsseln nicht nur die Daten, sondern verbergen auch den Standort des Users, er kann also so tun, als wäre er woanders. VPNs empfehlen sich besonders, wenn Nutzer in offenen WLAN-Netzen surfen. Es gibt diverse Anbieter, netzpolitik.org warnt vor Gratislösungen. Mit den meisten Routern lässt sich aber auch für Laien leicht ein VPN über die eigene Internetleitung zu Hause einrichten.

Der Haken: Der Tor-Browser ist langsamer als die meisten anderen Browser. Bei Plug-ins sollte man von Zeit zu Zeit checken, ob sie immer noch so gut sind wie ihr früherer Ruf. Auch VPNs machen das Surfen meist langsamer und müssen vor allem erst mal eingerichtet werden. Noch müssen sich Nutzer also entscheiden: Datenschutz oder Bequemlichkeit.

Noch unsicher? Viele weitere Tipps gibt es im Kleinen Einmaleins der digitalen Selbstverteidigung von netzpolitik.org.

GIFs: Anthony Antonellis 

Dieser Text wurde veröffentlicht unter der Lizenz CC-BY-NC-ND-4.0-DE. Die Fotos dürfen nicht verwendet werden.