Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Software gegen Überwachung: Verschlüsseln soll einfacher werden

Von

Sie heißen Hemlis, Mailpile und Trsst: Programme, die Chats, E-Mails und Kurznachrichten vor dem Blick der Geheimdienste schützen sollen. Mehr als 235.000 Dollar wurden für die Entwicklung der neuen Programme bereits gespendet. Ein Problem bleibt allerdings.

Seit den Enthüllungen des ehemaligen Geheimdienstmitarbeiters Edward Snowden interessieren sich viele Internetnutzer dafür, wie sie sich gegen Lauscher wehren können. Anleitungen zum Verschlüsseln von E-Mails und Chats erfreuen sich großer Beliebtheit. Software dazu existiert und ist sogar kostenlos. Doch während sich Angebote großer IT-Unternehmen meist ohne Anleitung bedienen lassen, ist die Einrichtung von Krypto-Programmen oft noch aufwendig. Entwickler wollen nun mit neuen Angeboten einfache Bedienung und Sicherheit zusammenbringen.

Damit die Nutzer nicht den Versprechungen einer Firma vertrauen müssen, setzen die Entwickler der neuen Programme auf die Offenheit von Open Source: Jeder soll in den Quellcode schauen können, um Schwachstellen und Fehler aufzuspüren und sicherzustellen, dass keine Hintertür existiert. Das Geld für die Entwicklung sammeln die Hacker im Internet. Drei solcher Projekte stellen wir hier vor - über deren tatsächliche Sicherheit lassen sich derzeit keine abschließenden Aussagen treffen.

Hemlis: Sicheres Chatprogramm für Smartphones Zur Großansicht

Hemlis: Sicheres Chatprogramm für Smartphones

Hemlis ist schwedisch und heißt übersetzt Geheimnis. Unter diesem Namen will ein kleines Team um den "Pirate Bay"-Gründer Peter Sunde ein sicheres Chatprogramm für Smartphones entwickeln. Die dafür veranschlagten 100.000 Dollar haben sie bereits zusammen - und das, obwohl es bereits eine ganze Reihe von Apps gibt, die ihren Nutzern den sicheren Austausch von Nachrichten versprechen.

Die Hemlis-Macher wollen auf bekannte Techniken wie XMPP und PGP aufbauen - und eigene Server für den Austausch der verschlüsselten Nachrichten aufbauen. Über Details wollen die Entwickler noch nicht sprechen, weil sie Streitereien mit Krypto-Experten fürchten. Den Quellcode wollen sie aber zum Teil veröffentlichen. Zunächst soll es Hemlis als iOS- und Android-App geben.

Mailpile: Schneller Webmailer mit eingebauter Verschlüsselung Zur Großansicht

Mailpile: Schneller Webmailer mit eingebauter Verschlüsselung

Ein kleines Team arbeitet derzeit an Mailpile, einer Software, die es mit den einfachen Oberflächen und Funktionen von bekannten Webdiensten wie Gmail aufnehmen soll - natürlich werbefrei. Vor allem ist PGP-Verschlüsselung bereits eingebaut und muss nicht nachgerüstet werden. Die Open-Source-Software soll man einfach auf einem eigenen Server installieren und über einen Browser abrufen können. Alternativ können Cloud-Anbieter ihren Nutzern das Programm zur Verfügung stellen.

Rund 125.000 Dollar haben die Entwickler für die Arbeit an Mailpile bisher gesammelt. Geldgeber sind unter anderem der ehemalige Google-Entwickler Bjarni Einarsson, der Chef des International Modern Media Instituts und Piraten-Politiker Smári McCarthy sowie der Entwickler Brennan Novak. Eine erste Version soll Anfang 2014 fertig sein.

Trsst: Soll wie Twitter funktionieren, aber ohne zentralen Server Zur Großansicht

Trsst: Soll wie Twitter funktionieren, aber ohne zentralen Server

Eine Mischung aus Twitter, Facebook und RSS-Reader soll Trsst werden. Die Idee:Einerseits sollen sich mit dem Programm Websites und Statusupdates abonnieren lassen, andererseits können Nutzer Updates und Blog-Einträge verfassen. Im Gegensatz zu existierenden Angeboten setzt Trsst nicht auf eine zentrale Infrastruktur. Beim Austausch privater Nachrichten soll Trsst eine sichere Verschlüsselung bieten.

Noch sammelt Michael Powers das Geld für sein Projekt zusammen, zunächst veranschlagt er 48.000 Dollar. Die Software sollen Nutzer auf ihren Servern laufen lassen oder bei Unternehmen einen Account mieten können. Für Unterstützer soll spätestens im Dezember eine erste Version bereitstehen. Das Ergebnis soll als Open Source veröffentlicht werden.

Alternativen zu Facebook und Twitter kranken bisher an Nutzermangel. Damit es Trsst nicht ähnlich ergeht, lassen sich nicht nur die Updates anderer Trsst-Nutzer abonnieren - sondern alle Seiten und Dienste, die das offene Datenformat RSS nutzen.

Schlechte Programme gefährden Menschenleben

Krypto-Experten haben derzeit viel zu tun - diverse Firmen und Projekte versprechen den Nutzern Sicherheit vor Spionen. Schon kleine Fehler können aber dazu führen, dass eine aufwendige Verschlüsselung wirkungslos wird. Geheimdienste, Behörden und Kriminelle können das ausnutzen. Bei einem privaten Chat mag das noch verschmerzbar sein - werden politisch Verfolgte ausgeforscht, können die Folgen gravierend sein.

Andreas Bogk vom Chaos Computer Club warnt Entwickler vor den Folgen fehlerhaft programmierter Verschlüsselung: "Menschen sterben, wortwörtlich. Nachdem sie gefoltert wurden." Bogk begrüßt deshalb, dass Krypto-Experten extrem vorsichtig und skeptisch sind.

Bevor eine Open-Source-Software tatsächlich als sicher gilt, können Jahre vergehen. PGP-Verschlüsselung hat diesen Test bestanden - Mailpile und Hemlis sollen auf diese Technik zurückgreifen, bei Trsst soll offenbar eine ähnliche Technik eingesetzt werden. Vor allem soll der Quellcode der Programme öffentlich sein. Je bekannter solche Projekte sind - und je besser die Entwickler in der Szene vernetzt -, desto eher werden Schwachstellen entdeckt.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 16 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. sinnvoll, aber am Problem vorbei
ArnoNyhm1984 30.08.2013
Da die Regierung offensichtlich kapituliert hat (oder die Beschnüffelung seiner Bürger sogar selbst betreibt), muss in der Tat jeder Einzelne selbst zum Schutz seiner Privatsphäre aktiv werden. Aber alle -auch die hier vorgestellten- Initiativen kranken am selben Problem: Die Krypto-Schlüssel müssen erst mal sicher ausgehandelt und verwaltet werden. Oder andersherum gesagt: Wer erst mal einen PGP-Schlüssel hat, der braucht kein neues Mail-Programm mehr, denn ein PGP-Modul gibt es für nahezu jedes bestehende Programm. Aber er braucht Kommunikationspartner, die ebenfalls PGP einsetzen und den (einmaligen) Einrichtungsaufwand eines Schlüssels durchlaufen haben -DAS ist der eigentliche Hinderungsgrund für den Einsatz von Kryptographie und wird es auch bleiben (leider)
2.
Der_Widerporst 30.08.2013
Klar ist es möglich DIE KOMMUNIKATION sicher zu verschlüsseln, mit OTPs sogar ABSOLUT sicher. Aber was nutzt das, wenn man mit einem Zero-Day-Exploit angegriffen wird und einfach eine Backdoor mit Keylogger installiert werden kann? Zero-Day-Exploits kann man heute "von der Stange" kaufen.
3. Halb geht nicht ... hatten wir schon!
musikimohr 30.08.2013
"Den Quellcode wollen sie aber zum Teil veröffentlichen." - dann steckt die von der NSA erzwungene Hintertür im geheimen Teil des Quellcodes? Das ist ein schlechter Witz. Im Übrigen gibt es mit GnuPG und OpenPGP ausgewachsene, sichere, kostenlose und leicht bedienbare Software zur Verschlüsselung von Emails und Dateien per "rechtem Mausklick", d.h. in Sekunden. Der einzige "Aufwand", den ich täglich treiben muss, ist die einmalige Eingabe meines Passwortes - das wars.
4. Was meinen Sie mit Einrichtungsaufwand?
musikimohr 30.08.2013
Zitat von ArnoNyhm1984Da die Regierung offensichtlich kapituliert hat (oder die Beschnüffelung seiner Bürger sogar selbst betreibt), muss in der Tat jeder Einzelne selbst zum Schutz seiner Privatsphäre aktiv werden. Aber alle -auch die hier vorgestellten- Initiativen kranken am selben Problem: Die Krypto-Schlüssel müssen erst mal sicher ausgehandelt und verwaltet werden. Oder andersherum gesagt: Wer erst mal einen PGP-Schlüssel hat, der braucht kein neues Mail-Programm mehr, denn ein PGP-Modul gibt es für nahezu jedes bestehende Programm. Aber er braucht Kommunikationspartner, die ebenfalls PGP einsetzen und den (einmaligen) Einrichtungsaufwand eines Schlüssels durchlaufen haben -DAS ist der eigentliche Hinderungsgrund für den Einsatz von Kryptographie und wird es auch bleiben (leider)
Das geht hier per Mausklick in wenigen Minuten ... ? Allerdings nutze ich Linux, vielleicht ist es bei PRISM-Partner-Betriebssystemen (absichtlich?) schwieriger? Kann ich nicht glauben, denn soweit ich mich erinnere, habe ich 1998 ein PGP auf Windows98 ebenfalls in Minuten und per Mausklick installiert und die beiden notwendigen Schlüssel erzeugt.
5. den Michel beruhigen - alles bleibt beim Alten...
sok1950 30.08.2013
Die Zusammenarbeit NSA - Microsoft (+andere Betriebssystem-Programmierer) hat nur einen Zweck - den direkten Zugriff auf den PC. Wer diesen Zugriff hat, dem ist es schlicht egal, wie sicher die verschlüsselte Datenübertragung ist. Wenn Windows die privaten Schlüssel beim nächsten Update "nach Hause" schickt, dann ist es egal, ob die Datenverbindung ins Internet verschlüsselt oder im Klartext erfolgt. Im Gegenteil, wer verschlüsselt, wird erst recht zum Ziel der Überwachung....
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: