Kategorien
Blog

Mail verschlüsseln: Hier ist mein Key

tl;dr: Seine E-Mail nicht zu verschlüsseln, ist grob fahrlässig, schon ganz ohne Prism. Hier ist mein GPG Public Key.

keys

GPG nutze ich schon lange. Vor Jahren habe ich meine Kollegen auf der Cebit damit genervt, doch bitte den Heise-Stand aufzusuchen, um sich Keys erzeugen zu lassen, um einen Keyserver aufzusetzen. Wirklich durchgesetzt hat es sich nie: GPG habe ich immer nur eingesetzt, wenn es um den Austausch vertraulicher Information ging, und selbst da selten durchgängig, weil die wenigsten meiner Gesprächspartner ihre Mails verschlüsseln, was gerade auch im geschäftlichen Verkehr erschreckend naiv erscheint. Das ist reine Bequemlichkeit, denn wenn es erstmal funktioniert, dann auch unproblematisch.

Dabei brauchen wir gar nicht die ganz große Kanone „Prism“ aufzufahren. Gerade auch im geschäftlichen Bereich reicht es, dass ein Mitarbeiter der beteiligten Firmen mit Zugriff auf die Mailserver Daten abfischt – zu welchem Zweck auch immer. Unverschlüsselte E-Mails gleichen immer schon einer Postkarte. Jeder, dessen Weg sie zufällig kreuzt, kann einen Blick drauf werfen. Auf Twitter schrieb ich gerade, nicht zu verschlüsseln sei damit vergleichbar, seine Haustür nicht abzuschließen, und bekam eine Reihe seltsamer Antworten. Dass es darum ginge, in einer Welt leben zu können, in der man seine Haustür nicht abzuschließen brauche. Dass immer noch diejenigen die Verbrecher seien, die einbrechen, und nicht diejenigen, bei denen eingebrochen wird. Ja bestreitet das denn jemand? Einer hat meinen Tweet sogar mit der Aussage verglichen, dass Frauen an Vergewaltigungen selbst schuld seien, wenn sie zu leicht bekleidet sind. Ja geht’s noch?

Es geht beim Verschlüsseln nicht darum, vor Prism zu resignieren (auch wenn uns wohl derzeit nicht viel anderes übrig bleibt), sondern darum, Privatsphäre in einem öffentlichen Raum zu schaffen. Dass das Internet ein öffentlicher Raum ist, scheinen viele immer noch nicht so recht begriffen zu haben. Wir hinterlassen permanent Datenspuren, die an verschiedenen Stellen zusammenlaufen und aggregiert sehr vieles über uns verraten. Daran können wir nichts ändern, es sei denn, wir verzichten auf die Segnungen des Internet. Das Internet ist jedoch eine einzige, riesige Datenkopiermaschine, eine Anti-Privatsphäre-Maschine. Das beginnt schon damit, dass wir Daten schriftlich hinterlassen, die uns später unter die Nase gerieben werden können, auch wenn wir sie auf Facebook als vermeintlich „privat“ posten. Es führt also kein Weg drum herum, sich im Internet wie in einem öffentlichen Raum zu verhalten. Ich finde es auch nicht besonders problematisch: Stichwort Post Privacy. Ich glaube immer noch, dass eine Gesellschaft, die es lernt, mit offenen Daten umzugehen, eine bessere wird, weil sie zur Toleranz gezwungen ist.

Trotzdem brauchen wir Privatsphäre. Bestimmte Dinge verraten wir eben nicht so gerne der Öffentlichkeit, und das aus ganz individuellen Gründen und Ängsten heraus. Der Postprivacy-Ansatz ist da durchaus richtig: Dass wir Angst davor haben, etwas öffentlich zu machen, ist ein Indikator für einen gesellschaftlichen Missstand, der diskutiert und behoben werden muss. Allein: Der „bessere Mensch“ erzieht sich nicht von heute auf morgen und wahrscheinlich nie. Das zeigt sich schon anhand von Daten, die man gar nicht effekt geheim halten kann, zum Beispiel Geschlecht und Hautfarbe. #Aufschrei ist nur ein Beispiel. Selbstverständlich gibt es Information, die besser vertraulich behandelt werden sollte und vor allem: Wir müssen respektieren, wenn unser Gegenüber eine Information als vertraulich ansieht, selbst wenn wir das – ganz post privacy – nicht so sehen.

Nicht jeder kann in den Dingen, die ihm oder ihr peinlich sind, immer Avantgarde sein. Das übersteigt unsere Kräfte. Aber auch Firmen, Behörden und Organisationen, die mit vertraulicher Information umgehen müssen, benötigen vertrauliche Kommunikation über das Internet: Sie operieren seit über 10 Jahren in abgetrennten und geschützten Intranets. Wer von außen rein will, benutzt einen VPN-Tunnel. In der Piratenpartei war ich sowieso gezwungen, meine Mails zu verschlüsseln, als ich mit Mitgliederdaten arbeiten musste, die in ebenso verschlüsselten Containern auf meinem Rechner liegen. Niemand wird bestreiten, dass diese Daten geschützt werden sollten.

Wir müssen uns also selber darum kümmern, im öffentlichen Raum Internet eine künstliche Privatsphäre nach unseren Bedürfnissen zu schaffen. Zum Beispiel können wir vertrauliche Mails verschlüsseln. Dann kommt die NSA zwar immer noch an die Meta-Daten („Wem habe ich wann gemailt?“), aber es geht hier auch nicht so sehr um Prism, Vorratsdatenspeicherung & Co., sondern um den Austausch privater Daten.  GPG nutze ich schon lange und es hat den Vorteil, dass sich kein Anbieter wie z.B. Microsoft  oder DE-Mail einklinken kann, wenn wir uns selber um die Verschlüsselung kümmern. Alles was du brauchst, ist Verschlüsselungssoftware und ein Private Key und einen Public Key. Mit dem öffentlichen Public Key können Leute Mails verschlüsseln, die nur du mit deinem Private Key entschlüsseln kannst. Unter Mac OS X ist es heute geradezu blödsinnig einfach, mit GPG Mail loszulegen.

Versäumt habe ich bisher, meinen Public Key zu veröffentlichen. Das sei hiermit nachgeholt. Und wer das alles für Raketentechnik hält, findet im Netz zuhauf Tutorials für sein Lieblingsbetriebssystem oder besucht eine der vielen Kryptopartys. 100%ige Sicherheit gibt es zwar nie, aber wir sollten wenigstens so emanzipiert mit dem Internet umgehen können, dass wir in der Lage sind, unsere virtuelle Haustür zu verschließen. (Der nächste Schritt wird sein, endlich Owncloud zu installieren und zu nutzen. Habe ich monatelang vor mir hergeschoben. Aus purer Faulheit.)