Vorweg, jedes Gerät und jeder Chat ist auch nur so sicher wie die Menschen dahinter. Also ist es nicht nur relevant sicherere Messenger zu nutzen, sondern sich auch mit der Verschlüsselung privater Geräte befassen. Überlegt zudem auch was ihr über eure Chats besprecht, nutzt unverfängliche Kommunikation, niemanden ist geholfen wenn ihr im Chat rummackert, damit gefährdet ihr nur euch und andere.
Messenger
Es fängt mit den basics an, welche Messenger werden benutzt und warum? Zwar werben viele Messenger mit end zu end Verschlüsselung, doch komplett sichergehen könnt ihr da nicht. Besonders wenn der Fokus auf Profitinteresse und liegt und auch Daten für andere Dienste benutzt werden oder unverschlüsselt in autoritären Staaten liegen wie die USA oder Russland.
Signal zum Beispiel benutzt zwar auch Serverinfrastrukturen von großen Unternehmen in den USA, arbeitet aber mit dem zero knowledge Prinzip. Es werden so gut wie keine Daten über die Nutzer*innen gesammelt und jede Nachricht wird einzeln verschlüsselt, sowie ist es eine Opensource Anwendung, der Quellcode kann also eingesehen werden. Andere Alternativen können auch zum Beispiel Matrix sein.
Bei Messengern ist es noch zu beachten das teilweise die PC Clients eine Schwachstelle darstellen. Auch Backups die vom Smartphone gemacht werden (z.B. Cloud Backups) können unter Umständen sensible Daten enthalten, von welchen man dachte das sie bereits gelöscht sind. Oder auch der Zugriff für Dritte wird ermöglicht weil diese Zugang zu den Backups haben (z.B. bei einem Cloud-Backup). Des weiteren haben Privatsphäre orientierte Messenger oft eine Screenshot Schutzfunktion welche man einschalten sollte, da sie es Schadsoftware erschwert private Chats per Screenshot zu knacken(exfiltrieren). Ansonsten sind selbstlöschende Chats ratsam damit sich nicht zu viel private Kommunikationshistorie ansammelt. Die meisten Messenger bieten auch die Möglichkeit sich die aktuellen Sitzungen anzusehen (welche Geräte sind mit dem z.B. Signal-Account eingeloggt), dies sollte regelmäßig geprüft werden und nicht benötigte Sitzungen sollten geschlossen werden. Hier kann man ggf. Sitzungen Dritter identifizieren.
In eurer Emailkommunikation könnt ihr pgp Verschlüsselung benutzen. Das ist auch eine end zu end encryption, die es nur dir und dem gegenüber ermöglicht die Email zu lesen. Das funktioniert mit einem privaten und öffentlichen Schlüssel. Hierfür brauchst du ein Emailprogramm, welches pgp unterstützt wie zum Beispiel Thunderbird. Um euch mit jemandem PGP verschlüsselt auszutauschen benötigt ihr den öffentlichen Schlüssel eures Gegenübers. Möchte euch jemand PGP verschlüsselte E-Mails senden muss diese Person euren öffentlichen Schlüssel kennen.
Dieser kann z.B. auf eurer Website stehen.
Achtet darauf das euer privater Schlüssel sicher aufbewahrt wird und nicht die Hände anderer gelangt.
Protokolle in der Cloud
Ihr überlegt, eure Protokolle von euren Treffen im online verfügbar für alle in der Gruppe zu machen? Dann könntet ihr das Protokoll auch in eurem sicheren Messenger versenden. Wenn ihr daran arbeiten wollt könnt ihr das mit einer Cloud machen. Grundsätzlich gilt, Clouds sind nur anderer Leute Computer, hier solltet ihr euch einen sicheren Anbieter aussuchen dem ihr vertraut.
Beachtet, dass alle mit Link Zugang haben (es sei den dieser ist zusätzlich mit einem Kennwort geschützt) bitte verwendet keine Standardpasswörter oder leicht zu erratene. Außerdem müssen Daten nicht ewig in der Cloud liegen, wenn diese dort nicht mehr benötigt werden dürfen sie gerne gelöscht werden.
Eine Möglichkeit dafür ist Cryptpad.fr. Das ist eine verschlüsselte open source Cloud. In welchem ihr zu bis einem GB kostenlos nutzen könnt. Bei Systemli könnt ihr als politische Gruppe sogar mehr Speicherplatz abfragen.
Metadaten
Denkt dran das Dateien die erzeugt werden, Metadaten enthalten. (Z.B. Bilddateien, PDF-Dateien, etc.) Diese Metadaten können sensible Informationen enthalten wie z.B. Standortdaten, Seriennummern, Modellbezeichnungen, Benutzernamen, Anzeigename, Dateipfade, Namen der eingesetzten Software, etc.)
Metadaten lassen sich mithilfe von Software auslesen, entfernen und ändern. Nach Möglichkeit sollte auf die Nutzung von Online-Tools zum einsehen, verändern oder entfernen der Metadaten verzichtet werden da ihr im Zweifel sensible Daten bei einem euch unbekannten Anbieter hochladet. Zieht daher lokal ausgeführte Software diesen vor.