1. > Welche Programme / Anbieter für eine sichere Kommunikation (E-Mail-Verschlüsselung usw.) würden Sie für die verschiedenen Plattformen empfehlen?
2.  
3. Der CCCZH führt in unregelmässigen Abständen sogenannte CryptoPartys durch, an denen wir der breiten Bevölkerung die Grundlagen und Praxis von Mailverschlüsselung erläutern. Wir bringen den Menschen dabei den Umgang mit GnuPG bei (bei Mac OS X: GPGTools; bei Windows: Gpg4win), einer quelloffenen Implementierung des OpenPGP-Standards zur Mailverschlüsselung. Wichtig bei der Mailverschlüsselung oder auch der Verschlüsselung von Instant Messaging-Diensten ist stets, dass diese nach Verfahren der End-zu-End-Verschlüsselung (mit Verschlüsselungsverfahren des Public-Key-Verfahrens) erfolgt; zudem: der Quellcode der jeweiligen Implementierungen muss öffentlich verfügbar und somit überprüfbar sein. Bonuspunkte gibt es, wenn der Quellcode auch noch von vertrauenswürdigen und kompetenten Stellen auditiert (auf Sicherheitslücken hin überprüft) wurde.
4.  
5.  
6. Für Microsoft Office gibt es auch eine Beta-Anwendung von pretty Easy privacy (pEp), welche die Konfiguration der Verschlüsselung auf Basis von Gpg4win automatisiert. Es folgen in Kürze Android- und iOS-Apps zur automatisierten Mailverschlüsselung.
7.  
8. % Hier könnte man noch S/MIME anfügen, aber eigentlich ist pEp doch besser und einfacher. Ich weiß eigentlich gar nicht, ob man nicht auch S/MIME mit pEp machen könnte. Wird auch gemacht von pEp, vgl. hier: https://pad.ccczh.ch/p/alain-antworten
9.  
10. > Was halten Sie von IncaMail oder PrivaSphere?
11.  
12. Nichts, weil das zentralisierte Plattformen sind, wo die Verschlüsselung nicht (!) von Endgerät zu Endgerät erfolgt, sondern einem Anbieter vertraut werden muss.
13.  
14. > Welche Programme empfehlen Sie für die Verschlüsselung der eigenen Festplatte (Windows und OSX)?
15.  
16. Seitdem das Projekt TrueCrypt in fragwürdiger Weise eingestellt wurde, haben sich weitere Projekte etabliert, so etwa VeraCrypt. TrueCrypt sollte auf keinen Fall genutzt werden, weil in der letzten "vertrauenswürdigen" Version 7.1a Sicherheitslücken entdeckt wurde.
17.  
18. > Was halten Sie von Bitlocker von Microsoft oder FileVault von Apple?
19.  
20. Nichts, weil deren Quellcode nicht öffentlich verfügbar ist und ihre Sicherheit somit nicht unabhängig überprüft werden kann. I
21.  
22. > Welche Programme / Anbieter empfehlen Sie für sichere Backups (externe Festplatte, NAS, Cloud usw.)?
23.  
24. Clouds sind nur vertretbar, wenn man die entsprechende Infrastruktur selber kontrolliert: dafür können Systeme wie ownCloud eingesetzt werden, die auch eine symmetrisch verschlüsselte Datenablage (über ein Passwort) erlauben. Wichtig ist dabei, dass der Zugang zur Cloud über eine verschlüsselte Verbindung erfolgt, der ausreichend vertraut werden kann: für https und VPN muss den ausgestellten Zertifikaten vertraut werden können. Es bietet sich an, eigene Zertifikatsautoritäten (CAs) zu betreiben, denen man direkt selber vertraut. Ist man sich der Legitimität eines Zertifikats sicher (es passt zu einem selbst generierten geheimen Schlüssel) kann man auch das Zertifikat festnageln (Certificate Pinning, HSTS bei HTTP).
25.  
26. > Kann man Certificate Service Providern wie SwissSign oder Anbietern sie SecureSafe trauen angesichts der Snowden-Enthüllungen und den politischen Vorstössen in der Schweiz (Stichwort BÜPF)?
27.  
28. Grundsätzlich nicht, nein. Die Frage ist allerdings eher, ob man allen Certificate Authorities, die Betriebssysteme und Browser mitlieferen vertrauen kann.  Denn jeder kann für alles gültige Zertifikate ausstellen. Das darf allerdings nich vom verschlüsseln abhalten, denn mit unverschlüsselter Kommunikation vertraut man potentiell dem gesamten Internet, nicht nur den Certificate Authorities.