Immer wieder erreichen mich Fragen, was man selber tun kann, um sich vor Eingriffen in die Privatsphäre der digitalen Kommunikation zu schützen. Bereits 2013 habe ich angefangen, hier eine kleine Liste von Werkzeugen vorzustellen, mit deren Hilfe ich mich persönlich vor Datendieben schütze. Im Laufe der Zeit hat sich diese Anleitung immer wieder verändert – Neues ist hinzugekommen, Altes wurde überarbeitet. Zwei Jahre nach dem letzten Update ist es nun an der Zeit, die Anleitung zu aktualisieren und mein Versprechen einer ausführlichen Anleitung zu erfüllen:

Ich beschäftige mich mit dem Thema sichere Kommunikation schon seit den frühen 1990er Jahren und habe 1999 meine Diplomarbeit zum Thema: „Kryptographie im Internet – eine politische und politikwissenschaftliche Herausforderung in der Informationsgesellschaft“ geschrieben. Seit dieser Zeit hat mich das Thema beruflich und politisch immer weiter verfolgt.

Das Folgende ist keine Einführung in die Verschlüsselung oder eine komplette Übersicht aller digitaler Schutzmöglichkeiten, sondern eine Darstellung, wie ich mich vor Zugriffen Dritter auf meine Daten schütze. Dies mag Anregung sein, sich selbst das eine oder andere nützliche Tool anzusehen.

Die einfachsten Sachen zuerst:
Die Daten, die noch auf dem eigenen Rechner liegen, sollten insbesondere, wenn es sich um Notebooks handelt, besonders sorgfältig behandelt werden. Ein Notebook verlässt gerne mal das Haus, wird liegen gelassen oder gar gestohlen. Bei Firmennotebooks befinden sich oft sehr sensible Daten darauf, die nicht in fremde Hände geraten sollten.

Passwörter

Sollten nicht einfach zu erraten sein, nicht auf „Post its“ am Monitor hängen und nicht unter dem Router kleben.
Regeln:

1. ändere jedes Standard Passwort!
2. Nutze Passwörter, die nicht so leicht zu erraten sind!
3. Hinterlege Passwörter an einem sicheren Ort (z.B. verschlüsselt)
4. Verwende Passwörter, die aus mindestens zwei, besser drei Buchstabengruppen bestehen. Es gibt vier Buchstabengruppen, diese sind: Alle Kleinbuchstaben, alle Großbuchstaben, alle Zahlen und alle Sonderzeichen. Je weniger Buchstabengruppen du verwendest, desto länger muss das Passwort sein.
5. Verwende Passwörter, die scheinbar chaotisch und zufällig sind. Denke dir einen Satz aus, den du dir gut merken kannst, z.B. „Die Kinder sollen beim Essen Null Ellenbogen auf dem Tisch haben“ und verwende nur den ersten Buchstaben jedes Wortes, dann wird daraus: DKsbE0EadTh. Aus „Null“ wird die Zahl 0. Dies ist ein sehr sicheres Passwort,  das man sich dazu auch noch gut merken kann.

Ich sende mir einen Großteil meiner Passwörter selbst als verschlüsselte Mail. Somit habe ich immer und überall Zugriff darauf, ohne dass irgendjemand sonst das kann.

Eine andere Lösung für dieses Problem ist die konsequente Verwendung eines Passwort-Managers wie z.B. KeePass.

Festplattenverschlüsselung

Für die Verschlüsselung von Festplatten galt viele Jahre Truecrypt als das Tool der Wahl. Leider wird Truecrypt nicht mehr weiterentwickelt, hat aber mit Veracrypt einen würdigen Nachfolger gefunden, der auch noch zu Truecrypt kompatibel ist.

Ich speichere wichtige Daten nicht mehr auf der Festplatte, sondern entweder in einer sicheren Cloud (dazu später mehr) sowie auf einem kleinen 128GB USB 3.0 Stick, welchen ich mit Veracrypt verschlüsselt habe. Diesen trage ich normalerweise in der Hosentasche (PocketCloud). Damit ein Verlust nicht schmerzt, habe ich drei solcher Sticks, die ich regelmäßig kopiere. Verliere ich den Stick, kann:

1. keiner was damit anfangen und
2. habe ich sofort Ersatz mit allen Daten.

Mit Veracrypt kann man auch verschlüsselte Daten in der Cloud ablegen.

Eine für Mobilgeräte elegante Lösung der Verschlüsselung ist Boxcryptor von der Augsburger Firma Secomba GmbH. Damit lassen sich auch Clouddienste wie dropbox, skydrive und icloud sicher nutzen.

Wer möchte, dass seine Daten  weder das Haus verlassen, noch in fremde Hände  gelangen, dem sei nextcloud ans Herz gelegt. Ich betreibe einen solchen nextcloudserver bei mir zu Hause.

Nextcloud kann viel mehr als nur Dateien speichern und zwischen Geräten synchronisieren. Es bietet auch einen zentralen Kalender, Adressbuch und eine To-do Liste, die per Webinterface und per ClientSoftware (Outlook, Thunderbird, Mac Kalender und Adressbuch, iPhone und Android) genutzt werden kann.

Nextcloud kann das, was Dropbox kann, aber die Daten bleiben im Haus.

SMS/Kurznachrichten/Messenger

SMS ist (in GSM Netzen) ebenso unsicher wie WhatsApp-Nachrichten. Die Kritik an WhatsApp ist hier zusammengefasst.

Als Alternative setze ich seit Jahren auf Wire. Im Gegensatz zu den meisten anderen Messenger-Lösungen bietet es Native Clients, also die Möglichkeit den Messenger auf verschiedenen Geräten zu nutzen, die problemlos parallel betrieben werden können. Bis zu 7 Geräte haben den gleichen Message Status, das heißt ich empfange die gleichen Nachrichten auf meinem Mobiltelefon, meinem Laptop und meinen weiteren Rechnern zeitgleich ohne zusätzlichen Aufwand (scannen von QR Codes wie bei WhatsApp und Threema).

Vorteile von Wire:

  • – Programmiert in Deutschland (Berlin)
  • – Firmensitz Schweiz
  • – OpenSource – Der Programmcode kann von jedem überprüft werden
  • – Server kann auch selber betrieben werden
  • – bis zu 7 Clients synchronisieren
  • – Native Clients für MacOS, Windows, Linux, iPhone, Android
  • – Keine Telefonnummer nötig (Menschen ohne Mobiltelefon können wire nutzen, z.B. Kinder)
  • – keine zwangsweise Preisgabe der Kontaktdaten an Dritte
  • – verschlüsselte Telefonie auch als Konferenz mit bis zu 10 Teilnehmern
  • – verschlüsselte Videokonferenz
  • – animated GIFs 😉

Mein wire Name: @jimmyschulz

Als  Ergänzung zu wire setze ich weiterhin als guten Kompromiss zwischen Sicherheit und Benutzbarkeit Threema ein.

Meine Threema ID ist: NE7NBPMW

E-Mail

Seit vielen Jahren ist GnuPG die erste Wahl für E-Mail Verschlüsselung.
Am effektivsten nutzt man es in der Kombination mit dem Mailclient (MUA) Thunderbird und der Erweiterung Enigmail. So lassen sich E-Mails elegant nutzen und komfortabel verschlüsseln.
Wer mir persönlich verschlüsselte Mails senden will, findet meinen PublicKey hier.
Überprüfen lässt sich dieser z.B. mit dem OpenPGP Fingerprint auf meiner Visitenkarte.

Natürlich lassen sich auch Webmail (also Mails, die man im Browser liest und schreibt) verschlüsseln. Ich selbst rate aber von der Nutzung von Webmailern ab.

Besonders interessant ist die Entwicklung von pEp – pretty easy privacy. Seit kurzem ist pEp für alle relevanten Plattformen verfügbar. PEp will Verschlüsselung für alle benutzbar machen.

Ich teste pEp momentan, sobald ich damit fertig bin, teile ich hier natürlich meine Erfahrungen.

Voice/Video

Seitdem nahezu alle Messsenger-Systeme Telefonie und Videofonie beherrschen, ist die einfachste und beste Methode, den (sicheren) Messenger der Wahl auch für diese Zwecke zu verwenden.

Auch hier ist meine Empfehlung Wire.

Nach den Enthüllungen Snowdens hat sich bewahrheitet, was ich schon im Herbst 2011 im Bundestag gesagt habe: Skype kann abgehört werden.

Alternativ lässt sich auch im klassischen Telefonnetz Verschlüsselung einsetzen. Dies ist jedoch deutlich komplexer. Ein paar Anregungen älteren Datums hier:

Update 2013-11-12:

Als brauchbare Lösung für verschlüsselte Voice Kommunikation hat sich bei mir Groundwire bewährt. Es basiert auf dem von Phil Zimmermann entwickelten Standard ZRTP. Das dazu nötige Plugin kostet zwar 20€ extra, lohnt sich aber. Es bietet jede Menge Möglichkeiten mit bestehenden SIP Account sauber zu verschlüsseln. Ich will aber nicht verschweigen, dass man hier schon wissen muss was man tut.

Für diejenigen, die einfach nur schnell und einfach verschlüsselt telefonieren wollen ist PrivateGSM sicherlich die bessere Alternative! Basiert auch auf ZRPT und bietet gleich die automatische Einrichtung eines Accounts an. Lässt sich dann aber auch einfach und schnell zwischen SecureGSM nutzern einsetzen. Installation und Konfiguration ist kinderleicht.

weitere Lösungen sind:

Im Bereich Desktop Voice scheint mir jitsi einen Blick wert zu sein.

Ich habe auch etaPhone getestet, welches im WLAN und LTE Netzen sehr gut, und in 3G Netzen noch brauchbar funktioniert.

Für klassische Telefonie (analog wie digital) kenne ich im Moment keine allgemein benutzbare Lösung, bin aber für Hinweise dankbar.
An dieser Stelle will ich aber gerne an die Arbeiten von Tron zum Thema erinnern!

Anonymisierung

Anonymität ist wesentlicher Bestandteil der Privatsphäre!
Sie kann nur dann aufgehoben werden, wenn ein begründeter Verdacht besteht. Sich im Internet bewegen, hinterlässt Spuren, die sich einfach und schnell zum Anschluss zurückverfolgen lassen. Wer bei einem Online Shop bestellt, weiß, dass man dort nicht unerkannt bleibt. Wer jedoch die Seite einer Selbsthilfegruppe aufruft, will möglicherweise erst einmal unerkannt bleiben. Genauso wie bei einem Anruf aus einer Telefonzelle muss auch im Internet die Möglichkeit bestehen, einen Kontakt unerkannt aufzunehmen! Es gibt kein Grundrecht auf Anonymität in allen Fällen, aber sehr wohl ein Recht seine Identität zu schützen!

Dabei helfen folgende Werkzeuge:

1. TOR – The Onion Router
Weltweit das Standard Tool für anonymes surfen.

Am schnellsten und sehr einfach lässt sich TOR mit Hilfe des TOR Browsers nutzen.

2. JonDonym
Funktioniert ähnlich wie TOR, wurde an der TU Dresden entwickelt und hat sich für mich bewährt.

Fremde Rechner

Wer hin und wieder fremde Rechner nutzt, sollte mal einen Blick auf Portable Apps werfen. Nicht wirklich sicher, aber hilfreich.

Um selbst auf fremden Rechner sicher zu gehen, startet man am besten dort sein eigenes System – Ich nutze dazu einen USB Stick mit Knoppix.
Wem das nicht zusagt, findet viele verschiedene Alternativen, eine Liste gibt es hier. Damit kann ich mein eigenes System auf einem fremden Rechner nutzen, ohne dass ich diesem Rechner vertrauen muss.

Betriebssysteme

Um den Rechner sicher zu halten, setze ich seit 1995 auf freie Betriebssysteme. Im Moment betreibe ich einen Großteil meiner mobilen PCs mit Ubuntu komplett verschlüsselten Festplatten.

Aus optischen Gründen nutze ich die Geschmacksrichtung UBUNTU Mate.

Alternativ kann auch auf eigenen Rechnern ein vom USB Stick gestartetes Knoppix gute Dienste leisten. Gerade wenn der Rechner mal in fremde Hände gerät, ist das Komplettsystem auf dem USB Stick in der Hosentasche eine willkommene Lösung.

Auch vor meinem MacBook Air mache ich nicht halt, dort habe ich auf einem 128GB USB Stick ein Ubuntu Mate System installiert. Bis auf die Kamera läuft auch alles fehlerfrei.

Weitere Alternativen zu unsicheren Plattformen, Dienstleistungen und Systemen im Internet liefert die Website www.prism-break.org.