Prism, Tempora & Co.
So können Sie sich vor der NSA-Überwachung schützen
Viele haben es sich fast schon gedacht: Die Geheimdienste dieser Welt lauschen einfach immer mit. Digital geht das leicht, doch genauso leicht ist es, sich besser zu schützen. Wir verraten, wie Sie sich vor Prism, Tempora & Co. schützen können.
Wir verraten, wie Sie sich vor der NSA oder der GCHQ schützen können. Die Abhörskandale um Prism und Tempora haben in den jüngsten Wochen viele Nutzer verunsichert. Was steckt dahinter, und wie kann man sich schützen? Zum Hintergrund: Alle großen Internet-Firmen der USA haben es dem amerikanischen Geheimdienst NSA gestattet, den kompletten Datenverkehr zu filtern: Apple, Facebook, Google, Microsoft, Skype und Yahoo. Das "Prism" genannte Programm zielt in erster Linie auf Nicht-US-Bürger. Die Idee dahinter ist, dass auch solcher Datenverkehr durch die USA fließt, der die USA gar nicht betrifft.
Ein weiterer wichtiger Datenknoten läuft durch Großbritannien - und da greift "Tempora" des englischen Geheimdienstes alles ab. Tatsächlich ist es eine Konsequenz des Internet-Routings, dass Daten, die zwischen den Kontinenten fließen, über nur jene wenige Netzwerkknoten geleitet werden, die die größten Leitungskapazitäten haben. Das betrifft Mails zwischen Teheran und Islamabad und sogar solche zwischen Westerland und Oberammergau.
Wer einen US-Dienst wie Google Mail oder Facebook verwendet, ist umso mehr betroffen, denn hier liegen die Daten meist sogar auf US-Servern. Der Zugriff ist noch einfacher. Wenn Sie sich also vor dem Ausspähen schützen wollen, sollten Sie US-Dienste nicht mehr verwenden.
Vor dem deutschen Geheimdienst BND schützt Sie das allerdings nicht, der ebenfalls schon Zugriff auf mehr Internetdaten gefordert hat. Nur eine wirksame Verschlüsselung bietet also einen wirklichen Schutz. Und zwar eine solche, die nicht nur die Übertragung der Daten verschlüsselt (SSL ), sondern die Daten selbst, direkt auf Ihrem Rechner. Bei den meisten Cloud-Anbietern liegen die Daten sonst nämlich ungesichert auf dem Server.
Das Zweischlüsselprinzip
Gerade der E-Mail-Verkehr erfordert eine konsequente Verschlüsselung. Die gängigste Methode dafür ist die asymmetrische Verschlüsselung, das heißt, es gibt nicht einen, gleichen Schlüssel für Absender und Empfänger, sondern jeder hat zwei. Und zwar einen privaten und einen öffentlichen. Die Kommunikationspartner tauschen ihre öffentlichen Schlüssel aus, halten die privaten aber geheim.
Wenn Angela nun eine geheime Mail an Peer schreibt, so verwendet sie Peers öffentlichen Schlüssel. Peer kann die Mail nun mit seinem geheimen Schlüssel öffnen, aber niemand sonst. Umgekehrt nimmt Peer Angelas öffentlichen Schlüssel für die Antwort usw. Das Besondere ist, dass jeder den öffentlichen Schlüssel haben kann. Es ist also nicht schwierig, Schlüssel auszutauschen, um die Kommunikation aufzubauen, sofern die geheimen Schlüssel auch geheim bleiben.
Ein privater Schlüssel kann etwa auf einer Smartcard gespeichert werden, auf einem USB-Stick oder direkt auf dem Rechner und ist zusätzlich durch ein Passwort geschützt, falls er doch in falsche Hände gelangt. Der geheime Schlüssel ist dabei allerdings auch nur so sicher wie sein schützendes Passwort.
Im Mail-Verkehr gibt es Tools, die die Codierung einfacher machen. Für Windows hat sich das Paket Gpg4win etabliert, das verschiedene Komponenten enthält:
- GnuPG: das Herzstück der Verschlüsselung auf DOS-Ebene. Basiert auf dem Standard OpenPGP.
- Kleopatra: grafisches Frontend für GnuPG
- GpgOL: Plug-in für Outlook 2003 und 2007 für die Verschlüsselung von Mails
- GpgEX: Erweiterung für den Windows Explorer für die Verschlüsselung von Dateien
Mail verschlüsseln mit Enigmail
Es gibt allerdings ein paar Einschränkungen: Das Outlook-Plug-in gibt es nicht für Outlook höher als 2007. Und die Explorer-Erweiterung geht nicht bei 64-Bit-Systemen. Ohne Einschränkungen hingegen nutzbar ist Enigmail, ein Add-on für Thunderbird. Dabei beginnen Sie die Installation mit Gpg4win, wobei Sie die Grundeinstellungen übernehmen können. Nun installieren Sie Enigmail für Thunderbird. Laden Sie die .xpi-Datei herunter, öffnen Sie Thunderbird und gehen ins Menü Addons.
Hinter dem Tools-Button mit dem kleinen Zahnrad verbirgt sich Addon aus Datei installieren. Wählen Sie hier die gerade geladene Datei. Nach der Installation starten Sie Thunderbird neu. Wählen Sie nun das Menü OpenPGP/Schlüssel verwalten/ Erzeugen/Neues Schlüsselpaar.
Wenn Sie mehrere Mail-Konten mit Thunderbird verwalten, benötigen Sie für jedes ein eigenes Schlüsselpaar, da ein Schlüssel immer einer Mail-Adresse zugeordnet ist (Benutzer-ID). Dann setzen Sie eine Passphrase und das Ablaufdatum. Nun können Sie noch ein Widerrufszertifikat erzeugen, falls Sie den Schlüssel für ungültig erklären möchten.
Dann erscheint der neue Schlüssel in der Liste. Nun schicken Sie ihn an alle Personen, die Ihnen verschlüsselte Mails senden sollen. Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen: Öffentlichen Schlüssel per Mail senden. Erhalten Sie umgekehrt einen Schlüssel eines Kommunikationspartners, erkennt dies Enigmail und blendet einen gelben Schriftzug "OpenPGP..." ein. Klicken Sie nun auf Entschlüsseln/ Importieren.
Wollen Sie nun eine Mail verschlüsseln, schreiben Sie diese zuerst wie gewohnt, hängen nach Bedarf Dateien an, klicken vor dem Senden aber auf den Button OpenPGP. Es öffnet sich ein Dialog, in dem Sie Nachricht verschlüsseln wählen. Eine weitere Option ist Nachricht unterschreiben, um zu signalisieren, dass Sie wirklich der Absender sind.
Enigmail erkennt, dass der öffentliche Schlüssel des Empfängers vorliegt, und führt die Codierung durch. Für das Signieren müssen Sie das Passwort des privaten Schlüssels eingeben. Dann klicken Sie auf Senden. Wenn Sie eine Mail erhalten, die mit Ihrem öffentlichen Schlüssel codiert wurde, erkennt Enigmail das automatisch und entschlüsselt sie ohne einen Eingriff Ihrerseits.
Fazit
Aller Anfang ist mühsam. Wenn Ihr Schlüssel-Management aber einmal steht und Ihre Kommunikationspartner mitmachen, hat nur noch einer vergebliche Mühe: der Geheimdienst beim Mitlesen.
Hinweis: Weitere Tipps und Maßnahmen gegen Prism & Co. verraten wir Ihnen übrigens in der kommenden August-Ausgabe des PC Magazin. Erscheinungstermin ist der 5. Juli 2013.
