StartseitePlazeboalarm

PRISM, Tempora, Snowden: Sollen (Wissenschafts)journalisten ihre E-Mails verschlüsseln? (Nachtrag 14.7.)

Von / 9. Juli 2013 / 24 Kommentare
Mehr
PRISM LogoDie Informationen des Whistleblowers Edward Snowden haben die Republik einerseits aufgewühlt, andererseits scheinen sie einen breiten Teil der (Netz-)Bevölkerung nicht weiter zu tangieren, ganz nach dem Motto: „Was juckt mich das, ich habe nichts zu verbergen.“ (siehe dazu aber auch den Bericht von Michael Blume drüben bei den Scilogs: Sollten sich “anständige Bürger” wegen der Überwachung sorgen? – Ein Erfahrungsbericht aus den Schattenkriegen).
Ich muss gestehen, dass ich in diesem Punkt bisher ein wenig passiv und auch ahnungslos war/bin, vielleicht kann man es auch ein wenig träge und naiv nennen. Soll ich ab sofort meine E-Mails verschlüsseln? Warum hat Apple noch keine einfache Lösung dafür entwickelt? Soll ich ins Darknet (klingt unheimlich) ausweichen?  Man könnte indes auch aus bequemem, wenn durchaus berechtigtem Trotz erwidern: „Verdammte Hacke, wie soll ich jetzt was machen? Die Geheimdienste greifen illegalerweise in meine Privatsphäre ein! Also sollen die gefälligst …”.
Wissenschaftsjournalisten kommunizieren relativ häufig über den Teich mit amerikanischen und englischen Wissenschaftlern, sind vielfältig auch in  Social Media unterwegs, nutzen Skype für Interviews und zum chatten oder Twitter und Facebook für die Recherche. Sollte das jetzt alles irgendwie anders werden?

Nachgefragt bei überregionalen Wissenschaftsressorts

Als eine Art Übersprungshandlung wollte ich einfach mal wissen, was andere machen. Also habe ich in zehn Wissenschaftsredaktionen überregionaler Medien nachgefragt (eher aus Interesse, weniger mit der Absicht, das zu veröffentlichen, daher nenne ich keine Namen oder Redaktionen), ob – und wenn ja – wie sie auf die (vermeintlich neue) Situation reagieren. Wird das in den Redaktionen diskutiert? Werden künftig alle E-Mails verschlüsselt? Oder ist alles gar nicht so schlimm und man macht weiter wie bisher?
Das Ergebnis meiner Spontan-Umfrage: Auf zehn Anfragen habe ich vier Antworten bekommen, wovon eine Redakteurin mir mitteilte, dass sie keine Auskunft geben dürfe/könne, außer dem Hinweis:

„Das ist nicht meine Baustelle, aber es gibt zumindest eine interne Diskussion, ob man Dinge stärker verschlüsseln sollte etc.“

Die drei anderen Antworten kann man etwa so zusammenfassen: Nein, wir sehen keine Probleme, wir werden nichts ändern, alles bleibt so wie es war.
Ein Redaktionsleiter schrieb mir:
„(…) wenn jemand das zum Anlass nimmt, urplötzlich zu der Erkenntnis zu kommen, dass E-Mail kein sicheres Kommunikationsverfahren ist, geschweige denn soziale Netze, dann ist er ernsthaft zu naiv für diesen Job.
Im redaktionellen Alltag gibt es letztlich nur eine Kontaktform, aus der tatsächliche Risiken erwachsen, der Kontakt mit Informanten, die ihrerseits ins Risiko gehen. Auch solche nutzen erstaunlich leichtfertig offene Kanäle zum Erstkontakt, was erstaunlich ist. Dann mag das Kind schon im Brunnen sein, und man muss es rasch durch einen Kanalwechsel wieder herausziehen. (…) Ansonsten sehe ich im Wissenschaftsjournalismus wenig Notwendigkeit für konspirative Methoden.“
Ein weiterer Ressortleiter meinte:
„Natürlich ändern wir nichts. Der Aufwand, um ernsthaft sicher zu gehen, wäre für ein normales Unternehmen gar nicht zu stemmen. (…) Wer hätte ein Interesse daran, Wissenschaftsjournalisten auszuhorchen? Leute wie Woo Suk Hwang? Oder andere Fälscher? Klimaskeptiker? Lasst mal die Kirche beim Dorf.“
Und schließlich die dritte Antwort, nachdem der Redakteur erklärt , dass er persönlich nichts ändere, weil es eigentlich nichts Neues gebe (“Mich jedenfalls überraschen diese Enthüllungen nicht wirklich.“):

“Die anderen sehen es genauso, und offiziell gab es von unserem Haus oder unseren Systemadministratoren auch keinerlei aktualisierte Leitlinien im Umgang mit E-Mail oder Internet.”

Die Antworten decken sich mit dem, was Burkhard Schröder drüben auf Telepolis.de in Erfahrungen gebracht hat (“Verschlüsselung – nein danke!”). Er schreibt:

“Eine kurze Umfrage in deutschen Redaktionen, welche Konsequenzen man aus PRISM, Tempora und anderen Spähprogrammen zu ziehen gedenke und ob man jetzt auch verschlüsselte E-Mails schreiben könne, ergibt einen befremdlichen Befund: Die wenigen Antworten, die man überhaupt bekommt, strotzen vor Unkenntnis oder – gelinde gesagt – vor Ignoranz. Die Zahl deutscher Redaktionen, die etwas ändern wollen, kann man an einer Hand abzählen. Alle anderen machen so weiter wie bisher.”

Er findet das alles weit bedenklicher – oder einfach nur übertrieben vorsichtig? Einerseits denke ich mir: Stimmt schon, was ein Kollege meinte: Was sollte das Tagesgeschäft eines Wissenschaftsjournalisten die Geheimdienste interessieren? Andererseits: Wenn es dann wirklich mal konspirativI/investigativ werden sollte (wonach es bei mir wirklich nicht aussieht), wäre es schon besser, mit solchen Techniken vertraut zu sein, oder? Oder sind Wissenschaftsjournalisten einfach eine Spezies, die sich in dem Zusammenhang einfach keine Gedanken machen müssen, anders als etwa politische Journalisten? (denke ich eigentlich nicht)

Fragen über Fragen.

Nachtrag 14.7.:

Von einer der überregionalen Tageszeitungen höre ich, dass die zuständigen Techniker Anfragen von Redakteuren bekamen, ob und wie man den verschlüsseln könne. Es gab dann in diesem Fall den Verweis auf S/Mime (eine andere Verschlüsselungstechnologie als PGP). Zeigt zumindest, dass über das Thema diskutiert wird.

Und weil ich ja gezielt Wissenschaftsressorts angefragt hatte, hier noch ein Lese- und ein Hörtipp mit einem der prominentesten Wissenschaftsjournalisten:

Ranga Yogeshwar im Gespräch mit Dietmar Dath (FAZ): Rechnen Sie damit, lebenslang ein Verdächtiger zu sein

Ranga Yogeshwar im Gespräch mit Frank Schirrmacher (WDR 5): Das Spiel des Lebens

———————————————————————

Hier noch ein paar Artikel, die vielleicht hilfreich sind:

Dennis Horn (WDR): “Ich habe ja nichts zu verbergen!”

Nina Pauer (ZEIT Online): “Die Unfähigkeit zu wüten

Nina Diercks (Social Media Recht Blog): “Verschlüsselt doch einfach die Emails! Oder: Das Recht auf informationelle Selbstbestimmung in Zeiten von #PRISM und #TEMPORA

Nicolas Fennen (Netzpolitik.org): “Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

Jürgen Schönstein (scienceblogs.de): “Unsere Gesellschaft braucht starke Verschlüsselungsinstrumente

Opalkatze (… Kaffee bei mir?): “Constanze Kurz über Journalisten und Verschlüsselung

Burkhard Schröder (German Privacy Fund): “E-Mails verschlüsseln leicht gemacht

Mehr

Kommentare (24)

  1. #1 Erbloggtes
    9. Juli 2013

    Wenn man aus arbeitspraktischen Gründen keine Möglichkeit hat, etwas zu ändern, dann ist die Position, dass es ja nichts Neues gebe (was Änderungsbedarf provoziere) reiner psychologischer Selbstschutz.
    Ebenso verhält es sich mit dem Verweis auf die eigene Bedeutungslosigkeit (“Wer hätte ein Interesse daran, Wissenschaftsjournalisten auszuhorchen?”).

  2. #2 Shogun
    9. Juli 2013

    Zwei Dinge blieben bei den bisherigen Betrachtungen unbeachtet: 1. interessiert die Geheimdienste nicht nur der Terrorismus, sondern es wird auch stillschweigend hingenommen, dass Wirtschaftsspionage betrieben wird und 2. kann mit den Massendaten ein “Grundrauschen” statistisch ermittelt werden, bei denen die, die ganz genau rauschen und die, die auffällig abweichen verdächtig sind. Dabei ist der Berufszweig vollkommen egal.

    Ich denke, das ist ein sehr gefährliches Werzeug in den Händen von Staaten, denen die Rechte ausländische (und mittlerweile wohl auch inländischer) Bürger ziemlich egal sind.

  3. #3 Alexander Stirn
    9. Juli 2013

    Pragmatische Antwort: Journalisten sollten sich damit auskennen und bei Bedarf Verschlüsselung nutzen können. Wer will, findet meinen öffentlichen PGP-Schlüssel, und kann mir dann eine verschlüsselte Mail zukommen lassen. Für die alltägliche Kommunikation ist es meines Erachtens aber übertrieben und mit den derzeitigen Softwarelösungen nicht praktikabel (oder denkt jemand jetzt auch daran, Telefongespräche mit den USA über verschlüsselte Leitungen zu führen oder für Recherchegespräche mit irgendeinem Forscher in abhörsichere Bunker zu gehen?).

    Für Leute, die investigativ arbeiten (was ich nicht tue), bietet E-Mail-Verschlüsselung allein in meinen Augen sogar eine Scheinsicherheit: Wer solche Mails anschließend unverschlüsselt speichert, wer seine Festplatten nicht verschlüsselt und sperrt, wer schriftliche Unterlagen nicht an einem sicheren Ort verstaut, bringt seine Informanten in Gefahr – auch, oder gerade mit E-Mail-Verschlüsselung.

  4. #4 threepoints...
    9. Juli 2013

    Wichtige Informationen werden doch hoffentlich sowieso wieder auf Papier, handgeschrieben und undigitalisiert um die Welt getragen? Dauerts eben was länger…

    Wissenschaftsbetrieb, also konkreter Forschungsstand und dessen Kommunikation kann da schon viel interessanter sein. Der Journalismus da wohl eher nicht, denn normalerweise ist das, womit die arbeiten, so öffentlich wie sonst wenig.

    Und es gibt keine sicheren Verschlüsselungsmethoden. Die Sicherheit, die solche Software bietet, gilt dem Deppen von nebenan.
    Das wird auch für den so hoch gelobten Quantencomputer und dessen Quantenverschlüsselung gültig sein. Ist immer nur eine Frage des Aufandes (und somit des Geldes).

  5. #5 znEp
    twitter.com/znep82
    9. Juli 2013

    Ist doch eigentlich einfach zu beantworten, die Frage:
    Würde ich das jetzt in der analogen Welt auch als Postkarte verschicken, in die jeder reingucken kann?
    Dann unverschlüsselt.
    Ansonsten pgp drüber.
    @threepoints
    Grade wenn es um Geheimdienste geht die Zugriff auf die Postzentren haben ist Totholz-Kommunikation auch nur dann sicherer wenn nicht ausgerechnet du oder dein Gesprächspartner gezielt überwacht wird, ansonsten wird der Brief einfach nur kopiert und fertig.
    MfG
    zneEp

  6. #6 threepoints...
    9. Juli 2013

    @ znEp

    Man muß eben alles selbst machen. Dienstleister sind grundsätzlich Sicherheitslücken. neulich ein urlaubsbedingter Ratgeber im Fernsehen: “Lassen sie ihr Gepäck niemals aus den Augen.”

    Das Papier eben auch selbst zum Zielort bringen. Anders habe ich es auch nicht gemeint.
    Und wie ich das Abhören meiner Worte verhindere, müsste man sich eben auch mal Gedanken machen (so das im Speziellen nötig sei).

    Das mit dem gezielten Überwachen ist ja auch so eine unscharfe Sache. Mailverkehr kann theoretisch einfahcst total durch Algorythmen geschickt werden und entsprechende Ergebnisse daraus erzeugt. Kostet kaum Geld, kostet kaum Aufwand, und auch keine Zeit. Eine Mail hat eine Datengröße von ein Paar kb. Das ist die Grundsituation.

    Texteingaben in Kommentarmasken (Foren, Blogs…usw.) sind auch keine Datenmenge, dessen Umgang irgend Probleme macht. Und die Prüfung kann sogar in Echtzeit geschehen.

  7. #7 Hanno
    Berlin
    9. Juli 2013

    Also mein Gefühl: Als Journalist kann man immer in die Situation kommen, dass man mal einen Informanten hat, der einem sensible Informationen gibt. Wenn das nicht so ist, ist man kein besonders guter Journalist :-)

    Und grad im Wissenschaftsbereich fällt mir da genug ein, wo man seine Informanten schützen muss. Knebelverträge mit Industriepartnern, Wissenschaftsbetrug, der unter den Tisch gekehrt werden soll oder das allseits beliebte Thema Plagiate.

    Insofern: Ich denke es wäre sicher kein Fehler, wenn mehr Journalisten in der Lage wären, eine verschlüsselte E-Mail zu empfangen.

    (Ich sag das aber zugegebenermaßen aus der priviligierten Situation, dass ich, bevor ich Journalist wurde, Informatik studiert habe und mich schon lange für Kryptografie interessiere. Eine verschlüsselte E-Mail war für mich schon lange bevor ich journalistische Texte geschrieben habe normal.)

  8. #8 Marcus Anhaeuser
    9. Juli 2013

    Nur mal so als Ergänzung: Dass man alsWissenschaftsjournalist glaubt, nicht verschlüsseln zu müssen, bedeutet ja nicht, dass man die Praxis der Totalspeicherung gut heißt.

  9. #9 Kai
    10. Juli 2013

    Es geht doch nicht darum, dass es hier besonders wichtige oder gar sensible Daten gebe, die unbedingt verschlüsselt gehören, weil sonst eine Gefahr entstünde. Das Problem ist doch viel mehr, dass die Geheimdienste offenbar pauschal alles mitlesen, bewerten und mindestens die Metadaten der Kommunikation speichern. Das heißt, dass auch die “harmlosen” Nachrichten einen Zweck haben: Sie definieren das “normale” Grundrauschen und erlauben somit eine Abweichung zu erkennen. Würde hingegen das Verschlüsseln auch von belanglosen Nachrichten die Norm, hätte das Mitschneiden verschlüsselter Nachrichten schlicht keinen Sinn mehr. Diese können nämlich nicht entschlüsselt werden und erhöhen den Aufwand enorm.

    Darüber hinaus wäre es hilfreich, wenn endlich ein Bewusstsein dafür geschaffen würde, dass _wir_ selber für unsere digitale Mündigkeit verantwortlich sind und nicht auf einen Staat warte, der das für uns regelt. Deshalb sollte es der Normalfall sein, dass wir verschlüsseln und den Umgang damit endlich lernen.

    Und genau deswegen sollte auch noch so Banales verschlüsselt werden.

  10. #10 threepoints...
    10. Juli 2013

    @ Kai

    Die konsequenteste Lösung wäre es. Einfach alles veschlüsseln – fertig.

  11. #11 Marcus Anhäuser
    10. Juli 2013

    aber ist das auch praktikabel im hektischen und schnellen Redaktionsalltag (mal ganz doof gefragt)?

  12. #12 znEp
    10. Juli 2013

    @threepoints
    Klar muss mensch was selber machen, ich muss ja schließlich auch die Mail selbst schreiben ;)
    Sich die Nachrichten persönlich bringen funktioniert zwar, ist aber nur sehr beschränkt einsetzbar – Außerdem fallen selbst da mittlerweile ‘Metadaten’ an(Stichwort: cctv https://en.wikipedia.org/wiki/Closed-circuit_television).
    Texte und Kommentare würd ich nochmal anders sehen, weil ich da ja will dass es öffentlich ist im Gegensatz zu meinen Briefen.
    @Marcus
    Das ist eigentlich sehr praktikabel. Ich weiß nicht wie es bei Outlook aussieht, aber bei Thunderbird sag ich ihm einmal das er alle Mails signieren soll(was denn Vorteil hat, das die Leute neugierig werden was dieser komische Zahlenblock unter der Mail zu suchen hat :) ) und dann kann ich zu jedem Kontakt angeben ob er die Nachricht standardmäßig verschlüsseln soll, so das ich beim versenden einfach mein Passwort eintippe und mich danach um nix mehr kümmern muss.

  13. #13 Björn Schwentker
    Hamburg
    10. Juli 2013

    Marcus, schön, dass Du nachgefragt hast, sehr interessant!

    Ich kann beisteuern, dass ich für einen Radiobeitrag zum Thema selbst PGP installiert und zu nutzen versucht habe (Thunderbird mit Enigmail, das nutzt OpenPGP). Ich glaube, PGP wäre DIE Verschlüsselungsoption, weil es nicht zu knacken ist und frei erhältlich für alle. Meine Erfahrung: PGP zu nutzen ist zwar machbar, wenn man sich reingefuchst hat, aber nicht sooo einfach.

    Das Grundproblem bei der alltäglichen Kommunikation ist, dass man den (öffentlichen) PGP-Schlüssel dessen braucht, dem man schreiben will. Man muss sich also nicht nur die E-Mail_Adresse im Adressbuch speichern, sondern auch diese Schlüssel. Und man muss den Schlüssel des anderen erstmal besorgen und sicher sein, dass er wirklich dem Adressaten gehört.

    Umständlich ist das alles aber nur, weil es kein Standard ist. Im Prinzip ist Mailen an sich auch nicht einfacher als PGP-Mailen (Frag mal die älteren Non-Digital-Natives…). Wir haben uns nur dran gewöhnt, es ist quasi eine Kulturtechnik. Und es wäre toll, wenn PGP-Mailen das auch würde. Dazu müssten einheitliche Standards her und jedes Mailprogramm müsste PGP per se anbieten.

    Mich wundert ehrlich gesagt ein bisschen, dass über Verschlüsselung nur angesichts Tempora/Prism geredet wird. Es wäre selbst dann noch sinnvoll, wenn der Staat gar nicht mitlesen würde. Denn jeder andere als der gewollten Empfänger kann eine PGP-Mail ebenfalls nicht lesen, etwa der Arbeitgeber/das Sekretariat eines Whistleblowers o.ä…

    Dass Journalisten so wenig Bedarf haben, Informationen zu schützen, liegt leider daran, dass vieles nicht schützenswert ist. Investigativ sind eben nur die wenigsten unterwegs. Dig deeper!

  14. #14 Karsten
    10. Juli 2013

    Na ja, zum Glück gibt es ja nochn paar andere Baustellen, sagen wir mal: unsere eigenen PRISMs.

    https://netzpolitik.org/2013/indect-totaluberwachung-fur-europa/

    Das wird ein Spaß,…

    @znEp:
    Microsoft-Programme sind nicht vertrauenswürdig.
    https://www.wnd.com/2013/06/nsa-has-total-access-via-microsoft-windows/

    Mal davon abgesehen, dass man kaum beurteilen kann welches Programm vertrauenswürdig wäre (Stichwort TrueCrypt), ist es wohl am besten und einfachsten, wenn man sich selbst ein Verschlüsselungstool programmiert oder von einem vertrauenswürdigen Progger programmieren lässt.
    Zumindest, wenn man sichergehen will oder muss.

    Im Zweifelsfall reicht dazu ein Parser und die gute alte “Buch-Ausgabe-Seite-Zeile-Wortnummer”-Methode.

    Das setzt natürlich vorraus, dass man die Grundlage (also das Buch) nach Möglichkeit selbst geschrieben hat, denn öffentlich zugängliche Quellen im Dutzend(*10^9) abzugrasen ist für heutige Rechnerverbünde nicht so das Problem.
    Im Zweifel kann man da auch eine Verschiebung zwischensetzen, so dass noch ein Hindernis hinzu kommt.
    Am besten ist es wohl, wenn man dadurch mehrere plausible Wortkombinationen erzeugt oder darauf achtet, dass die korrekten Wörter nicht in der richtigen Reihenfolge und in den falschen Fällen dekliniert bzw konjugiert sind.
    Für den Rechner, der aus vielen Möglichkeiten eine auswählen soll ist evtl. die grammatikalisch Richtige bevorzugt. Aber das ist Spekulation ;)

    Das ist natürlich für den täglichen Einsatz ungeeignet, wenn man das von Hand auswerten muss. Muss man aber darauf zurückgreifen sollte man wohl opensource-Lösungen mit einer aktiven und großen Community wählen, bei dem genug Leute über den Code geguckt haben um Unsicherheitsstellen zu entdecken…ich bin mal so naiv und halte das für eine gute Idee ;)

    Sichergehen kann man aber wohl nur per Geheimtinte auf einem Liebesbrief per Post *g*

  15. #15 Alexander Stirn
    10. Juli 2013

    Dass es prinzipiell wünschenswert wäre, wenn jeder seine E-Mails verschlüsselt, steht außer Frage. Marcus hat aber nach der Praxistauglichkeit im redaktionellen Einsatz gefragt, und da sieht es (derzeit) leider nicht so toll aus.Nur ein paar Beispiele (die sich sicherlich mit mehr oder weniger Aufwand lösen ließen, wenn man wollte/müsste):

    – Das Beschaffen und vor allem Überprüfen der öffentlichen Schlüssel der Empfänger ist derzeit noch nicht trivial. Es fehlt z. B. eine einfache und kostenlose Zertifizierungsstelle.
    – Gerade im Alltag werden oftmals schnell Mails an mehrere Empfänger geschickt. Da brauche ich von allen den öffentlichen Schlüssel, sonst geht das nicht.
    – Enigmail mit Thunderbird funktioniert ganz gut, schaut man sich aber mal die typische Software-Infrastruktur in Redaktionen an, wird es schon schwerer: Günstige und gute Lösungen für Outlook sind noch schwer zu finden, Android ist auch nicht so einfach, Lotus Notes bietet Verschlüsselung zwar serienmäßig, geht aber (wie üblich) seinen eigenen Weg.
    – Mails die verschlüsselt gesendet oder empfangen werden, können zunächst mal nicht wie gewohnt im Mailarchiv als Volltext durchsucht werden.
    – Und Verschlüsselung allein schützt erstmal keine Informanten, weil die E-Mails nicht anonym sind. Da braucht es weitere Schritte (z.B. Tor), die ebenfalls in die redaktionelle Infrastruktur eingebunden werden müssen.

    Wie gesagt, das wären alles keine unlösbaren Probleme, und man kann sich natürlich fragen, ob Journalisten bei diesem klassischen Henne-Ei-Problem (keine guten Angebote -> keine Nachfrage -> keine guten Angebote) nicht den ersten Schritt gehen sollten. Aber um Marcus’ Frage aus #11 zu beantworten: Nein, noch nicht.

  16. #16 Sven Türpe
    11. Juli 2013

    Es gibt keine Verschlüsselung, die gleichzeitig geheimdienstfest und alltagstauglich wäre. Ein Problem ist, dass man sich vor Beginn der verschlüsselten Kommunikation auf Schlüsse verständigen muss, und zwar mit dem gewünschten Kommunikationspartner und nicht mit dem Gegner. Ein weiteres Problem ist unter der Bezeichnung Rubber Host Cryptanalysis bekannt: eine peinliche Befragung bricht die Vertraulichkeit eines Schlüssels. Ein drittes Problem stellt sich, sobald der eigene Staat eines Kommunikationspartners zu den Gegnern gehört. Staaten, und ganz besonders Schurkenstaaten, brauchen den Inhalt der Kommunikation nicht zu kennen. Sie können auch das Verschlüsseln bestrafen oder sogar willkürlich handeln.

    Verschlüsseln ist nicht die Lösung und verfolgt das falsche Ziel. In Wirklichkeit möchten wir unbefangen miteinander umgehen können, ohne uns zu fürchten. Eine Burka verbirgt, aber sie befreit nicht.

  17. #17 Dr. Webbaer
    11. Juli 2013

    Es wird halt (bekanntermaßen) überwacht, angeblich weil die Gesellschaftssysteme der “Diversität” fröhnen und weil eben aus bestimmter Richtung Terrorismus zu erwarten sei.
    Eine Erwartung, die der der Schreiber dieser Zeilen teilt.

    Es muss nicht gut sein die Einwanderung bestimmter Kräfte zu erlauben oder zu perpetuieren, die in ihren Wertemengen diametral zum Vorgefundenen stehen.
    Auch die Gewaltanwendung als Gottesdienst üben.

    MFG
    Dr. W (kein Doitscher, primär nur beobachtend, auch nicht primär d-sprachig)

  19. #19 Stefan W.
    https://demystifikation.wordpress.com
    13. Juli 2013

    @Sven Türpe: Sosehr ich dem Abschlussstatement zustimmen möchte, wonach ein Zustand, in dem Vertrauen gerechtfertigt ist, wünschenswert ist, sosehr widerspreche ich dem ersten Absatz.

    Ob die USA in der Lage sind GPG-Mails zu entschlüsseln, wenn es um das iranische Atomprogramm geht, und es egal ist wenn da soundsoviele Prozessoren sich tagelang heißrechnen – bei der Entschlüsselung ist es meisst möglich durch brute force Attacken weiterzukommen oder durch Eskalation der eingesetzten Werkzeuge.

    Aber diese Attacken skalieren nicht.

    Wenn es um eine brisante oder extrem teure Angelegenheit geht, dann sind tagelange Warte- bzw. Arbeitszeiten hinnehmbar, und werden Kosten aufgewendet. Aber man läßt kein Rechenzentrum Strom für 10000 € verjubeln um einen Schlüssel zu finden, mit dem man auf einem Konto 4000 € erbeuten kann.

    Wenn von Millionen Leuten 10 ihre Mails verschlüsseln, dann finde ich erstens schon niemanden, der meine Mails entschlüsseln kann, wenn es für mich drauf ankommt, und ein Geheimdienst kann leichter versuchen alle verschlüsselten Mails zu knacken. Wenn von Millionen Leuten Hunderttausend die Mails verschlüsseln, dann kann er es nicht, weil es zu teuer ist und zu lange dauert.

    Beim Einzelfall ist es auch – um auf die Eskalation der Methode zu kommen – möglich, mit Messung der Abstrahlung oder Einbruch in die Wohnung und Basteleien an der Peripherie doch ans Geheimnis zu kommen, aber das rollt man nicht über die ganze Bundesrepublik aus.

    Das macht man mit Leuten die ernsthaft verdächtig sind, also da, wo auch im Rechtsstaat mit Abhörung zu rechnen ist – einem Paradies, das wir längst verlassen hätten, wenn wir je darin gewesen wären. Aber hier wird ja anlasslos jeder überwacht.

    Die Schafe nicken und blöken, dass Verschlüsselung ja zu schwer wäre. Ja, kann man da nur antworten, für Schafe ist das zu schwer.

  20. #20 Sven Türpe
    13. Juli 2013

    @Stefan W.:

    Du gehst davon aus, dass Dein Vertraulichkeitsproblem durch Verschlüsselung gelöst sei. Dem ist nicht so, es wurde lediglich transformiert. Dein neues Problem besteht darin, Schlüssel vertraulich zu halten und Dich beim Schlüsseltausch der Identität Deiner Kommunikationspartner zu vergewissern. Wir wissen über das erste Problem, dass das höchste erreichbare Sicherheitsniveau durch Rubber Hose Cryptanalysis definiert wird: besser als Du unter Folter wird kein Verfahren Geheimnisse bewahren können. Über das zweite Problem wissen wir, dass eine alltagstaugliche Lösung — die CA-Infrastruktur für X.509-Zertifikate, wie sie Websites und Browser für HTTPS verwenden — mehrfach erfolgreich angegriffen wurde.

    • #21 Kai
      13. Juli 2013

      Bei der Debatte geht es übrigens doch auch gar nicht darum, die perfekte Sicherheit für die totale Geheimhaltung zu finden. Es geht doch vielmehr im ersten Schritt darum, diese totale Überwachung aller Bürger unmöglich zu machen, indem möglichst viele ihre Daten so sichern, dass der Aufwand für die Überwacher enorm ansteigt.

  21. #22 Sven Türpe
    13. Juli 2013

    Ich halte es für wichtiger, dass die mögliche wie die tatsächliche Überwachung regelmäßig folgenlos bleibt. Der Rückzug ins Private ist typisch für Unterdrückte; ohne Unterdrückung ist er unnötig. Wer mag, soll selbstverständlich verschlüsseln, und manchmal — etwa gegen polizeiliche Maßnahmen mäßiger Intensität unter rechtsstaatlichen Bedingungen — ist das auch eine gute Idee. Dennoch ist der erstrebenswerte Zustand, dass mich mein Staat in Ruhe lässt, auch wenn er etwas über mich weiß.

  22. #23 Nur verschlüsselt ist sicher! | Serdargunes' Blog
    18. Juli 2013

    […] 2. PRISM, Tempora, Snowden: Sollen (Wissenschafts)journalisten ihre E-Mails verschlüsseln? (Nachtrag 1… […]

  23. #24 Saul Goodman
    Berlin
    21. August 2014

    Na ja,
    wenn PRISM und TEMPORA mal wirklich alles wären. Aber das sind ja nur Spitzen des Eisberges. Leider gibt es schon lange US Programme, die das Ziel haben die ganze Datenflut der Welt ab zu fischen. ECHELON gab es schon vor 9/11. Darum war PRISM nicht so eine große Überraschung für mich. Aber was mich überrascht hat war, dass es schon vor Snowden Wistleblower in den USA gab, die Programme aufgedeckt haben und das an mir gänzlich vorbei ging: https://teleschirm.info/150/177/prism-tempora-sind-nur-ein-kleiner-teil/