Wie man Nachrichten sicher verschickt

Seit klar ist, wer der 45. US-Präsident werden wird und spätestens seit seiner Vereidigung, regt und organisiert sich Widerstand in den verschiedensten Ecken des Internets. Etwa taucht ein stummgeschalteter Twitter-Account der National Park-Behörde als „Schurken-Account“ wieder auf.
Auch mit von der Partie ist die Teen Vogue, die sich vom Hochglanzmagazin für Teenager zum politischen Lifestyle-Magazin gewandelt hat. Ich habe hier einen Artikel übersetzt, der ausgezeichnet Medienkompetenz und Infosec vermittelt. (Quelle Teen Vogue: How to Make Messages Secure)

Gehst du auf eine Demo, organisierst was mit Aktivisten oder bist plötzlich besorgt über die politischen Ansichten deiner Eltern? Dann chatte darüber nicht per SMS oder Facebook – du brauchst etwas sichereres.

Damit du die richtige Chat-App findest, hat Teen Vogue mit drei Sicherheitsexperten gesprochen: Zeynep Tufekci ist Soziologie-Dozent an der Universität von North Carolina und Autor eines Buches über vernetzten Protest, Alec Muffett ist Softwareentwickler und hat vorher an der Sicherheit von Facebook gearbeitet und Moxie Marlinspike ist Sicherheitsforscher und hat Open Whisper Systems gegründet, die die Verschlüsselung entwickelten, die jetzt unter anderem von WhatsApp eingesetzt wird.

Sie empfehlen drei Schritte um deine Nachrichten abzusichern. Erstens: aktualisiere deine Apps und Android oder iOS auf die neuste Version. Als Zweites benutze einen Code aus mindestens 8 Zeichen um dein Handy zu entsperren. Drittens: vermeide es, Texte als SMS zu schicken und nutze eine App zum Versenden sicherer Nachrichten – sei es Facebook Messenger, WhatsApp oder ein Verschlüsselungstool wie Signal.

Diese Apps haben etwas gemeinsam – und SMS und Snapchat haben das nicht: Ende-zu-Ende-Verschlüsselung. Stell dir das so vor, als würdest du deine Nachrichten durch einen Tunnel schicken, in verschlüsselten Worten, die verhindern dass jemand mitliest, und auch die Hersteller der App verstehen nichts.

Überleg, wie gefährdet du bist

Um entscheiden zu können, welche App du brauchst, schätze dein „Bedrohungsniveau“ ein. Das ist ein Begriff aus der Sicherheitsindustrie und bedeutet, dass du ernsthaft überlegst wer dich verfolgen könnte und was du dagegen tun kannst.

„Bist du ein Whistleblower wie Edward Snowden oder ein Politiker oder ein Journalist, der immer wieder mit Menschen spricht, die ausgeliefert oder abgeschoben werden könnten, oder wenn du in einem Land mit einer unterdrückenden Regierung arbeitest… dann ist dein Bedrohungsniveau ein ganz anderes als bei jemandem, der nur im Privaten über intime oder persönlich wichtige Dinge sprechen möchte“, sagt Muffett. In solch extremen Fällen empfiehlt Tufekci Signal zu benutzen, um Experten wie die Electronic Frontier Foundation zu kontaktieren [In Deutschland gibt es den Chaos Computer Club oder Netzpolitik.org – der Übersetzer], die dir dann den richtige Umgang mit digitaler Sicherheit beibringen.

Für den Rest von uns ist die Ende-zu-Ende-Verschlüsselung von WhatsApp gut genug um uns vor Schnüfflern zu bewahren. Und in der Tat: eine Verletzung der Privatsphäre dürfte nicht durch die NSA oder einen Geheimdienst geschehen, sondern durch die Leute in deinem Umfeld – wenn du verhindern möchtest, dass deine Eltern und Geschwister deine Nachrichten lesen, brauchst du eher einen Sperr-Code im Handy als eine sichere App.

Tatsächlich geht die größte Gefahr für deine Nachrichten von der Person aus, an die du sie sendest. Planst du die Teilnahme an einer Demo oder möchtest Aktivist werden ohne dass jemand davon erfährt, kann gerade der ebenfalls interessierte Freund die Person sein, die Screenshots von deiner Nachricht macht ohne dass du etwas dagegen tun kannst. „Es gibt zum Schutz dagegen keine technische Lösung,“ sagt Tufekci.

Wenn du befürchtest, dass deine Demo-Teilnahme von Behörden oder anderen Autoritäten aufgezeichnet wird, dann aktiviere den Flug-Modus auf deinem Handy oder schalte es ganz aus, damit du von keinem IMSI-Catcher (ein tragbarer Handy-Funkmast, der SIM-Nummern sammelt) erfasst wirst. Mit dem Smartphone im Flug-Modus kannst du Fotos machen und im Notfall schnell wieder online gehen. Natürlich kann jeder auch von dir ein Foto machen, wenn du keine Maske trägst [Achtung: in Deutschland gilt ein Vermummungsverbot – der Übersetzer], aber da Demonstrationen in den USA nicht generell verboten sind [In Deutschland auch nicht, allerdings genehmigungspflichtig – der Übersetzer], ist es nicht nötig, sich zu vermummen um demonstrieren zu können.

Welche App?

Die meisten deiner Nachrichten müssen nicht geheim sein – wo du dich mit deinen Freunden triffst, interessiert niemand außer ihnen – aber es gibt viele Momente, an denen du dich vielleicht absichern möchtest. Wenn du Nachrichten verschickst, die dich in Probleme bringen könnten, solltest du dir genau überlegen, womit du sie versendest. Glücklicherweise bieten WhatsApp und der Facebook Messenger beide eine Ende-zu-Ende-Verschlüsselung – Snapchat allerdings nicht.

WhatsApps Verschlüsselung ist standardmässig aktiviert, also brauchst du hier im Moment nichts weiter tun. Facebook Messenger hat eine ähnliche Verschlüsselung namens „Geheime Unterhaltungen“ [Secret Conversations – der Übersetzer] – Muffett war hier der leitende Entwickler – aber du musst sie zuerst einschalten und sie ist ärgerlicherweise gut versteckt. Facebook erklärt die Aktivierung hier. Aufgrund der Funktionsweise kannst du Geheime Nachrichten aber nur auf deinem Smartphone lesen, nicht am Computer.

Mit Signal kannst dein Schutzlevel noch einmal erhöhen. Diese Nachrichten-App nutzt das gleiche Verschlüsselungssystem wie die beiden anderen, von Marlinspikes Open Whisper Systems, aber ist weitaus restriktiver was die Privatsphäre und Sicherheitseinstellungen angeht. Ausserdem teilen WhatsApp und Messenger „Metadaten“ mit Facebook, die deren Besitzer sind. Metadaten sind nicht deine Nachrichten, deren Inhalt oder Fotos, sondern die Verbindungsdaten, Empfänger und Zeitpunkte. Wenn du das nicht teilen möchtest solltest du Signal benutzen.

Neben WhatsApp und Signal ist auch Telegram ziemlich bekannt, aber Muffets weist darauf hin, dass die Ende-zu-Ende-Verschlüsselung nicht automatisch eingeschaltet ist und nicht in Gruppenchats funktioniert – und viele Sicherheitsexperten trauen der App nicht. Snapchat ist okay wenn du Fotos an deine Freunde schicken möchtest, aber es nutzt keine Ende-zu-Ende-Verschlüsselung und das bedeutet, dass deine Fotos und Nachrichten „vielleicht irgendwo bei Snapchat auf einem Server liegen und wiederhergestellt werden können“, warnt Muffett. „In der Vergangenheit wurde das auch mindestens ein mal benutzt, um die Snaps von Leuten zurückzuholen.“

[Auch Threema bietet E2E-Verschlüsselung und setzt keine echten Telefonnummern voraus – der Übersetzer]

Backup-Entscheidungen

Wenn du dich für eine App entschieden hast, überlege ob du Sicherungen deiner Chats machen möchtest. In WhatsApp kannst du deine Chats backuppen, aber dort wo sie gesichert werden, sind sie nicht mehr verschlüsselt. Für höchste Sicherheit solltest du sie also nicht sichern – aber wenn du dein Telefon verlierst oder wechselst, dann sind sie für immer weg.
In Signal, ähnlich wie bei Snapchat, kannst du Nachrichten nach einer bestimmten Zeit löschen lassen. Das geht bei WhatsApp auch, von Hand, aber denk in jedem Fall daran, dass deine Nachrichten auch noch beim Empfänger liegen und dieser könnte sie weitergeben, absichtlich oder unabsichtlich, wenn er sein Telefon nicht selber absichern kann.

Eine Backdoor in WhatsApp?

Keine Panik wegen der kürzlichen Berichte, dass WhatsApp nicht mehr sicher sei. Im Januar hat The Guardian berichtet, dass die Verschlüsselung der App eine „Backdoor“ enthält, eine absichtliche Sicherheitslücke, über die man unbemerkt Nachrichten mitlesen können soll. Dies wurde von Sicherheits- und Datenschutzexperten widerlegten – von etwa 70 der besten aus dem Bereich – sie argumentieren, dass diese „Backdoor“ eigentlich eine Designentscheidung ist, um den Nachrichtenaustausch so robust wie möglich zu gewährleisten und wäre schwierig zum Abhören zu missbrauchen.

Tufekci beschreibt, dass die Verschlüsselung über den Austausch eines Codes zwischen den Chatpartnern, einen „geheimen Handschlag“ funktioniert. Wenn jemand das Smartphone oder die SIM-Karte wechselt, ändert sich dieser Code. Verschlüsselungsysteme können nun entweder das Absenden verweigern oder den Codewechsel akzeptieren. WhatsApp macht Zweiteres und setzt den Chat fort. Dank höherer Sicherheitsstandards unterbricht Signal den Chat, auch wenn dann manche Nachrichten nicht ankommen – eine Kompromisslösung. In den Sicherheitseinstellungen kann man bei WhatsApp auch aktivieren, dass man über einen Wechsel des Sicherheitscodes informiert wird.

Falls du nicht gerade das Ziel von staatlichen Überwachung bist, reicht WhatsApp aus und da sind sich Muffett, Tufekci und Marlinspike einig.

So ein Sensationsjournalismus wie vom Guardian schadet dem Vertrauen in Kryptographie-Apps und damit der Sicherheit der Benutzer nur und auch WikiLeaks stellt mit der Behauptung, die CIA hätte Signal, WhatsApp und Telegram geknackt, nicht gerade Vertrauen wieder her. Das verdient allerdings das „Mädchenmagazin“ TeenVogue, wo seitdem weitere lesenswerte Berichte erschienen sind.

[Die App Threema ist in den USA kaum bekannt, darum wird sie nicht erwähnt. Angesichts der Verbreitung und Sicherheit ist WhatsApp aber eine bessere Wahl – ausser, dass WhatsApp zu Facebook gehört.]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.