Why encrypt

Aus ichbinein.org Wiki
Wechseln zu: Navigation, Suche

"Why should I encrypt my communication? What's so bad about communicating unencrypted?"

These are questions many people keep asking me. And even if the answer seems to be quite logical to me, it's hard to explain. The following text is a take on explaining it in a way which is understandable.

-> Deutsche Version

I don't have anything to hide.

Well, you don't do anything forbidden in your messages, you don't sell stolen cars, no naughty pictures, so you're right, nothing to hide here!

Well, really nothing?

Okay, here's an experiment: Please send me the password for your mail account(s), your login data for the social networks you're using and maybe also your phone numbers. I'd also like to know where exactly you live. You can send it directly to info@ichbinein.org no matter if encrypted or not.

But that's my private content!

Exactly. That's my point. But you have nothing to hide, don't you? Then it will be okay. There's nothing bad to see so you wouldn't mind me having a peek, right?

But I don't know you at all!

That's right! You wouldn't hand over private data because you don't know me. I wouldn't do that, too.
Hi, I'm Folker, nice to meet you!
Nor you know me much better than all the others who are able to access your unencrypted communication. Would you hand over your login data now, please?
No? Do you know the people who (can) intercept and read your chats and mails? The people working at your ISP? Or those working for the secret services? Or the script kiddie living next door who just wants to have a look at what you're doing?
And even people you know shouldn't have access to your private data. Just think of your partner who got the login data to your social media account with whom you just split up. I think you know what I'm trying to tell you here.

And what are you going to do with what you find?

Of course you're worrying about what I could find. I promise, I won't do anything. Only reading, I won't change anything. Maybe I'll sell the interesting things, you know how it is. Things anybody with access to private data would do. Really, I won't do bad things!

I'm not writing anything important/interesting with my contacts, nothing of interest to others.

I know what you're talking about, I'm writing very much with my friends, too. You can easily spend an evening just with meaningles chatter, so where's the reason to encrypt? It doesn't make sense, we don't talk about anything interesting for any third party.

No? Seriously?

Imagine you've been to the doc. He told you that you're very ill and have to quit working for a longer time soon. But you don't want to tell it your boss yet because you don't want to have any drawbacks until the time has come. But your best friend has to know, so you send him a quick message, asking for advice.
Or, for example, you're telling your boyfriend/gielfriend that you're bored because nobody is at home over the week-end. You decide to spend the week-end somewhere else, traveling.

So where is the problem?

Just imagine there's somebody intercepting those messages. Somebody like a coworker who doesn't like you and forwards the freshly acquired information to your boss.
Or try to imagine that there's a person who really likes to break into empty homes and steal everything valuable he can get his hands on. Somebody tells him that your house will be definitely empty over the week-end. Easy money.

But that's quite a far shot, isn't it.

Really, is it? It's incredibly easy to intercept unencrypted communication. And because most people don't care about privacy or securing their systems (beginning with the smartphone, your internet connection and up to home automation) it's really simple to get hands on those informations. Not even talking about the manufacturers of your devices who often also don't care much about these topics.

If that's all I don't care, as long as I'm not writing anything illegal

It has been written before, if you don't write anything that brings the authorities into the arena, there's no reason to encrypt. You're safe, only harmless chattering here.

No, there can be happening even more!

Think about the vast masses of data being generated every day. The secret services are reading most of it but it's too much to let persons sort out the important parts. So they use automatic programs, crawling through your data streams and rating it based on buzzwords, with whom you've been talking, etc.
Sounds harmless, you think? It is, until you accidentially write something which looks harmless to yourself but triggers one of those algorithms. Or until you write with a person who is tagged as suspicious by one of those algorithms.

But that never happened, I would've heard of it!

It happened and it was in the media! To give you an example how far that network reaches, read the story of a 20 years old who just talked to her friend about her upcoming vacation. She wanted to visit her family in Cleveland, USA. During her conversation with her second cousin, she offered to have a look on the children from time to time. I wouldn't suspect anything unusual here.
At the airport she got intercepted, her luggage was searched, she gt interrogated and finally put in the next flight back to germany. The American authorities believed her trying to work without being allowed to and therefor trying to cheat on her visa.

I thought the Facebook chat is encrypted!

Yes and no. Back then, encryption was optional, but even today, only the connection between you and the Facebook servers is encrypted. This means that nobody can read what you're sending to the Facebook servers. But the messages themselves are stored at the servers without any encryption. And that's where the authorities are able to read them. And they do. Facebook is an American company and is therefore under US jurisdiction, so the secret services are legally able to intercept all communication. And Facebook is only one of many companies this applies to.
Facebook does not offer end to end encryption. This would ensure to have really private conversations without anybody else being able to read it. That's the only thing you can do (in my opinion) to prevent others spying on your chats.

I don't fly to the US, none of my business!

Get lost, USA. I don't want to go there either. :) Now you're off the hook, no writing bad or illegal, no traveling and therefore no reason to hide your happy family chat. Nothing changes for you.

Really? It doesn't?

Let's have a look at the psychological part. Don't think of people judging you even if they don't know you, being far away from getting you right. Don't think about algorithms trying to quantitize you and giving you huge drawbacks if they're wrong.
You know that it's possible to intercept unencrypted traffic. So you switch your thinking to "unsuspicious mode". You might not even be aware of it, but I myself often realized it when I was talking about some bomb they found or a possible terroristic act and at some point someone told me to watch I was saying because "they" were listening for keywords. It might have been a joke but you see that the fear of being put into the wrong category exists. So you start to say things differently than you would say them in normal situations. You've developed self-censorship, some kind of passive censorship developing from your own fear.

Another far shot...

Unfortunately not. Just use the search engine of your choice, searching for "self censorship". That's nothing new and happens very often in situations where you believe to be under surveillance. Your behavior changes massively compared to situations where you believe to be unobserved. Personally, I feel it too, I'm definitely more relaxed in a conversation when I know that no third person can read what I'm writing.

I can do whatever I want, I don't care if anyone spies on me!

You're right. You can do whatever you want with your personal data. That's one of your fundamental rights (at least here in Germany) and if you like to give it to WhatsApp, for example, you're free to do exactly that!

Is that so?

Of course, basically you're right. It's your decision what you let others know about you. Whom you provide with information about you and your life. That's your right and nobody wants to take it from you, least me.


But. Communication always involves a second party. Persons you can't decide for. Persons who also have the right to decide where their personal data goes. And maybe those persons are not okay with sharing their communication with any third parties, not knowing what they do with it.
Take the example from above, the visit at the doctor's. Imagine a friend calling you because she doesn't know what to do. She's been testes positively for AIDS. A week after, the coworkers start evading her for no reason.
Please take this as food for thought, most of the time it's not only your data being exposed, but data of everyone communicating with you. And there are many reasons to keep all this private at any time.

Ich nutze WhatsApp, das verschlüsselt Nachrichten. Das ist dann doch nicht "böse"?

WhatsApp ist eine tolle Sache. Unglaublich viele Leute benutzen es, auch der gesamte Freundeskreis, die Mitstudenten und alle Kollegen. Damit haben wir sogar die schon angegrauten Eltern dazu gebracht, von nervigen Kontrollanrufen abzulassen. Kleine Nachricht, pling, alles gut. Und die Nachrichten sind sogar verschlüsselt, jetzt gibt es nichts mehr zu meckern, oder?

Nein? Wirklich nicht?

In der Tat verschlüsselt WhatsApp inzwischen Nachrichten auch zwischen Teilnehmern, kann also nicht mehr direkt Inhalte mitlesen. Das ist per se auch sehr gut und unterstützenswert.


Aber. WhatsApp hat seine AGBs kürzlich (Stand 09/2016) geändert und verlangt in diesen nun, dass der Benutzer die Erlaubnis erteilt, sein gesamtes Adressbuch zu WhatsApp und Facebook hochzuladen. Die so gesammelten Adressen können nun weiterverkauft werden.

Wo ist das Problem? Die meisten meiner Kontakte sind doch eh bei Facebook oder WhatsApp!

Der Punkt ist: "die meisten" sind nicht alle. Nicht jeder möchte seine Daten an diese Dienste verkaufen und ist ganz bewusst nicht dort unterwegs. Wie machst Du das bei zukünftigen neuen Kontakten? Bittest Du jeden einzeln um eine schriftliche Genehmigung, dass Du die Daten weitergeben darfst?
Selbst wenn, dann ist es immer noch ihre Entscheidung, welche Daten sie bereitstellen. Möglicherweise hast Du etwas im Adressbuch über sie eingetragen, was sie bewusst nicht mit den entsprechenden Diensten geteilt haben. Zum Beispiel ihre Dienstnummer, die sie bei Facebook nicht hinterlegt haben, die Du aber in Deinem Adressbuch stehen hast. Meinst Du, die freuen sich, wenn da dann plötzlich pro Tag ein Dutzend Werbeanrufe auflaufen?
Noch mal: Es geht nicht um Kontakte, die sowieso schon bei WhatsApp sind! Es geht um die, die nicht bei WhatsApp sind. Vielleicht sind sie bei Facebook, und plötzlich kennt Facebook durch den Datenabgleich auch deren Telefonnummer und was auch immer Du sonst über sie gespeichert hast. Es geht auch um die, die weder bei Facebook noch bei WhatsApp sind. Die, die nur in Deinem Adressbuch stehen und gar nicht vorhaben, jemals mit Facebook oder WhatsApp zu tun zu haben. Deren Daten aber von diesen Diensten dennoch weiterverkauft werden. Weil sie in Deinem Adressbuch standen.

Wäre es dann nicht illegal, diese Daten zu teilen?

Korrekt. Ist es auch. WhatsApp verlangt derzeit Zugriff auf Daten Dritter, um sie an Facebook weiterzugeben und weiterzuverkaufen. Alleine das widerspricht schon geltendem Recht. Allerdings versuchen die Macher es mit einem schmutzigen Trick: Sie schreiben in die AGBs, dass Du mit der Weiternutzung von WhatsApp versicherst, dass Du Dir von allen Kontakten in Deinem Adressbuch die Erlaubnis eingeholt hast, ihre Daten an WhatsApp verkaufen zu dürfen. Dafür brauchst Du hierzulande übrigens eine schriftliche Erklärung mit Unterschrift.
Mit anderen Worten: Du verkaufst indem Du WhatsApp nutzt Daten von Deinen Kontakten, ohne dafür deren Erlaubnis zu haben. Dafür kannst Du strafrechtlich belangt werden, zumindest abgemahnt. Und WhatsApp ist fein raus, denn Du hast ja wissentlich gegen deren AGBs verstoßen. Diese AGBs verstoßen meiner Meinung nach zwar schon für sich gesehen gegen geltendes Recht, das sollte aber in keinem Fall dazu führen, sich nicht zuständig zu fühlen.

Okay, gibt es denn Alternativen?

Klar, einige. Ich zähle hier der Einfachheit halber die drei aus meiner Sicht brauchbarsten Messenger auf. Alle vorgestellten Messenger sind sowohl für Android als auch für iOS verfügbar, bieten starke Verschlüsselung und integrieren sich automatisch ins Adressbuch.

Platz 1: Signal

Download: iOS | Android

  • wurde erfolgreich auf Sicherheit getestet
  • Verschlüsselte Telefoniefunktion
  • systemübergreifender Desktop-Client als Chrome-Extension vorhanden
  • verschlüsselt automatisch Ende-zu-Ende
  • kann als SMS-Client agieren und verschickt an Signal-Benutzer stattdessen verschlüsselte Nachrichten
  • open source, der Quellcode ist frei verfügbar
  • Im Vergleich zu anderen Produkten geringerer Funktionsumfang
  • Desktop-Client benötigt Chrome oder Chromium

Platz 2: Threema

Download: iOS | Android

  • wurde erfolgreich auf Sicherheit getestet
  • verschlüsselt automatisch Ende-zu-Ende
  • keine Desktop-Clients verfügbar
  • closed source, der Quellcode ist nicht öffentlich verfügbar
  • kostenpflichtig (derzeit einmalig 2,99€, keine Folgekosten)

Platz 3: Telegram

Download: iOS | Android

  • Desktop-Clients für verschiedene Systeme vorhanden
  • optionaler Selbstzerstörungs-Timer für Nachrichten
  • zum Teil closed source, nur Teile des Quellcodes sind öffentlich verfügbar
  • Chats werden unverschlüsselt in der Cloud gespeichert um auf allen Geräten verfügbar zu sein
  • nur"geheime Chats" bieten Ende-zu-Ende-Verschlüsselung und werden nicht unverschlüsselt zentral abgelegt
  • Genaue Funktionsweise der Verschlüsselung nicht offengelegt

Aber niemand nutzt die!

Alleine wegen des aktuellen Datenschutz-Skandals um WhatsApp entscheiden sich immer mehr Nutzer, zu den Alternativen zu wechseln. Gründe gibt es viele, aber immer weniger Gründe, bei WhatsApp zu bleiben. Der gewichtigste Grund ist tatsächlich "weil es alle nutzen". Und dieser Grund verliert zunehmend an Gewicht.
Geh mit gutem Beispiel voran! Du hast hier eine ganze Menge gute Argumente stehen, die Dich und andere motivieren könnten, die alternativen Messenger zu nutzen. Und ich kann Dir eins versichern: Ich nutze kein WhatsApp und fühle mich nicht ausgegrenzt. Im Gegenteil. Und es macht Spaß, sicher mit meinen Freunden zu kommunizieren - ohne schlechtes Gewissen und ohne Schere im Kopf. :)

Ich kann WhatsApp nicht deinstallieren, ohne den AGBs zuzustimmen!

Leider scheint das tatsächlich inzwischen der Fall zu sein. Nutzer eines aktuellen Android-Systems können zumindest WhatsApp vorübergehend die Berechtigung entziehen, auf das Adressbuch zuzugreifen. Wie das bei iOS aussieht weiß ich aktuell nicht, aber damit könnte man dann die AGBs kurz bestätigen und dann direkt den Account löschen. Das ist aus meiner Sicht gerade die einzige Möglichkeit (und leider keine Garantie), den Account mit möglichst wenig Datenabfluss zu löschen.

Admin (Diskussion) 15:36, 27. Sep. 2016 (CEST)