PGP – politik-digital

“It‘s your privacy, stupid” – Erfahrungsbericht einer Kryptoparty

Nicolas Krotz — Fri, 07 Feb 2014 13:46:24 +0000

Über ein halbes Jahr ist es her, dass Edward Snowden mit seinen Enthüllungen eine globale Überwachungs- und Spionageaffäre ausgelöst hat, von der nicht nur das Handy von Kanzlerin Angela Merkel, sondern auch die private Kommunikation von Millionen Deutschen betroffen ist. Im Selbstversuch hat die politik-digital.de-Redaktion das Verschlüsseln geübt und eine Kryptoparty veranstaltet. Das Ergebnis: Es hat sogar Spaß gemacht. Ein Erfahrungsbericht.
Seit Monaten schon fordern Datenschützer, Internetaktivisten, Programmierer und Hacker uns auf, unsere Daten und Kommunikationswege zu schützen. In der Redaktion von politik-digital.de kennen wir die Argumente für und gegen Verschlüsselung gut. Mit der praktischen Umsetzung befasst haben wir uns aber bisher kaum. Währenddessen kommen immer weitere Details über die Machenschaften der Geheimdienste ans Licht, und die Regierungen zeigen sich weiterhin wenig beeindruckt von der Empörung in breiten Teilen der Gesellschaft. Bequemlichkeit und Zeitmangel können als Ausreden also nicht mehr gelten, und so haben wir beschlossen, dass es höchste Zeit ist, uns kryptografische Fähigkeiten anzueignen.
Dank guter Vernetzung konnten wir vor zwei Wochen schließlich eine Kryptoparty in unseren Redaktionsräumen veranstalten. Zugute kam uns dabei, dass die Krypto-Bewegung in Berlin sehr lebendig ist. Unter crypto-fuer-alle.de kann man sich umfassend informieren. Wöchentlich finden Workshops (für Anfänger wie Profis) zur Verschlüsselung von E-Mails und Dokumenten sowie zum anonymen Browsen statt. Oft wird dabei über Ansätze der OpenSource-Philosophie diskutiert. In der deutschen Hauptstadt gebe es schon „länger ein Milieu, an das Leute wie [Jacob] Appelbaum sofort andocken können, in dem man sich auch über das rein Technische hinaus von der Denkweise her versteht“, erklärte kürzlich die Sprecherin des Chaos Computer Clubs Constanze Kurz in einem Interview.

“Laptops, ein Kasten Mate und Pizza – schon läuft die Sache”

Bei einem gemeinsamen Stück Pizza lernten wir unsere “Dozenten” und Gäste kennen. Neben interessierten Journalisten waren einige „Exil-Amis“ aus San Francisco gekommen – Netzaktivisten, die sich in ihrer Heimat nicht mehr richtig wohl fühlen. In einer kurzen Einführung gab es interessante Hinweise: So erfuhren wir, dass Edward Snowden und Julian Assange ihre Nachrichten via OpenPGP verschlüsseln – dem Datenformat, in das nun auch wir eingeführt werden sollten. Auch dass ein sicheres Passwort mindestens zwölf Zeichen haben sollte, war für einige von uns neu. Je mehr Bit ein kryptographischer Schlüssel hat, umso unwahrscheinlicher ist, dass jemand die richtige Kombination zufällig findet. Der Schutz steigt dabei exponentiell, mit jedem zusätzlichen Bit verdoppelt er sich.
Die Referenten rannten bei uns offene Türen ein und übersprangen den Teil der sonst üblichen Einführung, in dem erklärt wird, warum Verschlüsselung generell sinnvoll sei. In drei Arbeitsgruppen teilten wir uns nach Interesse auf, und schon ging es los. Zwei Gruppen begannen, sich mit der Ver- und Entschlüsselung von E-Mails mit Enigmail OpenPGP – einem Plug-in für das freie E-Mail-Programm Thunderbird – zu beschäftigen. Eine weitere Gruppe widmete sich dem Linux-Betriebssystem “The Amnesic Incognito Live System”, kurz: Tails. In diesem System läuft jede ausgehende Verbindung über das Tor-Netzwerk, wodurch man anonymisiert surfen kann. Noch sicherer ist es, Tails über einen externen USB-Stick live zu booten, so dass keine Spuren hinterlassen werden.

Bedrohungsszenarien und die Sexiness sich zu wehren

Die Hacker, die den Tails-Workshop leiteten, wirkten in ihrer Leidenschaft für das Thema gleichermaßen ansteckend wie befremdlich auf uns. Doch die Bedrohungsszenarien eines freiheitsfeindlichen Staates, die sie an die Wand malten, halten wir schon länger nicht mehr für „nerdig“ und paranoid. Auf die Frage einer Kollegin, ob sie denn wirklich Tag und Nacht ihren Computer dabei hätten, antwortete einer der Vortragenden lachend: “Yeah, well, it´s a big price to pay sometimes… when you´re going on a date and you have your computer with you…”. Nur böse Zungen würden an dieser Stelle in Frage stellen, dass Hacker Dates haben.
In der Tails-Arbeitsgruppe blieb der Eindruck, kurz Gast in einer faszinierend-fremden Welt gewesen zu sein, in der man sich ganz selbstverständlich einen Zweitlaptop kauft, nur um über ihn sensible Daten zu “waschen” und ihn anschließend zu verschrotten. Zum Teil kommt die Szene sehr konspirativ daher, man kann sich schnell ausgeschlossen fühlen. Doch wenn der Schutz individueller Freiheiten in den Vordergrund gestellt wird, fällt es leicht, zu sympathisieren – so auch uns.
Und was nehmen wir sonst noch mit von der Kryptoparty? Auf den ersten Blick erscheint das Ergebnis relativ unspektakulär: Erstens ist es einfacher, als man denkt, E-Mails und Dateien zu verschlüsseln. Zwei Programme heruntergeladen, drei Einstellungen angepasst, schon hat man die Vorkehrungen für einen gewissen Schutz erreicht. Zweitens ist es aber auch ein längerer Prozess, die Sexiness darin zu entdecken. Und als solchen sollte man das Ganze verstehen: Sich vor Überwachung zu schützen, erfordert die kontinuierliche Beschäftigung mit der Frage, wie man ihr entgehen kann.

Wird es in der Redaktion von politik-digital.de bald nur noch so aussehen?

Die Kryptoparty hat aber vor allem zu einer Diskussion in unserer Redaktion geführt. Mit vorsätzlich in Software eingebauten “Backdoors” will sich hier niemand abfinden. Diese Sicherheitslücken – die z. B. in allen Microsoft-Programmen zu finden sind – ermöglichen es Geheimdiensten und anderen Gruppen, die Daten, die mit diesen Programmen verwendet werden, zu stehlen. Ans Licht kam nun, dass die NSA Unternehmen für diese Sicherheitslücken bezahlen – wie im Fall von RSA Security, einer sehr einflussreichen Firma in der IT-Sicherheitsindustrie. Auf der Kryptoparty wurde berichtet, dass entsprechende “Sicherheits-Updates” oftmals aufgeschoben werden, bis die NSA neue “Hintertüren” gefunden hätte, damit der Zugang nicht abreißt.

Fazit

Um unserem kritisch-journalistischen Anspruch weiter gerecht werden zu können, wollen wir versuchen, uns künftig gegen Spionage und gekaufte Sicherheitsindustrien zu wehren. Wir haben beschlossen, zumindest intern ausschließlich verschlüsselte E-Mails zu verschicken. Einmal eingerichtet, bedeutet dies in der Folge kaum Aufwand. Als nächstes soll der Chat verschlüsselt werden, über den wir kommunizieren. Wichtige Daten werden zukünftig verschlüsselt gespeichert, Plug-ins für Browser und anonymisierte Suchmaschinen sollen verstärkt zum Einsatz kommen.
Für die private Kommunikation fassten nur wenige den Entschluss, sich tiefer in die Kryptographie einzuarbeiten. Der Wunsch ist da, die eigenen Daten selbständig und komplett schützen zu können. Allerdings stellt die geringe Verbreitung leicht zu erlernender Verschlüsselungsmethoden ein Hindernis dar. “Wenn ich auch private Mails verschlüsseln würde, hätte ich bald keine Freunde mehr”, erklärt eine Kollegin. Die hochfliegende Hoffnung mancher aber bleibt: “In spätestens fünf Jahren macht das jeder, und wir werden Teil der Avantgarde gewesen sein.” Insgesamt haben sich alle vorgenommen, ihr Wissen an Menschen in ihrem Umfeld weiterzugeben. Ein Kollege erzählt von Freunden, die sich sehr interessiert gezeigt haben und denen er bald eine erste Einführung geben möchte.
Möglich ist, dass es einer digitalen Elite vorbehalten sein wird, sich auf technischem Wege schützen zu wollen und zu können. Das gemeine “Spähvieh” scheint kaum nennenswerte Verbündete zu haben. Neu ist, dass die Geheimdienste zu einem globalen Politikum geworden sind. Der gegenwärtige Unwille auf Seiten der deutschen Regierung, angemessen auf die zurückliegenden Ereignisse zu reagieren, gibt dem französischen Autoren-Kollektiv des “Unsichtbaren Komitees” offenbar Recht: Man scheint sich auf den Widerspruch geeinigt zu haben, dass “die Manipulation der Massen, die Aktivitäten der Geheimdienste, die Einschränkung der öffentlichen Freiheiten und die vollständige Souveränität der verschiedenen Polizeien angemessene Mittel zur Sicherung von Demokratie, Freiheit und Zivilisation sind”.
Kritischer Journalismus und der Geheimdienst bleiben entzweit. Ist in unseren Vorstellungen von Demokratie ein anderes Verhältnis überhaupt möglich? Mittelfristig könnte die Europäische Union eine größere Rolle spielen. Das Tor-Netzwerk oder ähnliche Ansätze könnten durch sie finanziert werden. Das EU-Parlament zumindest vertritt nicht das Interesse der jeweils nationalen Geheimdienste. Längerfristig geht es um ein anderes Verhältnis zwischen Politik und Gesellschaft. Dass ein solches Szenario noch in weiter Ferne liegt, macht es nicht unwahrscheinlicher – nur müßiger, darüber zu berichten. Kurzfristig geht es darum, dass man künftig nicht unter Verdacht gerät, nur weil man seine Nachrichten und Daten verschlüsselt. Genau aus diesem Grund ist es wichtig, dass mehr Menschen sich dieser Bewegung anschließen.
Bilder: oben: Owni /-) (bearbeitet, Originalbild) (CC BY-NC-SA 2.0), mitte: politik-digital.de

Kreuzberger Nächte: Zu Gast auf einer Krypto-Party

Alinka Rother — Thu, 22 Aug 2013 13:09:53 +0000

Seit einigen Monaten schwirrt ein neuer Begriff durch die Online-Welt: Krypto-Party. Klingt erst mal irritierend, dabei ist das Prinzip ganz einfach: Krypto-Partys sind kostenlose Schulungen, die insbesondere Laien darin unterrichten sollen, die eigenen Daten im Netz zu schützen. In Deutschland werden diese Veranstaltungen hauptsächlich von der Piratenpartei angeboten – die damit endlich ihr Thema im Wahlkampf gefunden hat. Wir waren Gast auf einer Kreuzberger Krypto-Party.
„Kein Problem, wir warten.“ Das war an einem Sommerabend vor drei Wochen sicher einer der meist gehörten Sätze im Nachbarschaftshaus Urbanstraße. In dem Begegnungshaus in Berlin-Kreuzberg saß eine bunt gemischte Gruppe von Personen unterschiedlichen Alters und Geschlechts gemeinsam um einen Konferenztisch herum. Jeder Einzelne vor seinem eigenen Laptop und jeder Einzelne brütend und schwitzend. Der Sommertag hatte eigentlich eher zu einem Feierabendbier am See als zu einer Sitzung vor dem Bildschirm eingeladen. Trotzdem hatten sich immerhin rund zehn Besucher eingefunden. Der Grund: Sie alle wollten wissen, wie sie die eigene digitale Kommunikation vor dem Zugriff Fremder schützen können. Kreuzberger Mitglieder der Piratenpartei, die „Urbanauten“, hatten zu einer Krypto-Party geladen.
Krypto-Partys sind keine Erfindung der Piratenpartei. Die Idee entstand schon 2012 im Rahmen einer Twitterkonversation einer australischen Datenschutzaktivistin mit Computersicherheitsexperten. Schnell griffen unterschiedlichen Organisationen wie der Chaos Computer Club das Konzept auf. Ziel solcher „Partys“ ist es, einer breiten Öffentlichkeit zu erklären, wie man als Internetsurfer möglichst wenige Spuren im Netz hinterlässt. Verschlüsselungstechniken für E-Mails und Festplatten können auf den Workshops dabei ebenso zur Sprache kommen wie die Bedeutung von anonymisierenden Netzwerken. Ein entscheidendes Merkmal von Krypto-Partys: Die nicht kommerziellen Veranstaltungen sind offen für jeden.
In Deutschland ist vor allem die Piratenpartei auf den Zug aufgesprungen. Noch vor wenigen Wochen wurde ihr vorgeworfen, in der Folge der Enthüllungen durch den Whistleblower Edward Snowden „merkwürdig unsichtbar“ zu bleiben. Die Medien fragten zu Recht, warum die Partei die Steilvorlage nicht nutzte, die sich ihr hier auch für den Wahlkampf bot. Zwar traten die Piraten durchaus mit Statements und Petitionen in Erscheinung, der ganz große (auch medial wahrgenommene) Wurf aber blieb aus. Das scheint sich nun geändert zu haben. Seit einigen Monaten richtet die Piratenpartei regelmäßig Trainings zur digitalen Selbstverteidigung aus, sei es in München, Frankfurt oder eben in Berlin-Kreuzberg. Die Piraten konzentrieren sich bei ihren Partys häufig auch auf die Verschlüsselung von E-Mails durch das sogenannte Public-Key-Verfahren (auch asymmetrisches Kryptosystem genannt, daher der Name der Veranstaltungen). Dabei soll eine Mail – zum Beispiel mithilfe eines PlugIns – durch einen öffentlichen und einen privaten „Schlüssel“ vor fremdem Zugriff geschützt werden. Diese überparteilichen Workshops erfreuen sich großer Nachfrage und seien ein Angebot „von Mensch zu Mensch“, so Bernd Schlömer, Vorsitzender der Piratenpartei Deutschland, gegenüber politik-digital.de.

Mit Geduld und Spucke

Tatsächlich gestaltete sich der Workshop in Kreuzberg ziemlich interaktiv und frei nach dem Motto „Wenn uns der Staat nicht hilft, müssen wir uns eben selber helfen“. Schnell zeigte sich: Die meisten Gäste sind politisch engagierte Menschen, die sich um die eigene Privatsphäre sorgen. Völlig ohne Vorwissen im Bereich PC und Internet waren dabei die Wenigsten. Angeleitet wurden die Teilnehmer von dem Berliner Piratenmitglied Thomas Wied, einem ausnehmend geduldigen jungen Mann, der die Grundlagen der Mail-Verschlüsselung mithilfe einer Power-Point-Präsentation erläuterte. Auf diese Weise konnten die Besucher die Aktionen einfach „nachklicken“. Wied führte die Teilnehmer dabei Schritt für Schritt von den theoretischen Grundlagen der Verschlüsselung über die Installierung der entsprechenden Programme bis hin zur ihrer ersten verschlüsselten E-Mail. Zwischendurch gestellte Fragen wurden umfassend beantwortet, auf Nachzügler auch länger gewartet. Die Teilnehmer einer Krypto-Party müssen also damit rechnen, dass es dauert. Da findet ein Gast den entscheidenden Menüpunkt nicht, der nächste muss erst mal Thunderbird installieren und ein Dritter kämpft mit seinem Betriebssystem.

Endlich angekommen!

Für Einsteiger in die Materie aber ist ein solcher Workshop sinnvoll und empfehlenswert. Denn die Nachfrage nach Mail-Verschlüsselung ist seit dem Bekanntwerden von PRISM und Co. zwar sprunghaft angestiegen, doch für viele besorgte User stellt die Einrichtung von Verschlüsselungs-Software eine große Hürde dar. Der Abbau dieser Hürde ist für Piratenmitglied Thomas Wied die entscheidende Motivation, eine Krypto-Party anzuleiten. Außerdem, so Wied, sei jede verschlüsselte E-Mail auch ein politisches Zeichen, mit dem man sich gegen die verdachtsunabhängige Generalüberwachung durch die Geheimdienste positioniere. Und so kommt dann doch noch die Politik ins Spiel: Auch wenn Eigeninitiative und digitale Selbstverteidigung im Privaten wichtig sei, müsse auf Dauer die Politik für klare Richtlinien und einen größeren Schutz der Privatsphäre im Internet sorgen, fordert Wied.
Auch Piraten-Chef Schlömer betont das im Interview mit politik-digital.de: Zum einen müssten „öffentliche Stellen Aktionen und Formate entwickeln, die den Bürgern helfen. Eine bürgernahe Verwaltung muss hier proaktiv handeln und darf sich nicht reserviert zeigen.“ Darüber hinaus aber bedürfe es einer generellen Diskussion über die Legitimität von Geheimdiensten und deutlich stärkerer Kontrollmechanismen. „Die Vorschlagsliste der Piraten beginnt mit der Einrichtung eines parlamentarisch gewählten Nachrichtendienstbeauftragten. Weiter empfehlen wir den Ausbau des parlamentarischen Kontrollgremiums in Anlehnung an den Verteidigungsausschuss“ .
Mit deutlichen politischen Forderungen auf der einen Seite und Angeboten zur digitalen Selbstverteidigung auf der anderen Seite scheinen die Piraten nun also ihr Wahlkampfthema gefunden zu haben. Und auch wenn zehn Teilnehmer einer Krypto-Party wahrlich nicht überwältigend sind – es fanden laut eigenen Angaben auch schon Schulungen mit über 200 Gästen statt. Zwar haben mittlerweile auch andere Parteien die Relevanz der digitalen Selbstverteidigung entdeckt. So bieten beispielsweise die Grünen online Hilfestellungen zum Verschlüsseln von E-Mails und sehr vereinzelt auch Krypto-Partys an. Großflächig engagiert und öffentlichkeitswirksam sind in dieser Hinsicht aber nur die Piraten aktiv.

Wichtig und richtig

Die Notwendigkeit solcher Schulungen zeigt aktuell auch der misslungene Versuch von Telekom, GMX und web.de, einen „neuen Sicherheitsstandard“ einzuführen. Die drei Webportale hatten kürzlich bekannt gegeben, den E-Mail-Verkehr zwischen den Servern der drei Portale zu verschlüsseln. Das ist aber erstens keine neue Idee und ändert zweitens nichts daran, dass Rechenzentren die E-Mails weiterhin unverschlüsselt abspeichern. Zwar bietet auch die Verschlüsselung keine hundertprozentige Sicherheit – und die Metadaten können weiterhin erfasst werden. Trotzdem: Wer zumindest ansatzweise vor Übergriffen auf die eigenen Nachrichten sicher sein möchte, für den führt kaum ein Weg an der Verschlüsselung vorbei. Die Internetnutzer sind bislang dennoch zurückhaltend. So nutzen beispielsweise 72 Prozent der Bundestagsabgeordneten bislang keinerlei E-Mail-Verschlüsselung. Und auch die meisten Unternehmen bleiben reserviert.
Die Teilnehmer der Kreuzberger Krypto-Party hingegen wissen am Ende der ungewöhnlichen und streckenweise etwas langatmigen „Party“, wie sie ihre digitale Kommunikation schützen. Ihre erste Testmail haben sie noch während der Schulung erfolgreich verschickt. Der Workshop-Leiter forderte seine Zuhörer auf, auch unter Freunden und Bekannten Werbung zu machen – wohl gemerkt nicht für die Piratenpartei, sondern für die Verschlüsslung eigener E-Mails. Dem wird hiermit gerne Folge geleistet.

Bilder: Sebastian Drescher, Alinka Rother