(Man nennt es Click baiting, und vielleicht fällt auch der eine oder andere Crypto-Fanboi drauf rein, aber hier geht es um Verschlüsselung, nicht um sog. „Währungen“ ohne echte Deckung. Ätsch!)
Im Rahmen meines Datenumzugs habe ich einem großen deutschen Provider für Mail & Zeugs vorgeworfen, falsche Signale zu senden. Der Hintergrund: GMX hat den „GMX Tresor“ abgekündigt, eine in das eigene Cloudangebot eingebaute Verschlüsselungslösung. Auch wenn es Aufwand bedeutet, angebotene Lösungen auch zu pflegen – ich bleibe dabei, dass es ein falsches Signal ist.
Weil ich im Folgenden aber zu doof war nicht in der Lage war, die Software, die auch in dem GMX Tresor steckte, nämlich Cryptomator, mit dem Sync-Client zwischen GMX Cloud und meinem Mac zum Laufen zu bringen, habe ich seufzend meine Daten in Umzugskisten gepackt zu einem anderen Cloudanbieter kopiert, wo sich auch Cryptomator anständig einrichten ließ. In Ruhe gelassen hat mich die Sache aber nicht, und es stellte sich heraus: Natürlich arbeitet Cryptomator auch mit GMX zusammen, auf dem Desktop und mobil, wie mit jedem anderen Anbieter, der WebDAV als Zugangsprotokoll zu seiner Cloud anbietet. Weiß der Geier, was ich beim ersten Versuch falsch gemacht habe („Der Geier weiß das?“).
Deshalb meine Empfehlung an alle, die ihre Daten verschlüsselt in der Cloud sichern/lagern wollen, Rundumsorglos(?)pakete wie Proton Drive, Filen.io oder Tresorit zu teuer finden (unter uns: die sind gar nicht teuer, aber gratis sind sie eben nicht): Guckt Euch den Cryptomator an: Made in Germany, verschlüsselt die Daten lokal und schickt nur die verschlüsselten Daten irgendwo hin, synchronisiert sich über alle mir bekannten Betriebssysteme hinweg und ist auch sonst empfehlenswert.
Für Android und iOS gibt es eine lebenslange Lizenz für (derzeit) € 14,99, die ich offenbar mal bezahlt habe, weil sie problemlos auf meinen iThings läuft. Auf dem Desktop ist Cryptomator Donationware.
Man fragt sich, nein: Ich frage mich, ob es Dummheit ist, Dreistigkeit oder schierer böser Wille, wenn Politiker allerlei Geschlechts auf allen denkbaren Ebenen immer wieder verlangen, die verschlüsselte Kommunikation ihrer Mitbürger lesen zu können (aktuelle Beispiele: Schweden, Frankreich und Großbritannien und leider auch immer wieder die von uns eigentlich zu Recht geliebte EU). Es ist inzwischen hinreichend bekannt, auch in den Kreisen derer, die sowas immer wieder fordern (laut genug haben Aktivist/innen es ihnen ja mitgeteilt), dass es eine „sichere“, nur den Guten™ zur Verfügung stehende Hintertür in verschlüsselter Kommunikation nicht gibt. Nein. Es gibt sie einfach nicht.
Wo immer eine Hintertür ist, wird sie auch von den Unguten gefunden und ausgenutzt, im Zweifelsfall viel schneller und intensiver als von den braven Strafverfolgungsbehörden. Die allgemeine Lebenserfahrung der Menschen in der Datengesellschaft (zu denen auch unsere Politicos und Politicas gehören) sagt uns: Mit genügend Grips, social engineering oder auch brutaler Rechenpower lassen sich alle Passwörter umgehen, mit denen eine solche Hintertür gesichert ist (oder auch nicht).
Die wiederholten Versuche, auch auf EU-Ebene, eine backdoor auf gesetzlichem Wege durchzudrücken, kann nur mit dem Pippi-Langstrumpf-Prinzip („Widde-wie sie mir gefällt“) in den Köpfen der Durchdrücker erklärt werden. Sie verlangen einfach, dass es eine sichere Hintertür nur für die Guten™ geben soll; herauszufinden, wie das umzusetzen ist, ist gefälligst Aufgabe der Eierköpfe, die uns diese Verschlüsselung eingebrockt haben.
Das oben verlinkte Beispiel Schweden zeigt eine mögliche Folge dieser Denk- und Handlungsweise: Signal droht mit dem Rückzug aus Schweden (OK, zur Sicherheit nochmal verlinkt). Und so gern wir uns das vorstellen: Signal tut das nicht, weil es den weißen Ritter in glänzender Rüstung spielen will; es tut es, weil es die Gefahr sieht, bei Befolgung des Gesetzes das gesamte Produkt namens „Sichere Kommunikation“ kaputtzumachen.
Was heißt das für uns alle? Klar, unseren Volksvertretern mit Briefen und Mails auf den Zeiger gehen, so etwas auf keinen Fall zuzulassen. Das hat sicher Erfolg. Weil es die Versuche, eine Hintertür durch- und dann einzudrücken, immer wieder und immer häufiger gibt, ist es aber auch an der Zeit, sich eingehender mit Verschlüsselung zu beschäftigen – über das Bewusstsein hinaus: „Mein Messenger ist verschlüsselt und damit sicher.“ Das heißt nicht, dass jede/r von uns jetzt die neuesten Verschlüsselungsalgorithmen auswendig lernen muss. Aber mehr als eine Möglichkeit, die eigenen Daten zu schützen, sollte der Mensch schon kennen und anwenden.
Denn solange Mitmenschen ihr Bankpasswort noch nach den Namen ihrer Kanarienvögel auswählen und Nazigram Telegram für einen sicheren Messenger halten, ist mir das Prinzip „Es wird schon alles gutgehen.“ einfach zu wenig.
Wie sieht es aus, wenn ich vor dem Schlafengehen noch schnell einen Screenshot eines Toots mache? Na, so:
A screenshot in the dark
Diese Frage habe ich der Mastodon-Gemeinde in Bonn und Umgebung (also auf der ganzen Welt) gestellt und drei Antworten bekommen. Eine davon möchte ich hier auszugsweise zitieren:
The joke is on moving from #WhatsApp to yet another centralized US-based server, „what could possible go wrong? History will not repeat, right? right?“
Damit macht sich adbenitez ganz dezent ein wenig lustig über meinen kleinen Erfolg, Menschen von WhatsApp, einem zentral gesteuerten Messenger im US-Besitz, genauer: im Zuckerberg-Besitz, zu Signal, einem zentral funktionierenden Messenger mit Sitz in den USA, gebracht zu haben. Verschlüsselt sind beide, sogar mit der gleichen, von Signal entwickelten Technik, aber Signal „gehört“ einer Stiftung, ist non-profit und open source und gehört damit zu den Guten™.
Aber sitzt in den USA, also, ganz vorbehaltlos festgestellt, nicht in der EU.
Dabei gibt es durchaus europäische Alternativen. Threema ist eine davon („…in der Schweiz, in der Schweiz, in der Schweiz!“), ist ebenfalls Ende-zu-Ende-verschlüsselt, ist ebenfalls open source, besteht wie Signal Überprüfungen durch unabhängige Experten und verlangt darüber hinaus bei der Registrierung – anders als Signal – nicht einmal meine Mobilfunknummer. Man ist also ein wenig anonymer. Was aber offenbar für viele ein Grund ist, nicht zu Threema zu wechseln: Einerseits habe ich sie gerade erst zu Signal gequatscht, und andererseits kostet Threema auch für Privatnutzer Geld – Schkandal! Ganze 5 Euro musste ich einmalig abdrücken! Das ist offensichtlich zu viel.
Also gut. Die andere Alternative, schon in dem Toot ganz oben angesprochen, ist Delta Chat, ein „dezentralisierter und sicherer Messenger“ mit europäischen Wurzeln. Dezentralisiert ist aus meiner Sicht ein großer Vorteil – schließlich ist ohne Zentrale kein zentraler Ausfall möglich und auch keine zentrale Blockade. Aus der Sicht vieler anderer ist das aber ein Nachteil: Wo soll der Mensch sich denn anmelden?
Wer so fragt, hat keinen Fediverse-Account (weil das ja so furchtbar kompliziert ist) und kann sich nicht daran erinnern, wie er/sie zu einem Mailaccount gekommen ist.
„Mail“ ist übrigens das Stichwort: Delta Chat sieht zwar aus wie ein Messenger, arbeitet aber unter der Haube wie ein Mailclient mit eingebauter Verschlüsselung. Und man kann den neuen, schicken Delta Chat-Account entweder bei einem von mehreren Chatservern einrichten – oder bei jedem Mailanbieter. Es ist sogar möglich, den eigenen Mailaccount zu benutzen. Der Delta-Client sortiert die Chat-Nachrichten aus dem Mailaufkommen aus, und auf dem Mailserver landen die Nachrichten in einem eigenen Ordner.
Und gerade gestern abend kam noch eine Antwort von User microbloggertom auf meinen Toot, eine Antwort, die eine Frage enthält:
Die neuen #Signal-User könnten sich fragen, wie die liebgewonnene Ende-zu-Endeverschlüsselung in #deltachat funktioniert und ob es cool ist, wenn Chatpartner ihre Mails bei #gmail hosten.
Also ehrlich gesagt: Natürlich ist es nicht besonders cool. Aber mir sind verschlüsselte Nachrichten auf GMail hundertmal lieber als die ganzen unverschlüsselten Mails, die meine lieben Freundinnen und Freunde mir von dort schicken (und meine Nachrichten dort speichern). Und was die Verschlüsselung angeht: Delta Chat umgeht das Problem, das viele (also eigentlich alle) davon abhält, ihre Mail zu verschlüsseln: Der Mensch muss eben nicht wissen, wie man das einrichtet; der Austausch von Links oder QR-Codes reicht, und die beiden beteiligten Clients machen das unter sich aus.
Eigentlich ganz einfach, oder? Jedenfalls einfacher, als die Menschheit davon zu überzeugen…
Nachtrag: Der von mir weiter oben zitierte Asiel Diaz Benitez hat ein persönliches Interesse daran, dass ich andere vom Delta Chat-Prinzip überzeuge: Er arbeitet an Delta Chat mit und ist der Entwickler von ArcaneChat, einem alternativen Messenger für Delta Chat.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
