Wie kurznachrichte ich sicher?

Was wollen wir überhaupt erreichen, wenn wir jemandem eine Kurznachricht senden und warum sollte dies denn überhaupt sicher sein?
Fragen über Fragen, aber gut ist es, wenn wir uns diesen stellen.
Denn dann können wir erst bewerten, worauf es uns dabei ankommt.
Wenn es euch gänzlich egal ist, dann solltet ihr an dieser Stelle aufhören weiterzulesen und postet stattdessen lieber ein Selfie von eurem nächsten Schritt in eure Datenunmündigkeit.
Wir anderen überlegen uns, was wir erreichen wollen.

Was kurznachrichte ich?

Nun, wir sprechen hier von KURZnachrichten.
140 Zeichen.
Da lässt sich jetzt eine längere philosophische Betrachtung der Notwendigkeit von Gut und Böse in einer dualistischen Welt eher schwerlich abhandeln (schon diesen Titel bekommen wir nur unter schmerzlichen Kürzungen zustande).
Eine KURZnachricht sollte einen KURZEN Inhalt in der Form von
Ich komme um 14 Uhr am Bahnhof an.” haben.
Gut, ein bissel länger geht schon, aber ich denke, ich habe mich verständlich gemacht.
Meine Aussage hinsichtlich eines kurzen INHALTs sehe ich auch noch aus einem anderen Blickwinkel:
Habe heute wieder ein lila-getupftes Hemd an! Toll!!!1!!! 🙂” ist zwar kurz, aber kein INHALT.
Können wir also vergessen.
Um dies jetzt aus Sicht von “wie kurznachrichte ich sicher” zu sehen, empfehle ich einen Dienst, der die INHALTE verschlüsselt.
Das macht mittlerweile fast jeder. Sogar WhatsApp. Wenn alle beteiligten Kommunikationspartner die aktuelle Version haben.
Wenn euer Messenger das nicht kann, dann sucht euch einen anderen.

Was bedeutet “sicher”?

Welche Sicherheit streben wir nun an, wenn wir sicher kurznachrichten wollen?

  • Meine Nachricht soll nicht mitgehört werden.
    Das erreichen wir – wie bereits erwähnt – dadurch dass wir unsere Kommunikation verschlüsseln. Dies bieten – wie auch bereits erwähnt – mittlerweile die meisten Dienste an. Wenn uns das ein Bedürfnis ist und unser aktuell genutzter Dienst das nicht bietet, ist meine Empfehlung (wie bereits erwähnt): sucht euch einen anderen Dienst.
  • Ich will sichergehen, dass ich wirklich mit demjenigen kurznachrichte, mit dem ich denke, dass ich kurznachrichte.
    Auch für die Aufgabenstellung der Authentifikation bieten die meisten Anbieter von Kurznachrichtendiensten eine Lösung. Das kommt quasi im Zuge der Veschlüsselung mit oben drauf, dass die Nachrichtenaustauscher die Möglichkeit haben, zu überprüfen, dass tatsächlich sie miteinander kurznachrichten und nicht irgendjemand sich in die Leitung geklemmt hat.

Als weiteres Schmankerl der hier verwendeten Kryptografie ist weiterhin die Möglichkeit inkludiert, zu überprüfen, ob die Nachricht auf der Strecke von A nach B verändert wurde.
Wenn ich jetzt also schreibe:
Ich komme um 14 Uhr am Bahnhof an.” und meine Nachricht wird auf dem Weg in: “Ich komme um 15 Uhr am Bahnhof an.” geändert, führt dies nur zu Ungemach und Ärger, wenn der Empfänger der Nachricht nicht feststellen kann, dass die Nachricht geändert wurde.

Ist Anonymität möglich?

Meiner Ansicht nach: nein.
Im Kurznachrichtendienstbereich ist keine Anonymität möglich, da wir immer digitale Spuren hinterlassen.
Schon allein dadurch, dass wir (meist) unsere Handynummer angeben müssen, damit unsere Nachrichten uns erreichen, ist das mit der Anonymität schon mal Essig.
Mike Kuketz hat das Thema Anonymität im Internet in seinem Blog sehr schön beleuchtet.
Außerdem gibt es ja noch das Über-Thema der Metadaten, die fallen halt einfach an!

Metadaten werden immer gesammelt

Da auch die dateninteressierten Anbieter der Kurznachrichtendienste mittlerweile begriffen haben, dass der Inhalt der meisten Nachrichten nicht die Bits und Bytes wert sind, die dafür ihr digitales Leben lassen mussten, haben auch so fortschrittliche Anbieter wie WhatsApp den Schritt zur Verschlüsselung der Kommunikation getan.
Es sind die Metadaten, die unsere Kommunikation so wertvoll machen.
Wer mit wem, wann, wie oft, wo?
Dies sind die Fragen, welche die Datenschürfer interessiert – und auf die sie auch alle Antworten bekommen. Unabhängig davon, ob die Nachrichten verschlüsselt sind.
Die Inhaltsleere der Nachrichten ist den Datenjägern und -sammlern längst bewusst. Die für sie wertschöpfende (und uns ausbeutende) Korrelation findet mehr als ausreichend über die Metadaten statt.

Beschränke dich!

Aber was können wir gegen diese perfide Art der Überwachung unternehmen?
Heulen und zähneknirschen?
Hilft – solange wir während dessen nicht auch in der Gegend herum texten:
Heule und zähneknirsche gerade!!!1!!!!1!
Nein, beschränken wir uns.
Liefern wir keine Metadaten.
Wir haben doch auch überlebt (und besser möchte ich meinen), als wir nicht alle sieben Minuten unseren geistigen Sondermüll in der virtuellen Gegend herumgeschickt haben!
Datensparsamkeit ist die einfachste und wirksamste Maßnahme, um die Datengier einzubremsen.
Außerdem tun wir uns und unseren Kommunikationspartnern einen riesigen Gefallen, wenn wir den Datenmüllberg nicht noch um etliche sinnlose Daten erhöhen.

Das hohe Lied auf Open Source

Es gibt so ein paar grundlegende Eigenschaften, die im Bereich sichere Kommunikation einfach immer wieder auftauchen.
Und dazu gehört auch Open Source.
Software, die sich ernsthaft mit Verschlüsselung beschäftigt, sollte eben Open Source sein.
Nur dadurch kann sichergestellt werden, dass

  • die Algorithmen richtig implementiert sind
  • keine Hintertüren eingebaut sind

Darum werde ich hier auch nicht müde zu sagen:
Achtet darauf, dass der Messenger den ihr einsetzt, Open Source ist.
Und WhatsApp ist das eben nicht.

Vielseitigkeit

Seid nicht so einseitig.
Hängt eure Gunst nicht an einen Schreihals, bloß weil dieser die meisten Datenschleudern hat.
Was wollt ihr denn?
Die Welt erreichen?
Dann ist der Weg über Kurznachrichten meiner Ansicht nach sowieso der Falsche.
Mit Kurznachrichten will ich einen oder maximal eine handvoll Empfänger erreichen – mehr nicht.
Dazu muss ich nicht den Dienst wählen, der die meisten Teilnehmer hat, sondern den Dienst, den mein Empfänger nutzt. Und das kann ich ganz individuell mit diesem Empfänger auskaspern.
Daher mein Rat:
Nutze doch einfach mehrere Anbieter und stifte ein wenig Verwirrung um deine Kommunikationswege.

Und was bleibt mir sonst?

Kurznachrichtendienste sind ja nicht die einzige Möglichkeit, um miteinander in Kontakt zu bleiben.
Schreibt doch einfach mal eine Postkarte.
Ist auch kurz (sogar, wenn man klein schreibt, länger als 140 Zeichen).
Liest auch kein Mensch.
Ist zwar offen, aber so offensichtlich, dass hier niemand große Geheimnisse erwartet. Das sieht auch Hans Magnus Enzensberger in seinen “Regeln für die digitale Welt” so.
Außerdem ist eine Postkarte deutlich anonymer als jede digitale Kurznachricht 🙂
Und wenn jetzt hier Gemaule über die Laufzeiten von Postkarten losbricht:
Mir geht es um KURZnachrichten, nicht SOFORTnachrichten!

TL;DR

  • Mehr Inhalt statt Datenmüll: Was kurznachrichte ich
  • Was ist schon Sicherheit: Confidentiality, Integrity, Authenticity
  • Anonym ist anders: Das kriegen wir hier nicht
  • Hättest du geschwiegen wärest du geheim geblieben: Datensparsamkeit
  • Die Quelle aller Sicherheit: Open Source
  • Sei bunt, sei vielseitig, sei frei!
  • Snail Mail rules: ein Hoch auf Postkarten

Und jetzt?
Schweigen und die Sonne genießen. Ohne es zu posten.

Selfies kill Privacy

Bilder bei Instagram posten ist ja so viel Fun! Yay!
…entschuldigung, da ist mir die Zynismus-Sicherung durchgeknallt…
Nein, ganz ehrlich, es ist ja wirklich schön, mit seinen Lieben die Urlaubserlebnisse visuell zu teilen, oder das tolle Essen welches mir gerade serviert wurde.
Aber…
Großes Aber, denn wer hier seine Fotos mit der ganzen Welt teilt, sollte sich bewusst sein, dass er nicht nur das sichtbare Bild hochlädt.
Nein, denn im Hintergrund werden mit dem Bild noch eine ganze Menge Metadaten mit übertragen. Diese Daten verraten einiges über die Kamera, mit der dieses Bild gemacht wurde. Schon das allein interessiert die Datenkraken sehr, denn dann können sie das Profil, welches sie über mich erstellen, noch weiter verfeinern. Zum Beispiel, indem mir passgenau Werbung zu meinem Tablet oder meiner Funkgeige reingedrückt wird.
Was jedoch noch wesentlich interessanter ist, dass hier auch das Datum und die genaue Uhrzeit vermerkt ist, wann dieses Bild entstanden ist…
Schon das ist ein Datenpunkt, welchen ich nicht so gerne freiwillig preisgebe, sagt es doch schon sehr viel mehr über die Umstände des Fotos aus als das Bild allein verrät.
Das ist aber immer noch nicht alles. Es wird noch deutlich schlimmer.
Die Metadaten des Bildes verraten auch die exakte geographische Position, wo dieses Foto aufgenommen wurde.
Also haben wir jetzt durch die Anmeldedaten von Instagram, dem Zeitstempel und der geographischen Koordinaten eine wundervolle Möglichkeit der Überwachung geschaffen…und wir füttern diese Überwachung auch noch freiwillig und mit ganz viel Spaß dabei.
Yay!
So, ist uns jetzt ein bisschen übel geworden und haben wir jetzt ein klein wenig Schwindelgefühle?
Also mir ging es jedenfalls so, als mir das zum ersten Mal bewusst wurde.
Aber zum Glück sind wir dieser Überwachung nicht hilflos ausgeliefert.
Ich habe an dieser Stelle drei Ideen, was wir tun können, um uns dieser Überwachung zu entziehen.
Als erste, radikale Idee (uuhh…da kommt er wieder, der Mann mit dem Aluhut…): Postet nicht jeden Scheiß. Ehrlich, kein Mensch (nicht mal du selbst) interessiert sich in fünf Minuten noch für dein tolles Selfie, das du vor dem 78. Brückenpfeiler mal wieder von dir gemacht hast.
Weniger posten bedeutet einfach weniger Datenpunkte für die Überwacher.
Is’ klar, ne?
Die nächste Möglichkeit zur Reduktion der Überwachung liegt in der Bearbeitung der Metadaten des geposteten Fotos. Diese Metadaten sind als Exif-Daten jedem Bild beigepackt. Schöne Analogie zum Beipackzettel. Liest beides kein Mensch. Diese Exif-Daten kann man sich mit passenden Tools oder auch Online-Diensten wie z.B. the eXif.er anschauen…und bearbeiten!
Ja, damit haben wir die Möglichkeit, die Metadaten unserer zu postenden Fotos zu verändern (ganz wichtig: vorher machen! Nach dem ganzen geposte sind die Metadaten schon bei den Kraken, dann isch d’ Katz da Boom nuf). Ganz praktisch, aber auch ein bissel aufwendig.
[Update]
…aber…es gibt auch praktischere Möglichkeiten der Bearbeitung der Exif-Daten direkt in der Funkgeige. Damit wird dann das aufwendige Prozedere Bild machen – auf den Rechner hochladen – Metadata bearbeiten – Bild wieder auf die Funkgeige übertrage – Bild posten – deutlich reduziert.
Für Android gibt es die App Photo Exif Editor, mit dieser wird die Bearbeitung der Exif-Daten quasi im Handumdrehen direkt auf der Funkgeige durchgeführt.
Für iOS gibt es da Photo Data by (Exiƒ Photos), das erledigt die gleichen Aufgaben 🙂
Um die Überwachung – zumindest was die geographischen Koordinaten angeht – einfach und dauerhaft zu vermeiden, reicht es, die Ortungsdienste deiner Funkgeige oder deines Tablets auszuschalten. Keine Ortungsdienste, keine geographischen Koordinaten in den Exif-Daten.
Einfach und wirkungsvoll.
Puh, glück gehabt, jetzt bleibt halt nur noch der Zeitstempel stehen, der uns halt dann doch verrät, das wir, statt im Büro zu sitzen, im Park ausspannen…aber da hilft ja dann halt doch wieder nicht posten oder die Exif-Daten korrigieren 🙂
So, und jetzt wünsche ich euch allen einen schönen Tag voll toller Erlebnisse – offline!
[Update]
Bei FreeYourData wurde dieser Tipp zum Bearbeiten der Metadaten auch für die neue Episode Instagram-Leaks verwendet 🙂
Ich wünsche viel Spaß mit dem Interview mit Tin Fischer!