Heimliche Mitleser

Die gute Nachricht zuerst. Es existieren Programme, mit denen E-Mails sicher verschlüsselt werden können. So sicher, dass selbst Geheimdienste am Knacken der Nachrichten scheitern dürften. Leider haben diese Programme zwei Nachteile. Sie sind umständlich zu bedienen, denn beide Teilnehmer müssen die Software nutzen. Und: Wer verschlüsselt mailt, fällt auf wie ein Außerirdischer in der U-Bahn. Was also tun? Die klassischen Pfade verlassen und ungewöhnliche Methoden nutzen.

Der erste Trick scheint dem Repertoire von James Bond zu entstammen. Dabei wurde das Prinzip bereits in der Antike entwickelt, von einem verbannten Adeligen namens Demeratus. Er ritzte seine Botschaften in Holzplatten ein, die mit Wachs versiegelt wurden. Die scheinbar unbenutzten Platten gelangten durch alle Kontrollen – die Geburtsstunde der Steganografie. Und das Prinzip funktioniert heute noch. Googlen Sie nach „Stegano32 download" und laden Sie das Programm aus einer seriösen Quelle herunter (zum Beispiel von der Website einer Computerzeitschrift). Mit der Software können Sie Texte oder Dateien in Bildern oder Musikstücken verstecken. Wer schöpt schon Verdacht, wenn Sie einem Bekannten ein Foto der letzten Betriebsfeier senden? Stegano32 ist einfach zu bedienen. Der Clou: Das Bild oder der Sound werden nicht beschädigt und lassen sich normal öffnen. Die versteckten Dateien sind zusätzlich mit einem Passwort gesichert.

Ein ähnlicher Effekt lässt sich mit einem Packprogramm erzielen, zum Beispiel mit 7-Zip (kostenlos unter: http:// www.7-zip.org). Mit ihm kann man Texte, Bilder, Videos oder Programme in einem Container verstauen und verschicken. Eine unauffällige Software, die aber eine Überraschung parat hält: Die Pakete können sehr stark verschlüsselt werden. Man kann in ihnen auch geheime Dokumente auf Reisen schicken, ohne das Verdacht geschöpft wird.

Der dritte ungewöhnliche Trick sind kleine verschlüsselte Notizzettel wie zum Beispiel Locknote (kostenlos unter: http://locknote.steganos.com). Sie sind einfach zu bedienen. Man schreibt seinen Text in ein kleines Fenster und wählt beim Speichern ein starkes Passwort aus. Dann kann der Notizzettel verschickt werden. Allerdings müssen Sender und Empfänger einen kleinen Trick anwenden, damit der Zettel per Mail transportiert wird. Locknote benutzt die Datei-Endung .exe, die E-Mail-Provider nicht mögen. Deshalb muss die Endung vorm Verschicken in .txt geändert und nach dem Empfangen wieder in .exe umgewandelt werden.

Für Journalisten und Informanten, die versierter mit Programmen umgehen können, eignet sich der Klassiker der Mailverschlusselung: das kostenlose GPG (http://gpg4win.de). Das Prinzip ist faszinierend. Es ähnelt einem Briefkasten. Jeder kann ein Schreiben in den Kasten werfen. Doch geöffnet werden kann er nur mit dem Schlüssel des Besitzers. Mit der Software GPG erzeugt User A zwei Schlüssel: einen öffentlichen und einen privaten. Wer User A eine Botschaft zukommen lassen will, verschlüsselt die Nachricht mit dessen öffentlichen Key. Nur User A kann diese Mitteilung mit seinem privaten Key entschlüsseln.

GPG eignet sich für Personen, die häufig diskrete Schreiben per Mail verschicken, zum Beispiel Verträge. Für den journalistischen Alltag mit wechselnden Informanten ist das Programm nur bedingt geeignet.

Doch warum immer mailen? Viel einfacher zu bedienen sind Instant Messengers. Sie werden häufig in aktuellen Ressorts benutzt. Instant Messaging (IM) funktioniert schneller als Mailen. Man tippt einen Text in ein kleines Feld ein und sendet ihn. Die Nachricht erscheint sofort auf dem Bildschirm des Empfänger – ideal für Nachrichtenredaktionen, die schnell reagieren müssen. Weniger bekannt ist, dass für IM eine sehr effektive und einfach zu bedienende Verschlüsslungsmethode existiert.

Zuerst meldet man sich bei einem Instant Messaging Service an, zum Beispiel bei AOL (http:// www.aol.de/AIM). Auf die Software, die angeboten wird, kann man verzichten. Stattdessen lädt man sich das Programm Pidgin herunter (kostenlos unter: http://pidgin.im). Nach der Installation der Software wird der AOL-Account eingetragen. Nun kann man mit Bekannten chatten, die ebenfalls bei AOL angemeldet sind – allerdings noch unverschlüsselt. Die Verschlüsselung funktioniert erst, wenn ein kleines Zusatzprogramm installiert wurde: Off-the-Record Messaging (kostenlos unter: http://www.cypherpunks.ca/otr). Wenn beide Teilnehmer das Tool installiert haben, können sie sicher kommunizieren.

Tote Briefkästen. Bislang war nur die Rede von verschlüsselter Kommunikation. Das bedeutet: Der Inhalt der Mails (oder des Chats) zwischen Reporter und Informanten bleibt Fremden zwar verborgen. Nicht aber der Fakt, dass beide kommuniziert haben. Der Arbeitgeber und verschiedene Internet-Dienstleister können feststellen, wer mit wem gesprochen hat – und damit auch Behörden. Wer anonym kommunizieren will, muss andere Wege gehen. Es ist zwar möglich, auch die Herkunft der Benutzer von GPG oder Pidgin zu anonymisieren. Doch diese Techniken sprengen mit Sicherheit das Können eines durchschnittlichen Users. Deshalb gilt – wie zu Beginn des Artikels – der Ansatz: Ungewöhnliche Methoden sind notwendig.

In Teil 2 der Serie besprachen wir zwei Programme, mit denen sich das Surfen anonymisieren lässt: Tor (http:// www.torproject.org/index. html.de) und JonDonym (http:// www.jondos.de). Sie lassen sich auch zum anonymen Mailen nutzen. Der Trick: ein toter Briefkasten. Zuerst wählt der Reporter einen unauffälligen Webservice aus, der Mails verschlüsselt überträgt, wie zum Beispiel Web.de (die verschlüsselte Übertragung ist am https und dem Schloss-Symbol im Browser zu erkennen). Mit eingeschaltetem Anonymisierer wird ein Konto angelegt. Der Informant erhält die Logindaten. Er besucht das Konto ebenfalls nur mit Anonymisierer. Reporter und Informant tauschen Informationen nur über den Entwurfsordner aus – wie bei einem versteckten Briefkasten. Die Herkunft von Reporter und Informant können so zwar nicht festgestellt werden. Doch ein Problem bleibt. Die Texte im Entwurfsordner sind nicht verschlüsselt: Jeder E-Mail-Provider kann sie lesen. Was tun? Hier hilft einer der oben beschriebenen Tricks. So kann im Entwurfsordner ein kleines Bild abgelegt werden, das einen verschlüsselten Text enthält. Oder ein Container, der mit einem Packprogamm verschlüsselt wurde.

Vermutlich ist soviel Aufwand nicht notwendig. Für den Firefox-Browser sind kostenlose Add-ons erhältlich (http://addons.mozilla.org). Das sind kleine Zusatzprogramme. Eins trägt den Namen Leet Key und ermöglicht es, Texte zu verschlüsseln. Zwar ist nicht bekannt, wie sicher Leet Key arbeitet. Aber die Kombination aus anonymen E-Mail-Konto plus Verschlüsselung sollte nahezu alle denkbaren Fälle abdecken.

Wer anonym mailen will, kann auch Onlinedienste nutzen. Zum Beispiel die Website der German Privacy Foundation. Unter https:// www.awxcnx.de/anon-email.htm findet man ein Webinterface. Man gibt die E-Mail-Anschrift des Empfängers sowie den Text ein und schickt die Nachricht los. Sie wird über fünf zufällige Rechner zum Empfänger geleitet. Besonders praktisch: Es können auch kleine Dateien verschickt werden. Zwei Punkte sind jedoch zu beachten. Der Text ist unverschlüsselt und die German Privacy Foundation könnte die Herkunft des Users herausfinden. Wer diese Risiken vermeiden will, muss die Mail mit einer der besprochenen Methoden verschlüsseln und das Webinterface über einen Anonymisierer nutzen.

Anonymes (und verschlüsseltes) Mailen ist komplizierter als diskretes Surfen. Wer jedoch mit sensiblen Dokumenten und Informationen umgehen muss, sollte einen der beschriebenen Wege auswählen und nutzen.

Serie:

Teil 4 der Serie zum Thema „Vorsicht: Geheiminfos in Fotos und Texten" erscheint in „medium magazin" 11/08 Ende Oktober.

Erschienen in Ausgabe 10/2008 in der Rubrik „Medien“ auf Seite 62 bis 63 Autor/en: Peter Berger. © Alle
Rechte vorbehalten.
Der Inhalt dieser Seiten ist urheberrechtlich geschützt. Für Fragen zur Nutzung der Inhalte wenden Sie sich bitte direkt an die Redaktion.