Mein digitaler SchutzschildHushmail – Auch E-Mails können anonym sein

Unerkannt E-Mails auszutauschen, ist technisch nicht aufwendig. Aber wer unvorsichtig ist, fliegt schnell auf, wie der Fall David Petraeus gezeigt hat. von 

David Petraeus kann ein Lied davon singen, wie schwierig es ist, anonym per E-Mail mit jemandem zu kommunizieren. Der US-General trat zurück, weil er genau das nicht schaffte. Das FBI deckte seine außereheliche Affäre anhand seiner E-Mails auf, obwohl er und seine Geliebte einige Vorsichtsmaßnahmen getroffen hatten, um nicht ertappt zu werden.

Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine Anleitung veröffentlicht, die beschreibt, was wirklich nötig ist, um unerkannt E-Mails auszutauschen. Sie heißt Don’t be a Petraeus und richtet sich an Menschen, die miteinander in Kontakt bleiben wollen, ohne dass für Dritte nachvollziehbar wäre, wer hier kommuniziert.

Anzeige

Das müssen nicht unbedingt ein General und seine Geliebte sein, auch ein Journalist und ein Informant können diesen Weg nutzen, wenn sie über einen längeren Zeitraum einen anonymen Kanal zum Informationsaustausch brauchen.

Die Installation

Der erste Schritt ist die Installation und Inbetriebnahme des Tor Browser Bundles, wie im vorherigen Teil dieser Serie beschrieben. Wichtig ist, von nun an ausnahmslos immer Tor zu benutzen. Andernfalls ist die Anonymität der E-Mail-Kommunikation nicht gewährleistet. Das Tor Browser Bundle verschleiert die IP-Adresse eines Rechners im Netz und verhindert, dass der Internetprovider speichern kann, welche Seiten der Nutzer ansteuert. In diesem Fall heißt das: Niemand weiß überhaupt, dass er oder sie einen Webmail-Dienst aufgerufen hat.

Ich benutze in diesem Fall den von der EFF empfohlenen kanadischen Webmail-Anbieter Hushmail. Der erlaubt es, sich über Tor zu registrieren und bietet außerdem standardmäßig eine HTTPS-Verschlüsselung – eine seltene Kombination, wie die EFF schreibt. Ich richte mir dort also ein kostenloses E-Mail-Konto ein. Das heißt, ich versuche es. Beim ersten Mal bekomme ich angezeigt, dass mein Computer von Hushmail blockiert wird, "wahrscheinlich wegen Missbrauchs des Dienstes oder wegen Spam", wie es heißt. Ich starte Tor neu und greife dadurch mit einer neuen IP-Adresse auf Hushmail zu. Dieses Mal funktioniert es.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Ich wähle einen Benutzernamen, der keine Rückschlüsse auf meine Person zulässt. Das heißt, er sollte am besten kein deutsches Wort enthalten, nichts mit meinen Hobby oder gar Namen zu tun haben und keine Absicht erkennen lassen, wozu das Konto genutzt wird. Außerdem wähle ich ein starkes Passwort.

Die anonyme Kommunikation funktioniert nun so: Wenn ich mich über Tor bei Hushmail einlogge und dort eine Nachricht verfasse und im Entwurfsordner ablege, kann jemand anderes, der von mir die Zugangsdaten zum Konto bekommen hat, sie dort lesen. Versendet wird dabei nichts. Die Zugangsdaten werden am besten bei einem persönlichen Treffen ausgetauscht.

Die EFF empfiehlt zusätzlich, nicht das heimische Netzwerk, sondern ein öffentliches WLAN oder ein Internetcafé zu benutzen. Zu diesem Zweck empfiehlt es sich, Tor auf einem USB-Stick einzurichten. Wie das geht, wird zum Beispiel hier und hier beschrieben.

Kleiner Bonus: Hushmail bietet die Möglichkeit, Mails mit einem Klick in einer Checkbox zu verschlüsseln – für den Fall, dass man doch mal etwas versendet. Die E-Mails sind damit für jemanden, der sie unterwegs abfängt, nicht zu entziffern. Der E-Mail-Header, also unter anderem Absender, Empfänger und Betreff werden allerdings nicht verschlüsselt.

Leserkommentare
  1. ist nicht sicher, viel schlimmer, der Anbieter arbeitet mit Behörden zusammen.

    http://www.gulli.com/news/7304-hushmail-petzt-verschluesselnder-mailprov...

    Wer sicher verschlüsseln möchte sollte dies auf seinen Rechner zuhause machen.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    Redaktion

    Ich habe die Tatsache, dass Hushmail bei einem Gerichtsbeschluss Nutzerdaten und Mails herausgibt, im Text erwähnt. Ich möchte an dieser Stelle aber nochmal darauf hinweisen, dass die Behörden dafür einen Verdacht haben müssen, dass der Nutzer etwas Illegales tut. Ich hoffe, für die Mehrheit der ZEIT-ONLINE-Leser gilt das nicht. ;)

    Ich würde mich aber über Empfehlungen freuen, welche Webmail-Anbieter besser geeignet wäre. Ich habe mich in dieser Anleitung schlicht an die Empfehlung der EFF gehalten.

    ist oftmals Auslegungssache. Ein politischer Aktivist in Ägypten beispielsweise kann nach unserer Auffassung absolut rechtskonform handeln, im Heimatstaat hingegen drohen ihm Repressionen.

    Der Wunsch nach Anonymität in einem Atemzug mit Illegalität gleichzusetzen ist auch nahe an einem Totschlagargument. "Du willst keinen Fingerabdruck für deinen Ausweis abzugeben? Was hast Du zu verbergen?" Privatsphäre und Anonymität ist immer schützenswert.

    Ansonsten wären das meine persönlichen Präferenzen.

    https://tormail.org/
    https://www.vfemail.net/
    https://safe-mail.net/

    • csze97
    • 29. Januar 2013 11:34 Uhr

    "Wir können den politischen Widerstand gegen eine 6-monatige Vorratsdaten­speicherung (neusprech: Mindest­speicher­dauer) aufgeben, wenn zukünftig Hushmail als privacy-freundlich gilt."

    https://anonymous-proxy-servers.net/blog/index.php?user_language=de

    3 Leserempfehlungen
  2. Redaktion

    Ich habe die Tatsache, dass Hushmail bei einem Gerichtsbeschluss Nutzerdaten und Mails herausgibt, im Text erwähnt. Ich möchte an dieser Stelle aber nochmal darauf hinweisen, dass die Behörden dafür einen Verdacht haben müssen, dass der Nutzer etwas Illegales tut. Ich hoffe, für die Mehrheit der ZEIT-ONLINE-Leser gilt das nicht. ;)

    Ich würde mich aber über Empfehlungen freuen, welche Webmail-Anbieter besser geeignet wäre. Ich habe mich in dieser Anleitung schlicht an die Empfehlung der EFF gehalten.

    Eine Leserempfehlung
    Antwort auf "Hushmail"
    Reaktionen auf diesen Kommentar anzeigen

    @P. Beuth: "Ich würde mich aber über Empfehlungen freuen..."

    In Ihrem Beitrag gestern haben Sie auf das "Privacy-Handbuch" verlinkt. Dort finden sie auch Empfehlungen für E-Mail Anbieter:

    Kapitel "E-Mails mit Thunderbird": https://www.awxcnx.de/handbuch_31.htm

    Kapitel "Anonyme E-Mails": https://www.awxcnx.de/handbuch_24e.htm

    • xoxox
    • 29. Januar 2013 14:21 Uhr

    Es stimmt, dass es zur Hausdurchsuchung und Zwang zur Übergabe der Userdaten einen Verdacht und in Deutschland einen richterlichen Beschluss braucht.

    Allerdings reicht dazu in Deutschland ein "sich beleidigt fühlender" CSU-Politiker aus. Und schon gibt es eine richterliche Verfügung der eine komplette Redaktionsdurchsuchung "legitimiert". Siehe http://www.heise.de/tp/blogs/6/153637

    Das ist ein Witz! Wer also z.B. die Redaktionsräume der Zeit mal durchsucht haben möchte und unsere Userdaten möchte, braucht hier nur einen Kommentar zu einem CSU-Politiker zu schreiben, beim passenden Gericht Klage einzureichen, und fertig.

    Auf solche Hürden sollte man sich also tunlichst nicht verlassen. Statt E-Mail würde ich eh einen Instant Messenger mit End-to-End Verschlüsselung empfehlen.

    Wenn für die Verwendung von Hushmail schon eine Tor-Installation notwendig ist, möchte ich noch Tormail (tormail.org) in die Runde werfen. Dazu möchte ich allerdings bemerken, dass ich nicht den blassesten Schimmer habe, welches Verhältnis zwischen den Betreibern und Behörden besteht.

    • deDude
    • 29. Januar 2013 11:53 Uhr

    ... das wo man sich vor Jahren noch gegen Kriminelle zur Wehr setzen musste heute Bundesämter und Ermittlungsbehörden an deren Stelle getreten sind.

    Einen Staat der seine Bürger gern rund um die Uhr überwachen möchte und das auch gegen den Widerstand der meisten Bürger tut nennt man... genau! RECHTSSTAAT!

    Die nächste Diktatur in Europa wird sich der bereits vorhandenen Überwachungsinfrastruktur sicher gerne bedienen.

    8 Leserempfehlungen
  3. Tor Mail wäre auch eine Alternative. Diese Seite ist ist NUR via Tor zu erreichen, so besteht zumindest nicht die Gefahr, sich aus Versehen im normalen Browser einzuloggen.

    Hier die Clearnet-Adresse mit Informationen:
    http://tormail.org/

    Dort findet man auch den Onion-Link für den Tor-Browser.

    Vielen Dank an den Autor für diese Artikelreihe, ich denke es ist sehr wichtig die Menschen über sicherere Alternativen aufzuklären.

    Reaktionen auf diesen Kommentar anzeigen
    Redaktion

    Ja, ich gebe Ihnen Recht. Die Tor Hidden Servies wären ein Alternative. Aber ich bin der Meinung, dass sie nicht anfängertauglich sind.

  4. Redaktion

    Ja, ich gebe Ihnen Recht. Die Tor Hidden Servies wären ein Alternative. Aber ich bin der Meinung, dass sie nicht anfängertauglich sind.

    Antwort auf "Tor Mail"
    Reaktionen auf diesen Kommentar anzeigen

    @Redaktion: Also gerade Tor Mail sehe ich als recht bequem an. Zumal die Roundcube als Frontend anbieten.

  5. @P. Beuth: "Ich würde mich aber über Empfehlungen freuen..."

    In Ihrem Beitrag gestern haben Sie auf das "Privacy-Handbuch" verlinkt. Dort finden sie auch Empfehlungen für E-Mail Anbieter:

    Kapitel "E-Mails mit Thunderbird": https://www.awxcnx.de/handbuch_31.htm

    Kapitel "Anonyme E-Mails": https://www.awxcnx.de/handbuch_24e.htm

    Eine Leserempfehlung
    Antwort auf "Im Text"
  6. egal wo die Daten draussen rumfliegen - sicher sind sie nirgends. Auch Tor, Hushmail etc würde ich nicht trauen.

    Wenn ich etwas wirklich Geheimes sicher versenden wollte, würde ich den Text in den Bytes eines Bild kodieren und verstecken (dessen Lesealgorithmus der Empfänger natürlich kennen muss); sowas lässt sich mit etwas Kenntnissen leicht selber programmieren.

    So ein Bild kann man als normalen Anhang verschicken und keiner ahnt, dass es Geheimtext enthält. Und selbst wenn - auf die persönlich-spezielle Byte-Ablagelogik kommt nichtmal die CIA;
    Bei Millionen versandten Bildern im Netz pro Minute kann das kein Rechner der Welt knacken. Macht aber eben etwas mehr Mühe.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    @Sauerrahm: "würde ich den Text in den Bytes eines Bild kodieren"

    Du meinst Steganografie, z.B. mit "steghide". Anleitung gibt es z.B. hier: https://www.awxcnx.de/handbuch_41.htm

Bitte melden Sie sich an, um zu kommentieren

Service