gaenseblum.eu — Eintragsthemen "deutsch"

FLINTA, FLT, CCC, die Haecksen und die Trans-Erfahrung

05. May. 2024

Ich finde ja, dass wir alle mehr zu unseren Fehlern stehen und unsere Meinung auch mal ändern sollten.

Vor ein paar Monaten schrieb ich noch hier im Blog:

In FLINTA*-Spaces fühle ich mich korrekt platziert. Ich habe mehr mit Frauen gemeinsam als mit cis Männern.

Inzwischen ist mir klar, wie sehr dieses Gefühl von (ingesamt eher seltenen) positiven Erfahrungen und auch teilweise von Privilegien geprägt war (von denen ich einige inzwischen nicht mehr habe). Deshalb möchte ich mehr darüber schreiben, wie ich inzwischen zu dieser Frage stehe, wo meine ursprüngliche Meinung herkam, und warum sich das geändert hat.

Fangen wir mal ganz vorne an.

Das ist alles nichts Neues

Die bekannte Kritik an „FLINTA“-Spaces ist, dass dort Menschen, die nicht sehr feminin sind, die sich nicht weiblich identifizieren und mit Weiblichkeit wenig gemeinsam haben, eigentlich implizit ausgeschlossen sind, auch wenn sie explizit eingeschlossen sind. Das klingt vielleicht zunächst unintuitiv, aber in der Erfahrung vieler Personen zeigt es sich eben doch: Personen, die männlich gelesen werden, werden oft schon bei einer (tatsächlich stattfindenden oder impliziten) Eingangskontrolle abgewiesen, selbst dann, wenn es Frauen sind; viele der anwesenden cis Frauen reproduzieren Transfeindlichkeit; oft wird davon ausgegangen, die Gruppe bestünde nur aus Frauen oder Personen, für die es okay ist, als solche angesprochen zu werden.

Und diese Probleme sind nicht neu. Ich erinnere mich gut, dass exakt dieselben Punkte schon angesprochen wurden, als es noch FLT hieß. Irgendwann kam dann ein Sternchen dazu und dann wurde es FLIT* und FLINT* und schließlich FLINTA*. (Ganz am Rande ist das auch der Grund, warum ich persönlich immer noch FLINTA schreibe statt FINTA: Ich finde, es ist ein ganz anderes Kaliber, einen historisch fundamentalen Buchstaben rauszunehmen, als welche hinzuzufügen. Aber ich denke, dass hier verschiedene Sichtweisen nebeneinander existieren können, ohne dass das immer totdiskutiert werden muss, auch wenn bei diesem Thema natürlich die L-Gruppe das letzte Wort haben muss und nicht ich.)

Irgendwie war ich aber nach Jahren der Diskussion der Meinung, wir hätten die lange bekannten Probleme… gelöst. Weil ich nicht über sie drüber gestolpert bin.

Was vor allen Dingen daran lag, dass ich mich sehr selten und wenig in FLINTA-Spaces aufgehalten habe und wenn, dann in welchen, die ganz vorrangig von queerfeministisch arbeitenden trans_nbi Personen organisiert wurden.

Aber mit Sicherheit lag es auch zumindest zum Teil daran, dass ich für sehr lange Zeit als nichtbinäre Person mit weiblichem Passing unterwegs war, und über Misgendering in FLINTA-Spaces nur müde gelächelt habe. Jetzt, da ich auf Testo bin, mit etwas Mühe und einer Lederjacke auch mal männliches Passing erzielen kann und für falsche Geschlechtszuschreibungen absolut keine Geduld mehr übrighabe, sieht die Sache teilweise schon ganz anders aus.

Der CCC und die Haecksen

Letztes Jahr bin ich meinem lokalen CCC beigetreten. Das war eine interessante Erfahrung, weil ich dort von vielen Menschen anfangs als cis-männlich gelesen und auch entsprechend behandelt wurde. Inzwischen haben die meisten Leute kapiert, dass ich das eben nicht bin, und ich stelle zunehmend auch wieder Sexismus fest – zum Glück immer noch relativ selten, einfach, weil der Großteil der Menschen, mit denen ich dort interagiere, kompromisslos queerfeministisch drauf ist. Insofern ist das alles noch völlig im Rahmen, da habe ich schon ganz andere Erfahrungen gemacht.

Im gleichen Zuge bin ich auch irgendwie bei der lokalen Haecksen-Gruppe gelandet. Die lokale Haecksen-Gruppe besteht hauptsächlich aus trans Personen und ein paar cis Frauen, die „FLINTA“ nicht nur akzeptieren, sondern leben. Es ist absolut angenehm. Ich fühlte mich in meiner Haltung gegenüber dem Konzept FLINTA bestätigt: Es ist nice, und teilweise ist es zwar schade, dass queerfeministische dya-cis Männer nicht dabei sein können, aber dafür sind auch die arschigen cis Typen nicht dabei und das ist schon irgendwie gemütlich so.

Tjaa und ein paar Monate später schlug ich dann bei den Haecksen selbst auf. Die Haecksen sind eine Organisation, die es schon echt, echt lange gibt. Das Haecksen-Wiki reicht nur 2006 zurück, was ziemlich genau die Hälfte ihrer Lebenszeit seit 1988 abdeckt. Während meiner ersten Zeit im CCC um 2012 rum waren sie auch schon immer irgendwo in meinem Dunstkreis. Ursprünglich ein formlos organisierter Verband von CCC-nahen Hackerinnen, ist die Gruppe besonders in der letzten Zeit stark angewachsen, hat sich 2021 auch offiziell für FLINTA* geöffnet und hat seit Kurzem sogar einen eigenen formell registrierten Verein.

Bei den Haecksen wurde mir schlagartig klar, wo diese ganze Kritik am Konzept „FLINTA“ eigentlich herkommt, weil ich zum ersten Mal die Realität in einer Gruppierung erlebte, die FINTA draufschreibt und damit nicht radikalen Queerfeminismus meint, sondern Frauen, Inter, Nichtbinär, Trans und Agender. (Irgendwie kommt es mir da auch nicht mehr so zufällig vor, dass das „L“ nicht mehr mit drin steht.)

Indem die Grenzen, wer zur Gruppe gehört und wer nicht, teils auf biologistischen Definitionen und teils auf Selbstidentifikation gefußt werden, wird die Chance verschenkt, eine politisch aktionsfähige und für alle Mitglieder sozial aushaltbare Kultur zu schaffen. Frauen dürfen mitmachen, auch wenn sie transfeindliche Standpunkte vertreten; Männer dürfen dabei sein, sofern sie über die korrekte Biologie verfügen; trans Personen sind irgendwie mitgemeint, aber wahrgenommen werden vor allen Dingen transfeminine Personen, während transmaskuline Personen ohne männliches Passing einfach als „Frauen*“ einsortiert werden. (Dass dieses Frauen-mit-Sternchen ein zutiefst problematischer Begriff ist, werde ich hier nicht nochmal groß erläutern – das wissen wir auch schon seit „FLT“-Zeiten. Die Diskussion halte ich seit spätestens 2014 für abgeschlossen. Ich verwende den Begriff auf plakativ-sarkastische Art.)

FLINTA heißt nicht progressiv

Über mehrere Monate hinweg schaute ich mir diese Sache mit zunehmendem Unwohlsein an. Ich redete mit ein paar trans Personen bei den Haecksen, versuchte (anfangs vergeblich) ein bisschen Vernetzung zu finden, und dann hatte ich das Maß irgendwann voll. Mein Problem ist ja: Wenn ich so ein Ding sehe, was behauptet, stabil zu sein und zu funktionieren, aber dann hat es solche Risse, die wie Bruchkanten aussehen… Dann kann ich es mir nicht verkneifen. Ich muss einfach mal dagegenklopfen um zu gucken, was passiert. Also hab ich mal auf der Haecksen-Mailingliste gegen die FLINTA-Inklusion geklopft und die ganze Chose ist uns gepflegt um die Ohren geflogen.

Ich bin jetzt auch kein überrumpeltes Opfer in dieser Sache. Ich konnte sehr gut abschätzen, was passieren würde. Ich hatte mich wochenlang darauf vorbereitet, diese Diskussion anzustoßen, und bin auch immer noch bereit, sie bis zum bitteren Ende weiterzuführen. Nach zehn Jahren als trans Person und einer Lebenszeit als zwangsweise-weiblich-einsortierte Person in technischen Bereichen hab ich es gestrichen satt, mich immer wieder rausdrängeln zu lassen. Ich sehe auch, wie viele junge trans Personen sich im CCC und bei den Haecksen einfinden und dort Support und Akzeptanz erwarten, und ganz besonders für diese neue Generation sehe ich uns alte Säcke in der Pflicht, diesen Ansprüchen auch verdammt nochmal endlich gerecht zu werden. Es muss ja für die jungen Leute nicht wieder genauso scheiße sein, wie es für uns war.

Dennoch hat es mich schwer enttäuscht, zu sehen, wie stark die Haecksen in dieselben Muster rutschen wie der CCC selbst, nur eben gegenüber einer anderen diskriminierten Gruppe. So, wie ich es verstanden habe, gehört es stark zum Selbstverständnis der Haecksen, einen Schutzraum zu bieten, in dem die antifeministischen Denk- und Verhaltensweisen, die uns aus dem Chaos und anderen cis-männlich geprägten Strukturen zu Genüge bekannt sind, eben explizit nicht reproduziert werden. Als ich den Haecksen beitrat, hatte ich mir genau das erhofft: queerfeministische Praxis ohne Bullshit. Stattdessen habe ich nun das Gefühl, jetzt einfach in einer zweiten Chaos-Gruppe gelandet zu sein. („Chaos“ steht in diesem Artikel für ein Konzept, mit dem das erweiterte CCC-Umfeld beschrieben werden kann.)

Es waren nicht nur die transfeindlichen Reaktionen, das Umlenken der Diskussion auf andere Themen, das Absprechen und Verharmlosen der Erfahrungen von trans Personen, die Unsichtbarmachung von trans Menschen, das Übersehen/Übergehen des Transseins einiger Personen usw., sondern auch die Art, wie damit umgegangen wurde und wird: Forderungen, wir sollten uns doch alle vertragen; Ausdruck des Wunsches, dass Spaltung bitte zu verhindern sei; der Wunsch, dass sich alle hier wohlfühlen sollen, also die trans Personen so wie auch diejenigen, die gerade transfeindlich argumentieren; im Anschluss kleinteilige Diskussionen darüber, ob man jetzt am besten Haecksen oder Haeckser*innen oder Haecksys sagt statt darüber nachzudenken, wie sich die Gruppe als Ganzes auf queerfeministische Praxis fokussieren kann, wie trans Personen geschützt werden sollen und wie die Gruppe dem „INTA“ gerecht werden will.

Insbesondere dieser Umgang ist es, was mich triggert, denn dieses „vertragt euch doch alle“ habe ich durchgespielt. Bis zum bitteren Ende. Als ich dann irgendwann bei der Mitgliederversammlung einer Linux User Group am selben Tisch saß wie der Typ, der mich ein paar Jahre lang missbraucht und mindestens einmal direkt vergewaltigt hat, war ich eigentlich nur froh, dass es die MV zur Auflösung des Vereins war, weil ich sonst hätte austreten müssen. Es war klar, dass niemand gegen einen von uns beiden Partei ergreifen würde. Wir sollten unsere persönlichen Differenzen nicht zu einem Gruppenthema machen und beide willkommen sein und unseren Platz in dem Verein haben, der unser gemeinsames Interesse und so weiter und so fort.

In einer queerfeministischen Organisation haben solche Denkweisen keinen Platz. Aber das ist eben der springende Punkt: Wenn die zentrale Gemeinsamkeit einer Organisation die geschlechtliche Zugehörigkeit ist und nicht die politische Praxis, dann kann man auch nicht davon ausgehen, dass sich eine progressive Kultur darin durchsetzt.

Können wir das besser?

Wenn man sich die Entwicklung der letzten Jahre anschaut, kann man nur zu dem Schluss kommen, dass das Chaos-Umfeld für junge, technisch und politisch interessierte, queere und insbesondere trans Personen längst zu einer Basis geworden ist, in der sie sich vernetzen, organisieren, und auch ausruhen. Hier finden sie Freundschaften, Perspektiven, emotionalen Rückhalt und auch ganz praktische Hilfe. Das war auch schon vor zehn Jahren so, aber der Fokus hat sich immer mehr in Richtung queer, bunt, und feministisch verschoben, was ich mit sehr viel Freude beobachtet habe.

Die Haecksen insbesondere positionieren sich als Anlaufstelle für genau diese Personen, oder zumindest für den Teil davon, der den Geschlechtstest besteht. Aber weder das Chaos-Umfeld selbst, noch die Haecksen, besitzen die Strukturen, um die Bedürfnisse marginalisierter Menschen nach einem Raum, in dem sie einigermaßen sicher sind, zu erfüllen.

Aus queerfeministischer Praxis wissen wir eigentlich, wie das geht. Es ist hinlänglich bekannt, dass der Themenkomplex „Code of Conduct“ und dessen Durchsetzung nur den Anfang darstellt, und schon hieran scheitert es oft. Es wird zwar immer mehr darauf hingearbeitet, zumindest Vertrauenspersonen und Gesprächsmöglichkeiten zur Verfügung zu stellen, aber wenn das fundamentale Ziel immer noch Konfliktlösung und Deeskalation sind und nicht der Schutz marginalisierter Personen vor Anfeindung, Ausgrenzung, Belästigung und Gewalt, dann funktioniert auch das nur mittelmäßig gut.

Dieser Schutz ist das, was Organisationen wie die Haecksen eigentlich bieten müssten, aber nicht tun.

Und meiner Meinung nach ist er auch das, was der CCC bieten müsste. Einfach aus dem Grund, dass die Personen, die den Verein heutzutage am Laufen halten, diesen Schutz benötigen. Ein Verein, ein Space, ein Club ist schließlich nichts anderes als die Menschen, die ihn bilden, und diese müssen von der entsprechenden Organisation auch unterstützt werden.

Mit aktivem Schutz vor Diskriminierung wäre es eigentlich auch noch nicht getan. Marginalisierte Personen brauchen oft auch ganz praktische Hilfe, die über Vereinsarbeit hinausgeht, und profitieren von generationenübergreifender Vernetzung mit anderen Mitgliedern ihrer Gruppe. In vielen Fällen wird emotionale Unterstützung und Unterstützung bei der Klärung zwischenmenschlicher Probleme benötigt, oft auch Hilfe mit für marginalisierte Menschen typischen Problemen wie Schutz vor gewalttätigen Personen, Orientierung bzgl. Studium oder Arbeitsplatz, Unterstützung bei Wohnungslosigkeit, Vernetzung mit gezielteren sozialen Angeboten usw.

Das ist übrigens auch das, was ich unter „radikalem“ Queerfeminismus verstehe: Das radikale Angehen von den Problemen, die diskriminierte Personen tatsächlich haben, und das Zusammenlegen von Ressourcen zu diesem Zweck. Für mich stellt sich da auch weniger die Frage, ob ein Verein, eine Gruppe oder eine Organisation diese Art von Unterstützung leisten kann oder will – wenn diese Menschen schon da sind und die Hilfe brauchen, kann man entweder zupacken und helfen oder zuschauen, wie sie auf die Fresse fallen. Mir für meinen Teil hat es gereicht, dabei zu sein, wie meine eigene Generation auf die Fresse fallen gelassen wurde. Tatenlos zuzusehen, wie es der nächsten Generation genauso ergeht, ist in meinen Augen keine Option.

So oder so: Die Basis, um diese Form von Gemeinschaft überhaupt strukturell aufbauen zu können, ist immer eine grundlegende Sicherheit. Solange Transfeindlichkeit geäußert werden kann, ohne dass die sich so äußernde Personen zügig und entschieden Konsequenzen dafür erfahren, ist diese Sicherheit nicht gewährleistet. Und hierfür braucht es letztlich Personen in Autoritätspositionen (explizit oder dynamisch zugewiesen), die sich darum kümmern, diese Sicherheit herzustellen. Im Chaos-Umfeld speziell besteht oft eine große Diskrepanz dazwischen, welche Arten von Personen die tägliche Arbeit leisten, welche Arten von Personen den Raum nutzen und zu ihrer Heimat machen, und welche Arten von Personen die Regeln machen und Autorität ausüben. Das ist bei den Haecksen nicht sehr anders.

Und es ist ein Problem.

Kann ich das besser?

Für mich persönlich ergibt sich aus diesen Erfahrungen nun der Standpunkt, dass ich „FLINTA“ nicht mehr für eine progressiv politisch aktionsfähige Abgrenzung halte.

Das bedeutet nicht, dass ich die Abkürzung nicht mehr benutzen werde, mich aus allen FLINTA-Spaces zurückziehen werde, oder dass ich diese Abgrenzung für universell ungerechtfertigt und sinnlos halte. Ich halte es nach wie vor für eine relevante Sortierung, um beispielsweise Analysen vorzunehmen oder vertrauliche Schutzräume und Anlaufstellen zu schaffen.

Allerdings gehe ich nicht mehr davon aus, dass queerfeministischer Aktivismus effektiv passieren kann, wenn wir die Hälfte der Leute, die im selben Boot sitzen wie wir (behinderte Menschen, rassifizierte Menschen, queere Männer, …) ausschließen, wenn die den Geschlechtstest nicht bestehen, und gleichzeitig Personen mit antiprogressiven Haltungen nicht nur dulden, sondern ihnen auch ein gleichberechtigtes Mitspracherecht zuteilen.

FLINTA-Gruppen sind, zumindest jenseits von Kleingruppierungen Gleichgesinnter, keine aktivistischen, radikalen, progressiven Gruppen, von denen Veränderung ausgehen kann, oder die dafür gewappnet sind, den Bedürfnissen stark marginalisierter Personen gerecht zu werden. Es sind gemütliche Austauschgruppen für „Frauen*“, von denen die meisten weiß, cis, und abled sein werden, damit sie sich sicher und unbelästigt fühlen können.

Der Rest von uns, der an tatsächlichem Fortschritt interessiert ist, wird sich neue Wege ausdenken müssen, um unsere politischen und sozialen Ziele in den Mittelpunkt zu stellen statt einer fadenscheinigen Grenzziehung um Geschlechtsidentitäten.

Themen: trans, deutsch, persönlich, chaos

Was nichts kostet, ist nichts wert

01. April. 2024

Wie sehr ich diesen Satz hasse. Ich höre bzw. lese ihn ganz besonders oft im Kontext von Selfpublishing, und häufig im allgemeineren Kontext von frei lizensierter und frei zugänglicher Kunst.

Und ganz ehrlich? Can’t relate. Mit meiner Lebensrealität hat so eine Binsenweisheit zumindest gar nichts zu tun.

Ich bin arm. Ich bin chronisch krank und kann nicht arbeiten, entsprechend habe ich auch kein Geld, meistens nicht einmal für das Nötigste. Für mich heißt das: Was etwas kostet, ist mir im Normalfall überhaupt nichts wert, weil ich keinen Zugang dazu habe. Es ist toll, dass Menschen an ihrer künstlerischen Arbeit Geld verdienen. Nein, ehrlich, das kritisiere ich nicht. Ich habe selbst schon Kunstwerke verkauft und bereite mich momentan darauf vor, das wieder zu tun. Irgendwie muss man in diesem scheiß System ja überleben.

Aber das ändert nichts daran: Für arme Menschen ist das Preisschild so etwas Ähnliches wie ein „Betreten verboten“-Schild. Wenn ich etwas Sauteures kaufe (meistens, weil ich keine Alternative habe, oder weil es nunmal etwas ist, das ich wirklich gerne haben würde, wie z.B. ein Videospiel oder ein Sachbuch), hab ich nicht das Gefühl, mir einen besonderen Luxus zu gönnen, sondern ich fühle mich ausgenutzt, schuldig (weil ich dann wieder Freund*innen anbetteln muss, mir Medikamente oder Essen zu kaufen) und von der Gesellschaft im Stich gelassen. Das sind jetzt nicht unbedingt die Emotionen, die ich mit „ist etwas wert“ assoziieren würde, seht ihr das anders? Wenn ich etwas kaufe, was normalteuer ist statt sauteuer, hab ich übrigens dieselben Gefühle, nur ein bisschen weniger davon.

Ich bin jetzt nicht unbedingt die übliche Sorte Mensch, das ist mir klar. So benutze ich auch seit etwa 20 Jahren Linux und andere Freie Betriebssysteme. Das heißt aber auch, dass ich sehr früh gelernt habe, Freie Lizenzen und auch die unbezahlte, freiwillige Arbeit anderer Menschen zu wertschätzen. Wenn mir Kunst als „pay what you want“ angeboten wird, bezahle ich nahezu immer so viel, wie ich kann.

Wenn ich was runterlade, was nichts kostet (also weder Geld noch Privatsphäre…), kann ich endlich mal eine Sache genießen, ohne mich dafür schuldig zu fühlen. In aller Regel schaue ich nach, wie ich mich bei den Menschen bedanken kann, die ihre Arbeit frei zugänglich gemacht haben. Ich schicke ihnen eine kurze Nachricht, ich empfehle ihr Werk weiter. Und ich interagiere mit dem Ding mit dem Gefühl, dass es immer noch Menschen gibt, die an gegenseitige Unterstützung und eine freie Gesellschaft glauben.

Dazu kommt dann noch, dass digitale Kunstwerke, ob das jetzt Bücher sind oder Musik oder sonstwas, in aller Regel nur mit „Kopierschutz“ (DRM) und von ethisch fragwürdigen Händlern verkauft werden. Ich werde in ein System gezwungen, mit dem ich nichts zu tun haben will. Ich muss Cracks benutzen, wenn ich die Waren, die ich gekauft habe, auch behalten will. Dadurch kaufe ich Bücher generell nur noch sehr ungern. („Kaufen“ ist eigentlich eh das falsche Wort, wenn der Anbieter sie jederzeit löschen kann und ich nicht mehr darauf zugreifen kann.) Viele Musik kann man überhaupt nicht legal in digitalem Format kaufen. Klar, die Ozeane sind voller Piraten und so, aber ganz ehrlich, das ist, was für mich „nichts wert“ ist: Ein künstlerisches Werk, mit dem ich entweder gar nicht interagieren kann oder nicht, ohne meine moralischen Grenzen zu überschreiten. Bei dem ich mir aussuchen muss, ob es mir das wert ist, einem unmoralischen, ausbeuterischen System Geld in den Rachen zu werfen, damit am Ende vielleicht ein paar Cents bei den Kunstschaffenden ankommen, oder ob ich das Geld lieber stattdessen anderen Leuten zukommen lasse, die ihre Kunst frei oder zumindest zu fairen Konditionen zugänglich machen.

Ich bestreite nicht, dass in unserer kapitalistischen, auf Geld fokussierten Gesellschaft viele Menschen so denken: Was teuer ist, muss gut sein, was wenig oder gar nichts kostet, muss weniger wert sein.

Aber das sind nicht die sozialen Gefilde, in denen ich mich bewege. Wer dieser klassistischen Glorifizierung von Kapital und Ausbeutung einen Gegenpol setzen will, muss auch mal drüber nachdenken, wer von solchen Verallgemeinerungen eigentlich ausgeschlossen ist.

Ich weise das jedenfalls von mir. Was nichts kostet, ist mir tausendmal mehr wert als irgendein Ebook, was ich nur auf Amazon kaufen kann oder ein Album, was es nur bei Streamingdiensten gibt oder ein Handyspiel, was ich bei Google kaufen müsste. Denn das sind alles Sachen, die ich nicht (mehr) machen werde. Meine moralische Grenze haben diese Unternehmen längst überschritten und ich will mit diesem System so wenig wie möglich zu tun haben. Daher sind die Dinge, die nur auf solchen Wegen zugänglich sind, genau das für mich: Wertlos.

Gleichzeitig ist mein lokales Musikverzeichnis voll mit Musik, für die ich freiwillig bezahlt habe, und ich hab jedes Mal ein wohliges Gefühl, wenn ich sie höre, weil ich weiß, dass das Geld direkt an die Künstler*innen ging und dass diese mir im Austausch etwas vermacht haben, das mich mein Leben lang begleiten wird. Ich habe mehr als ein Buch gelesen, das kostenlos im Internet angeboten wurde, und sie haben mehr mit mir gemacht als viele Bücher, für die ich bezahlen musste. Wenn mir Kunst auf diese Weise zugänglich gemacht wird, kann ich mich auf den Inhalt konzentrieren, kann mich mit ihrem künstlerischen Wert und dem darin verpackten gesellschaftlichen Dialog auseinandersetzen, ohne ständig davon abgelenkt werden, in welchen Kontext ich das „Produkt“ „konsumiere“. Was kein kommerzielles Produkt ist, kann ich als künstlerisches Werk eher ernstnehmen.

Lange Rede, kurzer Sinn: Ich hab die Schnauze voll von diesem unreflektierten Klassismus.

Themen: deutsch, kunst, rant

Wie man die Sicherheit verschlüsselter Kommunikation gewährleistet

05. December. 2023

Meine Chats sind schon verschlüsselt, reicht das?

Kurze Antwort: irgendwas zwischen „nein“ und „kommt drauf an“. Für die lange Antwort und Erklärungen, worauf genau es ankommt, ist der restliche Artikel da.

Hier klicken für PDF-Version

Click here for English version

Was dieser Artikel ist: ein Überblick über die Faktoren, die die Sicherheit von Nachrichtenaustausch im Internet beeinflussen. Er wendet sich an Personen, die lernen möchten, sich besser zu schützen. Das Ziel ist, ein allgemeines Verständnis für das Thema aufzubauen und Lesenden beizubringen, ihre eigenen Gefahrenmodelle auszuwerten und das richtige Werkzeug für ihre Anwendung auszuwählen. Im hinteren Teil gibt es eine zusammenfassende Liste von bewährten Methoden, welche nötig sind, um die Sicherheit verschlüsselter Kommunikation zu gewährleisten. Ziel dieses Artikel ist es, dir genug Hintergrundwissen zu vermitteln, dass du verstehst, welches Problem jeder der Punkte auf jener Liste löst.

Was dieser Artikel nicht ist: eine tiefgehende Erklärung der aktuellen Technologie, eine Liste empfohlener Dienste, oder in irgendeiner Form interessant für Leute, die mit diesem Kram täglich zu tun haben.

Struktur:

Warum brauchen wir verschlüsselte Kommunikation?
Gefahrenmodelle: Wogegen schützen wir uns?
Grundwissen

Verschlüsselung
Der Weg von Nachrichten durch das Internet
Arten von Attacken

Von welchen Faktoren hängt die Sicherheit von verschlüsselter Kommunikation ab?

Begrenzender Faktor 1: User
Begrenzender Faktor 2: Das Gerät, das Betriebssystem, seine Konfiguration
Begrenzender Faktor 3: Die App
Begrenzender Faktor 4: Server
Begrenzender Faktor 5: Die Verbindung
Begrenzender Faktor 6: Schlüsselverifizierung (oder der Verzicht darauf)
Begrenzender Faktor 7: Sonstige Daten

Also was muss ich jetzt tun?

Kurz und knapp als Liste
PGP ja oder nein?
Verschlüsselung ist nicht gleich Anonymität

1. Warum brauchen wir verschlüsselte Kommunikation?

Oder: Ich brauche das nicht, weil ich nichts Illegales mache!

In einer perfekten Welt hätten Personen, die nicht unmoralisch handeln, auch dann nichts zu befürchten, wenn sie ohne komplizierte Sicherheitsvorkehrungen kommunizieren. Leider leben wir nicht in einer perfekten Welt.

Tatsächlich müssen wir uns gegen vieles verteidigen: gegen Gefahrenquellen aus unserem Privatleben (Ex-Partner, gewalttätige Eltern und Ähnliches) oder aus unseren Berufsleben (der eigene Arbeitgeber sowie auch interessierte Parteien, die gerne Zugriff auf die Daten oder das Geld deiner Geschäftspartner oder Arbeitgeber hätten) und auch, ja, gegen Regierungen.

Das heißt nicht, dass dieser Artikel Menschen helfen soll, böse Dinge zu tun. Ganz im Gegenteil: Es besteht kein Zweifel, dass Regierungen oft böse handeln. Sie brechen nicht nur häufig ihre eigenen Gesetze, sondern die Gesetze selbst sind oft moralisch falsch. Überall auf der Welt gibt es so viele autoritäre Regierungen wie solche, die offenbar darauf hinarbeiten, es zu werden. Friedliche Demonstrant*innen, Journalist*innen, Schwangere, queere und trans Personen, Frauen, rassizifierte Menschen, kulturelle und religiöse Minderheiten sowie viele weitere Gruppen sind regelmäßig Opfer von ungerechter und unmoralischer, wenn auch oft legaler Unterdrückung. Der Schutz von Kommunikationsinhalten kann helfen, die Auswirkungen unterdrückerischer Maßnahmen zu verringern. Ich hoffe, dass klar ist, dass das Brechen ungerechter Gesetze aus ethischen Gründen erforderlich ist.

2. Gefahrenmodelle: Wogegen verteidigen wir uns?

Das Konzept von Gefahrenmodellen in der IT wirkt oft einschüchternd auf Personen, die nicht tief in diesem Thema drinstecken. Das liegt nicht daran, dass es schwierig zu verstehen ist, sondern daran, dass es üblicherweise dargestellt wird, indem die Namen von Werkzeugen, Protokollen und Programmen aufgelistet werden, von denen die meisten Leute noch nie was gehört haben.

Allgemeinverständlich ausgedrückt ist ein Gefahrenmodell einfach nur ein Konzept davon, gegen wen oder was du dich eigentlich verteidigen möchtest. Ich wette, dass dir die meisten dieser Punkte schon bekannt sind.

Du weißt wahrscheinlich längst, dass du dich gegen die folgenden Dinge schützen möchtest:

Automatisierte Attacken, ungerichtete Scam- / Spam- / Phishing-Versuche: Diese passieren oft in großer Menge zu geringem Preis. Wenn unter tausenden Zielen nur eins drauf reinfällt, hat es sich schon gelohnt.
Automatisierte Daten-Analyse zu Werbezwecken und zur Verhaltensbeeinflussung: Dies wird meistens eher als nervig denn als gefährlich angesehen, aber es ist auch das. Deine Daten informieren eine interessierte Partei im Zweifelsfalle über deine politische Einstellung, deinen medizinischen Status inklusive Schwangerschaft und Abtreibung, deinen Aufenthaltsort, deine Medienpräferenzen und viel mehr.
Automatisierte Daten-Analyse zur Feststellung tatsächlicher oder vermuteter Verstöße gegen Gesetze und Nutzungsbedingungen (Terms of Service, TOS), wie zum Beispiel Urheberrechtsverletzungen, Kinderpornografie, Terrorismus, Sexarbeit etc.: Manche dieser TOS und Gesetze sind moralisch falsch und müssen gebrochen werden. Manche davon rechtfertigen schlicht und einfach nicht die immense Verletzung der Privatsphäre, die mit dem Scannen und Auswerten privater Kommunikation einhergeht. Darüber hinaus gab es auch schon viele Fälle, in denen die automatische Feststellung eines vermuteten Verstoßes gegen Gesetze oder TOS das Leben unschuldiger Personen über den Haufen geworfen hat, ohne dass sie jemals das getan haben, was ihnen vorgeworfen wurde. Konzerne müssen sich niemandem gegenüber dafür rechtfertigen, wen sie auf welche Weise und aus welchen Gründen abstrafen.
Analyse von Verbindungen zwischen Invididuen, um die sozialen Strukturen von Bewegungen und Organisationen zu modellieren (Soziale Netzwerkanalyse): Diese Methode wird benutzt, um Führungsspitzen von Bewegungen oder informellen Organisationen zu identifizieren, damit diese isoliert und gezielt angegriffen werden können. Ziele sind beispielsweise Gewerkschaften, Menschenrechtsbewegungen oder jegliche Organisationen, die eine Regierung für eine Bedrohung hält, ungeachtet ihrer Legalität oder moralischen Richtigkeit.
Physikalischer oder Remote-Zugriff auf deine Geräte: Personen mit Zugriff auf ein Gerät können absichtlich oder versehentlich Spyware / Malware installieren oder Änderungen am System vornehmen. Uneingeladene interessierte Parteien können physikalischen Zugriff auf ein Gerät erhalten, indem sie in die Wohnung oder den Arbeitsplatz eindringen, oder im Fall staatlicher Autoritäten, indem sie das Gerät beschlagnahmen, beispielsweise im Rahmen einer Personenkontrolle oder Hausdurchsuchung.
Sniffing und/oder Manipulation privater Kommunikation durch uneingeladene Dritte: Der uneingeladene Dritte kann etwa dein örtlicher Stalker sein oder eine Person, die deinen Geschäftspartner gerne auf die ein oder andere Weise dazu bringen würde, einen größeren Geldbetrag auf ihr eigenes Konto zu überweisen. Es ist generell eine Person, die ein persönliches Interesse an ihrem Ziel hat, und die Attacken werden manuell ausgeführt. Die interessierte Partei kann Trojaner installieren, Exploits ausnutzen, Social Engineering anwenden, oder, abhängig von ihren Ressourcen, sogar physikalische Überwachungstechnologie einsetzen (ganz ehrlich, wenn es so weit kommt, haben die meisten von uns einfach verloren).

3. Grundwissen

3.1. Verschlüsselung

Wenn wir von modernen Verschlüsselungsmethoden und Ende-zu-Ende-Verschlüsselung sprechen, geht es so gut wie immer um Asymmetrische Verschlüsselung. Das bedeutet, das Schlüssel als Paare kommen, die aus einem öffentlichen und einem privaten Schlüssel bestehen.

Wenn Person A und Person B miteinander kommunizieren möchten, besitzen sie beide am Anfang nur ihr eigenes Set von öffentlichem und privatem Schlüssel.

A hat diese Schlüsel:

A-öffentlich
A-privat

B hat diese Schlüssel:

B-öffentlich
B-privat

Ein öffentlicher Schlüssel wird benutzt, um eine Nachricht zu verschlüsseln, und ein privater Schlüssel entschlüsselt sie wieder. Es gibt keine andere Möglichkeit, eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht zu öffnen, als mit dem passenden privaten Schlüssel. (Da gibt es ein paar faszinierende Details, aber diese zu verstehen, ist für unseren Anwendungsfall nicht nötig. Wenn du mehr lernen willst, schlag nach, wie kryptografische Signaturen funktionieren.)

Um die Nachricht zu verschlüsseln, die A an B schicken will, muss A auf irgendeine Art den öffentlichen Schlüssel für B erhalten, und um antworden zu können, muss B den öffentlichen Schlüssel für A bekommen.

Nach dem anfänglichen Schlüsselaustausch sieht die Situation also so aus:

A hat diese Schlüsel:

A-öffentlich
A-privat
B-öffentlich

B hat diese Schlüssel:

B-öffentlich
B-privat
A-öffentlich

Der Vorteil asymmetrischer Verschlüsselung gegenüber symmetrischer Verschlüsselung, bei der derselbe Schlüssel zum Verschlüsseln und Öffnen benutzt wird, besteht darin, dass eine Drittpartei, die den Schlüsselaustausch abhört, die Nachrichten nicht entschlüsseln kann. Der öffentliche Schlüssel wird so genannt, weil er tatsächlich öffentlich ist: Auch wenn er uneingeladenen Dritten bekannt ist, ist die Sicherheit der Kommunikation gewährleistet.

Moderne Algorithmen mit mehreren gültigen Schlüsseln (siehe: double ratchet) sind erheblich komplexer, aber das Grundprinzip verstanden zu haben, bringt uns zu zwei sehr wichtigen grundlegenden Tatsachen:

Bevor die Ende-zu-Ende-verschlüsselte Kommunikation losgeht, werden Schlüssel ausgetauscht. Dies ist immer der Fall, auch wenn es unsichtbar im Hintergrund passiert, und dass es oft unsichtbar passiert, ist ein Problem, über das wir später im Abschnitt über Schlüsselverifizierung reden werden.
Wenn der Schlüssel die einzige Schutzebene darstellt (soll heißen, wenn du nicht für jede einzelne Nachricht, die du bekommst, zusätzlich noch ein Passwort eingeben musst), dann kann jede Person, die deinen privaten Schlüssel kennt, alle Nachrichten lesen.

3.2. Der Weg von Nachrichten durch das Internet

Dieser Abschnitt erklärt die grundlegenden Elemente von Nachrichtenaustauch im Internet sowie die potenziellen Angriffspunkte.

Betrachten wir das einfache Szenario: Person A benutzt Gerät 1, um eine Nachricht zu verschicken, die von Gerät 2 empfangen und von Person B gelesen wird.

Person A ⇒ Gerät 1 ⇒ Übertragung ⇒ Gerät 2 ⇒ Person B

Wie viele mögliche Angriffspunkte siehst du in diesem Diagramm? Ich geb dir eine Minute, um drüber nachzudenken. Nein, ehrlich. Wie viele Angriffspunkte sind in diesem Diagramm?

Hast du drüber nachgedacht? Hast du eine Antwort? Die Antwort ist sieben.

Die Nachricht kann während der Übertragung aufgefangen werden.
Gerät 1 und Gerät 2 können kompromittiert sein.
Person A und Person B auch.
Ein oft vergessener Risikofaktor ist die Umgebung, in der Person A und B sich befinden, wo sie absichtlich oder versehentlich von Dritten beobachtet werden können.

Wenn diese einfache Darstellung noch überschaubar wirkt, dann tut es mir sehr leid, dir zu sagen, dass es schlimmer wird, denn sie wäre nur dann wahrheitsgetreu, wenn A und B direkt miteinander kommunizieren würden, zum Beispiel, wenn sie die Nachricht über Bluetooth schicken würden. Das Internet ist alles andere als direkt.

Der erste zusätzliche Knoten, den wir in der Mitte einfügen müssen, ist der Server. Praktisch jeder Online-Dienst, den wir benutzen, läuft über einen Server, der die Nachricht empfängt und zu ihrem Empfänger weiterleitet. Dies stimmt im Falle eines zentralisierten Dienstes wie zum Beispiel Telegram oder Signal.

Jetzt sieht unser kleines Diagramm so aus:

Person A ⇒ Gerät 1 ⇒ Übertragung ⇒ Server ⇒ Übertragung ⇒ Gerät 2 ⇒ Person B

Im Fall eines dezentralisierten Dienstes wie E-Mail oder Matrix, wo sich mehrere Server miteinander austauschen und A und B ihre Konten auf verschiedenen Seiten haben, sieht das ein bisschen schlimmer aus:

Person A ⇒ Gerät 1 ⇒ Übertragung ⇒ Server 1 ⇒ Übertragung ⇒ Server 2 ⇒ Übertragung ⇒ Gerät 2 ⇒ Person B

Aber, ich hab dich vorgewarnt, es wird noch schlimmer. Schauen wir uns den Teil mit der Übertragung genauer an. Ziemlich unkompliziert, oder nicht? Deine Bits wandern durch die Luft oder durch Kabel und kommen an ihrem Ziel an… Tun sie halt nicht, zumindest nicht direkt. Der Begriff der „Übertragung“ ist eine Abkürzung für alles, was zwischendrin passiert, also lasst uns die Abkürzung mal auflösen und die Realität betrachten.

Nimm dein Heimnetz als Beispiel: Da steckt ein Router zwischen dir und dem Internet, der jedes einzelne Bit, das zu sendest oder empfängst, annimmt und weiterleitet. Und zwischen dir und deinem Server sind noch ein Dutzend weitere Router, deren einzige Aufgabe ist, diese Bits in das richtige Kabel zu schubsen… Oder, in manchen Fällen, diese Bits zu speichern und zu analysieren und ihre Absender zu überwachen.

Jetzt sieht unser hübsches kleines Szenario vom Senden einer Nachricht ungefähr so aus:

Person A ⇒ Gerät 1 ⇒ Router ⇒ Router ⇒ Router ⇒ Server 1 ⇒ Router ⇒ Router ⇒ Router ⇒ Server 2 ⇒ Router ⇒ Router ⇒ Router ⇒ Gerät 2 ⇒ Person B

Was für ein Chaos. Und das ist immer noch eine krasse Vereinfachung — in Wirklichkeit sind da viel mehr Schritte dazwischen. Du kannst es einfach austesten, indem du ein traceroute-Programm installierst und is mal auf verschiedene Domains anwendest, die du gerne besuchst. Du wirst üblicherweise dutzende Hops sehen, und jeder davon ist vom Prinzip her ein Computer, der seinen eigenen Code ausführt und mit den Daten, die du sendest, machen kann, was er will. Wenn deine Daten nicht verschlüsselt sind, heißt das auch, dass jeder dieser Knoten ihren Inhalt kennt. Wenn du also zum Beispiel eine unverschlüsselte E-Mail über eine ungesicherte Verbindung verschickst, dann kennt jetzt theoretisch jede einzelne der Maschinen, die sie weiterschicken, den Inhalt der E-Mail. Wenn du ein Passwort über ungesichertes HTTP verschickst, kennt jede davon dein Passwort. Wenn du eine ungesicherte HTTP-Website besuchst, kann jeder dieser Knoten dir eine falsche Website auftischen. Bevor SSL/TLS zum alltäglichen Standard gemacht wurden, haben wir fast alles unverschlüsselt geschickt. Es ist unklar, wie wir diese Phase des Internets überlebt haben. Wir werden mehr über TLS und Zertifikate sprechen, wenn wir zur Verbindung als limitierender Faktor kommen. An dieser Stelle sagen wir einfach mal: Verschlüsselung ist das einzige, das verhindert, dass deine komplette Online-Kommunikation in 100% der Fälle von einem Dutzend kleiner Spione abgehört wird.

Eine grundlegende Vorstellung davon zu haben, wie Nachrichten ihren Weg durch das Internet finden, macht uns eine wichtige Sache klar: Es gibt dutzende potenzieller Risikofaktoren zwischen Sender*in und Empfänger*in, und manche davon sind sozialer Natur.

3.3. Arten von Attacken

Um zu verstehen, wogegen wir uns verteidigen, müssen wir eine grundlegende Vorstellung davon haben, auf welche Weise unsere Daten ausgespäht werden können. Mit der Beschreibung dieser Methoden könnte man ein ganzes Buch füllen, daher werden hier nur einige ausgewählte Techniken sehr grob beschrieben.

Spyware: Spyware ist eine Form von Malware, die auf einem System installiert wird. Viele Spyware wird wie ganz normale Software verkauft und lässt sich sogar über App Stores installieren. Sie wird oft beworben, um z.B. die Aktivitäten von Kindern oder Mitarbeiter*innen in einem Unternehmen zu überwachen. Viele der Anwendungen, die auf Arbeitsgeräten installiert werden, enthalten Spyware. Spyware kann z.B. einen Keylogger beinhalten, sie kann Online-Aktivitäten verfolgen, Bildschirmaufnahmen machen, Standortdaten aufzeichnen, Kameras und Mikrofone verwenden und all das an einen ausgewählten Empfänger senden, ohne dass die überwachte Person davon etwas mitbekommt. In vielen Fällen wird installierte Spyware entweder versteckt oder sieht auf den ersten Blick wie unverfängliche Software aus, z.B. wie eine Taschenrechner-App.
Man In The Middle: Dies ist eine Form von Angriff, die nicht auf dem eigenen Gerät stattfindet, sondern irgendwo zwischen dem Sender und dem Empfänger. Eine interessierte Partei fängt die Kommunikation zwischen A und B ab und leitet sie entweder unverfälscht oder mit gewissen Änderungen weiter. Für A und B sieht es so aus, als würden sie miteinander reden. Wenn die Kommunikation nicht verändert wird, fällt A und B unter Umständen niemals auf, dass sie abgehört werden. Ein Beispiel für eine Manipulation wäre, wenn ein Man In The Middle eine E-Mail mit Kontodaten abfängt, die Kontodaten auf die eigenen ändert, und die Mail dann weitersendet.
Änderung von Browser-, App- oder Systemeinstellungen: Dies kann entweder manuell passieren oder beispielsweise durch eine Anwendung, die nur ein einziges Mal ausgeführt werden muss, um permanente Änderungen vorzunehmen. Diese Änderungen können z.B. zusätzliche Benutzerkonten sein, die Installation von TLS-Root-Zertifikaten (dazu später mehr) oder das Aktivieren von Diensten. Diese Dinge können einer interessierten Partei Zugriff auf private Daten ermöglichen.
Diebstahl von Login-Daten: Wenn der interessierten Partei ein Passwort bekannt ist, kann sie dieses nutzen, um sich einzuloggen und Daten zu kopieren. Besonders Systemkonten oder beispielsweise das Apple-, Microsoft- oder Google-Konto beinhalten oft extrem viele sehr private Daten, die jeder Person zugänglich sind, die das Passwort dafür besitzt. Besonders einfach ist der Diebstahl von Login-Daten, wenn ein unsicheres Passwort verwendet wird, wenn dasselbe Passwort mehrmals wiederverwendet wird, wenn man bei der Passworteingabe beobachtet wird, oder wenn man auf einem unsicheren, mit Spyware ausgestatteten System seine Daten eingibt. Multi-Faktor-Authentisierung kann helfen, dieses Risiko zu minimieren.
Social Engineering und Phishing: Es gibt viele Methoden, jemanden dazu zu bringen, Spyware zu installieren, Änderungen kritischer Einstellungen vorzunehmen oder Login-Daten auf gefälschten Seiten einzugeben. Manche davon sind so ausgeklügelt, dass sie selbst für Profis schwer zu identifizieren sind.

4. Von welchen Faktoren hängt die Sicherheit von verschlüsselter Kommunikation ab?

Mit dem Wissen aus dem letzten Abschnitt können wir die Faktoren identifizieren, die unseren Schutz gegen die Bedrohungen aus unserem Gefahrenmodell begrezen. Dies hilft uns, zu verstehen, welchen Schutz wir brauchen und warum.

4.1. Begrenzender Faktor 1: User

Dein eigenes Verhalten beeinflusst deine Sicherheit.

Wie sicher sind deine Passwörter? Trägst du sie in ein Notizbuch ein? Wer hat Zugang zu diesem Notizbuch? Speicherst du sie in einem Passwortmanager? Wie sicher ist dein Passwortmanager?

Welchen Netzwerken vertraust du? Benutzt du unsichere Verbindungen?

Hältst du dein System auf dem aktuellen Stand? Installierst du irgendwelche Software und hoffst auf das Beste?

Welchen Geräten vertraust du? Benutzt du einen Computer, zu dem andere Personen ebenfalls Zugang haben? Wer sind diese Personen?

Gibst du anderen Personen deine Daten? Speicherst du manche deiner Daten an unsicheren Orten? Speicherst du Backups in unverschlüsselten Cloud-Diensten?

Kannst du Phishing-Attacken identifizieren? Benutzt du Multi-Faktor-Authentisierung? Steckst du irgendwelche USB-Sticks von fremden Leuten einfach in dein Gerät? Lässt du irgendwelche Leute dein Gerät benutzen?

Verifizierst du Schlüssel?

Über die meisten dieser Fragen werden wir noch detaillierter sprechen. Die wichtigste Feststellung hier ist, dass deine digitale Sicherheit vor allem vor dir selbst abhängt. Niemand anders wird es für dich tun, und auch ein relativ solides System kann keine Sicherheit gewährleisten, wenn es nicht korrekt verwendet wird.

4.2. Begrenzender Faktor 2: Das Gerät, das Betriebssystem, seine Konfiguration

Sämtliche Daten, auf die du selbst zugreifen kannst, ohne ein Passwort eingeben zu müssen, können von jeder Person mit physikalischem Zugang zu deinem Gerät kopiert und verändert werden. Face ID und Fingerabdrucksensoren sind bestenfalls eine Kindersicherung und bieten keine Sicherheit. Ein Foto deines Gesichts kann ausreichen, um Face ID auszutricksen, und dein Fingerabdruck kann direkt vom demselben Gerät abgenommen werden, das damit abgesichert ist. Es gibt keine Alternative zu guten Passwörtern. Muster und PINs zählen als Passwörter, aber sie müssen sehr lang und zufällig sein, um das gleiche Level von Sicherheit wie ein starkes Passwort zu liefern.

Allerdings wird dich auch ein starkes Login-Password nicht retten, wenn deine Daten auf dem Laufwerk selbst nicht verschlüsselt sind. Warum nicht?

Stell dir vor, du hast einen USB-Stick an deinen Laptop angeschlossen. Wenn dein Bildschirm gesperrt ist, kann nur eine Person, die dein Passwort kennt, sich einloggen und auf die Daten auf dem Stick zugreifen. Aber wenn der Stick nicht verschlüsselt ist, kann sie ihn natürlich einfach rausziehen, in ihren eigenen Laptop stecken und all deine Daten kopieren oder verändern. Nun führe dir vor Augen, dass das Laufwerk in deinem Laptop (oder Computer, oder in deinem Handy) sich nur insofern von diesem USB-Stick unterscheidet, dass es etwas mehr Arbeit ist, es auszubauen.

Aus diesem Grund brauchen wir Laufwerk-Verschlüsselung, um zu gewährleisten, dass die Daten im Ruhezustand gesichert sind („secure at rest“): Wenn das Gerät ausgeschaltet oder das Laufwerk nicht verbunden ist, gibt es keine Möglichkeit, an die Daten auf dem Laufwerk zu gelangen, ohne das Passwort und/oder die Schlüssel-Datei zu besitzen (welches davon du verwenden solltest, hängt davon ab, ob du erwartest, dass ein Angreifer eine Schlüssel-Datei auf einem separaten Gerät finden und benutzen kann oder in der Lage ist, an dein Passwort zu kommen).

Wir nennen es „secure at rest“, weil die Daten im aktiven Zustand nicht gesichert sind. Solange das Gerät in Verwendung ist, befindet sich der Schlüssel im Arbeitsspeicher der Maschine. Wer Zugriff auf das Gerät hat, kann den Arbeitsspeicher auslesen (z.B. mittels Kaltstartattacke) und so an den Schlüssel gelangen. Laufwerk-Verschlüsselung ohne Login-Sicherung ist ebenso nutzlos wie Login-Sicherung ohne Laufwerk-Verschlüsselung. Also, ja, du brauchst wirklich beides: Ein starkes Passwort, dass du jedes Mal eingibst, wenn du auf das Gerät zugreifst (ja, sogar dein Handy) und ein starkes Passwort, um die eigentlichen Daten auf deinem Laufwerk zu verschlüsseln.

Diese beiden Dinge zu haben, macht dein Gerät nicht automatisch sicher: Malware, die auf dem System läuft, kann immer noch auf deine Daten zugreifen; ebenso bösartige Hardware wie z.B. Hardware-Keylogger, die einfach jeden einzelnen Tastenanschlag registrieren und aufzeichnen.

Das bringt uns zu einer weiteren Schlussfolgerung: Sobald eine nicht vertrauenswürdige Partei physikalischen Zugriff auf dein Gerät hatte, kannst du sowohl die Hardware als auch die Software nur noch als verbrannt betrachten. Du kannst ggf. deine wertvollen Dateien vom Laufwerk retten, aber unter keinen Umständen solltest du das Gerät einschalten und deine Passwörter eingeben, um dies zu tun. Jede ausführbare Datei auf dem Gerät, inklusive seinem UEFI und Bootloader, ist genauso gefährlich wie die möglicherweise modifizierte Hardware.

Im Falle normaler Benutzung gibt es bewährte Praktiken, die befolgt werden sollten, um auf deinem Betriebssystem eine sichere Umgebung zu gewährleisten:

Du solltest keine Software installieren oder ausführen, der du nicht vertraust, da es Malware/Spyware sein könnte und Änderungen vornehmen könnte, die bleiben, auch wenn du die Software deinstallierst.
Nimm keine Änderungen an deinem System oder Browser vor, die du nicht verstehst, da du Einstellungen ändern könntest, die deine Sicherheit negativ beeinflussen.
Installiere Aktualisierungen für dein System und deine Software, da Sicherheitslücken darin nur durch Updates geschlossen werden können. (Als Anmerkung: Es kann auch vorkommen, dass bösartige Aktualisierungen eingeschleust werden. In Umgebungen mit sehr hohem Risiko werden daher automatische Updates ggf. deaktiviert und nur nach Überprüfung eingespielt. Für den Alltag sind automatische Updates eine gute Lösung.)
Lass keine unnötigen Dienste laufen. Alles, das mit der Außenwelt kommuniziert, ist eine potentielle Quelle für Probleme.
Deinstalliere Software, die du nicht brauchst. Was nicht da ist, kann auch keine Probleme verursachen.
Wenn irgendwas sich falsch anfühlt oder du Grund zu der Annahme hast, dass dein System kompromittiert wurde, musst du eine vollständige Neuinstallation vornehmen / auf Werkseinstellungen zurücksetzen. Du kannst Dateien backuppen (Bilder, Dokumente, Browser-Lesezeichen etc.), aber du solltest keine Einstellungen oder Konfigurationsdateien übernehmen, die du nicht händisch auf Korrektheit überprüfen kannst, da sie Einstellungen beinhalten könnten, die Hintertüren öffnen.
Wenn dein System einmal kompromittiert wurde, musst du davon ausgehen, dass alles, was auf deinem Bildschirm angezeigt wurde, gesehen wurde, dass jede deiner Dateien geöffnet wurde und dass jeder Tastenanschlag aufgezeichnet wurde. Das bedeutet auch, dass du sämtliche deiner Passwörter ändern musst (und dass es sinnlos ist, dies auf dem kompromittierten System zu tun).
Wenn dein Arbeitgeber verlangt, dass du bestimmte Software installierst oder Änderungen an deinem System vornimmst, solltest du es vermeiden, dasselbe System für die Arbeit und für private Nutzung einzusetzen, da diese Anwendungen oft Spyware enthalten und die Änderungen es ermöglichen könnten, deine Kommunikation abzuhören.

4.3. Begrenzender Faktor 3: Die App

Wenn du verschlüsselte Nachrichten sendest, benutzt du mit ziemlicher Sicherheit eine Anwendung, um das zu tun. Diese Anwendung läuft entweder im Browser oder direkt auf deinem Gerät. Im beiden Fällen musst du der Anwendung vertrauen können:

Du musst darauf vertrauen, dass die App, die du heruntergeladen hast, auf ihrem Weg nicht manipuliert wurde, und dass es wirklich die richtige App ist und kein bösartiger Doppelgänger. App Store und Google Play sind ziemlich gut darin, Ersteres zu gewährleisten, und unterirdisch bei Letzterem. Wenn du einen Paketmanager unter Linux/USB benutzt, kannst du der Echtheit der Software nur dann gewiss sein, wenn die Pakete Signaturen besitzen und diese Signaturen geprüft werden. Nicht jedes Paketmanagement unterstützt Signaturen. Wenn du die Software direkt über eine Website herunterlädtst, musst du sicher sein, dass die Website die richtige ist.
Auch wenn du die korrekte App hast, heißt das nicht zwangsweise, dass du geschützt bist. Die App kann Sicherheitslücken haben, oder der Anbieter kann absichtlich Hintertüren eingebaut haben, um seine Benutzer*innen ausspionieren zu können. Unter Umständen haben Regierungen diese Hintertüren angefragt oder sie verpflichtend gemacht. Die App könnte sogar so weit gehen, dass sie proaktiv deine Nachrichten scannt, um personalisierte Werbung betreiben zu können, oder um gesetzlichen Verpflichtungen zu entsprechen (Chatkontrolle). An diesen Punkten wird die Stärke von Open-Source-Software klar: Leute, denen Sicherheit am Herzen liegt, lesen den Code und schlagen Alarm, wenn sie Hintertüren oder Überwachungsroutinen entdecken.
Ist die Verschlüsselung echte Ende-zu-Ende-Verschlüsselung? Werden die Daten wirklich ausschließlich auf deinem Gerät entschlüsselt? Wenn du gleichzeitig dein Gerät und dein Passwort verlierst, gibt es noch irgendeine Möglichkeit, an deine Daten zu kommen? Wenn das der Fall ist, ist dieser Punkt nicht erfüllt und die Verschlüsselung ist nicht sicher.

4.4. Begrenzender Faktor 4: Server

Die Server-Konfiguration ist für Benutzer*innen üblicherweise nicht einsehbar. Dies stellt ein Problem dar, da Server Zugang zu einer erheblichen Datenmenge haben, sogar im Falle von echter Ende-zu-Ende-Verschlüsselung. Dies spricht für die Verwendung dezentralisierter Dienste, da hierbei ein Server ausgewählt werden kann, dessen Betreiber*in du zutraust, sich um deine Privatsphäre zu kümmern und dies technisch umzusetzen.

Wenn du einen nicht quelloffenen Dienst benutzt, ist es schwierig, festzustellen, ob der Server an irgendeiner Stelle deinen Schlüssel erhält, oder ob er die Möglichkeit besitzt, deine Daten zu entschlüsseln und zu analysieren, was effektiv das Konzept von Ende-zu-Ende-Verschlüsselung aushebeln würde.

Web Apps (das sind Anwendungen, die du in einem Browser aufrufst, wie beispielsweise Telegram oder Whatsapp auf deinem Computer oder das Element Web-Interface): Da die Anwendung nicht lokal installiert ist, entspricht jeder Besuch der Website einem Download einer neuen Version der App. Wenn der Server kompromittiert ist, kann er dir eine gefälschte Website senden und all deine Daten klauen.

Auch, wenn deine Nachrichten vollständig verschlüsselt sind, nicht vom Server ausgelesen werden können, und der Server sicher ist, kann das Speichern unnötiger zusätzlicher Daten dich in große Schwierigkeiten bringen (darüber reden wir im Abschnitt über die sonstigen Daten).

4.5. Begrenzender Faktor 5: Die Verbindung

Wie schon erwähnt, passieren Nachrichten auf ihrem Weg durch das Internet viele verschiedene Router. Einer davon ist üblicherweise unter deiner eigenen Kontrolle, und das ist der bunt blinkende Kasten, der an die Telefondose angeschlossen ist. Wenn auf deinem Router Malware läuft, wirst du keinen Spaß daran haben. Router müssen so gewissenhaft gepflegt werden wie jedes andere Gerät: Sichere Passwörter, regelmäßige Updates, und Zurücksetzen gebraucht organisierter Geräte.

Heutzutage wird die überwältigende Mehrheit der Daten im Internet mit TLS verschlüsselt. Dadurch können auch Daten, die kein eigenes kryptografisches Layer besitzen, nicht ohne Weiteres von Dritten ausgespäht oder manipuliert werden, auch nicht von den Routern, die sie passieren. TLS ist ziemlich sicher insofern, dass es von außen nicht einfach geknackt werden kann und man entweder Zugang zum Server oder zum Client haben muss, um die übertragenen Daten auszulesen oder zu manipulieren.

Um zu verstehen, in welchen Fällen wir TLS vertrauen können und in welchen nicht, müssen wir ein bisschen darüber wissen, wie TLS funktioniert.

Eine mit TLS gesicherte Verbindung wird aufgebaut, indem ein TLS Handshake durchgeführt wird. Dieser Handshake dient dazu, Sitzungsschlüssel auszuhandeln, die symmetrische Verschlüsselung verwenden, da diese weniger Rechenleistung benötigt und dadurch für den Transfer großer Datenmengen besser geeignet ist. Um zu verhindern, dass uneingeladene Dritte, welche die Verbindung beobachten, die Sitzungsschlüssel erhalten, werden die Nachrichten, in denen die Schlüssel ausgehandelt werden, mit einem anderen Algorithmus verschlüsselt.

Jeder TLS-Server besitzt ein Paar aus öffentlichem und privatem Schlüssel. Die Handshake-Nachricht, die vom Client gesendet wird, ist mit dem öffentlichen Schlüssel des Servers verschlüsselt, und nur der Server kann diese Nachricht öffnen, da (hoffentlich) niemand anders den privaten Schlüssel des Servers besitzt.

Die größte Herausforderung bei asymmetrischer Verschlüsselung ist die Verifizierung der Identität des Kommunikationspartners: Du musst dir absolut sicher sein, dass der Schlüssel, den du erhalten hast, der Person gehört, mit der du reden möchtest. Im Falle von TLS wird diese Verifizierung wird durch Zertifikate gewährleistet. Es gibt eine begrenzte Anzahl von Zertifizierungsstellen (Certificate Authority, CA), welche sogenannte Root-Zertifikate besitzen. Durch eine „Vertrauenskette“ werden diese Root-Zertifikate benutzt, um Zwischenzertifikate zu signieren, mit welchen dann wiederum die eigentlichen Server-Zertifikate signiert werden. Diese Server-Zertifikate beinhalten unter anderem den öffentlichen Schlüssel des Servers. Wenn der Server ein Zertifikat besitzt, das dein Betriebssystem oder Browser als gültig akzeptieren, dann bedeutet das letztendlich, dass eine der Zertifizierungsstellen, deren Root-Zertifikate auf deinem Gerät gespeichert sind (diese werden als Teil von Betriebssystem oder Browser ausgeliefert), verifiziert hat, dass der öffentliche Schlüssel, den du für die Verschlüsselung benutzt, tatsächlich zu dem Server gehört, mit dem du dich verbinden möchtest.

Hieraus ergibt sich, dass Root-Zertifikate der Punkt sind, an dem TLS kaputtgehen kann. Wenn ein bösartiges Zertifikat auf deinem System als vertrauenswürdig markiert wurde, kann dieses bösartige Root-Zertifikat verwendet werden, um bösartige Server-Zertifikate zu signieren, denen dein Gerät dann automatisch vertraut. Dies ermöglicht es der bösartig handelnden Partei, Man-In-The-Middle-Angriffe durchzuführen.

Es ist möglich, manuell zusätzliche Root-Zertifikate zu installieren. Du könntest dein eigenes Root-Zertifikat erstellen, and alle, die es auf ihren System als vertrauenswürdiges Zertifikat speichern, würden automatisch alle Zertifikate als vertrauenswürdig ansehen, die du signiert hast. In der Tat ist das etwas, das viele Arbeitgeber tun.

Diese Fakten summieren sich zu folgender Beschränkung:

TLS ist nur dann sicher, wenn 1. keine bösartigen Zertifikate installiert wurden (z.B. durch Unwissenheit, Vorschrift eines Arbeitgebers, Malware, oder unerwünschten Zugriff auf das Gerät) und 2. die Zertifizierungsstellen selbst vertrauenswürdig sind.

Da die großen Zertifizierungsstellen der Kontrolle von Großkonzernen unterliegen, von denen die meisten ihren Sitz in den USA haben, bedeutet Vertrauen in TLS nicht nur Vertrauen in dein Gerät und die Software, die du benutzt, sondern auch in die Konzerne, welche die TLS-Root-Zertifikate kontrollieren sowie in die Regierungen der Länder, in denen sie sich befinden. Deshalb ist eine zusätzliche kryptografische Ebene in Form von Ende-zu-Ende-Verschlüsselung nötig, um empfindliche Informationen zu schützen.

Wenn dein persönliches Gefahrenmodell TLS als nicht vertrauenswürdig definiert, oder falls es Regierungen gelingt, ihre eigenen Root-Zertifikate als vertrauenswürdig zu markieren, sind Web-Apps keine sichere Wahl mehr für die Kommunikation, auch dann nicht, wenn sie ihre eigene Verschlüsselung besitzen (Matrix, Telegram, …), da ein Man In The Middle einfach eine falsche Website auftischen kann, die deine Daten ausliest oder verändert. Mit eigenständigen Programmen lässt sich dies weniger leicht bewerkstelligen; viele Apps auf Mobilgeräten sind allerdings in ihrem Inneren auch nur ein Browser, sodass das Problem möglicherweise dennoch besteht.

Die Verwendung von VPN oder Tor-Browser macht deine Verbindung nicht sicherer. Was sie tun, ist deinen Aufenthaltsort zu verstecken, indem sie deine IP-Adresse verschleiern. Dein Browser-Fingerprint kann dich immer noch identifizieren und es gibt keine zusätzliche Verschlüsselung, um den Inhalt deiner Nachrichten zu schützen. Nur Tor Onion Services besitzen eine eigene kryptografische Ebene und verlassen sich zur Absicherung nicht allein auf TLS.

4.6. Begrenzender Faktor 6: Schlüsselverifizierung (oder der Verzicht darauf)

Die meisten Messenger benutzen heutzutage Ende-zu-Ende-Verschlüsselung durch asymmetrische Algorithmen. Wenn du einen neuen Chat öffnest, werden die öffentlichen Schlüssel automatisch ausgetauscht. Du beginnst deine Kommunikation und vertraust daraufh, dass die Schlüssel korrekt ausgetauscht wurden, dass kein Man In The Middle einen falschen Schlüssel an beide Enden serviert hat, um eure Kommunikation belauschen oder manipulieren zu können.

Wenn deine Kommunikation privat ist oder du Grund zu der Annahme hast, dass dich jemand anzugreifen versucht, solltest du nicht darauf vertrauen.

Anwendungen mit einem Fokus auf Sicherheit besitzen immer eine Möglichkeit, die Schlüssel anzeigen zu lassen, die in einer Sitzung verwendet werden. Diese werden nicht unbedingt „Schlüssel“ genannt; unter Umständen heißen sie „Sicherheitsnummer“ oder werden durch Emoji dargestellt, weshalb es nicht gerade leicht ist, hierfür eine universelle Beschreibung zu liefern. Im Zweifelsfalle kannst du eine Suchmaschine fragen, wie man in deiner jeweiligen App die Schlüssel verifiziert. (Technisch gesehen ist das, was ihr da vergleicht, nicht der eigentliche Schlüssel, der zum Verschlüsseln der Nachrichten benutzt wird, sondern eine davon abgeleitete Zahl, aber die Erklärung würde den Rahmen dieses Artikels sprengen.)

Wenn du eine neue Sitzung öffnest, solltest du, bevor du mit dem Austausch empfindlicher Nachrichten beginnst, den Schlüssel deines Kommunikationspartners anzeigen lassen. Sobald du diesen hast, benutzt du eine unabhängige Kommunikationsmethode (eine andere Anwendung, einen Telefonanruf, Hauptsache irgendwas, das mit der Chat-Anwendung möglichst wenig zu tun hat), um sicherzustellen, dass dies in der Tat der Schlüssel deines Kommunikationspartners ist. Danach macht ihr das Ganze nochmal andersrum.

Dieses Spiel muss jedes Mal wiederholt werden, wenn der Schlüssel sich ändert. Zusätzlicher Hinweis: In manchen Anwendungen kann es möglich sein, einen Schlüssel für eine Man-In-The-Middle-Attacke einzuspeisen und danach den ursprünglichen Schlüssel zurückzuspielen. Durch die Funktionsweise der Algorithmen (schlag „Double Ratchet“ nach, wenn du mehr wissen willst) kann der eingespielte Schlüssel ältere Nachrichten nicht öffnen, aber er kann alle zukünftigen Nachrichten entschlüsseln, auch, nachdem der ursprüngliche Schlüssel wiederhergestellt wurde. In diesem Falle ist der einzige Hinweis, dass etwas Zwielichtiges geschieht, eine ungleiche Anzahl von Schlüssel-Änderungen, d.h. Person A sieht eine Schlüssel-Änderung und Person B sieht 3, oder Person A sieht 0 und Person B sieht 2.

Das bedeutet, dass nicht nur die Schlüssel selbst auf beiden Seiten identisch sein müssen, sondern auch die Anzahl der Schlüssel-Änderungen.

Wenn du den Schlüssel deines Kommunikationspartners nicht über einen unabhängigen Weg verifizierst, kannst du der Kommunikation niemals vollständig vertrauen. Interessanterweise ist dieser Punkt genau das, was PGP so mächtig macht: Da die Schlüssel nicht automatisch ausgetauscht, sondern manuell kommuniziert werden, kann man dir nur sehr schwerlich einen falschen Schlüssel unterjubeln.

4.7. Begrenzender Faktor 7: Sonstige Daten

Der größte Packen zusätzlicher Daten ist derjenige, den wir als Metadaten bezeichnen. Diese Metadaten sind üblicherweise nicht verschlüsselt und können sehr einfach mitgeschnitten werden, auch dann, wenn der eigentliche Kommunikationsinhalt sicher ist. Zu den Metadaten gehören alle Informationen, die nicht Teil der Nachricht selbst sind: IP-Adressen, Kommunikationsteilnehmer*innen, Sendezeiten, Gerätemerkmale etc. Selbst dann, wenn der Nachrichteninhalt nicht bekannt ist, können Metadaten von interessierten Parteien dazu genutzt werden, um etwa herauszufinden, wer mit wem kommuniziert, wann und wie oft Nachrichten ausgetauscht werden, an welchem Ort die Gesprächsteilnehmer*innen sich befinden, welche Geräte und Software sie benutzen usw. Bei PGP-verschlüsselter E-Mail verbleiben Betreffzeilen und Anhänge ebenfalls im unverschlüsselten Klartext.

Metadaten können ausreichend sein, um die Vernetzungen zwischen Personen zu modellieren.

Server speichern gerne Metadaten wie IP-Adressen, Verbindungszeiten und Geräteinformationen als Teil ihrer Logs. Wenn du deine Server-Admins nicht kennst und keine Möglichkeit hast, herauszufinden, welche Daten gespeichert werden und wer dazu Zugang hat, musst du davon ausgehen, dass alles gespeichert und weitergegeben wird. Wenn nötig, musst du zusätzliche Maßnahmen einsetzen, um deine Daten zu anonymisieren, z.B. durch die Verwendung von VPN, Tor, oder eines Browsers mit guten Privatsphäre-Einstellungen.

Metadaten sind jedoch nicht die einzige potenziell gefährliche Datenspeicherung: Lokale Caches, Backups, System-Logdateien, Screenshots und andere zusätzliche Datenspeicherung kann dazu führen, dass empfindliche Daten unbeabsichtigt zugänglich gemacht werden.

5. Also was muss ich jetzt tun?

5.1. Kurz und knapp als Liste

Benutze Ende-zu-Ende-Verschlüsselung.
Verifiziere Schlüssel über einen unabhängigen Kommunikationsweg und pass auf, wenn der Schlüssel sich ändert.
Benutze starke Passwörter und verlasse dich nicht auf Face ID oder Fingerabdrucksensoren. Ein Passwortmanager kann hilfreich sein.
Verwende Multi-Faktor-Authentisierung wo möglich.
Halte dein Betriebssystem und deine installierten Anwendungen auf dem aktuellen Stand, da Updates Sicherherheitslücken schließen.
Tu dasselbe für sämtliche Geräte in deinem Heimnetz, aber ganz besonders für deinen Router.
Mach regelmäßige Backups deiner wertvollen Daten, da du im Falle einer Attacke wahrscheinlich dein System plattmachen musst.
Deaktiviere alle unnötigen Dienste und Zugangsmodi.
Verschlüssele deine Platte und jegliche Datenträger.
Speichere niemals empfindliche Daten unverschlüsselt in „der Cloud“ oder auf nicht vertrauenswürdigen Geräten.
Pass auf, mit wem du ein Gerät teilst. Verwende Gastzugänge.
Installiere keine fragwürdigen Anwendungen und nimm keine Änderungen an deinem System vor, die du nicht vollständig verstehst.
Wenn ein Arbeitgeber dich zwingt, Überwachungssoftware zu installieren oder Änderungen der Systemeinstellungen vorzunehmen, oder wenn eine nicht vertrauenswürdige Person Zugang zu deinem Gerät hatte, ist dieses Gerät nicht mehr für sichere Kommunikation geeignet.
Benutze VPN oder Tor, wenn du deine IP-Adresse verschleiern möchtest.
Kombiniere das mit einem Browser, der Fingerprinting reduziert, wenn du nicht identifiziert werden willst.
Die sichersten Daten sind die, die es nicht gibt. Löschen ist gute Sicherheitspraxis.

Wenn diese Liste dich ein bisschen überfordert, halte dir vor Augen, dass jede einzelne dieser Maßnahmen zu deiner Sicherheit beiträgt. Es ist besser, dich nur teilweise zu schützen, als dich überhaupt nicht zu schützen. Ich hoffe, dass dieser Artikel dir geholfen hat, zu verstehen, wogegen jede dieser Maßnahmen dich schützt, damit du selbständig entscheiden kannst, welche davon du unter welchen Bedingungen einsetzen möchtest.

5.2. PGP ja oder nein?

PGP ist ein mächtiges Werkzeug, um die Sicherheit von verschlüsselten Inhalten zu gewährleisten. Durch seinen Aufbau macht es es nicht nur nahezu unmöglich, falsche Schlüssel einzuspeisen, sondern bringt auch Funktionalität mit, um Schlüssel zu signieren und ein Netz des Vertrauens aufzubauen. Wenn du einen ausreichend vertrauenswürdigen PGP-Schlüssel für deine Kommunikation benutzt und beide Teilnehmer*innen gute Sicherheitspraxis befolgen (also so was wie starke Passwörter, keine Verwendung Malware-verseuchter Geräte usw.), kannst du dir sehr sicher sein, dass deine Nachrichten nur von der Person gelesen werden können, der du sie geschickt hast.

Da ein PGP-Schlüssel jedoch schon vom Prinzip her an eine Identität gekoppelt ist, ist er zwangsweise ungeeignet für anonyme Kommunikation. Ohne beträchtlichen Aufwand und ungewöhnliche Anwendungsmethoden ist unmöglich, Autor*innenschaft von PGP-verschlüsselter Kommunikation abzustreiten (technisch gesehen eigentlich die Empfänger*innenschaft, aber bei einem zweiseitigen Gespräch kommt das auf dasselbe raus). Die größte Stärke von PGP ist gleichzeitig seine größte Schwäche.

5.3. Verschlüsselung ist nicht gleich Anonymität

Dieser Artikel hat beschrieben, wie du den Inhalt deiner Kommunikation absicherst. Dies ist nicht ausreichend, um deine Identität vor den Empfänger*innen zu verstecken, und noch weniger, um sie vor dem Server geheimzuhalten, der deine Kommunikation verarbeitet. Eine Anleitung für anonyme Kommunikation würde ihren eigenen Artikel brauchen, aber für den Moment will ich dir zumindest eine kurze und potentiell unvollständige Liste mitgeben von Faktoren, die dich identifizierbar machen, und wie du sie verschleierst.

Browser Fingerprint: Macht dich identifizierbar gegenüber jedem Webserver, mit dem du über deinen Browser Kontakt aufnimmst. Diesen Fingerprint zu anonymisieren, ist sehr anspruchsvoll. Er kann in Server-Logs vorgehalten werden und auch dazu genutzt werden, deine Aktivitäten quer durch das Internet zu verfolgen.
IP-Adresse: Identifiziert dich gegenüber jedem Server, mit dem du kommunizierst, aber in der Regel nicht gegenüber den Empfänger*innen deiner Nachrichten, die deine IP üblicherweise nicht einsehen können. VPN und Tor maskieren deine IP. IP-Adressen werden sehr oft in Server-Logs gespeichert. Wenn du die Server-Log-Regeln nicht kennst, musst du davon ausgehen, dass jede einzelne IP, mit der du jemals mit dem Server kommuniziert hast, für immer und ewig gespeichert wird.
Geräteinformationen und andere Metadaten: Werden möglicherweise von einer Anwendung ohne dein Wissen an den Server gesendet. Werden möglicherweise den Empfänger*innen zugänglich gemacht. Ein anschauliches Beispiel wären E-Mail-Header. Viele Apps erlauben keine anonyme Kommunikation und machen nicht transparent, welche Daten gesendet und gespeichert werden.
Kontaktdaten: Wenn du einen Account mit deiner E-Mail-Adresse oder deiner Handynummer registrierst, ist deine Identität dem Betreiber des Dienstes automatisch bekannt. Manchmal is es möglich, diese Informationen vor den Empfänger*innen zu verstecken, aber darauf sollte man sich nicht verlassen.
Soziales Netz: Wenn du dich bei einem Dienst anmeldest und mit denselben Personen verbindest, mit denen du auch auf anderen Diensten und/oder im echten Leben vernetzt bist, können diese Verbindungen herangezogen werden, um dich zu identifizieren, und zwar auch dann, wenn es keinerlei andere identifizierende Faktoren gibt.
Bilder, Selbstbeschreibungen, alles, was du postest, ist ja klar: Was du löschst, wird oft nicht wirklich gelöscht und kann später immer noch benutzt werden, um dich zu identifizieren. Auch Daten, die vom Server tatsächlich gelöscht werden (große kommerzielle Dienste löschen NICHTS), können sie in Backups überleben.
Der zur Verschlüsselung benutzte Schlüssel: Dies ist besonders leicht ersichtlich im Falle von PGP, wie zuvor erklärt. Wenn der Schlüssel in irgendeiner Form mit deiner Identität verknüpft ist, hebelt er jegliche Anonymität automatisch aus.

Themen: deutsch, computer, security

Neopronomenbaukasten

07. November. 2023

Komplette Übersicht aller gegenderten Sprachelemente

Was braucht man für ein Pronomen-System?

Wollt ihr ein neues Pronomen erfinden? Wollt ihr ein Buch schreiben mit einem Neopronomen (oder mehreren)? Fällt euch manchmal störend auf, dass euch Fälle fehlen, und ihr wollt das ändern? Hier sind ein paar Tabellen, die restlos ausgefüllt werden müssen, um ein wirklich vollständiges System anzubieten.

Falls ich irgendwas vergessen habe, sagt mir bitte Bescheid. Ich habe etliche Stunden investiert, um diese Tabellen zu erstellen, und ja, ich habe dabei geheult. Mehr Text gibt’s in den weiteren Teilen, das hier ist als Referenz gedacht, deswegen kommen jetzt nur noch die Tabellen!

Damit ihr es einfacher habt, gibt es die Tabellen auch fertig zum Bearbeiten in einem Textdokument.

Personalpronomen

	er	sie
Nominativ	er Er fährt Rad.	sie Sie fährt Rad.
Akkusativ	ihn Ich kenne ihn.	sie Ich kenne sie.
Dativ	ihm Das Rad gehört ihm.	ihr Das Rad gehört ihr.
Genitiv	seiner Wir gedenken seiner.	ihrer Wir gedenken ihrer.

Possessivpronomen

Possessivpronomen für…	er	sie
neutrale Objekte (Singular)	seines / seins Wessen Rad ist das? – Sein(e)s!	ihres / ihrs Wessen Rad ist das? – Ihr(e)s!
feminine Objekte (Singular)	seine Wessen Katze ist das? – Seine!	ihre Wessen Katze ist das? – Ihre!
maskuline Objekte (Singular)	seiner Wessen Hund ist das? – Seiner!	ihrer Wessen Hund ist das? – Ihrer!
Objekte deines neuen Geschlechts (Singular)
Objekte jeden Geschlechts (Plural)	seine Wessen Räder / Katzen / Hunde sind das? – Seine!	ihre Wessen Räder / Katzen / Hunde sind das? – Ihre!

Possessivartikel

Possessivartikel im Nominativ für…	er	sie
neutrale Objekte (Singular)	sein Sein Rad ist kaputt.	ihr Ihr Rad ist kaputt.
feminine Objekte (Singular)	seine Seine Katze schnurrt.	ihre Ihre Katze schnurrt.
maskuline Objekte (Singular)	sein Sein Rucksack ist neu.	ihr Ihr Rucksack ist neu.
Objekte deines neuen Geschlechts (Singular)
Objekte jeden Geschlechts (Plural)	seine Seine Räder Seine Katzen Seine Rucksäcke	ihre Ihre Räder Ihre Katzen Ihre Rucksäcke

Possessivartikel im Akkusativ für…	er	sie
neutrale Objekte (Singular)	sein Er repariert sein Rad.	ihr Sie repariert ihr Rad.
feminine Objekte (Singular)	seine Er streichelt seine Katze.	ihre Sie streichelt ihre Katze.
maskuline Objekte (Singular)	seinen Er streichelt seinen Hund.	ihren Sie streichelt ihren Hund.
Objekte deines neuen Geschlechts (Singular)
Objekte jeden Geschlechts (Plural)	seine seine Räder seine Katzen seine Hunde	ihre ihre Räder ihre Katzen ihre Hunde

Possessivartikel im Dativ für…	er	sie
neutrale Objekte (Singular)	seinem Er spielt mit seinem Rad.	ihrem Sie spielt mit ihrem Rad.
feminine Objekte (Singular)	seiner Er spielt mit seiner Katze.	ihrer Sie spielt mit ihrer Katze.
maskuline Objekte (Singular)	seinem Er spielt mit seinem Hund.	ihrem Sie spielt mit ihrem Hund.
Objekte deines neuen Geschlechts (Singular)
Objekte jeden Geschlechts (Plural)	seinen mit seinen Rädern mit seinen Katzen mit seinen Hunden	ihren mit ihren Rädern mit ihren Katzen mit ihren Hunden

Possessivartikel im Genitiv für…	er	sie
neutrale Objekte (Singular)	seines Der Reifen seines Rades ist platt.	ihres Der Reifen ihres Rades ist platt.
feminine Objekte (Singular)	seiner Das Fell seiner Katze ist weich.	ihrer Das Fell ihrer Katze ist weich.
maskuline Objekte (Singular)	seines Das Fell seines Hundes ist nass.	ihres Das Fell ihres Hundes ist nass.
Objekte deines neuen Geschlechts (Singular)
Objekte jeden Geschlechts (Plural)	seiner seiner Räder seiner Katzen seiner Hunde	ihrer ihrer Räder ihrer Katzen ihrer Hunde

Artikel

Bestimmter Artikel	er	sie
Nominativ	der Das ist der Lehrer.	die Das ist die Lehrerin.
Akkusativ	den Ich mag den Lehrer.	die Ich mag die Lehrerin.
Dativ	dem Das gehört dem Lehrer.	der Das gehört der Lehrerin.
Genitiv	des Das ist die Tasche des Lehrers.	der Das ist die Tasche der Lehrerin.

Unbestimmter Artikel	er	sie
Nominativ	ein Das ist ein Lehrer.	eine Das ist eine Lehrerin.
Akkusativ	einen Ich suche einen Lehrer.	eine Ich suche eine Lehrerin.
Dativ	einem Das gehört einem Lehrer.	einer Das gehört einer Lehrerin.
Genitiv	eines Das ist die Tasche eines Lehrers.	einer Das ist die Tasche einer Lehrerin.

Spezielle Pronomen

	er	sie
Relativpronomen	welcher Der Lehrer, welcher dort sitzt	welche Die Lehrerin, welche dort sitzt
Relativpronomen Genitiv	dessen Das ist dessen Tasche.	deren Das ist deren Tasche.
Demonstrativpronomen	dieser, jener Das ist dieser / jener Lehrer.	diese, jene Das ist diese / jene Lehrerin.
Universalpronomen	jeder Jeder Lehrer ist schön.	jede Jede Lehrerin ist schön.
Zahlwort	einer Das ist einer der Lehrer.	eine Das ist eine der Lehrerinnen.

Adjektive

Adjektive nach bestimmtem Artikel

Adjektiv im…	er	sie
Nominativ	schöne der schöne Lehrer	schöne die schöne Lehrerin
Akkusativ	schönen den schönen Lehrer	schöne die schöne Lehrerin
Dativ	schönen dem schönen Lehrer	schönen der schönen Lehrerin
Genitiv	schönen des schönen Lehrers	schönen der schönen Lehrerin

Adjektive nach unbestimmtem Artikel

Adjektiv im…	er	sie
Nominativ	schöner ein schöner Lehrer	schöne eine schöne Lehrerin
Akkusativ	schönen einen schönen Lehrer	schöne eine schöne Lehrerin
Dativ	schönen einem schönen Lehrer	schönen einer schönen Lehrerin
Genitiv	schönen eines schönen Lehrers	schönen einer schönen Lehrerin

Adjektive ohne Artikel

Adjektiv im…	er	sie
Nominativ	schöner er als schöner Lehrer	schöne sie als schöne Lehrerin
Akkusativ	schönen ihn als schönen Lehrer	schöne sie als schöne Lehrerin
Dativ	schönem ihm als schönem Lehrer	schöner ihr als schöner Lehrerin
Genitiv	schönen seiner als schönen Lehrer	schöner ihrer als schöner Lehrerin

Substantive

Ich habe mehrere Beispiele ausgewählt, die möglichst unterschiedliche Ergebnisse liefern. Es tut mir so leid

Substantive Singular

Substantivendung im…	er	sie
Nominativ Singular Das ist der / die…	Lehrer Zuschauer Hexer Meister Detektiv Kollege Friseur Arzt Virtuoso Muslim Pharao Maestro	Lehrerin Zuschauerin Hexe Meisterin Detektivin Kollegin Friseuse Ärztin Virtuosin Muslima Pharaonin Maestra
Akkusativ Singular Dativ Singular Du grüßt den / die… Du redest mit dem / der…	Lehrer Zuschauer Hexer Meister Detektiv Kollegen Friseur Arzt Virtuoso Muslim Pharao Maestro	Lehrerin Zuschauerin Hexe Meisterin Detektivin Kollegin Friseuse Ärztin Virtuosin Muslima Pharaonin Maestra
Genitiv Singular Das ist das Zimmer des / der…	Lehrers Zuschauers Hexers Meisters Detektivs Kollegen Friseurs Arztes Virtuosos Muslims Pharaos Maestros	Lehrerin Zuschauerin Hexe Meisterin Detektivin Kollegin Friseuse Ärztin Virtuosin Muslima Pharaonin Maestra

Substantive Plural

Substantivendung im…	er	sie	dein neues Pronomen
Nominativ Plural Akkusativ Plural Genitiv Plural Das sind die… Du grüßt die… Das sind die Zimmer der…	Lehrer Zuschauer Hexer Meister Detektive Kollegen Friseure Ärzte Virtuosos Muslime Pharaonen Maestros	Lehrerinnen Zuschauerinnen Hexen Meisterinnen Detektivinnen Kolleginnen Friseuse Ärztinnen Virtuosinnen Muslimas Pharaoninnen Maestras
Dativ Plural Du redest mit den…	Lehrern Zuschauern Hexern Meistern Detektiven Kollegen Friseuren Ärzten Virtuosos Muslimen Pharaonen Maestros	Lehrerinnen Zuschauerinnen Hexen Meisterinnen Detektivinnen Kolleginnen Friseusen Ärztinnen Virtuosinnen Muslimas Pharaoninnen Maestras

Themen: deutsch, trans, neopronomen

Männliche Weiblichkeit

16. September. 2023

In letzter Zeit denke ich viel darüber nach, wie genau ich jetzt eigentlich zu Weiblichkeit stehe. Ich bin teilweise sehr überrascht von meinen eigenen Antworten.

Der Hintergrund ist der:

2014 stellte ich fest, dass ich trans bin. 2015 fing ich an mit der Therapie, um Testo zu kriegen und TSG durchzuspielen, und 2016 musste ich das Ganze dann wieder aufgeben, weil der Therapeut mich einfach komplett verarscht hatte. Lange Geschichte, nicht so wichtig. Jedenfalls saß ich dann ziemlich lange ohne alles da – keine Hormone, keine Personenstandsänderung, nichts. Eine Namensänderung machte ich dann über Vornamensänderungsgesetz, danach war das alles zumindest aushaltbar.

Über die Jahre bin ich dann über sehr viele Ecken und Richtungswechsel zu dem Schluss gekommen, dass ich genderfluid bin. Nicht so diese klassische Idee von „jeden Tag was anderes“, sondern bei mir eher ein langsamer, schleichender Wandel über Monate hinweg. So ein- bis zweimal im Jahr hab ich immer wieder eine kleine Krise, weil ich merke, dass mein aktuelles Geschlecht, meine Pronomen und die Art, wie ich mich selbst betrachte, sich auf einmal diffus beschissen anfühlen. Meistens dauert es eine Weile, bis mir dann wieder einfällt, dass ich das schon ein paarmal hatte, und dass ich einfach mal wieder andere Pronomen nehmen sollte… So weit, so undramatisch.

Seit 2021 bekomme ich endlich Testo. Angefangen hat das mit DIY, zum Glück bekam ich dann aber relativ zügig die richtige Unterstützung, sodass es seit 2022 regulär läuft. Trotzdem hielt sich im Alltag die forcierte weibliche Geschlechtszuschreibung relativ hartnäckig. Ich wurde weiterhin durchweg weiblich gegendert und Korrekturen allenfalls belächelt.

Dieses Frühjahr hatte ich dann irgendwann die Schnauze voll, schnitt mir meine Haare ab, und dann war’s gut. Seitdem habe ich relativ solides männliches Passing: so gut, dass z.B. Ärzt*innen mich fragen, warum bei mir denn „weiblich“ drinsteht.

Somit ist das jetzt noch kein halbes Jahr so, dass ich mich als Mann durch die Welt bewege. Vorher wurde ich von Fremden nahezu durchweg als Frau angesprochen und behandelt, während ich jetzt in beinahe jedem Kontext als männlich durchgehe. Und es stimmt auch, im Moment: Ich fühle mich sehr maskulin, auf eine queere, gender-nonkonforme Art. Nicht unbedingt wie ein Mann, aber doch mehr das als irgendwas anderes. Momentan fühle ich mich mit er/sein als Pronomen relativ okay. Na gut, ehrlich gesagt hauptsächlich deswegen, weil ich gerade keine Lust habe, mir was anderes rauszusuchen. Optimal ist es nicht. Aber es ist okay genug, dass die Faulheit überwiegt. El/ems und nin/nims sind gerade einfach nicht das Richtige, xier ist mir für den Alltag zu kompliziert, und für alle anderen müsste ich erstmal meine Tabellen ausfüllen und dann ein paar Texte damit schreiben, um wirklich ein Gefühl dafür zu haben. Also lass ich es einfach. So wichtig ist es mir jetzt auch nicht.

Was mich ein bisschen vor den Kopf stößt, ist, dass mir in den letzten Monaten immer wieder queere und trans Menschen über den Weg laufen, die meinen, meine Position wäre irgendwie außerhalb von Weiblichkeit. (Trans_nbi Personen sind die einzigen, denen ich zu dem Thema überhaupt zuhöre.)

Also… Ja, ich stehe außerhalb des weiblichen Geschlechts, aber irgendwie auch… Nein!

Ich beanspruche diesen Raum (immer noch oder schon wieder) auch für mich.

Bis vor einem halben Jahr habe ich im Alltag die weibliche Rolle erlebt. Für den größeren Teil dieser Zeit war ich davon überzeugt, dass das auch so stimmte (es musste ja, gab ja keine andere Möglichkeit).

Als Mädchen ging ich in die Schule. Ich war das Mädchen, das sich mit Computern auskannte. Ich war das einzige Mädchen in der Linux User Group. Als Frau studierte ich Maschinenbau. Als Frau beanspruchte ich meinen Raum in diversen „Männerclubs“ – beruflich, im Studium, in Hobbies. Ich war als Frau im CCC. Ich arbeitete als IngenieurIN. Und als das aufhörte, wurde ich als Frau krank. Als Frau musste ich mich mit dem Sozialsystem anlegen. Als Frau musste ich Diagnosen jagen gehen.

Und so weiter. Klar, der Schnitt für mich – das „Oh, ich bin ja gar keine Frau“ – kam zwischendurch, und für eine kurze Zeit versuchte ich auch, das in allen diesen Bereichen durchzusetzen, aber nachdem klar war, dass ich in absehbarer Zeit keine rechtlichen oder medizinischen Transitionsschritte unternehmen können würde, gab ich das wieder auf.

Ich habe diese und andere Erfahrungen als Frau gemacht. Nicht nur die guten. Ich habe als Mädchen und als Frau Diskriminierung erlebt, Sexismus, Bevormundung, Spott und Benachteiligung. Ich habe als Mädchen und als Frau sexuelle Belästigung erlebt. Ich habe als Mädchen und als Frau sexuelle Gewalt erlebt.

Und ich sehe es nicht ein, warum ich mich von diesen Erfahrungen und von meiner abgelegten Weiblichkeit – oder von Weiblichkeit allgemein – künstlich distanzieren sollte.

Vielleicht liegt das einfach nur daran, dass es mittlerweile 9 Jahre her ist, dass ich kapiert habe, was ich (nicht) bin. Die Zeit macht einen großen Unterschied, der Drops ist, wie man so schön sagt, gelutscht, und nachdem ich 6 Jahre auf Hormontherapie warten musste und zwischendurch das Projekt, mein korrektes Geschlecht einzufordern, komplett aufgab, lässt es mich einfach absolut kalt, als weiblich einsortiert zu werden.

Dazu kommt die Tatsache, dass ich mich inzwischen relativ gut „angekommen“ fühle. Ich habe mein Passing, ich kann mit meiner Geschlechtspräsentation herumspielen, ich habe jetzt relativ frisch wieder Zugang zu einem Raum, wo ich einfach als mein queeres Selbst existieren kann, ohne mich rechtfertigen zu müssen. Ich habe meine Hormone und die körperlichen Veränderungen, die ich mir gewünscht hatte (na gut, der Bart wächst bisher fast nur auf dem Hals, aber ist immer noch besser als nix). Klar hätte ich gerne mehr (Mastek wäre nice, ist mir aber einfach zu viel Risiko), aber so, wie es ist, kann es auch bleiben.

Was auch immer der Grund ist, zwei Dinge sind wahr: 1. Ich habe mich der Weiblichkeit nie wirklich fremd gefühlt. 2. Ich habe inzwischen überhaupt nicht mehr das Bedürfnis, mich davon zu distanzieren, und fühle mich nicht mehr so, als müsste ich dieses Fremdfühlen irgendwie trotzdem performen.

In FLINTA*-Spaces fühle ich mich korrekt platziert. Ich habe mehr mit Frauen gemeinsam als mit cis Männern.

Meine alten Fotos, in denen ich mich erkennbar als Frau präsentiere, lösen in mir keinerlei Unwohlsein mehr aus. Das war halt ich, ich hab mich in der Zwischenzeit ein bisschen verändert, okay, ja und?

Als ich neulich ein paar dieser alten Fotos im Fedi postete, kamen einige Reaktionen von anderen trans Personen à la „Ich könnte das nicht“. Irgendwo kann ich das verstehen. Für eine gewisse Zeit fühlte ich mich glaubich genauso. Aber das ist einfach… vorbei.

Es ist ein seltsames Gefühl, von Männern als „einer von ihnen“ wahrgenommen zu werden. Einerseits ist es etwas, das ich mir immer gewünscht habe. Andererseits geht es mir jetzt, wo ich es habe, auch wieder ein bisschen gegen den Strich, weil ich das Gefühl habe, dass dadurch eben ein anderer Teil von mir ausgeblendet wird. Ich bin momentan definitiv eher männlich, aber ich bin eben eine männliche Person mit einer weiblichen Vergangenheit.

Und darum stört es mich, wenn ich als trans-männliche Person als außerhalb von Weiblichkeit platziert werde; als Person, die Frauen entweder unterstützen oder eine Gefahr für sie sein kann; in Relation zu Frauen auf einer Ebene mit cis Männern.

Ich sehe mich als überhaupt nicht außerhalb von Weiblichkeit. Ich bin zwar keine Frau, aber ich habe diesen Platz so lange eingenommen, dass sie ein fester Teil von mir geworden ist, und ich sehe es schlichtweg nicht mehr ein, irgendwelche Teile von mir abzuschneiden, nur um mich in ein normatives Bild von Geschlechtsidentitäten pressen zu können.

Vielleicht ist das auch wieder nur temporär, irgendein seltsames Mischgeschlecht, das ich gerade erlebe, was sich irgendwann wieder in etwas anderes verwandeln wird. Das ist bei mir natürlich immer eine Option. Vielleicht bin ich auch jetzt noch nichtbinär genug, dass es mich stört, auf einer binären Seite einsortiert zu werden.

So oder so, es geht mir auf den Sack und ich will das alles nicht. Dass ich ein trans Typ bin, dass ich „er“-Pronomen benutze, dass ich mich männlich präsentiere, heißt halt noch lange nicht, dass ich jetzt auf einer ganz anderen Ebene gelandet bin.

Klar verleiht mir männliches Passing in manchen Situationen ein gewisses (sehr zerbrechliches) Privileg – aber ich weiß eben auch äußerst genau, wie ich das einzusetzen habe (und wie nicht). Ich hatte es bis vor einem halben Jahr nämlich nicht. Wenn es mir von jetzt an erhalten bleibt, werde ich mich vielleicht irgendwann weniger scharf daran erinnern, wie es war, mich als Frau durch die Welt zu bewegen, aber da können wir dann in 20 oder 30 Jahren nochmal darüber sprechen.

Bis dahin werde ich mich jedenfalls in irgendein binaristisches Weltbild quetschen lassen. Weder meine Pronomen, noch meine Hormonspritzen, noch mein Haarschnitt haben meine Erfahrungen, die guten wie die schlechten, aus meinem Gedächtnis gelöscht.

Ich betrachte das als eine Rebellion gegen toxische Männlichkeit: Der Wunsch, sich von allem Weiblichen zu distanzieren, kommt nicht von einem guten Fleck. Indem ich meine Weiblichkeit, meine weibliche Vergangenheit, meine weiblichen Erfahrungen als Teil von mir annehme und Raum für sie schaffe, wehre ich mich gegen diesen patriachalen Zwang.

Vielleicht ist das ein guter Abschluss für diesen Post. Lasst trans Männern den Raum, ihre Weiblichkeit weiter auszuleben. Es fühlt sich nicht gut an, gewaltvoll aus Räumen verdrängt zu werden, in denen wir jahrzehntelang zuhause waren. Es fühlt sich nicht gut an, sich für die eine oder andere Seite entscheiden zu müssen, wenn man einfach ein bisschen zu beiden gehört.

Themen: deutsch, trans, persönlich