Wie man Informationen so übers Internet weitergibt, dass nur die Zielpersonen sie erfahren. Und wie man sein Telefon gegen Staatstrojanerangriffe abhärten kann.
Bei den meisten Menschen läuft ein großer Teil der Kommunikation via E-Mail, vor allem beruflich. Und diese Mails kommen nicht nur beim Adressaten, sondern potenziell beim W-LAN-Anbieter, dem E-Mail-Dienstleister und dem Internetprovider, aber unter Umständen auch bei Strafverfolgungsbehörden, Geheimdiensten und interessierten Dritten unverschlüsselt an. Offen wie eine Postkarte. Selbst wenn sie mit der TLS-Technologie geschützt sind, die viele Mail-Anbieter implementiert haben, bleiben sie auf deren Systemen beispielsweise für befugte Beschäftigte jederzeit zugänglich.
Dagegen hilft das Protokoll OpenPGP. Damit lassen sich E-Mails so verschlüsseln, dass niemand außer Sender und Empfänger ihren Inhalt sehen kann. Zu nutzen beispielsweise mit dem E-Mail-Client Thunderbird, dem Browser-Add-on Mailvelope oder dem Mail-Anbieter Proton Mail. Die verschlüsselte Kommunikation funktioniert allerdings nur, wenn das Gegenüber auch OpenPGP nutzt. Außerdem bleiben Metadaten der Nachricht, wann von wem an wen, im Versandprozess unverschlüsselt einsehbar, bei einigen OpenPGP-Varianten auch der Betreff.
Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Du musst ja auch dem Postboten sagen, wohin er deinen Brief schicken soll, sonst weiß er ja nicht, in welchen Briefkasten er den werfen soll.“
Wer die Metadaten seiner verschlüsselten Kommunikation schützen wolle, könne sich über den Tor-Browser, der die Kommunikation über mindestens drei Tor-Server lenkt, eine neue E-Mail-Adresse erstellen. „Und dann müsste man diese E-Mail-Adresse immer und ausschließlich mit dem Tor-Browser verwenden, denn sonst würde man ja wieder seine Identität verraten. Es fallen dann immer noch Metadaten an, die zeigen, mit wem von dieser E-Mailadresse aus kommuniziert wird. Aber sie kann nicht mehr so leicht mit einer konkreten Person und Geräten in Verbindung gebracht werden“, sagt Besendorf. Das funktioniert aber nur, wenn man bei der Einrichtung der E-Mail-Adresse keine persönlichen Daten eingibt.
E-Mail ist überholt
Aaron Wey, Veranstalter von CryptoPartys, hält das Sicherheitskonzept von OpenPGP und E-Mail für überholt. Unter anderem weil der öffentliche und private Schlüssel der OpenPGP-Nutzenden teils jahrelang verwendet würden – auch weil die sichere Verbreitung eines neuen Schlüssels theoretisch ein physisches Treffen voraussetze.
Die Verschlüsselung moderner Messenger wie zum Beispiel Whatsapp und Threema hingegen habe viele der Probleme überwunden, die E-Mailverschlüsselung noch mit sich brachte. „Man kann den Schlüssel nicht aus Versehen verlegen. Der Absender lässt sich nicht so einfach fälschen. Man kann nicht aus Versehen eine Nachricht weiterleiten, ohne zu verschlüsseln, zum Beispiel“, sagt Wey.
Sichere Ende-zu-Ende-Kommunikation würden die meisten modernen Messenger bieten, so Wey, er empfiehlt dennoch nur einen: Signal. Auch Alexander Paul von der Digitalberatung resist.berlin und Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen raten, Signal zu benutzen. Viele Messengervergleiche im Netz bestätigen die Qualität des Messengers.
Der Code von Signal ist öffentlich einsehbar und gilt als gut verstanden. Er wird regelmäßig von externen Sicherheitsforschern geprüft. Signal löscht außerdem beim Versenden Metadaten von Fotos und Videos – wie Gerätemodell, Betriebssystem, Eigenschaften oder Standort.
Die Polizei bekommt nur zwei Datenpunkte
Wie bei jedem Ende-zu-Ende-verschlüsselten Dienst können eventuelle Beobachter des Datenverkehrs nur eine verschlüsselte Verbindung zum Server sehen. Auf Anfrage von Ermittlungsbehörden gibt Signal zu jedem Account nur zwei Datenpunkte heraus: Wann der Account eröffnet wurde und wann er zuletzt online war. Das zu Facebook/Meta gehörige WhatsApp hingegen lässt Sicherheitsbehörden auf Anfrage die Metadaten der Kommunikation mit einer bestimmten Nummer quasi in Echtzeit mitlesen.
Als vertrauenswürdig gilt außerdem der offene Standard XMPP, auch als Jabber bekannt. Einen Überblick über freie Messenger gibt es hier. Besonders interessant ist der Messenger Briar, mit dem über W-LAN ein Nahfeldnetzwerk errichtet werden kann, so dass Menschen beispielsweise auf Demos oder anderen Großevents ohne Mobilfunknetz in Verbindung bleiben können.
Das Double-Ratchet-Schlüsselmanagement, das Signal eingeführt hat, benutzen inzwischen auch viele andere Messenger wie zum Beispiel WhatsApp oder Google Messages. Mit Double Ratchet wird für jede Nachricht ein neuer Schlüssel ausgehandelt. So kann jemand, der an einen Schlüssel gelangt, nur eine Nachricht öffnen – und nicht die ganze Kommunikation einsehen.
„Alles wird kopiert“
„Das macht auch Sinn, weil Kryptoforscher davon ausgehen, dass alles, was man digital versendet, kopiert wird. Dass irgendwelche Leute sich das auf Halde legen und in 50 Jahren mit mehr Computern, mit besserer Rechenleistung da drauf irgendwas versuchen“, sagt Aaron Wey.
Laut Alexander Paul von resist.berlin, einem Digital-Bildungsprojekt, das hauptsächlich Aktivist*innen berät, sei der einzige Nachteil von Signal die Voraussetzung, dass man eine Telefonnummer zur Registrierung braucht. Immerhin werde die Nummer seit Februar nur noch Chat-Partner*innen angezeigt, die sie in ihren Kontakten gespeichert haben. Und man könne sie auch anonymisieren. Alexander Paul sagt: „In manchen Läden kann man vorregistrierte SIM-Karten bekommen. Damit könnte man Signal auf eine Nummer registrieren, die nicht mit einem selbst identifiziert wird.“
Die Nutzung einer solchen SIM-Karte empfiehlt Alexander Paul aber nur für Menschen mit einem anspruchsvollen Bedrohungsmodell und/oder Aktionstelefonen. „Es gab allein dieses Jahr schon mehrere Fälle, wo Menschen in polizeilichen Maßnahmen festgehalten wurden, weil dank einer solchen SIM die Registrierungsinformationen nicht mit den Daten im Perso übereingestimmt haben, und sie sich dann erklären mussten“, sagt er. Dabei sind Besitz und Nutzung von nicht oder auf anderen Namen registrierten SIM-Karten nicht illegal, nur der unregistrierte Verkauf ist in Deutschland verboten.
Die Tastatur schneidet mit
Für erwähnenswert im Bereich von Innovationen für sichere Kommunikation hält CryptoParty-Aktivist*in Toni auch das Projekt Delta Chat, das eine sichere Kommunikation mit vielen Vorzügen moderner Messenger auf der Plattform E-Mail entwickelt. Für Menschen, die keine anderen sicheren Messenger nutzen können, weil sie in ihrem Land blockiert werden.
Anderswo habe es abgesicherte Kommunikation sowieso noch einmal deutlich schwerer, so Toni. „In China schneidet die Tastatur mit, was man tippt“, sagt Toni. Aber auch bei uns gäbe es kommerzielle Applikationen und Spyware, die Tastatureingaben speichern, selbst wenn sie vor dem Senden wieder gelöscht werden.
Klassische Telefonate sind übrigens ähnlich unsicher wie eine Postkarte oder eine unverschlüsselte E-Mail, doch das direkte Gespräch ist über viele Messenger – wie Signal – auch verschlüsselt möglich.
Staatstrojaner
Allzu sicher fühlen darf man sich damit allerdings nicht. Weltweit werden nämlich mit massivem Aufwand Programme entwickelt und aktualisiert, die Verschlüsselung umgehen, indem sie sich auf Endgeräten einnisten und dort die unverschlüsselte Kommunikation mitlesen. Auf Geräte gelangen die Staatstrojaner auch über Zero-Days: Sicherheitslücken, die den Software-Anbietern noch nicht bekannt sind und zum Teil für viel Geld gehandelt werden.
Auch deutsche Behörden nutzen solche Spionageprogramme. Damit können sie nicht nur auf laufende Kommunikation zugreifen, sondern auch sämtliche Daten auslesen, Kamera und Mikrofon fernsteuern, sogar Daten manipulieren.
Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Sich dagegen zu schützen ist wirklich sehr schwierig. Was man auf jeden Fall immer tun sollte, ist seine Geräte up to date halten, also immer sofort alle Updates installieren und alte Geräte, die keine Updates mehr vom Hersteller bekommen, verschenken.“ Alexander Paul von resist.berlin zum Beispiel sammelt mit dem Verein Wir packen’s an alte Telefone für gute Zwecke.
„Die größte digitale Bedrohung“
Das Digital Security Lab der Reporter ohne Grenzen hat den letzten Jahren einige Staatstrojanerangriffe forensisch analysiert und veröffentlicht. Janik Besendorf vom Digital Security Lab sagt: „Staatstrojaner sind die größte digitale Bedrohung, mit der die Pressefreiheit weltweit in den letzten Jahren konfrontiert wurde.“ Immer öfter würden Staaten damit – neben mutmaßlichen Straftäter*innen – auch Journalist*innen und Oppositionelle überwachen.
Apple hat speziell gegen Staatstrojanerangriffe den Lockdown Mode, also einen Blockierungsmodus, entwickelt. „Wer ein iPhone benutzt, sollte den aktivieren“, sagt Besendorf.
Damit werden einige besonders sichere Einstellungen vorgenommen. Wie zum Beispiel, dass nur Menschen aus den Kontakten jemanden auf iMessage anschreiben dürfen, „weil iMessage oft ein Einfallstor für Staatstrojaner war“, sagt Besendorf.
Sicherheit gegen Spionagesoftware
Der Lockdown Mode scheint zu funktionieren. Zumindest gegen den Staatstrojaner namens Pegasus, der vor allem iPhones infiziert. „Bisher ist noch kein Fall bekannt geworden, wo ein iPhone im Lockdown-Mode mit Pegasus infiziert worden wäre“, sagt Besendorf.
Ein Google-Pixel mit dem alternativen, radikal auf Sicherheit zugeschnittenen Betriebssystem GrapheneOS hält Besendorf zufolge vermutlich genauso sicher Schadsoftware ab. Beide Systeme böten wenig Angriffsoberfläche. Besendorf sagt: „100 Prozent Sicherheit gibt es nicht. Aber mit diesen Setups ist man so nah dran wie mit keinem anderen. Iphones mit Blockierungsmodus und Pixels mit GrapheneOS sind die stärkste Waffen, die es gibt.“
Damit ein Staatstrojaner seine Erkenntnisse nach Hause senden kann, muss er regelmäßig ins Internet. Um besonders heikle Dokumente zu betrachten und bearbeiten, könnte sich also auch ein Offline-Zweitlaptop lohnen, so Janik Besendorf.
Privatleben und Arbeit trennen
Für Menschen, die vermeiden wollen, dass sie mit Staatstrojanern angegriffen werden können, ist außerdem ein AdBlocker wie uBlock Origin besonders empfehlenswert, weil Spionagesoftware auch über Werbe-Anzeigen ausgeliefert wird. Besendorf rät außerdem zu Kompartmentalisierung. „Das bedeutet Abschottung und meint, dass man versucht, verschiedene Bereiche zu trennen. Arbeit und Privatleben zum Beispiel.“ Wenn dann eine der Sphären kompromittiert wird, trifft es nicht direkt auch die anderen.
Man könne dafür jeweils unterschiedliche Geräte nutzen, „aber es gibt auch Möglichkeiten, das mit Software auf einem Gerät zu trennen, dann hat man nicht so einen großen finanziellen Aufwand. Für sehr sensible Recherchen würde ich allerdings tatsächlich empfehlen, neue Geräte anzuschaffen und auf besonders sichere Software zu setzen. Dann müsste der Staat erstmal herausfinden, wie man da kommuniziert und was ein digitaler Zugriffsweg auf diesen Rechner wäre.“
Alexander Paul von der Beratungsstelle resist.berlin empfiehlt ebenfalls Kompartmentalisierung. „Für zum Beispiel Aktivistisches, wo man Gefahr läuft, mit dem Gesetz zu kollidieren, hat man am besten ein zweites Handy oder zwei Profile auf dem Telefon. Mit einem eigenen VPN und einem eigenen Signal-Account pro Profil.“
Wer wissen will, welches Programm was wohin funkt, könnte seinen Internetverkehr mit verschiedenen Programmen beobachten, so Janik Besendorf von Reporter ohne Grenzen. „Das kann spannend sein, um moderne Betriebssysteme und die Applikationen, die darauf sind, ein bisschen zu verstehen. Und wie viel Tracking denn eigentlich so passiert.“ Aber um einen Staatstrojaner zu finden, „da muss man schon wirklich geübt im IT-Sicherheitsbereich sein“.
Wie man einen Staatstrojaner entfernt
Einen Staatstrojaner loswerden, sei übrigens ziemlich einfach, sagt Besendorf. Während sich früher die Spionageprogramme noch so tief ins System einnisteten, dass sie sich selbst bei einer Systemneuinstallation gleich wieder mitinstallierten, reiche es heute oft schon, das Handy neu zu starten.
„Das ist jetzt aber gar nicht so hilfreich, wie man vielleicht denkt, denn ein Staatstrojaner, der einen Angriffsvektor genutzt hat, bei dem man nicht auf einen Link klicken muss, infiziert Geräte halt einfach zehn, zwanzig Mal. Es ist ja trivial für den Angreifer festzustellen: Oh, ich hab keinen Zugriff mehr auf das Gerät. Ich infizier’s jetzt einfach nochmal. Denn die Sicherheitslücken, die diese Firmen nutzen, die sind ja nicht bekannt.“
Die Kamera abzukleben, wie es viele Menschen seit den ersten Enthüllungen über Pegasus tun, weil der Trojaner die Kamera fernsteuern kann, sei durchaus sinnvoll, sagt Besendorf. „Aber wenn du einen Staatstrojaner auf dem Telefon hast, ist die Kamera vielleicht nicht dein größtes Problem“, sagt er. Der Staatstrojaner könne ja trotzdem alle aktuellen und alten Nachrichten lesen, alle Fotos sehen, alle aufgerufenen Webseiten „und sogar in deinem Namen mit anderen Menschen kommunizieren“, sagt Besendorf.
Mehr Tipps zur digitalen Selbstverteidigung gibt es hier.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.