Datensicherheit

BR

Datenschutz im Netz: Verschlüsselung für alle!

Eigentlich sollte man seine Kommunikation im Netz ja verschlüsseln – aber das ist aufwändig. Viele tüfteln deshalb an einer nutzerfreundlichen Lösung: die einen an einem Plugin, die anderen an einem Mini-Rechner. Wir haben drei Ideen getestet.

Liest jemand mit? Seit der NSA-Affäre bleibt ein ungutes Gefühl beimKommunizieren im Netz. Viele würden ihre Nachrichten lieber verschlüsseln – aber Kryptographie ist umständlich und benötigt Zeit, die man im Alltag oft nicht hat. Also lassen es viele ganz bleiben.

Zahlreiche Projekte wollen das Verschlüsseln nun nutzerfreundlicher machen. Sie haben drei Dinge gemeinsam: Erstens gehen die Macher davon aus, dass Provider angreifbar sind. Deshalb setzen sie auf Ende-zu-Ende-Verschlüsselung, das heißt, dass die verschlüsselten Nachrichten direkt von Gerät zu Gerät wandern. Der Grund: Viele E-Mail-Provider bieten zwar automatische Verschlüsselung an. Kritiker wenden aber ein, dass die Daten nur auf dem Weg zum Rechenzentrum verschlüsselt werden – auf dem Server selbst liegen sie unverschlüsselt herum. Zwar nur für kurze Zeit, dennoch könnten sie dadurch unter Umständen mitgelesen werden.

Zweitens greifen die Projekte auf bereits vorhandene Verschlüsselungsprogramme zurück – das heißt auf solche mit einem öffentlichen und einem persönlichen Schlüssel. Diese Systeme funktionieren vereinfacht gesagt so: Den öffentlichen Schlüssel (public key) kann man sich wie ein offenes Vorhängeschloss vorstellen. Der Sender kann es schließen – allerdings nicht wieder öffnen. Mit diesem public key codiert der Sender seine Nachricht, er kann sie aber nicht wieder decodieren. Das geht nur mit dem persönlichen Schlüssel (private key), und den hat nur der Empfänger. Asymmetrische Verschlüsselung nennt sich das.

Die dritte Gemeinsamkeit: Die Projekte legen aus Prinzip ihren Quellcode offen, um Missbrauch vorzubeugen. Wir stellen euch drei der neuen Verschlüsselungsideen vor.

Das Plugin „Pretty Easy Privacy“ (PEP)

Klar gibt es bereits Messenger mit Ende-zu-Ende-Verschlüsselung – man denke an Threema und Co. Nur was nützt das, wenn die meisten Freunde weiterhin bei den großen Anbietern wie Whatsapp bleiben? Volker Birk, Softwarearchitekt und Aktivist des Schweizer Chaos Computer Club, hat deshalb ein Plugin entwickelt, das die Chats und Nachrichten bei Whatsapp, Facebook, Instagram und Co. verschlüsseln soll. Sobald „Pretty Easy Privacy“ (PEP) installiert ist, läuft es im Hintergrund und durchforstet den Rechner nach bereits vorhandenen Kryptographie-Systemen. Wenn es nichts findet, greift es zum Beispiel auf das freie System GNU-Privatsphärenschutz zurück und besorgt das benötigte Schlüsselpaar selbst. Nur wenn PEP gar nichts findet, werden die Daten unverschlüsselt gesendet. Birk plant, dass der offene Quellcode regelmäßig von Experten gecheckt wird. So soll ein Hintertürchen verhindert werden. Das Crowdfunding für PEP läuft noch.

Der Minirechner „Kinko“

Kinko ist ein Minirechner, der als eigener kleiner E-Mail-Server samt dynamischem Domainnamen fungiert. Die kleine Box soll zwischen Computer und Internet geschaltet werden und dann automatisch alle ausgehenden E-Mails codieren. Kinko verwendet dafür kryptographische Programme wie GnuPG, OpenSSL und SSH. Auch Smartphone oder Tablet sollen über das Internet auf die Kinko-Box zugreifen können. Die Software hinter Kinko ist frei und Open Source. Das Crowdfunding für das Projekt aus Berlin läuft noch.

Die Software „Qabel“

Das Projekt „Qabel“ aus Hannover soll Chats, geteilte Dateien und Adressbuch verschlüsseln, später soll auch E-Mail dazukommen. Alles, was der Nutzer aus der Software heraus verschickt, wird asymmetrisch verschlüsselt – und zwar direkt auf dem Rechner des Senders. Die Macher versprechen, dass so an keiner Schnittstelle mitgelesen werden kann. „Auf unseren Servern und im Internet erscheinen die Daten aller unserer User nur als sinnlose Bithaufen, mit denen niemand etwas anfangen kann“, heißt es auf der Projektseite. Falls Qabel einen Text nicht verschlüsseln kann, fragt das Programm, ob es ihn mit dem freien Kryptographie-System PGP codieren soll. Geht auch das nicht, werden die Daten unverschlüsselt verschickt. Qabel läuft aus Prinzip nicht auf dem iOS, weil die Macher die Plattform von Apple für zu unsicher halten. Qabel ist Open Source, das Crowdfunding bereits abgeschlossen. Die Software läuft jetzt in der Beta-Phase.

NSA überwacht Erlanger Student: Mit TOR auf die Überwachungsliste

Er will anderen helfen, im Netz anonym zu bleiben – und wird deswegen selbst von der NSA ausspioniert. Kein Politiker, kein Lobbyist, sondern einer von uns: Ein Student aus Erlangen ist nach der Kanzlerin das zweite namentlich bekannte deutsche NSA-Opfer. Ein Beitrag von Max Muth.

Eigentlich kennt er sich aus mit der Abhör-Abwehr im Netz: Sebastian Hahn studiert Informatik in Erlangen. Im Herbst entwickelte er das Sicherheitskonzept für die Tagung seiner Fakultät. Darin ist er Experte und betreibt selbst einen Server im Netzwerk des Internet-Anonymisierers TOR.

TOR steht für „The Onion Router“, also Zwiebel-Router, und das beschreibt eigentlich ganz gut, wie TOR funktioniert. Informationen, die über TOR transportiert werden, befinden sich im Inneren von mehreren Zwiebelschichten. Jede Zwiebelschicht ist dabei ein Server, über den der Internetverkehr geleitet wird. Wenn in Nürnberg jemand den TOR-Browser benutzt, dann kann es sein, dass seine Anfrage zuerst an einen Server in Schweden, dann über Russland nach Südafrika zu seinem Endpunkt geleitet wird. Dort ist nicht mehr nachzuvollziehen, wer das Signal urspünglich geschickt hat.

Sebastian Hahn wollte also anderen helfen, im Netz anonym zu bleiben und hat sich selbst damit auf die Überwachungsliste der NSA gebracht. Denn TOR oder ähnliche Dienste sind für Menschenrechtsaktivisten in Ländern mit autoritären Regimen wie Iran und Syrien unverzichtbar. Sie können Leben retten. Der NSA aber sind sie ein Dorn im Auge. Eine Präsentation aus dem Fundus von US-Whistleblower Edward Snowden befasst sich komplett mit Möglichkeiten, TOR auszuspähen. Überschrieben ist das Paper mit „TOR stinks“.

Um trotzdem an Informationen über TOR-Nutzer zu kommen, überwacht die NSA laut Informationen von NDR und WDR mehrere Server, die TOR-Sympathisanten zur Verfügung stellen. Menschen, denen Privatsphäre und Freiheit wichtig sind. Menschen wie Sebastian Hahn. Die IP-Adresse des von ihm betriebenen Servers taucht im Quell-Code der NSA-Software XKeyscore auf. In dem stehen die Regeln, nach denen das Programm das Internet nach Informationen absucht. Der Server mit dem Namen „gabelmoo“ und der IP-Nummer 212.112.245.170:443 gehört Sebastian Hahn.

„Dass alle Verbindungen, die ich mit einem Server, den ich selber in Deutschland betreibe, von einem ausländischen Geheimdienst mitgeschnitten werden, ist ein Rieseneingriff in meine Privatsphäre“, sagte Sebastian dem ARD Morgenmagazin.

Weitere Interviews will Sebastian jetzt nicht mehr geben, im Internet hat er aber auf die wichtigsten Fragen geantwortet. Dort schreibt er, dass er nicht besonders überrascht ist, dass das TOR-Netzwerk Ziel der NSA-Agenten wurde. Aber dass einfach alle Serverbetreiber überwacht werden, findet er ziemlich dreist. Von den Medien wird Sebastian jetzt als zweites namentlich bekanntes Opfer der NSA nach Angela Merkel bezeichnet. Den Vergleich mit der Bundeskanzlerin findet er nicht sehr gelungen, schließlich wurde nicht sein Handy abgehört. Aber mit welcher Selbstverständlichkeit Geheimdienste Unschuldige in den Fokus nehmen, das schockiere ihn schon.

Weitermachen mit seinem Engagement für das freie Internet will Sebastian trotzdem. Auf die Frage, was er für Konsequenzen aus dem Angriff auf seine Privatsphäre zieht, schreibt er: „Ich fühle mich bestätigt auf meinem Weg. Nur durch aktives Handeln lässt sich unsere Demokratie langfristig verteidigen. Demokratie braucht Privatsphäre und Sicherheit in der Kommunikation.“

Autor dieses Beitrages ist Max Muth. Den Original-Artikel finden Sie bei PULS, dem jungen Programm des Bayerischen Rundfunks.

 

Günstige Versicherungen: Nur noch für die Braven?

Amerikanische Versicherungen arbeiten schon an Modellen, wie sie mit Hilfe von Big Data die Gesundheitsrisiken oder die Lebenserwartung möglicher Kunden berechnen können. Vieles, was Menschen im Netz tun, lässt Rückschlüsse auf ihren Lebensstil zu. Essen sie Fast Food, machen sie genug Sport?

Older Posts