Der Spiegel hat eine Guideline für Informanten mit Vorschlägen zum sicheren Austausch von Informationen veröffentlicht. In dieser werden verschiedene Wege der sicheren Kontaktaufnahme beschrieben. Diese Vorschläge sind nicht nur für Informanten des Spiegels interessant, sondern bieten auch hilfreiche Tipps für die Kommunikation im Unternehmen oder im Alltag. Welche Möglichkeiten bieten sich, wenn ein persönlicher Kontakt nicht möglich ist?
Der Inhalt im Überblick
Auswege aus der Überwachung
Wer nicht mehr auf Schritt und Tritt von den Geheimdiensten beschattet werden möchte, dem wird zunächst von der Nutzung des Diensthandys und des dienstlichen Mailaccounts abgeraten. Von dienstlichen Telefonnummern und E-Mailadressen lassen sich leicht Rückschlüsse auf den Inhaber ziehen. Es wird daher empfohlen auf Prepaid-Karten, die nicht auf dem eigenen Namen gekauft wurde, oder anonyme E-Mail-Adressen einzurichten. Am Besten sollte man für die online Kommunikation ein Internet-Café aufsuchen.
Verschlüsselte E-Mails mit PGP
Eine anonyme E-Mail-Adresse hilft nur, die Identität des Senders zu verschleiern. Der Inhalt der E-Mail muss mit anderen Mitteln geschützt werden. Besonders effektiv ist der Einsatz von asynchronen Verschlüsselungsmethoden. Als sicher gilt bisher PGP. PGP steht für Pretty Good Privacy.
Der Empfänger erstellt zwei Schlüssel. Einen privaten Schlüssel, den er unter keinen Umständen einem Dritten zugänglich macht. Zusätzlich erstellt er einen zweiten öffentlichen Schlüssel. Der öffentliche Schlüssel kann z.B. auf der Webseite eines Unternehmens bereitgestellt werden, um mit diesem sicher zu kommunizieren. Der Begriff Schlüssel ist verwirrend. Man muss sich den öffentlichen Schlüssel eher wie einen offenen Safe vorstellen. In den Safe werden durch den Versender Daten reingelegt und dieser wird dann geschlossen. Öffnen lässt sich dieser Safe nur noch mit dem privaten Schlüssel, in dessen Besitz ausschließlich der Empfänger ist.
Einrichtung
Diese Verschlüsselungmethode lohnt sich besonders bei regelmäßigem Austausch von Informationen zwischen Sender und Empfänger. Aus diesem Grund ist PGP auch für die interne Unternehmenskommunikation sehr zu empfehlen. Die Einrichtung und Nutzung des Schlüsselpaares ist nicht so kompliziert wie vielfach behauptet. Anleitungen gibt es für alle gängigen Betriebssysteme und E-Mail-Programme, hier zwei Beispiele:
Auch Smartphone-Nutzer können verschlüsselt kommunizieren, allerdings sind die Programme bei weitem noch nicht ausgereift:
- App für Android
- App für iPhone
Datenverschlüsselung auch offline
Auch beim Datenaustausch mittels Medien wie CD, DVD oder USB-Stick sollten die Daten verschlüsselt werden. Es besteht immer die Möglichkeit, dass die Trägermedien verloren werden oder in anderer Weise abhandenkommen. Sollen nur berechtigte Personen, die Informationen einsehen können, sollten die Daten mit Programmen wie Truecrypt, 7Zip oder Keka verschlüsselt werden.
Die Programme setzen dabei auf den symmetrischen Verschlüsselungsalgorithmus Advanced Encrption Standard (AES). Dieser gilt noch als sicher, aber nicht unknackbar. Zum Entschlüsseln in Echtzeit einer AES mit 128 Bit braucht es nach den Berechnungen von Wissenschaftlern einen Supercomputer im Wert von 80 Milliarden Dollar. Dieser bräuchte für den Angriff allein so viel Strom wie die USA insgesamt verbrauchen.
Verschlüsselung macht verdächtigt
Die Vielzahl der Daten wird immer noch unverschlüsselt verarbeitet. Es ist daher wenig verwunderlich, dass gerade die verschlüsselten Nachrichten die Aufmerksamkeit von Geheimdiensten wecken. Eine Möglichkeit der Entschlüsselung von PGP ist allerdings nicht bekannt. AES mit 256Bit sollte trotz PRISM und Co. noch einen ausreichenden Schutz darstellen. Zumindest einige Jahre sollten Ihre Daten vor neugierigen Mitlesern geschützt sein. Ein wunderbarer Nebeneffekt ist, dass die NSA deutlich mehr Arbeit bekommt.
Verschlüsselung ist so gleichzeitig eine wirksame Form des Protests gegen die Methoden der USA.
