Konsequenzen zu ziehen fällt nicht immer leicht. Deshalb wollen wir euch ein wenig unter die Arme greifen. Alles über sichere Email-Anbieter, Passwortmanagement, Messenger und Verschlüsselung und darüber, warum das eigentlich wichtig ist.

Gleich zu Beginn: Der Klick auf diesen Artikel ist bereits der erste Schritt zur Therapie. Die eigene digitale Privatsphäre zu sichern, nachdem man jahrelang mit ihr hausieren gegangen ist, ähnelt dem Versuch, nach 40 Jahren Zigarettengenuss mit dem Rauchen aufzuhören.
Die Suchtentwöhnung hat natürlich immer ihre Hürden, doch hat man diese – im Bereich digitale Sicherheit relativ kleinen – erst einmal überwunden, lebt es sich deutlich entspannter und gesünder.
Doch genauso wie bei der Nikotinentwöhnung bedingt die Sicherung zuallererst den Willen, etwas zu verändern. Stellt sich dieser Wille ein, kann man gestärkt ans Werk gehen. Doch was genau kann man tun?
In den folgenden Texten erklären wir, welche Vorteile ein Passwortmanager hat und warum verschiedene Passwörter notwendig sind. Wir durchsuchen das deutsche Datenschutzgesetz und dröseln die Unterschiede der unüberschaubaren Masse an E-Mail-Anbietern auf.
Zusätzlich sollen innerhalb der nächsten Wochen alternative Messenger besprochen und die Frage beantwortet werden, warum man darüber überhaupt nachdenken sollte. Für diejenigen, die in der Therapie schon fortgeschritten sind, beschäftigen wir uns im Weiteren mit der Verschlüsselung von E-Mails. Vielleicht gehen wir sogar soweit und zeigen euch noch, wie ihr eure IP-Adresse, also die Adresse eures Gerätes im weltweiten Netz, verschleiern könnt, für maximale Privatsphäre.
Doch nun zur Grundlage einer jeden elektronischen Sicherheit: zum Passwort.


Warum Passwortmanager sinnvoll sind

Autor: Marcus Sümnick hat Passwortmanagement studiert – von zu Hause aus.
Welche Gemeinsamkeiten haben dein E-Mail-Account, dein Zugang bei deiner Lieblings-Social-Community und der für deinen Lieblings-Onlineshop? Richtig: Für alle diese drei Dinge hast du einen Nutzernamen und ein Passwort, mit dem du dich anmeldest. Haben sie noch etwas gemeinsam? Wenn deine Antwort jetzt „Das Passwort, dass ich für die Anmeldung verwende“ lautet, dann geht es dir wie sehr vielen anderen.
Nur ein Passwort für eine Vielzahl von Onlinezugängen zu haben, ist nichts Unübliches. Die Antworten, warum das so ist, lassen sich sehr häufig auf drei Kategorien reduzieren: Faulheit, Überforderung und Unwissenheit. Die ersten beiden Kategorien implizieren ein gewisses Problembewusstsein. Doch was ist überhaupt das Problem, das Menschen, dessen Antwort in die dritte Kategorie fällt, noch nicht erkannt haben?

Auf einmal hat es Boom gemacht.

Ein einfaches Beispiel zur Verdeutlichung: Nehmen wir an, die Passwörter sind für alle drei Dienste gleich, so reicht es schon aus, wenn ein Krimineller auch nur bei einem dieser Dienste an deine E-Mail-Adresse und dein Passwort gelangt. Sei es, weil die Webseite angegriffen und unter anderem deine E-Mailadresse und dein Passwort gestohlen wurde. Aber auch viele andere Szenarien sind denkbar und müssen nichts mit einem direktem Fehlverhalten deinerseits zu tun haben. Mit dem Passwort und der E-Mail-Adresse hat der Angreifer jetzt die Möglichkeit, auf dein E-Mail-Konto zuzugreifen. Nun kann er, ohne dass du es bemerkst, deine E-Mails lesen oder – häufig viel interessanter für Kriminelle – SPAM an Hunderte oder Tausende Menschen in deinem Namen verschicken. Aber er kann auch versuchen, sich bei anderen Diensten anzumelden, die E-Mail-Adresse und Passwort für den Log-in verlangen. Hierfür gibt es Programme, die das ganz automatisch und ohne Zutun mit einer großen Menge an geklauten Zugangsdaten ausprobieren können. Gelingt der Log-in, dann könnten die Kriminellen beispielsweise dein Facebook-Profil übernehmen, ohne dass du direkt etwas dagegen tun kannst oder es gleich mitbekommst.
Viele Onlineanbieter empfehlen darum, bei der Einrichtung eines Accounts ein neues und vorher noch nicht genutztes Passwort zu verwenden. Das Passwort soll Zahlen, Buchstaben – große und kleine – und Sonderzeichen enthalten. Geburtsdaten, deinen Namen oder etwas ähnliches sind nicht erlaubt. In manchen Fällen sollst du das Passwort dann möglichst noch regelmäßig ändern und es ja nirgends aufschreiben. Wenn doch, dann bist du schuld, wenn etwas passiert!
Dass auf diesen Aufwand die wenigsten Menschen Lust haben oder ihn gar leisten können, ist nachvollziehbar. Aber was kannst du nun tun, damit im Fall eines Diebstahls deiner Zugangsdaten von einem Dienst die Kriminellen mit diesen keinen großen Schaden anrichten können? Und wie verhinderst du, dass dein gesamtes Gehirn von Nutzernamen-Passwort-Kombinationen verstopft wird und kein Platz mehr für die eigentlich wichtigen Dinge im Leben bleibt?

Ein Passwort, gemacht, um alle anderen zu schützen

Eine gute und in den letzten Jahren immer weiter verbreitete Möglichkeit sind Passwort-Manager. Das sind Programme, welche die Aufgabe eines Zettels übernehmen, auf den man früher die Zugangsdaten schrieb und den man unter der Tastatur versteckte – obwohl man es nicht durfte. Doch Passwortmanager können mehr als nur einen elektronischen Zettel bieten. Sie speichern die Zugangsdaten verschlüsselt auf der Festplatte, so dass sie nur von dir genutzt werden können. Sie helfen dir auch bei der Suche der richtigen Zugangsdaten, wenn du dich bei einem Dienst anmelden möchtest. Wenn du einen Passwortmanager verwendest, brauchst du dir nur noch ein einziges Passwort merken: das, mit dem der Passwortmanager alle deine Zugangsdaten sicher verschlüsselt.
Den Passwortmanager installierst du auf deinem Computer. Bei der Installation klinkt er sich als Plug-in in deinen Browser ein. So kannst du dich später ganz unkompliziert und ohne Abtippen oder Kopieren der Zugangsdaten bei der Website deiner Wahl anmelden.
Viele Passwortmanager verfügen auch über eine Mobile-App für dein Smartphone. Das ist besonders dann hilfreich, wenn du dich zum Beispiel an einem anderen als deinem Computer zu Hause oder deinem Laptop bei deinem E-Mail-Anbieter oder deiner Lieblings-Social-Community anmelden möchtest. Auch hier brauchst du dann nur dein Passwort für den Passwortmanager eingeben und schon hast du Zugriff auf all deine Zugangsdaten und kannst dich mit diesen anmelden. Auf dein Telefon kommen die Daten dabei sicher und verschlüsselt über das Internet, jedes Mal, wenn du neue Anmeldedaten hinzufügst oder änderst. Dabei helfen zum Beispiel Dienste wie Dropbox.

Darf’s ein bisschen mehr sein?

Wenn du dich für einen Passwortmanager entscheidest, gilt es natürlich, alle Accounts in diesen einzupflegen und für jeden Account ein neues Passwort zu vergeben. Der Gewinn an Sicherheit für diese Fleißarbeit lohnt sich. Danach hat jeder deiner Accounts ein eigenes Passwort. So kann sich ein Dieb selbst dann, wenn er deine Zugangsdaten für Dienst A geklaut hat, nicht bei Dienst B anmelden.

password_strength

Bei der Vergabe des neuen Passwortes lohnt es sich, ein paar einfache Regeln zu beachten, damit du dich später nicht ärgerst. Der obige Comic [1] erklärt ganz anschaulich, warum es genügt, sich ein Passwort zu überlegen, das aus vier nicht im Zusammenhang stehenden Worten besteht, die mit einem Leerzeichen getrennt werden. Gegenüber einer kryptischen Zeichenkette mit Zahlen, Sonderzeichen, groß- und kleingeschriebenen Zeichen hat dies außerdem den Vorteil, dass sie sich dann einmal leichter per Hand eintippen lassen, wenn nicht die Möglichkeit besteht, sie aus dem Passwortmanager per Copy-and-paste zu kopieren. Vier Worte durch ein Leerzeichen getrennt lassen sich viel einfacher tippen als ae$j3”_ds$lol!123SDS1. Für die Unkreativen gibt es hier [2] einen Dienst, der euch zufällige Passworte in dem Schema des Comics erzeugt. Sollte die Verwendung eines solchen Passwortes bei eurem Anbieter jedoch einmal nicht möglich sein, so könnt ihr euch jederzeit eines überlegen, welches genau seine Anforderungen erfüllt.
Der Lohn für die Arbeit ist zweigeteilt: Ihr werdet eure Passworte nie mehr vergessen, da ihr sie euch gar nicht erst merken müsst. Und selbst wenn euch einmal die Zugangsdaten von einem Onlinedienst abhanden kommen, dann sind alle eure anderen Zugänge immer noch sicher.
Persönlich nutze ich 1password [3] und kann dies auch weiterempfehlen. Das Programm ist für viele Betriebssysteme erhältlich und sein Geld wert! Hier [4] findet ihr eine Review zu dem Programm. Als Student bekommt ihr hier [5] noch einen Rabatt von 10 Dollar auf die Desktop-App!

[1] http://xkcd.com/936/ (CC-BY-NC Randall Munroe)
[2] http://preshing.com/20110811/xkcd-password-generator/
[3] https://agilebits.com/onepassword
[4] http://www.aptgetupdate.de/2013/10/22/review-1password-4-fuer-os-x/
[5] https://agilebits.com/store/educational


Sind E-Mail-Anbieter nicht alle gleich?

Autor: Fritz Beise bezahlt gerne einen Euro für ein Viagra-freies Leben.
Die meisten, die sich vor zehn Jahren ein E-Mail-Konto eingerichtet haben, sind sicherlich bei Yahoo, GMX oder Web.de gelandet. Das waren und sind immer noch die größten Anbieter in Deutschland. Doch seit dem Aufkommen von Google‘s Android-System auf nahezu sämtlichen gängigen Smartphones, das iPhone einmal ausgenommen, mussten die Nutzer sich zusätzlich ein Google-Konto anschaffen. Viele haben der Einfachheit halber gleich ihr altes Konto vernachlässigt und sind komplett über die gmail.com- oder googlemail.com-Adressen zu erreichen.
Nun könnte man denken, es wäre schlichtweg egal, welchen Anbieter man gewählt hat. Doch schaut man einmal hinter die Kulissen von Yahoo, Google oder den deutschen Firmen hinter GMX und Web.de, offenbaren sich gewaltige Unterschiede.
Worauf achtest du, wenn du die Wahl zwischen mehreren möglichen Konten hast? Darauf, dass sie kostenlos sind? Auf den angebotenen Speicherplatz? Auf die (angebliche) Sicherheit? Yahoo bietet gleich einen ganzen Terabyte Speicher, wobei GMX mit nur 15 Gigabyte aufwartet. Doch spielt das für den Otto Normalverbraucher, der nur zehn E-Mails im Monat verschickt, die meistens Urlaubsfotos enthalten, eine Rolle? Die Anhänge werden sowieso von den meisten auf der heimischen Festplatte gespeichert und könnten dann getrost mitsamt der E-Mail gelöscht werden.

DE-Mail-Verbund

Yahoo, auch wenn es viel Platz bietet, fiele für mich aber aus einem ganz anderen Grund aus meiner engeren Auswahl:
Seit den Veröffentlichungen durch Edward Snowden werben GMX und Web.de mit sicheren, verschlüsselten E-Mails Made in Germany. Mit anderen Worten: Der Server, über den die E-Mails verteilt werden, steht in Deutschland und unterliegt damit dem deutschen Datenschutzrecht. Yahoo und vor allem Google dagegen interessieren sich wenig für letzteres, sondern vielmehr für die dadurch geschützten Daten, mit denen Geld verdient werden kann und die durch den Patriot Act den amerikanischen Sicherheitsbehörden einfach zur Verfügung stehen.

Datenschutz: Made in Germany

Das Verbotsprinzip mit Erlaubnisvorbehalt ist Grundsatz des deutschen Datenschutzgesetzes. Was hier – typisch juristisch – kompliziert ausgedrückt wird, bedeutet nichts anderes, als dass der Umgang mit personenbezogenen Daten grundsätzlich verboten ist, es sei denn, die jeweiligen Personen geben ihr Einverständnis, beispielsweise durch das Akzeptieren der Allgemeinen Geschäftsbedingungen (AGB), die aber bekanntlich niemand liest. Außerdem kann durch ein weiteres Gesetz der Umgang mit bestimmten Daten in einem bestimmten Rahmen erlaubt sein.
Zusätzlich ruft das Datenschutzgesetz zur allgemeinen möglichen Datenvermeidung/‑sparsamkeit auf und weist auf Anonymisierungsmaßnahmen hin. Dieser Punkt wurde jedoch sehr schwammig formuliert, was die strikte Einhaltung und deren Überprüfung erschwert.
Das deutsche Datenschutzgesetz gilt für personenbezogene Daten, die von Unternehmen verarbeitet werden, deren Sitz oder Niederlassung innerhalb Deutschlands liegt. Ein Unternehmen mit Sitz in Großbritannien kann für sämtliche Daten, die in Deutschland von ihm verarbeitet werden, ohne hier eine Niederlassung zu haben, das britische Recht anwenden.

Willst du also auf eine Verarbeitung deiner persönlichen Daten (E-Mail-Adresse, IP-Adresse, Name, Adresse, Telefonnummer, Sexualleben, politische Meinung, religiöse Überzeugung oder ethnische Herkunft etc.) nach einem wie auch immer gearteten Recht, das nicht dem deutschen entspricht, verzichten, solltest du einen weiten Bogen um Yahoo, Google und alle weiteren Anbieter, deren Sitze nicht in Deutschland liegen, machen. Bleiben also noch GMX, Web.de und ähnliche. Der DE-Mail-Verbund wirbt mit verschlüsselter Übertragung, aber inwiefern die Daten auf den Servern verschlüsselt sind, wird nicht explizit verdeutlicht. Das heißt, es kann nicht sicher ausgeschlossen werden, dass Mitarbeiter dennoch deine E-Mails lesen können.
Wie zuvor erwähnt, bietet man dort zwar die Verschlüsselung durch das SSL-Protokoll an, dass auch aktiv ist, wenn du Online-Banking nutzt oder dich bei PayPal einloggst, doch gibt es einen Grund, warum diese Angebote kostenlos sind. Und das ist die Werbung. Beide deutschen Unternehmen, wie auch alle anderen dieser Sorte, haben Verträge mit einer Vielzahl von Werbepartnern, die dein angemeldetes E-Mail-Konto mit Werbemails überschütten werden. Und sind es nicht die E-Mails selbst, dann schalten GMX oder Web.de innerhalb einer Zeile deines Posteingangs Werbebanner, die einer E-Mail ähnlich sind. Ist das nicht unheimlich nervig? Komischerweise sind die Werbeartikel meist auf dein Surfverhalten angepasst. Das liegt daran, dass du bei der Anmeldung mit deiner E-Mail-Adresse z. B. bei einer Modekette nicht nur deren Newsletter abonnierst, sondern über die akzeptierten AGBs auch meist das Recht erteilt hast, deine Nutzungsdaten an Dritte weiterleiten zu können. Dann bekommst du also auch E-Mails mit Werbung von anderen Modeketten, die zum Unternehmen gehören oder von Gewinnspielen, in denen du angeblich schon etwas gewonnen hast, obwohl du noch gar nicht mitgemacht hast.

Werbefrei und Spaß dabei

Für dich ist das Postfach also kostenlos, damit GMX oder Web.de einen Haufen Geld mit Anzeigen, die du wahrscheinlich gar nicht sehen willst, verdienen. Gibt es denn Alternativen, die SSL-verschlüsselt, auch auf dem Server, und werbefrei arbeiten? Die gibt es.
Meist sind diese Anbieter kleine Start-up-Unternehmen, die zusätzlich ihre Server auch noch mit Ökostrom betreiben, also nicht nur Sicherheit, sondern auch Umweltfreundlichkeit bieten.
Da wären beispielsweise Posteo.de, Mailbox.org, aikQ.de oder SO36.net. So gut wie alle sitzen in Berlin. Bis auf SO36 sind sich auch alle in ihrem Angebot sehr ähnlich. Für einen Euro pro Monat bekommt man ein werbefreies Postfach mit mindestens 2 GB Speicherplatz, der erweiterbar ist, mit Ökostrom-betriebenen Servern, einem Kalender, einer Art persönlicher Online-Festplatte, Finanzierung über GLS- oder Umweltbank sowie einstellbarer Verschlüsselung, die über SSL deutlich hinausgehen kann (darauf wird in einem späteren Text genauer eingegangen).
Der Sonderfall SO36 geht im Grunde noch einen Schritt weiter. Hierbei handelt es sich um einen etwas exklusiveren Club, der auf einem Verein aus Kreuzberg beruht und aus der Hausbesetzerszene hervorgegangen ist. Der E-Mail-Zugang, werbefrei und verschlüsselt, ist hier kostenlos. Knackpunkt: Man erwartet eine E-Mail-Bewerbung von dir. Dabei muss die E-Mail aber per PGP verschlüsselt sein  eine end-to-end-Verschlüsselung. Den PGP-Schlüssel, den der Empfänger braucht, um die Nachricht zu lesen, muss man SO36 auf anderem Wege zukommen lassen.
Wer also seine E-Mails SSL-verschlüsselt und nach deutschem Datenschutzrecht verschicken und empfangen möchte, fährt mit GMX, Web.de, T-online und vielen weiteren schon recht gut, wobei die Verschlüsselung auf den Servern nicht klar ist. Wer zusätzlich noch seine Ruhe haben will und nicht von Einsamen-ukrainischen-Frauen, Viagra- oder Personen-die-dies-kauften-kauften-auch-jenes-E-Mails belästigt werden möchte, nimmt einen Euro oder einen PGP-Schlüssel in die Hand und wechselt den Anbieter.

Kontowechsel bleibt Kontowechsel

Beim Wechsel des E-Mail-Anbieters empfiehlt es sich, Gleiches zu tun, als wechselte man sein Bankkonto. Lass dein altes E-Mail-Postfach aktiv und schau regelmäßig rein, bei wem du deine neue Adresse angeben solltest. Gleichzeitig ist so ein Wechsel eine wunderbare Gelegenheit, allgemein etwas aufzuräumen, was die zahlreichen Anmeldungen in Foren, Communities etc. anbelangt, die schon lange zurückliegen und wohl nie wieder gebraucht werden.
Zur Übertragung der gespeicherten E-Mails ist es ratsam, der Einfachheit halber ein E-Mail-Programm zu nutzen. Die gängigsten sind hier wohl Outlook oder Mozilla Thunderbird. Habt ihr sowohl das alte als auch das neue Postfach dort eingeloggt, könnt ihr die gespeicherten E-Mails einfach per Drag-and-drop von einem Postfach ins andere ziehen. Vergesst bei der Einrichtung der Konten in Thunderbird oder Outlook nicht, die SSL-Verschlüsselung der E-Mails und des Passwortes auszuwählen. Es erklärt sich von selbst, wozu die unverschlüsselte Übertragung des Passwortes, das ihr dem Programm zur Verfügung stellen müsst, damit es mit dem E-Mail-Server kommunizieren kann, führen würde (siehe Text zum Passwortmanagement).


In Zukunft erscheinen hier noch weitere Hinweise zu Messenger-Alternativen und der speziellen Verschlüsselung von E-Mails, beispielsweise durch PGP. Zusätzlich überlegen wir noch, die Verschleierung von IP-Adressen aufzunehmen: Stichwort TOR-Netzwerk.