Spideroak: Dropbox-Alternative mit Schwächen

Lässt sich ein nützlicher Dienst wie Dropbox oder Google Drive überhaupt ersetzen? Die bekannten amerikanischen Cloud-Dienste kennen wir ja alle irgendwie – liebgewonnen und vor allem hochgradig praktisch. Man kommt nämlich immer gut an die eigenen Daten ran, egal wo man sich aufhält. Und: Man teilt mit Arbeitskollegen, der Band oder dem Karnevalsverein einen gemeinsamen Dropboxordner, und schon erspart man sich viele umständliche Mails und das Herumreichen von USB-Sticks.

Das Problem: Man teilt sich seine Daten eben nicht nur mit Freunden, sondern auch mit diversen Geheimdiensten.

Kann man das tatsächlich besser machen? Oder zumindest eine ähnliche Leistung verschlüsselt – also sicher und ohne Geheimdienste – nutzen?

Konkurrenz belebt das Geschäft

Die erste einfache, ernüchternde Antwort: Es geht so ein bisschen. Genügend Inspiration für einen Versuch mit SpiderOak fand ich in einem vom britischen Guardian veröffentlichten Interview mit Edward Snowden, in welchem er den amerikanischen (!) Dienst SpiderOak über den grünen Klee lobt. Zudem gibt es auch noch weitere Alternativen, die wohl alle relativ ähnlich funktionieren: Teamdrive, Tresorit und Wuala. Ein wohl ganz brauchbarer Gesamtvergleich der Stärken und Schwächen der einzelnen Dienste ist hier zu finden (etwas scrollen muss man aber schon).

SpiderOak habe ich mir selbst wegen dem guten Herrn Snowden einmal näher angesehen – und bin vorerst daran hängen geblieben. Im Prinzip funktioniert’s genau wie Dropbox: Man lädt sich ein Programm, das auf dem normalen Windows (oder Linux etc.)-Desktop und auch auf dem Smartphone installiert wird. Gebraucht werden dann noch ein Nutzername und ein sicheres Passwort, 2 GB Online-Speicher sind – genau wie bei Dropbox – kostenlos. Wer FreundInnen anwirbt, bekommt pro FreundIn 1 GB umsonst obendrauf – und der oder die jeweilige FreundIn ebenso. Die SpiderOak-Werbemasche ist also eine Win-Win-Situation (Win-Win-Link hier, bitte darüber anmelden ;)). Bis zu 10 GB Speicherplatz lassen sich über das Schneeballprinzip kostenlos erreichen.

SpiderOak-Screenshot
SpiderOak-Screenshot

Ende-zu-Ende-Verschlüsselung gegen NSA und andere „Interessenten“

Was ist nun aber das „Besondere“ bei SpiderOak? Eigentlich wäre der Dienst schon grundsätzlich nicht vertrauenswürdig, da er in den USA sitzt und damit der merkbefreiten FISA-Regelung untersteht. Heißt im Klartext: Möchte ein amerikanisches Geheimgericht, dass SpiderOak Nutzerdaten rausgeben soll, dann kann die Firma nichts dagegen tun. Auch Dropbox, Facebook und wie sie alle heißen sind machtlos gegen diesen Missbrauch und die Sicherheitsparanoia der amerikanischen Regierung. Der Trick heißt daher – wie schon bei den Messengern und den Mails – Ende-zu-Ende-Verschlüsselung: Selbst wenn nun die Firma SpiderOak Daten rausgibt, können die Behörden schlicht nichts anfangen, da nach einer Herausgabe nur Zeichensalat zu sehen wäre. Diese Verschlüsselung übernimmt der Client, man selbst muss nichts dafür tun. So besitzt SpiderOak selbst laut eigenen Angaben dann keine Möglichkeit, die Daten für die Behörden zu entschlüsseln – allerdings können damit nicht einmal verloren gegangene Passwörter ersetzt werden.

Wie schon bei Threema muss allerdings auch die Frage nach der generellen Vertrauenswürdigkeit des Anbieters gestellt werden – da der Dienst aber plant, in der Zukunft zumindest teilweise auf das Open Source – Prinzip zu setzen, scheint das vorerst in Ordnung zu gehen. Oder zumindest schon einmal erheblich besser als Dropbox, zumal in dessen im Verwaltungsrat auch noch Condoleezza Rice sitzt – ehemalige Sicherheitsberaterin von George W. Bush.

Langsamer Client, (noch) keine gemeinsamen Ordner á la Dropbox

Wie schlägt sich SpiderOak nun im Alltag? Ich selber nutze den Dienst seit ein paar Wochen, die Funktionsweise ist tatsächlich weitgehend die selbe wie bei Dropbox. Nur dass man hier aus Sicherheitsgründen besser nicht das Webinterface nutzen sollte (der Dienst weißt selber darauf hin, dass dann nicht mehr für die Sicherheit der Daten garantiert werden kann). Zudem ist die Smartphone-Version leider ein absoluter Griff ins Klo. Bei mir läuft sie instabil und wirkt extrem verbuggt, zudem ist sie nicht in der Lage, Uploads vom Smartphone in die Cloud zu laden. SpiderOak gelobte allerdings in einem Tweet Besserung, mobile Uploads sollen demzufolge bald möglich sein. Ebenso wird laut einem weiteren Tweet alsbald die Möglichkeit geschaffen, vernünftige Gruppenordner zu führen – ein ziemlich entscheidendes Feature, weshalb Dropbox bei mir auch immer noch nicht ganz von der Bildfläche verschwunden ist.

Die Desktop-Software an sich finde ich okay, sie ist allerdings auch ein wenig komplexer als (und feiner einstellbar) als der große Konkurrent. Neben dem Ordner „SpiderOak Hive“, der in etwa dem klassischen Dropbox-Ordner auf dem PC entspricht, lassen sich über den Dienst auch noch weitere Ordner der verwendeten Computer zur Synchronisation hinzufügen. Das ist eine Sache, die ich bei Dropbox bisher immer vermisst habe. Zwei Schwachpunkte gibt es aber momentan auch noch hier: Zum einen ist die Synchronisation der Dateien eher langsam, das heißt: Mal eben schnell von unterwegs was abspeichern, Netbook zuklappen und dann zuhause mit dem Hauptrechner weiter arbeiten funktioniert oft nicht so. Man muss der Krypto-Cloud hier immer ein paar Minuten Zeit einräumen. Auch schnell mal was hochladen und dann direkt mit Kollegen oder Freunden per Link teilen ist wegen der Gemächlichkeit des Clients eher unrealistisch. Zum anderen lässt sich der Speicherort des „Hive“ nicht manuell ändern – dieser liegt immer fest auf dem Systemlaufwerk. Nervig, wenn man Wert auf eine separate Datenpartition legt und dann durch Spideroak doch wieder Daten auf C:\ schieben muss.

Ansonsten tut SpiderOak das, was es soll. Und das bisher auch absolut zuverlässig. Auch eine Funktion zum Bilder teilen ist implementiert, dazu müssen NutzerInnen aber zunächst einmal eine „Share-ID“ kreieren. Über letztere lassen sich dann aus SpiderOak heraus Weblinks mit beispielsweise Bilderordnern erstellen, um sie FreundInnen zu schicken.

Fazit

Die angesprochenen Schwächen, die Desktop-Client und vor allem die nahezu unbrauchbare mobile Version  mitbringen, sind möglicherweise nur Kinderkrankheiten. Auf jeden Fall sind es aber handfeste Nachteile, ein vollwertiger Ersatz für die bis auf ihre Sicherheitsprobleme gut funktionerenden Cloud-Dienste ist SpiderOak damit noch nicht. Die Frage ist, wie lange das amerikanische Unternehmen braucht, um dies einigermaßen auszubügeln und die Clients alltagstauglicher zu gestalten. Denn solange ich nicht mit Arbeitskollegen und Freunden gemeinsame Ordner führen kann, solange bleibt Dropbox zumindest in puncto Funktionalität erst einmal unersetzbar.

Verschlüsselnde + benutzbare Whatsapp-Alternativen: Threema und TextSecure (update)

In zwei vorigen Beiträgen habe ich mich bereits zum Thema Email-Verschlüsselung geäußert – und wie das mit PGP + Thunderbird ganz gut und vor allem einfach machbar ist. Nun geht es um etwas, das viele nutzen, um Nacktbilder zu verschicken wesentlich privatere Gespräche miteinander zu führen: Den Messenger auf dem Handy.

Oder auch: Whatsapp.

Von Facebook gekauft und auf amerikanischen Servern liegend, kann man getrost davon ausgehen, dass alles, aber auch wirklich alles, was darüber verschickt wird, für die Ewigkeit gespeichert und auf absurde Gefahrenmuster gescannt wird. Und wenn man Pech hat, landet man vielleicht nur wegen der falschen Wortwahl in einem privaten Chat auf einer der ominösen schwarzen Listen und darf in nicht allzu ferner Zukunft mit massiven Repressionen rechnen… oder so. Irgendwie jedenfalls nicht schön, wenn man die Konsequenzen der Totalüberwachung einmal zu Ende denkt. Der Gedanke des „Wechsels“  oder zumindest des Alternativen-Ausprobierens liegt daher mehr als nahe. Durch eine gewisse Popularität – auch angeschoben durch bestimmte deutsche Online-Medien – fiel meine erste Wahl auf den Schweizer Messenger mit dem dezent  sperrigen Namen Threema.

Threema vereint im Prinzip das, was z.B. PGP-Verschlüsselung bei Mails nicht leisten kann: Es funktioniert sofort ohne großes Tamtam. Der Messenger baut sich wie Whatsapp auf, nur eben mit dem Unterschied, dass die Nutzerin beim ersten Start automatisch Schlüssel generiert bekommt und dadurch beim Texten in eine sichere Ende-zu-Ende-Verschlüsselung gepolstert wird. Wobei auch hier Sicherheit im Auge des oder der Betrachtenden liegt: Die App ist nicht Open Source, das heißt, der Code bleibt unter Verschluss und kann nicht unabhängig geprüft werden. Das wird möglicherweise zu Recht kritisiert. Allerdings gestatten die Entwickler zumindest die Möglichkeit einer Prüfung der Verschlüsselung – dass diese also Ende-zu-Ende stattfindet und Gesprächsinhalte damit auch für den Anbieter nicht lesbar sind, dürfte als gesichert gelten. (Man korrigiere mich bitte, falls ich hier falsch liege.) Zudem bietet die App noch ein kleines Gimmick: Threema schützt sich nicht nur durch eine Passphrase, sondern erlaubt auch, zusätzlich eine PIN zu definieren: Wer das macht, stellt sicher, dass selbst bei einem gestohlenen Handy mit abgeguckten Entsperrcode die Gesprächsinhalte nicht so einfach abgerufen werden können.

Der Grund, warum diese Schweizer App meine erste Wahl wurde, liegt in ihrer Einfachheit: Sie ist leicht aufgebaut und vor allem intuitiv nutzbar. Es fällt kaum auf, dass man es gerade nicht mit Whatsapp zu tun hat.  Threema funkioniert auch in puncto Adressbuch ähnlich wie Whatsapp und vollautomatisch – wenn man das so möchte. Andernfalls lassen sich auch Kontakte manuell einfügen. Die Usabillity haben die Entwickler wirklich zur Perfektion getrieben – meiner Meinung nach ist das der entscheidende Punkt, Kryptografie massentauglich zu machen und die staatlichen Schnüffler zu ärgern. A pro pos Masse: Threema nutzen in meinem Adressbuch immerhin ein paar Leute, gute 10% meiner aktiven Kontakte. Damit liegt es weit vor dem ebenfalls verschlüsselnden Telegram, was von meinen Kontakten exakt niemand aktiv nutzt und wegen seiner Abstürze von mir nicht weiter berücksichtigt wird.

Eine andere App dagegen scheint mir nach dem Hinweis eines Freundes auch noch erwähnenswert: Es handelt sich um TextSecure, von ausgewiesenen Kryptoexperten entwickelt und im Gegensatz zu Threema komplett Open Source. TextSecure fühlt sich im Gegensatz zu Threema allerdings nicht so an wie Whatsapp, auf den ersten Blick sieht man beispielsweise nicht, wer der Kontakte nun auch die App nutzt. Stattdessen greift das Menü immer auf das vollständige Adressbuch zurück. Das hängt auch mit der Funktion des kleines Programms zusammen, denn tatsächlich stellt es eher einen Ersatz für die klassische SMS-App dar. Im Normalmodus wird diese einfach durch TextSecure ersetzt: Solange die Gesprächspartnerin nicht ebenfalls TextSecure hat, verschickt man damit letzten Endes auch nur normale, unverschlüsselte SMS. Dazu lässt sich auch der gesamte bisherige SMS-Verlauf importieren, was auf meinem Billig-Smartphone keine Probleme bereitete. Interessant wird es aber trotzdem erst, wenn das Gegenüber ebenfalls die (noch) nur für Android erhältliche App nutzt – dann wird statt der SMS die Datenverbindung oder das WLAN für Ende-zu-Ende verschlüsselten Nachrichtenaustausch benutzt. Auch das wohl vollautomatisch. Ausprobieren konnte ich das allerdings nicht, da in meiner Kontaktliste niemand diese App nutzt.

Andererseits stört die TextSecure-Installation bislang auch nicht sonderlich, denn man kann sie ja trotzdem anstelle der normalen SMS-App nutzen. Und obendrein sieht sie zumindest bei meinem Handy auch noch besser aus als die Standard-App.

Wer keine SMS-Flatrate hat, kann diesen sogenannten „SMS-Fallback“ auch einfach in den Einstellungen ausstellen. Damit wird die App vollständig auf die Datenverbindung beschränkt, was für einige wohl deutlich günstiger sein dürfte. Aber dafür müssten dann auch wieder mehr Menschen TextSecure auf ihrem Handy installieren.

Fazit

Wer vom Feeling eher Richtung Whatsapp gehen möchte und vor allem keine SMS-Flatrate hat, der ist bei Threema bestens aufgehoben. TextSecure bietet sich aber genauso an, da es ähnlich einfach ist und die Verschlüsselung ähnlich wie bei Threema kaum auffällt. Threema scheinen jedoch gefühlt deutlich mehr Menschen zu benutzen als TextSecure, weshalb ich bei letzterem mangels Gegenüber auch nicht wirklich testen konnte, wie die eigentliche Krypto-Messengerfunktionalität aussieht.

Fakt ist jedenfalls: In Anbetracht der guten Funktionalität von nur zwei der zahlreichen Whatsapp-Alternativen gibt es eigentlich keinen Grund mehr, sich an dem Produkt aus dem Hause Zuckerberg noch weiter festzukrallen.

#Update 06.11.2014:

Nicht nur Snowden empfiehlt TextSecure, sondern auch die Electronic Frontier Foundation (EFF). In deren Analyse kommt die Software richtig gut weg, Threema dagegen spielt keine Rolle.

#Update 19.11.2014:

Nachdem derweil bekannt wurde, dass die Textsecure-Technik auch in Whatsapp implementiert wird, habe ich mich zu einem drastischen Plädoyer für den Textsecure-Messenger hinreißen lassen. Den mittlerweile auch immerhin zwei Leute aus meiner Kontaktliste nutzen ;)

Email-Verschlüsselung für Totalanfänger II (Video Inside)

Nachdem ich mich in letzter Zeit etwas intensiver mit dem Thema Verschlüsselung beschäftigt habe und der Beitrag dazu ein veritables Interesse verzeichnete, habe ich beschlossen, in diesem Blog so eine Art Reihe zum Thema aufzuziehen. Quasi lernen durch lehren – oder so. Nicht dass es schon genug Seiten dazu gäbe. Nicht Emails, sondern auch andere Bereiche des digitalen Lebens, wie z.B. Festplatten- und Dateiverschlüsselung, sollen hierbei eine Rolle spielen. Ergo werden in nächster Zeit immer mal wieder Beiträge zu diesem Themenbereich erscheinen. Den Anfang macht aber erst einmal eine Fortsetzung der Mailverschlüsselung, denn von Metronaut und Linuzifer gibt es ein ganz wunderbares Video, in dem das Prinzip (absolut idiotensicher) erklärt wird:

Vergleiche ich das nun mit meiner Anleitung von letzter Woche, dann steht das im Video erklärte Schloss, das man seinen Freunden gibt, für den öffentlichen Schlüssel. Das heißt, wenn euch jemand eine verschlüsselte Mail schickt, muss er euer eigenes Schloss (euer  öffentlicher Schlüssel) vorher daran hängen. Und nur ihr selbst könnt die Mail öffnen, da ihr über das Mailprogramm eben einen eigenen Schlüssel dafür habt (den privaten Schlüssel).

Ist zwar schon etwas älter, aber wunderbar erklärt. Dafür vielen Dank auch der Anja Krieger für’s erneute Verbreiten :)

Emails verschlüsseln für Totalanfänger (Update)

Prolog: Es sei darauf verwiesen, dass der ganz unten unter „Update“ beschriebene Weg der effektivere ist, da damit längere Schlüssel erzeugt werden können. Punkt 3 meiner Anleitung wird dadurch ersetzt, der Rest behält seine Gültigkeit.

I. Lange Rede

Seit den Snowden-Enthüllungen ist das ein Thema, was im Prinzip alle angeht: Sobald ich bei GMX oder wem auch immer auf „Senden“ klicke, mache ich nichts anderes, als eine virtuelle Postkarte durch’s Netz zu schicken. Lesbar für jeden, der sich dafür… hmm, „interessiert“. Das ist eigentlich keine Neuigkeit, auch nicht nach Snowden. Was sich allerdings durch den wohl berühmtesten amerikanischen Flüchtling geändert hat, ist die grundlegende Erkenntnis, dass der gesamte Traffic, den wir alle im Netz generieren – also auch die Emails elektronischen Postkarten, die wir verschicken – systematisch gespeichert wird. Und zwar von Leuten, von denen man das eigentlich nicht möchte: Den „Five Eyes“, bestehend aus u.a. der NSA, dem britischen Geheimdienst GHCQ und den mit diesen Diensten verbundenen, unzähligen privaten Firmen. Das öffnet Missbrauch nicht nur Tür und Tor. Denn dass die daraus gestohlenen gewonnenen Daten tatsächlich missbraucht – also gegen Privatpersonen eingesetzt – werden, belegen ebenfalls die Dokumente aus dem Fundus von Edward Snowden. Systematische Verleumdungsaktionen und Pläne, besonders regierungskritische Stimmen durch gezielte Veröffentlichungen gestohlener Privatinformationen zu diskreditieren, sind nur die Spitze des Eisbergs. Diese Praktiken zeugen von der grenzlosen Skrupellosigkeit der Geheimdienste im Post-9/11 Zeitalter. Der „Krieg gegen den Terror“ ist vor allem ein Krieg um den Machterhalt und -Ausbau der beteiligten Exekutivorgane. Um Terrorismusbekämpfung geht es hierbei meistens gar nicht mehr. Die Dienste eignen sich unhinterfragt immer mehr Möglichkeiten an, schöpfen den gesamten Datenverkehr ungehindert ab und tja, unsere Regierungen… sind entweder unwillens oder zu überfordert, um daran etwas zu ändern. Also bleibt für einfache NutzerInnen schlicht nur die Möglichkeit, ihre digitale Kommunikation so weit wie möglich zu chiffrieren. Das aus vielen Medien bekannte Schlagwort „digitale Selbstverteidigung“ ist zwar eine Ultima Ratio, aber leider – wohl auch in Anbetracht der Farce, die das ganze dumme Gelaber um „No-Spy-Abkommen“ und „Email made in Germany“ tatsächlich ist – bitter nötig.

Um mal einen Anfang zu machen, habe ich nun kapiert, wie man seine Emails verschlüsseln kann. Das ist zwar nur ein Tropfen auf den heißen Stein, aber immerhin weiß ich zumindest einen kleinen Teil meiner Kommunikation geschützt. Auch wenn sich die NSA bis zu diesem Blogeintrag wahrscheinlich nicht für mich interessiert, so hatte ich z.B. immer ein mulmiges Gefühl dabei, Teile meiner Examensarbeit zum Korrekturlesen zu verschicken. Darin ging es viel um Terrorismus (eigentlich um den Film „V For Vendetta“ mit einem Terroristen als Superheldenfigur), folgerichtig dürften diese Mails zumindest in den Schlüsselwortsuchen des Geheimdienstes irgendwo auftauchen. Oder auch, wenn man einfach nur im Chat mit anderen Leuten über durchaus kritische Themen diskutieren möchte – wenn man weiß, dass die Kommunikation vollständig gespeichert und auf Schlagworte gefiltert wird, dann drückt man sich (unbewusst) anders aus. Damit ist dann dank der Verschlüsselung jetzt Schluss – vorausgesetzt, mein Gegenüber hat einen öffentlichen PGP-Schlüssel.

II. Kurzer Sinn. Kurzanleitung für Thunderbird

Lange Rede, kurzer Sinn, so funktioniert’s mit dem Mailprogramm Thunderbird unter Windows (mein Weg* – es gibt natürlich noch einige andere Möglichkeiten):

1. GPG4WIN runterladen und installieren.

2. In Thunderbird das Plugin Enigmail runterladen und installieren.

3. Siehe Update am Ende des Beitrags! In Thunderbird nach der Enigmail-Installation im Menü unter „OpenPGP“ -> „OpenPGP-Assistent“ auswählen und sich durch die Erstellung des Schlüsselpaars leiten lassen. Man muss im Prinzip einfach dem Menü folgen und die Email-Konten definieren, für die das Schlüsselpaar gelten soll. Wichtig ist die Passphrase, die braucht man in Zukunft, um verschlüsselte Emails zu entschlüsseln. Das war’s dann auch schon.

4. Schlüssel teilen und Kontakte einrichten:

4.1 Den öffentlichen Schlüssel mit seinen Freunden und Bekannten teilen, ihn ggf. auch hochladen, wo ihn Menschen finden, die lieber verschlüsselt mit einem kommunizieren wollen. Denn diesen Schlüssel braucht jedeR, der/die dir eine sichere Mail schicken möchte. Der eigene öffentliche Schlüssel findet sich unter „OpenPGP“ -> „Schlüssel verwalten“ -> Rechtsklick auf „eigenesMailkonto@hanswurst.narf“ -> „In Zwischenablage exportieren“

4.2 Eigene Kontakte, die einem schon ihren öffentlichen Schlüssel geschickt haben, in die Schlüsselverwaltung eintragen. Geht recht einfach: Einfach den Schlüssel des Gegenübers copypasten und dann unter „OpenPGP“ -> „Schlüsselverwaltung“ -> „Bearbeiten“ -> „aus Zwischenablage importieren“

That’s it. Danach kann man mit den Kontakten, die den eigenen Schlüssel haben (teilen nicht vergessen) wieder digitale 4-Augen-Gespräche führen. Und das geht dank Thunderbird und Enigmail sogar relativ komfortabel. Einzig die Passphrase darf man  nicht vergessen.

*Ich hoffe, das möglichst einfach und klar ausgedrückt zu haben. Sollte jemand Probleme haben, kann man sich gerne bei mir melden. Es sei zudem angemerkt, dass ich bei dem Thema selbst noch ein ziemlicher Anfänger bin. Kritik, konstruktives Feedback und Anmerkungen sind gerne gesehen. Vielleicht per verschlüsselter Mail? ;)

_________________________

#Update 26.06.14:

Nach einem Hinweis des geschätzten Fidepus habe ich meinen PGP-Schlüssel auf 4096 Bit verlängert. Dazu muss man in Thunderbird auf „OpenPGP“ -> „Schlüssel verwalten“ -> „Neues Schlüsselpaar erzeugen“ klicken und unter „Erweitert“ die Maximallänge einstellen. Zudem lässt sich in diesem Menü ein unnötiges Ablaufdatum deaktivieren. Der Rest funktioniert genau so, wie ich bereits erklärt habe. Damit erzeugt man allerdings ein komplett neues Schlüsselpaar, d.h. die Kontakte, die den alten öffentlichen Schlüssel bereits haben, sollten dazu bewegt werden, auf den neuen zu aktualisieren. Besser ist es also, von Anfang an diesen (ebenfalls unkomplizierten) Weg zu gehen statt über den Assistenten.