Upgrade: Domain- und E-Mail Security

Seit den Veröffentlichungen von Snowden und damit den Bloßstellungen des amerikanischen Geheimdienstes NSA, des britischen Geheimdienstes GCHQ und insbesondere der kriminellen Deutschen Bundesregierung, die aus taktischen Gründen schonmal das Volk anlügt, stellt sich die Frage, ob nicht das Maximum an Verschlüsselung für jeden Menschen ratsam geworden ist, und zwar für jede Kommunikation.

Die Bundesregierung behauptete nicht nur, in Deutschland gelte Deutsches Recht – während sie darüber schwieg, dass die Überwachungsinteressen der US-Dienste schon seit mindestens 1949 in Deutschem Recht enthalten sind, sondern belog die Deutschen auch vorsätzlich, indem sie behauptete, es gebe Verhandlungen für ein sogenanntes No-Spy Abkommen (Volksbetrug, laut Regierungssprecher angeblich aus „taktischen Gründen“).

Um die Machenschaften der Deutschen Behörden etwas durchsichtiger zu machen, begannen E-Mail und Telekommunikationsanbieter, am ausführlichsten das Unternehmen Posteo e.K., später aber auch die Deutsche Telekom, damit, Transparenzberichte zu veröffentlichen. Hier wird sichtbar, dass sich selbst die auskunftsersuchenden Behörden und Polizeistellen nicht an geltendes Recht halten, obwohl diese doch eigentlich für die Einhaltung desselben sorgen sollten. Diejenigen, die die eigenen Regeln stets wie ein Heiligtum vergöttern, halten sich selbst nicht dran. Sie fragen regelmäßig nach Daten, für die sie gar kein Auskunftsrecht haben, übermitteln ihre Anfragen unverschlüsselt und manchmal sogar von ihren pivaten E-Mail-Adressen aus. Als zwei Polizisten Posteo drohten, weil sie keine Auskunft erhielten und Posteo die Polizisten anzeigte; wurde die Ermittlung eingestellt und mit einem Strafbefehl gegen den Inhaber von Posteo beantwortet. Ist geltendes Recht also nur ein Vorwand für die krummen Machenschaften der Behörden? Gibt es „Recht“ also nur, um die Masse im Zaun zu halten und den Gleicheren – wie globale Konzerne – das Feld zu überlassen?

Dies muss ich aus eigener Erfahrung leider mit Ja beantworten. Dieser Blog liefert bereits Dutzende Beweise für diese Annahme. Es ist noch schlimmer: Fordert man auch von staatlicher Seite die Einhaltung von Gesetzen ein und spielt man nicht mehr mit, wenn dies nicht geschieht, wird man verfolgt und belangt, so kreativ wie es nur gerade geht. Für Einzelheiten ist in diesem Artikel kein Platz; diese ließen aber sicher jeden neutralen Leser ins Staunen kommen. Der Staat versucht, natürlich unter dem Deckmantel allerlei anwendbarer oder nicht anwendbarer, zutreffender oder völlig unzutreffender Gesetze, so viel wie möglich Profit aus einem Menschen zu schlagen wie es möglich ist. Die Methoden sind ihm dabei zunehmend egal; nur Waterboarding wird von der BRD-Regierung (noch?) nicht angewandt.

Psychiatrien gab es immerhin auch vor dem populär gewordenen Beispiel Gustl Mollath schon lange, Zwangsmedikamentierung von Andersdenkenden ebenso. Selbstverständlich leugnet der Staat dies vehement, wieder unter Berufung auf seine Gutdenkmensch-Mentalität, Paragraphen und Gesetze. Es seien alles nur Einzelfälle, die Hintergründe tatsächlich anders gelagert, usw. usw. Jedes Eingeständnis, besonders wenn der Betroffene auch noch Blogger ist, würde ja auch sein geniales Geschäftsmodell in Gefahr bringen. Dieses erkennt man vornehmlich an zwei Merkmalen: Zum einen sucht sich der Staat seine „Kunden“ (Ziele) immer selbst, quasi als Beschäftigungs-, Beschaffungs- bzw. Auftragsgewinnung und zum anderen versucht er dann, diesen Kunden die Kosten in Rechnung zu stellen. Notfalls provoziert er einfach seine Zielpersonen so lange, bis diese einen Fehler begehen oder freiwillig für irgendeinen Verwaltungsvorgang zahlen. Gerechtfertigt wird das dann mit Terrorismusbekämpfung (kommt ja allen zugute), der Sicherstellung der öffentlichen Ordnung (ob sie jemals bedroht war, kann natürlich nicht mehr nachgewiesen werden), usw. Später wundern sich Politiker dann, wenn das „System BRD“ immer mehr Feinde bekommt. Dass diese selbstgemacht sind, hat man ja z. B. beim NSU-Trio gesehen. Mitarbeitern der neuen Behörde Zitis kann man nur zur Kenntnis geben, dass diese für eine kriminelle Organisation arbeiten, was natürlich bei Wiederherstellung von Recht strafbar sein könnte – auch rückwirkend.

Aber zurück zur Verschlüsselung: Bisher galt immer noch das Argument, dass Verschlüsselung kein Tool ist, das von jedermann verstanden werden könne. Zu aufwändig, kein Hintergrundwissen, schlecht in Webmail zu implementieren. Aber sind diese Argumente noch zeitgemäß?

Insbesondere seitdem es E-Mail- und Webhosting-Anbieter gibt, die DANE unterstützen, braucht man sich als Anwender keine Gedanken mehr über die sichere Weitergabe der Nachrichten von Server zu Server zu machen – man muss nur zu einem Anbieter gehen, der diese Technik auch unterstützt, und das sind 2016 immer noch sehr wenige. Nur dann wird sich dies auch weiter verbreiten, bis auch ignorante und mittlerweile wirklich rückständige Mail- und Hosting-Provider wie Strato, domainfactory, Hosteurope und Co. gezwungen werden, DANE zu implementieren.

Darüber hinaus sollte man sich überlegen, ob man einen Anbieter mit Webmail-Funktionalität benötigt, und wie dieser gewährleisten kann, dass auf seinen Servern gespeicherte Daten wirklich sicher vor fremdem Zugriff sind. Wer wirklich konsequent vorgeht, entscheidet sich dagegen und nutzt ein E-Mail-Programm zum Abruf und Versand von Mails in Zusammenspiel mit OpenPGP zur Verschlüsselung. Als Kompromiss aus Webmailer und Sicherheit kann man Mailvelope verwenden.

Doch was passiert, wenn der Laptop geklaut wird? Dann haben Unbefugte tatsächlich Zuriff. Für diesem Fall sollten Sie Ihre Festplatte bzw. SSD vollständig verschlüsselt haben. Sobald das Gerät ausgestellt wird, kommt niemand mehr an die gespeicherten E-Mails und sonstigen Daten.

Zusammenfassung – Ein Überblick über alle Schutzmöglichkeiten:

Absicherung von E-Mail Kommunikation

  • Verschlüsselung des Inhalts mit PGP (OpenPGP/GnuPG, Enigmail, Mailvelope) oder SMIME*
  • Absicherung der Übertragung zum Mailserver, Abruf und Versand mit StartTLS, TLS/SSL
  • Absicherung des Transportwegs mit DANE/TLSA

(*Alternativ: Zugriff auf den Webmailer mit SSL/HSTS)

Absicherung von Webseiten

  • TLS/SSL-Zertifikat, mindestens von Let’s encrypt (keine Haftung)
  • Eine Vergleichsliste von Zertifikatanbietern finden Sie z. B. bei Netzsieger

Absicherung des lokalen Speichers

  • Verschlüsselung der eigenen Fesplatte/SSD mit TrueCrypt, VeraCrypt o. ä.
  • Zugriffsschutz auf das Benutzerkonto, z. B. durch starkes Passwort oder Zwei-Faktor-Authentifizierung (der zweite Faktor kann auch ein Smartphone mit WLAN oder Bluetooth sein)

Eine Einarbeitung und Beratung kostet Sie vermutlich 2 Stunden, bis zur Praxistauglichkeit vielleicht einige Tage. In Zeiten eines außer Kontrolle geratenen Staats, Ermittlungsbehörden, die bei Willkür nicht belangt werden können (fehlende Staatshaftung, keine direkt Verantwortlichen), agressiven Behörden und unkontrollierbaren Geheimdiensten sollte dieser Aufwand aber jedem Unternehmen etwas wert sein.

Meine Leistung beinhaltet keine vorgefertigten Sicherheitslösungen von bekannten Security-Anbietern. Stattdessen höre ich zu, bespreche mit Ihnen Möglichkeiten und deren Vor- und Nachteile und finde mit Ihnen gemeinsam eine praxistaugliche Lösung mit Einsatz von Open Source Anwendungen, übernehme die Durchführung und stehe Ihnen auch noch Jahre später mit Rat und Tat, bei Erweiterungen oder Problemen zur Verfügung. Über Ihre Nachricht über das Kontaktformular freue ich mich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.