Why encrypt

Aus ichbinein.org Wiki
Version vom 28. September 2016, 12:17 Uhr von Admin (Diskussion | Beiträge) (Ich schreibe ja eh nichts Wichtiges/Interessantes mit meinen Kontakten, das interessiert keinen.)

Wechseln zu: Navigation, Suche

"Why should I encrypt my communication? What's so bad about communicating unencrypted?"

These are questions many people keep asking me. And even if the answer seems to be quite logical to me, it's hard to explain. The following text is a take on explaining it in a way which is understandable.

I don't have anything to hide.

Well, you don't do anything forbidden in your messages, you don't sell stolen cars, no naughty pictures, so you're right, nothing to hide here!

Well, really nothing?

Okay, here's an experiment: Please send me the password for your mail account(s), your login data for the social networks you're using and maybe also your phone numbers. I'd also like to know where exactly you live. You can send it directly to info@ichbinein.org no matter if encrypted or not.

But that's my private content!

Exactly. That's my point. But you have nothing to hide, don't you? Then it will be okay. There's nothing bad to see so you wouldn't mind me having a peek, right?

But I don't know you at all!

That's right! You wouldn't hand over private data because you don't know me. I wouldn't do that, too.
Hi, I'm Folker, nice to meet you!
Nor you know me much better than all the others who are able to access your unencrypted communication. Would you hand over your login data now, please?
No? Do you know the people who (can) intercept and read your chats and mails? The people working at your ISP? Or those working for the secret services? Or the script kiddie living next door who just wants to have a look at what you're doing?
And even people you know shouldn't have access to your private data. Just think of your partner who got the login data to your social media account with whom you just split up. I think you know what I'm trying to tell you here.

And what are you going to do with what you find?

Of course you're worrying about what I could find. I promise, I won't do anything. Only reading, I won't change anything. Maybe I'll sell the interesting things, you know how it is. Things anybody with access to private data would do. Really, I won't do bad things!

I'm not writing anything important/interesting with my contacts, nothing of interest to others.

I know what you're talking about, I'm writing very much with my friends, too. You can easily spend an evening just with meaningles chatter, so where's the reason to encrypt? It doesn't make sense, we don't talk about anything interesting for any third party.

No? Seriously?

Imagine you've been to the doc. He told you that you're very ill and have to quit working for a longer time soon. But you don't want to tell it your boss yet because you don't want to have any drawbacks until the time has come. But your best friend has to know, so you send him a quick message, asking for advice.
Or, for example, you're telling your boyfriend/gielfriend that you're bored because nobody is at home over the week-end. You decide to spend the week-end somewhere else, traveling.

So where is the problem?

Just imagine there's somebody intercepting those messages. Somebody like a coworker who doesn't like you and forwards the freshly acquired information to your boss.
Or try to imagine that there's a person who really likes to break into empty homes and steal everything valuable he can get his hands on. Somebody tells him that your house will be definitely empty over the week-end. Easy money.

But that's quite a far shot, isn't it.

Really, is it? It's incredibly easy to intercept unencrypted communication. And because most people don't care about privacy or securing their systems (beginning with the smartphone, your internet connection and up to home automation) it's really simple to get hands on those informations. Not even talking about the manufacturers of your devices who often also don't care much about these topics.

Wenn sonst nichts passieren kann, ist mir das egal, ich schreibe ja nichts Illegales

Es stand schon weiter oben, solange Du nichts schreibst, das irgend jemanden (wie zum Beispiel die Strafverfolger) auf den Plan ruft, gibt es ja keinen Grund, alles zu verschlüsseln. Dir kann nichts passieren, es sind ja nur harmlose Gespräche.

Nein, es kann mehr passieren!

Beispielsweise ist es ja nicht so, dass heutzutage die anfallenden Datenmassen, die die Geheimdienste abgreifen, von Hand erfasst werden können. Sprich: Da laufen Automatismen im Hintergrund, die unter anderem darauf schauen, welche Stichwörter in einer Unterhaltung auftauchen, mit wem man schreibt, etc.
Klingt erst mal harmlos, oder? Bis man dann mal etwas schreibt, das man selber für harmlos hält, das ein Algorithmus aber als verdächtig einstuft. Oder bis man mit jemandem schreibt, der aus irgendwelchen Gründen selber schon "verdächtig" ist.

Das ist aber noch nie passiert, davon hätte man gehört!

Ist es und hat man! Wie weit die ganze Vernetzung geht, sieht man beispielsweise an einer damals 20jährigen jungen Frau, die sich auf Facebook über den Chat mit einer Freundin über den geplanten USA-Aufenthalt unterhalten hat. Sie wollte für ein paar Monate ihre Familie in Cleveland, USA besuchen. Während ihrer Unterhaltung mit ihrer Großcousine hatte sie auch angeboten, zwischendrin mal auf die Kinder aufzupassen. Würde man für ganz normal halten.
Am Flughafen wurde sie dann abgefangen, ihr Gepäck wurde durchsucht, sie wurde verhört und in den nächsten Flieger zurück nach Deutschland gesetzt. Die Amerikanischen Behörden waren der Meinung, sie sei trotz ihres Besuchervisums zum Arbeiten in die USA gekommen und hätte damit versucht, mit Schwarzarbeit den Staat zu betrügen.

Aber der Facebook-Chat ist doch verschlüsselt!

Jein. War er zu der Zeit noch nicht zwingend, aber selbst heute ist nur die Verbindung zu den Facebook-Servern verschlüsselt. Sprich: Niemand von außen kann da ohne weiteres mitlesen. Die Nachrichten liegen allerdings im Klartext auf den Facebook-Servern. Und dort können die Behörden sie abfangen. Und das tun sie. Facebook ist ein amerikanisches Unternehmen und unterliegt damit den Bestimmungen dieses Landes, daher können die Geheimdienste nahezu uneingeschränkt auf die Kommunikation zugreifen. Und Facebook ist nur eins von vielen Unternehmen, die diesen Bestimmungen unterliegen.
Facebook bietet keine Verschlüsselung von einem Ende zum anderen an. Diese würde sicherstellen, dass nur der eigentliche Empfänger die Nachricht lesen kann. Und das ist auch die einzige mir bekannte wirksame Maßnahme gegen andere, unerwünschte Mitleser.

Ich fliege nicht in die USA, mich betrifft das nicht!

Die USA können lange warten, ich würde da auch nicht hin wollen. :) Jetzt bist Du aus dem Schneider, Du schreibst nichts böses, Du verbreitest nichts Illegales, Du reist nicht viel und damit gibt es keinen Grund, Deine Plaudereien mit den Freunden und der Familie zu verbergen. Für Dich ändert sich tatsächlich nichts.

Nein? Wirklich nicht?

Sehen wir es mal von der psychologischen Seite. Denken wir einfach mal nicht daran, dass wildfremde Leute, die Deine Nachrichten mitlesen (können) ein Urteil über Dich fällen (können), das höchstwahrscheinlich weit von der Wirklichkeit entfernt wäre. Denken wir nicht daran, dass Algorithmen versuchen, Dich in Schubladen einzuordnen, durch die Du massive Nachteile haben kannst.
Du weißt, dass unverschlüsselter Datenverkehr abgehört werden kann. Also schaltest Du im Kopf automatisch auf den "unverdächtig erscheinen"-Modus. Vermutlich gar nicht mal bewusst, aber ich habe es selber häufig erlebt, dass, wenn ich beispielsweise über eine aktuelle Bombendrohung oder einen möglichen Terroranschlag mit Bekannten schrieb, es auf einmal hieß "sei lieber vorsichtig was Du hier schreibst, nicht dass da jemand auf Stichworte scannt!". Die Aussage war mit Sicherheit scherzhaft gemeint, aber man merkt, dass dennoch eine gewisse Angst davor da ist, fälschlicherweise in ein entsprechendes Raster zu passen. Also fängt man an, Dinge anders zu sagen, als man sie normalerweise sagen würde. Stichwort "Schere im Kopf". Eine Art von passiver Zensur, die aus der eigenen Angst entsteht.

Klingt weit hergeholt...

Leider nicht. Bemühe einfach mal eine Suchmaschine Deiner Wahl und suche nach "Schere im Kopf". Selbstzensur ist nichts neues und passiert oft in Situationen, in denen man sich überwacht glaubt. Die eigene Verhaltensweise verändert sich teilweise massiv im Gegensatz zu Situationen und Umgebungen, in denen man sich unbeobachtet wähnt. Ich persönlich merke selber, dass ich deutlich entspannter und offener kommuniziere, wenn ich mir sicher bin, dass niemand mitlesen/-hören kann, den es nichts angeht.

Ich kann doch machen was ich will, soll mich halt jemand ausspionieren!

Genau so ist es. Du bist schließlich Herr über Deine eigenen Daten. Das ist eines Deiner Grundrechte, und wenn Du Deine Daten an WhatsApp weitergeben willst, dann sollte Dir da keiner reinreden!

Ist das so?

Natürlich, prinzipiell hast Du Recht. Es ist Deine eigene Entscheidung, was Du von Dir preisgibst. Wem Du welche Information über Dich und Dein Leben zugänglich machst. Das ist Dein gutes Recht und da möchte Dir auch niemand reinreden, ich am wenigsten.

Aber?

Aber. Kommunikation bedingt meistens noch andere Personen. Personen, für die Du nicht entscheiden solltest. Personen, die auch ein Recht auf die Hoheit über ihre Daten und ihre Informationen haben. Die vielleicht etwas dagegen haben, dass das, was sie Dir schreiben, auch noch bei irgendwelchen Dritten landet, die damit nicht nachvollziehbare Dinge tun.
Nimm das Beispiel von oben, mit dem Arztbefund. Stell Dir mal anders herum vor, eine Freundin schreibt Dich an, weil sie verzweifelt ist. Sie sei positiv auf HIV getestet worden. Eine Woche später beginnen die Kollegen, sich seltsam zu verhalten und sie auszugrenzen.
Nimm dies bitte als Denkanstoß mit, in den meisten Fällen geht es eben nicht nur um Deine eigenen Daten, sondern um die aller Personen, die mit Dir kommunizieren. Und es gibt immer Gründe, solche persönlichen Kommunikationen auch persönlich zu halten.

Ich nutze WhatsApp, das verschlüsselt Nachrichten. Das ist dann doch nicht "böse"?

WhatsApp ist eine tolle Sache. Unglaublich viele Leute benutzen es, auch der gesamte Freundeskreis, die Mitstudenten und alle Kollegen. Damit haben wir sogar die schon angegrauten Eltern dazu gebracht, von nervigen Kontrollanrufen abzulassen. Kleine Nachricht, pling, alles gut. Und die Nachrichten sind sogar verschlüsselt, jetzt gibt es nichts mehr zu meckern, oder?

Nein? Wirklich nicht?

In der Tat verschlüsselt WhatsApp inzwischen Nachrichten auch zwischen Teilnehmern, kann also nicht mehr direkt Inhalte mitlesen. Das ist per se auch sehr gut und unterstützenswert.

Aber?

Aber. WhatsApp hat seine AGBs kürzlich (Stand 09/2016) geändert und verlangt in diesen nun, dass der Benutzer die Erlaubnis erteilt, sein gesamtes Adressbuch zu WhatsApp und Facebook hochzuladen. Die so gesammelten Adressen können nun weiterverkauft werden.

Wo ist das Problem? Die meisten meiner Kontakte sind doch eh bei Facebook oder WhatsApp!

Der Punkt ist: "die meisten" sind nicht alle. Nicht jeder möchte seine Daten an diese Dienste verkaufen und ist ganz bewusst nicht dort unterwegs. Wie machst Du das bei zukünftigen neuen Kontakten? Bittest Du jeden einzeln um eine schriftliche Genehmigung, dass Du die Daten weitergeben darfst?
Selbst wenn, dann ist es immer noch ihre Entscheidung, welche Daten sie bereitstellen. Möglicherweise hast Du etwas im Adressbuch über sie eingetragen, was sie bewusst nicht mit den entsprechenden Diensten geteilt haben. Zum Beispiel ihre Dienstnummer, die sie bei Facebook nicht hinterlegt haben, die Du aber in Deinem Adressbuch stehen hast. Meinst Du, die freuen sich, wenn da dann plötzlich pro Tag ein Dutzend Werbeanrufe auflaufen?
Noch mal: Es geht nicht um Kontakte, die sowieso schon bei WhatsApp sind! Es geht um die, die nicht bei WhatsApp sind. Vielleicht sind sie bei Facebook, und plötzlich kennt Facebook durch den Datenabgleich auch deren Telefonnummer und was auch immer Du sonst über sie gespeichert hast. Es geht auch um die, die weder bei Facebook noch bei WhatsApp sind. Die, die nur in Deinem Adressbuch stehen und gar nicht vorhaben, jemals mit Facebook oder WhatsApp zu tun zu haben. Deren Daten aber von diesen Diensten dennoch weiterverkauft werden. Weil sie in Deinem Adressbuch standen.

Wäre es dann nicht illegal, diese Daten zu teilen?

Korrekt. Ist es auch. WhatsApp verlangt derzeit Zugriff auf Daten Dritter, um sie an Facebook weiterzugeben und weiterzuverkaufen. Alleine das widerspricht schon geltendem Recht. Allerdings versuchen die Macher es mit einem schmutzigen Trick: Sie schreiben in die AGBs, dass Du mit der Weiternutzung von WhatsApp versicherst, dass Du Dir von allen Kontakten in Deinem Adressbuch die Erlaubnis eingeholt hast, ihre Daten an WhatsApp verkaufen zu dürfen. Dafür brauchst Du hierzulande übrigens eine schriftliche Erklärung mit Unterschrift.
Mit anderen Worten: Du verkaufst indem Du WhatsApp nutzt Daten von Deinen Kontakten, ohne dafür deren Erlaubnis zu haben. Dafür kannst Du strafrechtlich belangt werden, zumindest abgemahnt. Und WhatsApp ist fein raus, denn Du hast ja wissentlich gegen deren AGBs verstoßen. Diese AGBs verstoßen meiner Meinung nach zwar schon für sich gesehen gegen geltendes Recht, das sollte aber in keinem Fall dazu führen, sich nicht zuständig zu fühlen.

Okay, gibt es denn Alternativen?

Klar, einige. Ich zähle hier der Einfachheit halber die drei aus meiner Sicht brauchbarsten Messenger auf. Alle vorgestellten Messenger sind sowohl für Android als auch für iOS verfügbar, bieten starke Verschlüsselung und integrieren sich automatisch ins Adressbuch.

Platz 1: Signal

Download: iOS | Android

pro
  • wurde erfolgreich auf Sicherheit getestet
  • Verschlüsselte Telefoniefunktion
  • systemübergreifender Desktop-Client als Chrome-Extension vorhanden
  • verschlüsselt automatisch Ende-zu-Ende
  • kann als SMS-Client agieren und verschickt an Signal-Benutzer stattdessen verschlüsselte Nachrichten
  • open source, der Quellcode ist frei verfügbar
contra
  • Im Vergleich zu anderen Produkten geringerer Funktionsumfang
  • Desktop-Client benötigt Chrome oder Chromium

Platz 2: Threema

Download: iOS | Android

pro
  • wurde erfolgreich auf Sicherheit getestet
  • verschlüsselt automatisch Ende-zu-Ende
contra
  • keine Desktop-Clients verfügbar
  • closed source, der Quellcode ist nicht öffentlich verfügbar
  • kostenpflichtig (derzeit einmalig 2,99€, keine Folgekosten)

Platz 3: Telegram

Download: iOS | Android

pro
  • Desktop-Clients für verschiedene Systeme vorhanden
  • optionaler Selbstzerstörungs-Timer für Nachrichten
contra
  • zum Teil closed source, nur Teile des Quellcodes sind öffentlich verfügbar
  • Chats werden unverschlüsselt in der Cloud gespeichert um auf allen Geräten verfügbar zu sein
  • nur"geheime Chats" bieten Ende-zu-Ende-Verschlüsselung und werden nicht unverschlüsselt zentral abgelegt
  • Genaue Funktionsweise der Verschlüsselung nicht offengelegt

Aber niemand nutzt die!

Alleine wegen des aktuellen Datenschutz-Skandals um WhatsApp entscheiden sich immer mehr Nutzer, zu den Alternativen zu wechseln. Gründe gibt es viele, aber immer weniger Gründe, bei WhatsApp zu bleiben. Der gewichtigste Grund ist tatsächlich "weil es alle nutzen". Und dieser Grund verliert zunehmend an Gewicht.
Geh mit gutem Beispiel voran! Du hast hier eine ganze Menge gute Argumente stehen, die Dich und andere motivieren könnten, die alternativen Messenger zu nutzen. Und ich kann Dir eins versichern: Ich nutze kein WhatsApp und fühle mich nicht ausgegrenzt. Im Gegenteil. Und es macht Spaß, sicher mit meinen Freunden zu kommunizieren - ohne schlechtes Gewissen und ohne Schere im Kopf. :)

Ich kann WhatsApp nicht deinstallieren, ohne den AGBs zuzustimmen!

Leider scheint das tatsächlich inzwischen der Fall zu sein. Nutzer eines aktuellen Android-Systems können zumindest WhatsApp vorübergehend die Berechtigung entziehen, auf das Adressbuch zuzugreifen. Wie das bei iOS aussieht weiß ich aktuell nicht, aber damit könnte man dann die AGBs kurz bestätigen und dann direkt den Account löschen. Das ist aus meiner Sicht gerade die einzige Möglichkeit (und leider keine Garantie), den Account mit möglichst wenig Datenabfluss zu löschen.


Admin (Diskussion) 15:36, 27. Sep. 2016 (CEST)