Angesichts der Tatsache, dass Regierungen und Geheimdienste ungeniert und hinter unserem Rücken die Kommunikation mitschneiden gibt es für uns alle nur zwei Alternativen: Resignieren und Privatsphäre aufgeben oder ab sofort alle E-Mails verschlüsseln. Machen wir den Schnüfflern das Leben schwer. Wenn wir alle verschlüsselt kommunizieren, wird die Datenfilterung mittels Hitwörter unmöglich. Der technische Aufwand zum massenhaften Entschlüsseln unserer Daten dürfte den Geheimdiensten gehörige Kopfschmerzen bereiten. Doch womit sollen wir unsere liebgewordenen Kommunikationsmethoden ersetzen? Ich habe ein paar Alternativen aufgelistet:
Inhalt
1. E-Mails auf PC und Smartphone verschlüsseln
E-Mails sollten zukünftig nur noch verschlüsselt, am besten mit Pretty Good Privacy durch das Internet geschickt werden. Dabei wird ein öffentlicher und ein privater Schlüssel erstellt. Den öffentlichen Key – in Form einer simplen Textdatei – müssen Sie mit ihren Kommunikationspartnern vorab teilen, damit diese ihre Mails entschlüsseln können. Den privaten Key geben Sie auf keinen Fall aus der Hand. Für die Verschlüsselung eignet sich das kostenlose Open Source Projekt „GnuPG“. Der Vorteil von Open Source: Der Quellcode liegt offen, viele Entwickler können darauf basierend eigene Software entwickeln. Es würde auffallen, wenn dort jemand eine Hintertür für das Abschnorcheln von Daten einbaut. Anders als bei kommerzieller Software, bei denen Fremde keinen Einblick in den Quellcode erhalten und somit nicht wissen, welche Lücken – etwa für Geheimdienste – offen gehalten wurden.
Thunderbird + Enigmail + gpg4win
Für Windows-Anwender bietet sich die Software „gpg4win“ an, die zusammen mit einem E-Mail Client wie Microsoft Outlook oder noch besser Mozilla Thunderbird installiert werden kann. Mac User sollten bei „gpgtools.org“ vorbeischauen. Das neue GPG-Mail ist ebenfalls kostenlos und unterstützt OSX 10.8 „Mountain Lion“.
Einmal eingerichtet ist das Ver- und Entschlüsseln von E-Mails auf Knopfdruck ein Kinderspiel. Hier: Thunderbird in Kombination mit Enigmail und gpg4win.
Ich habe gpg4win unter Outlook 2003 getestet. Dort allerdings nur mit mäßigem Ergebnis: Zwar integriert sich das Programm angenehm in die Outlook Oberfläche, auch die Verwaltung der Schlüssel war recht einfach zu handhaben. Jedoch: Beim Versand und Empfang von verschlüsselten Mails mit Dateianhängen neigte das Tool – jedenfalls bei mir und einem zum Test einbezogenen Freund mit ähnlicher Systemkonfiguration – zu Programmabstürzen. Outlook 2010 wird gar nicht unterstützt. Besser funktioniert die Kombination des freien E-Mail-Clients „Thunderbird“ in Kombination mit dem Add-On „Enigmail“ und der gpg4win Variante „Vanilla“. Klingt kompliziert, ist es aber nicht. Zunächst installiert man den E-Mail Client Thunderbird. Danach das Add-On Enigmail. Dieses integriert quasi die grafische Konfigurations- und Bedienelemente für die Verschlüsselung in Thunderbird. Gpg4win ist wiederum für die eigentliche Verschlüsselung zuständig. Eine Anleitung, wie man sich ein sicheres System mit Thunderbird, Enigmail und gpg4win aufsetzt hat der Spiegel kürzlich veröffentlicht. Weitere Einstellungen für Enigmail gibt es in der Wiki von Thunderbird.
Verschlüsseln von Google oder Outlook.com E-Mails
Für verschlüsselte Kommunikation müssen Sie nicht auf Webmail-Dienste verzichten. Sie können also weiterhin beispielsweise einen Google- oder Outlook-Mail-Account verwenden. Einzige Einschränkung: Statt E-Mails direkt im Webbrowser zu schreiben, müssen Sie diese mit ihrem lokalen E-Mail Client bearbeiten. Natürlich nur, wenn Sie ver- und entschlüsseln wollen.
Einen Webmail-Account können Sie auch mit Thunderbird bearbeiten. Einfach Zugangsdaten eingeben. Thunderbird ermittelt den Serverzugriff automatisch.
Mit Thunderbird ist der Zugriff auf ihre Webmail-Accounts denkbar einfach: Richten Sie lediglich in Thunderbird ein neues Konto ein und geben ihre Google oder Outlook Zugangsdaten bestehend aus E-Mail-Adresse und Passwort ein. Thunderbird konfiguriert den Zugriff auf die Server automatisch. Sie können bei Google anschließend noch zwischen IMAP oder POP3 Zugriff wählen. Bei IMAP bleiben die Mails bei ihrem Webmail-Anbieter gespeichert, Sie „bedienen“ den Account lediglich über Thunderbird. Mit POP3 werden die Mails alle lokal auf ihren Computer heruntergeladen. Outlook.com unterstützt hingegen kein IMAP.
PGP Schlüsselpaar erzeugen
Legen Sie sich nun noch einen PGP-Schlüssel für die betreffenden Mailadressen an und der verschlüsselten Kommunikation steht nichts mehr im Wege. Unter Thunderbird gehen Sie dazu rechts oben im Menü auf den Punkt OpenPGP -> Schlüssel verwalten.
Für alle eingerichteten E-Mail Accounts können Sie nun bequem PGP-Schlüsselpaare erstellen.
Hier können Sie für alle bereits eingerichteten E-Mail Accounts unter dem Menüpunkt „Erzeugen“ ein eigenes PGP-Schlüsselpaar einrichten. Auf Wunsch mit Passphrase. Das bedeutet, dass Sie zum ver- und entschlüsseln zusätzlich ein Passwort eingeben müssen. Legen Sie vor Erstellen ihres Keys fest, wie lange der Schlüssel seine Gültigkeit behalten soll. Unter dem Menüpunkt „Erweitert“ können Sie zudem die Verschlüsselungsstärke festlegen. Je größer, desto besser. Beispiel: RSA 4096. Klicken Sie nun auf „Schlüssel erzeugen“. Je nachdem wie schnell ihr Computer ist, dauert es nun einige Sekunden, bis das Schlüsselpaar erstellt wurde. Anschließend haben Sie die Möglichkeit ein sogenanntes Widerrufs-Zertifikat zu erstellen. Dies ist für den Fall notwendig, dass ihr privater Schlüssel kompromittiert wurde und sie den Key nicht mehr verwenden wollen. Dann können Sie den Key mit Hilfe des Widerruf-Zertifikates offiziell für ungültig erklären. Den öffentlichen Teil ihres Schlüssels können Sie dann über die Schlüsselverwaltung unter Datei -> Exportieren als .ASC abspeichern und ihren Kommunikationspartnern übermitteln. Verschlüsseln und Entschlüsseln von E-Mails funktioniert nämlich nur, wenn jeder Seite jeweils über den öffentlichen Schlüsselteil des Anderen verfügt.
Eine Anleitung mit Videotutorial findet sich auch bei Netzpolitik.org
Verschlüsselung auf dem Android
Auch unterwegs muss man auf PGP Verschlüsselung seiner Mails nicht verzichten. Am besten geht dies mit den kostenlosen Programmen K9 (E-Mail Client) und der OpenPGP Verschlüsselungs-App APG. Beide sind gratis im Google Play Store erhältlich. Achten sie bei der Installation unbedingt auf die Installations-Reihenfolge: Erst APG und dann K9 herunterladen und installieren.
Über den Menübutton ihres Android-Devices erreichen Sie in APG die Einstellungen für den Schlüsselimport. (Screenshot Galaxy Tab 2)
Nach der Installation rufen Sie die APG App auf. Über den Menübutton ihres Android-Devices erreichen Sie den Punkt „Private Schlüssel Verwalten“. Hier können Sie nun ein PGP-Schlüsselpaar für ein E-Mail Konto erzeugen oder, wenn Sie dies bereits am PC gemacht haben, ein vorhandenes Schlüsselpaar importieren.
Gehen wir davon aus, dass Sie bereits ein Schlüsselpaar für ihren E-Mail Account besitzen: Um ein existierendes Schlüsselpaar auf ihr Android-Gerät zu importieren, müssen Sie es von ihrem PC zunächst als Datei exportieren. Mit Thunderbird gehen Sie dazu wieder über das Menü oben rechts unter dem Punkt „OpenPGP“ auf „Schlüssel verwalten“. Wählen Sie nun den zu exportierenden Schlüssel aus und klicken auf „Datei -> Exportieren“. Enigmail fragt Sie nun, ob sie nur den öffentlichen oder beide Teile, also auch den privaten Key exportieren wollen. Da Sie auf ihrem Android Gerät Ihre eigenen Mails ver- und entschlüsseln wollen müssen Sie nun beide Keys exportieren. Die Schlüssel werden als Textdatei mit der Endung .asc abgespeichert.
Ihr eigenes PGP-Schlüsselpaar bitte nur direkt per USB-Kabel übertragen und nicht per E-Mail auf ihr Android-Gerät schicken! Der private Teil darf unter keinen Umständen in fremde Hände gelangen!
Jetzt muss der Schlüssel auf ihr Android-Gerät kopiert werden. ACHTUNG: Kommen Sie bloss nicht auf die Idee, sich die .ASC Datei einfach per E-Mail vom PC auf ihr Smartphone oder Tablet zu schicken. Der private Schlüsselteil ist streng geheim und sollte auf keinen Fall in fremde Hände gelangen. Ihn über das Internet zu verschicken ist daher absolut tabu! Die Übertragung erfolgt am besten ganz klassisch per USB-Kabel von PC zum Android-Gerät. Schließen Sie ihr Endgerät an, öffnen Sie unter Windows das entsprechende neue „Laufwerk“ und speichern die .ASC-Datei im Ordner APG ab, den die App bereits erstellt hat.
Wer immer jetzt bei Google mitliest: Mit Ihren verschlüsselten E-Mails ist ohne PGP-Key nichts mehr anzufangen.
Denken Sie daran: Zum Ver- und Entschlüsseln der E-Mails benötigen Sie auch immer den öffentlichen Schlüsselteil ihres Kommunikationspartners. Diesen müssen Sie sich also vorher von ihrem Gegenüber geben lassen, oder Sie schauen nach, ob der öffentliche Schlüssel über so genannte „Keyserver“ (z.B. http://pgp.mit.edu/) bereit gestellt wurde. Der öffentliche Schlüsselteil ist – wie der Name schon sagt – öffentlich und nicht geheim. Daher können Sie diese getrost per E-Mail verschicken und die Datei anschließend in APG über die Menüpunkte „Öffentliche Schlüssel verwalten -> Schlüssel importieren“ installieren.
Der K9 E-Mail Client für Android hingegen macht zusammen mit der APG App private Mails wieder sichtbar. (Gegen Rechtschreibfehler ist er allerdings machtlos ;-)
Sind alle wichtigen Schlüsselpaare ihrer Kommunikationspartner installiert, kann es mit der Geheimniskrämerei losgehen. Über den E-Mail Client „K9“ für Android können Sie nun bequem Mails senden und empfangen und über ein Häkchen diese Mails auch gleich verschlüsseln. Sind die Schlüsselpaare ihrer Kommunikationspartner in APG gespeichert, kann K9 auch so eingestellt werden, dass jede Mail automatisch verschlüsselt übertragen wird. Wer nun unberechtigten Zugriff auf ihr Google-Postfach erlangt, wird mit den dort hinterlegten E-Mails nicht mehr viel anfangen können. Denn ohne die notwendigen Keys zur Entschlüsselung ist der Inhalt wertlos. In ihrem K9 Mailclient hingegen können Sie jede verschlüsselte Mail sofort entschlüsseln und sich im Klartext anzeigen lassen.
2. Zuhause und unterwegs sicher chatten
Mit Pidgin vereinen Sie verschiedene Chat-Netzwerke in nur einer Software. Darüber hinaus chatten Sie mit Verschlüsselungs-Plugin auch endlich privat.
Viele unterschiedliche Chatclients erfreuen sich weiterhin großer Beliebtheit. Sei es AIM, MSN, ICQ oder viele andere mehr. Das Problem: Verschlüsselung ist hier meist nicht gegeben und niemand weiß, wer bei unseren privaten Gesprächen noch so alles mitliest.
Pidgin, dass Allround-Talent
Dabei gibt es eine schöne Alternative: Die OpenSource Software Pidgin vereint viele Chat-Netzwerke in nur einem einzigen Client und lässt darüber hinaus mit einem zusätzlichen Plugin verschlüsselte Kommunikation zu. Aber auch hier gilt: Beide Seiten müssen künftig mit Pidgin arbeiten um ihre Privatsphäre zu wahren.
Um ihre Privatsphäre besser zu schützen, können Sie den Chat in Pidgin samt Sicherheits-Plugin verschlüsseln.
Installieren Sie also zunächst den Pidgin Chatclient und anschließend das Verschlüsselungs-Plugin. Starten Sie nun Pidgin und richten Uhren Account ein. Dabei haben Sie die Wahl zwischen vielen aktuellen Chat-Anbietern. Nutzen Sie für das Login einfach die Zugangsdaten, die sie für die jeweiligen Dienste besitzen. Anschließend gehen Sie über das Menü „Werkzeuge“ auf „PlugIns“ (oder Sie drücken STRG + U) und aktivieren dort das zuvor installierte Plugin zur Verschlüsselung, in dem Sie einen Haken in den leeren Kasten davor setzen. Ab sofort können Sie mit ihren Chatpartnern verschlüsselt kommunizieren, sofern diese die gleichen Einstellungen vorgenommen haben. Ob die Verschlüsselung aktiviert ist, erkennen Sie in jedem individuellen Chatfenster anhand eines kleinen gelben Schlosses in der oberen rechten Fensterecke. Standardmäßig ist das Schloss geöffnet. Klicken Sie einmal drauf um die Verschlüsselung zu aktivieren. Von nun an ist ihre Unterhaltung privat!
Threema, die Whatsapp Alternative
Threema ist die schweizer Antwort auf Whatsapp. Mit eingebauter Verschlüsselung chatten Sie über iPhone und Android in Zukunft sicherer.
Einer der beliebtesten Messenger-Dienste für das Smartphone, egal ob iOS oder Android ist mit Sicherheit Whatsapp. Das Programm hat nur einen Haken: Es ist relativ unsicher. Außerdem werden Texte, Bilder und Sprache, also alles was man mit Whatsapp austauschen kann, unverschlüsselt übertragen.
Ein Entwicklerteam aus der Schweiz bietet da eine Alternative an: Threema heißt ihr Client, der ähnlich wie Whatsapp dazu da ist, Nachrichten, Bilder oder andere Dateien zu übertragen. Threema erstellt zu Beginn ähnlich wie PGP ein Schlüsselpaar. Den öffentlichen Teil tauscht man mit seinen Chatpartnern aus, während der private Teil auf dem Smartphone verbleibt um Nachrichten verschlüsselt zu übersenden. Threema ist sowohl für iOS als auch Android erhältlich und kostet zwischen 1,60 Euro für Android und 1,79 Euro für die Apple Version. Keine zwei Euro, die einem die private Kommunikation wert sein sollte.
Die Installation verläuft ähnlich wie bei Whatsapp. Das Programm scannt anschließend nach Kontakten die bereits Threema verwenden und stellt diese in der Kontaktliste da. Zur Kontaktaufnahme müssen Gegenseitg die öffentlichen Schlüsselpaare ausgetauscht werden. Das Geschieht entweder über die individuelle Threema-ID oder einen QR-Code, den man beispielsweise bei einem persönlichen Treffen vom Kommunkationspartner abscannen lassen kann.
Kontalk: Die OpenSource Alternative für Whatsapp
Eine weitere Alternative könnte die App „Kontalk“ sein. Auch hier ist die Funktionalität im Grunde wie Whatsapp, jedoch steht auch hier die Ende-zu-Ende Verschlüsselung zwischen den Chatpartnern im Vordergrund. Vorteil: Kontalk ist kostenlos und OpenSource. Nachteil: Bislang gibt es noch keine Variante für iOS. iPhone-Nutzer können also nicht mitmachen.
3. Dateien und Laufwerke in der Cloud oder lokal verschlüsseln
Wer viel in der Cloud arbeitet und seine Daten beispielsweise bei Dropbox oder Google-Drive ablegt, sollte bedenken, dass alle Daten, die bei einem US Anbieter, oder einem deutschen Anbieter mit Geschäftstätigkeit in den USA hinterlegt sind, dem amerikanischen Patriot Act unterliegen. Auf diesen Servern können Geheimdienste zu jederzeit und ohne dass Sie es je erfahren werden zugreifen. Da die Daten auf dem Weg zu ihrem Speicherplatz sowieso Deutschland verlassen, können Sie davon ausgehen, dass die Geheimdienste ohnehin eine „Sicherungskopie“ ihrer Daten erstellen. Sorgen Sie also dafür, dass Ihre Daten noch vor der Übertragung verschlüsselt werden. Einfach geht das mit dem für Privatpersonen kostenlosen Tool „BoxCryptor„. Das Programm unterstüzt Dienste wie Dropbox, Google Drive, Sugar Sync oder Microsoft SkyDrive. Eine Anleitung zum Einsatz von BoxCryptor findet sich z.B. bei der Uni-Konstanz.
Für mehr Sicherheit in den eigenen vier Wänden sorgt das kostenlose Verschlüsselungstool „TrueCrypt„. Damit lassen sich Dateien, Ordner oder gleich ganze Festplatten sicher verschlüsseln. Nur wer das Passwort kennt, erhält Zugriff auf die gesicherten Daten. TrueCrypt unterstüzt zudem so genannte „Hidden Volumes“. Dabei sind die verschlüsselten Speicherbereiche auf der Festplatte nicht erkennbar. Damit vermeidet man die unangenehme Situation zur Herausgabe eines Passwortes gezwungen zu werden, falls die verschlüsselte Partition entdeckt werden sollte. Eine Anleitung gibt es von Benjamin Schischka von der PC WELT.
Update: Leider wird TrueCrypt seit 2014 nicht mehr weiterentwickelt, man sollte sich also nach Alternativen umsehen. Eine davon ist beispielsweise BitLocker.
4. Fazit
Es mag auf den ersten Blick umständlich aussehen, was man so alles für mehr Privatsphäre anstellen muss. Aber das alles ist im Grunde nicht viel Schwieriger als die Installation jeder anderen normalen Software. Zur Not holt man sich halt jemanden zu Hilfe, der sich damit auskennt. Ist alles erst einmal eingerichtet, ist die Bedienung der meisten Tools genauso einfach, wie zuvor. Sorgen wir dafür, dass die Schnüffler außen vor bleiben!
Die einzig wirklich sichere Methode ist unseres Erachtens nach, ver- und entschlüsseln auserhalb des Internet.
Senden können Sie dann per Internet.
Schlüssel,egal welcher Art ghören nicht ins Gerät.
Mit google und Consorten sollte mann ,bei Verschlüsselung, auch nicht zusammen arbeiten.