#List gegen Lauscher in der Leitung

Die Einschläge kommen immer näher: Deutsche und europäische Politiker fordern mehr Möglichkeiten für eine Überwachung der Kommunikation. Das Post- und Fernmeldegeheimnis des Grundgesetzes sowie die Achtung des Privatlebens und der Schutz der Korrespondenz in der Europäischen Menschenrechtskonvention sollen abgeschwächt werden, um Ermittlern den Zugang zu vertraulicher Kommunikation zu ermöglichen. Dazu sollen Hintertüren oder Zweitschlüssel in Sicherheitssysteme verpflichtend implementiert werden, und Betreiber von Kommunikationsdiensten müssen Nachrichten ihrer Nutzer herausgeben. Das Vorbild ist eine Massenüberwachung, wie sie die amerikanischen und britischen Geheimdienste betreiben, wenn sie an den Internetknotenpunkten große Teile des Netzverkehrs ausleiten und auswerten.

Wer auf das Grundrecht vertraulicher Kommunikation pocht, muss sich einige Gedanken machen und die kryptographisch sichere Ende-zu-Ende-Verschlüsselung verwenden. Sie ist nach bisherigem Kenntnisstand selbst mit hochgerüsteter und teurer Hardware nicht zu knacken. Die Nachricht wird beim Sender verschlüsselt und erst beim vorgesehenen Empfänger wieder entschlüsselt. Der Schlüssel steht ausschließlich Sender und Empfänger zur Verfügung, er liegt nicht auf einem Server, auf dem sich auch die Nachricht befindet. Und er lässt sich nicht ableiten oder berechnen.

Um dem Empfänger den Schlüssel des Senders zukommen zu lassen, veröffentlicht der Empfänger einen öffentlichen Schlüssel, den Public Key. Mit ihm kann nur verschlüsselt und nicht entschlüsselt werden. Der Sender verschlüsselt seine Nachricht mit dem Public Key des Empfängers, und da nur dieser den eigenen privaten Schlüssel besitzt, kann nur er die Nachricht entschlüsseln.

Verwendete Hardware muss sicher sein

Ende-zu-Ende gilt als sicher. Angreifer können allerdings zum Beispiel einen Trojaner auf ein Mobiltelefon oder einen Rechner aufspielen, der Bildschirmfotos der Nachrichten erstellt, oder einen Keylogger, der sämtliche Tastaturanschläge aufzeichnet. Man muss sich also darum kümmern, dass auch die verwendete Hardware sicher ist.

Wenn A und B vertraulich miteinander kommunizieren wollen, verwenden sie am einfachsten ein iPhone und einen Messenger wie Signal oder Threema. Alle ausgetauschten Nachrichten sind automatisch Ende-zu-Ende verschlüsselt, und die beiden können sogar Dateien wie PDF oder Word-Dokumente von iPhone zu iPhone übertragen. Größere Messenger-Gruppen kommunizieren ebenfalls sicher. Warum ein iPhone? Prinzipiell ist die Verschlüsselung von Signal und Threema unter Android ebenso sicher. Aber die Hardware lässt sich leichter angreifen, was regelmäßig auch geschieht. Jeden Tag gibt es neue Berichte.

Warum kein Whatsapp? Whatsapp nutzt zwar ebenfalls Ende-zu-Ende, überträgt aber unangemessen viele Metadaten an seinen Mutterkonzern Facebook. Metadaten sind nicht die Inhalte der Kommunikation, wohl aber: wer wann von wo aus mit wem kommuniziert. Ohne die Inhalte der Nachrichten zu kennen, kann man über das fortwährende Abgreifen der Metadaten viel über die Kommunikation zwischen A und B erfahren. Etwa, dass sich die beiden regelmäßig früh am Morgen und spät am Abend austauschen, sich oft treffen und bei dieser Gelegenheit stets über dieselbe IP-Adresse online gehen.

Alle beteiligten Mail Provider können mitlesen

Wenn die Kommunikation intensiver wird und regelmäßig viele Dateien übertragen werden sollen, liegt die Verwendung der E-Mail nahe. Sie ist jedoch nicht sicher. Fast alle Mail-Clients bauen zwar eine Transportverschlüsselung zum eigenen Mailprovider auf. Von dort auf dem Weg zum Provider des Adressaten erfolgt der Transport jedoch unter Umständen unverschlüsselt, und selbst wenn sie verschlüsselt ist, können zwischengeschaltete Angreifer (Man in the Middle) eine unverschlüsselte Verbindung erzwingen. Auch mit durchgehender Transportverschlüsselung werden zwar Lauscher in der Leitung abgewehrt, aber alle beteiligten Mail Provider können mitlesen.