Was kann schon passieren…ich hab ja nix zu verlieren!

Es geht nicht darum, ob wir etwas zu verheimlichen haben.
Mir geht es gar nicht darum, ob ich durch mein ständiges gesimse (erinnert ihr euch noch an die Zeiten, als Gesimse etwas mit Fassadengestaltung zu tun hatte, anstelle von elektronischen Kurznachrichten?), gechatte und geschnatter meine Zeit verschwende oder tatsächlich wichtige Informationen verteile.
Heute will ich ein Plädoyer dafür halten, dass wir uns keine Gedanken darüber machen sollten, ob wir etwas zu verlieren oder zu verheimlichen haben, wenn wir in der digitalen Weltgeschichte herumtexten.

Es geht darum, dass es unser Recht ist.

Unsere – und ganz viele andere – Gesellschaften gründen auf der Allgemeinen Erklärung der Menschenrechte von 1948 und eines dieser Menschenrechte ist das Recht auf den Schutz der Privatsphäre.
So heißt es in Artikel 12:
Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.
Deutlicher geht es wohl kaum noch, um laut und klar vernehmlich allen Datenschnorchlern, sei es aus politischen Gründen, im Zeichen des Terrorschutzes (wobei ich mich frage, ob die flächendeckende Überwachung nicht ebenso eine Form des Terrors ist) oder für rein wirtschaftliche Zwecke, zu sagen:
Finger weg von meinen Daten! Es geht euch nichts an!
Und es geht sogar noch deutlicher:
Im Grundgesetz lesen wir in Artikel 10:
Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
Da steht nicht, wir stimmen zu, dass zu Werbezwecken unsere Nachrichten untersucht werden dürfen.
Oder auch die anlasslose Überwachung ist damit schlicht und einfach nicht vereinbar.
Nein, da steht ganz klar “unverletzlich”.
Dieses Grundrecht macht uns quasi zum Superman der Kommunikation.
Niemand darf ohne meine Zustimmung lesen, was ich einer anderen Person im Vertrauen schreibe.
Und das Kryptonit der digitalen Auswertung und Überwachung darf einfach nicht eingesetzt werden.
Punkt.

Deus Ex Machina der Datensammler: Metadaten

Und wieder komme ich auf Metadaten zu sprechen.
Diese fallen an und zwar vollkommen unabhängig davon, was wir inhaltlich mitteilen. Für die Datenauswerter sind die dabei anfallenden Metadaten das neue Datengold.
Die fünf W der Datensammlung sind der Maßstab, mit dem die Datenkraken messen:

  • wer
  • wann
  • wo
  • mit wem
  • wie oft

Momentan liefern wir diese Daten einfach mit, es führt kein Weg daran vorbei.
Und was ich noch viel entrüstender finde:
Diese Metadaten verletzen aus der Sichtweise der Datensammler noch nicht einmal die oben angeführten Grundrechte, denn sie wurden einfach aus dem zu schützenden Inhalt herausdefiniert.
Da kann ich nur sagen:
Vielen Dank liebe Regierungen, da habt ihr einen tollen Job beim Schutz eurer Schutzbefohlenen geleistet!
Ich halte die Information darüber, wer, wann, wo und wie oft mit wem kommuniziert für genauso schützenswert wie den Inhalt, den ich mitteile!

Und was kann passieren?

Ja, was kann jetzt passieren, wenn wir dauerhaft und flächendeckend rund um die Uhr überwacht werden?
Wir verlieren uns selbst.
Wir verlieren die Möglichkeit, uns zurück zu ziehen.
Wir verlieren den Freiraum, in dem wir uns entwickeln können.
Wir verlieren unsere Freiheit und unsere Privatsphäre.
Wir werden reduziert zu Laborratten, die ständig beobachtet und nach dem Willen der “überwachen Augen [die] zehnmal schärfer sehen” wie Rio Reiser es singt.
Und schon lange heißt es nicht mehr nur “Big Brother Is Watching You”.
Nein, es sind auch seine geldgierige Tante Facebook, sein datengieriger Großonkel Google und seine vollkommen paranoiden Cousins NSA, GCHQ und BND, die uns unserer Privatsphäre berauben und uns viel umfassender und effektiver – weil wir zu einem Großteil freiwillig mitmachen – überwachen.

Unter Generalverdacht der überwachen(den) Augen

Der Wahnsinn der allumfassenden und verdachtslosen Überwachung stellt uns alle unter den Generalverdacht der – Gesetz bewahre! – Individualität.
Wo kommen wir denn hin, wenn hier jeder denkt und sagt, was er will.
Wenn das so weiter geht, verlangt dann noch jemand Gedankenfreiheit.
So weit wird’s kommen.
Dann wird das ja mit der “interessenbezogenen” Werbung oder der zielgruppengesteuerten Produktplatzierung ganz schwierig.
Das wirkt sich dann natürlich ganz schlecht auf die quartalsgetriebenen Marktprognosen aus.
Und der Terrorschutz erst.
Wenn wir hier nicht ganz genau hinschauen, dann werden wir überrannt werden.
Von rechts und links.
Oben und unten.
Minimalistisch, extremistisch, extraterrestrisch oder aquaristisch gar!
Das Abend- wie das Morgenland würde sich plötzlich in einem unüberwachten Moment auflösen und was wäre dann da?
Anarchie womöglich!
Dann hätte “jeder sein eigen Glück unter den Händen” wie Johann Wolfgang von Goethe es denkt.
Das wäre natürlich schrecklich für die Generalverdächtiger.

Wir werden angreifbarer

Ja glauben denn die Datensammler, dass sie unsere Daten für immer unter Verschluss halten können?
Lernen sie nichts aus den zunehmenden erfolgreichen Datendiebstählen?
Glauben sie denn ernsthaft, dass sie unangreifbar sind?
Je mehr Daten uns gestohlen werden, desto angreifbarer werden wir.
Nicht nur durch die Datensammler selbst, die Geheimdienste, die Datenkraken.
Nein, auch die andere dunkle Seite der Datenmacht, die Datenkriminellen, die digitalen Räuber sind dankbare Profiteure dieser maßlosen Datenflut.
Die Daten, die sie Google, Facebook, NSA und GCHQ stehlen können, brauchen sie vorher uns gar nicht selbst aus den Tablets, Smartphones und IoT-Geräten stehlen. Nein, diese bekommen sie dort schon einsatzbereit korreliert geliefert.
Welch wunderbare kriminelle Utopie steht auch diesen Datendieben bevor.

TL;DR

  • Mensch, dein Recht: Das Recht auf Privatsphäre und unverletzte Kommunikation
  • Behold, what I have seen: Metadaten
  • Was kann schon passieren: Die Eisscholle der Privatsphäre in der Datenhölle der Überwachung
  • Wir sind alles Terroristen: Unter Generalverdacht
  • Gestohlen, gesammelt, korreliert: Wir werden angreifbarer

Und jetzt?
Empört euch, schreibt Briefe, dann müssen wieder mehr Postbeamte zum scannen unserer Kommunikation eingestellt werden 🙂

Was kann schon passieren…ich hab ja nix zu verlieren!

Es geht nicht darum, ob wir etwas zu verheimlichen haben.
Mir geht es gar nicht darum, ob ich durch mein ständiges gesimse (erinnert ihr euch noch an die Zeiten, als Gesimse etwas mit Fassadengestaltung zu tun hatte, anstelle von elektronischen Kurznachrichten?), gechatte und geschnatter meine Zeit verschwende oder tatsächlich wichtige Informationen verteile.
Heute will ich ein Plädoyer dafür halten, dass wir uns keine Gedanken darüber machen sollten, ob wir etwas zu verlieren oder zu verheimlichen haben, wenn wir in der digitalen Weltgeschichte herumtexten.

TL;DR

  • Mensch, dein Recht: Das Recht auf Privatsphäre und unverletzte Kommunikation
  • Behold, what I have seen: Metadaten
  • Was kann schon passieren: Die Eisscholle der Privatsphäre in der Datenhölle der Überwachung
  • Wir sind alles Terroristen: Unter Generalverdacht
  • Gestohlen, gesammelt, korreliert: Wir werden angreifbarer

Es geht darum, dass es unser Recht ist.

Unsere – und ganz viele andere – Gesellschaften gründen auf der Allgemeinen Erklärung der Menschenrechte von 1948 und eines dieser Menschenrechte ist das Recht auf den Schutz der Privatsphäre.
So heißt es in Artikel 12:

„Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden.
Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“

Deutlicher geht es wohl kaum noch, um laut und klar vernehmlich allen Datenschnorchlern, sei es aus politischen Gründen, im Zeichen des Terrorschutzes (wobei ich mich frage, ob die flächendeckende Überwachung nicht ebenso eine Form des Terrors ist) oder für rein wirtschaftliche Zwecke, zu sagen:
Finger weg von meinen Daten! Es geht euch nichts an!
Und es geht sogar noch deutlicher:
Im Grundgesetz lesen wir in Artikel 10:

„Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“

Da steht nicht, wir stimmen zu, dass zu Werbezwecken unsere Nachrichten untersucht werden dürfen.
Oder auch die anlasslose Überwachung ist damit schlicht und einfach nicht vereinbar.
Nein, da steht ganz klar “unverletzlich”.
Dieses Grundrecht macht uns quasi zum Superman der Kommunikation.
Niemand darf ohne meine Zustimmung lesen, was ich einer anderen Person im Vertrauen schreibe.
Und das Kryptonit der digitalen Auswertung und Überwachung darf einfach nicht eingesetzt werden.
Punkt.

Deus Ex Machina der Datensammler: Metadaten

Und wieder komme ich auf Metadaten zu sprechen.
Diese fallen an und zwar vollkommen unabhängig davon, was wir inhaltlich mitteilen.
Für die Datenauswerter sind die dabei anfallenden Metadaten das neue Datengold.
Die fünf W der Datensammlung sind der Maßstab, mit dem die Datenkraken messen:
wer
wann
wo
mit wem
* wie oft

Momentan liefern wir diese Daten einfach mit, es führt kein Weg daran vorbei.
Und was ich noch viel entrüstender finde:
Diese Metadaten verletzen aus der Sichtweise der Datensammler noch nicht einmal die oben angeführten Grundrechte, denn sie wurden einfach aus dem zu schützenden Inhalt herausdefiniert.
Da kann ich nur sagen:
Vielen Dank liebe Regierungen, da habt ihr einen tollen Job beim Schutz eurer Schutzbefohlenen geleistet!
Ich halte die Information darüber, wer, wann, wo und wie oft mit wem kommuniziert für genauso schützenswert wie den Inhalt, den ich mitteile!

Und was kann passieren?

Ja, was kann jetzt passieren, wenn wir dauerhaft und flächendeckend rund um die Uhr überwacht werden?
Wir verlieren uns selbst.
Wir verlieren die Möglichkeit, uns zurück zu ziehen.
Wir verlieren den Freiraum, in dem wir uns entwickeln können.
Wir verlieren unsere Freiheit und unsere Privatsphäre.
Wir werden reduziert zu Laborratten, die ständig beobachtet und nach dem Willen der “> überwachen Augen [die] zehnmal schärfer sehen” wie Rio Reiser es singt.
Und schon lange heißt es nicht mehr nur

“Big Brother Is Watching You”.

Nein, es sind auch seine geldgierige Tante Facebook, sein datengieriger Großonkel Google und seine vollkommen paranoiden Cousins NSA, GCHQ und BND, die uns unserer Privatsphäre berauben und uns viel umfassender und effektiver – weil wir zu einem Großteil freiwillig mitmachen – überwachen.

Unter Generalverdacht der überwachen(den) Augen

Der Wahnsinn der allumfassenden und verdachtslosen Überwachung stellt uns alle unter den Generalverdacht der – Gesetz bewahre! – Individualität.
Wo kommen wir denn hin, wenn hier jeder denkt und sagt, was er will.
Wenn das so weiter geht, verlangt dann noch jemand Gedankenfreiheit.
So weit wird’s kommen.
Dann wird das ja mit der “interessenbezogenen” Werbung oder der zielgruppengesteuerten Produktplatzierung ganz schwierig.
Das wirkt sich dann natürlich ganz schlecht auf die quartalsgetriebenen Marktprognosen aus.
Und der Terrorschutz erst.
Wenn wir hier nicht ganz genau hinschauen, dann werden wir überrannt werden.
Von rechts und links.
Oben und unten.
Minimalistisch, extremistisch, extraterrestrisch oder aquaristisch gar!
Das Abend- wie das Morgenland würde sich plötzlich in einem unüberwachten Moment auflösen und was wäre dann da?
Anarchie womöglich!
Dann hätte

“jeder sein eigen Glück unter den Händen”

wie Johann Wolfgang von Goethe es denkt.
Das wäre natürlich schrecklich für die Generalverdächtiger.

Wir werden angreifbarer

Ja glauben denn die Datensammler, dass sie unsere Daten für immer unter Verschluss halten können?
Lernen sie nichts aus den zunehmenden erfolgreichen Datendiebstählen?
Glauben sie denn ernsthaft, dass sie unangreifbar sind?
Je mehr Daten uns gestohlen werden, desto angreifbarer werden wir.
Nicht nur durch die Datensammler selbst, die Geheimdienste, die Datenkraken.
Nein, auch die andere dunkle Seite der Datenmacht, die Datenkriminellen, die digitalen Räuber sind dankbare Profiteure dieser maßlosen Datenflut.
Die Daten, die sie Google, Facebook, NSA und GCHQ stehlen können, brauchen sie vorher uns gar nicht selbst aus den Tablets, Smartphones und IoT-Geräten stehlen. Nein, diese bekommen sie dort schon einsatzbereit korreliert geliefert.
Welch wunderbare kriminelle Utopie steht auch diesen Datendieben bevor.

Und jetzt?
Empört euch, schreibt Briefe, dann müssen wieder mehr Postbeamte zum scannen unserer Kommunikation eingestellt werden 🙂

Wie kurznachrichte ich sicher?

Was wollen wir überhaupt erreichen, wenn wir jemandem eine Kurznachricht senden und warum sollte dies denn überhaupt sicher sein?
Fragen über Fragen, aber gut ist es, wenn wir uns diesen stellen.
Denn dann können wir erst bewerten, worauf es uns dabei ankommt.
Wenn es euch gänzlich egal ist, dann solltet ihr an dieser Stelle aufhören weiterzulesen und postet stattdessen lieber ein Selfie von eurem nächsten Schritt in eure Datenunmündigkeit.
Wir anderen überlegen uns, was wir erreichen wollen.

Was kurznachrichte ich?

Nun, wir sprechen hier von KURZnachrichten.
140 Zeichen.
Da lässt sich jetzt eine längere philosophische Betrachtung der Notwendigkeit von Gut und Böse in einer dualistischen Welt eher schwerlich abhandeln (schon diesen Titel bekommen wir nur unter schmerzlichen Kürzungen zustande).
Eine KURZnachricht sollte einen KURZEN Inhalt in der Form von
Ich komme um 14 Uhr am Bahnhof an.” haben.
Gut, ein bissel länger geht schon, aber ich denke, ich habe mich verständlich gemacht.
Meine Aussage hinsichtlich eines kurzen INHALTs sehe ich auch noch aus einem anderen Blickwinkel:
Habe heute wieder ein lila-getupftes Hemd an! Toll!!!1!!! 🙂” ist zwar kurz, aber kein INHALT.
Können wir also vergessen.
Um dies jetzt aus Sicht von “wie kurznachrichte ich sicher” zu sehen, empfehle ich einen Dienst, der die INHALTE verschlüsselt.
Das macht mittlerweile fast jeder. Sogar WhatsApp. Wenn alle beteiligten Kommunikationspartner die aktuelle Version haben.
Wenn euer Messenger das nicht kann, dann sucht euch einen anderen.

Was bedeutet “sicher”?

Welche Sicherheit streben wir nun an, wenn wir sicher kurznachrichten wollen?

  • Meine Nachricht soll nicht mitgehört werden.
    Das erreichen wir – wie bereits erwähnt – dadurch dass wir unsere Kommunikation verschlüsseln. Dies bieten – wie auch bereits erwähnt – mittlerweile die meisten Dienste an. Wenn uns das ein Bedürfnis ist und unser aktuell genutzter Dienst das nicht bietet, ist meine Empfehlung (wie bereits erwähnt): sucht euch einen anderen Dienst.
  • Ich will sichergehen, dass ich wirklich mit demjenigen kurznachrichte, mit dem ich denke, dass ich kurznachrichte.
    Auch für die Aufgabenstellung der Authentifikation bieten die meisten Anbieter von Kurznachrichtendiensten eine Lösung. Das kommt quasi im Zuge der Veschlüsselung mit oben drauf, dass die Nachrichtenaustauscher die Möglichkeit haben, zu überprüfen, dass tatsächlich sie miteinander kurznachrichten und nicht irgendjemand sich in die Leitung geklemmt hat.

Als weiteres Schmankerl der hier verwendeten Kryptografie ist weiterhin die Möglichkeit inkludiert, zu überprüfen, ob die Nachricht auf der Strecke von A nach B verändert wurde.
Wenn ich jetzt also schreibe:
Ich komme um 14 Uhr am Bahnhof an.” und meine Nachricht wird auf dem Weg in: “Ich komme um 15 Uhr am Bahnhof an.” geändert, führt dies nur zu Ungemach und Ärger, wenn der Empfänger der Nachricht nicht feststellen kann, dass die Nachricht geändert wurde.

Ist Anonymität möglich?

Meiner Ansicht nach: nein.
Im Kurznachrichtendienstbereich ist keine Anonymität möglich, da wir immer digitale Spuren hinterlassen.
Schon allein dadurch, dass wir (meist) unsere Handynummer angeben müssen, damit unsere Nachrichten uns erreichen, ist das mit der Anonymität schon mal Essig.
Mike Kuketz hat das Thema Anonymität im Internet in seinem Blog sehr schön beleuchtet.
Außerdem gibt es ja noch das Über-Thema der Metadaten, die fallen halt einfach an!

Metadaten werden immer gesammelt

Da auch die dateninteressierten Anbieter der Kurznachrichtendienste mittlerweile begriffen haben, dass der Inhalt der meisten Nachrichten nicht die Bits und Bytes wert sind, die dafür ihr digitales Leben lassen mussten, haben auch so fortschrittliche Anbieter wie WhatsApp den Schritt zur Verschlüsselung der Kommunikation getan.
Es sind die Metadaten, die unsere Kommunikation so wertvoll machen.
Wer mit wem, wann, wie oft, wo?
Dies sind die Fragen, welche die Datenschürfer interessiert – und auf die sie auch alle Antworten bekommen. Unabhängig davon, ob die Nachrichten verschlüsselt sind.
Die Inhaltsleere der Nachrichten ist den Datenjägern und -sammlern längst bewusst. Die für sie wertschöpfende (und uns ausbeutende) Korrelation findet mehr als ausreichend über die Metadaten statt.

Beschränke dich!

Aber was können wir gegen diese perfide Art der Überwachung unternehmen?
Heulen und zähneknirschen?
Hilft – solange wir während dessen nicht auch in der Gegend herum texten:
Heule und zähneknirsche gerade!!!1!!!!1!
Nein, beschränken wir uns.
Liefern wir keine Metadaten.
Wir haben doch auch überlebt (und besser möchte ich meinen), als wir nicht alle sieben Minuten unseren geistigen Sondermüll in der virtuellen Gegend herumgeschickt haben!
Datensparsamkeit ist die einfachste und wirksamste Maßnahme, um die Datengier einzubremsen.
Außerdem tun wir uns und unseren Kommunikationspartnern einen riesigen Gefallen, wenn wir den Datenmüllberg nicht noch um etliche sinnlose Daten erhöhen.

Das hohe Lied auf Open Source

Es gibt so ein paar grundlegende Eigenschaften, die im Bereich sichere Kommunikation einfach immer wieder auftauchen.
Und dazu gehört auch Open Source.
Software, die sich ernsthaft mit Verschlüsselung beschäftigt, sollte eben Open Source sein.
Nur dadurch kann sichergestellt werden, dass

  • die Algorithmen richtig implementiert sind
  • keine Hintertüren eingebaut sind

Darum werde ich hier auch nicht müde zu sagen:
Achtet darauf, dass der Messenger den ihr einsetzt, Open Source ist.
Und WhatsApp ist das eben nicht.

Vielseitigkeit

Seid nicht so einseitig.
Hängt eure Gunst nicht an einen Schreihals, bloß weil dieser die meisten Datenschleudern hat.
Was wollt ihr denn?
Die Welt erreichen?
Dann ist der Weg über Kurznachrichten meiner Ansicht nach sowieso der Falsche.
Mit Kurznachrichten will ich einen oder maximal eine handvoll Empfänger erreichen – mehr nicht.
Dazu muss ich nicht den Dienst wählen, der die meisten Teilnehmer hat, sondern den Dienst, den mein Empfänger nutzt. Und das kann ich ganz individuell mit diesem Empfänger auskaspern.
Daher mein Rat:
Nutze doch einfach mehrere Anbieter und stifte ein wenig Verwirrung um deine Kommunikationswege.

Und was bleibt mir sonst?

Kurznachrichtendienste sind ja nicht die einzige Möglichkeit, um miteinander in Kontakt zu bleiben.
Schreibt doch einfach mal eine Postkarte.
Ist auch kurz (sogar, wenn man klein schreibt, länger als 140 Zeichen).
Liest auch kein Mensch.
Ist zwar offen, aber so offensichtlich, dass hier niemand große Geheimnisse erwartet. Das sieht auch Hans Magnus Enzensberger in seinen „Regeln für die digitale Welt“ so.
Außerdem ist eine Postkarte deutlich anonymer als jede digitale Kurznachricht 🙂
Und wenn jetzt hier Gemaule über die Laufzeiten von Postkarten losbricht:
Mir geht es um KURZnachrichten, nicht SOFORTnachrichten!

TL;DR

  • Mehr Inhalt statt Datenmüll: Was kurznachrichte ich
  • Was ist schon Sicherheit: Confidentiality, Integrity, Authenticity
  • Anonym ist anders: Das kriegen wir hier nicht
  • Hättest du geschwiegen wärest du geheim geblieben: Datensparsamkeit
  • Die Quelle aller Sicherheit: Open Source
  • Sei bunt, sei vielseitig, sei frei!
  • Snail Mail rules: ein Hoch auf Postkarten

Und jetzt?
Schweigen und die Sonne genießen. Ohne es zu posten.

Wie kurznachrichte ich sicher?

Was wollen wir überhaupt erreichen, wenn wir jemandem eine Kurznachricht senden und warum sollte dies denn überhaupt sicher sein?
Fragen über Fragen, aber gut ist es, wenn wir uns diesen stellen.
Denn dann können wir erst bewerten, worauf es uns dabei ankommt.
Wenn es euch gänzlich egal ist, dann solltet ihr an dieser Stelle aufhören weiterzulesen und postet stattdessen lieber ein Selfie von eurem nächsten Schritt in eure Datenunmündigkeit.
Wir anderen überlegen uns, was wir erreichen wollen.

TL;DR

  • Mehr Inhalt statt Datenmüll: Was kurznachrichte ich
  • Was ist schon Sicherheit: Confidentiality, Integrity, Authenticity
  • Anonym ist anders: Das kriegen wir hier nicht
  • Hättest du geschwiegen wärest du geheim geblieben: Datensparsamkeit
  • Die Quelle aller Sicherheit: Open Source
  • Sei bunt, sei vielseitig, sei frei!
  • Snail Mail rules: ein Hoch auf Postkarten

Was kurznachrichte ich?

Nun, wir sprechen hier von KURZnachrichten.
140 Zeichen.
Da lässt sich jetzt eine längere philosophische Betrachtung der Notwendigkeit von Gut und Böse in einer dualistischen Welt eher schwerlich abhandeln (schon diesen Titel bekommen wir nur unter schmerzlichen Kürzungen zustande).
Eine KURZnachricht sollte einen KURZEN Inhalt in der Form von “Ich komme um 14 Uhr am Bahnhof an.” haben.
Gut, ein bissel länger geht schon, aber ich denke, ich habe mich verständlich gemacht.
Meine Aussage hinsichtlich eines kurzen INHALTs sehe ich auch noch aus einem anderen Blickwinkel:
“Habe heute wieder ein lila-getupftes Hemd an! Toll!!!1!!! :)” ist zwar kurz, aber kein INHALT.
Können wir also vergessen.
Um dies jetzt aus Sicht von “wie kurznachrichte ich sicher” zu sehen, empfehle ich einen Dienst, der die INHALTE verschlüsselt.
Das macht mittlerweile fast jeder.
Sogar WhatsApp. Wenn alle beteiligten Kommunikationspartner die aktuelle Version haben.
Wenn euer Messenger das nicht kann, dann sucht euch einen anderen.

Was bedeutet “sicher”?

Welche Sicherheit streben wir nun an, wenn wir sicher kurznachrichten wollen?
Meine Nachricht soll nicht mitgehört werden.
Das erreichen wir – wie bereits erwähnt – dadurch dass wir unsere Kommunikation verschlüsseln.
Dies bieten – wie auch bereits erwähnt – mittlerweile die meisten Dienste an.
Wenn uns das ein Bedürfnis ist und unser aktuell genutzter Dienst das nicht bietet, ist meine Empfehlung (wie bereits erwähnt): sucht euch einen anderen Dienst.
Ich will sichergehen, dass ich wirklich mit demjenigen kurznachrichte, mit dem ich denke, dass ich kurznachrichte.
Auch für die Aufgabenstellung der Authentifikation bieten die meisten Anbieter von Kurznachrichtendiensten eine Lösung.
Das kommt quasi im Zuge der Veschlüsselung mit oben drauf, dass die Nachrichtenaustauscher die Möglichkeit haben, zu überprüfen, dass tatsächlich sie miteinander kurznachrichten und nicht irgendjemand sich in die Leitung geklemmt hat.

Als weiteres Schmankerl der hier verwendeten Kryptografie ist weiterhin die Möglichkeit inkludiert, zu überprüfen, ob die Nachricht auf der Strecke von A nach B verändert wurde.
Wenn ich jetzt also schreibe:
“Ich komme um 14 Uhr am Bahnhof an.” und meine Nachricht wird auf dem Weg in: “Ich komme um 15 Uhr am Bahnhof an.” geändert, führt dies nur zu Ungemach und Ärger, wenn der Empfänger der Nachricht nicht feststellen kann, dass die Nachricht geändert wurde.

Ist Anonymität möglich?

Meiner Ansicht nach: nein.
Im Kurznachrichtendienstbereich ist keine Anonymität möglich, da wir immer digitale Spuren hinterlassen.
Schon allein dadurch, dass wir (meist) unsere Handynummer angeben müssen, damit unsere Nachrichten uns erreichen, ist das mit der Anonymität schon mal Essig.
Mike Kuketz hat das Thema Anonymität im Internet in seinem Blog sehr schön beleuchtet.
Außerdem gibt es ja noch das Über-Thema der Metadaten, die fallen halt einfach an!

Metadaten werden immer gesammelt

Da auch die dateninteressierten Anbieter der Kurznachrichtendienste mittlerweile begriffen haben, dass der Inhalt der meisten Nachrichten nicht die Bits und Bytes wert sind, die dafür ihr digitales Leben lassen mussten, haben auch so fortschrittliche Anbieter wie WhatsApp den Schritt zur Verschlüsselung der Kommunikation getan.
Es sind die Metadaten, die unsere Kommunikation so wertvoll machen.
Wer mit wem, wann, wie oft, wo?
Dies sind die Fragen, welche die Datenschürfer interessiert – und auf die sie auch alle Antworten bekommen. Unabhängig davon, ob die Nachrichten verschlüsselt sind.
Die Inhaltsleere der Nachrichten ist den Datenjägern und -sammlern längst bewusst. Die für sie wertschöpfende (und uns ausbeutende) Korrelation findet mehr als ausreichend über die Metadaten statt.

Beschränke dich!

Aber was können wir gegen diese perfide Art der Überwachung unternehmen?
Heulen und zähneknirschen?
Hilft – solange wir während dessen nicht auch in der Gegend herum texten:
“Heule und zähneknirsche gerade!!!1!!!!1!”
Nein, beschränken wir uns.
Liefern wir keine Metadaten.
Wir haben doch auch überlebt (und besser möchte ich meinen), als wir nicht alle sieben Minuten unseren geistigen Sondermüll in der virtuellen Gegend herumgeschickt haben!
Datensparsamkeit ist die einfachste und wirksamste Maßnahme, um die Datengier einzubremsen.
Außerdem tun wir uns und unseren Kommunikationspartnern einen riesigen Gefallen, wenn wir den Datenmüllberg nicht noch um etliche sinnlose Daten erhöhen.

Das hohe Lied auf Open Source

Es gibt so ein paar grundlegende Eigenschaften, die im Bereich sichere Kommunikation einfach immer wieder auftauchen.
Und dazu gehört auch Open Source.
Software, die sich ernsthaft mit Verschlüsselung beschäftigt, sollte eben Open Source sein.
Nur dadurch kann sichergestellt werden, dass
die Algorithmen richtig implementiert sind
keine Hintertüren eingebaut sind

Darum werde ich hier auch nicht müde zu sagen:
Achtet darauf, dass der Messenger den ihr einsetzt, Open Source ist.
Und WhatsApp ist das eben nicht.

Vielseitigkeit

Seid nicht so einseitig.
Hängt eure Gunst nicht an einen Schreihals, bloß weil dieser die meisten Datenschleudern hat.
Was wollt ihr denn?
Die Welt erreichen?
Dann ist der Weg über Kurznachrichten meiner Ansicht nach sowieso der Falsche.
Mit Kurznachrichten will ich einen oder maximal eine handvoll Empfänger erreichen – mehr nicht.
Dazu muss ich nicht den Dienst wählen, der die meisten Teilnehmer hat, sondern den Dienst, den mein Empfänger nutzt.
Und das kann ich ganz individuell mit diesem Empfänger auskaspern.
Daher mein Rat:
Nutze doch einfach mehrere Anbieter und stifte ein wenig Verwirrung um deine Kommunikationswege.

Und was bleibt mir sonst?

Kurznachrichtendienste sind ja nicht die einzige Möglichkeit, um miteinander in Kontakt zu bleiben.
Schreibt doch einfach mal eine Postkarte.
Ist auch kurz (sogar, wenn man klein schreibt, länger als 140 Zeichen).
Liest auch kein Mensch.
Ist zwar offen, aber so offensichtlich, dass hier niemand große Geheimnisse erwartet.
Das sieht auch Hans Magnus Enzensberger in seinen Regeln für die digitale Welt so.
Außerdem ist eine Postkarte deutlich anonymer als jede digitale Kurznachricht 🙂
Und wenn jetzt hier Gemaule über die Laufzeiten von Postkarten losbricht:
Mir geht es um KURZnachrichten, nicht SOFORTnachrichten!

Und jetzt?
Schweigen und die Sonne genießen.
Ohne es zu posten.

Wie? Immer noch WhatsApp?

Na, jetzt ist ja alles gut!
Jetzt wo WhatsApp schließlich Ende-zu-Ende verschlüsselt ist!
Jetzt können wir uns alle beruhigt zurücklehnen und weiterhin jeden geistigen Müll in der digitalen Welt verteilen:

  • das ich wieder erfolgreich mein Hemd zugeknöpft habe,
  • meine Socken gebügelt habe (natürlich wahlweise mit Bild oder Video!),
  • wann der nächste Terroranschlag stattfinden soll [liebe NSA, wahlweise auch BND: bloß weil hier das Wort “Terroranschlag” vorkommt, bedeutet es nicht, dass ich einen solchen plane. Falls ihr es doch denkt, kommt mich doch bitte besuchen, meine Adresse rauszufinden solltet sogar ihr fehlerfrei hinbekommen.]
  • oder was ich über meinen Chef, diese *§$!# Pfeife, denke.

Das alles kann ich ja jetzt von mir geben! Kann ja keiner mehr lesen.
Yeah-yeah-yeah.
Oh, bitte.
Glauben wir wirklich, dass es das war?

WhatsApp hat uns verraten

Vergessen wir da vielleicht nicht, dass WhatsApp nicht wegen seiner tollen, innovativen Ideen im Bereich Kurznachrichten von Facebook gekauft wurde, sondern weil es einen riesigen Pool von Adressen (WhatsApp hatte zu diesem Zeitpunkt 450 Millionen Nutzer) angehäuft hatte.
Die Technik hinter WhatsApp war weder neu, noch sicher, geschweige denn innovativ.
Ich weiß nicht, wie es euch damit geht, aber jemandem, der mir meine Daten aus meinem Adressbuch gestohlen hat, glaube ich nicht auf einmal, dass er jetzt plötzlich zu den Guten gehört, bloß weil er jetzt auf einer Welle der Krypto-Sympathisanten mitschwimmen will.

Inhalt ist irrelevant

Wer glaubt, es komme noch auf seine bedeutungslosen 140 Zeichen Inhalt an, die er so aufmerksamkeitsverloren von sich gibt, der denkt auch, dass der Höhepunkt der Überwachung damit erreicht ist, wenn Männer in Trenchcoats mit Schlapphüten an einer Ecke deiner Straße stehen.
Es geht schon lange nicht mehr um die Inhalte, die wir von uns geben.
Metadaten sind viel aussagekräftiger.
Wann kommuniziere ich wie lang mit wem und wie häufig.
Das sind die Fragen, die sich die Überwacher stellen.
Und auf diese Fragen bekommen diese ihre Antworten, egal ob die Inhalte verschlüsselt sind oder nicht.

Und achtet mal auf eure Kinder!

Mir ist es ja egal.
Ich bin ja alt genug, aber ist euch bewusst, dass ein großer Teil der gesetzestreuen Eltern und Lehrer ihre Schützlinge in das juristische Verderben laufen lässt?
Oh. Was? Wie? Womit kommt er denn jetzt um die Ecke?
Damit:
WhatsApp ist nur für Nutzer, die 16 Jahre oder älter sind erlaubt.
Und kommt mir bitte nicht mit “aber bei Google Play steht doch USK ab 0 Jahren!”.
Google Play interessiert an dieser Stelle nicht.
Es geht um die AGB von WhatsApp und da steht:
9. Ability to Accept Terms of Service
You affirm that you are either more than 16 years of age, or an emancipated minor, […]”.
Also, liebe Eltern und liebe minderjährige Leser, jetzt überlegt euch mal was.
Und dieses “Was” ist eine vernünftige Alternative zu WhatsApp!

Geschlossen

Ein wichtiger Grundsatz von vertrauenswürdiger und sicherer Kommunikationssoftware ist Open Source.
Nur wenn wir die Möglichkeit haben, zu prüfen, wie ein kryptografischer Algorithmus implementiert ist und wenn wir sehen können, dass die Software keine Hintertüren enthält, dann können wir darauf vertrauen, dass wir an dieser Stelle auch nicht bespitzelt werden.
WhatsApp bietet dies nicht.
Natürlich können wir auf die hehren Versprechen vertrauen, dass die Entwickler von WhatsApp keine Hintertüren einbauen werden.
Allein, mir fehlt der Glauben.

Fresst Scheiße, Fliegen!

Und ich bin des Arguments überdrüssig, dass ich WhatsApp nutzen soll, bloß weil WhatsApp eine Nutzergruppe von über 1 Milliarde Teilnehmer hat.
Na und? *Müdes schulterzucken*
Ich will mich nicht mit einer Milliarde Teilnehmern unterhalten.
Ich will mich mit genau einem Menschen, bestenfalls noch mit einer überschaubaren Gruppe von Menschen unterhalten.
Vielleicht ist es pathologisch bei mir, aber ich mache nicht etwas, bloß oder gerade weil eine große Menge mehr oder minder vernunftbegabter Wesen dies tut.
Ich ernähre mich ja auch nicht von Fäkalien, bloß weil Milliarden Calliphoridae dies für eine gute Idee halten.

Setz – und nutz – ein Zeichen.

Seid doch divergent und nutzt für unterschiedliche Zwecke unterschiedliche Kurznachrichtendienste.
Es ist einfach, etwas auf seiner Funkgeige zu installieren – das könnt ihr alle und beweist es doch täglich, weil wir alle “einfach mal so” eine neue App ausprobieren.
Also probiert doch “einfach mal so” einen neuen Messenger aus.
Signal bietet alles, was WhatsApp auch bietet – nur eben besser!
Stimmt euch doch einfach mit ein paar Freunden ab und probiert mit denen Signal aus.
Tut nicht weh, macht euch aber einfach cooler.
Hebt euch doch mal aus der trägen Masse heraus und hört auf, jedem Schaf nachzublöken!

TL;DR

  • Krypto und jetzt ist alles gut? Nein!
  • WhatsApp – You’re a Liar! Verkauf unsere Daten und dann uns für blöd
  • Metadaten verraten viel mehr als 140 Zeichen
  • The Kids Are Not Alright – Lies die verdammte AGB!
  • Wem vertraue ich – oder ist Kontrolle besser?
  •  „Um ein tadelloses Mitglied einer Schafherde sein zu können, muss man vor allem ein Schaf sein.“ – Albert Einstein
  • Signal und Divergenz

Ach und wer glaubt, dass WhatsApp jetzt ein sicheres System ist weil die Ende-zu-Ende Verschlüsselung auch zwischen verschiedenen Plattformen funktioniert (wenn man die Version aktualisiert hat…), der glaubt auch, dass McDonalds ein Bio-Burger-Brater mit fairem Anspruch ist.
Und wer wirklich einen leckeren Burger essen will, geht entweder zu My Heart Beats Vegan oder Bratar.
Lasst es euch schmecken und nichts gefallen!

Wie? Immer noch WhatsApp?

Na, jetzt ist ja alles gut!
Jetzt wo WhatsApp schließlich Ende-zu-Ende verschlüsselt ist ist!
Jetzt können wir uns alle beruhigt zurücklehnen und weiterhin jeden geistigen Müll in der digitalen Welt verteilen:
das ich wieder erfolgreich mein Hemd zugeknöpft habe,
meine Socken gebügelt habe (natürlich wahlweise mit Bild oder Video!),
wann der nächste Terroranschlag stattfinden soll [liebe NSA, wahlweise auch BND: bloß weil hier das Wort “Terroranschlag” vorkommt, bedeutet es nicht, dass ich einen solchen plane.
Falls ihr es doch denkt, kommt mich doch bitte besuchen, meine Adresse rauszufinden solltet sogar ihr fehlerfrei hinbekommen.]
oder was ich über meinen Chef, diese §$!# Pfeife, denke.

TL;DR

  • Krypto und jetzt ist alles gut? Nein!
  • WhatsApp – You’re a Liar! Verkauf unsere Daten und dann uns für blöd
  • Metadaten verraten viel mehr als 140 Zeichen
  • The Kids Are Not Alright – Lies die verdammte AGB!
  • Wem vertraue ich – oder ist Kontrolle besser?
  • „Um ein tadelloses Mitglied einer Schafherde sein zu können, muss man vor allem ein Schaf sein.“ – Albert Einstein

  • Signal und Divergenz

Das alles kann ich ja jetzt von mir geben! Kann ja keiner mehr lesen.
Yeah-yeah-yeah.
Oh, bitte.
Glauben wir wirklich, dass es das war?

WhatsApp hat uns verraten

Vergessen wir da vielleicht nicht, dass WhatsApp nicht wegen seiner tollen, innovativen Ideen im Bereich Kurznachrichten von Facebook gekauft wurde, sondern weil es einen riesigen Pool von Adressen (WhatsApp hatte zu diesem Zeitpunkt 450 Millionen Nutzer) angehäuft hatte.
Die Technik hinter WhatsApp war weder neu, noch sicher, geschweige denn innovativ.
Ich weiß nicht, wie es euch damit geht, aber jemandem, der mir meine Daten aus meinem Adressbuch gestohlen hat, glaube ich nicht auf einmal, dass er jetzt plötzlich zu den Guten gehört, bloß weil er jetzt auf einer Welle der Krypto-Sympathisanten mitschwimmen will.

Inhalt ist irrelevant

Wer glaubt, es komme noch auf seine bedeutungslosen 140 Zeichen Inhalt an, die er so aufmerksamkeitsverloren von sich gibt, der denkt auch, dass der Höhepunkt der Überwachung damit erreicht ist, wenn Männer in Trenchcoats mit Schlapphüten an einer Ecke deiner Straße stehen.
Es geht schon lange nicht mehr um die Inhalte, die wir von uns geben.
Metadaten sind viel aussagekräftiger.
Wann kommuniziere ich wie lang mit wem und wie häufig.
Das sind die Fragen, die sich die Überwacher stellen.
Und auf diese Fragen bekommen diese ihre Antworten, egal ob die Inhalte verschlüsselt sind oder nicht.

Und achtet mal auf eure Kinder!

Mir ist es ja egal.
Ich bin ja alt genug, aber ist euch bewusst, dass ein großer Teil der gesetzestreuen Eltern und Lehrer ihre Schützlinge in das juristische Verderben laufen lässt?
Oh. Was? Wie? Womit kommt er denn jetzt um die Ecke?
Damit:
WhatsApp ist nur für Nutzer, die 16 Jahre oder älter sind erlaubt.
Und kommt mir bitte nicht mit “aber bei Google Play steht doch USK ab 0 Jahren!”.
Google Play interessiert an dieser Stelle nicht.
Es geht um die AGB von WhatsApp und da steht:

“9. Ability to Accept Terms of Service
You affirm that you are either more than 16 years of age, or an emancipated minor, […]”.

Also, liebe Eltern und liebe minderjährige Leser, jetzt überlegt euch mal was.
Und dieses “Was” ist eine vernünftige Alternative zu WhatsApp!

Geschlossen

Ein wichtiger Grundsatz von vertrauenswürdiger und sicherer Kommunikationssoftware ist Open Source.
Nur wenn wir die Möglichkeit haben, zu prüfen, wie ein kryptografischer Algorithmus implementiert ist und wenn wir sehen können, dass die Software keine Hintertüren enthält, dann können wir darauf vertrauen, dass wir an dieser Stelle auch nicht bespitzelt werden.
WhatsApp bietet dies nicht.
Natürlich können wir auf die hehren Versprechen vertrauen, dass die Entwickler von WhatsApp keine Hintertüren einbauen werden.
Allein, mir fehlt der Glauben.

Fresst Scheiße, Fliegen!

Und ich bin des Arguments überdrüssig, dass ich WhatsApp nutzen soll, bloß weil WhatsApp eine Nutzergruppe von über 1 Milliarde Teilnehmer hat.
Na und? Müdes schulterzucken
Ich will mich nicht mit einer Milliarde Teilnehmern unterhalten.
Ich will mich mit genau einem Menschen, bestenfalls noch mit einer überschaubaren Gruppe von Menschen unterhalten.
Vielleicht ist es pathologisch bei mir, aber ich mache nicht etwas, bloß oder gerade weil eine große Menge mehr oder minder vernunftbegabter Wesen dies tut.
Ich ernähre mich ja auch nicht von Fäkalien, bloß weil Milliarden Calliphoridae dies für eine gute Idee halten.

Setz – und nutz – ein Zeichen.

Seid doch divergent und nutzt für unterschiedliche Zwecke unterschiedliche Kurznachrichtendienste.
Es ist einfach, etwas auf seiner Funkgeige zu installieren – das könnt ihr alle und beweist es doch täglich, weil wir alle “einfach mal so” eine neue App ausprobieren.
Also probiert doch “einfach mal so” einen neuen Messenger aus.
Signal bietet alles, was WhatsApp auch bietet – nur eben besser!
Stimmt euch doch einfach mit ein paar Freunden ab und probiert mit denen Signal aus.
Tut nicht weh, macht euch aber einfach cooler.
Hebt euch doch mal aus der trägen Masse heraus und hört auf, jedem Schaf nachzublöken!

Ach und wer glaubt, dass WhatsApp jetzt ein sicheres System ist weil die Ende-zu-Ende Verschlüsselung auch zwischen verschiedenen Plattformen funktioniert (wenn man die Version aktualisiert hat…), der glaubt auch, dass McDonalds ein Bio-Burger-Brater mit fairem Anspruch ist.
Und wer wirklich einen leckeren Burger essen will, geht entweder zu My Heart Beats Vegan oder Bratar.
Lasst es euch schmecken und nichts gefallen!

Passwort-Manager – Passwort-Verwaltung für Müßige

Da steh ich jetzt mit meinen dreiundzwanzig achtzehn- bis siebenundzwanzig-stelligen Passworten und überlege, ob ich mich für die nächste Gedächtnisweltmeisterschaft anmelden soll.
Das ist doch total blöd, das kann doch nicht ernsthaft die Lösung meiner Passwort-Probleme sein!
Nein, das glaube ich auch nicht – außer ich habe den inneren Drang Gedächtnisweltmeister zu werden.
Und darum stelle ich hier einige Lösungen für die Müßiggänger unter uns vor, denn es gibt Schöneres, um das wir unsere Gedanken kreisen lassen können, als dröge Passworte!

Papier und Panzerschrank

Die bodenständigste, weil untechnischste, Lösung ist es, seine Passworte (so wie wir diese laut meinen Ideen aus der letzten Woche erstellt haben) auf einem Blatt Papier zu notieren und dieses in einen Tresor zu legen.
Und ich meine hier einen real existierenden Panzerschrank.
Keine verschlüsselte Datei.
Diese Lösung hat gewisse Nachteile, das gebe ich gern zu.
Die Panzerschrank-Lösung ist eher immobil (es sei denn ihr seid der Hulk und tragt halt immer euren Panzerschrank mit euch rum – aber in diesem Fall braucht ihr euch wahrscheinlich auch sonst keine Gedanken um eure Passwort-Sicherheit machen) und die Bequemlichkeit leidet ein wenig unter dieser Lösung (aber was unsere Datensicherheit angeht müssen wir immer eine Abwägung zwischen Bequemlichkeit und Sicherheit vornehmen).
Aber ansonsten ist diese Idee eine stabile, nachhaltige und dauerhafte Lösung, die auch bei Stromausfall funktioniert (allerdings brauchen wir dann auch meistens unsere Passworte nicht…).

Master Password

Bei Master Password handelt es sich um einen Passwort-Manager, bei dem die Bequemlichkeit einen hohen Stellenwert einnimmt – ohne die Sicherheit dabei zu schwächen.
Die Idee hinter Master Passwort ist, dass die Passworte aus einem sehr starken Passwort und unserem (guten) Namen heraus erzeugt werden.
Ein Passwort wird aus drei Bestandteilen –

  • dem sehr starken Passwort (eben dem Master Password),
  • unserem Namen
  • und dem eindeutigen Namen des Dienstes für den wir ein Passwort brauchen gebildet.

Der Charme dieser Lösung besteht darin, dass niemals ein Passwort auf unserem Rechner (Tablet, Smartphone) gespeichert wird, da die benötigten Passworte immer nur bei Bedarf durch einen sicheren Algorithmus aus den drei Teilen

  • Passwort,
  • meinem Name
  • und dem Namen des Dienstes erzeugt werden.

Dies bedeutet für Sicherheit der Passworte, dass einfach kein Passwort da ist, welches gestohlen werden kann. Selbst wenn uns unser Laptop oder Smartphone abhanden kommt (und wir ordentlich mit unserem Master Password umgegangen sind, d.h. es niemandem gesagt haben), kommt niemand an unsere Passworte heran, weil diese einfach nirgends gespeichert sind.
Ein weiterer Vorteil von Master Password ist, dass der Quelltext offen ist und jeder (so er in der Lage dazu ist 😉 ) die Güte des Algorithmus zur Passworterzeugung prüfen und darüber hinaus noch sicherstellen kann, dass hier keine Hintertür für den einen oder anderen feindlichen (oder auch freundlichen) Geheimdienst eingebaut ist.
Dieses Verfahren, dass die Sicherheit des zu bewahrenden Geheimnisses allein auf der Geheimhaltung des Schlüssels (also des Passwortes) und nicht auf der Geheimhaltung des Verschlüsselungsverfahrens beruht, ist eine der wichtigsten Grundlagen der moderen Kryptografie, postuliert von Auguste Kerckhoff in – nach ihm benannten – Kerckhoffs’ Maxime.

KeePassX

KeePassX ist ein weiterer Passwort-Manager, welchen ich hier empfehlen will.
Im Gegensatz zu Master Password geht KeePassX zwar den traditionellen Weg und speichert die erzeugten Passworte in einer sehr stark verschlüsselten Datei – und bietet damit gegenüber Master Password eine mögliche Angriffsfläche auf die Passworte.
Aber diese Passwortdatei ist so stark verschlüsselt (wahlweise mit AES oder Twofish mit einem 256 Bit langen Schlüssel), dass wir uns an dieser Stelle keine Gedanken machen müssen, dass in unserer Lebenszeit (es sei denn, wir sind Wowbagger der Unendlich Verlängerte) diese Verschlüsselung gebrochen wird.
Der Vorteil von KeePassX besteht darin (neben der Tatsache, dass es sich auch hierbei um Open Source mit all ihren Vorzügen handelt und auch hier eben Kerckhoffs’ Maxime zutrifft), dass es sehr portabel ist und für alle denk- und undenkbaren Plattformen (Linux, Mac OS und auch Windows) verfügbar ist.

Wovon wir tunlichst die Finger lassen sollten

In unserer von der Suche nach Bequemlichkeit (ich möchte hier ganz deutlich darauf hinweisen, dass Bequemlichkeit und Müßiggang wenig miteinander zu tun haben, nur am Rande 🙂 ) geprägten digitalisierten Welt werden oft so irrsinnige Vorschläge unterbreitet wie:
Speichere deine Passworte doch in der Cloud, da hast du dann Zugriff von überall darauf!
Genau, und am besten lege ich meinen Wohnungsschlüssel auf meine Fußmatte vor die Tür, dann kann auch gleich jeder einfach an meine Sachen ran.
Ja sind die denn bescheuert!?
Niemals, niemals, never ever speichern wir Passworte “in der Cloud”.
Egal mit welchen wohlklingenden Namen die verschiedenen Anbieter von Cloudlösungen oder cloudbasierten Passwort-Tools hier die Sicherheit ihrer Angebote preisen, es ist ein Angriffsvektor der – nachgewiesenermaßen – bereits erfolgreich ausgenutzt wurde.
Also nochmal:
Wenn wir Passworte in der Cloud speichern, können wir auch die PIN unserer EC-Karte – mitsamt der zugehörigen EC-Karte – am nächsten Geldautomaten hinlegen.

TL;DR

  • Passwort-Manager: warum denn?
  • Papier und Panzerschrank: sicher aber schwer
  • Master Password: sichere Passworte bei Bedarf
  • KeePassX: sichere Passworte – überall
  • Finger weg: nichts in den Wolken

Und jetzt? Noch Fragen offen, liebe Leser?
Fragt mich – und wir finden gemeinsam ein paar Antworten.

Passwort-Manager – Passwort-Verwaltung für Müßige

Da steh ich jetzt mit meinen dreiundzwanzig achtzehn- bis siebenundzwanzig-stelligen Passworten und überlege, ob ich mich für die nächste Gedächtnisweltmeisterschaft anmelden soll.
Das ist doch total blöd, das kann doch nicht ernsthaft die Lösung meiner Passwort-Probleme sein!
Nein, das glaube ich auch nicht – außer ich habe den inneren Drang Gedächtnisweltmeister zu werden.
Und darum stelle ich hier einige Lösungen für die Müßiggänger unter uns vor, denn es gibt Schöneres, um das wir unsere Gedanken kreisen lassen können, als dröge Passworte!

TL;DR

  • Passwort-Manager: warum denn?
  • Papier und Panzerschrank: sicher aber schwer
  • Master Password: sichere Passworte bei Bedarf
  • KeePassX: sichere Passworte – überall
  • Finger weg: nichts in den Wolken

Papier und Panzerschrank

Die bodenständigste, weil untechnischste, Lösung ist es, seine Passworte (so wie wir diese laut meinen Ideen aus der letzten Woche erstellt haben) auf einem Blatt Papier zu notieren und dieses in einen Tresor zu legen.
Und ich meine hier einen real existierenden Panzerschrank.
Keine verschlüsselte Datei.
Diese Lösung hat gewisse Nachteile, das gebe ich gern zu.
Die Panzerschrank-Lösung ist eher immobil (es sei denn ihr seid der Hulk und tragt halt immer euren Panzerschrank mit euch rum – aber in diesem Fall braucht ihr euch wahrscheinlich auch sonst keine Gedanken um eure Passwort-Sicherheit machen) und die Bequemlichkeit leidet ein wenig unter dieser Lösung (aber was unsere Datensicherheit angeht müssen wir immer eine Abwägung zwischen Bequemlichkeit und Sicherheit vornehmen).
Aber ansonsten ist diese Idee eine stabile, nachhaltige und dauerhafte Lösung, die auch bei Stromausfall funktioniert (allerdings brauchen wir dann auch meistens unsere Passworte nicht…).

Master Password

Bei Master Password handelt es sich um einen Passwort-Manager, bei dem die Bequemlichkeit einen hohen Stellenwert einnimmt – ohne die Sicherheit dabei zu schwächen.
Die Idee hinter Master Passwort ist, dass die Passworte aus einem sehr starken Passwort und unserem (guten) Namen heraus erzeugt werden.
Ein Passwort wird aus drei Bestandteilen –

  • dem sehr starken Passwort (eben dem Master Password),
  • unserem Namen
  • und dem eindeutigen Namen des Dienstes für den wir ein Passwort brauchen gebildet.

Der Charme dieser Lösung besteht darin, dass niemals ein Passwort auf unserem Rechner (Tablet, Smartphone) gespeichert wird, da die benötigten Passworte immer nur bei Bedarf durch einen sicheren Algorithmus aus den drei Teilen
Passwort,
meinem Name
* und dem Namen des Dienstes erzeugt werden.

Dies bedeutet für Sicherheit der Passworte, dass einfach kein Passwort da ist, welches gestohlen werden kann. Selbst wenn uns unser Laptop oder Smartphone abhanden kommt (und wir ordentlich mit unserem Master Password umgegangen sind, d.h. es niemandem gesagt haben), kommt niemand an unsere Passworte heran, weil diese einfach nirgends gespeichert sind.
Ein weiterer Vorteil von Master Password ist, dass der Quelltext offen ist und jeder (so er in der Lage dazu ist 😉 ) die Güte des Algorithmus zur Passworterzeugung prüfen und darüber hinaus noch sicherstellen kann, dass hier keine Hintertür für den einen oder anderen feindlichen (oder auch freundlichen) Geheimdienst eingebaut ist.
Dieses Verfahren, dass die Sicherheit des zu bewahrenden Geheimnisses allein auf der Geheimhaltung des Schlüssels (also des Passwortes) und nicht auf der Geheimhaltung des Verschlüsselungsverfahrens beruht, ist eine der wichtigsten Grundlagen der moderen Kryptografie, postuliert von Auguste Kerckhoff in – nach ihm benannten –Kerckhoffs‘ Maxime.

KeePassX

KeePassX ist ein weiterer Passwort-Manager, welchen ich hier empfehlen will.
Im Gegensatz zu Master Password geht KeePassX zwar den traditionellen Weg und speichert die erzeugten Passworte in einer sehr stark verschlüsselten Datei – und bietet damit gegenüber Master Password eine mögliche Angriffsfläche auf die Passworte.
Aber diese Passwortdatei ist so stark verschlüsselt (wahlweise mit AES oder Twofish mit einem 256 Bit langen Schlüssel), dass wir uns an dieser Stelle keine Gedanken machen müssen, dass in unserer Lebenszeit (es sei denn, wir sind Wowbagger der Unendlich Verlängerte) diese Verschlüsselung gebrochen wird.
Der Vorteil von KeePassX besteht darin (neben der Tatsache, dass es sich auch hierbei um Open Source mit all ihren Vorzügen handelt und auch hier eben Kerckhoffs’ Maxime zutrifft), dass es sehr portabel ist und für alle denk- und undenkbaren Plattformen (Linux, Mac OS und auch Windows) verfügbar ist.

Wovon wir tunlichst die Finger lassen sollten

In unserer von der Suche nach Bequemlichkeit (ich möchte hier ganz deutlich darauf hinweisen, dass Bequemlichkeit und Müßiggang wenig miteinander zu tun haben, nur am Rande 🙂 ) geprägten digitalisierten Welt werden oft so irrsinnige Vorschläge unterbreitet wie:
Speichere deine Passworte doch in der Cloud, da hast du dann Zugriff von überall darauf!
Genau, und am besten lege ich meinen Wohnungsschlüssel auf meine Fußmatte vor die Tür, dann kann auch gleich jeder einfach an meine Sachen ran.
Ja sind die denn bescheuert!?
Niemals, niemals, never ever speichern wir Passworte “in der Cloud”.
Egal mit welchen wohlklingenden Namen die verschiedenen Anbieter von Cloudlösungen oder cloudbasierten Passwort-Tools hier die Sicherheit ihrer Angebote preisen, es ist ein Angriffsvektor der – nachgewiesenermaßen – bereits erfolgreich ausgenutzt wurde.
Also nochmal:
Wenn wir Passworte in der Cloud speichern, können wir auch die PIN unserer EC-Karte – mitsamt der zugehörigen EC-Karte – am nächsten Geldautomaten hinlegen.

Und jetzt?
Noch Fragen offen, liebe Leser?
Fragt mich – und wir finden gemeinsam ein paar Antworten.