With special thanks to: Debian GNU/Linux, GNU Privacy Guard, Off-the-Record Messaging, SecureDrop, Tails, The Tor Project, Truecrypt

Wer würde derartige Credits am Ende eines Films erwarten? Vermutlich niemand, doch genau diese finden sich am Ende von Citizenfour, dem Dokumentarfilm über die Entwicklung der Snowden-Enthüllungen von Laura Poitras, der am Donnerstag in den deutschen Kinos anlaufen wird. Und es könnte keinen passenderen Film geben, um die Werkzeuge zu würdigen, die es erst ermöglicht haben, dass Edward Snowden zum Whistleblower werden und andere Menschen in die Veröffentlichungen miteinbeziehen konnte – gegen die Übermacht eines Geheimdienstes, dessen ureigenstes Ziel es ist, Information und Kommunikation, die verborgen bleiben soll, zu erlangen.

Poitras gibt an, schon vorher mit Techniken wie verschlüsselter Mailkommunikation und Datenspeicherung vertraut gewesen zu sein, da sie mit vorherigen Filmprojekten wie einer Dokumentation über eine irakische Familie bereits in den Fokus der Regierung geraten war. Doch das ist leider keine Selbstverständlichkeit, wie das Eingeständnis Glenn Greenwalds, seine Zusammenarbeit mit Snowden wäre beinahe an seiner Unfähigkeit sicher zu kommunizieren gescheitert, zeigt.

Die Snowden-Enthüllungen haben dazu beigetragen, dass sich mehr und mehr Journalisten Gedanken über sichere Kommunikation und Datenspeicherung machen und wir wollen hier die Tools, die Poitras erwähnt hat, kurz porträtieren. Wir wollen aber explizit keine Bedienungsanleitung geben, denn an Ressourcen und Beschreibungen zur Handhabung der erwähnten Programme mangelt es im Internet nicht und am Ende des Artikels befindet sich eine kleine Linksammlung zum Weiterlesen.

Allen erwähnten Programmen – bis auf eine Ausnahme – ist gemein, dass sie Freie Software sind. Und so nimmt ein freies Betriebssystem, hier Debian GNU/Linux, einen wichtigen Stellenwert ein – denn wie könnte man sich auf die darauf installierten Programme verlassen, wenn man nicht weiß, was die Basis tut. Um dem alten Streit zuvor zu kommen: Natürlich ist ein freies und offenes System kein hinreichender Garant dafür, dass es keine Sicherheitslücken oder Backdoors gibt und es soll hier keine Illusion aufgebaut werden, man sei per se sicher, wenn man mit einer beliebigen Linuxdistribution und nicht mit einem Windows-PC arbeitet. Aber Freie und Offene Software ist eine notwendige Bedingung für Vertrauen. Denn nur so kann Code nachvollziehbar und transparent auditiert werden, auch wenn das in der heutigen Praxis zweifelsohne noch nicht in ausreichendem Maß geschieht.

Für die sicherheitskritischsten Aspekte ihrer Kommunikation und Speicherung hat Poitras nicht Debian, sondern das auf Debian basierende Tails als Betriebssystem genutzt. Als Poitras erkannte, welche Tragweite Snowdens Enthüllungen haben müssen, sei sie losgegangen, um sich einen neuen Laptop zu kaufen, ihn bar zu bezahlen und von da an nur noch mit Tails zu nutzen, berichtet sie. Sie habe ihn dann nur von öffentlichen WLANs aus zur ausschließlichen Kommunikation mit Snowden eingesetzt. Denn Software allein reicht nicht aus, um sich vor Überwachung zu schützen und ersetzt nicht die eigene Vorsicht.

Tails ist ein Akronym für ‚The Amnesiac Incognito Live System’, das Inkognito-Live-System mit Gedächtnisverlust. Es wird beispielsweise von einem USB-Stick oder einer CD gestartet und hinterlässt keine Spuren auf dem benutzten Rechner, die den Nutzer identifizieren könnten. Außerdem kommt es von Haus aus mit einer Reihe wichtiger Programme für Verschlüsselung und Anonymisierung.

So werden alle Internetverbindungen, die aus Tails aufgebaut werden, zwingend durch das Tor-Netzwerk geleitet. Das hilft dabei, anonym zu bleiben, da der Endpunkt der Verbindung nicht erfährt, wo der Ursprung zu lokalisieren ist, solange nicht alle von freiwilligen Mitnutzern betriebenen Knotenpunkte von Quelle zu Ziel kompromittiert sind. Und aus Berichten weiß man, dass das Finden und Ausnutzen von Sicherheitslücken in Tor keine triviale Aufgabe für die Geheimdienste darstellt. Auch wenn sie das nicht davon abhält, großflächig die Infrastruktur zu überwachen.

Für die Mailkommunikation mit Snowden nutzten Poitras, Greenwald und andere GnuPG, das bereits öfter Erwähnung fand, etwa in dem mittlerweile veröffentlichten Erklärvideo Snowdens für Greenwald, wie er verschlüsselt mailen kann. Aus der anfänglichen, verschlüsselten Mailkommunikation zwischen Poitras, Greenwald und Snowden, dessen Identität den ersteren beiden zu diesem Zeitpunkt noch unbekannt war, stammt auch der Titel der Dokumentation. „Citizenfour“, das war Snowdens Pseudonym, unter dem er den beiden gegenüber bis zum ersten Treffen in Hongkong auftrat.

Eine direktere Kommunikation erlaubt Instant Messaging und Poitras nutzte OTR-verschlüsselte Nachrichten, um mit Snowden und anderen im Dialog Nachrichten auszutauschen. Off-the-Record ist dabei kein Programm, sondern ein Protokoll, das Ende-zu-Ende-verschlüsselte, authentifizierte und abstreitbare Kommunikation erlaubt, etwa für XMPP-basierte Messagingdienste. Außerdem macht die Perfect-Forward-Secrecy-Eigenschaft von OTR es möglich, dass vergangene Kommunikation vertraulich bleibt, auch wenn ein aktueller Schlüssel in die falschen Hände gerät, da aus dem privaten Schlüssel immer neue, aktuelle Sitzungsschlüssel generiert werden – anders als bei mit GnuPG verschlüsseltem Mailverkehr, bei dem immer der selbe private Schlüssel genutzt wird.

Um OTR nutzen zu können, muss man meist ein Plugin für seinen normalen Messenger installieren oder es zumindest aktivieren. Das ist für die weit verbreiteten Messenger Pidgin oder Adium aber ohne Schwierigkeiten möglich.

Für die Verschlüsselung von Daten und die sichere Aufbewahrung des Filmmaterials von Citizenfour nutzte Poitras Truecrypt. Truecrypt ist eine problematische Anwendung. Es ist für die Festplattenverschlüsselung weit verbreitet, stand aber schon seit jeher in Kritik für seine Lizenz, da es keine freie Softwarelizenz nutzt, sondern seine eigene, einzigartige „TrueCrypt License“. Dazu kam, dass die Entwickler Ende Mai noch während der Produktion von Citizenfour das Ende der Entwicklung von Truecrypt bekanntgaben und zu verstehen gaben, dass Truecrypt besser nicht weiterentwickelt werden und genutzt sollte. Auflistungen an Alternativen sind zahlreich.

Besondere Relevanz für Journalisten und andere, die in ihrer Arbeit auf anonyme Hinweisgeber angewiesen sind, besitzt SecureDrop. Das Tool der Freedom of the Press Foundation ist ein System, dass es Whistleblowern ermöglicht, anonym und sicher Informationen an Journalisten zu übergeben. Es wird von großen Zeitungen wie The Guardian und Greenwalds investigativer Plattform The Intercept eingesetzt.

Natürlich sind die in den Credits genannten Programme und Tools nicht die einzigen, die sicheres Arbeiten und Kommunizieren ermöglichen, auch wenn sie zu den meist verbreiteten gehören. Noch viel wichtiger als die Frage, welche der zur Verfügung stehenden Lösungen man wählt ist beinahe, dass die Benutzung überwachungserschwerender Instrumente sich verbreitet und in der täglichen Routine der Internetnutzer ankommt. Dabei hilft eine Geste wie die von Poitras, da sie den Entwicklern der Programme eine Würdigung zu Teil werden lässt, die sonst viel zu selten öffentlich wahrgenommen wird.

Aber die Verbreitung der Werkzeuge ist weiterhin begrenzt und erstreckt sich oftmals auf die sowieso schon technikaffinen Teile der Gesellschaft. Bis sich das nach und nach ändert, wird noch viel Arbeit nötig sein, zu der jeder seinen Teil beitragen kann. Die einen indem sie beispielsweise ihrer Mutter und Oma auch zum zehnten Mal erklären, wie man verschlüsselte Mails sendet, die anderen indem sie aktiv an Kryptoprogrammen mitentwickeln, um sie sicherer und benutzbarer zu machen. Dass solch ein Prozess langwierig ist, ist auch Poitras bewusst, dennoch äußert sie sich in einem Interview mit Zeit Online optimistisch:

Manche brauchen solche Werkzeuge eher als andere, Journalisten etwa oder Menschen in bestimmten Ländern, die eine Demonstration organisieren wollen. Sie werden diese Technik deshalb als erste einsetzen. Aber ich hoffe, dass es danach auch andere tun, schon allein aus Solidarität. Je mehr verschlüsselt wird, desto besser.

Zum Weiterlesen:

Schöne Sammlungen von Tutorials zu sicherer Kommunikation und Co. findet Ihr Beispielsweise bei den Projekten security in-a-box oder Me & My Shadow von Tactical Tech. Einen digitalen Selbstverteidigungsleitfaden mit Tipps für verschiedene Zielgruppen und Bedürfnisse hat auch die Electronic Frontier Foundation geschaffen. Bei Riseup oder FLOSS Manuals findet man Auflistungen diverser Sicherheitsvorkehrungen, angefangen vom menschlichen Faktor bis zur Netzwerksicherheit.

Auf prism-break.org stößt man auf eine ausführliche Sammlung zu freien und offenen Alternativen proprietärer Programme, ähnliches beim Electronic Privacy Information Center.

Und wer nicht allein vorm Rechner sitzen und sich mit der Handhabung von Kryptoprogrammen vertraut machen mag, kann eine der unzähligen CryptoParties besuchen, die es mittlerweile beinahe überall in Deutschland gibt.

Disclaimer: Die obige Auswahl ist begrenzt und subjektiv. Fühlt euch eingeladen, eure Lieblingsprogramme oder ‑tutorials in den Kommentaren mit uns zu teilen!