Was hat es mit der neuen Email-Verschlüsselung p≡p auf sich?

Daten- und Informantenschutz

Die Zwei-Browser-Lösung gegen Datentracking

Daten- und Informantenschutz
Allgemein

Ich bin raus aus Facebook … bitte unterstützt diese Optionen

Facebook ist

Wenn ihr bleiben wollt … ja, es gibt ökonomische Zwänge, es gibt soziale Zwänge. Ich verstehe auch das Argument, dass man gerade auch in den „walled gardens“ aktiv sein muss. Aber wenn man Facebook eigentlich für ein gesellschaftliches Problem hält, dann sollte man doch ein bisschen dafür tun, dass die Marktmacht schwindet. Daher: Bitte installiert einen zweiten Messenger, bitte unterstützt eine zweite Social-Media-Plattform. Nur so kann es einen Wechsel zu besseren Konzept geben.

Hier sind die Tipps, die ich meinen Followern bei Facebook gegeben habe, um mit mir in Kontakt zu bleiben.

Twitter

Ich fange ganz unkreativ an mit Twitter: Weit weniger Skandale als Facebook – aber leider bei den zwei größten mit dabei: bei der US-Wahlbeeinflussung gab es ähnliche Beziehungen zu Russland inkl. Fake-Accounts und auch bei den Paradise-Papers fand man Offshore-Konstrukte von Twitter. Der entscheidende Unterschied für mich: Twitter filtert nicht (und sortiert optional auch nicht nach Relevanz um). Das ist auch für den Journalismus sehr wichtig – wir brauchen unbedingt filterfreie Systeme, weil alles andere zensuranfällig wäre. Außerdem positiv: Weniger Marktmacht, weniger peinliche Statements (z.B. Marc Zuckerberg zum Holocaust) und kein Betrug bei der DSGVO-Datenauskunft. Persönlich gefällt es mir schon lange dort: Man hat eine schöne Mischung aus privaten Bekannten, beruflicher Vernetzung (auch wegen den Hashtags) und den scharfsinnigen und unterhaltsamen Twitter-Berühmtheiten (für mich z.B. @GabrielBerlin oder @ingeborch). Wer noch nicht dabei ist: Ihr könnte es noch vor Horst Seehofer schaffen!
Ihr findet mich hier: @MatthiasEberl

Signal

Whatsapp bekommt ja bald Werbung, da könnte es selbst für die Bequemen unter euch interessant werden, zu einem der kostenlosen und werbefreien Konkurrenten zu wechseln. Zum Beispiel Signal: Der Messenger ist etabliert, funktioniert einwandfrei und ist ordentlich verbreitet. Ich kann mittlerweile mehr als die Hälfte meiner Whatsapp-Kontakte auch bei Signal anschreiben. Das war am Anfang natürlich nicht so – da musste ich einige Freunde und Kollegen erstmal überreden. Die App ist durch ein unabhängiges Audit an der Ruhr-Universität Bochum geprüft worden und liegt außerdem mit offenem Quellcode vor. Signal wird sowohl von Edward Snowden als auch vom Verschlüsselungs-Guru Bruce Schneier empfohlen, eine höhere Auszeichnung gibt es wohl kaum. Funktioniert ansonsten wie Whatsapp: Wenn ihr meine Nummer im Handy habt, seht ihr mich automatisch als Kontakt.

Wire

Wer von euch hat Wire? Der relativ unbekannte, kostenlose Messenger aus der Schweiz ist meiner Meinung nach einer der innovativsten. Zwei Higlights: Er wird vor allem in Informantenschutz-Kreisen empfohlen, weil er gegenüber Signal den entscheidenden Vorteil hat, dass man ihn optional auch ohne Telefonnummer nutzen kann. Stattdessen kann man Chatpartner auch per ID hinzufügen. Das ist ideal, wenn ihr mal in Palästina, China oder dem Iran mit Informaten sprecht und in Kontakt bleiben wollt. Selbst wenn euer Handy bei der Ausreise durchsucht wird, weiß niemand, wer sich hinter einer ID versteckt. Und zweitens bietet der Messenger spannende Optionen für Unternehmen, z.B. DSGVO-konforme, verschlüsselte Teamchats, Gruppengespräche und volle Desktop-Unterstützung – aber das ist außerhalb meines Erfahrungbereichs. Auch sonst viele Pluspunkte: Open Source, Sicherheits-Audit von dem Schweizer Sicherheitsunternehmen Kudelski, Videokonferenz mit bis zu vier Teilnehmern. Wie auch immer, ihr könnt mich auch dort anschreiben.

Threema: eher ja

Threema ist meiner Meinung nach nicht der beste Messenger, aber bietet einiges: Ein unabhängiges Audit des Quellcodes (von der Cnlab Security AG), eine Desktop-Web-Variante und das Hinzufügen von Kontakten per ID, was für manche Journalisten in sensiblen Bereich wichtig ist. Nicht so gut ist der Preis von 2,99€, der sicher eine Einstiegshürde ist. Darüber, dass Telegram nicht Open-Source ist, kann man unterschiedlicher Meinung sein. Aber besser als Whatsapp/Facebook in jedem Fall – also findet ihr mich auch bei Threema.

Telegram: eher nein

Das populäre Telegram finde ich dagegen nicht ausreichend für sichere Kommunikation, obwohl einiges gut gemacht ist. Details lieferte kürzlich eine MIT-Studie:

  1. Die Chats sind nicht standardmäßig verschlüsselt
  2. Es wird ein eigenes Cryptoprotokoll verwendet anstatt auf bewährten Code von Experten zurückzugreifen
  3. Telegram benutzt in Teilen das einfach zu knackende SHA-1
  4. Meta-Informationen können gehackt werden (z.B. Anwesenheit oder die Existenz einer laufenden Kommunikation)
  5. Firmensitz, Unternehmensform und DSGVO-Kombatibilität unklar

Deswegen: Bei mir kein Telegram!

Das „Fediverse“

Die Klassiker haben wir durch, jetzt kommen die spannenden Sachen, so halb aus der Zukunft. Heute: Das „Fediverse“. Das ist der Überbegriff für die Zusammenarbeit von mehreren offenen Social-Media-Diensten, die jetzt schon als beachtliches, föderatives Netz funktionieren (aktuell 1,4 Millionen Nutzer). Dazu gehören unter anderem Mastodon und Friendica, die ich noch vorstelle, aber auch Hubzilla, PeerTube oder der bald startende Instagram-Konkurrent PixelFed. Diese Dienste bestehen wiederum selbst aus ganz vielen Servern, bei denen man sich für einen Account anmelden kann. Die beiden involvierten Protokolle, OStatus und ActivityPub, werden bald vom W3C verwaltet (das sind die Gralshüter von HTML). Für die Nutzer bedeutet das den Ausbruch aus den „walled gardens“: Ohne Probleme kann man sich über Servergrenzen hinweg, aber eben auch über Dienste hinweg verknüpfen. Auf Mastodon liest man dann, was jemand auf seinem Hubzilla-Account gepostet hat. Und RSS geht natürlich auch – ein unglaublich flexibles Netzwerk. Ein paar einzelne Dienste stelle ich in den nächsten Tagen vor.
A quick guide to the free network

Mastodon

Mastodon ist mit 1,3 Millionen der größte Social-Media-Dienst im „Fediverse“ und fast wie Twitter: Tweets sind Toots, Retweets Boosts und Likes sind Favourites. Ich bin selbst erst seit einer Woche dabei, aber bereits voll überzeugt – der Dienst ist schick und funktional. Leider noch niemanden gefunden, den ich persönlich kenne, aber interessante Leute wie Micah Lee von The Intercept oder Vereine wie Digitalcourage. Und schon 40 unbekannte Follower :-). Die Oberfläche sieht aus wie Tweetdeck, man kann dort verschiedene Timelines parallel öffen: z.B. die Timeline des eigenen Servers, die aller Server oder z.B. spezielle User oder Hashtags. Die lokale Timeline ist ein spannender Ort, so eine Art Zwischenöfflichkeit. Entsprechend ist es natürlich gut, eine Instanz zu finden, die zu einem passt. Größere deutschsprachige Instanzen mit Ortsbezug gibt es für Berlin, München, Bonn und Münster (also die neuen Lokalisten?). Außerdem eine für Künstler im weitesten Sinn, eine für Metal-Fans, für Linke usw. und International noch viele mehr. Einen Server findet man mit dem offiziellen Suchwizard / oder diesem alternativen Suchdienst. Anmeldung ist kostenlos.
Sonst erinnert alles stark an Twitter (Zeichenbegrenzung variiert, aber normal 500). Accounts und einzelne Toots können öffentlich oder nur für Follower eingestellt werden – dadurch kann man problemlos eine Art Facebook draus machen. Durch die offenen Schnittstellen im Fediverse existieren natürlich auch eine Fülle von verschiedenen Apps, viele davon Open Source und multiaccountfähig. Als Startpunkt für Mastodon würde ich Tusky (Android: Playstore/F-Droid) und Amaroq (iOS App Store) empfehlen.
Ihr findet mich hier: https://social.tchncs.de/@rufposten

Friendica

Der letzte alternative Social-Media-Dienst, den ich euch ans Herz legen will, ist Friendica. Ein Server kann nämlich relativ leicht selbst installiert werden. Wer schonmal WordPress aus seinem Webspace installiert hat, schafft mit ein bisschen einlesen auch Friendica. Kinderleicht geht es insbesondere bei dem großartigen Hoster Uberspace mit dieser Anleitung.
Ist die Hürde genommen, steht einer kleinen Social-Media-Runde mit Freunden und Kollegen auf dem eigenen Server nichts entgegen – aber über das Fediverse habt ihr trotzdem Zugang zu anderen Kontakten, die z.B. bei Mastodon sind. Der große Vorteil von Friendica ist allerdings die direkte Fähigkeit, auch RSS-Feeds und Twitter-Feeds zu lesen. So ist mein Friendica über die Jahre zu meinem universellen Online-Feed-Reader geworden. Am Smartphone kann Friendica z.B. mit Twidere (Google Play/F-Droid) oder AndStatus bedient werden
Ihr findet mich hier: https://www.rufposten.de/friendica/profile/matthias_eberl

 

Diaspora

Noch ein kurzes Wort zu Diaspora: Der Dienst ist ganz ok, aber ich konnte dort nie Fuß fassen. Da er durch seine frühe Entwicklungsphase nicht mehr kompatibel zum Fediverse sein kann, glaube ich nicht an eine Zukunft. Wer schon bei Diaspora ist, findet mich aber auch dort:
https://joindiaspora.com/people/49eff0421d7d03ae

RSS

RSS-Feeds werden ja gerade wieder als alte Tugend neu entdeckt. Sie sind ideal für journalistische Zwecke, weil sie nicht gefiltert werden. Auch für die Nutzer ist die Idee genial: Man stellt sich eine eigene Mischung aus Nachrichten, Weblogs und Social-Media-Streams zusammen und überfliegt die Überschriften in einer App oder einem Online-Feedreader. Oder wie es Simon Hurtz in der SZ geschrieben hat: RSS ist wie selbst kochen, Facebook wie Kantine.
Die Auswahl der Feeds geht teilweise sehr präzise – beim Spiegel kann man zu fast allen Themen, Rubriken und Unterubriken Feeds abonnieren. Mit einem kleinen Umweg kann man auch Twitter-Accounts per RSS folgen. Tolle Sache für Seitenbetreiber ist außerdem das Einbetten von RSS-Streams in Websites (z.B. als Widget bei WordPress). Weil die entfernten Daten vom Webserver der Website eingeholt werden und nicht vom Browser des Nutzers, gibt’s auch keine DSGVO-Probleme.

Zum Lesen gibt im Wesentlichen drei Ansätze:
1. Installierte Feedreader sind am einfachsten. Oft können das schon bekannte Programme wie Apple Mail, Outlook oder Thunderbird. Auch zahlreiche spezialisierte Programme und Apps gibt es dazu. Um einen Feed hinzuzufügen, braucht man die URL des Feeds. Damit man die Webseite nicht nach dem RSS-Button absuchen muss, helfen manche Apps, z.B. Feeder (Android) dabei: Man gibt die Website ein und dann werden mir alle verfügbaren, eingebetteten Feeds auf dieser Seite angeboten.
2. Online-Feedreader nutzt man im Browser. Das hat den Vorteil, dass Einstellungen und Lesestand über verschiedene Geräte erhalten bleiben.
3. Am besten ist wohl die Kombination aus beidem: Ein Online-Feedreader, der die installierten Apps oder Desktop-Reader synchronisiert. Das gibt es als Bezahlvariante: http://feeder.co (hat nichts mit der oben genannten App zu tun) und als kostenlose Lösung, bei der man sich den Online-Feedreader auf seinem Hoster installiert: Tiny Tiny RSS. Wer bereits eine eigene Nextcloud/Owncloud installiert hat, könnte sich mal Nextcloud News anschauen.

Ihr könnt mir natürlich auch per RSS folgen: Entweder meinem Kurznachrichtenstream bei Mastodon/Twitter, oder meinem Weblog.

Daten- und Informantenschutz

Emails dauerhaft entschlüsselt speichern (mit den Enigmail-Filtern)

Wer regelmäßig und im Alltag mit verschlüsselten Emails kommuniziert (so wie ich), bemerkt irgendwann drei lästige Begleiterscheinungen:

  1. Man kann verschlüsselte Emails nicht durchsuchen
  2. Man muss beim Browsen der Emails ständig das Passwort eingeben
  3. Große Anhänge frieren das Emailprogramm für Sekunden oder Minuten ein

Dafür gibt es seit einigen Jahren in Thunderbird eine Lösung: 2014 hatte ich die Idee, dieses Problem mit Filtern zu lösen. Mit einem Crowdfunding und der Unterstützung von einigen Experten habe ich 2015 eine Implementierung in Enigmail organisiert. Mittlerweile werde ich in meinen Informantenschutz-Kursen öfters gefragt, wie man den Filter genau nutzt, deswegen hier ein Tutorial zu der eher unbekannten Option.

Sicherheitshinweis

Am Anfang ein wichtiger Hinweis: Das dauerhafte Entschlüsseln von Emails verringert auf hohem Niveau die Sicherheit. Es ist für externe Angreifer je nach genutzter Sicherheitslücke möglicherweise leichter, die unverschlüsselten Emails auf dem Computer direkt auszulesen als die Entschlüsselung über Kommandozeilenzugriff und Abfangen des Entschlüsselungs-Passworts durchzuführen. Da sollte jeder seinen Sicherheitsanspruch gegen die Bequemlichkeit abwägen. Die Entschlüsselungs-Filter sind vor allem für die Leute gedacht, die ihre Emails vorwiegend auf dem Transportweg sichern wollen. In Einzelfällen sollte man bei Emails mit besonders sensiblem Inhalt die entschlüsselte Kopie löschen – es bleibt ja die automatische Kopie im Backup.

Was sind Filter

Filter gibt es in den meisten Emailprogrammen. Das sind einfache Regeln, die normalerweise zur automatischen Organisation der Emails dienen. Bei der Installation von Enigmail (Version 1.8 oder höher) gibt es im Menü von Thunderbird unter Manage message filters je nach Version zwei bis drei neue Aktionen:

In Verbindung mit den übrigen Filterfunktionen kann man daraus natürlich beliebige Konstruktionen bauen, z.B. auch derart, dass nur bestimmte Emails dauerhaft entschlüsselt werden. Die erste Funktion würde ich gar nicht verwenden, da es immer besser ist, ein verschlüsseltes Original zu behalten. Ich habe folgende Filter eingerichtet:

  1. Alle verschlüsselten Emails taggen (damit sie auch im entschlüsselten Zustand noch farblich erkennbar sind)
  2. Eine entschlüsselte Kopie in einem neuen, künstlichen Eingangsordner anlegen (ich nenne ihn „Gefiltert“)
  3. Das verschlüsselte Original in einen Backup-Ordner verschieben (ich nenne ihn „PGP Backup“)
  4. Alle unverschlüsselten Emails in den neuen Eingangsordner verschieben (damit man dort alle Emails bequem lesen kann)

Der Filter wird immer ausgeführt, wenn neue Emails eintreffen. In unserer Inbox wird dann also keine Email mehr zu finden sein – der neue Posteingang, in dem ich die Emails lese ist also der Ordner „Gefiltert“.

Schritt für Schritt

Vorbereitungen

Zuerst legen wir einen neuen Tag mit dem Namen „PGP“ und einer schönen Farbe an.

Dann mit der rechten Taste auf das Email-Konto und einen neuen Ordner „Gefiltert“ unterhalb der Inbox anlegen. Außerdem einen Ordner „PGP Backup“ anlegen.

Der erste Filter

Dann mit der linken Taste auf das Konto und Manage message filters/New …. Dort legen wir folgende Felder an und speichern den ersten Filter:

Hinweis: Linux-Nutzer, die noch das ältere Enigmail 1.9.9 aus den Repositories beziehen, haben noch nicht die vorgegebene Matching-Option „OpenPGP is“. Sie müssen das matching manuell erstellen (Screenshot). Dabei beachten, dass man „Match any of the following“ wählt. Diese Details müssen manuell eingegeben werden:
-----BEGIN PGP MESSAGE-----
application/pgp-encrypted
Auch das Feld „Content-Type“ muss unter „Customize…“ manuell erstellt werden.

Der zweite Filter

Der zweite Filter wählt alle gerade getaggten Emails und entschlüsselt eine Kopie in den manuell angelegten Ordner „Gefiltert“:

Der dritte Filter

Der dritte Filter verschiebt das verschlüsselte Original in den Backup-Ordner:

Der vierte Filter

Und der vierte Filter verschiebt alle unverschlüsselten Nachrichten in den Ordner „Gefiltert“.

Reihenfolge ändern

Zum Abschluss müssen wir nur noch die Filter in die richtige Reihenfolge bringen.

Dann für den ersten Testlauf einfach mal eine Mail an sich selbst schreiben, danach kann man den Filter von der Filterverwaltung aus auch für den ganzen Posteingang durchführen lassen.

Reporterpreis

Reporterpreis 2017 – Beiträge gesucht

Bitte gerne bis 2.10. Beiträge beim Reporterpreis einreichen (von euch oder anderen) – insbesondere tolle Multimedia-Reportagen und Datenjournalismus-Beiträge! Außerdem – Trommelwirbel! – gibt es dieses Jahr eine eigene Kategorie für Web-Video.

Beispiele

Morgen in Georgien

Über Monate habe ich das Multimedia-Projekt der Reutlinger Reportageschüler betreut. Mit Kursen und Workshops zur multimedialen Narration, über die Erstellungen der Geschichten vor Ort in Tiflis und schließlich bis zur Umsetzung mit Pageflow. Ganz am Schluss noch die Website nach den Vorstellungen der Schülerinnen und Schüler gestaltet. Und heute die Premiere – nicht nur auf reporterreisen.com sondern auch als Visual Story im Multimedialen Spiegel (vielen Dank an Bernhard Riedmann und Jens Radü!). Viel Spaß beim Lesen der Multimedia-Stücke! Und danke an alle Reportagisten der Schule – es war eine wunderbare Zeit!

Interna

Neue Weblog-Engine

Nach zwölf Jahren habe ich mich doch mal für ein Weblog-Update entschieden. Die alte Technik (Blosxom) läuft zwar noch prima, aber das Design war nicht responsive. Jetzt also – wie alle – mit WordPress und etwas neuerer Optik. Wenn dadurch die Themen besser lesbar werden – auf die nächsten zwölf Jahre! Ein paar Beiträge habe ich ins neue Layout übernommen, der Rest bleibt unter der alten Adresse online.