France drops security database over privacy fears (International Herald Tribune)

Cybercrime-Attacken richten sich häufig gegen Social Networks (IT SecCity)

187. Tagung der Innenministerkonferenz (Cop2Cop)

Arbeitet T-Systems für den BND? (ruhrbarone)

Amateurs and Pros Vie to Build New Crypto Standard (PCWorld)

Einblick ins Getriebe (Ostblog)

Das Ende von 9/11 (Die Zeit)

Code-cracking and computers (BBC Technology)

Anfrage an Bundesregierung: Anzahl erfasster Personen in Anti-Terror-Datei (Virtuelles Datenschutzbüro)

Tatort Internet – für Polizei oft mehr als einen Klick entfernt (heise online)

Why Obama Should Keep His BlackBerry – But Won’t (Wall Street Journal)

Anfang September war ich in Darmstadt auf den 7. Meta-Rhein-Main Chaos Days (in nerdiger Schreibweise MRMCD 111b), einer der etwas „familiäreren“ Veranstaltungen des Chaos Computer Club, hier in Zusammenarbeit mit dem Arbeitskreis Vorratsdatenspeicherung und anderen Partnern. Auf dem Gelände der TU Darmstadt konnte man dort hacken, spielen eine große Anzahl interessanter Vorträge und Workshops besuchen und ausführlich mit Gleichgesinnten quatschen.

Neben diesen Aktivitäten war ich aber auch selbst insofern an der Gestaltung der Veranstaltung beteiligt, als ich einen Workshop gestaltet habe. Dieser stand unter dem Titel „Technischer Datenschutz für Einsteiger“ und hatte zum Ziel, technisch beziehungsweise im Bereich IT-Sicherheit eher unerfahrenen Computernutzern zu ermöglichen, ihre privaten Daten besser zu schützen.

Konkret standen, neben einer Einführung in die Datenschutz-Problematik und die bei der

Mein Vortrag auf den MRMCDs

Computernutzung aktuellen Risiken, die Verschlüsselung von Emails mit Hilfe von Thunderbird/Enigmail und verschlüsseltes Instant Messaging per Pidgin/OTR auf dem Programm. Beide Programme und Plugins sind sowohl unter Windows (von 2k über XP bis Vista) als auch unter allen gängigen Linux-Distributionen und FreeBSD nutzbar.

Mittlerweile sind auch die Folien von meinem Vortrag (selbstverständlich in einer kommentierten Version) im Internet zu finden und können hier als PDF heruntergeladen werden. Hoffentlich helfen sie dem einen oder anderen weiter.

Die entsprechenden Howtos (Pidgin/Thunderbird) sind natürlich auch hier im Blog zu finden; das versprochene TrueCrypt-Howto wird in Kürze folgen (momentan bin ich leider durch einige Klausuren und die anstehende Großdemo in Berlin etwas im Stress).

Insofern: Enjoy! Kritik, Feedback, Anregungen und was euch sonst so einfällt sind natürlich erwünscht, ebenso wie Vorschläge für weitere wichtige Themen in diesem (meines Erachtens zu wenig Beachtung findenden) Bereich.

Anlässlich des Beginns der diesjährigen Olympischen Sommerspiele in China warnt die Firma Sophos (spezialisiert auf IT-Sicherheits-Produkte und -Dienstleistungen) vor „erhöhten IT-Sicherheits-Risiken in China und am heimischen Arbeitsplatz“. Um diese Risiken möglichst zu minimieren, hat die Firma eine Liste unter der Überschrift „Die zehn wichtigsten Spielregeln zum Schutz vor Datenverlust und Cyberattacken“ zusammengestellt, die Computernutzern Anhaltspunkte geben soll, wie sie sich angesichts von Cyberkriminalität und mangelndem Respekt vor der Privatsphäre anderer verantwortungs- und sicherheitsbusst verhalten.

„Risikofrei im Web surfen“, wie es die Firma vollmundig verspricht, wird man auch nach der gewissenhaften Anwendung dieser Tipps wohl kaum können – absolute Sicherheit ist im realen Leben nicht zu gewährleisten, schon gar nicht durch das Abarbeiten doch eher allgemein gehaltener Sicherheitstipps. Anderes zu suggerieren ist angesichts der professionellen Verantwortung fragwürdig. Abgesehen davon jedoch ist jede Verbesserung des Sicherheitsstandards auf Endbenutzer-PCs momentan eine gute Idee- und die Tipps selbst erscheinen durchaus sinnvoll.

1. Halten Sie ihre Anti-Viren-Software auch bei Reisen stets aktuell. Stellen Sie sicher, dass der Virenscanner aktiviert ist und sich regelmäßig aktualisiert. Nur dann sind Sie vor den neuesten Attacken geschützt.

Ein möglichst effektiver Virenscanner ist nie verkehrt, insbesondere auf Windows-Systemen, für die die Mehrzahl der Schädlinge kursiert. Dieser benötigt auch regemäßige Updates, anderenfalls sind für neue Bedrohungen keine passenden Signaturen vorhanden und diese finden unbemerkt ihren Weg auf den Rechner. Abgesehen davon, dass Sophos als Anbieter entsprechender Software hier durchaus eigennützige Interessen vertritt, ist Regel Nr. 1 auf jeden Fall sinnvoll.

2. Surfen Sie auch am Hotspot nur mit aktiver Personal-Firewall, die Ihnen sofort meldet, wenn unerwünschte Verbindungen ins Internet aufgebaut werden! Im Zweifelsfall die Internetverbindung lieber sofort beenden und die verdächtige Anwendung sperren. Hotspots können zudem gefälscht sein: Ähnlich zu Phishing-Websites gibt es mittlerweile gefälschte Portale, die als öffentlicher Hotspot getarnt sind und es auf Ihre Kreditkartendaten abgesehen haben. Prüfen Sie also genau, dass Sie nur vertrauenswürdige Angebote nutzen.

Über den Sinn und Unsinn von Personal Firewalls kann man sich fein trefflich streiten (was auch in diversen Foren, Newsgroups und Mailinglists mit Ausdauer getan wird). Der Rest der Aussage jedoch, nämlich die Warnung vor Angriffen über fragwürdige WLAN-Hotspots, ist richtig und wichtig, insbesondere, da sich noch kaum jemand dieses Risikos bewusst zu sein scheint.

3. Schalten Sie Drahtlos-Funktionen wie WLAN und/oder Bluetooth nur an, kurz bevor Sie sie wirklich benutzen und auch nur so lange, wie Sie sie benötigen! Reagieren Sie nur auf Geräte, denen Sie vertrauen können und lassen Sie keine unbekannten Geräte für die Kommunikation zu. Prüfen Sie, ob Sie die maximale WLAN-Sicherheit aktiviert haben bzw. wie geschützt der WLAN-Zugang ist. Sollten Sie andere Geräte im Zugriff entdecken oder sich in Datenverbindungen anderer einschalten können, gehen Sie sofort aus dem Netz.

Sicher nicht verkehrt, durch das Ausschalten der WLAN-Karte wird auch noch Strom gespart. Beim eigenen WLAN-Router sollte außerdem auf eine sinnvolle Verschlüsselung (nein, WEP ist definitiv keine) geachtet werden.

4. Lassen Sie Ihre IT-Ausrüstung und Ihr Mobiltelefon nie unbeaufsichtigt. Das schützt erstens vor Diebstahl, zweitens kann dann niemand unmittelbar Schadprogramme oder Spionage-Software auf den Geräten installieren.

Sollte selbstverständlich sein, immerhin sind solche Geräte auch teuer. Ideal natürlich: Wo das möglich ist, zusätzlich die Festplatte verschlüsseln, dann haben Datendiebe keine Chance. Mit Truecrypt ist das mittlerweile sogar unter Windows möglich.

5. Speichern Sie vertrauliche Daten immer verschlüsselt, sowohl auf Notebooks, aber auch auf Handys und Datenträgern, wie USB-Sticks oder Speicherkarten! Kleine Geräte und Datenträger können schnell verloren gehen oder gestohlen werden.

Diesem Rat kann ich mich nur uneingeschränkt anschließen- wie gesagt, idealerweise verschlüsselt man direkt das ganze Dateisystem, dann spart man sich die Mühe, zu entscheiden, welche Daten vertraulich sind, und erreicht einen gewissen Schutz des Betriebssystems vor Manipulationen.

6. Nutzen Sie keine externen Datenträger von Personen und Organisationen, denen Sie nicht voll vertrauen! Sie könnten Software enthalten, die unbemerkt auf Ihren Geräten Schad- und Spionageprogramme installiert.

Auch dem kann ich mich nur voll inhaltlich anschließen.

7. Richten Sie Ihr Betriebssystem so ein, dass Sie nur als Nutzer mit eingeschränkten Rechten im Internet unterwegs sind! Sind Sie zum Beispiel bei Windows Vista oder XP als Benutzer mit Administratorrechten angemeldet, hat ein Hacker möglicherweise vollen Zugriff auf alle Daten und Einstellungen des Rechners.

Prinzipiell ist das sicher vollkommen richtigim Falle von Windows XP sind jedoch Zweifel an der Praktikabilität angebracht. Hier sollte jeder selbst ausprobieren, ob er mit einem Benutzeraccount zurecht kommt- letztlich nutzt der beste Sicherheitsstandard wenig, wenn man den Computer nur eingeschränkt produktiv nutzen kann. Linux hat diesen Punkt besser umgesetzt; hier ist das Arbeiten mit einem normalen Benutzerkonto Standard und bereitet in der Regel keinerlei Probleme.

8. Wer Kontakt zum Unternehmen zu Hause aufbaut, sei es um Mails abzurufen oder Daten anzusehen oder herunterzuladen, sollte dafür immer eine gesicherte VPN (Virtual Private Network) Verbindung aufbauen! Nur dann ist gewährleistet, dass die Verbindung zwischen Sender und Empfänger aufgebaut wird und niemand unbemerkt den Datenverkehr ‘belauscht’.

Wenn man sieht, wie unbesorgt viele Nutzer auch wichtige und vertrauliche Daten im Klartext über das Internet schicken, kann man das wohl nicht oft genug betonen. Hier ist allerdings auch der Arbeitgeber in der Pflicht, eine entsprechende Infrastruktur bereitzustellen.

9. Erstellen Sie Sicherheitskopien Ihrer wichtigsten Daten, um im Notfall darauf zurückgreifen zu können! Denn auch wenn Sie alle Sicherheitsvorkehrungen beachten, können mobile Geräte gestohlen werden oder verloren gehen. Speichern Sie daher alle relevanten Daten nochmals auf einem anderen Datenträger, etwa einem USB-Stick oder einer CD, den Sie sicher im Hotel oder im Büro aufbewahren.

Regelmäßige Backups haben wohl selten jemandem geschadet und oft Schlimmeres verhindert. Auch hier gilt: Am besten verschlüsselt speichern, immerhin sind auch diese Daten oft vertraulich.

10. Und zu guter Letzt: Lassen Sie nur Personen Ihres Vertrauens an Ihren Computer und auch nur, wenn es wirklich nötig ist! Fremde sollten Sie gar nicht, oder, wenn unbedingt notwendig, nur unter Aufsicht mit Ihren IT-Systemen arbeiten lassen.

Hier gilt es, wie so oft, die richtige Balance zu finden zwischen sicherheitsbewusstem Verhalten und blanker, sozial schädlicher Paranoia. Letzten Endes kommt es wohl darauf an, eine möglichst gute Einschätzung potentieller Bedrohungssituationen zu entwickeln.

Insgesamt ist die von Sophos zusammengestellte Liste, auch wenn sie natürlich kaum auf Details eingehen kann, ein durchaus sinnvoller „Leitfaden“ insbesondere für unerfahrene Benutzer. Wer sich daran hält, vermeidet bereits einen Großteil der häufig gemachten Fehler im Bereich Rechner- und Datensicherheit.

Angesichts der heutigen Tendenz hin zu mehr Überwachung (sei es durch den Staat, private Firmen oder Cyberkriminelle) empfiehlt es sich oft, seine Privatsphäre durch die Verwendung sinnvoller Verschlüsselungsprogramme zu schützen. Schließlich muss nicht jeder wissen, was man mitzuteilen hat; mitunter kann es sogar wichtig sein, bestimmte Informationen zu schützen (seien sie privater oder geschäftlicher Natur). Dies gilt nicht nur für das Instant Messaging, sondern ebenso auch für das Versenden von Emails.

Zum Glück stehen auch Privatanwendern qualitativ hochwertige Möglichkeiten zur Verfügung, sich abzusichern. Im Email-Bereich empfiehlt sich hier vor allem das Programm „Enigmail“ in Verbindung mit Mozilla Thunderbird. Enigmail ist zuverlässig, Open Source und kostenlos und arbeitet mit der bewährten Gnu Privacy Guard (GPG)-Verschlüsselung, die auch dem OpenPGP-Standard entspricht und somit auch mit neueren Versionen von PGP (Pretty Good Privacy) kompatibel. Thunderbird ist mittlerweile ein sehr verbreiteter Mail-Client (sowohl unter Windows als auch unter Linux und diversen Unix-Versionen) und der Umstieg zumindest vom unter Windows XP verbreiteten Outlook Express stellt erfahrungsgemäß kein allzu großes Problem dar, so dass sich Thunderbird auch für unerfahrenere Benutzer anbietet.

Auch Enigmail ist nicht so schwer zu installieren und einzurichten, wie man denkt. Um den Einstieg zu erleichtern, sind hier die nötigen Arbeitsschritte einzeln und mit Bildern aufgeführt (am Beispiel von Windows XP).

Zunächst muss man Thunderbird herunterladen. Die aktuelle deutsche Version als Installerpaket gibt es hier. Den Installer führt man einfach aus (das Entpacken der Dateien vor dem eigentlichen Installationsvorgang kann erfahrungsgemäß ebenso wie das Installieren selbst einen Moment dauern, selbst mein relativ leistungsstarker Test-Athlon zeigte hier jeweils eine deutliche Verzögerung). Der Installationsassistent fordert einen zunächst auf, die Lizenzvereinbarung zu lesen und dies auch durch Markieren des entsprechenden Feldes zu bestätigen. Danach kann man zwischen Standard- und benutzerdefinierter Installation wählen, Für die meisten Benutzer ist die Standard-Installation vollkommen richtig und sinnvoll.

Ist der Mailclient installiert, erhalten wir ein Fenster wie das im Bild (über das wir Thunderbird auch direkt starten können). Ein Klick auf „Fertig stellen“ beendet den Installationsassistenten.

Nun werden wir gefragt, ob wir Kontodaten importieren möchten. Wer bisher beispielsweise Outlook Express benutzt hat, kann diese Option wählen und seine Emails und Konto-Einstellungen übernehmen. Wer nichts importieren will (beispielsweise weil bisher ausschließlich Webmail genutzt wurde) wird als nächstes aufgefordert, ein Mailkonto in Thunderbird einzurichten. Die entsprechenden Daten wie Servername und Port findet man normalerweise in den FAQ seines Mailproviders (die meisten größeren Freemailer, wie GMail, GMX und Web.de, unterstützen mittlerweile auch den Abruf von Emails über einen Mail-Client). Da sich diese Eingaben je nach Provider unterscheiden, kann auf die Einzelheiten hier nicht näher eingegangen werden.

Ist alles richtig eingerichtet, sollte man schon Mails herunterladen und schreiben können. Diese sind natürlich noch nicht verschlüsselt, denn dazu benötigt man zunächst das Enigmail-Plugin und GPG. Wir beginnen mit dem herunterladen von GPG. Die entsprechenden Dateien gibt es hier. Auch hierbei handelt es sich um einen einfachen Installer. Außer der Sprache kann man auch hier überall die Standard-Einstellungen übernehmen und auf „Next“ und am Ende auf „Install“ klicken.

Ist auch hier die Installation beendet, wird noch das Enigmail-Plugin für Thunderbird benötigt, das quasi die „Schnittstelle“ zwischen dem Mailclient und dem eigentlichen Verschlüsselungsprogramm darstellt. Es empfiehlt sich, die Schlüsselerzeugung und -verwaltung erst später mit Enigmail vorzunehmen, da dies eine recht komfortable grafische Benutzeroberfläche dafür bietet.

Wir bekommen das Plugin, indem wir es auf der Mozilla-Seite herunterladen und irgendwo speichern, wo wir es leicht wiederfinden. Anschließend gehen wir im Thunderbird auf „Extras“ und dort auf „Add-Ons“. In diesem Fenster gibt es einen „Installieren“-Button. Dieser öffnet ein Fenster, indem wir den Speicherort der soeben heruntergeladenen Add-On-Datei auswählen können, was in etwa wie im Bild aussehen sollte.

Haben wir die Datei gefunden, klicken wir auf „Öffnen“. Die anschließende Warnung, dass das Add-On nicht signiert ist, ist in diesem Fall unbedenklich. Daher kann man nach einigen Sekunden die Option „Jetzt installieren“ auswählen und Enigmail installieren. Anschließend aktiviert ein Klick auf „Thunderbird neustarten“ das neu installierte Add-On.

Nun müsste es oben bei den Optionen von Thunderbird die neue Option „OpenPGP“ geben. Dort wählt man die Option „Schlüssel verwalten“, was ein Dialogfenster aufruft. Dort behält man die Option „Ja, ich möchte vom Assistenten geholfen bekommen“ bei und klickt auf „Weiter“. Bei den nächsten Abfragen können die Standard-Einstellungen verwendet werden, bis man zur Schlüsselgenerierung kommt. Dort wird man zunächst nach einer Passphrase gefragt, mit der man den Schlüssel später vor unbefugten Zugriffen schützt. Diese sollte nicht zu kurz oder zu einfach zu erraten sein, kann aber auch später relativ problemlos geändert werden.

Danach klickt man einfach noch einmal auf „Weiter“. Dann wird der Schlüssel vom Computer aus im Rechner anfallenden Werten mit Hilfe eines pseudozufälligen Algorithmus erzeugt. Wie im Dialogfenster erklärt dauert dies auch auf schnellen Rechnern sehr lange (mehrere Minuten), kann aber abgekürzt werden, indem man in dieser Zeit den Computer möglichst aktiv verwendet, um viele „Ausgangsdaten“ zu liefern.

Die Frage nach dem „Wiederrufszertifikat“ beantwortet man mit „Ja“ und speichert dies an einem möglichst sicheren Ort ab (was man mit Eingabe der kurz zuvor festgelegten GPG-Passphrase bestätigen muss). Der Schlüssel ist nun fertig generiert- genauer gesagt, besitzt man nun zwei Schlüssel, einen privaten, den man geheim halten sollte (zum entschlüsseln) und einen öffentlichen (damit an einen geschickte Mails verschlüsselt werden können). Auf die Mathematik dahinter und das genaue Funktionsprinzip gehe ich hier nicht näher ein, Interessenten werden bei Wikipedia fündig. Alle anderen müssen nur wissen, dass es zwei Schlüssel pro Benutzer gibt und wofür diese benötigt werden.

Nun sollte man den öffentlichen Schlüssel (oft verwendet wird auch der englische Begriff „public key“) noch unter „Schlüsselverwaltung -> Schlüssel-Server -> Schlüssel hochladen“ auf einen Keyserver laden, damit er für die Korrespondenzpartner auch verfügbar ist.

Nun kann man GPG verwenden. Standardmäßig werden alle verschickten Emails mit einer „Signatur“ versehen, die es dem Gesprächspartner ermöglicht, den passenden öffentlichen Schlüssel vom Keyserver zu laden. Eine Mail verschlüsseln kann man, indem man beim Schreiben einer neuen Mail auf „OpenPGP“ und dort auf „Nachricht verschlüsseln“ geht. Dann erhält man, wenn man das noch nicht bereits festgelegt hat, eine Liste von auf dem Rechner vorhandenen Schlüsseln, unter denen man den des Empfängers auswählen kann.

Erhält man selbst eine verschlüsselte Mail, erhält man sofort beim Aufrufen dieser Mail eine Dialogbox, die die eigene „Passphrase“ (die beim Generieren des Schlüssels angelegt wurde) abfragt. Erst wenn diese fehlerfrei eingegeben wurde, wird der eigene private Schlüssel dazu benutzt, die Nachricht lesbar zu machen.

Der vierte Teil meiner Howto-Serie beschäftigt sich mit dem Instant Messenger-Client Trillian. Dieser ist, im Gegensatz zu den bisher vorgestellten, Closed Source. Daher und weil er nichts kann, was Pidgin nicht auch könnte (mit Ausnahme eines proprietären „Secure IM“-Modus, der aber qualitativ kaum überprüfbar ist und außerdem ausschließlich zwischen Trillian-Nutzern funktioniert), würde ich tendenziell von der Verwendung eher abraten. Wer allerdings aus Gründen der Bedienung oder ähnlichen Motiven Trillian verwenden will, kann durch Verwendung eines Plugins trotzdem OTR nutzen- vorausgesetzt er nutzt die kostenpflichtige „Pro“ Version, da das Plugin nicht unter „Basic“ funktioniert. Trillian gibt es (bis zum Release der „Astra“ Version) nur für Windows, daher wird auch dieses Howto an Windows orientiert sein.

Trillian lässt sich hier herunterladen. Die .exe-Datei können wir einfach irgendwo speichern und ausführen, Wir lesen die Lizenzvereinbarung durch, klicken auf „Agree“, suchen uns einen Zielordner aus (in den meisten Fällen ist der standardmäßig vorgeschlagene „Programme“-Ordner vollkommen in Ordnung), klicken dann auf „Next“ und entscheiden uns, ob wir den „Weather Channel Desktop“ und die „Ask Toolbar“ haben wollen (zumindest ist das in der Version 3.1.9.0 so; ich persönlich würde von solchen Programmen abraten, da sie erfahrungsgemäß eher nerven und das System instabil machen) und klicken jeweils auf „Next“, entweder mit oder ohne die entsprechenden Optionen auszuwählen. Anschließend folgt die eigentliche Installation, ist der Rechner halbwegs aktuell und Direct X bereits installiert, dauert diese weniger als eine Minute.

Ein Klick auf „Launch“ bringt uns zu einem Auswahlbildschirm, in dem wir zwischen „Pro“ und „Basic“ auswählen können. Wir entscheiden uns für Pro, geben unseren Key dafür ein, wählen einen Avatar aus und entscheiden dann, welche Messaging-Protokolle wir benötigen. Wenn wir uns dabei nicht sicher sind, ist es immer eine sichere Option, einfach alle zu installieren; dies braucht kaum Platz und man ist für jede Eventualität gerüstet, ohne erst nachinstallieren zu müssen. Anschließend werden die Plugins erst heruntergeladen und (nach einem weiteren Klick auf „Next“) installiert. Danach können wir unsere Nicknames und Passwörter für die verschiedenen Messenger-Accounts eingeben. Wer sein Trillian lieber auf Deutsch benutzen möchte, bekommt hier ein entsprechendes Sprachpaket, das er ebenfalls installieren kann.

Sind wir damit fertig, können wir Trillian durch die Option „Launch“ starten und bekommen dann, wenn alles funktioniert hat, unsere Buddy List präsentiert. Trillian als solches ist somit fertig eingerichtet und zur Benutzung bereit. Der nächste Schritt ist natürlich das Installieren und Einrichten des OTR-Plugins.

Herunterladen kann man das Plugin hier. Wir nehmen den normalen Installer in der aktuellsten vorhandenen Version, speichern und entpacken ihn. Anschließend kopieren wir die .dll-Datei in das Trillian-Plugins-Verzeichnis (bei Installation mit Standard-Parametern ist das C:\Programme\Trillian\plugins) und starten Trillian einmal neu.

Nun taucht im Menü unter „Trillian Preferences –>Plugins“ auch das OTR-Plugin auf. Dieses aktivieren wir, gehen dann auf „Change“ und „OTR Config“. Dort wählen wir einen unserer Accounts aus und klicken dann auf „Generate Key“. Die Schlüsselerzeugung dauert auf einem modernen Rechner nicht sehr lange, auf meinem Athlon 64 3500+ beispielsweise um die 10 Sekunden. Wir klicken auf „OK“ und haben somit OTR-Verschlüsselung und einen gültigen Private-Key am Start.

Öffnen wir nun ein Dialogfenster, haben wir oben den zusätzlichen Menüpunkt „Trillian OTR“. Dort wählen wir „Start Conversation“ aus und verifizieren anschließend (über „Verify Fingerprint) nach Möglichkeit den Fingerprint unseres Gegenübers. Wenn wir nun noch einmal „Refresh Conversation“ verwenden, sehen wir, dass auch die Anmerkung „Unverified“ bei der Statusmeldung fehlt. Somit haben wir eine sichere OTR-Verbindung aufgebaut.

Wie dieses Howto zeigt, kann man auch mit einem relativ verbreiteten proprietären Client OTR-Verschlüsselung nutzen (vorausgesetzt, man ist bereit, die Gebühr für die Pro-Version zu bezahlen oder besitzt diese bereits). Wer also aus irgendwelchen Gründen kein Pidgin oder PSI nutzen will, kann auch auf Trillian zurückgreifen.

Ich hoffe, auch dieser Teil meiner Howto-Serie hat dem einen oder anderen weitergeholfen und die digitale Welt wieder ein Stückchen sicherer gemacht Fragen, Anmerkungen und Tipps wie immer an mich. Im nächsten Teil der Reihe werde ich mich dann endlich mit PSI befassen.

Aufgrund der Aufregung um das Urteil zur Online-Durchsuchung und insbesondere die Demo-Vorbereitungen für unser großes Event demnächst in Köln ist meine Serie über sicheres Instant Messaging kurzfristig etwas in den Hintergrund getreten. Nun habe ich aber doch noch die Zeit gefunden, um den versprochenen dritten Teil zu liefern. Wie angekündigt wird es hierbei um meinen persönlichen Favoriten Kopete in Verbindung mit GPG- und OTR-Verschlüsselung gehen.

Zunächst stellen wir sicher, dass Kopete auf unserem System installiert ist. Bei Ubuntu wäre der entsprechende Befehl beispielsweise
sudo apt-get install kopete
Ist die Installation erledigt, können wir Kopete ganz normal über das „Startmenü“ starten. Es begrüßt uns dann mit einem Bildschirm wie dem abgebildeten, in dem wir unsere Account-Daten eingeben können.

Nachdem wir das erledigt haben (normalerweise werden hier nur die ICQ-Nummer bzw. je nach Messenger der Login-Name und das Passwort gebraucht) klicken wir einfach zweimal auf weiter und bekommen zur Belohnung unsere Buddylist präsentiert.
Über „Settings“ und „Configure Plugins“ (bzw. das entsprechende deutsche Äquivalent) kommen wir in das Plugin-Menü von Kopete. Das GPG-Plugin ist hier unter „Cryptography“ zu finden. Haben wir GPG bereits installiert, müssen wir Kopete nur den Speicherort unseres „Private Keys“ mitteilen, den es zum entschlüsseln der Nachrichten verwenden soll. Haben wir GPG noch nicht installiert, ist es jetzt Zeit, das nachzuholen und einen Schlüssel zu generieren. Diesen Vorgang explizit zu beschreiben würde allerdings den Rahmen dieses Howtos sprengen, daher muss ich an dieser Stelle auf die gute Online-Dokumentation zum Thema verweisen.

Ob wir auf das Verwenden unserer Passphrase verzichten ist Ansichtssache. Ohne ist es natürlich bequemer, aber je nach dem, wer Zugriff auf den Rechner hat, kann die betreffende Person dann auch für uns bestimmte verschlüsselte Nachrichten lesen. Im wesentlichen ist es eine Frage des persönlichen Sicherheitsbedürfnisses. Ich persönlich habe mich mit mir darauf geeinigt, die Passphrase zu verwenden, sie aber bis zum Ende der Sitzung im Cache zu behalten.

Nach Aktivierung des Plugins könnte Kopete möglicherweise einen Neustart benötigen. Per Rechtsklick auf einen unserer Kontakte können wir nun, wenn alles bis hierher stimmt, die Option „Select Cryptography Public Key“ auswählen. Nun erhalten wir ein Dropdown-Menü, in der wir aus unserem Schlüsselbund den Public Key der betreffenden Person auswählen. Haben wir den Key noch nicht in der Sammlung, müssen wir ihn uns zunächst von der betreffenden Person schicken lassen oder ihn von einem Keyserver laden.

Öffnen wir nun ein Dialogfenster zur betreffenden Person und klicken oben auf „Tools“, sollten wir unten im Menü den Eintrag „Encrypt Messages“ finden, den wir natürlich aktivieren. Wenn wir nun der Person etwas schreiben, sollten wir darüber die Nachricht „Outgoing Encrypted Message“ sehen wie im Bild. Schreibt unser Kontakt uns etwas mit GPG verschlüsseltes zurück, sollte darüber entsprechend „Incoming Encrypted Message“ stehen. So können die ganz Paranoiden (wie ich ) bei GPG-Verschlüsselung immer sehen, dass alles seine Richtigkeit hat. Je nach Konfiguration müssen wir möglicherweise noch eine Passphrase angeben, bevor wir die Nachrichten lesen können.

Nun kann unser Kopete schon GPG. Sicher chatten ist also möglich; wir wollen aber natürlich das ganze Paket und mit Chatpartnern, deren Client möglicherweise nur OTR-Verschlüsselung kann, auch diese verwenden. Daher laden wir uns als nächstes das Kopete-OTR-Plugin hier herunter und installieren es. Die Installation unterscheidet sich sehr stark je nach verwendeter Distribution; für Verwendung der Ubuntu-, Debian- und Fedora-Pakete verweise ich daher auf die auf der Website zu findenden Installationsanweisungen. Ich werde hier allerdings kurz einen Überblick über das Installieren der Sources geben, das an sich auf jedem System funktionieren sollte.
Zunächst sollten wir sicherstellen, dass folgende Bibliotheken installiert sind:
kdenetwork-devel
libotr-devel
Auf den meisten aktuellen Systemen sollten sie bereits vorhanden sein, wenn sie fehlen, lassen sie sich über den Paketmanager (z.B. aptitude) nachinstallieren.

Wir laden dann als erstes die Source (als .tar.bz2) herunter. Diese entpacken wir dann (in den Beispielen ist jeweils die Versionsnummer enthalten, diese muss entsprechend angepasst werden) per
tar -xjf kopete-otr-0.7.tar.bz2
Dabei entsteht ein Verzeichnis, in das wir per
cd kopete-otr-0.7
wechseln.
Ab jetzt sollten wir Root-Rechte haben, auf den meisten aktuellen Befehlen bedeutet dies, dass wir sudo verwenden. Wir benutzen nacheinander die Befehle
./configure
make
make install
um das Plugin zu konfigurieren, zu kompilieren und das entsprechende Kernel-Modul zu basteln.

Hat alles funktioniert, sollte unser Kopete nun das OTR-Plugin in der Plugin-Liste aufführen. Das aktivieren wir, wählen anschließend (falls nötig) einen unserer Messenger-Accounts aus und klicken rechts daneben auf „Generate“, um einen Private Key zu erstellen. Das geht in der Regel schnell; auf meinem Core Duo dauert es nur wenige Sekunden. Nun wählen wir noch eine OTR-Policy aus; wollen wir immer OTR verwenden, wäre „always“ die passende Wahl (notfalls lassen sich für einzelne Kontakte auch noch per Rechtsklick auf deren Namen und Ändern der „OTR Policy“ spezielle Settings definieren). öffnen wir nun ein Chatfenster, sollten wir oben ein Icon in Form eines Vorhängeschlosses sehen. Darunter wählen wir „Start OTR Session“ aus. Nun sollten im Fenster die Zeilen „Attempting to start a private OTR session…“ und „Private OTR session started“ erscheinen (evtl. erfolgt zuvor noch eine Verifizierung). Das bedeutet, dass wir nun verschlüsselt per OTR chatten.

Somit ist unser Kopete für beide gängigen Verschlüsselungsverfahren bestens gerüstet und für Lauscher aller Art gilt: Wir müssen leider draußen bleiben. Ich hoffe, auch dieses Howto hat dem einen oder anderen weitergeholfen und gezeigt, dass es gar nicht so schwer ist, sich technisch effektiv zu schützen, wenn man einmal weiß wie.

Die geplanten Teile meiner Serie sind somit abgearbeitet, ich werde mich allerdings außerplanmäßig wohl noch mit der Alternative PSI befassen (danke an Denny für den Tipp) und wahrscheinlich auch darüber ein Howto (ich plane momentan für Windows) schreiben.

Teil 2 dieses Dreiteilers wird sich mit dem Pidgin-IM befassen. Kleine Bemerkung vorab: Die Screenshots und die Installationsanleitung nehmen Bezug auf ein Windows-System, da dies nach wie vor das verbreitetste Betriebssystem ist und ich außerdem für Linux/FreeBSD noch eine Kopete-Anleitung schreiben werde. Die grundlegenden Schritte sind allerdings auf jedem Betriebssystem gleich, so dass etwas erfahrenere Benutzer sich auch für Linux an dieser Anleitung orientieren können (es empfiehlt sich allerdings, bei der Installation des Programms vor dem Download erst einmal den Paketmanager zu befragen, da man dort in den meisten Fällen fündig wird, was Installationsaufwand spart und das aktuell halten der Software leichter macht).

Nach diesem kleinen Hinweis nun direkt zum konkreten Teil, also dem Installieren und Einrichten des Messengers. Zunächst einmal besorgen wir uns die aktuelle Pidgin-Version zum Download (gibt es beispielsweise hier). Herunterladen, speichern und ausführen (Virenscan nicht vergessen) und es öffnet sich ein Installationsassistent, der in etwa so aussehen müsste wie im Bild. Zunächst immer auf „Weiter“ klicken (vorher die Lizenzbedingungen durchlesen und im darauf folgenden Fenster eventuell gewünschte Verknüpfungen mit Häkchen auswählen). Beim Fenster „Zielverzeichnis“ wählen wir dann aus, wo das Programm landen soll- in den meisten Fällen ist der vorgegebene Pfad aber durchaus sinnvoll. Dann bestätigen und Pidgin beginnt mit der Installation, die auf halbwegs aktuellen Systemen (Testrechner war ein Laptop mit einem Intel Celeron Mobile mit 1300 MHz und 512 MB Arbeitsspeicher) kaum länger als eine Minute dauern sollte, sofern das System nicht anderweitig sehr ausgelastet ist. Anschließend klicken wir noch einmal auf weiter, woraufhin uns eine Meldung begrüßt, dass Pidgin erfolgreich installiert wurde. Wir machen einen Haken bei „Pidgin ausführen“ und klicken dann auf „Fertig stellen“.

Als nächstes werden wir von einem Bildschirm begrüßt, der uns darauf hinweist, dass wir keine IM-Konten konfiguriert haben. Das bedeutet lediglich, dass Pidgin bis jetzt unsere Messenger-Accounts nicht kennt. Wir klicken auf die linke Schaltfläche, mit der wir Konten hinzufügen können. Im daraufhin erscheinenden Fenster tragen wir nun unsere Daten ein, was in etwa wie im Bild rechts aussehen sollte, wobei „lokaler Alias“ bedeutet, dass ein anderer Name als unser Login-Name im Chatfenster angezeigt wird. Die „erweiterten“ Optionen benötigt man nur unter sehr speziellen Bedingungen, daher lassen wir diese einfach außen vor und klicken, wenn wir alles eingegeben haben, auf „speichern“.

Neben dem Konten-Fenster, das wir nun (wenn wir nicht noch weitere Konten hinzufügen wollen) schließen können), erscheint nun unsere Buddylist, die vom Aufbau her in etwa so aussieht, wie man es von ICQ und ähnlichen Messengern kennt. Nun könnten wir mit Pidgin bereits chatten. Da wir aber verschlüsselt chatten wollen, stehen noch einige weitere Arbeitsschritte an.

Zunächst müssen wir das OTR-Plugin für Pidgin herunterladen, beispielsweise hier. Wenn wir damit fertig sind, starten wir den Installer. Leider ist dieser auf Englisch, da es noch keiner offizielle deutsche Version zu geben scheint. Da es aber kaum Optionen auszuwählen gibt, sollte für die meisten Fälle der Klick auf „next“, „next“ und „install“ vollkommen ausreichen (es sei denn wir haben Pidgin in einem anderen als dem üblichen Verzeichnis installiert, dann sollten wir das auch beim Plugin berücksichtigen). Die Installation des Plugins sollte nur wenige Sekunden dauern. Ist sie beendet, können wir uns noch die Readme-Datei anzeigen lassen, oder wir klicken einfach auf „Finish“ und beenden den Installationsvorgang.

Anschließend müssen wir unser Pidgin einmal kurz beenden und neu starten. Haben wir das getan, gehen wir über die Leiste oben bei der Buddy-List auf „Werkzeuge“ und dort unter „Plugins“. Wenn alles so funktioniert hat, wie es vorgesehen ist, sollte in der Plugin-Liste nun auch das OTR-Plugin auftauchen. Dort setzen wir einen Haken, woraufhin unten die Schaltfläche „Plugin konfigurieren“ aktiv wird, die wir auch direkt benutzen. In dem nun angezeigten Fenster wählen wir den Account aus, für den wir den Key generieren möchten (falls wir mehrere haben) und entscheiden uns dafür, ob wir, wie in der Standardeinstellung vorgesehen, automatisch versuchen wollen, mit unseren Kontakten eine verschlüsselte Verbindung aufzubauen. Zusätzlich können wir uns noch entscheiden, ob wir OTR-Verbindungen vom Logging ausnehmen wollen. Sind alle Einstellungen zu unserer Zufriedenheit, klicken wir auf „Generate“. Dadurch wird unser Private Key, den wir später verwenden, erstellt. Dieser Arbeitsschritt erfordert einigen Rechenaufwand und kann eine Weile dauern- wenn also erst einmal nichts geschieht, ist der Rechner wahrscheinlich nicht abgestürzt, sondern nur ausgelastet (unser kleiner Test-Celeron zeigte hier schon deutlich, dass er nicht mehr zur allerneuesten Prozessor-Generation gehört). Ist der Key fertig generiert, werden wir mit einem Fenster wie dem rechts dargestellten belohnt.

Öffnen wir nun ein Chatfenster mit einem Gesprächspartner, dessen Client ebenfalls OTR unterstützt, werden wir links neben unserem Eingabefenster einen Button mit der Aufschrift „OTR: Not private“ sehen. Klicken wir darauf, starten wir eine OTR-Sitzung. Allerdings wird uns Pidgin darauf aufmerksam machen, dass wir unseren Kontakt nicht authentifiziert haben. Ein Rechtsklick auf das „not private“-Icon ruft ein Menü auf, das unter anderem den Punkt „authenticate Buddy“ anbietet. Diesen wählen wir aus und erhalten dann ein Fenster, in dem wir einen Text eingeben können.

Hier müssen wir einen Text eingeben, den wir mit unseren Gesprächspartner auf einem sicheren Weg (beispielsweise in einer verschlüsselten Email) abgesprochen haben.

Gibt unser Gesprächspartner denselben Text ein, erhalten wir eine Erfolgsmeldung und das Icon neben unserem Eingabefenster verändert sich, so dass es aussieht wie rechts. Das bedeutet, dass wir nun verschlüsselt chatten können. Wann immer dieses Icon angezeigt wird, haben wir, auch wenn im Chat selbst alles aussieht wie immer, eine Verschlüsselung, die uns sicher vor unbefugtem Mitlesen schützt- unter Windows und ohne auf die meisten unserer Gewohnheiten beim Instant Messaging verzichten zu müssen.

Hoffentlich hat diese Anleitung dem einen oder anderen weitergeholfen auf dem Weg hin zu einem bisschen mehr technischen Datenschutz. Wie man sieht ist das Verwenden von Verschlüsselung mittlerweile nicht mehr allzu kompliziert und auch unter Windows gut einsetzbar, was die weitere Verbreitung hoffentlich begünstigt.

Der nächste (und voraussichtlich letzte) Teil dieser Mini-Serie wird ähnlich aufgebaut sein und sich mit dem Kopete Messenger für Linux und FreeBSD befassen.

Fragen, Anregungen, Kritik oder zusätzliche Hintergrundinformationen bitte einfach per Kommentar, per Email (Adresse rechts in der Sidebar) oder auch über die in den Screenshots erkennbare ICQ-Nummer an mich.

Anmerkung: Bei diesem Beitrag kann in einigen Auflösungen die Darstellung etwas problematisch sein, so dass die eingefügten Bilder an den falschen Stellen erscheinen. Das liegt daran, dass mein WordPress-Editor die Bilder in der Vorschau immer komplett anders darstellt als im fertigen Text und außerdem manchmal Bilder über dem Text darstellt. Falls ein Leser eine Ahnung hat, wie man dieses Problem behebt, möge er sich bitte auf den bereits erwähnten Wegen an mich wenden.

Heutzutage muss man oft zu technischen Methoden greifen, wenn man seine Privatsphäre bei der Kommunikation über das Internet wirklich effektiv schützen will. Das gilt auch für das sogenannte Instant Messaging, also das Nutzen von Diensten wie ICQ, MSN und AIM zum Austausch von Textnachrichten. Bei diesen Diensten werden die Nachrichten normalerweise im Klartext übertragen (Jabber bietet hier durch die Möglichkeit der SSL-Verschlüsselung eine Ausnahme, allerdings ist das oft serverabhängig und viele Menschen wollen aufgrund der großen Verbreitung anderer Messenger-Dienste nicht oder nicht ausschließlich auf Jabber umsteigen). Es liegt auf der Hand, dass Klartext-Nachrichten keine wirklich sichere Kommunikationsform sind; zwar wird in aller Regel niemand mitlesen, rein technisch wäre dies jedoch ohne weiteres möglich.

Wem das zu unsicher ist der kann sich durch das Nutzen einer Verschlüsselung schützen. Dadurch kann zwar immer noch festgestellt werden, mit wem man kommuniziert, aber der Inhalt der Kommunikation ist für einen Angreifer unmöglich feststellbar. So kann man auch private Themen weitgehend unbesorgt seinem Messenger anvertrauen (vorausgesetzt, man loggt die Gespräche nicht mit oder sorgt für eine sichere Aufbewahrung der Logdateien).

Die Standard-Messenger der bekannten Dienste beherrschen leider keine Verschlüsselung; es ist also unmöglich, über ICQ 6 oder den Microsoft-MSN-Client sicher zu kommunizieren. Zum Glück gibt es Programme von Drittanbietern, die in der Regel mehrere Messenger-Protokolle beherrschen und über diese auch Verschlüsselung anbieten.

Die beiden derzeit ernstzunehmenden Standards im Bereich verschlüsseltes Instant Messaging sind Off The Record (kurz OTR) und Gnu Privacy Guard (GPG). Ersteres ist extra für Instant Messaging, während GPG auch der Verschlüsselung von beispielsweise Emails und Dateien dient und separat auf einem Rechner installiert wird, so dass alle kompatiblen Programme darauf zugreifen können. Beide Möglichkeiten gelten als sicher und haben mittlerweile eine gewisse Verbreitung, sind jedoch nicht untereinander kompatibel- das heißt, jemand, dessen Client nur OTR beherrscht, kann nicht verschlüsselt mit jemandem chatten, dessen Client nur GPG kann. Zwei verschiedene Clients mit derselben Verschlüsselung sind jedoch kein Problem (anders als beispielsweise bei File Transfers, die oft nur zwischen Usern desselben Clients funktionieren).

Ich werde im Rahmen dieser Mini-Serie zwei dieser Messenger vorstellen, die ich persönlich für eine gute Wahl halte, da sie vielseitig, stabil und nicht allzu schwer zu bedienen und außerdem Open Source sind. Der erste dieser Messenger ist Pidgin, den es für Windows, Linux und FreeBSD gibt. Pidgin beherrscht mit Hilfe eines Plugins die OTR-Verschlüsselung. Der zweite von mir behandelte Instant Messenger ist Kopete, den es allerdings nur für „unixoide“ Betriebssysteme gibt. Auf diesen bevorzuge ich persönlich ihn, da er neben OTR auch GPG beherrscht, nativ Jabber kann und mir außerdem von der Bedienung her entgegenkommt.

Von einem gravierenden Problem bei der Datensicherheit vollverschlüsselter Rechner (in der Praxis meist Laptops) berichtet unter anderem Bruce Schneier mit Bezug auf eine vor kurzem fertiggestellte Forschungsarbeit.
Wer seinen Rechner komplett verschlüsselt, geht davon aus, dass niemand auf die Daten zugreifen kann, sobald der Rechner ausgeschaltet ist. Dies ist allerdings in der Praxis nicht immer gewährleistet: Der im Rechner verwendete DRAM (sofern er keine ECC, also fehlerkorrigierende, Eigenschaften besitzt) verliert seinen Inhalt entgegen bisheriger Annahmen nur langsam- insbesondere, wenn man ihn, beispielsweise mit Kältespray, stark herunterkühlt- allzu cool und gechillt ist also nicht wirklich gut für unsere Verschlüsselung.

Das kann sich ein Angreifer natürlich zunutze machen- Rechner schön kalt machen, ausschalten und von einer Live-CD oder einem USB-Stick neu starten. Nun kann er entsprechende Analysetools starten und im Arbeitsspeicher nach dem Key für die Verschlüsselung suchen. Diese Tools funktionieren angeblich sogar, wenn einige Bits des Keys überschrieben wurden und fehlerhaft sind (ein Proof of Concept existiert, wurde von mir aber bisher noch nicht getestet; ich werde entsprechende Infos nachliefern).

Mit dem Key kann der Angreifer nun die verschlüsselten Partitionen entschlüsseln. Da dieser Angriff unabhängig vom Algorithmus oder Lücken in der Implementierung ist, funktioniert er auf allen gängigen Tools- das populäre, vor kurzem in der neuesten Version veröffentlichte TrueCrypt ist ebenso anfällig wie das oft unter Linux (auch von mir) verwendete dm-crypt.

Dieser Angriff zeigt, dass leider auch eine komplette Verschlüsselung des Systems das Risiko eines unbefugten Zugriffs auf die Daten bei bestehendem physischem Zugriff nicht ganz eliminieren kann. Abhilfe gibt es momentan keine außer sich des Risikos bewusst zu sein und dafür zu sorgen, dass der Rechner lange genug ausgeschaltet ist, bevor er Unbefugten in die Hände fällt (ein Schelm, wer jetzt an vierfache Kontrolle des Durchsuchungsbefehls denkt…). Möglicherweise werden in Zukunft softwareseitige Lösungen implementiert, die das Problem beispielsweise durch Überschreiben des entsprechenden Arbeitsspeichers vor dem Herunterfahren lösen. Bis dahin ist wieder einmal der User gefragt.

Nachdem in den USA ein Verwaltungsrichter entschied, dass Passwörter oder Passphrases für verschlüsselte Festplatten oder Partitionen im Falle eines Ermittlungsverfahrens nicht an die Polizei oder das Gericht herausgegeben werden müssen (nachzulesen hier), will die US-Regierung gegen dieses Urteil nun Berufung einlegen. Dies berichten unter anderem heise online und die kanadische Zeitung National Post.

Konkret geht es um den Fall eines Mannes, auf dessen Laptop die Ermittler Kinderpornos vermuten. Da sich diese auf einer mit dem als sicher geltenden Programm PGP verschlüsselten Partition befinden, wäre die einzige realistische Chance für die Ermittler, an die Daten heranzukommen, die Herausgabe der Passphrase durch den Besitzer. Diese aber hatte Verwaltungsrichter Jerome J. Niedermeier mit der Berufung auf den fünften Zusatzartikel zur Verfassung (also das auch in Deutschland geltende Recht zu schweigen, wenn man sich anderenfalls möglicherweise selbst belasten würde) für nicht durchsetzbar erklärt.

Abgesehen von dem konkreten Fall könnte ein endgültiges Urteil in dieser Frage auch allgemeine Konsequenzen haben, immerhin geht es hier um eines der Grundrechte eines Beschuldigten und um die Frage, inwiefern Kryptographie, im 21. Jahrhundert eines der wenigen verbliebenen wirksamen Mittel, seine privaten Daten zu schützen, überhaupt noch effektiv ist. Auch wenn der konkrete Fall alles andere als Sympathie für den Angeklagten, sondern eher den Wunsch nach dessen Bestrafung weckt, darf man nicht den Preis für die Erfüllung dieses Wunsches aus den Augen verlieren.

„The sanctity of passwords has far-reaching implications for computer users who might encrypt sensitive personal information,“ schreibt die National Post, und das ist genau das Problem. In Zeiten, in denen die Privatsphäre ohnehin teilweise schon stark eingeschränkt ist (aus einer Mischung aus sozialen, technischen und politischen Gründen) bietet die Verschlüsselung privater oder vertraulicher Daten noch eine Möglichkeit, diese Daten dem Zugriff und den Blicken Unbefugter zu entziehen. Eine Einschränkung dieser Möglichkeit, selbst mit dem lobenswerten Ziel der Verbrechensbekämpfung, würde diesen Schutz der Privatsphäre (beziehungsweise den Eingriff des Staates in dieselbe) weiter verringern. Somit könnte möglicherweise auch ein Präzedenzfall für weitere, problematische Befugnisse der Ermittlungsbehörden geschaffen werden.

Nur weil Verbrecher Kryptographie missbrauchen, ist Kryptographie als solche in unserer modernen Gesellschaft nicht weniger wichtig und richtig. Fast alle guten Errungenschaften können von Verbrechern missbraucht werden, trotzdem wäre unser Leben ohne sie gefährlicher und weniger lebenswert. Das gilt auch für die Verschlüsselung, die Millionen unschuldiger Menschen vor Kriminalität, Eingriffen in ihre Privatsphäre und staatlicher Kompetenzüberschreitung schützt- und eben leider auch einige 1000 oder 10000 Verbrecher vor Strafverfolgung.

Dementsprechend ist es vom Datenschutz-Gesichtspunkt aus zu wünschen, dass das derzeitige Urteil aufrecht erhalten wird. Die Chancen dafür sehen Rechtsexperten sehr unterschiedlich, und auch die Gesetzgebung in anderen Ländern ist uneinheitlich. In England kann man für die Nichtherausgabe eines Passwortes für bis zu fünf Jahre in Haft genommen werden, während es in vielen anderen Ländern keine derartige Regelung gibt. Nun also stehen die USA vor dieser Entscheidung- hoffen wir, dass sie sich dafür entscheiden, ihre freiheitlichen Grundsätze und die Rechte ihrer Bürger in diesem Fall nicht einzuschränken.