Whatsapp, du hast gewonnen.

whatsapp_communityIch gebe auf. Genau 15 Monate nach Deinstallation der App bin ich seit gestern wieder Mitglied bei dem Chatdienst. Meine Mitgliedschaft steht unter Protest, da die meisten der von mir und anderen angeprangerten Privatsphäre- und Sicherheitsbedenken noch immer bestehen.

Die Installation gestern abend fühlte sich für mich wie eine Kapitulationserklärung an. Ich hoffe aber, mich als konsequent bezeichnen zu können, wenn ich mit meiner Rückkehr dem Grundgedanken dieses Blogs folge: nämlich trotz aller informationellen Selbstbestimmung nicht auf Komfort verzichten zu wollen (und zu zeigen, dass es geht).
Auf Whatsapp zu verzichten, das habe ich in den vergangenen Monaten häufig ge- und bemerkt, ist mehr als Komfortverlust: Es ist ein Verzicht auf Zugehörigkeit, zumindest auf gefühlte Zugehörigkeit. Von der Geburt des Sohnes von Bekannten habe ich gestern nur aus zweiter Hand erfahren, weil ich in der Freundesgruppe kein Mitglied bin. Das ist sicherlich der Hauptgrund, warum ich wieder „an Bord“ bin. Drei weitere Gründe sind:

  • Whatsapp scheint nun endlich auch Iphone- und Gruppenkonversationen zu verschlüsseln. „Scheint“, weil der Appcode darauf hindeutet, aber das Unternehmen diese Funktion noch nicht bestätigt hat.
  • Ich habe die Berechtigungen zum Datenzugriff, die Whatsapp gerne hätte, dank der Android-App Xprivacy auf ein Minimum reduziert. Weder erhält die App Zugriff auf die IMEI-Nummer meines Smartphones, noch auf mein Adressbuch, noch auf mein Google- oder Facebook-Konto, und meinen Standort verrate ich ihr auch nicht. Sollte die App die Daten anfragen, gibt Xprivacy einfach zufällig generierte Daten aus. Die Christmas Islands sollen ein perfektes Klima zum Chatten bieten, hab ich gehört.
  • Ich nutze Whatsapp unter einer anderen Handynummer, als ich zum Telefonieren / Simsen nutze – allerdings auf demselben Handy. Vor der Installation habe ich in das Gerät einfach eine alte, aber noch aktivierte Simkarte eingelegt. Diese Nummer ist bei Whatsapp, im Internet und den wahrscheinlich noch immer mitlesenden Geheimdiensten unbekannt, weil ich sie nie aktiv genutzt habe. Deshlab kann sie nicht so leicht mit meinen anderen Spuren im Internet verknüpft werden, was – siehe Xkeyscore – die Spitze allen Überwachungsübels ist. Bei Nutzung meiner „normalen“ Handynummer würde mein (trotz aller Bemühungen sicherlich nicht kleines) digitales Schattenprofil um einen wertvollen Anknüpfungspunkt reicher. Da Whatsapp und die staatlichen Kontrolleure aber nicht einmal die neue Handynummer mit der Geräte-ID des Handys verknüpfen können, ist Big Brother auf zumindest einem Auge blind.
    Und noch aus einem weiteren Grund trägt die eigene „Whatsapp-Telefonnummer“ zur Datenhygiene bei: Sie schützt mich vor ungewollten Kontaktaufnahmen, denn nicht jeder, der meine Handynummer kennt, kann mich über Whatsapp kontaktieren.

Zuguterletzt werde ich, und so empfehle ich es jedem Produzenten digitaler Daten, bei jeder Chatmitteilung überlegen, ob sie sensible Informationen enthält oder Informationen, die kombiniert mit anderen Informationen über mich – vielleicht erst in Zukunft – sensibel sein könnten. Ich hoffe, diese selbst errichtete Schikane schützt mich davor, dass die Waage zwischen Komfort und Privatsphäreschutz durch meine Entscheidung nicht zu sehr ins Ungleichgewicht gerät.

Sichere Emails (nur) für GMX, web.de und 1&1-Mail-Nutzer

Emails sind nicht sicher vor Abhörungen. Google scannt den Inhalt seiner Kunden und macht aus den Begriffen Werbung, das Muscular-Programm der NSA zapft die Datenleitungen zwischen den Rechenzentren von Google und Yahoo an und Hacker erbeuten leicht auch mal Millionen Zugangsdaten.

Emailverschlüsselung wäre daher der richtige Weg zu sicherer elektronischer Kommunikation, das jahrelang erprobte PGP-Verschlüsselungsverfahren dabei die richtige Anwendung – denn NSA und GCHQ können es nicht knacken (konnten sie bislang zumindest nicht). Doch – selbst durch den tollen Service von Mailbox.org – PGP ist und bleibt komplex. (Jetzt nur mal so zum Einordnen: Meiner Familie, mit der ich seit Jahren über sicher Threema kommuniziere, habe ich die Einrichtung gar nicht erst zu erklären versucht.)

GMX, Web.de und 1&1 bieten nun einen Dienst an, der sichere Verschlüsselung und Komfort verbindet, und ich kann gar nicht sagen, wie sehr mich dieser Schritt in die richtige Richtung freut. Zumal fast alle meiner Familienmitglieder bei einem der Dienste ihre Mailadresse haben. Nach der halbgaren PR-Kampagne „Email made in Germany“, die uns die eigentlich selbstverständliche verschlüsselte E-Mail-Übertragung als Revolution verkaufte, und dem staatlich geförderten Rohrkrepierer DeMail gibt es jetzt aus dem Firmenverbund „United Internet“ etwas Handfestes:

  • Nutzer der Email-Dienste (auch der kostenfreien) können die verschlüsselte Übertragung freischalten.
  • Sie müssen das kostenfreie Browser-Plugin „Mailvelope“ installieren (gibt’s für Firefox oder Chrome).
  • Das Tool generiert im Hintergrund die für PGP erforderlichen Schlüsselpaare für die Verschlüsselung und speichert sie auf dem Rechner des Nutzers.
  • Beim Email-Schreiben haben die Nutzer nun die Möglichkeit, ihre Nachrichten mit ihrem Schlüssel verschlüsseln zu lassen. Eingehende verschlüsselte Mails werden automatisch entschlüsselt

Die PGP-Verschlüsselung ist dadurch sicher, dass sie bei Sender und Empfänger ver- bzw. enstschlüsselt wird. Das bedeutet natürlich, dass die GMX/1&1/Web.de-Nutzer nur anderen Nutzern, die sich dafür freigeschaltet haben, verschlüsselt schreiben können. Das sollte die Kunden nicht abhalten, den Dienst zu nutzen, wird es aber vermutlich.

Dabei ist die einzig kritische Frage bei dem Vorstoß der Email-Anbieter: das Vertrauen. Nicht in die Anbieter selbst, wie SpOn schreibt (der Autor brauchte wohl einen knackigen Ausstieg) – Die Anbieter speichern lediglich den öffentlichen Schlüssel und den verschlüsselten Text. Die Nutzer müssen vielmehr der Browsererweiterung vertrauen – Mailvelope erzeugt schließlich die Schlüsselpaare und ver- und entschlüsselt Mails, und könnte dehalb theoretisch den Inhalt der Mails lesen. Aber da würde ich mir keine Sorgen machen: Mailvelope ist quelloffen (Open-Source, hier zum Projekt) und kann somit von jedem sachverständigen Nutzer kontrolliert werden; nur so entsteht in den heutigen Tagen Seriösität.

Was ich mir wünschen würde: Dass auch andere PGP-Nutzer (die also andere Maildienste nutzen und PGP manuell eingerichtet haben) von GMX, Web.de und 1&1-Nutzern angeschrieben werden könnten und ihnen schreiben könnten. Das ist technisch natürlich möglich, bislang aber nicht in die Webmailer implementiert. Vermutlich, weil die öffentlichen PGP-Schlüssel auf diversen Servern verteilt, die erstmal alle durchkämmt werden müssten und dann auch noch verschiedene Einträge auswerfen würden, was man den Komfort gewohnten Nutzern nicht zumuten will. Aber nur so würde die Verbreitung über das United-Internet-Universum heraus wachsen; so kämen wir der selbstbestimmten Kommunikation wirklichein Stück näher.

Whatsapp ist das neue Threema!

perspecsys / CC BY_SA 2.0

perspecsys / CC BY-SA 2.0

„Bei Google, Facebook und Apple sind wir nicht Kunden, sondern Ware.“ Auf einer Medientagung gestern habe ich diesen Spruch in mehreren Abwandlungen gehört, und dort nicht zum ersten Mal. Natürlich da etwas dran: Wir erhalten Dienstleistungen und zahlen mit unseren Daten. Dieser Deal dürfte keinen aufgeklärten Internetnutzer erschrecken. Dass die genannten Unternehmen mit unseren Daten Unsummen von Geld erwirtschaften, ist auch weitgehend bekannt.

Der Kauf der Messaging-App Whatsapp durch Facebook im Frühjahr hat ganz gut in das Konzept gepasst – immerhin läuft es auf weltweit 600 Mio. Smartphones!
Doch als Datenstaubsauger taugt Whatsapp künftig nicht mehr. Wie das weiterhin unter einem Namen arbeitende Unternehmen heute bekannt gab, werden künftig alle Konversationen verschlüsselt – und zwar „End-to-end“, so dass auch die Betreiber keinen Einblick in die Daten haben (ZEIT-Artikel). Bei Einzelchats zwischen zwei Androidnutzern ist das sogar schon der Fall, weitere Plattformen, Gruppenkonversationen und Medieninhalte werden folgen.

Ich hätte damit nie gerechnet. 600 Mio. Menschen kommunizieren künftig verschlüsselt?
Sollte die Verschlüsselung wirklich nachprüfbar sicher sein, wäre das das Ende für Threema und Co. – und ein Neuanfang für Whatsapp auf meinem Handy. Und eine Rückkehr in altbekannte, kommunikationsfreudige Kreise, aus denen ich in den vergangenen fünf Monaten ausgeschlossen war. Ob die mich noch kennen?

Mit ein bisschen Stolz erfüllt mich, dass meine These aus dem Februar (übrigens in einem der meistgelesenen Artikel dieses Blogs) offenbar stimmt: Facebook macht Whatsapp sicherer. Denn die Zusammenarbeit mit Verschlüsselungsexperten begann direkt nach der Übernahme durch Facebook. Die Ziele des/der Unternehmen bei der Verschlüsselungsinitiative kann ich nicht jedoch nachvollziehen, widerspricht sie doch vollends Facebooks Geschäftsmodell (s. o.: Service gegen Daten). Warum verzichtet Mark Zuckerberg auf 600 Mio. munter Informationen, Fotos und Videos teilende Menschen?

Antworten gerne als Kommentar.