Das Torprojekt – ein Selbstversuch

Selbstversuch: Wie schütze ich meine digitale Kommunikation?

Die Enthüllungen der letzten Woche haben viele sensibilisiert für die eigene digitale Privatsphäre. Wir alle werden von den großen Datensaugern dieser Welt unter Generalverdacht gestellt und man schreibt unsere gesamten Kommunikationsdaten mit. Eventuell greift man auch aktiv unsere Rechner und Netzwerke an, um direkt auf unsere Datenbestände zuzugreifen oder unsere Aktivitäten an unseren Rechnern mitzuloggen.

Wie kann man sich schützen?

Dummerweise ist die Antwort nicht einfach. Verschlüsselung hört sich toll an, erfordert aber ein großes Verständnis dieser komplexen Technik und wie sie eingesetzt wird. Das Tor-Projekt zur Anonymisierung unserer Kommunikation auf den Internet-Datenbahnen verschleiert nur den Ausgangsrechner der Kommunikation, nicht aber die Inhalte. Wenn wir also auf unseren Email- oder iTunes-Account zugreifen, dann haben wir unsere Identität trotz Tor-Anonymisierung offenbart.

Also benötigen wir auch einen anonymen Email-Account und sollten diese Emails am Besten auch verschlüsseln. Ein anonymer iTunes-Account ist zwar möglich, aber dann hat man nie mehr den Zugriff auf bereits gekaufte Inhalte unter dem Hauptaccount.

Selbst die Betriebssystemebene kann kompromittiert sein durch Hintertüren, die Geheimdienste bei den Herstellern erzwungen haben. Weder Microsofts Windows noch Apples Mac OS X sind quellcode-offen und können ohne unser Wissen Code enthalten, der es Angreifern ermöglicht auf Rechner-Ressourcen wie Kamera, Mikrofon oder Tastatur zuzugreifen. Das Mitlesen von Passworteingaben kann dadurch ermöglicht sein.

Was ist mit den Routern und ihren Firewalls, die wir zu Hause implementiert haben? Warum sollte der Hersteller nicht Zugangsmöglichkeiten ohne unser Wissen geschaffen haben?

Was kann man also mindestens machen?

Schritt 1 ist wohl, dass man sich auf seinem PC einen User einrichtet, der auf einem komplett frischem System aufsetzt. Dieses System darf z.B. keine installierten Flashplayer oder Quicktimeplayer haben, da diese Verbindungsinformationen speichern und eine nachträgliche Identifizierung des Nutzers erlauben. Der Browser müsste frisch aufgesetzt sein und sollte in einem privaten Modus arbeiten. Cookies dürften nicht angelegt werden dürfen und Caches müssten leer sein. Dann sollte man als eine der ersten Aktivitäten sich von der o.g. Website das Torbrowser-Bundle runterladen und starten.

Ab diesem Zeitraum verläuft die Internet-Kommunikation nur noch über diesen Browser. Leider lernt man dann sehr schnell die Nachteile dieses Verfahrens kennen. Der Torbrowser ist bereits mit einigen Plugins versehen, die z.B. sicherstellen sollen, dass möglichst viele Internetverbindungen SSL-verschlüsselt laufen. Es wird auch darauf hingewiesen, dass keine weiteren Browser-Plugins geladen werden sollen, weil diese wieder die echte IP-Adresse mitteilen könnten. Eine Menge Komforterrungenschaften der letzten Jahre gehen damit verloren. Viele Services wie z.B. Youtube sind dann nicht mehr sinnvoll nutzbar. Man muss sich auf Einschränkungen gefasst machen.

Und weitere Vorsichtsmaßnahmen sind zu beachten, die das Arbeiten mit einem solcherart angepassten Rechner schwierig machen. Geladene Word- oder PDF-Dokumente können Zugriff auf Internetressourcen benötigen und eröffnen am Tor-Browser vorbei Verbindungen in das Internet. Auch damit können IP-Adressen veröffentlicht werden und damit die Anonymisierung verhindert werden.

Kommunikation erfordert in unserer Welt auch Email-Adressen. Am Besten sollte diese Email-Adresse anonym sein und die Inhalte sollten nicht lesbar sein.

Anonyme Emaildienste gibt es viele. Einige bieten auch temporäre Email-Adressen für die kurzfristige anonyme Anmeldung bei einem Internetservice.

Aber die Nutzung dieser Email-Adresse ist auch wieder nicht einfach, da auf die Webmailing-Seite eher unkomfortabel im Torbrowser zugegriffen werden muss. Und die Inhalte dieser Email-Kommunikation können nicht verschlüsselt werden. Der Email-Dienstleister oder irgendwelche Geheimdienste, die Zugriff auf diese Kommunikation haben, können die Inhalte im Klartext auf den Datenbanken des Dienstleisters lesen. Der Aufwand, diese Inhalte zu verschlüsseln, als File-Attachement hochzuladen und dann mit dem öffentlichem Schlüssel zu versenden, ist enorm und auf keinen Fall komfortabel zu nennen.

Auch das Schlüsselmanagement der öffentlichen Schlüssel muss manuell gemacht werden. Die Schlüssel müssen manuell von der Webmail-Seite heruntergeladen werden und in das Schlüsselverwaltungstool importiert werden. Hoffentlich ist das Tool nicht so konfiguriert, dass es diesen öffentlichen Schlüssel auf zentralen Servern verifizieren will – denn dann ist es mit der Anonymität auch wieder vorbei. Ebenso die verschlüsselten Inhalte müssen heruntergeladen werden und mit dem öffentlichem Schlüssel des Versenders entschlüsselt werden.

Was bedeutet das für die zukünftige Kommunikation?

Wir alle haben uns in unserem Digitalen Leben bereits an unzählige Dienste gebunden, die wir nicht von einem Tag auf den anderen aufgeben werden. Wir werden allerdings unsere digitale Kommunikation in drei unterschiedliche Kategorien einteilen und dementsprechend handeln.

1. Wir werden die Schere im Kopf nutzen, um bei den ungeschützten Kommunikationswegen und Diensten nur noch die Informationen zu verbreiten, die uns als unkritisch erscheinen. 1984 und George Orwell lassen grüssen.

2. Für sensiblere Kommunikation werden wir verschlüsselte Emails und Dateien nutzen und über die ungesicherten und nicht anonymisierten Datenwege versenden.

3. Für höchst sensible Kommunikation (z.B. Internetrecherche über Krankheiten, persönliche und sensible Themen unserer Privatsphäre) werden wir die oben beschriebenen, sehr einschränkenden Maßnahmen ergreifen. Niemand sollte ein offenes Buch für Dienste sein, die einen Allwissensanspruch haben.

Cloud-Konzepte können überhaupt nicht mehr verfolgt werden. Das Vertrauen ist einfach zu sehr erschüttert, als dass Firmen oder Privatpersonen ihre Daten ungeschützt in fremde Hände geben.

Dem Überwachungswahn staatlicher Organisationen muss entgegengetreten werden. Eine komfortable Ende-Zu-Ende-Verschlüsselung muss ermöglicht werden, damit keine Kommunikationskanäle mehr abgegriffen werden können. Weder von Amerikanern, Chinesen oder Deutschen. Die Daten-Dienste, die wir nutzen müssen vor ungeschütztem Zugriff durch die Betreiber oder irgendwelchen Geheimdiensten geschützt werden. Cookies und ähnliche Mechanismen der Identifizierung von Personen müssen verhindert werden. Und Zugriffe auf unsere persönlichen Rechner und Netzwerke müssen zuverlässig verhindert werden. Und das für alle Nutzer und nicht für eine kleine Klasse von “Wissenden”

Das Torprojekt – ein Selbstversuch

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.