Sicher kommunizieren im Abhör-Zeitalter

Kryptografie als probates Mittel zum Schutz privater Kommunikation

Geheimdienste lassen nichts unversucht, um in die Kommunikation von Einzelpersonen, Unternehmen und Organisationen einzubrechen. Dass es dabei nicht mehr allein um Terrorismusbekämpfung geht, wurde im Zuge der Snowden-Enthüllungen deutlich. Nach einem Jahr nicht abreißender Berichte über die Hacking-Fähigkeiten britischer und amerikanischer Nachrichtendienste ist klar: Eine annähernd private Kommunikation gibt es nur noch dann, wenn sie aktiv geschützt wird. Die Zugriffsfähigkeiten der Geheimdienste sind nahezu allumfassend. Allein gute Kryptografie und eine sichere Kommunikationsumgebung hindert sie noch an der totalen Erfassung des Privaten, darin sind sich Sicherheitsexperten wie etwa Bruce Schneier oder NSA-Whistleblower Edward Snowden einig.

Foto: Fotolia / Rudie


Geschützt werden kann die digitale Kommunikation von zwei Seiten: Von den Kommunikationspartnern selbst sowie von den Kommunikationsübermittlern, das heißt den Internet- und Telekommunikationsunternehmen. Dabei gibt es kein Entweder-Oder: Beide Seiten müssen sich ergänzen, um einen einigermaßen wirksamen Schutz zu bieten.

Ende-zu-Ende-Verschlüsselung seitens der Nutzer

Bei der Verschlüsselung seitens der Kommunikationspartner spricht man von Ende-zu-Ende-Verschlüsselung, da hier eine Nachricht so verschlüsselt wird, dass sie nur von den Kommunikationspartnern selbst wieder gelesen werden kann. Dafür muss man sich mit seinem Kommunikationspartner auf eine Verschlüsselungsmethode einigen. Beide Seiten müssen nämlich dieselbe Technik anwenden, damit sie sich verständigen können. Beispielsweise kann man sich für die Verschlüsselungssoftware GnuPG entscheiden.
Für die E-Mail bietet sich klassischerweise die Verschlüsselungssoftware PGP (Pretty Good Privacy) an, zu der es die quelloffene Version namens GnuPG (GNU Privacy Guard) gibt. Quelloffene Software lässt sich jederzeit auf Hintertüren und andere Manipulationen überprüfen und genießt daher allgemein ein höheres Vertrauen. Auch nach den NSA-Enthüllungen gilt GnuPG noch als sicher. Sowohl PGP-Erfinder Phil Zimmerman wie auch NSA-Whistleblower Edward Snowden sollen GnuPG nutzen. Derzeit sammelt GnuPG auf der Crowdfunding-Plattform Goteo Geld, um das Projekt weiterzuentwickeln. Bereits nach 21 Tagen konnten 34.000 Euro gesammelt werden – angepeilt waren 24.000. Für eine schnelle Einrichtung von GnuPG genügt ein beliebiges E-Mail-Konto, das Mailprogramm Thunderbird und das Thunderbird-Addon Enigmail. Wer kein Linux-Betriebssystem verwendet, wo GnuPG bereits installiert ist, braucht noch das Programm GnuPG. Es sind natürlich auch andere Konstellationen mit einem anderen E-Mail-Programm und anderen Webmail-Konten möglich.
Die Installation benötigt nur einige wenige Handgriffe, die in wenigen Minuten erledigt sind: In Thunderbird wird zunächst das Mail-Konto eingerichtet. Wählt man statt IMAP hier POP3, werden die E-Mails nach dem Herunterladen vom E-Mail-Server gelöscht. Enigmail taucht nach dem Installieren bei Thunderbird als Reiter „OpenPGP“ auf. OpenPGP ist der Standard, auf dem GnuPG aufsetzt. Für den Anfang muss man in dem Reiter keine Einstellungen ändern.
Für den Start wird nun ein Schlüssel erstellt. Hier muss man nur folgendes wissen: Jeder Kommunikationsteilnehmer verfügt bei einem asymmetrischen Verschlüsselungsverfahren nämlich über einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird dem Kommunikationspartner mitgeteilt, der private bleibt geheim. Er wird benötigt, um die Kommunikation wieder zu entschlüsseln. Unter dem Reiter „OpenPGP“ leitet ein Assistent durch den Prozess, mit dem das Schlüsselpaar erstellt wird. Dabei wird eine Passphrase für den privaten Schlüssel festgelegt, die so einfach sein sollte, dass man sie sich noch merken kann. Sie sollte aber auch nicht zu simpel sein, schließlich schützt sie ja vor dem unberechtigten Zugriff auf den wichtigen privaten Schlüssel. Außerdem sollte man ein Widerrufszertifikat anlegen. Falls der Schlüssel einmal in falsche Hände gerät, kann er damit unbrauchbar gemacht werden.
In einem weiteren Schritt muss der öffentliche Schlüssel bekannt gemacht werden. Hierfür kann er über die Schlüsselverwaltung auf einen Schlüssel-Server hochgeladen werden. Vertrauenswürdig ist ein Schlüssel auf dem Server dann, wenn er von einer anderen Person signiert wurde. Man sollte sich daher darum bemühen, den Schlüssel von jemandem signieren zu lassen, den man persönlich kennt.
Alternativ kann man dem Kommunikationspartner seinen öffentlichen Schlüssel auch per E-Mail zusenden. Das funktioniert ebenfalls über den Reiter „OpenPGP“ mit einem Klick auf „Meinen öffentlichen Schlüssel anhängen“. Erhält man auf diese Weise einen Schlüssel, muss man ihn importieren.
Man sollte jedoch wissen, dass die Kommunikationsdaten einer E-Mail, also Absender, Empfänger Betreffzeile und andere Daten des so genannten Headers nicht verschlüsselt werden. Es ist daher zu überlegen, für bestimmte Fälle eine pseudonyme E-Mail-Adresse einzurichten.

Mail-Verschlüsselung durch Kommunikationsübermittler

Am bequemsten für den Nutzer ist es natürlich, wenn Telekommunikations- und Internetunternehmen Verschlüsselungsmaßnahmen ergreifen. Doch diese sind in der Regel so, dass es eine Lücke in der Verschlüsselung gibt. Sie bieten also generell nicht die hohe Sicherheit einer Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Eine Lücke gibt es etwa bei der von der Bundesregierung geförderten De-Mail, wo die verschlüsselten E-Mails auf dem Server der Dienstleister aus Gründen der Spam-Bekämpfung für kurze Zeit in entschlüsseltem Zustand vorliegen. Genau hier können auch Strafverfolger mit Abhörmaßnahmen ansetzen, weswegen der Chaos Computer Club die De-Mail auch nur für so sicher wie eine Postkarte hält. Grundsätzlich bietet die De-Mail jedoch eine höhere Sicherheit, da ein einfaches Mitlesen beim Transport eben nicht mehr möglich ist. Ähnlich ist auch die Sicherheit des Projekts „E-Mail made in Germany“, das die Deutsche Telekom und United Internet im August in Gang gebracht haben. Dabei werden E-Mails zwischen T-Online, Web.de und GMX mit SSL verschlüsselt. Auch hier aber sind die E-Mails auf den Servern der Anbieter unverschlüsselt, um sie auf Spam oder Viren überprüfen zu können.
Sicher ist die SSL-Verschlüsselung überdies nur, wenn sie mit der Eigenschaft „Perfect Forward Secrecy“ (PFS) gehärtet wurde. Dabei wird ein Verschlüsselungsverfahren gewählt, das sicherstellt, dass ein geheimer Sitzungsschlüssel nicht im Nachhinein entschlüsselt werden kann. Im Zuge der NSA-Enthüllungen wurde deutlich, dass die Geheimdienste in der Vergangenheit von den Providern bereits die Herausgabe der geheimen Schlüssel gefordert haben. PFS hätte das verhindert, doch noch ist die Technik nicht sehr verbreitet, weil sie etwas mehr Rechenleistung verlangt und damit für die Anbieter aufwändig ist.
Aber immer mehr Anbieter gehen dazu über, ihre Verschlüsselung mit PFS abzusichern. In diesem Fall wird der Sitzungsschlüssel nämlich nicht zwischen den Kommunikationspartnern übertragen, sondern mit dem Diffie-Hellman-Verfahren ausgehandelt und nach dem Ende des Kommunikationsvorgangs gelöscht. Vergangene Sitzungen können daher nicht mehr im Nachhinein entschlüsselt werden.
Ob eine SSL-Verschlüsselung PFS-gehärtet ist, können Nutzer selbst nachprüfen. Mit dem Chrome-Browser von Google lässt sich die Art der Verbindung anzeigen. Klickt man auf das Verschlüsselungssymbol in der Adresszeile, als das Schloss vor dem https://, erklärt der Browser in einem eingeblendeten Infokasten, wie die Verbindung verschlüsselt ist. Die Kürzel DHE_ und ECDHE_ stehen für Perfect Forward Secrecy.
Die Zeitschrift c’t testete im August die großen Webmail-Anbieter und stellte allein bei Gmail, Web.de, GMX und Posteo eine Verschlüsselung mit PFS fest. Fehlanzeige allerdings bei Arcor, Hotmail, Strato und T-Online. Wie die amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) im Dezember erklärte, stellen aber immer mehr Anbieter auf PFS um. So etwa das soziale Netzwerk Linkedin, der Software-Konzern Microsoft, der Internet-Provider Sonic.net und das Online-Backup-Tool Spideroak. Beim Online-Speicherdienst Dropbox, bei Facebook, twitter und tumblr ist PFS schon umgesetzt.

Verschlüsselung der Internetdienste

Die EFF legt zudem Wert auf vier weitere Maßnahmen, die Internetdienste und Telekommunikationsunternehmen ergreifen können, um das einfache Abgreifen von Daten zu erschweren. Dabei geht es nicht darum, den Nachrichtendiensten und Strafverfolgern das Abhören unmöglich zu machen, sondern sie dazu zu zwingen, sich an gesetzlich vorgegebene Regeln wie etwa einen Richterbeschluss zu halten. So empfiehlt die EFF, den Datenverkehr zwischen den Datenzentren der Unternehmen zu verschlüsseln. Auch im Zuge der Snowden-Enthüllungen wurde so bekannt, dass die NSA Glasfaserkabel-Verbindungen zwischen den Datenzentren von Yahoo und Google angezapft hat.
Außerdem sollen Unternehmen den Datentransfer zwischen Nutzer und Website mit HTTPS verschlüsseln und mit HSTS zusätzlich absichern. HSTS schützt vor Man-in-the-middle-Angriffen auf SSL-geschützte Websites. Wie wichtig die Absicherung der Kommunikation zwischen dem Rechner des Nutzers und dem Server von Websites ist, zeigen die jüngsten Berichte darüber, wie die NSA genau hier mit ihrer Quantum-Methode ansetzt, um Rechner von Zielpersonen anzugreifen und mit Schadsoftware zu verwanzen, die auch Ende-zu-Ende-Verschlüsselungsmaßnahmen unterlaufen kann. Schließlich empfiehlt die EFF die Kommunikation zwischen E-Mail-Servern mit StartTLS zu verschlüsseln, damit die E-Mail auf dem Transportweg geschützt ist.
Dropbox, Google, Sonic.net und Spideroak sind die einzigen, die bislang alle fünf Maßnahmen durchführen. Ebenfalls gut aufgestellt ist Twitter. LinkedIn gehört wie Facebook und Tumblr zu den Unternehmen, die derzeit an der Umsetzung der Maßnahmen arbeiten oder sie zumindest planen. Apple und Amazon hingegen zählen neben den Telekommunikationsunternehmen AT&T, Comcast und Verizon zu den Internetkonzernen, die derzeit am wenigsten unternehmen, die Kundendaten abzusichern. Eine detaillierte Übersicht findet sich auf der Website der EFF.
Fazit: Journalisten sind gut beraten, bei der Auswahl von Internetdiensten darauf zu achten, mit welchen technischen Maßnahmen diese die Daten schützen, da Ende-zu-Ende-Verschlüsselung zum Schutz der Kommunikation allein nicht genügt. Die Snowden-Enthüllungen haben sehr unterschiedliche Methoden der Geheimdienste aufgezeigt, die ebenfalls mit verschiedenen Maßnahmen gekontert werden können.

Weitere Informationen

Electronic Frontier Foundation (EFF) über Verschlüsselungsmaßnahmen und -pläne von US-Unternehmen: https://www.eff.org/deeplinks/2013/11/encrypt-web-report-whos-doing-what 

nach oben

weiterlesen

Ausgezeichneter Nachwuchs beim Radio

Für ihre qualitativ hochwertigen Volontariats-Programme wurden im Rahmen des digital durchgeführten 4. Radio-Netzwerk-Tages 28 private Radiostationen aus ganz Deutschland mit dem Radiosiegel ausgezeichnet. Unter den diesjährigen Preisträgern befinden sich fünf Hörfunkveranstalter aus Baden-Württemberg. Für DIE NEUE 107.7 ist es bereits die siebte Auszeichnung durch das Radiosiegel in Folge.
mehr »

Neue Verhaltensregeln für Medien und Polizei

Der Deutsche Presserat hat der Innenministerkonferenz einen Vorschlag über zeitgemäße gemeinsame Verhaltensgrundsätze für Polizei und Medien vorgelegt. Es sei höchste Zeit, dass Journalistinnen und Journalisten bei Demonstrationen und Großveranstaltungen besser geschützt werden und ungehindert arbeiten können, erklärte Sascha Borowski, Sprecher des Deutschen Presserats, zur aktuellen Vorlage.
mehr »

Gegen Trojaner-Einsatz bei Verfassungsschutz

Der Hamburger Verfassungsschutz und die Polizei verfügen seit April 2020 über scharfe Überwachungsinstrumente: Der Verfassungsschutz darf mit Trojanern verschlüsselte Kommunikation ausforschen, die Polizei mittels Algorithmen Personenprofile erstellen. Die Gesellschaft für Freiheitsrechte e.V. (GFF), die Deutsche Journalistinnen- und Journalisten-Union (dju) in ver.di und weitere NGOs erheben heute Verfassungsbeschwerde gegen die Gesetzesänderungen, wird in einer gemeinsamen Pressemitteilung informiert.
mehr »

Eine Freienvertretung für Deutschlandradio

Deutschlandradio (DLR) hat von nun an ein Freienstatut. Damit ist der Weg frei für die Wahl einer Freienvertretung. Jahrelanges Ringen um mehr Mitbestimmung für Freie, die einen großen Teil der drei Hörfunkprogramme Deutschlandfunk (Köln), Deutschlandfunk Kultur (Berlin) und Deutschlandfunk Nova (Köln/Berlin) produzieren, geht zu Ende. Ein Erfolg? Durchaus, obwohl längst nicht alles erreicht worden ist. M spricht mit Manfred Kloiber, Vorsitzender des ver.di-Senderverbandes Deutschlandradio Köln und selbst freier Mitarbeiter über die Ecken und Kanten des neuen Regelwerkes.
mehr »