Sicher kommunizieren im Abhör-Zeitalter

Kryptografie als probates Mittel zum Schutz privater Kommunikation

Geheimdienste lassen nichts unversucht, um in die Kommunikation von Einzelpersonen, Unternehmen und Organisationen einzubrechen. Dass es dabei nicht mehr allein um Terrorismusbekämpfung geht, wurde im Zuge der Snowden-Enthüllungen deutlich. Nach einem Jahr nicht abreißender Berichte über die Hacking-Fähigkeiten britischer und amerikanischer Nachrichtendienste ist klar: Eine annähernd private Kommunikation gibt es nur noch dann, wenn sie aktiv geschützt wird. Die Zugriffsfähigkeiten der Geheimdienste sind nahezu allumfassend. Allein gute Kryptografie und eine sichere Kommunikationsumgebung hindert sie noch an der totalen Erfassung des Privaten, darin sind sich Sicherheitsexperten wie etwa Bruce Schneier oder NSA-Whistleblower Edward Snowden einig.

Foto: Fotolia / Rudie


Geschützt werden kann die digitale Kommunikation von zwei Seiten: Von den Kommunikationspartnern selbst sowie von den Kommunikationsübermittlern, das heißt den Internet- und Telekommunikationsunternehmen. Dabei gibt es kein Entweder-Oder: Beide Seiten müssen sich ergänzen, um einen einigermaßen wirksamen Schutz zu bieten.

Ende-zu-Ende-Verschlüsselung seitens der Nutzer

Bei der Verschlüsselung seitens der Kommunikationspartner spricht man von Ende-zu-Ende-Verschlüsselung, da hier eine Nachricht so verschlüsselt wird, dass sie nur von den Kommunikationspartnern selbst wieder gelesen werden kann. Dafür muss man sich mit seinem Kommunikationspartner auf eine Verschlüsselungsmethode einigen. Beide Seiten müssen nämlich dieselbe Technik anwenden, damit sie sich verständigen können. Beispielsweise kann man sich für die Verschlüsselungssoftware GnuPG entscheiden.
Für die E-Mail bietet sich klassischerweise die Verschlüsselungssoftware PGP (Pretty Good Privacy) an, zu der es die quelloffene Version namens GnuPG (GNU Privacy Guard) gibt. Quelloffene Software lässt sich jederzeit auf Hintertüren und andere Manipulationen überprüfen und genießt daher allgemein ein höheres Vertrauen. Auch nach den NSA-Enthüllungen gilt GnuPG noch als sicher. Sowohl PGP-Erfinder Phil Zimmerman wie auch NSA-Whistleblower Edward Snowden sollen GnuPG nutzen. Derzeit sammelt GnuPG auf der Crowdfunding-Plattform Goteo Geld, um das Projekt weiterzuentwickeln. Bereits nach 21 Tagen konnten 34.000 Euro gesammelt werden – angepeilt waren 24.000. Für eine schnelle Einrichtung von GnuPG genügt ein beliebiges E-Mail-Konto, das Mailprogramm Thunderbird und das Thunderbird-Addon Enigmail. Wer kein Linux-Betriebssystem verwendet, wo GnuPG bereits installiert ist, braucht noch das Programm GnuPG. Es sind natürlich auch andere Konstellationen mit einem anderen E-Mail-Programm und anderen Webmail-Konten möglich.
Die Installation benötigt nur einige wenige Handgriffe, die in wenigen Minuten erledigt sind: In Thunderbird wird zunächst das Mail-Konto eingerichtet. Wählt man statt IMAP hier POP3, werden die E-Mails nach dem Herunterladen vom E-Mail-Server gelöscht. Enigmail taucht nach dem Installieren bei Thunderbird als Reiter „OpenPGP“ auf. OpenPGP ist der Standard, auf dem GnuPG aufsetzt. Für den Anfang muss man in dem Reiter keine Einstellungen ändern.
Für den Start wird nun ein Schlüssel erstellt. Hier muss man nur folgendes wissen: Jeder Kommunikationsteilnehmer verfügt bei einem asymmetrischen Verschlüsselungsverfahren nämlich über einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird dem Kommunikationspartner mitgeteilt, der private bleibt geheim. Er wird benötigt, um die Kommunikation wieder zu entschlüsseln. Unter dem Reiter „OpenPGP“ leitet ein Assistent durch den Prozess, mit dem das Schlüsselpaar erstellt wird. Dabei wird eine Passphrase für den privaten Schlüssel festgelegt, die so einfach sein sollte, dass man sie sich noch merken kann. Sie sollte aber auch nicht zu simpel sein, schließlich schützt sie ja vor dem unberechtigten Zugriff auf den wichtigen privaten Schlüssel. Außerdem sollte man ein Widerrufszertifikat anlegen. Falls der Schlüssel einmal in falsche Hände gerät, kann er damit unbrauchbar gemacht werden.
In einem weiteren Schritt muss der öffentliche Schlüssel bekannt gemacht werden. Hierfür kann er über die Schlüsselverwaltung auf einen Schlüssel-Server hochgeladen werden. Vertrauenswürdig ist ein Schlüssel auf dem Server dann, wenn er von einer anderen Person signiert wurde. Man sollte sich daher darum bemühen, den Schlüssel von jemandem signieren zu lassen, den man persönlich kennt.
Alternativ kann man dem Kommunikationspartner seinen öffentlichen Schlüssel auch per E-Mail zusenden. Das funktioniert ebenfalls über den Reiter „OpenPGP“ mit einem Klick auf „Meinen öffentlichen Schlüssel anhängen“. Erhält man auf diese Weise einen Schlüssel, muss man ihn importieren.
Man sollte jedoch wissen, dass die Kommunikationsdaten einer E-Mail, also Absender, Empfänger Betreffzeile und andere Daten des so genannten Headers nicht verschlüsselt werden. Es ist daher zu überlegen, für bestimmte Fälle eine pseudonyme E-Mail-Adresse einzurichten.

Mail-Verschlüsselung durch Kommunikationsübermittler

Am bequemsten für den Nutzer ist es natürlich, wenn Telekommunikations- und Internetunternehmen Verschlüsselungsmaßnahmen ergreifen. Doch diese sind in der Regel so, dass es eine Lücke in der Verschlüsselung gibt. Sie bieten also generell nicht die hohe Sicherheit einer Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Eine Lücke gibt es etwa bei der von der Bundesregierung geförderten De-Mail, wo die verschlüsselten E-Mails auf dem Server der Dienstleister aus Gründen der Spam-Bekämpfung für kurze Zeit in entschlüsseltem Zustand vorliegen. Genau hier können auch Strafverfolger mit Abhörmaßnahmen ansetzen, weswegen der Chaos Computer Club die De-Mail auch nur für so sicher wie eine Postkarte hält. Grundsätzlich bietet die De-Mail jedoch eine höhere Sicherheit, da ein einfaches Mitlesen beim Transport eben nicht mehr möglich ist. Ähnlich ist auch die Sicherheit des Projekts „E-Mail made in Germany“, das die Deutsche Telekom und United Internet im August in Gang gebracht haben. Dabei werden E-Mails zwischen T-Online, Web.de und GMX mit SSL verschlüsselt. Auch hier aber sind die E-Mails auf den Servern der Anbieter unverschlüsselt, um sie auf Spam oder Viren überprüfen zu können.
Sicher ist die SSL-Verschlüsselung überdies nur, wenn sie mit der Eigenschaft „Perfect Forward Secrecy“ (PFS) gehärtet wurde. Dabei wird ein Verschlüsselungsverfahren gewählt, das sicherstellt, dass ein geheimer Sitzungsschlüssel nicht im Nachhinein entschlüsselt werden kann. Im Zuge der NSA-Enthüllungen wurde deutlich, dass die Geheimdienste in der Vergangenheit von den Providern bereits die Herausgabe der geheimen Schlüssel gefordert haben. PFS hätte das verhindert, doch noch ist die Technik nicht sehr verbreitet, weil sie etwas mehr Rechenleistung verlangt und damit für die Anbieter aufwändig ist.
Aber immer mehr Anbieter gehen dazu über, ihre Verschlüsselung mit PFS abzusichern. In diesem Fall wird der Sitzungsschlüssel nämlich nicht zwischen den Kommunikationspartnern übertragen, sondern mit dem Diffie-Hellman-Verfahren ausgehandelt und nach dem Ende des Kommunikationsvorgangs gelöscht. Vergangene Sitzungen können daher nicht mehr im Nachhinein entschlüsselt werden.
Ob eine SSL-Verschlüsselung PFS-gehärtet ist, können Nutzer selbst nachprüfen. Mit dem Chrome-Browser von Google lässt sich die Art der Verbindung anzeigen. Klickt man auf das Verschlüsselungssymbol in der Adresszeile, als das Schloss vor dem https://, erklärt der Browser in einem eingeblendeten Infokasten, wie die Verbindung verschlüsselt ist. Die Kürzel DHE_ und ECDHE_ stehen für Perfect Forward Secrecy.
Die Zeitschrift c’t testete im August die großen Webmail-Anbieter und stellte allein bei Gmail, Web.de, GMX und Posteo eine Verschlüsselung mit PFS fest. Fehlanzeige allerdings bei Arcor, Hotmail, Strato und T-Online. Wie die amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) im Dezember erklärte, stellen aber immer mehr Anbieter auf PFS um. So etwa das soziale Netzwerk Linkedin, der Software-Konzern Microsoft, der Internet-Provider Sonic.net und das Online-Backup-Tool Spideroak. Beim Online-Speicherdienst Dropbox, bei Facebook, twitter und tumblr ist PFS schon umgesetzt.

Verschlüsselung der Internetdienste

Die EFF legt zudem Wert auf vier weitere Maßnahmen, die Internetdienste und Telekommunikationsunternehmen ergreifen können, um das einfache Abgreifen von Daten zu erschweren. Dabei geht es nicht darum, den Nachrichtendiensten und Strafverfolgern das Abhören unmöglich zu machen, sondern sie dazu zu zwingen, sich an gesetzlich vorgegebene Regeln wie etwa einen Richterbeschluss zu halten. So empfiehlt die EFF, den Datenverkehr zwischen den Datenzentren der Unternehmen zu verschlüsseln. Auch im Zuge der Snowden-Enthüllungen wurde so bekannt, dass die NSA Glasfaserkabel-Verbindungen zwischen den Datenzentren von Yahoo und Google angezapft hat.
Außerdem sollen Unternehmen den Datentransfer zwischen Nutzer und Website mit HTTPS verschlüsseln und mit HSTS zusätzlich absichern. HSTS schützt vor Man-in-the-middle-Angriffen auf SSL-geschützte Websites. Wie wichtig die Absicherung der Kommunikation zwischen dem Rechner des Nutzers und dem Server von Websites ist, zeigen die jüngsten Berichte darüber, wie die NSA genau hier mit ihrer Quantum-Methode ansetzt, um Rechner von Zielpersonen anzugreifen und mit Schadsoftware zu verwanzen, die auch Ende-zu-Ende-Verschlüsselungsmaßnahmen unterlaufen kann. Schließlich empfiehlt die EFF die Kommunikation zwischen E-Mail-Servern mit StartTLS zu verschlüsseln, damit die E-Mail auf dem Transportweg geschützt ist.
Dropbox, Google, Sonic.net und Spideroak sind die einzigen, die bislang alle fünf Maßnahmen durchführen. Ebenfalls gut aufgestellt ist Twitter. LinkedIn gehört wie Facebook und Tumblr zu den Unternehmen, die derzeit an der Umsetzung der Maßnahmen arbeiten oder sie zumindest planen. Apple und Amazon hingegen zählen neben den Telekommunikationsunternehmen AT&T, Comcast und Verizon zu den Internetkonzernen, die derzeit am wenigsten unternehmen, die Kundendaten abzusichern. Eine detaillierte Übersicht findet sich auf der Website der EFF.
Fazit: Journalisten sind gut beraten, bei der Auswahl von Internetdiensten darauf zu achten, mit welchen technischen Maßnahmen diese die Daten schützen, da Ende-zu-Ende-Verschlüsselung zum Schutz der Kommunikation allein nicht genügt. Die Snowden-Enthüllungen haben sehr unterschiedliche Methoden der Geheimdienste aufgezeigt, die ebenfalls mit verschiedenen Maßnahmen gekontert werden können.

Weitere Informationen

Electronic Frontier Foundation (EFF) über Verschlüsselungsmaßnahmen und -pläne von US-Unternehmen: https://www.eff.org/deeplinks/2013/11/encrypt-web-report-whos-doing-what 

nach oben

Weitere aktuelle Beiträge

Gewalt an Frauen bleibt Leerstelle

Gewalt gegen Frauen ist in Deutschland alltäglich. Und nicht nur in Politik und Justiz besteht großer Nachholbedarf im Kampf gegen geschlechtsspezifische Gewalt: Auch die journalistische Praxis zeigt deutliche Schwächen und erhebliche Leerstellen. Der aktuelle Trendreport der Otto Brenner Stiftung nimmt die Jahre 2020 bis 2022 in den Blick und stellt fest: Gewalt gegen Frauen wird isoliert dargestellt, ohne strukturelle Ursachen und Präventionsmöglichkeiten zu thematisieren. Das betrifft besonders deutsche Täter. Die Perspektive der Opfer bleibt unterbelichtet.
mehr »

Gewalt gegen Medienschaffende

Eine erneut alarmierende Bilanz zieht die internationale Organisation Reporters Sans Frontiers (RSF), die weltweit Angriffe und Gewalttaten gegen Journalist*innen und damit gegen die Pressefreiheit dokumentiert: 55 getötete, 550 inhaftierte, 55 in Geiselhaft genommene und 95 unter unklaren Umständen vermisste Medienschaffende sind bis Anfang Dezember für dieses Jahr zu beklagen.
mehr »

KI: Menschen wollen Regeln

Rund drei Viertel der Menschen in Deutschland sorgen sich einer Umfrage zufolge um die Glaubwürdigkeit der Medien, wenn Künstliche Intelligenz (KI) im Spiel ist. 90 Prozent der Befragten fordern dazu klare Regeln und Kennzeichnungen. Dies ergab eine am Mittwoch in Berlin veröffentlichte Studie der Medienanstalten. Für die repräsentative Erhebung "Transparenz-Check. Wahrnehmung von KI-Journalismus" wurden online 3.013 Internetnutzer*innen befragt.
mehr »

Lokaljournalismus: Die Wüste droht

Noch sei es nicht so weit, aber von einer "Steppe" könne man durchaus schon sprechen, sagt Christian Wellbrock von der Hamburg Media School. Wellbrock ist Leiter von "Wüstenradar", einer Studie, die zum ersten Mal die bundesweite Verbreitung und zahlenmäßige Entwicklung von Lokalzeitungen in den letzten 30 Jahren unter die Lupe genommen hat. Sie erhebt, wie stark der Rückgang lokaler Medien inzwischen tatsächlich ist und warnt: In etlichen Regionen droht tatsächlich die Verbreitung von "Nachrichtenwüsten".
mehr »