With special thanks to: Debian GNU/Linux, GNU Privacy Guard, Off-the-Record Messaging, SecureDrop, Tails, The Tor Project, Truecrypt
Wer würde derartige Credits am Ende eines Films erwarten? Vermutlich niemand, doch genau diese finden sich am Ende von Citizenfour, dem Dokumentarfilm über die Entwicklung der Snowden-Enthüllungen von Laura Poitras, der am Donnerstag in den deutschen Kinos anlaufen wird. Und es könnte keinen passenderen Film geben, um die Werkzeuge zu würdigen, die es erst ermöglicht haben, dass Edward Snowden zum Whistleblower werden und andere Menschen in die Veröffentlichungen miteinbeziehen konnte – gegen die Übermacht eines Geheimdienstes, dessen ureigenstes Ziel es ist, Information und Kommunikation, die verborgen bleiben soll, zu erlangen.
Poitras gibt an, schon vorher mit Techniken wie verschlüsselter Mailkommunikation und Datenspeicherung vertraut gewesen zu sein, da sie mit vorherigen Filmprojekten wie einer Dokumentation über eine irakische Familie bereits in den Fokus der Regierung geraten war. Doch das ist leider keine Selbstverständlichkeit, wie das Eingeständnis Glenn Greenwalds, seine Zusammenarbeit mit Snowden wäre beinahe an seiner Unfähigkeit sicher zu kommunizieren gescheitert, zeigt.
Die Snowden-Enthüllungen haben dazu beigetragen, dass sich mehr und mehr Journalisten Gedanken über sichere Kommunikation und Datenspeicherung machen und wir wollen hier die Tools, die Poitras erwähnt hat, kurz porträtieren. Wir wollen aber explizit keine Bedienungsanleitung geben, denn an Ressourcen und Beschreibungen zur Handhabung der erwähnten Programme mangelt es im Internet nicht und am Ende des Artikels befindet sich eine kleine Linksammlung zum Weiterlesen.
Allen erwähnten Programmen – bis auf eine Ausnahme – ist gemein, dass sie Freie Software sind. Und so nimmt ein freies Betriebssystem, hier Debian GNU/Linux, einen wichtigen Stellenwert ein – denn wie könnte man sich auf die darauf installierten Programme verlassen, wenn man nicht weiß, was die Basis tut. Um dem alten Streit zuvor zu kommen: Natürlich ist ein freies und offenes System kein hinreichender Garant dafür, dass es keine Sicherheitslücken oder Backdoors gibt und es soll hier keine Illusion aufgebaut werden, man sei per se sicher, wenn man mit einer beliebigen Linuxdistribution und nicht mit einem Windows-PC arbeitet. Aber Freie und Offene Software ist eine notwendige Bedingung für Vertrauen. Denn nur so kann Code nachvollziehbar und transparent auditiert werden, auch wenn das in der heutigen Praxis zweifelsohne noch nicht in ausreichendem Maß geschieht.
Für die sicherheitskritischsten Aspekte ihrer Kommunikation und Speicherung hat Poitras nicht Debian, sondern das auf Debian basierende Tails als Betriebssystem genutzt. Als Poitras erkannte, welche Tragweite Snowdens Enthüllungen haben müssen, sei sie losgegangen, um sich einen neuen Laptop zu kaufen, ihn bar zu bezahlen und von da an nur noch mit Tails zu nutzen, berichtet sie. Sie habe ihn dann nur von öffentlichen WLANs aus zur ausschließlichen Kommunikation mit Snowden eingesetzt. Denn Software allein reicht nicht aus, um sich vor Überwachung zu schützen und ersetzt nicht die eigene Vorsicht.
Tails ist ein Akronym für ‚The Amnesiac Incognito Live System‘, das Inkognito-Live-System mit Gedächtnisverlust. Es wird beispielsweise von einem USB-Stick oder einer CD gestartet und hinterlässt keine Spuren auf dem benutzten Rechner, die den Nutzer identifizieren könnten. Außerdem kommt es von Haus aus mit einer Reihe wichtiger Programme für Verschlüsselung und Anonymisierung.
So werden alle Internetverbindungen, die aus Tails aufgebaut werden, zwingend durch das Tor-Netzwerk geleitet. Das hilft dabei, anonym zu bleiben, da der Endpunkt der Verbindung nicht erfährt, wo der Ursprung zu lokalisieren ist, solange nicht alle von freiwilligen Mitnutzern betriebenen Knotenpunkte von Quelle zu Ziel kompromittiert sind. Und aus Berichten weiß man, dass das Finden und Ausnutzen von Sicherheitslücken in Tor keine triviale Aufgabe für die Geheimdienste darstellt. Auch wenn sie das nicht davon abhält, großflächig die Infrastruktur zu überwachen.
Für die Mailkommunikation mit Snowden nutzten Poitras, Greenwald und andere GnuPG, das bereits öfter Erwähnung fand, etwa in dem mittlerweile veröffentlichten Erklärvideo Snowdens für Greenwald, wie er verschlüsselt mailen kann. Aus der anfänglichen, verschlüsselten Mailkommunikation zwischen Poitras, Greenwald und Snowden, dessen Identität den ersteren beiden zu diesem Zeitpunkt noch unbekannt war, stammt auch der Titel der Dokumentation. „Citizenfour“, das war Snowdens Pseudonym, unter dem er den beiden gegenüber bis zum ersten Treffen in Hongkong auftrat.
Eine direktere Kommunikation erlaubt Instant Messaging und Poitras nutzte OTR-verschlüsselte Nachrichten, um mit Snowden und anderen im Dialog Nachrichten auszutauschen. Off-the-Record ist dabei kein Programm, sondern ein Protokoll, das Ende-zu-Ende-verschlüsselte, authentifizierte und abstreitbare Kommunikation erlaubt, etwa für XMPP-basierte Messagingdienste. Außerdem macht die Perfect-Forward-Secrecy-Eigenschaft von OTR es möglich, dass vergangene Kommunikation vertraulich bleibt, auch wenn ein aktueller Schlüssel in die falschen Hände gerät, da aus dem privaten Schlüssel immer neue, aktuelle Sitzungsschlüssel generiert werden – anders als bei mit GnuPG verschlüsseltem Mailverkehr, bei dem immer der selbe private Schlüssel genutzt wird.
Um OTR nutzen zu können, muss man meist ein Plugin für seinen normalen Messenger installieren oder es zumindest aktivieren. Das ist für die weit verbreiteten Messenger Pidgin oder Adium aber ohne Schwierigkeiten möglich.
Für die Verschlüsselung von Daten und die sichere Aufbewahrung des Filmmaterials von Citizenfour nutzte Poitras Truecrypt. Truecrypt ist eine problematische Anwendung. Es ist für die Festplattenverschlüsselung weit verbreitet, stand aber schon seit jeher in Kritik für seine Lizenz, da es keine freie Softwarelizenz nutzt, sondern seine eigene, einzigartige „TrueCrypt License“. Dazu kam, dass die Entwickler Ende Mai noch während der Produktion von Citizenfour das Ende der Entwicklung von Truecrypt bekanntgaben und zu verstehen gaben, dass Truecrypt besser nicht weiterentwickelt werden und genutzt sollte. Auflistungen an Alternativen sind zahlreich.
Besondere Relevanz für Journalisten und andere, die in ihrer Arbeit auf anonyme Hinweisgeber angewiesen sind, besitzt SecureDrop. Das Tool der Freedom of the Press Foundation ist ein System, dass es Whistleblowern ermöglicht, anonym und sicher Informationen an Journalisten zu übergeben. Es wird von großen Zeitungen wie The Guardian und Greenwalds investigativer Plattform The Intercept eingesetzt.
Natürlich sind die in den Credits genannten Programme und Tools nicht die einzigen, die sicheres Arbeiten und Kommunizieren ermöglichen, auch wenn sie zu den meist verbreiteten gehören. Noch viel wichtiger als die Frage, welche der zur Verfügung stehenden Lösungen man wählt ist beinahe, dass die Benutzung überwachungserschwerender Instrumente sich verbreitet und in der täglichen Routine der Internetnutzer ankommt. Dabei hilft eine Geste wie die von Poitras, da sie den Entwicklern der Programme eine Würdigung zu Teil werden lässt, die sonst viel zu selten öffentlich wahrgenommen wird.
Aber die Verbreitung der Werkzeuge ist weiterhin begrenzt und erstreckt sich oftmals auf die sowieso schon technikaffinen Teile der Gesellschaft. Bis sich das nach und nach ändert, wird noch viel Arbeit nötig sein, zu der jeder seinen Teil beitragen kann. Die einen indem sie beispielsweise ihrer Mutter und Oma auch zum zehnten Mal erklären, wie man verschlüsselte Mails sendet, die anderen indem sie aktiv an Kryptoprogrammen mitentwickeln, um sie sicherer und benutzbarer zu machen. Dass solch ein Prozess langwierig ist, ist auch Poitras bewusst, dennoch äußert sie sich in einem Interview mit Zeit Online optimistisch:
Manche brauchen solche Werkzeuge eher als andere, Journalisten etwa oder Menschen in bestimmten Ländern, die eine Demonstration organisieren wollen. Sie werden diese Technik deshalb als erste einsetzen. Aber ich hoffe, dass es danach auch andere tun, schon allein aus Solidarität. Je mehr verschlüsselt wird, desto besser.
Zum Weiterlesen:
Schöne Sammlungen von Tutorials zu sicherer Kommunikation und Co. findet Ihr Beispielsweise bei den Projekten security in-a-box oder Me & My Shadow von Tactical Tech. Einen digitalen Selbstverteidigungsleitfaden mit Tipps für verschiedene Zielgruppen und Bedürfnisse hat auch die Electronic Frontier Foundation geschaffen. Bei Riseup oder FLOSS Manuals findet man Auflistungen diverser Sicherheitsvorkehrungen, angefangen vom menschlichen Faktor bis zur Netzwerksicherheit.
Auf prism-break.org stößt man auf eine ausführliche Sammlung zu freien und offenen Alternativen proprietärer Programme, ähnliches beim Electronic Privacy Information Center.
Und wer nicht allein vorm Rechner sitzen und sich mit der Handhabung von Kryptoprogrammen vertraut machen mag, kann eine der unzähligen CryptoParties besuchen, die es mittlerweile beinahe überall in Deutschland gibt.
Disclaimer: Die obige Auswahl ist begrenzt und subjektiv. Fühlt euch eingeladen, eure Lieblingsprogramme oder -tutorials in den Kommentaren mit uns zu teilen!
Ich unterstütze das Pretty Easy Privacy Projekt, weil ich glaube, dass das Potential hat, die Verschlüsselungs-Situation zu verbessern.
https://www.indiegogo.com/projects/pep-pretty-easy-privacy
@Thorsten
Pretty Easy Privacy ist ein zweischneidiges Schwert. Grundsätzlich sollte man alles unterstützen was das Leben der Überwacher schwer macht, aber das Tool hat im Moment das Ziel GPG für Outlook nutzbar zu machen. Was hilft eine Verschlüsselung, wenn die Software (Outlook bzw. Windows) schon unsicher sind und vermutlich ne Menge Hintertüren enthalten? Ich sehe bei dem Projekt die Gefahr, dass dem User (vom Entwickler sicher ungewollt) eine nicht vorhandene Sicherheit vorgegaukelt wird
@Klaus D. Ebert
Die Verschlüsselung der Kommunikation soll pEp ermöglichen. D. h. die Daten sollen nicht mehr in Klartext rausgehen und somit allen Geheimdiensten ohne großen Aufwand zu Verfügung stehen. Das die Endsysteme immer noch unsicher sind, steht auf einem anderen Blatt. Das ist aber den Entwicklern von pEp durchaus klar. Es bereitet ihnen selber Bauchschmerzen für Outlook auf Windows ein Verschlüsselungsprogramm zu entwickeln. Den meisten Nutzern des Internets ist es bis heute egal ob ihre Kommunikation überwacht wird oder nicht, insofern ist es dann auch egal ob mit pEp ihre Endgeräte weiterhin unsicher sind. Es geht darum, die Leute zur Verschlüsselung zu bringen und das mit möglichst wenig Barrieren.
Eine Seite die sich Interessierte ebenfalls ansehen sollten ist „Surveillance Self-Defense“ (ein Projekt der Electronic Frontier Foundation) die unter https://ssd.eff.org/en/index zu finden ist auf der man viele Tutorials zu dem Thema findet.
Deutschsprachige Anleitungen, Empfehlungen und Links zu weiteren Tutorials sowie zu freier Software für (Selbst-)Datenschutz und Verschlüsselung sind unter http://www.selbstdatenschutz.info zusammengestellt.
Interessanter Tipp, aber warum immer so kompliziert wenn es auch einfach geht? Bins ziemlich Leid mich immer überall anzumelden, Tools zu installieren und (wie in dem Fall) Handbücher zu wälzen für eine Sache, die doch mittlerweile Standard sein sollte. Umso mehr erstaunt es mich dass ich da bisher nur einen wirklich glaubwürdigen Anbieter finden konnte: https://www.instaload.de Da hätten Snowden und co. auch chatten und geheime Dateien versenden können. Ziemlich perfekt dafür
@ all
Ich gehe davon aus, dass Ihr alle erkennt, dass hier jemand die Software „instaload“ pushen und promoten will. In letzter Zeit gab es in diesem Blog hier mehrere Kommentare unter verschiedenen Namen (Schema „Vorname + Nachname abgekürzt“ oder umgekehrt). Jedes Mal wird „instaload“ als super sicheres Tool für super brisante Tätigkeiten angespriesen.
Ich kann nur davor warnen! „instaload“ ist weder bekannt noch renommiert.
Wer wirklich verlässliche und relativ sichere Tools sucht, der kann sich auf den Seiten erkundigen, die Anna und manche Kommentatoren genannt haben.
@ Anna bzw. NP
Könntet Ihr solche „instaload“-Pusher im Auge behalten oder löschen? Ich finde, Ihr solltet keinen Honeypot-Aufstellern Platz geben.
Guter Hinweis. Wir haben davon noch nichts gehört und würden daher davon abraten, weil nicht vertrauenswürdig. Aber löschen werden wir das nicht.
@AP Ich glaube Du kannst den Aluhut abnehmen, „Ich finde, Ihr solltet keinen Honeypot-Aufstellern Platz geben“ ist doch etwas überzogen! :)
Das sind nach kurzer Recherve ein paar ehemals wilde, jetzt wohl eher verzweifelte Ossis, die sich eine Cloud-Infrastruktur für teuer Geld hingestellt haben, ist ja „Die Zukunft“(tm) *lol* und die suchen jetzt verzweifelt eine Anwendung für diese, nachdem die BNSA Affaire das Thema Cloud ja de facto zu Grabe getragen hat und mit ein paar php und java Modulen eh kein qualifizierter Kunde zu beeindrucken war.
(Die hippen Kunden von heute wollen ja eher in Microsekunden on precog-demand fertige goldene Docker Container ausrollen, software defined BBB, Neo-Neuschwanstein Wolkenschloss as a foss service oder so, mit Terabyte Traffic Flat preislich unterhalb DO 512M Instanz Niveau…).
Du wirst also nur Zeuge einer ganz normalen deutsch-mittelständischen it.katastrophe.com/de ! :)
Ich glaube die CLOULE Cloud-Ossis sind harmlos, könnten aber versehentlich einige Mitleser hier mit auf ihr Niveau hinabziehen…
Also, dass hier keine Werbung gemacht werden sollte ist klar, aber wenn ich hier mal die anderen Kommentare zu dem Beitrag hier anschaue, machen das ja irgendwie alle. Warum jetzt aber direkt so herablassend von CLOULE Cloud Ossis gesprochen werden muss, verstehe ich nicht ganz, es sollte doch immer möglich sein sachlich zu bleiben, vor allem wenn jemand vom Fach zu sein scheint so wie du. Der Hinweis darauf war gut und ihr solltet das auf jedenfall im Auge behalten aber für mich als Neuling hier machen es manche nicht besser.
@ Anna Biselli
Kennst Du das Privacy-Handbuch?
https://www.privacy-handbuch.de
Der Autor heißt cane. Das Handbuch gehört zum besten Wissenspool, den es im deutschsprachigen Bereich gibt. Sehr empfehlenswert.
Das gibts noch!??
Cool!
Danke!!
Alles schön und gut, ich nutze nur Mozillas Thunderbird mit Enigmail und das schon seit 2003,
ich versende in der Regel auch nicht mehr so viele Mails wie damals.
Die EFF bietet eine sehr gute Auswahl an nützlichen Tools:
https://www.eff.org/deeplinks/2014/10/7-privacy-tools-essential-making-citizenfour
Meistens wird mit Kanonen auf Spatzen geschossen. Darum hab ich ein kleines Tool gebastelt, das für die Massenüberwachung ungeeignet ist und bei dem sich die Infos bei Eingriffen selbst löschen. Es genügt ein kleines BMP Bild um auch längere Nachrichten zu senden. Wenn Mailserver die Bilder in JPG’s wandeln, ist die Nachricht auch weg. Findet Ihr hier :
http://www.foware.eu/enveloppe.html
@ NETZPOLITIK.ORG
Könntet Ihr bitte darauf achten, dass bei Euch in den Kommentaren nicht immer wieder irgendwelche dubiosen Privacy-Tools beworben werden? Honeypots helfen niemandem außer den Überwachern.