+From: Boris Kraut <krt@nurfuerspam.de>
+To: undisclosed-recipients: ;
+Date: Sat, 15 Nov 2014 23:16:28 +0100
+Message-ID: <20141115231628.NNi3UK@edupad.local>
+Reply-To: Boris Kraut <krt@nurfuerspam.de>
+Subject: [.plan] Panopticon 2014
+
+Ich habe eine ganze Weile nichts mehr geschrieben, was nicht daran lag, dass
+es keine Themen mehr gibt. Das Gegenteil ist der Fall.
+
+Einige -- zumindest die Leser des Feeds -- werden wissen, dass ich inzwischen
+aus dem Karlsruher CCC ausgetreten bin, weshalb ich auch deren Infrastruktur
+nicht mehr nutzen will (und irgendwann auch nicht mehr koennen werde). Doch
+was noch viel tiefer sitzt als der Verlust der "Nutzungs-Moeglichkeiten" --
+Hardware und Software kann man ersetzen -- ist der Verlust des Vertrauens.
+Und auch wenn es im konkreten Fall sich nur um eine Person handelt, hat das
+ganze doch Auswirkungen auf mein komplettes Verhalten gehabt: Vertrauen in
+Anbieter, Technik und Mitnutzer -- das waren zentrale Punkte in einigen
+meiner Vortraege und mit den gemachten Erfahrungen musste ich auch andere
+Vertrauensbeziehungen bzw. -annahmen gruendlichst ueberdenken.
+
+Das tut mir natuerlich fuer die vielen Leute leid, die mir sofort digitalen
+Unterschlupf, Web- und Mailhosting angeboten haben, denn sie wollte ich am
+aller wenigsten kraenken, doch darf die Frage, wem man vertrauen kann, erlaubt
+sein, wenn einem selbst Mitstreiter in den Ruecken fallen. Es muss ja nicht
+immer ein Geheimdienst sein (und wenn doch: Sollte man eher besorgt sein, wenn
+es ein inlaendischer mit sofortigen Repressionsmoeglichkeiten oder eher der
+eines "Verbuendeten" mit grossem Einfluss oder gar der eines nicht unwichtigen
+Drittlandes ist?), auch grosse Unternehmen geniessen eher kein Vertrauen.
+Doch was ist mit Freunden oder gar dem Partner? Vielleicht rastern die nicht
+ueber eure Gewohnheiten drueber, aber koennt ihr euch wirklich keine Situation
+vorstellen, an der selbst diese Leute ein Interesse an euren Daten haetten?
+Mal fremdgegangen? Mal im Streit eine Mail verfasst und dann doch nicht ab-
+geschickt? Und auch "Freundschaften" halten ja nicht automatisch fuer immer
+und ewig. Das alles sind Gruende, warum man evtl. doch nicht nahestehenden
+Personen vertrauen sollte. Und so sehr mir dieser Punkt bewusst war und ich
+ihn selbst in Vortraegen angesprochen habe, so sehr habe ich mich doch ver-
+leiten lassen zu glauben, dass das mir schon nicht passieren wuerde.
+
+Ein Fehler.
+
+Das Panopticon ist ein Gefaengniskonzept, das einen von Zellen ringfoermig
+umgebenen Waerterturm im Zentrum vorsieht. Vom Turm aus kann jede Zelle be-
+obachtet werden, waehrend Insassen nicht wissen koennen, ob gerade jemand
+Dienst schiebt, wen er beobachtet oder ob gar nur ein Pappaufsteller fuer
+Ordnung sorgt. Man kann also nicht sagen, ob man beobachtet wird oder von
+wem. Die Idee ist, dass allein die Angst vor dem Beobachtetwerden (und die
+damit verbundene moegliche Sanktionierung) die Insassen in Schach haelt.
+
+Mich hat auch eine Angst gelaehmt, die Angst mich freiwillig ein weiteres mal
+in solch ein Gefaengnis zu begeben. Zentralisierung birgt immer Risiken, denn
+derjenige der "im Zentrum" steht, hat Macht... und selbst Freunde koennen ggf.
+nicht mit dieser Macht umgehen. Die Zentralisierung ist natuerlich gerade bei
+Facebook und Co. ein Problem (hier kommen natuerlich noch andere hinzu, z.B.
+dass man dort nicht mal mit anderen "Gefaengnissen" reden darf/kann), doch
+selbst bei Mail- oder Webhosting, ja beim kleinsten denkbaren Multiuser-System
+ist das Problem gegeben.
+
+Einige der Postprivacy-Bewegung gehen daher davon aus, dass nicht Ueberwachung
+das Problem ist, zumindest keins, das man in Zeiten von Flugdronen, von Smart-
+phones mit staendig aktivem Mikrofon und von Brillen deren eingebaute Kamera
+immer mitlaeuft, beheben koennte. Die Freiheit erhaelt man also nicht mehr durch
+den Widerstand gegen die Ueberwachung, sondern dadruch, dass man die Angst vor
+dieser Ueberwachung und den moeglichen Sanktionen verliert. Denn niemand wird
+etwas sanktionieren koennen, was alle machen, denn das ist ja die neue "Norm"
+-- wenn jeder privateste Details auf Facebook postet, wird sich daran auch kein
+Arbeitsnehmer mehr stoeren. Der zweite Argumentationspunkt ist der "Kompromat-
+Koffer", also dass in einer Welt, in der jeder so freizuegig agiert, man immer
+genuegend negative Informationen ueber eine x-beliebige Person hat, dass man
+diese ebenfalls blossstellen koennte. Ein Gleichgewicht des Schreckens.
+
+Die Argumente sind natuerlich fadenscheinig, denn damit das alles auch nur an-
+naehernd funktionieren koennte, muessten erst alle Hierarchien geebnet, alle
+Machtpositionen beseitigt werden. Anstatt von unten, also bei den "kleinen
+Buergern", anzufangen, sollten die derzeitigen Machthaber -- staatliche
+Stellen, Unternehmen und ggf. "Promis" -- mehr Offenheit an den Tag legen...
+und das kann und wird nicht passieren. Und selbst bei aller Offenheit: Es
+waere nicht das erste Mal in der Geschichte, dass eine kleine Elite zwar
+offensichtlich Fehler hat wie jeder andere, diese aber nicht sanktioniert
+werden, waehrend das Gros der Bevoelkerung unter drakonischen Strafen zu
+leiden hat. Man denke nur an die Schwierigkeiten die man aktuell hat z.B.
+gegen dokumentiertes Fehlverhalten von Polizisten anzugehen -- "Sie duerfen
+das nicht!" ist ein sehr schwaches Argument, wenn die Gegenseite das Gewalt-
+monopol besitzt. Es ist also offensichtlich, dass gerade die Postprivacy-
+Leute eigentlich fundamental gegen Monopole, gegen Hierarchien, gegen
+Zentralisierung sein muessten. Sie sind es aber nicht. Sie nutzen solche
+Dienste wie kein zweiter.
+
+Aber zurueck zum eigentlichen Thema: Wenn ich also Dritten nicht vertrauen
+kann, dann muss ich alles selbst hosten, dann ist ein Freemailer genau so in
+der untersten Schublade wie ein Hosting bei Freunden oder ein Paymail-Provider
+-- selbst eigene Server in einer fremden Umgebung, z.B. einem Rechenzentrum,
+sind dann nicht vertrauenswuerdig. Und was ist mit der Wohnung? So lange man
+sich darin befindet, mag man sich in Sicherheit wiegen, doch was ist wenn man
+die Wohnung verlaesst? Bleibt man in dieser -- zugegebenermassen sehr binaeren
+-- Logik, bleibt nur eine Loesung: Alles am Mann, d.h. ein Geraet das immer
+dabei ist oder sich in einem gesicherten Zustand befindet: Aus, verschluesselt
+und weggesperrt. Ja, das ist mit massiven Funktionalitaets-/Bequemlichkeits-
+einbussen verbunden, aber gibt es denn eine Alternative?
+
+Nun, eins der groessten Mankos ist der Verlust der einer Offline-Messaging-
+Faehigkeit, denn in diesem Setup muessten alle Kommunikationspartner zeit-
+gleich online sein -- was selbst im Zeitalter mobiler Endgeraete und stetig
+sinkender Flatratepreise keine Selbstverstaendlichkeit sein duerfte: Immerhin
+wird gerade das "mobile" Netz immer mal wieder von Ausfaellen oder Ueber-
+lastungen, wie z.B. an Silvester oder der WM, geplagt und in der heutigen
+globalisierten Welt duerften auch Kontakte, die sich in unterschiedlichen
+Zeitzonen befinden, nicht unwahrscheinlich sein. Sobald man aber Nachrichten
+bei Dritten parkt, vertraut man also komplett darauf, dass die Ver-
+schluesselung funktioniert. Hat man dieses Vertrauen erreicht -- geht das
+ueberhaupt ohne mathematisch beweisbare Sicherheit? --, wird eignetlich die
+Absicherung gegen den "lokalen" Zugriff unnoetig und man braucht sich doch
+nicht mehr auf ein Geraet beschraenken... und auch nicht auf ein paar wenige
+(Mail)-Provider: Peer2Peer-Messaging und -Datenhaltung mit starker und
+funktionierender Crypto! Ein Traum?
+
+Fakt ist, dass wir diesen Punkt noch nicht erreicht haben. Crypto ist ein
+Hemmnis, aber kein 100% Schutz. Wir nutzen Computer, die wir eigentlich
+nicht kontrollieren koennen, fuer die wir zum groessten Teil gar nicht mal
+die Moeglichkeit haben, sie zu ueberpruefen -- unfreie Firmwares sei Dank.
+Aber auch die Hardware an sich ist nicht frei.. und selbst wenn sie frei
+waere, waere sie noch nicht gleich ueberprueft. Und wenn: Von wem denn?
+Wie sehr koennen wir OpenSource-Entwicklern /-reviewern trauen? Koennen
+wir denn uns selbst trauen? Die wenigsten koennen wirklich alles selbst
+verifizieren und mit gutem Gewissen sagen "das ist sicher" -- die meisten
+Nutzer (mich eingeschlossen) tun gut daran sich nicht mal die Einrichtung
+und den Betrieb von kritischer Infrastruktur zuzutrauen. Projekte a la
+FreedomBox sind da einfach gescheitert. Also was tun?
+
+Ich habe erlebt, was Ueberwachung -- oder gar nur die Angst davor -- mit
+einem macht: Sie laehmt, laesst verharren, laesst verstummen. Genau das
+ist das Ziel. Ich moechte nicht laenger schweigen, moechte nicht mehr von
+dieser Angst getrieben sein. Ich brauche eine Loesung des Dilemmas. Ein
+"action plan" -- mit Betonung auf "Action"...
+
+Jetzt.
+
+Fuer die ueberwiegende Mehrheit ist so ein Actionplan leicht aufgestellt,
+weil sie sowieso nicht auf eine 100% Loesung aus sind. Sie akzeptieren,
+dass sie Dritten vertrauen muessen, merken aber, dass das blinde Vertrauen,
+das sie z.B. Google, Facebook entgegengebracht haben falsch ist.
+
+
+1) Rechtliche Konsequenzen
+
+Wie kann Vertrauen gerechtfertigt werden, wenn Unternehmen einen Dienst zwar
+kostenlos anbieten und sich ein "Don't be evil"-Image verpassen, sich aber
+gleichzeitig in den Nutzungsbedingungen weitreichende Rechte einraeumen?
+
+Konsequenz muss hier sein, dass die AGB immer gelesen werden muessen und
+man darf sie nur akzeptieren, wenn man ihnen auch wirklich zustimmt. Die
+Wahrscheinlichkeit, hier das gewuenschte Schutzniveau zu erreichen, ist
+natuerlich bei Anbietern hoeher, die sich Datenschutz und Sicherheit auf
+die Fahnen schreiben und ein klares Geschaeftsmodell haben, das nicht auf
+dem Abhoeren seiner Nutzer basiert -- was natuerlich meist mit "echtem"
+Geld bezahlt wird.
+
+
+2) Technische Konsequenzen
+
+Auf der technischen Seite ist Vertrauen in proprietaere und/oder geschlossene
+Systeme nicht mehr zeitgemaess. Es muss immer die Moeglichkeit geben, den
+Anbieter schnell wechseln zu koennen, ggf. die noetigen Dienste auch selbst
+anbieten zu koennen. Konkret heisst das, dass man auf Mails, XMPP (fuer
+Chat) und CalDAV/CardDAV (fuer Kontakte und Kalender) setzt anstatt z.b. die
+vollintegrierte Loesung von Google zu verwenden.
+
+Auf der Sicherheitsseite gibt es leider wenig neues: OTR sollte in den meisten
+freien Chatclients zur Inhaltsverschluesselung integriert sein, laeuft aber
+teilweise im mobilen Bereich -- bruechige Internetverbindung und ggf. mehrere
+angemeldete Clients -- etwas unrund, wenn auch Besserungen in Sicht sind.
+Offline-Verschluesselung klappt mit OTR ebenfalls nicht. Es laeuft hier
+weiterhin auf OpenPGP raus, was erfreulicherweise auch auf mobilen End-
+geraeten recht einfach einzurichten ist und danach "einfach funktioniert".
+Mit Vorgriff auf (3) muss hier auch angemerkt werden, dass Inhalts-
+verschluesselung natuerlich auch die eigenen Geraete trifft. Im Jahr 2014
+ist FullDiskEncryption, also die Verschluesselung der Fesplatte bzw. des
+lokalen Speichers, gluecklicherweise meist kein Problem mehr -- man muss
+es nur machen: Android, Windows, Linux und wahrscheinlich auch bei den Apple
+Betriebssystemen bieten entsprechende One-Click-Loesungen von Haus aus an; in
+wie weit man diesen Vertrauen kann ist natuerlich eine andere Frage.
+
+Bei der Verschluesselung des Weges haben wir weiterhin mit SSL zu tun, muessen
+uns also mit kaputten CAs rumschlagen. Prinzipiell darf man den grossen
+Zertifizierungsstellen eigentlich nicht mehr vertrauen, sondern muss ggf.
+einzeln pruefen. Es bleibt zu hoffen, dass hier Neuerungen a la CertPinning
+Verbesserungen bieten.
+
+Bleiben als letztes noch die Metadaten: Wann kommunizieren? Wie oft? Mit wem?
+Ggf. ueber was? Von welchem Rechner? Von wo? Usw. Hier kann man zwar ein paar
+Vorkehrungen treffen -- z.B. keine Geo- und Zeitstempel in Bildern oder das
+automatisierte Anonymisieren von Traffic -- aber je nach Kommunikationsart
+werden hier -- technisch oder sozial bedingt -- zu viele Informationen ver-
+breitet... man denke nur an staendig eingebuchte Smartphones.
+
+
+3) Verhaltensbasierte Konsequenzen
+
+Von vielen oft vernachlaessigt ist eine simple Regel: Daten die nicht anfallen,
+koennen auch nicht missbraucht werden. Und wenn sie doch anfallen, braucht man
+nicht alles online: In vielen Faellen reicht es, wenn die jeweiligen Daten nur
+lokal, verfuegbar sind. Kontakte, Kalender, Daten usw. kann man auch lokal
+zwischen Smartphone, Laptop und Desktop synchronisieren. Wenn die entsprechende
+Software einmal eingerichtet ist, funktioniert das sogar ohne Funktionalitaets-
+oder Bequemlichkeitseinbussen. Auch hier gilt: Man muss es nur machen!
+
+
+Normalerweise halte ich mich ja zurueck mit direkten "Kaufempfehlungen", aber
+nach so viel Text sollte ich evtl. eine Ausnahme machen. Zwar keine Empfehlung,
+aber hier eine kurze Zusammenstellung, wie ein Setup aussehen koennte, das man
+evtl. mal ueberdenken sollte, auch wenn es nicht alle o.g. Aspekte augreift:
+
+* Anstatt GMail oder GMX einen Anbieter wie Posteo nutzen. Fuer 1 Euro pro
+ Monat bekommt man Mail-, Kalender- und Kontaktspeicher von einem Anbieter,
+ der sich sowohl um Oekologie wie auch um Privatsphaere bemueht zeigt. Zur
+ Anmeldung wird noch nichtmal eine Postadresse verlangt -- so lange das
+ Geld reinkommt, bleibt das Konto bestehen und selbst wenn nicht, wird es
+ nicht gleich gesperrt. XMPP-Anbieter gibt es wie Sand am mehr, z.B. beim
+ CCC, bei DuckDuckGo oder oder oder...
+
+* Android-Smartphone mit aktuellem Android (z.B. Nexus5) mit aktivierter
+ Verschluesselung, der DAVDroid Anwendung fuer Kalender und Kontakte sowie
+ K9-Mail fuer Mails mit OpenKeychain als OpenPGP-Provider. Wer XMPP nutzen
+ will sollte sich den Client Conversations anschauen.
+
+* Ubuntu mit FullDiskEncryption (bei der Installation per Klick installierbar)
+ und Thunderbird fuer Mails. Bei Thunderbird gibt es mit Enigmail ein PGP-
+ Plugin, ggf. Seahorse zum verwalten der Keys. Kalender und Kontakte lassen
+ sich in Thunderbird mit den Addons Lightning und SoGo Connector einbinden.
+ Als XMPP-Client duerfte Gajim gute Dienste leisten.
+
+Wichtig dabei ist, dass das alles nur ein Vorschlag ist und sich natuerlich
+nur im einen kleinen Teilbereich handelt, die Welt von Web und Browser habe
+ich hier noch mit keinem Wort erwaehnt.
+
+Aber wenn das alle so einfach ist, warum halte ich mich dann selbst nicht
+an meinen Vorschlag? Nun, ich selbst bin ein etwas komplizierterer Fall,
+ich muss fuer mich fundamentale Fragen klaeren und die Antwort macht keinen
+Spass:
+
+Ich muss davon ausgehen, dass jede eMail protokolliert und gespeichert wird.
+
+Es gibt zwar bessere und schlechtere Provider und es wird inzwischen haeufiger
+der komplette Weg verschluesselt, aber im Endeffekt liegen die Mails zumindest
+beim Absender und Empfaenger unverschluesselt rum, aus den Posteo-Datenschutz-
+Hinweisen [0]:
+
+> Wir weisen darauf hin, dass es uns aus rein technischer Sicht moeglich ist,
+> all Ihre E-Mails, Adress- und Kalenderdaten einzusehen, wenn diese nicht von
+> Ihnen verschluesselt wurden.
+
+Kurz: Ich muss hier genau wie bei GMX und Co. den Inhalt der Mail ver-
+schluesseln. Im Umgang mit Metadaten ist hier natuerlich ein besserer ge-
+fuehlter Schutz vorhanden, weil ich davon ausgehen darf, dass Posteo nicht
+versucht Kontakte, Themen und Kommunikationszeitpunkte in ein wertvolles
+Kundenprofil zu zwaengen -- also Punkt (1) -- ..aber weiss ich das? Email
+hat leider einige -- aus heutiger Sicht -- sehr unschoene Konstruktions-
+schwaechen, denn viel zu viele Informationen sind im unverschluesselten
+Header abgelegt, die dort wenig zu suchen haben: Eigentlich muesste man
+eine komplette Mail verschluesseln und diese dann in einer sonst leeren
+Mail verschicken.. oder gleich auf ein andere Transportsystemwechseln?
+Seufz. Ich schweife wieder ab...
+
+Was bleibt am Ende? Keine Loesung, kein richtig, keine "Do"'s, aber jede
+Menge "Don't"'s. Und trotz allem: Nicht mehr schweigen.
+
+
+[0] https://posteo.de/site/datenschutzerklaerung
projects / krt-msg / commitdiff