Bericht: Cryptoparty 3 am 20.07.2013

Unser Raum platzte fast aus den Nähten, obwohl wir ja nicht so wirklich viel an Ankündigungen gemacht hatten: Ein bißchen Twitter, ein bißchen G+, ein Blogartikel. Das Thema Verschlüsselung ist derzeit offenbar sehr gefragt. Und nicht nur bei Besuchern: Wir hatten drei Pressevertreter zu Gast (WAZ, WDR5, Wirtschaftswoche) – das dürfte wohl Rekord gewesen sein.

Nach der Keynote und zwei Vorträgen über Verschlüsselung allgemein sowie OTR (für Instant Messaging) wurden Workshops gebildet, in denen das gerade Gehörte – vor allem zum Thema Mailverschlüsselung – in die Praxis umgesetzt werden sollte. Daneben wurde über Plattenverschlüsselung und Verschlüsselung auf mobilen Geräten informiert und diskutiert. Auch CaCert war zu Gast und bot Assurances an.

In den Vorträgen und auch während der Diskussionen wiesen wir immer wieder darauf hin, wie wichtig es ist, daß Verschlüsselungssoftware Freie Software ist. Man sollte sich nicht auf das Versprechen eines Herstellers verlassen, daß seine Software ja schon sicher sei, sondern nur Software nehmen, bei der das anhand des Quellcodes überprüfbar ist.

Die Keynote von Frosch (fast) im Wortlaut:

Die NSA und weitere Geheimdienste spionieren uns aus, lesen unsere Mails und Chats, wissen, welche Websites wir besuchen und was weiß ich noch alles, und unsere Bundesregierung tut unwissend und zeigt sich handlungsunfähig (oder handlungsunwillig, je nach Betrachtungsweise). Eine der Möglichkeiten, sich ein Stück weit davor zu schützen, ausgeforscht zu werden, besteht darin, die eigene Kommunikation zu verschlüsseln.

Seit kurzem taucht nun immer mal wieder das Argument auf, nicht wir müßten lernen, unsere Kommunikation zu verschlüsseln, sondern die Geheimdienste sollten gefälligst das Schnüffeln bleibenlassen. So schrieb der Twitter-User Textheld am 9. Juli: „Verschlüssel doch Deine Kommunikation“ ist das neue „zieh Dir halt lange Hosen an“.

Das nimmt Bezug auf den leider immer noch häufigen Vorwurf an weibliche Vergewaltigungsopfer, sie hätten halt nicht so einen kurzen Rock anziehen dürfen, wenn sie nicht vergewaltigt werden wollen. Ich habe diesen Vergleich selbst so nicht an den Kopf geworfen bekommen oder jemandem an den Kopf geworfen, kann also nicht beurteilen, ob der so tatsächlich in die Welt gesetzt worden war; allerdings geht das meiner Ansicht nach auch in die falsche Denk-Richtung.

Richtig ist, daß wir die Geheimdienste auf Dauer auf politischem Wege loswerden müssen. Rechtsanwalt Thomas Stadler schrieb in seinem Blog Internet-Law ebenfalls am 9. Juli unter der Überschrift „Geheimdienste und Bürgerrechte“ richtigerweise:

Auf dem Weg zu einer vollständigen freiheitlich-demokratischen Grundordnung müssen Fremdkörper wie Geheimdienste beseitigt werden.

Aber selbst, wenn wir dieses Ziel erreicht haben, heißt das noch lange nicht, daß wir nichts mehr zu verschlüsseln bräuchten. Es gibt weiterhin eine Menge Gründe, bestimmte oder alle Daten und Kommunikation zu verschlüsseln:

  • Meinst Du, es sei kein Problem, wenn Deine Bankdaten und Überweisungen etc. mitgelesen werden können?
  • Soll es irgendjemand lesen können, wenn Du Dich per Chat oder E-Mail mit Deinem Partner über Euren Sex austauschst?
  • Kann wirklich jeder wissen, daß und was Du mit einem bestimmten Arzt, einer Beratungsstelle, einem Rechtsanwalt, einem Journalisten, einem Psychotherapeuten oder auch Deiner besten Freundin besprichst?
  • Bist Du sicher, daß auf der Festplatte des Notebooks, das Du immer dabei hast, keine Daten sind, die für irgendjemanden, den sie nichts angehen, interessant sein könnten? Verlierst Du mehr als die Hardware, wenn Dir das Notebook abhanden kommt?
  • Findest Du es immer in Ordnung, wenn Dein jetziger Arbeitgeber mitbekommt, daß Du Dich gerade für eine andere Arbeitsstelle bewirbst?

Meine Twitter-Timeline sagt mir, der Staat müsse mich vor Bespitzelung schützen. Im Zusammenhang mit eigenen oder ausländischen Geheimdiensten ist das klar. Aber er kann das nicht in jeder Hinsicht bewerkstelligen.

Wie soll mich der Staat denn schützen, wenn irgendwer persönliche Informationen über mich publiziert, die ich selbst nie publiziert hätte? Oder wenn eine Datenbank bei einem Internetanbieter geknackt wird, in der, sagen wir, meine Kontonummer mit drinsteht? Gesetze schützen mich nur, wenn sie beachtet werden – und nicht nur Geheimdienste sind neugierig.

Informationen, die einmal im Netz sind, kann man manchmal sehr umständlich, oft aber auch gar nicht zurückholen; was in der Welt ist, ist in der Welt. Selbst wenn ich es schaffe, die Originalquelle einer solchen unerwünschten Veröffentlichung löschen zu lassen, bleibt vielleicht etwas noch eine Weile im Google-Cache, es gibt vielleicht Screenshots, weitere berichten darüber (man denke an den Streisand-Effekt), es steht auf einer Site, auf der ich nichts löschen lassen kann usw.

Es wird was hängenbleiben, Leute werden sich immer wieder daran erinnern, wenn sie meinen Namen lesen, vielleicht nicht mal als konkrete Erinnerung, sondern eher so als Gefühl „da war mal was mit X“. Wobei X alles sein kann, was von allen oder bestimmten Leuten als skandalträchtig oder empörenswert empfunden wird.

Besser ist es doch, ich schütze mich selbst und verschlüssele meine Datenträger und, zumindest da, wo es geht, meine Kommunikation.

Damit möchte ich den im eingangs zitierten Tweet angeprangerten Vorwurf, man sei „selbst schuld“, nicht pauschal stützen. Allerdings würde es vielen Leuten gut tun, drüber nachzudenken, was ihnen ihre eigene Privatsphäre – unabhängig von Geheimdienst-Schüffelei – wert ist.

Ich finde es zum Beispiel beschämend, daß Ärzte, Psychotherapeuten, Journalisten und andere Berufsgeheimnisträger sowie Behörden heute üblicherweise immer noch nicht, nicht mal ansatzweise, irgend etwas verschlüsseln. Wie das bei Festplatten heutzutage aussieht, sieht man ja nicht, aber sagt mir mal: Welcher Arzt, welcher Psychotherapeut, welcher Journalist, hat einen Public Key und erlaubt mir damit, ihr oder ihm verschlüsselte Mails zu schicken? Und bei Behörden, auch und gerade bei denen, die mit sensiblen Daten hantieren, ist bei dem Thema völlige Fehlanzeige, die warten immer noch auf das unsichere DE-Mail und wollen von GnuPG nichts wissen.

Die – und auch meine – Aufforderung, Daten und Kommunikation zu verschlüsseln und sich zusätzlich, wo es geht, von zentralistischen Diensten, die leicht überwacht werden können, unabhängig zu machen, soll daher kein „told you so“ transportieren, sondern vielmehr ein „think about it“. Das allerdings in aller Deutlichkeit!

Denn wenn wir nichts zu verbergen hätten, könnten wir auch unsere Krankenakten und Kontoauszüge an Litfaßsäulen kleben. Oder, anders gefragt: Warum hast Du eigentlich Gardinen vor Deinen Fenstern? Nur weil die so hübsch aussehen?

Mit der Verschlüsselung von Daten und Kommunikation ist es letztendlich wie mit Backups: Es zu machen, mag nervig sein, aber im Fall des Falles ist man dann doch froh, es gemacht zu haben.

Deshalb: Encrypt ALL the data!