Author Archives: kita

Sichere Kommunikation, welche App nehmen?

sticker_a7_free_software_version2“Wem Daten wichtig sind, der muss sie verschlüsseln und darf nicht auf den eigenen Nationalstaat hoffen.” (Hans-Peter Uhl, CSU)

Verschlüsselung schützt unsere Daten. Sie schützt unsere Daten, wenn sie auf unserem Computer gespeichert sind und wenn sie durch das Internet geschickt werden. Sie schützt unsere Gespräche, egal ob es Video-, Sprach- oder Textnachrichten sind. Sie schützt unsere Privatsphäre und sie schützt unsere Anonymität. Manchmal sogar unsere Leben.

Dieser Schutz ist wichtig für uns alle. Es ist klar, dass Verschlüsselung Journalist*innen, Menschenrechtler*innen und politische Aktivist*innen beschützt. Aber sie schützt zugleich uns alle. Sie schützt unsere Daten vor Kriminellen und vor Konkurrent*innen, Nachbar*innen und Familienmitgliedern. Sie schützt unsere Daten vor böswilligen Angreifer*innen. Auch schützt sie uns vor dem einen oder anderen Malheur. [Quelle: https://netzpolitik.org/2015/bruce-schneier-warum-wir-verschluesseln/]

Deswegen wollen wir euch hier vier verschiedene Messenger vorstellen, welche ihr verwenden könnt um eure alltägliche Kommunikation zu verschlüsseln. Die Vorlage hierfür hat der BAK Netzpolitik auf seiner Homepage veröffentlicht .

In puncto Funktionalität geben sich alle vier Messenger nicht viel, abgesehen davon, dass Signal zusätzlich die Verschlüsselung von SMS und Telefonaten ermöglicht und es dem Nutzenden nicht erlaubt, Screenshots von Konversationen zu machen. Dies ist ein Feature, welches die anderen beiden Messenger nicht unterstützen.

Ihr könnt mit allen vier Messengern verschlüsselt Nachrichten austauschen, Bilder und Videos versenden und Sprachnachrichten versenden. Ganz Grundsätzlich raten wir davon ab, Software von kommerzielen Anbietern zu nutzen, die keine offenen Protokolle verwenden. Dies liegt daran, dass geschlossene Ökosysteme in sozialen medien zu Monopolartigen Situationen führen die viele Probleme aufweisen, wie das jemand eher nicht den Anbieter wechselt, wenn er*sie seinen Kontaktkreis in diesem Netzwerk hat. Ausführliche Infos zur funktion geschlossener Systeme, wie WhatsApp, twitter und Facebook findet ihr hier: http://mosaik-blog.at/macht-und-monopole-der-sozialen-massenmedien/

Verschlüsselte Messenger

Signal:

Gibt es seit Mai 2010 und wird von führenden Crypto-Spezialisten empfohlen – unter anderem ist auch Edward Snowden ein Fan. Entwickelt wird es von der non-profit Organisation OpenWhisperSystems, die sich über Spenden finanziert und alle Produkte als OpenSourceSoftware veröffentlicht. Runterladen könnt ihr Signal für Android und IOS hier: https://whispersystems.org/blog/signal/

Vorteile: Ende-zu-Ende Verschlüsselung, OpenSource (Es ist überprüfbar, dass nicht absichtlich Sicherheitslücken in das Programm eingebaut wurden), kostenlos, Perfect Forward Secrecy (Bei Verlust des Schlüssels können nur wenige Nachrichten entschlüsselt werden.), Abstreitbarkeit (Niemand kann beweisen, welche Nachrichten ihr wirklich verschickt habt)

Fazit: Unsere Empfehlung!

Tox:

Bietet seit 2013 komplett Ende-zu-Ende verschlüsselten Audio/Video Chat (mit Gruppenchat), inklusive der Möglichkeit auch Dateien zu übertragen. Dazu muss man nur einen Tox-Client auf seinem Computer installieren, emfehlenswert ist qTox, da der Client bisher am meisten features implementiert hat. Tox ist komplett Open-Source und frei verfügbar. Tox kann man für sehr viele Plattformen (Linux, Windows, Mac, Android, IOS, etc.) hier runterladen: https://tox.chat/

Um Leute  zum Chatten haben, müssen die nur auch ein Tox client haben, dann kann  man IDs austauschen und den anderen hinzufügen. Einziger Nachteil:  Offline Chat geht (noch) nicht. Der große Vorteil an Tox ist, dass bei diesem Protokoll auch die allermeisten Metadaten versteckt werden, womit eine Analyse von Netzwerken (wer mit wem in verbindung steht und wie oft) um einiges schwieriger ist.

Threema:

Gibt es seit 2012 und wird von der, in der Schweiz ansässigen, Threema GmbH entwickelt und produziert, siehe: https://threema.ch/de/

Threema ist auch ein Ende-zu-Ende verschlüsselter Instant-Messenger, welcher allerdings ein wenig anderes Verschlüsselungsverfahren nutzt. Threema nutzt ein Verfahren namens Elliptic Curve Cryptography und generiert Schlüssel, welche mit 3072-Bit RSA-Schlüsseln vergleichbar sind. Threema ermöglicht euch eine sichere Kommunikation über einen Instant-Messenger, allerdings könnt ihr keine verschlüsselten SMS versenden oder verschlüsselte Telefonate führen. Außerdem sind die Kosten für Threema einmalig 1,99€ bis 2,49€. Threema ist der einzige der drei Messenger, welcher keine Open Source-Lösung ist. Somit ist bei Threema leider auch nicht die genaue Funktionsweise der Verschlüsselung bekannt.

Fazit: Kann leider nicht empfohlen werden, da ein Kaufpreis für viele Menschen nicht in Frage kommt und Sie keine Kreditkarte bei Google oder Apple hinterlegen wollen. Zudem hat es etliche weitere Nachteile gegenüber Signal wie der fehlende offene Quellcode und die nicht vorhandene Perfect Forward Secrecy und Abstreitbarkeit.

Telegram:

Gibt es seit 2013 und wird von der Telegram Messenger LLP entwickelt. Telegram gehört zum russischen Facebook-Equivalent, was an dieser Stelle vielleicht erwähnt werden sollte. Ihr findet Telegram hier: https://telegram.org/

Auch bei Telegram kann eine Ende-zu-Ende-Verschlüsselung genutzt werden, diese muss allerdings erst vom Nutzenden, also euch, aktiviert werden. Erst dann wird eine symmetrische AES-256 und eine RSA-2048 Verschlüsselung genutzt.

Vorteil hier: Bei Telegram lassen sich zeitlich begrenzte Nachrichten einstellen, welche sich nach einer gewissen Zeit selbst vernichten.

Ist diese Funktion allerdings nicht aktiviert, sind eure Nachrichten für den Hersteller der App unverschlüsselt und dieser kann darauf zugreifen. Somit wäre die App auch anfällig für sog. Man-in-the-middle-Attacken mit denen eure Nachrichten abgefangen und ausgespäht werden könnten. Außerdem ist hier die Frage, ob ihr euer Vertrauen in das größte russische Soziale-Netzwerk stecken möchtet und diesem eure sensiblen Daten anvertraut.

Telegram als Messenger ist mit allen seinen Funktionen auch kostenlos verfügbar und zumindest die App ist eine OpenSource-Lösung.

Fazit:

Aufgrund der Tatsache, dass Signal eine bewährte und zeitgemäße Verschlüsselung besitzt, kostenlos und Open-Source ist hat der BAK Netzpolitik sich dafür entschieden, diesen Messenger klar zu empfehlen, wo wir uns anschliesen wollen.

Hier noch ein paar Links, welche a) Quellen sind und b) für euch noch einmal eine genauere Übersicht über die Funktionalität und die Bewertung der Sicherheit der einzelnen Messenger geben.

[1] http://praxistipps.chip.de/telegram-vs-threema-vergleich-der-messenger_29076
[2] https://de.wikipedia.org/wiki/Telegram_Messenger
[3] https://de.wikipedia.org/wiki/Threema
[4] https://de.wikipedia.org/wiki/Signal_(Software)
[5] http://www.heise.de/security/meldung/Edward-Snowdens-Messenger-TextSecure-und-RedPhone-sind-jetzt-Signal-2868645.html
[6] https://www.eff.org/secure-messaging-scorecard

EU verabschiedet Regeln für Netzneutralität

[SCM]actwin,0,0,0,0;

Wie aus einer Pressemitteilung der Europäischen Kommission hervorgeht, hat das EU Parlament heute ein Gesetz verabschiedet, welches Regeln für Netzneutralität einführt und Roaming-Gebühren (ab 2017) innerhalb der EU abschafft. Dabei wurden aber wichtige Lücken gelassen welche eine teilweise Bevorzugung gewisser Dienste ermöglichen.

Worum geht es?

Seid zwei Jahren debattiert die EU nun schon über Regeln für Internet Service Providers (ISPs wie z. B. die Telekom, Vodafone, O2, etc.). Dabei geht es vor allem um die Fragen welche Daten wie schnell übertragen werden (Datenvolumen) und wie viel Geld der Zugriff auf das Internet im EU-Ausland kostet.

Überteuerte Internetgebühren im Ausland sind gerade heute, wo nahezu jeder ein Smartphone hat, schon lange ein Ärgernis. Gerade vor dem Hintergrund des gemeinsamen Wirtschaftsraumes innerhalb der EU sind die Kosten für ISPs innerhalb der EU nicht höher, weswegen eine höhere Belastung der Nutzenden nicht zu rechtfertigen war und ist.

Datenvolumen im Internet selbst konnten bisher nicht von ISPs für gewisse Dienste beschränkt werden. Das heißt, ein Unternehmen kann sich nicht bei ein ISP einkaufen, damit seine Dienste schnellere Verbindungen bekommen, um somit als der zuverlässigere Anbieter dazustehen (ein prominentes Beispiel ist Netflix, welches genau das in der USA gemacht hat). Dadurch können große Unternehmen keinen Vorteil vor kleinen und/oder neuen Firmen erringen. Für die Nutzer*innen bedeutet dies gleichzeitig, dass die Verbindung zu allem, was im Internet zu finden ist, immer gleich schlecht (oder gut) ist und sie sicher sein können, dass der Datenstrom nicht absichtlich reduziert wird.

Für die ISPs sind beide Überlegungen ungünstig, weswegen sie kein gesetzliches Verbot haben wollten. Zum einen sind Roaming-Gebühren ein lukratives Geschäft aber auch die Möglichkeit die Geschwindigkeit von Diensten zu beschränken wäre für sie von Vorteil. Dann könnten generell Dienste eingeschränkt werden und nur gegen entsprechende Gebühren würde man schnellere Dienste bekommen. Für ISPs hat dies zwei Vorteile: Sie machen mehr Gewinn und müssen die bestehende Infrastruktur nicht oder weniger ausbauen, um gute Verbindungen zu ermöglichen.

Was genau wurde geregelt?

Das Parlament hat zwei wichtige Sachen beschlossen:

  1. Bis Juni 2017 werden alle Roaming-Gebühren abgeschafft. Per Gesetz müssen damit alle ISPs bis 2017 ihre Roaming-Gebühren abschaffen, womit der Preis für Datentransfer innerhalb der gesamten EU genauso hoch sein soll wie bisher im eigenen Land. 2017 wurde vereinbart, um einen schrittweisen Übergang bis dahin zu ermöglichen. Dafür werden Roaming-Gebühren ab April 2016 schon stark zurückgehen und dann bis 2017 komplett abgelöst werden, durch den normalen Preis für SMS und Internet.
  2. Ab sofort gilt im Allgemeinen die Netzneutralität (mit ein paar Einschränkungen, siehe unten). Dieser Beschluss besteht aus zwei wichtigen Komponenten:
    1. Zugang zum Internet darf von niemanden blockiert oder gedrosselt werden. Alle Nutzer*innen müssen auf das offene Internet zugreifen können. Damit fallen auch Beschränkungen für den Zugriff auf Dienste wie Skype auf mobilen Geräten weg, unabhängig davon, welchen Vertrag man hat.
    2. Jedes Datenpaket wird gleichbehandelt. D. h. es gibt keine Bevorzugung je nach Absender/Empfänger. Die einzige Ausnahme bilden technisch bedingte Beschränkungen (wie ein höheres Datenvolumen als von der Infrastruktur getragen werden kann), welche aber auch unabhängig von Absender/Empfänger der Daten durchgeführt werden müssen.

[Quelle: http://europa.eu/rapid/press-release_MEMO-15-5275_en.htm]

Vermeidbare Lücken im Gesetz

Die beschlosData_backup_and_transfer_12703030sene Formulierungen lassen jedoch leider zwei Lücken, welche zu Missbrauch führen können. Beides hätte verhindert werden können, da entsprechende Änderungsanträge vorlagen und der Beschluss des Gesetzes sich dadurch nur um sechs Wochen verzögert hätte. Leider hat sich das Parlament entschieden voranzupreschen, ohne diese Änderungen einzubauen.

Hier ist zum einen das sogenannte “zero-rating” aufzuführen. Darunter versteht man, wenn ISPs Datenvolumen für gewisse Applikationen nicht abrechnen. Statt über schnellere Verbindungen den Wettbewerb um das beste Angebot zu umgehen, setzt diese Praxis bei monatlichen Maximalvolumen an. Dadurch, das gewisse Dienste (Oft vom ISP selber oder von Dritten, welche sich beim ISP eingekauft haben) nicht mitgezählt werden beim monatlichen Datenverbrauch sind diese viel attraktiver, womit wieder ein Zweiklassensystem entsteht, welches ein paar wenige bevorzugt.

Die andere Lücke bilden die technisch bedingten Beschränkungen. ISPs können einzelne Dienstarten, z.B. Videochat (wie Skype) drosseln. Damit soll eigentlich ermöglicht werden notwendige technische Regulierung durchzuführen, um eine Überlastung des gesamten Netzes zu verhindern. Dennoch kann diese Praxis auch wettbewerbsverzerrend eingesetzt werden, indem ein ISP z.B. während er selber ein Streamingdienst vorbereitet alle anderen Dienste drosselt. Die frustrierten Nutzer*innen werden dann eher den neuen Dienst ausprobieren. Hier ist in der beschlossenen Formulierung der Fall ab wann ISPs eingreifen dürfen nicht klar genug definiert.

Das beschlossene Gesetz ist ein viel zu kleiner und längst überfälliger Schritt in die richtige Richtung weg von einer rein kapitalistisch organisierten Infrastruktur für das Internet. Die Regulierungen durch die Europäische Union schaffen endlich ein Paar der verbindlichen Regeln für die EU-Länder, die wir brauchen, um die einzelnen Nutzer*innen im Internet zu schützen. Gleichzeitig kann der Einfluss großer Konzerne auf die Infrastruktur und die Auswahl an Diensten im Internet in diesem Rahmen eingeschränkt werden. Das bedeutet, dass auch kleine Firmen, aber insbesondere auch kollaborative Initiativen (z. B. open-source Anbieter) eine bessere Chance haben, sich gegen den Einfluss von großen Technologiekonzernen durchzusetzen. Das Gesetz ist aber leider auch nicht das Ende der Debatte: Es müssen einige Schlupflöcher noch gestopft werden, die nationale Umsetzung muss hier besonders kritisch beobachtet werden und es gilt sich nun für stärkere Regeln einzusetzen!

Weitere Argumente für Netzneutralität findet ihr auch in diesem Video.