GCHQ, NSA, BND, Facebook und Google: Digitale Überwachung ist Alltag geworden. Doch wie können wir unsere Privatsphäre im Netz einfach, bequem und ohne besondere Vorkenntnisse schützen? IT-Spezialist und Kinko.me-Mitbegründer Enrico Thierbach über einen neuen Ansatz, Verschlüsselung massentauglich zu machen und warum jetzt die Zeit des Handelns ist.
*
Ein Jahr nach Snowden – ist beim Normalverbraucher in puncto Sicherheit ein Umdenken erkennbar? Die Snowden-Veröffentlichungen, aber auch andere Enthüllungen in der letzten Zeit – etwa die NSA- und BND-Abhörskandale – haben bei den meisten Menschen, bezüglich wer Zugriff auf ihre Daten und ihre Kommunikation hat, zu einer Verunsicherung geführt.
Im Vergleich zum Sommer/Herbst 2013 stellen wir aber gleichzeitig fest, dass die mit diesem Thema verbundene Emotionalität wieder geringer geworden ist. Anhand der Teilnehmerzahlen der Freiheit-statt-Angst-Demonstrationen lässt sich das sehr gut
feststellen: waren 2013 noch 20.000 Menschen auf der Strasse, um gegen digitale Überwachung zu demonstrieren, zählte die Demo heuer nur 6.500 TeilnehmerInnen.
Wird Überwachung zur Gewohnheit?
Man könnte fast meinen, die meisten hätten sich an den Gedanken gewöhnt, dass ihr digitales Leben ein offenes Buch für Geheimdienste und Datenhändler ist. Nichtsdestotrotz stellen wir immer wieder fest, dass Interessierte mehr Grundlagenwissen mitbringen, warum etwa Verschlüsselung der eigenen Daten nötig ist, um nicht massiv und automatisiert ausgespäht zu werden. Nicht zuletzt zeigt das Beispiel von Edward Snowden ja auch, dass man diesem Überwachungsverlangen nicht hilflos ausgeliefert ist:
“Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.” [The Guardian]
Strong crypto system heißt nach unserem Verständnis: offene Quellen, Ende-zu-Ende-Verschlüsselung, keine Abgabe von Vertrauen (sensible Daten liegen in der Hand der Anwender), die verwendeten kryptographischen Werkzeuge haben sich über die Jahre bewährt.
Fehlende Awareness durch Unwissen
An welchen Stellen fehlt es dennoch an “Awareness”? Obwohl die meisten zumindest ein unangenehmes Gefühl verspüren, wenn es um die Sicherheit ihrer eigenen Daten geht, wird dieser Gedanke oft nicht in die persönliche Kommunikation übertragen. Der Fokus auf die Sicherheit eigener Daten zeigt sich z.B. in dem Erfolg des Dienstes ownCloud, der es uns ermöglicht, sicher und verschlüsselt eigene Daten für sich und andere zugreifbar zu machen.
Die NutzerInnen von Social Networks und Messenger-Lösungen sind sich oft nicht darüber im Klaren, dass bei den meisten dieser Netzwerke ihre Daten nicht nur für Dienstbetreiber zugänglich sind, sondern oft auch von diesen benutzt werden, beispielsweise kommerziell. Die weite Verbreitung etwa von WhatsApp, welches ja die Adressbücher der Anwender ausliest, lässt sich eigentlich nur mit Unwissen erklären. Ähnliches gilt bei dem kommenden Trend von Sports und Health-Apps, aber ebenso bei der Benutzung von Google Maps auf Mobilgeräten.
Andererseits ist vielen oft auch nicht klar, was Verschlüsselung in der Praxis bedeutet; dass eine Bestellung bei Amazon natürlich von amazon.de gelesen werden muss, ist einerseits offensichtlich, andererseits wurden wir aber auch oft gefragt, ob man das nicht irgendwie unterbinden könne. Schlussendlich stellen wir fest, dass in dem Bereich Krypto & Privatsphäre noch viel Bildungsarbeit nötig ist.
Initiativen und Vereine gefordert
Der Kampf um die digitale Selbstbestimmung findet gleichzeitig auf mehreren Ebenen statt. Unsere Utopie ist, dass das Recht auf die eigene digitale Privatsphäre sowohl juristisch abgesichert ist – wie etwa auch das Briefgeheimnis; dass diese Absicherung aber auch durch technische Mittel sichergestellt wird. Gleichzeitig benötigen die NutzerInnen ein besseres Verständnis der modernen Kommunikation.
Wir halten fest, dass es ohne ein Zusammenspiel politischer Initiativen, technischer Innovationen und massiver Bildungsarbeit schwer wird, die eigene Privatsphäre auch im digitalen Raum zu schützen. Hier sind Parteien und Vereine gefordert, sich dieses Themas anzunehmen und solche Initiativen zu fördern. Leider ist momentan auch die Piratenpartei nicht mehr so wie früher in der Lage, massiv zu diesem Thema zu mobilisieren – das ist sicherlich auch ein Ausdruck der jetzigen Situation.
Verweisen möchte ich hier auf Initiativen und Vereine wie die Free Software Foundation oder auch den Chaos Computer Club. Weniger namhafte, aber vielleicht sogar noch viel wichtigere Initiativen sind etwa Cryptoparties.
Die Lösung ist Open Source
Wir können nicht warten, bis Regierungen unsere Privatsphäre wirksam schützen. Glücklicherweise gibt es aber bereits heute technische Mittel, die eigene Kommunikation wirksam sicher zu gestalten. Was hier fehlt, ist vielleicht eine Grundübereinkunft, welche Kommunikationsmittel wirklich sicher sind.
Die verschlüsselte Übertragung von E-Mails zwischen den Servern der Mail-Betreiber, die beispielsweise große deutsche Provider wie gmx und web.de mit großem Getöse seit diesem Jahr endlich umgesetzt haben, sind ein richtiger, aber viel zu kleiner Schritt.
Unser eigener Anforderungskanon umfasst Ende-zu-Ende-Verschlüsselung genauso wie die Anforderung, dass eine Lösung Open Source sein muss, und dass Klartext-Daten nicht an von Dritten kontrollierte Internet-Server übertragen werden. Und auch wenn ich das hier erst zuletzt nenne: Privacy-Tools müssen viel, viel, viel einfacher zu nutzen sein als bisher. Daran scheitern derzeitige Lösungen oft.
Verschlüsselung im Hintergrund
In der Konsequenz heißt das natürlich auch, dass ein Dienst wie Facebook in der heutigen Form schwer akzeptabel ist. Ich denke, dass die Zeit gekommen ist, Facebook durch dezentrale Dienste, wie etwa Diaspora, zu ersetzen.
Im Rahmen unserer Arbeit an kinko.me konnten wir, was diese Fragestellung betrifft, zwei unterschiedliche Lager feststellen. Das eine sagt, es sind alle Tools zum Schutz der Privatsphäre da, die Menschen müssen sie nur benutzen und fordert mehr Aufklärung und Verständnis innerhalb der Bevölkerung. Das Ziel ist eine mündige Menschheit, die in der Lage ist, die Risiken von digitaler Kommunikation selbst abzuschätzen und geeignete technische Tools zu wählen. Constanze Kurz hat diesen Standpunkt des öfteren vertreten.
Das andere Lager zielt auf eine durch offene, transparente und technisch ausgereifte Kryptographie gesicherte Basisschicht (base layer) ab, unter jeder Art der digitalen Kommunikation. Diese soll, so die Vertreter, neben technischen Mitteln auch durch Bürgerrechte gesichert, ein Mindeststandard der Kommunikation werden. In dieser Vision muss ich mich nicht selbst mit Kryptographie befassen und kann mich beim kommunizieren darauf verlassen, dass nur meine Gesprächspartner den Inhalt der Kommunikation verstehen können.
Wir halten beide Ansätze für wichtig und vielversprechend. Mit kinko.me bauen wir ja tatsächlich eine Realität, in der E-Mail-Verschlüsselung automatisch im Hintergrund abläuft und damit zu einer Art vertrauenswürdigen Basisschicht für die Anwender wird. Gleichzeitig setzten wir jedoch auch einen starken Fokus auf Aufklärung und Bildung, sodass die Menschen ein besseres Verständnis für ihre Privatsphäre und ihre Kommunikation gewinnen. Wir sehen also keinen Widerspruch und folgen den Ansätzen beider Lager.
Beacon of Privacy
Unsere Vorstellung ist hier ganz klar ein dezentrales Internet. Das Projekt kinko.me beschäftigt sich an der Oberfläche zuerst einmal mit E-Mail-Verschlüsselung. Unsere Vision geht aber noch weiter: Jedes unserer Geräte kommt mit einem eindeutigen privaten Schlüssel – den auch wir nicht kennen. Das und die sichere Verbindung zu diesen Geräten stellt die technologische Grundlage dafür dar, auch bei weiteren Diensten die Privatsphäre der Nutzer sicherzustellen. Wir nennen das gern “Beacon of Privacy”
Für viele kommerzielle Dienste gibt es ja bereits heute gute Open Source-Alternativen. Das dezentrale soziale Netzwerk Diaspora habe ich ja schon genannt; für den Austausch von Dateien bietet sich etwa ownCloud an, usw. kinko.me soll es möglich machen, dass jeder Nutzer und jede Nutzerin etwa ihren eigenen Server zum Dateiaustausch zu betreiben. Nur soll das eben viel einfacher gehen, als der Begriff “Server betreiben” vermuten lässt.
Kinko.me ist zuerst einmal eine technische Lösung. Dennoch verstehen wir es als Teil der weltweiten Bewegung für eine digitale Privatsphäre. Im Rahmen unserer Möglichkeiten bemühen wir uns nach Kräften, auch Bildungsarbeit zu leisten und über die Gefahren nicht-verschlüsselter Kommunikationsmittel aufzuklären.
So haben wir neben kinko.me auch ein Spiel entwickelt, welches innerhalb von Facebook läuft. Der Nutzer schlüpft dort in die Rolle eines Geheimdienstlers und beginnst, seine Freunde “auszuspionieren”. Facebook erlaubt es dabei, auf das soziale Netzwerk der Spieler zurück zu greifen – der Spieler spioniert im Spiel also tatsächliche Informationen von tatsächlichen Freunden aus. Aber du und deine Freunde habt ja nichts zu verbergen, oder? Sonst hättet ihr ja auch nicht auf Facebook davon
erzählt.
Einfache Bedienung für jedermann
Wir versuchen auch die Menschen abzuholen, welche auf Grund mangelnder technischer Kompetenz bisher von Schutzmöglichkeiten ausgeschlossen waren. Wir haben kinko.me deshalb so konzipiert, dass jeder, der in der Lage ist E-Mails zu schreiben, auch in der Lage ist, mit kinko.me verschlüsselte E-Mails zu schreiben – neue Kenntnisse sind nicht nötig.
Ein Beispiel: Mein Mutter benutzt web.de-Webmail zum Schreiben von E-Mails. Ich kann jetzt eine kinko.me-Box für sie einrichten (d.h. ihren Mailaccount einpflegen), erhalte einen schönen FQDN (also den Internet auflösbaren Domain-Namen) und ihr anschließend die Box nach Hause schicken. Sie schließt diese Box dann bei sich an den Router und gibt fortan zum E-Mails schreiben nicht mehr “web.de” im Browser ein, sondern z.B. “rosa-elephant.kinko.me”. Dort kann sie sich aber wie gewohnt einloggen – ihr E-Mail-Verkehr findet zukünftig verschlüsselt statt.
Kinko.me soll bequem und angenehm nutzbar sein. So müssen Nutzer beispielsweise keine neue E-Mail-Adresse anlegen, müssen auch ihren E-Mail-Betreiber nicht wechseln oder ähnliches. Da aber eine verschlüsselte Kommunikation mit anderen voraussetzt, dass alle Beteiligten über die entsprechenden Tools verfügen, sollten unsere Nutzer und Nutzerinnen die Bereitschaft mitbringen, auf ihren Bekanntenkreis einzuwirken, E-Mails nur noch verschlüsselt zu versenden.
Das setzt im übrigen nicht unbedingt auch ein kinko.me-Gerät voraus, sondern lediglich ein PGP-Plugin für das verwendete E-Mail-Programm. Du kannst aber auch deine kinko.me-Box mit mehreren Nutzern teilen, etwa mit den Mitbewohnern in Deiner WG.
Was wir uns generell von unserem Nutzerkreis wünschen ist aber auch die Beteiligung an der gesellschaftlichen Debatte um die Privatsphäre. Und ohne pessimistisch klingen zu wollen: Die Zeit des Handelns ist Jetzt!
Anm.d.Red.: Der Beitrag basiert auf einem Interview, das die Berliner Gazette-Redaktion mit Enrico Thierbach führte. Mehr zum Thema in unserem Dossier POST-SNOWDEN. Hier mehr Informationen über das kinko.me Projekt. Hier kann man kinko.me auf Indiegogo unterstützen. Die Fotos im Text stammen von Mario Sixtus und stehen unter einer Creative Commons Lizenz. Der Text steht unter einer Creative Commons Lizenz: CC BY-SA 4.0.
Non esistono tutele complete nell’informazione informatica
sono solo parvenze esiste una consapevole coscienza nello scrivere tutela …..