Datensicherheit Hilfe beim Verschlüsseln der E-Mails

Von  

Auf der Cyrptoparty in Stuttgart hat der Chaos Computer Club nicht nur Tipps zum Verschlüsseln gegeben, sondern auch über die Alternativen von Whats-App diskutiert. Rund um den Safer Internet Day gibt es viele weitere Veranstaltungen.

Verschlüsselung kann knifflig sein: Auf der Cryptoparty  in Stuttgart gab es Tipps von Experten. Foto: Martin Stollberg
Verschlüsselung kann knifflig sein: Auf der Cryptoparty in Stuttgart gab es Tipps von Experten.Foto: Martin Stollberg

Stuttgart - Alle fünf Minuten wird Harvey nach Alternativen zu Whats-App gefragt. Harvey ist ein Pseudonym; der Datenexperte ist als Vertreter des Chaos Computer Clubs Stuttgart (CCCS) unterwegs. An diesem Wochenende ist er für die Station „Smartphone“ auf der Cryptoparty zuständig. Etwa hundert Besucher fachsimpeln im Untergeschoss der Stadtbibliothek Stuttgart in kleinen Gruppen mit Experten des Chaos Computer Clubs Stuttgart über Verschlüsselungs- und Verschleierungstechniken für die Kommunikation im Internet. Wer seinen Laptop oder sein Smartphone dabeihat, bekommt gleich praktische Tipps, die er auch direkt vor Ort umsetzen kann.

Sowohl die Fachleute vom CCCS als auch die Besucher sind sich einig: den Firmen Facebook, Whats-App oder Google wollen sie ihre Daten nicht so einfach überlassen. Auch wenn wir alle davon ausgehen müssen, dass wir über die Adressbücher von Freunden, die sich weniger Gedanken über Datenschutz und Privatsphäre machen als die Teilnehmer einer Cryptoparty, längst überall gelistet sind – mit Namen, Adresse, möglicherweise unserem Geburtsdatum, der Handynummer und der E-Mail-Adresse. Tatenlos zusehen wollen die für Datenschutz sensibilisierten Besucher, unter die sich auch kryptografisch geschulte Fachleute gemischt haben, jedenfalls nicht. Es gibt durchaus Alternativen zu Whats-App, die nicht so gierig nach Daten sind. Nicht jeder Dienst wertet alles aus, was zum Beispiel unser Einkaufsverhalten im Internet betrifft.

Wenn alle bei Whats-App sind, ist der soziale Druck natürlich groß, dort ebenfalls präsent zu sein. Wenn aber immer mehr Menschen zu Diensten wie Threema oder Text-Secure wechseln – letzteren Dienst empfiehlt der CCCS –, könnte Whats-App irgendwann seine Nutzer verlieren. Es müssten nur genügend Leute den Mut haben, auf den am weitesten verbreiteten Instant-Messenger zu verzichten. Vor allem seit Whats-App vor einem Jahr von Facebook gekauft wurde, ist der Dienst noch stärker in die Kritik geraten. Zwar gibt es Meldungen, wonach Sicherheitstechnik des Messengers Threema übernommen werden soll, Harvey vom CCCS kann bislang aber noch nichts davon erkennen. Denn zu seinem Leidwesen hat seine Tochter Whats-App auf ihrem Smartphone installiert. Immerhin konnte Harvey durchsetzen, dass die familieninterne Kommunikation mit Threema geführt wird.

Die Alternativen zu Whats-App werden kritisch diskutiert

Kritiker bemängeln an Threema, dass der Quelltext nicht offengelegt ist. Fest stehe aber, so Harvey, dass es sich um eine ­sichere Ende-zu-Ende-Verschlüsselung handle, bei der auch der Betreiber nicht mitlesen könne. Bei dem vom CCCS empfohlenen Text-Secure, das es nur für Android-Geräte gibt, hingegen handelt es sich um eine offene und freie Software. Der Vorteil von Text-Secure: es können damit auch SMS und MMS an Empfänger verschickt werden, die auf ihrem Gerät den Messenger nicht installiert haben. Doch auch an dieser App wird gelegentlich kritisiert, dass sie zur Kommunikation den Google-Cloud-Messaging-Dienst verwende. Allerdings werden alle Nachrichten Ende-zu-Ende- verschlüsselt, so dass Google theoretisch nur die Metadaten – also Absender, Empfänger und Zeitpunkt der Kommunikation – abgreifen und auswerten kann.

Die meisten Besucher der Cryptoparty, die nicht nur anlässlich des Safer Internet Days (siehe 2. Seite), sondern in unregelmäßigen Abständen immer wieder in der Stuttgarter Stadtbibliothek stattfindet, wollen mehr als sich nur informieren. So sitzen schon fünf Minuten nach Beginn mehr als zehn Leute mit ihrem mitgebrachten Laptop an den Stationen „Surfen“ und „Chat/E-Mail“. Wer will, kann nach einer Schritt-für-Schritt-Anleitung die Voraussetzung dafür schaffen, dass er künftig Ende-zu-Ende-verschlüsselte E-Mails verschicken und empfangen kann. Die Anleitung steht ausgedruckt zur Verfügung. Mitglieder des Chaos Computer Clubs Stuttgart stehen vier Stunden lang für Fragen zur Verfügung. Ist etwas unklar, hat man die Experten sofort zur Stelle – ein riesiger Vorteil, wie die Besucher finden, die alle konzentriert an der Installation arbeiten und hoffen, dass sie am Ende mit einem ­fertig installierten Verschlüsselungsprogramm nach Hause gehen. Ein gesichertes Wlan-Netz haben die CCCSler eigens für diese Veranstaltung angelegt. Allerdings ist die Anzahl der Nutzer begrenzt, so dass es mitunter zu Wartezeiten kommt.

Die Anleitung zur Installation der Verschlüsselungssoftware ist übersichtlich und leicht verständlich gehalten. Es dürfen sich also tatsächlich Laien trauen, mit ihrem Laptop vorbeizukommen. Einige wichtige allgemeine Informationen enthält die Anleitung auch: Wer eine E-Mail verfasst, sollte gleich zu Beginn auf das Schlüsselsymbol klicken. Denn sonst könnte das E-Mail-Programm während des Schreibens einen unverschlüsselten Entwurf auf dem Server speichern, der dann theoretisch ausspioniert werden könnte. Ein weiterer Punkt: auch wer seine E-Mails verschlüsselt, hat eine Betreffzeile in der E-Mail. Diese ist generell nicht verschlüsselt und wird zu den Metadaten gerechnet. Es gilt also, keine vertraulichen Informationen in die Betreffzeile zu schreiben. Ebenso können die Sender- und Empfänger­adressen nicht verschlüsselt werden.

Reichen den Geheimdiensten unverschlüsselte Metadaten?

Manche gehen davon aus, dass es Geheimdiensten nur auf die Metadaten ankomme. Harvey ist überzeugt: „Die Inhalte von E-Mails werden überbewertet.“ Die Experten, die sich unter den Besuchern der Stuttgarter Cryptoparty befinden, sehen das ganz ähnlich. Und trotzdem wollen sie möglichst viel unternehmen, um ihre Kommunikation zu schützen. Dazu gehört für viele auch, ihr Smartphone selbst von Grund auf neu zu konfigurieren, um es von den vorinstallierten Google-Diensten zu befreien. Manche warten damit aber lieber, bis die Garantiezeit erlischt. Man bekommt für ein so manipuliertes Gerät nämlich keinerlei Betriebssystem-Updates mehr. Dieser Schritt sollte also gut überlegt sein.

Auch wenn man schon viel über die technischen Möglichkeiten Bescheid wisse, so ist auf der Cryptoparty häufig zu hören, kenne man nicht immer alle Werkzeuge oder jeden Trick – und es sei daher einfach gut, in dieser Hinsicht auf dem Laufenden zu bleiben. Wirklich schön an dieser Art von Treffen ist, dass jede noch so banale Frage bei einer Cryptoparty ausdrücklich erlaubt ist. Ganz nach dem Motto: Wer nicht fragt, bleibt dumm.