Überwachung - oder was?

Tutorial Thema: 
Wer kennt es nicht - im Namen der "inneren Sicherheit" und dem vermeintlichen "Kampf gegen den Terror" werden Datenschutz und Privatssphäre vermehrt eingeschränkt: Vorratsspeicherung, Cloud-Computing, hemmungslose Vernetzung und Datamining großer Konzerne, Verbot von Kryptographie sind nur einige Beispiele dieses Prozesses. Wir sind aber nicht wehrlos! Es gibt effektive Verschlüsselungs- und Verschleierungstechniken, die gar nicht so kompliziert sind. Ich möchte Euch einige Tipps von Aktiven an Aktive geben, wie Ihr Euch vor gierigen Schnüfflern ein wenig schützen könnt. Neben dem politischen Kampf gegen Überwachung gilt es vorhandene Techniken einzusetzen.

Wer will, kann fast jede Woche Bingo spielen, mit welchen Maßnahmen gerade wieder Eure Privatsphäre im Internet und Euer Datenschutz eingeschränkt wird: Heute Vorratsspeicherung und irgendwelche Lücken in großen Cloud-Speichern sowie in millionenfach eingesetzten Software-Programmen, morgen erneut das Ausspähen durch Geheimdienste, Vernetzung deren Datenbanken, Erhebung von Fluggastdaten, dem Verbot der Kryptographie. Und das alles wird immer entweder im Namen der so genannten "inneren Sicherheit" (Vorsicht: Neusprech!) und im "Kampf gegen" den so genannten "Terror" geführt.

Wir sind aber nicht wehrlos! Tapfere HackerInnen arbeiten unermüdlich an Verschlüsselungs- und Verschleierungstechniken, die Euch das Leben nicht (schlimm :-)) verkomplizieren und gleichzeitig ein wenig mehr Datenschutz zurückgeben können.

Aber wie geht das?

  • Verschlüsseln: Daten mit GPG und Truecrypt, Verbindungen mit SSL, TOR, VPN
  • Anonym im Netz agieren: Umgang mit Cookies, Skripte und Werbung im Browser blockieren: Cookie-Cullor, Adblock, NoScript, TOR
  • Haltet Euren PC sauber: Anti-Viren-Programme aktuell halten. Besser noch: Freie sichere Betriebssysteme verwenden: Linux
  • Mehrere Identitäten annehmen: Bei Facebook, Google+ und co stets mit mehreren Accounts arbeiten. Stets genau prüfen, welche Daten man preis gibt. Die Daten werden NIE wieder gelöscht (und gehören Euch dann auch nicht mehr)
  • Gute Passwörter wählen.
  • Achtet beim Einsatz von Smartphones darauf, dass a) das Email-Programm PGP/GPG kann, b) Verschlüsselung vorhanden ist und c) das System möglichst offen (Open Source) ist. d) so viele automatische Mechanismen wie möglich ausschalten.

 

Gegenmaßnahmen im Einzelnen:

Verschlüsselung

Verschlüsselung hat den Zweck, Nachrichten für Unbefugte unlesbar zu machen. Grundsätzlich gibt es in der Kryptografie hierzu zwei Methoden.

  • Das Ein-Schlüssel-System (Symmetrische Algorithmen, wie etwa SSL). Die Nachricht wird verschlüsselt; Sender und Empfänger der Nachricht haben einen Schlüssel, um die Nachricht lesbar zu machen. Bedingung ist hier natürlich, dass beide Seiten diesen Schlüssel geheim halten.
  • Das Zwei-Schlüssel-System (Asymmetrische Algorithmen, wie etwa GPG). Dieses System beruht auf dem Vorhandensein von zwei Schlüsseln, einem privaten und einem öffentlich zugänglichen. In diesem Fall muss nur der Empfänger seinen Schlüssel geheim halten. Wer ihm eine Nachricht zukommen lassen möchte, benutzt den öffentlich zugänglichen.

 

Verschlüsselung zur Wahrung des Datenschutzes kommt im Online-Bereich vor allem in zwei Bereichen vor: Zum Schutz persönlicher Daten auf dem eigenen PC und in der Kommunikation über Email. Wer eine unverschlüsselte Email versendet, könnte tatsächlich genauso gut eine Postkarte verschicken. Eine Mail die von Deutschland aus in die USA geschickt wird, durchläuft im Schnitt rund zwanzig verschiedene Server. Und auf jedem dieser Server kann diese theoretisch (und praktisch) gelesen werden.

Mailverschlüsselung durch PGP - Pretty good Privacy

Der Standard für die eMail-Verschlüsselung ist das Programm PGP ("Pretty good Privacy", übersetzt in etwa "ziemlich gute Privatsphäre") sowie die OpenSource-Alternative GnuPG. Die Bedienung von PGP wirkt nur auf den ersten Blick etwas verwirrend. Doch das Konzept ist schnell erklärt: JedeR TeilnehmeR, welcheR am Mailverkehr mit PGP teilnimmt, besitzt zwei Schlüssel, die bei der Installation des Programms erstellt werden. Einen dieser Schlüssel hält der/die TeilnehmerIn geheim, den anderen macht er/sie öffentlich bekannt. Wer dem Teilnehmenden nun eine geheime Nachricht schicken möchte, verwendet den öffentlichen Schlüssel, um die Botschaft oder die Dateien zu verschlüsseln. Der/die EmpfängerIn der Botschaft setzt nun seinen geheimen Schlüssel ein, um die Nachricht zu entschlüsseln.

Diese Art der Verschlüsselung sollte eigentlich mittlerweile jedeR kennen, da doch die Handhabung sich in den letzten Jahren erheblich verbessert hat. Prinzipiell kann man mit GnuPG alles verschlüsseln: Officedokumente, Musik-Dateien, Text.... Häufig wird es aber zur Email-Verschlüsselung eingesetzt. Hierzu verwendet man einfach Thunderbird, worin ein Plugin namens Enigmail schon integriert ist. Vor dem ersten Einsatz muss jedoch noch ein Schlüsselpaar erzeugt werden. Anschließend können von jeder weiteren Person öffentliche Schlüssel importiert und verwaltet und automatisch Emails an bestimmte AdressatInnen versandt werden.

Was braucht Ihr dazu?

  • Das Verschlüsselungsprogramm GnuPG. Das Komplettpaket für Windows:heisst gpg4win . Unter Linux sucht einfach nach "GnuPG" und installiert das.
  • Möglichst ein Mail-Programm wie Thunderbird
  • DasEnigmail-Plugin, welches Ihr über die AddOn-Suche des Mail-Programms Thunderbird findet. Im Webbrowser gibt es das mittlerweile auch, da nennt es sich mailvelope.js (ebenfalls über die AddOn-Suche des Browsers, wie etwa dem Firefox).

Hier findet Ihr noch eine Schritt-für-Schritt-Anleitung.

Surfen im Web: Verschlüsselung mit dem SSL-Standard

Wenn Ihr Websites besucht, prüft immer, ob die Seite auch httpS anbietet. Z.B. könnt Ihr de.wikipedia.org eingeben, aber auch httpS://de.wikipedia.org. SSL ist eine Punkt-zu-Punkt-Verschlüsselung, d.h. Zwischen Euch und dem Server werden die Daten verschlüsselt. Wichtig ist dabei aber auch, dass Ihr Euch die Zertifikate, d.h. Die Meldung genau anseht, wenn Ihr das erste Mal auf eine solche Seite geht ("Ausnahme hinzufügen"). Es ist nämlich möglich, dass ein Angreifer (Sprich das BKA) Euch ein falsches Zertifikat vorlegt, welches aber nicht von der Seite ist, wo Ihr hin wollt und somit alle Daten entschlüsselt, mitliest und an die ursprünglich von Euch angesteuerte Seite weiterleitet (Man-in-the-Middle-Attack). Eine verschlüsselte Datenübertragung erkennt Ihr am kleinen Schloss-Symbol im Browser oben links vor der Adresszeile.

Das HTTPS-Everywhere-Plugin für Firefox prüft automatisch, ob es eine gesicherte

Verbindung zu der gewünschten Website gibt. Analog dazu: Bitte achtet immer darauf, bei Email-Konten Verschlüsselung zu verwenden. D.h. Bei den Konten-Einstellungen beim Thunderbird unter Server-Einstellungen für POP oder IMAP sowie bei SMTP immer "StartTLS" oder "SSL/TLS" wählen.

Festplatte unter Windows verschlüsseln mit Veracrypt (ehem. TrueCrypt)

Die Festplatten-Verschlüsselung hat den Zweck, die Daten Eures Computers oder Laptops vor unbefugtem oder ungewolltem Zugriff Dritter zu schützen. Dazu empfehlen sich spezielle Programme wie VeraCrypt (kostenlos, englisch). Hier möchte ich auf die Ausführliche Anleitung verweisen. Aber nicht vergessen: Vorher ein Backup machen und sich ein wenig Zeit nehmen: Je nach Rechnerleistung und Festplattengröße, kann das Prozedere schon einmal 8 Stunden dauern! Aber es lohnt sich.

Verschlüsselt Chaten

Wenn Ihr chaten wollt, dann bitte nicht über Facebook. Es gibt das IRC oder auch Jabber. Mit dem Chat-Programm Pidgin könnt Ihr mit der Erweiterung OTR verschlüsselt kommunizieren. Die Verschlüsselung ist übrigens die gleiche wie die von GnuPG und Punkt-zu-Punkt, d.h. da ist niemand dazwischen. Ihr braucht dazu das Chat-Program Pidgin mit dem OTR-Plugin

Anonymisierung

Tor

Ist eine freie Software und ein offenes Netzwerk, dass dir hilft, dich gegen eine Analyse der Verbindungsdaten, eine Form der Überwachung von Netzwerken, die die persönliche Freiheit und Privatsphäre wie auch vertrauliche Geschäftsbeziehungen und die allgemeine Sicherheit gefährden, zu schützen. Verbindungen werden durch ein verteiltes Netzwerk von Servern geleitet. Diese Server, genannt Onion Router, werden von Privatpersonen betrieben und schützen dich vor Webseiten, die Profile deiner Interessen erstellen, und vor "Lauschern", die deinen Datenverkehr abhören und dadurch erfahren, welche Webseiten du besuchst. Tor funktioniert mit vielen deiner bestehenden Anwendungen. Unter Windows könnt Ihr Euch einfach den "Tor-Browser" als Komplett-Paket herunterladen.

Verschiedene Identitäten

Dafür bedarf es gar keiner Software. Hier gilt es einfach, ein wenig kreativ zu sein und nicht in jedem Forum den realen Namen anzugeben. Ferner sind zwei oder mehr verschiedene Emailadressen, welche nicht unbedingt mit dem realen Namen zusammen hängen recht sinnvoll. Habt keine Scheu davor, an Eure Klingeltür temporär einen Phantasienamen zu kleben, damit Adressüberprüfungen im Internet funktionen, ohne die wahren Daten zu erfahren. Wegwerf-Email-Adressen: mailinator.com Wegwerf-E-Mail-Adressen, starker Schutz vor Spam, leicht zu bedienen: spamgourmet.com

Cookies:

Google ist derzeit Quasi-Monopolist bei Online-Werbung. Quasi auf jeder Seite befindet sich eine Bannerwerbung von Doubleclick (Google). Ein Banner ist ein Bild, welches auf einem bestimmten Server liegt. Wird eine Seite geladen, so wird das Bild von dem Werbungstreibenden heruntergeladen und ein Cookie im Browser abgelegt (zunächst nur mit den Daten: Welche Seite wurde besucht, mit welcher IP, welcher Broser...). Wird nun eine andere Seite aufgerufen, welche von dem gleichen Werber einen Banner hat (auch für ein anderes Produkt), so kann der Bannerbetreiber die Besuche durch die Cookies verknüpfen, ohne dass die/der BenutzerIn davon etwas merkt. Wird nun in einem Webshop eingekauft, auf dem sich Bannerwerbung befindet, so erhält der Bannerwerber sogar noch die korrekten Benutzerdaten. Diese Daten können im Extremfall sogar verkauft werden oder an konzerneigene Tochterfirmen weitergegeben werden. Erst jetzt wird ein Gesetz diskutiert, ob hierfür die Einwilligung des Benutzers nötig ist. Im Firefox gelangt man über die Extras → Private Daten löschen auf eine Seite, auf der man die Cookies von Zeit zu Zeit manuell löschen kann. Ferner kann man den Firefox so einstellen, dass er immer beim Beenden alle Cookies löscht. Das hat den Nachteil, dass Einstellungen (Voreinstellungen bei ebay, web.de etc) verloren gehen. Es gibt natürlich auch hierfür Plugins wie etwa den CookieCuller. Siehe auch Ccleaner. Ferner gibt es eine Europäische Datenschutz-Richtlinie, die Firefox auch schon umgesetzt hat. Man kann unter Extras → Einstellungen → Datenschutz: „Websites mitteilen, meine Aktivitäten nicht zu verfolgen.“ Cookie-Culler: Verwaltung von Cookies https://addons.mozilla.org/de/firefox/addon/82

Noscript

Wer keinen Torbrowser verwendet, kann dennoch das AddOn NoScript im Firefox-Browser verwenden. Es ist standardmäßig so eingestellt, dass auf Webseiten jegliche JavaScripts unterbunden werden. Erst mit Eurer Zustimmung werden die Scripts zugelassen. Mit NoScript werden außerdem Java-Applets, Flash- und Silverlight-Animationen sowie andere Plug-ins auf Webseiten vorsichtshalber gleich mit blockiert und nur nach Erlaubnis abgespielt. Der XSS-Schutz verhindert auch ungewollte Sicherheits-Lücken auf Webseiten. Fazit: Mit NoScript surft Ihr sicherer. Vor allem auf dubiosen Internet-Seiten verhindert Ihr mit aktivierten JavaScript und XSS-Blocker mögliche Angriffe auf Euer System. Bedenkt, dass einige Webseiten wie etwa Onlinebanking ohne JavaScript ode Flash-Animationen nicht funktionieren. Dies könnt Ihr aber mit dem Tool recht einfach wieder aktivieren.

uBlock

Wenn Ihr Werbung unterdrückt, so unterdrückt Ihr auch die Weitergabe von Eurem Profil an Werbetreibenden. Deshalb ist auch das Plugin uBlock zu empfehlen. Sucht einfach in den AddOns Eures Browsers nach "uBlock Origin". Das ist im übrigen eine OpenSource-Alternative zu "AddBlock-Plus", das in der Vergangenheit in Verruf geraten ist.

Betriebssysteme

Offene Betriebbsysteme

Windows 10, Android, iOS. All das sind Betriebssysteme, mit denen große Konzerne Euch auspionieren wollen. Ihr könnt Anti-Virus-Programme installieren, Euer System regelmäßig mit CCleaner reinigen, Firewalls installieren. Am Ende des Tages sitzen tausende von Entwicklern daran, Strategien zu entwickeln, Eure Daten zu erlangen und kapitalistisch auszuwerten - einen Mehrwert daraus zu erzielen. Die Alternative ist das freie Betriebssystem Linux. Offene Quellen sorgen dafür, dass keine unbekannten Datenabflüsse stattfinden können, Ihr habt die Hoheit über das System und über Eure Daten. Dabei ist es egal, ob es ein Debian oder Ubuntu ist. Wenn Ihr es richtig sicher haben wollt, dann installiert Euch ein Tails-Linux auf einem USB-Stick. Das auf debian basierende Linux leitet dann auch alle Verbindungen über Tor ins Internet. Und Ihr müsst nicht gleich komplett auf Linux umsteigen, sondern könnt es erst einmal ausprobieren.

Weiterführendes

Lizenz des Artikels und aller eingebetteten Medien: 
Creative Commons by-sa: Weitergabe unter gleichen Bedingungen