Sicher kommunizieren im Abhör-Zeitalter

Kryptografie als probates Mittel zum Schutz privater Kommunikation

Geheimdienste lassen nichts unversucht, um in die Kommunikation von Einzelpersonen, Unternehmen und Organisationen einzubrechen. Dass es dabei nicht mehr allein um Terrorismusbekämpfung geht, wurde im Zuge der Snowden-Enthüllungen deutlich. Nach einem Jahr nicht abreißender Berichte über die Hacking-Fähigkeiten britischer und amerikanischer Nachrichtendienste ist klar: Eine annähernd private Kommunikation gibt es nur noch dann, wenn sie aktiv geschützt wird. Die Zugriffsfähigkeiten der Geheimdienste sind nahezu allumfassend. Allein gute Kryptografie und eine sichere Kommunikationsumgebung hindert sie noch an der totalen Erfassung des Privaten, darin sind sich Sicherheitsexperten wie etwa Bruce Schneier oder NSA-Whistleblower Edward Snowden einig.

Foto: Fotolia / Rudie


Geschützt werden kann die digitale Kommunikation von zwei Seiten: Von den Kommunikationspartnern selbst sowie von den Kommunikationsübermittlern, das heißt den Internet- und Telekommunikationsunternehmen. Dabei gibt es kein Entweder-Oder: Beide Seiten müssen sich ergänzen, um einen einigermaßen wirksamen Schutz zu bieten.

Ende-zu-Ende-Verschlüsselung seitens der Nutzer

Bei der Verschlüsselung seitens der Kommunikationspartner spricht man von Ende-zu-Ende-Verschlüsselung, da hier eine Nachricht so verschlüsselt wird, dass sie nur von den Kommunikationspartnern selbst wieder gelesen werden kann. Dafür muss man sich mit seinem Kommunikationspartner auf eine Verschlüsselungsmethode einigen. Beide Seiten müssen nämlich dieselbe Technik anwenden, damit sie sich verständigen können. Beispielsweise kann man sich für die Verschlüsselungssoftware GnuPG entscheiden.
Für die E-Mail bietet sich klassischerweise die Verschlüsselungssoftware PGP (Pretty Good Privacy) an, zu der es die quelloffene Version namens GnuPG (GNU Privacy Guard) gibt. Quelloffene Software lässt sich jederzeit auf Hintertüren und andere Manipulationen überprüfen und genießt daher allgemein ein höheres Vertrauen. Auch nach den NSA-Enthüllungen gilt GnuPG noch als sicher. Sowohl PGP-Erfinder Phil Zimmerman wie auch NSA-Whistleblower Edward Snowden sollen GnuPG nutzen. Derzeit sammelt GnuPG auf der Crowdfunding-Plattform Goteo Geld, um das Projekt weiterzuentwickeln. Bereits nach 21 Tagen konnten 34.000 Euro gesammelt werden – angepeilt waren 24.000. Für eine schnelle Einrichtung von GnuPG genügt ein beliebiges E-Mail-Konto, das Mailprogramm Thunderbird und das Thunderbird-Addon Enigmail. Wer kein Linux-Betriebssystem verwendet, wo GnuPG bereits installiert ist, braucht noch das Programm GnuPG. Es sind natürlich auch andere Konstellationen mit einem anderen E-Mail-Programm und anderen Webmail-Konten möglich.
Die Installation benötigt nur einige wenige Handgriffe, die in wenigen Minuten erledigt sind: In Thunderbird wird zunächst das Mail-Konto eingerichtet. Wählt man statt IMAP hier POP3, werden die E-Mails nach dem Herunterladen vom E-Mail-Server gelöscht. Enigmail taucht nach dem Installieren bei Thunderbird als Reiter „OpenPGP“ auf. OpenPGP ist der Standard, auf dem GnuPG aufsetzt. Für den Anfang muss man in dem Reiter keine Einstellungen ändern.
Für den Start wird nun ein Schlüssel erstellt. Hier muss man nur folgendes wissen: Jeder Kommunikationsteilnehmer verfügt bei einem asymmetrischen Verschlüsselungsverfahren nämlich über einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird dem Kommunikationspartner mitgeteilt, der private bleibt geheim. Er wird benötigt, um die Kommunikation wieder zu entschlüsseln. Unter dem Reiter „OpenPGP“ leitet ein Assistent durch den Prozess, mit dem das Schlüsselpaar erstellt wird. Dabei wird eine Passphrase für den privaten Schlüssel festgelegt, die so einfach sein sollte, dass man sie sich noch merken kann. Sie sollte aber auch nicht zu simpel sein, schließlich schützt sie ja vor dem unberechtigten Zugriff auf den wichtigen privaten Schlüssel. Außerdem sollte man ein Widerrufszertifikat anlegen. Falls der Schlüssel einmal in falsche Hände gerät, kann er damit unbrauchbar gemacht werden.
In einem weiteren Schritt muss der öffentliche Schlüssel bekannt gemacht werden. Hierfür kann er über die Schlüsselverwaltung auf einen Schlüssel-Server hochgeladen werden. Vertrauenswürdig ist ein Schlüssel auf dem Server dann, wenn er von einer anderen Person signiert wurde. Man sollte sich daher darum bemühen, den Schlüssel von jemandem signieren zu lassen, den man persönlich kennt.
Alternativ kann man dem Kommunikationspartner seinen öffentlichen Schlüssel auch per E-Mail zusenden. Das funktioniert ebenfalls über den Reiter „OpenPGP“ mit einem Klick auf „Meinen öffentlichen Schlüssel anhängen“. Erhält man auf diese Weise einen Schlüssel, muss man ihn importieren.
Man sollte jedoch wissen, dass die Kommunikationsdaten einer E-Mail, also Absender, Empfänger Betreffzeile und andere Daten des so genannten Headers nicht verschlüsselt werden. Es ist daher zu überlegen, für bestimmte Fälle eine pseudonyme E-Mail-Adresse einzurichten.

Mail-Verschlüsselung durch Kommunikationsübermittler

Am bequemsten für den Nutzer ist es natürlich, wenn Telekommunikations- und Internetunternehmen Verschlüsselungsmaßnahmen ergreifen. Doch diese sind in der Regel so, dass es eine Lücke in der Verschlüsselung gibt. Sie bieten also generell nicht die hohe Sicherheit einer Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Eine Lücke gibt es etwa bei der von der Bundesregierung geförderten De-Mail, wo die verschlüsselten E-Mails auf dem Server der Dienstleister aus Gründen der Spam-Bekämpfung für kurze Zeit in entschlüsseltem Zustand vorliegen. Genau hier können auch Strafverfolger mit Abhörmaßnahmen ansetzen, weswegen der Chaos Computer Club die De-Mail auch nur für so sicher wie eine Postkarte hält. Grundsätzlich bietet die De-Mail jedoch eine höhere Sicherheit, da ein einfaches Mitlesen beim Transport eben nicht mehr möglich ist. Ähnlich ist auch die Sicherheit des Projekts „E-Mail made in Germany“, das die Deutsche Telekom und United Internet im August in Gang gebracht haben. Dabei werden E-Mails zwischen T-Online, Web.de und GMX mit SSL verschlüsselt. Auch hier aber sind die E-Mails auf den Servern der Anbieter unverschlüsselt, um sie auf Spam oder Viren überprüfen zu können.
Sicher ist die SSL-Verschlüsselung überdies nur, wenn sie mit der Eigenschaft „Perfect Forward Secrecy“ (PFS) gehärtet wurde. Dabei wird ein Verschlüsselungsverfahren gewählt, das sicherstellt, dass ein geheimer Sitzungsschlüssel nicht im Nachhinein entschlüsselt werden kann. Im Zuge der NSA-Enthüllungen wurde deutlich, dass die Geheimdienste in der Vergangenheit von den Providern bereits die Herausgabe der geheimen Schlüssel gefordert haben. PFS hätte das verhindert, doch noch ist die Technik nicht sehr verbreitet, weil sie etwas mehr Rechenleistung verlangt und damit für die Anbieter aufwändig ist.
Aber immer mehr Anbieter gehen dazu über, ihre Verschlüsselung mit PFS abzusichern. In diesem Fall wird der Sitzungsschlüssel nämlich nicht zwischen den Kommunikationspartnern übertragen, sondern mit dem Diffie-Hellman-Verfahren ausgehandelt und nach dem Ende des Kommunikationsvorgangs gelöscht. Vergangene Sitzungen können daher nicht mehr im Nachhinein entschlüsselt werden.
Ob eine SSL-Verschlüsselung PFS-gehärtet ist, können Nutzer selbst nachprüfen. Mit dem Chrome-Browser von Google lässt sich die Art der Verbindung anzeigen. Klickt man auf das Verschlüsselungssymbol in der Adresszeile, als das Schloss vor dem https://, erklärt der Browser in einem eingeblendeten Infokasten, wie die Verbindung verschlüsselt ist. Die Kürzel DHE_ und ECDHE_ stehen für Perfect Forward Secrecy.
Die Zeitschrift c’t testete im August die großen Webmail-Anbieter und stellte allein bei Gmail, Web.de, GMX und Posteo eine Verschlüsselung mit PFS fest. Fehlanzeige allerdings bei Arcor, Hotmail, Strato und T-Online. Wie die amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) im Dezember erklärte, stellen aber immer mehr Anbieter auf PFS um. So etwa das soziale Netzwerk Linkedin, der Software-Konzern Microsoft, der Internet-Provider Sonic.net und das Online-Backup-Tool Spideroak. Beim Online-Speicherdienst Dropbox, bei Facebook, twitter und tumblr ist PFS schon umgesetzt.

Verschlüsselung der Internetdienste

Die EFF legt zudem Wert auf vier weitere Maßnahmen, die Internetdienste und Telekommunikationsunternehmen ergreifen können, um das einfache Abgreifen von Daten zu erschweren. Dabei geht es nicht darum, den Nachrichtendiensten und Strafverfolgern das Abhören unmöglich zu machen, sondern sie dazu zu zwingen, sich an gesetzlich vorgegebene Regeln wie etwa einen Richterbeschluss zu halten. So empfiehlt die EFF, den Datenverkehr zwischen den Datenzentren der Unternehmen zu verschlüsseln. Auch im Zuge der Snowden-Enthüllungen wurde so bekannt, dass die NSA Glasfaserkabel-Verbindungen zwischen den Datenzentren von Yahoo und Google angezapft hat.
Außerdem sollen Unternehmen den Datentransfer zwischen Nutzer und Website mit HTTPS verschlüsseln und mit HSTS zusätzlich absichern. HSTS schützt vor Man-in-the-middle-Angriffen auf SSL-geschützte Websites. Wie wichtig die Absicherung der Kommunikation zwischen dem Rechner des Nutzers und dem Server von Websites ist, zeigen die jüngsten Berichte darüber, wie die NSA genau hier mit ihrer Quantum-Methode ansetzt, um Rechner von Zielpersonen anzugreifen und mit Schadsoftware zu verwanzen, die auch Ende-zu-Ende-Verschlüsselungsmaßnahmen unterlaufen kann. Schließlich empfiehlt die EFF die Kommunikation zwischen E-Mail-Servern mit StartTLS zu verschlüsseln, damit die E-Mail auf dem Transportweg geschützt ist.
Dropbox, Google, Sonic.net und Spideroak sind die einzigen, die bislang alle fünf Maßnahmen durchführen. Ebenfalls gut aufgestellt ist Twitter. LinkedIn gehört wie Facebook und Tumblr zu den Unternehmen, die derzeit an der Umsetzung der Maßnahmen arbeiten oder sie zumindest planen. Apple und Amazon hingegen zählen neben den Telekommunikationsunternehmen AT&T, Comcast und Verizon zu den Internetkonzernen, die derzeit am wenigsten unternehmen, die Kundendaten abzusichern. Eine detaillierte Übersicht findet sich auf der Website der EFF.
Fazit: Journalisten sind gut beraten, bei der Auswahl von Internetdiensten darauf zu achten, mit welchen technischen Maßnahmen diese die Daten schützen, da Ende-zu-Ende-Verschlüsselung zum Schutz der Kommunikation allein nicht genügt. Die Snowden-Enthüllungen haben sehr unterschiedliche Methoden der Geheimdienste aufgezeigt, die ebenfalls mit verschiedenen Maßnahmen gekontert werden können.

Weitere Informationen

Electronic Frontier Foundation (EFF) über Verschlüsselungsmaßnahmen und -pläne von US-Unternehmen: https://www.eff.org/deeplinks/2013/11/encrypt-web-report-whos-doing-what 

nach oben

Weitere aktuelle Beiträge

„Das Problem mit der Leidenschaft“

Lena Hipp ist Professorin für Soziologie an der Universität Potsdam und leitet die Forschungsgruppe „Arbeit und Fürsorge“ am Wissenschaftszentrum Berlin für Sozialforschung (WZB). Mit M sprach sie über „Gute Arbeit“, Stressoren im Journalismus und weshalb die Trennung von Arbeit und Privatleben für Medienschaffende so wichtig ist.
mehr »

Dreyeckland-Journalist wegen Link angeklagt

Am 18. April beginnt der Prozess gegen den Journalisten Fabian Kienert. Dem Mitarbeiter von Radio Dreyeckland in Freiburg wird die Unterstützung einer verbotenen Vereinigung vorgeworfen, weil er das Archiv eines Onlineportals in einem Artikel verlinkt hat. Das Portal mit Open-Posting-Prinzip war von Bundesinnenminister Thomas de Maizière (CDU) 2017 als kriminelle Vereinigung verboten worden.
mehr »

Die Verantwortung der Redaktionen

Auf die mentale Gesundheit zu achten, ist keine individuelle Aufgabe. Auch Arbeitgeber*innen können und sollten etwas für psychische Gesundheit ihrer Mitarbeiter*innen tun. Wie funktioniert das in einer Branche, die so geprägt ist von Zeit und Leistungsdruck und belastenden Inhalten wie der Journalismus? Wir haben uns in zwei Redaktionen umgehört, die sich dazu Gedanken gemacht haben: das Magazin Neue Narrative und der Schleswig-Holsteinische Zeitungsverlag (SHZ).
mehr »

Gewalterfahrung im Lokaljournalismus

In Deutschland hat sich die Zahl der gewalttätigen Übergriffe auf Journalist*innen deutlich erhöht. Viele der Übergriffe finden am Rande von Demonstrationen statt. Der Thüringer Journalist Fabian Klaus recherchiert zu Rechtsextremismus und wird deshalb bedroht. Mit M sprach er über zunehmende Bedrohungslagen im Lokaljournalismus und die Unterstützung aus den Redaktionen.
mehr »