Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 22 2014

Die Gedanken sind frei

Dieser Beitrag von Anne Roth ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

Hast du eigentlich irgendwas an deinem Verhalten geändert nach den Snowden-Leaks?

Meine erste Reaktion auf die Frage war anfangs „Nein“. Ich habe vorher schon E-Mails verschlüsselt, benutze Browser-Add-Ons gegen Tracking durch Unternehmen; ich weiß, dass Überwachung stattfindet. Seit Jahren nerve ich meine Umgebung mit Erklärungen, warum ich keine Post von Gmail-Accounts kriegen will: Weil bekannt ist, dass Google seine Services nicht verschenkt, sondern eine Gegenleistung erwartet, nämlich Informationen über die Nutzer/innen, und dazu auch in den Mails nach interessanten Details sucht. Inklusive der Informationen über die, mit denen korrespondiert wird, auch wenn die keine Mail-Accounts bei Gmail haben.

Wenn ich darüber nachdenke, merke ich, dass nicht ganz stimmt, dass sich nichts geändert hat. Ich verschlüssele wieder mehr. Nicht nur E-Mails, in denen Telefonnummern, Adressen oder andere persönliche oder politische Informationen stehen, von denen ich denke, dass sie niemanden etwas angehen, sondern auch E-Mails mit vollkommen banalem Inhalt. Auf mehreren meiner Mailinglisten wurde darum gebeten, dass Mail-Adressen bei den Providern, bei denen durch die Snowden-Leaks bekannt wurde, dass sie Daten an die NSA weitergeben, bitte durch andere ersetzt werden mögen. Gefolgt von der obligatorischen Debatte, welche Anbieter denn besser wären: lokale kommerzielle Anbieter, weil die Daten dann vielleicht nicht durch Unterseekabel sofort bei GCHQ und NSA landen? Lieber keine kommerziellen Anbieter, weil die im Zweifelsfall nicht mitteilen würden, dass eine Strafverfolgungsbehörde vor der Tür stand und wissen wollte, wer wem wann was geschickt hat, oder womöglich dem BND die Daten direkt weiterleiten, genauso wie es in den USA passiert? Nur welche mit Servern in Island? Oder doch in den USA, weil es da keine Vorratsdatenspeicherung gibt? Ein derzeit nicht aufzulösendes Dilemma, weil wir nicht alles wissen und weil es keine gute Alternative gibt.

Natürlich gibt es kein Szenario, das vor allen denkbaren Gefahren schützt; das war schon vor den Leaks klar. Seit wir aber wissen, dass die Realität alle paranoiden Ideen lässig überholt, wissen wir etwas besser, dass wir mit etwas Aufwand zwar manchen Facetten der Überwachung begegnen können. Vor allem aber wissen wir, dass sehr viel mehr überwacht wird, als die es sich die meisten vorher vorstellen wollten.

Wenn Gartenbau verdächtig macht
UeberwachtesNetz-square_5112px
Zurück zu meinem eigenen Verhalten: Ich merke, dass es einen Unterschied macht, ob ich nur vermute, dass jemand mitliest und nachschaut, für welche Websites ich mich interessiere, oder ob ich weiß, dass das geschieht. Es ist einfacher, die Vermutung zu verdrängen als das Wissen. Auch wenn es kein Mensch ist, der irgendwo sitzt und liest, ist jetzt klar, dass alles gespeichert und automatisiert durch ein Raster gezogen wird. Wie das Raster genau funktioniert, wissen wir nicht, aber dass zumindest Teile unserer Kommunikation betroffen sind, wissen wir schon. Es wird nach Auffälligkeiten gesucht; nach allem, das sich vom normalen Kommunikationsverhalten unterscheidet. Von meinem normalen Kommunikationsverhalten und vom allgemein üblichen Kommunikationsverhalten.

Verschlüsselte E-Mails werden länger aufgehoben, denn die sind verdächtig. Wenn ich mit bestimmten Menschen regelmäßig verschlüsselte E-Mails austausche und zwischendurch ausnahmsweise nicht, ist das möglicherweise auch verdächtig. Zumindest auffällig. Als Methode ist das nicht neu, aber neu ist, dass alle davon betroffen sind. Ich spüre also bei allem, was ich tue, dass mir jemand Unsichtbares über die Schulter sieht und denke darüber nach, ob ich bestimmte Websites wirklich aufrufen sollte. Ich lasse mich letzten Endes nicht davon abhalten, aber der Gedanke taucht manchmal auf. Was sind Auffälligkeiten in meinem Verhalten? Wenn ich plötzlich nach Gartenbau-Geschäften suche, obwohl ich keinen Garten habe und mich noch nie dafür interessiert habe? Oder wenn ich drei Artikel über Brandanschläge auf die Berliner S-Bahn lese und ein paar Tage vergesse, die Tabs im Browser wieder zu schließen? Können die sehen, dass ich meistens mit Google suche, aber manchmal auch nicht? Und was?

An diesem Punkt angekommen denke ich, dass ich damit aufhören sollte, Paranoia zu entwickeln. Ich bin keine muslimische Fundamentalistin und es ist unwahrscheinlich, dass ich versehentlich für eine gehalten werde. Für Aktivistinnen außerhalb der USA und Großbritannien interessieren sich NSA und GCHQ nicht besonders, und die deutschen Behörden wissen in etwa, was ich so mache. Das hilft nicht immer, schon klar, aber für die meisten stimmt es schon. Für alle aus arabischen Ländern oder mit arabischen Namen allerdings sieht es schon wieder anders aus.

Viele fühlen sich also nicht wirklich persönlich bedroht. Wir sind nicht die Terroristen, die sie suchen. Und weil alle überwacht werden, verschwinden wir irgendwie in der Masse. Es ist unvorstellbar, wie aus der Datenmenge etwas entstehen kann, das tatsächlich mich persönlich gefährdet. Dazu kommt, dass die Totalität der Überwachung und die Menge der (demokratisch legitimierten) Behörden, die darin verstrickt sind, schwer zu begreifen sind.

Bedrohlicher ist die Massenüberwachung auf einer abstrakteren Ebene für Menschen, die sich mit dem Alltag von Strafverfolgungsbehörden oder Geheimdiensten beschäftigen, für die, die besser verstehen, welche Macht in technischen Systemen liegt und für die, die sich Gedanken über politische Systeme und die Idee der Demokratie machen.

Weniger bedrohlich ist sie für Menschen, die andere, spürbarere Probleme haben; weil sie von der Wirtschaftskrise betroffen sind — viele Menschen in anderen europäischen und nicht-europäischen Ländern — oder weil sie viel direktere Formen von Überwachung erleben, z.B. Trojaner-Viren, die von Regierungen gegen die Opposition eingesetzt werden.

Wer beobachtet wird, ändert das Verhalten

Ein zentrales Problem der Überwachung für alle ist, dass wir unser Verhalten ändern, wenn wir wissen, dass wir beobachtet werden. Das ist vielfach erforscht und beschrieben worden. Damit erleben wir eine direkte Einschränkung von elementaren Freiheiten und Grundrechten, in erster Linie der Meinungsfreiheit. Das wirkt sich auf alles aus, was wir öffentlich sagen oder schreiben und natürlich auch auf Situationen, von denen wir annehmen, dass sie nicht-öffentlich sind: etwa private E-Mails und Gespräche, nicht-öffentliche Websites oder auch alle scheinbar durch Privacy-Einstellungen geschützten Online-Plattformen wie Facebook oder Flickr. Wenn wir aber nirgends den Raum haben, frei zu sagen oder zu schreiben, was wir denken und damit auch keinen Raum haben, Gedanken zu entwickeln, zu testen und zu überprüfen: Wieviel Freiheit bleibt dann noch?[*]

Ich weiß das alles und habe dennoch den Eindruck, dass sich an meinem Verhalten nicht viel ändert. Ein bisschen mehr Verschlüsselung, ein bisschen weniger Google-Suche. Ich schalte mein Smartphone öfter aus und achte darauf, dass es nicht den ganzen Tag auf meinem Schreibtisch liegt. Die Kamera an meinem Laptop war vorher schon abgeklebt, seit den Leaks lege ich auch etwas auf die Kamera meines Telefons. Ich schreibe meistens, was ich für richtig halte.

Andererseits: Wie wäre es, wenn ich sicher sein könnte, dass wirklich niemand mitläse? Bzw. meine (mehr oder weniger) öffentlichen Texte auf mögliche terroristische, kritische, auffällige Inhalte überprüfte und in unbekannte Kategorien von Geheimdienst-Datenbanken einsortierte?

Eine weitere Auswirkung sind die vielen Gespräche mit Leuten, die jetzt gern verschlüsseln würden, aber nicht wissen, wie. Dann kam die Nachricht, dass auch Verschlüsselung geknackt werden kann. Danach Gespräche darüber, ob das stimmt, in welchen Fällen das stimmt und wen das betrifft.

Mit „E-Mail made in Germany“ wollen Telekom, WEB.DE und GMX sichere E-Mail anbieten, aber was heißt eigentlich sicher? Was meinen sie mit „verschlüsselt“? Oder ist das den Leuten nicht sowieso egal, weil die sich nur kurz beruhigen und dann wieder mit was anderem beschäftigen wollen? Macht es Sinn, damit anzufangen, Leuten das Verschlüsseln beizubringen, wenn sie sich letztlich doch nicht von ihrer Webmail trennen werden und alles andere zu kompliziert finden, um es regelmäßig in ihren Alltag zu integrieren? Besser wäre, dazu beizutragen, dass die nötigen Werkzeuge einfacher zu benutzen sind. Trotzdem wird es sie nicht heute und auch nicht im nächsten Monat geben.

Die Liste der Sachen, die ich mir genauer durchlesen will, damit ich besser verstehe, worauf es bei bestimmten Sicherheitsmaßnahmen ankommt, wächst. Immerhin ist es beruhigend, zu sehen, dass Krypto-Expert/innen aller Gewichtsklassen ständig diskutieren, worauf es wirklich ankommt und sich selten einig sind, was der beste Schutz ist: Das zeigt, dass es fast unmöglich ist, alles richtig zu machen. Gleichzeitig auch beunruhigend, denn die andere Seite wirkt doch ziemlich entschlossen.

Ausgehend von dem Wissen, dass es auch digital keine absolute Sicherheit gibt, bin ich schon länger der Meinung, dass es auf jeden Fall sinnvoll ist, so viel wie möglich zum eigenen Schutz zu tun. Es ist ja auch kein großes Problem, Türschlösser zu knacken und wir schließen trotzdem hinter uns ab, in der Hoffnung, dass das zu erwartende Gefummel mögliche Einbrecher/innen eher abhält als eine weit offen stehende Tür.

Nichts zu verbergen

Früher oder später taucht jemand auf, der oder die nichts zu verbergen hat. Schon gar nicht vor der NSA oder anderen Geheimdiensten. Für diesen Fall sitzt locker in der Hosentasche ein kleines Set an Argumenten:

  • die Leute, die in Mails oder in ihren Facebook-Profilen missverständliche Scherze gemacht haben und deswegen nicht in die USA einreisen durften oder gleich festgenommen wurden
  • die Leute, denen etwas Ähnliches in Europa passiert ist
  • die Leute, die lieber nicht wollten, dass Arbeitgeber/in oder Familie von der Abtreibung oder Affäre erfahren
  • der Stalker
  • die Steuererklärung
  • Firmen-Interna
  • der Unterschied, ob ich freiwillig entscheide, Informationen über mich weiterzugeben oder ob ich dazu gezwungen werde
  • Auf der anderen Seite gibt es die, die lakonisch bis überheblich erklären, dass das alles nichts Neues sei, dass sich nichts Relevantes getan hat und deswegen auch keine Notwendigkeit besteht, irgendetwas zu ändern.

    Ja, wir wussten von Echelon und wir wussten auch durch die früheren Whistleblower, dass die NSA in Utah einen großen Datenspeicher baut. Eins der beliebtesten Gesprächsthemen im Bereich Computersicherheit ist die Fachsimpelei, wie viel Rechenkapazität nötig ist, um Schlüssel dieser oder jener Länge zu knacken und wie lange das dauern wird. Selten kommt in diesen Gesprächen die Frage vor, was das jeweils kostet und ob Behörden bereit und in der Lage sind, die entsprechenden Ressourcen einzusetzen. Meiner Meinung nach ist die Option, dass etwas in x Jahren geknackt werden kann, das beste Argument dafür, so viel wie möglich zu verschlüsseln, auch wenn ich davon ausgehe, dass möglicherweise in 10 Jahren diese oder jene Mail von mir gelesen wird. Denn je mehr verschlüsselt ist, desto mehr sinkt auch die statistische Wahrscheinlichkeit, dass meine Mails bei denen dabei sind, die tatsächlich entschlüsselt werden.

    Und Google Earth?

    Schließlich gibt es regelmäßig Diskussionen, die sich darum drehen, dass sich viel zuwenig Menschen dafür interessieren, was die Snowden-Leaks ans Licht gebracht haben. Warum gibt es in Deutschland einen Aufstand, wenn Google-Autos Häuser fotografieren, aber nicht, wenn Inhalte und Meta-Daten unserer gesamten digitalen Kommunikation überwacht werden?

    Die einfache Interpretation ist, dass die Menschen eben einfältig sind und dazu von tiefsitzendem Anti-Amerikanismus beseelt. Ich halte das für falsch und zudem arrogant. Falsch, weil nicht überraschend ist, dass etwas, das sichtbar und dessen Auswirkungen damit vorstellbar sind (die Google-Autos und die Bilder der Häuser im Netz), viel mehr Angst erzeugt als die völlig abstrakte Überwachung durch NSA, GCHQ und womöglich auch den BND.

    Arrogant ist es, weil wir auf demokratische Weise nur dann etwas ändern können, wenn viele etwas ändern wollen. Wir müssen nicht alle einer Meinung sein, aber wir müssen am selben Strang ziehen. Aus den beschriebenen Gründen gibt es weniger Angst vor Überwachung als angemessen wäre, aber wenn es sie gibt, dann müssen wir das nutzen, um politisch etwas zu ändern. Genauso ist es unser Job, das Abstrakte und schwer Vorstellbare an der Überwachung, die wir jetzt sehen, besser zu erklären und vorstellbar zu machen. Und unser Wissen darüber zu teilen, wie wir uns dagegen schützen können. Natürlich ist es ein Problem, dass so viele Menschen viele Informationen scheinbar freiwillig an die Unternehmen weitergeben, die direkt mit den Geheimdiensten kooperieren. Mindestens genauso so problematisch ist aber, dass das Wissen darüber, wie digitale Kommunikation und technische Netzwerke funktionieren, für viele immer noch eine Art Geheimwissen ist.

    Wenn sich alle trauten, ihre scheinbar dummen Fragen zu stellen, wären wir einen großen Schritt weiter.

    [*] Danke an Antje Schrupp für „Mein Problem mit Post-Privacy

    Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 14 2013

    Google: “Nutzer von Gmail können keine Privatsphäre erwarten”

    In einer Stellungnahme zu einem laufenden Gerichtsverfahren haben Anwälte von Google erklärt, dass Nutzer die Emails an Googles Mailservice Gmail schicken, keine Privatsphäre zu erwarten hätten. Das berichtet Consumerwatchdog, denen die Stellungnahme von Google vorliegt.

    Oft wurde an dieser Stelle in den letzten Wochen über verschiedene Emailanbieter und Möglichkeit zur sicheren Kommunikation berichtet. Dabei wurde immer davor gewarnt einen Dienst der großen amerikanischen Konzerne wie Google, Yahoo oder Microsoft zu nutzen, wenn man seine Privatsphäre schützen möchte. Doch nun liefert sogar Google selbst die Aussage, dass Nutzer von Gmail keine Privatsphäre zu erwarten hätten:

    Just as a sender of a letter to a business colleague cannot be surprised that the recipient’s assistant opens the letter, people who use web-based email today cannot be surprised if their emails are processed by the recipient’s [email provider] in the course of delivery. Indeed, ‘a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties.


    Abschließend gibt Google zusätzlich an, dass eine Einschränkung in der Verarbeitung der Daten, zu einer Kriminalisierung von Spamfiltern und Suchen führen könne und die Klage deshalb abgewiesen werden müsse:

    Last, Plaintiffs’ claims should be rejected because they would lead to anomalous results with far-ranging consequences beyond the allegations in the Complaint. Plaintiffs’ theory–that any scanning of email content by ECS providers is illegal–would effectively criminalize routine practices that are an everyday aspect of using email. Indeed, Plaintiffs’ effort to carve out spam filtering and virus detection from their claims underscores the fact that their theory of liability would otherwise encompass these common services that email users depend on.

    Diese Aussagen tätigten Googles Anwälte in einem Prozess in dem sich Google einer Sammelklage gegenübersieht. Die Kläger beschuldigen Google, die Privatsphäre seiner Nutzer zu schädigen, indem der Inhalt von Email zur Schaltung von personalisierter Werbung untersucht werde. Die Kläger fordern Google auf darzulegen, welche Informationen von Emails hierzu genutzt werden. Eine stark zensierte Fassung der Klage ist hier einsehbar.

    Für John M. Simpson, Projektdirektor bei Consumerwatchdog, ist die Sache damit klar: Wer seine Privatsphäre schützen möchte, darf Gmail nicht nutzen.

    Google has finally admitted they don’t respect privacy,[...]. People should take them at their word; if you care about your email correspondents’ privacy don’t use Gmail.

    Dieser Aussage schließen wir uns an.

    Update: Wie Sebastian Jabbusch in den Kommentaren richtig anmerkte, hat Consumerwatchdog in der Vergangenheit bereits mehrfach Kampagnen gegen Google gestartet. Unter anderem soll Microsoft Consumerwatchdog für einige dieser Kampagnen bezahlt haben.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 05 2013

    Mailpile: Crowdfunding Kampagne für sicheren Webmail-Client gestartet

    mailpile-logoSeit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
     

    Mailpile_0_1_Interface_Compose

    Erster Entwurf des Interfaces von Mailpile



    Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.

    Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    July 09 2013

    Selber NSA spielen: Analyse von Metadaten für Gmail

    immersionIm Zuge der Enthüllungen um PRISM und Tempora fällt immer wieder der Begriff der Metadaten. Metadaten sind die Daten die notwendigerweise entstehen, wenn wir im Internet kommunizieren. Dazu gehören dann beispielsweise beim Versand einer E-Mail der Absender und der Empfänger sowie die Uhrzeit an der die Mail verschickt wurde. Diese Metadaten werden reihenweise und schleppnetzartig von den Geheimdiensten abgegriffen. Denn sie sind überaus wertvoll, wie auch Edward Snowden in einem Interview gegenüber dem SPIEGEL noch einmal bestätigt, indem er sagt, Metadaten seien “wertvoller als der Inhalt der Kommunikation”. Das liegt daran, dass mit diesen Daten enorme Beziehungsgeflechte entworfen werden können und so Verbindungen zwischen einzelnen Personen hergestellt werden können. Wie eine einfache Analyse von Metadaten aussehen könnte, zeigen drei Forscher vom MIT, welche die Anwendung Immersion entwickelt haben, mit deren Hilfe sich Interessierte ihr eigenes Gmail-Konto visualisieren lassen können.

    Dazu muss man sich auf der Webseite von Immersion in sein Gmail-Konto einloggen und Immersion den Zugriff auf das Konto gewähren. Immersion greift daraufhin auf den Absender und Empfänger ein jeder Mail zu. Zusätzlich wird noch auf den CC sowie auf das Versanddatum zugegriffen. Weder der Betreff noch der konkrete Inhalte einer E-Mail werden von Immersion angetastet – und sind auch überhaupt nicht notwendig. Alleine aus diesen Daten entwirft Immersion daraufhin ein Karte die die Verbindungen aller Kontakte untereinander visualisiert.


    9647a6a3-ec83-445f-a0b2-9296c59172ca

    Insgesamt ist es doch erstaunlich, mit welch einfachen Mitteln sich bereits so komplexe Erkenntnisse gewinnen lassen. Schließlich zeigt Immersion immer nur die Analyse von Metadaten eines Kontos an. In der Kombination verschiedener Konten ergibt sich gleich ein noch viel aussagekräftigeres Bild über eine Person und seine Beziehungen.

    Die gesammelten Daten können jederzeit gelöscht werden. Auch der Zugriff der Anwendung auf das eigene Konto kann jederzeit widerrufen werden. Dennoch sollte man sich bei Interesse an Immersion bewusst sein, dass man jemand fremden Zugriff auf seine Daten gewährt und man im Zweifelsfall nicht weiß, wie mit den Daten umgegangen wird. Wer keine Mailadresse bei Google besitzt kann Immersion zur Zeit nicht nutzen. Es wurde allerdings eine Demo entworfen, die die Visualiserung eines Fake-Accounts zeigt, von dem auch die Karte oben stammt.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
    Could not load more posts
    Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
    Just a second, loading more posts...
    You've reached the end.

    Don't be the product, buy the product!

    Schweinderl