Manfred Kloiber: Datenschützer und Datensicherheitsexperten in ganz Europa sehen sich durch die Prism-Affäre bestätigt. Verschlüsselung ist keine Nischenthema mehr, für das sich nur Hacker oder Kriminelle interessieren. Nein, es ist ein Muss. Selbst die Parteien haben das Thema für sich entdeckt. So veranstalten die Piraten und die Grünen Crypotparties, auf denen man lernen kann, wie man seine Privatsphäre besser schützt. Marcus Schuler, jetzt endlich, nach langen unerhörten Jahren scheint ja das Thema Datensicherheit in der Gesellschaft angekommen zu sein, oder?
Marcus Schuler: In der Tat. Das ist nach dem wochenlangen Wirbel und den Enthüllungen eines Edward Snowden zweifelsohne der Fall. Das bestätigen auch aktuelle Umfragen. In Tageszeitungen, in Wochenzeitungen werden in großen Artikeln die wichtigsten Verschlüsselungstechniken vorgestellt. Das war bislang unmöglich. Solche Anleitungen gab es bislang nur im Internet. Und diese Auseinandersetzung mit den verschiedenen Techniken und Möglichkeiten gibt es erst, wie Sie schon gesagt haben, seit dieser Prism-Affäre.
Kloiber: Aber sich informieren über den Schutz der eigenen Daten, das ist ja das eine. Was aber ist mit der Umsetzung?
Schuler: Das ist das große Problem. Zum einen sind genau diese Werkzeuge zum Teil noch recht schwer einzusetzen. Das heißt, man muss sich dafür Zeit nehmen, Handbücher lesen, die Software und Dienste richtig konfigurieren, keine Fehler machen. Das ist die größte Hürde aus Nutzersicht. Zum anderen muss man sein Verhalten im Netz womöglich ändern. Stichwort: Webmailer oder die Nutzung von gefakten E-Mail-Adressen. Und eine Frage ist nicht zweifelsfrei zu klären: Wie sicher sind diese Verschlüsselungswerkzeuge wirklich? Macht man es fremden Diensten gar unmöglich, beispielsweise die private E-Mail mitzulesen, oder macht man es ihnen nur etwas schwerer?
Kloiber: Dennoch: Aktuelle Umfragen nach den Enthüllungen von Edward Snowden zeigen ja, dass nun ein Viertel der deutschen Internetnutzer plant, Verschlüsselung tatsächlich intensiver einzusetzen. Das jedenfalls zeigte auch das ZDF-Politbarometer vor einer Woche. Ein weiteres Indiz: Open- Source-Software wie Tor, PGP oder Truecrypt werden deutlich häufiger heruntergeladen als vor der Prism-Affäre. Hacker und Aktivisten sind auf jeden Fall der Meinung, dass man mit dem Einsatz der verschiedenen Werkzeuge es den Nachrichtendiensten doch schwerer machen kann. Also werfen wir eine Blick auf die beliebtesten drei.
Beginn Beitrag:
"Anonymität:"
Knapp 13 Jahre alt ist das Tor-Projekt. Tor steht für "The Onion Router” - der Zwiebel-Router. Sogar das US-Militär hat sich in der Anfangszeit an seiner Entwicklung beteiligt. Tor gilt mittlerweile als Standard-Werkzeug. Der Dienst wird von Menschen genutzt, die ihre Privatsphäre schützen wollen oder ihre Identität verbergen müssen, aber auch von Betrügern und Kinderpornoproduzenten. Das Prinzip ist einfach: Die Herkunft der eigenen Internetadresse wird verschleiert, weil die Software über mehrere Proxy-Server - Stellvertreter - eine Verbindung zum eigentlichen Ziel aufbaut. Daher auch der Name Onion – Zwiebel. Er soll wie die sieben Häute einer Zwiebel den Nutzer schützen. Für die gängigen Browser gibt es entsprechende Zusatzanwendungen, die den Einstieg in das Tor-Netzwerk ermöglichen. Die Nachteile sind allerdings evident: Durch das Zwischenschalten mehrere Server wird die Internetverbindung deutlich langsamer. Videos lassen sich so nicht anschauen.
Sobald man sich bei einem Dienst mit dem Klarnamen einloggt, wie bei Online-Kaufhäusern oder sozialen Netzwerken, ist es mit dem Schutz der Anonymität natürlich vorbei. Eine 100-prozentige Anonymität gibt es auch im Tor-Netzwerk nicht, weil der Nutzer über sein Surf-Verhalten identifizierbar ist. Das geben selbst die Entwickler zu. In Diktaturen wie China kann Tor gar nicht mehr genutzt werden. Die Zensoren haben die Einstiegspunkte zu den öffentlich bekannten Tor-Servern im chinesischen Internet gesperrt.
"Vertraulichkeit:"
Das Verschlüsseln von Nachrichten ist schon Jahrhunderte alt. Im modernen E-Mail-Verkehr hat sich vor allem PGP hervor getan. Die Idee dazu wurde bereits 1991 entwickelt. Im Laufe der Zeit wurde der Programmcode offengelegt und es ist ein starker nicht-kommerzieller Zweig der Produktentwicklung entstanden. Der Einsatz von OpenPGP ist besonders mit Mozillas E-Mail-Software Thunderbird beliebt. Die Idee von PGP basiert darauf, dass es Schlüsselpaare gibt: einen öffentlichen und einen privaten Schlüssel. So kann eine asymmetrische Verschlüsselung hergestellt werden. Um verschlüsselte Nachrichtensenden zu können, müssen die Nutzer den
öffentlichen Schlüssel des Empfängers kennen. Auf Schlüsselservern lässt sich nachschauen, ob für eine E-Mail-Adresse ein öffentlicher Schlüssel hinterlegt ist. Der Absender einer Nachricht verschlüsselt sie mit dem öffentlichen Schlüssel des Empfängers. Und nur der kann sie nur mit seinem geheimen Schlüssel wieder öffnen. Die offene Flanke beim Einsatz von E-Mail-Verschlüsselung sind die Metadaten einer Mail. Denn die Informationen über Größe, Zeitpunkt, Sender oder Empfänger der Mail können für Nachrichtendienste oft genauso interessant und aussagekräftig sein wie der Text selbst. Hauptnachteil: Die Metadaten sind nicht verschlüsselt. Damit lassen sich Bewegungsprofile erstellen - aber vor allem Verknüpfungen, wer mit wem mailt.
"Sicherheit:"
Eine dritte wichtige Säule ist das sichere Speichern von Daten. Besonders Nutzer, die nicht auf Cloud-Dienste wie DropBox verzichten wollen, sind gut beraten mit Werkzeugen wie Truecrypt oder Boxcryptor ihre Dateien zu verschlüsseln. Aber auch auf der lokalen Festplatte leisten diese Werkzeuge gute Dienste: Das Besondere: Nicht nur einzelne Dateien lassen sich mit sehr großen, schwer angreifbaren Schlüsseln und mit Passwort absichern. Auch ganze Festplatten kann man so vor unbefugtem Zugriff schützen. Bei Truecrypt ist es auch möglich, einzelne Bereiche auf der Festplatte zu verstecken. Das ist dann praktisch, wenn man zum Beispiel nach Großbritannien einreist. Denn dort kann man per Gesetz gezwungen werden, das Passwort für verschlüsselte Partitionen herauszugeben.
Anm. d. Red.: Das Manuskript weicht aufgrund einer Autorenkorrektur leicht von der Sendefassung ab.
Zur Übersichtsseite der Serie "Die sieben Todsünden der IT-Sicherheit"
Zum Themenportal "Risiko Internet"
Marcus Schuler: In der Tat. Das ist nach dem wochenlangen Wirbel und den Enthüllungen eines Edward Snowden zweifelsohne der Fall. Das bestätigen auch aktuelle Umfragen. In Tageszeitungen, in Wochenzeitungen werden in großen Artikeln die wichtigsten Verschlüsselungstechniken vorgestellt. Das war bislang unmöglich. Solche Anleitungen gab es bislang nur im Internet. Und diese Auseinandersetzung mit den verschiedenen Techniken und Möglichkeiten gibt es erst, wie Sie schon gesagt haben, seit dieser Prism-Affäre.
Kloiber: Aber sich informieren über den Schutz der eigenen Daten, das ist ja das eine. Was aber ist mit der Umsetzung?
Schuler: Das ist das große Problem. Zum einen sind genau diese Werkzeuge zum Teil noch recht schwer einzusetzen. Das heißt, man muss sich dafür Zeit nehmen, Handbücher lesen, die Software und Dienste richtig konfigurieren, keine Fehler machen. Das ist die größte Hürde aus Nutzersicht. Zum anderen muss man sein Verhalten im Netz womöglich ändern. Stichwort: Webmailer oder die Nutzung von gefakten E-Mail-Adressen. Und eine Frage ist nicht zweifelsfrei zu klären: Wie sicher sind diese Verschlüsselungswerkzeuge wirklich? Macht man es fremden Diensten gar unmöglich, beispielsweise die private E-Mail mitzulesen, oder macht man es ihnen nur etwas schwerer?
Kloiber: Dennoch: Aktuelle Umfragen nach den Enthüllungen von Edward Snowden zeigen ja, dass nun ein Viertel der deutschen Internetnutzer plant, Verschlüsselung tatsächlich intensiver einzusetzen. Das jedenfalls zeigte auch das ZDF-Politbarometer vor einer Woche. Ein weiteres Indiz: Open- Source-Software wie Tor, PGP oder Truecrypt werden deutlich häufiger heruntergeladen als vor der Prism-Affäre. Hacker und Aktivisten sind auf jeden Fall der Meinung, dass man mit dem Einsatz der verschiedenen Werkzeuge es den Nachrichtendiensten doch schwerer machen kann. Also werfen wir eine Blick auf die beliebtesten drei.
Beginn Beitrag:
"Anonymität:"
Knapp 13 Jahre alt ist das Tor-Projekt. Tor steht für "The Onion Router” - der Zwiebel-Router. Sogar das US-Militär hat sich in der Anfangszeit an seiner Entwicklung beteiligt. Tor gilt mittlerweile als Standard-Werkzeug. Der Dienst wird von Menschen genutzt, die ihre Privatsphäre schützen wollen oder ihre Identität verbergen müssen, aber auch von Betrügern und Kinderpornoproduzenten. Das Prinzip ist einfach: Die Herkunft der eigenen Internetadresse wird verschleiert, weil die Software über mehrere Proxy-Server - Stellvertreter - eine Verbindung zum eigentlichen Ziel aufbaut. Daher auch der Name Onion – Zwiebel. Er soll wie die sieben Häute einer Zwiebel den Nutzer schützen. Für die gängigen Browser gibt es entsprechende Zusatzanwendungen, die den Einstieg in das Tor-Netzwerk ermöglichen. Die Nachteile sind allerdings evident: Durch das Zwischenschalten mehrere Server wird die Internetverbindung deutlich langsamer. Videos lassen sich so nicht anschauen.
Sobald man sich bei einem Dienst mit dem Klarnamen einloggt, wie bei Online-Kaufhäusern oder sozialen Netzwerken, ist es mit dem Schutz der Anonymität natürlich vorbei. Eine 100-prozentige Anonymität gibt es auch im Tor-Netzwerk nicht, weil der Nutzer über sein Surf-Verhalten identifizierbar ist. Das geben selbst die Entwickler zu. In Diktaturen wie China kann Tor gar nicht mehr genutzt werden. Die Zensoren haben die Einstiegspunkte zu den öffentlich bekannten Tor-Servern im chinesischen Internet gesperrt.
"Vertraulichkeit:"
Das Verschlüsseln von Nachrichten ist schon Jahrhunderte alt. Im modernen E-Mail-Verkehr hat sich vor allem PGP hervor getan. Die Idee dazu wurde bereits 1991 entwickelt. Im Laufe der Zeit wurde der Programmcode offengelegt und es ist ein starker nicht-kommerzieller Zweig der Produktentwicklung entstanden. Der Einsatz von OpenPGP ist besonders mit Mozillas E-Mail-Software Thunderbird beliebt. Die Idee von PGP basiert darauf, dass es Schlüsselpaare gibt: einen öffentlichen und einen privaten Schlüssel. So kann eine asymmetrische Verschlüsselung hergestellt werden. Um verschlüsselte Nachrichtensenden zu können, müssen die Nutzer den
öffentlichen Schlüssel des Empfängers kennen. Auf Schlüsselservern lässt sich nachschauen, ob für eine E-Mail-Adresse ein öffentlicher Schlüssel hinterlegt ist. Der Absender einer Nachricht verschlüsselt sie mit dem öffentlichen Schlüssel des Empfängers. Und nur der kann sie nur mit seinem geheimen Schlüssel wieder öffnen. Die offene Flanke beim Einsatz von E-Mail-Verschlüsselung sind die Metadaten einer Mail. Denn die Informationen über Größe, Zeitpunkt, Sender oder Empfänger der Mail können für Nachrichtendienste oft genauso interessant und aussagekräftig sein wie der Text selbst. Hauptnachteil: Die Metadaten sind nicht verschlüsselt. Damit lassen sich Bewegungsprofile erstellen - aber vor allem Verknüpfungen, wer mit wem mailt.
"Sicherheit:"
Eine dritte wichtige Säule ist das sichere Speichern von Daten. Besonders Nutzer, die nicht auf Cloud-Dienste wie DropBox verzichten wollen, sind gut beraten mit Werkzeugen wie Truecrypt oder Boxcryptor ihre Dateien zu verschlüsseln. Aber auch auf der lokalen Festplatte leisten diese Werkzeuge gute Dienste: Das Besondere: Nicht nur einzelne Dateien lassen sich mit sehr großen, schwer angreifbaren Schlüsseln und mit Passwort absichern. Auch ganze Festplatten kann man so vor unbefugtem Zugriff schützen. Bei Truecrypt ist es auch möglich, einzelne Bereiche auf der Festplatte zu verstecken. Das ist dann praktisch, wenn man zum Beispiel nach Großbritannien einreist. Denn dort kann man per Gesetz gezwungen werden, das Passwort für verschlüsselte Partitionen herauszugeben.
Anm. d. Red.: Das Manuskript weicht aufgrund einer Autorenkorrektur leicht von der Sendefassung ab.
Zur Übersichtsseite der Serie "Die sieben Todsünden der IT-Sicherheit"
Zum Themenportal "Risiko Internet"