Zitat des Tages

[krt-msg] / 2014-11-15T22:16:28Z.msg

From: Boris Kraut <krt@nurfuerspam.de>
To: undisclosed-recipients: ;
Date: Sat, 15 Nov 2014 23:16:28 +0100
Message-ID: <20141115231628.NNi3UK@edupad.local>
Reply-To: Boris Kraut <krt@nurfuerspam.de>
Subject: [.plan] Panopticon 2014

Ich habe eine ganze Weile nichts mehr geschrieben, was nicht daran lag, dass
es keine Themen mehr gibt. Das Gegenteil ist der Fall.

Einige -- zumindest die Leser des Feeds -- werden wissen, dass ich inzwischen
aus dem Karlsruher CCC ausgetreten bin, weshalb ich auch deren Infrastruktur
nicht mehr nutzen will (und irgendwann auch nicht mehr koennen werde). Doch
was noch viel tiefer sitzt als der Verlust der "Nutzungs-Moeglichkeiten" --
Hardware und Software kann man ersetzen -- ist der Verlust des Vertrauens.
Und auch wenn es im konkreten Fall sich nur um eine Person handelt, hat das
ganze doch Auswirkungen auf mein komplettes Verhalten gehabt: Vertrauen in
Anbieter, Technik und Mitnutzer -- das waren zentrale Punkte in einigen
meiner Vortraege und mit den gemachten Erfahrungen musste ich auch andere
Vertrauensbeziehungen bzw. -annahmen gruendlichst ueberdenken.

Das tut mir natuerlich fuer die vielen Leute leid, die mir sofort digitalen
Unterschlupf, Web- und Mailhosting angeboten haben, denn sie wollte ich am
aller wenigsten kraenken, doch darf die Frage, wem man vertrauen kann, erlaubt
sein, wenn einem selbst Mitstreiter in den Ruecken fallen. Es muss ja nicht
immer ein Geheimdienst sein (und wenn doch: Sollte man eher besorgt sein, wenn
es ein inlaendischer mit sofortigen Repressionsmoeglichkeiten oder eher der
eines "Verbuendeten" mit grossem Einfluss oder gar der eines nicht unwichtigen
Drittlandes ist?), auch grosse Unternehmen geniessen eher kein Vertrauen.
Doch was ist mit Freunden oder gar dem Partner? Vielleicht rastern die nicht
ueber eure Gewohnheiten drueber, aber koennt ihr euch wirklich keine Situation
vorstellen, an der selbst diese Leute ein Interesse an euren Daten haetten?
Mal fremdgegangen? Mal im Streit eine Mail verfasst und dann doch nicht ab-
geschickt? Und auch "Freundschaften" halten ja nicht automatisch fuer immer
und ewig. Das alles sind Gruende, warum man evtl. doch nicht nahestehenden
Personen vertrauen sollte. Und so sehr mir dieser Punkt bewusst war und ich
ihn selbst in Vortraegen angesprochen habe, so sehr habe ich mich doch ver-
leiten lassen zu glauben, dass das mir schon nicht passieren wuerde. 

Ein Fehler.

Das Panopticon ist ein Gefaengniskonzept, das einen von Zellen ringfoermig
umgebenen Waerterturm im Zentrum vorsieht. Vom Turm aus kann jede Zelle be-
obachtet werden, waehrend Insassen nicht wissen koennen, ob gerade jemand
Dienst schiebt, wen er beobachtet oder ob gar nur ein Pappaufsteller fuer
Ordnung sorgt. Man kann also nicht sagen, ob man beobachtet wird oder von
wem. Die Idee ist, dass allein die Angst vor dem Beobachtetwerden (und die
damit verbundene moegliche Sanktionierung) die Insassen in Schach haelt.

Mich hat auch eine Angst gelaehmt, die Angst mich freiwillig ein weiteres mal
in solch ein Gefaengnis zu begeben. Zentralisierung birgt immer Risiken, denn
derjenige der "im Zentrum" steht, hat Macht... und selbst Freunde koennen ggf.
nicht mit dieser Macht umgehen. Die Zentralisierung ist natuerlich gerade bei
Facebook und Co. ein Problem (hier kommen natuerlich noch andere hinzu, z.B.
dass man dort nicht mal mit anderen "Gefaengnissen" reden darf/kann), doch
selbst bei Mail- oder Webhosting, ja beim kleinsten denkbaren Multiuser-System
ist das Problem gegeben.

Einige der Postprivacy-Bewegung gehen daher davon aus, dass nicht Ueberwachung
das Problem ist, zumindest keins, das man in Zeiten von Flugdronen, von Smart-
phones mit staendig aktivem Mikrofon und von Brillen deren eingebaute Kamera
immer mitlaeuft, beheben koennte. Die Freiheit erhaelt man also nicht mehr durch
den Widerstand gegen die Ueberwachung, sondern dadruch, dass man die Angst vor
dieser Ueberwachung und den moeglichen Sanktionen verliert. Denn niemand wird
etwas sanktionieren koennen, was alle machen, denn das ist ja die neue "Norm"
-- wenn jeder privateste Details auf Facebook postet, wird sich daran auch kein
Arbeitsnehmer mehr stoeren. Der zweite Argumentationspunkt ist der "Kompromat-
Koffer", also dass in einer Welt, in der jeder so freizuegig agiert, man immer
genuegend negative Informationen ueber eine x-beliebige Person hat, dass man
diese ebenfalls blossstellen koennte. Ein Gleichgewicht des Schreckens.

Die Argumente sind natuerlich fadenscheinig, denn damit das alles auch nur an-
naehernd funktionieren koennte, muessten erst alle Hierarchien geebnet, alle
Machtpositionen beseitigt werden. Anstatt von unten, also bei den "kleinen
Buergern", anzufangen, sollten die derzeitigen Machthaber -- staatliche
Stellen, Unternehmen und ggf. "Promis" -- mehr Offenheit an den Tag legen...
und das kann und wird nicht passieren. Und selbst bei aller Offenheit: Es
waere nicht das erste Mal in der Geschichte, dass eine kleine Elite zwar
offensichtlich Fehler hat wie jeder andere, diese aber nicht sanktioniert
werden, waehrend das Gros der Bevoelkerung unter drakonischen Strafen zu
leiden hat. Man denke nur an die Schwierigkeiten die man aktuell hat z.B.
gegen dokumentiertes Fehlverhalten von Polizisten anzugehen -- "Sie duerfen
das nicht!" ist ein sehr schwaches Argument, wenn die Gegenseite das Gewalt-
monopol besitzt. Es ist also offensichtlich, dass gerade die Postprivacy-
Leute eigentlich fundamental gegen Monopole, gegen Hierarchien, gegen
Zentralisierung sein muessten. Sie sind es aber nicht. Sie nutzen solche
Dienste wie kein zweiter.

Aber zurueck zum eigentlichen Thema: Wenn ich also Dritten nicht vertrauen
kann, dann muss ich alles selbst hosten, dann ist ein Freemailer genau so in
der untersten Schublade wie ein Hosting bei Freunden oder ein Paymail-Provider
-- selbst eigene Server in einer fremden Umgebung, z.B. einem Rechenzentrum,
sind dann nicht vertrauenswuerdig. Und was ist mit der Wohnung? So lange man
sich darin befindet, mag man sich in Sicherheit wiegen, doch was ist wenn man
die Wohnung verlaesst? Bleibt man in dieser -- zugegebenermassen sehr binaeren
-- Logik, bleibt nur eine Loesung: Alles am Mann, d.h. ein Geraet das immer
dabei ist oder sich in einem gesicherten Zustand befindet: Aus, verschluesselt
und weggesperrt. Ja, das ist mit massiven Funktionalitaets-/Bequemlichkeits-
einbussen verbunden, aber gibt es denn eine Alternative?

Nun, eins der groessten Mankos ist der Verlust der einer Offline-Messaging-
Faehigkeit, denn in diesem Setup muessten alle Kommunikationspartner zeit-
gleich online sein -- was selbst im Zeitalter mobiler Endgeraete und stetig
sinkender Flatratepreise keine Selbstverstaendlichkeit sein duerfte: Immerhin
wird gerade das "mobile" Netz immer mal wieder von Ausfaellen oder Ueber-
lastungen, wie z.B. an Silvester oder der WM, geplagt und in der heutigen
globalisierten Welt duerften auch Kontakte, die sich in unterschiedlichen
Zeitzonen befinden, nicht unwahrscheinlich sein. Sobald man aber Nachrichten
bei Dritten parkt, vertraut man also komplett darauf, dass die Ver-
schluesselung funktioniert. Hat man dieses Vertrauen erreicht -- geht das
ueberhaupt ohne mathematisch beweisbare Sicherheit? --, wird eignetlich die
Absicherung gegen den "lokalen" Zugriff unnoetig und man braucht sich doch
nicht mehr auf ein Geraet beschraenken... und auch nicht auf ein paar wenige
(Mail)-Provider: Peer2Peer-Messaging und -Datenhaltung mit starker und
funktionierender Crypto! Ein Traum?

Fakt ist, dass wir diesen Punkt noch nicht erreicht haben. Crypto ist ein
Hemmnis, aber kein 100% Schutz. Wir nutzen Computer, die wir eigentlich
nicht kontrollieren koennen, fuer die wir zum groessten Teil gar nicht mal
die Moeglichkeit haben, sie zu ueberpruefen -- unfreie Firmwares sei Dank.
Aber auch die Hardware an sich ist nicht frei.. und selbst wenn sie frei
waere, waere sie noch nicht gleich ueberprueft. Und wenn: Von wem denn?
Wie sehr koennen wir OpenSource-Entwicklern /-reviewern trauen? Koennen
wir denn uns selbst trauen? Die wenigsten koennen wirklich alles selbst
verifizieren und mit gutem Gewissen sagen "das ist sicher" -- die meisten
Nutzer (mich eingeschlossen) tun gut daran sich nicht mal die Einrichtung
und den Betrieb von kritischer Infrastruktur zuzutrauen. Projekte a la
FreedomBox sind da einfach gescheitert. Also was tun?

Ich habe erlebt, was Ueberwachung -- oder gar nur die Angst davor -- mit
einem macht: Sie laehmt, laesst verharren, laesst verstummen. Genau das
ist das Ziel. Ich moechte nicht laenger schweigen, moechte nicht mehr von
dieser Angst getrieben sein. Ich brauche eine Loesung des Dilemmas. Ein
"action plan" -- mit Betonung auf "Action"...

Jetzt.

Fuer die ueberwiegende Mehrheit ist so ein Actionplan leicht aufgestellt,
weil sie sowieso nicht auf eine 100% Loesung aus sind. Sie akzeptieren,
dass sie Dritten vertrauen muessen, merken aber, dass das blinde Vertrauen,
das sie z.B. Google, Facebook entgegengebracht haben falsch ist.


1) Rechtliche Konsequenzen

Wie kann Vertrauen gerechtfertigt werden, wenn Unternehmen einen Dienst zwar
kostenlos anbieten und sich ein "Don't be evil"-Image verpassen, sich aber
gleichzeitig in den Nutzungsbedingungen weitreichende Rechte einraeumen?

Konsequenz muss hier sein, dass die AGB immer gelesen werden muessen und
man darf sie nur akzeptieren, wenn man ihnen auch wirklich zustimmt. Die
Wahrscheinlichkeit, hier das gewuenschte Schutzniveau zu erreichen, ist
natuerlich bei Anbietern hoeher, die sich Datenschutz und Sicherheit auf
die Fahnen schreiben und ein klares Geschaeftsmodell haben, das nicht auf
dem Abhoeren seiner Nutzer basiert -- was natuerlich meist mit "echtem"
Geld bezahlt wird.


2) Technische Konsequenzen

Auf der technischen Seite ist Vertrauen in proprietaere und/oder geschlossene
Systeme nicht mehr zeitgemaess. Es muss immer die Moeglichkeit geben, den
Anbieter schnell wechseln zu koennen, ggf. die noetigen Dienste auch selbst
anbieten zu koennen. Konkret heisst das, dass man auf Mails, XMPP (fuer
Chat) und CalDAV/CardDAV (fuer Kontakte und Kalender) setzt anstatt z.b. die
vollintegrierte Loesung von Google zu verwenden.

Auf der Sicherheitsseite gibt es leider wenig neues: OTR sollte in den meisten
freien Chatclients zur Inhaltsverschluesselung integriert sein, laeuft aber
teilweise im mobilen Bereich -- bruechige Internetverbindung und ggf. mehrere
angemeldete Clients -- etwas unrund, wenn auch Besserungen in Sicht sind.
Offline-Verschluesselung klappt mit OTR ebenfalls nicht. Es laeuft hier
weiterhin auf OpenPGP raus, was erfreulicherweise auch auf mobilen End-
geraeten recht einfach einzurichten ist und danach "einfach funktioniert".
Mit Vorgriff auf (3) muss hier auch angemerkt werden, dass Inhalts-
verschluesselung natuerlich auch die eigenen Geraete trifft. Im Jahr 2014
ist FullDiskEncryption, also die Verschluesselung der Fesplatte bzw. des
lokalen Speichers, gluecklicherweise meist kein Problem mehr -- man muss
es nur machen: Android, Windows, Linux und wahrscheinlich auch bei den Apple
Betriebssystemen bieten entsprechende One-Click-Loesungen von Haus aus an; in
wie weit man diesen Vertrauen kann ist natuerlich eine andere Frage.

Bei der Verschluesselung des Weges haben wir weiterhin mit SSL zu tun, muessen
uns also mit kaputten CAs rumschlagen. Prinzipiell darf man den grossen
Zertifizierungsstellen eigentlich nicht mehr vertrauen, sondern muss ggf.
einzeln pruefen. Es bleibt zu hoffen, dass hier Neuerungen a la CertPinning
Verbesserungen bieten.

Bleiben als letztes noch die Metadaten: Wann kommunizieren? Wie oft? Mit wem?
Ggf. ueber was? Von welchem Rechner? Von wo? Usw. Hier kann man zwar ein paar
Vorkehrungen treffen -- z.B. keine Geo- und Zeitstempel in Bildern oder das
automatisierte Anonymisieren von Traffic -- aber je nach Kommunikationsart
werden hier -- technisch oder sozial bedingt -- zu viele Informationen ver-
breitet... man denke nur an staendig eingebuchte Smartphones.


3) Verhaltensbasierte Konsequenzen

Von vielen oft vernachlaessigt ist eine simple Regel: Daten die nicht anfallen,
koennen auch nicht missbraucht werden. Und wenn sie doch anfallen, braucht man
nicht alles online: In vielen Faellen reicht es, wenn die jeweiligen Daten nur
lokal, verfuegbar sind. Kontakte, Kalender, Daten usw. kann man auch lokal
zwischen Smartphone, Laptop und Desktop synchronisieren. Wenn die entsprechende
Software einmal eingerichtet ist, funktioniert das sogar ohne Funktionalitaets-
oder Bequemlichkeitseinbussen. Auch hier gilt: Man muss es nur machen!


Normalerweise halte ich mich ja zurueck mit direkten "Kaufempfehlungen", aber
nach so viel Text sollte ich evtl. eine Ausnahme machen. Zwar keine Empfehlung,
aber hier eine kurze Zusammenstellung, wie ein Setup aussehen koennte, das man
evtl. mal ueberdenken sollte, auch wenn es nicht alle o.g. Aspekte augreift:

* Anstatt GMail oder GMX einen Anbieter wie Posteo nutzen. Fuer 1 Euro pro
  Monat bekommt man Mail-, Kalender- und Kontaktspeicher von einem Anbieter,
  der sich sowohl um Oekologie wie auch um Privatsphaere bemueht zeigt. Zur
  Anmeldung wird noch nichtmal eine Postadresse verlangt -- so lange das
  Geld reinkommt, bleibt das Konto bestehen und selbst wenn nicht, wird es
  nicht gleich gesperrt. XMPP-Anbieter gibt es wie Sand am mehr, z.B. beim
  CCC, bei DuckDuckGo oder oder oder...

* Android-Smartphone mit aktuellem Android (z.B. Nexus5) mit aktivierter
  Verschluesselung, der DAVDroid Anwendung fuer Kalender und Kontakte sowie
  K9-Mail fuer Mails mit OpenKeychain als OpenPGP-Provider. Wer XMPP nutzen
  will sollte sich den Client Conversations anschauen.

* Ubuntu mit FullDiskEncryption (bei der Installation per Klick installierbar)
  und Thunderbird fuer Mails. Bei Thunderbird gibt es mit Enigmail ein PGP-
  Plugin, ggf. Seahorse zum verwalten der Keys. Kalender und Kontakte lassen
  sich in Thunderbird mit den Addons Lightning und SoGo Connector einbinden.
  Als XMPP-Client duerfte Gajim gute Dienste leisten.

Wichtig dabei ist, dass das alles nur ein Vorschlag ist und sich natuerlich
nur im einen kleinen Teilbereich handelt, die Welt von Web und Browser habe
ich hier noch mit keinem Wort erwaehnt.

Aber wenn das alle so einfach ist, warum halte ich mich dann selbst nicht
an meinen Vorschlag? Nun, ich selbst bin ein etwas komplizierterer Fall,
ich muss fuer mich fundamentale Fragen klaeren und die Antwort macht keinen
Spass:

Ich muss davon ausgehen, dass jede eMail protokolliert und gespeichert wird.

Es gibt zwar bessere und schlechtere Provider und es wird inzwischen haeufiger
der komplette Weg verschluesselt, aber im Endeffekt liegen die Mails zumindest
beim Absender und Empfaenger unverschluesselt rum, aus den Posteo-Datenschutz-
Hinweisen [0]:

> Wir weisen darauf hin, dass es uns aus rein technischer Sicht moeglich ist,
> all Ihre E-Mails, Adress- und Kalenderdaten einzusehen, wenn diese nicht von
> Ihnen verschluesselt wurden.

Kurz: Ich muss hier genau wie bei GMX und Co. den Inhalt der Mail ver-
schluesseln. Im Umgang mit Metadaten ist hier natuerlich ein besserer ge-
fuehlter Schutz vorhanden, weil ich davon ausgehen darf, dass Posteo nicht
versucht Kontakte, Themen und Kommunikationszeitpunkte in ein wertvolles
Kundenprofil zu zwaengen -- also Punkt (1) -- ..aber weiss ich das? Email
hat leider einige -- aus heutiger Sicht -- sehr unschoene Konstruktions-
schwaechen, denn viel zu viele Informationen sind im unverschluesselten
Header abgelegt, die dort wenig zu suchen haben: Eigentlich muesste man
eine komplette Mail verschluesseln und diese dann in einer sonst leeren
Mail verschicken.. oder gleich auf ein andere Transportsystemwechseln?
Seufz. Ich schweife wieder ab...

Was bleibt am Ende? Keine Loesung, kein richtig, keine "Do"'s, aber jede
Menge "Don't"'s. Und trotz allem: Nicht mehr schweigen.


[0] https://posteo.de/site/datenschutzerklaerung