Mein digitaler SchutzschildHushmail – Auch E-Mails können anonym sein

Unerkannt E-Mails auszutauschen, ist technisch nicht aufwendig. Aber wer unvorsichtig ist, fliegt schnell auf, wie der Fall David Petraeus gezeigt hat. von 

David Petraeus kann ein Lied davon singen, wie schwierig es ist, anonym per E-Mail mit jemandem zu kommunizieren. Der US-General trat zurück, weil er genau das nicht schaffte. Das FBI deckte seine außereheliche Affäre anhand seiner E-Mails auf, obwohl er und seine Geliebte einige Vorsichtsmaßnahmen getroffen hatten, um nicht ertappt zu werden.

Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine Anleitung veröffentlicht, die beschreibt, was wirklich nötig ist, um unerkannt E-Mails auszutauschen. Sie heißt Don’t be a Petraeus und richtet sich an Menschen, die miteinander in Kontakt bleiben wollen, ohne dass für Dritte nachvollziehbar wäre, wer hier kommuniziert.

Anzeige

Das müssen nicht unbedingt ein General und seine Geliebte sein, auch ein Journalist und ein Informant können diesen Weg nutzen, wenn sie über einen längeren Zeitraum einen anonymen Kanal zum Informationsaustausch brauchen.

Die Installation

Der erste Schritt ist die Installation und Inbetriebnahme des Tor Browser Bundles, wie im vorherigen Teil dieser Serie beschrieben. Wichtig ist, von nun an ausnahmslos immer Tor zu benutzen. Andernfalls ist die Anonymität der E-Mail-Kommunikation nicht gewährleistet. Das Tor Browser Bundle verschleiert die IP-Adresse eines Rechners im Netz und verhindert, dass der Internetprovider speichern kann, welche Seiten der Nutzer ansteuert. In diesem Fall heißt das: Niemand weiß überhaupt, dass er oder sie einen Webmail-Dienst aufgerufen hat.

Ich benutze in diesem Fall den von der EFF empfohlenen kanadischen Webmail-Anbieter Hushmail. Der erlaubt es, sich über Tor zu registrieren und bietet außerdem standardmäßig eine HTTPS-Verschlüsselung – eine seltene Kombination, wie die EFF schreibt. Ich richte mir dort also ein kostenloses E-Mail-Konto ein. Das heißt, ich versuche es. Beim ersten Mal bekomme ich angezeigt, dass mein Computer von Hushmail blockiert wird, "wahrscheinlich wegen Missbrauchs des Dienstes oder wegen Spam", wie es heißt. Ich starte Tor neu und greife dadurch mit einer neuen IP-Adresse auf Hushmail zu. Dieses Mal funktioniert es.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Ich wähle einen Benutzernamen, der keine Rückschlüsse auf meine Person zulässt. Das heißt, er sollte am besten kein deutsches Wort enthalten, nichts mit meinen Hobby oder gar Namen zu tun haben und keine Absicht erkennen lassen, wozu das Konto genutzt wird. Außerdem wähle ich ein starkes Passwort.

Die anonyme Kommunikation funktioniert nun so: Wenn ich mich über Tor bei Hushmail einlogge und dort eine Nachricht verfasse und im Entwurfsordner ablege, kann jemand anderes, der von mir die Zugangsdaten zum Konto bekommen hat, sie dort lesen. Versendet wird dabei nichts. Die Zugangsdaten werden am besten bei einem persönlichen Treffen ausgetauscht.

Die EFF empfiehlt zusätzlich, nicht das heimische Netzwerk, sondern ein öffentliches WLAN oder ein Internetcafé zu benutzen. Zu diesem Zweck empfiehlt es sich, Tor auf einem USB-Stick einzurichten. Wie das geht, wird zum Beispiel hier und hier beschrieben.

Kleiner Bonus: Hushmail bietet die Möglichkeit, Mails mit einem Klick in einer Checkbox zu verschlüsseln – für den Fall, dass man doch mal etwas versendet. Die E-Mails sind damit für jemanden, der sie unterwegs abfängt, nicht zu entziffern. Der E-Mail-Header, also unter anderem Absender, Empfänger und Betreff werden allerdings nicht verschlüsselt.

Leserkommentare
  1. ist oftmals Auslegungssache. Ein politischer Aktivist in Ägypten beispielsweise kann nach unserer Auffassung absolut rechtskonform handeln, im Heimatstaat hingegen drohen ihm Repressionen.

    Der Wunsch nach Anonymität in einem Atemzug mit Illegalität gleichzusetzen ist auch nahe an einem Totschlagargument. "Du willst keinen Fingerabdruck für deinen Ausweis abzugeben? Was hast Du zu verbergen?" Privatsphäre und Anonymität ist immer schützenswert.

    Ansonsten wären das meine persönlichen Präferenzen.

    https://tormail.org/
    https://www.vfemail.net/
    https://safe-mail.net/

    Eine Leserempfehlung
    Antwort auf "Hushmail"
    Reaktionen auf diesen Kommentar anzeigen
    • Bodman
    • 29. Januar 2013 15:00 Uhr

    Für Nutzer, die sich mit der englischen Sprache oder dem englischen Fachvokabular schwer tun, empfiehlt sich einer der beiden folgenden deutschsprachigen Mailprovider:

    aikQ Mail: https://www.aikq.de/ oder Posteo: https://posteo.de/

    Anonyme Anmeldung und anonyme Bezahlung ist bei beiden Anbietern möglich

  2. Noch ein Hinweis zur SSL-Verschlüsselung von Hushmail im Webinterface: UNSICHER.

    Die HTTPS-Verschlüsselung unterstützt keine "Secure Renegotation". Das ist seit 2009 ein bekannter Bug im SSL-Protokoll, der durch geeignete Konfiguration des Webservers vermieden werden kann.

    Ein Angriff, der unter Ausnutzung von "Insecure Renegotation" die SSL-Verschlüsselung aushebelt und das Passwort für den Login erschüffelt, dauert nur wenige Sekunden und ist z.B. hier beschrieben:

    https://www.verbraucher-s...

    Man sollte also Hushmail nur mit einem E-Mail Client nutzen und nicht das Webinterface.

    Eine Leserempfehlung
  3. @Sauerrahm: "würde ich den Text in den Bytes eines Bild kodieren"

    Du meinst Steganografie, z.B. mit "steghide". Anleitung gibt es z.B. hier: https://www.awxcnx.de/han...

    Antwort auf "sicherste Methode"
    Reaktionen auf diesen Kommentar anzeigen

    ich wollte nicht mit Spezialausdrücken herumwerfen - aber genau das ist es.
    Den link kannte ich noch nicht - danke.

    Auch mit mittelmässigen Kenntnissen sollte man sich sowas sogar selbst zusammenbasteln können.

    Ich kann mir nicht vorstellen, dass auf diese Weise gut codierte Nachrichten jemals von aussen zu entschlüsseln sind. Ausser natürlich, jemand hat das Leseprogramm; das klassische Spionageproblem.

    Die Freaks nutzen ja auch schon Filme - bei der riesigen Datenmenge irgendwo ein paar Textbytes reinzuschmuggeln kann gar nicht mehr auffallen.

  4. Wer es übertreiben möchte, sieht sich I2P Bote mal an.
    Verschlüsselte anonyme Email-Kommunikation intern im I2P-Netzwerk.

    I2P an sich:
    http://www.i2p2.de/index_...
    https://www.awxcnx.de/han...

    Erweiterung I2P Bote:
    https://www.awxcnx.de/han...
    http://i2pbote.i2p.to/

    Danach bitte auf fortgeschrittene Paranoia untersuchen lassen.

  5. 13. genau !

    ich wollte nicht mit Spezialausdrücken herumwerfen - aber genau das ist es.
    Den link kannte ich noch nicht - danke.

    Auch mit mittelmässigen Kenntnissen sollte man sich sowas sogar selbst zusammenbasteln können.

    Ich kann mir nicht vorstellen, dass auf diese Weise gut codierte Nachrichten jemals von aussen zu entschlüsseln sind. Ausser natürlich, jemand hat das Leseprogramm; das klassische Spionageproblem.

    Die Freaks nutzen ja auch schon Filme - bei der riesigen Datenmenge irgendwo ein paar Textbytes reinzuschmuggeln kann gar nicht mehr auffallen.

    Antwort auf "Steganografie"
    Reaktionen auf diesen Kommentar anzeigen

    das Einfügen von Text in Bilder ist, kann man sich hier mal kurz anschauen:

    www.sempervideo.de/?p=8723

  6. ... nutzen russische Spione die Kommentarfunktion von Youtube, um zu kommunizieren ... *mwwwuaaahaaahaaa* (so geschehen in Marburg, berichtet in ARD oder ZDF Nachrichtensendung).

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Da gibts jede Menge Möglichkeiten - man muss nur ein wenig kreativ sein.

    Dass irgendein 'professioneller' Geheimtextverschicker noch emails für seine Kommunikation verwendet, kann ich mir nicht vorstellen.

    Einzelne versteckte Bytes da rauszudröseln dürfte umnöglich sein bei
    2TBit/sek alleine in Frankfurt:

    http://www.nwzonline.de/d...

  7. ...aber zusammen mit dem einleitenden Absatz wirk der ganze Artikel wie eine Anleitung zum unbemerkten Fremdgehen. Sind wir wirklich so tief gesunken?

  8. Da gibts jede Menge Möglichkeiten - man muss nur ein wenig kreativ sein.

    Dass irgendein 'professioneller' Geheimtextverschicker noch emails für seine Kommunikation verwendet, kann ich mir nicht vorstellen.

    Einzelne versteckte Bytes da rauszudröseln dürfte umnöglich sein bei
    2TBit/sek alleine in Frankfurt:

    http://www.nwzonline.de/d...

    Antwort auf "... währenddessen ..."

Bitte melden Sie sich an, um zu kommentieren

Service