Herr Mey, Sie sprechen von digitaler Selbstverteidigung. werden wir angegriffen?
Ja, und zwar von drei Seiten. Seit Edward Snowden wissen wir erstens, dass Geheimdienste massenhaft Daten abgreifen. Nicht nur in Schurkenstaaten, sondern auch in westlichen Demokratien. Zweitens gibt es die Datensammlung großer Unternehmen, vor allem der Big Five: Google, Apple, Facebook, Amazon, Microsoft. Die haben in den wichtigsten Digitalbereichen ein Quasi-Monopol oder ein Oligopol. Drittens gibt es Cyberkriminelle. Es kann sein, dass man sich ein Virus einfängt, das den Rechner verschlüsselt, oder dass Daten abgegriffen werden, um jemanden zu erpressen. Es gibt ungerichtete Massenüberwachung, aber auch gezielte Überwachung, etwa von Journalisten.
Sind Journalisten die Hauptzielgruppe oder sind auch Politiker betroffen?
Alle können betroffen sein. Je weiter oben sie stehen, desto eher. Politiker und die öffentliche Verwaltung sind vielleicht noch interessanter als Journalisten. Für sie ist Spionage durch andere Staaten eine potenzielle Gefahr. Die Regierung agiert auf diesem Gebiet sehr fahrlässig. Ein Beispiel: Die meiste Behörden- und Regierungskommunikation läuft auf Windows-Rechnern. Das ist eine ziemliche Katastrophe. Die Software kommt von Microsoft und der Programmcode ist nicht veröffentlicht. Ich halte es für wahrscheinlich, dass darin Hintertüren enthalten sind. Man weiß von Edward Snowden, dass Microsoft eng mit heimischen US-Geheimdiensten zusammenarbeiten muss. Microsoft erlaubt Behördenvertretern unter restriktiven Bedingungen, in den Quellcode zu schauen. Eine sichere, uneingeschränkte Kontrollmöglichkeit, auch durch unabhängige Dritte wie den Chaos Computer Club (CCC), sieht anders aus.
Stefan Mey ist freier Technologie-Journalist in Berlin und Teil des Journalistenbüros Schnittstelle. Er schreibt für General-Interest- und Special-Interest-Medien. Mey ist Autor eines Darknet-Sachbuchs (“Darknet: Waffen, Drogen, Whistleblower”) und hat für das deutsche Medium Magazin gerade eine Beilage zu digitaler Selbstverteidigung geschrieben. Zu den Themen hält er auch Vorträge und Workshops für Volkshochschulen, IHKs und Journalismusschulen. E-Mail: stefan-mey[at]posteo.de Schlüssel-ID bei keys.openpgp.org: 4AFF287111E19A5B (c) Ralf Rühmeier
Ist das Thema Cyber-Sicherheit durch Corona noch dringlicher geworden?
Es hat durch Corona einen ganz neuen Stellenwert bekommen. Vorher gab es abgesicherte Firmennetzwerke und Verwaltungssysteme. In Corona-Zeiten arbeiten sehr viele Leute komplett von zu Hause aus mit eigenen Geräten und Programmen, die viel weniger gesichert sind.
Im Dokumentationsfilm über Edward Snowden tippt er seine Passwörter unter einer Bettdecke ein und legt Handys in den Kühlschrank. Müssen wir das jetzt alle machen?
Snowden musste, ohne paranoid zu sein, davon ausgehen, dass der beste Geheimdienst der Welt nennenswerte Ressourcen aufwendet, um ihn zu finden. Dermaßen im Fokus dürften nur wenige Menschen stehen, beispielsweise die Bundeskanzlerin. Sich vor einem Gegner wie der National Security Agency (NSA) zu schützen, ist für Menschen ohne detaillierte IT-Kenntnisse so gut wie aussichtslos. Die meisten Menschen sind glücklicherweise nicht im Fokus zielgerichteter Überwachung. Uns genügt der klassische Werkzeugkasten digitaler Selbstverteidigung. Es geht darum, unnötige Einfallstore für Cyberattacken und Überwachung zu eliminieren.
“Viele arbeiten aus dem Homeoffice mit unsicheren Geräten”
Wenn ich mir über so etwas noch nie Gedanken gemacht habe: Was ist die erste, leichte, schnellste Maßnahme?
Als erstes würde ich dazu raten, E-Mails zu verschlüsseln. In eine unverschlüsselte E-Mail können mein Anbieter und der Anbieter des Empfängers reingucken und den Inhalt an Behörden weitergeben. Wenn mein Anbieter gehackt wird, erlangen Hacker Zugriff auf meine Mails. E-Mail-Verschlüsselung ist einfach und das Prinzip ist genial. Eine Software auf meinem Rechner verwandelt meine Nachricht in Zeichensalat, den nur der Empfänger entschlüsseln kann. Alle dazwischen können nichts entziffern. Als Open-Source-Software gibt es Thunderbird für den PC. Dort ist die Verschlüsselungsoption nahtlos integriert. Ich muss mit meinem Gegenüber einmalig einen Schlüssel austauschen. Ab da können wir uns völlig abhörsicher austauschen.
Ist es Zufall, dass alle Ihre Empfehlungen Open Source sind?
Open Source ist die Voraussetzung dafür, dass man einem Programm vertrauen kann. Es bedeutet, dass der Quellcode, das heißt die Bauanleitung des Programms, veröffentlicht wird. Leute, die viel von IT verstehen, können im Quellcode nach Lücken oder Hintertüren suchen. Es gibt eine weltweit gut vernetzte Community von IT-Aktivisten, die die wichtigsten Open-Source-Programme prüfen.
Ist nicht die Hauptsache, dass das Programm einfach funktioniert?
Das reicht nicht. Wir brauchen ein allgemeines Bewusstsein für die Vertrauenswürdigkeit von Programmen. Ich finde es sehr fahrlässig, wenn Finanzämter auf Rechnern mit Windows sensible Daten verwalten. Es wäre interessant, wenn Gerichte einmal darüber entscheiden würden, ob das überhaupt zulässig ist. Der Staat hat die Verpflichtung, alles Denkbare zu tun, um die Daten der Bürger zu schützen, vor allem vor einem Zugriff aus dem Ausland. Das passt mit Software von Microsoft eigentlich nicht zusammen. Ich verstehe nicht, warum nicht längst viele Behörden auf das freie Betriebssystem Linux umgestiegen sind. Selbst dann nicht, wenn auf Bundesländerebene oder in Kommunen linke Parteien in der Regierung sind, die ansonsten gern über den Überwachungskapitalismus klagen.
Viele dürften davor zurückschrecken, ihrem Computer ein neues Betriebssystem zu verpassen.
Früher war Linux ein Betriebssystem für Computerfreaks. Heute ist es viel zugänglicher, vor allem für Privatanwender. Linux-Systeme haben ein paar Tücken. Viele kommerzielle Software gibt es nicht für Linux. Linux liefert aber für die wichtigsten Bereiche Open-Source-Alternativen mit. Der Umstieg ist für Verwaltungen nicht ganz banal, da viele der verwendeten Programme auf Windows ausgerichtet sind. Die Münchener Verwaltung hat mit LiMux aber gezeigt, dass das prinzipiell möglich ist. Unverständlicherweise hat München leider beschlossen, zu Windows zurückzukehren.
Trotzdem dürften sich viele denken: Never change a running system.
Es gibt eine nette Einrichtung in Städten, sogenannte Crypto-Partys. Das sind Veranstaltungen, bei denen IT-Aktivisten ehrenamtlich Einführungen in Open-Source-Programme geben. Besucher können ihre Geräte mitbringen und lernen, wie sie ihre E-Mails verschlüsseln oder Linux einrichten. Es ist aber sicher auch hilfreich, das Gespräch mit der IT Abteilung der eigenen Organisation zu suchen.
Sie empfehlen, mit Firefox zu surfen. Warum?
Der Firefox-Browser kommt nicht von den Big Five, sondern von der gemeinnützigen Stiftung Mozilla. Die haben nicht den ökonomischen Anreiz, Daten zu Geld zu machen. Bei Firefox sollte man zusätzlich einstellen, dass am Ende einer Session die Cookies gelöscht werden.
Reicht das?
Außerdem schlage ich eine Inventur der Passwörter vor. Sie sollten nicht leicht zu erraten sein. Außerdem sollte man für verschiedene Zugänge verschiedene Passwörter nutzen. Wenn ein Passwort auffliegt, halten die Hacker nicht den Schlüssel für alle Konten in der Hand.
“Als erstes würde ich dazu raten, E-Mails zu verschlüsseln”
Was für Passwörter sind denn sicher?
Da gibt es nette Methoden. Einfach ist es zum Beispiel, einen Nonsens-Satz zu bilden, etwa: Ein ganzes Brot kostet weniger als zwei halbe Brötchen, oder? Hiervon nimmt man den jeweils ersten Buchstaben, die Zahlen, Satz- und Sonderzeichen und erhält ein ziemlich sicheres Passwort: EgBkwa2/2B,o?. Es gibt auch Passwortmanager. Das sind Programme, die eine Liste mit allen Passwörtern verwalten. Ich empfehle Programme aus der KeePass-Familie, die sind Open Source.
War die Corona App eigentlich ein Fortschritt?
Die Corona App war eine Erfolgsgeschichte der digitalen Zivilgesellschaft. Sie war zunächst als zentralisierte App mit geheimem Code geplant, das wurde aber gekippt. Ich hoffe das Beispiel wird Schule machen.
Nehmen wir an, ich möchte eine Word Datei mit sensiblen Infos schützen. Wie mache ich das?
Die Software Libreoffice ist eine gute Alternative für Microsoft, mit allem Pipapo. Hier kann man Dokumente mit einem Kennwort versehen. Wenn der eigene Rechner unsicher ist, kann man bestimmte Dokumente mit einem Passwort sichern. Das ist übrigens auch eine punktuelle Behelfslösung für alle, denen Verschlüsselung von E-Mails zu kompliziert ist. Sie können den Inhalt der Mail in ein Dokument packen, es mit einem Passwort schützen und verschicken. Das Kennwort tauscht man über einen sicheren Messenger aus.
Bei Messengern raten Sie von Whatsapp ab, warum?
Ich rate nicht generell von Whatsapp ab. Enthaltung ist bei massenhaft verbreiteten Tools wie Whatsapp und Facebook nicht durchzuhalten. Wohl aber rate ich von der beruflichen Nutzung und der Nutzung für sensible Daten ab. Whatsapp gehört zu Facebook. Facebook führt entgegen früherer Versprechen die Daten mehrerer Profile zu einem zusammen und kann sehr genau nachvollziehen, wer mit wem kommuniziert. Wenn eine Behörde oder die Politik dienstlich über Whatsapp kommuniziert, sollte sie das wissen. Whatsapp hat einen nichtöffentlichen Code. Ja, sie haben eine sehr gute Verschlüsselung eingebaut. Da Whatsapp nicht Open Source ist, kann man aber nicht überprüfen, ob es nicht doch Hintertüren gibt.
Wie relevant ist Verschlüsselung in der politischen Kommunikation?
Es ist untragbar, dass Bürger nicht verschlüsselt mit Journalisten und Politikern kommunizieren können. Jede Webseite eines Abgeordneten sollte beispielsweise die Möglichkeit beinhalten, eine verschlüsselte E-Mail zu senden. Es ist kein großer Aufwand, das einzurichten. Man veröffentlicht seinen öffentlichen PGP-Schlüssel und jeder, der will, kann einem verschlüsselt mailen.
Wie sieht es bei Journalisten aus?
Einige Medien sind gut aufgestellt. Die Süddeutsche Zeitung, Heise und der Spiegel haben neben einer üblichen E-Mail-Adresse auch besonders sichere Kanäle für potenzielle Whistleblower eingerichtet, etwa Darknet-Postfächer. Ansonsten sind Journalisten nicht Avantgarde. Nur eine kleine Minderheit hat überhaupt E-Mail-Verschlüsselung eingerichtet.
Müssten Medien Ihrer Meinung nach mehr dafür trommeln?
Medien berichten oft sehr kritisch über Daten-Oligopole. Andererseits sind sie ein großer Teil des Problems. Medien-Webseiten kommunizieren teils mit 30 anderen Webadressen, weil Werbenetzwerke, Cloud- und Tracking-Dienste eingebaut sind. Ich habe mir die zehn größten Online-Medien angeschaut. Fast alle senden Daten an Google, die meisten auch an Facebook. Das ist doch schräg: Eine Journalistin schreibt einen kritischen Artikel über Datengiganten, und die Daten derer, die das lesen, werden automatisch über eingebundene Dienste an Google und Facebook geschickt. Teilweise gibt es das auch bei Seiten von Parteien. Die Bundestags-Webseite ist sauber. Aber auf der Webseite der CDU sind Google-Dienste eingebunden. Über die Firefox-Erweiterung Noscript kann übrigens jeder selbst einsehen, welche Datenströme Webseiten im Hintergrund anstoßen. Das ist teilweise erschreckend.
Wir haben jetzt fast nur über Computer gesprochen.
Es ist wahnsinnig schwer, ein Handy sicher zu machen. Smartphones sind ziemliche Datenschleudern. Ein Umstieg auf ein freies Betriebssystem ist leider viel schwieriges als bei PCs. Wenn man bei sensiblen Vorgängen sicher sein will, sollte man deshalb lieber nicht das Smartphone nutzen.
Zehn Tipps, wie Sie sicherer kommunizieren
- Machen Sie eine Inventur Ihrer Passwörter und erzeugen Sie starke Passwörter für die wichtigsten Profile, Daten und Geräte.
- Probieren Sie für weniger wichtige Passwörter einen Passwort-Manager wie Keepass aus.
- Richten Sie sich eine E-Mail Verschlüsselung im Open-Source-Programm Thunderbird ein.
- Steigen Sie auf den Browser Firefox um, deaktivieren Sie automatische Suchvorschläge und installieren Sie die Firefox-Erweiterung Multi-Account-Containers (verhindert, dass Seiten durch Zusammenführen von Daten ein Profil von Ihnen erstellen).
- Steigen Sie auf Libreoffice um und probieren Sie die Verschlüsselung eines Textdokuments aus.
- Machen Sie sich mit dem Anti-Überwachungs- und Anti-Zensur-Browser Tor vertraut, vielleicht brauchen Sie ihn einmal.
- Probieren Sie das abhörsichere Datei-Austauschprogramm Onionshare aus.
- Überprüfen Sie in den Smartphone Einstellungen, welche Datenflüsse es an Google bzw. Apple gibt, und justieren sie nach.
- Falls Sie eine anonyme Kontaktaufnahme für Quellen anbieten, steigen Sie auf einen Messenger um, der das Profil nicht mit der Telefonnummer verknüpft (z.B. Threema).
- Probieren Sie ein Linux-Betriebssystem für PC aus (z.B. Ubuntu), indem Sie es testweise von einem USB-Stick auf Ihrem PC starten.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe N° 133 – Thema: Seuchenjahr – Sprache, Bilder, Inszenierung hinter der Maske. Das Heft können Sie hier bestellen.
