In Zeiten, in denen auch der Staat immer weiter nach rechts rückt ist es wichtig, Kommunikation sicher zu betreiben. Nicht zuletzt die anlasslosen Kontrollen, die nun wieder jeden Bürger jederzeit im öffentlichen Raum treffen können, lassen uns nachdenklich werden. Auch in den eigenen vier Wänden ist niemand mehr sicher, der sich politisch engagiert. Das Pimmelgate ist nur eines von vielen guten Beispielen dafür, wie überzogen die Staatsmacht reagiert.
Sollte also dein soziales oder berufliches Leben von sicherer Kommunikation oder sicher Speicherung von Daten abhängen, solltest du dir überlegen, einige Gewohnheiten zu ändern. Ganz generell lässt sich sagen, dass alles elektronische unsicherer wird, je bequemer die Nutzung ist.
Es spielt auch überhaupt gar keine Rolle, ob man „etwas zu verbergen“ hat oder nicht. Aus jedem Wort im Spaß oder Zorn lässt sich etwas bauen. Jede Verbindung zu einer anderen Person lässt sich gegen dich verwenden, wenn man das nur will. Es ist im Zweifel immer besser, die Informationen zu kontrollieren, die gegen dich verwendet werden.
Chats
Signal
Signal ist ein sehr beliebter Messenger und eine gute Alternative zu Whatsapp. Sicher, weil er sehr einfach zu bedienen ist, aber nichts kostet. Kosten sind hingegen bei der Unterhaltung der Infrastruktur ein großes Thema, Mitarbeiter:innen allerdings nicht: um die 50 Personen sollen es sein. Was mir allerdings aktuell Sorgen macht ist, dass die hinter dem Messenger stehende Stiftung in den USA ansässig ist. Das bedeutet theoretisch, dass die US Regierung jederzeit Zugriff auf meine Daten erhalten kann. Das sind vielleicht nur Metadaten (wer spricht mit wem), aber auch das ist mir schon zuviel. Was daneben auch für Signal spricht ist, dass man theoretisch gar keine persönlichen Daten mehr angeben muss, auch keine Handynummer. Ein großer Schritt in Richtung anonymität gegenüber Systemen wie Whatsapp.
Threema
Ich halte Threema für einen sehr sicheren Messenger, weil er nicht nur eine solide Ende-zu-Ende Verschlüsselung bietet, sondern auch ein System das es ermöglicht, den Chatpartner zweifelsfrei zu identifizieren. So kann man immer sicher sein, auch wirklich mit der richtigen Person zu sprechen. Trotzdem müssen keine persönlichen Daten angegeben werden, was die Anonymität innerhalb der App garantiert. Außerdem stehen die Threema Server in der Schweiz, was es sämtlichen staatlichen Stellen schwerer macht, persönliche Daten abzugreifen.
Threema kostet ganz normal Geld im Appstore. Ich finde das aber gut, denn so weiß ich, dass die Finanzierung die Firma unabhängig ist. Wenn du für das Produkt nicht bezahlst, bist du das Produkt.
Passworte
Seine Passworte im Browser zu speichern ist zweifellos sehr bequem. Nur die Seite oder die App aufrufen und dein Handy oder der Browser auf dem Laptop füllt schonmal Username und Passwort ein. Aber ist dir aufgefallen, dass theoretisch jeder vor deinem Gerät sitzen könnte? Auch jemand, der dein Handy gefunden hat? Oder jemand, der dir dein Handy abgenommen hat, bevor er dich zur Erkennungsdienstlichen Behandlung und danach in die Zelle geführt hat?
Auch häufig sehe ich, dass für viele Dienste wenige, immer gleiche Passworte genutzt werden. Auch sehr bequem, aber sicherheitstechnisch eine Katastrophe. Wird ein Passwort einmal (durch einen Einbruch in einem verwendeten Dienst zum Beispiel) bekannt, wird diese Username / Passwort Kombination bei vielen anderen Diensten automatisiert getestet. Sogar wenn Passworte für jeden Dienst einmalig genutzt werden, müssen sie auch ausreichend kompliziert zusammengesetzt sein.
Hier findet sich eine schöne Übersicht, wie schnell sich Passworte bei einer bestimmten Länge und Zusammensetzung erraten lassen. Die Spanne geht von eine halben Sekunde bei 5 Kleinbuchstaben bis hin zu 1,5 Jahren bei 8 Zeichen mit Klein- und Großbuchstaben und Sonderzeichen. Meine Passworte bestehen normalerweise aus 20 zufälligen Zeichen.
Sich sichere Passworte zu merken ist schwierig bis unmöglich, weshalb ich einen Passwortmanager verwende, der auf PC und Handy gleichermaßen funktioniert. Dort kann ich unbegrenzt Passworte speichern und beliebig kompliziert generieren lassen. Ich muss sie mir ja nicht mehr merken.
Man sollte sich auch immer im klaren sein, dass Passworte sich auch umgehen lassen. Erst neulich kam die Berichterstattung rum, dass das OLG Bremen das zwangsweise Entsperren eines Handys per Fingerabdruck in Ordnung findet, weil man ja eh schon Fingerabdrücke nehmen darf. Dass das aber zwei komplett verschiedene Konzepte sind, zeugt davon, dass wir uns hier nicht auf Recht und Gesetz verlassen können. Fazit: keine Biometrie auf dem Handy!
Ebenso wichtig ist die Einrichtung eines zweiten Faktors zum Passwort. Wo immer es geht, sollte man diesen Einrichten. 2FA Applikationen gibts wie Sand am Meer, teilweise auch in Passwortmanager eingebaut. Da kann man aber auch guten Gewissens die von Google oder Microsoft nutzen.
Browser
Tor-Browser
TOR ist ein Netzwerk, das Daten privat und nicht nachverfolgbar halten soll. Dabei wird dein Netzwerkverkehr verschlüsselt und über mehrere Knoten zu einem Exit-Knoten geleitet, wo das Tor Netzwerk wieder verlassen wird. Das kann ein anderes Land oder ein anderer Kontinet sein, spielt keine Rolle. Der Exit-Knoten wird regelmäßig und automatisch gewechselt, so dass von aussen (theoretisch) für das Ziel nicht nachvolziehbar ist, wer da diese Info abgefragt hat. Es gibt mittlerweile theoretische Methoden, Verbindungen trotz der Streuung einander zuzuordnen. Diese Gefahr halte ich aber aktuell für uns für überschaubar. Besser auf jeden Fall als nix.
Der Tor-Browser ist dabei eine sehr bequeme Methode, bestimmte Dinge von den normalen Verhaltensweisen zu trennen. Nur starten und automatisch ist alles verschlüsselt und anonym (soweit es halt geht).
Tails
Tails ist ein Linux System, dass die komplette anonymität verspricht / erleichtern soll. Man kann Tails von einem USB-Stick auf einem beliebigen PC starten und mittels der vorinstallierten Applikationen sicher kommunizieren und dort sogar Daten speichern. Dieses System zu nutzen hat schon eine etwas höhere Einstiegshürde und auch einen gewissen Nerd-Faktor. Allerdings ist es nicht wirklich schwierig, wenn man sich damit beschäftigt und vielleicht ein wenig Hilfe hat.
Der große Vorteil ist, dass man nichts mehr installieren und im Zweifel dem Richter erklären muss. Browser, PGP, Email – alles schon installiert und bereit. USB-Stick abziehen und nix ist passiert.
PGP
Möchte man – wie ich – bestimmte Emailadressen und Dienste nutzen und dabei nur ab und an verschlüsselt kommunizieren, bietet sich die Integration von PGP an. PGP ist zum Beispiel im Desktop Client Thunderbird oder im Android Client K9-Mail (seit kurzem wie Thunderbird auch Teil von Mozilla) sehr gut integriert und funktioniert sicher und benutzerfreundlich.
PGP arbeitet mit einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel kann beliebig verteilt werden, denn mit ihm kann nur verschlüsselt werden. Der geheime Schlüssel muss auch geheim bleiben, denn mit ihm kann man Nachrichten entschlüsseln.
Nicht nur die Verschlüsselung ist damit gut gelöst, sondern auch die verifikation: man kann sich sicher sein, dass die Email auch tatsächlich von der Person kommt, die im Absender steht.
Proton Mail
Wer generell einen sicheren Emaildienst sucht, ist bei Proton Mail gut aufgehoben. Die Server und damit die Daten liegen in der Schweiz. Allerdings weiß Wikipedia zu berichten, dass in mindestens einem Fall die Zusammenarbeit mit Strafverfolgungsbehörden gegen einen Klimademonstranten erzwungen wurde. Auch dieser Dienst finanziert sich selbst über Gebühren, was zwar ein guter Anfang ist, aber keine Abhängigkeiten von unbekannter Stelle ausschließt.
Riseup Email
Riseup ist ein Dienst, der bei sicherer Kommunikation im Netz helfen soll und dafür Email Konten anbietet. Ich kann das allerdings nicht verifizieren, weil man einen Einladungscode von einem bereits existierenden Account braucht. Insofern schätze ich die Einstiegshürde hier als hoch ein.
Hier findet sich auch das Riseup Pad, in dem man ohne Anmeldung gemeinsam per Browser Texte bearbeiten kann. Alle Riseup Dienste haben auch eine .onion Adresse, so dass man per TOR Netzwerk sehr sicher und anonym darauf zugreifen kann.