Allgemein

Das Torprojekt – ein Selbstversuch

Wir hinterlassen im Netz unglaubliche viele Spuren. In meinem Torprojekt teste ich in einem Selbstversuch auf was man alles testen muss.

Ich starte mein Torprojekt und führe einen Selbstversuch durch: Wie schütze ich meine digitale Kommunikation?

Die Enthüllungen der letzten Woche haben viele sensibilisiert für die eigene digitale Privatsphäre. Die großen Datensaugern dieser Welt stellen uns alle unter Generalverdacht. Sie schreiben unsere gesamten Kommunikationsdaten mit. Eventuell greift man auch aktiv unsere Rechner und Netzwerke an. Nur um direkt auf unsere Datenbestände zuzugreifen oder unsere Aktivitäten an unseren Rechnern mitzuloggen. Der Staatstrojaner ist da als Beispiel zu nennen.

Wie kann man sich schützen?

Dummerweise ist die Antwort nicht einfach. Verschlüsselung hört sich toll an, erfordert aber ein großes Verständnis dieser komplexen Technik und wie sie eingesetzt wird. Das Tor-Projekt zur Anonymisierung unserer Kommunikation auf den Internet-Datenbahnen verschleiert nur den Ausgangsrechner der Kommunikation, nicht aber die Inhalte. Wenn wir also auf unseren Email- oder iTunes-Account zugreifen, dann haben wir unsere Identität trotz Tor-Anonymisierung offenbart.

Also benötigen wir auch einen anonymen Email-Account und sollten diese Emails am Besten auch verschlüsseln. Ein anonymer iTunes-Account ist zwar möglich, aber dann hat man nie mehr den Zugriff auf bereits gekaufte Inhalte unter dem Hauptaccount.

Selbst die Betriebssystemebene kann kompromittiert sein durch Hintertüren, die Geheimdienste bei den Herstellern erzwungen haben. Weder Microsofts Windows noch Apples Mac OS X sind quellcode-offen und können ohne unser Wissen Code enthalten, der es Angreifern ermöglicht auf Rechner-Ressourcen wie Kamera, Mikrofon oder Tastatur zuzugreifen. Das Mitlesen von Passworteingaben kann dadurch ermöglicht sein.

Was ist mit den Routern und ihren Firewalls, die wir zu Hause implementiert haben? Warum sollte der Hersteller nicht Zugangsmöglichkeiten ohne unser Wissen geschaffen haben?

Was kann man also mindestens machen?

Schritt 1 ist wohl, dass man sich auf seinem PC einen User einrichtet, der auf einem komplett frischem System aufsetzt. Dieses System darf z.B. keine installierten Flashplayer oder Quicktimeplayer haben, da diese Verbindungsinformationen speichern und eine nachträgliche Identifizierung des Nutzers erlauben. Der Browser müsste frisch aufgesetzt sein und sollte in einem privaten Modus arbeiten. Wir müssen die Speicherung von Cookies verhindern. Und wir müssen Caches leeren. Dann sollte man als eine der ersten Aktivitäten sich das Torbrowser-Bundle runterladen und starten.

Ab diesem Zeitraum verläuft die Internet-Kommunikation nur noch über diesen Browser. Leider lernt man dann sehr schnell die Nachteile dieses Verfahrens kennen. Der Torbrowser ist bereits mit einigen Plugins versehen, die z.B. sicherstellen sollen, dass möglichst viele Internetverbindungen SSL-verschlüsselt laufen. Es wird auch darauf hingewiesen, dass wir uns keine weiteren Browser-Plugins laden, weil diese wieder die echte IP-Adresse mitteilen könnten. Eine Menge Komforterrungenschaften der letzten Jahre gehen damit verloren. Viele Services wie z.B. Youtube sind dann nicht mehr sinnvoll nutzbar. Man muss sich auf Einschränkungen gefasst machen.

Und weitere Vorsichtsmaßnahmen sind zu beachten, die das Arbeiten mit einem solcherart angepassten Rechner schwierig machen. Geladene Word- oder PDF-Dokumente können Zugriff auf Internetressourcen benötigen und eröffnen am Tor-Browser vorbei Verbindungen in das Internet. Auch diese Dokumente können IP-Adressen veröffentlicht und damit die Anonymisierung verhindern.

Umgang mit Email-Adressen

Kommunikation erfordert in unserer Welt auch Email-Adressen. Am Besten sollte diese Email-Adresse anonym sein und die Inhalte sollten nicht lesbar sein.

Anonyme Emaildienste gibt es viele. Einige bieten auch temporäre Email-Adressen für die kurzfristige anonyme Anmeldung bei einem Internetservice.

Aber die Nutzung dieser Email-Adresse ist auch wieder nicht einfach, da auf die Webmailing-Seite eher unkomfortabel im Torbrowser zugegriffen werden muss. Und wir können die Inhalte dieser Email-Kommunikation nicht verschlüsseln. Der Email-Dienstleister oder irgendwelche Geheimdienste, die Zugriff auf diese Kommunikation haben, können die Inhalte im Klartext auf den Datenbanken des Dienstleisters lesen. Der Aufwand, diese Inhalte zu verschlüsseln, als File-Attachement hochzuladen und dann mit dem öffentlichem Schlüssel zu versenden, ist enorm und auf keinen Fall komfortabel zu nennen.

Auch das Schlüsselmanagement der öffentlichen Schlüssel müssen wir manuell machen. Die Schlüssel müssen wir manuell von der Webmail-Seite herunterladen und in das Schlüsselverwaltungstool importieren. Hoffentlich ist das Tool nicht so konfiguriert, dass es diesen öffentlichen Schlüssel auf zentralen Servern verifizieren will – denn dann ist es mit der Anonymität auch wieder vorbei. Ebenso müssen wir die verschlüsselten Inhalte herunterladen und mit dem öffentlichem Schlüssel des Versenders entschlüsseln.

Was bedeutet das für die zukünftige Kommunikation?

Wir alle haben uns in unserem Digitalen Leben bereits an unzählige Dienste gebunden. Diese wollen wir nicht von einem Tag auf den anderen aufgeben. Wir werden allerdings unsere digitale Kommunikation in drei unterschiedliche Kategorien einteilen und dementsprechend handeln.

Erstens: wir werden die Schere im Kopf nutzen, um bei den ungeschützten Kommunikationswegen und Diensten nur noch die Informationen zu verbreiten, die uns als unkritisch erscheinen. 1984 und George Orwell lassen grüssen.

Zweitens: für sensiblere Kommunikation werden wir verschlüsselte Emails und Dateien nutzen und über die ungesicherten und nicht anonymisierten Datenwege versenden.

Drittens: für höchst sensible Kommunikation (z.B. Internetrecherche über Krankheiten, persönliche und sensible Themen unserer Privatsphäre) werden wir die oben beschriebenen, sehr einschränkenden Maßnahmen ergreifen. Niemand sollte ein offenes Buch für Dienste sein, die einen Allwissensanspruch haben.

Daraus folgt, daß wir Cloud-Konzepte überhaupt nicht mehr verfolgen wollen. Das Vertrauen ist einfach zu sehr erschüttert, als dass Firmen oder Privatpersonen ihre Daten ungeschützt in fremde Hände geben.

Dem Überwachungswahn staatlicher Organisationen muss entgegengetreten werden. Wir benötigen eine komfortable Ende-Zu-Ende-Verschlüsselung, damit keine Kommunikationskanäle mehr abgegriffen werden können. Weder von Amerikanern, Chinesen oder Deutschen. Die Daten-Dienste, die wir nutzen müssen vor ungeschütztem Zugriff durch die Betreiber oder irgendwelchen Geheimdiensten geschützt werden. Wir müssen die Speicherung von Cookies und ähnlichen Mechanismen der Identifizierung von Personen verhindern. Und Zugriffe auf unsere persönlichen Rechner und Netzwerke müssen zuverlässig verhindert werden. Und das für alle Nutzer und nicht für eine kleine Klasse von “Wissenden” .

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

%d Bloggern gefällt das: