Schlagwort: GnuPG

Unbeobachtete Mails?

Nein.

Doch.

Ohhhh!

Google (und MSN und so weiter) scannen also Mails. Nach Kinderpornographie. Jemand überrascht? Wirklich? Wie doof seid Ihr denn!

Mal im Ernst, Google hat schon mal geäußert, man könne doch Mails scannen, um passgenau Werbung zu platzieren. Ihr erinnert Euch? Und darf ich Euch auch daran erinnern, dass eMails wie Postkarten sind, wenn Ihr sie nicht verschlüsselt?

Natürlich werden Mails durchsucht. Und wenn schon nach Pornos, dann bestimmt auch nach Terrorismus. Vielleicht nach Drogen. Oder Verkehrssündern. Macht Euch nix vor, die Büchse der Pandorra ist längst offen und nur Kleinkinder und Idioten dürfen glauben, es wäre nicht so.

Im konkreten Fall hält sich mein Bedauern in Grenzen: Wer illegales per Mail verteilt und zu doof ist, PGP zu nutzen, der hat es verdient erwischt zu werden – völlig losgelöst vom Vorwurf und Delikt. Aber es freut mich, dass jetzt langsam auch die Presse wach wird. Zwar stellt man nur zaghaft die Frage nach dem Datenschutz – denn wer würde schon mit dem Datenschutz den Missbrauch von Kindern verdecken wollen. Aber die Fragen kommen. Und vielleicht kommen irgendwann auch die richtigen Fragen, nämlich danach wie leicht man sich schützen kann.

Und das kann man. Zum Beispiel über den Einsatz von TrueCrypt + Thunderbird + Enigmail.

Und natürlich habt Ihr recht: in einer perfekten Welt sollte es nicht notwendig sein, Rechner und Mails zu verschlüsseln – vor allem dann nicht, wenn man sich nichts zu schulden kommen läßt. Wir leben aber nicht in einer perfekten, sondern ziemlich kaputten Welt, die einer Orwellschen Dystopie schon fast  zum Verwechseln ähnlich ist. Und in dieser seid Ihr gezwungen, die letzten privaten Freiräume zu verteidigen. Also macht das!

(Es ist nur eine Frage der Zeit, bis mit dem Terrorismus-Kinderporno-Argument auch Festplattenverschlüsselung und Mailverschlüsselung unter Strafe gestellt werden. Oder andere Länder dem Beispiel Englands folgen und Knast ermöglichen, wenn man sich weigert seine Kennwörter heraus zu geben. NOCH aber ist es nicht so weit. Also kriegt den Arsch hoch!)

Ebay möchte ein unsicheres Netz?!

Ebay ist ja immer wieder für Überraschungen gut – und wenn ich dann alle Jubeljahre mal wieder dort bin, staune ich oft nicht schlecht. Aktuell sorgt Ebays Verständnis von Sicherheit im Internet bei mir für akutes Kopfschütteln:

Gerade Ebay schreibt sich ja immer auf die Fahne, für Kundensicherheit sorgen zu wollen. Um mich dann im nächsten Moment völlig perplex dastehen zu lassen.

Was ist passiert?

Ich habe auf Ebay einen Gegenstand verkauft und der Käufer hat mir über das Mail-System eine Mail geschickt. Die kann man auf Ebay beantworten, oder einfach via „Reply to“ aus dem EMail-Programm heraus. Letzteres habe ich gemacht und dabei ist die Mail, wie alle anderen, standardmäßig mit einer PGP-Signatur(!) versehen worden. Sekunden später:

Betreff: Ihre Nachricht an xxxxx war verschlüsselt und wurde nicht gesendet

Hallo XXXXX,

Um unsere Mitglieder vor Identitätsdiebstahl und unerwünschten E-Mails zu schützen, lassen wir die Verschlüsselung von E-Mails nicht zu. Da Ihre letzte E-Mail an thorsten9023 verschlüsselt war, haben wir sie nicht gesendet.

Bitte entfernen Sie die Verschlüsselung und senden Sie die Nachricht erneut.

Mehr zum Thema verschlüsselte E-Mails erfahren Sie unter http://pages.ebay.de/help/account/email-undelivered.html#encryption

Ganz großes WTF?
Abgesehen davon, dass die EMail nicht verschlüsselt, sondern nur signiert war, möchte Ebay sie nicht versenden? Das ist schon kurios. Aber total merkwürdig ist doch die Begründung, mit dem Verbot verschlüsselter Mails die Empfänger vor Identitätsdiebstahl und Spam schützen zu wollen?

Denn PGP / GnuPG macht bekanntlich ja genau das Gegenteil. Und setzt ja voraus, dass der Empfänger, im Falle der Verschlüsselung, mir seinen Public Key überhaupt erst einmal zur Verfügung stellt.

Tatsächlich dürfte der Grund sein, dass Ebay in die Nachrichten reinschauen können will, die über sein Mailsystem laufen. Über das warum kann man dabei herzlich spekulieren. Aber letztlich ist das nicht wichtig. Wichtig ist die Auswirkung, die ein solches Vorgehen hat. Denn damit mache ich es erstens unnötig schwer, die Integrität von EMails sicher zu stellen. Und zweitens möchte ich nicht wissen, wie viele Menschen die Begründung von Ebay einfach mit einem Kopfnicken hinnehmen, weil sie leider nicht verstehen, was für ein Schwachsinn das ist.

Ganz, ganz böses Foul von Ebay.

Ich bin ich?

Die heutige Aufregung rund um die Veröffentlichung von Snowden bezieht sich auf die „psychologische Kriegsführung“. Dabei geht es vor allem um die Schädigung der Online-Reputation von Menschen:

Um seine These zu untermauern, führt Greenwald Informationen aus neuen und bereits veröffentlichten Dokumenten zusammen. So gehe aus einer Folie hervor, dass der britische Geheimdienst GCHQ gezielt „Honey traps“ einsetzt, um jemanden zu bestimmten Seiten zu lotsen. Um eine „Person zu diskreditieren“ (so der Titel der Folie), könnte außerdem deren Foto bei einem sozialen Netzwerk geändert oder ein Blogeintrag veröffentlicht werden, der von einem angeblichen Opfer stammt. Falsche beziehungsweise rufschädigende Informationen könnten auch direkt an „Kollegen, Nachbarn, Freunde etc.“ gemailt werden. Solche und ähnliche Taktiken werden in internen Informationsdokumenten des Geheimdiensts aufgelistet.

Das ist an sich keine neue Erkenntnis. Gerne werden ja schon mal Twitter-Accounts gekapert oder jemand „hackt“ eines anderen Facebook-Account, um in dessen Namen zu schreien „I am gay!!!“

Aber auch in ernsteren Situationen ist das nicht so fern liegend, wie man vielleicht denken möchte. So kann man bei der aktuellen Diskussion über Erdogan auch durchaus die Frage stellen, welchen Wert  neutrale Anreden haben:

„Bist du zu Hause, Sohn?“, fragt die Stimme eines älteren Mannes auf Türkisch.

„Ja, Vater“, antwortet die jünger klingende Stimme.

Das Problem ist, dass unser gesamtes Kommunikationsnetz solchen Attacken fast schutzlos ausgeliefert ist. Es ist denkbar leicht, ein solches Telefonat zu fingieren und dann zu veröffentlichen. Noch leichter ist es Mails unter einem fremden Namen zu versenden und mit den richtigen Mitteln kann ich quasi alle Formen der Online-Kommunikation stören.

Gegenwehrmaßnahmen gibt es wenige und deren Effektivität ist nur durch den Aufwand begrenzt, den man zum Brechen braucht. So kann ich z. B. E-Mails mit PGP/GnuPG signieren. Das schützt aber nicht davor, dass jemand sich dann des private key bemächtigt und über einen Keylogger der Passphrase.

Allerdings ist offensichtlich, dass es schon ein ganz anderes Kaliber ist, ob ich nur den Absender einer Mail fälsche, oder dafür auch noch Dateien „klauen“ und Software-Trojaner oder fingierte Hardware brauche.

Bei anderen Medien sieht es noch düsterer aus: Wenn ich die Möglichkeit habe, mich in die Kommunikation mit Facebook und Co einzuklinken,  habe ich nahezu keine Hindernisse zu überwinden, um nicht nur authentisch aussehende Posts abzusetzen – sondern auch gleich den eigentlichen Nutzer wirksam auszusperren. Bin ich eine Behörde, ist mir das sogar noch leichter.

Und auch Blogs: Ich könnte hier unter jeden Beitrag beliebige Namen setzen. Dummerweise kann aber jemand der Zugriff auf meine WordPress-Datenbank bekommen kann – und das sind eben nicht nur böse Hacker – im Grunde hier alles machen, was er will. Von der Bild- über die Textmanipulation. Ein wirksamer Schutz dagegen ist nicht bekannt – klar, ich könnte alle Beiträge digital signieren, aber stellt Euch mal den Aufwand bei mir vor und dann bei Euch um die Signatur zu prüfen.

Wobei doch gerade das mal eine pfiffige Idee wäre: PGP/GnuPG-Integration in den WordPress, die dem Leser ermöglicht mit dem Public-Key gegenzuprüfen…

Aber ich schweife ab.

Mein Fazit aus den aktuellen Snwoden-Geschehnissen ist eine Umkehr meines Lebensmottos. Eigentlich fordere ich immer, Menschen offen gegenüber zu treten und nicht alle gleich finsterer Absichten zu verdächtigen. Denn, so meine Behauptung: Die Menschen sind im Grunde gut.

Leider scheinen aber die Systeme die wir geschaffen haben, von Grund auf böse. Auch wenn ihre Intention vielleicht mal gut war. Von daher kann man eigentlich nur sagen:

Seid wachsam. Seid kritisch.

Und vor allem: hinterfragt!

Hinterfragen kann man übrigens persönlich immer noch am Besten.