Vermutet haben wir es schon lange, dank Edward Snowden haben wir nun Gewissheit: Unsere Privatsphäre gehört uns schon längst nicht mehr alleine. Doch müssen wir dabei einfach zuschauen? Android User meint „Nein!“ und zeigt sichere Apps für die Kommunikation.
Spitzelorganisationen wie die NSA werden irreführend als "Sicherheitsdienste" bezeichnet. In Wahrheit tragen Sie zur weltweiten Verunsicherung bei und führen längst einen subtilen Cyberkrieg gegen alles und jeden. Und wir sind mittendrin. Mit unseren Smartphones sind wir ständig online und vertrauen unsere Dokumente und persönlichen Daten Clouddiensten an, die zu 99 Prozent in den USA angesiedelt sind. Zudem versenden wir unverschlüsselte E-Mails – und unsere Telefonate können Geheimdienste sowieso mühelos belauschen. Gibt es denn keine sicheren Alternativen?
Sicher oder bequem?
Spätestens, wenn Sie sich mit der Frage beschäftigen, wie Sie Ihr Smartphone – oder generell Ihr Leben im Web 2.0 – halbwegs abhörsicher gestalten wollen, werden Sie schnell feststellen: Sie müssen mehr oder weniger anstrengende Klimmzüge unternehmen. Weil wir Menschen es gerne bequem haben, lieben wir einfache Apps und simple Lösungen – die Gefahren blenden wir nur zu gerne aus. Und die Hersteller von Messagingdiensten wie WhatsApp sehen gar keine Notwendigkeit, auf Datenschutz und Abhörsicherheit gesteigerten Wert zu legen. Der Erfolg ihrer Angebote gibt ihnen sogar recht. Wer aber wirklich will und wer bereit ist, auf ein wenig Bequemlichkeit zu verzichten, kann sich tatsächlich schützen.
Verschlüsselt texten
Ob über E-Mail, SMS oder per Chat – die Texte, die Sie mit herkömmlichen Apps versenden, sind in aller Regel unverschlüsselt und dementsprechend einfach auszuspionieren. Das lässt sich vergleichsweise leicht ändern, indem Sie Ihre Texte vor dem Senden verschlüsseln. Dazu bietet sich zum Beispiel die App unreadable [1] an. Der Name der kleinen, schick gemachten Anwendung ist Programm: Die von Ihnen eingegebene Nachricht wird mit dem AES-Algorithmus (Advanced Encryption Standard) verschlüsselt – und der verschlüsselte Text ist ohne das von Ihnen vorgegebene Passwort nicht lesbar. Dabei gilt: Je länger das von Ihnen definierte Passwort ist, desto sicherer ist die Verschlüsselung. Den Code teilen Sie anschließend mit einer beliebigen anderen App, zum Beispiel mit WhatsApp oder E-Mail. Auf Wunsch hängt unreadable auch gleich eine (lesbare) Anleitung für den Empfänger mit an, damit er den Text wieder dekodieren kann. Das ist entweder möglich, indem er ebenfalls die App unreadable installiert oder sich per Browser auf die Webseite des Dienstes begibt. Selbstverständlich muss er in beiden Fällen Ihr geheimes Passwort kennen. Das müssen Sie ihm mitteilen – am besten bei einem persönlichen Treffen, denn eine unverschlüsselte Online-Übermittlung würde Ihr Vorhaben ad absurdum führen.
E-Mails verschlüsseln
Eine weitere Variante für das Verschlüsseln von Texten bietet die App APG [2]. Sie ist eine Android-Implementierung der recht zuverlässigen und seit vielen Jahren vergleichsweise populären Software "Pretty Good Privacy". Die Verschlüsselung damit basiert auf einem öffentlichen und einem privaten Schlüssel und ermöglicht einen vergleichsweise hohen Sicherheitsstandard. Durch den hohen Bekanntheitsgrad von PGP ist eine gewisse Wahrscheinlichkeit gegeben, dass zumindest ein technisch versierter Empfänger Ihrer Nachrichten das Verfahren bereits kennt. Auch bei APG muss selbstverständlich der Empfänger über technische Möglichkeiten verfügen, den sonst unlesbaren Code des Senders zu entschlüsseln – entweder ebenfalls über die APG-App oder am PC über eine PGP-Software. Beide Möglichkeiten – unreadable und APG – bieten Lösungen außerhalb der eigentlichen Kommunikations-App. Sie können also nicht direkt in Ihrer E-Mail oder Messenger-App Ihre Nachricht verschlüsseln, sondern müssen dies extern in der Verschlüsselungs-App tun. Über die Teilen-Funktion fügen Sie dann den verschlüsselten Code in Ihre eigentliche Anwendung ein. Zumindest im Fall von E-Mail geht es jedoch deutlich bequemer. Und zwar mit K-9 Mail [3].
K-9 Mail ist ein sehr mächtiger E-Mail-Client für Android und bringt die APG-Verschlüsselung gleich als Bordwerkzeug mit. Hier können Sie also sehr bequem direkt in Ihrer E-Mail-Sendezentrale die Verschlüsselung sozusagen auf Knopfdruck aktivieren. Der Funktionsumfang und das Sicherheitsniveau entsprechen der APG-App und somit dem PGP-Verfahren allgemein.
WhatsApp auf Nummer Sicher
WhatsApp ist praktisch, superbequem, sehr günstig und extrem populär. Kaum ein Smartphone-Nutzer, der die komfortable Kommunikation mit seinen Freunden per WhatsApp nicht schätzt. Die Sicherheit bleibt dabei jedoch gleich aus mehreren Gründen auf der Strecke. Ganz zu schweigen von verschlüsselter Übertragung – diese ist bei WhatsApp schlicht nicht vorgesehen. In diese Bresche springt der Messaging-Dienst Telegram [4]. Die schicke App bietet nicht nur ebenso bequeme Chats wie WhatsApp, sondern gleich noch weitere Vorteile. Im Gegensatz zu WhatsApp lässt sich Telegram problemlos auf mehreren Geräten installieren und nutzen. Außerdem speichert Telegram die Chats auf dezentralen, weltweit verteilten Servern. Diese dezentrale Struktur sorgt nicht nur für schnelle Nachrichtenübertragung, sondern auch für den Zugriff auf die Chat-Verläufe mit jedem Endgerät. Dabei werden sichere Übertragungsverfahren genutzt. Unter Sicherheitsaspekten richtig interessant wird Telegram jedoch durch die Möglichkeit von "Secure Chats". Bei diesen Chats wird nichts auf zentralen Servern gespeichert, und durch eine verschlüsselte End-to-end-Verbindung sind ausschließlich Sender und Empfänger in der Lage, die Nachrichten zu lesen. Die Möglichkeit, eine Selbstzerstörung der Nachrichten einzurichten, erhöht die Sicherheit noch weiter, denn die Zerstörung wirkt auf beiden Seiten des Chats, und die Nachrichten sind anschließend vollständig vernichtet. Telegram ist kostenlos und frei von jeglicher Werbung. Kostengünstiger, schneller, sicherer und noch bequemer als WhatsApp – keine Frage: Das ist cool! Die App ist allerdings keine freie Software, sodass Sie auch hier den Versprechungen des Herstellers glauben müssen.
Anonym und sicher surfen
Die 2002 begonnene Arbeit am Tor-Netzwerk widmet sich dem Ziel, ein Netzwerk zu erschaffen, das den Nutzer vor der Analyse seines Datenverkehrs schützt. Dazu installiert der User eine Client-Software auf seinem Rechner oder Smartphone, die eine verschlüsselte Verbindung mit dem Tor-Netzwerk aufbaut. Sobald die Verbindung mit dem ersten Tor-Server steht, stellt dieser eine weitere verschlüsselte Verbindung zu einem zweiten Server und dieser wiederum zu einem dritten Server her. Dieses relativ umständliche Verfahren dient der Anonymität des Nutzers. Die Verbindungsstrecken werden zudem alle 10 Minuten verändert und neu aufgebaut, um eine Rückverfolgung möglichst zu verhindern. Android-Nutzer können Tor auf recht einfache Weise verwenden. Dazu benötigen Sie die App Orbot [5], die dafür zuständig ist, die Verbindung zum Tor-Netzwerk herzustellen. Das geht verblüffend einfach. Ganz ohne Konfigurationsaufwand ist in wenigen Sekunden die sichere Tor-Verbindung aufgebaut. Wenn Ihr Gerät gerootet ist, gilt die sichere Verbindung ins Tor-Netzwerk geräteweit, und Sie können mit jedem Browser sicher und anonymisiert surfen. Wenn Sie nicht über Root verfügen, benötigen Sie noch eine Browser-App, die Orbot unterstützt. Hier empfiehlt sich Orweb [6], ein relativ simpel gehaltener, dafür aber optimal auf Orbot abgestimmter Web-Browser.
Die Nutzung von Orbot und Orweb ist kinderleicht. Dennoch leidet auch mit diesem Sicherheitsnetz die Bequemlichkeit, denn Sie müssen spürbare Geschwindigkeitseinbußen beim Surfen hinnehmen. Die verschlüsselte Übertragung "kostet" nämlich bis zu 40 Prozent der Performance. Und ein weiterer Wermutstropfen: Die Tatsache, dass sich das Tor-Projekt nur zu 40 Prozent aus privaten Spenden und zu knapp 60 Prozent aus Zuwendungen der US-Regierung (!) finanziert, regt selbst bei unkritischen Geistern wilde Fantasien an. Man muss nicht paranoid sein, um hier zur Skepsis zu neigen.
Abhörsicher telefonieren
Als die NSA das Mobiltelefon von Bundeskanzlerin Angela Merkel abgehört hat, waren Textnachrichten vermutlich nur nebensächlich. Das Ziel war vielmehr das Mithören der geführten Telefongespräche. Auch die Bundeskanzlerin ist eine Freundin der Bequemlichkeit: Mit ihrem rund 2500 Euro teuren, abhörsicheren Spezialhandy zu telefonieren, ist ihr offensichtlich zu mühsam – der Gesprächspartner bräuchte nämlich dann ebenfalls stets ein gleichermaßen gesichertes Gerät, was spontane Telefonate ohne vorherige Verabredung stark verkompliziert. Mit der Nutzung ihres gewöhnlichen Smartphones machte sich Angela Merkel jedoch zur leichten Beute für die NSA-Schlapphüte. Genau wie wir. Die Telefonie über das GSM-Netz ist fast so offen wie das sprichwörtliche Scheunentor. Da sich der gesamte Bekanntenkreis wohl kaum zu den sündhaft teuren Hochsicherheitshandys wird durchringen können, stellt sich die Frage: Kann man auch mit einem herkömmlichen Android-Smartphone abhörsicher telefonieren?
Ja, man kann, allerdings nicht über das Sprachnetz, sondern via Voice-over-IP über das Datennetz. Die App RedPhone [7] schickt sich an, für eine verschlüsselte Sprachverbindung über das Internet zu sorgen. RedPhone ist angenehm simpel in der Bedienung: Einfach die App starten, aus dem Telefonbuch den gewünschten Gesprächspartner auswählen und anrufen. So weit jedenfalls die Theorie. Die Sache hat leider mehrere Haken. Zum einen kommt es häufig zu extremen Verzögerungen in der Sprachübertragung: 10-sekündige Wartezeiten, bis Ihr Gegenüber endlich Ihre Worte vernommen hat, können auf Dauer ganz schön nerven. Im heimischen WLAN mit angenehmer Bandbreite mag die sichere IP-Telefonie mit RedPhone noch praktikabel sein. Unterwegs im mobilen Internet scheitert es dann gerne auch mal an der realen Geschwindigkeit im UMTS-Netz. Und – ganz wichtig – die sichere Telefonie sorgt für hohen Datenverkehr. Dafür ist eine ungedrosselte Flatrate Pflicht. Nicht zuletzt muss – wie bei allen verschlüsselten Übertragungen – auch der Gesprächspartner über die RedPhone-App verfügen. Sonst bleibt die Leitung vollständig stumm, und RedPhone bietet dann lediglich an, den Angerufenen per E-Mail dazu einzuladen, doch RedPhone zu installieren, um mit Ihnen abhörsichere Gespräche zu führen.
Fazit
Das Vorhaben, die tägliche Kommunikation über das Smartphone abhörsicher zu gestalten, funktioniert zwar teilweise, wenn man es ernsthaft darauf anlegt. Es ist aber in der Praxis doch sehr mühsam und erfordert meist auch ein Gegenüber, das bereit ist, den gleichen Aufwand zu betreiben. Wären die Finanzierung und damit die potenzielle Einflussnahme beim Tor-Netzwerk nicht so fragwürdig, dann wäre das sichere Surfen eine gute Option. Tausche etwas Geschwindigkeit gegen mehr Sicherheit – damit könnte man leben. Das abhörsichere Telefonieren erweist sich jedoch als eher theoretische Möglichkeit, der es an Praxistauglichkeit mangelt. Zumindest dann, wenn es mal um wirklich sensible Informationen geht, ist die Verschlüsselung mit einer App wie unreadable ein sinnvoller Kompromiss zwischen Aufwand und Sicherheit. Richtig empfehlenswert ist der Umstieg von WhatsApp zu einer verschlüsselten Alternative wie Telegram. Chatten auf hohem Sicherheitsniveau ist möglich, ohne auf Komfort zu verzichten! Jetzt brauchen wir nur noch genügend "Whistleblower", damit möglichst Viele diesen Umstieg auch wagen?
Infos
- unreadable: https://play.google.com/store/apps/details?id=de.axxg.unreadable.free
- APG: https://play.google.com/store/apps/details?id=org.thialfihar.android.apg
- K-9 Mail: https://play.google.com/store/apps/details?id=com.fsck.k9
- Telegram: https://play.google.com/store/apps/details?id=org.telegram.messenger
- Orbot: Proxy with Tor: https://play.google.com/store/apps/details?id=org.torproject.android
- Tor-Browser: https://play.google.com/store/apps/details?id=info.guardianproject.browser
- RedPhone: https://play.google.com/store/apps/details?id=org.thoughtcrime.redphone