Vorweg, jedes Gerät und jeder Chat ist auch nur so sicher wie die Menschen dahinter. Also ist es nicht nur relevant sicherere Messenger zu nutzen, sondern sich auch mit der Verschlüsselung privater Geräte befassen. Überlegt zudem auch was ihr über eure Chats besprecht, nutzt unverfängliche Kommunikation, niemanden ist geholfen, wenn ihr im Chat rummackert, damit gefährdet ihr nur euch und andere.
Messenger
Es fängt mit den Basics an, welche Messenger werden benutzt und warum? Zwar werben viele Messenger mit End zu End Verschlüsselung, doch komplett sichergehen könnt ihr da nicht. Besonders wenn der Fokus auf Profitinteressen liegt und auch Daten für andere Dienste benutzt werden oder unverschlüsselt in autoritären Staaten liegen wie die USA oder Russland.
Signal zum Beispiel benutzt zwar auch Serverinfrastrukturen von großen Unternehmen in den USA, arbeitet aber mit dem Zero-Knowledge Prinzip. Es werden so gut wie keine Daten über die Nutzer*innen gesammelt und jede Nachricht wird einzeln verschlüsselt, sowie ist es eine Open-Source Anwendung, der Quellcode kann also eingesehen werden. Andere Alternativen können auch zum Beispiel Matrix sein.
Bei Messengern ist es noch zu beachten dass teilweise die PC Clients eine Schwachstelle darstellen. Auch Backups die vom Smartphone gemacht werden (z.B. Cloud Backups) können unter Umständen sensible Daten enthalten, von welchen man dachte, dass sie bereits gelöscht sind. Oder auch der Zugriff für Dritte wird ermöglicht, weil diese Zugang zu den Backups haben (z.B. bei einem Cloud-Backup). Des Weiteren haben Privatsphäre-orientierte Messenger oft eine Screenshot Schutzfunktion die man einschalten sollte, da sie es Schadsoftware erschwert private Chats per Screenshot herauszuziehen. Ansonsten sind selbstlöschende Chats ratsam damit sich nicht zu viel private Kommunikationshistorie ansammelt. Die meisten Messenger bieten auch die Möglichkeit sich die aktuellen Sitzungen anzusehen (die Geräte sind mit dem z.B. Signal-Account eingeloggt), dies sollte regelmäßig geprüft werden und nicht benötigte Sitzungen sollten geschlossen werden. Hier kann man ggf. Sitzungen Dritter identifizieren.
In eurer E-mail-Kommunikation könnt ihr PGP Verschlüsselung benutzen. Das ist auch eine End-to-End-Verschlüsselung, die es nur dir und dem Gegenüber ermöglicht die Email zu lesen. Das funktioniert mit einem privaten und öffentlichen Schlüssel. Hierfür brauchst du ein E-mail-Programm, welches PGP unterstützt, wie zum Beispiel Thunderbird. Um euch mit jemandem PGP verschlüsselt auszutauschen benötigt ihr den öffentlichen Schlüssel eures Gegenübers. Möchte euch jemand PGP-verschlüsselte-E-Mails senden, muss diese Person euren öffentlichen Schlüssel kennen. Dieser kann z.B. auf eurer Website stehen. Achtet darauf, dass euer privater Schlüssel sicher aufbewahrt wird und nicht in die Hände anderer gelangt.
Protokolle in der Cloud
Ihr überlegt, eure Protokolle von euren Treffen online verfügbar für alle in der Gruppe zu machen? Dann könntet ihr das Protokoll auch in eurem sicheren Messenger versenden. Wenn ihr daran arbeiten wollt, könnt ihr das mit einer Cloud machen. Grundsätzlich gilt, Clouds sind nur Computer anderer Leute, hier solltet ihr euch einen sicheren Anbieter aussuchen, dem ihr vertraut.
Beachtet, dass alle mit Link Zugang haben (es sei denn, dieser ist zusätzlich mit einem Kennwort geschützt) bitte verwendet keine Standardpasswörter oder welche die leicht zu erraten sind.
Außerdem müssen Daten nicht ewig in der Cloud liegen, wenn diese dort nicht mehr benötigt werden, dürfen sie gerne gelöscht werden.
Eine Möglichkeit dafür ist Cryptpad.fr. Das ist eine verschlüsselte open source Cloud. In welcher ihr zu bis einem GB kostenlos nutzen könnt. Bei Systemli könnt ihr als politische Gruppe sogar mehr Speicherplatz abfragen.
Metadaten
Denkt dran, dass Dateien, die erzeugt werden, Metadaten enthalten (z.B. Bilddateien, PDF-Dateien, etc.). Diese Metadaten können sensible Informationen enthalten wie z.B. Standortdaten, Seriennummern, Modellbezeichnungen, Benutzernamen, Anzeigename, Dateipfade, Namen der eingesetzten Software, etc.
Metadaten lassen sich mithilfe von Software auslesen, entfernen und ändern. Nach Möglichkeit sollte auf die Nutzung von Online-Tools zum Einsehen, Verändern oder Entfernen der Metadaten verzichtet werden, da ihr im Zweifel sensible Daten bei einem euch unbekannten Anbieter hochladet. Zieht daher lokal ausgeführte Software den Online-Tools vor.