From: Boris Kraut Date: Sat, 15 Nov 2014 22:16:41 +0000 (+0100) Subject: Panopticon 2014 X-Git-Url: http://git.marmaro.de/?p=krt-msg;a=commitdiff_plain;h=52b786ecfc5a5932347f482d81de916415eed7f5;hp=53d2fc5b31b25cd1b059bc2b20ba2cfb40ea4afa Panopticon 2014 --- diff --git a/2014-11-15T22:16:28Z.msg b/2014-11-15T22:16:28Z.msg new file mode 100644 index 0000000..252586b --- /dev/null +++ b/2014-11-15T22:16:28Z.msg @@ -0,0 +1,268 @@ +From: Boris Kraut +To: undisclosed-recipients: ; +Date: Sat, 15 Nov 2014 23:16:28 +0100 +Message-ID: <20141115231628.NNi3UK@edupad.local> +Reply-To: Boris Kraut +Subject: [.plan] Panopticon 2014 + +Ich habe eine ganze Weile nichts mehr geschrieben, was nicht daran lag, dass +es keine Themen mehr gibt. Das Gegenteil ist der Fall. + +Einige -- zumindest die Leser des Feeds -- werden wissen, dass ich inzwischen +aus dem Karlsruher CCC ausgetreten bin, weshalb ich auch deren Infrastruktur +nicht mehr nutzen will (und irgendwann auch nicht mehr koennen werde). Doch +was noch viel tiefer sitzt als der Verlust der "Nutzungs-Moeglichkeiten" -- +Hardware und Software kann man ersetzen -- ist der Verlust des Vertrauens. +Und auch wenn es im konkreten Fall sich nur um eine Person handelt, hat das +ganze doch Auswirkungen auf mein komplettes Verhalten gehabt: Vertrauen in +Anbieter, Technik und Mitnutzer -- das waren zentrale Punkte in einigen +meiner Vortraege und mit den gemachten Erfahrungen musste ich auch andere +Vertrauensbeziehungen bzw. -annahmen gruendlichst ueberdenken. + +Das tut mir natuerlich fuer die vielen Leute leid, die mir sofort digitalen +Unterschlupf, Web- und Mailhosting angeboten haben, denn sie wollte ich am +aller wenigsten kraenken, doch darf die Frage, wem man vertrauen kann, erlaubt +sein, wenn einem selbst Mitstreiter in den Ruecken fallen. Es muss ja nicht +immer ein Geheimdienst sein (und wenn doch: Sollte man eher besorgt sein, wenn +es ein inlaendischer mit sofortigen Repressionsmoeglichkeiten oder eher der +eines "Verbuendeten" mit grossem Einfluss oder gar der eines nicht unwichtigen +Drittlandes ist?), auch grosse Unternehmen geniessen eher kein Vertrauen. +Doch was ist mit Freunden oder gar dem Partner? Vielleicht rastern die nicht +ueber eure Gewohnheiten drueber, aber koennt ihr euch wirklich keine Situation +vorstellen, an der selbst diese Leute ein Interesse an euren Daten haetten? +Mal fremdgegangen? Mal im Streit eine Mail verfasst und dann doch nicht ab- +geschickt? Und auch "Freundschaften" halten ja nicht automatisch fuer immer +und ewig. Das alles sind Gruende, warum man evtl. doch nicht nahestehenden +Personen vertrauen sollte. Und so sehr mir dieser Punkt bewusst war und ich +ihn selbst in Vortraegen angesprochen habe, so sehr habe ich mich doch ver- +leiten lassen zu glauben, dass das mir schon nicht passieren wuerde. + +Ein Fehler. + +Das Panopticon ist ein Gefaengniskonzept, das einen von Zellen ringfoermig +umgebenen Waerterturm im Zentrum vorsieht. Vom Turm aus kann jede Zelle be- +obachtet werden, waehrend Insassen nicht wissen koennen, ob gerade jemand +Dienst schiebt, wen er beobachtet oder ob gar nur ein Pappaufsteller fuer +Ordnung sorgt. Man kann also nicht sagen, ob man beobachtet wird oder von +wem. Die Idee ist, dass allein die Angst vor dem Beobachtetwerden (und die +damit verbundene moegliche Sanktionierung) die Insassen in Schach haelt. + +Mich hat auch eine Angst gelaehmt, die Angst mich freiwillig ein weiteres mal +in solch ein Gefaengnis zu begeben. Zentralisierung birgt immer Risiken, denn +derjenige der "im Zentrum" steht, hat Macht... und selbst Freunde koennen ggf. +nicht mit dieser Macht umgehen. Die Zentralisierung ist natuerlich gerade bei +Facebook und Co. ein Problem (hier kommen natuerlich noch andere hinzu, z.B. +dass man dort nicht mal mit anderen "Gefaengnissen" reden darf/kann), doch +selbst bei Mail- oder Webhosting, ja beim kleinsten denkbaren Multiuser-System +ist das Problem gegeben. + +Einige der Postprivacy-Bewegung gehen daher davon aus, dass nicht Ueberwachung +das Problem ist, zumindest keins, das man in Zeiten von Flugdronen, von Smart- +phones mit staendig aktivem Mikrofon und von Brillen deren eingebaute Kamera +immer mitlaeuft, beheben koennte. Die Freiheit erhaelt man also nicht mehr durch +den Widerstand gegen die Ueberwachung, sondern dadruch, dass man die Angst vor +dieser Ueberwachung und den moeglichen Sanktionen verliert. Denn niemand wird +etwas sanktionieren koennen, was alle machen, denn das ist ja die neue "Norm" +-- wenn jeder privateste Details auf Facebook postet, wird sich daran auch kein +Arbeitsnehmer mehr stoeren. Der zweite Argumentationspunkt ist der "Kompromat- +Koffer", also dass in einer Welt, in der jeder so freizuegig agiert, man immer +genuegend negative Informationen ueber eine x-beliebige Person hat, dass man +diese ebenfalls blossstellen koennte. Ein Gleichgewicht des Schreckens. + +Die Argumente sind natuerlich fadenscheinig, denn damit das alles auch nur an- +naehernd funktionieren koennte, muessten erst alle Hierarchien geebnet, alle +Machtpositionen beseitigt werden. Anstatt von unten, also bei den "kleinen +Buergern", anzufangen, sollten die derzeitigen Machthaber -- staatliche +Stellen, Unternehmen und ggf. "Promis" -- mehr Offenheit an den Tag legen... +und das kann und wird nicht passieren. Und selbst bei aller Offenheit: Es +waere nicht das erste Mal in der Geschichte, dass eine kleine Elite zwar +offensichtlich Fehler hat wie jeder andere, diese aber nicht sanktioniert +werden, waehrend das Gros der Bevoelkerung unter drakonischen Strafen zu +leiden hat. Man denke nur an die Schwierigkeiten die man aktuell hat z.B. +gegen dokumentiertes Fehlverhalten von Polizisten anzugehen -- "Sie duerfen +das nicht!" ist ein sehr schwaches Argument, wenn die Gegenseite das Gewalt- +monopol besitzt. Es ist also offensichtlich, dass gerade die Postprivacy- +Leute eigentlich fundamental gegen Monopole, gegen Hierarchien, gegen +Zentralisierung sein muessten. Sie sind es aber nicht. Sie nutzen solche +Dienste wie kein zweiter. + +Aber zurueck zum eigentlichen Thema: Wenn ich also Dritten nicht vertrauen +kann, dann muss ich alles selbst hosten, dann ist ein Freemailer genau so in +der untersten Schublade wie ein Hosting bei Freunden oder ein Paymail-Provider +-- selbst eigene Server in einer fremden Umgebung, z.B. einem Rechenzentrum, +sind dann nicht vertrauenswuerdig. Und was ist mit der Wohnung? So lange man +sich darin befindet, mag man sich in Sicherheit wiegen, doch was ist wenn man +die Wohnung verlaesst? Bleibt man in dieser -- zugegebenermassen sehr binaeren +-- Logik, bleibt nur eine Loesung: Alles am Mann, d.h. ein Geraet das immer +dabei ist oder sich in einem gesicherten Zustand befindet: Aus, verschluesselt +und weggesperrt. Ja, das ist mit massiven Funktionalitaets-/Bequemlichkeits- +einbussen verbunden, aber gibt es denn eine Alternative? + +Nun, eins der groessten Mankos ist der Verlust der einer Offline-Messaging- +Faehigkeit, denn in diesem Setup muessten alle Kommunikationspartner zeit- +gleich online sein -- was selbst im Zeitalter mobiler Endgeraete und stetig +sinkender Flatratepreise keine Selbstverstaendlichkeit sein duerfte: Immerhin +wird gerade das "mobile" Netz immer mal wieder von Ausfaellen oder Ueber- +lastungen, wie z.B. an Silvester oder der WM, geplagt und in der heutigen +globalisierten Welt duerften auch Kontakte, die sich in unterschiedlichen +Zeitzonen befinden, nicht unwahrscheinlich sein. Sobald man aber Nachrichten +bei Dritten parkt, vertraut man also komplett darauf, dass die Ver- +schluesselung funktioniert. Hat man dieses Vertrauen erreicht -- geht das +ueberhaupt ohne mathematisch beweisbare Sicherheit? --, wird eignetlich die +Absicherung gegen den "lokalen" Zugriff unnoetig und man braucht sich doch +nicht mehr auf ein Geraet beschraenken... und auch nicht auf ein paar wenige +(Mail)-Provider: Peer2Peer-Messaging und -Datenhaltung mit starker und +funktionierender Crypto! Ein Traum? + +Fakt ist, dass wir diesen Punkt noch nicht erreicht haben. Crypto ist ein +Hemmnis, aber kein 100% Schutz. Wir nutzen Computer, die wir eigentlich +nicht kontrollieren koennen, fuer die wir zum groessten Teil gar nicht mal +die Moeglichkeit haben, sie zu ueberpruefen -- unfreie Firmwares sei Dank. +Aber auch die Hardware an sich ist nicht frei.. und selbst wenn sie frei +waere, waere sie noch nicht gleich ueberprueft. Und wenn: Von wem denn? +Wie sehr koennen wir OpenSource-Entwicklern /-reviewern trauen? Koennen +wir denn uns selbst trauen? Die wenigsten koennen wirklich alles selbst +verifizieren und mit gutem Gewissen sagen "das ist sicher" -- die meisten +Nutzer (mich eingeschlossen) tun gut daran sich nicht mal die Einrichtung +und den Betrieb von kritischer Infrastruktur zuzutrauen. Projekte a la +FreedomBox sind da einfach gescheitert. Also was tun? + +Ich habe erlebt, was Ueberwachung -- oder gar nur die Angst davor -- mit +einem macht: Sie laehmt, laesst verharren, laesst verstummen. Genau das +ist das Ziel. Ich moechte nicht laenger schweigen, moechte nicht mehr von +dieser Angst getrieben sein. Ich brauche eine Loesung des Dilemmas. Ein +"action plan" -- mit Betonung auf "Action"... + +Jetzt. + +Fuer die ueberwiegende Mehrheit ist so ein Actionplan leicht aufgestellt, +weil sie sowieso nicht auf eine 100% Loesung aus sind. Sie akzeptieren, +dass sie Dritten vertrauen muessen, merken aber, dass das blinde Vertrauen, +das sie z.B. Google, Facebook entgegengebracht haben falsch ist. + + +1) Rechtliche Konsequenzen + +Wie kann Vertrauen gerechtfertigt werden, wenn Unternehmen einen Dienst zwar +kostenlos anbieten und sich ein "Don't be evil"-Image verpassen, sich aber +gleichzeitig in den Nutzungsbedingungen weitreichende Rechte einraeumen? + +Konsequenz muss hier sein, dass die AGB immer gelesen werden muessen und +man darf sie nur akzeptieren, wenn man ihnen auch wirklich zustimmt. Die +Wahrscheinlichkeit, hier das gewuenschte Schutzniveau zu erreichen, ist +natuerlich bei Anbietern hoeher, die sich Datenschutz und Sicherheit auf +die Fahnen schreiben und ein klares Geschaeftsmodell haben, das nicht auf +dem Abhoeren seiner Nutzer basiert -- was natuerlich meist mit "echtem" +Geld bezahlt wird. + + +2) Technische Konsequenzen + +Auf der technischen Seite ist Vertrauen in proprietaere und/oder geschlossene +Systeme nicht mehr zeitgemaess. Es muss immer die Moeglichkeit geben, den +Anbieter schnell wechseln zu koennen, ggf. die noetigen Dienste auch selbst +anbieten zu koennen. Konkret heisst das, dass man auf Mails, XMPP (fuer +Chat) und CalDAV/CardDAV (fuer Kontakte und Kalender) setzt anstatt z.b. die +vollintegrierte Loesung von Google zu verwenden. + +Auf der Sicherheitsseite gibt es leider wenig neues: OTR sollte in den meisten +freien Chatclients zur Inhaltsverschluesselung integriert sein, laeuft aber +teilweise im mobilen Bereich -- bruechige Internetverbindung und ggf. mehrere +angemeldete Clients -- etwas unrund, wenn auch Besserungen in Sicht sind. +Offline-Verschluesselung klappt mit OTR ebenfalls nicht. Es laeuft hier +weiterhin auf OpenPGP raus, was erfreulicherweise auch auf mobilen End- +geraeten recht einfach einzurichten ist und danach "einfach funktioniert". +Mit Vorgriff auf (3) muss hier auch angemerkt werden, dass Inhalts- +verschluesselung natuerlich auch die eigenen Geraete trifft. Im Jahr 2014 +ist FullDiskEncryption, also die Verschluesselung der Fesplatte bzw. des +lokalen Speichers, gluecklicherweise meist kein Problem mehr -- man muss +es nur machen: Android, Windows, Linux und wahrscheinlich auch bei den Apple +Betriebssystemen bieten entsprechende One-Click-Loesungen von Haus aus an; in +wie weit man diesen Vertrauen kann ist natuerlich eine andere Frage. + +Bei der Verschluesselung des Weges haben wir weiterhin mit SSL zu tun, muessen +uns also mit kaputten CAs rumschlagen. Prinzipiell darf man den grossen +Zertifizierungsstellen eigentlich nicht mehr vertrauen, sondern muss ggf. +einzeln pruefen. Es bleibt zu hoffen, dass hier Neuerungen a la CertPinning +Verbesserungen bieten. + +Bleiben als letztes noch die Metadaten: Wann kommunizieren? Wie oft? Mit wem? +Ggf. ueber was? Von welchem Rechner? Von wo? Usw. Hier kann man zwar ein paar +Vorkehrungen treffen -- z.B. keine Geo- und Zeitstempel in Bildern oder das +automatisierte Anonymisieren von Traffic -- aber je nach Kommunikationsart +werden hier -- technisch oder sozial bedingt -- zu viele Informationen ver- +breitet... man denke nur an staendig eingebuchte Smartphones. + + +3) Verhaltensbasierte Konsequenzen + +Von vielen oft vernachlaessigt ist eine simple Regel: Daten die nicht anfallen, +koennen auch nicht missbraucht werden. Und wenn sie doch anfallen, braucht man +nicht alles online: In vielen Faellen reicht es, wenn die jeweiligen Daten nur +lokal, verfuegbar sind. Kontakte, Kalender, Daten usw. kann man auch lokal +zwischen Smartphone, Laptop und Desktop synchronisieren. Wenn die entsprechende +Software einmal eingerichtet ist, funktioniert das sogar ohne Funktionalitaets- +oder Bequemlichkeitseinbussen. Auch hier gilt: Man muss es nur machen! + + +Normalerweise halte ich mich ja zurueck mit direkten "Kaufempfehlungen", aber +nach so viel Text sollte ich evtl. eine Ausnahme machen. Zwar keine Empfehlung, +aber hier eine kurze Zusammenstellung, wie ein Setup aussehen koennte, das man +evtl. mal ueberdenken sollte, auch wenn es nicht alle o.g. Aspekte augreift: + +* Anstatt GMail oder GMX einen Anbieter wie Posteo nutzen. Fuer 1 Euro pro + Monat bekommt man Mail-, Kalender- und Kontaktspeicher von einem Anbieter, + der sich sowohl um Oekologie wie auch um Privatsphaere bemueht zeigt. Zur + Anmeldung wird noch nichtmal eine Postadresse verlangt -- so lange das + Geld reinkommt, bleibt das Konto bestehen und selbst wenn nicht, wird es + nicht gleich gesperrt. XMPP-Anbieter gibt es wie Sand am mehr, z.B. beim + CCC, bei DuckDuckGo oder oder oder... + +* Android-Smartphone mit aktuellem Android (z.B. Nexus5) mit aktivierter + Verschluesselung, der DAVDroid Anwendung fuer Kalender und Kontakte sowie + K9-Mail fuer Mails mit OpenKeychain als OpenPGP-Provider. Wer XMPP nutzen + will sollte sich den Client Conversations anschauen. + +* Ubuntu mit FullDiskEncryption (bei der Installation per Klick installierbar) + und Thunderbird fuer Mails. Bei Thunderbird gibt es mit Enigmail ein PGP- + Plugin, ggf. Seahorse zum verwalten der Keys. Kalender und Kontakte lassen + sich in Thunderbird mit den Addons Lightning und SoGo Connector einbinden. + Als XMPP-Client duerfte Gajim gute Dienste leisten. + +Wichtig dabei ist, dass das alles nur ein Vorschlag ist und sich natuerlich +nur im einen kleinen Teilbereich handelt, die Welt von Web und Browser habe +ich hier noch mit keinem Wort erwaehnt. + +Aber wenn das alle so einfach ist, warum halte ich mich dann selbst nicht +an meinen Vorschlag? Nun, ich selbst bin ein etwas komplizierterer Fall, +ich muss fuer mich fundamentale Fragen klaeren und die Antwort macht keinen +Spass: + +Ich muss davon ausgehen, dass jede eMail protokolliert und gespeichert wird. + +Es gibt zwar bessere und schlechtere Provider und es wird inzwischen haeufiger +der komplette Weg verschluesselt, aber im Endeffekt liegen die Mails zumindest +beim Absender und Empfaenger unverschluesselt rum, aus den Posteo-Datenschutz- +Hinweisen [0]: + +> Wir weisen darauf hin, dass es uns aus rein technischer Sicht moeglich ist, +> all Ihre E-Mails, Adress- und Kalenderdaten einzusehen, wenn diese nicht von +> Ihnen verschluesselt wurden. + +Kurz: Ich muss hier genau wie bei GMX und Co. den Inhalt der Mail ver- +schluesseln. Im Umgang mit Metadaten ist hier natuerlich ein besserer ge- +fuehlter Schutz vorhanden, weil ich davon ausgehen darf, dass Posteo nicht +versucht Kontakte, Themen und Kommunikationszeitpunkte in ein wertvolles +Kundenprofil zu zwaengen -- also Punkt (1) -- ..aber weiss ich das? Email +hat leider einige -- aus heutiger Sicht -- sehr unschoene Konstruktions- +schwaechen, denn viel zu viele Informationen sind im unverschluesselten +Header abgelegt, die dort wenig zu suchen haben: Eigentlich muesste man +eine komplette Mail verschluesseln und diese dann in einer sonst leeren +Mail verschicken.. oder gleich auf ein andere Transportsystemwechseln? +Seufz. Ich schweife wieder ab... + +Was bleibt am Ende? Keine Loesung, kein richtig, keine "Do"'s, aber jede +Menge "Don't"'s. Und trotz allem: Nicht mehr schweigen. + + +[0] https://posteo.de/site/datenschutzerklaerung