From: Boris Kraut To: undisclosed-recipients: ; Date: Sat, 15 Nov 2014 23:16:28 +0100 Message-ID: <20141115231628.NNi3UK@edupad.local> Reply-To: Boris Kraut Subject: [.plan] Panopticon 2014 Ich habe eine ganze Weile nichts mehr geschrieben, was nicht daran lag, dass es keine Themen mehr gibt. Das Gegenteil ist der Fall. Einige -- zumindest die Leser des Feeds -- werden wissen, dass ich inzwischen aus dem Karlsruher CCC ausgetreten bin, weshalb ich auch deren Infrastruktur nicht mehr nutzen will (und irgendwann auch nicht mehr koennen werde). Doch was noch viel tiefer sitzt als der Verlust der "Nutzungs-Moeglichkeiten" -- Hardware und Software kann man ersetzen -- ist der Verlust des Vertrauens. Und auch wenn es im konkreten Fall sich nur um eine Person handelt, hat das ganze doch Auswirkungen auf mein komplettes Verhalten gehabt: Vertrauen in Anbieter, Technik und Mitnutzer -- das waren zentrale Punkte in einigen meiner Vortraege und mit den gemachten Erfahrungen musste ich auch andere Vertrauensbeziehungen bzw. -annahmen gruendlichst ueberdenken. Das tut mir natuerlich fuer die vielen Leute leid, die mir sofort digitalen Unterschlupf, Web- und Mailhosting angeboten haben, denn sie wollte ich am aller wenigsten kraenken, doch darf die Frage, wem man vertrauen kann, erlaubt sein, wenn einem selbst Mitstreiter in den Ruecken fallen. Es muss ja nicht immer ein Geheimdienst sein (und wenn doch: Sollte man eher besorgt sein, wenn es ein inlaendischer mit sofortigen Repressionsmoeglichkeiten oder eher der eines "Verbuendeten" mit grossem Einfluss oder gar der eines nicht unwichtigen Drittlandes ist?), auch grosse Unternehmen geniessen eher kein Vertrauen. Doch was ist mit Freunden oder gar dem Partner? Vielleicht rastern die nicht ueber eure Gewohnheiten drueber, aber koennt ihr euch wirklich keine Situation vorstellen, an der selbst diese Leute ein Interesse an euren Daten haetten? Mal fremdgegangen? Mal im Streit eine Mail verfasst und dann doch nicht ab- geschickt? Und auch "Freundschaften" halten ja nicht automatisch fuer immer und ewig. Das alles sind Gruende, warum man evtl. doch nicht nahestehenden Personen vertrauen sollte. Und so sehr mir dieser Punkt bewusst war und ich ihn selbst in Vortraegen angesprochen habe, so sehr habe ich mich doch ver- leiten lassen zu glauben, dass das mir schon nicht passieren wuerde. Ein Fehler. Das Panopticon ist ein Gefaengniskonzept, das einen von Zellen ringfoermig umgebenen Waerterturm im Zentrum vorsieht. Vom Turm aus kann jede Zelle be- obachtet werden, waehrend Insassen nicht wissen koennen, ob gerade jemand Dienst schiebt, wen er beobachtet oder ob gar nur ein Pappaufsteller fuer Ordnung sorgt. Man kann also nicht sagen, ob man beobachtet wird oder von wem. Die Idee ist, dass allein die Angst vor dem Beobachtetwerden (und die damit verbundene moegliche Sanktionierung) die Insassen in Schach haelt. Mich hat auch eine Angst gelaehmt, die Angst mich freiwillig ein weiteres mal in solch ein Gefaengnis zu begeben. Zentralisierung birgt immer Risiken, denn derjenige der "im Zentrum" steht, hat Macht... und selbst Freunde koennen ggf. nicht mit dieser Macht umgehen. Die Zentralisierung ist natuerlich gerade bei Facebook und Co. ein Problem (hier kommen natuerlich noch andere hinzu, z.B. dass man dort nicht mal mit anderen "Gefaengnissen" reden darf/kann), doch selbst bei Mail- oder Webhosting, ja beim kleinsten denkbaren Multiuser-System ist das Problem gegeben. Einige der Postprivacy-Bewegung gehen daher davon aus, dass nicht Ueberwachung das Problem ist, zumindest keins, das man in Zeiten von Flugdronen, von Smart- phones mit staendig aktivem Mikrofon und von Brillen deren eingebaute Kamera immer mitlaeuft, beheben koennte. Die Freiheit erhaelt man also nicht mehr durch den Widerstand gegen die Ueberwachung, sondern dadruch, dass man die Angst vor dieser Ueberwachung und den moeglichen Sanktionen verliert. Denn niemand wird etwas sanktionieren koennen, was alle machen, denn das ist ja die neue "Norm" -- wenn jeder privateste Details auf Facebook postet, wird sich daran auch kein Arbeitsnehmer mehr stoeren. Der zweite Argumentationspunkt ist der "Kompromat- Koffer", also dass in einer Welt, in der jeder so freizuegig agiert, man immer genuegend negative Informationen ueber eine x-beliebige Person hat, dass man diese ebenfalls blossstellen koennte. Ein Gleichgewicht des Schreckens. Die Argumente sind natuerlich fadenscheinig, denn damit das alles auch nur an- naehernd funktionieren koennte, muessten erst alle Hierarchien geebnet, alle Machtpositionen beseitigt werden. Anstatt von unten, also bei den "kleinen Buergern", anzufangen, sollten die derzeitigen Machthaber -- staatliche Stellen, Unternehmen und ggf. "Promis" -- mehr Offenheit an den Tag legen... und das kann und wird nicht passieren. Und selbst bei aller Offenheit: Es waere nicht das erste Mal in der Geschichte, dass eine kleine Elite zwar offensichtlich Fehler hat wie jeder andere, diese aber nicht sanktioniert werden, waehrend das Gros der Bevoelkerung unter drakonischen Strafen zu leiden hat. Man denke nur an die Schwierigkeiten die man aktuell hat z.B. gegen dokumentiertes Fehlverhalten von Polizisten anzugehen -- "Sie duerfen das nicht!" ist ein sehr schwaches Argument, wenn die Gegenseite das Gewalt- monopol besitzt. Es ist also offensichtlich, dass gerade die Postprivacy- Leute eigentlich fundamental gegen Monopole, gegen Hierarchien, gegen Zentralisierung sein muessten. Sie sind es aber nicht. Sie nutzen solche Dienste wie kein zweiter. Aber zurueck zum eigentlichen Thema: Wenn ich also Dritten nicht vertrauen kann, dann muss ich alles selbst hosten, dann ist ein Freemailer genau so in der untersten Schublade wie ein Hosting bei Freunden oder ein Paymail-Provider -- selbst eigene Server in einer fremden Umgebung, z.B. einem Rechenzentrum, sind dann nicht vertrauenswuerdig. Und was ist mit der Wohnung? So lange man sich darin befindet, mag man sich in Sicherheit wiegen, doch was ist wenn man die Wohnung verlaesst? Bleibt man in dieser -- zugegebenermassen sehr binaeren -- Logik, bleibt nur eine Loesung: Alles am Mann, d.h. ein Geraet das immer dabei ist oder sich in einem gesicherten Zustand befindet: Aus, verschluesselt und weggesperrt. Ja, das ist mit massiven Funktionalitaets-/Bequemlichkeits- einbussen verbunden, aber gibt es denn eine Alternative? Nun, eins der groessten Mankos ist der Verlust der einer Offline-Messaging- Faehigkeit, denn in diesem Setup muessten alle Kommunikationspartner zeit- gleich online sein -- was selbst im Zeitalter mobiler Endgeraete und stetig sinkender Flatratepreise keine Selbstverstaendlichkeit sein duerfte: Immerhin wird gerade das "mobile" Netz immer mal wieder von Ausfaellen oder Ueber- lastungen, wie z.B. an Silvester oder der WM, geplagt und in der heutigen globalisierten Welt duerften auch Kontakte, die sich in unterschiedlichen Zeitzonen befinden, nicht unwahrscheinlich sein. Sobald man aber Nachrichten bei Dritten parkt, vertraut man also komplett darauf, dass die Ver- schluesselung funktioniert. Hat man dieses Vertrauen erreicht -- geht das ueberhaupt ohne mathematisch beweisbare Sicherheit? --, wird eignetlich die Absicherung gegen den "lokalen" Zugriff unnoetig und man braucht sich doch nicht mehr auf ein Geraet beschraenken... und auch nicht auf ein paar wenige (Mail)-Provider: Peer2Peer-Messaging und -Datenhaltung mit starker und funktionierender Crypto! Ein Traum? Fakt ist, dass wir diesen Punkt noch nicht erreicht haben. Crypto ist ein Hemmnis, aber kein 100% Schutz. Wir nutzen Computer, die wir eigentlich nicht kontrollieren koennen, fuer die wir zum groessten Teil gar nicht mal die Moeglichkeit haben, sie zu ueberpruefen -- unfreie Firmwares sei Dank. Aber auch die Hardware an sich ist nicht frei.. und selbst wenn sie frei waere, waere sie noch nicht gleich ueberprueft. Und wenn: Von wem denn? Wie sehr koennen wir OpenSource-Entwicklern /-reviewern trauen? Koennen wir denn uns selbst trauen? Die wenigsten koennen wirklich alles selbst verifizieren und mit gutem Gewissen sagen "das ist sicher" -- die meisten Nutzer (mich eingeschlossen) tun gut daran sich nicht mal die Einrichtung und den Betrieb von kritischer Infrastruktur zuzutrauen. Projekte a la FreedomBox sind da einfach gescheitert. Also was tun? Ich habe erlebt, was Ueberwachung -- oder gar nur die Angst davor -- mit einem macht: Sie laehmt, laesst verharren, laesst verstummen. Genau das ist das Ziel. Ich moechte nicht laenger schweigen, moechte nicht mehr von dieser Angst getrieben sein. Ich brauche eine Loesung des Dilemmas. Ein "action plan" -- mit Betonung auf "Action"... Jetzt. Fuer die ueberwiegende Mehrheit ist so ein Actionplan leicht aufgestellt, weil sie sowieso nicht auf eine 100% Loesung aus sind. Sie akzeptieren, dass sie Dritten vertrauen muessen, merken aber, dass das blinde Vertrauen, das sie z.B. Google, Facebook entgegengebracht haben falsch ist. 1) Rechtliche Konsequenzen Wie kann Vertrauen gerechtfertigt werden, wenn Unternehmen einen Dienst zwar kostenlos anbieten und sich ein "Don't be evil"-Image verpassen, sich aber gleichzeitig in den Nutzungsbedingungen weitreichende Rechte einraeumen? Konsequenz muss hier sein, dass die AGB immer gelesen werden muessen und man darf sie nur akzeptieren, wenn man ihnen auch wirklich zustimmt. Die Wahrscheinlichkeit, hier das gewuenschte Schutzniveau zu erreichen, ist natuerlich bei Anbietern hoeher, die sich Datenschutz und Sicherheit auf die Fahnen schreiben und ein klares Geschaeftsmodell haben, das nicht auf dem Abhoeren seiner Nutzer basiert -- was natuerlich meist mit "echtem" Geld bezahlt wird. 2) Technische Konsequenzen Auf der technischen Seite ist Vertrauen in proprietaere und/oder geschlossene Systeme nicht mehr zeitgemaess. Es muss immer die Moeglichkeit geben, den Anbieter schnell wechseln zu koennen, ggf. die noetigen Dienste auch selbst anbieten zu koennen. Konkret heisst das, dass man auf Mails, XMPP (fuer Chat) und CalDAV/CardDAV (fuer Kontakte und Kalender) setzt anstatt z.b. die vollintegrierte Loesung von Google zu verwenden. Auf der Sicherheitsseite gibt es leider wenig neues: OTR sollte in den meisten freien Chatclients zur Inhaltsverschluesselung integriert sein, laeuft aber teilweise im mobilen Bereich -- bruechige Internetverbindung und ggf. mehrere angemeldete Clients -- etwas unrund, wenn auch Besserungen in Sicht sind. Offline-Verschluesselung klappt mit OTR ebenfalls nicht. Es laeuft hier weiterhin auf OpenPGP raus, was erfreulicherweise auch auf mobilen End- geraeten recht einfach einzurichten ist und danach "einfach funktioniert". Mit Vorgriff auf (3) muss hier auch angemerkt werden, dass Inhalts- verschluesselung natuerlich auch die eigenen Geraete trifft. Im Jahr 2014 ist FullDiskEncryption, also die Verschluesselung der Fesplatte bzw. des lokalen Speichers, gluecklicherweise meist kein Problem mehr -- man muss es nur machen: Android, Windows, Linux und wahrscheinlich auch bei den Apple Betriebssystemen bieten entsprechende One-Click-Loesungen von Haus aus an; in wie weit man diesen Vertrauen kann ist natuerlich eine andere Frage. Bei der Verschluesselung des Weges haben wir weiterhin mit SSL zu tun, muessen uns also mit kaputten CAs rumschlagen. Prinzipiell darf man den grossen Zertifizierungsstellen eigentlich nicht mehr vertrauen, sondern muss ggf. einzeln pruefen. Es bleibt zu hoffen, dass hier Neuerungen a la CertPinning Verbesserungen bieten. Bleiben als letztes noch die Metadaten: Wann kommunizieren? Wie oft? Mit wem? Ggf. ueber was? Von welchem Rechner? Von wo? Usw. Hier kann man zwar ein paar Vorkehrungen treffen -- z.B. keine Geo- und Zeitstempel in Bildern oder das automatisierte Anonymisieren von Traffic -- aber je nach Kommunikationsart werden hier -- technisch oder sozial bedingt -- zu viele Informationen ver- breitet... man denke nur an staendig eingebuchte Smartphones. 3) Verhaltensbasierte Konsequenzen Von vielen oft vernachlaessigt ist eine simple Regel: Daten die nicht anfallen, koennen auch nicht missbraucht werden. Und wenn sie doch anfallen, braucht man nicht alles online: In vielen Faellen reicht es, wenn die jeweiligen Daten nur lokal, verfuegbar sind. Kontakte, Kalender, Daten usw. kann man auch lokal zwischen Smartphone, Laptop und Desktop synchronisieren. Wenn die entsprechende Software einmal eingerichtet ist, funktioniert das sogar ohne Funktionalitaets- oder Bequemlichkeitseinbussen. Auch hier gilt: Man muss es nur machen! Normalerweise halte ich mich ja zurueck mit direkten "Kaufempfehlungen", aber nach so viel Text sollte ich evtl. eine Ausnahme machen. Zwar keine Empfehlung, aber hier eine kurze Zusammenstellung, wie ein Setup aussehen koennte, das man evtl. mal ueberdenken sollte, auch wenn es nicht alle o.g. Aspekte augreift: * Anstatt GMail oder GMX einen Anbieter wie Posteo nutzen. Fuer 1 Euro pro Monat bekommt man Mail-, Kalender- und Kontaktspeicher von einem Anbieter, der sich sowohl um Oekologie wie auch um Privatsphaere bemueht zeigt. Zur Anmeldung wird noch nichtmal eine Postadresse verlangt -- so lange das Geld reinkommt, bleibt das Konto bestehen und selbst wenn nicht, wird es nicht gleich gesperrt. XMPP-Anbieter gibt es wie Sand am mehr, z.B. beim CCC, bei DuckDuckGo oder oder oder... * Android-Smartphone mit aktuellem Android (z.B. Nexus5) mit aktivierter Verschluesselung, der DAVDroid Anwendung fuer Kalender und Kontakte sowie K9-Mail fuer Mails mit OpenKeychain als OpenPGP-Provider. Wer XMPP nutzen will sollte sich den Client Conversations anschauen. * Ubuntu mit FullDiskEncryption (bei der Installation per Klick installierbar) und Thunderbird fuer Mails. Bei Thunderbird gibt es mit Enigmail ein PGP- Plugin, ggf. Seahorse zum verwalten der Keys. Kalender und Kontakte lassen sich in Thunderbird mit den Addons Lightning und SoGo Connector einbinden. Als XMPP-Client duerfte Gajim gute Dienste leisten. Wichtig dabei ist, dass das alles nur ein Vorschlag ist und sich natuerlich nur im einen kleinen Teilbereich handelt, die Welt von Web und Browser habe ich hier noch mit keinem Wort erwaehnt. Aber wenn das alle so einfach ist, warum halte ich mich dann selbst nicht an meinen Vorschlag? Nun, ich selbst bin ein etwas komplizierterer Fall, ich muss fuer mich fundamentale Fragen klaeren und die Antwort macht keinen Spass: Ich muss davon ausgehen, dass jede eMail protokolliert und gespeichert wird. Es gibt zwar bessere und schlechtere Provider und es wird inzwischen haeufiger der komplette Weg verschluesselt, aber im Endeffekt liegen die Mails zumindest beim Absender und Empfaenger unverschluesselt rum, aus den Posteo-Datenschutz- Hinweisen [0]: > Wir weisen darauf hin, dass es uns aus rein technischer Sicht moeglich ist, > all Ihre E-Mails, Adress- und Kalenderdaten einzusehen, wenn diese nicht von > Ihnen verschluesselt wurden. Kurz: Ich muss hier genau wie bei GMX und Co. den Inhalt der Mail ver- schluesseln. Im Umgang mit Metadaten ist hier natuerlich ein besserer ge- fuehlter Schutz vorhanden, weil ich davon ausgehen darf, dass Posteo nicht versucht Kontakte, Themen und Kommunikationszeitpunkte in ein wertvolles Kundenprofil zu zwaengen -- also Punkt (1) -- ..aber weiss ich das? Email hat leider einige -- aus heutiger Sicht -- sehr unschoene Konstruktions- schwaechen, denn viel zu viele Informationen sind im unverschluesselten Header abgelegt, die dort wenig zu suchen haben: Eigentlich muesste man eine komplette Mail verschluesseln und diese dann in einer sonst leeren Mail verschicken.. oder gleich auf ein andere Transportsystemwechseln? Seufz. Ich schweife wieder ab... Was bleibt am Ende? Keine Loesung, kein richtig, keine "Do"'s, aber jede Menge "Don't"'s. Und trotz allem: Nicht mehr schweigen. [0] https://posteo.de/site/datenschutzerklaerung