Verschlüsselung von Nachrichten - z.B. mit GnuPGP - ist einfach und effektiv. Dass dennoch bis heute nur ein Bruchteil der Bevölkerung (auch und gerade unter den "Digital Natives") Verschlüsselungstechniken anwendet und damit sorgfältiger mit der eigenen und mit fremder Privatsphäre umgeht, liegt wohl an der Verbreitung verschiedener Vorurteile und Falschinformationen.

Die wichtigsten Vorurteile und Märchen werden im Folgenden aufgelistet und kommentiert:

Die Anwendung von Verschlüsselung mit PGP zur Sicherung von Daten ist in Europa legal. Zwar haben sich die USA nach der Erfindung von PGP zunächst gegen seine Verbreitung eingesetzt (heute aus nachvollziehbaren Gründen); auch in Frankreich war bis vor einigen Jahren sog. "harte Kryptographie" untersagt. Das hat sich mittlerweile geändert und Angebote wie OpenPGP und GnuPGP haben sich längst durchgesetzt. Sie können Ihre Nachrichten in der Regel bedenkenlos chiffrieren, ohne rechtliche Konsequenzen zu befürchten. Im Gegenteil, aus verfassungsrechtlicher Perspektive ist eine Verschlüsselung von persönlichen Daten sogar geboten: Bereits 1983 hatte das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil das "Grundrecht auf informationelle Selbstbestimmung (RiS)" zum Schutze von persönlichen Daten gegenüber staatlicher Eingriffe proklamiert. 2008 sah sich das Gericht angesichts der neuen IT-Entwicklungen und damit verbundener Überwachungsgefahren (Stichwort: Online-Durchsuchung) erneut gezwungen, den Schutzbereich des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verb. mit Art. 1 Abs. 1 Grundgesetz) zu erweitern und begründete das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" - in der Mediensprache auch das "Computergrundrecht" genannt. Schließlich hat das "Committee of Ministers" des Council of Europe 2014 einen "Guide to human rights for Internet users" veröffentlicht.

Natürlich erfordert die Einrichtung des Verschlüsselungsprogramms ein wenig Auseinandersetzung mit dem Thema und ist nicht durch den Klick auf "Installieren" getan. Mit ein paar Klicks mehr hingegen schon: Sie haben ja auch gelernt, Auto zu fahren oder überhaupt eine E-Mail zu versenden. Die Einrichtung von GnuPGP etwa ist für den durchschnittlichen Internetnutzer ohne informatische Kenntnisse mit der richtigen Anleitung leicht umzusetzen. Nehmen Sie sich die Zeit und fragen Sie gegebenenfalls Leute, die sich damit auskennen.

"Wer nichts zu verbergen hat, hat auch nichts zu befürchten." Mit diesem geradezu nötigenden, in die Enge treibenden "Argument" wurden seit 2001 zahlreiche Gesetzesverschärfungen im Kontext der terroristischen Gefahrenabwehr und eine massive Ausdehnung der Eingriffsrechte von Sicherheitsbehörden begründet. Nötigend ist das Argument, insofern es fundamentale rechtsstaatliche Prinzipien - allen voran die Unschuldsvermutung - umkehrt, pervertiert: eigentlich sind es die Sicherheitsbehörden, die Schuld nachzuweisen und etwa vor Gericht entsprechende Belege beizuschaffen haben. Jetzt aber soll sich verdächtig und schuldig machen, wer nicht bereits freiwillig sein ganzes Leben offen legt. Folgt man dieser Logik konsequent, bedeutete dies die Abschaffung jeglicher Freiheitsrechte, sämtlicher Privatsphäre und die völlige Selbstaufgabe zugunsten allumfassender staatlicher Überwachung.

Viele Mitmenschen haben dieses fatale Prinzip mittlerweile schon internalisiert und nutzen es zur Selbstberuhigung ("mir wird schon nichts passieren") und zur Legitimation von Untätigkeit (anstelle des Ergreifens von Schutzmaßnahmen). Diese Haltung zieht sich überraschenderweise durch alle Bevölkerungsschichten unabhängig von Herkunft oder Bildungsgrad. Dabei wird Ihnen schon bei kurzer Prüfung klar: Sie haben sehr wohl etwas zu verbergen.

  • Nachfragen bei Ihrem Rechtsanwalt, wie Sie mit der unerklärten Steuerschuld oder der Fahrerflucht umgehen sollen?
  • Heimliche Grüße von Ihrer hübschen Kollegin, die Sie Ihrer Familie gerne vorenthalten würden?
  • Ihre Antwort auf die Mahnungen über ungezahlte Rechnungen?
  • Fotos von der durchzechten Nacht, während Sie doch krank geschrieben waren?
  • Ihre Witze über den Chef, den Kollegen, den vermeintlich "besten Freund"?
  • Die Tipps Ihres Arztes zum besseren Umgang mit Ihrer Krebserkrankung, Alkoholabhängigkeit, Ihrer Depression?
  • Die elektronische Bewerbung mit allen Informationen über Ihr bisheriges Arbeitsleben (inkl. all der Beschönigungen und Übertreibungen)?
  • Das Gutachten, in dem Sie den Forschungsantrag Ihres Kollegen nicht sehr gut wegkommen lassen?
  • Ihre Ideen für eine neue marktträchtige Erfindung?
  • Die Rechnungen der Pornographie-Website?
  • Ihr erstes Konzept für eine neue politische oder religiöse Vereinigung?

Sie haben wirklich noch keine Information via E-Mail versendet, die Sie ansonsten niemals auf eine Postkarte geschrieben oder an ein schwarzes Brett genagelt hätten? Wollen Sie tatsächlich darauf wetten, dass diese Daten auch in der Zukunft niemals in die Öffentlichkeit (Freundeskreis, Familie, aktuelle oder zukünftige Bank, Schufa, Krankenkasse usw.), an staatliche Ermittlungsbehörden oder kriminelle Organisationen gelangen?

Wenn Sie wirklich nichts "Fragwürdiges" versendet haben, haben Sie ja nichts zu befürchten. Oder doch? Vielleicht haben Sie ja schon von folgenden Fallgruppen gehört:

  • Einreiseverbote, da Sie nach Datenrasteranalysen unter Terrorverdacht stehen können - kein Einzelfall. Es reicht, dass Sie jemandem eine (unverschlüsselte) Nachricht senden, der oder die vielleicht auch völlig zufällig Kontakte zu sog. "islamistischen" Gruppierungen haben könnte. Schnell können Sie auf eine "NoFly-Liste" geraten.
  • Es müssen nicht immer gleich Gefangennahme, Entführung und Folter durch die CIA sein (wie es im Fall des Deutschen Khaled al-Masri prominent geworden ist); es reicht schon, dass Sie auf Grund von Datenähnlichkeit unschuldig in den Verdacht geraten, Kinderpornographie zu vertreiben (Natürlich stellen sich die Vorwürfe in Ihrem Fall als falsch heraus, aber glauben Ihnen das auch ehemalige Freunde, Verwandte, Arbeitgeber und Kollegen?). "Wohnungsdurchsuchungen, observierte Telefone und Computer, Festnahmen - schon geringe Indizien reichen aus, um als vermeintlicher Terrorist ins Visier der Fahnder der Bundesanwaltschaft zu geraten" (Frontal21, ZDF).
  • Sie erzählen Ihren Freunden in einer unverschlüsselten Nachricht von ihren geplanten Ferien oder direkt Urlaubsgrüße aus der Ferne: als Sie zurückkommen, haben begeisterte Mitleser Ihre Wohnung aufgebrochen und sämtliche Wertsachen fortgeschafft.
  • Sie leben in einem sicheren Rechtsstaat, in dem Informationen nicht gegen Sie verwendet werden. Dieser Rechtsstaat hat jedoch noch keine lange Bewährungszeit hinter sich: knapp siebzig Jahre seit dem letzten deutschen Weltkrieg (deutsche Beteiligung an kleineren Angriffskriegen gab es auch in jüngerer Zeit) leben wir in Friedenszeiten - gegenüber Hunderten von Jahren Kriegszeit und auch aktuell Krisensituationen in der europäischen Nachbarschaft (Rechtsnationale Regierung in Ungarn, Norwegen, Erstarken rechtskonservativer und rassistischer Parteien in Deutschland, Frankreich, Niederlande, ÖsterreichItalien usw.). Dass Ihre Daten, die heute ungeschützt verschickt und gespeichert werden, in 10, 20 oder 30 Jahren zu Ihrem Nachteil, ja zur Lebensgefahr werden können, zeigt das Beispiel "Rosa Liste": Während der Kaiserzeit wurden von der Polizei Anfang des 20. Jahrhunderts Listen von Homosexuellen angefertigt, ohne jedoch die Betroffenen in jedem Fall unmittelbar zu benachteiligen. 1933 jedoch fielen diese Listen den Nationalsozialisten Hitlers in die Hände und boten eine Grundlage für systematische Verfolgung und Ermordung. - Dass dieses Beispiel nicht nur Vergangenheit ist, zeigt die aktuelle Kriminalisierung von Homosexuellen in Russland oder direkte Diskreditierungsversuche von unliebsamen Personen durch die NSA.
  • Wenn Sie nicht mehr ohne das Gefühl, beobachtet zu werden, kommunizieren können, verändern Sie sich: zwanghaftes Verhalten, gegenseitige Verdächtigungen, Rückzug in eine unpolitische Privatheit, Aufgabe grundlegender demokratischer Prinzipien. Diese Gefahr, die man ansonsten nur "Stasizeiten" zuschreiben möchte, ist auch gegenwärtig real, wird jedoch von einem Großteil der Bevölkerung nach wie vor verharmlost oder verdrängt. Auch prominente Aufrufe haben daran bislang wenig verändert, die politischen Leitungsgremien lassen Überwachungsmaßnahmen unwidersprochen gewähren. Die Folgen eines Überwachungsstaates können dramatisch und auf lange Sicht gar nicht oder nur unter großen Verlusten wieder umzukehren sein.

Erneut: Haben Sie wirklich nichts zu verbergen und nichts zu befürchten?

Und genau das ist das Problem. Würde sich jemand tatsächlich hinsetzen und alle Ihre Nachrichten sorgfältig lesen, wüsste der- oder diejenige sehr gut über Ihr Leben Bescheid. Er wüsste von den Zwiespälten, die Sie begleiten, von den unterschiedlichen, oft sehr differenzierten, machmal auch widersprüchlichen Meinungen, die Sie je nach Situation einnehmen können. Er würde verstehen, dass Sie früher auch einmal Dummheiten gemacht und daraus gelernt haben (wer hat das nicht?). Dass es bestimmte Umstände gab, die Sie zu diesem oder jenem Verhalten veranlasst haben usw.

Massendaten können nicht im Detail gelesen, sondern nur durch Raster- und Mustererkennung gefiltert werden. Raster und Muster bedeutet Abstraktion von den individuellen Umständen, die einen tagtäglich umgeben. Abstraktion bedeutet Stereotypisierung, Kategorisierung, Pauschalisierung. Ironie versteht die Maschine zum Beispiel nicht: ein Scherz über "Bomben auf Washington" kann dann schnell zur terroristischen Gefahr werden (mit gravierenden Folgen für Ihre nächste USA-Reise) und Ihr Interesse am Thema "Verschuldung" zu einem Problem für Schufa und Kreditaufnahme.

Darum: Entziehen Sie sich diesen Rasteranalysen, indem Sie Ihre Nachrichten verschlüsseln und auch für die Maschinen unlesbar machen!

Die Sorge lautet: "Indem ich verschlüsselt kommuniziere, zeige ich, dass ich etwas zu verbergen habe und ziehe interessierte Blicke auf mich! Wenn ich also nicht verschlüssele, gehe ich in der unverdächtigen Masse unter." Das darin enthaltene Argumentationsmuster hängt eng zusammen mit der Aussage, man habe "doch nichts zu verbergen". Sie sollten aber bedenken:

  • Das Argument spielt mit Ihrer Angst, wovor eigentlich? Entweder Sie vertrauen in die Rechtsstaatlichkeit Ihres Landes, dann müssen Sie sich auch nicht rechtfertigen, wenn Sie Ihre Nachrichten verschlüsseln. Oder Sie vertrauen eben nicht oder nicht ganz in das rechtsstaatliche Agieren der Behörden, dann sollten Sie erst recht verschlüsseln.
  • Eine verschlüsselte Nachricht ist noch lange kein Beweis dafür, dass Sie etwas Unrechtes getan haben (oder fürchten Sie auch Bestrafung, wenn Sie die Haustüre hinter Ihnen abschließen?). Zumal niemand außer Ihnen an den Inhalt der Nachricht gelangt.
  • Schließlich sollten Sie sich darüber im Klaren sein: Ihre Untätigkeit aus der Angst vor Verdächtigkeit wird weit weniger vom Staat oder den Geheimdiensten ausgenutzt. Vielmehr sind es kriminelle Hacker und Datendiebe, die sich an dem reichen Datentisch erfreuen.

Dieses Argument gegen Verschlüsselung unterstellt, wir verhielten uns überall "ungezwungen" und frei individualistisch. Tatsächlich passen wir unser Kommunikationsverhalten aber kontinuierlich den jeweiligen situativen Bedingungen an: Wir beginnen die Stimme zu senken oder zu flüstern, wenn sich fremde Ohren in die Nähe eines 4-Augengesprächs nähern. Oder wir verrücken den Bildschirm unseres Notebooks, um ihn interessierten Blicken zu entziehen. Analog hierzu ist die sichere Verschlüsselung von E-Mails und anderen Nachrichten die angemessene, vernünftige Reaktion auf Lauschangriffe (auch - oder gerade -, wenn wir sie in der Regel kaum oder nie wahrnehmen).

Manche E-Mail-Nutzer lehnen eine Verschlüsselung ab, weil sie die Polizei- und Überwachungsbehörden in der Pflicht sehen: diese sollten zu einer Wahrung der Privatsphäre (ggf. politisch) gezwungen werden und ihr Verhalten entsprechend anpassen, - nicht der Bürger! - Diese Perspektive macht nicht nur Sinn, sie ist auch wichtig in der politischen Auseinandersetzung um Bürgerrechte und Datenschutz. Allein: Vertrauen ist gut, Selbstschutz ist besser. Sie lassen Ihr Auto auch nicht unabgeschlossen und vertrauen darauf, dass der Abschleppdienst oder zufällige Passanten Ihre Aktentasche schon nicht antasten würden. Solange also nicht mit Sicherheit gewährleistet ist, das Nachrichten unberührt bleiben (und diese Sicherheit ist derzeit nachweislich ausgeschlossen), gibt es keine andere Wahl, als Ihre Nachrichten gegenüber Fremden "abzuschließen".

Diese Behauptung ist pauschalisierend und nur in einer Welt richtig, in der unbegrenzte Zeit und Ressourcen zur Verfügung stehen. Beides ist aber derzeit und auch in Zukunft nicht der Fall. Im Gegenteil: Moderne Verschlüsselungstandards (wie etwa AES-128, AES-256 und andere) sind derart hoch, dass sie bei richtiger Anwendung (!) derzeit nicht zu knacken sind. Selbst die größten Hochleistungsrechner dieser Welt bedürften noch Milliarden von Jahre und eine nahezu grenzenlose Energieversorgung (Strom), um derartige Sicherheitssysteme zu kompromittieren. Das Problem ist nicht die Technik, sondern sind menschliche Fehler. Wer eine verschlüsselte Nachricht lesen möchte, versucht daher eher, sich über verschiedene Tricks den geheimen Schlüssel zu erschleichen (meist durch Ausnutzen von sozialer Arglosigkeit der Opfer) als den Schlüssel etwa mit Rechenpower zu "erraten". Wer also die Technik richtig einsetzt und insgesamt sorgfältig mit vertraulichen Daten sowohl in der analogen als auch in der virtuellen Welt umgeht, der kommuniziert sicher.

Diese Aussage ist ebenso pauschal wie falsch. Wenn Sie Ihre Nachrichten etwa mit PGP verschlüsseln, sind diese auch verschlüsselt gespeichert. Wer sich also Zugang zu Ihrem Rechner oder zu Ihrem E-Mail-Konto online verschafft (das passiert gar nicht selten) findet bestenfalls einen Code, aber keine lesbaren Inhalte. Nur Nachrichten oder Teile von Nachrichten, die unchiffriert gespeichert sind, sind auch in Gefahr.

Etwas anders sieht es aus, wenn es Angreifern Ihres Rechners gelingt, sogenannte Keylogger oder andere Trojaner im System zu installieren. Keylogger sind Programme oder Hardwareteile, die sämtliche Tastatureingaben - und damit auch eingegebene Passwörter - aufnehmen, speichern und Dritten zugänglich machen. Andere Schadsoftware kann regelmäßig Screenshots ("Abbilder") des Bildschirms erheben und damit zum Beispiel Nachrichten in dechiffrierter Form "abfotografieren" und nach außen leiten.

Gegen die Gefahr von Trojaner-Schadsoftware lassen sich aber verschiedene präventive Gegenmaßnahmen einleiten:

  • Die größte "Lücke" in der privaten wie professionellen Sicherheitsarchitektur von Rechnersystemen ist und bleibt der Mensch und die Unwissenheit oder auch Trägheit vieler MitbürgerInnen. Wer sich keine Gedanken über sein System (z.B. Windows vs. Linux) macht, unvorsichtig im Netz surft und unbedacht jede (infiltrierte Spam-) Nachricht öffnet, der setzt sich auch leichtfertig etwaigen Angriffen aus. Umgekehrt ermöglicht ein grundsätzlich sensibler Umgang mit persönlichen Daten, Sicherheitssoftware usw. auch ein vergleichsweise hohes Maß an Schutz gegenüber unerwünschten Eindringlingen.
  • Der Großteil an Keyloggern und anderen Trojanern wird von Antivirensoftware, AntiSpyware u.ä. Abwehrprogrammen erkannt und unschädlich gemacht. Voraussetzung ist natürlich die Installation und regelmäßige Wartung (Aktualisierung) solcher Schutzprogramme.
  • Wer sich darüber hinaus speziell gegen Keylogger schützen möchte, kann auf einfache Tricks oder Alternativen zur Passworteingabe via Tastatur zurückgreifen (z.B. via Bildschirmtastatur oder Kartenlesegerät).
  • Natürlich gibt es auch hochentwickelte Spezialsoftware, die mit großem Ressourcenaufwand passgenau auf einen Rechner und seine vorhandenen Schutzmaßnahmen zugeschnitten werden (vgl. Stuxnet). Wer aber begründeten Verdacht hat, Ziel eines solchen Angriffs werden zu können, der sollte sich Rat bei entsprechenden Experten einholen (oder mit anderen Worten: der oder die hat ganz andere Probleme).

Schließlich ist klar: Vollständiger Schutz gegen Angriffe von Fremden ist nicht möglich. Ist das aber ein vernünftiges Argument, um sich auch partiellen Schutzmaßnahmen zu verweigern? - Würden Sie Ihre Wohnungstüre tatsächlich nicht abschließen, nur weil es auf der Welt Leute gibt, die sie mit entsprechenden Techniken dennoch öffnen können?

Das ist korrekt. PGP verschlüsselt zwar den Inhalt einer Nachricht (einschließlich der Anhänge), nicht aber Metadaten (also Angaben über Absender, Adressat und Betreff). Diese Tatsache sollten Sie sich bewusst machen, wenn Sie eine verschlüsselte Nachricht versenden. Sie müssen ja keine Kontoverbindung in den Betreff schreiben.

Das ist nur teilweise richtig. Wenn Sie jemandem eine z.B. mit PGP verschlüsselte Nachricht zuschicken möchten, muss der Empfänger ebenso über PGP verfügen. Generell können Sie sich aber untereinander abstimmen, ohne dabei auf den Rest der E-Mail-Welt Rücksicht nehmen zu müssen. Je mehr Menschen allerdings von Verschlüsselungssystemen wie PGP Gebrauch machen, desto einfacher wird die Organisation (z.B. weil dann immer mehr Menschen ihren öffentlichen Schlüssel an zentralen Stellen bekannt gegeben haben und Sie ihn nicht mehr individuell suchen müssen). Wenn Sie jemandem eine verschlüsselte Nachricht schicken möchten, der nicht über PGP verfügt, gibt es andere kleine Tricks, dennoch sicher(er) Daten via E-Mail auszutauschen.