Was wir bei E-Mails beachten sollten

Gutes, sicheres und rundherum taugliches e-mailen hängt sehr stark vom Inhalt und Aufbau einer E-Mail, die wir schreiben, ab.
Da ich hier den Einsatz von E-Mail als vorbildliches digitales Kommunikationsmittel fördern will, thematisiere ich auch dies.
Wir sind in unserer zunehmend informationsüberfluteten Zeit an so vielen Stellen von inhaltsleerer Kommunikation umspült (und damit meine ich nicht die abgrundtiefe philosophische Betrachtung über Sinn und Zweck von flächendeckender Videoüberwachung im ÖPNV als Maßnahme gegen weitere Ransomware nach dem dritten Club Mate), dass einige grundlegende Gedanken zu unserer E-Mail-Kommunikation helfen, uns vor dem Untergang in dieser Datenflut zu bewahren.

Eine E-Mail ist doch irgendwie ein Brief

Und ein Brief hat eine gewisse Form.
Eine Anrede stimmt den Empfänger bereits auf das kommende ein.
Wir brechen ja auch nicht wie ein Erdrutsch gleich mit den heikelsten Themen im persönlichen Gespräch über unsere Gesprächspartner herein.
Hier beginnen wir ja unsere Verbal-Lawine auch zumindest mit einem:
“Hallo Fremder, setz dich stabil hin, ich muss dich grad mal verbal mit den neuesten Dramen/Verschwörungstheorien/Wochenenderlebnissen überrollen.”
Wir haben Zeit, etwas zu schreiben; da wird uns diese Zeile mehr nicht um unsere Mittagspause bringen.
Wenn ich gerade bei der guten Form bin:
Ein Brief (oder eine Postkarte, Telegramm, Telefonat) endet mit einer zumindest höflichen, bestenfalls freundlichen Abschlussformel.
Wir stehen nicht einfach mitten im “direkten” Gespräch auf und machen uns Sang- und Klanglos aus dem Staub.
Warum sollte dies bei einer E-Mail anders sein?
Eine Mail ohne Schlussformel wirkt im günstigsten Fall wie ein plötzlicher Anfall von Unlust, meistens jedoch bleibt bei mir das schale Gefühl von generellem Desinteresse an diesem elektronischen Gedankenaustausch.
An dieser Stelle ist es sogar noch einfacher dem entgegenzuwirken als bei der Anrede:

  • Wir können eine automatische Signatur verwenden!

Einmal eingerichtet – immer ein freundlicher Abschluss des elektronisch versendeten Gedankenguts.
Vielleicht sollten wir uns an dieser Stelle auf eine neutral-freundliche Formulierung festlegen, denn ich kann mir gut vorstellen, dass die nächste Mail an unser Finanzamt mit der Schlussformel:
“Tausend heiße Küsse, dein Spatzerl”
eine gänzliche andere Prüfung unserer Steuerunterlagen zur Folge hat …

Ein Betreff sagt etwas aus

Re:Re:Aw:Re:Aw:Aw:Aw:Re:Re:Re:Mein Termin
Leider geht es in dieser Mail mit seiner aussagekräftigen Betreffzeile die an die Warteschlange des neuesten Rollercoasters im Europapark gemahnt (ab diesem Re: nur noch 23 weitere Re: bis zum Ende der Betreffschlange) schon lange nicht mehr um einen Termin.
Aber beginnen wir am Anfang – oder hier eher am Ende.
Ein Betreff wie “Mein Termin” ist vom Inhalt her kein Betreff (sondern allenfalls fantasielos).
Der Betreff einer E-Mail sollte den Inhalt dieser Nachricht in einer kurzen Zeile zusammenfassen.
Es ist ein Zeichen von Respekt und Höflichkeit dem Addressaten gegenüber, wenn wir schon im Betreff signalisieren, worum es in dieser Nachricht überhaupt geht.
Aufgrund der hohen Geschwindigkeit – und dem Irrglauben, dass E-Mail nichts kostet (Doch, es kostet. Jede Mail kostet Rechenzeit, Speicherplatz, Strom, Zeit und Nerven.) hat die Menge an übertragener Information gegenüber dem Snail-Mail-basierten Nachrichtenaustausch wahnsinnig stark zugenommen.
Da ist es doch nur fair, wenn wir unseren Kommunikationspartnern ein wenig entgegenkommen. Und eine faire Chance geben, schon am Betreff zu erkennen, worum es geht (anstatt in jeder Mail den sinntragenden Inhalt tief unter einem Berg von Zeichen (mit dem Informationsgehalt eines digitalen Weißbrotes) zu verstecken).
Ich will nun zum Antwort-Schluckauf zurückkommen, den ich am Anfang des Abschnittes angeführt habe.
Es ist einfach unleserlich, immer weitere, sich ständig wiederholende Präfixe an eine laufende E-Mail-Konversation zu hängen (Ja, ich weiß, wir hängen die nicht manuell dran – aber sind wir denn solche Sklaven unserer Software, dass wir an sinnvollen Stellen nich manuell eingreifen können?).
Unsere E-Mail-Programme ordnen zusammengehörige E-Mails sehr geschickt als solche an, dazu benötigen diese die wurmfortsatzartigen Präfixe nicht.
Für eine bessere Les- und Verfolgbarkeit von E-Mails hilft deutlich mehr, wenn wir den Betreff sinnvoll anpassen.
Ich verdeutliche dies mit einem Beispiel:

  1. Betreff: Unser Termin am 24.05.2017
  2. Betreff: Re: Unser Termin am 24.05.2017 – Neuer Terminvorschlag: 25.05.2017
  3. Betreff: Aw: Neuer Terminvorschlag: 25.05.2017 – akzeptiert

Mit diesen einfachen Mitteln ersparen wir uns die Notwendigkeit, die Spaltenbreite unserer E-Mail-Clients bis ins Unendliche zu strapazieren – und erreichen überdies noch, dass wir uns der zunehmenden digital verordneten Lethargie im Bereich E-Mail-Kommunikation entziehen.

Eine Mail – ein Thema

Ebenfalls der zunehmenden Flut an Informationen geschuldet ist die Tatsache, dass zwei Drittel der Informationen einer E-Mail schlicht den virtuellen Bach runter gehen.
Wenn also mehr als ein Thema in einer E-Mail thematisiert wird, können wir davon ausgehen, dass die Themen zwei bis 85ff vollkommen für die Katz formuliert sind.
Darum meine Empfehlung:

  • Nur ein Thema pro Mail behandeln.

Das macht die Kommunikation auch viel handlicher.
In wenigen Fällen ist eine E-Mail-Kommunikation mit einem Nachrichten-Ping-Pong abgewickelt.
Eher ist es Ping-Pong-Ping-Ping-Pong-Pong-Zwäng-Dong-Pong-Ping.
Und da wird es dann mit mehr als einem Thema fies – da wird es ganz schnell unübersichtlich (wir stellen uns das jetzt mal so vor wie vulkanisches Schach):
Ping-Pong-Ping1-Pong1-Pong2-Ping1a-Ding-Dong-Ding1-Pong1-Pong2-Pong3-Ping1b-Ping-Zwong-warumistjetztnochHerrMeiermitaufdemVerteiler
…und wie gesagt, das ganze stellen wir uns nun in drei Dimensionen mit einer unendlichen Anzahl an möglichen Mitspielern vor…
Machen wir das ganze Spiel mit nur einem Thema, sieht das alles viel entspannter aus:
Ping-Pong-Ping-Pong-Pong

Der Schlüssel auf der Fußmatte

oder: Schicke niemals Zugangsdaten in einer Mail gemeinsam mit dem Passwort.
Es ist schon schrecklich genug, ein Passwort in einer unverschlüsselten Mail zu verschicken (Zur Erinnerung: E-Mail ist per se unverschlüsselt!).
Aber noch schrecklicher wird es, wenn alle Zugangsdaten zu einem Dienst gemeinsam mit dem zugehörigen Passwort in einer E-Mail verschickt werden.
Das ist so, als würde ich meinen Wohnungsschlüssel nicht nur auf die Fußmatte vor meiner Wohnung legen, sondern auch gleich noch ein Schild daneben hängen:
“Bin nicht da, Schlüssel liegt auf der Fußmatte, bedien dich!”
und das auch noch in alle verfügbaren lokalen Tageszeitungen auf dem Titelblatt annoncieren.
Das gleiche gilt (sogar auf einer höheren Ebene von “nicht-nachgedacht”) für den Anwendungsfall eines verschlüsselten Dokuments, welches in derselben Mail mit dem Entschlüsselungspasswort verschickt wird.
Das ist so blöd, da fehlt mir glatt das Real-World Beispiel.
Kommt aber wirklich vor.
Nun ja, Albert Einstein hat es sehr treffend formuliert (wenn er es denn war):
“Zwei Dinge sind unendlich: das Universum und die menschliche Dummheit. Aber beim Universum bin ich mir nicht ganz sicher.”

TL;DR

  • Hello, Hello! Eine E-Mail ist doch irgendwie ein Brief
  • Wähle weise: Ein Betreff sagt etwas aus
  • Ein Mann, ein Wort: Eine Mail – ein Thema
  • Sicherheit ist nicht nur Krypto: Der Schlüssel auf der Fußmatte

Zum Abschluss heute ein Handlungsaufruf:
Gehet hin und folgt meinen Hinweisen zum schönen mailen.
Ist gut fürs Karma.
Oder zumindest für leserliche Mails.

Warum posten eigentlich alle?

Heute starte ich mit meinem nächsten Themen-Block soziale Netzwerke.
Als Einstieg beschäftige ich mich deshalb mit der Frage, die mir ständig durch die Gehirnwindungen geistert, wenn ich wieder so einen Smartphone-schwingenden Datenterroristen sehe.
Entweder wenn dieser sein Kind fotografiert und das Bild zu Facebook hochlädt (und damit auch gleichzeitig die Privatsphäre seines Sprösslings mit Füßen tritt und obendrein dessen Karriere als zukünftiger Lohnsklave verhindert) oder auch wenn er selbst einen weiteren geistlosen Kommentar zur aktuellen Wetterlage in Castrop-Rauxel in den ewigen digitalen Datenarchiven hinterlässt.
Warum posten eigentlich alle?

Ich muss einen Beitrag leisten

Meine erste Vermutung, warum dieser nahezu unstillbare Drang zur digitalen Inkontinenz besteht, ist die unterschwellige Aufforderung von social Media, dass wir ja alle einen Beitrag leisten müssen, damit social Media funktioniert und nicht plötzlich in in völliger Bedeutungslosigkeit verpufft.
Liebe Leute, glaubt ihr wirklich alle, dass eure Belanglosigkeiten, die ihr so freigiebig in die virtuelle Welt postet auch nur einen Otter vor dem Hungertod oder einen Ureinwohner am Amazon vor dem nächsten illegal hochgezimmerten Staudamm bewahrt?
Was hilft mir dabei, um festzustellen, ob ich etwas posten sollte?
Drei einfache Fragen:

  • Für wen ist es hilfreich?
  • Ist es freundlich?
  • Ist es gut?

Und wenn bei diesen Fragen die Antworten “ja” lauten – und bei der ersten Frage die Antwort mehr als “für mich und <Datenkrake deiner Wahl>” lautet –
dann zähl erstmal mit angehaltener Luft langsam bis zehn.
Wenn du jetzt immernoch der Ansicht bist, dass du einen wertvollen Beitrag zur Rettung des nordsibirischen Otters oder der Kultur der indigenen Völker im Amazonas-Regenwald beizutragen hast, dann poste deinen Beitrag.
Sei dir jedoch immer bewußt, dass dein Beitrag zu einem ungleich höheren Teil den Datenkraken zu Gute kommt (einfach weil diese dadurch wieder einige weitere Datenpunkte für dein Profil bekommen) als deinem “Freundes”-Kreis.

Ich muss unsterblich werden

Falls du nach digitaler Unsterblichkeit strebst, dann poste einfach weiter bis dein Datentarif explodiert.
Tatsächlich machst du dich mit dem posten digital unsterblich, denn derzeit bleibt wirklich alles gespeichert, was wir in der unendlichen digitalen Müllhalde hinterlassen.
Und dank der ständig effizienter werdenden Korrelationsmöglichkeiten der Datenkraken werden diese Dinge auch immer wieder gefunden werden und mit uns in Zusammenhang gebracht.
Und wieso überhaupt Digitalisierung zur Erreichung der Unsterblichkeit nutzen?
Ich halte es für weit schöner, hilfreicher und zielführender die eigene Unsterblichkeit durch etwas zu erreichen, das man wirklich der Welt hinterlässt und nicht nur den Datenkraken als digitale Fußspuren.
Quantität ist auch bei dem Ansinnen nach Unsterblichkeit der Feind der Qualität. Bloß weil ich mit jeden Meter, den ich mit meinem Fitness-Tracker aufgezeichnet und in die Cloud geladen habe eine digitalen Fußabdruck hinterlassen habe, heißt es nicht, dass mich dieser bis in alle Ewigkeit aufgezeichnete Weg meiner Unsterblichkeit näher bringt.

Weil es doch alle tun

Jemine, was ist das denn für ein Argument?
Weil es alle tun?
Weil alle was tun? Wer sind alle?
Diese Begründung ist nur eine unzulässige und langweilige Verallgemeinerung.
Ich tue nichts, weil alle dies tun – schon gar nicht, wenn es für mich bedeutet datentechnisch die Hosen runterzulassen und mein innerstes nach außen zu kehren.
Wir werden keine bessere Gesellschaft wenn alle alles über alle wissen.
Geheimnisse zu haben und zu behalten, einen geschützten Raum – meine Privatsphäre – den ich nur für mich habe und mit niemandem teile, das ist nicht nur wahrer Luxus, nein das ist eine Notwendigkeit unseres Lebens als soziales Wesen.
Gerade die Tatsache, dass ich mich abgrenze von meinen Mitmenschen, macht mich mehr zu einem aktiven Mitglied der Gesellschaft.
Wenn alle alles über alle wissen, dann haben wir nur noch einen undifferenzierten Brei.
Und aus diesem undifferenzierten Brei kann nichts entstehen.
Aus der Differenz zwischen mir aus meiner Privatsphäre und der daraus erwachsenden Interaktion mit den Menschen um mich herum entsteht wirkliches Leben.

Was tue ich stattdessen?

Wie bei den Ansätzen aus dem Minimalismus-Bereich, wo es darum geht mit möglichst wenigen Besitztümern glücklicher zu leben, halte ich auch einen Daten-Minimalismus für einen wundervollen, leichten und nachhaltigen Weg um dem Drang, alles zu posten zu entgehen.
Ich habe festgestellt, was für ein befreiendes Erlebnis es ist, alte Daten zu löschen oder einen Online-zu Account löschen, ein soziales Netzwerk zu verlassen.
Mir ist klar, dass viele Nutzer sozialer Netzwerke die Angst quält, dass sie den Kontakt zu ihren “Freunden“, zur Gesellschaft verlieren, wenn sie einem sozialen Netzwerk den Rücken kehren.
Aber keine Furcht, treue Leser, das Gegenteil ist der Fall!
Die Kontakte zu den wirklichen Freunden vertiefen sich, der Austausch mit meinen Mitmenschen wird besser und direkter.
Es fallen sicherlich quantitativ “Freunde” weg, doch auch an dieser Stelle wiederhole ich:
Quantität ist der Feind der Qualität!
Ein Mensch kann sowieso nur knapp über 100 Kontakte als einzelne Menschen differenzieren.
Er schafft es generell nur mit ein Paar Dutzend Menschen näheren Austausch zu pflegen und lediglich eine Handvoll echte Freunde sind ideal für ein glückliches und erfülltes Leben.
Und davon ausgehend meine Empfehlung:
Triff dich mit deinen Bekannten und Freunden!
Triff dich im wirklichen Leben, nutze keinen Chat dazu.
Trinke, tanze und lebe mit diesen wirklichen Begleitern in deinem Leben.
Teile dein Leben mit Menschen – nicht deine Daten!
Und wenn du deine Gedanken der Welt mitteilen willst?
Schreib ein Buch!
Behalte die Souveränität über deine Daten und teile deine Ideen der Welt mit anstatt nur deine Daten an irgendeine Datenkrake zu verschleudern.
Es ist mittlerweile so einfach, das eigene Buch zu veröffentlichen – dazu muss ich nicht an einen Verlag gebunden sein.
Ich kann es als Selfpublisher selbst herausgeben.
Eine wundervolle Unterstützung finde ich dabei bei bookmundo.
Hier werde ich als Autor unterstützt und begleitet bis zum fertigen Buch.
Und das wundervolle dabei ist:
meine Daten bleiben bei mir – dort wo sie hingehören.

TL;DR

  • stell dich beitragsfrei: Ich muss keinen Beitrag leisten
  • My undying data: Unsterblichkeit auch ohne digitale Datenspuren
  • Geh deinen eigenen Weg: Tue es nicht, weil alle es tun
  • Was bleibt mir sonst: Empfehlungen für ein datensouveränes Leben

Und jetzt?
Greife zum Telefonhörer und ruf den ersten Menschen an, der dir einfällt – das ist wirkliches soziales netzwerken!

Wie kurznachrichte ich sicher?

Was wollen wir überhaupt erreichen, wenn wir jemandem eine Kurznachricht senden und warum sollte dies denn überhaupt sicher sein?
Fragen über Fragen, aber gut ist es, wenn wir uns diesen stellen.
Denn dann können wir erst bewerten, worauf es uns dabei ankommt.
Wenn es euch gänzlich egal ist, dann solltet ihr an dieser Stelle aufhören weiterzulesen und postet stattdessen lieber ein Selfie von eurem nächsten Schritt in eure Datenunmündigkeit.
Wir anderen überlegen uns, was wir erreichen wollen.

Was kurznachrichte ich?

Nun, wir sprechen hier von KURZnachrichten.
140 Zeichen.
Da lässt sich jetzt eine längere philosophische Betrachtung der Notwendigkeit von Gut und Böse in einer dualistischen Welt eher schwerlich abhandeln (schon diesen Titel bekommen wir nur unter schmerzlichen Kürzungen zustande).
Eine KURZnachricht sollte einen KURZEN Inhalt in der Form von
Ich komme um 14 Uhr am Bahnhof an.” haben.
Gut, ein bissel länger geht schon, aber ich denke, ich habe mich verständlich gemacht.
Meine Aussage hinsichtlich eines kurzen INHALTs sehe ich auch noch aus einem anderen Blickwinkel:
Habe heute wieder ein lila-getupftes Hemd an! Toll!!!1!!! 🙂” ist zwar kurz, aber kein INHALT.
Können wir also vergessen.
Um dies jetzt aus Sicht von “wie kurznachrichte ich sicher” zu sehen, empfehle ich einen Dienst, der die INHALTE verschlüsselt.
Das macht mittlerweile fast jeder. Sogar WhatsApp. Wenn alle beteiligten Kommunikationspartner die aktuelle Version haben.
Wenn euer Messenger das nicht kann, dann sucht euch einen anderen.

Was bedeutet “sicher”?

Welche Sicherheit streben wir nun an, wenn wir sicher kurznachrichten wollen?

  • Meine Nachricht soll nicht mitgehört werden.
    Das erreichen wir – wie bereits erwähnt – dadurch dass wir unsere Kommunikation verschlüsseln. Dies bieten – wie auch bereits erwähnt – mittlerweile die meisten Dienste an. Wenn uns das ein Bedürfnis ist und unser aktuell genutzter Dienst das nicht bietet, ist meine Empfehlung (wie bereits erwähnt): sucht euch einen anderen Dienst.
  • Ich will sichergehen, dass ich wirklich mit demjenigen kurznachrichte, mit dem ich denke, dass ich kurznachrichte.
    Auch für die Aufgabenstellung der Authentifikation bieten die meisten Anbieter von Kurznachrichtendiensten eine Lösung. Das kommt quasi im Zuge der Veschlüsselung mit oben drauf, dass die Nachrichtenaustauscher die Möglichkeit haben, zu überprüfen, dass tatsächlich sie miteinander kurznachrichten und nicht irgendjemand sich in die Leitung geklemmt hat.

Als weiteres Schmankerl der hier verwendeten Kryptografie ist weiterhin die Möglichkeit inkludiert, zu überprüfen, ob die Nachricht auf der Strecke von A nach B verändert wurde.
Wenn ich jetzt also schreibe:
Ich komme um 14 Uhr am Bahnhof an.” und meine Nachricht wird auf dem Weg in: “Ich komme um 15 Uhr am Bahnhof an.” geändert, führt dies nur zu Ungemach und Ärger, wenn der Empfänger der Nachricht nicht feststellen kann, dass die Nachricht geändert wurde.

Ist Anonymität möglich?

Meiner Ansicht nach: nein.
Im Kurznachrichtendienstbereich ist keine Anonymität möglich, da wir immer digitale Spuren hinterlassen.
Schon allein dadurch, dass wir (meist) unsere Handynummer angeben müssen, damit unsere Nachrichten uns erreichen, ist das mit der Anonymität schon mal Essig.
Mike Kuketz hat das Thema Anonymität im Internet in seinem Blog sehr schön beleuchtet.
Außerdem gibt es ja noch das Über-Thema der Metadaten, die fallen halt einfach an!

Metadaten werden immer gesammelt

Da auch die dateninteressierten Anbieter der Kurznachrichtendienste mittlerweile begriffen haben, dass der Inhalt der meisten Nachrichten nicht die Bits und Bytes wert sind, die dafür ihr digitales Leben lassen mussten, haben auch so fortschrittliche Anbieter wie WhatsApp den Schritt zur Verschlüsselung der Kommunikation getan.
Es sind die Metadaten, die unsere Kommunikation so wertvoll machen.
Wer mit wem, wann, wie oft, wo?
Dies sind die Fragen, welche die Datenschürfer interessiert – und auf die sie auch alle Antworten bekommen. Unabhängig davon, ob die Nachrichten verschlüsselt sind.
Die Inhaltsleere der Nachrichten ist den Datenjägern und -sammlern längst bewusst. Die für sie wertschöpfende (und uns ausbeutende) Korrelation findet mehr als ausreichend über die Metadaten statt.

Beschränke dich!

Aber was können wir gegen diese perfide Art der Überwachung unternehmen?
Heulen und zähneknirschen?
Hilft – solange wir während dessen nicht auch in der Gegend herum texten:
Heule und zähneknirsche gerade!!!1!!!!1!
Nein, beschränken wir uns.
Liefern wir keine Metadaten.
Wir haben doch auch überlebt (und besser möchte ich meinen), als wir nicht alle sieben Minuten unseren geistigen Sondermüll in der virtuellen Gegend herumgeschickt haben!
Datensparsamkeit ist die einfachste und wirksamste Maßnahme, um die Datengier einzubremsen.
Außerdem tun wir uns und unseren Kommunikationspartnern einen riesigen Gefallen, wenn wir den Datenmüllberg nicht noch um etliche sinnlose Daten erhöhen.

Das hohe Lied auf Open Source

Es gibt so ein paar grundlegende Eigenschaften, die im Bereich sichere Kommunikation einfach immer wieder auftauchen.
Und dazu gehört auch Open Source.
Software, die sich ernsthaft mit Verschlüsselung beschäftigt, sollte eben Open Source sein.
Nur dadurch kann sichergestellt werden, dass

  • die Algorithmen richtig implementiert sind
  • keine Hintertüren eingebaut sind

Darum werde ich hier auch nicht müde zu sagen:
Achtet darauf, dass der Messenger den ihr einsetzt, Open Source ist.
Und WhatsApp ist das eben nicht.

Vielseitigkeit

Seid nicht so einseitig.
Hängt eure Gunst nicht an einen Schreihals, bloß weil dieser die meisten Datenschleudern hat.
Was wollt ihr denn?
Die Welt erreichen?
Dann ist der Weg über Kurznachrichten meiner Ansicht nach sowieso der Falsche.
Mit Kurznachrichten will ich einen oder maximal eine handvoll Empfänger erreichen – mehr nicht.
Dazu muss ich nicht den Dienst wählen, der die meisten Teilnehmer hat, sondern den Dienst, den mein Empfänger nutzt. Und das kann ich ganz individuell mit diesem Empfänger auskaspern.
Daher mein Rat:
Nutze doch einfach mehrere Anbieter und stifte ein wenig Verwirrung um deine Kommunikationswege.

Und was bleibt mir sonst?

Kurznachrichtendienste sind ja nicht die einzige Möglichkeit, um miteinander in Kontakt zu bleiben.
Schreibt doch einfach mal eine Postkarte.
Ist auch kurz (sogar, wenn man klein schreibt, länger als 140 Zeichen).
Liest auch kein Mensch.
Ist zwar offen, aber so offensichtlich, dass hier niemand große Geheimnisse erwartet. Das sieht auch Hans Magnus Enzensberger in seinen “Regeln für die digitale Welt” so.
Außerdem ist eine Postkarte deutlich anonymer als jede digitale Kurznachricht 🙂
Und wenn jetzt hier Gemaule über die Laufzeiten von Postkarten losbricht:
Mir geht es um KURZnachrichten, nicht SOFORTnachrichten!

TL;DR

  • Mehr Inhalt statt Datenmüll: Was kurznachrichte ich
  • Was ist schon Sicherheit: Confidentiality, Integrity, Authenticity
  • Anonym ist anders: Das kriegen wir hier nicht
  • Hättest du geschwiegen wärest du geheim geblieben: Datensparsamkeit
  • Die Quelle aller Sicherheit: Open Source
  • Sei bunt, sei vielseitig, sei frei!
  • Snail Mail rules: ein Hoch auf Postkarten

Und jetzt?
Schweigen und die Sonne genießen. Ohne es zu posten.

Passphrasen-Mantra oder Diceware – Ideen für selbstgebastelte sichere Passworte

Uns ist jetzt klar, warum wir sichere Passworte brauchen und wie wir ein solches sicheres von einem unsicheren Passwort unterscheiden.
Aber was tun wir jetzt, um an ein sicheres Passwort zu kommen?
Wir können uns ja schließlich keines im Online-Shop um die Ecke kaufen (ich bin mir ziemlich sicher, dass es dieses Angebot bereits gibt, möchte aber dringend davon abraten, so einen Dienst in Anspruch zu nehmen, liebe Leser!) oder jemanden bitten, uns ein sicheres Passwort zu geben.
Beide Ansätze wären jedoch der Sicherheit unseres neuen Passwortes deutlich abträglich.
“Was tun?” sprach Zeus, “die Götter sind besoffen.”.
Darum möchte ich hier zwei Methoden vorstellen, die

  • einfach
  • sicher
  • und mit Spaß

einfach sichere Passworte erzeugen 🙂
Quasi das Überraschungsei der Passwort-Erzeugung – nur ohne Schokolade (aber davon hatten wir jetzt über Ostern wahrscheinlich eh genug).
Beide Methoden der Passwort-Erzeugung bringen einen anarchischen (weil selbstregierenden) und individuellen (weil selbstgemachten) Ansatz daher, der überdies noch nachhaltig, biologisch abbaubar und frei von schädlicher Technik ist.
Lasst die Spiele beginnen!

Diceware – Alea iacta est

Diceware ist eine einfache und analoge Methode zur Erstellung sicherer Passphrasen.
Diceware, also Würfelware, ist eine Möglichkeit, ein Passwort ohne den Einsatz digitaler Technik zu erwürfeln.
Das wichtigste an dieser Methode ist der Faktor Zufall und der Verzicht auf – leicht manipulierbare – Computerunterstützung.
Natürlich lassen sich auch Würfel manipulieren, aber wenn wir davon ausgehen, dass uns jemand manipulierte Würfel à la Ocean’s Thirteen unterjubelt, dann haben wir ein ganz anderes Problem und müssen uns keine Gedanken um die Gestaltung sicherer Passworte machen 🙂
Es müssen auch wirklich keine Casino-Grade Würfel sein. Handelsübliche Spielwürfel reichen allemal aus.
Für die Paranoiker unter uns: Holt euch Casino-Grade Würfel, die haben eine ideale Verteilung der Wahrscheinlichkeit auf alle sechs Seiten des Würfels.
Zurück zum Thema.
Diceware basiert auf einer langen Liste von Wörtern und fünf sechseitigen Würfeln.
Das ganze funktioniert natürlich auch mit nur einem Würfel, dann muss man halt fünfmal so lange Würfeln 😉
Die Liste besteht aus 7776 unterschiedlichen Worten (so viele unterschiedliche Möglichkeiten bieten eben fünf sechsseitige Würfel, also 6^5).
Um jetzt eine Passphrase zu erstellen, würfeln wir mit den fünf Würfeln und lesen das gewürfelte Ergebnis von links nach rechts ab.
Die so erwürfelte Zahl schauen wir in der Wortliste nach und erhalten damit das zugehörige Wort.
Diesen Vorgang wiederholen wir so lang, bis wir unsere Passphrase vollständig erstellt haben.
Arnold Reinhold, der Erfinder von Diceware, empfiehlt eine Passphrase aus mindestens sechs Worten zu erstellen.
Das trägt – wie wir in der letzten Woche gelernt haben – ungemein zur Stärke des erzeugten Passwortes bei.
Die Passphrase sollte aus diesen vier bis sechs einzelnen Worten bestehen, inklusive der Leerzeichen dazwischen. Die Leerzeichen erhöhen die Sicherheit der Passphrase nochmals ungemein, denn die Verwendung von Sonderzeichen (und das ist ein Leerzeichen nunmal) trägt zur Erhöhung der Komplexität des Passwortes bei. Und Komplexität ist ein weiterer Faktor der Passwortsicherheit.
Diese durch Diceware erstellte Passphrase schützt auch effektiv gegen Social Engineering Angriffe, da die Passphrase nicht mit dem Benutzer in Zusammenhang gebracht werden kann – und schon haben wir noch einen weiteren Faktor der Passwortsicherheit eingebaut.
Und wenn wir jetzt dieses Passwort für uns selbst im stillen (nicht überwachten) Kämmerlein erwürfelt haben und dieses niemandem (auch unserem Goldfisch nicht!) verraten, haben wir noch den letzten Faktor für ein sicheres Passwort eingesetzt.
Ein Beispiel:

  • 32323 – hinter
  • 26524 – glosse
  • 14426 – bbb
  • 56345 – stroh
  • 45116 – nukleon
  • 51432 – quader

Ergibt als Passphrase:
hinter glosse bbb stroh nukleon quader”.
Laut HowSecureIsMyPassword dauert es 526 Tredezillionen (das ist eine Zahl mit 79 Stellen) Jahre, um dieses Password zu knacken. Viel Spaß beim raten 😉

Kreativität

Nun zur zweiten sicheren Methode einer Passworterzeugung.
Kreativität.
Kann kein Computer. Wird er niemals können.
Braucht keine Technik und keinen Strom. Ist immer verfügbar, kostet nix und macht immens Spaß.
Fast wie Sex, nur bekommt man weniger Ärger, wenn man es, z.B. in der Straßenbahn macht.
So, was brauchen wir hierfür?
Einen Bleistift und ein Blatt Papier.
Denn, wie es auch Richmond Valentine richtig zusammenfasst:
No-one can hack into pen and paper”.
Und jetzt lassen wir unserer Kreativität ganz freien Lauf.
Wir sammeln einfach die ersten fünf bis zehn Eindrücke, die uns gerade vor das innere oder äußere Auge kommen – besser vor das äußere, denn das innere Auge hat den Nachteil, dass das, was uns da vor die Linse gerät, möglicherweise social engineerbar ist – und schreiben diese auf.
Daraus bilden wir einen Satz, ordentlich mit Satzzeichen und schön auf die Groß- und Kleinschreibung achten (für die Komplexität), streuen vielleicht noch die eine oder andere Zahl (ebenfalls für die Komplexität) ein und merken uns diesen Satz als unser persönliches (wieder nicht mit dem Goldfisch teilen!) Passwort-Mantra.
Das Schöne daran ist, diese Methode funktioniert wirklich überall und wird sogar noch besser dadurch, dass ihr es irgendwo ausprobiert, denn dadurch erhaltet ihr eine Zufälligkeit in den Begriffen, die nur sehr, sehr schwer mit euch in Zusammenhang gebracht werden kann.
Auch hier ein Beispiel:

  • Linux
  • krass
  • Radium
  • 35
  • abgelenkt
  • verdammt

Aus diesen Worte bilde ich für mich das Passwort
verdammt abgelenkt, Linux 35 – krass Radium!”.
Dieses Passwort wird in – wieder laut HowSecureIsMyPassword – einer Duovigintillion (das ist eine Zahl mit 133 Stellen) Jahren gehackt.
Macht mich jetzt ganz entspannt, solche Zahlen zu lesen 🙂

TL;DR

  • Die Würfel sind gefallen: Diceware
  • Ich denke, also mach ich mir mein Passwort: Kreativität

Schön kurz heute.
Also halt ich mich auch dran.
Liebe Leser, besorgt euch Würfel, die Wortliste, Papier und einen Stift und lasst eurer Fantasie freien Lauf – und schreibt doch, wenn ihr schon dabei seid, mir einfach mal einen Brief – per snail mail 😉

Wie sieht ein starkes Passwort aus?

Wie sieht denn nun ein starkes Passwort aus und was soll es leisten?
Fange ich mal damit an, den Gaul von hinten aufzuzäumen und beantworte zunächst den zweiten Teil meiner Frage.

Was soll ein starkes Passwort leisten?

Grundsätzlich sind es zwei Aufgaben, die ein starkes Passwort lösen soll.

  1. Es soll – möglichst niemals – zu brechen sein.
    Denn daran hängen halt unsere Geheimnisse (wenn wir uns an diese Sicherungslösung unserer Geheimnisse halten und nicht Zwei-Faktor-Authentifikation, Zertifikate oder schwer bewaffnete Trolle zum Schutz unserer Geheimnisse einsetzen). Daher wäre es wünschenswert, dass unser Passwort mindestens so lang hält, so lang wir unsere Geheimnisse schützen wollen.
  2. Es soll möglichst einfach zu merken sein.
    Es ist einfach deutlich einfacher, sich ein einfach zu merkendes Passwort wie “PhukAllSirveillance!
    zu merken als
    3rH!gb8Ip4_tj5eLN7.”.
    Beide halten länger – deutlich länger! – als meine Geheimnisse gewahrt werden müssen (das behauptet zumindest HowSecureIsMyPassword) und da ziehe ich dann doch die leichter zu merkende Variante aus Beispiel eins vor.
    Ich bin eben kein Gedächtnisakrobat und ich ziehe es vor, meine Gedanken mit schönen Erinnerungen und Bildern zu füllen, als mit drögen Passworten.

“You must unlearn, what you have learned”

Yoda, die kleine, schrumpelige, grüne Jediisierung des Zen, bringt es damit treffend auf den Punkt
Wir haben jahrzehntelang falsche Ideen über unsere Passworte verinnerlicht.
Passworte sind kompliziert und schwer zu merken, damit sie niemand brechen kann.
Leider ist das ein Trugschluss, der für Menschen gilt.
Die Passworte die wir bisher verwendet haben, sind kompliziert und schwer zu merken für einen Menschen,
aber mit ausreichender Rechenkraft für einen Computer leicht zu brechen.
Daher brauchen wir etwas, was ein Computer niemals nutzen wird:

Kreativität.

Nutzen wir dies und machen Passworte, die einfach und leicht zu merken sind – für uns!
Und gleichzeitig schwer für einen Computer zu brechen sind.
Wenn wir ganze Sätze bilden, können wir uns – als Menschen – diese leicht merken. Aber Computer sind nicht in der Lage, diese einfach zu erraten.
Und das sture Durchprobieren – mit Brute Force, also mit roher Gewalt – um das Passwort zu brechen, wird zu einer Lebensaufgabe für den Kollegen Computer – wenn er sehr, sehr lang lebt 😉
Aus dieser Idee heraus hier meine erste Empfehlung:

  • Denkt euch einen Passsatz (eine Passphrase) aus, die ihr euch leicht merken könnt, die ihr wie ein Mantra wiederholt, die euch ein gutes Gefühl gibt (damit ihr gern an diesen Satz denkt) und der möglichst wenig Angriffsfläche für Social Engineering auf euer Leben hat.

Ein schlechtes Beispiel hierfür ist:
Ich lebe in Hamburg in der Alsterallee 3.
Ein guter Satz von der reinen Sicherheit her, allerdings leicht zu social Engineeren, wenn ihr dort tatsächlich wohnen sollte.
Also für mich wäre es ein toller Satz…nur kann ich ihn mir nicht so toll merken, da ich noch nicht einmal weiß, ob es in Hamburg eine Alsterallee gibt…also ihr versteht, was ich meine.
Ein gutes Beispiel ist:
Reispudding mit sauren Gurken macht mich ganz kribbelig!
Ganz schön sicher. Ach, was! Irrsinnig sicher!
Bitte, wer von uns hat schon die ernste (oder alberne) Absicht 2 Novemvigintillion Jahre (das ist eine Zahl mit 90 Stellen) seine Geheimnisse zu schützen?
Ich glaube, wenn ich so alt bin, stehe ich endlich darüber, ob jemand meine Geheimnisse stehlen will.
Also, das Beispiel ist wirklich gut, weil da müsste jemand schon ganz ordentlich social engineeren, um das über mich rauszubekommen.

Was macht ein starkes Passwort stark?

Nochmal kurz zusammengefasst, was ein starkes Passwort jetzt stark macht:

  • Es kann nicht, oder nur mit sehr hohem Aufwand in sehr langer Zeit gebrochen werden.

Was sind denn nun die Faktoren, die ein starkes Passwort ausmachen?

  • Size matters
    Ja, es kommt diesmal tatsächlich mal auf die Länge an 😉
    Je länger ein Passwort ist, desto länger braucht ein Computer, um alle Möglichkeiten durchzuprobieren.
    Also als Mindestlänge ist hier meiner Ansicht nach (und da stimme ich sogar mal mit dem BSI überein) zwölf Zeichen unbedingt notwendig.
    Gewöhnen wir uns lieber – was bei Passphrasen ganz leicht ist – an eine Mindestlänge von zwanzig Zeichen.
  • Mach es komplex – nicht kompliziert
    Ein komplexes Passwort verwendet viele verschiedene Zeichen. Also Buchstaben, Zahlen und Sonderzeichen.
    Scheut euch nicht davor, das ein oder andere Komma oder ähnliches zu verwenden – das tut der menschlichen Lesbarkeit von Texten schließlich auch gut 😉
    Ein guter Überblick über den Zusammenhang zwischen Länge und Komplexität lieferen diese Tabellen.
  • Unverknüpft – lass dein Passwort social unengineerbar sein
    Nimm nichts, was aus sozialen Netzwerken auf dich schließt.
    Lass deine Lieblingsfarbe weg, vergiss den Fußballverein für den dein Herz schließt.
    Schließ deine Passphrase in dein Herz ein – und veröffentliche keine Hinweise darauf in der allwissenden Müllhalde.
  • Vergiss Wörterbücher
    Nimm keine Worte, die in Wörterbüchern vorkommen.
    Nochmal mein Hinweis: sei kreativ.
    Werde zu deinem eigenen Passwortpoeten und reime deine Sicherheit!

Was ist bei starken Passworten noch wichtig?

  • Niemals Passworte wiederverwenden
    Jedes Ding will einmalig sein – auch das Passwort für jeden einzelnen Dienst!
  • Niemals Passworte jemandem mitteilen
    Passworte zu teilen (auch mit deiner Liebsten oder deinem Hamster) ist kein Liebesbeweis.
    Es ist Dummheit.
    Denn es gefährdet neben deinen Geheimnissen auch noch die Integrität deiner Beziehung und die Unversehrheit deiner Liebsten (oder deines Hamsters). Denn jetzt ist da noch jemand, aus dem ein Angreifer dein Passwort herausbekommen kann.

TL;DR

  • Was soll mein starkes Passwort leisten?
  • We must unlearn what we have learned.
  • Be creative!
  • SBGB (schlechtes Beispiel – gutes Beispiel)
  • Faktoren: Lang, komplex, nicht social engineerbar, Wortneuschöpfungen
  • Und sonst noch?

So, liebe Leser, jetzt verbleibt mir noch, euch eine gute, schöne, freudvolle Osterzeit zu wünschen.
Genießt das Geheimnis des höchsten christlichen Feiertages und viel Freude beim geheimnisvollen Ostereiersuchen!

Vorsätzlicher Schutz der Privatsphäre

Diesen Jahreswechsel nehme ich als Anlass, um einen Bewusstseinswechsel im Hinblick auf unsere Privatsphäre anzuregen.
Wir nehmen doch gern diesen Moment zwischen den Jahren als Meilenstein, um uns neuen Ideen, neuen Gedanken, neuen Eindrücke für unser kommendes Jahr zu öffnen.
Warum dann dieses Jahr nicht auch ein wenig ins Zeichen des Schutzes der eigenen Privatsphäre stellen?
Darum stelle ich hier einige Ideen zusammen, die ihr euch vorschlage im kommenden Jahr anschauen und auch möglichst umsetzen solltet.

Nutzt einen Passwort-Manager

Es ist unbedingt notwendig für jeden genutzten Dienst ein eigenes, sicheres (!) Passwort zu verwenden.
Ich weiß nicht wie es euch dabei geht, aber ich bin kein Gedächtniskünstler. Mir fällt es schwer, dreiundzwanzig unterschiedliche und jeweils siebzehnstellige Passworte zu merken.
Daher bin ich ein begeister Nutzer von Passwort-Managern. Diese helfen mir dabei, sichere Passworte zu erzeugen (die auch per social Engineering erraten werden können) und zu verwalten.
Was an dieser Stelle ganz arg wichtig ist: nie, nie, nie, niemals – auch nicht wenn die Hölle zufriert oder ihr denkt es sei ein Liebesbeweis: Verratet niemandem eure Passphrase für euren Passwort-Manager. Das schließt auch übrigens die NSA, Google, Apple, Microsoft und sonstige Idioten ein, die es für eine gute Idee halten, euch zu empfehlen eure Passwörter online abzulegen.
Meine Favoriten als Passwort-Manager sind:

Die sind beide gut und es ist quasi geschmackssache, welches ihr verwendet 🙂

Wirf deine Payback-Karte weg!

Payback, diese wundervolle Kundenzufriedenheitsprogramm…ach, Entschuldigung, ich meinte Kundendatenabschnorchelprogramm, sollte wirklich in jedem Haushalt fehlen!
Ja, richtig gelesen. Es soll fehlen!
Wirf deine Payback-Karte weg! Jetzt. Sofort. Weg damit!
Deine Daten sind viel zu wertvoll für die lächerlichen paar Punkte mit denen du dort abgespeist wirst!
Schätz dich nicht so gering, dein Kaufverhalten ist mehr Wert als einen lächerlichen Sammelpunkt pro umgesetzten Cent.
Tu es jetzt, sonst beisst du dir später ein Monogramm in den Hintern, dass du so fahrlässig mit deinen Daten umgegangen bist.

Kündige dein PayPal-Konto.

PayPal bietet eine grotesk schlechte Sicherheit für deine Daten. So ist es zum Beispiel bei PayPal möglich, das Passwort eines gekaperten Zugangs telefonisch zurückzusetzen, indem einfach statische Daten über den echten Besitzer des PayPal-Kontos abgefragt werden. Brian Krebs hat dokumentiert wie so ein Angriff abläuft.
Es gibt immer eine alternative Zahlungsmöglichkeit zu PayPal. Und sollte ein Dienst wirklich nur PayPal als Zahlungsmittel anbieten, dann solltest du dir grundsätzlich Gedanken über den Einsatz dieses Dienstes machen.

Such dir einen sicheren Messenger.

Nein, WhatsApp ist nicht die beste Wahl für einen Messenger. Es ist noch nicht mal nahe dran.
Und komm mir jetzt nicht mit dem Argument: “Aber die anderen verwenden es doch alle.”. Oder frisst du etwa Scheiße? Das ist die gleiche Argumentationsschiene, schließlich machen das Milliarden von Fliegen auch.
Also sei halt ein bissel cooler als die träge Masse und nutze Signal. Ja, du musst hier selbst tätig werden und Überzeugungsarbeit in deiner Peer-Group leisten, aber es geht hier schließlich um deine Daten und deine Privatsphäre.

Schmeiß Flash von deinem System.

Immerhin habe ich regelmäßig etwas zu lachen, wenn ich mal wieder lese, dass Adobe schon wieder, häufig außer der Reihe, Flash patchen musste, weil schon wieder eine – oder eher neunzehn – Sicherheitslücken aufgetaucht sind.
Liebe Leute, lasst euch sagen,
ihr solltet es wagen,
ein Surfleben lässt sich sehr gut auch ohne Flash ertragen.
Also, ähnlich schlecht wie dieser Reim ist tatsächlich die Sicherheit die hinter Flash steht (nein, die ist tatsächlich noch um Längen schlechter!).
Ich halte es für lächerlich und unverantwortlich an einem so löchrigen System festzuhalten.
Und wie ich mittlerweile festgestellt habe, online aktiv zu sein funktioniert prächtig auch ohne Flash.
Probiert es einfach selbst aus. Ihr werdet sehen, es geht tatsächlich sehr gut.
Liebe Leser, dies sind meine Vorschläge für Vorsätze zum Schutz eurer Privatsphäre im neuen Jahr.
Schaut sie euch an, probiert sie aus und vor allem: habt Spaß dabei!
Ich wünsche euch einen entspannten Start in das neue Jahr und mir wünsche ich, dass ihr meine Tipps und Gedanken ganz undogmatisch für euch prüft. Es geht hier um euch und eure Privatsphäre. Macht was draus 🙂

Analoge Passworterzeugung mit Diceware

Diceware ist eine einfache und sehr sichere Möglichkeit, Passphrasen zu erzeugen.
Erst noch ein kleiner Exkurs, warum Passphrasen und nicht mehr Passworte?
Passworte, so wie wir es gelernt haben einzusetzen, kennzeichnen sich durch zwei Dinge:
Sie sind sicher und leicht zu merken.

Achne, stimmt ja gar nicht 🙂
Passworte so wie wir Sie bisher lernen sollten, also acht Zeichen lang, möglichst eine Mischung aus groß- und kleingeschriebenen Buchstaben, Sonderzeichen (aber nicht alle ;)) und Zahlen, ist weder sicher noch gut zu merken.

  • Zum einen sind acht Zeichen einfach viel zu wenig.
    So ein Passwort knackt jeder Abakus in kurzer Zeit.
  • Und eine Mischung aus wild aneinandergereihten Buchstaben, Sonderzeichen und Zahlen?

Also, ich weiß nicht, wie euch es geht, aber ich bin kein Gedächtniskünstler und fällt es schwer (wahrscheinlich weil ich es auch nicht will), mir so eine Zeichenfolge zu merken.
Und das ganze noch zehnmal! Weil ich soll ja immer noch für jeden Dienst ein eigenes, sicheres Passwort mitbringen.
Wie kommen wir jetzt aus diesem Dilemma heraus?

  • Ein Passwort soll sicher sein.
  • Es soll möglichst lang sein, damit es nicht so schnell gebruteforced werden kann.
  • Es soll auch nicht mit mir in Verbindung gebracht werden können, damit es nicht durch Social Engineering leicht herauszufinden ist.

Und für all diese Anforderungen bring Diceware eine Lösung.
Anstatt eines einzelnen Passwortes erzeugen wir eine Passphrase.
Eine Passphrase ist ein Satz, den wir uns leicht merken können, der aber nicht durch eine Brute-Force-Attacke geknackt werden kann.
Wenn wir jetzt noch einen Satz nehmen, der nicht mit uns in Verbindung gebracht werden kann, sind wir auch auf der Social Engineering Seite sicher 🙂
Diceware bietet eine einfache und analoge Methode zur Erstellung sicherer Passphrasen.
Das ganze basiert auf einer Liste von Wörtern und fünf sechseitigen Würfeln. Also das ganze geht auch mit einem Würfel, dann muss man halt fünfmal so lange Würfeln 😉
Die Liste besteht aus 7776 unterschiedlichen Worten (so viele unterschiedliche Möglichkeiten bieten fünf sechsseitige Würfel, also 6^5 Möglichkeiten).
Um jetzt eine Passphrase zu erstellen, würfeln wir mit den fünf Würfeln und lesen das gewürfelte Ergebnis von links nach rechts ab. Die so erwürfelte Zahl schauen wir in der Wortliste nach und erhalten damit das zugehörige Wort.
Diesen Vorgang wiederholen so lang, bis wir unsere Passphrase vollständig erstellt haben.
Arnold Reinhold, der Erfinder von Diceware, empfiehlt eine Passphrase aus mindestens sechs Worten.
Die Passphrase sollte aus diesen vier bis sechs einzelnen Worten bestehen, inklusive der Leerzeichen dazwischen. Diese Leerzeichen tragen dabei zu einer noch höheren Sicherheit der Passphrase bei.
Diese durch Diceware erstellte Passphrase schützt auch effektiv gegen Social Engineering Angriffe, da die Passphrase nicht mit dem Benutzer in Zusammenhang gebracht werden kann.
Damit haben wir eine sichere und einfach zu merkende Passphrase erwürfelt; und das ganze ohne technische Helferlein 🙂
Viel Spaß beim Passphrasen würfeln!