Warum verschlüsseln

Aus ichbinein.org Wiki
Wechseln zu: Navigation, Suche

"Warum soll ich eigentlich meine Kommunikation verschlüsseln? Was ist so schlimm daran, wenn ich im Klartext kommuniziere?"

Das sind die Fragen, die mir häufig gestellt werden. Und eine Antwort darauf ist, auch wenn sie mir persönlich logisch erscheint, gar nicht so einfach. Nachfolgend habe ich ein paar Punkte zum Nachdenken zusammengetragen.

-> English version (WIP, WhatsApp part still in German)

Ich habe ja nichts zu verbergen.

Du tust in Deinen Nachrichten nichts Verbotenes, Du verkaufst keine geklauten Autos, verschickst nicht einmal unanständige Bilder, darum hast Du auch nichts zu verbergen, vollkommen richtig!

Nein? Wirklich nicht?

Gut, machen wir ein Experiment: Schicke mir bitte die Zugangsdaten zu Deinem Mail-Account, zu Deinen verwendeten sozialen Netzwerken und am besten auch noch Deine Handy- und Telefonnummer. Die Wohnadresse wäre auch schön. Kannst Du direkt an info@ichbinein.org schicken, verschlüsselt oder unverschlüsselt, ist mir egal.

Da stehen aber private Dinge drin!

Genau. Das ist der Punkt. Aber Du hast ja nichts zu verbergen, dann wird das schon okay sein. Ist ja schließlich nichts schlimmes, da darf ich doch sicher mal draufschauen?

Aber ich kenne Dich ja gar nicht!

Stimmt genau! Du würdest mir diese persönlichen Daten nicht geben, weil Du mich nicht kennst. Würde ich auch nicht machen.
Hallo, ich bin Folker, schön Dich kennenzulernen!
Du kennst mich nun besser als die meisten anderen, die auf Deine unverschlüsselte Kommunikation zugreifen. Gibst Du mir jetzt die Daten, bitte?
Nein? Kennst Du denn die Leute, die Deine Kommunikation abhören (können)? Die Leute, die beim Telekommunikationsanbieter arbeiten? Oder bei den Geheimdiensten, die mitlesen? Oder den Möchtegern-Hacker von nebenan, der "nur mal schauen" möchte?
Und selbst Leute, die Du kennst, sollten keinen Zugriff auf Deine persönlichen Daten bekommen. Nimm alleine das Beispiel des Partners, von dem man sich trennt, dem man irgendwann mal die Accountdaten zu irgendwelchen sozialen Netzwerken gegeben hat. Ich denke, Du verstehst, worauf ich hinaus will.

Und was machst Du dann mit den Sachen, die Du findest?

Selbstverständlich machst Du Dir Gedanken, was ich mit dem machen könnte, was ich da finde. Aber ich sag Dir was: Nichts weiter, versprochen. Nur Lesen, ich mache nichts kaputt. Die interessanten Sachen verkaufe ich vielleicht, wissenschon. Das, was halt jeder so macht, der Zugriff auf private Daten bekommt. Wirklich, ich mache nichts Böses!

Ich schreibe ja eh nichts Wichtiges/Interessantes mit meinen Kontakten, das interessiert keinen.

Ich schreibe auch viel mit meinen Freunden, und ich kenne das. Da ist so ein Abend schon mal komplett mit relativ inhaltslosen Plaudereien vertan, wieso sollte ich da verschlüsseln? Das ergibt doch wirklich keinen Sinn, da wird nichts gesagt, für das sich jemand interessiert - außer den Freunden.

Nein? Wirklich nicht?

Stell Dir vor, Du warst beim Arzt. Der hat eine Krankheit bei Dir diagnostiziert, die in wenigen Monaten dafür sorgen wird, dass Du für längere Zeit Deine Arbeit unterbrechen musst. Das möchtest Du Deinem Arbeitgeber aber nicht sofort erzählen, aus Angst, dadurch Nachteile im Job zu haben. Aber Dein bester Freund soll davon erfahren, also schickst Du ihm schnell eine Nachricht, um seinen Rat einzuholen.
Oder stell Dir vor, Du erzählst Deiner Freundin/Deinem Freund, dass Dir langweilig ist, weil niemand daheim ist. Ihr verabredet euch, um das Wochenende wegzufahren.

Und was ist daran nun so schlimm?

Stell Dir vor, jemand liest nun diese unverschlüsselten Nachrichten mit. Irgendjemand, zum Beispiel ein Arbeitskollege, der Dich nicht leiden kann und die frisch gewonnene Information direkt an Deinen Chef weiterträgt.
Stell Dir vor, ein anderer Jemand ist auf etwas dunkleren Pfaden unterwegs und wünscht sich nichts sehnlicher, als fremde Wohnungen nach Wertsachen zu durchsuchen. Der bekommt Informationen zugespielt, dass bei Dir am Wochenende garantiert niemand zu Hause ist. Leicht gemachtes Geld.

Aber das ist doch ziemlich weit hergeholt.

Ist es das wirklich? Unverschlüsselte Kommunikation abzuhören ist unglaublich einfach. Und weil die meisten Menschen sich weder um Datenschutz kümmern, noch um die Absicherung ihrer IT-Systeme (das fängt beim Smartphone an, geht über die Internetverbindung und bis hin zu Heimautomation), ist es ein Leichtes, an entsprechende Informationen zu kommen. Der teilweise lasche Umgang seitens der Hersteller mit der eigenen Software und den Geräten tut sein Übriges.

Wenn sonst nichts passieren kann, ist mir das egal, ich schreibe ja nichts Illegales

Es stand schon weiter oben, solange Du nichts schreibst, das irgend jemanden (wie zum Beispiel die Strafverfolger) auf den Plan ruft, gibt es ja keinen Grund, alles zu verschlüsseln. Dir kann nichts passieren, es sind ja nur harmlose Gespräche.

Nein, es kann mehr passieren!

Beispielsweise ist es ja nicht so, dass heutzutage die anfallenden Datenmassen, die die Geheimdienste abgreifen, von Hand erfasst werden können. Sprich: Da laufen Automatismen im Hintergrund, die unter anderem darauf schauen, welche Stichwörter in einer Unterhaltung auftauchen, mit wem man schreibt, etc.
Klingt erst mal harmlos, oder? Bis man dann mal etwas schreibt, das man selber für harmlos hält, das ein Algorithmus aber als verdächtig einstuft. Oder bis man mit jemandem schreibt, der aus irgendwelchen Gründen selber schon "verdächtig" ist.

Das ist aber noch nie passiert, davon hätte man gehört!

Ist es und hat man! Wie weit die ganze Vernetzung geht, sieht man beispielsweise an einer damals 20jährigen jungen Frau, die sich auf Facebook über den Chat mit einer Freundin über den geplanten USA-Aufenthalt unterhalten hat. Sie wollte für ein paar Monate ihre Familie in Cleveland, USA besuchen. Während ihrer Unterhaltung mit ihrer Großcousine hatte sie auch angeboten, zwischendrin mal auf die Kinder aufzupassen. Würde man für ganz normal halten.
Am Flughafen wurde sie dann abgefangen, ihr Gepäck wurde durchsucht, sie wurde verhört und in den nächsten Flieger zurück nach Deutschland gesetzt. Die Amerikanischen Behörden waren der Meinung, sie sei trotz ihres Besuchervisums zum Arbeiten in die USA gekommen und hätte damit versucht, mit Schwarzarbeit den Staat zu betrügen.

Aber der Facebook-Chat ist doch verschlüsselt!

Jein. War er zu der Zeit noch nicht zwingend, aber selbst heute ist nur die Verbindung zu den Facebook-Servern verschlüsselt. Sprich: Niemand von außen kann da ohne weiteres mitlesen. Die Nachrichten liegen allerdings im Klartext auf den Facebook-Servern. Und dort können die Behörden sie abfangen. Und das tun sie. Facebook ist ein amerikanisches Unternehmen und unterliegt damit den Bestimmungen dieses Landes, daher können die Geheimdienste nahezu uneingeschränkt auf die Kommunikation zugreifen. Und Facebook ist nur eins von vielen Unternehmen, die diesen Bestimmungen unterliegen.
Facebook bietet keine Verschlüsselung von einem Ende zum anderen an. Diese würde sicherstellen, dass nur der eigentliche Empfänger die Nachricht lesen kann. Und das ist auch die einzige mir bekannte wirksame Maßnahme gegen andere, unerwünschte Mitleser.

Ich fliege nicht in die USA, mich betrifft das nicht!

Die USA können lange warten, ich würde da auch nicht hin wollen. :) Jetzt bist Du aus dem Schneider, Du schreibst nichts böses, Du verbreitest nichts Illegales, Du reist nicht viel und damit gibt es keinen Grund, Deine Plaudereien mit den Freunden und der Familie zu verbergen. Für Dich ändert sich tatsächlich nichts.

Nein? Wirklich nicht?

Sehen wir es mal von der psychologischen Seite. Denken wir einfach mal nicht daran, dass wildfremde Leute, die Deine Nachrichten mitlesen (können) ein Urteil über Dich fällen (können), das höchstwahrscheinlich weit von der Wirklichkeit entfernt wäre. Denken wir nicht daran, dass Algorithmen versuchen, Dich in Schubladen einzuordnen, durch die Du massive Nachteile haben kannst.
Du weißt, dass unverschlüsselter Datenverkehr abgehört werden kann. Also schaltest Du im Kopf automatisch auf den "unverdächtig erscheinen"-Modus. Vermutlich gar nicht mal bewusst, aber ich habe es selber häufig erlebt, dass, wenn ich beispielsweise über eine aktuelle Bombendrohung oder einen möglichen Terroranschlag mit Bekannten schrieb, es auf einmal hieß "sei lieber vorsichtig was Du hier schreibst, nicht dass da jemand auf Stichworte scannt!". Die Aussage war mit Sicherheit scherzhaft gemeint, aber man merkt, dass dennoch eine gewisse Angst davor da ist, fälschlicherweise in ein entsprechendes Raster zu passen. Also fängt man an, Dinge anders zu sagen, als man sie normalerweise sagen würde. Stichwort "Schere im Kopf". Eine Art von passiver Zensur, die aus der eigenen Angst entsteht.

Klingt weit hergeholt...

Leider nicht. Bemühe einfach mal eine Suchmaschine Deiner Wahl und suche nach "Schere im Kopf". Selbstzensur ist nichts neues und passiert oft in Situationen, in denen man sich überwacht glaubt. Die eigene Verhaltensweise verändert sich teilweise massiv im Gegensatz zu Situationen und Umgebungen, in denen man sich unbeobachtet wähnt. Ich persönlich merke selber, dass ich deutlich entspannter und offener kommuniziere, wenn ich mir sicher bin, dass niemand mitlesen/-hören kann, den es nichts angeht.

Ich kann doch machen was ich will, soll mich halt jemand ausspionieren!

Genau so ist es. Du bist schließlich Herr über Deine eigenen Daten. Das ist eines Deiner Grundrechte, und wenn Du Deine Daten an WhatsApp weitergeben willst, dann sollte Dir da keiner reinreden!

Ist das so?

Natürlich, prinzipiell hast Du Recht. Es ist Deine eigene Entscheidung, was Du von Dir preisgibst. Wem Du welche Information über Dich und Dein Leben zugänglich machst. Das ist Dein gutes Recht und da möchte Dir auch niemand reinreden, ich am wenigsten.

Aber?

Aber. Kommunikation bedingt meistens noch andere Personen. Personen, für die Du nicht entscheiden solltest. Personen, die auch ein Recht auf die Hoheit über ihre Daten und ihre Informationen haben. Die vielleicht etwas dagegen haben, dass das, was sie Dir schreiben, auch noch bei irgendwelchen Dritten landet, die damit nicht nachvollziehbare Dinge tun.
Nimm das Beispiel von oben, mit dem Arztbefund. Stell Dir mal anders herum vor, eine Freundin schreibt Dich an, weil sie verzweifelt ist. Sie sei positiv auf HIV getestet worden. Eine Woche später beginnen die Kollegen, sich seltsam zu verhalten und sie auszugrenzen.
Nimm dies bitte als Denkanstoß mit, in den meisten Fällen geht es eben nicht nur um Deine eigenen Daten, sondern um die aller Personen, die mit Dir kommunizieren. Und es gibt immer Gründe, solche persönlichen Kommunikationen auch persönlich zu halten.

Ich nutze WhatsApp, das verschlüsselt Nachrichten. Das ist dann doch nicht "böse"?

WhatsApp ist eine tolle Sache. Unglaublich viele Leute benutzen es, auch der gesamte Freundeskreis, die Mitstudenten und alle Kollegen. Damit haben wir sogar die schon angegrauten Eltern dazu gebracht, von nervigen Kontrollanrufen abzulassen. Kleine Nachricht, pling, alles gut. Und die Nachrichten sind sogar verschlüsselt, jetzt gibt es nichts mehr zu meckern, oder?

Nein? Wirklich nicht?

In der Tat verschlüsselt WhatsApp inzwischen Nachrichten auch zwischen Teilnehmern, kann also nicht mehr direkt Inhalte mitlesen. Das ist per se auch sehr gut und unterstützenswert.

Aber?

Aber. WhatsApp hat seine AGBs kürzlich (Stand 09/2016) geändert und verlangt in diesen nun, dass der Benutzer die Erlaubnis erteilt, sein gesamtes Adressbuch zu WhatsApp und Facebook hochzuladen. Die so gesammelten Adressen können nun weiterverkauft werden.
2017/2018 ging WhatsApp nun dazu über, seine Nutzerdaten mit Facebook abzugleichen, obwohl bei der Übernahme durch Facebook nachdrücklich behauptet wurde, dies werde nie geschehen und nachdem Europäische Gerichte dies nach ersten Versuchen schon untersagt hatten. Im Rahmen der neuen EU-Datenschutzgrundverordnung nimmt man sich das offenbar heraus, denn der Firmensitz liegt in Irland - und damit außerhalb der EU-Gerichtbarkeit. Dass der Messenger dann in EU-Ländern nicht genutzt werden darf nehmen die Macher hier lächelnd hin und bieten den Service dennoch an. Und so wandern nicht nur die eigenen, via WhatsApp geteilten Informationen, sondern auch alle anderen gesammelten Daten, die einem gar nicht gehören, zu Facebook. Herzlichen Glückwunsch.

Wo ist das Problem? Die meisten meiner Kontakte sind doch eh bei Facebook oder WhatsApp!

Der Punkt ist: "die meisten" sind nicht alle. Nicht jeder möchte seine Daten an diese Dienste verkaufen und ist ganz bewusst nicht dort unterwegs. Wie machst Du das bei zukünftigen neuen Kontakten? Bittest Du jeden einzeln um eine schriftliche Genehmigung, dass Du die Daten weitergeben darfst?
Selbst wenn, dann ist es immer noch ihre Entscheidung, welche Daten sie bereitstellen. Möglicherweise hast Du etwas im Adressbuch über sie eingetragen, was sie bewusst nicht mit den entsprechenden Diensten geteilt haben. Zum Beispiel ihre Dienstnummer, die sie bei Facebook nicht hinterlegt haben, die Du aber in Deinem Adressbuch stehen hast. Meinst Du, die freuen sich, wenn da dann plötzlich pro Tag ein Dutzend Werbeanrufe auflaufen?
Noch mal: Es geht nicht um Kontakte, die sowieso schon bei WhatsApp sind! Es geht um die, die nicht bei WhatsApp sind. Vielleicht sind sie bei Facebook, und plötzlich kennt Facebook durch den Datenabgleich auch deren Telefonnummer und was auch immer Du sonst über sie gespeichert hast. Es geht auch um die, die weder bei Facebook noch bei WhatsApp sind. Die, die nur in Deinem Adressbuch stehen und gar nicht vorhaben, jemals mit Facebook oder WhatsApp zu tun zu haben. Deren Daten aber von diesen Diensten dennoch weiterverkauft werden. Weil sie in Deinem Adressbuch standen.

Wäre es dann nicht illegal, diese Daten zu teilen?

Korrekt. Ist es auch. WhatsApp verlangt derzeit Zugriff auf Daten Dritter, um sie an Facebook weiterzugeben und weiterzuverkaufen. Alleine das widerspricht schon geltendem Recht. Allerdings versuchen die Macher es mit einem schmutzigen Trick: Sie schreiben in die AGBs, dass Du mit der Weiternutzung von WhatsApp versicherst, dass Du Dir von allen Kontakten in Deinem Adressbuch die Erlaubnis eingeholt hast, ihre Daten an WhatsApp verkaufen zu dürfen. Dafür brauchst Du hierzulande übrigens eine schriftliche Erklärung mit Unterschrift.
Mit anderen Worten: Du verkaufst indem Du WhatsApp nutzt Daten von Deinen Kontakten, ohne dafür deren Erlaubnis zu haben. Dafür kannst Du strafrechtlich belangt werden, zumindest abgemahnt. Und WhatsApp ist fein raus, denn Du hast ja wissentlich gegen deren AGBs verstoßen. Diese AGBs verstoßen meiner Meinung nach zwar schon für sich gesehen gegen geltendes Recht, das sollte aber in keinem Fall dazu führen, sich nicht zuständig zu fühlen.

Okay, gibt es denn Alternativen?

Klar, einige. Ich zähle hier der Einfachheit halber die drei aus meiner Sicht brauchbarsten Messenger auf. Alle vorgestellten Messenger sind sowohl für Android als auch für iOS verfügbar, bieten starke Verschlüsselung und integrieren sich automatisch ins Adressbuch.

Platz 1: Signal

Download: iOS | Android | Alle Clients

pro
  • wurde erfolgreich auf Sicherheit getestet
  • verschlüsselte Telefoniefunktion
  • systemübergreifender Desktop-Client vorhanden
  • verschlüsselt automatisch Ende-zu-Ende
  • kann als SMS-Client agieren und verschickt an Signal-Benutzer stattdessen verschlüsselte Nachrichten
  • open source, der Quellcode ist frei verfügbar
  • der Desktop-Client funktioniert trotz Vollverschlüssleung einwandfrei
contra
  • Signal bindet sich an die Telefonnummer, ist also nicht anonym

Platz 2: Threema

Download: iOS | Android | Threema Web

pro
  • wurde erfolgreich auf Sicherheit getestet
  • verschlüsselt automatisch Ende-zu-Ende
  • ein Browser-basierter rudimentärer Client ist vorhanden
  • gegenseitige Bestätigung der Identität der User ist integraler Bestandteil des Konzepts
  • ist nicht an die Telefonnumer gebunden, Nutzer bekommen eine zufällige ID, daher anonym
contra
  • closed source, der Quellcode ist nicht öffentlich verfügbar
  • kostenpflichtig (derzeit einmalig 2,99€, keine Folgekosten)

Platz 3: Telegram (nicht wirklich empfohlen)

Download: iOS | Android | Desktop-Clients

pro
  • Desktop-Clients für verschiedene Systeme vorhanden
  • optionaler Selbstzerstörungs-Timer für Nachrichten
contra
  • zum Teil closed source, nur Teile des Quellcodes sind öffentlich verfügbar
  • Chats werden unverschlüsselt in der Cloud gespeichert um auf allen Geräten verfügbar zu sein
  • nur"geheime Chats" bieten Ende-zu-Ende-Verschlüsselung und werden nicht unverschlüsselt zentral abgelegt
  • "Geheime Chats" sind standardmäßig nicht aktiviert
  • genaue Funktionsweise der Verschlüsselung nicht offengelegt
  • Über die Entwickler ist kaum etwas bekannt
  • die Server stehen in Ländern mit schwachen Datenschutzgesetzen, in denen möglicherweise Dritte die Daten legal abgreifen könnnen

Aber niemand nutzt die!

Alleine wegen des aktuellen Datenschutz-Skandals um WhatsApp entscheiden sich immer mehr Nutzer, zu den Alternativen zu wechseln. Gründe gibt es viele, aber immer weniger Gründe, bei WhatsApp zu bleiben. Der gewichtigste Grund ist tatsächlich "weil es alle nutzen". Und dieser Grund verliert zunehmend an Gewicht.
Geh mit gutem Beispiel voran! Du hast hier eine ganze Menge gute Argumente stehen, die Dich und andere motivieren könnten, die alternativen Messenger zu nutzen. Und ich kann Dir eins versichern: Ich nutze kein WhatsApp und fühle mich nicht ausgegrenzt. Im Gegenteil. Und es macht Spaß, sicher mit meinen Freunden zu kommunizieren - ohne schlechtes Gewissen und ohne Schere im Kopf. :)

Ich kann WhatsApp nicht deinstallieren, ohne den AGBs zuzustimmen!

Leider scheint das tatsächlich inzwischen der Fall zu sein. Nutzer eines aktuellen Android-Systems können zumindest WhatsApp vorübergehend die Berechtigung entziehen, auf das Adressbuch zuzugreifen. Wie das bei iOS aussieht weiß ich aktuell nicht, aber damit könnte man dann die AGBs kurz bestätigen und dann direkt den Account löschen. Das ist aus meiner Sicht gerade die einzige Möglichkeit (und leider keine Garantie), den Account mit möglichst wenig Datenabfluss zu löschen.


Admin (Diskussion) 15:36, 27. Sep. 2016 (CEST)