Netzüberwachung durch Staaten: Vier Schritte zum Ausbruch

E-Mails und Dateien können heutzutage sehr einfach und sehr gut verschlüsselt und anonymisiert werden. Hier sind vier Grundsätze für mehr Privatsphäre.

Einfach den neugierigen Blicken ausweichen Bild: johny schorle / photocase.com

In den vergangenen Tagen ist durch die Veröffentlichungen im Guardian ein weitreichendes Überwachungsprogramm des US-Geheimdienstes NSA bekannt geworden, der vor allem ausländische Bürger überwacht. Schon lange ist dagegen bekannt, dass der deutsche Geheimdienst BND, E-Mails nach Schlagworten durchsucht. Doch viele Arten der Überwachung wären gar nicht möglich, wenn Computer besser geschützt wären.

Ganz gewöhnliche Nutzer haben seit mehreren Jahren Techniken der Verschlüsselung und Anonymisierung zur Verfügung, die auf dem neuesten Stand der Technik und zugleich einfach zu bedienen sind. Und dennoch werden allerlei sensible Daten oft im Klartext durch das Internet verschickt: Bankdaten, Privatadressen oder Passwörter.

Folgende Möglichkeiten bieten einen grundsätzlichen Schutz vor staatlicher Schnüffelei, aber auch vor Kriminellen, die gerne Zugriff auf sensible Daten hätten – vorausgesetzt, es sind keine Viren oder andere Schadsoftware auf dem Rechner installiert.

Grundsatz 1: Verschlüssele deine E-Mails

E-Mails gelten im Internet als etwa so sicher wie eine Postkarte. Der erste Schritt zu mehr Sicherheit und weniger Überwachung beim E-Mail-Verkehr heißt deshalb: verschlüsseln. Am einfachsten und sichersten ist, E-Mails grundsätzlich über ein Mailprogramm abzurufen. Programme wie Mozilla Thunderbird haben einfach zu installierende Plugins, die eine Verschlüsselung per Mausklick ermöglichen.

Kryptographischer Standard ist seit mehr als 20 Jahren ein Verfahren, das sich „Pretty Good Privacy“ nennt. Jeder Nutzer generiert dabei //www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/Grundlagenwissen/AsymmetrischeVerschluesselung/asymmetrische_verschluesselung_node.html:zwei Codes, einer ist öffentlich und der andere privat. Das Verfahren kann man sich so vorstellen: Die Nachricht wird in eine Kiste gelegt, die mit einem Vorhängeschloss (öffentlicher Code) verschlossen wird. Während jeder und jede eine solche Kiste verschließen kann, kann sie nur mit dem Schlüssel (privater Code) geöffnet werden.

Sicher sind die Mails aber nur, wenn sie verschlüsselt werden, bevor sie an den Mailanbieter gehen. Grundsätzlich sollten sie deshalb nicht im Browser, sondern mit dem Mailprogramm abgerufen werden. So verbleiben privater Code und die Klartexte der Mails auf dem eigenen Rechner. Webmail wie beispielsweise Gmail können aber weiterhin benutzt werden: Alle Webmail-Anbieter bieten Nutzern inzwischen auch den Abruf per Mailprogramm an.

Grundsatz 2: Traue keinem Webmailanbieter

Bei Verschlüsselung wird nur verheimlicht, was geschrieben wurde und nicht wer an wen schrieb. Wer zusätzlich Wert darauf legt, nicht als Absender erkannt zu werden, sollte sich ein anonymisiertes Konto bei einem Webmail-Anbieter anlegen. Das geht meist, indem man einfach ein Pseudonym verwendet und falsche Addressdaten angibt. Eine Alternative ist die Nutzung von Mailanbietern, die grundsätzlich anonyme Konten anbieten wie etwa „Riseup“ oder „Posteo“.

Allerdings können selbst Konten unter Pseudonym echten Namen zugeordnet werden, wenn die IP-Adresse des Nutzers bekannt ist. Das ist meist bei Sicherheitsbehörden der Fall, die diese Daten sowohl von Mailanbietern als auch von Internetprovidern einfordern und anschließend abgleichen können. Wer sich also vor staatlicher Überwachung schützen will, braucht zusätzlichen Schutz.

Die us-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation schlägt dafür beispielsweise den konsequenten Abruf von Webmail über das TOR Netzwerk vor. Dabei wird der Abruf einer Website so oft über andere Server geleitet und verschlüsselt, dass der Absender nicht mehr ohne weiteres erkennbar ist. TOR ist übrigens auch eine sichere Möglichkeit das eigene Surfverhalten zu verdecken oder verschlüsselt zu skypen.

Grundsatz 3: Verschlüssele deine Daten

Sind Mails verschlüsselt und anonymisiert, bleibt eine Schwachstelle: der eigene Computer. Wird der gestohlen oder beschlagnahmt – was Sicherheitsbehörden auch immer wieder tun – könnten sensible Dateien und Kommunikationsdaten kompromittiert sein. Dafür sollte sich das Betriebssystem eines Computers nicht automatisch in ein Nutzerkonto einloggen, sondern erst ein Passwort verlangen. Zusätzlich können besonders sensible Daten – oder einfach komplette Festplatten – verschlüsselt werden. Ein einfaches Verschlüsselungsprogramm ist „Truecrypt“. Für Daten in Clouddiensten wie Dropbox bieten sich Programme wie „Cloudfogger“ an.

Passwörter sind allerdings berüchtigt einfach zu knacken. Die grundsätzliche Schwierigkeit ist, dass Passwörter, die besonders verständlich sind, auch von Computern einfach nachvollzogen werden können. Im Umkehrschluss sind sichere Passwörter auch für Menschen besonders schwierig zu verstehen und zu merken: etwa eine Reihe von 50 zufälligen Buchstaben. Diese können dann mit einem Spezialprogramm verwaltet werden, dessen „Master Passwort“ beispielsweise im Portemonnaie mitgetragen werden kann. Eine andere Lösung ist, sich leicht zu merkende Sätze auszudenken und nur die Anfangsbuchstaben der Worte und dazu Zahlen und Sonderzeichen zu verwenden.

Grundsatz 4: Smartphones sind nichts für sensible Daten

Die Smartphones der großen Anbieter sind schwieriger zu sichern als andere Computer, weil sie Nutzern nur eingeschränkten Zugang zu Festplatten und Betriebssystemen erlauben. Zudem machen ihre ständige Verbindung mit Netzanbietern und die Tatsache, dass sie öfter geklaut werden, sie anfälliger für Überwachung. Sie sollten deshalb so wenig wie möglich für sensible Daten und Kommunikation verwendet werden. Wer unbedingt Mails per Smartphone abrufen muss, kann auch hier Verschlüsselungs-Programme installieren geht aber das Risiko ein, dass ihr privater Code bei einem Diebstahl verloren geht.

Ausführlichere Hinweise zu sichere Kommunikation und Abwehr gegen Überwachung gibt es bei der Electronic Frontier Foundation (Englisch), beim Bundesamt für Sicherheit und Informationstechnik und beim Chaos Computer Club.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.