Wie Prism und Tempora meine Datensensibilität weckten
Carolin Neumann, Vorsitzende der DMW und Redaktionsleiterin bei vocer, berichtet von ihrem Start in den Datenschutz.
„Ich habe ja nichts zu verbergen“, ist eine erschreckende, aber viel gehörte Formel, seit Prism, Tempora und XKeyscore aufgedeckt wurden. Menschen mit weniger Ahnung argumentierten ihre Bedenken weg und „Digitalos“ wie ich mussten sich an die eigene Nase fassen: Viele behaupteten zwar, das Ausmaß der globalen Überwachung ja längst erahnt zu haben – nutzten aber oft nicht die simpelsten Methoden, um sich zu schützen. Und ich ertappte mich dabei, wie ich begann, die Bedeutung von Datenschutz zu predigen, ohne ein einziges Mal in meinem Leben selbst eine E-Mail verschlüsselt zu haben.
Die Realisierung, dass ich ein großes Stück Sicherheit – nicht nur meine, sondern auch die von Kollegen, Gesprächspartnern, Geschäftspartnern – zugunsten von Bequemlichkeit aufgegeben hatte, schmerzt und ist mir als digital versierter Mensch heute peinlich. Dass ich jetzt Datenschutz endlich groß schreibe, wird an Prism und Co. auch nichts ändern und darf auf keinen Fall als adäquate, geschweige denn einzige Antwort auf die globale Spionage verstanden werden. Vielmehr war es längst überfällig und der Skandal ist der finale Weckruf nach 20 Mal Snooze-Button drücken. Vor allem für Journalisten. Für torial habe ich den Selbstfindungsprozess mit seinen Höhen und Tiefen dokumentiert.
Phase 1 – die Bestandsaufnahme
Auf Datenschützer muss es prätentiös und fast ein bisschen traurig wirken, wenn ich jetzt vollmundig aufzeige, wie viel ich doch vermeintlich schon v. S. (vor Snowden) für meine Datensicherheit getan habe. Immerhin: mit dem Add-on HTTPS Everywhere Internetseiten zu sicheren Verbindungen gezwungen, mir Fantasiewörter in Kombination mit Zahlen und/oder Sonderzeichen als Passwörter ausgedacht, gelegentlich mal eine andere Suchmaschine genutzt und meine Dropbox verschlüsselt. Das Schlimmste an meiner (endlich) erwachten Datensensibilität ist, dass ich doch auch schon vorher wusste, dass dies nicht genug ist; dass ich bei Facebook mit meinen Daten zahle, bei Google auch mit denen anderer und bei Skype nicht sicher sein kann, wer sonst noch meine Gespräche mithört. Akzeptiert habe ich die Risiken schneller, als ich es heute glauben mag, schließlich waren die Verheißungen der Cloud so groß.
Als mir Andrea „Princess“ Wardzichowski vom Chaos Computer Club Stuttgart dann kürzlich erklärte, was ich – als Journalistin und überhaupt – zu beachten hätte, war das so logisch, wie es doch irgendwie Neuland war. „Vertrauliche Daten sollten nicht in der Cloud gelagert werden.“ Punkt. Logisch. Gemacht hatte ich es trotzdem. Für Websites, Blogs und E-Mails solle ich nach Möglichkeit deutsche Anbieter wählen, weil nur diese dem deutschen Datenschutzgesetz unterliegen. Nachvollziehbar. Und trotzdem weitestgehend Fehlanzeige in meinem digitalen Alltag.
Phase 2 – aller Anfang ist schwer
Der erste Schritt auf meinem Weg zu einem sichere(re)n Datenalltag war, endlich E-Mails zu verschlüsseln. „Geht ganz schnell“; „15 Minuten, dann hast du’s“ und ähnliche Formeln hatten mir erst kurz vorher auf einer Journalistenkonferenz die Experten weismachen wollen. Von wegen! Tutorials, wie ihr je nach Betriebssystem und E-Mail-Programm am besten verschlüsselt, gibt es zwar jede Menge (persönlich habe ich mit dieser angefangen, dann hier weiter gemacht, noch ein bisschen gegoogelt, zwei Interviews mit Experten geführt und mir schließlich privat noch ein paar Dinge erklären lassen). Doch bis zum ersten #cryptoglücksgefühl dauerte es eine Weile.
Phase 3 – Gewöhnung
Dem folgte alsbald ein regelrechtes #cryptofieber. Inzwischen nutze ich alternativ zu dem noch immer wahnsinnig populären, aber für seine Datenlecks schon lange bekannten WhatsApp die Schweizer Anwendung Threema. Selbst das Verschlüsseln von Facebook-Nachrichten ist möglich:
Verschlüsselte (und noch nicht entschlüsselte) Nachricht beim Social-Media-Riesen Facebook
Ich habe neben meiner bisherigen Dropbox-Verschlüsselung BoxCryptor das gängige Kryptografieprogramm TrueCrypt ausprobiert, das meinem Verständnis nach ähnlich funktioniert, aber mir von IT-Sicherheitsberater Christian „Fukami“ Horchert als absolut notwendiger Schritt dringend empfohlen wurde. Letztlich habe ich mich, weil das alles nur wie eine halbe Lösung wirkte, mit Alternativen zu Dropbox beschäftigt, teste gerade mit ownCloud meinen eigenen Cloud-Space und erwäge in anderem Kontext gar die Anschaffung eines eigenen Servers. Nie war ich so gewillt, Geld für eine sinnige Lösung zu zahlen, die mir Sicherheit bietet und trotzdem nicht zu viel Komfort vorenthält. Sicherheit sei eben nicht zum Nulltarif zu haben, meinte auch „Princess“ vom CCC. Wieder: logisch!
Doch nicht alles, was logisch und möglich ist, hat dauerhaft einen Platz in meinem digitalen Leben gefunden. Der Tor-Browser beispielsweise, der mir anonymes Surfen ermöglicht, macht es zugleich so langsam, dass ich meine Arbeit als beeinträchtigt empfinde. Und zwei Verschlüsselungsprogramme mochten sich nicht und brachten mehrmals meinen Rechner zum Absturz – und mich zur Verzweiflung. Nachvollziehbar, wenn hier der Enthusiasmus stockt. Solche Schwierigkeiten sind nicht gerade ein ermutigendes Zeichen, wenn man doch eigentlich so sehr gewillt ist, seinen Umgang mit Daten zügig zu verbessern.
Erstaunlich gut funktioniert hingegen ein Leben ohne Google-Suche mit DuckDuckGo – alles eine Frage der Gewöhnung. Bei manchem warte ich noch auf den finalen Tritt in den Hintern, der Nutzung von Googles Kalender beispielsweise. Und im nächsten Schritt, sobald ich mein neues Smartphone habe, werde ich mit im Netz gefundenen Tutorials versuchen, eine Android-Version ohne Google aufzuspielen. Eine Herausforderung.
Phase 4 – Reflexion
Und dann? Ende gut, alles gut? Nicht ganz, denn ein Beigeschmack bleibt: Wenn schon ich als digital versierte, junge Frau mit einem an der Gesamtbevölkerung gemessen wohl überdurchschnittlichen Bewusstsein für Internetsicherheit Probleme habe – was soll „der Rest“ sagen? Soll er als Konsequenz dem Social Web den Rücken drehen wie dieser Kollege? Das ist doch nicht zeitgemäß. Klar: „Daten, die gar nicht erst angefallen sind, können nicht missbraucht werden“, meint „Princess“. Aber wir können nicht aufhören zu kommunizieren, Datenvermeidung ist also keine Alternative. Im beruflichen Kontext eines Journalisten ist das ohnehin noch mal eine andere Situation. Sensibel mit den eigenen Daten und der Identität von Gesprächspartnern umzugehen, ist hier ein Muss und keinesfalls eine Resignation gegenüber NSA und Konsorten. Es käme schließlich, so „Princess“, ja auch „kaum jemand auf die Idee, seine Wohnung unverschlossen zu lassen, weil Einbrecher trotz Schloss doch hereinkommen könnten“.
Weiterführende Links zum Thema:
- Gemeinsam verschlüsseln lernen kann man auf sogenannten Cryptopartys, die es in ganz Deutschland gibt.
- Auf prism-break.org findet ihr eine lange Liste mit Alternativen zu Google, Facebook und Co.
- Dieser sehr gute Kommentar über den „Skandal von historischem Ausmaß“ ist auch nach zwei Monaten immer noch aktuell.
Simon Hurtz
Angela Gruber
Alex Sängerlaub & S. Hurtz
Bernd Oswald
Journalistisches Blog, und dann ein fetter Grammatikfehler in der Überschrift…?
Der erste Skandal ist doch, dass Journalisten das vom CCC erklärt bekommen und eben nicht von Journalistenverbänden oder der „publizistischen Elite“. Eine ganze Branche schert sich nicht darum, wie sie arbeiten MÜSSTE?
Natürlich braucht nicht jeder TrueCrypt (hängt vom jeweiligen Rechner ab), ist aber meist sinnvoll. Wird aber von fast niemandem in der wünschenswerten Weise eingesetzt, weil quasi keinerlei Bewusstsein (sogar bei den meisten ITlern) dafür besteht, dass man Daten nach ihrer Vertraulichkeit sortieren und UNTERSCHIEDLICH behandeln muss.
Und natürlich darf man Vertrauliches speichern, wo immer man möchte. Es ist ja eh verschlüsselt. Oder etwa nicht?
Die Frage nach der Masse der Leute drängt sich auf, ist aber weniger deprimierend, als es scheint. Das Ziel ist ja nicht, dass das nun alle selber machen, sondern das Ziel ist, dass sich innerhalb von zehn Jahren „alle“ entsprechende Hilfe holen (mit dem Teilziel, entsprechend viel Hilfe anzubieten). Sobald jeder in seinem Bekanntenkreis jemanden hat, der sich gut mit der Problematik auskennt, lösen sich viele Probleme in Wohlgefallen auf.
Die Wahrscheinlichkeit, dass Sie sich aus eigener Kraft einen guten OpenPGP-Schlüssel erzeugt haben, ist übrigens gering. Das ist die Praxis: Das allgemeine Know-How ist so mies, dass nur noch gefragt wird, „Benutzt Du XY?“, es aber fast nirgendwo für „Benutzt Du es richtig?“ reicht. Ganz so, als ob der Stolz ob der eigenen Aktivität die Jungs mit den großen Computern auch nur eine Sekunde aufhielte.
http://www.openpgp-schulungen.de/
Lieber Hauke,
»»
Der erste Skandal ist doch, dass Journalisten das vom CCC erklärt bekommen und eben nicht von Journalistenverbänden oder der “publizistischen Elite”. Eine ganze Branche schert sich nicht darum, wie sie arbeiten MÜSSTE?
»» Dem stimme ich absolut zu, das ist ein wichtiger Punkt. Und deswegen werde ich gleich nach Abschicken dieses Kommentars mal einen Hinweis an meine Kontakte im DJV und bei den Freischreibern schicken und fragen, ob sie nicht wenigstens mal Cryptopartys (in Hamburg nun in regelmäßigen Abständen z.B. im Betahaus) empfehlen wollen, wenn sie es schon selbst nicht so anbieten. Ich habe auch das Gefühl, das kommt völlig zu kurz.
Deswegen ja übrigens auch ein Beitrag auf diesem Blog, wo er hoffentlich viele Journalisten erreicht, die sich auch noch nicht mit den Themen beschäftigt haben!
Moin,
es geht mir gerade nicht darum, dass nun auch die Journalisten Cryptopartys organisieren. Das können andere (hoffentlich) besser.
Ich erwarte von zumindest der Mehrheit der investigativ relevanten Chefredakteure (das könnten die Verbände mal anstoßen) eine gemeinsame, verbindliche Erklärung dazu, dass einerseits innerhalb überschaubarer Zeit eine transparent auf hohem Niveau sichere Kommunikation mit ihren für sensible Belange zuständigen Redakteuren ermöglicht wird und andererseits innerhalb einer deutlich längeren Zeitspanne die (soweit praktikabel) gesamte elektronische Kommunikation ihrer Redaktion technisch gesichert wird (d.h. im Bedarfsfall verschlüsselt werden kann und generell signiert wird).
Denn eins muss man sich klar machen: Auf technischer Ebene wird es keinen Snowden 2 geben. Die Dienste werden sich nicht noch mal verarschen und von Anfängertechnik (auf Guardian-Seite) austricksen lassen. Die wissen jetzt, wonach sie suchen müssen. Nur das war vorher die Schwachstelle, die genau ein Mal ausgenutzt werden konnte.
Inhaltlich sollten die Medien die Entwicklung im Auge behalten, also neben dem „Politbarometer“ ein monatliches „Cryptobarometer“: Wie sieht die Verbreitung bei
a) den Medien (Fingerprint im Heft?)
b) den großen Unternehmen des Onlinehandels
c) den Mailprovidern
d) den Softwareanbietern
e) den Parteien
aus? Wenn man jeden Monat gefragt wird bzw. jeden Monat eine geklatscht kriegt (und das absehbar so weitergeht), dann rührt man sich irgendwann.
Nächster Block:
a) An wie vielen Schulen
b) an wie vielen Hochschulen
gibt es Schulungsangebote, und welchen Teil der Schüler bzw. Studenten erreichen die?
c) Wie viele Cryptopartys (Anzahl plus Teilnehmer) gibt es in unserer Stadt / unserem Bundesland / der Republik?
d) Wie viel Geld stellt die Politik zur Verfügung, damit das BSI die Entwicklung von Open-Source-Sicherheitssoftware fördern kann?
Das können auch Praktikanten erledigen. Der entscheidende Punkt ist, dass das als konstante Kennzahl für Deutschland gesehen werden muss, eben wie die Arbeitslosenquote und die Polit-Umfragen.
Wir brauchen in fünf bis zehn Jahren etwa zehn Millionen (!) Nutzer alleine in Deutschland, sonst ändert sich kaum etwas. Diese Erkenntnis muss sich mal verbreiten und dann muss man die Zielerreichung im Auge behalten. Ich habe das hier mal erläutert:
http://www.openpgp-schulungen.de/presse/
Hallo,
für die hier geforderten Maßnahmen gibt es ja offensichtlich weder eine gesellschaftliche, noch eine politische Willensgrundlage – deshalb passieren sie nicht. Ich bin auch sehr für das individuelle Engagement und natürlich macht es Sinn, dass Journalisten mit gutem Beispiel vorangehen. Aber die wichtigere journalistische Aufgabe finde ich aktuell, an dieser notwendigen Willensbildung mitzuwirken und Druck aufzubauen auf die Politik. Zu viele Menschen und zu viele, gerade konservative Politiker haben schlicht die Dimension des Problems nicht verstanden. Aber wenn die Darstellung unserer Freiheit im Digitalen nicht wenigstens erstmal ein gesellschaftlich akzeptierter Wert ist und nicht politischer Anspruch, dann wird der Aktivismus von wenigen zu nichts führen, ganz sicher nicht zu 10 Millionen Nutzern verschlüsselten Email-Verkehrs.
Ich bin bei dir, dass Journalisten in Sachen Aufklärung und Hilfe zu politischer Meinungsbildung gerade einen wichtige(re)n Job haben. Das ändert aber nichts daran, dass Journalisten und ihre Verbände eigentlich längst für das Thema Datenschutz hätten sensibilisieren müssen. Denn: Nur wenn sie selbst dem Thema ggü. sensibel sind (und dazu gehört auch, sich um den eigenen Datenschutz zu kümmern), können sie ausreichen und ausreichend glaubwürdig über das Thema sprechen.
Wenn es doch nur PRISM und TEMPORA gäbe. Aber es gibt noch viel mehr als das. Die Überwachung die wir hier jetzt haben ist alt. Älter als wir alle immer glauben. Die Überwachung begann nicht mit dem 11. September. Sie begann schon viel früher. Tempora und PRISM sind nur zwei Programme von vielen:
http://teleschirm.info/150/177/prism-tempora-sind-nur-ein-kleiner-teil/