Ein Projekt, dass über die Gefahren des Identitäts-Trackings und den völligen Verlust der Privatsphäre im Netz aufklären will – bei dem man aber, um aufgeklärt zu werden, erst einmal jede Menge private (Netz-)Daten preisgeben muss. Klingt paradox, ist aber es aber dann doch nicht. Bei der nur im Web laufenden Dokureihe „Do not Track„, koproduziert von Arte, vom BR und dem National Filmboard of Canada, bekommt jede(r) Zuschauer(in) etwas anderes zu sehen – das, was nämlich jeweils eigene der Browser verrät oder was man der Website über die eigenen Lieblingsseiten, Handynutzung oder Social Media-Accounts mitteilt, wird „on the fly“ in die Präsentation eingebaut.
Am Ende jeder der etwa 7-8 Minuten langen Episoden bekommt man Tipps, wie man sich gegen das soeben angesprochene Privacy-Problem zur Wehr setzen kann. Wer sich allerdings schon ein wenig mit der Materie beschäftigt hat, erfährt wenig neues – auch die interaktiven Elemente sind zumindest in den bis jetzt freigeschalteten ersten zwei Folgen letztlich recht sparsam dosiert. Und natürlich kann einen die „Do not Track“-Website als öffentlich-rechtliche Unternehmung auch nicht so schamlos ausspähen wie die realen Tracking-Sünder oder eine richtig bösartige Hacking-Seite.
Es passt einfach nicht zusammen: Einzelpersonen und Firmen wollen ihre Daten – gerade nach den Erkenntnissen aus den Snowden-Enthüllungen – vor neugierigen Blicken schützen, Geheimdienste und Behörden wollen eine Chance haben, Straftätern und Terroristen digital auf die Spur zu kommen. Da hört sich der Vorschlag von NSA-Chef Michael Rogers auf den ersten Blick gar nicht einmal unplausibel an: Man könnte doch den Zugangsschlüssel für kryptografisch geschützte Daten oder Kommunikationskanäle aufteilen und bei verschiedenen Institutionen hinterlegen – so dass also keine Seite einzeln und heimlich auf das Material Zugriff hätte, sondern nur alle zusammen in einem regulierten Verfahren.
Dumm nur, dass die Dienste in der Vergangenheit jedwedes Vertrauen darin zerstört haben, sie würden sich im Zweifelsfall an die gesetzlichen Vorgaben halten. Rein technisch gesehen schafft jede Komplexitätserweiterung bei Kryptografie neue potentielle Fehlerquellen – und vor allem – niemand könnte „wirklich böse Buben“ dazu zwingen, die Verfahren mit Gemeinschaftsschlüssel zu nutzen. So bleibt wiederum nur der Verdacht, der NSA-Vorschlag ziele letztlich auf die technisch unbedarftere Masse der User, den digitalen Normalbürger.
Cookies – die kleinen Textdateien, die beim Besuch von Webseiten im Browsercache landen bzw. auf den Computern der Nutzer abgespeichert werden – sind erst einmal nichts schlimmes. Sie dienen dazu, einen User wiederzuerkennen, der dann z.B. einmal vorgenommene Konfigurations-Einstellungen nicht neu einrichten muss.
Und eigentlich dürfen Cookies nur von der Website wieder ausgelesen werden, von der sie stammen. Das sinnvolle Prinzip wird schon seit langem durch Werbenetzwerke ausgehebelt, die einen Surfer auf allen Webseiten wiedererkennen können, auf denen Anzeigen aus ihrem Pool platziert sind – mit diesen Tracking-Cookies lassen sich User also quasi quer durch Netz verfolgen, um festzustellen, wofür sie sich denn so alles interessieren.
Bei einer Umfrage unter Deutschen, welche Institution seriös und vertrauenswürdig ist, landet die Stiftung Warentest sicher in den Top Ten. Weil sie finanziell unabhängig ist, braucht sie bei ihren Tests keine Rücksicht auf eventuell ausbleibende Anzeigenschaltungen oder ähnliches zu nehmen – und trotzdem: Natürlich können auch die Verbraucherschützer aus Berlin mal daneben liegen. Ein prominenter Fall mit juristischem Nachklapp war ja kürzlich die Diskussion um künstliche oder nicht-künstliche Aromastoffe bei Ritter-Sport-Schokolade.
Jetzt gibt es wieder einen Lapsus, der eigentlich von der Verbaselungs-Fallhöhe her sogar gravierender ist: (der Schokoladen-Fall war ja zumindest diskussionswürdig bzw. strittig. Der aktuelle nicht.)
Im Februar-Heft hat Stiftung Warentest Email-Anbieter getestet, bzw. von einem beauftragten Dienstleister testen lassen. Und diesen Dienstleister sollte man vielleicht nicht mehr beauftragen – denn irgendwie haben es die Prüfer geschafft, diverse technische Details nicht zu verstehen, obwohl man sie sogar auf feine Unterschiede hingewiesen hatte. Wenn man sich nämlich anschaut, was der im Februar-Heft neben vielen Mainstream-Playern geprüfte Email-Anbieter Posteo in seinem Firmen-Blog an dem Warentest auszusetzen hat, dann kann man nur sagen: Stimmt.
Die Möchtegern-Experten des Prüf-Dienstleisters haben zum einen die Verschlüsselung, die Email-Nutzer individuell einrichten können (aber dies in den allermeisten Fällen nicht tun) mit einer generellen Verschlüsselung aller Emails auf dem Dienstleister-Server verwechselt – und einem Testteilnehmer irrtümlich ein Alleinstellungsmerkmal diagnostiziert, das aber gar nicht existiert – und die übrigen Anbieter abgewertet. Auch das Verfahren, wie Posteo eine Zwei-Wege-Authentifizierung durchführt und eine anonyme Nutzung des Email-Dienstes konzipiert hat, haben die Tester schlichtweg nicht verstanden.
Die Sache ist dennoch reichlich suboptimal behandelt worden: Der jetzt erst bekannt gewordene Auslieferungsstopp des Februar-Heftes betrifft nur noch ein paar tausend Exemplare; der Rest ist längst an die Abonnenten versendet worden. Die angebliche aufklärende Pressemitteilung in dem Fall ist wohl irgendwie nicht besonders offensiv verteilt worden – auf der Website der Stiftung Warentest ist sie z.B. (Stand 12.2.2015) nicht zu sehen, auch in den Nachrichtenagenturen taucht das Problem erst seit einem Bericht bei welt.de vom 11.2. auf. Und nicht alle Fehler des ursprünglichen Testberichts sind auch transparent als solche korrigert worden.
Insofern ist also eine gewisse Verärgerung bei Posteo nachvollziehbar – und ganz ehrlich gesagt: So sehr ich die Stiftung Warentest grundsätzlich schätze (und auch die Magazine Test und Finanztest abonniert habe…) – bei Tech-Themen sind die Berliner nicht die allererste Adresse 😉
Studieren macht immer am meisten Spaß, wenn man nicht nur Theorie paukt. Sondern in seinem Fachgebiet ganz praktisch unterwegs ist – und vielleicht sogar etwas aufdeckt, das andere Leute ganz happig verbaselt haben.
Das Datenbanksystem MongoDB ist frei erhältlich, bietet vielfältige Möglichkeiten und ist entsprechend beliebt – in der Standardkonfiguration ist es allerdings für den lokalen Einsatz auf einem Computer konzipiert. Wenn man dann Online-Funktionalität einschaltet oder die Datenbank in einen Cloudspeicher auslagert, ohne einen Benutzernamen und ein Passwort einzurichten, dann hat man das berühmte Scheunentor aufgemacht bzw. serviert seine Daten auf dem Präsentierteller – wie die Saarbrücker Studenten entdeckten, findet man jede Menge offener MongoDBs im Netz, darunter auch z.B. die Kundendatenbank eines großen französischen Mobilfunkbetreibers.
Im nächsten Release des Datenbanksystems sollen die Anwender zu ihrem Passwort-Glück gezwungen werden, einstweilen sollten betroffene Admins ganz schnell die Schotten dicht machen und sich gegebenenfalls schon mal auf ein happiges Knöllchen von den Datenschutzbehörden einstellen.
Bis zur Mitte der vergangenen Woche sah es so aus, als müsste Werner Koch, der Programmierer der freien Verschlüsselungssoftware GnuPG das Handtuch werfen – nach der Einstellung von staatlichen Fördermitteln und einer mau angelaufenen Crowdfunding-Kampagne hatte das Entwicklerteam in der g10code-GmbH die Nase voll davon, trotz bescheidener Eigengehälter in einer Dauer-Finanzmisere dahinzuwerkeln. Erst ein Hilferuf bei ProPublica öffnete dann plötzlich die Geldschleusen der Community und auch einiger Big Player – was zum einen das prinzipielle Good-Will-Potential für wichtige freie Softwareprojekte zeigt, andererseits aber auch die Trägheit der Masse.
Getrübt wurde die Freude durch zweiRants des Bloggers Fefe, der selbst Programmierer und IT-Sicherheitsdienstleister ist. Seine Kernthesen: Software erst gratis verteilen und im Nachhinein „herumheulen“ sei nicht in Ordnung – und vor allem sei der Code von GnuPG schlecht gewartet, Kritik und Verbesserungsvorschläge aus der Community würden von Werner Koch abgeblockt. In einem Artikel bei ArsTechnica kritisiert auch ein US-Kryptografieprofessor die Softwarequalität und hält ein externes Code-Auditing für dringend notwendig.
Von außen lässt sich schwer sagen, wie berechtigt diese Kritik ist. Aber gewisse Zirkelschlüsse sind natürlich nicht zu übersehen: Erst lässt man es sehr entspannt und ohne allzu großen Spenden-Enthusiasmus zu, dass fundamentale und höchst sicherheitskritische Softwarekomponenten von Einzelpersonen oder Kleinst-Teams entwickelt und gepflegt werden. Und dann wundert man sich, dass dabei möglicherweile Fehler gemacht werden.
Das Sprichwort „There is no free lunch“ gilt offensichtlich auch für freie Software.
Im Wissenschaftsmagazin „Science“ findet man normalerweise Publikationen zu den neuesten Erkenntnissen in Physik, Chemie oder Biologie, und normalerweise sind die Science-Artikel denn auch für Nicht-Experten reichlich schwierig und speziell. In der aktuellen Ausgabe allerdings gibt es einen Themenschwerpunkt, der erstens allgemein verständlich ist, und der zweitens auch praktisch alle angeht: „Privacy in a Data-Driven World„, also „Die Privatsphäre in einer daten-gelenkten Welt“ lautet die Überschrift.
Keine schlechte Idee – denn zum einen ist die wissenschaftliche Community in gewisser Weise eine gesellschaftliche Elite mit Multiplikatoren-Potential, die wachzurütteln sich lohnt. Und zum anderen nutzen Wissenschaftler ja mittlerweile selbst sehr eifrig Big Data als Quelle neuer Erkenntnisse – sicher mit allerbesten Absichten, aber nicht unbedingt immer mit dem nötigen Blick für die damit verbundenen Gefahren.
Ein sehr konkretes Beispiel geben Forscher aus den USA und Dänemark: Wir alle erteilen als Kunden tagtäglich (überwiegend gezwungenermaßen…) unsere Einwilligung zur Nutzung unserer Daten – gegenüber dem Internet- oder Mobilfunkprovider, gegenüber der Versicherung, der Krankenkasse oder dem Kreditkartenunternehmen. Nur gehen wir dabei immer noch davon aus (und so ist das auch in Datenschutzregeln und -vereinbarungen vorgesehen…), dass aus der Big Data-Gesamtheit nicht auf uns als konkrete Einzelperson zurückgeschlossen werden kann.
Das ist offenbar eine Illusion, zeigt der Science-Artikel – schon ein paar wenige nicht anonyme zusätzliche Einzelinformationen (die sich im Netz sehr leicht auffinden lassen…) reichen aus, um uns in einem anonymisierten (bzw, pseudonymisierten) Datensatz wiederzufinden. Das Muster unseres Verhaltens; beim Autofahren, Einkaufen oder beim Googlen ist sehr viel einzigartiger, als man intuitiv annehmen würde. Und je mehr Datenfacetten in den Big Data-Topf hinzukommen, umso geringer wird die Chance, noch in der Masse unterzugehen.
Das Fazit des Science-Themenschwerpunktes: Die geltenden Datenschutzvorschriften reichen nicht aus, weder in den USA noch in Europa – wenn wir unsere Privatsphäre nicht komplett abschreiben wollen.
Die kreativen Köpfe bei der NSA haben sich wieder einmal einen schönen Namen für ein (aus Sicht des Geheimdienstes…) schönes Projekt ausgedacht. Ziel von „Auragold“ war bzw. ist es, Einblicke in die technischen Details von Mobilfunkstandards zu bekommen. Und dazu wurden an die 1300 Mailaccounts von Tech-Experten bei Mobilfunkprovidern oder in der GSM Association geknackt und überwacht, deckt das Portal „The Intercept“ unter Rückgriff auf Snowden-Dokumente auf. Der deutsche IT-Sicherheitsexperte und Fachmann für Mobilfunkverschlüsselungsstandards, Karsten Nohl: „Die NSA scheint zwei Ziele zu verfolgen, zumindest nach Selbstbekunden aus dem jetzt öffentlich gewordenen Material: Man will zum einen Mobilfunkstandards bewusst schwächen, zum anderen existierende Mobilfunkstandards knacken; Belege sind nur für letzteres konkret geworden.“ Mit anderen Worten, ein bewusstes Einschleusen von Sicherheitslücken in Verschlüsselungsverfahren seitens des Geheimdienstes, so wie das in den Dokumenten angedeutet wird, ist durchaus denkbar, aber noch nicht bewiesen. Momentan ist also nicht völlig klar, welche Standards noch als sicher gelten können und welche kompromittiert sind. Auf jeden Fall hat die NSA sich schon seit Jahren auf Verfahren wie etwa A5/3 vorbereitet, die z.B. in Deutschland gerade mit hohem finanziellen Aufwand eingeführt werden – in Prinzip also für die Katz… Einen kleinen Trost hat Nohl, der seit geraumer Zeit auf die Schwächen und die Angreifbarkeit der GSM-Standards hinweist, immerhin noch übrig: Der Rechenaufwand bzw. die Kosten für einen Code-Knack-Computer sind noch so hoch, dass eine flächendeckende Handy-Überwachung derzeit kein realistisches Szenario ist.
Ich bin nicht bei WhatsApp. Das hat verschiedene Gründe: Das Alter. Ein ausreichendes SMS-Kontingent in meinem Mobilfunk-Tarif. Eine generelle Unlust, jederzeit und sofort auf Kommunikationsanstöße antworten zu müssen. Speziell dann bei der Geburt von WhatsApp der damals völlig intransparente Background, was Betreiber, Datenschutz und Support anbelangte. Und dann wurde das Ding auch noch ausgerechnet von Facebook geschluckt.
„The Empire strikes back.“ So sehen wohl gewisse Netzbewohner die internationale Polizeiaktion „Onymous“; inklusive wahrscheinlich der frohen Hoffnung auf eine nur vorübergehende Dauer dieses Rückschlags. Aber wer hier eigentlich auf der dunklen Seite der Macht steht, das ist ziemlich fraglich. Schon der Silkroad-1.0-Betreiber „Dread Pirate Roberts“ propagierte ein idyllisches Weltbild mit anarchischer Freiheit vor gesetzlichen Restriktionen. Für die Ermittlungsbehörden hingegen heißt der Tummelplatz der User hinter der Tor-Maske „Darknet“ – und was sich dort abspielt, ist nach dieser Lesart zu einem überwiegenden Teil schlichtweg Internetkriminalität.
Die alles entscheidende Frage betrifft aber auch alle, die Tor wirklich nur aus legitimen Privacy-Gründen nutzen – gibt es einen fundamentalen Bug im Konzept oder in der Software?