Erstellt am: 17. 10. 2014 - 17:24 Uhr
Verschlüsselung für Noobs
Wir sind gläsern im Netz - daran haben wir uns ja leider schon ein bisschen gewöhnt. Manchmal kommen aber diese Momente, wo man sich denkt: Will ich das wirklich, dass NSA und Co. meine Online-Kommunikation zu jeder Zeit auslesen können? Ist es mir wurscht, wenn automatisierte Skripts meine Mail-Inhalte durchsuchen, damit ich maßgeschneiderte Werbung eingeblendet bekomme?
Bei E-Mails gibt es schon seit über 20 Jahren eine erprobte und bewährte Gegenmaßnahme zur digitalen Alltagsspionage, und zwar das Verschlüsselungsprogramm "Pretty Good Privacy", kurz PGP, entwickelt vom US-amerikanischen Kryptografen Phil Zimmermann. PGP lässt sich als Zusatzanwendung zu Mailprogrammen wie etwa der Open-Source-Anwendung Thunderbird installieren.
Der investigative IT-Journalist und fm4.ORF.at-Autor Erich Möchel verschlüsselt seine Mails so oft wie möglich. Das Problem ist nur: Wenn die Empfängerseite bei der Verschlüsselung nicht mitmacht, funktioniert das Ganze nicht. Seit dem NSA-Skandal hat sich allerdings der Prozentsatz jener Menschen, die ihre E-Mails ebenfalls verschlüsseln, in Möchels Kreisen auf 25 Prozent erhöht. Es stimmt, so Möchel, dass PGP weiterhin etwas sperrig einzurichten ist. Die gängige Weise, um das Prinzip dahinter zu erklären, findet er allerdings unnötig kompliziert. Üblicherweise wird nämlich immer zwischen "öffentlichem Schlüssel" und "privatem Schlüssel" unterschieden, die Metapher würde mit einem Schloss und einem Schüssel aber viel besser funktionieren:
"Ich verteile Kopien meines Schlosses möglichst weit gestreut im Netz. Das soll leicht zugänglich sein, so, dass jeder weiß: Wenn jemand mit Erich M. e-mailen will, nimmt sie oder er dieses Schnappschloss, schreibt eine Mail und lässt dann das Schloss über der Mail einschnappen. Öffnen kann es dann nur ich."
Der "öffentliche Schüssel" ist also das Schloss und der "private Schlüssel" der eigentliche Schlüssel. Den sollte man natürlich nicht hergeben, sondern möglichst gut geschützt lokal auf dem Computer speichern. Da ein PGP-Schlüssel zu lange ist, um ihn sich - wie etwa einen PIN-Code - im Gedächtnis behalten zu können, kommt man um eine Aufbewahrung nicht herum. Wird man gehackt, wird dann auch der Schlüssel kompromittiert - außer, man speichert ihn auf einen externen Datenträger und steckt diesen für jede neue Mail an und wieder ab. Das sind allerdings erhöhte Sicherheitsmaßnahmen, die laut Erich Möchel nur für sehr wenige Personen Sinn machen - etwa für Wikileaks-Gründer Julian Assange.
Unerreicht seit 1991
PGP ist der Standard bei E-Mail-Verschlüsselung und das seit Anbeginn des Internet als ziviles Kommunikationsnetzwerk.
"Das Prinzip von PGP hat sich als ursolide und erstaunlich haltbar erwiesen. Seit 1991 gilt es als sicher, und niemand konnte bis jetzt irgendwelche Fehler im Code, der ja offen daliegt und auch von jedem in eigene Anwendungen integriert werden kann, finden."
Eine solche - neue - Anwendung, die auch PGP in ihr Service integriert, ist das in den Niederlanden beheimatete Mail-Service namens "StartMail". Zusätzlich zu einer einfachen Implementierung von PGP kann man dabei mit einem einzelnen Account etwa auch temporäre und permanente Pseudonyme anlegen, die dann nicht zur eigentlichen E-Mail-Adresse rückverfolgbar sind.
"Wir sind der Überzeugung, dass Privatsphäre ein fundamentales Menschenrecht ist. Holen Sie sich Ihr Recht auf private Kommunikation zurück!", scheibt die Firma auf ihrer Website und klärt über ihre Grundsätze auf. Der Firmensitz sei wegen des besonders strikten Telekommunikationsgesetzes in den Niederlanden, es würden keinerlei Tracking-Methoden angewandt und das Speichern der Userdaten würde mit besten kryptografischen Methoden ablaufen und nur die minimal notwendige Zeit auf den Servern behalten werden.
Übrigens sind die öffentlichen Schlösser auf sogenannten Keyservern einsehbar und können dort hochgeladen werden, etwa hier.
"Wenn PGP einmal eingerichtet ist, ist es überhaupt nicht kompliziert. Wenn ich eine verschlüsselte Mail von jemandem bekomme, mit dem ich schon verschlüsselt gesendet habe, dann ist das so eingestellt, dass meine Antwort auch automatisch verschlüsselt wird. Das Problem ist, dass es oft schwierig ist, an die öffentlichen Schlösser der Leute zu kommen. Das muss entweder im E-Mail drinnen stehen, oder es muss drinnen stehen, wo das Schloss zu finden ist."
Praktisch für Cybermobber?
Aber wechseln wir mal die Seite und sehen uns an, was - neben dem Schutz der Privatsphäre und der Verhinderung von politischer oder sozialer Verfolgung - mit Anonymität im Netz auch für Schindluder getrieben werden kann. Cybermobbing soll ja 2015 in Österreich ein strafrechtlich relevanter Tatbestand werden. Macht man es potentiellen Tätern dann nicht leichter, wenn Dinge wie Mailverschlüsselung oder das Anlegen von Pseudonym-Adressen mit wenigen Klicks erledigt sind? Erich Möchel meint, dass Täter so oder so eine Gefahr sind.
"Ich will das Problem nicht herunterspielen, halte es aber nicht für das primäre Problem der Informationsgesellschaft."
Sicherheit mit Tücken
Man könnte glauben, E-Mail-Verschlüsselung sei eine gute Sache, um seine Privatsphäre gegenüber NSA und Co. zu schützen. Doch die Geheimdienste juckt das nur mäßig. Die sammeln nämlich in erster Linie die sogenannten Verkehrs- bzw. Metadaten, also wer wann mit wem telefoniert, getextet und eben gemailt hat. Daraus lassen sich im "Big Data"-Stil relevantere Profile erstellen als mit den jeweiligen Inhalten. Die Verkehrsdaten lassen sich durch die Informationen im sogenannten E-Mail-Header, der immer vor der Verschlüsselung kommt, nur schwer unterdrücken. Doch mit ein bisschen Aufwand gibt es auch hier Gegenmaßnahmen:
"Man kann von anderen Orten und mit anderen Namen mailen. Da sind dann die Verkehrsdaten vielleicht nicht so einfach auf eine Person zurückzuführen. Es lässt sich also schon etwas machen, aber am prinzipiellen Problem ändert sich dadurch nichts."
Wird man nicht aktiv von Behörden, Geheimdiensten oder Verbrechern verfolgt bzw. handelt es sich nicht explizit um heikle Daten und Informationen, ist der Aufwand in diesem Maß wohl eher unangebracht. Für "normale" Bürgerinnen und Bürger macht sich im Alltag wohl eher das Prinzip hiding in plain sight bezahlt: in der Menge untergehen, aber gleichzeitig aufmerksam seine Umgebung beobachten. John Reese lässt grüßen.