digitale Kommunikation und digitale Sicherheit
In Zeiten von Smartphones und Internet ist eine Kommunikation ohne die Hilfe von digitalen Helfern kaum noch möglich. Auch ein Großteil meiner Kommunikation läuft über E-Mail und das Mobiltelefon ab.
Doch so nützlich diese Wege der Kommunikation auch sind: sie haben einen Haken, denn sie sind potenziell unsicher. E-Mails beispielsweise unverschlüsselt zu senden ist vergleichbar mit dem Schreiben einer offenen Postkarte: Sie können ohne viel Mühe, das entsprechende Wissen und Equipment vorausgesetzt, von jedem mitgelesen und/oder verändert werden. Bei einer einfachen Terminabsprache mag das von nur einer geringen Relevanz sein. Als Pfarrer habe ich aber auch mit vertraulichen Inhalten zu tun ...
Daher versuche ich seit etlichen Jahren, meine digitale Kommunikation sicherer zu machen. Konkret heißt das:
- E-Mails, die von mir stammen, sind digital unterschrieben und werden (transport-)verschlüsselt gesendet (via ProtonMail).
So können Sie sicher sein, dass eine E-Mail auch tatsächlich von mir stammt und nicht nachträglich verfälscht wurde. - Dokumente mit sensiblen und / oder vertraulichen Inhalt versende ich grundsätzlich nicht unverschlüsselt.
E-Mail-Verschlüsselung - Wozu das Ganze?
Stellen Sie sich einmal vor, ihr Hausarzt würde einen Arztbericht auf eine Postkarte schreiben. Wie würden Sie das finden? Gruselige Vorstellung, oder?
Unverschlüsselte E-Mails sind im Grunde genommen auch so etwas wie Postkarten - nur eben digital. Denn ihre Inhalte werden im Klartext über die entsprechenden E-Mail-Server verteilt. Und prinzipiell ist es möglich, dass sich ein Dritter in diesen Prozess dazwischenschaltet und so den Inhalt der Nachrichten mitlesen und sogar verändern kann (sogenannter man-in-the-middle-Angriff).
Davor schützen können Sie sich, indem Sie E-Mails verschlüsseln. So kann dann zum einen die Nachricht nicht mehr nachträglich verändert werden, ohne dass dieses auffällt, und zum anderen kann nur der tatsächliche Empfänger die Nachricht lesen.
Für meine digitale Kommunikation per E-Mail nutze ich den Service von ProtonMail. Dieses garantiert zumindest eine Transportverschlüsselung sowie die digitale Signatur der E-Mail.
Unterliegt der Inhalt der E-Mail einer besonderen Vertraulichkeit, so versende ich meine E-Mails grundsätzlich verschlüsselt.
Erfahren Sie hier mehr zum Thema "E-Mail-Verschlüsselung".
(Sie werden über diesen Link auf die Seite des Bundesamtes für Sicherheit in der Informationstechnik geleitet.)
Digitale Signaturen - was ist das eigentlich?
Wenn eine E-Mail (oder auch ein elektronisches Dokument) digital unterschreiben ist, dann ist nachvollziehbar, dass die Nachricht oder das Dokument tatsächlich von dem Absender stammt, der sie abgeschickt hat, und es ist sichergestellt, dass sie nicht nachträglich verändert wurde.
Digitale Signaturen sind also so etwas wie elektronische Fingerabdrücke, die mit einem Dokument oder einer E-Mail verknüpft sind und so deren Integrität sicherstellen. Unmittelbar nach dem Absenden einer E-Mail und noch bevor sie dem Empfänger-Server zugestellt wird, wird durch den privaten Schlüssel des Absenders eine Art Prüfsumme erstellt. Durch den öffentlichen Schlüssels des Absenders, der (meist) der E-Mail angehängt ist, lässt sich vom Empfänger überprüfen, ob der Nachrichteninhalt nach dem Absenden verändert wurde. Entsprechende E-Mail-Clienten wie Thunderbird, eM-Client, Evolution, Outlook oder FairMail, zeigen an, ob die Nachricht integer ist oder manipuliert wurde.
Meinen öffentlichen PGP-Schlüssel können Sie sich hier als ZIP-Archiv herunterladen. Anschließend entpacken Sie das Archiv und installieren den Schlüssel auf Ihrem Rechner.
Der Fingerabdruck des öffentlichen Schlüssels lautet:
66eb 4cb8 8916 326e 4f19 d105 bbd4 a958 3587 23e6
Ich signiere seit vielen Jahren alle E-Mails, die persönlich von mir gesendet werden. So können Sie als Empfänger sicher sein, dass eine E-Mail, die meinen Namen im Absender stehen hat, so auch tatsächlich von mir stammt.
Wenn ich eine Nachricht im Postfach finde, dass ich eine "sichere Nachricht erhalten habe"?
Es kommt vor, dass der Inhalt einer E-Mail von mir besonders vertrauliche Informationen enthält. Das ist insbesondere dann der Fall, wenn es um seelsorgerliche Dinge geht, die einer absoluten Vertraulichkeit unterliegen.
In solchen Fällen verschlüssele ich meine E-Mails generell.
Sofern Sie für Ihre E-Mail-Adresse nicht ebenfalls den Service von ProtonMail nutzen, werden Sie in Ihrem Postfach eine Nachricht vorfinden, die Sie darauf hinweist, dass Sie eine "sichere E-Mail" erhalten haben. Um die Nachricht zu entschlüsseln, müssen Sie dann auf "View secure Message" (deutsch: Sichere Nachricht anschauen) klicken und das vorab vereinbarte Passtwort eingeben.
Lesen Sie hier mehr Informationen dazu:
https://protonmail.com/support/knowledge-base/encrypt-for-outside-users/
Warum kein WhatsApp?
Zugegeben - WhatsApp ist der Platzhirsch unter den Messenger-Diensten. Fast jeder hat ihn auf seinem oder ihrem Handy installiert.
Warum dann nicht auch ich? Das will ich versuchen, Ihnen hier zu erklären.
Facebook, zu dem WhatsApp seit 2014 gehört, stellt den Dienst vermeintlich kostenlos zur Verfügung. Bei der Installation dieser App müssen Sie, anders als z. B. bei Threema, erst einmal kein Geld bezahlen. Aber umsonst ist dieser Dienst deswegen nicht. Denn in den Nutzungsbedingungen steht, dass Facebook die Nutzerdaten mit WhatsApp austauschen und nutzen darf. So erhält Facebook insbesondere Kontoinformationen der WhatsApp-Nutzer und die Kontaktdaten aus den gespeicherten Adressbüchern. Auch werden sogenannte Metadaten gesammelt, denn die Informationen, wer wann wo mit wem und von welchem Gerät kommuniziert hat, ist für den Mutterkonzern außerordentlich wertvoll - wertvoller oft als der Inhalt der Nachricht selbst. Diese Metadaten lassen sich hervorragend für personalisierte Werbung nutzen. Wer also WhatsApp nutzt, bezahlt mit persönlichen Daten und legt seine Privatsphäre offen.
Kein Wunder also, dass WhatsApp im Hinblick auf Datenschutz und Datensparsamkeit heftig kritisiert wird. Denn konform im Sinne der Datenschutzgrundverordnung (DSGVO) ist dieser Messenger nicht. Daher ist übrigens die Nutzung von WhatsApp im kirchlichen Dienst auch ausdrücklich nicht statthaft! (siehe dazu hier die Stellungnahme des Datenschutzbeauftragten der EKD: https://datenschutz.ekd.de/wp-content/uploads/2018/10/Erg%C3%A4nzende-Stellungnahm-Messgr-Dienste.pdf)
Deswegen habe ich mich entschieden, WhatsApp nicht mehr für die dienstliche wie auch für meine private Kommunikation zu nutzen.
Rufen Sie mich an oder schreiben Sie mir eine E-Mail, wenn Sie mich kontaktieren möchten.
Hier finden Sie meine Kontaktdaten.