Transkript von "Sichere Messenger"

Einen schönen guten Abend, mein Name ist Rainer Hammerschmidt und ich bin von Aktion Freiheit statt Angst, einem Datenschutzverein hier in Berlin und wir wollen uns heute unterhalten über sichere Messenger. Das ein Thema, was ja leider notwendig ist, da die Messenger die so allgemein üblich sind wie WhatsApp und ähnliches uns ganz schön in Probleme bringen. Das werden wir gleich noch mal genauer untersuchen.

Ich möchte kurz noch mal unseren Verein vorstellen. Wir sind seit 2009 ein eingetragener gemeinnütziger Verein in Berlin und hervorgegangen sind wir aus dem Kampf gegen die Vorratsdatenspeicherung. Vielleicht erinnern sich einige von Ihnen dass wir 2007 und 2008 große Demonstrationen hier in Berlin hatten an denen und deren Gestaltung wir auch beteiligt waren.

Die Angriffe auf unsere private Kommunikation

Die Vorratsdatenspeicherung war ja ein Angriff auf unser Kommunikationsverhalten. Alle unsere Anrufe oder Kommunikation über Telefon und das Internet wurde aufgezeichnet: von wann bis wann und mit wem - und das war natürlich verfassungswidrig, wie so viele andere staatliche Eingriffe in unsere Privatsphäre auch.

So gab's z.B kurz danach die Novelle des BKA Gesetzes wo der Lauschangriff auf private Wohnung enthalten war. 8 Jahre später hat das Bundesverfassungsgericht festgestellt: Das war nichts - es war unzulässig genauso mit der Vorratsdatenspeicherung. Die ist dann schon seit 2010 verboten worden. Beratungsresistent wie unsere Regierung über die ganze Zeit immer war haben wir dann auch erlebt, dass dann einfach eine vds2.0 kam, die allerdings sehr schnell auch wieder verboten wurde.

Gut, das ist nicht unser Thema heute, sondern die Kommunikation sicherer zu machen. Das wollen wir dann auch praktisch üben indem wir nachher einen von uns vorgeschlagenen Messenger einfach mal installieren und ausprobieren.

Da sie ja heute sehr zahlreich erschienen sind, können Sie das dann also auch gleich live ausprobieren. Und wir werden Sie dann natürlich dabei unterstützen, das zu

installieren. Kurzer Rückblick noch mal, warum das nötig ist: Gut die VDS also das Vorratsdatenspeicherungsgesetz hatten wir schon erwähnt. 2013 kamen dann die Enthüllungen von Edward Snowden dazu. Das heißt, er hat uns was über Prism erzählt, also kein Gefängnis sondern Prism ist ein Programm, welches die Geheimdienste der USA also die NSA und die CIA benutzen, um wirklich die Kommunikation auch inhaltlich zu verfolgen und zwar weltweit.

Die haben dafür auch extra in in Utah ein riesiges Rechenzentrum gebaut - und das konnte jahrelang nicht in Betrieb gehen, weil es in der Gegend gar nicht genug Wasser gab um die Geräte zu kühlen. Also eine ungeheuerlich große Anlage die da errichtet wurde. Edward Snowden hat dann seine Enthüllung damit bezahlen müssen, dass er nun im Exil in Moskau lebt, weil die USA ihn suchen und wahrscheinlich genau wie Julian Assange, der im Augenblick in London im Gefängnis sitzt und auf seine nicht-Auslieferung in die USA wartet. Der wird in den USA mit 175 Jahren Haft bedroht, dafür dass er als Whisselblower tätig war. Er hat also Sachen die die Öffentlichkeit wissen sollte an die Öffentlichkeit gebracht.

Edward Snowden ist übrigens inzwischen unser Ehrenmitglied. Wir haben ihm geschrieben über seinen Rechtsanwalt und er hat das Angebot angenommen. Wir begrüßen ihn also inzwischen seit ja mehr als 10 Jahren als unser Ehrenmitglied.

Gut, also wir wissen, was alles geschieht aber wie können wir uns dagegen wehren? Wir haben festgestellt wir haben die Angriffe durch den Staat - also die Vordatenspeicherung, BKA Gesetz, Chatkontrolle, das ist das Neueste was in der EU kommen soll, die Fingerabdrücke und biometrischen Fotos im Ausweis und im Pass - das sind Sachen die wir eben nicht gut und sinnvoll finden. Weil sie erstens fälschbar, zweitens hackbar sind. Das biometrische Foto in Ausweis und Pass war gerade Pflicht, da gab es Angriffe von Hackern, die nachweisen konnten, dass es mit leichten Mitteln möglich ist, die Papiere auszulesen. Da ist ja ein RFID Chip drauf, der auf einer Entfernung von einem halben Meter oder so durch Geräte auslesbar ist und ja, die Verschlüsselung sie ist vorhanden aber die nützt natürlich nichts, weil die Polizisten an den Grenzen müssen auch diesen Schlüssel lesen können. Das heißt, es sind also keine keine besonders guten Schlüssel.

Daneben haben wir noch ein anderes Problem: nämlich, die Unternehmen, die im Internet groß geworden sind also Google, Amazon, Facebook, Apple, Microsoft, big5 nennt man sie auch, die inzwischen allein durch ihre Größe ein riesiges Umsatzvolumen haben. Da sehen wir so eine Tabelle.

Da haben diese also Hunderte von Milliarden an Umsatz. Das sind hier bei Google über 600 Milliarden $. Das ist mehr als der Bundeshaushalt und das heißt praktisch, diese Konzerne haben inzwischen eine Macht die größer ist als die von Staaten und wenn die diese Macht zu unseren Gunsten ausüben würden, na ja könnte man drüber hinweg sehen. Das ist leider nicht so, denn die verdienen mit unseren Daten ihr Geld.

Welche Messenger sind sicher und vertrauenswürdig und welche nicht?

Also Facebook z.B mit seinem Messenger WhatsApp den eigentlich ja fast jeder hat auf seinem Handy, weil die Verwandten das auch wollen oder alle Bekannten das rundherum haben. Aber da muss man sich ja nicht drauf einlassen. Wir haben festgestellt oder man kann das ganz einfach nachprüfen: Nach der Datenschutzgrundverordnung muss ich jeden dessen Daten ich weitergebe, fragen ob er damit einverstanden ist und ich frage in die Runde hier: Glauben Sie, dass Sie von jedem der in Ihrem Adressbuch drin steht oder dessen Telefonnummer bei ihnen im Handy gespeichert ist, dass sie von dem wirklich die Genehmigung haben, seine Daten weiterzugeben?

Und Facebook nimmt sie sich einfach, im Stundentakt wird das Adressbuch ausgelesen. Die Daten werden ausgewertet, verkauft. Es werden Personenprofile angelegt und ja damit sind wir dann alle gläserne Bürger. Und das wollen wir natürlich in unserem Verein möglichst erstens erklären zweitens möglichst verhindern. Mit dem Verhindern haben wir natürlich Probleme weil wir als kleiner Verein da nicht durchdringen und selbst die Großen, also sagen wir mal die EU der EuGH, der Europäische Gerichtshof hat Facebook mehrmals verurteilt wegen solcher Sachen.

Ich weiß nicht, ob Ihnen das Schrems-Urteil bekannt ist. Das war eine lustige Geschichte: der Max Schrems, ein Österreicher, hat sich bei Facebook angemeldet und WhatsApp benutzt. Er hat also den AGB zugestimmt hat dann nebenbei heimlich eine Firma gegründet, die sich bei Facebook gemeldet hat, sie möchte Daten kaufen und dann hat er seine eigenen Daten gekauft und konnte nachweisen, dass er die gekriegt hat, obwohl Facebook ja angeblich datenschutzkonform arbeitet. Der Prozess ging durch bis zum Europäischen Gerichtshof und Facebook wurde verurteilt.

Folge: leider so gut wie gar nichts also die üblichen Strafzahlung, Bußgelder, aber an dem Verhalten hat sich wenig geändert und es gibt inzwischen andere Urteile und auch inzwischen ein paar europäische Gesetze die uns schützen, also wie z.B die Datenschutzgrundverordnung. Aber die Konzerne machen einfach weiter und denken sich irgendwie einen neuen Trick aus, um das zu umgehen.

Dann gibt es z.B noch diese Fälle: die Deutsche Bahn zwingt uns inzwischen beim Fahrkartenverkauf zur Abgabe einer E-Mailadresse oder einer Telefonnummer. Ich kann also nicht mehr anonym mit der Bahn reisen. Wenn ich bei der Post ein Paket abholen will, ist es inzwischen so, dass die Paketstationen nicht mehr ihren Bildschirm haben an den ich eben meinen Code, den ich auf der Karte bekommen habe vom Briefträger eingeben kann, sondern ich muss eine Post-App oder DHL-App benutzen und dann das Handy dagegen halten. Wir nennen das Zwangsdigitalisierung. Wir werden immer mehr gezwungen Dienste zu benutzen die wiederum unsere Daten missbrauchen.

Auf unseren Webseiten gibt es ja inzwischen ungefähr 8500 Artikel die brauchen Sie nicht alle zu lesen aber sie können z.B. mal suchen nach Daten-Verlusten nach Datenskandalen oder nach Datenpannen. Es passiert ja auch oft, dass irgendwelche Unternehmen ihre Daten nicht ausreichend geschützt haben und die von Hackern erbeutet werden. Eventuell, also schlimmstenfalls so, dass die Datenbasis des Betriebes verschlüsselt wird und der Betrieb dann an die Hacker auch noch ein Lösegeld bezahlen muss dafür, dass er seine eigenen Daten wieder zugreifbar bekommt. Aber die Daten sind eben auch weg und können im Darknet oder sonst wo unter den Hackern verkauft und missbraucht werden.

Über den Enkeltrick oder andere Sachen brauche ich ihn ja nichts zu erzählen. Das steht auch in den Zeitungen, dass wir ständig Opfer von solchen Angriffen werden, einfach dadurch, dass wir in irgendeiner Mail auf einen Link geklickt haben und uns irgendwas eingefangen haben, was dann von den Hackern missbraucht wird. Die Hacker sind eben nicht nur Kriminelle, das können eben auch staatliche Dienste sein. Wir können uns gerne mal hier angucken wie es einem ägyptischen Journalisten erging der innerhalb von 2 Minuten gehackt wurde: ... Einblendung ...

Gut, dann schauen wir uns doch mal unsere Messenger an die wir so haben. Eine Frage vielleicht vorher: Was ist denn überhaupt ein Messenger? Wir kennen auf jeden Fall Mail, das ist ja zwangsweise das was wir benutzen, einfach weil uns von Behörden und Firmen und weiß ich, beim beim Kauf im Internet uns eine Bestätigungsmail geschickt wird. Das heißt also Mail wäre ein Messenger. Das heißt, wir können darüber Nachrichten austauschen mit Einzelpersonen oder auch über eine ganze Liste von Adressen an mehrere. Also ein Messenger ist ein Programm mit dem Nachrichten ausgetauscht werden können, also eins zu eins ich mit irgendjemand anderen, ich in einer Gruppe oder ich an die Öffentlichkeit. Letzteres wäre dann sowas wie Twitter. Das ist ja bei Politikern zur Zeit sehr beliebt.

Oder jetzt im Augenblick gerade wieder weniger beliebt, weil der Herr Elon Musk nach dem Kauf von Twitter den Dienst erstens umbenannt hat und zweitens seltsame Geschäftsgebaren gezeigt hat. Es wird ja auch so sein, dass Twitter oder X in Zukunft irgendwas kosten wird. Die Kosten an sich sind nicht grundsätzlich schlecht, wenn wir uns Mailanbieter angucken. Wenn wir Google Mail machen oder Gmail, Google Mail oder AppleMail nutzen, dann dann wissen wir, dass unsere Daten bei denen sind. Hier in Deutschland denken wir an Web.de GMX oder sowas. Dann behaupten die zwar immer mit dem Argument das wäre eben deutsches Internet und sicher und sonst was. Nichts desto trotz kontrollieren die unsere Mails natürlich auch auf Schadprogramme, aber vielleicht eben auch auf Inhalte, die sie gut verkaufen können. Wir müssen auf jeden Fall mit der Inhaltskontrolle rechnen, da gibt's ja auch Beispiele, dass Leute irgendwie was über eine bevorstehende Schwangerschaft oder so geschrieben haben in den nächsten Mails und prompt haben sie ein paar Tage später oder ein paar Stunden später Mails bekommen über Windeln und Wickeltische. Das heißt also, die Inhalte werden da auch mitgelesen.

Man kann die normale Mail auch verschlüsseln mit PGP. Das hat uns Phil Zimmermann 1985 beschert und das ist bis heute eben ein sicheres Verfahren und, wenn sie Thunderbird z.B als als Mail Client benutzen, dann ist die Verschlüsselung damit drin auch verschiedene Mailprovider bieten das an. Das sind z.B mailbox.org oder posteo.de, die sind erstens vertrauenswürdig, weil sie sich wirklich deshalb gegründet haben, um eben eine vertrauensvolle und sichere Email anzubieten und die können Sie auch im Browser mit einem Addon beim Firefox Browser nutzen. Einfach das Addon dazu laden und dann ihre Mails auch verschlüsseln.

Mail ist eben wie gesagt aus den 80er Jahren und damit vielleicht nicht auf dem Stand der Dinge und alle Leute schauen nach WhatsApp. Was gibt's denn da sonst. Hier gibt's eine Liste die können Sie nachher auch alle mitnehmen für alle unsere Zuschauer zu Hause gibt's das natürlich alles auf unserer Webseite. Wenn Sie also aufrufen a-fsa.de, das ist der Kurzlink zu unserer Webseite und dann einen Schrägstrich und mess dahinter schreiben, alles klein, dann kommen sie genau auf diesen Zettel und da stehen so einige Messenger drauf. Hier sehen wir die Liste. https://a-fsa.de/mess

Es fängt nun leider gerade mit einem an, der nicht interoperabel mit allen Gerätetypen ist. Aber falls sie nur auf Desktops arbeiten, dann wäre Bitmessage eine Möglichkeit. Ich sollte vielleicht vorher noch mal erklären, was die beiden Spalten bedeuten also die erste Spalte bezeichnet ob dieser Dienst einen Server benötigt, das heißt, es gibt oder es sollte Dienste geben, die gar keinen Server benötigen, sondern die wirklich Peer to Peer, heißt das auf Englisch, dann eben wirklich von mir zum Empfänger gehen ohne irgendwelche Server zu besuchen. Das ist die erste Spalte. Da gibt's also ein paar Pluszeichen bei denen das der Fall ist und dann gibt's noch eine zweite Spalte. Da steht eben das Tornetzwerk oben drüber.

Tor ist die Abkürzung für "the onion Router" also ein "Schalen Router". Einen Router kennen Sie wahrscheinlich. Das ist ihr Modem was bei ihnen zu Hause auch rumsteht von Ihrem Router geht's dann zum nächsten Router beim Provider Telekom oder was auch immer sie haben und dann weiter und irgendwann zum Empfänger. Und ja von Router zu Router werden natürlich die Datenpakete mit IP-Adressen also mit irgendwelchen Nummern beschriftet und anhand dieser Nummer lässt sich natürlich auch herausfinden, wo dieses Paket hergekommen ist. Das heißt, ihre IP-Adresse wird gespeichert und eventuell an den Empfänger weitergegeben und der weiß dann dass Sie dessen Seite angesurft haben oder, dass Sie ihm eine Nachricht schicken dann weiß er es auch.

Wenn Sie nicht wollen, dass der Empfänger weiß, dass Sie auf seiner Seite surfen, dann sollten Sie ein virtuelles privates Netzwerk VPN, Virtual Private Network,benutzen oder über das Tornetzwerk gehen. VPN Dienste sind in der Regel kostenpflichtig und um die Kosten einzusparen, lohnt es sich das Tornetzwerk zu benutzen. Ihr Paket geht, wie wir hier sehen, über verschiedene Punkte im Netz und ja der Empfänger sieht die IP-Adresse des letzten Knotens, aber er sieht nicht woher das Paket wirklich gekommen ist. Ihre IP-Adresse bleibt geheim, das ist also die eine Sache wo sie wo wir unsere Privatsphäre schützen und das andere ist die Tatsache, dass wir natürlich möglichst den Inhalt unserer Kommunikation auch verschlüsseln.

Hier auf der Liste stehen nur verschlüsselte Messenger, das heißt, die Pakete werden bei Ihnen auf dem Rechner verschlüsselt und gehen dann Ende zu Ende bis zum Empfänger und erst da werden sie entschlüsselt. Übrigens ist das ein ganz wesentlicher Unterschied zu einem Produkt, was sich die Bundesrepublik mal ausgedacht hatte. DE-Mail, vielleicht erinnern Sie sich noch daran, dass die Post das anbieten musste und auch getan hat für einige Jahre. Aber dann hat man festgestellt, dass sie keine Kunden bekommt und hat den Dienst wieder eingestellt. Das sollte angeblich eben auch eine verschlüsselte Mailkommunikation ermöglichen, die man mit PGP von dem Phil Zimmermann umsonst hinbekommen hätte. Dagegen war dann das Angebot der Post oder der von Telekom nur gegen Geld.

Die DE-Mail hatte nur ein entscheidenden Nachteil, nämlich die Mail wurde verschlüsselt zum nächsten Knoten geschickt und dort entschlüsselt. Dann wurde geguckt ob das Spam oder irgendwelche Trojaner enthält oder sonst was drin ist. Dann wurde es wieder verschlüsselt und zum nächsten geschickt und so weiter bis zum Empfänger und das ist nicht das, was wir uns vorstellen unter verschlüsselter Mailkommunikation.

Jetzt aber endlich zur Liste: schauen wir mal, Bria. Das Programm ist sehr empfehlenswert, hat allerdings ein Sicherheitsfeature was es ein bisschen schwer zu benutzen macht. Sie müssen mit allen ihren Kommunikationspartnern sich persönlich getroffen haben. Dann haben sie auf dem Gerät einen Schlüssel, das ist ihre ID und die können Sie weitergeben an andere, indem sie diesen per QR-Code einem anderen Handy vorzeigen und dann akzeptiert das Bria von dem anderen Handy dessen Adresse. Machen sie es nochmal umgekehrt und schon können Sie miteinander kommunizieren und kein Mensch auf der Erde kann das mitlesen. Problem ist eben, sie müssen sich getroffen haben.

Der Messenger Session

Das war erstmal die Liste und wir wollen uns eigentlich jetzt weiter mit Session beschäftigen. Warum gerade Session? Wie gesagt, sie können gerne was anderes ausprobieren. Alles was hier in der Liste steht. Die Einrichtung geschieht auch ähnlich, nur hat natürlich jede App immer ihre Besonderheiten und sieht manchmal anders aus und man muss sich damit erst zurechtfinden.

Wenn wir uns jetzt vornehmen Session zu installieren auf unserem Gerät, können Sie das auch parallel jetzt einfach versuchen solange sie hier jetzt WLAN oder Netzzugriff haben. Gut dann gehen wir eben auf die entsprechenden Webseiten https://getsession.org Das geht einmal, indem wir einfach zum Hersteller selbst gehen das ist die Seite getsession.org und da haben wir die Auswahl. Wie wir sehen gibt es session für die verschiedenen Desktop Betriebssysteme also Windows, Mac, Linux oder ja oder wir können dort auch das .apk File runterladen, also die Version, die ich auf einem Android Handy installieren kann. Handys oder Smartphones haben natürlich auch die Gelegenheit direkt auf die Playstores zu gehen, also auf den Google Play Store auf Apple Store. Beim Android haben Sie noch die Möglichkeit auch einen freien Store zu benutzen, nämlich den hier F-Droid.

Im nächsten Schritt, wenn wir die App auf dem Gerät haben, können wir sie starten. Dann werden wir als erstes gefragt, dass wir eine Session ID also unsere eigene Identifikationsnummer anlegen müssen die sieht dann z.B so aus. Das ist nicht so richtig handlich. Wir wissen ja, dass die Passworte auch immer länger werden. Früher hat man gesagt vier Zeichen oder sechs Zeichen, dann waren es acht Zeichen. Das ist inzwischen innerhalb von ein Minute knackbar. Wir sind jetzt ungefähr bei na ja 12, 14 möglichst 16 Zeichen.

Diese Session ID, das ist meine ID unter der ich angesprochen werden kann, also mir eine Nachricht geschickt werden kann. Die muss also irgendwie zu den Menschen gelangen, die mit mir kommunizieren wollen. Das Problem können wir so lösen wie auch in Bria, indem wir hier auf dieses Icon mit dem QR-Code Symbol drücken und dann wird uns unsere Session ID angezeigt. Den QR-Code können wir dann einem anderen Session Besitzer vorzeigen und der fügt das dann ein als neuen Kontakt und schon sind wir beide in der Lage miteinander verschlüsselt zu kommunizieren. Wenn er mir dann eine Nachricht schickt, dann brauche ich noch gar nicht mal seinen QR-Code vorher abgescannt zu haben. Wenn er eine Nachricht schickt, kommt die bei mir an und ich habe die Möglichkeit auszuwählen "annehmen" oder "ablehnen". Wenn ich nicht weiß, von wem das kommt, dann sollte ich es ablehnen, ansonsten akzeptiere ich es und dann weiß ich, dass ich mit diesem Menschen verschlüsselt und sicher kommunizieren kann. Jetzt gibt's, wenn ich bei der Installation bin hier bei "fortsetzen" noch einen Hinweis auf meine Recovery Phrase, also ein ein Satz, mit dem ich mein Session wiederherstellen kann, wenn das Gerät kaputt gegangen oder verloren ist und ich auf einem neuen Gerät bin. Vielleicht gibt's noch andere Gründe. Ich sollte diese Recovery Phrase irgendwo speichern, natürlich an sicherer Stelle und sollte sie nicht mit irgendwelchen Mailprogramm oder auch nicht mit Session weiterschicken, weil natürlich derjenige, der diese acht bis 10 Worte hat, der kann mein Session sich angucken und oder nachmachen. Das wollen wir vermeiden.

Damit war aber die Installation schon abgeschlossen. Jetzt kann ich nur noch nach weiteren Kommunikationspartnern suchen und dann kann es losgehen. Hier oben sehen wir noch das Symbol mit dem Telefonhörer. Inzwischen ist Telefonieren also Sprachchat über Session Standard. Damit haben wir Session installiert und können es benutzen.

Dann bedanke ich mich für Ihr Interesse und hoffe, dass es auch weit benutzt wird oder zumindest mehr benutzt wird als unverschlüsselte Mail.

Und hier gibt es das alles als Video:
Sichere Messenger - Welcher Messenger ist der Richtige für mich?
https://aktion-freiheitstattangst.org/images/videos/202312SichereMessenger.mp4

Mehr dazu bei https://www.aktion-freiheitstattangst.org/de/articles/8608-20231204-sichere-messenger.html

Kommentar

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft