Mein Umzug zu Posteo

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Das Tolle an Google ist natürlich die Einfachheit. Man meldet sich einmal mit dem neuen Telefon an und schon hat man sämtliche Kontakte, Kaleder, Mails etc. Doch diese Bequemlichkeit ist gefährlich. Dadurch, dass Google praktisch alles anbietet, was der digitale Nomade so braucht, entsteht ein wirklich sehr detailliertes Bild. Für die Agenten ist das prima, sie müssen ihre Informationen nicht mühsam bei mehreren Anbietern zusammenkratzen. Deshalb darf man davon ausgehen, dass Google eine direkte Schnittstelle zur NSA bietet, d.h. meine Daten können ohne nervige Gerichtsbeschlüsse eingesehen werden. Dem wollte ich einen Riegel vorschieben. Ich bezahle halt lieber einen € im Monat für die Sicherheit meiner Daten als mit meinen Daten. Einen Überblick, was Google alles über euch weiß, erhaltet ihr im Google Dashboard.

Wahl des Anbieters

Die Wahl fiel auf Posteo, weil dieser Anbieter sehr positiv heraussticht, was den Datenschutz und die Verweigerung von staatlichen Zugriffen angeht. Hier ein Test in der c’t.

Außerdem bietet Posteo folgende Funktionen, die für mich sehr relevant sind:

  • 2 kostenlose Alias-Adressen. Im Gegensatz zu GMX und Co. sind hier noch viele Adressen frei.
  • Identitäten, d.h. man kann mit anderen Mailadressen versenen.
  • DANE-Unterstützung, im Gegensatz zu dem De-Mail-Quatsch
  • Ansehliches und gut bedienbares Web-Frontend, inkl. Adressbuch und Kalender.
  • Posteo ist komplett werbefrei
  • Es werden keinerlei persönliche Daten erfasst, bezahlen kann man Bar.

Einrichtung

Es ist natürlich klar, dass die Einrichtung nicht so schnell und glatt verläuft wie bei Google, denn Google setzt gerade bei Android viele proprietäre Schnittstellen ein und hat die Standard-Schnittstellen dafür entfernt, so geschehen bei CardDAV und CalDAV. Für die Synchronisierung von Kontakten und Kalendern setze ich daher auf die App DAVdroid. Posteo weiß natürlich um die Schwierigkeiten und bietet sehr ausführliche Anleitungen, sodass auch Nicht-Nerds den Umstieg schaffen sollten. Für die Emails bietet sich K-9 Mail an, das als Schmankerl gleich noch PGP unterstützt, wobei der Gmail-Client natürlich nicht dienen kann. Die App ist inzwischen auch auf Tablets ansehlich.

Auch in Thunderbird muss man Mail Kontakte, Kalender einrichten. Apple Kontakte unterstützt übrigens direkt CardDAV, sodass man auf dem Mac kein Thunderbird-Plugin braucht. Das Thunderbird-Profil kann man problemlos auf adere Rechner portieren und spart sich somit die erneute Einrichtung.

Das einzige, was mir noch fehlt, sind die Kontaktbilder. Diese muss ich wohl bei Posteo neu einpflegen, da Google sie nicht zu exportieren scheint. Alles in allem ist es aber ein sehr gutes Gefühl, frei über seine  Daten zu verfügen!

Nachtrag: Kontaktbilder

Beim Export der Kontakte von Google Mail und anschließendem Import bei Posteo fehlten erstmal sämtliche Kontaktbilder. Auch bei Android waren keinerlei Bilder zu sehen. Später fiel mir auf, dass Apple Kontakte die Bilder sehr wohl anzeigt, sie waren also nicht verloren. Ein Export der Daten auf Apple Kontakte und anschließender Neuimport bei Posteo verhalf dann allen Kontakten wieder zu ihrem Bild.

Nachtrag: Geburtstage

Man kann, wie auch in der Posteo -Hilfe dokumentiert, auch die Geburtstage seiner Kontakte auch unter Android anzeigen lassen. Dazu braucht man jedoch erneut eine Zusatz-App, die immerhin über einen alternativen App Store kostenlos zu haben ist. Toll finde ich das trotzdem nicht! Posteo sollte einen Kalender anbieten, der einfach diese Geburtstage enthält. Doch mit mehreren Kalendern musste ich leider auch noch Probleme feststellen. Wirklich sauber funktioniert alles nur mit einem Kalender und mehreren Kategorien. Das reicht aber für Privatnutzer auch vollkommen aus.

Man kann zusammenfassend sagen, dass Posteo mehr tun muss, ob das Benutzererlebnis zu verbessern. Es kann doch nicht sein, dass man für Standardfeatures gleich mal zwei Apps installieren soll, die dann auch wieder ihre Sicherheitslücken haben können!? Eine eigene Posteo-App würde ich für ausgesprochen sinnvoll halten!.

Warum wir uns gegen die Überwachung wehren müssen

Viele meiner Freunde und Bekannten nehmen die totale Überwachung, die durch Edward Snowden aufgedeckt wurde einfach hin. Sie sind der Meinung, nichts zu verbergen zu haben und dass man ja sowieso nichts machen kann.

Viele meiner Freunde und Bekannten nehmen die totale Überwachung, die durch Edward Snowden aufgedeckt wurde einfach hin. Sie sind der Meinung, nichts zu verbergen zu haben und dass man ja sowieso nichts machen kann.

Cyberwar

Die interaktive Dokumentation Netwars sollte jedem die Augen öffnen, was passiert, wenn sich unsere Gesellschaft nicht grundlegend auf die Herausforderungen des volldigitalen Lebens einstellt. Unbedingt anschauen!

Profiling

Doch den meisten Nutzern ist einfach nicht klar, welche gigantischen Datenmengen die Geheimdienste und eben auch Kriminelle abrufen können und welche äußerst reichhaltigen Profile sie daraus erstellen können. Das geht soweit, dass man automatisch vorhersagen kann wie ein Mensch in einer bestimmten Situation reagiert. Einen Eindruck davon, was Google alles über euch weiß, bekommt ihr bei Google Dashboard. Dort kann man die Daten praktischerweise auch entfernen. Inwieweit sie dann wirklich gelöscht werden kann ich leider nicht abschätzen.

Auch kann der Staat unliebsame Bürger schnell verschwinden lassen, indem man Ihnen einfach per Internet belastendes Beweismaterial unterschiebt. Das funktioniert zwar auch heute schon, wie man am Fall Edathy gut sehen konnte, aber mit den Persönlichkeitsprofilen lassen sich die Beweise nahezu perfekt zuschneiden.

Es geht also überhaupt nicht um die Daten, die jemand in beste Wissen irgendwo hochlädt, sondern um das Profil welches sich aus der Gesamtheit der Daten ergibt. So wird z.B. durch die zahllosen Fotos auf Facebook eine Gesichtserkennung derartig gut trainiert, dass man einzelne Menschen in einer riesigen Menschenmenge mit 99%iger Sicherheit erkennen kann – auch wenn sie eine Sonnenbrille tragen. Der Staat wird Schritt für Schritt alle derzeit noch bestehenden  rechtlichen Hemmnisse für ein solches Taggen der Bürger abschaffen, wenn wir uns nicht wehren!

Wie schütze ich mich?

Und nun zu dem Punkt, dass man sich nicht wehren kann. Die meisten Leute machen es den Geheimdiensten und auch Kriminellen sehr leicht. Sie benutzen Windows (im Schlimmsten Fall noch XP und den Internet Explorer). Windows ist erstens generell unsicherer als Linux, aber das Problem ist auch einfach, dass einmal bekannte Lücken viel langsamer geschlossen werden (bei XP überhaupt nicht mehr) und viele verschiedene Updateroutinen (Java, Flash, Browser, PDF-Betrachter, um nur die wichtigsten zu nennen)abgeklappert werden müssen. Zudem haben sich die kriminellen Virenprogrammierer auf Windows eingeschossen und es existiert ein florierender Schwarzmarkt für Sicherheitslücken.

Ein Windows-User ist für die anderen also immer das leichteste aller denkbaren Ziele.Die Mafia verdient heute nicht mehr durch Schutzgelderpressung, sondern mit Schadsoftware im großen Stil.

Transport-Verschlüsselung

Man sollte sich immer im klaren sein, dass alles was gesendet wird für Personen im gleichen Netzwerk praktisch ohne Aufwand mitzulesen ist. Das gilt ganz besonders für öffentliche WLANs, bei denen entweder viele Leute den Schlüssel haben oder – was noch schlimmer ist – überhaupt nicht verschlüsselt wird (ist inzwischen verboten). Es gibt Programme, die die aufgerufenen Webseiten, Bilder, eingegebene Passwörter uvm. aus dem Datenstrom herausfiltern. Ein Informatikstudium braucht dafür keiner mehr. Alleine aus diesem Grund lohnt es sich, alle Verbindungen nur verschlüsselt über TLS abzuwickeln. Es soll aber gesagt sein, dass diese Transport-Verschlüsselung für gezielte Angreifer kein Hindernis ist (Man in the Middle-Angriff). Für Otto Normalhacker ist es aber erheblich einfacher, unverschlüsselte Verbindungen abzugreifen.

Ende-zu-Ende-Verschlüsselung

Deshalb ist eine Ende-zu-Ende Verschlüsselung der Daten, die erst auf vom Benutzer manuell „geöffnet“ wird, wichtig.  Die Verschlüsselung von Emails (PGP), Instant Messaging (OTR) und Dropbox (BoxCryptor, EncFS) ist etwas, das absolut jeder völlig kostenlos machen kann. Und es erhöht wiederum den Aufwand für Geheimdienste, an die persönlichen Daten zu kommen. Auch für Skype gibt es Alternativen, die nicht über einen zentralen Server laufen undnur schwer abhörbar sind: Palava.tv.  Zuletzt möchte ich nochal die Möglichkeit erwähnen, mir mit Encrypt.to – ohne jede Anmeldung – verschlüsselte Mails zu senden.

PGP für Jedermann

Seit dem NSA-Skandal ist das Thema Verschlüsselung zumindest teilweise in der Öffentlichkeit angekommen. Viele Leute argumentieren aber immer noch damit, dass sie doch nichts zu verbergen hätten. Dies ist ein Trugschluß. Denn erstens kann es in niema...

Seit dem NSA-Skandal ist das Thema Verschlüsselung zumindest teilweise in der Öffentlichkeit angekommen. Viele Leute argumentieren aber immer noch damit, dass sie doch nichts zu verbergen hätten. Dies ist ein Trugschluß. Denn erstens kann es in niemandens Sinn sein, dass Geheimdienste (und auch Kriminelle) ein exaktes Persönlichkeitsprofil erstellen. So lässt sich beispielsweise der nächste Urlaub für einen Einbruch nutzen. Doch es geht um viel mehr.

Die NSA hat inzwischen die Rechenkraft um Verschlüsselung per Brute-Force zu knacken, d.h. durch Ausprobieren aller Passwörter. Dies kann aber nur funktionieren, solange nur sehr wenige Leute ihre geheimsten Nachrichten verschlüsseln. Denn diese Entschlüsselung kostet wertvolle Zeit. Wenn jetzt also ganz normale Leute anfangen, alle ihre Nachrichten zu verschlüsseln, gerät der Geheimdienst zusehends ins Hintertreffen, auch was die Auswahl der zu entschlüsselnden Nachrichten angeht. Dann ist es – so meine Hoffnung – bald nur noch möglich einen kleinne Bruchteil der Nachrichten stichprobenartig zu entschlüsseln.

PGP ist jedoch für Nutzer von Webmail-Diensten eine kleine Umstellung. Ein Bekannter hat mich heute auf encrypt.to aufmerksam gemacht. Die Seite ist zwar noch im Betastadium, aber sie ist bereits jetzt extrem nützlich um Security-unerfahrenen Mitmenschen das Prinzip von PGP näher zu bringen.

Man kann zum Beispiel mir mit Hilfe dieser Seite direkt verschlüsselte Mails zukommen lassen. Die Seite sucht sich meinen öffentlichen Schlüssel auf einem Keyserver. Diesen braucht man um die Nachricht zu verschlüsseln. Ich kann die Nachricht dann mit meinem privaten Schlüssel entschlüsseln.

Allerdings müssen PGP-interessierte Benutzer immernoch Enigmail in Thunderbird einrichten oder die Browsererweiterung Mailvelope nutzen. Dazu gibt’s aber inzwischen abermillionen Tutorials und ich bin auch gern bereit zu helfen! Fragt einfach!