Besser verschlüsseln!
„Ausspähen unter Freunden, dass geht gar nicht“ erklärte die Bundeskanzlerin nachdem bekannt wurde das amerikanische Geheimdienste sie abgehört hatten. Aber im Grunde hat Angela Merkel nie was gewusst, wie sie vor dem Untersuchungsausschuß des Bundestages aussagte. Die Ausweitung der Befugnisse des BND durch Ihre Regierung hat sie da auch gnädig verschwiegen.
In der Diskussion über Internetsicherheit hat sich der Fokus der öffentlichen Wahrnehmung verschoben. Der Schwerpunkt liegt nun auf Fake-News, Contentbots und der Regulierung von Facebook.
Die real existierende weiterbestehende Überwachung des Internetdatenverkehrs ist dabei fast in Vergessenheit geraten. Die von Snowden veröffentlichten „Tempora“ -Dokumente belegen eindeutig, dass NSA und GCHQ den gesamten Datenverkehr von Europa in die USA mitschneiden. Vollständig. Im drei Tage Rhythmus. Jede E-Mail, jedes Foto, jeden Website-Aufruf und jegliche sonstige Interaktivität. NSA und GCHQ schauen damit potenziell in jeden Raum der mit einer internetfähigen Kamera ausgerüstet ist, also in dem sich ein Laptop, Tablet oder Smartphone mit Kamera befindet. Sie öffnen potenzielle jedes verschickte Dokument, jeden Chat, jede E-Mail.
Die Five-Eyes-Geheimdienste werden beim übrigen weltweiten Datenverkehr ähnlich vorgehen. Der von Snowden öffentlich gemacht NSA-Skandal hat praktisch keine konkreten politischen oder gar rechtlichen Folgen gehabt. Das Gegenteil ist eher der Fall: Die Five-Eyes-Geheimdienste machen weiterhin, was sie wollen. Der BND und auch deutsche Polizeibehörden haben in der Zwischenzeit sogar zusätzliche Rechte bekommen, um ein bisschen mehr wie die NSA zu werden. Die Angst vor dem Terror überlagert jede Diskussion über digitale Freiheitsrechte. Sich dagegen immer und überall zu wehren ist schwierig bis unmöglich, man hält es bei der allgegenwärtigen Nutzung digitaler Endgeräte einfach nicht durch.
Wie Snowden aber eindeutig belegt, wirkt Verschlüsselung privater Daten und legt der Überwachung durch NSA und GCHQ mächtige Steine in den Weg.
Bei den Ruhrbaronen beklagen wir häufig, die mangelnde Innovationskraft des Ruhrgebietes.
Bei der sicheren Verschlüsselung gibt es allerdings im Ruhrgebiet einen verborgenen Champion. Die 2013 von Ulli Krieger und Peter Stirnberg gegründete Firma Netz & Werk in Dortmund betreibt den verschlüsselten Mailservice RuhrMail. Der Dienst ist nicht kostenlos, die Preisstruktur beginnt aber schon bei 1 €, ohne Abofalle und Mindestvertragslaufzeit und natürlich werbefrei. Bevor man sich entschließt RuhrMail einzusetzen, kann man über ein kostenloses Test-Konto den Service ausgiebig testen. Kernstück ist aber die überaus sichere Verschlüsselung der Kommunikation.
Für Nerds hier die eingesetzte Technik kurz dargestellt: Kern ist eine Transportverschlüsselung nach höchstem Sicherheitsstandard und die Möglichkeit für den BenutzerIn, per S/MIME eine hochgradige Ende-zu-Ende-Verschlüsselung mit zertifikatsbasierter Authentifizierung zu verwenden. Darüber hinaus erweitern DANE/DNSSEC-Protokolle die Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können und erhöhen so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten.
Für Menschen mit weniger technischem Sachverstand ist es wichtig zu wissen, dass RuhrMail damit zu den sichersten Email-Anbietern weltweit gehört.
Anerkannte Sicherheitstests wie SSLLabs (www.ssllabs.com) bewerteten RuhrMAIL besser als Google, GMX und die meisten Banken und Sparkassen. Authentifizierung, Transport und Rohdaten werden, selbst für die NSA, unnachvollziehbar verschlüsselt.
Alle Kenner und Kritiker des „Five Eyes“-Überwachungssystems betonen immer wieder: Es existiert bereits ein allsehendes Internet-Auge. Es ermöglicht die Errichtung eines nahezu allmächtigen, totalitären Überwachungstaates von einem Tag auf den anderen. On Demand. Eines Überwachungsstaates, gegen den die Stasi wie ein Amateurfunkerclub wirkt.
Ich selber arbeite seit 2 Jahren mit dem Ruhrmailservice. Die Politik rechtfertigt mit einer abstrakten Terrorgefahr Datenspeicherung und Überwachung in immer größeren Ausmaß. Und wie die Wahlen in den USA gezeigt haben, ist es nirgendwo in der Welt sicher, dass durch einen Regierungswechsel nicht plötzlich Zugriffe auf private Daten in bisher nicht vorstellbarer Weise erlaubt und möglich werden. Alles was dazu nötig, existiert bereits. Es liegt in der Entscheidung jedes Menschen, wie weit er seine Privatheit schützen will.
http://www.ruhrmail.de
Wir haben eine eigentlich verrückte Lage zurzeit.
Polizei, Dienste, Politiker fordern oft Überwachungen aller Daten und deren Speicherung.
Wenn dann aber Festplatten mit bspw. Kinderpornos aus anderen Ländern zur Verfügung gestellt werden, dauert die Auswertung ewig. Wenn Gefährder durch die Lande ziehen, passiert nichts.
Unsere Sicherheit wird durch noch mehr Überwachung etc. nicht steigen. Wer den einfachen Pass nicht spielen kann, soll nicht den komplizierten Versuchen. Oma Schmidt wird unser Land nicht gefährden.
BTW: Die Verbindung zu dieser Seite ist nicht sicher.
nicht sicher = nicht verschlüsselt.
Ich habe ja ein paar Virenschutzprogramme, aber wenn ich den Text richtig verstehe, geht es um den Bereich E-mail- verschlüsselung. Auf den haben meine Schutzprogrammen keinen Einfluß, weil sie über verschiedene Schaltstellen weitergeleitet werden.
Wenn die niemand lesen soll, ist es sicher sinnvoll sie zu verschlüsseln.
Aber lieber Thorsten Stumm, jetzt kommt die Frage aller Fragen, und die lautet: Kann ich sicher sein, daß dein, bzw. irgendein System sicher ist? Ich kann das doch nicht überprüfen. Ich verschlüssele und mein (un)-heimlicher Partner, Merkel sagt ja naiv Freund dazu, der mich überwacht, wenn er den Schlüssel kennt, wird er es lesen. Ich werde ich es höchstens merken, wenn Snowdon mich darüber informiert.
Und deshalb bin ich skeptisch, daß das sicher ist, was der Markt anbietet. Außerdem schreibe ich viele meiner Gedanken sowieso hier in diese Kommentarspalte, und alle können das lesen.
@Helmut Junge
Bei dem hier beschrieben Verfahren gibt es keine Universalschlüssel.
Es handelt sich um eine hybride Verschlüsselung
https://de.wikipedia.org/wiki/Hybride_Verschlüsselung
Der amerkanische Anbieter Lavabit, der nach dem Patriot Act zu einer Zusammenarbeit mit dem FBI gezwungenwerden sollet, setzte SSL-Schlüssel die er zum auslesen der Mails weitergeben konnte und sollte.
https://de.wikipedia.org/wiki/Lavabit
Bei S/Mime und übrigens PGB gibt es einen solchen Universalschlüssel nicht. PGP kann man durchaus selbst in Mailclients wie Outlook oder Thunderbird integrieren und benutzen.
Ruhrmail hat S/MIME in seinen Mailservice integriert, was die Benutzung erheblich vereinfacht.
Durch die hybride Verschlüsselung ist es dem Anbieter selbst nicht möglich die Mial zu lesen, er kann auch nichts weitergeben.
Allerdings wenn die Mails später unverschlüsselt und ungesichert auf deinen Rechner liegen….ist die NSA wieder im Spiel….
@#3 Helmut Junge:
EMail-Kommunikation *kann* durchaus abhörsicher sein – wenn man weiß wie und wenn es echte Standards gibt, die alle Mail-Provider automatisch einsetzen (und nicht wie z.B. Apple auch noch die Speicherung eines privaten S/MIME-Keys auf öffentlichen Servern verlangen:((.
Trotz aller Anstrengungen der letzten Jahrzehnte ist das aber weiterhin eher eine Domäne für Nerds, Admins und wenige technisch interessierte Laien. Und auch mit Produkten wie RuhrMail, die sicherlich qualitativ hochwertig und mit viel Engagement gemacht sind, wird sich das nur sehr langsam ändern, weil sie eben nicht selbsterklärend sind – das bezeugt die RuhrMail-Website in ihrer Produkt-Beschreibung eindrucksvoll mit leider viel Fachchinesisch.
Aber gerade deshalb ist es sinnvoll, öfters auf solche Services und Produkte aufmerksam zu machen, sie zu beschreiben und auch Laien an die Thematik heranzuführen. Dank an Thorsten für den Tipp.
@Lohmann
Ja….an der Verständlichkeit der eigenen Website könnte Ruhrmail viel tun….
@Lohmann:
Gute Idee, Vorschläge? Struktur oder einzelne Topics und wenn ja, welche?
Wir werden das gerne intuitiver gestalten.
@ruhrmail: Ganz generell wäre eine Trennung zwischen "technical stuff" für die Nerds und Admins (evt. auf eigens verlinkten "Tech-Speech"-Seiten) und einer einfachen Produktbeschreibung, mit der auch Lieschen Müller und der technisch völlig desorientierte CEO etwas anfangen können, sinnvoll. Man könnte das sogar abhängig von den Skills des Interessenten staffeln in eine Art "Dampfmaschin"(Feuerzangenbowle lesen;-)-Erklärbär-Modus als Einstiegslevel, darunter Vorstellung der Security-Konzepte und Groupware-Grundlagen und auf dem tiefsten Level Glossar, RFCs, WhitePapers etc. pp.
Aber das ist natürlich auch abhängig von der langfristigen Sales-Story, mit der ihr verkaufen wollt. Wenn eure Peer-Group sowieso mit Admin-Wissen ausgestattet ist, dann bringt der Erklärbär nicht viel.
Watt issene DNSSEC Record? 😉
Im Prinzip keine schlechte Idee – der Teufel steckt im Detail. In einer früheren Version hatten wir das mal genau so gemacht und die Reaktionen der Nerds war: im Prinzip "zu wenig detailliert" und Otto Normaluser beschwerte sich über den "Technobabbel".
Wie findet man den goldenen Mittelweg?
Jedenfalls vielen Dank für die Anregungen; ich denke da kann man noch was machen.
[…] Besser verschlüsseln. Vorstellung von RuhrMail. Einem Mail-Anbieter ähnlich Posteo. […]