Resignation – Das bringt doch alles nichts!

„Geheimdienste schneiden alles mit, und Datenkraken wie Facebook und Google wissen doch eh alles.“

Angesichts dieser Einschätzung von Privatsphäre im Internet könnten Alice und Bob in Resignation verfallen. Oder ihr Umfeld könnte diese Einschätzung als faule Ausrede verwenden, um auf die Dienste von Datenkraken zurückzugreifen. Alice, Bob, Sie und ich können uns aber auch gemeinsam anstrengen. Mal sehen.

Im Sommer 2013 hat ↑Edward Snowden die Ausmaße staatlicher Massenüberwachung und Spionage mit Details zu den Abhörprogrammen ↑PRISM, ↑Tempora und allgemeiner denjenigen der ↑Five Eyes enthüllt: Unsere Kommunikation wird weltweit von Geheim- und Nachrichtendiensten abgehört, gespeichert und analysiert, und zwar im Wesentlichen vollständig, hemmungslos und unkontrolliert. Alles: E-Mail, Chat, Telefongespräche, Surfverhalten von Internet-Suche über Käufe zu Aktivitäten in Foren und sozialen Netzwerken. Ohne demokratische Legitimation oder Kontrolle.

Das ist nicht neu. ↑Dieser Artikel aus dem letzten Jahrtausend befasst sich mit der damals noch weitgehend unbekannten NSA, dem ECHELON-Abhörskandal, und dem planmäßigen Abbau unserer Grundrechte durch Abhörgesetzgebung in Deutschland (der nach dem 11. September 2001 konsequent fortgesetzt wurde).

Dabei ist Massenüberwachung robust: Daten werden von Ermittlungsbehörden offiziell angefordert. Daten werden per Geheimgerichtsbeschluss angefordert. Daten werden per Massenüberwachung während der Übertragung mitgeschnitten. Daten werden bei den Providern, deren Infrastrukturen unterwandert sind, gestohlen.

So weit zum ersten Teil der einleitenden Einschätzung: Geheimdienste lesen in der Tat alles mit, was technisch möglich ist. Sie könnten das Gelesene auch beliebig modifizieren, worüber zu wenig nachgedacht wird. Eine kleine, aber feine Einschränkung gibt es beim Lesen allerdings: Die Inhalte „richtig“ verschlüsselter Kommunikation sind vor Massenüberwachung geschützt. (Snowden: ↑Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. Beachten Sie, dass es hier um Massenüberwachung geht, gegen die Verschlüsselung sehr wohl hilft. Gegen zielgerichtete Spionage haben wir im Internet keine Chance, weil unsere Hard- und Software zu viele Sicherheitslücken mitbringt, was ich im Abschnitt zur PC-Grundsicherung aufgreife. Ich hoffe, dass die wenigsten von uns zielgerichtet ausspioniert werden.)

Die Möglichkeiten der Massenüberwachung werden immer umfassender, weil unser (Offline-) Leben zunehmend mit dem (Online-) Web verschmilzt. ↑Eben Moglen hat dies im Frühjahr 2013 (noch vor den Snowden-Enthüllungen) plastisch mit dem ↑„verworrenen Web“ beschrieben, in das wir unser Offline-Leben immer weiter einweben. Lesen Sie ↑seinen Artikel (oder meine ↑Übersetzung).

Im Web werden wir auf Schritt und Klick verfolgt, protokolliert und vorhergesagt, beim Lesen berichten E-Book-Reader, wer was wie lange liest, kommentiert, überspringt oder abbricht. Unternehmen sammeln und verkaufen die zugehörigen Daten unter unverständlichen Datenschutz- Datenschatzbedingungen und sind gezwungen, sie diversen (Geheim-) Diensten zur Verfügung zu stellen. Moglen schlägt technische (z. B. die ↑FreedomBox) und ökologische Gegenmaßnahmen zum Schutz unserer Privatsphäre vor, wie Sie meiner Empfehlung folgend bei Moglen gelesen haben, oder?

Ökologisch bedeutet dabei, dass wir unsere Internet-Umwelt durch unsere Handlungen mitgestalten oder verschmutzen, wobei Wechselwirkungen auftreten. Wenn Alice die Dienste einer Datenkrake in Anspruch nimmt, macht sie diese attraktiver, so dass Bob eher in deren Saugnäpfe geraten wird. Wenn Alice beispielsweise ihr E-Mail-Konto bei einer Datenkrake unterhält, muss Bob seine E-Mails, die für Alice persönlich gedacht sind, an die Datenkrake übergeben, die die Kommunikation analysiert, für Geheimdienste und Ermittlungsbehörden (und vermutlich normale Geschäftspartnerinnen) zugänglich macht und nebenbei auch an Alice weiterleitet.

Eine zentrale Herausforderung besteht natürlich darin, dass wir nicht länger am Rechner sitzen müssen, um mit dem Internet verbunden zu sein. Smartphones, Brillen und Uhren, Fernseher, Autos, E-Bücher, Puppen und Spielekonsolen und was-weiß-ich werden zu Augen, Ohren und Positionsmeldern für uns und andere.

Es lohnt sich, kurz innezuhalten. Dank der ↑Snowden-Enthüllungen ist wohl jedem klar, dass Smartphones mit ihren Kameras, Mikrophonen und GPS-Empfängern phantastische Überwachungswerkzeuge sind, die ihresgleichen suchen. In der Tat hatte das ↑iPad 2 im Jahre 2011 die Rechenleistung des Supercomputers Cray 2 erreicht, der 1985 der schnellste Rechner der Welt zu einem Preis von 17 Mio. US$ war und der ↑1994 noch unter der Top-500-Liste der schnellsten Rechner der Welt vertreten war. Mit solchen Geräten kann man mehr anstellen, als Selfies zu versenden. Smart TVs bleiben da kaum zurück. Im Jahre 2015 ↑warnte Smart-TV-Hersteller Samsung seine Kunden, dass die Gespräche aus ihren Wohnzimmern ins Internet übertragen werden. Ebenfalls in 2015 wurde eine Barbie-Puppe von VTech berühmt, die nach einem Tagesschau-Bericht die Gespräche Ihrer Kinder katastrophal ungesichert ins Internet schickt, wo Kriminelle sich „Zugang zu fast 6,4 Millionen Kinder-Profilen mit Namen, Geschlecht und Geburtstagen verschaffen konnten.“ Auch ↑Fotos, Chat-Protokolle, Informationen zu Eltern und Adressen gehörten dazu – und der Hersteller sieht sich für den Schutz dieser Daten noch nicht einmal verantwortlich.

Alternative: Verzichten Sie auf „Smart“, fordern Sie Freiheit

So bequem „smarte“ Geräte (also vernetzte (Super-) Computer, die nicht so aussehen wie Computer) auch erscheinen mögen, viele gehören einfach auf den Müll. „Offline“ ist ein starkes Qualitätsmerkmal.

Alternative: Wählen Sie freie Software

Natürlich besitzen auch Alice, Bob und ich zahlreiche vernetzte Computer. Wir wollen dann aber die Kontrolle behalten, was diese Computer warum machen. Mit dem „Wollen“ allein ist noch nichts gewonnen. Kontrolle erfordert ↑freie Software und die bewusste Auswahl eingesetzter Dienste. Unsere Marktmacht entscheidet, welche Arten von Geräten und Diensten erfolgreich sein werden.

Unsere Marktmacht, unser Verhalten. Sie erinnern sich an die oben erläuterte ökologische Dimension unseres Verhaltens? Offenbar existieren auch ökonomische Lenkungsmöglichkeiten. Nutzen Sie sie.

Falls Sie nicht wissen, was freie Software ist, rate ich Ihnen dringend, sich damit zu beschäftigen, beispielsweise auf den Seiten der ↑Free Software Foundation Europe. Freie Software dürfen Sie ausführen, untersuchen und verändern, weitergeben, verbessern und verbessert weitergeben. Demgegenüber wirft unfreie Software soziale und ethische Probleme auf und ist nicht vertrauenswürdig.

Ob Software frei oder unfrei (auch als proprietär bezeichnet) ist, wird durch ihre Lizenzbestimmungen definiert (und nicht etwa durch den Preis). Bekannte Lizenzen für freie Software sind die ↑GNU General Public License (GNU GPL) oder ↑BSD-Lizenzen wie die ↑Apache-Lizenz und die ↑MIT-Lizenz.

Es sei am Rande erwähnt, dass die meisten Open-Source-Lizenzen die Kriterien für freie Software erfüllen. Während der Begriff „freie Software“ jedoch unsere Freiheit und unsere Kontrollmöglichkeiten in den Vordergrund stellt, ist dies bei „Open Source“ nicht der Fall.

Für Software im Dienste von Privatsphäre und informationeller Selbstbestimmung erscheinen mir diese Freiheit und Kontrollmöglichkeiten unverzichtbar. Wann immer Sie auf Software treffen, deren Hersteller Ihnen die Freiheiten freier Software verweigert, sollten Sie sehr vorsichtig sein. Es gibt dann vermutlich etwas zu verbergen, das nicht Ihnen nützt, sondern anderen Parteien …

Alternative: Verschlüsselte E-Mail ohne Datenkraken

Es wird niemand gezwungen, über das E-Mail-Konto des Herstellers eines Smartphones private E-Mails zu verschicken. Auf einem Android-Gerät ist es beispielsweise bequem, Google als Mail-Anbieter zu verwenden. Allerdings sind hervorragende deutsche Alternativen nur wenige Klicks entfernt. Im ↑Februar 2015 und ↑September 2016 schnitten bei Stiftung Warentest die Mail-Provider ↑Mailbox.org und ↑Posteo besonders gut ab.

Datenkraken (und damit auch globale Massenüberwachung) profitieren wesentlich von der freiwilligen Preisgabe persönlicher Daten. In der Tat ist es einfach und bequem, sich Datenkraken anzuvertrauen. Für asynchrone Kommunikation, auch in Gruppen, setze ich dann doch lieber auf E-Mail mit seinen dezentralisierten Anbietern, idealerweise mit ↑GnuPG verschlüsselt, oder auf einen der nachfolgend genannten alternativen Messenger.

Ganz allgemein helfen ↑kryptographische Sicherheitsmaßnahmen auch und gerade in Zeiten globaler Massenüberwachung. Ich kann nicht verhindern, dass meine Internet-Kommunikation abgefischt wird. Ich möchte es den Spitzeln aber wenigstens so schwer wie möglich – wenn nicht sogar unmöglich – machen zu verstehen, was sie da in ihrem Netz haben. Ich greife zu digitaler Selbstverteidigung und anonymisiere mein Surf-Verhalten mit ↑Tor und verschlüssele (interessierte Empfänger vorausgesetzt) E-Mails mit ↑GnuPG, wie ich auf diesen Seiten genauer beleuchte.

Alternative Messenger

Messenger von im Überwachungskapitalismus verwurzelten US-Firmen verdienen nicht, dass wir ihnen unsere Gedanken und Aufenthaltsorte anvertrauen. Beispielsweise wurde bei WhatsApp ursprünglich behauptet, dass keine ↑Nutzerdaten zu Facebook weitergegeben würden, was dann geändert werden sollte und massive Proteste nach sich zog. Obendrein wurde die Ende-zu-Ende-Verschlüsselung von Signal auch in WhatsApp umgesetzt, aber Facebook hat wohl vergessen zu erwähnen, dass zusätzlich ein „Feature“ eingebaut wurde, mit dem die Nachrichten entschlüsselt werden können: ↑WhatsApp enthält eine Hintertür (engl. backdoor) zum Schnüffeln.

Wer an einem ↑Messenger bzw. einer ↑Chat-Anwendung zum Austausch von Textnachrichten in Echtzeit auf dem Smartphone interessiert ist, wobei Privatsphäre als Entwurfsziel im Vordergrund steht, sollte sich die auch von ↑Edward Snowden empfohlene freie Software ↑Signal ansehen, die die bisherigen Apps TextSecure und RedPhone vereint und die beispielsweise in ↑Tests der Electronic Frontier Foundation hervorragend abgeschnitten hat. Signal setzt unter Android allerdings die proprietären ↑Google Play Services voraus, die einen mit Google kommunizierenden Hintergrundprozess einrichten, was für mich nicht in Frage kommt. Die ohne Play Services auskommende, auf WebSockets basierende Variante von Signal namens ↑LibreSignal wird ↑seit Mai 2016 leider nicht mehr weiterentwickelt.

Prinzipiell hat (Libre)Signal den Nachteil, dass es aktuell nur einen Server-Betreiber gibt, über dessen Infrastruktur die (verschlüsselte) Kommunikation abgewickelt wird, nämlich den Hersteller der Software, ↑Open Whisper Systems. Eine derartige Zentralisierung ist immer gefährlich, weil sie Abhängigkeiten schafft und Begehrlichkeiten weckt.

Alternative: Verwenden Sie dezentrale Messenger

Dezentralisierte Chat- und Messenger-Alternativen sind aufbauend auf ↑XMPP (Jabber) entstanden. Die Netzarchitektur von XMPP ist ähnlich der von E-Mail aufgebaut, wobei XMPP-Kennungen wie E-Mail-Adressen aussehen und die Nachrichten zwischen verschiedenen XMPP-Server-Betreibern ausgetauscht werden. Beispielsweise verfügen Kunden des oben erwähnten E-Mail-Anbieters ↑Mailbox.org automatisch über eine XMPP-Kennung.

Bestehen Sie auf Off-the-Record Messaging

Verschiedene XMPP-Clients oder -Apps unterscheiden sich deutlich hinsichtlich ihres Sicherheitsniveaus. Das mittlerweile als klassisch zu bezeichnende Sicherheitsprotokoll für Chat-Anwendungen ist das 2004 vorgestellte ↑Off-the-Record Messaging (OTR), das folgende Sicherheitseigenschaften „normaler“ Gespräche unter vier Augen anstrebt: Die Gesprächspartner – und nur sie – wissen, wer was gesagt hat; es gibt aber keine Möglichkeit, nachzuweisen wer was gesagt hat, und es bleiben keine Spuren des Gesprächs zurück. OTR garantiert diese Sicherheitseigenschaften durch Ende-zu-Ende-Verschlüsselung in Kombination mit ↑Diffie-Hellman-Schlüsselaustausch.

Ich weise ausdrücklich darauf hin, dass die Sicherheitseigenschaften von OTR eigentlich selbstverständlich sind: Über Jahrtausende fand menschliche Kommunikation derart geschützt statt. Erst in jüngerer Vergangenheit reden manche Strafverfolger, Sicherheits- und Innenpolitiker uns ein, dass es keine vertraulichen Gespräche geben dürfe, insbesondere wenn die Gespräche per Telefon oder über das Internet geführt werden. Alice, Bob und ich glauben das nicht. Wir glauben an Brief-, Post- und Fernmeldegeheimnis, an Privatsphäre und informationelle Selbstbestimmung, auch wenn wir elektronisch kommunizieren. Daher lehnen wir Messenger ab, die OTR nicht unterstützen.

Für verschiedene Betriebssysteme jenseits von Smartphones unterstützt der ↑Tor Messenger OTR basierend auf XMPP. Zudem werden sämtliche Daten über Tor übertragen.

OMEMO bietet OTR für Gruppen

OTR hat allerdings den Nachteil, dass es nicht für Gruppenkommunikation geeignet ist. Dieser Mangel wurde durch ↑OMEMO Multi-End Message and Object Encryption behoben, das als Weiterentwicklung von OTR verstanden werden kann und Ende-zu-Ende-Verschlüsselung für Gruppen-Chats umfasst. OMEMO integriert das ↑Axolotl-Protokoll, das ursprünglich für Signal (bzw. den Vorläufer TextSecure) entwickelt worden ist und auch in anderen ↑vielversprechenden Anwendungen namhafter Sicherheitsexperten zum Einsatz kommt.

Der erste Messenger, der OMEMO unterstützt, ist die freie Android-App ↑Conversations. (Conversations ist der erste Messenger, weil OMEMO in dem zugehörigen Projekt entwickelt wurde, ↑andere werden folgen.) Um Conversations zu nutzen, können Sie entweder innerhalb der App eine XMPP-Kennung erstellen (die nach 6 Monaten kostenpflichtig wird), oder Sie verwenden eine außerhalb der App eingerichtete XMPP-Kennung. Wie gesagt, evtl. funktioniert Ihre E-Mail-Adresse bereits als XMPP-Kennung. Ansonsten finden Sie Anbieter im Web, etwa in diesem ↑XMPP-Verzeichnis.

Schließlich sei erwähnt, dass aktuell vielversprechende, Ende-zu-Ende verschlüsselnde Messenger entstehen, deren Kommunikation vollständig über Tor-Anonymisierungsserver abgewickelt wird, so dass weder sichtbar wird, wer sich mit wem unterhält, noch worüber. Für Desktop-PCs gibt es etwa den ↑Tor Messenger und ↑Ricochet, für Android entsteht ↑Briar.

Alternative Telefoniedienste: Mumble und Spreed.ME

Als freie, dezentralisierte, verschlüsselte Alternative zu Skype empfehle ich ↑Mumble, dessen Server jemand mit technischem Interesse aufsetzen muss. Alternativ könnten Sie ↑Spreed.ME in Nextcloud ausprobieren, das ich selbst (noch) nicht nutze, aber das auf dem ↑WebRTC-Standard aufsetzt und mit Ende-zu-Ende-Verschlüsselung direkt aus dem Browser heraus funktioniert.

Alternative Suchmaschinen

Auch in anderen Fällen werden wir nicht gezwungen, uns in Tentakeln zu verheddern. Persönlich halte ich die Suchergebnisse von Google für hervorragend, jedoch möchte ich Google nicht mit meinem Suchverhalten füttern und verwende daher Alternativen wie ↑Startpage, wo Google-Ergebnisse auf datenschutzfreundliche Art ausgeliefert werden, oder ↑Metasuchmaschinen wie das von einem deutschen Verein betriebene ↑MetaGer, das von einer deutschen Firma betriebene ↑UNBUBBLE oder das niederländische ↑ixquick.

Alternativen zu Cloud-Diensten, insbesondere Owncloud/Nextcloud

Ich ↑meide die Cloud, um private Daten nicht unkontrolliert Dritten zu überlassen. Die Web-Seite ↑PRISM-Break listet zahlreiche, auf ↑freier Software basierende Alternativen zu beliebten Datenkraken auf.

Alice und Bob setzen zum Surfen auf die freie Software ↑Firefox (insbesondere die später besprochene, von Datenschutzexperten entwickelte Firefox-Variante Tor Browser). Ihnen ist kein anderer empfehlenswerter Browser bekannt, wenn der Schutz ihrer Privatsphäre im Fokus steht.

Um dies ganz deutlich zu sagen: Bei Verwendung vieler (möglicherweise liebgewonnener) Dienste und Funktionen sind im Internet aktuell weder Privatsphäre noch informationelle Selbstbestimmung möglich. Sie haben aber eine Chance, dass Nachrichten, Dokumente, Fotos, Termine und Kontakte Ihre Privatangelegenheit bleiben, wenn Sie sie nicht unkontrolliert weitergeben. Sie könnten z. B. einen ↑Netzwerkspeicher (Network Attached Storage, NAS) für derartige Daten anschaffen; wenn Sie technisch interessiert sind, können Sie auf diesem Gerät zudem die freie Software ↑ownCloud oder ↑Nextcloud als vollwertige Synchronisationslösung installieren. Dann können Sie entscheiden, wem Sie wann Zugriff worauf gewähren wollen (sich selbst, Familienangehörigen, Freunden; nur lokal bei Ihnen zu Hause oder auch aus dem Internet). Anleitungen gibt es viele, auch immer wieder in Zeitschriften. Aktuelle Hinweise finden Sie beispielsweise unter dem ↑Thema „NAS“ bei heise online.

Alternative Wege ins Internet: Freifunk

Schließlich halte ich alternative Kommunikationsnetze in Form drahtloser ↑Mesh-Netzwerke für eine sehr gute Idee. Solche Netze bauen eine eigene Kommunikationsinfrastruktur auf, was zusätzliche Wege ins Internet eröffnet und Überwachung erschwert. In Deutschland halte ich das ↑Freifunk-Projekt für sehr empfehlenswert. Seit September 2014 betreibe ich selbst einen Freifunk-Router im Rahmen von ↑Freifunk Münsterland. Ich freue mich über freies WLAN, und Freifunk ermöglicht es mir als Privatperson, mit einfachen Mitteln selbst ein offenes WLAN anzubieten, ohne Angst vor absurder Störerhaftung haben zu müssen.

Digitale Selbstverteidigung

Gegen die Jagd von Datenkraken im Untergrund (etwa in Form von Werbe-Netzen, Like- oder anderen Social-Media-Buttons) ist digitale Selbstverteidigung erforderlich. Ich halte Werbe-Blocker und anonymisierende Browser für unverzichtbar und erläutere deren Funktionsweise auf diesen Seiten. (Web-Server-Betreiber, die unsere Privatsphäre respektieren, bewerben ihre Social-Media-Auftritte mit ↑c’t Shariff.)

Bei kostenlosen Diensten von US-Unternehmen gibt es in der Regel keine private Kommunikation. So einfach ist das.

Kommen wir damit zum zweiten Teil der einleitenden Einschätzung: Datenkraken wie Facebook und Google wissen nicht alles. Wenn Sie Ihnen Ihre Daten aber auf dem Silbertablett servieren, wird natürlich gierig zugegriffen, wobei „Ihre“ Daten zu „deren“ Daten werden, die auch der Massenüberwachung zugänglich gemacht werden.

Ich versuche im Folgenden, Hinweise zu geben, wie Alice und Bob ein Stück Kontrolle über die eigenen Daten und damit ihre Privatsphäre im Internet gewinnen können. Die dabei vorgestellten Techniken zur digitalen Selbstverteidigung wirken als Schutz vor Dritten, einerseits um deren unkontrollierten Zugriff auf den eigenen Rechner und andererseits deren Sammlung von Kommunikationsdaten zu erschweren. Dabei spielt es keine Rolle, welche Interessen diese Dritten verfolgen – sowohl der Identitätsdiebstahl durch Kriminelle als auch die Profilbildung durch Werbenetze und Grundrechtsverletzungen durch staatliche Stellen werden erschwert.