Impressum
Herausgeber gemäß § 5 TMG bzw. § 55 RStV:
Bündnis Privatsphäre Leipzig e. V.
Tobias Rademacher (Vorstandsvorsitzender)
Vereinssitz:
Bündnis Privatsphäre Leipzig e. V.
p. Adr. Tobias Rademacher
Petzscher Straße 5
04129 Leipzig
Vorstand:
Tobias Rademacher (Vorsitzender),
Rainer Rodewald
Vereinsregisternummer beim Amtsgericht Leipzig: 5662
Kontakt:
Bündnis Privatsphäre Leipzig e. V.
p. Adr. Tobias Rademacher
Petzscher Straße 5
04129 Leipzig
Telefon: +49(0)341-9602083
E-Mail: postfach@privatsphaere-leipzig.org
PGP-ID-kurz: 0x 1A1E 4AC4
PGP-ID-lang: 0x B6BE 1088 1A1E 4AC4
PGP-Fingerprint: 2188 5963 BBB8 9CD3 C01A 90D7 B6BE 1088 1A1E 4AC4
Schlüssel direkt von unserer Site herunterladen .
Weitere Kontaktmögilchkeiten finden Sie auf unserer Kontaktseite .
Das Impressum gilt für die Websites und Auftritte unter:
https://privatsphaere-leipzig.org/
https://facebook.com/privatsphaereleipzig
https://twitter.com/privacy_leipzig
https://twitter.com/CryptoPartyLe
Haftungsausschluss:
Haftung für Inhalte
Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Haftung für Links
Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Urheberrecht
Dieses Werk bzw. Inhalt ist lizenziert unter einer Creative Commons Namensnennung 3.0 Unported Lizenz .
Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.
Quellenangaben: Disclaimer eRecht24
Wann : – ,
Wo :
Reguläres BPL-Treffen
Heute findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo: Raum des Fachschaftsrats Philosophie der Uni Leipzig: Beethovenstraße 15, 04107 Leipzig, Haus 1, Etage 1, Raum 14
SocialMedia: Facebook-Event
Folgende Tagesordnungspunkte sollen auf der Agenda abgerufen werden:
Web-Infrastruktur
Finanzierung
Social-Media
Aktionstag am 26.10.2013
Gefangene des Privacy-Narrativs?
Wann : – ,
Wo :
BPL-Treffen vom 16. Oktober 2013
Die Besprechung vom
16.10.2013 war vor allem von unserer Aktion am 26.10.2013 im Rahmen des
StopWatchtingUs -Aktionstages geprägt, deren Planung weiter konkretisiert wurde und für die Rollen wie Aufgaben verteilt wurden.
Folgende Tagesordnungspunkte wurden besprochen:
Begrüßung der Neuen
Finanzierung
Web-Infrastruktur
Social-Media
Aktionstag am 26.10.2013
Videos
Gefangene des Privacy-Narrativs?
Wann : – ,
Wo :
Startseite
Wann : – ,
Wo :
Wann : – ,
Wo :
Was war
Wann : – ,
Wo :
Datenschutzerklärung
Datenschutzerklärung:
Datenschutz
Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder eMail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.
Datenschutzerklärung für die Nutzung von Facebook-Plugins (Like-Button)
Auf unseren Seiten sind Plugins des sozialen Netzwerks Facebook (Facebook Inc., 1601 Willow Road, Menlo Park, California, 94025, USA) integriert. Die Facebook-Plugins erkennen Sie an dem Facebook-Logo oder dem “Like-Button” (“Gefällt mir”) auf unserer Seite. Eine Übersicht über die Facebook-Plugins finden Sie hier: http://developers.facebook.com/docs/plugins/ .
Wenn Sie unsere Seiten besuchen, wird über das Plugin eine direkte Verbindung zwischen Ihrem Browser und dem Facebook-Server hergestellt. Facebook erhält dadurch die Information, dass Sie mit Ihrer IP-Adresse unsere Seite besucht haben. Wenn Sie den Facebook “Like-Button” anklicken während Sie in Ihrem Facebook-Account eingeloggt sind, können Sie die Inhalte unserer Seiten auf Ihrem Facebook-Profil verlinken. Dadurch kann Facebook den Besuch unserer Seiten Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Facebook erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von facebook unter http://de-de.facebook.com/policy.php
Wenn Sie nicht wünschen, dass Facebook den Besuch unserer Seiten Ihrem Facebook-Nutzerkonto zuordnen kann, loggen Sie sich bitte aus Ihrem Facebook-Benutzerkonto aus.
Datenschutzerklärung für die Nutzung von Google +1
Erfassung und Weitergabe von Informationen:
Mithilfe der Google +1-Schaltfläche können Sie Informationen weltweit veröffentlichen. über die Google +1-Schaltfläche erhalten Sie und andere Nutzer personalisierte Inhalte von Google und unseren Partnern. Google speichert sowohl die Information, dass Sie für einen Inhalt +1 gegeben haben, als auch Informationen über die Seite, die Sie beim Klicken auf +1 angesehen haben. Ihre +1 können als Hinweise zusammen mit Ihrem Profilnamen und Ihrem Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Profil, oder an anderen Stellen auf Websites und Anzeigen im Internet eingeblendet werden.
Google zeichnet Informationen über Ihre +1-Aktivitäten auf, um die Google-Dienste für Sie und andere zu verbessern. Um die Google +1-Schaltfläche verwenden zu können, benötigen Sie ein weltweit sichtbares, öffentliches Google-Profil, das zumindest den für das Profil gewählten Namen enthalten muss. Dieser Name wird in allen Google-Diensten verwendet. In manchen Fällen kann dieser Name auch einen anderen Namen ersetzen, den Sie beim Teilen von Inhalten über Ihr Google-Konto verwendet haben. Die Identität Ihres Google-Profils kann Nutzern angezeigt werden, die Ihre E-Mail-Adresse kennen oder über andere identifizierende Informationen von Ihnen verfügen.
Verwendung der erfassten Informationen:
Neben den oben erläuterten Verwendungszwecken werden die von Ihnen bereitgestellten Informationen gemäß den geltenden Google-Datenschutzbestimmungen genutzt. Google veröffentlicht möglicherweise zusammengefasste Statistiken über die +1-Aktivitäten der Nutzer bzw. gibt diese an Nutzer und Partner weiter, wie etwa Publisher, Inserenten oder verbundene Websites.
Datenschutzerklärung für die Nutzung von Twitter
Auf unseren Seiten sind Funktionen des Dienstes Twitter eingebunden. Diese Funktionen werden angeboten durch die Twitter Inc., Twitter, Inc. 1355 Market St, Suite 900, San Francisco, CA 94103, USA. Durch das Benutzen von Twitter und der Funktion “Re-Tweet” werden die von Ihnen besuchten Webseiten mit Ihrem Twitter-Account verknüpft und anderen Nutzern bekannt gegeben. Dabei werden auch Daten an Twitter übertragen.
Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Twitter erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Twitter unter http://twitter.com/privacy .
Ihre Datenschutzeinstellungen bei Twitter können Sie in den Konto-Einstellungen unter http://twitter.com/account/settings ändern.
Quellverweis: Datenschutzerklärung eRecht24 , eRecht24 Facebook Datenschutzerklärung , Google Adsense Datenschutzerklärung , Google +1 Datenschutzerklärung , Twitter Bedingungen
Wann : – ,
Wo :
Netiquette
Es folgen einige Tips, wie man das Netz effizient und auch höflich zu aller Zufriedenheit benutzen kann (und sollte):
Zusammenfassung der Dinge, die Sie bedenken sollten…
Vergessen Sie niemals, dass auf der anderen Seite ein Mensch sitzt.
Erst lesen, dann denken, dann nochmal lesen, dann nochmal denken, und dann erst posten.
Ihre Kommentare sprechen für Sie.
Denken Sie an die Leserschaft!
Vorsicht mit Humor und Sarkasmus!
Achten Sie auf die gesetzlichen Regelungen!
Vermeiden Sie Flamewars oder Shitstorms
Don’t feed the trolls!
1. Vergessen Sie niemals, dass auf der anderen Seite ein Mensch sitzt!
Die meisten Leute denken in dem Augenblick, wo sie ihre Artikel und Mails verfassen, leider nicht daran, dass die Nachrichten nicht ausschließlich von Computern interpretiert und verarbeitet werden, sondern vielmehr von von Menschen gelesen werden.
Denken Sie stets daran und lassen Sie sich nicht zu verbalen Ausbrüchen hinreißen. Bedenken Sie: Je ausfallender und unhöflicher Sie sich gebärden, desto weniger Leute sind bereit mit ihnen zu kommutieren.
Eine einfache Faustregel: Schreibe nie etwas, was Du dem Adressaten nicht auch vor anderen Leuten ins Gesicht sagen würdest.
2. Erst lesen, dann denken, dann nochmal lesen, dann nochmal denken und dann erst posten!
Die Gefahr von Missverständnissen ist bei einem geschriebenen, computerisierten Medium besonders hoch. Vergewissern Sie sich mehrmals, dass der Autor des Artikels, auf den Sie antworten wollen, auch das gemeint hat, was Sie denken. Insbesondere sollten Sie darauf achten, ob nicht vielleicht Sarkasmus oder eine ähnliche Form des Humors benutzt wurde, ohne ihn mit einem Emoticon – z. B. “:-)” – zu kennzeichnen.
3. Ihre Kommentare sprechen für Sie.
Die meisten Leute im Netz kennen und beurteilen Sie nur über das, was Sie in Artikeln, Mails, Tweets oder Kommentaren schreiben. Versuchen Sie daher, Ihre Artikel leicht verständlich (Missverständlichkeit gering halten) zu verfassen.
4. Denken Sie an die Leserschaft!
Überlegen Sie sich vor dem Posten des Kommentares, wen die Nachricht erreichen soll. Manchmal mag es geschickt sein, die angesprochene Person innerhalb eines längeren Kommentar-Threads mit @<Name> anzusprechen.
5. Vorsicht mit Humor und Sarkasmus!
Achten Sie darauf, dass Sie Ihre sarkastisch bzw. ironisch gemeinten Bemerkungen so kennzeichnen, dass keine Missverständnisse provoziert werden. Bedenken Sie: In einem schriftlichen Medium können weder die Mimik, weder die Gestik noch Ihre Stimmmodulation übermittelt werden, die Sie bei persönlichen Gesprächen benutzen würden. Im Netz gibt es für diesen Zweck eine ganze Reihe von Symbolen (Emotiocons); die gebräuchlichsten sind “:-)” und “:-(“. Wenn Ihnen nicht sofort auffällt, was diese Symbole bedeuten sollen, legen Sie den Kopf doch einfach auf die linke Schulter und schauen Sie nochmal…
6. Achten Sie auf die gesetzlichen Regelungen!
Es ist völlig legal, kurze Auszüge aus urheberrechtlich geschützten Werken zu informationellen Zwecken zu posten (Zitation). Was darüber hinaus geht (mehr als drei Zeilen), ist illegal. Zu den urheberrechtlich geschützten Werken gehören unter anderem Zeitungsartikel, Liedtexte, Programme, Bilder etc.
Ebenfalls illegal ist es, mit Wort und/oder Bild zu Straftaten aufzurufen oder zumindest Anleitungen dafür zu liefern. Achten Sie darauf, dass Sie mit Ihren Kommentare keine Gesetze brechen und bedenken Sie, dass sich evtl. jeder strafbar macht, der solche Informationen auf dem eigenen Rechner hält und anderen zugänglich macht.
Diskriminierungen können vom Blogbetreiber nicht toleriert werden und werden daher gelöscht bzw. von einem Moderationskommentar überschrieben. Im Zweifel z. B. bei der Gefahr einer möglichen Missverständlichkeit wird der Blogbetreiber bemüht sein, Sie via E-Mail zu kontaktieren.
7. Nulltoleranz bei Flamewars und ShitStorms!
Flamewars oder sog. ShitStorms werden durch die Deaktivierung eines Artikels gedrosselt.
8. Don’t feed the trolls!
Lassen sie sich nicht provozieren. Trolle sind auf die Reaktionen au Ihre Provokation angewiesen.
Wann : – ,
Wo :
Wann : – ,
Wo :
Wann : – ,
Wo :
Kontakt
Schreiben sie uns!
Unser Kontaktformular respektiert ihre Privatsphäre und verschlüsselt ihre Anfragen mittels PGP .
This is a secure form. Your information will
be encrypted at all times while in transit.
Der aktuelle PGP-Schlüssel kann direkt von unserer Site herunterladen werden.
Pressekontakt
Alternative Kontaktmöglichkeit via E-Mail
Social Media
Mailinglisten und Vernetzung
Sie möchten dauerhaft mit uns in Kontakt treten?
Neben unseren SocialMedia-Angebot informieren wir Sie gerne durch unsere Mailinglisten unsere Aktivitäten und halten Sie über unsere Arbeit auf dem Laufenden.
Achtung! Unsere Mailinglisten sind nicht verschlüsselt. Bitte wenden Sie sich bei Anfragen oder Informationen, die Sie als privat einstufen an unsere o. g. Mailkontakte mit einer verschlüsselten E-Mail oder nutzen Sie unserer verschlüsseltes Kontaktformular. Alternativ haben Sie die Möglichkeit die oben angegebene Bitmessage-Adresse mit ihrem Bitmessage-Client anzuschreiben und ggf. den unten angegeben Kanal zu abonnieren
In Kürze werden wir auch ein öffentlich zugängliches Forum zur Diskussion und zur Vernetzung anbieten. Außerdem werden wir einen eigenen Mumble-Server einrichten, um verschlüsselte Sprachkonferenzen anbieten zu können.
Wann : – ,
Wo :
26.10. Performance in Leipziger Innenstadt anlässlich des #StopWatchingUs-Aktiontages
„Bitte nehmen Sie zur Kenntnis: Sie werden überwacht.“
Am 26.10.2013 inszeniert das Bündnis Privatsphäre Leipzig (BPL) in der Innenstadt eine Performance-Aktion zur Überwachungsproblematik.
Mit der Unterzeichnung des USA Patriot Acts am 26. Oktober 2001 wurden die amerikanischen Bürgerrechte deutlich eingeschränkt. Für die Sicherheitspolitik in vielen europäischen Ländern hatte dieses Gesetz Signalcharakter und ebnete den Weg für eine Überwachung von bisher ungekannten Ausmaßen.
Am 26. Oktober jährt sich das Inkrafttreten des USA Patriot Acts zum zwölften Mal. Zu diesem Anlass findet der StopWachtingUS -Aktionstag mit Aktionen und Demonstrationen in US-amerikanischen und deutschen Städten statt.
Auch das Bündnis Privatsphäre Leipzig (BPL) wird am 26.10 (ab 15:00 Uhr) durch eine Performance-Aktion in der Innenstadt die Überwachungsproblematik thematisieren.
Wann : – ,
Wo :
Außerplanmäßiges BPL-Treffen
Heute findet ein außerplanmäßiges, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo: Raum des Fachschaftsrats Philosophie der Uni Leipzig: Beethovenstraße 15, 04107 Leipzig, Haus 1, Etage 1, Raum 14
Karte: OpenStreetMap-Link
SocialMedia: Facebook-Event
Auf der Tagesordnung stehen die Vorbereitungen zum StopWatchingUs-Aktionstag am kommenden Samstag, 26.10.2013.
Wann : – ,
Wo :
Presseinformation: Gründung des Bündnis Privatsphäre Leipzig
Die Pressemitteilung vom 22. Oktober lautete wie folgt:
Zum 16. Oktober 2013 hat sich das Bündnis Privatsphäre Leipzig (BPL) gegründet.
Das Bündnis Privatsphäre Leipzig ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Anlass der Gründung sind die Aufdeckungen des Informanten Edward Snowden, die gezeigt haben, dass die Überwachungsprogramme international agierender Geheimdienste die demokratischen und rechtsstaatlichen Grundsätze der Bundesrepublik Deutschland wiederholt verletzt haben. Mit dem Argument, das sei ein notwendiger Teil internationaler Sicherheitspolitik, werden seit Jahren ohne gesetzliche Grundlage Technologien ausgebaut, die letztlich auf die Totalüberwachung der Gesellschaft ausgelegt sind. Eine solche Überwachung unterläuft das Prinzip der Rechtsstaatlichkeit und höhlt zunehmend das deutsche Grundgesetz aus, das allen Bürgerinnen und Bürgern Meinungs- und Redefreiheit sowie informationelle Selbstbestimmung zusichert.
Ziel der Arbeit des Bündnis Privatsphäre Leipzig ist, in der Leipziger Bevölkerung einen öffentlichen Diskurs zu den Themen Überwachung, Sicherheitspolitik und demokratische Grundsätze anzuregen und zu fördern. Neben eigenen Projekten, beispielsweise dem Betreiben eines Informationsnetzwerks, sowie Aktionen und Veranstaltungen sieht das Bündnis seine Hauptaufgabe darin, Kooperationspartner für Projekte und Veranstaltungen zu gewinnen und lokale Institutionen zu unterstützen. Zweck soll sein, auf Sicherheit und Überwachung als Kernthemen der Demokratie aufmerksam zu machen, darüber zu informieren, Diskussionsplattformen zu schaffen und zur Teilnahme am Diskurs zu animieren.
Das Bündnis Privatsphäre Leipzig verschreibt sich bei seiner Tätigkeit den Grundsätzen der Partizipation, der Vielstimmigkeit und der Transparenz. Alle Besprechungen finden öffentlich statt. Jeder Leipziger und jede Leipzigerin ist aufgerufen, selbst aktiv zu werden und die Arbeit des Bündnisses mitzugestalten, sei es durch direkte Teilnahme oder durch kooperative Projekte.
Die Gründer des Bündnisses sind der Ansicht, dass Demokratie nur existieren kann, wenn sie aktiv praktiziert wird. Reges Diskutieren und Teilnehmen am Meinungsbildungsprozess sind die Voraussetzungen für einen funktionierenden demokratischen Staat, in dem alle Menschen unter dem Schutz des Grundgesetzes würdevoll leben können. Die Geschichte zeigt, dass es verheerende Folgen haben kann, Verletzungen rechtsstaatlicher Grundsätze zu dulden. Die Arbeit des Bündnisses Privatsphäre Leipzig steht im Zeichen der Wahrung der Grundrechte und des Erhalts der Souveränität des Volkes in einem demokratischen Staat.
www.privatsphaere-leipzig.org
https://twitter.com/privacy_leipzig
http://www.facebook.com/privatsphaereleipzig
Pressekontakt
Wann : – ,
Wo :
BPL-Treffen vom 23.10.2013
Die außerplanmäßige Besprechung vom 23.10.2013 war vor allem von unserer Aktion am 26.10.2013 im Rahmen des StopWatchtingUs -Aktionstages geprägt, deren Planung weiter konkretisiert wurde und mit weiterer Rollen- wie Aufgabenverteilung verbunden war.
Wann : – ,
Wo :
Presseinformation zum #StopWachtingUS-Aktionstag: „Bitte nehmen Sie zur Kenntnis: Sie werden überwacht.“
Die Pressemitteilung vom 23. Oktober lautete wie folgt:
„Bitte nehmen Sie zur Kenntnis: Sie werden überwacht.“
Am 26.10.2013 inszeniert das Bündnis Privatsphäre Leipzig (BPL) in der Innenstadt eine Performance-Aktion zur Überwachungsproblematik.
Anlässlich des StopWatchingUs-Aktionstages am 26.10.2013, an dem in mehreren deutschen Städten Demonstrationen und Aktionen stattfinden werden, inszeniert das Bündnis Privatsphäre Leipzig eine Performance-Aktion in der Innenstadt.
Ziel der Aktion ist es, auf die Überwachungsproblematik aufmerksam zu machen. Dazu wird die allgegenwärtige, aber unsichtbare geheimdienstliche Überwachung in die wahrnehmbare Alltagswelt übersetzt. Die Performance wird von mehreren Akteuren gestaltet, die an Schreibmaschinen sitzend Bewegungsdaten der Passanten protokollieren. Ein Schild weist explizit auf den Vorgang hin: „Bitte nehmen Sie zur Kenntnis: Sie werden überwacht.“
Dieser Hinweis ist bewusst zweideutig. Er spannt den Bogen zwischen den für die Öffentlichkeit abstrakten Überwachungsprogrammen und der plakativ dargestellten direkten Überwachung durch die Akteure der Performance. Deutlich sichtbar für die Passanten werden Informationen über sie erzeugt und mithilfe analoger Schreibmaschinen unmittelbar in physischen Dokumenten festgehalten.
Parallel zur Aktion werden Mitglieder des BPL die Bürgerinnen und Bürger über den aktuellen Kenntnisstand des internationalen Überwachungsskandals informieren und auf die Möglichkeit hinweisen, sich im Bündnis zu engagieren.
Das Bündnis Privatsphäre Leipzig ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
privatsphaere-leipzig.org
twitter.com/privacy_leipzig
facebook.com/privatsphaereleipzig
Pressekontakt
Wann : – ,
Wo :
#StopWachtingUS-Aktionstag vom 26.10.2013: „Bitte nehmen Sie zur Kenntnis: Sie werden überwacht.“
Am Sonnabend, 26. Oktober, fanden weltweit Aktionen im Rahmen der
#StopWatchingUs -Bewegung statt. Anlass war der zwölfte Jahrestag des
USA Patriot Act , der durch die Ausweitung der Befugnisse amerikanischer Geheimdienste auch außerhalb Amerikas tiefgreifende Wirkungen hat.
Erstmalig beteiligte sich auch das neugegründete Bündnis Privatsphäre Leipzig mit einer Aktion. Bewusst hatten wir uns gegen eine Demonstration und für eine metaphorische Darstellung entschieden. Ziel war es, Menschen für das Thema zu sensibilisieren und durch die Intervention im öffentlichen Raum zum Nachdenken zu animieren. An der Resonanz sowohl vor Ort als auch in den Medien stellen wir fest, dass dies gelungen ist.
Drei Personen in förmlicher Kleidung mit unbedruckten Namensschildern, die hinter Schreibmaschinen Platz nahmen – so bezogen wir in der Leipziger Innenstadt Stellung. Die drei Protokollanten hielten das Geschehen fest. Ein Schild informierte: »Bitte nehmen Sie zur Kenntnis: Sie werden überwacht!«
Viele Bürger blieben stehen, schossen Fotos, stellten Fragen und ließen sich bereitwillig mit Informationsmaterial versorgen. Es entwickelten sich viele aufschlussreiche Gespräche mit den Passanten, die sich sich über Möglichkeiten des Schutzes vor Missbrauch ihrer Daten erkundigten, ihre Meinung einbrachten oder einfach Sympathie für unsere Aktion bekundeten.
Die Aktion hat unsere Erwartungen weit übertroffen. Unablässig kamen Interessierte auf uns zu, so dass unsere Informationsblätter bereits deutlich vor Ende der geplanten Zeit verteilt waren.
Wir freuen uns sehr über das rege Interesse an einer Auseinandersetzung mit dem Thema.
Besonderer Dank gilt jenen Leipzigerinnen und Leipzigern, die die Aktion tatkräftig unterstützt haben!
Pressestimmen:
Fotos:
Das Bündnis in Aktion #1
Das Bündnis in Aktion #2
Das Bündnis informiert Leipzigerinnen und Leipziger
Thank you, Edward Snowden!
Wann : – ,
Wo :
Reguläres BPL-Treffen
Heute findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo: Raum des Fachschaftsrats Philosophie der Uni Leipzig: Beethovenstraße 15, 04107 Leipzig, Haus 1, Etage 1, Raum 14
SocialMedia: Facebook-Event
Folgende Tagesordnungspunkte sollen auf der Agenda abgerufen werden:
Auswertung des Aktionstages
Zukünftige Aktionen
Kommunikation
Web-Infrastruktur
Sonstiges
Wann : – ,
Wo :
BPL-Treffen vom 30. Oktober 2013
Die Besprechung vom
30.10.2013 wurde vor allem unserer Aktion vom 26.10.2013 reflektiert.
Folgende Tagesordnungspunkte wurden besprochen:
Begrüßung neuer Mitstreiter und Fluktuationen im Team
Rekapitulation des Aktionstages vom 26.10.2013
Rekapitulation der vorhanden Ideen für künftige Projekte und Aktionen
Kommunikation: Interner und Externer Austausch
Wann : – ,
Wo :
Reguläres BPL-Treffen
Heute findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo (Raumänderung! ): Geschäftsstelle von BÜNDNIS 90/DIE GRÜNEN, Hohe
Straße 58, 04107 Leipzig
SocialMedia: Facebook-Event
Die Tagesordnungspunkte unserer Agenda sind:
Kommunikation: Interner und Externer Austausch
Web-Infrastruktur
Diskussion über die Ideen zu Projekten, Meilensteinen, Workflow und Aktionen
Sonstiges
Wann : – ,
Wo :
Besprechung vom 06.11.2013
Kernthemen der Besprechung vom
06.11.2013 waren das Auftreten des Bündnis in der Öffentlichkeit (Kommunikation), insbesondere die Klärung von Fragen zur Pressearbeit und zur Social-Media-Strategie. Ferner wurde die Grundlage für die Vernetzungsarbeit des Bündnisses gelegt.
Folgende Tagesordnungspunkte wurden besprochen:
Kommunikation: Interner und Externer Austausch
Web-Infrastruktur
Diskussion über die Ideen zu Projekten, Meilensteinen, Arbeitsweise und Aktionen
Sonstiges
Wann : – ,
Wo :
Reguläres BPL-Treffen
Heute findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo: Raum des Fachschaftsrats Philosophie der Uni Leipzig: Beethovenstraße 15, 04107 Leipzig, Haus 1, Etage 1, Raum 14
SocialMedia: Facebook-Event
Die Tagesordnungspunkte unserer Agenda sind:
Aktionen
Statusbericht AG Vernetzung
Statusbericht Pressearbeit
Informationskampagnen und Social Media
Wann : – ,
Wo :
Besprechung vom 20.11.2013
In der Besprechung vom
20.11.2013 wurden zunächst künftige Aktionen erörtert, wobei bereits über eine mögliche Teilnahme am
#idp14 (01.02.2014) diskutiert wurde. Ein weiterer wichtiger Tagesordnungspunkt waren die Diskussion über mögliche
Informationskampagnen . Zudem erstatten die Arbeitsgemeinschaft Vernetzung als auch die Pressearbeitsgruppe Bericht.
Folgende Tagesordnungspunkte wurden besprochen:
Begrüßung neuer Mitstreiter
Aktionen
Statusbericht AG Vernetzung
Statusbericht Pressearbeit
Informationskampagnen und Social Media
Besuchsbericht der CryptoParty vom 15.11.2013 im D21 Kunstraum
Wann : – ,
Wo :
BPL Treffen
Heute findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr im
Wo: Raum des Fachschaftsrats Philosophie der Uni Leipzig: Beethovenstraße 15, 04107 Leipzig, Haus 1, Etage 1, Raum 14
SocialMedia: Facebook-Event | Google+Event
Die Tagesordnungspunkte unserer Agenda sind:
Aktionsplanung
Statusbericht AG Vernetzung
Wann : – ,
Wo :
Besprechung vom 04.12.2013
In der Besprechung vom 04.12.2013 wurden vor allem Details zu kommenden Aktionen behandelt.
Für den 14. oder den 15. Dezember wurde im Rahmen des 30jährigen Jubiläums des Rechts auf informationelle Selbstbestimmung die Durchführung eines PaperStorms diskutiert.
Für den Internationalen Tag der Privatsphäre am 01.02.2014 (#idp14 ) wurden zudem mögliche Aktionsformen sowie der thematische Rahmen erörtert.
Folgende Tagesordnungspunkte wurden besprochen:
Begrüßung neuer Mitstreiter und Fluktuationen im Team
Aktionsplanung
Statusbericht AG Vernetzung
Besuchsbericht der CryptoParty vom 29.11.2013 In der ›Libelle ‹
Wann : – ,
Wo :
PaperStorm zum 30. Jahrestag des Rechts auf informationelle Selbstbestimmung
Anlässlich des 30. Jahrestages des Rechtes auf informationelle Selbstbestimmung
ruft das
Bündnis für Privatsphäre Leipzig (Privacy Leipzig) am
Sonntag den 15. Dezember zu einem PaperStorm auf.
Ziel soll die Anregung eines Dialoges mit den Leipzigerinnen und Leipzigern über die informationelle Selbstbestimmung im Zeitalter der Massenüberwachung sein.
Mithilfe von Flyern wollen wir über dieses Recht aufklären.
Für Freiwillige Helfer wird eine kurze Einweisung am Tag und am Ort des Geschehens stattfinden.
Wer uns unterstützen möchte, dem sei empfohlen, sich mit dem Thema schon vorher auseinander zu setzten
Wann : – ,
Wo :
Digitale Selbstverteidigung?
Mit Verschlüsselung, Datensparsamkeit und OpenSource-Software!
„Verschlüsselung funktioniert. Richtig implementierte starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.“ – Edward Snowden
Sie sollten also E-Mails und sonstige Kommunikation im Internet mit starken Kryptoverfahren von Nutzer zu Nutzer verschlüsseln. Warum?
Verschlüsselung ist wie der Briefumschlag bei der Post. Nur so können Sie sicher sein, das nicht jeder mitlesen kann.
Nur der von Ihnen festgelegte Empfänger kann die Daten entschlüsseln und die übermittelten Inhalte verwenden.
Es ist kein zusätzlicher Aufwand nötig, wenn die Verschüsselung einmal eingerichtet ist.
Was sollten Sie grundsätzlich beachten?
Seien Sie sparsam mit Ihren Daten – geben Sie so wenig wie möglich von sich preis.
Nutzen Sie verschiedene ,Identitäten‘ für verschiedene Dienste im Netz.
Setzen Sie auf Software, deren Quelltexte öffentlich zugänglich und damit kontrollierbar sind (OpenSource).
Was können Sie tun?
Besuchen Sie CryptoParties auf denen Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungprogrammen und -techniken vorgestellt werden und der praktische Einsatz schrittweise und mit fachkundiger Unterstützung gezeigt wird. Unsere aktuellen Termin finden Sie hier und auch auf der Website der weltweiten Cryptoparty-Bewegung unter http://www.cryptoparty.in/leipzig . Wenn Sie nicht nach Leipzig kommen können, finden Sie auf dieser Website über die Suche vielleicht eine Veranstaltung in Ihre Nähe?
Nutzen Sie alternative Suchmaschinen, z. B:
Crypto-Messenger (Apps)
Signal
Wire
Threema
Telegramm
Wickr
Antox
Ello
Whatsapp
Empfehlung
immer Ende-zu-Ende-verschlüsselt
Forward Secrecy
pattform-/geräteübergreifende Ende-zu-Ende-Verschlüsselung
Gruppenunterhaltungen Ende-zu-Ende-verschlüsselt
Telefonate Ende-zu-Ende-verschlüsselt
Video-Ende-zu-Ende verschlüsselt
Open-Source
Alternative zu
, , , Ello
, , , Ello
, , Ello
, , Ello
, , , Ello
, , Ello
–
–
Betriebssysteme
, ,
,
,
,
,
,
Software für PCs und Laptops
Im Folgenden eine Auswahl an Software, deren Einsatz sich bewährt hat:
Einsatzbereich
Standard
Software
E-Mail-Verschlüsslung
PGP/GPG
Thunderbird mit Engimail
Verschüsseltes Chatten
XMPP/OTR
Pidigin, Adium
Datei- und Festplattenverschlüsselung
AES, Towfish, Serpent
VeraCrypt, LUKS (dm-crypt)
Anonymisierungsnetzwerk
Tor/Tails
Passwortverwaltung
KeePass, KeePassX, macPass
anonyme Nachrichtenverschlüsselung
Bitmessage
unwiederbringilches Löschen von Dateien
hdparm, wipe, shred
Freier Systemcleaner für Windows und Linux
BleachBit
Eine Auswahl an Addons für Mozilla Firefox, deren Verwendung für mehr Privatspähre beim Surfen im Netz sorgt:
Addon-Name/Link
Einsatzbereich
HTTPS-Everywhere
bevorzugte Nutzung der TLS-gesicherten Verbindung zur aufgerufenen Website
No-Script
Deaktiviert standartmäßig alle Skript; Einarbeitung nötig
Disconnect
Deaktiviert Tracking-Skripte verschiedener Websiten
u Matrix
sehr mächtige, matrix-basierte Firewall im Browser; Einarbeitung nötig aber intuitiv
uBlock Origin
etwas einfacher zu bedienende Browser-Firewall; Einarbeitung nötig aber intuitiv
Für hohe Anforderungen an Anonymität setzen Sie am sichersten das Live-Systems TAILS ein. Dies ist ein Komplettpaket aus Betriebssystem auf Linux-Basis und vorkonfiguriertem Browser, auf USB-Stick oder CD/DVD installierbar. Sämtlicher Internetverkehr wird standardmäßig über das Tor-Netzwerk abgewickelt und dadurch verschleiert.
Weitere Informationen? Zum Beispiel hier:
Fragen beantworten wir gerne in unseren Forum unter https://forum.privacy-leipzig.org/ .
Sie können sich auch gern via verschüsselter E-Mail direkt an uns wenden:
Wann : – ,
Wo :
Informationen zum Aktionstag am 15.12.2013
Der Aktionstag steht kurz bevor und wir möchten euch nochmal die letzten Informationen mitteilen!
Der Treffpunkt wird unter den Bäumen zwischen Hugendubel und “City-Grill” sein.
Für den PaperStorm haben auch einen kurzes Handout (›Gesprächsleitfaden‹) erstellt, auf dem einige Informationen in aller Kürze zusammengefasst und zugespitzt sind.
ine begrenzte Anzahl von Exemplaren werden wir zur Vorbereitung zur Verfügung stellen können.
Da die Aktion im Namen des Bündnisses für Privatsphäre Leipzig stattfindet, möchten wir euch bitten euch mit unsere Selbstbeschreibung vertraut zu machen!
Wann: 13:30 Uhr
Wann : – ,
Wo :
Presseinformation: “30 Jahre Recht auf informationelle Selbstbestimmung!”
Am 15.12.1983, vor genau 30 Jahren, verabschiedete das Bundesverfassungsgericht das Volkszählungsurteil und schärfte das Recht auf informationelle Selbstbestimmung. Schon damals war die Befürchtung, dass eine vom betroffenen Bürger, nicht beherrschbare oder kontrollierbare Überwachung und Datensammlung die Freiheit jedes Menschen verletzen könne. Einen Eingriff in dieses Rechtsgut sollte nur aufgrund eines überwiegenden Interesses der Bevölkerung möglich sein zur Schutz bestimmter [anderer] Rechtsgüter. Dabei hatte das Bundesverfassungsgericht der Überwachung klare Schranken gesetzt.
Jeder Mensch sollte frei entscheiden können, wem und wo er seine Daten hinterlässt und sollte dies überprüfen können.
»Die heutige[n] Überwachungssituation[en] machen das unmöglich! Niemand weiß mehr, wann er in welcher Form überwacht wird und wie diese Informationen weitergegeben werden.« erklärt dazu das Bündnis Privatsphäre Leipzig.
Wir haben in den letzten Jahren zugelassen , dass immer weitere Einschnitte in das Grundrecht auf informationelle Selbstbestimmung gemacht wurden und das die notwendige Abwägung zwischen Freiheit und Sicherheit sich immer mehr zur absoluten Sicherheit entwickelt hat.
Einer Sicherheit, die es so nicht geben kann. Grundlage für Sicherheit ist Freiheit. Ohne Freiheit keine Sicherheit.
Eine effektive Überwachung derjenigen die Daten sammeln findet nicht statt, der grundgesetzlich garantierte Schutz der Selbstbestimmung wird durch die Bundesrepublik nicht gewährleistet. Stattdessen werden immer weitere Einschnitte ermöglicht wie etwa die Planung der großen Koalition zur Vorratsdatenspeicherung belegen.
Die Bevölkerung wir über einen Großteil dieser Eingriffe und Maßnahmen zudem nicht ausreichend aufgeklärt. Statt das Informationen verbreitet und Transparenz geschaffen wird haben die letzten Regierungen der Bundesrepublik stets auf eine Verdunklungstaktik gesetzt.
Wir, das Bündnis Privatsphäre Leipzig, nehmen daher diesen Tag zum Anlass um eindringlich an jeden Bürger zu appellieren, sich mit der Überwachung auseinanderzusetzen und nicht tatenlos hinzunehmen, dass die Grundrechte immer weiter ausgehöhlt werden.
Von Seiten der Bundesregierung fordern wir ein Stopp der Planungen zu Vorratsdatenspeicherung und den Einsatz einer unabhängigen Untersuchungskommission zum Stand der Gewährleistung der Freiheitsrechte in Deutschland.
Auch fordern wir, dass sich die deutsche Regierung um den Erlass eines weltweit gültigen Datenschutzabkommens bemüht!
Aus diesem Grund haben am gestrigen Sonntag Mitglieder des Bündnisses hunderte Flyer (PDF-Download) auf dem Leipziger Weihnachtsmarkt verteilt.
https://twitter.com/privacy_leipzig/status/412175508240355328
Wann : – ,
Wo :
Aktionsplanungstreffen zum #idp14
Am Mittwoch, den
08.01.2014 , findet ein öffentliches Aktionsplanungstreffen zum
Internationalen Tag der Privatsphäre (#idp14) statt, der für den
01.02.2014 geplant ist.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung
SocialMedia: Facebook-Event
Die Tagesordnungspunkte unserer Agenda sind:
Abschluss der Vorbereitungsphase
Festlegung der durchzuführenden Aktion (Plan A)
Festlegung eines Plans B (Schlecht-Wetter-Variante)
Einschätzung der verfügbaren Ressourcen
Flyergestaltung
Erste Gedanken zur Konzeption der Aktion
Pressearbeit
Wann : – ,
Wo :
Wann : – ,
Wo :
Bericht vom Aktionsplanungstreffen am 08.01.2014
Während dem o. g. Aktionstreffen zum #idp14 wurden über Aktionsformen und über Inhalt des Flyers diskutiert.
Die Umsetzung einer Aktion, die Hilfe eines Drohnengeschwaders auf die Überwachungssituation aufmerksam machen soll, befindet sich derzeit noch in Klärung.
Während unseres Treffen wurden vor allem Bedenken bezüglich
winterlicher Witterungen geäußert, die sinnvolle Außenaktionen nahezu vereiteln könnten.
Als kritisch wurde die geringe Akkuladekapazität von ca. 10 Minuten der uns derzeit zur Verfügung stehenden Drohnen identifiziert.
Über die gesamte Aktionszeit hinaus könnte der Drohneneinsatz mit nicht überwindbaren logistischen Anforderungen verbunden sein und etwa nur durch eine höhere Anzahl
verfügbarer Drohnen und dem Zugang zu einer vorhandenen Stromquelle überwunden werden.
Neben dem Drohnenflug werden wir noch andere Aktionsideen im weiteren Planungsverlauf evaluieren und über den entsprechenden Entscheidungsprozess berichten.
Als Schlecht-Wetter-Variante wird derzeit auch eine Podiumsdiskussion (Panel) diskutiert , die ggf. mit einem vorher stattfindenden PaperStorm verknüpft werden könnte.
Ein Flyer befindet sich bereits in Vorbereitung. Wir werden im Laufe der kommenden Woche Inhalte zu Massenüberwachung und Vorratsdatenspeicherung recherchieren.
Wann : – ,
Wo :
BPL-Treffen
Am 15. Januar 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
SocialMedia: Facebook-Event | Google+Event
Die Tagesordnungspunkte unserer Agenda sind:
Besuch der Veranstaltungen zum Tag des sicheren Internets 2014 (Safer Internet Day)
Aktionsplanung: 01.02.2014 – International Day of Privacy (#idp14)
Aktueller Status: Umgang mit dem Leistungsschutzrecht und wöchentliche Pressespiegel
Statusbericht der Vernetzungsgruppe
Künftige Aktionen und Projekte nach dem #idp14
Revitalisierung interner Kommunikationsprozesse
Wann : – ,
Wo :
Bericht von der Besprechung vom 15.01.2014
Bei unserem BPL-Treffen diskutierten wir hauptsächlich unsere Teilnahme am
#idp14 am 01.02.2013 und unsere Vernetzungsaktivitäten. Desweiteren wurde die Durchführung einer Team-internen CryptoParty, die Durchführung künftiger CryptoParties in Kooperation mit dem
Sublab sowie die Gestaltung unseres Logos debattiert.
Das Bündnis begrüßte zunächst mehrere neue Mitstreiter in ihrer Mitte.
Bedauerlicherweise war uns die Realisierung unserer zahlreichen Ideen abseits der Veranstaltung einer Demonstration für den International Privacy Day 2014 (#idp14 ) aufgrund derzeit geringen Ressourcen (WoManPower, verfügbare Zeit der Bündnismitstreiter, Kommunikation und Unterstützung) nicht möglich.
Am 01.02.2014 werden wir deshalb anlässlich des #idp14 einen sog. PaperStorm durchführen. Mitstreiter unseres Teams werden dann in der Leipziger Innenstadt mit den Passantinnen und Passanten anhand eines Flyers kurze Gespräche über den Anlass, als auch zu den Themen Massenüberwachung und Vorratsdatenspeicherung führen und für die Mitwirkung an unseren Bündnis werben.
Unsere Vernetzungsgruppe erstatte ebenfalls Bericht. Dabei wurden die ersten Schritten in Bezug auf eine mitteldeutsche Vernetzung besprochen. Die Gruppe wird in den kommenden Tagen zudem ihren Kontakt zum #StopWachingUs reaktivieren und dabei weitere Vernetzungsmöglichkeiten fokussieren.
In Bezug auf die Etablierung einer themenbezogenen wöchentlichen Presseschau in unserem Blog bestehen derzeit noch Bedenken bezüglich des Leistungsschutzrechtes.
Als erste Überlegung künftiger Projekte nach dem #idp14 wurde zunächst eine interne CryptoParty diskutiert, um alle Bündnismitstreitern grundlegendes Wissen über verschlüsselte Kommunikationswege zu vermitteln. Künftige CryptoParties sollen in Kooperation mit dem Sublab angedacht werden und solle praxisorientiert sein. (im Stile von sog. Hands-On).
Das Bündnis diskutierte kurz verschiedene Gestaltungsvorschläge unseres künftigen Logos .
Wann : – ,
Wo :
BPL-Treffen
Am 29. Januar 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
SocialMedia: Facebook-Event
Die Tagesordnungspunkte unserer Agenda sind:
PaperStorm am 01.02.2014 – International Day of Privacy (#idp14)
Statusbericht AG Vernetzung
Projekte und Aktionen nach dem #ipd14
Fundraising
Wann : – ,
Wo :
Bericht von der Besprechung vom 29.01.2014
Bei unserem BPL-Treffen diskutierten wir über den
PaperStorm am #idp14 am 01.02.2014 und unsere
Vernetzungsaktivitäten . Des weiteren wurde aufgrund des am 26.01.2014 ausgestrahlten Interviews mit Edward Snowden über ein die Affäre als solches und ihren vermeintlichen Fortgang diskutiert.
Die Anwesenden korrigierten den Flyer für den am 01.02.2014 anberaumten PaperStorm und einigten sich auf die Gestaltung der Vorderseite.
Unsere Vernetzungsgruppe erstatte ebenfalls Bericht von dem ersten Treffen des Leipziger Bündnis gegen das Freihanhandelsabkommen (“Vorsicht Freihandel “) im Haus der Demokratie am 27.01.2014. Vor dem Hintergrund der zu befürchtetenden Verschlechterung des Datenschutzes und der Implementierung von Überwachungsstrukturen zur Durchsetzung urheberrechtlicher Interessen, wie sie unlängst beim gescheiterten ACTA-Abkommen angestrebt wurden, wird das Bündnis für Privatsphäre das Leipziger Bündnis gegen das Freihandelsabkommen im Sinne unserer Vernetzungsarbeit unterstützen.
Nach dem Internationalen Tag der Privatsphäre am 01.02.2014 wollen wir uns vermehrt mit Projektarbeit auseinandersetzen und das Fundrasing vorantreiben. Dazu werden wir am 19.02.2014 ein Projektplanungstreffen veranstalten, bei dem wir ausschließlich künftige Projektideen, konkrete demnächst Projekte, wie etwa CrytpoParties und die Bildung von Projektdurchführungsgruppen diskutieren wollen. Ziel der Aktionen soll es auch auch sein für mehr aktive Unterstützung unseres Bündnisses zu werben.
Bezüglich des Leistungsschutzrechts, durch dass für die wöchentlichen Presseschau in unsrem Blog negative rechtliche Folgen befürchten, haben wir Anfragen an diverse Verleger versandt.
Wann : – ,
Wo :
Bericht zum Internationalen Tag der Privatsphäre (#idp14) am 01.02.2014
Anlässlich des
Internationalen Tags der Privatsphäre (#idp14, International Day of Privacy ) wurde weltweit, darunter auch in in zahlreichen deutschen Städten , an die Bedeutung der Privatsphäre in Form von Demonstrationen und Aktionen erinnert.
Das Bündnis für Privatsphäre Leipzig beteiligte sich ebenfalls an dem globalen Aktionstag. Anhand eines Flyers wurden mit den Leipzigerinnen und Leipzigern kurze Gespräche beführt, um über die unterschiedlichen Formen von Überwachung und die damit verbundene Einschränkung der Privatsphäre zu informieren.
Aufgrund der Pläne der noch jungen Regierungskoalition von CDU/CSU und SPD wird die umstrittene Vorratsdatenspeicherung erneut debattiert. Bereits das vom Verfassungsgericht abgewiesene Gesetz aus dem Jahr 2007 sah eine umfassende Speicherung persönlicher Informationen vor, auf deren Grundlage die Erstellung von Bewegungsprofilen möglich wäre, wodurch schließlich ein enormen Eingriff in die Privatsphäre aller Bürgerinnen und Bürger zu befürchten sein dürfte.
Auch die zunehmenden Formen von Überwachung , sowohl im Internet, als auch in öffentlichen Räumen, schränken die Privatsphäre immer mehr ein. Ein Umstand, der dadurch verschärft wird, dass die Menge und der Umfang der gesammelten Informationen ebenso diffus bleiben, wie jene Überwachenden selbst, die sich nicht selten einer transparenten, öffentlichen und demokratischen Kontrolle zu entziehen verstehen.
Und schließlich die durch das international kooperierende Netzwerk von Geheimdiensten vorangetriebene Massenüberwachung , die sich offenbar zum Ziel gesetzt hat, sämtliche Kommunikationsform zu protokollieren, zu speichern und nach Mustern zu untersuchen.
»Hauptargument für Massenüberwachung ist der Schutz der Bevölkerung vor Terroranschlägen. Diese Sicherheitsmaßnahmen sind mit einem unverhältnismäßig hohen Eingriff in die Bürgerrechte verbunden. Da die Begriffe „Terror“ und „Terrorist“ jedoch nicht klar definiert sind und die Geheimdienste die Definitionshoheit haben, ist nicht absehbar, zu welchen Zwecken die Werkzeuge zur Terrorbekämpfung letztlich verwendet werden.«, heißt es in dem Flyer der am vergangen Samstag in Leipzig verteilt wurde.
Unserer Ziel war es mit den Leipzigerinnen und Leipzigern kurze Gespräche zu führen, für das Thema sensibilisieren und auf dessen Bedeutung hinzuweisen.
Wann : – ,
Wo :
BPL-Treffen
Wann : – ,
Wo :
Projektplanungstreffen
Wann : – ,
Wo :
BPL-Treffen
Am 05. März 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
SocialMedia: Facebook-Event
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht AG Vernetzung
Statusbericht Projektgruppe Crypto
Vorstellung der Projektgruppe Filmabende
Entwurf einer kleinen Artikelreihe zur Auklärungsarbeit des BPB bezüglich der Massenüberwachung
Aktionsidee: Abhörpraxis
Statusbericht Projektgruppe Sachsen-Demo
Wann : – ,
Wo :
Gemeinsam die Freihandelsabkommen stoppen! Wir unterstützen heute die Aktion des Bündnis ›Vorsicht Freihandel!‹
Derzeit diskutiert die Öffentlichkeit die Freihandelsabkommen der EU mit USA und Kanada.
Zu den geheimen Verhandlungen zu dem Freihandelsabkommen mit dem USA, der „Transatlantische Handels- und Investitionspartnerschaft“ (TTIP), und dem Freihandelsabkommen mit Kanada (CETA) sind nur wenige Details bekannt geworden, die aus unserer Sicht höchst problematische Vereinbarungen enthalten.
Unlängst ist das Kapitel des Freihandelsabkommen mit den USA veröffentlicht worden (Leak), in welchem Vereinbarungen zum Internet festgehalten werden. In einer Analyse kommen Experten zu dem Schluss, dass das Freihandelsabkommen weiterreichende Konsequenzen haben könnte, wie sie damals durch ACTA zu befürchten waren.
Bereits mit ACTA war seinerzeit die Einrichtung sogenannter Deep Package Inspection durch die Internet-Server-Provider vorgesehen, wodurch die bereits durch die Massenüberwachung bedrohte Privatsphäre der Nutzer noch weiter eingeschränkt würde. Gegen ACTA hatten europaweite Proteste stattgefunden – auch in Leipzig.
Die Mitstreiter des Bündnisses für Privatsphäre Leipzig teilen die Befürchtungen, welche weitere Einschränkungen der Privatsphäre betreffen und unterstützen daher das Leipziger Bündnis Vorsicht Freihandel! .
Vorsicht Freihandel veranstaltet heute, am 8. März, von 13-17 Uhr am Marktplatz eine Aktion und informiert Leipzigerinnen und Leipzigern. Wir sind dabei!
Wann : – ,
Wo :
Bericht von der Besprechung am 05.03.2014
In der Besprechung vom 05.03.2014 diskutieren wir über Vernetzung, CryptoParties, künftige Aktionen und die Demonstrationen.
Zunächst erstatte unsere Vernetzungsgruppe Bericht.
Die Vernetzung mit dem Bündnis Privatsphäre Dresden läuft zur Zeit an.
Ferner wurde die Unterstützung der Aktion von Vorsicht Freihandel! beschlossen.
Einige von uns haben an der gestrigen Aktion teilgenommen .
Unsere Teilnahme an der Aktion am Dagger-Komplex Ende des Monats gilt als unwahrscheinlich, da eine Anreise bis dahin zu lange dauern würde und das allgemeine Interesse an einer Teilnahme nicht gegeben war.
Wir planen eine gruppeninterne CryptoParty, um unter unserer Mitsteiter*Innen einen Wissenstransfer zu ermöglichen. Die interne Party soll zudem die Funktion einer Generalprobe für künftige öffentliche Parties erfüllen. Unsre Cryptogruppe trifft sich nächste Woche Mittwoch (12.03.) um über die Planung künftiger Parties zu sprechen.
Zu einer neuen Aktionsidee hat sich nun auch eine entsprechende Projektgruppe gegründet, die sich um die weitere Planung kümmern wird.
Bezüglich einer sachsenweiten Demo wurden folgende Beschlüsse gefasst:
Die Aktion soll Aktion im Juni anvisiert werden.
Ein genaues Datum der Aktion ist noch offen. Zunächst sollen die lokalen Veranstaltungen in Leipzig im Juni in die Planung mit einbezogen werden.
Zur Zeit befinden wir uns noch in einer Phase der Vernetzung.
Alle evtl. interessierten Gruppen und Vereine sollen angeschrieben werden.
Derzeit unternehmen wir außerdem Anstrengungen zur Vorbereitung eines Fundraisings.
Schließlich wurde beschlossen, dass künftig keine Facebook-Events mehr erstellt werden. Die Besprechungen werden alle im Blog angekündigt.
Wann : – ,
Wo :
BPL-Treffen
Am 19. März 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht AG Vernetzung
Statusbericht AG CryptoParties
Stausbericht AG Fundrasing
Stausbericht Projektgruppe Sachsen Demo
Wann : – ,
Wo :
BPL-Treffen
Am 02. April 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht AG Vernetzung
Interne CryptoParty
Stausbericht Projektgruppe Sachsen Demo
Statusbericht Projektgruppe Fundrasing
Socializing
Vereinsgründung
Wann : – ,
Wo :
Presseinformation: “Das Leben der Anderen – Willkommen in Leipzig”
Der Fund einer nicht gekennzeichneten Überwachungskamera in einem Gebäude im Leipziger Stadtteil Connewitz und die fehlende Aufklärungsbereitschaft der Polizei in der Angelegenheit sind verstörende Zeichen. Wir fordern die umfassende Aufklärung hinsichtlich des verdeckten Kameraeinsatzes von Seiten der Behörden und die Offenlegung der bisherigen Kameraeinsätze in Leipzig.
Nach den öffentlich vorliegenden Informationen ist davon auszugehen, dass allein die verwendete Brennstoffzelle, eine “Efoy Pro 1600”, etwa 5000 € wert ist . Der Marktwert der insgesamt verwendeten Technik von ca. 8’000€ schließt eine private Anlage mit sehr hoher Wahrscheinlichkeit aus. Um so erstaunlicher, dass aktuell weder Polizei, noch Verfassungsschutz von der Anlage gewusst haben wollen.
Prinzipiell stellt der Einsatz von Überwachungskameras einen schwerwiegenden Eingriff in die Persönlichkeitsrechte von Menschen dar, weshalb er nur unter sehr engen Voraussetzungen überhaupt zulässig ist. Bei der Ausrichtung der vorgefundenen Kamera wurde dabei offenbar nicht nur Art. 2. GG, allgemeine Handlungsfreiheit und Freiheit der Person, sondern auch das Grundrecht nach Art. 13 GG, Unverletzlichkeit der Wohnung, beeinträchtigt.
Eine Erklärung für diesen schwerwiegenden Eingriff in die Grundrechte bleiben die Behörden bislang schuldig. Gerade bei derart erheblichen Verletzungen der Privatsphäre des Einzelnen – und sei es zur Abwendung von erheblichen Gefahren für die öffentliche Sicherheit und Ordnung nach dem sächsischen Polizeigesetz – gibt es (klar) sehr eng definierte Voraussetzungen. Ob diese hier vorlagen ist völlig offen. Das aktuelle Schweigen der Polizei untergräbt das Vertrauen in den Rechtsstaat und das staatliche Gewaltmonopol.
Vor diesem Hintergrund sei daran erinnert, dass Leipzig die erste Stadt in Deutschland war , in der Kameras zur Überwachung des öffentlichen Raumes eingesetzt wurden. Aufgrund fragwürdiger rechtlicher Grundlagen und unklarer Wirksamkeit wird das Grundrecht auf informationelle Selbstbestimmung so immer weiter ausgehöhlt. Andererseits findet eine ernsthafte Debatte um das Recht auf Privatsphäre und das Grundrecht auf informationelle Selbstbestimmung kaum statt.
Als Bündnis für Privatsphäre sehen wir diese Entwicklung sehr kritisch und fordern eine umfassende Aufklärung seitens der Behörden hinsichtlich der in Leipzig eingesetzten Kameras und der dadurch erreichten wirksamen Verhinderungen von schweren Straftaten.
Wann : – ,
Wo :
Presseinformation: Vorratsdatenspeicherung und Überwachung
Das Bündnis Privatsphäre Leipzig begrüßt ausdrücklich die Entscheidung des Europäischen Gerichtshofs, die die EU-Richtlinien zur Vorratsdatenspeicherung (VDS) für unvereinbar mit europäischem Recht und daher in der aktuellen Form für ungültig erklärt. Die gestrige Entscheidung markiert eine Zäsur in der Geschichte der Europäischen Union, werden damit doch insgesamt die Grundrechte auf europäischer Ebene gestärkt. Insbesondere der Datenschutz und das Recht auf informationelle Selbstbestimmung werden deutlich aufgewertet.
Durch das Urteil ist Deutschland nun nicht mehr verpflichtet, die VDS einzuführen. Entsprechend sollten auch die im Koalitionsvertrag festgeschriebenen Bemühungen der großen Koalition zur Umzusetzung der VDS sofort beendet werden. Bereits 2010 hatte das Bundesverfassungsgericht nach verschiedenen Klagen die deutsche Umsetzung der VDS ausgesetzt und für rechtswidrig erklärt.
Durch die Vorratsdatenspeicherung sollten alle elektronischen Kontakte und Kontaktversuche nachvollziehbar werden. Beziehungen zwischen Personen und deren Einbindung in soziale Strukturen wären damit automatisiert auswertbar. Sind die Daten erst einmal erhoben und gespeichert, ist deren Missbrauchspotential erheblich.
Wir sind der Ansicht, dass die Speicherung von Verbindungsdaten auf Vorrat jeden Einzelnen präventiv unter Verdacht stellt und damit kriminalisiert. Unmittelbare Folgen sind verstärkte Selbstzensur und weniger Teilhabe an demokratischer Meinungsfindung und am gesellschaftlichem Diskurs. Soll Privatsphäre im digitalen Raum erhalten bleiben, ist es alternativlos, die Vorratsdatenspeicherung abzulehnen. Außerdem ist aus Studien bekannt, dass die VDS keinen nennenswerten Beitrag zur Aufklärung von Straftaten leistet.
In seinem Urteil kritisiert der Europäische Gerichtshof unter anderem, »dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird,« geeignet sei »… bei den Betroffenen … das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.« (Urteil : Absatz 37) Die angegriffene Richtlinie führt »… zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung.« da sie sich »… generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.« (ebenda Absatz 56 und 57) Die EU-Richtlinie zur VDS sei, bezogen auf die Schwere des Grundrechtseingriffs, unverhältnismäßig und ist aus diesem Grund für ungültig erklärt worden. (ebenda Absatz 73)
Leider verbietet das Urteil des EuGH die Vorratsdatenspeicherung nicht komplett, sondern fordert nur strenge Zweckbegrenzung, Richtervorbehalt und Einengung der Speicherfrist auf ein notwendiges Minimum. Deshalb – und weil damit zu rechnen ist, dass die Regierungen den eingeräumten legalen Spielraum ausreizen werden – bleibt es erforderlich, die politischen Bemühungen fortzusetzen, damit die VDS endgültig von der Tagesordnung verschwindet.
Wann : – ,
Wo :
#StopWatchingUs Köln: Großdemo gegen Massenüberwachung in Köln
Heute ruft das Bündnis
#StopWatchingUs Köln zu einer Großdemostation gegen Massenüberwachug auf. Das Bündnis für Privatsphäre Leipzig unterstützt den Aufruf unserer Kölner Mistreiterinnen und Mitstreiter ausdrücklich.
Mehr als je zuvor ist es an der Zeit unserem gemeinsamen Protest gegen aktuelle und künftige Überwachungsstationen sichtbarer kundzutun, indem auf die Straße zu tragen und so unsere berechtige Kritik an der Praxisformen von Nachrichtendiensten und ähnlichen Institutionen unseren Mitmenschen näher zubringen. Gleichzeitig setzen wir uns dafür ein, unser Mitbürgerinnen und -bürger über die daraus entstehenden Potential der Einschränkungen unserer Grundrechte aufzuklären.
Das Bündnis #StopWachingUs Köln veranstaltet im Zuge Ihres Protests sogar ein vielfältiges Themenwochenende und kann dabei auf ein breites Spektrum von Unterstützerinnen und Unterstützern hoffen.
.
Heute, ab 14 Uhr, eine Aktionstag mit anschließender Großdemonstration in der Kölner Innenstadt . Anschließend lassen die Aktivistinnen und Aktivisten den Abend einer einer After-Protest-Party ausklingen.
Morgen, am 13. April 2014, findet von 11 Uhr bis 17 Uhr eine Barcamp zu Überwachung und eine CryptoParty beim Bauspielplatz Friedenspark e. V. im Kölner Süden statt.
Bedauerlicherweise ist es uns von Leipzig aus derzeit noch nicht möglich, eine Busreise zu organisieren, um unsere Mitaktivistinnen und -aktivisten überregional zu unterstützen. Dennoch sind wir im Geiste der Solidarität bei Euch!
Wann : – ,
Wo :
BPL-Treffen
Am 16. April 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Status Logoentwicklung
Statusbericht AG Vernetzung
Stausbericht der Projektgruppe CryptoParty
Statusbericht der Projektgruppe Pressearbeit
Statusbericht Vereinsgründung / Satzungsentwurf
Statusbericht Projektgruppe Abhöraktion
Statusbericht Projektgruppe Sachsenweite Demo
Weitere Aktionen und Socializing
Wann : – ,
Wo :
Demo am 21.06.2014
Überwachung stoppen – Grundrechte stärken
Freiheit stirbt mit Sicherheit
14 Uhr. Augustusplatz.
Vor inzwischen mehr als 30 Jahren wurde das Grundrecht auf informationelle Selbstbestimmung durch das Volkszählungsurteil des Bundesverfassungsgerichtes geschärft.
25 Jahre nach dem die Menschen gegen den Staat und seine Methoden aufbegehrten, sich gegen Stasi und Unrecht wehrten, scheint die Balance zwischen Freiheit und Sicherheit verloren gegangen zu sein.
Die Daten des Whistleblowers Edward Snowden belegen, dass wir in einer Zeit der Massenüberwachung leben.
Egal ob es um die Möglichkeiten zur Netzüberwachung geht, wie durch die Vorratsdatenspeicherung oder den künftigen Internetanschluss von Alltagsgegenständen (→ Internet der Dinge): Nicht der Staat ist gläserner geworden, sondern die Menschen.
Der Grundsatz des Rechtsstaates – die Unschuldsvermutung – gerät ins Wanken und hat sich ins Gegenteil verkehrt.
Egal ob durch Kameraüberwachung des öffentlichen Raums oder durch das Abfischen von E-Mails: dieser Rechtsgrundsatz wird ausgehöhlt und an seine Stelle tritt Schritt für Schritt die Massenüberwachung.
Das Recht auf Privatsphäre ist ein Menschenrecht, das in allen modernen Demokratien verankert ist. Die freie Entfaltung der Persönlichkeit, unbehelligt und unbeobachtet von anderen, die den Kern der Demokratie darstellt, ist verloren gegangen.
Deshalb ist es notwendig, das Recht auf Privatsphäre auch im Digitalen und auch die Freiheit, die ein jeder Mensch braucht um sich selbstbestimmt entfalten zu können immer wieder einzufordern und die Praxis der Massenüberwachung offensiv in Frage zu stellen.
Wir als Bürger prägen diese Gesellschaft. Es liegt an uns, einerseits unser Recht auf Privatsphäre einzufordern, und andererseits dem Überwachungswahn entgegenzutreten, indem wir nicht zulassen, dass immer mehr Bereiche des Lebens ausspioniert werden.
Es geht um nicht weniger als die Verteidigung unserer Grundrechte, insbesondere um unser Grundrecht auf freie Entfaltung, unser Grundrecht auf Unverletzlichkeit der Wohnung, unser Grundrecht auf freie Meinungsäußerung, unser Grundrecht auf Privatsphäre und unser Grundrecht auf informationelle Selbstbestimmung.
Deshalb rufen wir, das Bündnis Privatsphäre Leipzig zu einer Demonstration am 21.06.2014 auf!
Wehren wir uns gemeinsam gegen die anlasslose Überwachung!
Lasst uns ein Zeichen für die Privatsphäre und den Datenschutz eines jeden Menschen setzen!
Lasst uns für einen Wandel in der Politik eintreten, der die Wahrung unserer Grundrechte steht und zu einer neuen Ausgewogenheit in der Sicherheitspolitik führt.
Ziel der Demo ist es zu einem breiten, öffentlichen Diskurs über die Überwachung im Zeitalter des Internets anzuregen, der die Überwachung immer wieder hinterfragt und zu einer Verteidigung der Privatsphäre wie auch der Unschuldsvermutung beiträgt.
Ob wir etwas zu verbergen haben, entscheiden einzig und allein nur wir.
Ablauf und Route
Beginn 14 Uhr Augustusplatz, dann über den Ring zum Simsonplatz (Platz vor dem BVerwG), dann Thomaskirchhof, Innenstadt und Augustusplatz.
Guy-Fawkes-Masken sind erlaubt. Die Polizei wird sehr defensiv absichern.
Mitzeichner:
Attac Leipzig
Attac Dresden
Linxxnet
Fürdaspolitische
Asonet
Unser Dank für die Unterstützung geht an:
Piraten Dresden
Piraten Leipzig
Grüne Sachen
Grüne Leipzig
Wann : – ,
Wo :
BPL Treffen
Am 30. April 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Status Logoentwicklung
Statusbericht AG Vernetzung
Statusbericht CryptoCon 14
Statusbericht Vereinsgründung / Satzungsentwurf
Statusbericht Projektgruppe Abhöraktion
Statusbericht Projektgruppe Sachsenweite Demo
Weitere Aktionen und Socializing
Wann : – ,
Wo :
BPL-Treffen
Heute (06. Mai 2014) findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Status Logoentwicklung
Statusbericht AG Vernetzung
Interne Kommunikation
Statusbericht CryptoCon 14
Statusbericht Vereinsgründung / Satzungsentwurf
Statusbericht Projektgruppe Abhöraktion
Statusbericht Projektgruppe Sachsenweite Demo
Weitere Aktionen und Socializing
Wann : – ,
Wo :
Presseinformation: Die goldene Überwachungskamera – “Bündnis ruft Wettbewerb gegen Überwachung aus”
Das Bündnis Privatsphäre Leipzig nimmt die Antworten der Landesregierung auf eine Anfrage der Grünen im sächsischen Landtag zur verdeckten Observation zum Anlass, ein grundsätzlich es Ende der präventiven Überwachungskameras zu fordern.
Die Zahlen der polizeilichen Kriminalstatistik können keine positive Wirkung von polizeilichen Überwachungskameras nachweisen. Ein verifizierbarer Nutzen von Überwachungskameras jenseits des Verdrängungseffektes ist demnach nicht fest zustellen .
Dies hat offenbar auch die Polizei eingesehen: aus der Antwort auf die Anfrage der Grünen im sächsischen Landtag geht hervor, dass eine Kamera, die früher am Martin- Luther Ring installiert war, bereits abgebaut wurde. Das freut uns.
Denn insbesondere im Verhältnis zum schwerwiegenden Eingriff in die Privatsphäre und zum Angriff auf das Recht auf informationelle Selbstbestimmung ist präventive Kameraüberwachung definitiv nicht geeignet, die Sicherheit in Leipzig zu erhöhen.
“Gerade in einer Zeit, in der die Grundrechte auch durch bekanntwerden der NSA Affäre immer mehr eingeschränkt werden, wäre ein sensibler Umgang mit dem Recht auf Privatsphäre und Datenschutz wünschenswert”, so das Bündnis . “Dass der Minister aber angibt, dass selbst die heimliche Überwachungskamera nie eingeschaltet gewesen sei und daher niemand informiert werden müsse, z eugt von einem seltsame n Datenschutzverständnis des Ministers.”
Dass Bündnis Privatsphäre ruft nun zu einem Fotowettbewerb zum Thema Überwachung im öffentlichen Raum auf . Die Einwohner von Leipzig sind eingeladen, zum Einen die acht Überwachungskameras zu fotografieren und einzusenden, die der Sicherheit im öffentlichen Raum dienen sollen. Der Wettberwerb widmet sich aber auch allgemein der Überwachungstechnik im öffentlichen Raum . Als Gewinn winkt D ie G oldene Überwachungskamera . Angesetzt sind außerdem Sonderpreise für die Aufnahmen der zwei weiteren verdeckten Überwachungskameras. Die Preise werden im Rahmen der überwachungskritischen Demonstration am 21.06.2014 auf dem Augustusplatz verliehen.
“Wir möchten den Spiess damit umdrehen und die Techniken der Normkontrolle und Überwachung offensiv in Frage stellen. Zum einen werden wir werden die Fotos mit großer Freude veröffentlichen. Zum anderen werden wir sie an den sächsischen Datenschutzbeauftragen einsenden , um eine Überprüfung zu veranlassen. Auch viele privat installierte Überwachungskameras verletzen deutlich den rechtlichen Rahmen.”, so das Bündnis.
Die Beiträge zum Fotowettbewerb können direkt und verschlüsselt an postfach@privatsphaere-leipzig.org gesendet werden.
Alle Daten der Wettbewerbteilnehmer werden selbstverständlich vertraulich behandelt.
Wann : – ,
Wo :
Pressseinformation: Straßenaktion am 10.Mai
Am 10. Mai 2014 , zwischen 14:00 und 17:30 Uhr, wird das BÜNDNIS P RIVATSPHÄRE LEIPZIG mit einer Straßentheater-Aktion auf die anhaltende Massenüberwachung hinweisen; Ort des Geschehens: Leipziger Marktplatz am Ausgang des Citytunnels/Grimmaische Str .
Das Bündnis protestiert damit auch gegen das Vorgehen der Bundesregierung und d er ihr nachgeordneten Sicherheitsorgane. Der NSA-Untersuchungsausschuss des Bundestages wird zu einem zahnlosen Tiger, wenn der Whistle Blower Edward Snowden in Deutschland als Zeuge nicht sicher aussagen kann, ihm kein politisches Asyl gewährt wird und er mit Auslieferung rechnen muss. Wer eine Befragung über eine Videokonferenz will verstößt ferner gegen die Unmittelbarkeit der Beweisaufnahme.
Bundesregierung und Verfassungsschutz kündigen an , den Zugang zu wichtigen Dokumenten zu verhindern oder zu erschweren, und untergr a b en somit die verfassungsgemäße Kontrollfunktion des Parlamentes gegenüber der Regierung.
Gegen eine ausufernde staatliche Sicherheitsdoktrin, befördert durch eine populistische und Ängste schürende Politik, weisen wir entschieden darauf hin, dass die Gewährung von Privatsphäre eine Grundvoraussetzung für eine funktionieren de Demokratie ist . Ohne die Möglichkeit des Einzelnen, frei und geheim seine Entscheidungen zu treffen und frei von Normierungsdruck zu denken und sich zu bewegen, kann es keinen demokratisch verfassten Rechtsstaat geben.
Wir, das Bündnis für Privatsphäre Leipzig, halten den Umgang mit dem Untersuchungsausschuss des Bundestages zur NSA-Affäre für zutiefst verstörend. Obwohl mehrfach deutsches Recht gebrochen wurde – und nichts deutet drauf hin, dass sich an der unrechtmäßigen Überwachungspraxis etwas geändert hätte – , fehlt es an Aufklärungswillen seitens der regierende n Koalition. Dass darüber hinaus demjenigen, der die beispiellose, ungesetzliche Überwachung aufgedeckt hat und der als Zeuge zu deren Aufklärung zur Verfügung stehen könnte – Edward Snowden – kein sicherer Aufenthalt garantiert und mit möglicher Auslieferung an die USA gedroht wird, unterstreicht diesen fatalen Eindruck.
Eine Bereitschaft der Bundesregierung , sich kritisch mit der illegalen Überwachungspraxis auseinanderzusetzen und die Grundrechte der Bürgerinnen und Bürger zu schützen, ist n icht zu erkennen . Im Gegenteil werden Mitglieder des parlamentarischen Untersuchungsausschuss unter Androhung möglicher Konsequenzen in ihre r politischen Arbeit ein ge schüchter t und beeinfluss t .
Wann : – ,
Wo :
Wettbewerb
Die goldene Überwachungskamera: “Bündnis ruft Wettbewerb gegen Überwachung aus”
Das Bündnis Privatsphäre Leipzig nimmt die Antworten der Landesregierung auf eine Anfrage der Grünen im sächsischen Landtag zur verdeckten Observation zum Anlass, ein grundsätzlich es Ende der präventiven Überwachungskameras zu fordern.
Die Zahlen der polizeilichen Kriminalstatistik können keine positive Wirkung von polizeilichen Überwachungskameras nachweisen. Ein verifizierbarer Nutzen von Überwachungskameras jenseits des Verdrängungseffektes ist demnach nicht fest zustellen .
Dies hat offenbar auch die Polizei eingesehen: aus der Antwort auf die Anfrage der Grünen im sächsischen Landtag geht hervor, dass eine Kamera, die früher am Martin- Luther Ring installiert war, bereits abgebaut wurde. Das freut uns.
Denn insbesondere im Verhältnis zum schwerwiegenden Eingriff in die Privatsphäre und zum Angriff auf das Recht auf informationelle Selbstbestimmung ist präventive Kameraüberwachung definitiv nicht geeignet, die Sicherheit in Leipzig zu erhöhen.
“Gerade in einer Zeit, in der die Grundrechte auch durch bekanntwerden der NSA Affäre immer mehr eingeschränkt werden, wäre ein sensibler Umgang mit dem Recht auf Privatsphäre und Datenschutz wünschenswert”, so das Bündnis . “Dass der Minister aber angibt, dass selbst die heimliche Überwachungskamera nie eingeschaltet gewesen sei und daher niemand informiert werden müsse, z eugt von einem seltsame n Datenschutzverständnis des Ministers.”
Dass Bündnis Privatsphäre ruft nun zu einem Fotowettbewerb zum Thema Überwachung im öffentlichen Raum auf . Die Einwohner von Leipzig sind eingeladen, zum Einen die acht Überwachungskameras zu fotografieren und einzusenden, die der Sicherheit im öffentlichen Raum dienen sollen. Der Wettberwerb widmet sich aber auch allgemein der Überwachungstechnik im öffentlichen Raum . Als Gewinn winkt D ie G oldene Überwachungskamera . Angesetzt sind außerdem Sonderpreise für die Aufnahmen der zwei weiteren verdeckten Überwachungskameras
“Wir möchten den Spiess damit umdrehen und die Techniken der Normkontrolle und Überwachung offensiv in Frage stellen. Zum einen werden wir werden die Fotos mit großer Freude veröffentlichen. Zum anderen werden wir sie an den sächsischen Datenschutzbeauftragen einsenden , um eine Überprüfung zu veranlassen. Auch viele privat installierte Überwachungskameras verletzen deutlich den rechtlichen Rahmen.”, so das Bündnis.
Die Beiträge zum Fotowettbewerb können direkt und verschlüsselt an
postfach@privatsphaere-leipzig.org gesendet werden.
Alle Daten der Wettbewerbteilnehmer werden selbstverständlich vertraulich behandelt.
Wann : – ,
Wo :
Presseinformation: Überwachung stoppen – Grundrechte stärken. Freiheit stirbt mit Sicherheit
Vor inzwischen mehr als 30 Jahren wurde das Grundrecht auf informationelle Selbstbestimmung durch das Volkszählungsurteil des Bundesverfassungsgerichtes geschärft.
25 Jahre nach dem die Menschen gegen den Staat und seine Methoden aufbegehrten, sich gegen Stasi und Unrecht wehrten, scheint die Balance zwischen Freiheit und Sicherheit verloren gegangen zu sein.
Die Daten des Whistleblowers Edward Snowden belegen, dass wir in einer Zeit der Massenüberwachung leben.
Egal ob es um die Möglichkeiten zur Netzüberwachung geht, wie durch die Vorratsdatenspeicherung oder den künftigen Internetanschluss von Alltagsgegenständen (→ Internet der Dinge): Nicht der Staat ist gläserner geworden, sondern die Menschen.
Der Grundsatz des Rechtsstaates – die Unschuldsvermutung – gerät ins Wanken und hat sich ins Gegenteil verkehrt.
Egal ob durch Kameraüberwachung des öffentlichen Raums oder durch das Abfischen von E-Mails: dieser Rechtsgrundsatz wird ausgehöhlt und an seine Stelle tritt Schritt für Schritt die Massenüberwachung.
Das Recht auf Privatsphäre ist ein Menschenrecht, das in allen modernen Demokratien verankert ist. Die freie Entfaltung der Persönlichkeit, unbehelligt und unbeobachtet von anderen, die den Kern der Demokratie darstellt, ist verloren gegangen.
Deshalb ist es notwendig, das Recht auf Privatsphäre auch im Digitalen und auch die Freiheit, die ein jeder Mensch braucht um sich selbstbestimmt entfalten zu können immer wieder einzufordern und die Praxis der Massenüberwachung offensiv in Frage zu stellen.
Wir als Bürger prägen diese Gesellschaft. Es liegt an uns, einerseits unser Recht auf Privatsphäre einzufordern, und andererseits dem Überwachungswahn entgegenzutreten, indem wir nicht zulassen, dass immer mehr Bereiche des Lebens ausspioniert werden.
Es geht um nicht weniger als die Verteidigung unserer Grundrechte, insbesondere um unser Grundrecht auf freie Entfaltung, unser Grundrecht auf Unverletzlichkeit der Wohnung, unser Grundrecht auf freie Meinungsäußerung, unser Grundrecht auf Privatsphäre und unser Grundrecht auf informationelle Selbstbestimmung.
Deshalb rufen wir, das Bündnis Privatsphäre Leipzig zu einer Demonstration am 21.06.2014 auf! Wehren wir uns gemeinsam gegen die anlasslose Überwachung!
Lasst uns ein Zeichen für die Privatsphäre und den Datenschutz eines jeden Menschen setzen!
Lasst uns für einen Wandel in der Politik eintreten, der die Wahrung unserer Grundrechte steht und zu einer neuen Ausgewogenheit in der Sicherheitspolitik führt.
Ziel der Demo ist es zu einem breiten, öffentlichen Diskurs über die Überwachung im Zeitalter des Internets anzuregen, der die Überwachung immer wieder hinterfragt und zu einer Verteidigung der Privatsphäre wie auch der Unschuldsvermutung beiträgt.
Ob wir etwas zu verbergen haben, entscheiden einzig und allein nur wir.
Wann : – ,
Wo :
Wahlprüfsteine zur Kommunalwahl 2014
Wann : – ,
Wo :
BPL-Treffen
Am kommenden Dienstag, den 03. Juni 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Reflexion der thematisch relevanter, aktueller Ereignisse
Nachbesprechung CryptoCon 14
Statusbericht Vereinsgründung
Statusbericht Projektgruppe Sachsenweite Demo
Zukunftswerkstatt
Statusbericht CryptoParties
Wann : – ,
Wo :
Presseinformation: “Das Auge des Staates sieht nichts. Kameraüberwachung endlich beenden”
Nachdem eine weitere, nicht ausgeschilderte Überwachungskamera in Leipzig gefunden wurde, fordert das Bündnis Privatsphäre Leipzig als Konsequenz erneut die Einstellung der ansatzlosen Kameraüberwachung. Die dilettantisch eingesetzte Kamera zur verdeckten Überwachung reiht sich ein in die vielen Versuche seitens der staatlichen Organe, die Menschen zu observieren. Dass die Kamera abermals aufgefunden wurde und erneut Technik in Wert von mehreren 1000 € erst gar nicht zur Anwendung kommen können wird, zeigt, dass es der Polizei offenbar an Kompetenz im Umgang mit der Überwachungstechnik fehlt. Vor diesem Hintergrund ist aber die Missbrauchsgefahr als umso höher einzuschätzen.
“Wir fordern, dass der Einsatz der Überwachungstechnik offen und transparent aufgeklärt wird und grundsätzlich auf den Prüfstand geht. Nach wie vor meinen die Sicherhetsorgane, komplexe Probleme durch Überwachung lösen zu müssen. Das ist absolut von gestern.”, so Xan Hong vom Bündnis.
Wie inzwischen bekannt, gibt es in Leipzig eine Reihe von ausgeschilderten Überwachungskameras und auch einige halbwegs gut oder auch schlecht versteckte, heimliche Kameras. Eine davon ist kürzlich in Connewitz entdeckt worden, nun eine weitere im Stadtteil Plagwitz . Nach Angaben der Staatsregierung bleibt damit noch eine weitere verdeckte Kamera im Einsatz. Wie in Folge der Anfragen der GRÜNEN und der LINKEN im sächs. Landtag bekannt wurde, handelt es sich dabei nach Angaben der Staatsregierung um eine mobile Überwachungskamera.
Als Dienstleister für alle polizeilichen Dezernate übernahm früher das Mobile Einsatzkomando die Observierung, während das Sondereinsatzkomando die Geräte einsetzt, um Razzien vorzubereiten. Das erwähnte mobile Gerät müsste folglich ein Auto des MEK sein.
Noch vor der Wahl hat das Bündnis zudem Wahlprüfsteine zu Fragen der Sicherheit und Überwachung durch die Parteien in Leipzig beantworten lassen. Das Ergebnis und die Äußerungen von einzelnen Politikern etwa auch im Artikel von Weltnest zeigen, dass es in Leipzig eine politische Mehrheit für die Einstellung der Kameraüberwachung des öffentlichen Raumes gibt.
Maria Arkadieff vom Bündnis dazu: “Wir hoffen, dass die Parteien ihr Wort halten und sich dafür einsetzen, dass die Überwachung der Öffentlichkeit in Leipzig eingestellt wird. Wir werden auch am 21.06.2014 um 14 Uhr auf die Straße gehen und die Parteien an ihre Inhalte und Versprechungen erinnern.”
Das Bündnis Privatsphäre Leipzig ruft nun zu einem Fotowettbewerb zum Thema Überwachung im öffentlichen Raum auf. Jeder Leipziger ist eingeladen, zum Einen die acht Überwachungskameras zu fotografieren und einzusenden, die aus der Sicht des Staates der Sicherheit im öffentlichen Raum dienen. Der Wettbewerb widmet sich aber auch allgemein der Überwachungstechnik im öffentlichen Raum.
Als Gewinn winkt Die Goldene Überwachungskamera. Angesetzt sind außerdem Sonderpreise für die Aufnahmen der letzten verbliebenen verdeckten Überwachungskameras. Die Preise werden im Rahmen der überwachungskritischen Demonstration am 21.06.2014 auf dem Augustusplatz verliehen.
Wann : – ,
Wo :
Flyer zur Demo vom 21. Juni 2014
Wann : – ,
Wo :
Presseinformation: Überwachung stoppen – Grundrechte stärken. Bündnis ruft zur Demonstration auf.
Das Bündnis Privatsphäre Leipzig ruft am 21.06.2014 zur Demonstration am Augustusplatz auf. Von da aus wird der Demonstrationszug zum Simsonplatz über den Ring führen, dann zum Thomaskirchhof, weiter über den Marktplatz und zurück zum Augustusplatz.
Vor inzwischen mehr als 30 Jahren wurde das Grundrecht auf informationelle Selbstbestimmung durch das Volkszählungsurteil des Bundesverfassungsgerichtes geschärft.
25 Jahre nachdem die Menschen gegen den Staat und die repressiven Methoden der Machterhaltung aufbegehrten, scheint die Balance zwischen Freiheit und Sicherheit endgültig verloren gegangen zu sein. Die Daten des Whistleblowers Edward Snowden belegen, dass wir – wieder – in einer Zeit der Massenüberwachung leben. Ob es um die Möglichkeiten der Netzüberwachung geht (wie etwa durch die Vorratsdatenspeicherung) oder um den künftigen Internetanschluss von Alltagsgegenständen (“das Internet der Dinge”): Nicht der Staat ist gläserner geworden, sondern die Menschen.
Und das ist erst der Anfang der Überwachungsspirale. Dass der Verfassungsschutz Thüringen Briefe mittels Dampf öffnet, erinnert fatal an Methoden der Stasi. Der Widerstand bleibt verhalten. Mehr als ein Jahr ist vergangen, seit die NSA-Affäre und die anlasslose Massenüberwachung aller Menschen durch amerikanische und englische Geheimdienste aufgedeckt wurden, doch ist kaum ein Wille zur Aufklärung zu sehen. Stattdessen kündigt der Verfassungsschutz an, seine Zusammenarbeit mit der NSA intensivieren zu wollen.
Wirksame Mechanismen zur Kontrolle der Geheimdienste und des Verfassungsschutzes oder ein effektiver Schutz von privaten Daten sind nicht vorhanden. Dass all dies fehlt und dass Überwachung ungehindert stattfinden kann, ist besorgniserregend. Regelrecht katastrophal ist jedoch, dass die Menschen schweigen, anstatt sich mit den massenhaften Grundrechtsverletzungen durch die Überwachungsmaßnahmen und der daraus resultierenden Aushebelung der Demokratie auseinanderzusetzen.
Die Katastrophe des gläsernen Bürgers, der Alptraum von George Orwell, ist nicht das Kommende, sondern ist Praxis, ist Gegenwart.
Das Bündnis Privatsphäre Leipzig versteht sich als eine Initiative, die diese Themen wieder im öffentlichen Bewusstsein verankern will. Wir halten am Ideal des aufgeklärten Bürgers fest, der sich seiner Rechte bewusst ist und an ihrer Durchsetzung mitwirkt. Die Demonstration am 21. Juni 2014 ist dringend notwendig, um die Menschen auf die herrschenden, antidemokratischen Zustände hinzuweisen. Wir wollen aber auch deutlich machen, dass wir als Bevölkerung das Aushöhlen der Grundrechte und das Unterminieren der Demokratie nicht stillschweigend hinnehmen werden.
Das Bündnis Privatsphäre Leipzig fordert daher die Bürgerinnen und Bürger auf, am 21. Juni 2014 gemeinsam gegen Überwachung und für den Schutz der Grundrechte zu demonstrieren!
Unterstützer: Für das Politische, Asoet, Sublab Leipzig, Linxxnet Leipzig, Piraten Sachsen; BÜNDNIS 90/ DIE GRÜNEN Sachsen, DIE LINKE Sachsen, Attac Leipzig und Dresden, L-IZ.de
Wann : – ,
Wo :
BPL-Treffen
Heute, am 17. Juni 2014 findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Vereinsgründung
Statusbericht Projektgruppe Sachsenweite Demo
Pressearbeit und PR
Statusbericht CryptoParties
Vernetzungsarbeit
Wann : – ,
Wo :
BPL-Treffen
Am kommenden Dienstag, den 01. Juli 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Kurze Reflexion der aktuellen Ereignisse
Reflexion sachsenweite Demo vom 21.06.206
Statusbericht CryptoParties
Statusbericht AG Vernetzung
Pressearbeit und PR
Wettbewerb Goldene Kamera
Netzpolitische Termine und Aktionen
Statusbericht Projektgruppe Geburstags-Party
Socializing und Organisatorisches
Wann : – ,
Wo :
Demo vom 21. Juni 2014: Überwachung stoppen – Grundrechte stärken.
Am 21. Juni 2014 waren in Leipzig zwischen 150 bis 200 Leute unter dem Motto Überwachung stoppen – Grundrechte stärken auf der Straße.
Auch an dieser Stelle möchten wir uns nochmal ganz herzlich bei all unseren Unterstützern, Mitzeichern und Multiplikatoren für Ihre Hilfe bedanken. Insbesondere:
dem Sublab für die räumliche Unterstützung
LinXXNet für den Redebeitrag und die Unterstützung
der lokalen Presse, insbesondere L-IZ und LVZ , für die aufmerksamkeitswirksame Unterstützung
der Distillery für die Musikanlage
dem freundlicher Unterstützung durch den Lautsprecherhandwagen
dem Ordnungsamt Leipzig und der Polizei für ihre freundliche Kooperation und den reibungslosen Ablauf
Redebeiträge
Route
Musik (Playlist) – auf vielfachen Wunsch
Wann : – ,
Wo :
CryptoParty-Reihe des Bündnis Privatsphäre Leipzig
„Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.“ –
Edward Snowden, nach theguardian.com, Montag, 17. Juni 2013, 20:30 BST
„Verschlüsseln ist Bürgerpflicht“ –
Phil Zimmerman, nach ZEIT ONLINE, 5. September 2013 19:14 Uhr
Die Enthüllungen des Whistleblowers Edward Snowden haben gezeigt, dass unsere tägliche Kommunikation im und über das Internet nahezu vollständig abgefangen, mitgeschnitten aufgezeichnet und ausgewertet werden kann und wird. Die Möglichkeit staatlicher Überwachung hat mit der weitgehenden Digitalisierung von Kommunikation eine neue Dimension erlangt.
Darüber hinaus müssen wir alle davon ausgehen, dass E-Mails, Chats, Textnachrichten, Suchanfragen, Webseitenaufrufe oder auch Posts und Tweets in sozialen Netzwerken von kommerziellen Anbietern automatisiert durchsucht, zu Profilen verdichtet und verwertet werden – ohne, dass wir genau wissen können wie und durch wen das im Einzelnen geschieht und wer auf welchen Detailgrad an Informationen zugreifen kann.
Um den Kontrollverlust über die eignen Daten etwas entgegenzusetzen, plant das Bündnis Privatsphäre Leipzig eine Reihe regelmäßig stattfindender CryptoParties.
In praxisorientierter, anwenderfreundlicher und verständlicher Weise werden wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken informieren und deren Einsatz zeigen.
Das praktische Wissen um Einrichtung und Anwendung der entsprechender Programme und die Kenntnis der dahinter liegenden technischen Zusammenhänge dient der Wahrnehmung des verfassungsmäßigen Rechts auf informationelle Selbstbestimmung. Wir wollen Jede und Jeden dazu anregen und dabei unterstützen, dieses Recht auch durchsetzen zu können.
Die CryptoPartys werden jeweils an den folgenden Mittwochabende, ab 19 Uhr im Sublab angeboten:
13: August 2014
Der elektronische Briefumschlag – Verschlüsselung von E-Mails
Kurze Einführung in Verschlüsselung, praktische Anwendung von E-Mail-Verschlüsselung mit PGP.
10. September 2014
Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs.
15. Oktober 2014
Keiner soll es erraten – Passwörter, Passwort-Manager und Datei-/Festplattenverschlüsselung.
Hier gibts auch die Präsentation von der Veranstaltung.
12. November 2014
Beobachte mich nicht – Sicheres Surfen und Anoymisierungsprogramme.
Hier gibts auch die Präsentation von der Veranstaltung.
Für den praktischen Teil in allen Veranstaltung ist es sinnvoll die entsprechenden eigenen Geräte (Laptop, Computer, Smartphones etc.) mitzubringen.
Wir machen es einfach und praktisch; Vorkenntnisse sind dabei hilfreich aber nicht notwendig.
Wann : – ,
Wo :
Ankündigung Teilnahme am Aktionstag vom 26. Juli 2014 #StopWatchingUs / #IDP14
Seit mehr als einem Jahr ist durch die Enthüllungen des Whilstleblowers Edward Snowden immer genauer das Ausmaß der nahezu vollständigen, global stattfindenden Massenüberwachung bekannt geworden.
Auch ein Jahr “post Snowden” ist die flächendeckende, anlasslose Überwachung aller Menschen noch immer Realität.
Während die Bundesregierung höchstens symbolische Gesten vorzuweisen hat scheint auch der eigens eingerichtete NSA-Untersuchungsausschuss weder neue Erkentnisse ans Tageslicht zu fördern noch politisches Asyl für Edward Snowden zu ermöglichen oder irgendeine – dringend notwendige – Änderung an den zahlreichen Überwachungspraktiken herbeizuführen.
Im Gegenteil: Sicherheitspolitiker unterschiedlicher politischer Coleur fordern weiter die durch den EuGH gekippte Vorratsdatespeicherung oder befürworten Funkzellenabfragen. Der BND hat um weitere Mittel zur Massenüberwachung sozialer Medien gebeten. Der Verfassungsschutz erwägt die strategische Ausweitung seiner Tätigkeiten auf das Mitschneiden und Filtern eines beachtlichen Teils unserer alltäglichen Kommunikation.
Die existentielle Debatte um das Verhältnis von Privatheit und Öffentlichkeit im Zeitalter zunehmender Digitalisierung und um das Verhältnis zwischen freiheitlichen, demokratischen Grundrechten sowie Sicherheit und Kontrolle hat unter der Bevölkerung noch nicht einmal richtig begonnen.
Das Bündnis Privatsphäre Leipzig sieht es als eine seiner wichtigsten Aufgaben, diese Diskussionen zu initiieren und den aktuellen Stand der Debatte gemeinsam mit den Leipzigerinnen und Leipzigern kritisch zu reflektieren.
Im Rahmen des Internationalen Tags der Privatsphäre (International Day of Privacy) und unter dem Motto #StopWachtingUs finden am 26. Juli 2014 in zahlreichen Städten Aktionen, Kundgebungen und Demonstrationen statt. Wir als Bündnis Privatsphäere werden anlässlich dies Aktionstages in der Leipziger Innenstadt einen PaperStorm veranstalten.
Dabei wollen wir in kurzen Gesprächen auf die aktuelle Überwachungspraxis aufmerksam machen. Ferner weisen wir auf unsere CryptoParties hin und laden zur Teilnahme an der Demonstration “Freiheit statt Angst” (#FsA) in Berlin ein.
Wann : – ,
Wo :
BPL-Treffen
Am kommenden Dienstag, den 15. Juli 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Statusbericht Projektgruppe CryptoParty
Statusbericht Projektgruppe Geburstags-Party
Statusbericht Vereinsgründung
Statusbericht Projektgruppe Paperstorm am 26.07 #IDP14
Zukunftswerkstatt
Statusbericht AG Vernetzung
Pressearbeit und PR
Wettbewerb Goldene Kamera
Netzpolitische Termine und Aktionen
Wann : – ,
Wo :
BPL-Treffen
Heute, am 29. Juli 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Reflexion Paperstorm am 26.07 (#IDP14, #STOPWATCHINGUS)
Statusbericht Projektgruppe CryptoParty
Statusbericht Vereinsgründung
Wettbewerb Goldene Kamera
Netzpolitische Termine und Aktionen
Wann : – ,
Wo :
BPL-Treffen
Am 05. August 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Statusbericht Projektgruppe CryptoParty
Statusbericht Vereinsgründung
Statusbericht AG Vernetzung
Netzpolitische Termine und Aktionen
Wann : – ,
Wo :
BPL-Treffen
Heute, am 19. August 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Team Technik
Reflexion der CryptoParty vom 13. August 2014
Statusbericht Vereinsgründung
Statusbericht AG Vernetzung
Netzpolitische Termine und Aktionen
Wann : – ,
Wo :
#FSA14 – Wir stehen auf und gehen zum Zug
“Wenn wir frei sein wollen, können wir unsere Privatsphäre nicht aufgeben” (If we want to be free, we can’t give away our privacy”). – Edward Snowden
Am 30. 08. 2014 findet die bundesweite Demonstration „Freiheit statt Angst“ in Berlin statt.
Seit 2006 ist die Teilname ein fester Bestandteil im Kalender vieler Netz- und Bürgerrechtsaktivisten*innen. Stand in der Vergangenheit eher die Ablehnung der anlasslosen Vorratsdatenspeicherung im Vordergrund, haben – seit der Enthüllung der nahezu umfassenden globalen Massenenüberwachung – die Themen Demokratie, Privatsphäre und Überwachung enorm an Bedeutung gewonnen.
Aufstehen ist der erste Schritt! Gemeinsam wollen wir gegen Überwachung, für Demokratie und Privatsphäre auf die Straße gehen. Als Bündnis Privatsphäre Leipzig laden wir euch herzlich ein, mit uns zur Demo zu fahren und gemeinsam daran teilzunehmen.
Beginn ist um 14 Uhr am Brandenburger Tor. Wir treffen uns um 9:30 Uhr (Wer zu spät kommt, den bestraft das Leben – in diesem Fall mit einer möglicherweise teureren Fahrt.) am Hauptbahnhof Leipzig vor Bahnsteig 8 und fahren ab 10:08 Uhr mit dem Zug über Wittenberg nach Berlin. Die Rückfahrt ist für 19:15 oder 21:15 ab Berlin Hauptbahnhof über Wittenberg und Bitterfeld vorgesehen. Das endgültige Programm der Demo ist noch nicht veröffentlicht, daher noch keine definitive Entscheidung.
Nutzen wollen wir das Schöne-Wochenende-Ticket – 44,00€ für bis zu 5 Personen.
Am Bahnhof finden wir uns in Gruppen zusammen, die die Hin- und Rückfahrt gemeinsam bestreiten. Daher bitten wir alle Interessierten pünktlich am Treffpunkt zu erscheinen, damit wir die Aufteilung aller Mitfahrer*innen möglichst fair vornehmen können. Die genauen Kosten für jede*n Einzelne*n ergeben sich erst nach Grüppchenbildung, sind aber definitiv günstiger, als eine einfache Fahrt ohne Sparpreis. Im günstigsten Fall zahlen wir nur 8,80€ pro Person .
Wir freuen uns auf euch! Und vergesst Schilder und Banner mit euren Forderungen nicht.
Wann : – ,
Wo :
BPL-Treffen
Heute, am 02. September 2014, findet ein reguläres, öffentliches Treffen statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Reflexion der #fsa am 30.09.2014
Statusbericht AG Vernetzung
CryptoParty am 10.09
Vereinsversammlung am 16.09
Zukunftswerkstatt am 13.09
Wann : – ,
Wo :
Außerordentliche Vereinsversammlung
Heute, am 16. September 2014, findet ab 19 Uhr im Sublab unsere
Außerordentliche Vereinsversammlung statt. Unsere Mitglieder wurden entsprechend informiert.
Die nächste öffentliche Plenumssitzung werden wird in Kürze hier im Blog bekannt geben.
Wann : – ,
Wo :
Ja zur Privatsphäre – Nein zum Kontrollbereich
Die Bürgerinitiative
Für das Politische organisiert am kommenden
Sonntag, 21. 9. 2014, ab 14 Uhr im Leipziger Herderpark die Veranstaltung
Kontrollbereich 04277 .
Die Veranstaltung setzt sich mit alltäglicher Videoüberwachung ebenso auseinander, wie mit Methoden des Normierungsdrucks – der von vielen Connewitzer als sich
verstärkend und verstörend erfahren wird. Das Bündnis Privatsphäre
Leipzig ruft zur Unterstützung und Teilnahme an der Veranstaltung auf.
Wir begrüßen die Idee der Initiative und der Bewohner des Stadtteils, Mechanismen der Kontrolle und der sozialen Anpassung immer wieder zu hinterfragen und sich gegen die zunehmende Verunsicherung durch flächendeckende Überwachung und Verhaltenskontrolle zu stemmen.
Gerade in Sachsen, wo zivilgesellschaftliches Engagement oft misstrauisch behandelt wird, wie die Extremismusklausel , die Arbeit des Verfassungsschutzes und die Funkzellenabfrage beispielhaft belegen, und die öffentliche Diskussion darüber zu wenig gepflegt wird, ist es notwendig, dass sich die Bürger der Demokratie wieder bemächtigen und freien öffentlichen Raum einfordern.
Umrahmt wird die Veranstaltung von verschiedensten politischen und kulturellen Angeboten. Es spielen Hisztory (Singer/Songwriter, Leipzig), Maladjusted (Melodic Blues Punk Rock, Leipzig), Lektion (Punk, Leipzig) und Fargo (Postrock, Leipzig). Auf der Bühne werden
sich unterschiedliche Initiativen, Vereine und Läden vorstellen.
Außerdem gibt es Aktions- und Infostände, Graffiti, Kinderschminken, Versorgung durch die Connewitzer Szene-Gaststätte „Frau Krause“.
Die Veranstaltung beginnt um 14 Uhr und wird gegen 20 Uhr enden.
Wann : – ,
Wo :
Öffentliches Plenum
Heute, am 07. Oktober 2014, findet ein reguläres, öffentliches Plenum statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht zur Vereinseintragung
Technische Kommunikationsinfrastruktur des Bündnisses
Statusbericht der AG Vernetzung
Statusbericht Projektgruppe CryptoParty
Wann : – ,
Wo :
Keiner soll es erraten.
Mit wem teile ich Geheimnisse? Welche Beziehung, welches Vertrauen habe ich in den Gegenüber und welche Tragweite hat mein Geheimnis? Nicht jeder Mensch ist gleichermaßen vertrauenswürdig. Und es gibt Geheimnisse die wir vielleicht nur unserem Tagebuch an oder sogar niemandem anvertrauen.
Wir sind es gewohnt unseren Alltag mit Laptop, Smartphone, Tablet und im Internet zu planen, abzuwickeln und zu genießen.
Für den Zugang zu vielen Diensten oder Plattformen nutzen wir Passwörter, um den Zugriff auf die Daten durch Fremde zu verhindern und um uns bei einem Dienst, Anbieter oder einem Betriebssystem als Nutzer ausweisen. Dateien und Ordner für die wir den Zugriff beschränken wollen, sichern wir mit Passwörtern, die Zugänge für unser Online-Banking betrachten wir als besonders sensible. Diese Zugänge sollten folglich besonders gut gehütete Geheimnisse sein.
Häufiger ist von Einbrüchen in die Sicherheitssysteme größerer Anbieter und von „gestohlenen“ Passwörtern zu lesen. So sind u. a. intime Fotografien prominenter Stars , die unverschlüsselt in der Cloud ablegt waren, entwendet worden. Experten schätzen (und konnten das auch teilweise belegen ), dass viele Nutzer unzureichend sichere Passwörter verwenden.
Aber was ist ein sicheres Passwort? Wie soll ich mir solche Passwörter merken oder wie bewahre ichs sie sinnvollerweise auf? Wie kann ich Geheimnisse auf meinen Rechner, bei der Übertragung über das Internet oder beim Speichern in der Cloud vor unbefugten Zugriffen schützen? Wie, kann ich meine Daten vor Zugriff schützen, wenn mein Laptop gestohlen wurde?
Diesen und andern Fragen, werden wir am kommenden Mittwoch, 15. Oktober 2014, ab 19 Uhr im Sublab in unserer CryptoParty nachgehen. Dazu laden wir herzlich ein. Bitte bringt eure Laptops und Smartphones für den praktischen Teil mit.
Wann : – ,
Wo :
Öffentliches Plenum
Wann : – ,
Wo :
Symposium zur Ausstellung “Suchroutinen: Erzählungen von Datenbanken”
Im Rahmen der Ausstellung “Suchroutinen: Erzählungen von Datenbanken ” (04.10. – 02.11.2014) veranstaltet der D21 Kunstraum Leipzig vom 25.10. -26.10.2014 ein Symposium im Sublab .
Der D21 Kunstraum beschreibt die Ausrichtung des Symposiums wie folgt beschrieben:
»Das Symposium »Suchroutinen: Erzählungen von Datenbanken« begibt sich auf die Suche nach der »Form« der Datenbank. Jenseits prominenter Diskussionen um Überwachung durch die NSA, oder von Hackerangriffen auf Passwörter hunderttausender Nutzer, soll der Fokus auf eine Entwicklung gelegt werden, die unser Leben grundlegend geändert hat: Google, Facebook, SAP, Oracle sind Firmen, deren Geschäft auf Datenbanken basiert und die einen grundlegenden gesellschaftlichen Wandel eingeleitet haben – die maschinelle Speicherung und Verarbeitung von Daten. Es soll darüber diskutiert werden, was Datenbanken überhaupt sind, woher sie stammen und wieso sie für die heutige Gesellschaft einerseits ausgesprochen wichtig sind und andererseits wenig wahrgenommen werden.«
Weitere Informationen sind auf der Seite des D21 Kunstraums zu finden.
Wir werden ebenfalls bei dem Symposium zugegen sein und freuen uns auf regen Austausch mit allen Teilnehmer*Innen.
Wann : – ,
Wo :
Digitale Selbstverteidigung
Wann : – ,
Wo :
Wintersemster 2014
Wann : – ,
Wo :
CITIZENFOUR: Whistleblower Edward Snowden würdigt Leipziger Revolution
http://vimeo.com/110237795
Video message by Edward Snowden for the Opening Ceremony at DOK Leipzig 2014
von DOK Leipzig PLUS vor 1 Tag NOCH NICHT BEWERTET
Anlässlich der Eröffnung des diesjährigen Festivals DOK Leipzig hat sich Edward Snowden in einer Grußbotschaft an das Leipziger Publikum gewandt.
Die Leipziger Stadtgeschichte sei für Snowden eine Inspiration weil bei der Friedlichen Revolution gewöhnliche Menschen ohne Gewalt Widerstand geleistet hätten:
»Gewöhnliche Menschen, die sich gegen außergewöhnliche Kräfte gestemmt haben, erinnern uns daran, dass die Legitimität von Regierungen von der Zustimmung der Menschen abgeleitet wird, die sie gewählt haben. Und heute, da dieses Prinzip so oft vergessen wird – es gibt so viele Regierungen, auch in liberalen Demokratien, westlichen Demokratien, nicht nur in autoritären Regimen – die so häufig Taktiken der Täuschung und Geheimhaltung anwenden, dass wir uns vergegenwärtigen müssen, dass eine Zustimmung zu einer Regierung nur Bedeutung hat, wenn sie auf Information beruht.«
Die gesamte Grußbotschaft kann auf der Seite des Dok Leipzig nachgelesen werden.
Im Rahmend des Festivals feiert der Film CITIZENFOUR von Laura Poitras seine Deutschladpremiere. Zusammen mit dem Journalisten Glenn Greenwald hat Laura Poitras Edward Snowden von Beginn an bei jenen Enthüllungen begleitet, die zum ersten Mal das Ausmaß globaler Massenüberwachung durch ein Netz von Nachrichtendiensten sichtbar werden ließen.
VIDEO
Citizenfour Official Trailer 1 (2014) – Edward Snowden Documentary
Als Leipziger Bürgerinitative, für welche diese Enthüllungen die entschiedenen Impulse zu unserer Gründung auslösten, freuen wir uns besonders über Snowdens Würdigung der Leipziger Stadtgeschichte. Noch größer wäre unsere Freude, wenn Ed Snowden diese Worte hätte persönlich an das Leipziger Publikum übermitteln können.
Wir laden alle Leipziger*Innen herzlich ein, sich Poitras Dokumentarfilm CITZENFOUR im Rahmen des Festivals anzusehen.
CITZENFOUR wird während des Dok Leipzig noch heute, am um
Wann : – ,
Wo :
Öffentliches Plenum
Heute, am 04. November 2014, findet ein reguläres, öffentliches Plenum statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Vereinsgründung
Statusbericht Projektgruppe CryptoParties
Statusbericht AG Vernetzung und Teilnahme am 31C3
Statusbericht Presse- und Öffentlichkeitsarbeit
Statusbericht der Kampange für 2015 und Organistation eines Barcamps
Wann : – ,
Wo :
Interview bei Radio Blau
Wann : – ,
Wo :
CryptoParty am Mittwoch, den 12. November 2014, 19 Uhr im Sublab
Beobachte mich nicht. Sicherer und anonymer im Netz.
Wir alle nutzen heutzutage das Internet. Dabei ist das World Wide Web in den letzten Jahren immer komplexer, unübersichtlicher und auch bei einfacher Nutzung gefährlicher geworden. Wer ist noch in der Lage das Internet in seiner ganzen Breite und Komplexität zu verstehen? Welche Bedrohungen gibt es und welche Möglichkeiten ihnen auszuweichen oder ihnen zu begegnen?
Mit diesen und anderen Fragen werden wir uns morgen, am Mittwoch, den 12. November 2014, ab 19 Uhr im Sublab bei unserer letzten CryptoParty in diesem Jahr auseinandersetzten.
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen abrufen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Daten werden aber auch ohne unser Wissen und ohne unsere Zustimmung erhoben: Websites protokollieren unserer Sufverhalten und sammeln IP-Adressen, Telefonanbieter speichern den Weg unseres Handys durch die verschiedenen Funkzellen.
Wir hinterlassen Spuren, die in ihrer Summe zu Profilen zusammengefasst werden. Beim Sammeln dieser Daten sind transnationale Konzerne und nachrichtendienstliche Einrichtung längst in einen Wettbewerb miteinander getreten und haben zu diesem Zweck – frewillig oder unfreiwillig – Kooperationen geschmiedet.
Die Wenigsten sind sich darüber bewusst, wie identifizierbar wir im Web sind. Nutzer*innen wissen meist nicht, wann, vom wem und mit welcher Absicht auf die zusammengestellten Profile zugegriffen wird; vom “Kontrollverlust” bezüglich unsere Daten ist die Rede.
Die meisten Websites nutzen sogenannte Cookies um Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe gespeichert werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Doch was können wir gegen diese permanente Datenspeicherung tun? Zunächst hilft es schon, sich mit seinem eigenen Surfverhalten auseinanderzusetzen, seine Browsereinstellung zu überprüfen und zu überlegen, welchen Browser ich einsetzten möchte. Verschiedene Erweiterungen können helfen, die anfallenden Daten zu reduzieren und den Datenfluss – zumindest teilweise – zu kontrollieren.
Eine andere Möglichkeit, die Nutzung des Netzes für Websiteanbieter weniger nachvollziehbar zu machen, sind sogenannte Proxies. Ein Proxy agiert als Stellvertreter, der für mich das Herunterladen von Websites organisiert und mir diese dann bereitstellt. Ein Proxy kann zum Beispiel dabei helfen zu verschleiern, aus welchem Land ich komme und welche Seiten ich besuche. Allerdings sind nicht alle Proxies sicher, da deren Verbindungen nicht unbedingt verschlüsselt sind.
Um sich noch anonymer und sicherer durch das Netz zu bewegen, ist die Verwendung eines sogenannten Personal Virtual Private Networks (Personal VPN) empfehlenswert, für dessen Nutzung aber in der Regel eine monatliche Gebühr anfällt. Bei der Wahl eines VPN-Anbieters gibt es allerdings eine Reihe von Kriterien zu beachten, damit die Investition in die eigene Privatsphäre auch gut angelegt ist.
Ein andere Möglichkeit stellt die Einwahl in das Tor-Netz dar. Das Tor-Netz ist ein Anonymisierungsnetzwerk, dass von Freiwilligen weltweit betrieben und entwickelt wird, wobei auch jede*r zu diesem Netz beitragen kann. Die erforderliche Software ist quelloffen. Tor ist besonders bei Aktivist*Innen beliebt und für viele, die aufgrund strenger Netzzensur ihrer Heimatländer dazu gezwungen sind, sich heimlich durch das Netz zu bewegen, unumgänglich.
Auch wenn Tor weitgehend durch Freiwillige aufgebaut und verbessert wird und die Nutzung gebührenfrei ist: Es verlangt den Nutzerinnen und Nutzern einigen Konfigurationsaufwand ab, erfordert diszipliniertes Surfverhalten und sogar den Verzicht auf einige Dienste.
Wie kann ich meinen Surfverlauf besser absichern? Was muss bei der Wahl eines VPNs beachtet werden oder wie kann ich Tor sinnvoll einsetzen, um meine digitalen Spuren zu verwischen? Gibt es einen Weg die Hoheit über meine Daten zu behalten?
Wir laden euch herzlich ein morgen abend im Sublab mit uns zu diskutieren. Für die praktische Anwendung bitten wir um die Mitnahme von Laptops und Smartphones. Vorkenntnisse sind wie immer nicht notwendig.
Wann : – ,
Wo :
Folien zur CryptoParty
Die CryptoParty ist vorbei. Wir danken den vielen Anwesenden für ihre Teilnahme.
Hier haben wir die versprochenen Folien: Link
Wann : – ,
Wo :
Öffentliches Plenum am 18. November 2014
Morgen, am Dienstag, den 18. November 2014, findet unser nächstes reguläres, öffentliches Plenum statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Statusbericht Projektgruppe CryptoParties
Statusbericht Vereinsgründung
Statusbericht AG Vernetzung
Planung Konzeptwerkstatt
Offene Begriffsdiskussion: Das 1×1 der Privatsphäre
Interessierte sind herzlich eingeladen unserem Plenum beizuwohnen. Vorkenntnisse und Anmeldung sind nicht erforderlich.
Wann : – ,
Wo :
Main Catchy Headline (A)
This is the first paragraph of your landing page where you want to draw the viewers in and quickly explain your value proposition.
Use Bullet Points to:
Explain why they should fill out the form
What they will learn if they download
A problem this form will solve for them
Short ending paragraph reiterating the value behind the form
Wann : – ,
Wo :
A/B Testing Call To Action Example
Wann : – ,
Wo :
Pressemitteilung des Bündnis Privatsphäre Leipzig zur geplanten Etaterhöhung des BND
Am 26.11.2014 soll der deutsche Bundestag die Beschlussempfehlungen und Berichte des Haushaltsausschusses für die Bundeskanzlerin und das Bundeskanzleramt in namentlicher Abstimmung bestätigen. Gegenstand der Abstimmung wird auch der Etat des Bundesnachrichtendienstes (BND) sein, dessen Volumen um fast 57 Mio. EUR auf dann über 615 Mio. EUR erhöht werden soll. Der Geheimdienst begründet die geforderte Budgeterhöhung damit, dass die massenhafte Überwachung des Internetverkehrs weiter ausgebaut werden müsse.
Brisante Details: Der BND möchte verdeckte Zugänge zu Internetprovidern im Ausland einrichten, um dort systematisch nach Schwachstellen zu suchen. Er richtet seinen Blick zudem verstärkt auf die sozialen Medien. Die dort produzierten Daten sollen zukünftig zusammengeführt und einer systematischen Trend- und Gefahrenanalyse unterzogen werden. Schließlich sollen auch Metadaten wie z.B. Absender- und Empfängeradressen versendeter Datenpakete und die entsprechenden Zugriffe, aber auch Kommunikations-inhalte erfasst und analysiert werden.
In dieses Schema fügt sich auch die Ankündigung zum Einkauf von offenen Sicherheitslücken in Computerprogrammen und Betriebssystemen. Die so genannten Zero-Day-Exploits werden auf Schwarzmärkten im Internet gehandelt, auf denen sich auch Kriminelle bedienen. Sie werden dazu genutzt, in Computer- und Kommunikationssysteme einzudringen, um dort vorhandene Daten zu kopieren, zu manipulieren oder die Systeme für Zwecke des Angreifenden zu verwenden.
Die Bundesregierung hat Informationen zur Verwendung dieser Schwachstellen durch den BND bereits von vornherein als streng geheim eingestuft: Wie bei anderen Aktionen des Geheimdienstes auch, findet keine öffentliche Evaluation statt. Selbst die parlamentarischen Kontrollgremien werden – wie der immer noch laufenden NSA-Untersuchungsausschuss deutlich macht – unzureichend und oft verspätet informiert.
Das Bündnis Privatsphäre Leipzig teilt die scharfe Kritik des Chaos Computer Club der im Einstieg des BND in das zweifelhafte Geschäft mit den Sicherheitslücken ein nicht einzuschätzendes Risiko für die IT-Sicherheit und besonders für die Wirtschaft sieht: „Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen.“
Auch wenn der Bundesnachrichtendienst beteuert, Daten deutscher Staatsbürger*innen bei der Erfassung und Auswertung auszufiltern, sind weder die zugrundeliegenden Kriterien noch deren zuverlässiges Funktionieren überprüfbar. So wissen wir bereits aus dem NSA-Untersuchungsausschuss, dass auch Daten deutscher Staatsbürger*innen an fremde Dienste weitergegeben wurden.
Durch die geplante und zielgerichtete Kompromittierung von IT-Systemen sehen wir das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme grundlegend gefährdet. Datenströme im Internet werden international verteilt. Es kann also nicht ausgeschlossen werden, dass Daten deutscher Staatsbürger*innen von Spionageaktivitäten und Manipulationen im Ausland unmittelbar betroffen sind.
Die Gewährleistung und Durchsetzung der informationellen Selbstbestimmung und damit die Wahrung der Privatsphäre im digitalen Zeitalter sind Teil der Werteordnung unserer freiheitlich-demokratischen Gesellschaft. Wir fordern den Bundestag daher auf, den Wünschen des BND nach mehr Mitteln für Programme zur Massenüberwachung nicht nachzukommen. Wir fordern zudem, den Ankauf von Zero-Day-Exploits durch jegliche nachrichtendienstliche und polizeiliche Einrichtung gesetzlich zu untersagen. Stattdessen erwarten wir einen Ausbau des parlamentarischen Kontrollgremiums der Geheimdienste und eine größere Öffentlichkeit und Transparenz im Umgang mit dem Thema, insbesondere im Hinblick auf den NSA-Untersuchungsausschuss.
Die Berliner Initiativen #wastun und campact planen für den 27.11. eine Protestaktion gegen die Etatforderungen des Bundesnachrichtendienstes zum Ausbau von Massen-überwachung. Wir rufen alle auf, sich diesem Protest anzuschließen.
Donnerstag, 27.11.2014 von 8:30 bis 9:00 Uhr vor dem Reichstag, Platz der Republik 1, Berlin
http://blog.campact.de/2014/11/kein-steuergeld-fuer-grundrechtsbruch/
Außerdem gibt es einen Aufruf, die Abgeordneten via E-Mail zu kontaktieren:
http://wastun.jetzt/2014/11/abruesten-statt-aufruesten-keine-etaterhoehung-fuer-den-bnd/
Wann : – ,
Wo :
Öffentliches Plenum am 2. Dezember 2014
Morgen, am Dienstag, den 02. Dezember 2014, findet unser nächstes reguläres, öffentliches Plenum statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Tagesordnungspunkte unserer Agenda sind:
Status Vereinsgründung, Vorgehen bezüglich Anforderungen des Amtsgerichtes
Planung #wasnun (Barcamp am 28./29. 03. 2015) Stand und Aussichten
Info Projektgruppe CryptoPartyies (Festlegung zum Flyerdruck bezüglich Vereinsangabe)
Statusbericht zu Vernetzung mit andern Gruppen (u. A. CryptoCon15 mit Sublab)
Interessierte sind wie immer herzlich eingeladen. Vorkenntnisse und Anmeldung sind nicht erforderlich. Empfehlenswert ist warme Kleidung und (mindestens) eine Decke – im sublab ist es akutell leider sehr kalt; aber wir arbeiten daran 😉
Wann : – ,
Wo :
Öffentliches Plenum am 16. Dezember 2014
Morgen, Dienstag, am 16. Dezember 2014, findet unser nächstes reguläres, öffentliches Plenum statt.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung 2015
Verein 2015
Ziele und inhaltliche Diskussion
Cryptoparties 2015
Kommunikationsmanagement/Reflektion
Interessierte sind wie immer herzlich eingeladen – einfach vorbei kommen.
Hinweis: Warme Kleidung und (mindestens) eine Decke sind empfehlenswert – im sublab ist es immer noch sehr kalt.
Wann : – ,
Wo :
Frohe Weihnachten und einen guten Rutsch
Auch wir möchten es uns nicht nehmen lassen euch allen eine frohe und besinnliche Weihnacht und einen super Rutsch ins Jahr 2015 zu wünschen.
Das Jahr 2014 war ein Jahr welches uns einiges im Hinblick auf unsere Strukturierung gebracht hat. Der Weg zu Gründung eines Vereins ist nur einer von vielen Punkten.
Jedoch haben wir auch eine Demo veranstaltet, an Aktionstagen teilgenommen und natürlich auch CryptoPartys veranstaltet.
Zwei von uns werden auch auf dem 31C3 unterwegs sein, was nochmal einen schönen Abschluss des Jahres darstellt.
Gleich am 14. Januar wird es mit unserer ersten CryptoParty losgehen. Dort wollen wir uns mit asymmetrischer Verschlüsselung (E-Mail-Verschlüsselung) und sicheren Passwörtern auseinandersetzen.
Weitere Projekte werden folgen!
Frohe Weihnachten!
Wann : – ,
Wo :
Aktivismus auf dem 31c3
»Don’t get mad, get organized« – Jacob Applebaum, 30. Dezember 2014, 31c3
Im Rahmen des 31. Chaos Communication Congress (31c3 ) haben wir uns vom 27. Dezember bis zum 30. Dezember mit bundesweit engagierten Aktivst*Innen getroffen und über eine besseren Austausch, eine bessere Vernetzung und eine mögliche Koordination dezentraler Aktionen ausgelotet.
Gemeinsam mit #StopWatchingUs und #wastun haben wir zwei Sessions , die mit dem Titel “Ein Bündnis gegen Überwachung schmieden” (28.12.) bzw. “Verbesserung der Zusammenarbeit gegen Massenüberwachung” (29.12) überschrieben waren, veranstaltet in deren Folge sich am letzten Tag noch zwei weitere Treffen ergaben.
Innerhalb der Sessions hatten wir nicht nur Gelegenheit mit Mitstreiter*Innen des Arbeitskreis Vorratsdatenspeicherung und von digital courage zu sprechen, sondern auch den konstruktiven Austausch mit verschiedenen anderen Ortsgruppen fortzuführen oder aufzunehmen. So hatten wir u. a. die Gelegenheit Aktivist*Innen von #Neuland aus Halle kennen zu lernen. Wer einen Einblick unserer Ergebnisse erhalten möchte kann einen Blick auf eine entsprechende Vernetzungsseite werfen.
Der Kongress bot ferner die Möglichkeit einen Einblick in die Arbeit von Bügerrechtler*Innen zu gewinnen, die in den USA und europaweit für unsere digitalen Bürgerrechte eintreten.
Am 29. Dezember hatten nahmen wir mit hundert Aktivist*Innen ferner die Gelegenheit war, auf einer Demonstration für unsere Grundrechte auf die Straße zu gehen und ein Zeichen gegen die Massenüberwachung zu setzen.
Danke an jene, die diese Vernetzungsarbeit möglich gemacht werden – insbesondere nach Köln , Lübeck und Berlin .
Über künftige Aktionen, die wir gemeinsam organisieren wollen, werden wir hier selbstverständlich bald berichten: Stay tuned!
Das gilt übrigens auch für einen Bericht, in dem wir einige wissenswerte Inhalte aus den zahlreichen Vorträgen aufbereiten werden, die wir der oder dem Leser*In einfach nicht vorenthalten können.
Wann : – ,
Wo :
Öffentliches Plenum am 6. Januar 2015
Wir starten in das Neue Jahr – nicht nur mit guten Vorsätzen. Deshalb ist Morgen, Dienstag, am 6. Januar 2015, unser nächstes reguläres, öffentliches Plenum, zu dem wir herzliche alle Interessierten einladen.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Bericht über die Veranstaltung “Zerstören Google & Co. die Welt?”
Bericht über die Teilname am 31C3
CryptoParty im Januar
Beratung bzgl. Teilnahme/Aktion am/zum Safer Internet Day (10. 2. 2015)
Vernetzungsarbeit in der Region intensivieren
Übergabe an und Einführung des neuen Kommunikationsmanagers
Willkommen!
Hinweis: Warme Kleidung und (mindestens) eine Decke sind empfehlenswert – im sublab ist es immer noch sehr kalt.
Wann : – ,
Wo :
taz.gespräch Zerstören Google & Co. die Welt?
Heute Abend findet um 19:30 die Veranstaltung „Zerstören Google & Co. die Welt?“. Stattfinden wir das ganze im
Neuen Schauspiel Leipzig .
Teilnehmen unter anderem Anke Domscheit-Berg, Christoph Keese, Helge Malchow und Konstantin von Notz.
Hier der Link zur Ankündigung auf der taz-Seite: http://www.taz.de/!150294/
Wir werden auch vor Ort sein und würde uns freuen wenn wir euch sehen.
Wann : – ,
Wo :
CryptoParty-Reihe 2015, 1. Halbjahr
Unsere
CryptoParties im ersten Halbjahr 2015 – die Teilnahme ist kostenfrei – werden jeweils an den folgenden
Mittwochabend en,
ab 19 Uhr in den Räumen des
sublab e. V. , Karl-Heine-Straße 93, Leipzig (Plagwitz) stattfinden:
14. Januar 2015: Der elektronische Briefumschlag – Asymmetrische Verschlüsselung. Passwörter und Passwort-Manager. E-Mail-Verschlüsselung mit PGP. (mehr Informationen)
11. Februar 2015: Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs (mehr Informationen)
11. März 2015: Keiner soll es erraten – Symmetrische Verschlüsselung. Datei-/Festplattenverschlüsselung (mehr Informationen)
15. April: Beobachte mich nicht – Sicheres Surfen und Anonymisierung im Internet (mehr Informationen)
10. Juni: Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme (mehr Informationen)
Vom 7. bis zum 10. Mai gibt es ausserdem die CryptoCon15 im sublab.
Warum eigentlich?
„Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.“ –
Edward Snowden, nach theguardian.com, Montag, 17. Juni 2013, 20:30 BST
„Verschlüsseln ist Bürgerpflicht“
– Phil Zimmerman, nach ZEIT ONLINE, 5. September 2013 19:14 Uhr
Auch in 2014 hat sich nichts an der politischen und gesellschaftlichen Situation geändert.
Im Gegenteil: Die Bundesregierung hat ihre Mehrheitskonstellation genutzt und den Etat des BND kräftig erhöht. Mit dem Geld will der BND u. a. Soziale Netzwerke nach dem Vorbild der NSA abschorcheln und Sicherheitslücken (sog. Zero-Day-Exploits) auf dem Internet-Schwarzmarkt aufkaufen . Ihr Einsatz ist zu gezielter Spionage und Kompromittierung informationstechnischer Systeme geplant. Darüber hinaus ist zu befürchten, das die Massenüberwachung – und sei es nur als „Beifang“ der Abhörpraxis ausländischer Kommunikation – weiter stattfindet oder ausgeweitet wird.
Die Datensammlungen vieler Konzerne wurde im vergangen Jahr ebenfalls ausgeweitet. Facebook z. B. änderte kurzerhand seine AGB , die Nutzer*Innen noch weniger Hoheit über die eigenen Daten einräumt. Die offizielle Twitter-App spioniert das Nutzungsverhalten von Smartphone-Nutzer*Innen aus .
Andererseits wurden viele große Unternehmen, wie zum Beispiel Sony , Opfer von Hackerangriffen und es stellte sich heraus, dass die Bezahlung via Fingerabdruck eine denkbar schlechte Idee ist.
Um diesem Kontrollverlust über die eignen Daten ein wenig entgegenzusetzen, bieten wir eine Reihe regelmäßig stattfindender CryptoParties an.
Mitmachen!
In praxisorientierter, anwenderfreundlicher und verständlicher Weise informieren wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken und zeigen deren Einsatz.
Das praktische Wissen um Einrichtung und Anwendung der entsprechender Programme und die Kenntnis der dahinter liegenden technischen Zusammenhänge dient der Wahrnehmung des verfassungsmäßigen Rechts auf informationelle Selbstbestimmung. Wir wollen Jede und Jeden dazu anregen und dabei unterstützen, dieses Recht auch durchsetzen zu können.
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, die entsprechenden eigenen Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Vorkenntnisse sind hilfreich aber nicht notwendig.
Wann : – ,
Wo :
Sommersemester 2015
Wann : – ,
Wo :
Neue CryptoParty-Reihe 2015
Wir setzen unsere CryptoParty-Reihe auch in diesem Jahr fort. In praxisorientierter, anwenderfreundlicher und verständlicher Weise werden wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungprogrammen und -techniken informieren und deren Einsatz zeigen.
Die CryptoParties – die Teilnahme ist kostenfrei – werden jeweils an den folgenden Mittwochabenden, ab 19 Uhr im
Sublab , Karl-Heine-Str. 93, 04229 Leipzig, stattfinden:
14. Januar 2015: Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
11. Februar 2015: Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
11. März 2015: Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung
15. April 2015: Beobachte mich nicht – Sicheres Surfen und Anonymisierung im Internet
10. Juni 2015: Das können wir selber – Alternative Soziale Netzwerke und Cloud-Systeme
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, die entsprechenden eigenen Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Wir machen es einfach und praktisch; Vorkenntnisse sind dabei hilfreich aber nicht notwendig.
Hinweis: Warme Kleidung und (mindestens) eine Decke sind sehr empfehlenswert – im sublab ist es im Winter doch sehr kalt.
Wann : – ,
Wo :
Cryptoparty 14. Januar 2015 – Programme, Materialien, Links
Passwörter und Passwort-Manager
KeepassX : Offizielle Website des Projektes (englisch) mit Dokumentation , Forum und Quellcode
PasswortSafe : Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org , die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt
Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration , (Demovideo, englisch) dazu
Qwertycards
E-Mailverschlüsslung mit GnuPG
Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG
Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode
Offizielle Website (deutsch) von Gpg4win , dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows , basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.
Die meisten Linux -Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.
Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.
Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann AGP eingesetzt und z. B. über den Google-PlayStore installiert werden.
Das E-Mail-Programm – Thunderbird
Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird , ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.
Für den Einsatz unter Android empfiehlt sich K9-Mail , das z. B. über den Google-PlayStore installiert werden kann.
Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail
Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.
Anleitungen zur E-Mail Verschlüsslung mit PGP
Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation .
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box .
Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden.
Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Ausgewählte Kurse:
Public Key Encryption (Video, englisch)
RSA in Practice (Video, englisch)
Zur Geschichte der Kryptografie
Geschichte der Kryptografie (Video, englisch)
Cryptography Defined/Brief History
History of Computer Cryptography and Secrecy Systems
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Why is GPG “damn near unusable”? An overview of usable security research
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 14. Januar 2015
Wann : – ,
Wo :
Öffentliches Plenum am 20. Januar 2015
Morgen, Dienstag, am 20. Januar 2015, laden wir herzlich zu unser nächstes reguläres, öffentliches Plenum ein.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Bericht über die CryptoParty vom 14. Januar 2015
Bericht zur überregionalen Vernetzung und Kooperation (Netzpolitische Termin)
Beratung bzgl. Teilnahme/Aktion am/zum Safer Internet Day (10. 2. 2015)
Kommunikationsmanagement/Reflektion
Hinweis: Warme Kleidung und (mindestens) eine Decke sind weiterhin empfehlenswert – im sublab ist es immer noch sehr kalt.
Wann : – ,
Wo :
Öffentliches Plenum am 03. Februar 2015
Heute, Dienstag, am 03. Februar 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Lesung gegen Überwachung. Unser Beitrag zum Safer Internet Day 2015 am 10. Februar 2015
CryptoParty vom 11. Februar 2015
Kommunikationsmanagement, Blog und Social Media
Hinweis: Warme Kleidung und (mindestens) eine Decke sind weiterhin empfehlenswert – im sublab ist es immer noch sehr kalt.
Wann : – ,
Wo :
Lesen gegen Überwachung
Unser Beitrag zum Safer Internet Day
Dienstag, 10. Februar 2015, 19.30 Uhr Kanal 28/KAOS Interim ,
Am Kanal 28, 04179 Leipzig – Eintritt frei
Tag des „Sicheren Internet“ 2015 – 1½ Jahre nach Snowden
Was bedeutet Sicherheit im Internet? Wie lässt sie sich herstellen? Trägt Überwachung des Internets und die Sammlung und Auswertung von Daten dazu bei – durch Geheimdienste, durch private Firmen?
Geheimdienste verfolgen vorrangig von der Politik vorgegebene Ziele. Welche politische Dimension und Aufgabe haben Datensammlung der Geheimdienste unter diesem Blickwinkel?
Private Unternehmen verfolgen die Ziele ihrer Eigentümer, vorrangig die Steigerung des Unternehmenswertes und Profits. Welche ökonomische Dimension und Auswirkung hat die Aneignung von Nutzerdaten unter diesem Blickwinkel?
Sind Datensammlungen – die durch die zunehmende Digitalisierung aller gesellschaftlichen Lebensbereiche entstehen – und die dadurch stattfindende massenhafte Abschaffung von Geheimnis und Privatsphäre demokratiekompatibel? Ist Privatsphäre ein Auslaufmodell?
Wir wollen zum Safer Internet Day 2015 Texte lesen, die diese Fragen kommentieren, darüber reflektieren und die gegenwärtige Situation beleuchten. Wir möchten mit Ihnen diskutieren. Dazu laden wir Sie herzlich ein und freuen uns auf Sie.
Das Bündnis Privatsphäre Leipzig e. V. veranstaltet das Leipziger „Lesen gegen Überwachung“ in Kooperation mit Medienstadt Leipzig e. V. , Mitteldeutschem Internetforum , Theater der Jungen Welt Leipzig , sowie Kulturwerkstatt KAOS – Projekt der KINDERVEREINIGUNG Leipzig e. V.
Mehr Informationen zu „Lesen gegen Überwachung “
Wann : – ,
Wo :
Cryptoparty 11. Februar 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und ChatSecure . Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.
Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Beta-Software für Mobilgeräte
Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.
Für Tox existiert der experimentelle Atox Client f ür Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.
Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadatan wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.
Tox ist ein relative junger Instant-Messanger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert . Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Cameo verspricht für die frei verfügbare Basic Version Ende-zu-Ende verschlüsselte Chats, Dateiübertragungen sowie GruppenChats. Anders als bei TextSecure melden sich Nutzer*Innen über Nuzternamen und Passwort an. Für PC- oder Laptop-Betriebssysteme steht derzeit lediglich ein Browser-Addon zur Verfügung. In Zukunft sollen aber auch für jedes Betriebssystem installierbare Versionen folgen.
Das noch junge Peerio setzt in der jetzigen Version ebenfalls auf ein Brower-Addon. Peerio erlaubt Dateiübertragungen, Gruppenchats und verspricht echte Ende-zu-Ende-Verschlüsselung. Für Windows und MacOSX existieren bereits installierbare Clients. Linux soll in kürze folgen. Apps für iOS und Android sind ebenfalls in Vorbereitung.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Als noch sehr experimentell betrachtet werden sollte Pond , dass versucht – zusätzlich zur Ende-zu-Ende-Verschüsselung – die bei der Kommunikation anfallenden Metadaten zu verschleiern.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty am Mittwoch, den 11. Februar 2015, 19 Uhr im Sublab
Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
Mit Smartphones, Tablets und Laptops sind wir heute mobil vernetzt und ständig im Kontakt mit unseren Familien, Freunden, Bekannten und sogar Arbeitgebern.
Längst haben nicht wenige Nuzter*Innen das Versenden von Selfies, Schnappschüssen, Voicemails, Vine Videos oder Hangouts, Skype- und Appletalks zum Teil ihrer alltäglichen Kommunikation werden lassen. In einige Zirkel scheint der “Zutritt” nur mit Whatsapp, Snapchat oder dem Facebook Messenger möglich.
Was aber geschieht mit den Unmengen an Daten, die wir mehr oder weniger täglich in Form von Text-, Sprach- und Videonachrichten mit unseren Mobilgeräten oder ganz klassisch beim “skypen” mit Webcam vor dem PC produzieren? Werden meine Snapchat-Selfies lückenlos gelöscht oder bleiben doch Spuren auf den Servern des Diensteanbieters und den Smartphones der Empfänger zurück? Können meine Unterhaltungen mit Freunden, Familie oder meiner/meinem Partner*In von Dritten mitgelesen oder gehört werden?
Im November 2014 kündigte WhatsApp an, dass die Einführung einer zuverlässigen Ende-Zu-Ende-Verschlüsslung bevorstehe und nun zumindest Android-Installationen vertraulichere Unterhaltungen ermöglichen. Können sich WhatsApp-Nutzer*Innen nun sorglos zurücklehnen und die neu gewonnene Privatheit genießen oder bleiben Momente, in denen meine Daten unverschlüsselt zu WhatsApp gelangen? Gibt es verauenswürdigere Alternativen?
Am 11. 02. 2015 lädt das Bündniss Privatsphäre Leipzig um 19 Uhr ins Sublab zur CryptoParty herzlich ein. Wir zeigen freie und quelloffene Alternativen zu verbreiteten Messengern für Smaptphones und Tablets, die Ende-zu-Ende-Verschlüsslung etablieren, unterstützen Sie bei der Installation und wollen deren Nutzung mit Ihnen diskutieren. Lernen Sie zudem Messenger- und Chatsysteme für ihren Laptop oder ihren PC kennen und nutzen, welche die Metadaten ihrer Kommuniation verschleiern.
Eine Anmeldung ist nicht erforderlich. Der Eintrit ist selbtverständlich frei. Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht den Spass, ist aber natürlich nicht Voraussetzung.
Im Winter ist es im Sublab doch recht kühl: Warme Kleidung und mindestens eine Decke sind sehr zu empfehlen.
Wann : – ,
Wo :
Cryptoparty 11. Februar 2015
Wann : – ,
Wo :
CryptoParty: »Wir unterhalten uns Privat«
Zu unserer CryptoParty mit dem Motto: »Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs« finden sich unter diesem
Link , eine Sammlung von weiterführenden Informationen.
Wann : – ,
Wo :
Öffentliches Plenum am 17. Februar 2015
Am Dienstag, den 17. Februar 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: 19.00 Uhr
Wo: sublab e.V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Reflektion von Lesen gegen Überwachung. Unser Beitrag zum Safer Internet Day 2015 vom 10. Februar 2015
Reflektion unserer CryptoParty vom 11. Februar 2015 und Ausblick für die nächste CrytpoParty im März
Statusbericht zur überregionalen Vernetzung
Beratung zum weiteren Vorgehen bezüglich regionaler Vernetzung
Kommunikationsmanagement, Blog und Social Media
Vorbereitung des nächsten internen Treffens zu Inhalten, Zielen und Forderungen sowie Vereinsorganisation
Hinweis: Warme Kleidung und (mindestens) eine Decke sind weiterhin empfehlenswert – im sublab kann es noch immer recht kühl sein.
Wann : – ,
Wo :
Satzung des Bündnis Privatsphäre Leipzig e. V.
Satzung Stand Februar 2017
Präambel
Das Bündnis Privatsphäre Leipzig ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Anlass der Gründung sind die Aufdeckungen des Informanten Edward Snowden, die gezeigt haben, dass die Überwachungsprogramme international agierender Geheimdienste sowie die Kooperation dieser mit transnational agierenden IT-Konzernen demokratische, menschenrechtliche und rechtsstaatliche Grundsätze wiederholt verletzt haben.
Mit dem Argument, das sei ein notwendiger Teil internationaler Sicherheitspolitik, werden seit Jahren Technologien ausgebaut, die letztlich auf die Totalüberwachung der Gesellschaft ausgelegt sind. Eine solche Überwachung unterläuft das Prinzip der Rechtsstaatlichkeit und höhlt zunehmend Grundrechte aus, die allen Bürger*Innen Meinungs- und Redefreiheit sowie informationelle Selbstbestimmung zusichern.
Ziel der Arbeit des Bündnis Privatsphäre Leipzig ist, einen öffentlichen Diskurs zu den Themen Überwachung, Sicherheitspolitik und demokratische Grundsätze anzuregen und zu fördern.
Neben eigenen Projekten, sowie Aktionen und Veranstaltungen sieht das Bündnis seine Hauptaufgabe darin, Kooperationspartner*Innen für Projekte und Veranstaltungen zu gewinnen.
Das Bündnis Privatsphäre Leipzig verschreibt sich bei seiner Tätigkeit den Grundsätzen der Partizipation, und der Transparenz. Jede*r ist aufgerufen, selbst aktiv zu werden und die Arbeit des Bündnisses mitzugestalten, sei es durch direkte Teilnahme oder durch kooperative Projekte.
Die Gründer*Innen des Bündnisses sind der Ansicht, dass Demokratie nur existieren kann, wenn sie aktiv praktiziert wird. Reges Diskutieren und Teilnehmen am Meinungsbildungsprozess sind die Voraussetzungen für einen funktionierenden demokratischen Staat, in dem alle Menschen unter dem Schutz des Grundgesetzes würdevoll leben können.
Die Geschichte zeigt, dass Verletzungen rechtsstaatlicher Grundsätze zu dulden, verheerende Folgen haben kann. Die Arbeit des Bündnisses Privatsphäre Leipzig steht im Zeichen der Wahrung der Grund- und Menschenrechte .
§ 1 Name, Sitz, Geschäftsjahr
Der Verein trägt den Namen „Bündnis Privatsphäre Leipzig“. Der Verein wird in das Vereinsregister beim Amtsgericht Leipzig eingetragen und der Name dann um den Zusatz „e. V.“ ergänzt.
Der Verein hat seinen Sitz in Leipzig.
Das Geschäftsjahr entspricht dem Kalenderjahr.
§ 2 Gemeinnützigkeit, Zweck
Der Verein verfolgt ausschließlich und unmittelbar gemeinnützige Zwecke im Sinne des Abschnitts „steuerbegünstigte Zwecke“ der Abgabenordnung (§51 ff. AO) in der jeweils gültigen Fassung; er dient ausschließlich und unmittelbar den in Absatz 2 angegebenen Zwecken. Er ist selbstlos tätig und verfolgt nicht in erster Linie eigenwirtschaftliche Zwecke.
Die Mittel des Vereins werden ausschließlich und unmittelbar zu den satzungsgemäßen Zwecken verwendet.
Die Mitglieder erhalten keine Zuwendung aus Mitteln des Vereins. Über eine Aufwandsentschädigung für die Arbeit von Mitgliedern des Vereins entscheidet der Vorstand im Rahmen von §2 der Geschäftsordnung.
Zweck und Ziel der Arbeit des Bündnis Privatsphäre Leipzig ist, in der Leipziger Bevölkerung – sowie darüber hinaus – einen öffentlichen Diskurs zu den Themen Überwachung, Sicherheitspolitik und demokratische Grundsätze anzuregen und zu fördern.
Erreicht werden soll dies durch:
Förderung der Erziehung, Volks- und Berufsbildung einschließlich der Student*Innenhilfe
Insbesondere werden Veranstaltungen und Schulungen in deren Zentrum die digitale Informationsgewinnung und -verarbeitung sowie deren Einfluss auf die Gesellschaft stehen entwickelt und durchgeführt.
Förderung von Wissenschaft und Forschung
In Zusammenarbeit mit wissenschaftlichen Einrichtungen werden insbesondere Forschungen zu Veränderungen der Gesellschaft im digitalen Wandel sowie zu technischen Lösungen und Entwicklungen die diesen Wandel begleiten initiiert, begleitet, Ergebnisse und Schlussfolgerungen öffentlich gemacht und in Veranstaltungen diskutiert.
Förderung von Kunst und Kultur
Besonders öffentlich wirksame Ausdrucksformen die Rezipient*Innen verstärkt einbeziehen und Einflüsse von digitalen Technologien und digitaler Informationsverarbeitung thematisieren sowie Kunst- und Kulturformen, die digitale Technologien als wesentlichen Bestandteil ihrer Entstehung und Erscheinung einsetzen sollen unterstützt werden.
Förderung des demokratischen Staatswesens
Chancen und Risiken die bei der Entwicklung zu einer digitalisierten Informationsgesellschaft entstehen werden ausgelotet, durch Aktionen, Veranstaltungen und Diskussionen zu Themen wie Transparenz staatlichen Handelns, demokratische Teilhabe der Bürger*Innen bei der Entwicklung des Gemeinwesens, Urheberrecht, Datenschutz, Netzneutralität, Einsatz freier und offene Software und Formate, etc.
Neben diesen eigenen Vorhaben, Aktionen und Veranstaltungen sieht der Verein seine Hauptaufgabe darin, Kooperationspartner*Innen für Projekte und Veranstaltungen zu gewinnen und mit Institutionen und Initiativen zusammen zu arbeiten und/oder sie zu unterstützen, soweit sie die Ziele des Vereins vertreten und/oder unterstützen.
Für seine Arbeit wird der Verein eine interne Kommunikationsstruktur sowie Informationsnetzwerke aufbauen und Öffentlichkeitsarbeit in den Medien betreiben.
Der Verein Bündnis Privatsphäre Leipzig verschreibt sich bei seiner Tätigkeit den Grundsätzen der Partizipation, der Vielstimmigkeit und der Transparenz.
§ 3 Mitgliedschaft
Mitglied des Vereins kann jede natürliche oder juristische Person oder nicht rechtsfähiger Verein werden, die seine Ziele unterstützt.
Über die Aufnahme von Mitgliedern entscheidet der Vorstand mit einfacher Mehrheit.
Die Beitrittserklärung erfolgt schriftlich gemäß §13 gegenüber dem Vorstand. Die Mitgliedschaft beginnt mit der Aushändigung einer entsprechenden Bestätigung durch ein Vorstandsmitglied.
Hat der Vorstand die Aufnahme abgelehnt, so können Mitgliedschaftsbewerber*Innen Einspruch zur nächsten Mitgliederversammlung einlegen, die dann abschließend über die Aufnahme oder Nichtaufnahme mit einfacher Mehrheit entscheidet.
Die Mitgliedschaft endet durch Austrittserklärung, durch Ausschluss, durch Tod von natürlichen Personen oder durch Auflösung und Erlöschen von nicht natürlichen Personen.
Der Austritt wird durch gemäß §13 schriftliche Willenserklärung gegenüber dem Vorstand erklärt.
§ 4 Ausschluss eines Mitglieds
Ein Mitglied kann durch Beschluss des Vorstandes ausgeschlossen werden, wenn es das Ansehen des Vereins schädigt, seinen Beitragsverpflichtungen nicht nachkommt oder wenn ein sonstiger wichtiger Grund vorliegt. Der Vorstand muss dem auszuschließenden Mitglied den Beschluss in schriftlicher Form gemäß §13 unter Angabe von Gründen mitteilen und ihm auf Verlangen innerhalb von 14 Tagen eine Anhörung gewähren.
Das Verbreiten von faschistischen, rassistischen oder nationalistischen Ideologien sowie Handlungen oder -äußerungen, die Gruppenbezogener Menschenfeindlichkeit zuzuordnen sind, stellen ebenfalls Ausschlussgründe dar.
Gegen den Beschluss des Vorstandes ist die Anrufung der Mitgliederversammlung zulässig. Bis zum Beschluss der Mitgliederversammlung ruht die Mitgliedschaft. Die Berufung muss innerhalb einer Frist von 4 Wochen nach Zugang des Ausschließungsbeschlusses beim Vorstand schriftlich erklärt werden. In der Mitgliederversammlung ist dem Mitglied Gelegenheit zur Stellungnahme einzuräumen. Die Mitgliederversammlung entscheidet mit einfacher Mehrheit endgültig über den Ausschluss des Mitgliedes.
§ 5 Rechte und Pflichten der Mitglieder
Die Mitglieder sind verpflichtet, die satzungsgemäßen Zwecke des Vereins zu unterstützen und zu fördern.
Der Verein erhebt einen Mitgliedsbeitrag, zu dessen Zahlung die Mitglieder verpflichtet sind. Näheres regelt eine Geschäftsordnung, die von der Mitgliederversammlung beschlossen wird.
§ 6 Organe des Vereins
Die Organe des Vereins sind:
Die Mitgliederversammlung
Der Vorstand
Revisionskommission/Revisor*In
§ 7 Mitgliederversammlung
Die Mitgliederversammlung ist das oberste Beschlussorgan des Vereins. Ihr obliegen alle Entscheidungen, die nicht durch die Satzung oder die Geschäftsordnung einem anderen Organübertragen wurden.
Beschlüsse werden von der Mitgliederversammlung durch öffentliche Abstimmung getroffen. Auf Wunsch eines Mitglieds ist geheim abzustimmen.
Jedes Mitglied hat genau eine Stimme.
Zur Fassung eines Beschlusses ist eine einfache Mehrheit der abgegebenen Stimmen notwendig. Ausgenommen sind die in §10 und §12 geregelten Angelegenheiten. Die Untergrenze für die Beschlussfähigkeit der Mitgliederversammlung beträgt ein Drittel der Mitglieder, mindestens aber fünf Mitglieder (Quorum).
Außerordentliche Vereinsversammlungen, die in Folge eines nicht erfüllten Quorums einer ordentlichen Mitgliederversammlung notwendig werden, sollen unabhängig von der Erfüllung des Quorums beschlussfähig sein.
Eine ordentliche Mitgliederversammlung, bezeichnet als Jahreshauptversammlung, wird einmal jährlich einberufen. Ihre Tagesordnung umfasst unter anderem die Vorstellung des Rechenschaftsberichts für das vorherige Geschäftsjahr durch den Vorstand.
Eine außerordentliche Mitgliederversammlung kann jederzeit einberufen werden, wenn mindestens 23% der Mitglieder oder der Vorstand dies jeweils schriftlich gemäß §13 unter Angabe eines Grunds beantragen. Dem angegebenen Grund müssen die gewünschten Tagesordnungspunkte zu entnehmen sein; sie werden auf die Einladung übernommen.
Dem Vorstand obliegt zu allen Mitgliederversammlungen die Festsetzung eines Termins und die rechtzeitige Einladung aller Mitglieder bis spätestens 2 Wochen vor dem von ihm festgesetzten Termin. Bei von den Mitgliedern beantragten Mitgliederversammlungen darf der Termin nicht mehr als 8 Wochen nach dem Eingang des Antrags beim Vorstand liegen.
Der Vorstand kann die Einladungen auf schriftlichem Weg gemäß §13 zustellen, muss jedoch eine Kopie auf dem Postweg zustellen, falls das Mitglied den Wunsch dazu schriftlich gemäß §13 angemeldet hat.
In der Einladung werden die Tagesordnungspunkte sowie weitere nötige Informationen bekannt gegeben. Die Mitgliederversammlung kann per Beschluss die Tagesordnung verändern.
Über die Beschlüsse der Mitgliederversammlung ist ein Protokoll anzufertigen, das von den Versammlungsleiter*Innen zu unterzeichnen ist. Das Protokoll ist innerhalb von 14 Tagen allen Mitgliedern zugänglich zu machen.
Die oder der Vorstandsvorsitzende ist Versammlungsleiter*In der Mitgliederversammlung. Die Mitgliederversammlung kann durch Beschluss andere Versammlungsleiter*Innen oder Schriftführer*Innen bestimmen.
§ 8 Vorstand
Der Vorstand führt den Haushalt und verwaltet das Vermögen des Vereins. Näheres regelt die Geschäftsordnung.
Vorstandsmitglieder können mit einer Frist von 14 Tagen von ihrem Amt zurücktreten.
Bei Rücktritt oder andauernder Ausübungsunfähigkeit eines Vorstandsmitglieds ist der gesamte Vorstand neu zu wählen. Bis zur Wahl eines neuen Vorstands ist der bisherige Vorstand zur bestmöglichen Wahrnehmung seiner Aufgaben verpflichtet.
Die Amtsdauer der Vorstandsmitglieder beträgt zwei Jahre. Sie werden von der Mitgliederversammlung aus den Mitgliedern des Vereins gewählt. Es werden nacheinander Vorstandsvorsitzende*r, Schatzmeister*In sowie die weiteren Vorstandmitglieder gewählt. Eine Wiederwahl ist zulässig.
Der Vorstand ist allen vom Verein angestellten Mitarbeiter*Innen dienstvorgesetzt.
Die Vorstandsmitglieder sind grundsätzlich ehrenamtlich tätig; sie haben Anspruch auf Erstattung notwendiger Auslagen, deren Rahmen von der Geschäftsordnung festgelegt wird.
Der Vorstand tritt nach Bedarf zusammen. Die Vorstandssitzungen werden von der oder dem Vorstandvorsitzenden schriftlich einberufen. Der Vorstand ist beschlussfähig wenn mindestens zwei Drittel der Vorstandsmitglieder anwesend sind. Die Beschlüsse der Vorstandssitzung sind schriftlich zu protokollieren.
Bei Abstimmungen ist eine einfache Mehrheit der abgegebenen gültigen Stimmen nötig.
§ 9 Revisionskommission
Die Revisionskommission wird von der Mitgliederversammlung mit Stimmenmehrheit für die einzelnen Kandidaten*Innen gewählt. Die Amtszeit der Revisionskommission beträgt 2 Jahre.
Sie besteht aus mindestens einem, höchstens drei Mitgliedern. Die Mitgliederversammlung bestimmt den Vorsitzenden; sie kann eine Rotation dieser Funktion verfügen.
Die Revisionskommission kontrolliert die Beschlüsse, Tätigkeit und Vermögensverwaltung des Vorstandes auf Übereinstimmung mit der Satzung und den anderen Vereinsdokumenten sowie der Gesetzlichkeit. Sie hat das Recht auf Einsichtnahme in die Geschäftsvorgänge und kann die Einberufung der Mitgliederversammlung verlangen. Mitglieder der Revisionskommission sind keine Mitglieder des Vorstandes.
§ 10 Satzungs- und Geschäftsordnungsänderung
Über Satzungs- und Geschäftsordnungsänderungen kann in der Mitgliederversammlung nur abgestimmt werden, wenn auf diesen Tagesordnungspunkt hingewiesen wurde und der Einladung sowohl der bisherige als auch der vorgesehene neue Text beigefügt worden war.
Für die Satzungs- oder Geschäftsordnungsänderung ist eine Mehrheit von zwei Dritteln in der Mitgliederversammlung erforderlich.
Satzungsänderungen, die von Aufsichts-, Gerichts- oder Finanzbehörden aus formalen Gründen verlangt werden, kann der Vorstand von sich aus vornehmen. Diese Satzungsänderungen müssen der nächsten Mitgliederversammlung mitgeteilt und bestätigt werden.
§ 11 Vereinsvermögen
Der Verein erwirbt die für seine Zwecke erforderlichen Mittel durch Mitgliedsbeiträge, Geld- und Sachspenden, öffentliche und private Zuwendungen sowie Förderungen.
Der Verein darf niemanden durch Ausgaben, die dem Zweck des Vereins fremd sind oder durch unverhältnismäßig hohe Vergütung begünstigen.
Das Vereinsvermögen darf nur für die Ziele und Zwecke des Vereins in Übereinstimmung mit dieser Satzung verwendet werden.
§ 12 Auflösung des Vereins und Vermögensbindung
Die Auflösung des Vereins muss von der Mitgliederversammlung mit einer Mehrheit von zwei Dritteln beschlossen werden. Die Abstimmung ist nur möglich, wenn auf der Einladung zur Mitgliederversammlung als einziger Tagesordnungspunkt die Auflösung des Vereins angekündigt wurde.
Bei Auflösung des Vereins, Aufhebung der Körperschaft oder Wegfall der gemeinnützigen Zwecke darf das Vermögen der Körperschaft nur für steuerbegünstigte Zwecke verwendet werden. Zur Erfüllung dieser Voraussetzung wird das Vermögen einer anderen steuerbegünstigten Körperschaft oder einer Körperschaft öffentlichen Rechts für steuerbegünstigte Zwecke übertragen, die sich der Förderung des demokratischen Staatswesens verpflichtet hat. Näheres kann die Geschäftsordnung regeln.
Der Grundsatz der Vermögensbindung ist bei der Fassung von Beschlüssen über die künftige Verwendung des Vereinsvermögens zwingend zu erfüllen.
§ 13 Schriftform, Abstimmungsfähigkeit
Schriftliche Erklärungen im Sinne dieser Satzung können auch elektronische Dokumente sein. Die Geschäftsordnung bestimmt Anforderungen, Zustellwege und Zuordnung derartiger Dokumente.
Zu Mitgliederversammlungen werden elektronisch nach Abs. 1 oder postalisch zugestellte Stimmen von Mitgliedern wie Stimmen von anwesenden Mitgliedern gezählt.
Wann : – ,
Wo :
Geschäftsordnung des Bündnis Privatsphäre Leipzig e. V.
Fassung vom 7. 7. 2015
§ 1 Mitgliedsbeträge
Der Verein erhebt gemäß §5 seiner Satzung Mitgliedsbeiträge wie folgt:
30,00 EUR/Jahr für ermäßigte Mitgliedschaft
60,00 EUR/Jahr für normale Mitgliedschaft
Menschen mit eingeschränkten finanziellen Möglichkeiten können ohne die Vorlage eines Nachweises den ermäßigten Beitrag von 30,00 EUR zahlen.
Änderungen bezüglich der Mitgliedschaft sind dem Vorstand schriftlich mitzuteilen.
Die Beiträge sind jeweils zu Beginn einer Zahlungsperiode zu zahlen.
Die Zahlungsperioden sind:
jährlich
quartalsweise
monatlich
Eine Rückerstattung bereits geleisteter Beiträge findet nicht statt.
§ 2 Grundsätze der Vermögensverwaltung des Vereins
Die Summe der Ausgaben eines Jahres darf das liquide Vereinsvermögen nicht übersteigen.
§ 3 Aufgaben des oder der Schatzmeisters*In
Der oder Die Schatzmeister*In hat auf eine sparsame und wirtschaftliche Haushaltsführung hinzuwirken.
Der Vorstand legt nach Eintragung des Vereines in das Vereinsregister ein Konto auf den Namen des Vereines an und der oder die Schatzmeister*In verwaltet das Vereinsvermögen.
Der oder die Schatzmeister*In informiert die Vereinsmitglieder mindestens vierteljährlich sowie innerhalb von sechs Wochen nach größeren Veranstaltungen, bei denen der Verein als Veranstalter oder Mitveranstalter auftritt, über den Kassenstand. Einnahmen und Ausgaben über 100,00 EUR sind dabei einzeln aufzulisten.
Als Vorstandsmitglied hat der oder die Schatzmeister*In die Einbringung der Mitgliedsbeiträge und anderer Einnahmen zu organisieren. Dabei genießt er die volle Unterstützung des Vorstands.
Für laufende Einnahmen und Ausgaben führt der oder die Schatzmeister*In eine Bargeldkasse. Bargeldsummen über 500,00 EUR werden von ihm bzw. ihr binnen 14 Tagen auf dem Vereinskonto abgelegt.
Für Bareingänge stellt der oder die Schatzmeister*In eine formgerechte Quittung in doppelter Ausfertigung aus, davon eine für den oder die Einzahler*In.
Der oder die Schatzmeister*In legt ein geeignetes Vermögensregister an, das nach den Regeln der einfachen Buchführung zu führen ist und aus folgenden Teilen besteht:
Kassenbuch für die Bargeldkasse
Hauptbuch für das Vereinskonto
Inventarliste für Vermögensgegenstände
Jede einzelne Ausgabe muss belegt werden. Jeder Beleg muss von dem Vereinsmitglied, das die Ausgabe getätigt hat, umgehend bei dem oder der Schatzmeister*In eingereicht werden.
Sollten Güter zugunsten des Vereins eingehen, sind diese im Vermögensregister einzutragen. Der oder die Schatzmeister*In hat nach Genehmigung durch den Vorstand ein Aufbewahrungsprotokoll anzufertigen, ein Exemplar für den oder die Besorger*In, eins zur Dokumentation bei dem oder der Schatzmeister*In.
Der oder die Schatzmeister*In führt die Liste der Vereinsmitglieder. Periodisch werden von ihm die sich ergebenden Veränderungen durch Zugänge und Abgänge den Vereinsmitgliedern mitgeteilt.
Für den Jahresabschluss oder bei Wechsel des oder der Schatzmeister*In ist durch ihn oder sie eine Vermögensaufstellung zu erstellen.
§ 4 Erstattung der Auslagen des Vorstands
Auslagen des Vorstandes zur Verfolgung der Vereinszwecke werden in voller Höhe erstattet. Auf Beschluss der Mitgliederversammlung muss der Vorstand in einer Stellungnahme Zweck- und Verhältnismäßigkeit der Ausgaben nachweisen.
§ 5 Elektronische Schriftform
Elektronische Dokumente im Sinne von §13 der Satzung sind mit PGP/GPG signierte E-Mails. Jedes Mitglied kann beim Vorstand einen öffentlichen Schlüssel hinterlegen, dessen Signatur die jeweiligen E-Mails tragen müssen. Das Mitglied hat bei Kompromittierung des Schlüssels für Benachrichtigung des Vorstands zu sorgen.
Im Abstimmungsprozess einer Mitgliederversammlung übernimmt und protokolliert die oder der gewählte Protokollant*In die Überprüfung und Zählung der signierten E-Mails. Ferner prüft sie oder er die Anwesenheit und erklärt eventuell vorliegende schriftlich abgegebene Stimmen anwesender Mitglieder öffentlich für ungültig.
Wann : – ,
Wo :
Geschäftsordnung
Wann : – ,
Wo :
Satzung
Wann : – ,
Wo :
Tätigkeitsbericht Januar 2015
Mit dem Monat Januar begann das neue Jahr nach den
positiven Eindrücken aus unserer Vernetzungsarbeit auf dem 31c3 mit einer Reihe neuer Projekte und Ziele. Erfreulicherweise bleib es nicht nur bei guten Vorsätzen.
Das Bündnis Privatsphäre Leipzig ist jetzt e. V.
Kurz vor nach dem Jahreswechsel wurden wir über die Eintragung unseres Vereins durch das Leipziger Amtsgericht informiert und dürfen uns nun als eingetragener Verein bezeichnen.
Die Eintragung als Verein zeigt: Wir beabsichtigen Kontinuität. Die Debatte über den Umgang mit Daten in einer vernetzen Welt verstehen wir als eine Aufgabe, die sowohl einer intensiven Auseinandersetzung mit den unterschiedlichen betroffen Spannungsfeldern bedarf als auch mit einer ausdauernden Beschäftigung verbunden sein muss.
Zivilgesellschaftliches Engagement ist für uns ein fortlaufender Lernprozess, der uns als Gruppe natürlich auch Freude bereiten soll und bei dem wir Andere gern mitnehmen wollen. Schaut bei uns vorbei! Auch im neuen Jahr werden unsere Plenumssitzungen öffentlich sein. Interessierte sind herzlich eingeladen uns und unsere Arbeit kennen zu lernen.
taz.gespräch: Über Sirenenserver und Silcon Valley
Zu Beginn des Monats veranstaltete die taz ein Podiumsdiskussion im Neuen Schauspiel Leipzig. Obwohl der Titel „Zerstören Google & Co. die Welt?“ zunächst Google- und Facebook-Bashing befürchten ließ, waren in die geladene Gäste durchaus bemüht in der Diskussion die großen Netzkonzerne (»Sirenenserver« ) nicht als Feindbilder zu stilisieren, sondern den tiefergehenden Prozess der Digitalisierung und der Wettbewerbskonzentration zu skizzieren.
In der breit angelegte Diskussion war es allerdings nur möglich, die Problemfelder kurz zu streifen. Forderungen und Handlungsoptionen blieben weitgehend vage und ein etwas zu starkes Gewicht wurde auf die Darstellung von Lobbyarbeit innerhalb des Silicon Valley gelegt. Immerhin einig war man sich bei der Feststellung, dass Massenüberwachung und die Bildung massiver Datensammlungen seitens der Konzerne kaum mit den Werten einer freiheitlichen demokratischen Gesellschaft vereinbar sein dürfte.
Direktlink: Zerstören Goolge & Co. die Welt auf vimeo
CryptoParty: Start des Sommersemsters 2015
Einen Tag später, am 14. Januar, startete unsere neue CryptoParty-Reihe mit „Der elektronische Briefumschlag“, – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP .
Erfreulicherweise war das Sublab bis zur letzten Minute unserer Veranstaltung gut besucht. Auch nach drei Stunden zu KeepassX und GnuPG waren die Anwesenden noch immer in Feedbackgespräche mit uns vertieft. Für uns ein Zeichen, dass einerseits der Bedarf für die Vermittlung von Grundkenntnissen, den Grenzen von IT-Sicherheit, zu Datenschutz und digitaler Selbstverteidigung gegen Massenüberwachung bisher ungebrochen ist, und anderseits, dass die Werkzeuge selbst benutzerfreundlicher werden müssten , um die Lernkurve für Endanwender*Innen zu reduzieren.
Unser neues „Semester“ wird bis zum Sommer Themenfeldern der CryptoParties aus dem vorherigen Jahr wieder aufgreifen. Im Juni werden werden wir uns in einer zusätzlichen CryptoParty ausschließlich mit alternativen sozialen Netzwerken und Clouds beschäftigen und mit den Anwesenden über deren Alltagstauglichkeit diskutieren.
Im Mai wird der sublab e. V. die CryptoCon15 ausrichten, bei der ein ganzes Wochenende lang Fragestellungen rund um Risiken und Grenzen von IT-Systemen und deren gesellschaftlichen Auswirkungen thematisiert werden sollen. Wir werden in diesem Jahr mit einem eigenen Veranstaltungsteil dazu beitragen.
Unser Ziel ist die Etablierung einer regelmäßigen, monatlichen CryptoParty. Dabei wollen wir ab diesem Semester zudem eine Diskussionsplattform anbieten, mittels der sich die Teilnehmer*Innen über die Parties austauschen können, Fragen stellen können und weitere Unterstützung angeboten werden kann.
Cryptowars 2.0 und Vorratsdatenspeicherung
Im Januar forderten führende Politiker und die Repräsentanten von Sicherheitsbehörden weitgehende Einschränkungen für Verschlüsselungshard- und -software . In der Verschlüsselungstechnik geht eine Einschränkung der Sicherheit – etwa durch Hinterlegung geheimer Schlüssel (key escrow ) oder durch den gezielten Einbau von Hintertüren für Sicherheitsbehörden – jedoch mit untragbar hohen Risiken einher, welche die gesamte Sicherheitsarchitektur ins Wanken bringen.
Die Umsetzung dieser Forderung dürfte nicht nur jede Form von digitaler Selbstverteidigung gegen Massenüberwachung, die eigene Absicherung gegenüber Betrug oder Identitätsdiebstahl im digitalen Raum sondern auch den Quellenschutz für Journalisten (Stichwort: Whistleblower) zunichte machen. Nicht abschätzbar wären darüber hinaus die wirtschaftlichen Folgen, denn das Vertrauen in die Fälschungssicherheit einer jeden Online-Bestellung, jede Online-Banktransaktion, die derzeit verschlüsselt übermittelt wird, wäre von Anfang an unterminiert.
Die anhaltende Debatte wird in Anlehnung an ähnliche Auseinandersetzungen Anfang der 1990er Jahre bereits unter der dem Schlagwort CryptoWars 2.0 geführt. Sie lässt erahnen wie konträr sich die Einschätzungen von IT-Experten und die populistischen Forderungen seitens der Sicherheitsbehörden und der Politik gegenüberstehen. Wir als Bündnis schließen uns der Forderung des Chaos Computer Clubs an: Gesicherte, nicht kompromittiere Ende-zu-Ende-Verschlüsslung sollte gesetzlich vorgeschrieben werden, damit auch Endanwender*Innen im Netz den größten möglichen Schutz genießen können.
Auch die Wiedereinführung der Vorratsdatenspeicherung wurde erneut gefordert , obwohl diese massive Datensammlung bereits vom Bundesverfassungsgericht und vom Europäischen Gerichtshof (EuGh) in der aktuellen Ausgestaltung kassiert wurde und als unvereinbar mit europäischen Grundrechten gilt.
Das Versprechen höherer Sicherheit konnte die Vorratsdatenspeicherung bisher allerdings nicht erfüllen: In jenen europäischen Ländern, in denen die Vorratsdatenspeicherung bereits eingeführt wurde, konnten etwa Anschläge nicht verhindert werden.
Vorbereitungen zum Safer Intenet Day
Im Rahmen unserer überregionalen Vernetzungsarbeit entwickelten wir mit Akvist*Innen aus Berlin, Köln, Halle und Lübeck die Idee einer „Lesung gegen Überwachung “. Die dort vorgetragenen Texte sollen Massenüberwachung und gegenwärtige Sicherheitspolitiken im Zuge der Enthüllungen Edward Snowdens thematisieren. Die Lesungen sollen, so hatten wir im Januar verabredet, möglichst von lokalen Gruppen organisiert werden. Nach der Auswahl zu lesender Texte, machten wir uns auf der Suche nach Veranstaltungsraum und Vorleser*Innen und wurden schließlich Anfang Februar auch fündig.
Bereits im vergangen Jahr haben wir mit den Aktivist*Innen von #StopWatchingUs zusammengearbeitet. Die Lesung war nun das erste Projekt in größerem Rahmen. Wir freuen uns auf neue konstruktive Aktionen und Projekte. Für uns wollen wir allerdings auf mehr Vorlauf achten, um Zeit für die regionale Mobilisierung zu gewinnen.
Treffen zu Inhalten, Forderungen und Zielen
Gruppen-intern haben wir ab dem Monat Januar das zweite von hoffentlich noch zahlreichen Treffen zur Diskussion über Inhalte, Forderungen und Ziele durchgeführt und intensiv über den Privatsphärebegriff und dessen Bedeutung im Zeitalter der Digitalisierung des Alltags gesprochen. Sicherlich wird dies nicht das letzte Treffen gewesen sein, bei dem wir vertiefend über diesen Begriff sprechen werden.
Wann : – ,
Wo :
Januar 2015
Wann : – ,
Wo :
Öffentliches Plenum am 3. März 2015
Am Dienstag, den 3. März 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung: Bericht und Status
Treffen zu Inhalten/Forderungen/Zielen: neuer Termin, Agenda
CryptoParty im März: Stand und nötige Updates für Inhalte, Öffentlichkeitsarbeit dafür
Planung 2. Halbjahr 2015: Fahrplan und Ziele für die kommenden Monate
CryptoCon15: Status Outline und Kooperationen
Kommunikation: Tätigkeitsbericht Februar 2015, Umgang mit Facebook, Webauftritt – Weiterentwicklung
Hinweis: Warme Kleidung und (mindestens) eine Decke sind weiterhin empfehlenswert – im sublab kann es noch immer recht kühl sein 😉
Wann : – ,
Wo :
CryptoParty am 11. 3. 2015, Beginn 19.00 Uhr, Westwerk/Sublab
„Keiner soll es erraten“ – Datei- und Festplattenverschlüsselung
Der Einzug von Digitalkameras und deren Verfügbarkeit in Smartphones haben die Zahl von Fotografien und Videos nachgerade explodieren lassen. In Schule und Studium lesen und studieren wir digitalisierte Texte, sammeln unsere Notizen oder tauschen mit Mitschüler*Innen Dokumente aus. Im Berufsalltag sind digitale Dokumente und Datenbanken längst integraler Bestandteil täglicher Arbeit. Wie lässt sich erreichen, das diese Informationen zuverlässig vor unerwünschten Zugriffen sicher sind?
Cloud-Speicher gelten vielen als idealer Aufbewahrungsort für ihre Daten; überall und jederzeit verfügbar wenn Zugang zum Internet besteht, automatisierte Backups durch die Betreiber inklusive. Spätestens seit den Dokumenten von Snowden und den jüngeren Sicherheitslecks bei großen IT-Konzernen taucht die Frage auf: Wie können private Notizen, Fotografien, Videos und sonstige Dokumente auch in der Cloud geschützt werden?
Der Chef des FBI hat unterstellt, dass die Verschlüsslung der Inhalte auf Smartphones von Apple oder mit Android wirksame Aufklärungsarbeit verhindern würde. Mit der Begründung, des Antiterrorkampfes wird in Europa von einigen Sicherheitsbehörden und Regierungen die Schwächung von Verschlüsselung und der mögliche Zugriff durch Ermittlungsbehörden gefordert.
Gleichzeitig werden hochspezialisierte Trojaner entdeckt, z. B. von der sogenannten Equation Group, die sich tief in die Steuerungssoftware von Festplatten (Firmware) integriert, und damit auch eine komplette Neuinstallation des Betriebssystems überlebt. Ist ein wirksamer Schutz der eigenen Daten unter diesen Bedingung überhaupt noch denkbar?
Antworten auf diese Fragen werden unter dem Begriff „Digitalen Selbstverteidigung“ diskutiert. Ein Teil davon ist Datei- und Festplattenverschlüsselung mit der sich die Verletzung der Privatsphäre wirksam verhindern lässt.
Über Möglichkeiten und Grenzen sowie den konkreten Einsatz von Festplatten- und Dateiverschlüsselung, aber auch Fallstricke, die es zu vermeiden gilt, wollen wir Sie auf unserer kommenden CryptoParty informieren. Wir laden Sie herzlich am Mittwoch, den 11. März um 19 Uhr in das Sublab im Westwerk dazu ein. Für den praktischen Teil ist es empfehlenswert, seinen eigenen Laptop mitzubringen.
Im Sublab ist es noch recht kühl: Warme Kleidung und mindestens eine Decke sind sehr zu empfehlen.
Wann : – ,
Wo :
Cryptoparty 11. März 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Festplattenverschlüsselung
TrueCrypt ist eine Verschlüsselungsoftware, die für mehrere Betriebssysteme zur Verfügung steht: Ein entsprechendes Tutorial findet sich bei Security-in-a-Box . TrueCrypt wird leider nicht mehr weiterentwickelt. Die aktuelle Version 7.1 a kann dennoch eingesetzt werden. Mit VeraCrypt und ChiperShed existeren u. a. Ablegeprojekte (Forks), die entweder noch keine Installationspakete anbieten (CipherShed) oder aufgrund fehlender Überprüfungen (Audits) noch nicht für den produktiven und zuverlässigen Einsatz empfohlen werden können (VeraCrypt).
Neben der glaubhaftbaren Abstreibarkeit (plausible denialaby) bei der Authentifizierung eines TrueCrypt-Containers, sind Hidden Volumes ein spezielles Feature, dass derzeit nur bei TrueCrypt und dessen Ablegern (Forks) zur Verfügung steht.
Für Windows-Systeme wird häufig DiskCryptor als Alternative genannt. Mit dieser Software lassen sich derzeit nur gesammte Partitionen (Laufwerke) verschlüsseln, nicht Container für einzelne oder mehrere Dateien anlegen. Auch für DiskCryptor sind noch keine Sicherheitsüberprüfungen (Audits) bekannt.
Unter Linux steht mit dm-crypt in Verbindung LUKS (Unter Verwedung von cryptsetup
) ein leistungsfähiges und performantes Verschlüsselungssystem zur Verfügung, dass direkt in das Betreibsystem (Kernel) integriert wurde. Ähnlich wie bei DiskCryptor lassen sich hiermit allerdings keine spezifischen Container für Dateien erzeugen. Tutorials für die Verschlüsslung mit dm-crypt finden sich für u. a. für Ubuntu, Mint , ArchLinux , Gentoo , Fedora und OpenSUSE . Bei der Einrichtung einer Komplettverschlüsselung und insbesondere bei der Verwendung von SolidState-Drives (SSDs) sollte darauf geachtet werden, dass die Daten beim Ruhezustand (Hibernate) auf die Platte geschrieben werden (Supend to Disk).
Unter Linux steht zudem encfs zur Verfügung, mit dem Verzeichnisse verschlüsset werden können. Encfs eignet sich aufgrund einer Schwäche in der Implementierung nicht für den Einsatz in der Cloud.
Unter MacOSX steht neben TrueCrypt das von Apple bereitgestellte und nicht-quelloffene FileVault2 zur Verfügung. Im Gegensatz zur Vorgängerversion ist die Implementierung aus Sicherheitssapekten deutlich verbessert worden. Eine Hintertür kann wie bei alllen nicht-quelloffenen Cryptosystemen allerdings nicht ausgeschlossen werden. Vorsicht ist beim Upgrade des Betreibssystem über den Market geboten: Einige der aktutellen Installer, welche die Daten über das Netz laden, erkennen verschlüsselte Partionen nicht, so dass es bei einem Upgrade ernsthaften Probleme auftreten können (u. a. hängt das Upgrade in einer Schleife fest und lässt sich erst intstallieren, nachdem FileVault2 entfernt wurde). Aufgrund einer schweren Sicherheitslücke bei den USB-Anschlüssen , waren die Passwörter der verschlüsselten Partionen kurzzeitig auslesbar.
Dateiverschlüsselung
Für Linux-Systeme bieten kann für die Dateiverschlüsselung GnuPGP , OpenSSL , aescrypt und cccrypt verwendet werden.
Ein Wort zur Vorsichtig: Die OpenSSL Implementierung des symmetrischen Verschlüsselungsalgorithmus AES (Advanced Ecryption Algorithm) ist für zeitbezogene Angriffe auf den Zwischenpuffer (cached timing attacks) verwundbar. Dieser Angriff ist unter der Abkürzung CREAM bekannt geworden.
Unter Windows Systemen kann AESCrypt für die Dateiverschlüsselung oder GnuPGP for Win eingesetzt werden.
MacOSX-Nuzter*Innen können über FileFault, der integrierten Verschlüsselung von Apple, Container anlegen und in diesen Dateien ablegen . FileFault ist allerdings nicht quelloffen, weshalb keine zuverlässige Aussagen über die Vertrauenswürdigkeit und Sicherheit der Implementierung getroffen werden können. Alternativ bietet sich AESCrypt an.
Festplatten-Eraser: Sicherer Löschen
Für das Sichere Löschen von Dateien stehen unter Linux eine Reihe von Werkzeugen bereit. Dazu zählen unter anderem shred
, wipe
und srm/sfill
.
Erfahrende MacOSX-Nuzter*Innen können das Komandozeilenwerkzeug (Terminal) srm
nutzen. shred
kann über die Paketverwaltung homebrew nachinstalliert werden.
Mit BleachBit lassen sich unter Windows, MacOSX und Linux allgemeine Datenspuren, wie etwa Browser-Cookies oder Temporäre Dateien beseitigen.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Videoerklärung von AES , in englisch
Videoerklärung von HMAC-Algorithmen , in englisch
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 11. März 2015
Wann : – ,
Wo :
Öffentliches Plenum am 17. März 2015
Am Dienstag, den 17. März 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung: Bericht und Status (Regionales und Überregionales z. B. Aktionen zur PNR , Petitionen gegen den BND-Etat u.v.m)
Reflexion CryptoParty vom 11.03.2015, sowie Planung der CryptoParty im April
CryptoCon 2015 im sublab (07-10. Mai): Planungsstand und Kooperationen
Kommunikation: Tätigkeitsbericht Februar 2015, Umgang mit Facebook, Webauftritt – Weiterentwicklung
Hinweis: Warme Kleidung und (mindestens) eine Decke sind weiterhin empfehlenswert – im sublab kann es noch immer recht kühl sein 😉
Wann : – ,
Wo :
Öffentliches Plenum am 31. März 2015
Am Dienstag, den 31. März 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung: Bericht und Status (Regionales und Überregionales z. B. Aktionen zur PNR , Kampagne Verfolgungsprofile u.v.m)
Planung der CryptoParty im April
CryptoCon 2015 im sublab (07-10. Mai): Planungsstand und Kooperationen
Planung 2. Halbjahr 2015: Fahrplan und Ziele für die kommenden Monate
Hinweis: Warme Kleidung angesichts des ankündigten Sturms empfehlenswert – im sublab kann es noch immer recht kühl sein
Wann : – ,
Wo :
Wir unterstützen die Petition gegen die Etaterhöhung des BND
Petition 57952: Zurückführung der Etat-Mittel des Bundesnachrichtendienstes
»Der Deutsche Bundestag möge beschließen, für den Bundeshaushalt 2016 die Etat-Mittel für den BND auf den Stand von 2012 zurückzuführen.«
Zeichne jetzt mit und hilf mit die Ausweitung der Tätigkeitsfelder des BND und die Überwachung des Netzes zu verlangsamen!
Zeichne jetzt mit!
Am 23. 11. 2014 hat der deutsche Bundestag die Beschlussempfehlungen und Berichte des Haushaltsausschusses zum Bundeshaushalt 2015 in einer namentlichen Abstimmung bestätigt. Dabei wurden auch der Etat des Bundesnachrichtendienstes (BND) um fast 57 Mio. EUR auf insgesamt über 615 Mio. EUR erhöht.
Diese Erhöhung hatten wir damals kritisiert, weil sie u. a. für folgende Aufgaben eingesetzt werden soll:
Einrichtung von verdecktem Zugang zu Internetprovidern im Ausland
Sammlung und Analyse von soziale Medien wie Twitter und nach dem Vorbild der NSA
Ausweitung der Analyse von Kommunikationsinhalten und -metadaten
Ankauf von Schwachstellen und Sicherheitlücken (Zero-Day-Exploits) auf internationalen Schwarzmärkten, die unter strenger Geheimhaltung stehen.
Der Bundesnachrichtendienst beteuert, Daten deutscher Staatsbürger*Innen bei der Erfassung und Auswertung auszufiltern, doch weder die zugrundeliegenden Kriterien noch deren zuverlässiges Funktionieren sind überprüfbar. Dies wurde bisher immer wieder durch den kafkaesken NSA-Untersuchungsausschuss bestätigt: Akten werden manipuliert oder zurückgehalten, Ausschussmitglieder ausgespäht und Smartphones von Abgeordneten überwacht.
Darüber hinaus mussten die Zeugen im Ausschuss eingestehen, dass der BND massenhaft Inhaltsdaten aus Glasfasern an die NSA weitergab , täglich Millionen von Telefonaten aufgezeichnet wurden und Verbindungsdaten über fünf Ebenen gespeichert werden .
Ein weiteres Defizit wird durch die Arbeit des Untersuchungsausschusses deutlich: Die parlamentarischen Kontrollorgane (deren Etat nicht erhöht wird) sind nur unzureichend und oft verspätet informiert worden. Von einer effektiven Kontrolle der Geheimdienste durch diese Gremien kann – auch durch einen derart unterschiedliche Ressourcenverteilung – also ohnehin keine Rede sein.
Im vergangenen Jahr wurde eine Petition, die sich gegen die Erhöhung des BND-Etats wendete, auch aufgrund der Stellungnahme aus dem Kanzleramt gestoppt. (Erklärung als PDF .) Nach Rücksprache mit dem Petitionsausschuss soll die Neufassung nun Eingang in das Petitionsverfahren finden.
Gemeinsam mit den Gruppen Bündnis Demokratie statt Überwachung, #StopWatchingUs Köln, StopWatchingUs Lübeck, Plattform Brandenburg, no-spy.org Stuttgart und #wastun gegen Überwachung unterstützen wir als zivilgesellschaftliche Vertreter*Innen den neuen Petitionstext , der am 13. 03. 2015 beim Bundestag eingereicht (PDF ) wurde.
Wir fordern die Rückführung des BND-Etats auf das Niveau von 2012. Dadurch soll die Ausweitung der Tätigkeitsfelder des BND verzögert werden, um Zeit für die vorher notwendige gesellschaftliche und politische Diskussion über deren Notwendigkeit zu schaffen. Vor allem müssen die demokratischen Kontrollmöglichkeiten ausgeglichener gestaltet werden. Jede weitere Zuteilung von Ressourcen an den BND soll nur noch erfolgen, wenn ein konkreter, ernst zunehmender Reformplan vorliegt, der gleichzeitig die vollständige demokratische und transparente Kontrolle durch das gewählte Parlament sicher stellt.
Wann : – ,
Wo :
Aktionen Veranstaltungen Wissen – für den Erhalt der Privatsphäre
Wer wir sind
Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative. Eine umfassende Aufklärung für das digitale Zeitalter ist unser Antrieb.
Organisiert als Doppelstruktur, schafft der Verein den institutionellen und strukturellen Rahmen für das basisdemokratisch und konsensuell arbeitende Bündnis.
Unser Ziel ist es, Diskurse zu Privatsphäre, Massenüberwachung und Demokratie anzuregen, technische Bildung zur digitalen Selbstverteidigung und für selbstbestimmte, souveräne Entscheidungen zu vermitteln sowie mit Aktionen die Durchdringung aller Lebensbereiche mit digitalen Technologien erfahrbar zu machen.
Was wir tun
Wir veranstalten monatlich Cryptopartys in einem halbjährigen Zyklus. Aktuell stehen 5 verschiedene Schwerpunkte auf unserem Programm, zu denen wir theoretische Hintergründe vermitteln und die konkrete Einrichtung und Nutzung von Programmen zeigen. Dabei wenden wir uns an Einsteiger und Menschen, die das Thema sicherer und privater Kommunikation für sich entdecken wollen.
Mit „Crypto macht Schule“ haben wir einen Ableger der Cryptopartys für Jugendliche, mit dem wir auch direkt in Schulen gehen und dort die Themen Kryptografie und Privatsphäre erlebbar machen.
Außerdem veranstaltet unser Bündnis Lesungen mit Texten, die Privatheit und Privatsphäre im digitalen Zeitalter behandeln und Diskussionen dazu. Wir bringen uns in Kooperationen und Events ein, wie die jährlich stattfindende CryptoCon des sublab, die wir mit planen und organisieren.
Gleichzeitig sensibilisiert das Bündnis mit Aktionen in der Öffentlichkeit für die aktuellen technischen und politischen Entwicklungen sowie deren Auswirkungen in unserer zunehmend digitalisierten Gesellschaft. Darüber hinaus arbeiten wir an der überregionalen Vernetzung überwachungskritischer Gruppen mit.
Wir brauchen Sie, Dich, Euch …
… denn die mehr oder weniger schleichende Aufweichung und Abschaffung der Privatsphäre betrifft uns alle – ob wir das wollen oder nicht – und mit jedem Tag stärker, an dem wir nichts dagegen tun.
Natürlich kannst Du uns helfen und damit etwas für Dich tun. Am besten, indem Du Zeit und Engagement investierst und im Bündnis mitarbeitest. Aber vielleicht findest Du auch eines unserer Projekt so interessant, dass Du es finanziell unterstützen kannst und willst. Auch das bringt uns gemeinsam weiter. Wir freuen uns über jede Hilfe.
Du hast doch sowieso nichts zu verbergen? Gut. Aber weisst Du sicher, dass Du auch in 10 Jahren nichts zu verbergen gehabt haben wirst? Und trifft das auch auf alle zu, mit denen Du aktuell und in Zukunft kommunizierst? Dinge und Verhältnisse ändern sich. Digitale Informationen und Daten, die einmal in der Welt, im Internet, öffentlich und Deiner Kontrolle entzogen sind, werden nicht mehr vergessen – für so ziemlich immer.
Kommen wir ins Gespräch
Besuch uns bei unseren regelmäßigen, öffentlichen Treffen. Die konkreten Termine, was wir besprechen und wo wir uns treffen findest Du auf unserer Website unter https://privatsphaere-leipzig.org/.
Du kannst Dich auch für unsere Mailingliste eintragen, dann bekommst Du diese Informationen direkt in Dein Postfach.
Wann : – ,
Wo :
Über uns
Wann : – ,
Wo :
Wann : – ,
Wo :
CryptoCon
Wann : – ,
Wo :
Petition gegen BND-Etaterhöhung
Wann : – ,
Wo :
Öffentliches Plenum am 07. April 2015
Am Dienstag, den 07. April 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung: Bericht und Status (Regionales und Überregionales z. B. Aktionen zur PNR , Kampagne Verfolgungsprofile u.v.m)
Aktion zur Fluggastendatenspeicherung am 11. April 2015 am Flughafen Leipzig / Halle
Planung der CryptoParty im April
Teilnahme am Herderfest am 19. April
CryptoCon 2015 im sublab (07-10. Mai): Planungsstand und Kooperationen
Wann : – ,
Wo :
Verfolgungsprofile: Aktionstag gegen Passagierdatenspeicherung im Flughafen Leipzig/Halle am 11.04.2015
Die EU-Kommission verhandelt derzeit mit den Mitgliedstaaten und dem EU-Parlament über die langfristige Speicherung für Fluggast-Passagierdaten. Diese Passagierdaten oder »Passenger Name Records« (PNRs) fallen bei den Airlines an und werden dort für die Abwicklung des Flugverkehrs für jeden Fluggast benötigt. Zu den erhobenen Daten zählen beispielsweise: die komplette Wohn- und E-Mail-Adresse, Kreditkartenummer, der Vermerk, ob es sich um einen Vielflieger handelt; auch nicht angetretene Flüge werden erfasst. Der aktuelle Entwurf sieht vor, dass diese Daten an Polizei und Geheimdienste zu übermitteln sind.
Besonders bedenklich ist die fünfjährige Speicherdauer der Passagierdaten. Es ist fraglich, ob die vorgesehene Anonymisierung nach zwei Jahren ausreicht, wenn die Informationen mit anderen Datenbanken der Sicherheitsbehörden oder Nachrichtendienste verknüpft werden.
Unklar ist ebenfalls, in welchem Umfang die Daten an die USA weitergeben werden. Es ist zu befürchten, dass die USA die Passierdaten für noch längere Zeiträume speichern. Der Datentransfer soll über automatisierte Schnittstellen abgewickelt werden, ohne dass Einspruchsmöglichkeiten seitens der EU vorgesehen sind oder eine einzelfallbezogene Kontrolle stattfinden würde.
Bei Sicherheits- und Nachrichtendiensten werden die Passagierdaten auf der Basis unbekannter Merkmale und Beziehungen kategorisiert und organisiert. Wie die algorithmischen Einordnung einer oder eines Reisenden stattfinden und was dazu führt, dass diese oder dieser als »verdächtig« markiert wird – was besondere Kontrollen oder gar die Verweigerung der Reise zur Folge haben kann – ist gegenwärtig vollständig intransparent.
Es ist zu erwarten, dass die erhobenen Daten zu individuellen Profilen zusammengeführt werden mit denen Bewegungen und Beziehungen eines Individuums oder einer bestimmten Gruppe sichtbar gemacht werden können. Werden diese Profile zudem mit statischen Prognosetechnologien verknüpft – unter dem Schlagwort Predictive Policing ist vergleichbares für den Polizeieinsatz in verschiedenen Bundesländern vorgesehen – ist die Vorhersage des nächsten Urlaubsziels einzelner EU-Bürger*Innen ebenso möglich, wie die Vorhersage der Akquise eines Großauftrags in der Industrie oder die Anbahnung von Firmenfusion – Informationen, die für die Wirtschaftsspionage durch außereuropäische Dienste von hohem Wert sein dürften.
In den europäischen Ländern in denen bereits umfangreiche Vorratsdatenspeicherungen von Kommunikationsdaten existieren, hat deren Speicherung und Analyse keine Anschläge verhindern können. Statt die Mittel in den Ausbau konventioneller polizeilicher Ermittlungsarbeit zu investieren, setzen Politiker und Funktionäre der Sicherheitsbehörden ihr Vertrauen in Technologien, deren Eignung für das behauptete Ziel – die Bekämpfung oder gar Voraussage von Terroranschlägen – bisher nicht nachgewiesen ist.
Diese Entwicklung zeichnet das Bild eines zunehmend überwachten Europas, in dem Reiseziele von Urlauberinnen und Urlaubern in das Visier von Sicherheitsbehörden und Nachrichtendienste geraten. Sie zeigt auch eine erschreckende Ignoranz der Kommission den Schutz der Privatsphäre aller EU-Bürger*Innen betreffend.
Grundrechte und Werte wie Privatsphäre und Reisefreiheit werden unter diesen Umständen immer weiter eingeschränkt. Es entstehen nicht demokratisch kontrollierte Kontroll- und Monitoringinstrumente, vollkommen im Gegensatz zu den hoch gelobten europäischen Grundrechten und Werten.
Wir sehen diese Entwicklung mit Sorge. Das Bündnis Privatsphäre Leipzig beteiligt sich daher am 11. April an dem deutschlandweiten Aktionstag gegen Passagierdatenspeicherung, der an mehreren deutschen Flughäfen stattfinden wird. Vor Ort wollen wir Reisende am Flughafen Leipzig/Halle zu den Einschränkungen ihrer Grundrechten und über die Risiken, welche die Fluggastdatenspeicherung nach sich zieht, informieren.
Bereits am 28. März hatten Aktivist*Innen im Rahmen der Kampagne Verfolgungsprofile an Flughäfen Aufklärungsarbeit zur geplanten Fluggastendatenspeicherung geleistet.
Wann : – ,
Wo :
CryptoParty 15. 4. 2015, Beginn 19.00 Uhr, Westwerk/Sublab
Beobachte mich nicht – Sicheres Surfen und Anonymisierung im Internet
Anfang des Jahres sorgte Facebook mit seiner neuen Datenschutzerklärung für Aufsehen. ZEIT ONLINE etwa schlug die Installation von Browser-Erweiterungen, sogenannter Plugins oder Addons vor, um einen Rest an Privatsphäre zu sichern – oder aber den Ausstieg aus dem Sozialen Netzwerk. Mit Peter Scharr, dem ehemaliger Datenschutzbeauftragter, sollte diese Option ein prominentes Beispiel finden. Er löschte – wohl begründet – sein Facebook-Profil als Reaktion auf die Änderung der Nutzungsbestimmungen.
Facebook ist aber nur einer der Internetkonzerne, dessen Geschäftsmodell auf der Sammlung von Daten basiert. Und es sind nicht nur Konzerne, Onlinezeitungen und Webshops, die unsere Aktionen im Netz beobachten. Spätestens seit den Enthüllungen durch Edward Snowden wissen wir, dass Nachrichtendienste in gigantischem Ausmaß Daten analysieren und Profilbildung betreiben. Zu diesem Zweck sind sie mit den transatlantischen Internetkonzernen Kooperationen eingegangen.
Täglich hinterlassen wir bei unseren Wegen durchs Netz Spuren, unabhängig davon, ob wir mit Tablet, Smartphone, Laptop oder PC surfen, Apps nutzen oder Software einsetzen, die auf einen Datenaustausch mit der Cloud angewiesen ist. Viele Websites nutzen Cookies, um eindeutige Informationen auf unsern Geräten zu speichern – meistens temporär. Supercookies, die sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe gespeichert werden, sind deren unerfreuliche Weiterentwicklung. Und schließlich gibt es Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Doch was können wir gegen diese permanente Verfolgung tun? Wie kann ich meinen Surfverhalten weniger transparent werden lassen um meine Privatsphäre zu schützen? Was sollte bei der Auswahl eines VPN-Anbieters beachtet werden? Wie kann ich Tor sinnvoll und sicher einsetzen, um digitale Spuren zu verwischen? Gibt es einen Weg die Hoheit über meine Daten beizubehalten?
Mit diesen und weiteren Fragen werden wir uns am Mittwoch, den 15. April 2015, ab 19 Uhr im Sublab im Westwerk bei unserer nächsten Cryptoparty beschäftigen. Dazu laden wir herzlich ein. Für die praktische Arbeit sind Laptop oder Smartphone hilfreich. Vorkenntnisse sind wie immer nicht notwendig.
Wann : – ,
Wo :
Cryptoparty 15. April 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen abrufen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool dar, um das Aufkommen von Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe gespeichert werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevanes Publikum zu identifizieren. Das Projekt Trackography versucht dieses Datenaufkommen sichtbar zu machen.
Browser Fingerprints sind digitaler Fingerabdruck der eigenen Systemkonfiguration, die einen Besuche eindeutig identifizierbar werden lassen. Mit Hilfe der Werzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabrduck nicht vollkommen vermeiden.
SSL und TLS
SSL bzw. TLS definieren die Standardverschlüsselung , die beim Abruf von Websiten eingesetzt wird und dabei als HTTPS abgekürzt ist. Dabei handelt es sich um ein komplexes Kommunikationsprotokoll, dass mit einem Vertrauensdilemma verbunden ist. 2014 sind nicht nur durch die Enthüllung von Edward Snowden gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browser oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) die einen aktuellen eine im Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Seiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war das sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall gewesen.
Die Achillesferse stellen bei HTTPS die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen das Vertrauensmodell, dass von einigen wenigen sog. Rootzertifikaten, die in der zu prüfenden Hierarchie ganz oben stehen, anzugeigen. Diese Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem mitgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen war mit dem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptos zu verbreiten.
Die Überprüfung der Gültigkeit einer HTTS-Verbindung ist etwa beim Onlinebanking sinnvoll und erfolgt über die sog. Fingerabdruck .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt das das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung des Aufkommens von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing für welche der Datenverkehr ständig verschiedene, bestimmte Teilnehmer im Tornetzwerk umgeleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bitmessage-Protokolls zum Austausch von Daten führt dazu, dass Nutzer enttarnt werden können.
Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes immer besser geworden. Nachrichtendienste betreiben zudem eineh hohen Aufwand um Teil des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Das Tor-Browser-Bundle stelle einen gehärteten Firefox-Browser zur Verfügung, der speziell für das Surfen mit Tor entwickelt wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.
Es wird empfohlen Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, dass ein für das anonyme Surfen angepasste Betriebssystem darstellt.
Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben.
Personal Virtual Private Network (VPN)
Personal Virtual Private Networks (VPNs ) versprechen ebenfalls die Verschleierung, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Der Nuzter baut über eine spezielle Software eine sicheren Kanal zu dem Anbieter durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.
Wer hartnäckigen Verfolgungstechniken, wie etwa dem Perma-Cookies von Internet Service Provider, entkommen möchte, sollte auch beim Surfen mit VPN möglichst die TLS-Verschlüsselung der Webseiten in Anspruch nehmen.
Stichwort CryptoWars : Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren. Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessre Kontrolle über die Verbreitung eigener Datenspuren, u. a. NoScript, RequestPolicy,Self Destructing Cookies, BetterPrivacy, Disconnect oder Ghostery, Adblock Edge und µBlock.
Die Software BleachBit kann bei der Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 15. April 2015
Wann : – ,
Wo :
Herderfest 2015
Wir sind heute, am 19.04.15 beim zweiten Straßenfest zum Thema “Kontrollbereich 04277”
Das Fest auf dem Herderplatz bietet einen Anlaufpunkt, um über Probleme im Connewitzer Kiez zu diskutieren und gemeinsam nach politischen Lösungen zu suchen. Neben der alltäglichen Kontrollrealität sollen auch die Folgen der städtebaulichen Aufwertung des Viertels thematisiert werden.
Der inhaltliche Höhepunkt wird die gegen 15:30 Uhr stattfindende Podiumsdiskussion zu Wechselwirkungen von Stadtentwicklung und Ordnungspolitik sein.Die Diskussion um die Ordnungpolitik ist eng mit einer zunehmenden Überwachung des öffentlichen Raumes verknüpft, welcher die Connewitzer*Innen ausgesetzt sind. Als Bündnis für Privatsphäre wollen wir den Diskurs für Demokratie und gegen anlasslose Überwachung unterstützen.
Umrahmt wird die Veranstaltung von einer Mischung aus politischen und kulturellen Angeboten. Neben musikalischen Beiträgen werden sich Initiativen, Vereine und einige Unterstützer*Innen vorstellen, außerdem gibt es Aktions- und Infostände. Die Veranstaltung beginnt um 14 Uhr und wird gegen 20 Uhr enden.
Wir seh uns auf’m Platz!
Wann : – ,
Wo :
Öffentliches Plenum am 21. April 2015
Am Dienstag, den 21. April 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Vernetzung: Bericht und Status insbesondere Teilnahme an der #FsA Tour im September, Status der Petition gegen die BND-Etaterhöhung, Status der Debatte zur VDS auf den Mailinglisten des BgU und AK Vorrat
Reflexion der Aktion gegen Fluggastdatenspeicherung (Flughafen Leipzig / Halle) am 11.04.2015
Reflexion der CryptoParty am 15.04.2015
Reflexion Teilnahme am Herderfest (19.04.2015)
CryptoCon 2015 im sublab (07-10. Mai): Planungsstand und Kooperationen sowie Werbung und Social-Media-Auftritt (etwa zur »Überwachung. Die lange Filmnacht«)
Wann : – ,
Wo :
CryptoCon15
Vom 7. bis 10. Mai 2015 lädt der Leipziger Hackerspace sublab e. V. zur CryptoCon15 ins Westwerk ein. Die jährliche Veranstaltung findet bereits zum dritten Mal statt, in diesem Jahr auch in Kooperation mit dem Bündnis Privatsphäre Leipzig. Im Fokus stehen vier Tage lang Kryptografie, praktische Verschlüsselung, dezentrale Kommunikationsstrukturen, Rechts- und Regulierungsfragen in der digitalen Gesellschaft, Datenschutz und Privatsphäre, offene Hardware, Hacktivism, Angriffszenarien auf IT- und Kommunikationssysteme sowie Sicherheitslösungen und -protokolle. Das aktuelle Programm findet sich auf der Seite der
CryptoCon15 .
Mit den folgende Veranstaltungen tragen wir zur CryptoCon15 bei und wollen sie daher kurz vorstellen:
Überwachung. Die lange Filmnacht.
8. 5. 2015, 19:00 bis 01:00 Uhr, Cinending, Karl-Heine-Straße 83, 04229 Leipzig Eine Kooperation von Bündnis Privatsphäre Leipzig e. V. und Landesfilmdienst Sachsen e. V.
Wir zeigen:
Brazil (1985), Beginn 19.00 Uhr
V wie Vendetta (2005), Beginn 21.30 Uhr
M – Eine Stadt sucht einen Mörder (1931), Beginn 0.00 Uhr
Eintrittspreis für das Gesamtpaket: 5,00 EUR
Nicht erst seit Edward Snowden beschäftigt »Überwachung« Künstler, Philosophen und Aktivist*Innen gleichermaßen. Zu diesem Thema laden wir mit drei ausgewählten Filmen ein. Wir starten den Abend mit »Brazil«, einem kafkaesken Zukunftsentwurf, in dem Überwachung Alltag ist. »V wie Vendetta« wirft in der Folge Fragen zu Ohnmacht und Mündigkeit in einer total überwachten Gesellschaft auf. Und schließlich blicken wir mit »M – Eine Stadt sucht einen Mörder« auf die Schattenseiten eines Sicherheitsapparates und dessen zweifelhafte Kooperationen.
zum Seitenanfang
Internet Governance: Wer regiert das Internet?
9. 5. 2015, 14.00 Uhr
in Kooperation mit dem Mitteldeutschen Internetforum des Medienstadt Leipzig e. V.
»Internet Governance« und »multistakeholder« sind aktuell die Schlagworte wenn es um Fragen der Internetregulierung geht. Regulierung?? Internet?? Ist das nicht ein Widerspruch in sich? Welche Regulierungsnotwendigkeiten und –mechanismen es derzeit rund um das World Wide Web gibt, wie gut sie funktionieren und welche Herausforderungen es gibt soll der 30 minütige Impulsvortrag klären. Wer mehr mit den Akronymen ICANN, IGF, IETF, ITU u.ä. vertraut ist oder mehr darüber erfahren möchte sollte diesen Vortrag besuchen.
Der Leipziger Prof. Wolfgang Kleinwächter – ICANN Direktor, Lehrbeauftragter der Universität Aarhus und international anerkannter Experte – wird in einem kurzweiligen Vortrag Aufschluss geben und Fragen beantworten.
zum Seitenanfang
Das Recht auf Vergessenwerden
9. 5. 2015, 17.00 Uhr
in Kooperation mit dem Mitteldeutschen Internetforum des Medienstadt Leipzig e. V.
Nach Wikipedia soll das Recht auf Vergessenwerden » … sicherstellen, dass digitale Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen. Das Recht auf Vergessenwerden wird zuweilen verkürzt und unrichtig als »Recht auf Vergessen« bezeichnet. Weil sich das Recht auf elektronisch gespeicherte Daten bezieht, spricht man auch vom »digitalen Radiergummi«.
Der Begriff des Rechts auf Vergessenwerden geht auf den Rechts- und Politikwissenschaftler Viktor Mayer-Schönberger zurück. Er schlägt vor, elektronisch gespeicherte Informationen mit einem Ablaufs- oder Verfallsdatum auszustatten. Nach Ablauf dieses Datums soll die Information durch ein Programm oder das Betriebssystem des Computers automatisch gelöscht werden.«
Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) auf die Klage eines spanischen Bürgers, der eine 15 Jahre zurück liegende Geschichte im Internet unauffindbar machen wollte, ist Bewegung in die Diskussion gekommen. Der EuGH entschied auf Grundlage der Richtlinie 95/46/EG der Kommission dass unter bestimmten Voraussetzungen Verweise zu personenbezogenen Daten auf den Ergebnislisten der Suchmaschinen gelöscht werden können. Die letztendliche Entscheidung über die Löschung der Verweise (Links) überließ er dabei den Suchmaschinenanbietern selbst und gab ihnen damit eine Verantwortung über die verbreiteten Inhalte. Dies entspricht jedoch nicht dem originären Geschäftsmodell der Suchmaschinenanbieter und der Einsatz bzw. die Verantwortung von sogenannten »Lösch-Beiräten« ist mit vielen Fragen belegt.
Dieser und weiteren Fragen will die Podiumsdiskussion auf den Grund gehen für die folgende Diskutanten eingeladen sind:
Dr. Nikolai Horn, Philosoph und wissenschaftlicher Referent der Stiftung Datenschutz
Andreas Schurig, Sächsischer Datenschutzbeauftragter
Thoralf Schwanitz, Google Public Policy & Government Relations Counsel
Lorena Jaume-Palasí, Politologin, Privatheit- und Öffentlichkeitsethik, LMU
Moderation: Sandra Hoferichter; Medienstadt Leipzig e. V.
zum Seitenanfang
Vortrag Überwachungskapitalismus
10. 5. 2015, 19.00 Uhr
In den deutschen Feuilletons wird das Geschäftsmodel der Technologieriesen Google und Facebook häufig heftig kritisiert. Zweifelsohne ist die enorme Steigerung der Umsätze von 0,4 auf 66 Milliarden USD in nur zwölf Jahren bemerkenswert.
Wir laden sie herzlich ein, mit uns einen Blick durch das Schlüsselloch auf die Logiken hinter diesen erfolgreichen Geschäftsmodellen zu werfen, welche einen wesentlichen wirtschaftlichen Faktor der Digitalisierung darstellen. Dafür soll der Begriffs des ›Überwachungskapitalismus‹ nach Shoshana Zuboff als Vorschlag für einen theoretischen Zugang erläutert und angeboten werden.
Anhand praxisbezogener Beispiele werden zudem mögliche Konsequenzen dieses Kommerzialisierungsprozesses (Kommodifizierung) skizziert. Mit einem Ausblick auf das Spannungsfeld von Demokratie und Marktwirtschaft und die sich potentiell ergebenden Macht- und Kontrollstrukturen für den Einzelnen und die Gesellschaft (Public/Private-Partnerships) wollen wir in eine lebhafte Diskussion einsteigen.
zum Seitenanfang
Wann : – ,
Wo :
Wann : – ,
Wo :
Öffentliches Plenum am 05. Mai 2015
Am Dienstag, den 05. Mai 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Die Agenda:
CryptoCon 2015 im sublab (07-10. Mai): Entspurt Planungsstand, Kooperationen sowie Werbung und Social-Media-Auftritt
Planung der Aktivitäten und Projekte im zweiten Halbjahr 2015 (z. B. Wintersemester CryptoParty u. v.m)
Wann : – ,
Wo :
Heute startet die CryptonCon15
Heute beginnt die CryptonCon15, eine Vortrags- und Workshop-Reihe zum sicheren Umgang mit den eigenen Daten, sicherer Kommunikation und den Herausforderungen für das Zusammenleben in der digitalen Gesellschaft. Sicherheitstechnische Aspekte werden dabei ganauso wie Rechts- und Regulierungsfragen oder Datenschutz und Privatsphäre thematisiert.
Eröffnet wird die CrpytoCon15 um 19 Uhr mit dem oscarprämierter Dokumentarfilm »Citzenfour«. Packend wie einen Triller erzählt die Filmemacherin Laura Poitras die Geschichte des Whistleblowers Edward Snowden und seiner Enthüllungen, die den bis heute anhaltenden NSA-Skanal ausgelöst haben. Citzenfour wird im cineding gezeigt. Der Eintritt ist frei.
Gegen 21 Uhr startet mit der diesjährigen Keynote »Crypto: Verantwortung und Delegation« der Abend im Sublab. Der Vortrag »Social Engineering für Nerds« rundet den ersten Tag ab und wird Einblick in die Strategien geben, die zur Preisgabe von vertraulichen Informationen verführen sollen um damit unbefugt in Computersysteme und IT-Infrastrukturen einzusteigen.
Weiter Informationen finden sich hier sowie auf den Seiten der Cryptocon15 unter https://cryptocon.org/15/ .
Wann : – ,
Wo :
Überwachung. Die lange Filmnacht.
Nicht erst seit Edward Snowden beschäftigt »Überwachung« Künstler, Philosophen und Aktivist*Innen gleichermaßen. Zu diesem Thema laden wir in Kooperation mit dem Landesfilmdienst Sachsen e. V. im Rahmen der CryptoCon15 mit drei ausgewählten Filmen ins Cineding ein.
Wir starten den Abend mit »Brazil«, einem kafkaesken Zukunftsentwurf, in dem Überwachung Alltag ist. »V wie Vendetta« wirft in der Folge Fragen zu Ohnmacht und Mündigkeit in einer total überwachten Gesellschaft auf. Und schließlich blicken wir mit »M – Eine Stadt sucht einen Mörder« auf die Schattenseiten eines Sicherheitsapparates und dessen zweifelhafte Kooperationen.
Wir zeigen:
Brazil (1985), Beginn 19.00 Uhr
V wie Vendetta (2005), Beginn 21.30 Uhr
M – Eine Stadt sucht einen Mörder (1931), Beginn 0.00 Uhr (ACHTUNG GEÄNDERT!)
Eintrittspreis für das Gesamtpaket: 5,00 EUR
Wir freuen uns auf ein zahlreiches Publikum 🙂
Wann : – ,
Wo :
Vorträge, Podiumsdiskussion, Lightning Talks, Workshops – der Dritte Tag der CryptoCon15
Internet“regierung“ und -Regulierung, Verschlüsselung mit elliptischen Kurven, Wege durchs Netz beim Senden von E-Mails, Freifunknetze und Offene Internetserviceprovider, das Recht auf Vergessenwerden und dessen Auswirkung auf die Ergebnislisten von Suchmaschinen, das sich verschiebende Verhältnis von Laien und Experten und die Sicherheit bei der Adressierung von Verbindungen im Internet sind einige Themen, die heute genauer beleuchtet werden.
Dazu gibt es einen offen Workshop, der dabei hilft, Verschlüsselungslösungen für die konkreten persönlichen Bedürfnisse einzurichten.
Wir freuen uns auf jeden Besucher.
Wann : – ,
Wo :
Junghackertag sowie weitere Vorträge und Workshops am vierten Tag der CryptoCon15
Erstmalig steht der Junghackertag auf dem Programm, der sich an Schüler, Eltern und Lehrkräfte richtet. Die rasante digitale Entwicklung fordert neue Wege der pädagogischen Auseinandersetzung, Lehrpläne und Schulstoff reagieren aber behäbig. Einige alternative Möglichkeiten sowie konkrete Projekte werden vorgestellt und diskutiert.
Digitale Währungen, dezentrale Vernetzung, Angriffsszenarien trotz Einsatz von Kryptografie, automatisierte Schwachstellenanalys mittels Fuzzing sind ausgewählte technische Themen des vierten Tages.
Mit Informationen zur Handybeschlagnahme in Leipzig, Einordnungen zu den „Cryptowars“ und theoretischen Ansätzen zum Überwachungskapitalismus werden aber auch gesellschaftliche Auswirkungen der Digitalisierung beleuchtet.
Der offen Workshop als praktisches Angebot zur Lösung von IT-Problemen rundet auch an diesem Tag das Programm ab.
Detaillierte Informationen finden sich auf der Website der
CryptoCon15 .
Wann : – ,
Wo :
Öffentliches Plenum am 19. Mai 2015
Am Dienstag, den 19. Mai 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ;
Wegbeschreibung (Direkt im Sublab)
Die Agenda:
Reflexion der CryptoCon15
CryptoParty für die kritischen Jurist*Innen
CryptoParty im Juni
Treffen für Inhalte / Forderungen / Themen
Planung des nächsten Halbjahrs
Wir freuen uns wie immer über Jede und Jeden, die/der vorbei kommt.
Wann : – ,
Wo :
Öffentliches Plenum am 2. Juni 2015
Am Dienstag, den 2. Juni 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ;
Wegbeschreibung (Direkt im Sublab)
Unsere Agenda:
Pressearbeit/Interview
Artikelreihe Mindestspeicherfrist Vorratsdaten für Blog
Regionale und Überregionale Vernetzung
Verfolgungsprofil, IDP in 06/2015, FsA-Tour, Sonder-Cryptoparty
CryptoParty Juni (10. 6.)
Öffentliches Plenum am 2. Juni 2015
Planung 2. Halbjahr 2015
Wir freuen uns immer über neue Gesichter 🙂
Wann : – ,
Wo :
CryptoParty 10. 6. 2015, Beginn 19.00 Uhr, Westwerk/Sublab
Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme
Vor gut zwei Jahren hat Bundeskanzlerin Merkel im Zuge der Enthüllungen von Edward Snowden das Internet als Neuland bezeichnet.
Mittlerweile scheint sie zumindest in Teilbereichen des Netzes angekommen zu sein, denn sie vergleicht z. B. Facebook mit Alltagsgegenständen : »Es ist schön, dass man es hat. Das ist so schön, wie man ein Auto hat oder eine ordentliche Waschmaschine.« Wirklich?
Lange Zeit galt Facebook als unangefochtener Spitzenreiter bei sogenannten »Sozialen Netzwerken«, Microblogs und Fotodiensten. Doch das Bild des unangefochtenen Herrscher des Olymp bröckelt. Ist Facebook letztlich gar nicht alternativlos?
Nutzer*Innen »sozialer« Netze – darauf weisen wir in unseren CryptoParties immer wieder hin – sind der besonderen Aufmerksamkeit, der ständigen Beobachtung und der Sammlung all ihrer Daten durch die jeweiligen Anbieter ausgesetzt. Total vernetzt im »Walled Garden« sind wir nie wieder allein.
Nutzerdaten sind zur Grundlage von Geschäftsmodellen geworden, die im Ergebnis über soziale Graphen und die Analyse von Beziehungsnetzwerken zu Profilbildungen über die Nutzer führen – viele Jahre umfassend. Diese Daten sind von hohem Interesse für Werbetreibende und Marketingverantwortliche, aber auch für Meinungsforscher, Demoskopen und, wie wir durch die Snowden-Enthüllungen wissen, insbesondere auch Nachrichtendienste.
Gleichzeitig betreiben Anbieter Sozialer Netzwerke, oft zum Unmut ihrer Nutzer*Innen, immer wieder soziale Experimente und ändern Optik und Verhalten integrierter Dienste.
Aus dem Wissen um die allgegenwärtige Datensammelei und aus einem damit verbunden diffusen Gefühl geben nicht Wenige in Befragungen an, sich innerhalb dieser Walled Gardens mehr Privatsphäre zu wünschen, ohne dass dabei aber Funktionalitäten oder Vernetzungsmöglichkeiten eingeschränkt werden sollen. Diese Spannungsfeld wird häufig als Privacy Paradox beschrieben.
Auch wenn einige Analysten das Ende der Bedeutung von Facebook in den kommenden Jahren erwarten, scheint ein Ausstieg aus den aktuellen Sozialen Netzwerken für die Nutzer häufig undenkbar, wenn Arbeitskollegen, Freunde und Familie ihre Freizeit darüber planen oder unsere Freundschaftsbande den gesamten Globus überspannen. Mittlerweile vertrauen wir nicht nur unseren Alltag sozialen Netzen an, wir laden gleichermaßen Gigabytes an digitalisieren Erinnerungen in zentrale Clouds.
Gibt es jenseits der großen Zentralen Alternativen? Was macht ein Soziales Netzwerk aus? Wie kann ich, ohne eine Cloud der großen Anbieter zu nutzen, von überall auf meine Dokumente oder Fotografien zugreifen und diese mit Freunden, Kolleg*Innen, Kommilitonen und meiner Familie teilen? Kann ich selbst ein Soziales Netzwerk betreiben? Erlange ich dadurch mehr Selbstbestimmung und Souveränität im Internet?
Mit diesen Fragen wollen wir uns auf der CryptoParty am 10. Juni, ab 19 Uhr im sublab/Westwerk befassen und dabei der vom aktuell amtierenden Innenminister diagnostizierten »digitalen Sorglosigkeit « eine kritische und emanzipatorische Technikbetrachtung entgegen stellen.
Wir stellen alternative, föderierte Netzwerke vor, zeigen die Möglichkeiten selbst betriebener Clouds auf, bringen die Verwendung von verschlüsselten Zero-Knowlege-Cloudspeichern näher und demonstrieren den Betrieb eines eigenen Blogs in Grundzügen, jenseits von Tumblr und Medium.
Zu einer lebendigen Debatte um das Für und Wider dieser Alternativen und zu deren Kennenlernen durch Ausprobieren laden wir herzlich ein.
Wann : – ,
Wo :
Cryptoparty 10. Juni 2015 – Programme, Materialien, Links
»Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme«
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Zero-Knowledge-Cloudsysteme und Backups in der Cloud
In Anlehnung an den Zero-Knowledge-Beweis wird der Begriff Zero Knowledge für eine Cloudtechnologie verwendet, die Nutzer*Innen – verglichen mit anderen Cloudsystemen – mehr Privatsphäre versprechen.
Dabei soll der Anbieter gegenüber einem Dritten, z. B. einer staatlichen Behörde, nötigenfalls sogar vor Gericht glaubhaft abstreiten können, Dateien spezifischer Nutzer in ihrem Systemen ausfindig machen zu können.
Der Zero-Knowledge-Ansatz soll dadurch erreicht werden, dass die Dateien bereits auf den Geräten der Nutzer*Innen verschlüsselt werden. Idealerweise kennt der Anbieter den kryptographischen Schlüssel zu keinem Zeitpunkt, mindestens aber nur temporär (Sitzungsschlüssel), da das Verfahren von der Abstreitbarkeit des Zugriffs auf diesen Schlüssel abhängt.
Der von Edward Snowden empfohlene Anbieter SpiderOak bietet einen solchen verschlüsselten Zero-Knowledge Dienst an, der bis zu 2 GB kostenfrei genutzt werden kann. Die Verschlüsselung der Dateien wird auf den Geräten der Nutzer*Innen durchgeführt. Dafür ist eine eigene Software notwendig, die SpiderOak für die gängigen Betriebssysteme, inkl. Tablets und Smartphones anbietet. Der Anbieter gibt an, dass der Zero-Knowledge-Ansatz leidlich für die Desktop-Variante gelte.
Bei der Nutzung über die Website oder mit den mobilen Varianten, soll der Schüssel kurzzeitig im temporär im Speicher des Anbieter-Servers gehalten werden. Für diese beiden Anwendungsfällen ist also der Zero-Knowledge-Ansatz eingeschränkt. Die Software, welche die Grundlage (Framework) für den Webzugang liefert , ist als OpenSource verfügbar und kann prinzipiell geprüft werden.
Ein weiterer Nachteil von Spideroak ist, dass weder die Desktop-Software noch die Serverarchitektur sind als OpenSource eingesehen werden können, auch wenn es Überlegungen des Anbieters gibt, dies eines Tages zu ändern. Nutzer*Innen, die besonderen Wert auf Privatsphäre legen, sollten darüber hinaus die Besonderheiten des Standorts des Anbieters nicht übersehen: Aufgrund des Sitzes in den USA können die Behörden durch einen sog. National Security Letters (NSL) Zugriff auf die gesamte Cloud erlangen, ohne dass der Anbieter diese Informationen an seine Kunden*Innen oder die Öffentlichkeit weiterreichen darf. Die Verschlüsselung der Daten auf den Nutzergeräten dürfte die Zugriffsmöglichkeiten für US-Behörden allerdings erheblich erschweren.
Wuala ist eine grundsätzlich kostenpflichtige Alternative zu Spideroak . Die Software steht für die gängigen Betriebssysteme (Windows, Linux, MacOs) und Mobilgeräte (iOS, Anroid) zur Verfügung. Wuala soll den eigenen Angaben zufolge Datencenter in Ländern betreiben, die den Behörden nur eingeschränkte Zugänge erlauben (Deutschland, Schweiz, Frankreich – wobei im letzten Fall, die Änderungen der Gesetzeslage nach den Pariser Anschlägen deutlich verschärft wurde und umfangreiche Zugriffsmöglichkeiten für die Sicherheitsbehörden einräumt). Ähnlich wie bei Spideroak ist der Code nicht als OpenSource veröffentlicht, so dass eine Prüfung der Zero-Knowledge-Unterstützung nicht möglich ist. Sicherheitsaffine Nutzer*Innen dürften zudem die Umsetzung der Software, für die eigenen Geräte (mit Ausnahme von iOS) eher kritisch bewerten: Es kommt Java zum Einsatz. Ohne diese Programmiersprache diskreditieren zu wollen, ist die sog. Java-Laufzeitumgebung, auf der die Ausführung der Wuala-Software basiert, in den letzten Jahren durch massive Sicherheitslücken aufgefallen und wird in Sicherheitskreisen durchaus als potentielles Einfallstor eingestuft.
Nutzer*Innen von BSD- und Linux-Systemen können auf Tarsnap zurückgreifen. Tarsnap ist ein Kommandozeilenwerkzeug, dass verschlüsselte Backups mit dem Zero-Knowledge-Ansatz kombiniert. Die Daten werden auf dem Linux/BSD-Gerät verschlüsselt und dann in eine Amazon S3-Cloud übertragen. Die Software wurde noch nicht unter einer OpenSource-Lizenz veröffentlicht, kann aber offenbar auch im Quellcode heruntergeladen werden . Das Bezahlmodell unterscheidet sich von üblichen Abomodellen: Nutzer*Innen zahlen für die gespeicherten Daten und die Übertragung in den Cloudspeicher – die Kosten werden von einem Guthaben-Konto abgezogen. Kritischen Nuzter*Innen dürfte, neben der fehlenden OpenSource-Veröffentlichung, vor allem die Wahl des Cloud-Speichers zumindest nicht geheuer sein. Auch wenn die Daten dort verschlüsselt abgelegt werden: Amazon S3 unterliegt der Zuständigkeit der US-Behörden und kann prinzipiell mit einem National Security Letter (NSL) zur Herausgabe von Daten gezwungen werden. Allerdings betreibt Amazon auch innerhalb Europas Datencenter, um Kunden alternative Speichermöglichkeiten anzubieten. Die externe Verschlüsselung ist grundsätzlich erlaubt und Basis des Tarsnap-Angebots . Solange keine Offenlegung des Quellcodes von tarnsnap unter einer OpenSource-Lizenz erfolgt kann nicht geprüft werden, ob sich keine Hintertüren in der Software befinden. Nutzer*Innen müssen sich, wie bei allen anderen Anbietern, auf die richtige Implementierung der Verschlüsselung und die Integrität des Anbieters verlassen.
Nutzer*Innen von Cloudspeichern ohne Zero-Knowledge-Funktionalitäten können die OpenSource-Backup-Lösung duplicity (Linux, Kommandozeilenwerkzeug), deja dup (Linux, grafisches Oberflache) oder Duplicati (Windows) nutzen. Diese Backup-Software verschlüsselt die Daten auf dem eingesetzten Rechnern, bevor diese dann in den Cloud-Speicher übertragen werden.
Alternative Cloudsysteme
In den letzten Jahren sind zu den großen Cloudanbietern auch freie OpenSource-Lösungen entstanden, die Nutzer*Innen mit dem entsprechenden Fachwissen in einem Shared-Hosting oder auf einem virtuellem RootServer installieren können.
Wer auf eine zentrale Instanz der Datenhaltung verzichten möchte, kann Dateien direkt mit einem Kommunikationspartner via Syncthing austauschen. Syncthing ermöglicht die Synchronisation großer Datenmengen (z. B. mehrerer geteilter Verzeichnisse) und setzt bei der Übertragung konsequent auf Transportverschlüsselung (TLS). Nutzer*Innen laden dafür eine direkt ausführbare Software auf ihr System, die einen kleinen Webserver startet, der für den Austausch eine einfach zu bedienende Webseite bereitstellt, über die Ordner für die Synchronisation festgelegt und Verbindungen zu anderen Teilnehmern hergestellt werden können. Die Identifikation erfolgt über eine sehr lange, eindeutige Identifikationsnummer, welche die Teilnehmer*Innen am besten über ein anderes sicheres Medium (z. B. verschlüsselte E-Mail oder Messenger-Nachricht) austauschen können. Die Ordner gleichen sich nach Aufbau der Verbindung automatisch miteinander ab. Einmal eingetragene Teilnehmer können auch gespeichert werden. Für Android-Systeme steht mittlerweile auch eine App zur Verfügung, so dass Syncthing für das Backup von Smartphones und Tablets verwendet werden kann. Aufgrund der vergleichsweise hohen Übertragungsraten positioniert sich Syncthing als konsequent verschlüsselte, quelloffenen Alternative zu kommerziellen, geschlossenen Angeboten wie etwa bitsync .
Das Owncloud -Projekt bietet über den Dateiaustausch hinaus viele Features an – ansonsten häufig nur bei den Internetriesen vorzufinden –: Kalender und Kontakte, Fotogalerien und vieles mehr. Die Daten können auch aus einem anderen Speichersystem in die Owncloud integriert werden – sogar aus dem eigene Heim-NAS (Network Attached Storage). Owncloud ist in der Lage die Daten zu speichern und verschieden dort angemeldeten Nutzer Zugriff zu gewähren. Dateien und Verzeichnisse können auch über extern verfügbare Links geteilt werden, wobei der Zugriff zusätzlich über ein Passwort geschützt werden kann. Schließlich bietet Owncloud die Möglichkeit andere Ownclouds miteinander zu vernetzen (föderiertes System).
Seafile stellt eine Alternative zu Owncloud dar, vor allem, wenn lediglich die Möglichkeit des Datenspeicherns und -austauschens gewünscht wird. Seafile bietet die Möglichkeit verschlüsselte Ordner als Container anderen zur Verfügung zu stellen. Das verwendete Verschlüsselungsverfahren steht allerdings in der Kritik.
Sowohl für Seafile , als auch für Owncloud steht Software zur Verfügung, die auf einem Rechner installiert werden kann und die die Synchronisation von Dateien auf komfortable Weise im Hintergrund übernimmt. Für beide Systeme sind zudem Apps verfügbar, die einen Zugriff auf die Daten über Smartphones und Tablets erlauben.
Blogs und Microblogs
Blogs
WordPress hat sich in den letzten Jahren von einer Defacto-Software für Blogger zu einem sog. Content-Management-System entwickelt und stellt auf diese Weise tausende Sites im Netz bereit. WordPress fällt vor allem durch die vergleichsweise einfache Installation und Nutzung auf. Bei den meisten Anbietern von Shared-Hosting oder virtuellen RootServern lässt sich WordPress in der Regel problemlos installieren.
Für WordPress stehen zahlreiche Themes und Plugins zur Verfügung, die Blogger*Innen oder Seitenbetreiber*Innen dabei unterstützen, der eignen Individualität im Netz Ausdruck zu verleihen und bieten Möglichkeiten diese zu vernetzen. Der Vorteil beim sog. Self Hosting besteht vor allem darin, dass Blogger*Innen die Rechte über ihre Inhalte nicht über Allgemeine Geschäftsbedingungen und unter den Prämissen des US-Rechts an den Anbieter der Plattform übertragen und so einen wesentlichen Teil der Hoheit über ihre im Netz veröffentlichten Inhalte behalten.
Als Alternative zu WordPress kommen häufig schlankere, reine Blog-Systeme zum Einsatz. In den vergangen Monaten hat Ghost für Furore gesorgt. Anders als WordPress steht der Fokus hier vor allem auf dem Schreiben und der Veröffentlichung von Artikeln. Allerdings ist die Software derzeit noch nicht bei jedem Hosting-Anbieter ohne weiteres installierbar, auch wenn das dafür einsetzte Basissystem node.js in der jüngeren Vergangenheit an Verbreitung gewonnen hat.
Schließlich gibt es noch die Möglichkeit ein Blog oder eine Website auf der Grundlage von Textdateien, die einem bestimmten Format (Markdown) entsprechen, auf dem eigenen Rechner genieren zu lassen. Die entstandene, statische Website, die dann keinerlei Datenbanksystem mehr benötigt, kann dann auf den eigenen Host hochgeladen werden. In den letzten Jahren sind zahlreiche static site generators entstanden. Einer der bekanntesten ist noch immer jekyll .
Microblogs
Unter einem Mircobloggingdienst versteht man im allgemeinen einen Dienst der die Veröffentlichung von Kurzbeiträgen ermöglicht. Die Grenzen zwischen Sozialem Netzwerk und Microblogging ist dabei häufig fließend.
Zu den Microblogs, die Nutzer*Innen im Selfhosting betrieben können, oder für die es zumindest freie Accounts gibt, zählen z. B. GnuSocial (früher Status.Net) und pump.io , die beide einen föderierten Ansätze verfolgen, d. h. versuchen verteilte Installationen miteinander zu vernetzen.
GnuSocial unterstützt Nachrichten mit einer Länge von 1024 Zeichen. Diese Beiträge werden Queets genannt. Queeterer haben zudem die Möglichkeit Bilddateien in ihre Kurzmitteilung hochzuladen. GnuSocial bietet außerdem die Möglichkeit Links in Queets automatisch zu kürzen (URL-Shortener). Über Schlagworte (Tags) kann sich ein Nutzer in einem Profil selbst beschreiben. Queets können Standortinformationen enthalten. Diese Option ist – abhängig von der verwendeten Installation – standardmäßig nicht aktiviert. Das Profil bietet Nutzer*Innen zudem die Möglichkeit der Selbstbeschreibung (Biografie) an. Außerdem kann eine Website als Adresse hinterlegt werden. Impressum und vergleichbare Angaben sind nicht vorgesehen.
GnuSocial kann unter GnuSocial.de ausprobiert werden. Da GnuSocial das OStatus-Protokoll versteht, sind Apps verfügbar.
pump.io stellt eine sehr klare, moderne Weboberfläche zur Verfügung, die an Twitter erinnert. Anders als bei Twitter ist die Länge der Nachrichten nicht auf 140 Zeichen begrenzt. pump.io hat verschiedene technischen Protokolle zusammen getragen, die prinzipiell einen breiten Einsatz ermöglichen und auch die Probleme föderierter Netze zu adressieren versuchen. Da pump.io das ActivityStrea.ms-Protokoll implementiert hat, kann es über entsprechende Apps auch dazu verwendet werden sportliche Aktivitäten, gehörte Musik oder Check-Ins an bestimmten Orten zu veröffentlichen und zu protokollieren. Inwieweit diese Möglichkeiten außerhalb von experimenteller Arbeit im Rahmen von Hacktivismus einer größeren Netzöffentlichkeit zu kommen werden, ist bisher schwer einschätzbar.
pump.io -Nutzer*Innen stehen für Android die Apps Puma und Impeller zur Verfügung, die über den FDroid-Store bezogen werden können. Für Desktop-Geräte machen die beiden Anwendungen Pumpa und Dianara derzeit den besten Eindruck.
Alternative ›Soziale Netzwerke‹
Wenngleich pump.io und GnuSocial durchaus auch als Soziale Netzwerke aufgefasst werden können, gibt es daneben auch weitere föderierte Ansätze, die explizit auf den Anspruch eine Sozialen Netzwerkes hinarbeiten.
Unter föderiertem Ansatz wird im Zusammenhang mit Sozialen Netzwerken an dezentrale, verteilte Systeme gedacht. Anders als bei den großen Rechnerverbünden (Cluster, Clouds) in den DataCentern von Facebook, Google und Twitter werden die Daten der Nutzer*Innen hier nicht in einem zentralisierten Datensilo gespeichert. Prinzipiell können also wenige Nutzer*innen einen bestimmten Zirkel sogar auf einer eigenen Instanz (Server, Pod, Host) abbilden. Es gibt sogar Verfahren, die ohne Rechner (Server, Hosts) im Netz auskommen und die Teilnehmer*Innen direkt miteinander verbinden (Peer-to-Peer).
Die aus Nutzer*Innensicht einfachste Variante ein Soziales Netzwerk aufzubauen ist der Einsatz von Retroshare . Retroshare ist eine Software, die auf dem eigenen Gerät installiert wird und die über ein verteiltes Verfahren, eine sog. Verteilte Hashtable (DHT), die Vernetzung direkt zwischen den Teilnehmen realisiert (Peer-To-Peer, P2P). Wenngleich die Benutzeroberfläche etwas in die Jahre gekommen wirkt bietet Retroshare Instant-Messaging, Mailing, Voice-over-IP, Dateiaustausch und sieht sogar die Führung verteilter Foren vor. Identität wird in Retroshare über einen OpenPGP-Schlüssel abgebildet, den Freunde untereinander austauschen können. Diese Schlüssel werden in der verteilen Hashtabelle abgelegt. Für die Verschlüsselung nutzt RetroShare nach der Identifkation der beteiligten Kommunikationspartner eine modifizierte Version von OpenSSL. Der Austausch große Dateien über Retroshare braucht Geduld, da die Übertragung aufgrund der Peer-To-Peer-Verbindung und der meist asymmetrischen Anbindung der Teilnehmer, Zeit in Anspruch nehmen kann. Das RetroShare-Team sucht derzeit händeringend nach Entwicklern, um die Software weiter zu entwickeln. Ein Prüfung der kryptografischen Elemente des Systems (Audit) hat bisher nicht statt gefunden.
Friendica ist ein umfassendes, verteiltes Soziales Netzwerk. Neuen Nutzern können in der Dokumentation eine Einführung konsultieren.
Ähnlich wie bei Facebook können Nutzer detaillierte Informationen zu ihren Vorlieben, Interessen und ihren Beziehungen angeben. In den Beiträgen ist es möglich Hyperlinks, Bilddateien, Video und Klangdateien einzubinden. Wie Facebook oder Twitter bietet Friendica die Möglichkeit Schlagworte in den Beiträgen über Hashtags zu kennzeichnen. Wie bei Facebook ist die Möglichkeit gegeben über einen Kalender Ereignisse zu teilen oder anzulegen. Zudem können persönliche Notizen verfasst werden. Nutzer können ihre Kontakte über Gruppen organisieren oder diesen Beitreten. Ein IRC-Chat kann direkt integriert werden. Community Pages und Friendica Forums runden die Möglichkeiten ab. Die Standardoberfläche wirkt aus heutiger Sicht etwas angestaubt. Allerdings bietet Friendica Betreibern die Möglichkeit Themes zu installieren oder diese selbst anzupassen. Plugins erlauben ferner andere Dienste einzubinden. Die Verbindung zu Facebook (Facebook Connector) wurde vor Kurzem abgeschaltet, da Facebook die eigenen Schnittstellen so verändert hat, dass ein sog. Crossposting aus Friendica heraus nicht mehr möglich ist. Kritiker loben immer wieder die einfache Installation von Friedentica .
Das Projekt Diaspora* wurde im Jahr 2015 als Crowdfunding-Projekt unter dem Eindruck der starken Expansion von Facebook ins Leben gerufen. Nach zwei Jahren Entwicklungsarbeit haben die ursprünglichen Entwickler Diaspora* dann der Open-Source-Gemeinde übergeben. Seither wurde das Projekt kontinuierlich weiterentwickelt.
Anders als bei den üblichen Sozialen Netzwerken ist Diaspora* auf Datensparsamkeit ausgelegt. Das Profil verlangt, verglichen mit vielen andren Sozialen Netzwerken, kaum Angaben zur eigenen Person (Selbstbeschreibung/Biografie, das Gender/Geschlecht wurde bewusst als Eingabefeld definiert). Diese Einschränkung verhindert einerseits die Suche nach Nutzer*Innen über Merkmale, trägt aber der Privatsphäre der Nutzer Rechnung.
Nachrichten könne im Markdown-Format eingegeben werden, so dass etwa Links oder Formatierungen innerhalb von Beiträgen möglich werden.
Ähnlich wie bei Google+ (Kreise) oder Facebook (Gruppen) haben Nutzer*Innen die Möglichkeiten ihre Kontakte in sog. Aspekten zu organisieren. Die Sichtbarkeit bestimmter Beiträge kann so je nach Kommunikationskontext getrennt werden. Links werden, ähnlich wie bei Facebook, mit einer Vorschau eingebunden. Hashtags haben bei Diaspora* eine zentrale Bedeutung. Nutzer*Innen sind in der Lage die Kommunikationsströme, die mit diesen Schlagworten arbeiten zu abonnieren.
Kritiker haben sehen bei Diaspora* vor allem die relativ komplexe Installation als Hürde, die sich aus den eingesetzten Technologien ergibt. Die Anforderungen eines Hostings sind dadurch erhöht, was als Widerspruch zu dem ursprünglichen heeren Ziel eines dezentralen Systems, bei dem jeder Nutzer seine eigene Instanz (Pod) betreibt, aufgefasst wurde. Hier lohnt sich eine vorsichtige Evaluierung.
Für Friedentica existieren eine Reihe von Apps die das OStatus-Protokoll von GnuSocial unterstützen. Mit dem Android Client for Friendica existiert auch eine Android-App die speziell für Friedentica Nuzter*Innen ausgelegt ist. Die Diaspora* Entwickler wollen keine zu hohen Erwartungen bei den Apps schüren. Android-Nuzter können allerdings die App Pusteplume ausprobieren.
Als vielversprechender Ansatz für eine sinnvolle Realisierung verteilter, dezentraler Vernetzung wird aktuell Etherum gehandelt. Dabei wird die dezentrale Datenbank der Bitcoin-Währung, die sog. Blockchain zu einer dezentrale, verteilte Infrastruktur weiterentwickelt, auf der nicht länger nur eine Währung übertragen werden kann, sondern auf deren Basis verteile Soziale Netzwerke oder Messaging-Systeme denkbar werden.
Weiterführende Links
Jeff Reifmann hat sich in seinem Artikel mit alternativen Sozialen Netzwerken u. a. mit Diaspora*, Pump.io und GnuSocial befasst.
Die Wikis der Alternativen Sozialen Netzwerke bieten häufig detaillierte Installationsanleitungen. Eine sorgfältige Vorbereitung lohnt sich, um sicher zu stellen, dass der verwendete Hosting-Anbieter die notwendigen Voraussetzungen auch erfüllt.
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 10. Juni 2015
Wann : – ,
Wo :
Öffentliches Plenum am 16. Juni 2015
Am Dienstag, den 16. Juni 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ;
Wegbeschreibung (Direkt im Sublab)
Unsere Agenda:
AG CryptoParty: Statusbericht und Planung Herbst- und
Wintersemester 2015
Gewinn neuer Mitstreiter*Innen: Kontaktflyer, Potentielle
Mitstreiter*Innen wie abholen, Promo-Material?
Regionale und Überregionale Vernetzung: Kampagne
Verfolgungsprofile, Intensivierung regionaler Vernetzung
Wir freuen uns immer über neue Gesichter 🙂
Wann : – ,
Wo :
CryptoParty-Reihe 2015, 2. Halbjahr
Unsere CryptoParties werden an jedem 2. Mittwochabend im Monat, immer ab 19 Uhr, im Westwerk,
sublab e. V.. Lage , Karl-Heine-Straße 93, Leipzig (Plagwitz) stattfinden. Die Teilnahme ist kostenfrei.
8. Juli 2015: Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet (mehr Informationen)
12. August 2015: Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP (mehr Informationen)
9. September 2015: Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs (mehr Informationen)
14. Oktober 2015: Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung (mehr Informationen)
11. November 2015: Das können wir selber – Alternative Soziale Netzwerke und Cloud-Systeme (mehr Informationen)
Warum eigentlich?
Im ersten Halbjahr 2015, so muss man feststellen, sind Privatsphäre und bürgerliche Freiheitsrechte im Digitalen weiter unter erheblichen Druck geraten: Der Regierungsentwurf zur EU-Datenschutzreform, die einer europäischen Datenschutz-Grundverordnung münden soll, schleift die Zweckbindung und Datensparsamkeit als Grundlagen wirksamen Datenschutzes . Das Bundeskabinett hat die Einführung einer anlasslosen Komplettüberwachung der elektronischen Kommunikation der bundesdeutschen Bevölkerung beschlossen. Die Wirtschaft räumt sich zunehmend weitergehende Rechte zur Verwertung der Nutzerdaten ihrer Angebote ein oder will sogar fremde Inhalte in eigenen Diensten verwenden , wenn man nicht ausdrücklich widerspricht. Derweil erbeuten Hacker Daten, unter anderem auf Passwortsites , im Netzwerk des Bundestages oder im Personalbüro der US-Regierung .
Ob und was Jede und Jeder Einzelne gegen den ungesteuerten Verlust der Kontrolle über seine Daten tun kann wollen wir in unserer Cryptoparty-Reihe im zweiten Halbjahr weiter untersuchen und zeigen. Der vom aktuell amtierenden Innenminister diagnostiziert »digitalen Sorglosigkeit « stellen wir eine kritische und emanzipatorische Technikbetrachtung entgegen.
Mitmachen!
In praxisorientierter, anwenderfreundlicher und verständlicher Weise informieren wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken und zeigen deren Einsatz.
Das praktische Wissen um Einrichtung und Anwendung der entsprechender Programme und die Kenntnis der dahinter liegenden technischen Zusammenhänge dient der Wahrnehmung des verfassungsmäßigen Rechts auf informationelle Selbstbestimmung. Wir wollen Jede und Jeden dazu anregen und dabei unterstützen, dieses Recht auch durchsetzen zu können.
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, die entsprechenden eigenen Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Vorkenntnisse sind hilfreich aber nicht notwendig.
Wir freuen uns auf euch!
Wann : – ,
Wo :
CryptoParties
Wann : – ,
Wo :
Wintersemester 2015
Wann : – ,
Wo :
Öffentliches Plenum am 30. Juni 2015
Am Dienstag, den 30. Juni 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann: Beginn 19.00 Uhr
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ;
Wegbeschreibung (Direkt im Sublab)
Unsere Agenda:
AG CryptoParty: Party im Juni, Bewerbung der Veranstaltung
Regionale und Überregionale Vernetzung: Kampagne
Verfolgungsprofile, Intensivierung regionaler Vernetzung
Vorbereitung der gruppeninternen Zukunfswerkstatt (Juli)
Vorbereitung für die Vollversammlung des Vereins am 07. Juli
Schaut vorbei! Wir freuen uns auf Euch. 🙂
Wann : – ,
Wo :
Start des neuen Cryptoparty-Semesters
Am 8. 7. 2015 startet mit
“Beobachte mich nicht” – Sicher Surfen und Anonymisierung im Internet der Zyklus unserer Cryptopartys wieder von vorn. In fünf lose verbundenen Veranstaltung werden wir Möglichkeiten zur digitalen Selbstverteidigung gegen privatwirtschaftliche und staatliche Massenüberwachung und Datenerhebung zeigen und Hintergründe beleuchten. Details zu den jeweils behandelten Themen und die Veranstaltungstermine finden sich
hier .
Wir verstehen unsere CryptoParties als praxisnahe Einführung in das jeweilige Gebiet. Daher ist es sinnvoll, eigene Geräte (Notebook, Smartphone, Tablet …) zu den Veranstaltungen mit zu bringen. Natürlich ist das keine Bedingung.
Am Beginn steht die Frage nach der Bedrohungslage (Threat Model): Wer will wie an meine Daten? Wogegen will ich meine Daten schützen? Das erlaubt zu geeigneten Sicherheitsentscheidungen zu gelangen, zeigt aber auch, dass letztlich jeder für sich selber sein Schutzniveau festlegen und finden muss. Wir streifen theoretische Hintergründe und zeigen den Einsatz und die grundlegenden Einstellung geeigneter. frei verfügbarer Programme, die sich im wesentlichen auf Verschlüsselung als Basis zum Schutz der Privatsphäre des Nutzers stützen. Datenschutz und Datensparsamkeit sind dabei oberste Ziele.
Unsere CryptoParties verstehen wir als Teil einer internationale Graswurzelbewegung. Die vermittelten Kenntnisse haben wir uns autodidaktisch erworben, auch wenn es teilweise einen beruflichen IT-Background der Vortragenden gibt. Wir möchten unseren Teilnehmer*Innen auf Augenhöhe begegnen und sind sehr an vertiefenden Diskussionen interessiert. Für Fragen ist breiter Raum vorgesehen und wir versuchen, nach bester Kenntnis zu antworten und zu helfen.
Zu jeder Cryptoparty stellen wir Links und Tipps zu den vorgestellten Programmen und weiterführende Informationen auf unserer Website zur Verfügung. Neben den konkreten Veranstaltungen bieten wir auch ein
Forum an, in dem zu den behandelten Themen diskutiert und sich ausgetauscht werden kann.
Also: Bitte keine Scheu, kommen und fragen. Wir freuen uns auf euch.
Wann : – ,
Wo :
Cryptoparty 8. Juli 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen abrufen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das Aufkommen von Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Nutzer*Innen-Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die die Besucher*In eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In eindeutig zuordenbar.
SSL und TLS
SSL bzw. TLS definieren die Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und dabei als HTTPS abgekürzt ist. Dabei handelt es sich um ein komplexes Kommunikationsprotokoll, dass jedoch mit einem Vertrauensdilemma verbunden ist. 2014 sind, nicht nur durch die Enthüllung von Edward Snowden, gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei HTTPS die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Vertrauensmodell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der zu prüfenden Hierarchie ganz oben stehen. Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem mitgeliefert. Beispielsweise unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit dem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensstruktur zu kompromitieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 wird nach aktuellem Stand zwingend eine Transportverschlüsselung mittels TLS erfordern. Dadurch fallen hohen Kosten für die Ausstellung der Zertifikate für die Anbieter von Webseiten an. Aus diesem Grund und wegen der Vertrauensproblematik von Zertifikaten wird von Experten der vorgesehene Zwang zur Verschlüsselung nicht nur positiv aufgenommen .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt das das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.
Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Das Tor-Browser-Bundle ist ein gehärteter Firefox-Browser, der speziell für das Surfen mit Tor entwickelt und vorkonfiguriert wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI in Kooperation mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.
Es wird empfohlen, Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, das ein für das anonyme Surfen angepasstes Betriebssystem darstellt.
Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben müssen, um Schutz zu gewährleisten.
Personal Virtual Private Network (VPN)
Personal Virtual Private Networks (VPNs ) versprechen ebenfalls die Verschleierung von Metadaten, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Die Nutzer*In baut über eine spezielle Software einen sicheren Kanal zum Anbieter auf, durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.
Wer hartnäckigen Verfolgungstechniken, wie etwa den Perma-Cookies von Internet Service Providern, entkommen möchte, muss auch beim Surfen mit VPNs die TLS-Verschlüsselung der besuchten Webseiten in Anspruch nehmen.
Stichwort CryptoWars : Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren . Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
NoScript ,
RequestPolicy ,
Self Destructing Cookies ,
µBlock Origin (uBlock) und
µMatrix (uMatrix).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 8. Juli 2015
Wann : – ,
Wo :
Öffentliches Plenum am 21. Juli 2015
Am Dienstag, den 21. Juli 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Vernetzung: Kampagne Verfolgungsprofile und Lesen gegen Überwachung im Herbst 2015
AG CryptoParty: Werbung für Party im August, Einrichtung eines Kalenders/Facebook-Events
Reflektion der Zukunftswerkstatt
Wann : – ,
Wo :
Meine Buchungen
CONTENTS
Wann : – ,
Wo :
Schlagworte
CONTENTS
Wann : – ,
Wo :
Kategorien
CONTENTS
Wann : – ,
Wo :
Veranstaltungsorte
CONTENTS
Wann : – ,
Wo :
Veranstaltungen
CONTENTS
Wann : – ,
Wo :
Öffentliches Plenum am 04. August 2015
Am Dienstag, den 04. August 2015 , findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzliche alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Vernetzung: Kampagne Verfolgungsprofile, Vorbereitung Kick-off-Treffen, Teilnahme Sublab Plenum und Open Wohnzimmer/Open-Lab-Day
CryptoParty im August: Werbung/Ankündigung der Party, Vorbereitung und Aufbereitung
Etablierung eines internen Workshops zur thematisch, inhaltlichen Aufarbeitung
Socializing und Planung der Treffen der Arbeitsgemeinschaften im Monat August
#Landesverrat: Besprechung bzgl. Reaktion/weiteren Vorgehens
Wann : – ,
Wo :
CryptoParty am 12. August 2015, Beginn 19.00 Uhr, Westwerk/Sublab
Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
Im Zeitalter allgegenwärtiger Messenger und der Echtzeitkommunikation über die Timelines “sozialer” Netzwerke mögen bestimmte Nutzergruppen E-Mails als antiquiertes Medium aus den Pionierzeiten des Internets ansehen. Doch in der Kommunikation zwischen Unternehmen und im Berufsalltag ist die E-Mail noch lange nicht ausrangiert worden. Im Gegenteil: Die E-Mail hat den Postweg weitgehend ersetzt und wird oft zum Austausch von Dokumenten eingesetzt.
Anders als bei Briefen wird bei E-Mails allerdings wenig darauf geachtet, dass deren Inhalt während des Versandes vor neugierigen Augen nicht geschützt ist. Kaum jemand wäre wohl bei dem Gedanken, dass die Nachbarn oder Mitbewohner persönliche Briefe, Rechnungen oder Zugänge zu Online-Konten einsehen könnten. In solchen Fällen berufen wir uns auf das Postgeheimnis und wären nicht begeistert, wenn unser Briefkasten nicht verschließbar wäre. Wichtige Post schützen wir darüber hinaus in dem wir sie in Umschläge stecken.
Bei E-Mails ist das anderes: Selten ist jemand in der Lage verschlüsselte E-Mails zu versenden oder zu empfangen. Selbst Unternehmen die eng mit militärischen Einrichtungen zusammenarbeiten, legen offenbar wenig Wert darauf,
ihre Kommunikation zu schützen .
Wir wollen das ändern und laden daher am 12. 08. 2015 um 19 Uhr herzlich ins Sublab zur CryptoParty ein. Wir zeigen wie Ende-zu-Ende-Verschlüsslung von E-Mails eingerichtet und zwischen Empfänger*innen genutzt werden kann. Des weiteren unterstützen wir bei der Installation und erklären was Schlüsselverwaltung bedeutet und wie Schlüssel mit einem guten Passwort abgesichert werden können.
Praxistaugliche Strategien um starke Passwörter zu finden und der Einsatz von Passwort-Managern stehen ebenso auf dem Programm. Zum Einstieg erläutern wir kurz Hintergründe zu E-Mail-Versand und -verschlüsselung. Eine kurzer Überblick über Kriterien zur Analyse der eigenen Bedrohungslage um den nötigen “Verteidigungsaufwand” einschätzen zu können, rundet unser Cryptoparty ab. Und natürlich wünschen wir uns eine angeregte Diskussion zum Abschluss.
Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht Lerneffekt und Spaß, ist aber keine Voraussetzung.
Der Eintritt ist frei, eine Voranmeldung nicht erforderlich.
Wann : – ,
Wo :
Cryptoparty 12. August 2015 – Programme, Materialien, Links
Hier ist der Link unseren Folien
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Passwörter und Passwort-Manager
KeePass Password Safe : Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum . Der Quellcode findet sich auf der Download-Seite .
KeepassX : Offizielle Website des Projektes (englisch) mit Dokumentation , Forum und Quellcode
PasswortSafe : Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org , die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt
Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration , (Demovideo, englisch) dazu
Qwertycards
E-Mailverschlüsslung mit GnuPG
Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG
Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode
Offizielle Website (deutsch) von Gpg4win , dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows , basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.
Die meisten Linux -Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.
Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.
Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann AGP eingesetzt und z. B. über den Google-PlayStore installiert werden.
Das E-Mail-Programm – Thunderbird
Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird , ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.
Für den Einsatz unter Android empfiehlt sich K9-Mail , das z. B. über den Google-PlayStore installiert werden kann.
Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail
Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.
Anleitungen zur E-Mail Verschlüsslung mit PGP
Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation .
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box .
Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden.
Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Ausgewählte Kurse:
Public Key Encryption (Video, englisch)
RSA in Practice (Video, englisch)
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Why is GPG “damn near unusable”? An overview of usable security research
CrypTool-Portal:
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 12. August 2015
Wann : – ,
Wo :
Öffentliches Plenum am 18. August 2015
Am Dienstag, den 18. August 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Reflexion zur CryptoParty vom 12. August 2015
Regionale Vernetzung (Teilnahme an Sublab-Treffen 28. 8., Film-Reihe)
Überregionale Vernetzung (Verfolgungsprofile Kick-off, Basisförderung)
Workshops zu Inhalten (Termin, erste inhaltliche Vorschläge)
Socializing
Pressemitteilung zum Whistleblower-Schutz
Wann : – ,
Wo :
Öffentliches Plenum am 1. September 2015
Am Dienstag, den 1. September 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Cryptoparty am 9. 9., Vorbereitungen
Vorbereitung Inhalte-Treffen
Vernetzungstreffen zur Kampagne “Verfolgungsprofile”, (voraussichtlich 26./27. 9.), Vorbereitung (inhaltlich) und Orga für das Treffen
FSA in Leipzig
Wir freuen uns über jedes neue (und alte) Gesicht. 🙂
Wann : – ,
Wo :
CryptoParty am 9. September 2015, Beginn 19.00 Uhr, Westwerk/Sublab
Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
Smartphones, Tablets, Laptops – wir sind mobil, vernetzt und ständig in Kontakt mit Familie, Freunden, Bekannten, ja sogar unserem Arbeitgeber. Längst werden nahezu alle denkbaren Information digital erstellt, verarbeitet und ausgetauscht – Fotos, Texte, Sprache, Videos.
Leider bieten die Netze und die zu Grunde liegende Technologie, über welche der Austausche erfolgt, nur eingeschränkte Sicherheit gegen unerwünschtes Abhören. Starke Verschlüsselung zwischen den Teilnehmern sperrt Lauscher aus. Das Angebot an Apps und Programmen, die sichere Kommunikation versprechen ist groß und unübersichtlich und ständig kommen weitere Lösungen dazu. Worauf kommt es also bei der Auswahl an? Gegen welche Bedrohung will und muss ich mich, meine Kommunikationspartnern und meine Daten schützen? Kann ich meine Daten gegen die tiefgehende und weitreichende staatliche Massenüberwachung – jüngst bekannt geworden ist der direkte Zugriff der CIA auf auf Telefon- und Faxverkehr aus Deutschland (http://heise.de/-2806227 ) – in der täglichen Anwendung überhaupt schützen?
Am 9. September 2015 lädt das Bündnis Privatsphäre Leipzig um 19 Uhr ins sublab, Karl-Heine-Straße 93, 04229 Leipzig zur CryptoParty herzlich ein. Wir zeigen freie und quelloffene – und damit überprüfbare – Alternativen zu verbreiteten Messengern für Smartphones und Tablets. Alle vorgestellten Programme setzen auf Ende-zu-Ende-Verschlüsselung. Gemeinsam wollen wir deren Installation und Handhabung ausprobieren und die Nutzung mit Ihnen diskutieren. Lernen Sie zudem Messenger- und Chatsysteme für Ihren Laptop und Ihren PC kennen, welche zusätzlich die Metadaten Ihrer Kommunikation verschleiern.
Eine Anmeldung ist nicht erforderlich. Der Eintritt ist wie immer frei. Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht den Spaß sowie den Lerneffekt, ist aber natürlich keine Voraussetzung.
Wann : – ,
Wo :
Cryptoparty 9. September 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder denken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und ChatSecure . Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.
Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Beta-Software für Mobilgeräte
Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.
Für Tox existiert der experimentelle Atox Client f ür Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.
Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet und aktuell nicht mehr weiterentwickelt wird. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Als noch sehr experimentell betrachtet werden sollte Pond , dass versucht – zusätzlich zur Ende-zu-Ende-Verschlüsselung – die bei der Kommunikation anfallenden Metadaten zu verschleiern.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 9. September 2015
Wann : – ,
Wo :
Öffentliches Plenum am 15. September 2015
Am Dienstag, den 15. September 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Reflektion der Cryptoparty vom 9. 9.
Vorbereitung des internen Workshops zu Inhalten
Vernetzungstreffen zur Kampagne “Verfolgungsprofile” am 26./27. 9., Vorbereitung (inhaltlich) und Orga für das Treffen
Teilnahme am nächsten Open-Lab-Day des Sublab
Kooperation mit studium universale
Gäste sind willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum am 29. September 2015
Am Dienstag, den 29. September 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Kommunikation Facebook
Reflektion Kick-Off-Treffen Kampagne “Verfolgungsprofile” vom
26.September bis 27. September 2015
Zeitplanung Oktober – was steht an
Projekte, Aufgaben Zeitplan bis Jahresende
Gäste sind willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum am 6. Oktober 2015
Am Dienstag, den 6. Oktober 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Bericht Vernetzungsmumbel mit #StopWatchingUs Köln und #wastun Berlin
Kampagne “Verfolgungsprofile”, Absprachen zur konkreten Arbeit
CryptoParty am 14. 10. Vorbereitung (Inhalte) und Werbung
Vorbereitung Treffen VHS
Lesen gegen Überwachung, Herbst-/Winterveranstaltung?
Fundraising
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Da es langsam kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
CryptoParty am 14. Oktober 2015, Beginn 19.00 Uhr, Westwerk/Sublab
„Keiner soll es erraten“ – Datei- und Festplattenverschlüsselung
Speichersticks sind klein, ultra-portabel und bei der Übertragung größerer Datenmengen im Tempo kaum zu schlagen. Aber sie gehen eben auch leicht verloren. Und als ob das nicht schon ärgerlich genug ist, droht auch noch die Gefahr, dass die vielleicht wichtigen Daten in falsche Hände geraten. Wie lässt sich erreichen, das die dort gespeicherten Informationen zuverlässig vor unerwünschten Zugriffen sicher sind?
Laptops sind inzwischen unentbehrliche Arbeitsgeräte und Begleiter. Auf der eingebauten Festplatten oder SSD trägt Manche und Mancher buchstäblich sein ganzes digitales Leben mit sich. Verlust oder Defekt sind da schon ärgerlich, der Gedanke, dass ein Fremder die gespeicherten Daten in die Hände bekommt aber nur schwer zu ertragen. Welche praktischen Möglichkeiten gibt es, fremden Zugriff auf die dort gespeicherten Daten zuverlässig zu unterbinden?
Über Möglichkeiten und Grenzen sowie den konkreten Einsatz von Festplatten- und Dateiverschlüsselung, aber auch Fallstricke, die es zu vermeiden gilt, wollen wir Sie auf unserer kommenden CryptoParty informieren. Wir laden Sie herzlich am Mittwoch, den 14. Oktober um 19 Uhr ins sublab, Karl-Heine-Straße 93, 04229 Leipzig im Westwerk dazu ein. Für den praktischen Teil ist es empfehlenswert, seinen eigenen Laptop mitzubringen.
Im Sublab ist es schon recht kühl: Warme Kleidung und mindestens eine Decke sind vorsorglich zu empfehlen. 😉
Wann : – ,
Wo :
Cryptoparty 14. Oktober 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung dieser Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt „Themen der Cybersicherheit“ Informationen zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Festplattenverschlüsselung
TrueCrypt ist eine Verschlüsselungssoftware, die für mehrere Betriebssysteme zur Verfügung steht: Ein entsprechendes Tutorial findet sich bei Security-in-a-Box . TrueCrypt wird leider nicht mehr weiterentwickelt. Die letzte komplette Version 7.1 a kann dennoch immer noch eingesetzt werden. Mit VeraCrypt existiert ein Ablegerprojekt (Fork) das aktiv weiterentwickelte Versionen zur Verfügung stellt, für die aber Überprüfungen (Audits) noch ausstehen. Unlängst in TrueCrypt 7.1 a bekannt gewordene Sicherheitslücken beim Zugriff auf Laufwerke unter Windows wurden jedoch in der aktuellen Version von VeraCrypt geschlossen. Bestehende TrueCrypt-Laufwerke und Container können mit VeraCrypt geöffnet und weiterverwendet werden.
Die glaubbare Abstreitbarkeit (plausible deniability) der Existenz von versteckten Betriebssystemen und Laufwerken (Hidden Volumes) ist ein spezielles Feature, dass derzeit nur bei TrueCrypt und dessen Ablegern (Forks) zur Verfügung steht.
Für Windows-Systeme wird häufig DiskCryptor als Alternative genannt. Mit dieser Software lassen sich derzeit nur gesamte Partitionen (Laufwerke) verschlüsseln und keine Datei-Container für einzelne oder mehrere Dateien anlegen. Auch für DiskCryptor sind noch keine Sicherheitsüberprüfungen (Audits) bekannt.
Unter Linux steht mit dm-crypt in Verbindung LUKS (Unter Verwedung von cryptsetup
) ein leistungsfähiges und performantes Verschlüsselungssystem zur Verfügung, dass direkt in das Betreibsystem (Kernel) integriert wurde. Ähnlich wie bei DiskCryptor lassen sich hiermit allerdings keine Datei-Container erzeugen. Tutorials für die Verschlüsslung mit dm-crypt finden sich für u. a. für Ubuntu, Mint , ArchLinux , Gentoo , Fedora und OpenSUSE . Bei der Einrichtung einer Komplettverschlüsselung und insbesondere bei der Verwendung von SolidState-Drives (SSDs) sollte darauf geachtet werden, dass die Daten beim Ruhezustand (Hibernate) auf die Platte geschrieben werden (Supend to Disk).
Unter Linux steht zudem encfs zur Verfügung, mit dem Verzeichnisse verschlüsselt werden können. Encfs eignet sich aufgrund einer Schwäche in der Implementierung nicht für den Einsatz in der Cloud.
Unter MacOSX steht neben TrueCrypt das von Apple bereitgestellte und nicht-quelloffene FileVault2 zur Verfügung. Im Gegensatz zur Vorgängerversion ist die Implementierung aus Sicherheitsapekten deutlich verbessert worden. Eine Hintertür kann – wie bei allen nicht-quelloffenen Cryptosystemen – allerdings nicht ausgeschlossen werden. Vorsicht ist beim Upgrade des Betriebssystems über den Market geboten: Einige der aktuellen Installer, welche die Daten über das Netz laden, erkennen verschlüsselte Partitionen nicht, so dass bei einem Upgrade ernsthaften Probleme auftreten können (u. a. hängt das Upgrade in einer Schleife fest und lässt sich erst installieren, nachdem FileVault2 entfernt wurde). Aufgrund einer schweren Sicherheitslücke bei den USB-Anschlüssen , waren die Passwörter der verschlüsselten Partitionen kurzzeitig auslesbar.
Dateiverschlüsselung
Für Linux-Systeme kann für die Dateiverschlüsselung GnuPGP , OpenSSL , aescrypt und cccrypt verwendet werden.
Ein Wort zur Vorsichtig: Die OpenSSL Implementierung des symmetrischen Verschlüsselungsalgorithmus AES (Advanced Ecryption Algorithm) ist für zeitbezogene Angriffe auf den Zwischenpuffer (cached timing attacks) verwundbar. Dieser Angriff ist unter der Abkürzung CREAM bekannt geworden.
Unter Windows Systemen kann AESCrypt für die Dateiverschlüsselung oder GnuPGP for Win eingesetzt werden.
MacOSX-Nuzter*Innen können über FileFault, die integrierte Verschlüsselung von Apple, Container anlegen und in diesen Dateien ablegen . FileFault ist allerdings nicht quelloffen, weshalb keine zuverlässige Aussagen über die Vertrauenswürdigkeit und Sicherheit der Implementierung getroffen werden können. Alternativ bietet sich AESCrypt an.
Festplatten-Eraser: Sicherer Löschen
Für das Sichere Löschen von Dateien stehen unter Linux eine Reihe von Werkzeugen bereit. Dazu zählen unter anderem shred
, wipe
und srm/sfill
.
Erfahrende MacOSX-Nuzter*Innen können das Komandozeilenwerkzeug (Terminal) srm
nutzen. shred
kann über die Paketverwaltung homebrew nachinstalliert werden.
Unter Windows steht mit Eraser (Heidi Eraser) ebenfalls ein quelloffenes, freies Werkzeug für das Sichere Lösche von Dateien zur Verfügung. Eraser erlaubt es, zeitlich versetzte Aufgaben für das sichere Löschen zu definieren, da die zahlreichen angebotenen Verfahren teilweise die Festplatte ziemlich beanspruchen können. Eine deutsch-sprachige Anleitung findet sich unter http://www.datenfeger.de/eraser-anleitung/ .
Mit BleachBit lassen sich unter Windows, MacOSX und Linux allgemeine Datenspuren, wie etwa Browser-Cookies oder temporäre Dateien beseitigen.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Videoerklärung von AES , in englisch
Videoerklärung von HMAC-Algorithmen , in englisch
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 14. Oktober 2015
Wann : – ,
Wo :
Stellungsnahme zur Verabschiedung der Vorratsdatenspeicherung durch den Bundestag am 16. 10 2015
Mit der
Verabschiedung des Gesetzes zur Mindestspeicherfrist von Verkehrsdaten am 16. Oktober 2015 unternimmt die Bundesregierung einen erneuten Anlauf, die Vorratsdatenspeicherung in Deutschland zu etablieren. Auch in der geänderten Form ist dies ein unverhältnismäßiger Eingriff in die informationelle Selbstbestimmung und der Einstieg in die anlasslose Massenüberwachung aller Bürger*Innen.
Anders als immer wieder zur Begründung des Vorhabens behauptet, sehen wir keinen Sicherheitsgewinn durch die Speicherung von Verbindungsdaten (auch Metadaten) auf Vorrat. Ergebnisse des Max Planck Institutes für ausländisches und internationales Strafrecht, die eine „Schutzlücke durch Wegfall der Vorratsdatenspeicherung?“ 2012 untersucht hatten, ohne eine solche konstatieren zu können, bestätigen uns in unserer Auffassung ebenso, wie der Umstand, dass trotz Kenntnis und Beobachtung der Attentäter durch den französischen Geheimdienst, der Anschlag auf die Redaktion von Charlie Hebdo verübt werden könnte.
Insgesamt befürchten wir, dass die behaupteten Risiken denen die Vorratsdatenspeicherung durch Einführung technischer Massendatenerfassung begegnen soll, in keinem Verhältnis zu den Folgen stehen, die durch den Überwachungszweck heraufbeschworen werden. Zeitgemäße Algorithmen, die bereits bei Big Data Anwendung finden, erlauben es beispielsweise aus Verkehrs- oder Metadaten komplexe Beziehungsnetzwerke und oder über die Abbildung von Merkmalen Profile zu konstruieren.
Wir halten die Verhaltensänderungen durch Anpassung an Überwachung (chilling effects ), den verstärkten Konformitätsdruck und den Verlust der Privatsphäre als Keimzelle von Kreativität und Individualität für erheblich schwerer wiegend und befürchten in Folge die Beeinträchtigung der demokratischen Verfasstheit unserer Gesellschaft.
Darüber hinaus sind Datensammlungen diesen Umfangs erstes Ziel für staatliche und nicht-staatliche Angreifer. Angesicht der immer wieder publik gewordenen Datenlecks, ist es vermessen anzunehmen, dass die gesammelten Verkehrsdaten sicher geschützt und gleichzeitig sinnvoll ausgewertet werden könnten.
Die Vorratsdatenspeicherung dient aus unser Sicht als Mittel um „normgerechtes“ Verhalten, im Sinne des Staatsapparates, durchzusetzen, ohne in die eigentlich notwendige gesellschaftliche Diskussion um die möglicherweise notwendige Änderung der Normen für das Digitale Zeitalter einzutreten.
Nach unserem Empfinden soll der gesamte neu geschaffene Straftatbestand der Datenhehlerei im Wesentlichen gegen Whistleblower in Stellung gebracht werden.
Nicht erst seit den Enthüllungen von Edward Snowden ist aber deutlich geworden, dass die durch Whistleblower zur Verfügung gestellten Informationen mehr sind als die Basis für investigativen Journalismus. Sie können für eine informierte Öffentlichkeit sorgen, wenn grundlegende Bereiche unseres Alltags oder unserer Gesellschaft betroffen sind – von Kriegsverbrechen, über Freihandelsabkommen bis hin zur Massenüberwachung – und Reaktionen darauf in einer Art und Weise abgewogen werden müssten, die einer Demokratie würdig sind. Nach unserem Dafürhalten ist es also eher notwendig einen wirksamen Schutz von Whistleblowern zu diskutieren und gesetzlich zu verankern.
Das Verfassungsgericht (Urteil vom 2. März 2010 ) und der Europäische Gerichtshof (Erklärung der Ungültigkeit der EU-Richtlinie am 8. April 2014) haben in ihren rechtlichen Abwägung die bisherigen Versuche der Einführung von Vorratsdatenspeicherungen als unverhältnismäßigen und unbegründeten Eingriff in die Grundrechte von Bürgerinnen und Bürgern eingestuft und für nichtig erklärt.
Das prinzipielle Problem, dass bei der Vorratsdatenspeicherung schon durch die Anlage der anlasslosen Datensammlung entsteht hat sich auch mit dem neuen Gesetzteswurf nicht geändert. Die Vorratsdatenspeicherung ist nicht nur mit hohen Kosten verbunden, sondern stellt mehr denn je ein hohes Risiko für unsere Grundrechte und die demokratische Verfasstheit unserer Gesellschaft dar. Insofern ebnet die Vorratsdatenspeicherung den Weg hin zu einem „präventiv-autoritären Sicherheitsstaat“ im Sinne Rolf Gössners.
Wann : – ,
Wo :
Öffentliches Plenum am 20. Oktober 2015
Am Dienstag, den 20. Oktober 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
CryptoParty AG: Erstgespräch bzgl. eine möglichen Veranstaltung für eine 9. Klasse eines Leipziger Gymnasiums
CryptoParty AG: Erstgespräch zur Digitalen Selbstverteidigung an der Uni Leipzig
Interne Kommunikation: monatliches Retro
Rückblick CryptoParty am 14.10.2015
Kampagne „Verfolgungsprofile“, Status Arbeitspakete, Kommunikation
Vorbereitung einer praxisorientierten Spezial-›CryptoParty‹ für eine Oberstufenklasse im Rahmen des Informatikunterrichts am 27.11. im Sublab (Geschlossene Veranstaltung)
Lesen gegen Überwachung” am 19.11.2015 im KAOS
Fundraising
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Da es langsam kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
Crypto macht Schule: CryptoParty Montessori 27. Oktober 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das Aufkommen von Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Nutzer*Innen-Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die die Besucher*In eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In eindeutig zuordenbar.
SSL und TLS
SSL bzw. TLS definieren die Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und dabei als HTTPS abgekürzt ist. Dabei handelt es sich um ein komplexes Kommunikationsprotokoll, dass jedoch mit einem Vertrauensdilemma verbunden ist. 2014 sind, nicht nur durch die Enthüllung von Edward Snowden, gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei HTTPS die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Vertrauensmodell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der zu prüfenden Hierarchie ganz oben stehen. Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem mitgeliefert. Beispielsweise unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit dem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensstruktur zu kompromitieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 wird nach aktuellem Stand zwingend eine Transportverschlüsselung mittels TLS erfordern. Dadurch fallen hohen Kosten für die Ausstellung der Zertifikate für die Anbieter von Webseiten an. Aus diesem Grund und wegen der Vertrauensproblematik von Zertifikaten wird von Experten der vorgesehene Zwang zur Verschlüsselung nicht nur positiv aufgenommen .
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.
Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Crypto macht Schule 10/2015
Wann : – ,
Wo :
Öffentliches Plenum am 03. November 2015
Am Dienstag, den 03. November 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
CryptoParty AG: Kurzer Rückblick zu Crypto macht Schule vom 27.10.2015
Status/Projektplanung Lesen gegen Überwachung II am 19.11.2015
Vernetzung: Status Basisförderung, Kampagne Verfolgungsprofile und
Bericht vom Vernetzungs-Mumble am 02.11.2015
CryptoParty AG: Planung der CryptoParty vom 11.11.2015
Grundlegende Absprachen und Erstplanung einer Ausstellung in einer
Bildungseinrichtung im Frühjahr 2016
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Da es kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
CryptoParty am 11. November 2015, Beginn 19.00 Uhr, Westwerk/Sublab
„Das können wir selber” – Alternative Soziale Netzwerke und Cloudsysteme
Nutzer*Innen »sozialer« Netze – darauf weisen wir in unseren CryptoParties immer wieder hin – sind der besonderen Aufmerksamkeit, der ständigen Beobachtung und Auswertung ihrer Daten durch die jeweiligen Diensteanbieter ausgesetzt. Total vernetzt im »Walled Garden« sind wir nie allein.
Daten sind zur Grundlage von Geschäftsmodellen geworden, die im Ergebnis über soziale Graphen und die Analyse von Beziehungsnetzwerken zur Bildung von Profilen verwendet werden – viele Jahre umfassend. Diese Daten sind von hohem Interesse für Werbetreibende und Marketingverantwortliche, aber auch für Meinungsforscher, Demoskopen und, wie wir durch die Snowden-Enthüllungen wissen, insbesondere auch Nachrichtendienste.
Aus dem Wissen um die allgegenwärtige Datensammelei und aus einem damit verbunden diffusen Gefühl geben nicht Wenige in Befragungen an, sich innerhalb dieser Walled Gardens mehr Privatsphäre zu wünschen, ohne dass dabei aber Funktionalitäten oder Vernetzungsmöglichkeiten eingeschränkt werden sollen. Diese Spannungsfeld wird häufig als Privacy Paradox beschrieben.
Oft scheint ein Ausstieg aus den aktuellen Sozialen Netzwerken für die Nutzer undenkbar, wenn Arbeitskollegen, Kommilitonen Freunde und Familie ihre Freizeit darüber planen oder unsere Freundschaftsbande den gesamten Globus überspannen. Mittlerweile vertrauen wir nicht nur unseren Alltag sozialen Netzen an, wir laden gleichermaßen Gigabytes an digitalisierten Erinnerungen in zentrale Clouds.
Gibt es jenseits der großen Zentralen Alternativen? Was macht ein Soziales Netzwerk aus? Wie kann ich, ohne eine Cloud der großen Anbieter zu nutzen, von überall auf meine Dokumente oder Fotografien zugreifen und diese teilen? Kann ich selbst ein Soziales Netzwerk betreiben? Erlange ich dadurch mehr Selbstbestimmung und Souveränität im Internet?
Mit diesen Fragen wollen wir uns auf der CryptoParty am 11. November ab 19 Uhr im sublab, Karl-Heine-Straße 93, 04229 Leipzig /Westwerk befassen.
Wir stellen alternative, föderierte Netzwerke vor, zeigen die Möglichkeiten selbst betriebener Clouds auf, bringen die Verwendung von verschlüsselten Zero-Knowlege-Cloudspeichern näher und demonstrieren den Betrieb eines eigenen Blogs in Grundzügen, jenseits von Tumblr und Medium.
Zu einer lebendigen Debatte um das Für und Wider dieser Alternativen und zu deren Kennenlernen durch Ausprobieren laden wir herzlich ein.
Im Sublab ist es schon recht kühl: Warme Kleidung und mindestens eine Decke sind vorsorglich zu empfehlen. 😉
Wann : – ,
Wo :
Cryptoparty 11. November 2015 – Programme, Materialien, Links
»Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme«
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Für Soziale Netzwerke sollten vor allem die allgemeinen Risiken wie Identitäsdiebstahl und Betrugsfallen berücksichtigt werden. Cloudsysteme können ebenfalls anfällig für Angriffe sein, die Identitäsdiebstahl und Diebstahl von sensiblen Dokumenten oder Fotografien ermöglichen.
Zero-Knowledge-Cloudsysteme und Backups in der Cloud
In Anlehnung an den Zero-Knowledge-Beweis wird der Begriff Zero Knowledge für eine Cloudtechnologie verwendet, die Nutzer*Innen – verglichen mit anderen Cloudsystemen – mehr Privatsphäre versprechen.
Dabei soll der Anbieter gegenüber einem Dritten, z. B. einer staatlichen Behörde, nötigenfalls sogar vor Gericht glaubhaft abstreiten können, Dateien spezifischer Nutzer in ihrem Systemen ausfindig machen zu können.
Der Zero-Knowledge-Ansatz soll dadurch erreicht werden, dass die Dateien bereits auf den Geräten der Nutzer*Innen verschlüsselt werden. Idealerweise kennt der Anbieter den kryptographischen Schlüssel zu keinem Zeitpunkt, mindestens aber nur temporär (Sitzungsschlüssel), da das Verfahren von der Abstreitbarkeit des Zugriffs auf diesen Schlüssel abhängt.
Der von Edward Snowden empfohlene Anbieter SpiderOak bietet einen solchen verschlüsselten Zero-Knowledge Dienst an, der bis zu 2 GB kostenfrei genutzt werden kann. Die Verschlüsselung der Dateien wird auf den Geräten der Nutzer*Innen durchgeführt. Dafür ist eine eigene Software notwendig, die SpiderOak für die gängigen Betriebssysteme, inkl. Tablets und Smartphones anbietet. Der Anbieter gibt an, dass der Zero-Knowledge-Ansatz lediglich für die Desktop-Variante gelte.
Bei der Nutzung über die Website oder mit den mobilen Varianten, soll der Schüssel kurzzeitig im Speicher des Anbieter-Servers gehalten werden. Für diese beiden Anwendungsfällen ist also der Zero-Knowledge-Ansatz eingeschränkt. Die Software, welche die Grundlage (Framework) für den Webzugang liefert , ist als OpenSource verfügbar und kann prinzipiell geprüft werden.
Ein weiterer Nachteil von Spideroak ist, dass weder die Desktop-Software noch die Serverarchitektur als OpenSource eingesehen werden können, auch wenn es Überlegungen des Anbieters gibt, dies eines Tages zu ändern. Nutzer*Innen, die besonderen Wert auf Privatsphäre legen, sollten darüber hinaus die Besonderheiten des Standorts des Anbieters nicht übersehen: Aufgrund des Sitzes in den USA können die Behörden durch einen sog. National Security Letters (NSL) Zugriff auf die gesamte Cloud erlangen, ohne dass der Anbieter diese Informationen an seine Kunden*Innen oder die Öffentlichkeit weiterreichen darf. Die Verschlüsselung der Daten auf den Nutzergeräten dürfte die Zugriffsmöglichkeiten für US-Behörden allerdings erheblich erschweren.
Wuala ist eine grundsätzlich kostenpflichtige Alternative zu Spideroak . Die Software steht für die gängigen Betriebssysteme (Windows, Linux, MacOs) und Mobilgeräte (iOS, Anroid) zur Verfügung. Wuala soll den Angaben des Anbieters zufolge Datencenter in Ländern betreiben, die den Behörden nur eingeschränkte Zugänge erlauben (Deutschland, Schweiz, Frankreich – wobei im letzten Fall, die Änderungen der Gesetzeslage nach den Pariser Anschlägen deutlich verschärft wurde und umfangreiche Zugriffsmöglichkeiten für die Sicherheitsbehörden einräumt). Ähnlich wie bei Spideroak ist der Code nicht als OpenSource veröffentlicht, so dass eine Prüfung der Zero-Knowledge-Unterstützung nicht möglich ist. Sicherheitsaffine Nutzer*Innen dürften zudem die Umsetzung der Software, für die eigenen Geräte (mit Ausnahme von iOS) eher kritisch bewerten: Es kommt Java zum Einsatz. Ohne diese Programmiersprache diskreditieren zu wollen, ist die sog. Java-Laufzeitumgebung, auf der die Ausführung der Wuala-Software basiert, in den letzten Jahren durch massive Sicherheitslücken aufgefallen und wird in Sicherheitskreisen durchaus als potentielles Einfallstor für Schadsoftware oder Exploits eingestuft.
Nutzer*Innen von BSD- und Linux-Systemen können auf Tarsnap zurückgreifen. Tarsnap ist ein Kommandozeilenwerkzeug, dass verschlüsselte Backups mit dem Zero-Knowledge-Ansatz kombiniert. Die Daten werden auf dem Linux/BSD-Gerät verschlüsselt und dann in eine Amazon S3-Cloud übertragen. Die Software wurde noch nicht unter einer OpenSource-Lizenz veröffentlicht, kann aber offenbar auch im Quellcode heruntergeladen werden . Das Bezahlmodell unterscheidet sich von üblichen Abomodellen: Nutzer*Innen zahlen für die gespeicherten Daten und die Übertragung in den Cloudspeicher – die Kosten werden von einem Guthaben-Konto abgezogen. Kritischen Nuzter*Innen dürfte, neben der fehlenden OpenSource-Veröffentlichung, vor allem die Wahl des Cloud-Speichers zumindest nicht geheuer sein. Auch wenn die Daten dort verschlüsselt abgelegt werden: Amazon S3 unterliegt der Zuständigkeit der US-Behörden und kann prinzipiell mit einem National Security Letter (NSL) zur Herausgabe von Daten gezwungen werden. Allerdings betreibt Amazon auch innerhalb Europas Datencenter, um Kunden alternative Speichermöglichkeiten anzubieten. Die externe Verschlüsselung ist grundsätzlich erlaubt und Basis des Tarsnap-Angebots . Solange keine Offenlegung des Quellcodes von tarnsnap unter einer OpenSource-Lizenz erfolgt kann nicht geprüft werden, ob sich keine Hintertüren in der Software befinden. Nutzer*Innen müssen sich, wie bei allen anderen Anbietern, auf die richtige Implementierung der Verschlüsselung und die Integrität des Anbieters verlassen.
Nutzer*Innen von Cloudspeichern ohne Zero-Knowledge-Funktionalitäten können die OpenSource-Backup-Lösung duplicity (Linux, Kommandozeilenwerkzeug), deja dup (Linux, grafisches Oberflache) oder Duplicati (Windows) nutzen. Diese Backup-Software verschlüsselt die Daten auf dem eingesetzten Rechnern, bevor diese dann in den Cloud-Speicher übertragen werden.
Alternative Cloudsysteme
In den letzten Jahren sind zu den großen Cloudanbietern auch freie OpenSource-Lösungen entstanden, die Nutzer*Innen mit dem entsprechenden Fachwissen in einem Shared-Hosting oder auf einem virtuellem RootServer installieren können.
Wer auf eine zentrale Instanz der Datenhaltung verzichten möchte, kann Dateien direkt mit einem Kommunikationspartner via Syncthing austauschen. Syncthing ermöglicht die Synchronisation großer Datenmengen (z. B. mehrerer geteilter Verzeichnisse) und setzt bei der Übertragung konsequent auf Transportverschlüsselung (TLS). Nutzer*Innen laden dafür eine direkt ausführbare Software auf ihr System, die einen kleinen Webserver startet, der für den Austausch eine einfach zu bedienende Webseite bereitstellt, über die Ordner für die Synchronisation festgelegt und Verbindungen zu anderen Teilnehmern hergestellt werden können. Die Identifikation erfolgt über eine sehr lange, eindeutige Identifikationsnummer, welche die Teilnehmer*Innen am besten über ein anderes sicheres Medium (z. B. verschlüsselte E-Mail oder Messenger-Nachricht) austauschen können. Die Ordner gleichen sich nach Aufbau der Verbindung automatisch miteinander ab. Einmal eingetragene Teilnehmer können auch gespeichert werden. Für Android-Systeme steht mittlerweile auch eine App zur Verfügung, so dass Syncthing für das Backup von Smartphones und Tablets verwendet werden kann. Aufgrund der vergleichsweise hohen Übertragungsraten positioniert sich Syncthing als konsequent verschlüsselte, quelloffenen Alternative zu kommerziellen, geschlossenen Angeboten wie etwa bitsync .
Das Owncloud -Projekt bietet über den Dateiaustausch hinaus viele Features an – ansonsten häufig nur bei den Internetriesen vorzufinden –: Kalender und Kontakte, Fotogalerien und vieles mehr. Die Daten können auch aus einem anderen Speichersystem in die Owncloud integriert werden – sogar aus dem eigene Heim-NAS (Network Attached Storage). Owncloud ist in der Lage die Daten zu speichern und verschieden dort angemeldeten Nutzer Zugriff zu gewähren. Dateien und Verzeichnisse können auch über extern verfügbare Links geteilt werden, wobei der Zugriff zusätzlich über ein Passwort geschützt werden kann. Schließlich bietet Owncloud die Möglichkeit andere Ownclouds miteinander zu vernetzen (föderiertes System).
Seafile stellt eine Alternative zu Owncloud dar, vor allem, wenn lediglich die Möglichkeit des Datenspeicherns und -austauschens gewünscht wird. Seafile bietet die Möglichkeit verschlüsselte Ordner als Container anderen zur Verfügung zu stellen. Das verwendete Verschlüsselungsverfahren steht allerdings in der Kritik.
Sowohl für Seafile , als auch für Owncloud steht Software zur Verfügung, die auf einem Rechner installiert werden kann und die die Synchronisation von Dateien auf komfortable Weise im Hintergrund übernimmt. Für beide Systeme sind zudem Apps verfügbar, die einen Zugriff auf die Daten über Smartphones und Tablets erlauben.
Blogs und Microblogs
Blogs
WordPress hat sich in den letzten Jahren von einer Defacto-Software für Blogger zu einem sog. Content-Management-System entwickelt und stellt auf diese Weise tausende Sites im Netz bereit. WordPress fällt vor allem durch die vergleichsweise einfache Installation und Nutzung auf. Bei den meisten Anbietern von Shared-Hosting oder virtuellen RootServern lässt sich WordPress in der Regel problemlos installieren.
Für WordPress stehen zahlreiche Themes und Plugins zur Verfügung, die Blogger*Innen oder Seitenbetreiber*Innen dabei unterstützen, der eignen Individualität im Netz Ausdruck zu verleihen und bieten Möglichkeiten diese zu vernetzen. Der Vorteil beim sog. Self Hosting besteht vor allem darin, dass Blogger*Innen die Rechte über ihre Inhalte nicht über Allgemeine Geschäftsbedingungen und unter den Prämissen des US-Rechts an den Anbieter der Plattform übertragen und so einen wesentlichen Teil der Hoheit über ihre im Netz veröffentlichten Inhalte behalten.
Als Alternative zu WordPress kommen häufig schlankere, reine Blog-Systeme zum Einsatz. In den vergangen Monaten hat Ghost für Furore gesorgt. Anders als WordPress steht der Fokus hier vor allem auf dem Schreiben und der Veröffentlichung von Artikeln. Allerdings ist die Software derzeit noch nicht bei jedem Hosting-Anbieter ohne weiteres installierbar, auch wenn das dafür einsetzte Basissystem node.js in der jüngeren Vergangenheit an Verbreitung gewonnen hat.
Schließlich gibt es noch die Möglichkeit ein Blog oder eine Website auf der Grundlage von Textdateien, die einem bestimmten Format (Markdown) entsprechen, auf dem eigenen Rechner genieren zu lassen. Die entstandene, statische Website, die dann keinerlei Datenbanksystem mehr benötigt, kann dann auf den eigenen Server hochgeladen werden. In den letzten Jahren sind zahlreiche static site generators entstanden. Einer der bekanntesten ist noch immer jekyll .
Microblogs
Unter einem Mircobloggingdienst versteht man im allgemeinen einen Dienst der die Veröffentlichung von Kurzbeiträgen ermöglicht. Die Grenzen zwischen Sozialem Netzwerk und Microblogging ist dabei häufig fließend.
Zu den Microblogs, die Nutzer*Innen im Selfhosting betrieben können, oder für die es zumindest freie Accounts gibt, zählen z. B. GnuSocial (früher Status.Net) und pump.io , die beide einen föderierten Ansatz verfolgen, d. h. versuchen verteilte Installationen miteinander zu vernetzen.
GnuSocial unterstützt Nachrichten mit einer Länge von 1024 Zeichen. Diese Beiträge werden Queets genannt. Queeterer haben zudem die Möglichkeit Bilddateien in ihre Kurzmitteilung hochzuladen. GnuSocial bietet außerdem die Möglichkeit Links in Queets automatisch zu kürzen (URL-Shortener). Über Schlagworte (Tags) kann sich ein Nutzer in einem Profil selbst beschreiben. Queets können Standortinformationen enthalten. Diese Option ist – abhängig von der verwendeten Installation – standardmäßig nicht aktiviert. Das Profil bietet Nutzer*Innen zudem die Möglichkeit der Selbstbeschreibung (Biografie) an. Außerdem kann eine Website als Adresse hinterlegt werden. Impressum und vergleichbare Angaben sind nicht vorgesehen.
GnuSocial kann unter GnuSocial.de ausprobiert werden. Da GnuSocial das OStatus-Protokoll versteht, sind Apps verfügbar.
pump.io stellt eine sehr klare, moderne Weboberfläche zur Verfügung, die an Twitter erinnert. Anders als bei Twitter ist die Länge der Nachrichten nicht auf 140 Zeichen begrenzt. pump.io hat verschiedene technischen Protokolle zusammen getragen, die prinzipiell einen breiten Einsatz ermöglichen und auch die Probleme föderierter Netze zu adressieren versuchen. Da pump.io das ActivityStreams-Protokoll implementiert hat, kann es über entsprechende Apps auch dazu verwendet werden sportliche Aktivitäten, gehörte Musik oder Check-Ins an bestimmten Orten zu veröffentlichen und zu protokollieren. Inwieweit diese Möglichkeiten außerhalb von experimenteller Arbeit im Rahmen von Hacktivismus einer größeren Netzöffentlichkeit zu kommen werden, ist bisher schwer einschätzbar.
pump.io -Nutzer*Innen stehen für Android die Apps Puma und Impeller zur Verfügung, die über den FDroid-Store bezogen werden können. Für Desktop-Geräte machen die beiden Anwendungen Pumpa und Dianara derzeit den besten Eindruck.
Alternative ›Soziale Netzwerke‹
Wenngleich pump.io und GnuSocial durchaus auch als Soziale Netzwerke aufgefasst werden können, gibt es daneben auch weitere föderierte Ansätze, die explizit auf den Anspruch eines sozialen Netzwerkes hinarbeiten.
Unter föderiertem Ansatz wird im Zusammenhang mit Sozialen Netzwerken an dezentrale, verteilte, unabhängige Systeme gedacht, die sich bei Bedarf miteinander verbinden. Anders als bei den großen Rechnerverbünden (Cluster, Clouds) in den DataCentern von Facebook, Google und Twitter werden die Daten der Nutzer*Innen hier nicht in einem zentralisierten Datensilo gespeichert. Prinzipiell können also wenige Nutzer*innen einen bestimmten Zirkel sogar auf einer eigenen Instanz (Server, Pod, Host) abbilden. Es gibt sogar Verfahren, die ohne Rechner (Server, Hosts) im Netz auskommen und die Teilnehmer*Innen direkt miteinander verbinden (Peer-to-Peer).
Die aus Nutzer*Innensicht einfachste Variante ein Soziales Netzwerk aufzubauen ist der Einsatz von Retroshare . Retroshare ist eine Software, die auf dem eigenen Gerät installiert wird und die über ein verteiltes Verfahren, eine sog. Verteilte Hashtable (DHT), die Vernetzung direkt zwischen den Teilnehmen realisiert (Peer-To-Peer, P2P). Wenngleich die Benutzeroberfläche etwas in die Jahre gekommen wirkt, bietet Retroshare Instant-Messaging, Mailing, Voice-over-IP, Dateiaustausch und sieht sogar die Führung verteilter Foren vor. Identität wird in Retroshare über einen OpenPGP-Schlüssel abgebildet, den Freunde untereinander austauschen können. Diese Schlüssel werden in der verteilen Hashtabelle abgelegt. Für die Verschlüsselung nutzt RetroShare nach der Identifkation der beteiligten Kommunikationspartner eine modifizierte Version von OpenSSL. Der Austausch großer Dateien über Retroshare braucht Geduld, da die Übertragung aufgrund der Peer-To-Peer-Verbindung und der meist asymmetrischen Anbindung der Teilnehmer, einige Zeit in Anspruch nehmen kann. Das RetroShare-Team sucht derzeit händeringend nach Entwicklern, um die Software weiter zu entwickeln. Ein Prüfung der kryptografischen Elemente des Systems (Audit) hat bisher nicht statt gefunden.
Friendica ist ein umfassendes, verteiltes Soziales Netzwerk. Neuen Nutzern können in der Dokumentation eine Einführung konsultieren.
Ähnlich wie bei Facebook können Nutzer detaillierte Informationen zu ihren Vorlieben, Interessen und ihren Beziehungen angeben. In den Beiträgen ist es möglich Hyperlinks, Bilddateien, Video und Klangdateien einzubinden. Wie Facebook oder Twitter bietet Friendica die Möglichkeit, Schlagworte in den Beiträgen über Hashtags zu kennzeichnen. Wie bei Facebook ist die Möglichkeit gegeben über einen Kalender Ereignisse zu teilen oder anzulegen. Zudem können persönliche Notizen verfasst werden. Nutzer können ihre Kontakte über Gruppen organisieren oder diesen Beitreten. Ein IRC-Chat kann direkt integriert werden. Community Pages und Friendica Forums runden die Möglichkeiten ab. Die Standardoberfläche wirkt aus heutiger Sicht etwas angestaubt. Allerdings bietet Friendica Betreibern die Möglichkeit Themes zu installieren oder diese selbst anzupassen. Plugins erlauben ferner andere Dienste einzubinden. Die Verbindung zu Facebook (Facebook Connector) wurde vor Kurzem abgeschaltet, da Facebook die eigenen Schnittstellen so verändert hat, dass ein sog. Crossposting aus Friendica heraus nicht mehr möglich ist. Kritiker loben immer wieder die einfache Installation von Friedentica .
Das Projekt Diaspora* wurde im Jahr 2015 als Crowdfunding-Projekt unter dem Eindruck der starken Expansion von Facebook ins Leben gerufen. Nach zwei Jahren Entwicklungsarbeit haben die ursprünglichen Entwickler Diaspora* dann der Open-Source-Gemeinde übergeben. Seither wurde das Projekt kontinuierlich weiterentwickelt.
Anders als bei den üblichen Sozialen Netzwerken ist Diaspora* auf Datensparsamkeit ausgelegt. Das Profil verlangt, verglichen mit vielen andren Sozialen Netzwerken, kaum Angaben zur eigenen Person (Selbstbeschreibung/Biografie, das Gender/Geschlecht wurde bewusst als Eingabefeld definiert). Diese Einschränkung verhindert einerseits die Suche nach Nutzer*Innen über Merkmale, trägt aber der Privatsphäre der Nutzer Rechnung.
Nachrichten könne im Markdown-Format eingegeben werden, so dass etwa Links oder Formatierungen innerhalb von Beiträgen möglich werden.
Ähnlich wie bei Google+ (Kreise) oder Facebook (Gruppen) haben Nutzer*Innen die Möglichkeiten ihre Kontakte in sog. Aspekten zu organisieren. Die Sichtbarkeit bestimmter Beiträge kann so je nach Kommunikationskontext getrennt werden. Links werden, ähnlich wie bei Facebook, mit einer Vorschau eingebunden. Hashtags haben bei Diaspora* eine zentrale Bedeutung. Nutzer*Innen sind in der Lage die Kommunikationsströme, die mit diesen Schlagworten arbeiten, zu abonnieren.
Kritiker haben sehen bei Diaspora* vor allem die relativ komplexe Installation als Hürde, die sich aus den eingesetzten Technologien ergibt. Die Anforderungen eines Hostings sind dadurch erhöht, was als Widerspruch zu dem ursprünglichen heeren Ziel eines dezentralen Systems, bei dem jeder Nutzer seine eigene Instanz (Pod) betreibt, aufgefasst wurde. Hier lohnt sich eine vorsichtige Evaluierung.
Für Friedentica existieren eine Reihe von Apps die das OStatus-Protokoll von GnuSocial unterstützen. Mit dem Android Client for Friendica existiert auch eine Android-App die speziell für Friedentica Nutzer*Innen ausgelegt ist. Die Diaspora* Entwickler wollen keine zu hohen Erwartungen bei den Apps schüren. Android-Nutzer können allerdings die App Pusteplume ausprobieren.
Als vielversprechender Ansatz für eine sinnvolle Realisierung verteilter, dezentraler Vernetzung wird aktuell Etherum diskutiert. Dabei wird die dezentrale Datenbank der Bitcoin-Währung, die sog. Blockchain zu einer dezentrale, verteilte Infrastruktur weiterentwickelt, auf der nicht länger nur eine Währung übertragen werden kann, sondern auf deren Basis verteile Soziale Netzwerke oder Messaging-Systeme denkbar werden.
Weiterführende Links
Jeff Reifmann hat sich in seinem Artikel mit alternativen Sozialen Netzwerken u. a. mit Diaspora*, Pump.io und GnuSocial befasst.
Die Wikis der Alternativen Sozialen Netzwerke bieten häufig detaillierte Installationsanleitungen. Eine sorgfältige Vorbereitung lohnt sich, um sicher zu stellen, dass der verwendete Hosting-Anbieter die notwendigen Voraussetzungen auch erfüllt.
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 11. November 2015
Wann : – ,
Wo :
19. November 2015, in der Kulturwerkstatt KAOS:
Lesen (und diskutieren) gegen Überwachung
Flyer zu Lesung im Herbst 2015
Trägt (Massen)Überwachung und die Bildung von Profilen von Menschen in einer zunehmend digitalen Gesellschaft zu deren Sicherheit bei? Welche politische Dimension und Aufgabe haben die Datensammlungen von Geheimdiensten? Welches ökonomische Potential hat die Aneignung von Nutzerdaten durch private Firmen? Schaffen massenhafte Datensammlungen Geheimnis und Privatsphäre ab? Sind sie demokratie-kompatibel? Ist Privatsphäre ein Auslaufmodell? Und: Wäre das schlimm?
Wir wollen aus dem Roman „Der Circle “ von Dave Eggers und Auszüge aus der Interview-Sammlung „Daten, Drohnen und Disziplin “ lesen, in welcher Zygmunt Bauman und David Lyon, zwei Sozialwissenschaftler, diese Fragen kommentieren, darüber reflektieren und die gegenwärtige Situation beleuchten. Vor Allem aber, möchten wir mit Ihnen diskutieren und Ihre Ansichten dazu erfahren.
Das Bündnis Privatsphäre veranstaltet am 19. 11. 2015 ab 19.30 Uhr einen Lese- und Diskussionsabend in der neu sanierten Villa der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V. – Wasserstraße 18, 04177 Leipzig .
Dazu laden wir Sie herzlich ein und freuen uns auf Sie.
Für die freundliche Kooperation – erst dadurch wird der Abend in dieser Form möglich – bedanken wir uns beim Mitteldeutschen Internetforum, einem Projekt des Medienstadt Leipzig e. V. und bei der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V.
Wann : – ,
Wo :
Öffentliches Plenum, 17. November 2015
Am Dienstag, den 17. November 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Reflektion der CryptoParty vom 11.11.2015
Status Crypto-macht-Schule im Dezember 2015
Lesen (und diskutieren) gegen Überwachung II am 19.11.2015
Überreginale Vernetzung und Fundraising
Grundlegende Absprachen und Erstplanung einer Ausstellung in einer Bildungseinrichtung im Frühjahr 2016
Teilnahme am 32C3
Gäste sind willkommen. 🙂
Im Sublab wird nicht geheizt. Da es kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
CryptoParties 2016, 1. Halbjahr
Unsere CryptoParties starten am 2. Mittwochabend im Monat, ab 19 Uhr, im Westwerk,
sublab e. V. , Karl-Heine-Straße 93, Leipzig (Plagwitz). Die Teilnahme ist kostenfrei.
Für Fragen zwischendurch gibt’s auch unser Diskussionsforum , Anregungen und Anmerkungen gern willkommen. Einfach dort registrieren und loslegen.
Termine und Themen
13. Januar 2016: Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet weitere Informationen
10. Februar 2016: Der elektronische Briefumschlag – Asymmetrische
Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP weitere Informationen
9. März 2016: Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs weitere Informationen
13. April 2016: Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung weitere Informationen
11. Mai 2016: Das können wir selber – Alternative Soziale Netzwerke und Cloud-Systeme weitere Informationen
Warum eigentlich?
2015 sind Privatsphäre und bürgerliche Freiheitsrechte im Digitalen weiter erodiert worden: Der Regierungsentwurf zur EU-Datenschutzreform, welcher in der europäischen Datenschutz-Grundverordnung münden soll, schleift die Zweckbindung und Datensparsamkeit als Grundlagen wirksamen Datenschutzes. Der Bundestag hat die (Wieder)Einführung der anlasslosen Komplettüberwachung der elektronischen Kommunikation der bundesdeutschen Bevölkerung beschlossen (Vorratsdatenspeicherung) – ohne die entsprechenden Urteile des Europäischen Gerichtshofes und der deutschen Verfassungsgerichtes hinreichend zu berücksichtigen, wie viele Experten testieren. Die Wirtschaft räumt sich weitergehende Rechte zur Verwertung der Nutzerdaten ihrer Angebote ein oder will sogar fremde Inhalte in eigenen Diensten verwenden, wenn man nicht ausdrücklich widerspricht. Derweil erbeuten Hacker Daten, unter anderem auf Passwortsites, im Netzwerk des Bundestages oder im Personalbüro der US-Regierung.
Den Schutz der eigenen Daten und der Vertraulichkeit der Kommunikation müssen die Bürger*Innen unter diesen Vorzeichen selbst in die Hand nehmen. Unter dem Schlagwort “Digitale Selbstverteidigung” sind die Aktivitäten zusammengefasst die Jede und Jeder Einzelne gegen den ungesteuerten Verlust der Kontrolle über seine Daten in Anwendung bringen kann.
Mitmachen!
In praxisorientierter, anwenderfreundlicher und verständlicher Weise informieren wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken und zeigen deren Einsatz.
Am Beginn steht die Frage nach der Bedrohungslage (Threat Model): Wer will wie und wo an meine Daten? Wogegen muss ich meine Daten also schützen? Das erlaubt, zu geeigneten Sicherheitsentscheidungen zu gelangen, zeigt aber auch schon, dass letztlich jeder selber sein Schutzniveau festlegen und finden muss.
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, die entsprechenden eigenen Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Vorkenntnisse sind hilfreich aber nicht notwendig.
Wir freuen uns auf euch!
Wann : – ,
Wo :
Öffentliches Plenum, 01. Dezember 2015
Am Dienstag, den 01. Dezember 2015, findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Da es kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
Sommersemester 2016
Wann : – ,
Wo :
Crypto macht Schule: CryptoParty Montessori 09. Dezember 2015 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
Android/iOS: Signal – Verschlüsselter Messenger mit Ende-zu-Ende-Verschüsselung. Erlaubt auch verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern.
iOs: Focus blockiert nicht erwünschte Inhalte (Werbung, JavaScript, Viren/Würmer/Trojaner in Websiten) auf iPhones.
Android/iOS: ChatSecure – Ermöglicht verschlüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: Conversations – Ermöglicht verschlüsselten Online-Chat (PlayStore, FDroid)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Crypto macht Schule 12/2015
Wann : – ,
Wo :
Öffentliches Plenum, 16. Dezember 2015
Ausnahmsweise am
Mittwoch, den 16. Dezember 2015 , findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Da es kühler wird, ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
Aktivismus auf dem 32c3
Vom 27. Dezember bis zum 30. Dezember haben Vertreter des Bündnis Privatsphäre Leipzig am
32. Chaos-Communication Congress (32c3) teilgenommen. Dort haben wir uns mit bundesweit engagierten Aktivst*Innen getroffen und über den weiteren Austausch und unsere Vernetzung diskutiert.
Mit #StopWatchingUs Köln und #wastun gegen Überwachung Berlin haben wir auf unser gemeinsame Kampagne „Verfolgungsprofile“ hingewiesen. Wir wollen eine breite Debatte zu Chancen aberinsbesondere zu den Risiken von Persönlichkeitsprofile anregen, die durch BigData-Analysen aus alltäglich anfallenden Daten gewonnene werden.
Der 32c3 bot eine Vielzahl von sehenswerten Vorträgen (Talks) und wertvollen Workshops (Self-Organized-Sessions) an. Diese und die guten Gespräche mit einzelnen Mitstreiter*innen der CryptoParty-“Gemeinde“ haben uns reichlich Anregungen und Ideen zu Verbesserung unserer eigenen CryptoParties geliefert, deren Umsetzung nun startet.
Netzpolitik.org hatte bereits im Vorfeld netzpolitisch interessante Vorträge empfohlen . Einen Schwerpunkt auf dem diesjährigen Kongress bildete die Betrachtung der Modellbildungen und Prognosefähigkeiten von Algorithmen in BigData. Dabei zeigte sich, dass deren Anwendung weder frei von Diskriminierung ist (social sorting) noch dass die Formung sozialer Graphen (Shaping) auf zivile Nutzung beschränkt bleibt – was schon problematisch genug wäre – sondern schon heute Verwendung in militärischen Doktrinen findet (etwa bei der Bestimmung von Drohnenzielen).
Unterdessen wurden erste Ergebnisse wissenschaftlicher Studien zu den Snowden-Enthüllungen vorgelegt, bei der einerseits deren Darstellung in den Medien andererseits auch die Reaktion von Aktivist*Innen und Vertretern von Minderheiten untersucht wurden.
Mit der Kampagne Intellexit stelle das Berliner Peng! Collective eine gleichermaßen ernste wie humorvolle Aktionsform vor, und zeigte damit, dass die Betonung von Risiken bei der Problematisierung der Arbeit von Nachrichtendiensten nicht der einzige Weg sein muss, damit umzugehen.
Die Videoaufzeichnung des Streaming der Vorträge können beim Chaos Computer Club oder bei YouTube abgerufen werden.
Wann : – ,
Wo :
Öffentliches Plenum, 05. Januar 2016
Am
Dienstag, den 05. Januar 2016 , findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Bericht vom Mumble mit #StopWachtingUs und #wastun Berlin zur Kampagne “Verfolgungsprofile”
Status Basisförderung durch die Stiftung bridge und #wastun Berlin
Retro / Bericht die Teilnahme am 32. Chaos Communication Congress (32c3)
Auslotung eines potentielles Winterinterim im Frühjahr 2016
Status der Vorbereitungen CryptoParty am 13.01.2016
Status der Vorbereitungen CryptoParty für die Ringvorlesung von studium universale unter dem Motto vernetzt am 03.02.2016
Lesen gegen Überwachung III / Safer Internet Day am 09.02.2016
Ideen und Brainstorming zur CryptoCon16
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Daher ist es sinnvoll, sich warm anzuziehen und möglicher Weise eine Decke mitzubringen.
Wann : – ,
Wo :
Neustart: CryptoParties 2016, erstes Halbjahr
Am 13. 1. 2016, 19.00 Uhr starten mit „Beobachte mich nicht“ – Sicher Surfen und Anonymisierung unsere CryptoParties wieder von vorn. In fünf lose verbundenen Veranstaltungen werden wir Möglichkeiten zur digitalen Selbstverteidigung gegen privatwirtschaftliche und staatliche Massenüberwachung und Datenerhebung zeigen und Hintergründe beleuchten. Details zu den jeweils behandelten Themen und die Veranstaltungstermine finden sich
hier .
Täglich hinterlassen wir bei unseren Wegen durchs Netz Datenspuren, unabhängig davon, ob wir mit Tablet, Smartphone, Laptop oder PC surfen, Apps nutzen oder Software einsetzen, die auf einen Datenaustausch mit der Cloud angewiesen ist. Ob Cookies, um eindeutige Informationen auf unsern Geräten zu speichern, Supercookies, die sich mit den Bordmitteln der Browser nicht mehr löschen lassen und in denen ganze Surfverläufe gespeichert werden oder Browserfingerprinting – um die Verfolgung unser Internetnutzung kümmert sich eine ganze Industrie. Unterstützt wird sie teilweise auch von Internetanbietern (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Was können wir gegen dieses permanente Stalking tun? Wie kann ich mein Surfverhalten weniger transparent werden lassen um meine Privatsphäre zu schützen? Was sollte bei der Auswahl eines VPN-Anbieters beachtet werden? Wie kann ich Tor sinnvoll und sicher einsetzen, um digitale Spuren zu verwischen? Gibt es Wege die Hoheit über meine Daten zu behalten?
Mit diesen und weiteren Fragen werden wir uns am Mittwoch, den 13. Januar 2016, ab 19 Uhr im Sublab/Westwerk beschäftigen. Dazu laden wir herzlich ein. Für die praktische Arbeit sind Laptop oder Smartphone hilfreich. Vorkenntnisse sind wie immer hilfreich aber nicht notwendig.
Noch ein Hinweis: Im sublab ist es leider recht kalt; warme Kleidung und eine Decke sind daher sehr empfehlenswert 😉
Wann : – ,
Wo :
Cryptoparty 13. Januar 2016 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt als das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.
Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Das Tor-Browser-Bundle ist ein gehärteter Firefox-Browser, der speziell für das Surfen mit Tor entwickelt und vorkonfiguriert wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI in Kooperation mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.
Es wird empfohlen, Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, das ein für das anonyme Surfen angepasstes Betriebssystem darstellt.
Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben müssen, um Schutz zu gewährleisten.
Personal Virtual Private Network (VPN)
Personal Virtual Private Networks (VPNs ) versprechen ebenfalls die Verschleierung von Metadaten, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Die Nutzer*In baut über eine spezielle Software einen sicheren Kanal zum Anbieter auf, durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.
Wer hartnäckigen Verfolgungstechniken, wie etwa den Perma-Cookies von Internet Service Providern, entkommen möchte, muss auch beim Surfen mit VPNs die TLS-Verschlüsselung der besuchten Webseiten in Anspruch nehmen.
Stichwort CryptoWars : Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren . Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
Self Destructing Cookies ,
Random Agent Spoofer ,
µMatrix (uMatrix).
Weiterführend oder alternaiv bieten sich Erweiterungen an wie:
µBlock Origin (statt µMatrix),
NoScript , (statt µMatrix oder µBlock Origin),
RequestPolicy , (zusätzlich).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 13. Januar 2016
Wann : – ,
Wo :
Safer Internet Day, 9. 2. 2016
„Lesen – und diskutieren – gegen Überwachung“, 19.30, Kulturwerkstatt KAOS
Am 9. 2. 2016 ist der internationale „Tag des Sicheren Internet“ (Safer Internet Day). Das Bündnis Privatsphäre Leipzig veranstaltet aus diesem Anlass einen Lese- und Diskussionsabend. Wir laden Sie dazu ab 19.30 Uhr in die neu sanierte Villa der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V. –, Wasserstraße 18, 04177 Leipzig, ein.
Seit 18. 12. 2015 ist das neue Gesetz zur Vorratsdatenspeicherung wieder in Kraft. Nach den Vorfällen in Köln wird über die Ausweitung von Videoüberwachung im öffentlichen Raum diskutiert.
Wird die Sicherheit in unserer zunehmend digitalen Gesellschaft durch anlasslose (Massen)Überwachung erhöht? Reduziert sie Lebens-Risiken? Welche politische Dimension und Aufgabe haben die Datensammlungen staatlicher Stellen und Institutionen? Welches ökonomische Potential hat die Aneignung von Nutzerdaten durch private Firmen? Haben Datensammlungen und die zur Auswertung eingesetzten Algorithmen (macht)politische Auswirkungen? Sind sie Demokratie-kompatibel? Ist Privatsphäre ein überholter Wert?
Wir wollen als Einstieg in den Abend Texte lesen, die diese Fragen kommentieren, darüber reflektieren und die gegenwärtige Situation beleuchten, aus: Bruce Schneier, „Data und Goliath – Die Schlacht um die Kontrolle unserer Welt“ in der deutschen Übersetzung von Sigrid Schmid und Claudia Van Den Block, erschienen im Redline Verlag, München, 2015.
Vor Allem aber, möchten wir mit Ihnen diskutieren und Ihre Ansichten dazu erfahren.
Wir freuen uns auf Sie, herzlich Willkommen!
Für die Kooperation bei der Veranstaltung bedanken wir uns beim Mitteldeutschen Internetforum, einem Projekt des Medienstadt Leipzig e. V. und der Kulturwerkstatt KAOS – Projekt der KINDERVEREINIGUNG Leipzig e. V.
Wann : – ,
Wo :
Öffentliches Plenum, 19. Januar 2016
Am
Dienstag, den 19. Januar 2016 , findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Status Basisförderung durch die Stiftung bridge und #wastun Berlin
Status Kampagne Verfolgungsprofile
Status der Vorbereitungen CryptoParty für die Ringvorlesung von studium universale unter dem Motto #vernetzt am 03.02.2016
Lesen gegen Überwachung III / Safer Internet Day am 09.02.2016
Vorbereitung der CryptoParty am 10.02.2016 im Sublab
Besuch bei der Autodidkatischen Inititative (ADI) zur Auslotung eines potentielles Winterinterim im Frühjahr 2016
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Daher ist es sinnvoll, sich warm anzuziehen und eine Decke mitzubringen.
Wann : – ,
Wo :
Öffentliches Plenum, 02. Februar 2016
Am
Dienstag, den 02. Februar 2016 , findet unser nächstes reguläres, öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Gäste sind, wie immer, willkommen. 🙂
Im Sublab wird nicht geheizt. Daher ist es sinnvoll, sich warm anzuziehen und eine Decke mitzubringen.
Wann : – ,
Wo :
#vernetzt: CryptoParty studium universale 03. Februar 2016 – Programme, Materialien, Links
CryptoParty in Kooperation mit
Universität Leipzig studium universale und der
VHS Leipzig im Rahmen des Programms WS1516 unter dem Motto #vernetzt.
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
Android/iOS: Signal – Verschlüsselter Messenger mit Ende-zu-Ende-Verschüsselung. Erlaubt auch verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern.
iOs: Focus blockiert nicht erwünschte Inhalte (Werbung, JavaScript, Viren/Würmer/Trojaner in Websiten) auf iPhones.
Android/iOS: ChatSecure – Ermöglicht verschlüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: Conversations – Ermöglicht verschlüsselten Online-Chat (PlayStore, FDroid)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty #vernetzt/studium universale 03. Februar 2016
Wann : – ,
Wo :
Cryptoparty #vernetzt, 3. Februar 2016 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt als das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.
Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Add-Ons, Tools
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
Self Destructing Cookies ,
Random Agent Spoofer ,
µMatrix (uMatrix).
Weiterführend oder alternaiv bieten sich Erweiterungen an wie:
µBlock Origin (statt µMatrix),
NoScript , (statt µMatrix oder µBlock Origin),
RequestPolicy , (zusätzlich).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
Android/iOS: Signal – Verschlüsselter Messenger mit Ende-zu-Ende-Verschüsselung. Erlaubt auch verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern.
iOs: Focus blockiert nicht erwünschte Inhalte (Werbung, JavaScript, Viren/Würmer/Trojaner in Websiten) auf iPhones.
Android/iOS: ChatSecure – Ermöglicht verschlüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: Conversations – Ermöglicht verschlüsselten Online-Chat (PlayStore, FDroid)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty am 10. Feburar 2015, Beginn 19.00 Uhr, Westwerk/Sublab
Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
Der Europäische Gerichtshof hat das Safe Habor Abkommen zwischen EU und den USA ausgesetzt, die Übergangsfrist zur Neuregelung ist ohne konkrete Ergebnisse verstrichen. Die Ankündigungen zum neuen Abkommen, als EU-US Privacy Shield bezeichnet, lassen vermuten, das die notwendige Stärkung der Rechtsposition von EU-Bürgen gegenüber staatlicher Überwachung seitens der USA nicht stattfinden wird.
In Deutschland ist die massenhafte und anlasslose Aufzeichnung von Kommunikationsdaten ab 2017 beschlossen worden, eine Ausweitung der Aufzeichnugspflicht wird von verschiedensten Institutionen betrieben.
Der Schutz der eigenen Daten wird damit immer mehr den Nutzer*innen überlassen oder findet nicht statt. Dies beginnt bereits mit der Entscheidung für oder gegen eine E-Mail-Provider, der zu Werbezwecke die Inhalte der eigenen E-Mails analysiert. E-Mail Verschlüsselung ist ein funktionierendes Mittel um wenigstens die Inhalte seiner Kommunikation sicher und vertraulich auszutauschen, auch wenn die Massenüberwachung der Verbindungsdaten damit nicht unterbunden wird.
E-Mails sind noch weit davon entfernt ein antiquiertes Medium aus den Pionierzeiten des Internets zu sein. Im Gegenteil: E-Mail hat den Postweg weitgehend ersetzt und wird oft zum Austausch von Dokumenten eingesetzt und es scheint so, als würden so viele E-Mails geschrieben wie nie zuvor.
Anders als bei Briefen, die in einen Umschlag gesteckt werden, sind E-Mails während des Versandes vor neugierigen Augen jedoch nicht geschützt.
Wir wollen das ändern und laden daher am 10. 02. 2016 um 19 Uhr herzlich ins Sublab zur CryptoParty ein.
Wir zeigen wie Ende-zu-Ende-Verschlüsslung von E-Mails eingerichtet und zwischen Empfänger*innen genutzt werden kann und unterstützen bei der Installation der notwendigen Programme. Die Erzeugung und Verwaltung der elektronischen Schlüssel wird erklärt und darüber hinaus gezeigt wie eine gute Passphrase gefunden werden kann um den Schlüssel zu sichern. Der Einsatz von Passwort-Managern stehen ebenso auf dem Programm.
Zum Einstieg erläutern wir kurz Hintergründe zu E-Mail-Versand und -verschlüsselung. Eine kurzer Überblick über Kriterien zur Analyse der eigenen Bedrohungslage um den nötigen „Verteidigungsaufwand“ einschätzen zu können, rundet unser Cryptoparty ab.
Und natürlich wünschen wir uns eine angeregte Diskussion zum Abschluss.
Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht Lerneffekt und Spaß, ist aber keine Voraussetzung.
Der Eintritt ist frei, eine Voranmeldung nicht erforderlich.
Wann : – ,
Wo :
Cryptoparty 10. Februar 2016
Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
Materialien, Programme, Links
Hier ist der Link unseren Folien
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Passwörter und Passwort-Manager
Von Passwort Managern die Passwörter in der Cloud ablegen raten wir ab. Wer auf die Cloud nicht verzichten kann sollte eine auf eigenen Gerät verschüsselte Passwort Manager Datei (in der Regel eine verschlüsselte Datenbank) mit der Cloud seiner Wahl synchronisieren. Um das Risiko von Hintertüren in der Software zu reduzieren verwenden wir unbedingt auf quelloffene Passwort Manager zu setzen.
KeePass : Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum . Der Quellcode findet sich auf der Download-Seite .
MacPass (MacOSX/macOS): Offizelle Webseite des Projektes (englisch). Quellcode bei Github .
KeepassX (Linux): Offizielle Website des Projektes (englisch) mit Dokumentation , Forum und Quellcode.
KeeWeb : Offizele Website des Projekte (englisch).
PasswortSafe : Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org , die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt.
Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Diceware™ ist eine Methode eine Passwort oder eine Kombination von Passwörtern (Passpharse) unter Einsatz eines Würfels zu erzeugen. Dafür gibt es Wörterbuchlisten. Es wird empfohlen entweder einen hochwertigen Würfel (z. B. Casino-Würfel) oder Software einzusetzen, die einen kryptographisch sicherer Zufallszahlengenerator einsetzt. Nach aktuellem Stand gilt eine Passphrase, die auf diese Weise erzeugt wurde mit 8 Wörtern (80 Bit) als eine gute Passphrase , 12 Wörter würden eine starke Passphrase (120 bit) ergeben. Damit ein Passwort genug Entropie bietet, die für ca. ein Jahr standhält muss es min. einer Stärke von 65 bit entsprechen.
Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Nitrokey
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration , (Demovideo, englisch) dazu
Qwertycards
E-Mailverschlüsslung mit GnuPG
GnuPG 2.x Architektur – Aufbau der Verschlüsselungsoftware
Ab GnuPGP Version 2.x wurde der Aufbau des Crypto-Systems stark entflechtet. Viele kleinere Dienste, wie der GPG-Agent übernehmen nun Aufgaben, die bisher in einer Einheit verarbeitet wurden. Von der Entflechtung erhoffen sich die Entwickler vor allem eine geringere Verwundbarkeit des Gesamtsystems gegenüber Angreifern und eine höhere Flexibilität bei der Bereitstellung von Updates.
Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG
Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode
Offizielle Website (deutsch) von Gpg4win , dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows , basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.
Die meisten Linux -Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.
Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.
Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann AGP eingesetzt und z. B. über den Google-PlayStore installiert werden.
Das E-Mail-Programm – Thunderbird
Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird , ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.
Für den Einsatz unter Android empfiehlt sich K9-Mail , das z. B. über den Google-PlayStore installiert werden kann.
Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail
Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.
Anleitungen zur E-Mail Verschlüsslung mit PGP
Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation .
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box .
Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden.
Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.
Weiterführende Links
Ausgewählte Kurse:
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Self Organized Session vom CCC-Kongress Dezember 2015:
An Advanced Introduction to GnuPG (Folien als PDF, bitte mit “Speichern unter” herunterladen)
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Why is GPG “damn near unusable”? An overview of usable security research
CrypTool-Portal:
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Wann : – ,
Wo :
++ NEU ++ Öffentliches Plenum am Mittwoch , 17. 2. 2016, 19.00 in der Autodidaktischen Initiative
Unsere öffentlichen Plenen finden als Winterinterim in den Räumen der
Autodidaktischen Initiative ,
Georg-Schwarz-Straße 19 statt. Wir starten dort ab dem 17. 2. und dann weiter immer am 1., 3. und 5.
Mittwoch des Monats ab
19.00 Uhr . Herzlich willkommen!
Wir freuen uns auf rege Teilnahme, spannende Diskussionen sowie Interessierte und Gäste die reinschnuppern oder mitarbeiten wollen.
Wann : – ,
Wo :
Öffentliches Plenum, 17. Februar 2016
Am
Mittwoch, den 17. Februar 2016 , findet unser nächstes reguläres, öffentliches Plenum statt, zum ersten Mal in unserem Winterinterim in der Autodidaktischen Initiative statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : Autodidaktischen Initiative e. V., Georg-Schwarz-Straße 19, 04179 Leipzig
Unsere Agenda :
Auslotung einer Kooperation zu einer Veranstaltung zur Europäischen Datenschutzverordnung
Kurzbericht über Besuch der Stadtkarawane am 13.02.2016
Statusbericht Basisförderung / Kampagne Verfolgungsprofile: Planung der ›Konferenz der Verfolgtenn‹
Statusbericht zur aktuellen Planung der CryptoCon16
Retro zu Lesen gegen Überwachung III / Safer Internet Day am 09.02.2016
Retro zur der CryptoParty vom 10.02.2016 im Sublab
Unterstützung der Initiative “Security for all”
Positionierung zu Safe Habor / Privacy Shield
Patenschaften für neue Mitstreiter*Innen
Gäste sind, wie immer, willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum, 02. März 2016
Wann : – ,
Wo :
CryptoCon16 – Patch me if you can!
19. bis 22. Mai 2016,
Programmübersicht
Details in Kürze unter: https://cryptocon.org/16/ und direkt im Konferenz Schedule Änderungen vorbehalten.
Alle Veranstaltungen (wenn nicht anders gekennzeichnet) finden im sublab e. V., Westwerk, Karl-Heine-Str. 93, 04229 Leipzig-Plagwitz statt.
18:00 // CryptoCon16 Opening, Eröffnung
18:30 // (Programmänderung) Vorträge mit anschließender Fragerunde mit:
ca. 18:30 Andreas Schurig , Sächsischer Datenschutzbeauftragter
Europäische Datenschutzgrundverordnung? Welche Auswirkungen gibt es auf die sächsische Datenschutzgesetzgebung und -Praxis?
ca. 19:15 Prof. Wolfgang Kleinwächter , Professor für “Internet Policy and Regulation” an der Universität Aarhus, ehm. ICANN-Director
Was wollen die Regierungen im Internet? Neue Entwicklungen in der internationalen Internetregulierung im Lichte von G7, G20 und BRICS.
anschließend: Get together
19:00 // Film: The Internet’s Own Boy , Cineding, Karl-Heine-Str. 83, 04229, in Kooperation mit dem Mitteldeutschen Internetforum des Medienstadt Leipzig e. V. Leipzig Eintritt: 3€
21:00 // Keynote mit einem Vertreter des Peng! Collectiv
22:00 // sub:lounge / Artistic Opening / Social Event mit Installationen und Performances
The Internet’s Own Boy
The Internet’s Own Boy erzählt die Geschichte des Hacktivisten Aaron Swartz, der früh als Programmierer-Wunderkind gehandelt wurde. Mit seiner Mitarbeit bei der Entwicklung des Web-Feed-Formates RSS bis hin zu seiner Beteiligung bei der Gründung von Reddit hat Aaron Swartz bis heute überall im Internet Spuren hinterlassen.
Sein Eintreten für soziale Gerechtigkeit und freien Zugang zu Informationen im Netz endete für den sensiblen Aktivsten allerdings in einen juristischen Albtraum mit fatalem Ausgang.
Der Film wurde 2014 auf dem Sundance Film Festival uraufgeführt. Wir zeigen eine Fassung mir deutschem Voiceover.
Weitere Informationen: Cineding
ab 10:00 // Cryptobrunch
12:00 bis 23:00 // Vorträge und Workshops
12:00 bis 20:00 // Cryptosprechstunde : Fragen stellen und Hilfe bekommen
Vortrag Wenn Big Data tödlich ist
14:00 Uhr
Unter dem Motto „Die Drohnenkriege – Vom Krieg gegen den Terror zu den Roboterkriegen der Zukunft?“ wird eine Einführung angeboten und erklärt, wie der Drohnenkrieg derzeit technisch und politisch funktioniert, was die gesellschaftlichen und sicherheitspolitischen Hintergründe sind und bietet einen Ausblick auf künftige Entwicklungen. Internationale Institutionen und Normen sowie humanitäre Rechtsordnungen erodieren beschleunigt unter dem Druck der unbemannten und automatisierten Kriegsführung.
Details: Konferenzsystem
Vortrag Privatheitsschutz, Hannah Arendt und die “glücklichen Wenigen”
16:00 Uhr
Dass unsere Privatheit schützenswert ist, wird nicht erst seit den Enthüllungen der letzten Jahre durch diverse Whistleblower diskutiert. Was dieses Schützenswerte genau ist, scheint jedoch gar nicht so eindeutig zu sein. Von staatlichen Stellen wird dabei manchesmal gar behauptet, Privatheit sei abzuwägen gegenüber anderen Gütern wie z.B. Sicherheit. Im Vortrag wird in einem ersten Schritt versucht, Privatheit als Begriff zu greifen. Hierzu wird u.a. auf den Privatheits- und Öffentlichkeitsbegriff der Philosophin Hannah Arendt Bezug genommen. Die Bestimmung des Privaten hängt eng mit der Frage zusammen, warum dieses “Etwas” geschützt werden soll, und ob es sich nicht eigentlich nur um ein Mittel handelt, das der Sicherung anderer Abstrakta wie Freiheit, Autonomie und Authentizität dient. In einem zweiten Schritt wird die These erötert, ob Privatheitschutz kein Recht ist,sondern eher nur Angehörigen bestimmter gesellschaftlicher Gruppen zukommt. Hierzu wird zum einen der historische Kontext betrachtet – von wem und unter welchen Umständen wurde Privatheitsschutz gefordert? -, zum anderen werden aktuelle Praktiken von Unternehmen beleuchtet.
Details: Konferenzsystem
Vortrag Verfolgungsprofile
18:45 Uhr
Zusammen mit überwachungskritischen Gruppen aus Berlin und Köln hat der Bündnis Privatsphäre e. V. die Kampagne ›Verfolgungsprofile‹ ins Leben gerufen, mit der wir ein Bewusstsein schaffen wollen für die Risiken, die mit der Profilbildung durch BigData eingehhergehen. Die Bevölkerung soll für diese Thema, dass uns alle in den nächsten Jahren massiv begleiten und betreffen wird sensiblisiert und darüber aufgeklärt werden um selbstbestimmet Entschiedungen treffen zu können. Im Rahmen unseres Vortrags soll die Kampagne vorgestellen sowie die wesentlichen Ziele und Strategien präsentiert und unsere Motivlagen dargelegt werden.
Gleichzeitig wollen wir zu einer in Leipzig geplanten Konferenz einladen, auf der wir – gemeinsam mit mit denen, die es betrifft – der Frage nachgehen wollen, inwieweit beispielsweise Minderheiten, Aktivst*Innen oder Berufsgeheimnisträger*Innen bereits in den Fokus von Profiling auf BigData-Basis rücken und reale Auswirkungen zu spüren bekommen.
Der Vortrag soll durch eine kritische Reflektion des Kampangenwerdegangs abgerundet werden. Wir wünschen uns im Anschluss eine anregende Diskussion.
Details: Konferenzsystem
ab 10:00 // Cryptobrunch
12:00 bis 14:00 // Junghackertag (Vortrag und Workshop)
13:00 bis 18:00 // Vorträge und Workshops
12:00 bis 18:00 // Cryptosprechstunde : Fragen stellen und Hilfe bekommen
Workshop Smart City Leipzig
14:00 Uhr
Städter*Innen des 21. Jh. erleben diesen Prozess als Einführung von immer mehr Sensoren und Netzendpunkten, die wir teilweise sogar mit uns führen. Diese Vernetzungstendenz, die durch das “Internet of Things” um immer mehr autarke, automatisch untereinander vernetzte und kommunzierende Systeme erweitert wird, ist unlängst als “allgegenwärtige Datenverarbeitung” oder “ubiquitous computing” beschrieben worden. “ubiquitous computing” ist als Basis datengetriebener Geschäftsprozesse untertrennbar mit der Vision der lückenlose Vernetzung verbunden und findet als undifferenzierter Modebegriff (buzz word) “Smart City” Einzug in neuen Überlegung zur Stadtplanung und -entwicklung.
Die Stadt Leipzig beteiligt sich im EU-Projekt Triangulum. Im Zuge dieses Egangements wurde der Leipziger Westen ist als Werkstatt und Pilotregion vorgesehen um „smarte“ Technologien in der Stadt zu entwickeln und zu erproben.
Der Begriff der “Smart City” ist dabei bisher ebenso wenig klar, wie die Frage des Grades an Vernetzung und der Einführung von Sensorik zur immer ausgedehnteren Erfassung der Bewegungen des täglichen Lebens.
Ein kurzer Vortrag zu “SmartCity” führt in das Thema ein. Anschließend soll im Rahmen dieses Workshops soll alternativer Ansätze und Deutungen zu “SmartCity” von Haus und WagenRat e. V., Bündnis Privatsphäre Leipzig e. V., sublab e. V. u. a. vorgestellt und diskutiert werden.
Details: Konferenzsystem
Aufruf zur Beteiligung.
Vom 19. bis 22. Mai laden der Leipziger Hackerspace sublab e. V. sowie das Bündnis Privatsphäre Leipzig e. V. zur CryptoCon16 in die Räumlichkeiten im Westwerk, Karl-Heine-Straße 93, in Leipzig-Plagwitz ein. Dieses Jahr unter dem Motto “Patch me if you can!” beschäftigen wir uns zum vierten mal vier Tage lang mit:
Kryptografie
praktischer Verschlüsselung
dezentralen Kommunikationsstrukturen
Rechts- und Regulierungsfragen in der digitalen Gesellschaft
Datenschutz
Privatsphäre
offener Hardware
Hacktivism
Angriffszenarien auf IT- und Kommunikationssysteme sowie
Sichheitslösungen und -protokollen.
Seit den Enthüllungen von Edward Snowden im Jahr 2013 werden die schlimmsten Befürchtungen was staatliche und geheimdienstliche Überwachung angeht, mit schöner Regelmäßigkeit bestätigt oder übertroffen. Private Firmen stellen ihre immensen Datensammlungen, angelegt mit Zustimmung der Nutzer, sehr oft bereitwillig zur Verfügung oder werden in die Rolle von Hilfsheriffs in gesetzlichen Grauzonen gedrängt.
Versprochen wurde, dass sich ab sofort all dies ändern werde, jetzt aber werde der Sache auf den Grund gegangen!
Passiert bisher: Nichts.
Schlimmer noch, anstatt die Geheimdienste einer grundlegenden Reform zu unterziehen, eine wirksame staatliche Kontrolle einzurichten, die Zusammenarbeit mit den Diensten der USA einzustellen, private Datensammlungen ernsthaft zu regulieren, werden nicht nur alle Bürgerinnen und Bürger, sondern JEDE*R, der in der Bundesrepublik elektronisch kommuniziert, in Zukunft noch stärker überwacht werden.
Mit der Einführung der Mindestspeicherfrist (ab 2017) in Deutschland und dem fortgesetzten Ausnahmezustand in Frankreich, der die demokratische Auffassung des Rechtsstaates weiter erodiert, ist ein Ende staatlicher Überwachungsmaßnahmen in Europa nicht absehbar.
Wir laden alle Menschen ein, Teil der CryptoCon16 zu werden, um sich kreativ, kritisch, aufklärend, erläuternd oder berichtend mit dieser Thematik auseinanderzusetzen. Wir möchten dazu anregen Kunstinstallationen, Vorträge, Workshops, Präsentations- und Diskussionsideen, sowie Kunstprojekte und Performances einzureichen.
Sendet dafür, bitte bis 15. März 2016, 23:59 CET, eine kurze Beschreibung eures Beitrages und der Zeit, die ihr dafür veranschlagt, an cryptocon bei sublab punkt org oder tragt euch direkt in unser Konferenzplanungssystem ein.
Vorab einen Eindruck von der Veranstaltung bekommen kann man durch
die in den letzten Jahren aufgezeichneten Videos:
Weitere Informationen https://cryptocon.org/16/
Wann : – ,
Wo :
CryptoCon
Wann : – ,
Wo :
CryptoCon16
Wann : – ,
Wo :
CryptoParty 9. März 2016, 19.00 Uhr
Wir unterhalten uns privat – Verschlüsselte Messenger-
und Chat-Anwendungen auf Mobilgeräten und PCs
Wie privat bleibt unsere Kommunikation mit Smartphones, Tablets, Laptops? Wir sind mobil, vernetzt, in ständigem Kontakt mit Familie, Freunden, Bekannten, ja sogar unserem Arbeitgeber. Nahezu alle denkbaren Information werden digital erstellt, verarbeitet und ausgetauscht – Fotos, Texte, Sprache, Videos.
Verschlüsselte Endgeräte, die höchstens mit Hilfe ihrer Hersteller zu knacken sind, nützen wenig, wenn die Daten bei der Übertragung abgefangen und Gespräche mitgehört werden können. Starke Verschlüsselung zwischen den Teilnehmern sperrt Lauscher aus. Das Angebot an Programmen für sichere Kommunikation ist jedoch groß, die Versprechen zum Schutz noch größer und der Markt ständig in Bewegung.
Worauf sollte man also bei der Auswahl achten? Gegen welche Bedrohung will und muss ich mich, meine Kommunikationspartner und meine Daten verteidigen? Kann ich meine Daten gegen die tiefgehende und weitreichende staatliche Massenüberwachung in der täglichen Anwendung überhaupt schützen? Wie viel Aufwand nehme ich dafür in Kauf?
Am 9. März 2016 lädt das Bündnis Privatsphäre Leipzig zur CryptoParty herzlich ein, um 19 Uhr ins sublab im Westwerk, Karl-Heine-Straße 93, 04229 Leipzig . Wir zeigen freie und quelloffene – und damit auf Hintertüren überprüfbare – Alternativen zu propritären Messengern für Smartphones und Tablets. Alle vorgestellten Programme setzen auf Ende-zu-Ende-Verschlüsselung. Gemeinsam wollen wir deren Installation und Handhabung ausprobieren und die Nutzung mit Ihnen diskutieren. Lernen Sie zudem auch Messenger- und Chatsysteme für Ihren Laptop und Ihren PC kennen, welche zusätzlich die Metadaten Ihrer Kommunikation verschleiern.
Eine Anmeldung ist nicht erforderlich. Der Eintritt ist wie immer frei. Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht den Spass sowie den Lerneffekt, ist aber natürlich keine Voraussetzung. Da es im sublab immer noch recht kühl ist, sind warme Kleidung und vielleicht eine Decke empfehlenswert.
Wann : – ,
Wo :
Cryptoparty 9. März 2016 – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und ChatSecure . Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.
Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Beta-Software für Mobilgeräte
Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.
Für Tox existiert der experimentelle Atox Client f ür Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.
Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet und aktuell nicht mehr weiterentwickelt wird. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 9. März 2016
Wann : – ,
Wo :
Öffentliches Plenum, 16. März 2016
Am
Mittwoch, den 16. März 2016 , findet unser nächstes reguläres, öffentliches Plenum in unserem Winterinterim, der Autodidaktischen Initiative, statt zu dem wir alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : Autodidaktischen Initiative e. V., Georg-Schwarz-Straße 19, 04179 Leipzig
Unsere Agenda :
Informationen bzgl. SmartCity Leipzig
Verfolgungsprofile Status
CryptoCon16
Tag der offenen Tür in der ADI
Linuxtag 2016.1
Retro CryptoParty vom 09. 3. 2016
Herderfest 2016
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Leipzigs Westen als Experimentierfeld für „Smart City“
Die
Stadt Leipzig arbeitet im EU-Projekt
Triangulum mit. Der Leipziger Westen ist als Werkstatt und Pilotregion vorgesehen um “smarte” Technologien in der Stadt zu entwickeln und zu erproben. Die Folgen dieser Entwicklung werden über kurz oder lang Jede und Jeden betreffen.
Weil wir der Ansicht sind, dass sich informieren ein guter Anfang ist, schließen wir uns der Einladung des Haus- und WagenRats an, die wir hier veröffentlichen:
Liebe Technikkollektive, Repaircafés, Hausprojekte, Datenschutzaktivist_innen
wir laden Euch ein, zum:
°°
Info- und Vernetzungstreffen “Smart City Masterplan Leipziger Westen”
Kooperative Stadt statt smart city!
°°
am Dienstag, 22.3.
um 19:30 Uhr
beim Haus- und WagenRat, Georg-Schwarz-Str. 19.
Vortrag, Diskussion, Vernetzung.
Einleitend wollen wir in einem kurzen Vortrag einen Überblick über die
Diskussionen zur smart city geben. Technik, Überwachung, Umweltschutz:
Was verbirgt sich hinter dem Begriff der “smarten” Stadt?
Was ist mit dem Plan eines “Smart City Masterplan Leipziger Westen”?
Wir wollen anschließend mit Euch diskutieren, welche Handlungsmöglichkeiten
wir als lokale Projekte vor Ort in dem Prozess sehen. Wie können wir eine
nichtkommerzielle Technikentwicklung “von unten” fördern? Wie verhalten wir
uns zu dem Masterplan?
Seid herzlich eingeladen!
viele Grüße
die “smart city”-AG im HWR
Wann : – ,
Wo :
Öffentliches Plenum, 30. März 2016, sublab
Am
Mittwoch, den 30. März 2016 , findet unser nächstes reguläres öffentliches Plenum statt, zu dem wir herzlich alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig ; Wegbeschreibung (Direkt im Sublab)
Unsere Agenda :
Retro März 2016
Projektmangement „Konferenz der Verfolgten”
Tag der offenen Tür in der ADI
CryptoParty zur kritischen Einführungswoche in Kooperation mit dem Sublab
CryptoParty April „Keiner soll es erraten”
Smart City Leipzig
CryptoParty an der medizinischen Berufsfachschule
Status CryptoCon16
Anfragen
Leipziger Zeitung
“Democracy” Filmabend
Im Sublab wird nicht geheizt. Daher ist es sinnvoll, sich warm anzuziehen und eine Decke mitzubringen.
Wann : – ,
Wo :
Öffentliches Plenum, 6. April 2016, ADI
Am Mittwoch, den 6. April 2016, findet unser nächstes reguläres, öffentliches Plenum in unserem Winterinterim, der
Autodidaktischen Initiative , statt zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: Autodidaktischen Initiative e. V., Georg-Schwarz-Straße 19, 04179 Leipzig
Unsere Agenda:
Theater der Jungen Welt, Leipzig, Kooperation
„Tag der noch offeneren Tür“ in der ADI
„Konferenz der Verfolgten“, Planung
Basisförderung, Entscheidungsfindung über Teilnahme
Veranstaltungsort für Plena
Smart City Leipzig, Thesenpapier und Interessenbekundung
CryptoParty zur kritischen Einführungswoche 12. 4. Uni
CryptoParty 13. 4. im Sublab
Anfrage zum „Democracy“-Filmabend
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Cryptoparty 13. April 2016 – Programme, Materialien, Links
Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung
Hier ist der Link zur Präsentation für unsere Cryptoparty. (Download: Zip-Archiv | Tarball )
Das Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Beurteilung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung dieser Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Festplattenverschlüsselung
TrueCrypt ist eine Verschlüsselungssoftware, die für mehrere Betriebssysteme zur Verfügung steht: Ein entsprechendes Tutorial findet sich bei Security-in-a-Box . TrueCrypt wird leider nicht mehr weiterentwickelt. Die letzte komplette Version 7.1 a kann dennoch immer noch eingesetzt werden.
Mit VeraCrypt existiert ein Ablegerprojekt (Fork) das aktiv weiterentwickelte Versionen zur Verfügung stellt, für die aber Überprüfungen (Audits) noch ausstehen. Unlängst in TrueCrypt 7.1 a bekannt gewordene Sicherheitslücken beim Zugriff auf Laufwerke unter Windows wurden in der aktuellen Version von VeraCrypt geschlossen. Bestehende TrueCrypt-Laufwerke und Container können mit VeraCrypt geöffnet und weiterverwendet werden.
Die glaubbare Abstreitbarkeit (plausible deniability) der Existenz von versteckten Betriebssystemen und Laufwerken (Hidden Volumes) ist ein spezielles Feature, dass derzeit nur bei TrueCrypt und dessen Ablegern (Forks) zur Verfügung steht.
Für Windows-Systeme wird auch DiskCryptor als Alternative genannt. Mit dieser Software lassen sich derzeit nur gesamte Partitionen (Laufwerke) verschlüsseln und keine Datei-Container anlegen. Auch für DiskCryptor sind noch keine Sicherheitsüberprüfungen (Audits) bekannt. Die aktuelle Version datiert aus 2014 und es sind aktuell keine neuen Releases geplant.
Alle aufgeführten OpenSource-Festpalttenverschlüsselungsprogramme unter Windows können aktuell leider für die Systemverschlüsselung nicht mit UEFI und GPT-Festplaten umgehen, was aber die Standard-Vorgaben aktueller Hardware sind. Für VeraCrypt steht die entsprechende Erweiterung auf der Agenda, wann das aber möglich sein wird ist noch offen.
Wer auf die Nutzung von UEFI und GPT-Festpaltten angewiesen ist, kann aktuell lediglich auf Microsofts Bitlocker zurückgreifen. Allerdings müssen AnwenderInnen – wie bei allen Cloused Source Programmen – in die korrekte, hintertürenfreie Implementierung der Software vertrauen, ohne das überprüfen zu können.
Unter Linux steht mit dm-crypt in Verbindung LUKS (Unter Verwedung von cryptsetup
) ein leistungsfähiges und performantes Verschlüsselungssystem zur Verfügung, dass direkt in das Betreibsystem (Kernel) integriert wurde. Ähnlich wie bei DiskCryptor lassen sich hiermit allerdings keine Datei-Container erzeugen. Tutorials für die Verschlüsslung mit dm-crypt finden sich für u. a. für Ubuntu, Mint , ArchLinux , Gentoo , Fedora und OpenSUSE . Bei der Einrichtung einer Komplettverschlüsselung und insbesondere bei der Verwendung von SolidState-Drives (SSDs) sollte darauf geachtet werden, dass die Daten beim Ruhezustand (Hibernate) auf die Platte geschrieben werden (Supend to Disk).
Unter MacOSX steht neben TrueCrypt das von Apple bereitgestellte und nicht-quelloffene FileVault2 zur Verfügung. Im Gegensatz zur Vorgängerversion ist die Implementierung aus Sicherheitsapekten deutlich verbessert worden. Eine Hintertür kann – wie bei allen nicht-quelloffenen Cryptosystemen – allerdings nicht ausgeschlossen werden. Vorsicht ist beim Upgrade des Betriebssystems über den Market geboten: Einige der aktuellen Installer, welche die Daten über das Netz laden, erkennen verschlüsselte Partitionen nicht, so dass bei einem Upgrade ernsthaften Probleme auftreten können (u. a. hängt das Upgrade in einer Schleife fest und lässt sich erst installieren, nachdem FileVault2 entfernt wurde). Aufgrund einer schweren Sicherheitslücke bei den USB-Anschlüssen , waren die Passwörter der verschlüsselten Partitionen kurzzeitig auslesbar.
Dateiverschlüsselung
Für Linux-Systeme kann für die Dateiverschlüsselung GnuPGP , OpenSSL , aescrypt und cccrypt verwendet werden.
Ein Wort zur Vorsichtig: Die OpenSSL Implementierung des symmetrischen Verschlüsselungsalgorithmus AES (Advanced Ecryption Algorithm) ist für zeitbezogene Angriffe auf den Zwischenpuffer (cached timing attacks) verwundbar. Dieser Angriff ist unter der Abkürzung CREAM bekannt geworden.
Unter Windows Systemen kann AESCrypt für die Dateiverschlüsselung oder GnuPGP for Win eingesetzt werden.
MacOSX-Nuzter*Innen können über FileFault, die integrierte Verschlüsselung von Apple, Container anlegen und in diesen Dateien ablegen . FileFault ist allerdings nicht quelloffen, weshalb keine zuverlässige Aussagen über die Vertrauenswürdigkeit und Sicherheit der Implementierung getroffen werden können. Alternativ bietet sich AESCrypt an.
Festplatten-Eraser: Sicherer Löschen
Für das Sichere Löschen von Dateien stehen unter Linux eine Reihe von Werkzeugen bereit. Dazu zählen unter anderem shred
, wipe
und srm/sfill
.
Erfahrende MacOSX-Nuzter*Innen können das Komandozeilenwerkzeug (Terminal) srm
nutzen. shred
kann über die Paketverwaltung homebrew nachinstalliert werden.
Unter Windows steht mit Eraser (Heidi Eraser) ebenfalls ein quelloffenes, freies Werkzeug für das Sichere Lösche von Dateien zur Verfügung. Eraser erlaubt es, zeitlich versetzte Aufgaben für das sichere Löschen zu definieren, da die zahlreichen angebotenen Verfahren teilweise die Festplatte ziemlich beanspruchen können. Eine deutsch-sprachige Anleitung findet sich unter http://www.datenfeger.de/eraser-anleitung/ .
Mit BleachBit lassen sich unter Windows, MacOSX und Linux allgemeine Datenspuren, wie etwa Browser-Cookies oder temporäre Dateien beseitigen.
Weiterführende Links
Videoerklärung von AES , in englisch
Videoerklärung von HMAC-Algorithmen , in englisch
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty 13. April 2016, 19.00 Uhr
„Keiner soll es erraten“ – Datei- und Festplattenverschlüsselung
Der Einzug von Digitalkameras und deren Verfügbarkeit in Smartphones haben die Zahl von Fotografien und Videos nachgerade explodieren lassen. In Schule und Studium lesen und studieren wir digitalisierte Texte, sammeln unsere Notizen oder tauschen mit Mitschüler*Innen Dokumente aus. Im Berufsalltag sind digitale Dokumente und Datenbanken längst integraler Bestandteil täglicher Arbeit. Wie lässt sich erreichen, das diese Informationen zuverlässig vor unerwünschten Zugriffen sicher sind?
Cloud-Speicher gelten vielen als idealer Aufbewahrungsort für ihre Daten; überall und jederzeit verfügbar wenn Zugang zum Internet besteht, automatisierte Backups durch die Betreiber inklusive. Spätestens seit den Dokumenten von Snowden und den jüngeren Sicherheitslecks bei großen IT-Konzernen taucht die Frage auf: Wie können private Notizen, Fotografien, Videos und sonstige Dokumente auch in der Cloud geschützt werden?
Bereits im vergangen Jahr hat der Chef des FBI unterstellt, dass die Verschlüsslung der Inhalte auf Smartphones von Apple oder mit Android wirksame Aufklärungsarbeit verhindern würde. Unlängst wurde ein Anlauf unternommen, Apple mit juristischen Mitteln zur Umgehung ihrer Schutzmechanismen zu zwingen. Mit der Begründung, des Antiterrorkampfes wird auch in Europa von einigen Sicherheitsbehörden und Regierungen die Schwächung von Verschlüsselung und der mögliche Zugriff durch Ermittlungsbehörden gefordert. Diese Versuche seitens der Behörden Verschlüsslung zu schwächen oder durch Hintertüren ad absurdum zu führen, wird von Aktivsten*Innen als CryptoWar bezeichnet.
2015 wurden hochspezialisierte Trojaner entdeckt, z. B. von der sogenannten Equation Group, die sich tief in die Steuerungssoftware von Festplatten (Firmware) integrieren, und damit auch eine komplette Neuinstallation des Betriebssystems überlebt. Seit Monaten boomt das kriminell Geschäftsmodell Verschlüsselungstrojaner auf den Systemen seiner Opfer zu platzieren, dort alle Daten zu verschlüsseln und für die Entschlüsselung Lösegeld zu erpressen.
Ist angesichts des tobenden CryptoWars und der zunehmenden Risiken durch Trojaner und vergleichbare Maleware ein wirksamer Schutz der eigenen Daten überhaupt noch denkbar?
Antworten auf diese Fragen werden unter dem Begriff „Digitale Selbstverteidigung“ diskutiert. Ein Teil davon ist Datei- und Festplattenverschlüsselung mit der sich die Verletzung der Privatsphäre wirksam verhindern lässt.
Über Möglichkeiten und Grenzen sowie den konkreten Einsatz von Festplatten- und Dateiverschlüsselung, aber auch Fallstricke, die es zu vermeiden gilt, wollen wir Sie auf unserer kommenden CryptoParty informieren. Wir laden Sie dazu herzlich am Mittwoch, den 13. April um 19 Uhr in das Sublab im Westwerk ein. Für den praktischen Teil ist es empfehlenswert, seinen eigenen Laptop mitzubringen.
Wann : – ,
Wo :
Crypto in a nutshell – Programme, Materialien, Links
Materialien
Hier ist der Link zu unserer Präsentation.
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Überwachungskapitalismus
Die zunehmende Zahl datengetriebener Geschäftsprozesse und die lückenlose Vernetzung und Überwachung des Alltags haben dazu geführt, dass einige Daten als neue Ressource des 21. Jahrhunderts mit dem Rohstoff Öl vergleichen.
Unabhängig davon, was von diesem Vergleich zu halten ist, wird die Frage diskutiert, ob Big-Data-Geschäftsmodelle mit speziellen oder spezialisierten Verwertungs- und Kommerzialisierunglogiken einhergehen.
Diese Frage ist insbesondere im Hinblick auf die Konsequenzen für Grundrechtsfragen, wie dem Recht auf Privatheit im digitalen Zeitalter und im weiteren Sinne auch dem Konzept des Datenschutzes von Belang.
Die Ökonomin Shoshana Zuboff prägte in ihrem Essay Big Other: Surveillance Capitalism and the Prospects of an Information Civilization erstmal den Begriff des Überwachungskaptialismus. Das Essay stellt einen Versuch dar, die ökonomischen Logiken hinter dem Geschäftsmodell Big-Data näher zu beschreiben.
Ziel von Überwachungskapitalisten soll nicht nur Marktkontrolle durch den Ausbau von Marktvorherrschaft (Hegemonie) sein, sondern auch die Manipulation menschlichen Verhaltens zur Steuerung des Konsums. Überwachungskapitalismus beschreibt insofern den Zustand der Kommerzialisierung der Bewegungen des täglichen Lebens.
Unter dem Begriff nudging, der erstmal in der Verhaltensökonomie diskutiert wurde, werden all jene Versuche zusammengefasst, Verhalten von Menschen auf sanfte Weise zu beeinflussen. Die Manipulation soll dabei möglichst als freiwillig und für die Manipulierten als nutzenstiftend erlebt werden. Nudging kann mit Ergebnissen von Big-Data-Analysis kombiniert werden, wird als Big Nudging beschrieben und findet etwa bei Experimenten Sozialer Netzwerke Anwendung.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
Android/iOS: Signal – Verschlüsselter Messenger mit Ende-zu-Ende-Verschüsselung. Erlaubt auch verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern.
iOs: Focus blockiert nicht erwünschte Inhalte (Werbung, JavaScript, Viren/Würmer/Trojaner in Websiten) auf iPhones.
Android/iOS: ChatSecure – Ermöglicht verschlüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: Conversations – Ermöglicht verschlüsselten Online-Chat (PlayStore, FDroid)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen erlaubt Ende-zu-Ende-Verschlüsselung auch für Gruppenchats. CryptoCat setzt das OMEMO-Verfahren ein, dass bestimmte Aspekte des OTR-Protokolls weiter entwicklen möchte.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Crypto in a nutshell – Security Surival Guide 12. April 2016
Wann : – ,
Wo :
Cryptoparty 13. April 2016
Wann : – ,
Wo :
Öffentliches Plenum, 20. April 2016, ADI
Am Mittwoch, den 20. April 2016, findet unser nächstes reguläres, öffentliches Plenum in unserem Winterinterim, der
Autodidaktischen Initiative , statt zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: Autodidaktischen Initiative e. V., Georg-Schwarz-Straße 19, 04179 Leipzig
Agenda:
Filmabend Democracy
Retrospektive März
Projektmanagement Konferenz der Verfolgten
Basisförderung, Status
Smart City Leipzig
CryptoCon16, Status
CryptoParty med. Fachschule, Status
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
DEMOCRACY – Im Rausch der Daten
04. MAI 2016 / 19 Uhr / Kinobar Prager Frühling Filmvorführung und Diskussion
“DEMOCRACY – IM RAUSCH DER DATEN” ist der erste Dokumentationsfilm über europäische Gesetzgebungsprozesse. In Brüssel begleitet der Regisseur David Bernet zweieinhalb Jahre lang die konservative EU-Kommissarin Viviane Reding und den jungen Grünen-Abgeordnete Jan Philipp Albrecht (MdEP) bei ihrem Kampf um ein europäisches Datenschutzgesetz. Ein Ringen um politischen Einfluss, dessen Ausgang die Privatsphäre aller EU-Bürger betrifft.
Diskussion mit:
Mitgliedern vom Bündnis Privatsphäre Leipzig e. V.
Marcel Bäck, Sprecher der grünen Landesarbeitsgemeinschaft (LAG) Europa und Internationales
Moderation: Stephanie Wiedner, grüner KV Leipzig
Eintritt:
3 € für alle
Wo:
Kinobar Prager Frühling, Bernhard-Göring-Straße 152, Haus der Demokratie, 04277 Leipzig
Eine Veranstaltung des Kreisverbandes BÜNDNIS 90/DIE GRÜNEN Leipzig
Wann : – ,
Wo :
Öffentliches Plenum, 3. Mai 2016, sublab
Am
Dienstag , den 3. Mai 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Planung “Verfolgtenkonferenz”
CryptoCon, Stand und Status, Aufgaben
Beteiligung an der Podiumsdiskussion zu Democracy – Im Rausch der Daten, Absprachen
Unser Beitrag zum Papier für Smart Cities
Absprachen zur Cryptoparty am 11. 5. 2016
kurzer Bericht von der Cryptoparty in der medizinischen Fachschule
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
CryptoParty 11. Mai 2016, 19.00 Uhr
„Das können wir selber” – Alternative Soziale Netzwerke und Cloudsysteme
Total vernetzt im »Walled Garden« sind wir nie allein. Daten – unsere Daten – sind zur Grundlage von Geschäftsmodellen geworden, die im Ergebnis über soziale Graphen und die Analyse von Beziehungsnetzwerken zur Bildung von Profilen verwendet werden. Über viele Jahre angereichert und verfeinert. Diese Daten sind von hohem Interesse für Werbetreibende und Marketingverantwortliche, für Meinungsforscher und -Macher, aber auch für Nachrichtendienste, wie wir durch die Snowden-Enthüllungen wissen.
Im Wissen um die allgegenwärtige Datensammelei und aus einem damit verbunden diffusen unangenehmen Gefühl geben nicht Wenige in Befragungen an, sich innerhalb dieser Walled Gardens der Facebooks, Snapchats und Googles dieser Welt mehr Privatsphäre zu wünschen, ohne dass dabei aber Funktionalitäten oder Vernetzungsmöglichkeiten eingeschränkt werden sollen. Ein Spannungsfeld das die Forschung als Privacy Paradox beschriebt.
Oft scheint ein Ausstieg aus Sozialen Netzwerken für NutzerInnen undenkbar, wenn Arbeitskollegen, Kommilitonen, Freunde und Familie ihre Freizeit darüber planen und Freundschaftsbande den gesamten Globus überspannen. Mittlerweile vertrauen wir aber nicht nur unseren Alltag sozialen Netzen an, wir laden gleichermaßen Gigabytes an digitalisierten Erinnerungen in zentrale Clouds.
Gibt es jenseits der großen Zentralen Alternativen? Was macht ein Soziales Netzwerk aus? Wie kann ich, ohne eine Cloud der großen Anbieter zu nutzen, von überall auf meine Dokumente oder Fotografien zugreifen und diese teilen? Kann ich selbst ein Soziales Netzwerk betreiben? Erlange ich dadurch mehr Selbstbestimmung und Souveränität im Internet?
Mit diesen Fragen wollen wir uns auf der CryptoParty am 11. Mai ab 19 Uhr im sublab, Karl-Heine-Straße 93, 04229 Leipzig/Westwerk befassen. Wir stellen alternative, föderierte Netzwerke vor, zeigen die Möglichkeiten selbst betriebener Clouds auf, bringen die Verwendung von verschlüsselten Zero-Knowlege-Cloudspeichern näher und demonstrieren den Betrieb eines eigenen Blogs in Grundzügen, jenseits von Tumblr und Medium. Zu einer lebendigen Debatte um das Für und Wider dieser Alternativen und zu deren Kennenlernen durch Ausprobieren laden wir herzlich ein.
Wann : – ,
Wo :
Cryptoparty 11. Mai 2016 – Programme, Materialien, Links
»Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme«
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Für Soziale Netzwerke sollten vor allem die allgemeinen Risiken wie Identitäsdiebstahl und Betrugsfallen berücksichtigt werden. Cloudsysteme können ebenfalls anfällig für Angriffe sein, die Identitäsdiebstahl und Diebstahl von sensiblen Dokumenten oder Fotografien ermöglichen.
Zero-Knowledge-Cloudsysteme und Backups in der Cloud
In Anlehnung an den Zero-Knowledge-Beweis wird der Begriff Zero Knowledge für eine Cloudtechnologie verwendet, die Nutzer*Innen – verglichen mit anderen Cloudsystemen – mehr Privatsphäre versprechen.
Dabei soll der Anbieter gegenüber einem Dritten, z. B. einer staatlichen Behörde, nötigenfalls sogar vor Gericht glaubhaft abstreiten können, Dateien spezifischer Nutzer in ihrem Systemen ausfindig machen zu können.
Der Zero-Knowledge-Ansatz soll dadurch erreicht werden, dass die Dateien bereits auf den Geräten der Nutzer*Innen verschlüsselt werden. Idealerweise kennt der Anbieter den kryptographischen Schlüssel zu keinem Zeitpunkt, mindestens aber nur temporär (Sitzungsschlüssel), da das Verfahren von der Abstreitbarkeit des Zugriffs auf diesen Schlüssel abhängt.
Der von Edward Snowden empfohlene Anbieter SpiderOak bietet einen solchen verschlüsselten Zero-Knowledge Dienst an, der bis zu 2 GB kostenfrei genutzt werden kann. Die Verschlüsselung der Dateien wird auf den Geräten der Nutzer*Innen durchgeführt. Dafür ist eine eigene Software notwendig, die SpiderOak für die gängigen Betriebssysteme, inkl. Tablets und Smartphones anbietet. Der Anbieter gibt an, dass der Zero-Knowledge-Ansatz lediglich für die Desktop-Variante gelte.
Bei der Nutzung über die Website oder mit den mobilen Varianten, soll der Schüssel kurzzeitig im Speicher des Anbieter-Servers gehalten werden. Für diese beiden Anwendungsfällen ist also der Zero-Knowledge-Ansatz eingeschränkt. Die Software, welche die Grundlage (Framework) für den Webzugang liefert , ist als OpenSource verfügbar und kann prinzipiell geprüft werden.
Ein weiterer Nachteil von Spideroak ist, dass weder die Desktop-Software noch die Serverarchitektur als OpenSource eingesehen werden können, auch wenn es Überlegungen des Anbieters gibt, dies eines Tages zu ändern. Nutzer*Innen, die besonderen Wert auf Privatsphäre legen, sollten darüber hinaus die Besonderheiten des Standorts des Anbieters nicht übersehen: Aufgrund des Sitzes in den USA können die Behörden durch einen sog. National Security Letters (NSL) Zugriff auf die gesamte Cloud erlangen, ohne dass der Anbieter diese Informationen an seine Kunden*Innen oder die Öffentlichkeit weiterreichen darf. Die Verschlüsselung der Daten auf den Nutzergeräten dürfte die Zugriffsmöglichkeiten für US-Behörden allerdings erheblich erschweren.
Nutzer*Innen von BSD- und Linux-Systemen können auf Tarsnap zurückgreifen. Tarsnap ist ein Kommandozeilenwerkzeug, dass verschlüsselte Backups mit dem Zero-Knowledge-Ansatz kombiniert. Die Daten werden auf dem Linux/BSD-Gerät verschlüsselt und dann in eine Amazon S3-Cloud übertragen. Die Software wurde noch nicht unter einer OpenSource-Lizenz veröffentlicht, kann aber offenbar auch im Quellcode heruntergeladen werden . Das Bezahlmodell unterscheidet sich von üblichen Abomodellen: Nutzer*Innen zahlen für die gespeicherten Daten und die Übertragung in den Cloudspeicher – die Kosten werden von einem Guthaben-Konto abgezogen. Kritischen Nuzter*Innen dürfte, neben der fehlenden OpenSource-Veröffentlichung, vor allem die Wahl des Cloud-Speichers zumindest nicht geheuer sein. Auch wenn die Daten dort verschlüsselt abgelegt werden: Amazon S3 unterliegt der Zuständigkeit der US-Behörden und kann prinzipiell mit einem National Security Letter (NSL) zur Herausgabe von Daten gezwungen werden. Allerdings betreibt Amazon auch innerhalb Europas Datencenter, um Kunden alternative Speichermöglichkeiten anzubieten. Die externe Verschlüsselung ist grundsätzlich erlaubt und Basis des Tarsnap-Angebots . Solange keine Offenlegung des Quellcodes von tarnsnap unter einer OpenSource-Lizenz erfolgt kann nicht geprüft werden, ob sich keine Hintertüren in der Software befinden. Nutzer*Innen müssen sich, wie bei allen anderen Anbietern, auf die richtige Implementierung der Verschlüsselung und die Integrität des Anbieters verlassen.
Nutzer*Innen von Cloudspeichern ohne Zero-Knowledge-Funktionalitäten können die OpenSource-Backup-Lösung duplicity (Linux, Kommandozeilenwerkzeug), deja dup (Linux, grafisches Oberflache) oder Duplicati (Windows) nutzen. Diese Backup-Software verschlüsselt die Daten auf dem eingesetzten Rechnern, bevor diese dann in den Cloud-Speicher übertragen werden.
Alternative Cloudsysteme
In den letzten Jahren sind zu den großen Cloudanbietern auch freie OpenSource-Lösungen entstanden, die Nutzer*Innen mit dem entsprechenden Fachwissen in einem Shared-Hosting oder auf einem virtuellem RootServer installieren können.
Wer auf eine zentrale Instanz der Datenhaltung verzichten möchte, kann Dateien direkt mit einem Kommunikationspartner via Syncthing austauschen. Syncthing ermöglicht die Synchronisation großer Datenmengen (z. B. mehrerer geteilter Verzeichnisse) und setzt bei der Übertragung konsequent auf Transportverschlüsselung (TLS). Nutzer*Innen laden dafür eine direkt ausführbare Software auf ihr System, die einen kleinen Webserver startet, der für den Austausch eine einfach zu bedienende Webseite bereitstellt, über die Ordner für die Synchronisation festgelegt und Verbindungen zu anderen Teilnehmern hergestellt werden können. Die Identifikation erfolgt über eine sehr lange, eindeutige Identifikationsnummer, welche die Teilnehmer*Innen am besten über ein anderes sicheres Medium (z. B. verschlüsselte E-Mail oder Messenger-Nachricht) austauschen können. Die Ordner gleichen sich nach Aufbau der Verbindung automatisch miteinander ab. Einmal eingetragene Teilnehmer können auch gespeichert werden. Für Android-Systeme steht mittlerweile auch eine App zur Verfügung, so dass Syncthing für das Backup von Smartphones und Tablets verwendet werden kann. Aufgrund der vergleichsweise hohen Übertragungsraten positioniert sich Syncthing als konsequent verschlüsselte, quelloffenen Alternative zu kommerziellen, geschlossenen Angeboten wie etwa bitsync .
Das Owncloud -Projekt bietet über den Dateiaustausch hinaus viele Features an – ansonsten häufig nur bei den Internetriesen vorzufinden –: Kalender und Kontakte, Fotogalerien und vieles mehr. Die Daten können auch aus einem anderen Speichersystem in die Owncloud integriert werden – sogar aus dem eigene Heim-NAS (Network Attached Storage). Owncloud ist in der Lage die Daten zu speichern und verschieden dort angemeldeten Nutzer Zugriff zu gewähren. Dateien und Verzeichnisse können auch über extern verfügbare Links geteilt werden, wobei der Zugriff zusätzlich über ein Passwort geschützt werden kann. Schließlich bietet Owncloud die Möglichkeit andere Ownclouds miteinander zu vernetzen (föderiertes System). Das verwendete Verschlüsselungsverfahren steht allerdings in der Kritik und soll erste ab Version 9 verbessert werden.
Seafile stellt eine Alternative zu Owncloud dar, vor allem, wenn lediglich die Möglichkeit des Datenspeicherns und -austauschens gewünscht wird. Seafile bietet die Möglichkeit verschlüsselte Ordner als Container anderen zur Verfügung zu stellen. Seafile bietet Desktop-Clients, die die Daten direkt auf dem eigenem Rechner verschlüsseln (Client-Side-Encryption).
Sowohl für Seafile , als auch für Owncloud steht Software zur Verfügung, die auf einem Rechner installiert werden kann und die die Synchronisation von Dateien auf komfortable Weise im Hintergrund übernimmt. Für beide Systeme sind zudem Apps verfügbar, die einen Zugriff auf die Daten über Smartphones und Tablets erlauben.
Blogs und Microblogs
Blogs
WordPress hat sich in den letzten Jahren von einer Defacto-Software für Blogger zu einem sog. Content-Management-System entwickelt und stellt auf diese Weise tausende Sites im Netz bereit. WordPress fällt vor allem durch die vergleichsweise einfache Installation und Nutzung auf. Bei den meisten Anbietern von Shared-Hosting oder virtuellen RootServern lässt sich WordPress in der Regel problemlos installieren.
Für WordPress stehen zahlreiche Themes und Plugins zur Verfügung, die Blogger*Innen oder Seitenbetreiber*Innen dabei unterstützen, der eignen Individualität im Netz Ausdruck zu verleihen und bieten Möglichkeiten diese zu vernetzen. Der Vorteil beim sog. Self Hosting besteht vor allem darin, dass Blogger*Innen die Rechte über ihre Inhalte nicht über Allgemeine Geschäftsbedingungen und unter den Prämissen des US-Rechts an den Anbieter der Plattform übertragen und so einen wesentlichen Teil der Hoheit über ihre im Netz veröffentlichten Inhalte behalten.
Als Alternative zu WordPress kommen häufig schlankere, reine Blog-Systeme zum Einsatz. In den vergangen Monaten hat Ghost für Furore gesorgt. Anders als WordPress steht der Fokus hier vor allem auf dem Schreiben und der Veröffentlichung von Artikeln. Allerdings ist die Software derzeit noch nicht bei jedem Hosting-Anbieter ohne weiteres installierbar, auch wenn das dafür einsetzte Basissystem node.js in der jüngeren Vergangenheit an Verbreitung gewonnen hat.
Schließlich gibt es noch die Möglichkeit ein Blog oder eine Website auf der Grundlage von Textdateien, die einem bestimmten Format (Markdown) entsprechen, auf dem eigenen Rechner genieren zu lassen. Die entstandene, statische Website, die dann keinerlei Datenbanksystem mehr benötigt, kann dann auf den eigenen Server hochgeladen werden. In den letzten Jahren sind zahlreiche static site generators entstanden. Einer der bekanntesten ist noch immer jekyll .
Microblogs
Unter einem Mircobloggingdienst versteht man im allgemeinen einen Dienst der die Veröffentlichung von Kurzbeiträgen ermöglicht. Die Grenzen zwischen Sozialem Netzwerk und Microblogging ist dabei häufig fließend.
Zu den Microblogs, die Nutzer*Innen im Selfhosting betrieben können, oder für die es zumindest freie Accounts gibt, zählen z. B. GnuSocial (früher Status.Net) und pump.io , die beide einen föderierten Ansatz verfolgen, d. h. versuchen verteilte Installationen miteinander zu vernetzen.
GnuSocial unterstützt Nachrichten mit einer Länge von 1024 Zeichen. Diese Beiträge werden Queets genannt. Queeterer haben zudem die Möglichkeit Bilddateien in ihre Kurzmitteilung hochzuladen. GnuSocial bietet außerdem die Möglichkeit Links in Queets automatisch zu kürzen (URL-Shortener). Über Schlagworte (Tags) kann sich ein Nutzer in einem Profil selbst beschreiben. Queets können Standortinformationen enthalten. Diese Option ist – abhängig von der verwendeten Installation – standardmäßig nicht aktiviert. Das Profil bietet Nutzer*Innen zudem die Möglichkeit der Selbstbeschreibung (Biografie) an. Außerdem kann eine Website als Adresse hinterlegt werden. Impressum und vergleichbare Angaben sind nicht vorgesehen.
GnuSocial kann unter GnuSocial.de ausprobiert werden. Da GnuSocial das OStatus-Protokoll versteht, sind Apps verfügbar.
pump.io stellt eine sehr klare, moderne Weboberfläche zur Verfügung, die an Twitter erinnert. Anders als bei Twitter ist die Länge der Nachrichten nicht auf 140 Zeichen begrenzt. pump.io hat verschiedene technischen Protokolle zusammen getragen, die prinzipiell einen breiten Einsatz ermöglichen und auch die Probleme föderierter Netze zu adressieren versuchen. Da pump.io das ActivityStreams-Protokoll implementiert hat, kann es über entsprechende Apps auch dazu verwendet werden sportliche Aktivitäten, gehörte Musik oder Check-Ins an bestimmten Orten zu veröffentlichen und zu protokollieren. Inwieweit diese Möglichkeiten außerhalb von experimenteller Arbeit im Rahmen von Hacktivismus einer größeren Netzöffentlichkeit zu kommen werden, ist bisher schwer einschätzbar.
pump.io -Nutzer*Innen stehen für Android die Apps Puma und Impeller zur Verfügung, die über den FDroid-Store bezogen werden können. Für Desktop-Geräte machen die beiden Anwendungen Pumpa und Dianara derzeit den besten Eindruck.
Alternative ›Soziale Netzwerke‹
Wenngleich pump.io und GnuSocial durchaus auch als Soziale Netzwerke aufgefasst werden können, gibt es daneben auch weitere föderierte Ansätze, die explizit auf den Anspruch eines sozialen Netzwerkes hinarbeiten.
Unter föderiertem Ansatz wird im Zusammenhang mit Sozialen Netzwerken an dezentrale, verteilte, unabhängige Systeme gedacht, die sich bei Bedarf miteinander verbinden. Anders als bei den großen Rechnerverbünden (Cluster, Clouds) in den DataCentern von Facebook, Google und Twitter werden die Daten der Nutzer*Innen hier nicht in einem zentralisierten Datensilo gespeichert. Prinzipiell können also wenige Nutzer*innen einen bestimmten Zirkel sogar auf einer eigenen Instanz (Server, Pod, Host) abbilden. Es gibt sogar Verfahren, die ohne Rechner (Server, Hosts) im Netz auskommen und die Teilnehmer*Innen direkt miteinander verbinden (Peer-to-Peer).
Die aus Nutzer*Innensicht einfachste Variante ein Soziales Netzwerk aufzubauen ist der Einsatz von Retroshare . Retroshare ist eine Software, die auf dem eigenen Gerät installiert wird und die über ein verteiltes Verfahren, eine sog. Verteilte Hashtable (DHT), die Vernetzung direkt zwischen den Teilnehmen realisiert (Peer-To-Peer, P2P). Wenngleich die Benutzeroberfläche etwas in die Jahre gekommen wirkt, bietet Retroshare Instant-Messaging, Mailing, Voice-over-IP, Dateiaustausch und sieht sogar die Führung verteilter Foren vor. Identität wird in Retroshare über einen OpenPGP-Schlüssel abgebildet, den Freunde untereinander austauschen können. Diese Schlüssel werden in der verteilen Hashtabelle abgelegt. Für die Verschlüsselung nutzt RetroShare nach der Identifkation der beteiligten Kommunikationspartner eine modifizierte Version von OpenSSL. Der Austausch großer Dateien über Retroshare braucht Geduld, da die Übertragung aufgrund der Peer-To-Peer-Verbindung und der meist asymmetrischen Anbindung der Teilnehmer, einige Zeit in Anspruch nehmen kann. Das RetroShare-Team sucht derzeit händeringend nach Entwicklern, um die Software weiter zu entwickeln. Ein Prüfung der kryptografischen Elemente des Systems (Audit) hat bisher nicht statt gefunden.
Friendica ist ein umfassendes, verteiltes Soziales Netzwerk. Neuen Nutzern können in der Dokumentation eine Einführung konsultieren.
Ähnlich wie bei Facebook können Nutzer detaillierte Informationen zu ihren Vorlieben, Interessen und ihren Beziehungen angeben. In den Beiträgen ist es möglich Hyperlinks, Bilddateien, Video und Klangdateien einzubinden. Wie Facebook oder Twitter bietet Friendica die Möglichkeit, Schlagworte in den Beiträgen über Hashtags zu kennzeichnen. Wie bei Facebook ist die Möglichkeit gegeben über einen Kalender Ereignisse zu teilen oder anzulegen. Zudem können persönliche Notizen verfasst werden. Nutzer können ihre Kontakte über Gruppen organisieren oder diesen Beitreten. Ein IRC-Chat kann direkt integriert werden. Community Pages und Friendica Forums runden die Möglichkeiten ab. Die Standardoberfläche wirkt aus heutiger Sicht etwas angestaubt. Allerdings bietet Friendica Betreibern die Möglichkeit Themes zu installieren oder diese selbst anzupassen. Plugins erlauben ferner andere Dienste einzubinden. Die Verbindung zu Facebook (Facebook Connector) wurde vor Kurzem abgeschaltet, da Facebook die eigenen Schnittstellen so verändert hat, dass ein sog. Crossposting aus Friendica heraus nicht mehr möglich ist. Kritiker loben immer wieder die einfache Installation von Friendica .
Das Projekt Diaspora* wurde im Jahr 2015 als Crowdfunding-Projekt unter dem Eindruck der starken Expansion von Facebook ins Leben gerufen. Nach zwei Jahren Entwicklungsarbeit haben die ursprünglichen Entwickler Diaspora* dann der Open-Source-Gemeinde übergeben. Seither wurde das Projekt kontinuierlich weiterentwickelt.
Anders als bei den üblichen Sozialen Netzwerken ist Diaspora* auf Datensparsamkeit ausgelegt. Das Profil verlangt, verglichen mit vielen andren Sozialen Netzwerken, kaum Angaben zur eigenen Person (Selbstbeschreibung/Biografie, das Gender/Geschlecht wurde bewusst als Eingabefeld definiert). Diese Einschränkung verhindert einerseits die Suche nach Nutzer*Innen über Merkmale, trägt aber der Privatsphäre der Nutzer Rechnung.
Nachrichten könne im Markdown-Format eingegeben werden, so dass etwa Links oder Formatierungen innerhalb von Beiträgen möglich werden.
Ähnlich wie bei Google+ (Kreise) oder Facebook (Gruppen) haben Nutzer*Innen die Möglichkeiten ihre Kontakte in sog. Aspekten zu organisieren. Die Sichtbarkeit bestimmter Beiträge kann so je nach Kommunikationskontext getrennt werden. Links werden, ähnlich wie bei Facebook, mit einer Vorschau eingebunden. Hashtags haben bei Diaspora* eine zentrale Bedeutung. Nutzer*Innen sind in der Lage die Kommunikationsströme, die mit diesen Schlagworten arbeiten, zu abonnieren.
Kritiker haben sehen bei Diaspora* vor allem die relativ komplexe Installation als Hürde, die sich aus den eingesetzten Technologien ergibt. Die Anforderungen eines Hostings sind dadurch erhöht, was als Widerspruch zu dem ursprünglichen heeren Ziel eines dezentralen Systems, bei dem jeder Nutzer seine eigene Instanz (Pod) betreibt, aufgefasst wurde. Hier lohnt sich eine vorsichtige Evaluierung.
Für Friendica existieren eine Reihe von Apps die das OStatus-Protokoll von GnuSocial unterstützen. Mit dem Android Client for Friendica existiert auch eine Android-App die speziell für Friendica Nutzer*Innen ausgelegt ist. Die Diaspora* Entwickler wollen keine zu hohen Erwartungen bei den Apps schüren. Android-Nutzer können allerdings die App Pusteplume ausprobieren.
Als vielversprechender Ansatz für eine sinnvolle Realisierung verteilter, dezentraler Vernetzung wird aktuell Etherum diskutiert. Dabei wird die dezentrale Datenbank der Bitcoin-Währung, die sog. Blockchain zu einer dezentrale, verteilte Infrastruktur weiterentwickelt, auf der nicht länger nur eine Währung übertragen werden kann, sondern auf deren Basis verteile Soziale Netzwerke oder Messaging-Systeme denkbar werden.
Weiterführende Links
Jeff Reifmann hat sich in seinem Artikel mit alternativen Sozialen Netzwerken u. a. mit Diaspora*, Pump.io und GnuSocial befasst.
Die Wikis der Alternativen Sozialen Netzwerke bieten häufig detaillierte Installationsanleitungen. Eine sorgfältige Vorbereitung lohnt sich, um sicher zu stellen, dass der verwendete Hosting-Anbieter die notwendigen Voraussetzungen auch erfüllt.
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 11. Mai 2016
Wann : – ,
Wo :
Öffentliches Plenum, 17. Mai 2016, sublab
Am
Dienstag , den 17. Mai 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Retro zur CryptoParty vom 11.05.2016
Unser Beitrag zum Papier für Smart Cities: Statusbericht und Vorbereitung zum Workshop bei der CryptoCon
Status Kampagne Verfolgungsprofile
CryptoCon, Stand und Status, Aufgaben
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Heute beginnt die CryptoCon16
Heute beginnt die CryptonCon16, eine Vortrags- und Workshop-Reihe zum sicheren Umgang mit den eigenen Daten, sicherer Kommunikation und den Herausforderungen für das Zusammenleben in der digitalen Gesellschaft. Sicherheitstechnische Aspekte werden dabei ganauso wie Rechts- und Regulierungsfragen oder Datenschutz und Privatsphäre thematisiert.
Eröffnet wird die CrpytoCon16 um 18 Uhr im sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig mit einem Opening.
Anschließend sind folgende orträge mit anschließender Fragerunde vorgehsenen (Achtung! Programmänderung ):
ca. 18:30 Andreas Schurig, Sächsischer Datenschutzbeauftragter
Europäische Datenschutzgrundverordnung? Welche Auswirkungen gibt es auf die sächsische Datenschutzgesetzgebung und -Praxis?
ca. 19:15 Prof. Wolfgang Kleinwächter, Professor für „Internet Policy and Regulation“ an der Universität Aarhus, ehm. ICANN-Director
Was wollen die Regierungen im Internet? Neue Entwicklungen in der internationalen Internetregulierung im Lichte von G7, G20 und BRICS.
Der Eintritt ist frei.
Weitere Informationen:
Programmübersicht mit Highlights
CryptoCon16 Website
Programm im Konferenzsystem
Wann : – ,
Wo :
CryptoCon16: 2. Tag – Highlights
Am 2. Tag der CrytoCon16 sind im Cineding zu Gast und zeigen ab 19 Uhr einen Dokumentarfilm. Anschließend findet im Sublab die Keynote statt. Die sub:lounge und
Alice’ and Bobs Crypto Fashion Show runden den 2. Tag ab.
19:00 // Film: The Internet’s Own Boy , Cineding, Karl-Heine-Str. 83, 04229, in Kooperation mit dem Mitteldeutschen Internetforum des Medienstadt Leipzig e. V. (Eintritt: 5€)
21:00 // Keynote mit einem Vertreter des Peng! Collectiv
22:00 // sub:lounge / Alice and Bobs Crypto Fashion Show
The Internet’s Own Boy
The Internet’s Own Boy erzählt die Geschichte des Hacktivisten Aaron Swartz, der früh als Programmierer-Wunderkind gehandelt wurde. Mit seiner Mitarbeit bei der Entwicklung des Web-Feed-Formates RSS bis hin zu seiner Beteiligung bei der Gründung von Reddit hat Aaron Swartz bis heute überall im Internet Spuren hinterlassen.
Sein Eintreten für soziale Gerechtigkeit und freien Zugang zu Informationen im Netz endete für den sensiblen Aktivsten allerdings in einen juristischen Albtraum mit fatalem Ausgang.
Der Film wurde 2014 auf dem Sundance Film Festival uraufgeführt. Wir zeigen eine Fassung mir deutschem Voiceover.
Peng! Collective
Wir freuen uns sehr darüber, dass wir heute einen Peng! – Aktivisten für die Keynote gewinnen konnten.
Peng! beschreibt ihre Mission wie folgt:
Most of the time Peng! is a collective of smart and silly people producing creative political stunts and enriching campaigns with subversion, humour and civil disobedience.
Peng! wurde unter anderem über ihre Kampangen Deutschland sagt Sorry , Tortaler Krieg , Intellexit und Google Nest bekannt.
Weitere Informationen:
Programmhinweis des Cineding zu The Internets Own Boy
Programmübersicht mit Highlights
CryptoCon16 Website
Programm im Konferenzsystem
Wann : – ,
Wo :
CryptoCon16: 3. Tag – Highlights
Am 3. Tag der CrytoCon16 werden zahlreiche Vorträge und Workshops angeboten. In der
CryptoSprechStunde sind wir offen für euer Fragen und geben praktische Tips zu Digitaler Selbstverteidigung, Verschlüsselung, Datenschutz und -sicherheit.
12:00 bis 23:00 // Vorträge und Workshops
12:00 bis 20:00 // Cryptosprechstunde : Fragen stellen und Hilfe bekommenThe Internet’s Own Boy
Vortrag: Wenn Big Data tödlich ist
Unter dem Motto „Die Drohnenkriege – Vom Krieg gegen den Terror zu den Roboterkriegen der Zukunft?“ wird eine Einführung angeboten und erklärt, wie der Drohnenkrieg derzeit technisch und politisch funktioniert, was die gesellschaftlichen und sicherheitspolitischen Hintergründe sind und bietet einen Ausblick auf künftige Entwicklungen. Internationale Institutionen und Normen sowie humanitäre Rechtsordnungen erodieren beschleunigt unter dem Druck der unbemannten und automatisierten Kriegsführung.
Vortrag: Privatheitsschutz, Hannah Arendt und die “glücklichen Wenigen”
Dass unsere Privatheit schützenswert ist, wird nicht erst seit den Enthüllungen der letzten Jahre durch diverse Whistleblower diskutiert. Was dieses Schützenswerte genau ist, scheint jedoch gar nicht so eindeutig zu sein. Von staatlichen Stellen wird dabei manchesmal gar behauptet, Privatheit sei abzuwägen gegenüber anderen Gütern wie z.B. Sicherheit. Im Vortrag wird in einem ersten Schritt versucht, Privatheit als Begriff zu greifen. Hierzu wird u.a. auf den Privatheits- und Öffentlichkeitsbegriff der Philosophin Hannah Arendt Bezug genommen. Die Bestimmung des Privaten hängt eng mit der Frage zusammen, warum dieses “Etwas” geschützt werden soll, und ob es sich nicht eigentlich nur um ein Mittel handelt, das der Sicherung anderer Abstrakta wie Freiheit, Autonomie und Authentizität dient. In einem zweiten Schritt wird die These erötert, ob Privatheitschutz kein Recht ist,sondern eher nur Angehörigen bestimmter gesellschaftlicher Gruppen zukommt. Hierzu wird zum einen der historische Kontext betrachtet – von wem und unter welchen Umständen wurde Privatheitsschutz gefordert? -, zum anderen werden aktuelle Praktiken von Unternehmen beleuchtet.
Weitere Informationen:
CryptoCon 16- Aufzeichnung der Vorträge (Recordings)
Programmhinweis des Cineding zu The Internets Own Boy
Programmübersicht mit Highlights
CryptoCon16 Website und Lifestream
Programm im Konferenzsystem
Wann : – ,
Wo :
CryptoCon16: 4. Tag – Highlights
Am 4. Tag der CrytoCon16 stellt sich im Rahmen des Junghakertags
Jugend hackt vor. Weitere Vorträge und Workshops runden die CryptoCon ab. In der
CryptoSprechStunde sind wir offen für euer Fragen und geben praktische Tips zu Digitaler Selbstverteidigung, Verschlüsselung, Datenschutz und -sicherheit.
12:00 bis 14:00 // Junghackertag (Vortrag und Workshop)
13:00 bis 16:30 // Vorträge und Workshops
12:00 bis 16:00 // Cryptosprechstunde : Fragen stellen und Hilfe bekommen
Vortrag: hoaxmap.org
Die Gerüchteküche hat Hochkonjunktur. Seit vergangenem Sommer werden vor allem im Internet, aber auch offline zunehmend Gerüchte und Falschmeldungen über Geflüchtete verbreitet. Die Themen dieser Gerüchte reichen von Verbrechen über Sozialleistungen, die Geflüchtete angeblicherhalten, bis hin zu Versorgungsengpässen für die Einheimischen. Sind die Falschinformationen erst einmal im Umlauf, lassen sie sich kaum nochaus der Welt schaffen. Seit dem Februar versucht nun das Projekt hoaxmap.org, diese Gerüchte und ihre Widerlegungen im deutschsprachigen
Raum zu sammeln. Dafür werden die einzelnen Gerüchte per Crowdsourcing zusammengetragen und online auf einer Karte dargestellt und regional und thematisch geordnet. Im Vortrag werden das Projekt und das zur Darstellung eingesetzte Exhibit-Framework vorgestellt, aufgetretene Probleme werden erläutert und ein Ausblick auf die weitere Entwicklung des Projekts gewagt.
Workshop: Fetch me if you Can (Kampagne Verfolgungsprofile)
Zusammen mit überwachungskritischen Gruppen aus Berlin und Köln hat der Bündnis Privatsphäre e. V. die Kampagne ›Verfolgungsprofile ‹ ins Leben gerufen, mit der wir ein Bewusstsein schaffen wollen für die Risiken, die mit der Profilbildung durch BigData einhergehen. Die Bevölkerung soll für diese Thema, dass uns alle in den nächsten Jahren massiv begleiten und betreffen wird, sensibilisiert und darüber aufgeklärt werden um selbstbestimmte Entscheidungen treffen zu können. Im Rahmen unseres Vortrags soll die Kampagne vorgestellten sowie die wesentlichen Ziele und Strategien präsentiert und unsere Motivlagen dargelegt werden.
Gleichzeitig wollen wir zu einer in Leipzig geplanten Konferenz einladen, auf der wir – gemeinsam mit mit denen, die es betrifft – der Frage nachgehen wollen, inwieweit beispielsweise Minderheiten, Aktivst*Innen oder Berufsgeheimnisträger*Innen bereits in den Fokus von Profiling auf BigData-Basis rücken und reale Auswirkungen zu spüren bekommen.
Der Workshop soll durch eine Reflektion des Kampangenwerdegangs abgerundet werden. Wir wünschen uns im Anschluss eine anregende Diskussion.
Hinweis: War ursprünglich als Vortrag konzipiert .
Workshop: SmartCity Leipzig
In einer Welt in der Raum und Zeit flüchtig werden, bleibt unsere ständige Bewegung nicht unbeobachtet.
Städter*Innen des 21. Jh. erleben diesen Prozess als Einführung von immer mehr Sensoren und Netzendpunkten, die wir teilweise sogar mit uns führen. Diese Vernetzungstendenz, die durch das “Internet of Things” um immer mehr autarke, automatisch untereinander vernetzte und kommunzierende Systeme erweitert wird, ist unlängst als “allgegenwärtige Datenverarbeitung” oder “ubiquitous computing” beschrieben worden. “ubiquitous computing” ist als Basis datengetriebener Geschäftsprozesse untertrennbar mit der Vision der lückenlose Vernetzung verbunden und findet als undifferenzierter Modebegriff (buzz word) “Smart City” Einzug in neuen Überlegung zur Stadtplanung und -entwicklung.
Die Stadt Leipzig beteiligt sich im EU-Projekt Triangulum. Im Zuge dieses Egangements wurde der Leipziger Westen ist als Werkstatt und Pilotregion vorgesehen um „smarte“ Technologien in der Stadt zu entwickeln und zu erproben.
Der Begriff der “Smart City” ist dabei bisher ebenso wenig klar, wie die Frage des Grades an Vernetzung und der Einführung von Sensorik zur immer ausgedehnteren Erfassung der Bewegungen des täglichen Lebens.
Ein kurzer Vortrag zu “SmartCity” führt in das Thema ein. Anschließend soll im Rahmen dieses Workshops soll alternativer Ansätze und Deutungen zu “SmartCity” von Haus und WagenRat e. V., Bündnis Privatsphäre Leipzig e. V., sublab e. V. u. a. vorgestellt und diskutiert werden.
Weitere Informationen:
CryptoCon 16- Aufzeichnung der Vorträge (Recordings)
Programmhinweis des Cineding zu The Internets Own Boy
Programmübersicht mit Highlights
CryptoCon16 Website und Lifestream
Programm im Konferenzsystem
Wann : – ,
Wo :
Öffentliches Plenum, 31. Mai 2016, sublab
Am
Dienstag , den 31. Mai 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Retro Kommunikation im Bündnis
Retro/Bilanz CryptoCon16
Wie gehen wir mit der anfallenden Arbeit um?
Status Smart City Leipzig
Kampagne Verfolgungsprofile
Abschluss 2015
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum, 7. Juni 2016, sublab
Am
Dienstag , den 7. Juni 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Status Verfolgungsprofile
Vorbereitung Herderfest
Grobplanung und Themen für das zweite Halbjahr 2016
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Herderfest 2016
Am
12. 6. 16 werden wir mit einem Stand beim dritten Straßenfest auf dem
Herderplatz in Connewitz zum Thema „Bezahlbare Mieten und Wohnen“ dabei sein.
Das Fest bietet einen Anlaufpunkt, um über Probleme im Connewitzer Kiez zu diskutieren, sich auszutauschen und gemeinsam nach politischen Lösungen zu suchen. Besonders sollen die Folgen der städtebaulichen Aufwertung und Veränderung des Viertels thematisiert werden.
Die Stadt Leipzig plant die Entwicklung eines Smart City-„Masterplanes“ für die Modellregion „Leipziger Westen“ im Rahmen des EU-Projektes Triangulum. Wir wollen auf dieses Projekt aufmerksam machen und auf die Risiken für die Privatsphäre hinweisen, die wir beim Einsatz „Smarter“ Technologien sehen. Wir stellen Forderungen vor, nach denen SmartCity-Lösungen bewertet werden könnten, bevor sie eingesetzt werden. Denn Folgen dieser Entwicklung werden über kurz oder lang Jede und Jeden betreffen.
Umrahmt wird die Veranstaltung von Initiativen, Vereine und Unterstützer*Innen , die sich vorstellen, außerdem gibt es Aktions- und Infostände. Politische und kulturelle Angebote sowie musikalische Beiträge werden die Veranstaltung abrunden, die 14 Uhr startet und gegen 20 Uhr zu Ende geht. Verpflegung wird angeboten.
Also: Wir seh uns auf’m Platz!
Wann : – ,
Wo :
CryptoParties 2016, 2. Halbjahr
Unsere regulären CryptoParties von Juli bis November starten immer am 2. Mittwochabend im Monat, ab 19 Uhr, im Westwerk,
sublab e. V. , Karl-Heine-Straße 93, Leipzig (Plagwitz). Die Teilnahme ist kostenfrei.
Für Fragen zwischendurch gibt’s auch unser Diskussionsforum , auch Anregungen und Anmerkungen sind dort gern willkommen. Einfach registrieren und loslegen, E-Mail-Adresse genügt ;-).
Termine und Themen
13. Juli 2016: Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet weitere Informationen
10. August 2016: Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP weitere Informationen
14. September 2016: Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs weitere Informationen
12. Oktober 2016: Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung weitere Informationen
09. November 2016: Das können wir selber – Alternative Soziale Netzwerke und Cloud-Systeme weitere Informationen
Warum eigentlich?
Im ersten Halbjahr 2016 sind neue Gesetzesvorhaben auf den Weg gebracht worden, die größere Datensammlungen und umfangreicheren Datenaustausch von und zwischen Geheimdiensten und Sicherheitsbehörden legalisieren werden, eine bisher illegale oder mindestens höchst umstrittene Praxis. Überwachungsbefugnisse werden damit ausgeweitet. Andere Gesetzesvorhaben oder -diskussionen werden die Privatsphäre weiter einschränken, so soll der Verkauf anonymer Prepaid-Telefonkarten in Deutschland gesetzlich unterbunden werden, eine Obergrenze für Bargeldzahlungen wird auf EU-Ebene diskutiert und die Fluggastdatenspeicherung gilt inzwischen auch für innereuropäische Flüge.
Große Teile der Digital-Wirtschaft agieren, nach dem Fall des Safe Habour Abkommens vor dem europäischen Geritshof, auf zweifelhaften Rechtsgrundlagen; erste Bußgeldbescheide deutscher Datenschutzbehörden gegen Unternehmen bestätigen die illegale Praxis. Der von der EU-Kommission vollmundig verkündete Nachfolge des Abkommens – EU-US-Privacy-Shield – ist höchst umstritten, teilweise ist von einer Farce die Rede.
Die europäische Datenschutzgrundverordnung, die den Schutzrahmen für den Umgang mit Daten in Unternehmen und teilweise auch Verwaltungen in Europa als unmittelbar geltendes Recht neu setzt, weist viele Regelungslücken auf (beispielsweise zur Videoüberwachung), hebt aber bisherige Rechtsprechung gleichzeitig teilweise auf und verlangt nach neuer Interpretation durch Gerichte und Richter.
Ungebrochen räumen sich Diensteanbieter weitergehende Rechte zur Verwertung der Daten ihrer Nutzer ein – neben den anfallenden Metadaten auch an Fotos, Texten, Videos, Entwürfen usw.
Nahezu täglich werden erfolgreiche Hackerangriffe publik, bei denen große Mengen von Zugangsdaten kopiert und in Umlauf gebracht worden sind oder zum Verkauf stehen. Oft stellt sich dabei heraus, das die Daten völlig unzureichend gesichert und die eingesetzten Algorithmen überholt sind. Identitätsdiebstahl kann eine für die Betroffenen unangenehme Folge sein.
Den Schutz der eigenen Daten und der Vertraulichkeit ihre Kommunikation müssen die Bürger*Innen unter diesen Vorzeichen selbst in die Hand nehmen. Unter dem Schlagwort „Digitale Selbstverteidigung“ sind die Aktivitäten zusammengefasst, die Jede und Jeder Einzelne gegen den ungesteuerten Verlust der Kontrolle über seine Daten, und damit mindesten einen Teil seiner Autonomie und Persönlichkeit, in Anwendung bringen kann.
Mitmachen!
In praxisorientierter, anwenderfreundlicher und verständlicher Weise informieren wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken und zeigen deren Einsatz.
Am Beginn steht die Frage nach der Bedrohungslage (Threat Model): Wer will wie und wo an meine Daten? Wogegen muss ich meine Daten also schützen? Das erlaubt, zu geeigneten Sicherheitsentscheidungen zu gelangen, zeigt aber auch schon, dass letztlich jeder selber sein Schutzniveau festlegen und finden muss. Oft wird das auf eine Entscheidung zwischen Sicherheit und Bequemlichkeit hinaus laufen.
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Vorkenntnisse sind immer hilfreich aber nicht notwendig.
Wir freuen uns auf euch!
Wann : – ,
Wo :
Wintersemester 2016
Wann : – ,
Wo :
Öffentliches Plenum, 21. Juni 2016
Am
Dienstag , den 21. Juni 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
CryptoParties mit der Uni Leipzig
CryptoParties 2/2016
Status SmartCity Leipzig
kritische Einführungswochen an der Uni Leipzig (CryptoParty)
Kommunikationskultur/-stil im Forum
Grobplanung / Themen 2/2016
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum, 05. Juli 2016
Am
Dienstag , den 05. Juli 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
CryptoParty im Juli 2016
Bündnisinterne Weiterbildung zu unserer Infrastruktur (2/2016)
Status Retrospektive CryptoCon16
Status SmartCity Leipzig
Status Kampagne Verfolgungsprofile
kritische Einführungswochen an der Uni Leipzig (CryptoParty)
Grobplanung / Themen 2/2016 (Meilensteine, Vortragsanfragen etc.)
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Neustart: CryptoParties 2016, zweites Halbjahr
Am
13. 7. 2016, 19.00 Uhr beginnen wir mit dem Thema
„Beobachte mich nicht“ – Sicher Surfen und Anonymisierung wieder mit unserem
CryptoParty-Bogen.
In fünf lose verbundenen Veranstaltungen werden wir Möglichkeiten zur digitalen Selbstverteidigung gegen privatwirtschaftliche sowie staatlicher Massenüberwachung und Datenerhebung zeigen und Hintergründe beleuchten. Details zu den jeweils behandelten Themen und die Veranstaltungstermine finden sich hier.
Täglich hinterlassen wir bei unseren Wegen durchs Netz Datenspuren, unabhängig davon, welche Geräte wir verwenden.
Welche unterschiedlichen Wege der Datensammlung werden dabei verwendet? Können wir diesem permanenten Stalking etwas entgegensetzen? Und falls ja: Wie?
Wie kann ich mein Surfverhalten weniger transparent werden lassen, um meine Privatsphäre zu schützen? Was sollte bei der Auswahl eines VPN-Anbieters beachtet werden? Wie kann ich Tor sinnvoll und sicher einsetzen, um digitale Spuren zu verwischen? Gibt es Wege die Hoheit über meine Daten zu behalten?
Mit diesen und weiteren Fragen werden wir uns am Mittwoch, den 13. Juli 2016, ab 19 Uhr im Sublab/Westwerk beschäftigen. Dazu laden wir herzlich ein.
Für die praktischen Übungen empfehlen wir einen Laptop mitzubringen. Auch Smartphones oder Tabletts können eingesetzt werden, bieten aber nicht in allen Fällen ein adäquates Schutzniveau oder eine empfehlenswerte Alternative. Vorkenntnisse sind wie immer hilfreich, aber nicht notwendig.
Wann : – ,
Wo :
Cryptoparty 13. Juli 2016 – Programme, Materialien, Links
Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt als das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.
Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Das Tor-Browser-Bundle ist ein gehärteter Firefox-Browser, der speziell für das Surfen mit Tor entwickelt und vorkonfiguriert wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI in Kooperation mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.
Es wird empfohlen, Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, das ein für das anonyme Surfen angepasstes Betriebssystem darstellt.
Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben müssen, um Schutz zu gewährleisten.
Personal Virtual Private Network (VPN)
Personal Virtual Private Networks (VPNs ) versprechen ebenfalls die Verschleierung von Metadaten, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Die Nutzer*In baut über eine spezielle Software einen sicheren Kanal zum Anbieter auf, durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.
Wer hartnäckigen Verfolgungstechniken, wie etwa den Perma-Cookies von Internet Service Providern, entkommen möchte, muss auch beim Surfen mit VPNs die TLS-Verschlüsselung der besuchten Webseiten in Anspruch nehmen.
Stichwort CryptoWars : Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren . Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
Self Destructing Cookies ,
Random Agent Spoofer ,
µMatrix (uMatrix).
Weiterführend oder alternaiv bieten sich Erweiterungen an wie:
µBlock Origin (statt µMatrix),
NoScript , (statt µMatrix oder µBlock Origin),
RequestPolicy , (zusätzlich).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 13. Juli 2016
Wann : – ,
Wo :
Öffentliche Plenum, 19 Juli 2016
Am
Dienstag , den 19. Juli 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Retro CryptoParty im Juli 2016
kurzer Bericht zum Interview mit Radio mephisto96.7 zur Anfrage der GRÜNEN-Fraktion „Speicherung personenbezogener Daten im ermittlungs-unterstützenden Fallanalysesystem (eFAS)“
Terminplanung: Bündnisinterne Weiterbildung zu unserer Infrastruktur (2/2016)
Status SmartCity Leipzig
Status Teilnahme an der kritische Einführungswochen an der Uni Leipzig (CryptoParty, etc.)
Grobplanung / Themen 2/2016 (Meilensteine, Vortragsanfragen etc.)
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum, 03.08.2016 (außerplanmäßig )
Unserer nächstes, öffentliches Plenum findet
außerplanmäßig am
Mittwoch , den 03. August 2016, statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V., Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Bericht vom Interview für das Projekt ›Hackerarchive‹
Status Kampange Verfolgungsprofile und künftige Zusammenarbeit mit der Stiftung Bridge
CryptoParty im August 2016
Status SmartCity Leipzig
Terminplanung: Bündnisinterne Weiterbildung zu unserer Infrastruktur (2/2016)
Status SmartCity Leipzig
Status Teilnahme an der kritische Einführungswochen an der Uni Leipzig (CryptoParty, etc.)
Teilnahme an der HU-Veranstaltung ›Geheimdienste vor Gericht‹
Teilnahme an den Datenspuren 2016
Absage des angefragten Vortrags ›Krieg gegen den Terror‹
Abschied eines langjährigen Mitstreiters
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
CryptoParty 10. August 2016, 19.00 Uhr
„Der elektronische Briefumschlag” – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
E-Mails sind noch weit davon entfernt ein antiquiertes Medium aus den Pionierzeiten des Internets zu sein. Im Gegenteil: E-Mail hat den Postweg weitgehend ersetzt und wird oft zum Austausch von Dokumenten eingesetzt und es scheint so, als würden so viele E-Mails geschrieben wie nie zuvor. Noch immer entschieden sich viele bei der Wahl ihres E-Mail-Providers für kostenfreie Angebote. Die Anbieter lesen und analysieren dann allerdings meistens die Inhalte der E-Mails ihrer Kunden um das Angebot über Werbung und den Verkauf von Profilen zu finanzieren.
Anders als bei Briefen, die in einen Umschlag gesteckt werden, sind E-Mails während des Versandes nicht vor neugierigen Augen geschützt, sondern werden als Klartext übertragen. Verschlüsselung ändert das. Sie ist ein funktionierendes Mittel um wenigstens die Inhalte seiner Kommunikation sicher und vertraulich auszutauschen, auch wenn die Massenüberwachung der Verbindungsdaten damit nicht unterbunden wird.
Wir laden Sie am 10. 08. 2016 um 19 Uhr herzlich ins sublab , Karl-Heine-Straße 93, 04229 Leipzig zur CryptoParty ein um Ihren sichere Ende-zu-Ende-Verschlüsselung von E-Mails vorzustellen und deren Einrichtung zu zeigen. Die Erzeugung und Verwaltung der elektronischen Schlüssel wird demonstriert und darüber hinaus erklärt wie eine gute Passphrase gefunden werden kann um den eigenen geheimen Schlüssel zu sichern. Auch deshalb stehen Passwort-Managern mit auf dem Programm.
Zum Einstieg erläutern wir Hintergründe zu E-Mail-Versand und -verschlüsselung. Ein kurzer Überblick über Kriterien zur Analyse der eigenen Bedrohungslage um den nötigen „Verteidigungsaufwand“ einschätzen zu können, rundet unsere Cryptoparty ab. Und natürlich wünschen wir uns eine angeregte Diskussion im Anschluss.
Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht Lerneffekt und Spaß, ist aber keine Voraussetzung. Der Eintritt ist frei, eine Voranmeldung nicht erforderlich.
Wann : – ,
Wo :
CryptoParty 10. August 2016 – Programme, Materialien, Links
Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
Materialien, Programme, Links
Hier ist der Link unseren Folien (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Passwörter und Passwort-Manager
Von Passwort Managern die Passwörter in der Cloud ablegen raten wir ab. Wer auf die Cloud nicht verzichten kann sollte eine auf eigenen Gerät verschüsselte Passwort Manager Datei (in der Regel eine verschlüsselte Datenbank) mit der Cloud seiner Wahl synchronisieren. Um das Risiko von Hintertüren in der Software zu reduzieren, empfehlen wir unbedingt auf quelloffene Password Manager zu setzen.
KeePass : Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum . Der Quellcode findet sich auf der Download-Seite .
MacPass (MacOSX/macOS): Offizelle Webseite des Projektes (englisch). Quellcode bei Github .
KeepassX (Linux): Offizielle Website des Projektes (englisch) mit Dokumentation , Forum und Quellcode.
KeeWeb : Offizele Website des Projekte (englisch).
PasswortSafe : Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org , die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt.
Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Diceware™ ist eine Methode eine Passwort oder eine Kombination von Passwörtern (Passpharse) unter Einsatz eines Würfels zu erzeugen. Dafür gibt es Wörterbuchlisten. Es wird empfohlen entweder einen hochwertigen Würfel (z. B. Casino-Würfel) oder Software einzusetzen, die einen kryptographisch sicherer Zufallszahlengenerator einsetzt. Nach aktuellem Stand gilt eine Passphrase, die auf diese Weise erzeugt wurde mit 8 Wörtern (80 Bit) als eine gute Passphrase , 12 Wörter würden eine starke Passphrase (120 bit) ergeben. Damit ein Passwort genug Entropie bietet, die für ca. ein Jahr standhält muss es min. einer Stärke von 65 bit entsprechen.
Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Nitrokey
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration , (Demovideo, englisch) dazu
Qwertycards
E-Mailverschlüsslung mit GnuPG
GnuPG 2.x Architektur – Aufbau der Verschlüsselungsoftware
Ab GnuPGP Version 2.x wurde der Aufbau des Crypto-Systems stark entflechtet. Viele kleinere Dienste, wie der GPG-Agent übernehmen nun Aufgaben, die bisher in einer Einheit verarbeitet wurden. Von der Entflechtung erhoffen sich die Entwickler vor allem eine geringere Verwundbarkeit des Gesamtsystems gegenüber Angreifern und eine höhere Flexibilität bei der Bereitstellung von Updates.
Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG
Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode
Offizielle Website (deutsch) von Gpg4win , dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows , basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.
Die meisten Linux -Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.
Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.
Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann OpenKeyChain eingesetzt und z. B. über den Google-PlayStore installiert werden.
Das E-Mail-Programm – Thunderbird
Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird , ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.
Für den Einsatz unter Android empfiehlt sich K9-Mail , das z. B. über den Google-PlayStore installiert werden kann.
Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail
Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.
Anleitungen zur E-Mail Verschlüsslung mit PGP
Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation .
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box .
Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden. Der Nitrokey Pro ermöglicht das Speichern von Schüsseln mit einer Länge von 4096 bit.
Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.
Weiterführende Links
Ausgewählte Kurse:
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Self Organized Session vom CCC-Kongress Dezember 2015:
An Advanced Introduction to GnuPG (Folien als PDF, bitte mit “Speichern unter” herunterladen)
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Why is GPG “damn near unusable”? An overview of usable security research
CrypTool-Portal:
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty 10. August 2016
Wann : – ,
Wo :
Öffentliches Plenum, 16. August 2016
Am Dienstag, den 16. August 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Projekt zu interaktivem Film im Rahmen der CryptoCon 2017
Kampagne Verfolgungsprofile
Review der CryptoParty im August
Status SmartCity Leipzig
kritische Einführungswochen an der Uni Leipzig (CryptoParty)
Teilnahme an der HU-Veranstaltung ›Geheimdienste vor Gericht‹
Teilnahme an den “Datenspuren” in Dresden
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Interview für Hacker-Archive-Projekt
Wann : – ,
Wo :
Interviews zu unseren CryptoParties im August 2016
Anlässlich der CryptoParty, die wir
am 10.08.2016 veranstaltet hatten, wurden wir für den Regionalsender DRF1 von Markus Mötz und das Lokalradio mephistop 96.7 interviewt.
Privatsphäre in Deutschland – Ein Bündnis aus Leipzig klärt auf!
VIDEO
Privatsphäre in Deutschland – Ein Bündnis aus Leipzig klärt auf! on YouTube
Der Beitrag wurde am 11.08.2016, 18:15 Uhr gesendet.
Mehr Privatsphäre durch Verschlüsselung – Verschlüsselung? Mit Sicherheit!
Der Beitrag wurde am 11.08.2016, um ca 16 Uhr gesendet.
Wann : – ,
Wo :
Öffentliches Plenum, 30. August 2016
Am Dienstag, den 30. August 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Status der Einbringung von Beiträgen im Rahmen der CfPs der HU-Veranstaltung ›Geheimdienste vor Gericht‹ und den Datenspuren (Dresden)
Status SmartCity Leipzig
Status Teilnahme an den Kritischen Einführungswochen
CryptoParty im September
Status Kampagne Verfolgungsprofile
Status Podcast-Projekt
Inhalte, Forderungen und Ziele
Thematische Schwerpunkte für 2016 und 2017
Schwerpunkte der Ausrichtung des Bündnisses
Gewinnung neuer Mitstreiter*innen
Diskussion über konkrete Forderungen
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Öffentliches Plenum, 06. September 2016
Am Dienstag, den 06. September 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Status SmartCity Leipzig
Status Teilnahme an den Kritischen Einführungswochen
CryptoParty im September
Status Kampagne Verfolgungsprofile
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
CryptoParty 14. September 2016, 19.00 Uhr
Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
Wie privat bleibt unsere Kommunikation mit Smartphones, Tablets, Laptops? Wir sind mobil, vernetzt, in ständigem Kontakt mit Familie, Freunden, Bekannten, ja sogar unserem Arbeitgeber. Nahezu alle denkbaren Information werden digital erstellt, verarbeitet und ausgetauscht – Fotos, Texte, Sprache, Videos.
Verschlüsselte Endgeräte, die höchstes mit Hilfe ihrer Hersteller zu knacken sind, nützen wenig, wenn die Daten bei der Übertragung abgefangen und Gespräche mitgehört werden können. Starke Verschlüsselung zwischen den Teilnehmern sperrt Lauscher aus. Das Angebot an Programmen für sichere Kommunikation ist jedoch groß, die Versprechen zum Schutz noch größer und der Markt ständig in Bewegung.
Worauf sollte man also bei der Auswahl achten? Gegen welche Bedrohung will und muss ich mich, meine Kommunikationspartner und meine Daten verteidigen? Kann ich meine Daten gegen die tiefgehende und weitreichende staatliche Massenüberwachung und die Sammlungen privater Unternehmen in der täglichen Nutzung überhaupt schützen? Wie viel Aufwand nehme ich dafür in Kauf?
Am 14. September 2016 lädt das Bündnis Privatsphäre Leipzig zur CryptoParty herzlich ein, um 19 Uhr ins sublab im Westwerk, Karl-Heine-Straße 93, 04229 Leipzig. Wir zeigen verschiedene Messenger für Smartphones und Tablets und empfehlen freie und quelloffene – und damit auf Hintertüren überprüfbare – Alternativen zu propritären Lösungen. Alle vorgestellten Programme setzen auf Ende-zu-Ende-Verschlüsselung. Gemeinsam wollen wir deren Installation und Handhabung ausprobieren und die Nutzung mit Ihnen diskutieren.
Lernen Sie zudem auch Messenger- und Chatsysteme für Ihren Laptop und Ihren PC kennen, welche zusätzlich die Metadaten Ihrer Kommunikation verschleiern.
Eine Anmeldung ist nicht erforderlich. Der Eintritt ist wie immer frei. Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht den Spass sowie den Lerneffekt, ist aber natürlich keine Voraussetzung.
Wann : – ,
Wo :
Cryptoparty 14. September 2016 – Programme, Materialien, Links
Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Die Secure Messaging Scorecard der Electronic Frontier Foundation ist nicht mehr aktuell und wird gerade aktualisiert. Die Version 1.0 bietet dennoch immer noch einen sehr guten Überblick, der die Auswahl sicherer Messenger und kann zur Orientierung herangezogen werden.
Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und ChatSecure . Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.
Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
Android: Xabber – Ermöglicht verschlüsselten Online-Chat
CryptoPhones
Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Beta-Software für Mobilgeräte
Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.
Für Tox existiert der experimentelle Atox Client f ür Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.
Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet und aktuell nicht mehr weiterentwickelt wird. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
CryptoCat hingegen ist ein seit kurzem für Windows-, Linux, und Mac-Systeme erhäftliches Chat-Programm mit Ende-zu-Ende-Verschlüsselung sowie Gruppenchats und hebt sich vor allem durch die einfache, intutive Bediehbarkeit hevor.
Weiterführende Links
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 14. September 2016
Wann : – ,
Wo :
Öffentliches Plenum, 20. September 2016
Am Dienstag, den 20. September 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Retro CryptoParty vom 14. 09. 2016
Status SmartCity Leipzig
Status Kritische Einführungswochen
Status Kampagne Verfolgungsprofile
Presseanfragen zu Lindenow und radio blau
Podcast-Projekt
Konzeptentwicklung
Deadlines
Wo ist noch Recherche erforderlich?
Mitgliederversammlung 2016
Inhalte, Ziele und Forderungen
Fortführung der Diskussion: Wohin soll das Bündnis gehen
Sammeln konkreter Forderungen
Thematische Schwerpunkte für 2016 und 2017
Wie Neue Mitstreiter*innen gewinnen?
Gäste sind, wie immer, herzlich willkommen. 🙂
Wann : – ,
Wo :
Crypto in a Nutshell – A Survial Guide.
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Überwachungskapitalismus
Die zunehmende Zahl datengetriebener Geschäftsprozesse und die lückenlose Vernetzung und Überwachung des Alltags haben dazu geführt, dass einige Daten als neue Ressource des 21. Jahrhunderts mit dem Rohstoff Öl vergleichen.
Unabhängig davon, was von diesem Vergleich zu halten ist, wird die Frage diskutiert, ob Big-Data-Geschäftsmodelle mit speziellen oder spezialisierten Verwertungs- und Kommerzialisierungslogiken einhergehen.
Diese Frage ist insbesondere im Hinblick auf die Konsequenzen für Grundrechtsfragen, wie dem Recht auf Privatheit im digitalen Zeitalter und im weiteren Sinne auch dem Konzept des Datenschutzes von Belang.
Die Ökonomin Shoshana Zuboff prägte in ihrem Essay Big Other: Surveillance Capitalism and the Prospects of an Information Civilization erstmal den Begriff des Überwachungskaptialismus. Das Essay stellt einen Versuch dar, die ökonomischen Logiken hinter dem Geschäftsmodell Big-Data näher zu beschreiben.
Ziel von Überwachungskapitalisten soll nicht nur Marktkontrolle durch den Ausbau von Marktvorherrschaft (Hegemonie) sein, sondern auch die Manipulation menschlichen Verhaltens zur Steuerung des Konsums. Überwachungskapitalismus beschreibt insofern den Zustand der Kommerzialisierung der Bewegungen des täglichen Lebens.
Unter dem Begriff nudging, der erstmal in der Verhaltensökonomie diskutiert wurde, werden all jene Versuche zusammengefasst, Verhalten von Menschen auf sanfte Weise zu beeinflussen. Die Manipulation soll dabei möglichst als freiwillig und für die Manipulierten als nutzenstiftend erlebt werden. Nudging kann mit Ergebnissen von Big-Data-Analysis kombiniert werden, wird als Big Nudging beschrieben und findet etwa bei Experimenten Sozialer Netzwerke Anwendung.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org .
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
Signal
Wire
Threema
Telegramm
Wickr
Antox
Ello
Whatsapp
Empfehlung
immer Ende-zu-Ende-verschlüsselt
Forward Secrecy
Gruppenunterhaltungen verschlüsselt
Telefonate verschlüsselt
Videokonferenz verschlüsselt
Open-Source
Alternative zu
, , , Ello
, , , Ello
, , Ello
, , Ello
, , , Ello
, , Ello
–
–
Betriebssysteme
, ,
,
,
,
,
,
Weitere empfehlenswerte Apps:
Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
Android: Secure Update Scanner
Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss .
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box , sowie im CryptoParty-Handbook . (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen : Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen ist ein seit kurzem für Windows-, Linux, und Mac-Systeme erhältliches Chat-Programm mit Ende-zu-Ende-Verschlüsselung sowie Gruppenchats und hebt sich vor allem durch die einfache, intuitive Bedienbarkeit hevor.
Weiterführende Links
Folien zu unserem Vortrag zum Überwachungskapitalismus von der CryptoCon15.
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM . YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Crypto in a Nutshell 04. Oktober 2016
Wann : – ,
Wo :
Cryptoparty zu den „Kritischen Einführungswochen“, 4. 10. 2016
Achtung – Öffentliches Plenum wird verschoben
Das öffentlich Plenum wird ausnahmesweise um einen Woche verschoben, findet also am 11. 10. 2016 ab 19.00 Uhr statt.
Statt dessen gibt es eine Einführung in unsere Cryptoparties im Rahmen der “Kritischen Einführungswochen ” im Hörsaalgebäude der Universität Leipzig am 04. 10. 2016 ab 19:00 Uhr im Hörsaal 12.
Einfach vorbei kommen. Wir freuen uns über Teilnehmer!
Crypto in a nutshell. – A Survial Guide.
Workshop (Show & Tell) / Bündnis Privatsphäre Leipzig / Dienstag 04.10.2016, 19.00 – 21.00 Uhr / HS 12
Leben ohne Facebook, WhatsApp, Tinder, Google? Nicht auszudenken!
Wirklich? Ist die smarte neue Welt tatsächlich so makellos und einfach wie sie scheint? Während sich der Modus des ›In-der-Weltseins‹ zu ändern scheint, werden wir gläserner und damit verletzbarer.
Ist Privatheit im ›Onlive‹ noch zu wahren und lässt sich praktischer Datenschutz mittels ›Digitaler Selbstverteidigung‹ erzielen?
Im Rahmen unserer Veranstaltung können Studierende Grundlagen erfahren, die sich später in regelmäßig angebotenen CryptoPartys vertiefen lassen.
Wann : – ,
Wo :
Data security – How to protect your data?
Sildes and Discourse
Our slides. (Download: Zip-Archiv | Tarball )
discussion forum for questions, comments, hints. Simply register and start.
Threat models
Threat models allow evaluation of risks which eventually come across as a by-product of digital communication.
They describe potential attacks and expose risks in behaviors, in transmissions or in channels.
This descriptions provide knowledge, which enables you to estimate limits and possibilities of solutions such as end-to-end-encryptions or transport security regarding the given use case and provides hints for adapdting the own online behavior.
The slides of the talk What the Hell is Threat Modelling Anyway? give a short introduction into conceptualizing risks, which you might face whenever using communication technology.
Electronic Frontier Foundation (EFF ) provide a short Introduction on thread models focused on the needs of journalists.
Passphrases and Password Managers
Please do not consider using a cloud-based password manager. Instead, we recommend using a password manager which stores your passwords into a encrypted container or database on your own device.
If you cannot avoid using cloud based storage we suggest sharing the encrypted database of a password manager who runs on your own device.
The following password managers seem recommendable for us:
KeePass : offcial site with tutorials, docs and a bbs. You can find KeePass Source code in the download section.
MacPass (MacOSX/macOS): offical site. source code is hosted on Github .
KeepassX (Linux): offical site with docs , bbs and source code .
KeeWeb : offical site.
PasswortSafe : offical site with doc and source code
Remember : Length beats complexity. A good password is a long password (20-30 letters or 8-12 words) even when it is simple. A simple method for choosing a good password is to combine at least 6 random words and use memory techniques to remember. Please resist writing it down. Another method is to generated a random password by using your Password Manager and remember only a good master password.
Diceware™ is a method to compile a password or a passphare by using a dice and a dictionary list. Using a high-quality dice (casino dice) is recommend. Instead you can use Software base on a cryptographically secure pseudorandom number generator only. Good passphrases generated this way consits of at least eight words (80 bits entropy).
Twelve words (120 bit entropy) are considerd as a strong passphrase. Generating a passphrase that provides enough entropy that lasts a year by current standards should
provide 65 bit entropy at least.
Hard disk encryption
TrueCypt is a encryption software available for a lot of operation systems: A good general tutorial can be find at Security-in-a-Box .
Unfortuanly the development of TrueCrypt has been stopped abruptly. The latest release version 7.1a is still worth using, as many security oriented user think.
With VeraCrypt as fork under active development there is now an succcesor on the way. As a young project VeraCrypt never seen successful security audits as TrueCrypt did.
VeraCrypt is able to reuse an convert devices and containers encrypted by TrueCrypt.
Plausible deniability of hidden volumes is a special feature so far only TrueCrypt and its forks can provided easily. With some effort Linux users can implement this feature by using build-in Kernel-based encryption (dm-crypt/cryptsetup), but should carefully consider to disable discard/TRIM feature of a Soild State Drive (SSD) whenever this kind of harware should be secured this way.
Some Windows users give DiskCryptor a try, but others reported severe problems suchs a complete loss of data, so we don’t recommend using it for senstive data or production systems.
Fortunatly latest release of VeraCrypt (1.18a) started supporting UEFI disks under Windows 10 (along with Aniversary Update, Version 1607).
Microsofts Bitlocker supports UEFI and GTP parted drives, but you have to trust
the vendor that this closed source crypto system does not contain any backdoor or it does not have been weakened severely when Microsofts recently dropped a specific encryption feature without any plausible and detailed explaination why doing so.
As already mention Linux users have build-in encryption with dm-crypt in conjunction with LUKS and cryptsetup , which gives you a performant crypto system, directly integrated into the core of you operating system (kernel). For each major Linux distribution there are plenty tutorials showing how to implement full disk encryption which is highly recommend whenever Solid State Drives (SSD) are being used. When implementing full disk encryption on Linux please choose a tutorial that shows how to configure the system writing the data on disk when the systems switches into hibernation mode (Susped to Disk).
macOS users could use TrueCrypt/VeraCrypt as well. Apple provides FileFault2 , but like Bitlocker users have to trust this closed source sofware system. Unlike prior version
FileFault2 security has been improved (the former version containted an vulnerability which allowed attackers to extract the encryption keys in an easy way).
Other BSD-like systems provide disk encryption with geli .
File Encryption
Linux users can use GnuPGP , OpenSSL , aescrypt and cccrypt to encrypt single files.
A word of warning : Former version of OpenSSL contained a implemation of industry standard AES (Advanced Ecryption Algorithm) which as vulnerable by
time-bases attacks. This attack is also know as CREAM .
Windows uses could use AESCrypt or GnuPGP for Win to encrypt files.
Eraser Software: Wiping out files
Tools such as shred
, wipe
, srm
/sfill
can be used under Linux for secure file deletion.
Advanced macOs users are able to use the terminal command line tool srm
or install shred via package manager homebrew manually .
Windows users can install OpenSource tool Eraser (Heidi Eraser) for this purpose. Eraser also provides scheduling of secure file deleation which can be handy when you plan to get rid of many files.
A word of warning : Secure deletion does not work reliable on flash media drives such as USB sticks and on SSDs (Solid State Drives).
BleachBit can be used under Windows, macOs, and Linux to eliminate digital traces such as browser cookies and tempoary files, even if it does not delete
the files in a secure way.
Tor – The Anonymity Network
Tor is the most famous and the best reviewed anonymity network.
Tor aims to obfuscate data traces and meta data generated by online traffic such as visiting websites, receving emails or using an instant messenger.
Driven by Onion routing the traffic is routed trough randomly choosen Tor nodes using 3 hops each request while layered encryption ensures that no participating node can leak its traffic information.
This efforts render the Tor network nearly incapable of serving large amount of bandwidth, which are usualy consumed by services such as media streaming or online gaming.
Using specific protocols to transfer large amount of data such as the Bittorent protocol even undo the efforts of covering your tracks and enables deanonymization.
Theoretically Tor complicates tracking users inside its networks. However studies show latetly, that statistic analysis can be used over time to almost deanonymize certain participants. Moreover intelligence make huge efforts to infilitrate parts of the Tor network (so called Relays) in order to uncover participants.
The Tor Browser Bundle i s a hardend version of Firefox, specially adapted and configured for the use of Tor. Unfurtunatly this makes this Browser a special target. The FBI recently attacked the Tor Browser in combination with infected malicous relays in order to uncover certain users.
Nevertheless it is recommoned to use Tor only on Tails , a special Linux-Live-Distribution with anonymity in mind. Tails purpose is to avoid metadata and increase the efforts to uncover its users.
Using Tor comes with the price of changing your online behavoir in order to provide best protection and anonymity. The Whonix Project colleted some advice of things not to do.
Recommend readings and talks
How Journalists Use Crypto To Protect Sources – Laura Poitras, ack Gillum, Julia Angwin on 31c3
GPG for Journalists – Windows edition | Encryption for Journalists (Legendary Video of E. Snowden for Gleen Greenwald explaing email encryption )
Prism-break.org – Used cases and non-privacy invasive tools and/or alternatives
Surveillance Self-Defense Guide of EFF
Security-In-A-Box (sometimes outdated tutorials)
Digital Security by Freedoom of Press (along with a resources to SecureDrop )
Slides of our talk Überwachungskapitalismus (German) at CryptoCon15.
Talk on CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbook of Applied Cryptography”:
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Data security – How to protect your data? 06th October 2016
Wann : – ,
Wo :
European Media Freedom Conference: Data security – How to protect your data?, 6th October 2016
Meet us today at
European Media Freedom Conference . Our Workshop will show you how to protect your personal data and your journalistic work as well as your online research in a nutshell.
When : 06.10.2016 16:30– 06.10.2016 17:30,
Wann : – ,
Wo :
Vortrag „Vernetzes Utopia“ bei den „Kritischen Einführungswochen“, 7. 10. 2016
Heute sind wir mit einem Vortag zum „SmartCity“-Themenkomplex im Rahmen der
Kritischen Einfürungswochen vertreten. Schaut vorbei und diskutiert mit uns!
Vernetztes Utopia? – Riskante Versionen für die Städte von Morgen.
Vortrag mit Diskussion / Bündnis Privatsphäre Leipzig / 17.00 – 19.00 Uhr / HS 5
Von Facebook und Twitter zu Siri, Alexa und Periscope – der kulturellen Entwicklungsdynamik durch IT-Technologie stehen selbst “Digital Natives” häufig staunend gegenüber. Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere, bestimmt aktuelle Stadtplanungskonzepte und zieht mit dem Internet of Things (IoT) in den Alltag ein. Wir schauen auf die politischen und individuellen Risiken vollständiger Vernetzung und den ökonomische Antrieb dafür.
Wann : – ,
Wo :
Aktivitäten zu SmartCity
Eigene Vorträge
11.03.2017: Vernetztes Utopia? – Die Stadt der Zukunft im goldenen Zeitalter der Überwachung
Vortrag mit Diskussion bei den Chemnitzer Linuxtagen (CLT) 2017 / Bündnis Privatsphäre Leipzig / 16.00 – 17.00 Uhr / Technische Universität Chemnitz, Zentrales Hörsaal- und Seminar-Gebäude, Reichenhainer Straße 90 09126 Chemnitz; Raum V3
Folien ( Zip-Archiv | Tarball ) | Audio-Recordings ( MP3 | Ogg )
23.10.2016: Vernetztes Utopia? – Die Stadt der Zukunft im goldenen Zeitalter der Überwachung
Vortrag mit Diskussion im Rahmen des 13 Symposiums Datenspuren 2016 / Bündnis Privatsphäre Leipzig / 13.15 – 14.15 Uhr / Technische Sammlungen, Junghansstraße 1-3, 01277 Dresden; Experimentierfeld
Folien ( Zip-Archiv | Tarball ) | CCC-Recordings (Video; Downloads )
Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere und bestimmt mit der Idee der „SmartCity“ aktuelle Stadtplanungskonzepte für die nächsten 20 bis 50 Jahre. In unserem Vortrag skizzieren wir dieses softe Regime, das sich entlang des ökonomischen Primats vollständiger Verwertung entwickelt.
22.10.2016: Vernetztes Utopia? – Die Stadt der Zukunft im goldenen Zeitalter der Überwachung
Vortrag mit Diskussion im Rahmen des Symposiums zu Gemeindienste vor Gericht / Bündnis Privatsphäre Leipzig / 18.00 – 19.00 Uhr / Humboldt-Universität zu Berlin; Unter den Linden 6; 10099 Berlin; Seminarraum 2095a
Folien ( Zip-Archiv | Tarball )
Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere und bestimmt mit der Idee der „SmartCity“ aktuelle Stadtplanungskonzepte für die nächsten 20 bis 50 Jahre. In unserem Vortrag skizzieren wir dieses softe Regime, das sich entlang des ökonomischen Primats vollständiger Verwertung entwickelt.
07.10.2016: Vernetztes Utopia? – Riskante Versionen für die Städte von Morgen.
Vortrag mit Diskussion im Rahmen der Kritischen Einführungswoche / Bündnis Privatsphäre Leipzig / 17.00 – 19.00 Uhr / HS 5
Folien ( Zip-Archiv | Tarball )
Von Facebook und Twitter zu Siri, Alexa und Periscope – der kulturellen Entwicklungsdynamik durch IT-Technologie stehen selbst “Digital Natives” häufig staunend gegenüber. Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere, bestimmt aktuelle Stadtplanungskonzepte und zieht mit dem Internet of Things (IoT) in den Alltag ein. Wir schauen auf die politischen und individuellen Risiken vollständiger Vernetzung und den ökonomische Antrieb dafür.
Presse/Interviews zu SmartCity
Äther LindenNow : Gespräch mit Leipziger Kollektiv für kulturelle Initiativen „Keine Fische Aber Grethen“ über SmartCity (Oktober 2016)
Beteiligung an Themenabenden
20.10.2016 Neues intelligentes Wohnen sowie
27.10.2016 Aktive Stadtgesellschaft
Im Rahmen des EU-Projektes Triangulum diskutiert die Stadt Leipzig unter Federführung des Amtes für Stadterneuerung und Wohnungsbauförderung zusammen mit Fachämtern, den Tochterunternehmen der Stadt Leipzig sowie der Bürgerschaft im Quartier die Chancen einer smarten Stadt von morgen.
13.10.2016 „Living LaB Ludwigsburg – Smart City am konkreten Beispiel“
10.11.2016 „Schlaue Stadt – Thesen und Ansätze für eine Umsetzung in Leipzig“
15.12.2016 „Datenschutz & Privatsphäre vs. Smart City?“
19.01.2017 „Wandel öffentlicher Räume im digitalen Zeitalter“
Im Wintersemester 2016/2017 werden die HOT SPOTS :: DER STADTENTWICKLUNG auch weiterhin in Kooperation mit dem Amt für Stadterneuerung und Wohnungsbauförderung (ASW) der Stadt Leipzig stattfinden.
Die gemeinsame Staffel trägt den Titel „Smart City“. Durch die Beteiligung der Stadt Leipzig am EU Smart City-Projekt “Triangulum” mit unserem Institut als Transferstelle, wollen wir das Thema noch stärker beleuchten und mit Experten sowie Interessenten diskutieren.
15.12.2016: Datenschutz & Privatsphäre vs. Smart City?
Vortrag und Diskussionrunde / Bündnis Privatsphäre Leipzig e. V. / 25 Minuten / Schaubühne Lindenfels / Grüner Salon (1.OG), Karl-Heine-Str. 50, 04229 Leipzig
Folien ( Zip-Archiv | Tarball )
Die Vision der lückenlosen Vernetzung allgegenwärtiger Computer macht
unter dem Buzzword „Smart“ Karriere. Mit der Idee der “SmartCity”
beeinflusst sie aktuelle Stadtplanungskonzepte für die nächsten 20 bis
50 Jahre. Nutzern wird – auf Grundlage erhobener Daten – eine einfachere,
effizientere und intelligentere Stadt versprochen, die in der Lage sei
auf ihre Bedürfnisse zu reagieren. Von den gleichen Daten, erhoffen
sich Unternehmen breitere Absatzmärkte, Behörden, Strafverfolger und
Politiker höhere Kontrolle sich in urbanen Räumen bewegender und
handelnder Menschen.
Entsteht ein softes Regime von Überwachung und Steuerung, das sich
entlang des ökonomischen Primats vollständiger Verwertung entwickelt?
Taugen Algorithmen zur objektiven Beschreibung von Wirklichkeit und als
Grundlage von Vorhersagen, um Menschen zu bewerten und zu beeinflussen?
Welche Auswirkungen sind für Grundrechte wie Privatheit und Privatsphäre
zu erwarten?
Im Rahmen der Veranstaltungsreihe „Stadt für alle statt für wenige!“ veranstaltet linXXnet ein Panel zum SmartCity-Prozess. Zusammen mit dem Haus- und Wagenrat e.V. wurden wir zu dieser Gesprächsrunde eingeladen.
Gäste:
Katalin Gennburg für DIE LINKE im Berliner Abgeordnetenhaus,
Michael Stellmacher (Verein für selbstorganisierte Räume in Leipzig, Haus- und Wagenrat e.V.)
Bündnis Privatsphäere Leipzig e. V.
Moderation:
Susanna Karawanskij (Mitglied des Deutschen Bundestags)
Wann: 12.12.2016 19-21 Uhr
Wo: Eisengießerei Westwerk, Karl-Heine-Str. 93b
Wann : – ,
Wo :
Themen
Wann : – ,
Wo :
SmartCity
Vernetzes Utopia.
Die Stadt der Zukunft im goldenen Zeitalter der Überwachung
Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere. Mit der Idee der “SmartCity” beeinflusst sie aktuelle Stadtplanungen mit Auswirkungen für die nächsten 20 bis 50 Jahre. Mit dem Internet of Things (IoT) zieht sie in den Alltag ein. Die mit den anfallenden Daten gefütterten Big-Data-Algorithmen bereiten immer stärker Entscheidungen vor oder treffen sie zunehmend selbstständig.
In einer smarten Umwelt führt automatische Datenerfassung über Sensoren und deren Verarbeitung in immer größerem Umfang unvorstellbare Datenmengen von Individuen und den sie umgebenden Dingen zusammen. Dabei fügt die Digitalisierung des Raumes mit flächendeckender Sensorik der vollständigen Erfassung des täglichen Lebens von Bürger*Innen und Nutzer*Innen weitere Datenebenen zur Profilierung persönlichen Verhaltens hinzu. In Werkzeugen und Alltagsgegenständen integrierte Technologie kommuniziert selbstständig, stimmt sich untereinander ab und optimiert sich im Rahmen des maschinellen Lernens, um dem Anwender*Innen einen neuen, optimierten, einfacheren Nutzen beim Einsatz der Geräte und Anwendungen zu bieten. In Big-Data-Analyseverfahren gewonnene Profile und Vorhersage-Modellen machen es möglich, so das Versprechen der Industrie. Von den gleichen Daten, Analysemodellen und Sozialen Graphen erhoffen sich Unternehmen, Behörden, Strafverfolger und Politiker aber auch höhere und effizientere Kontrolle und Steuerung sich in urbanen Räumen bewegender und handelnder Menschen.
In unserer Beschäftigung mit dem Thema wird die These plausibel, dass die zunehmende Vernetzung und die daraus resultierende Überwachung ein softes Regime etabliert, in dem die Disziplinierung von den Überwachten verinnerlicht wird. Zur Beschreibung dieses Regimes betrachten wir das Primats des Ökonomischen näher. Dabei sehen wir panoptische Effekte, die geeignet scheinen, das softe Regime innerhalb des SmartCity-Konzeptes automatisiert und autonom zu reproduzieren und zu perfektionieren (Everydayness). Bei der Analyse der Vernetzung urbaner Räume interessieren uns die Rolle von Public-Privat-Partnerships sowie die Untersuchung der Verwertungslogiken von Daten als “Überwachungskapitalismus” (nach Shoshana Zuboff). Die oft unreflektierte Ableitung von Wirklichkeitsbeschreibungen aus den Ergebnissen von Big-Data-Analysen bildet einen weiteren Fokus bei der Annäherung an die SmartCity-Ideen. Technische Risiken und Abhängigkeiten, die sich aus der engen Kopplung hochintegrierter vernetzter Systeme ergeben können, ergänzen unsere Auseinandersetzungen. Schließlich bewegt uns die Frage, welche Auswirkung diese Dynamik auf den Modus des In-der-Welt-Seins für das Individuum und seine Privatsphäre haben könnte.
Unsere Aktivitäten zu SmartCity (Vorträge, Pressegespräche, Podiumsdiskussionen und Teilnahme an Veranstaltungen) finden sich hier.
Wann : – ,
Wo :
Wann : – ,
Wo :
Wann : – ,
Wo :
Wann : – ,
Wo :
Öffentliches Plenum, 11. Oktober 2016
Am Dienstag, den 11. Oktober 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann : Beginn 19.00 Uhr c.t.
Wo : sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Bericht von der Teilnahme an der Kritische Einführungswoche
Bericht von CryptoParty auf der European Media Freedom Conference
Anfrage von DigitalCourage zur Kampagne „Sei mutig – Gesicht zeigen gegen Geheimdienste!“
Vorträge zu SmartCity bei ›Geheimdienste vor Gericht ‹ und den Datenspuren
Status SmartCity Leipzig
Podcast-Projekt
Konzeptentwicklung
Deadlines
Wo ist noch Recherche erforderlich?
Vorbereitung des Sublab für die CryptoParty am 12.10.2016
Gäste sind, wie immer, herzlich willkommen. 🙂
Das Sublab wird nicht beheizt. Warme Kleidung ist daher witterungsbedingt sicher bereits schon jetzt empfehlenswert.
Wann : – ,
Wo :
CryptoParty 12. Oktober 2016, 19.00 Uhr
„Keiner soll es erraten“ – Datei- und Festplattenverschlüsselung
Fotografien und Videos boomen, in Schule und Studium lesen und studieren wir digitalisierte Texte. Unsere Notizen und Gedanken sammeln wir digital und tauschen mit Mitschüler*Innen Dokumente aus. Im Berufsalltag sind elektronische Dokumente und Datenbanken längst integraler Bestandteil täglicher Arbeit. Wie lässt sich erreichen, dass diese Informationen zuverlässig vor unerwünschten Zugriffen sicher sind?
Cloud-Speicher gelten vielen als idealer Aufbewahrungsort für ihre Daten; überall und jederzeit verfügbar wenn Zugang zum Internet besteht, automatisierte Backups durch die Betreiber inklusive. Spätestens seit den Dokumenten von Snowden und den jüngeren Sicherheitslecks bei großen IT-Konzernen stellt sich die Frage: Was sollte ich unternehmen um private Notizen, Fotografien, Videos und sonstige Dokumente auch in der Cloud zu schützen?
2015 wurden hochspezialisierte Trojaner entdeckt die sich tief in die Steuerungssoftware von Festplatten (Firmware) integrieren und so auch eine komplette Neuinstallation des Betriebssystems überlebt. Seit Monaten boomt das kriminelle Geschäftsmodell Verschlüsselungstrojaner auf den Systemen seiner Opfer zu platzieren, dort alle Daten zu verschlüsseln und für die Entschlüsselung Lösegeld zu erpressen. Wie ist angesichts der zunehmenden Risiken ein wirksamer Schutz der eigenen Daten überhaupt noch umsetzbar?
Antworten auf diese Fragen werden unter dem Begriff „Digitale Selbstverteidigung“ diskutiert. Ein Teil davon ist Datei- und Festplattenverschlüsselung mit der sich die Verletzung der Privatsphäre wirksam verhindern lässt.
Über Möglichkeiten und Grenzen, den konkreten Einsatz von Festplatten- und Dateiverschlüsselung sowie Backup-Software aber auch über Fallstricke, die es zu vermeiden gilt, wollen wir auf unserer kommenden CryptoParty informieren. Wir laden dazu herzlich am Mittwoch, den 12. Oktober um 19 Uhr in das Sublab im Westwerk ein. Für den praktischen Teil ist es empfehlenswert, seinen eigenen Laptop mitzubringen.
Da das sublab nicht geheizt wird, ist warme Kleidung empfehlenswert.
Wann : – ,
Wo :
Cryptoparty 12. Oktober 2016 – Programme, Materialien, Links
Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung
Hier ist der Link zur Präsentation für unsere Cryptoparty. (Download: Zip-Archiv | Tarball )
Das Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Beurteilung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung dieser Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Festplattenverschlüsselung
TrueCrypt ist eine Verschlüsselungssoftware, die für mehrere Betriebssysteme zur Verfügung steht: Ein entsprechendes Tutorial findet sich bei Security-in-a-Box . TrueCrypt wird leider nicht mehr weiterentwickelt. Die letzte komplette Version 7.1 a kann dennoch immer noch eingesetzt werden.
Mit VeraCrypt existiert ein Ablegerprojekt (Fork) das aktiv weiterentwickelte Versionen zur Verfügung stellt, für die aber Überprüfungen (Audits) noch ausstehen. Unlängst in TrueCrypt 7.1 a bekannt gewordene Sicherheitslücken beim Zugriff auf Laufwerke unter Windows wurden in der aktuellen Version von VeraCrypt geschlossen. Bestehende TrueCrypt-Laufwerke und Container können mit VeraCrypt geöffnet und weiterverwendet werden.
Die glaubhafte Abstreitbarkeit (plausible deniability) der Existenz von versteckten Betriebssystemen und Laufwerken (Hidden Volumes) ist ein spezielles Feature, dass TrueCrypt und dessen Ablegern (Forks) vergleichweise intutiv zur Verfügung stellten.
Linux Nutzer können mit etwas Aufwand die Kernel-basierte Verschlüsselung (dm-crypt/cryptsetup/LUKS) einsetzen um glaubhafte Abstreitbarkeit zu implementieren. Nutzer von Solid State Drives (SSDs) müssen allerdings erwägen, ob sie für Nutzung dieses Feature die Deaktiverung des discard/TIRM Features in Kauf nehmen können.
Für Windows-Systeme wird auch DiskCryptor als Alternative genannt. Mit dieser Software lassen sich derzeit nur gesamte Partitionen (Laufwerke) verschlüsseln und keine Datei-Container anlegen. Auch für DiskCryptor sind noch keine Sicherheitsüberprüfungen (Audits) bekannt. Die aktuelle Version datiert aus 2014 und es sind aktuell keine neuen Releases geplant. Etliche Nutzer beobachten unlängst Probleme wie etwa Datenverlust, weshalb wir von einem produktiven Einsatz aktuell abraten.
Erfeulicherweise unterstüzt die akutelle Version von VeraCrypt nun auch die Betriebssystemverschlüsselung bei UEFI-Startumgebungen mit GPT-Platten für 64-bit-Ausgaben ab Windows 8, leider aber noch mit Einschränkungen, z. B. hinsichtlich versteckter Systeme.
Bitlocker unterstützt zusätzlich auch GPT-Festpaltten Allerdings müssen AnwenderInnen – wie bei allen Cloused Source Programmen – in die korrekte, hintertürenfreie Implementierung der Software vertrauen, ohne das überprüfen zu können. Aktuell kann nicht ausgeschlossen werden, dass Bitlocker Hinterüren enhält. Fener ist die Entfernung eines bestimten Verschlüsselungs-Features von Microsoft noch nicht plausbiel begründet worden und hat Sicherheitsexperten dazu bewogen, Bitlocker nicht länger für die Verschüsselung von Windowssystemen zu empfehlen.
Unter Linux steht mit dm-crypt in Verbindung LUKS (Unter Verwedung von cryptsetup
) ein leistungsfähiges und performantes Verschlüsselungssystem zur Verfügung, dass direkt in das Betreibsystem (Kernel) integriert wurde. Ähnlich wie bei DiskCryptor lassen sich hiermit allerdings keine Datei-Container erzeugen. Tutorials für die Verschlüsslung mit dm-crypt finden sich für u. a. für Ubuntu, Mint , ArchLinux , Gentoo , Fedora und OpenSUSE . Bei der Einrichtung einer Komplettverschlüsselung und insbesondere bei der Verwendung von SolidState-Drives (SSDs) sollte darauf geachtet werden, dass die Daten beim Ruhezustand (Hibernate) auf die Platte geschrieben werden (Supend to Disk ).
Unter MacOSX steht neben TrueCrypt das von Apple bereitgestellte und nicht-quelloffene FileVault2 zur Verfügung. Im Gegensatz zur Vorgängerversion ist die Implementierung aus Sicherheitsapekten deutlich verbessert worden. Eine Hintertür kann – wie bei allen nicht-quelloffenen Cryptosystemen – allerdings nicht ausgeschlossen werden. Vorsicht ist beim Upgrade des Betriebssystems über den Market geboten: Einige der aktuellen Installer, welche die Daten über das Netz laden, erkennen verschlüsselte Partitionen nicht, so dass bei einem Upgrade ernsthaften Probleme auftreten können (u. a. hängt das Upgrade in einer Schleife fest und lässt sich erst installieren, nachdem FileVault2 entfernt wurde). Aufgrund einer schweren Sicherheitslücke bei den USB-Anschlüssen , waren die Passwörter der verschlüsselten Partitionen kurzzeitig auslesbar.
Für BSD-System steht geli für die Festplatten- und Container-Verschlüsselung zur Verfügung.
Dateiverschlüsselung
Für Linux-Systeme kann für die Dateiverschlüsselung GnuPGP , OpenSSL , aescrypt und cccrypt verwendet werden.
Ein Wort zur Vorsichtig: Die OpenSSL Implementierung des symmetrischen Verschlüsselungsalgorithmus AES (Advanced Ecryption Algorithm) ist für zeitbezogene Angriffe auf den Zwischenpuffer (cached timing attacks) verwundbar. Dieser Angriff ist unter der Abkürzung CREAM bekannt geworden.
Unter Windows Systemen kann AESCrypt für die Dateiverschlüsselung oder GnuPGP for Win eingesetzt werden.
MacOSX-Nuzter*Innen können über FileFault, die integrierte Verschlüsselung von Apple, Container anlegen und in diesen Dateien ablegen . FileFault ist allerdings nicht quelloffen, weshalb keine zuverlässige Aussagen über die Vertrauenswürdigkeit und Sicherheit der Implementierung getroffen werden können. Alternativ bietet sich AESCrypt an.
Festplatten-Eraser: Sicherer Löschen
Für das Sichere Löschen von Dateien stehen unter Linux eine Reihe von Werkzeugen bereit. Dazu zählen unter anderem shred
, wipe
und srm/sfill
.
Erfahrende MacOSX-Nuzter*Innen können das Komandozeilenwerkzeug (Terminal) srm
nutzen. shred
kann über die Paketverwaltung homebrew nachinstalliert werden.
Unter Windows steht mit Eraser (Heidi Eraser) ebenfalls ein quelloffenes, freies Werkzeug für das Sichere Lösche von Dateien zur Verfügung. Eraser erlaubt es, zeitlich versetzte Aufgaben für das sichere Löschen zu definieren, da die zahlreichen angebotenen Verfahren teilweise die Festplatte ziemlich beanspruchen können. Eine deutsch-sprachige Anleitung findet sich unter http://www.datenfeger.de/eraser-anleitung/ .
Hinweis : Sicheres Löschen ist auf Speichermedien mit Flash-Technologie (USB-Sticks, Solid State Drives) u. U. nicht zuvrelässig.
Mit BleachBit lassen sich unter Windows, MacOSX und Linux allgemeine Datenspuren, wie etwa Browser-Cookies oder temporäre Dateien beseitigen.
Weiterführende Links
Videoerklärung von AES , in englisch
Videoerklärung von HMAC-Algorithmen , in englisch
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Buch zu den mathematischen Hintergründen der in Cryptool vorgestellten Verfahren findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 12. Oktober 2016
Wann : – ,
Wo :
Öffentliches Plenum, 18. Oktober 2016
Am Dienstag, den 18. Oktober 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Retro CryptoParty vom 12.10.2016
Vorträge zu SmartCity bei ›Geheimdienste vor Gericht‹ und den Datenspuren
Podcast-Projekt
Weiteres Vorgehen und Ausarbeitung
Produktion des Podcasts
Status SmartCity Leipzig
Lesen für Privatsphäre im November
Mitgliederversammlung 2016
Inhalte, Ziele und Forderungen
Konkrete Forderungen: Clustering der bisherigen Vorschläge
Auseinandersetzung mit den in der Selbstbeschreibung (Präämbel der Satzung) dargelegten Ziele
Thematische Schwerpunkte für 2017
Wie neue Mitstreiter*innen gewinnen?
Gäste sind, wie immer, herzlich willkommen. 🙂
Da das sublab nicht geheizt wird, ist warme Kleidung empfehlenswert.
Wann : – ,
Wo :
Äther LindeNOW: SmartCity
Im Rahmen von
Lindenow #12 hat uns das
Leipziger Kollektiv für kulturelle Initiativen „Keine Fische Aber Grethen“ zu einem Interview über SmartCity eingeladen.
»Ziel des „Äther Lindenow“ ist es, sowohl Persönlichkeiten und Inhalte von Lindenow #12 , als auch des übrigen Kunstschaffens im Leipziger Westen zu kommunizieren. Dabei werden in Gesprächen und über künstlerische Beiträge Künstlerinnen und Künstler vorgestellt und deren Hintergründe und Ideen vermittelt. Außerdem soll der „Äther Lindenow“ eine Plattform bieten, um Entwicklungen der Lindenauer Kunstszene, sowie deren Zusammenhänge mit kommunalpolitischen Aspekten zu erörtern, bzw. zu kritisieren. «
Hört einfach rein, in das Gespräch auf der Seite von Äther LindeNow an oder direkt bei uns:
https://lindenow.grethen.org/mp3/aether.lindenow12.2016-09-30.smart.city.mp3
Wann : – ,
Wo :
Vortrag „Vernetzes Utopia“ bei den „Geheimdienste vor Gereicht“, 22. 10. 2016
Heute sind wir mit einem Vortag zum „SmartCity“-Themenkomplex im Rahmen des Symposiums
Geheimdienste vor Gericht vertreten. Schaut vorbei und diskutiert mit uns!
Vernetztes Utopia? – Die Stadt der Zukunft im goldenen Zeitalter der Überwachung.
Vortrag mit Diskussion / Bündnis Privatsphäre Leipzig / 18.00 – 19.00 Uhr / Humboldt-Universität zu Berlin; Unter den Linden 6; 10099 Berlin; Seminarraum 2095a
Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere und bestimmt mit der Idee der „SmartCity“ aktuelle Stadtplanungskonzepte für die nächsten 20 bis 50 Jahre. In unserem Vortrag skizzieren wir dieses softe Regime, das sich entlang des ökonomischen Primats vollständiger Verwertung entwickelt.
Wann : – ,
Wo :
Vortrag „Vernetzes Utopia“ bei „Schwer Vernetzt. 13. Symposium Datenspuren 2016 “, 23. 10. 2016
Gestern noch Berlin, heute Dresden: Wir sind auch dem dem 13. Symposium Datenspuren 2016, die in diesem Jahr unter dem Motto „Schwer vernetzt“ stehen mit einem Vortag zum „SmartCity“-Themenkomplex vertreten. Schaut vorbei und diskutiert mit uns!
Vernetztes Utopia? – Die Stadt der Zukunft im goldenen Zeitalter der Überwachung .
Vortrag mit Diskussion / Bündnis Privatsphäre Leipzig / 13.15 – 14.15 Uhr / Technische Sammlungen, Junghansstraße 1-3, 01277 Dresden; Experimentierfeld
Die Vision des „ubiquitous computing“ – als lückenlose Vernetzung allgegenwärtiger Computer – macht unter dem Buzzword „Smart“ Karriere und bestimmt mit der Idee der „SmartCity“ aktuelle Stadtplanungskonzepte für die nächsten 20 bis 50 Jahre. In unserem Vortrag skizzieren wir dieses softe Regime, das sich entlang des ökonomischen Primats vollständiger Verwertung entwickelt.
Wann : – ,
Wo :
Vernetzes Utopia: CCC Recordings zu unserem Vortrag auf den Datenspuren 2016
Wann : – ,
Wo :
Öffentliches Plenum, 01. November 2016
Am Dienstag, den 01. November 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Retro CryptoParty vom 12.10.2016
Retro Vorträge bei Geheimdienste vor Gericht und bei den Datenspuren
CryptoParty im November
Flyer für 1/2017
Flyer verteile und Social-Media-Arbeit für die November-Party
Folien aktualisieren
Podcast-Projekt
Weiteres Vorgehen und Ausarbeitung
Produktion des Podcasts
Kommunikation, Archiv und Recht auf Vergessen
Es werden Vorschläge vorgestellt, wie man mit dem Spannungsfeld Archivbildung und Recht auf Vergessen im Discourse-Forum umgehen könnte
Umgang mit Zugängen zur Kommunikationsinfrastruktur (Mail-Postfächer, GPG-Key, SocialMedia)
Interne Infrastruktur: Umzug zu anderem Anbieter
Datentag der Stiftung Datenschutz am 22.11
Status SmartCity Leipzig
Positionspapier
Bericht von der SmartCity-Veranstaltungen vom 27.11
Einladung zur Podiumsdikussion ›Der digitale Angriff ‹ im linxxnet
Anfragen zur Veranstaltung zur Digitale Stadt im Basislager Coworking
Lesen für Privatsphäre im November
Mitgliederversammlung 2016
Inhalte, Ziele und Forderungen
Datennutzungskonvention
Bildungsinitiative
Auseinandersetzung mit den in der Selbstbeschreibung (Präambel der Satzung) dargelegten Ziele
Thematische Schwerpunkte und Perspektiven für 2017
Wie neue Mitstreiter*innen gewinnen?
Gäste sind, wie immer, herzlich willkommen. 🙂
Da das sublab nicht geheizt wird, empfehlen wir warme Kleidung und ggf. eine Decke mit zurückbringen.
Wann : – ,
Wo :
CryptoParty 9. November 2016, 19.00 Uhr
„Das können wir selber” – Alternative Soziale Netzwerke und Cloudsysteme
Daten – unsere Daten – sind zur Grundlage von Geschäftsmodellen geworden. Über soziale Graphen und die Analyse von Beziehungsnetzwerken werden sie zur Bildung von Profilen verwendet. Über viele Jahre angereichert und verfeinert. Diese Daten sind von hohem Interesse für Werbetreibende und Marketingverantwortliche, für Meinungsforscher und -Macher, aber auch für Nachrichtendienste, wie wir durch die Snowden-Enthüllungen wissen und wie das neue BND-Gesetz, das am 21. Oktober 2016 durch den Bundestag verabschiedet worden ist, illustriert. Im aktuellen Geheimdienst-Untersuchungsausschuss als rechtswidrig bewertete Überwachungspraktiken sind nun legalisiert, zusätzliche Befugnisse des Geheimdienstes auf diesem Feld deutlich ausgeweitet.
Im Wissen um die allgegenwärtige Datensammelei und aus einem damit verbunden diffusen, unangenehmen Gefühl geben nicht Wenige in Befragungen an, sich innerhalb der “Walled Gardens” der Facebooks, Snapchats und Googles dieser Welt mehr Privatsphäre zu wünschen – ohne dass dabei aber Funktionalitäten oder Vernetzungsmöglichkeiten eingeschränkt werden sollen. Ein Spannungsfeld das die Forschung als Privacy Paradox beschriebt.
Oft scheint ein Ausstieg aus Sozialen Netzwerken für NutzerInnen undenkbar, wenn Arbeitskollegen, Kommilitonen, Freunde und Familie ihre Freizeit darüber planen und Freundschaftsbande den gesamten Globus überspannen. Mittlerweile vertrauen wir aber nicht nur unseren Alltag sozialen Netzen an, wir laden gleichermaßen Gigabyte an digitalisierten Erinnerungen in zentrale Clouds.
Gibt es jenseits der großen Zentralen Alternativen? Was macht ein Soziales Netzwerk aus? Wie kann ich, ohne eine Cloud der großen Anbieter zu nutzen, von überall auf meine Dokumente oder Fotografien zugreifen und diese teilen? Kann ich selbst ein Soziales Netzwerk betreiben? Erlange ich dadurch mehr Selbstbestimmung und Souveränität im Internet?
Mit diesen Fragen wollen wir uns auf der CryptoParty am 9. November ab 19 Uhr im sublab, Karl-Heine-Straße 93, 04229 Leipzig/Westwerk befassen.
Wir stellen alternative, föderierte Netzwerke vor, zeigen die Möglichkeiten selbst betriebener Clouds auf, bringen die Verwendung von verschlüsselten Zero-Knowlege-Cloudspeichern näher und demonstrieren den Betrieb eines eigenen Blogs in Grundzügen, jenseits von Tumblr und Medium.
Zu einer lebendigen Debatte um das Für und Wider dieser Alternativen und zu deren Kennenlernen durch Ausprobieren laden wir herzlich ein.
Da es im sublab bereits schon recht frisch ist, sind warme Kleidung und eine Decke sicher eine gut Idee 🙂
Wann : – ,
Wo :
Cryptoparty 09. November 2016 – Programme, Materialien, Links
»Das können wir selber – Alternative Soziale Netzwerke und Cloudsysteme«
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodell (threat models) allgemein
Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.
Für Soziale Netzwerke sollten vor allem die allgemeinen Risiken wie Identitäsdiebstahl und Betrugsfallen berücksichtigt werden. Cloudsysteme können ebenfalls anfällig für Angriffe sein, die Identitäsdiebstahl und Diebstahl von sensiblen Dokumenten oder Fotografien ermöglichen.
Zero-Knowledge-Cloudsysteme und Backups in der Cloud
In Anlehnung an den Zero-Knowledge-Beweis wird der Begriff Zero Knowledge für eine Cloudtechnologie verwendet, die Nutzer*Innen – verglichen mit anderen Cloudsystemen – mehr Privatsphäre versprechen.
Dabei soll der Anbieter gegenüber einem Dritten, z. B. einer staatlichen Behörde, nötigenfalls sogar vor Gericht glaubhaft abstreiten können, Dateien spezifischer Nutzer in ihrem Systemen ausfindig machen zu können.
Der Zero-Knowledge-Ansatz soll dadurch erreicht werden, dass die Dateien bereits auf den Geräten der Nutzer*Innen verschlüsselt werden. Idealerweise kennt der Anbieter den kryptographischen Schlüssel zu keinem Zeitpunkt, mindestens aber nur temporär (Sitzungsschlüssel), da das Verfahren von der Abstreitbarkeit des Zugriffs auf diesen Schlüssel abhängt.
Der von Edward Snowden empfohlene Anbieter SpiderOak bietet einen solchen verschlüsselten Zero-Knowledge Dienst an, der bis zu 2 GB kostenfrei genutzt werden kann. Die Verschlüsselung der Dateien wird auf den Geräten der Nutzer*Innen durchgeführt. Dafür ist eine eigene Software notwendig, die SpiderOak für die gängigen Betriebssysteme, inkl. Tablets und Smartphones anbietet. Der Anbieter gibt an, dass der Zero-Knowledge-Ansatz lediglich für die Desktop-Variante gelte.
Bei der Nutzung über die Website oder mit den mobilen Varianten, soll der Schüssel kurzzeitig im Speicher des Anbieter-Servers gehalten werden. Für diese beiden Anwendungsfällen ist also der Zero-Knowledge-Ansatz eingeschränkt. Die Software, welche die Grundlage (Framework) für den Webzugang liefert , ist als OpenSource verfügbar und kann prinzipiell geprüft werden.
Ein weiterer Nachteil von Spideroak ist, dass weder die Desktop-Software noch die Serverarchitektur als OpenSource eingesehen werden können, auch wenn es Überlegungen des Anbieters gibt, dies eines Tages zu ändern. Nutzer*Innen, die besonderen Wert auf Privatsphäre legen, sollten darüber hinaus die Besonderheiten des Standorts des Anbieters nicht übersehen: Aufgrund des Sitzes in den USA können die Behörden durch einen sog. National Security Letters (NSL) Zugriff auf die gesamte Cloud erlangen, ohne dass der Anbieter diese Informationen an seine Kunden*Innen oder die Öffentlichkeit weiterreichen darf. Die Verschlüsselung der Daten auf den Nutzergeräten dürfte die Zugriffsmöglichkeiten für US-Behörden allerdings erheblich erschweren.
Nutzer*Innen von BSD- und Linux-Systemen können auf Tarsnap zurückgreifen. Tarsnap ist ein Kommandozeilenwerkzeug, dass verschlüsselte Backups mit dem Zero-Knowledge-Ansatz kombiniert. Die Daten werden auf dem Linux/BSD-Gerät verschlüsselt und dann in eine Amazon S3-Cloud übertragen. Die Software wurde noch nicht unter einer OpenSource-Lizenz veröffentlicht, kann aber offenbar auch im Quellcode heruntergeladen werden . Das Bezahlmodell unterscheidet sich von üblichen Abomodellen: Nutzer*Innen zahlen für die gespeicherten Daten und die Übertragung in den Cloudspeicher – die Kosten werden von einem Guthaben-Konto abgezogen. Kritischen Nuzter*Innen dürfte, neben der fehlenden OpenSource-Veröffentlichung, vor allem die Wahl des Cloud-Speichers zumindest nicht geheuer sein. Auch wenn die Daten dort verschlüsselt abgelegt werden: Amazon S3 unterliegt der Zuständigkeit der US-Behörden und kann prinzipiell mit einem National Security Letter (NSL) zur Herausgabe von Daten gezwungen werden. Allerdings betreibt Amazon auch innerhalb Europas Datencenter, um Kunden alternative Speichermöglichkeiten anzubieten. Die externe Verschlüsselung ist grundsätzlich erlaubt und Basis des Tarsnap-Angebots . Solange keine Offenlegung des Quellcodes von tarnsnap unter einer OpenSource-Lizenz erfolgt kann nicht geprüft werden, ob sich keine Hintertüren in der Software befinden. Nutzer*Innen müssen sich, wie bei allen anderen Anbietern, auf die richtige Implementierung der Verschlüsselung und die Integrität des Anbieters verlassen.
Nutzer*Innen von Cloudspeichern ohne Zero-Knowledge-Funktionalitäten können die OpenSource-Backup-Lösung duplicity (Linux, Kommandozeilenwerkzeug), deja dup (Linux, grafisches Oberflache) oder Duplicati (Windows) nutzen. Diese Backup-Software verschlüsselt die Daten auf dem eingesetzten Rechnern, bevor diese dann in den Cloud-Speicher übertragen werden.
Alternative Cloudsysteme
In den letzten Jahren sind zu den großen Cloudanbietern auch freie OpenSource-Lösungen entstanden, die Nutzer*Innen mit dem entsprechenden Fachwissen in einem Shared-Hosting oder auf einem virtuellem RootServer installieren können.
Wer auf eine zentrale Instanz der Datenhaltung verzichten möchte, kann Dateien direkt mit einem Kommunikationspartner via Syncthing austauschen. Syncthing ermöglicht die Synchronisation großer Datenmengen (z. B. mehrerer geteilter Verzeichnisse) und setzt bei der Übertragung konsequent auf Transportverschlüsselung (TLS). Nutzer*Innen laden dafür eine direkt ausführbare Software auf ihr System, die einen kleinen Webserver startet, der für den Austausch eine einfach zu bedienende Webseite bereitstellt, über die Ordner für die Synchronisation festgelegt und Verbindungen zu anderen Teilnehmern hergestellt werden können. Die Identifikation erfolgt über eine sehr lange, eindeutige Identifikationsnummer, welche die Teilnehmer*Innen am besten über ein anderes sicheres Medium (z. B. verschlüsselte E-Mail oder Messenger-Nachricht) austauschen können. Die Ordner gleichen sich nach Aufbau der Verbindung automatisch miteinander ab. Einmal eingetragene Teilnehmer können auch gespeichert werden. Für Android-Systeme steht mittlerweile auch eine App zur Verfügung, so dass Syncthing für das Backup von Smartphones und Tablets verwendet werden kann. Aufgrund der vergleichsweise hohen Übertragungsraten positioniert sich Syncthing als konsequent verschlüsselte, quelloffenen Alternative zu kommerziellen, geschlossenen Angeboten wie etwa bitsync .
Das Nextcloud -Projekt bietet über den Dateiaustausch hinaus viele Features an – ansonsten häufig nur bei den Internetriesen vorzufinden –: Kalender und Kontakte, Fotogalerien und vieles mehr. Die Daten können auch aus einem anderen Speichersystem in die NextCloud integriert werden – sogar aus dem eigene Heim-NAS (Network Attached Storage). NextCloud ist in der Lage die Daten zu speichern und verschieden dort angemeldeten Nutzer Zugriff zu gewähren. Dateien und Verzeichnisse können auch über extern verfügbare Links geteilt werden, wobei der Zugriff zusätzlich über ein Passwort geschützt werden kann. Schließlich bietet NextCloud die Möglichkeit andere NextCloud miteinander zu vernetzen (föderiertes System). Mit der Collabora Online Office stehen einen zudem weitere Möglichkeiten offen. Nextcloud ist ein noch junger Fork des Owncloud-Projekts. Da die Zukunft des letzten aber ungewisst ist, empfehlen wir aktuell sich im Zweifel eher für Nextcloud zu entscheiden.
Seafile stellt eine Alternative zu Owncloud dar, vor allem, wenn lediglich die Möglichkeit des Datenspeicherns und -austauschens gewünscht wird. Seafile bietet die Möglichkeit verschlüsselte Ordner als Container anderen zur Verfügung zu stellen. Seafile bietet Desktop-Clients, die die Daten direkt auf dem eigenem Rechner verschlüsseln (Client-Side-Encryption).
Sowohl für Seafile , als auch für Nextcloud steht Software zur Verfügung, die auf einem Rechner installiert werden kann und die die Synchronisation von Dateien auf komfortable Weise im Hintergrund übernimmt. Für beide Systeme sind zudem Apps verfügbar, die einen Zugriff auf die Daten über Smartphones und Tablets erlauben.
Blogs und Microblogs
Blogs
WordPress hat sich in den letzten Jahren von einer Defacto-Software für Blogger zu einem sog. Content-Management-System entwickelt und stellt auf diese Weise tausende Sites im Netz bereit. WordPress fällt vor allem durch die vergleichsweise einfache Installation und Nutzung auf. Bei den meisten Anbietern von Shared-Hosting oder virtuellen RootServern lässt sich WordPress in der Regel problemlos installieren.
Für WordPress stehen zahlreiche Themes und Plugins zur Verfügung, die Blogger*Innen oder Seitenbetreiber*Innen dabei unterstützen, der eignen Individualität im Netz Ausdruck zu verleihen und bieten Möglichkeiten diese zu vernetzen. Der Vorteil beim sog. Self Hosting besteht vor allem darin, dass Blogger*Innen die Rechte über ihre Inhalte nicht über Allgemeine Geschäftsbedingungen und unter den Prämissen des US-Rechts an den Anbieter der Plattform übertragen und so einen wesentlichen Teil der Hoheit über ihre im Netz veröffentlichten Inhalte behalten.
Als Alternative zu WordPress kommen häufig schlankere, reine Blog-Systeme zum Einsatz. In den vergangen Monaten hat Ghost für Furore gesorgt. Anders als WordPress steht der Fokus hier vor allem auf dem Schreiben und der Veröffentlichung von Artikeln. Allerdings ist die Software derzeit noch nicht bei jedem Hosting-Anbieter ohne weiteres installierbar, auch wenn das dafür einsetzte Basissystem node.js in der jüngeren Vergangenheit an Verbreitung gewonnen hat.
Schließlich gibt es noch die Möglichkeit ein Blog oder eine Website auf der Grundlage von Textdateien, die einem bestimmten Format (Markdown) entsprechen, auf dem eigenen Rechner genieren zu lassen. Die entstandene, statische Website, die dann keinerlei Datenbanksystem mehr benötigt, kann dann auf den eigenen Server hochgeladen werden. In den letzten Jahren sind zahlreiche static site generators entstanden. Einer der bekanntesten ist noch immer jekyll .
Microblogs
Unter einem Mircobloggingdienst versteht man im allgemeinen einen Dienst der die Veröffentlichung von Kurzbeiträgen ermöglicht. Die Grenzen zwischen Sozialem Netzwerk und Microblogging ist dabei häufig fließend.
Zu den Microblogs, die Nutzer*Innen im Selfhosting betrieben können, oder für die es zumindest freie Accounts gibt, zählen z. B. GnuSocial (früher Status.Net) und pump.io , die beide einen föderierten Ansatz verfolgen, d. h. versuchen verteilte Installationen miteinander zu vernetzen.
GnuSocial unterstützt Nachrichten mit einer Länge von 1024 Zeichen. Diese Beiträge werden Queets genannt. Queeterer haben zudem die Möglichkeit Bilddateien in ihre Kurzmitteilung hochzuladen. GnuSocial bietet außerdem die Möglichkeit Links in Queets automatisch zu kürzen (URL-Shortener). Über Schlagworte (Tags) kann sich ein Nutzer in einem Profil selbst beschreiben. Queets können Standortinformationen enthalten. Diese Option ist – abhängig von der verwendeten Installation – standardmäßig nicht aktiviert. Das Profil bietet Nutzer*Innen zudem die Möglichkeit der Selbstbeschreibung (Biografie) an. Außerdem kann eine Website als Adresse hinterlegt werden. Impressum und vergleichbare Angaben sind nicht vorgesehen.
GnuSocial kann unter GnuSocial.de ausprobiert werden. Da GnuSocial das OStatus-Protokoll versteht, sind Apps verfügbar.
pump.io stellt eine sehr klare, moderne Weboberfläche zur Verfügung, die an Twitter erinnert. Anders als bei Twitter ist die Länge der Nachrichten nicht auf 140 Zeichen begrenzt. pump.io hat verschiedene technischen Protokolle zusammen getragen, die prinzipiell einen breiten Einsatz ermöglichen und auch die Probleme föderierter Netze zu adressieren versuchen. Da pump.io das ActivityStreams -Protokoll implementiert hat, kann es über entsprechende Apps auch dazu verwendet werden sportliche Aktivitäten, gehörte Musik oder Check-Ins an bestimmten Orten zu veröffentlichen und zu protokollieren. Inwieweit diese Möglichkeiten außerhalb von experimenteller Arbeit im Rahmen von Hacktivismus einer größeren Netzöffentlichkeit zu kommen werden, ist bisher schwer einschätzbar.
pump.io -Nutzer*Innen stehen für Android die Apps Puma und Impeller zur Verfügung, die über den FDroid-Store bezogen werden können. Für Desktop-Geräte machen die beiden Anwendungen Pumpa und Dianara derzeit den besten Eindruck.
Alternative ›Soziale Netzwerke‹
Wenngleich pump.io und GnuSocial durchaus auch als Soziale Netzwerke aufgefasst werden können, gibt es daneben auch weitere föderierte Ansätze, die explizit auf den Anspruch eines sozialen Netzwerkes hinarbeiten.
Unter föderiertem Ansatz wird im Zusammenhang mit Sozialen Netzwerken an dezentrale, verteilte, unabhängige Systeme gedacht, die sich bei Bedarf miteinander verbinden. Anders als bei den großen Rechnerverbünden (Cluster, Clouds) in den DataCentern von Facebook, Google und Twitter werden die Daten der Nutzer*Innen hier nicht in einem zentralisierten Datensilo gespeichert. Prinzipiell können also wenige Nutzer*innen einen bestimmten Zirkel sogar auf einer eigenen Instanz (Server, Pod, Host) abbilden. Es gibt sogar Verfahren, die ohne Rechner (Server, Hosts) im Netz auskommen und die Teilnehmer*Innen direkt miteinander verbinden (Peer-to-Peer).
Die aus Nutzer*Innensicht einfachste Variante ein Soziales Netzwerk aufzubauen ist der Einsatz von Retroshare . Retroshare ist eine Software, die auf dem eigenen Gerät installiert wird und die über ein verteiltes Verfahren, eine sog. Verteilte Hashtable (DHT), die Vernetzung direkt zwischen den Teilnehmen realisiert (Peer-To-Peer, P2P). Wenngleich die Benutzeroberfläche etwas in die Jahre gekommen wirkt, bietet Retroshare Instant-Messaging, Mailing, Voice-over-IP, Dateiaustausch und sieht sogar die Führung verteilter Foren vor. Identität wird in Retroshare über einen OpenPGP-Schlüssel abgebildet, den Freunde untereinander austauschen können. Diese Schlüssel werden in der verteilen Hashtabelle abgelegt. Für die Verschlüsselung nutzt RetroShare nach der Identifkation der beteiligten Kommunikationspartner eine modifizierte Version von OpenSSL. Der Austausch großer Dateien über Retroshare braucht Geduld, da die Übertragung aufgrund der Peer-To-Peer-Verbindung und der meist asymmetrischen Anbindung der Teilnehmer, einige Zeit in Anspruch nehmen kann. Das RetroShare-Team sucht derzeit händeringend nach Entwicklern, um die Software weiter zu entwickeln. Ein Prüfung der kryptografischen Elemente des Systems (Audit) hat bisher nicht statt gefunden.
Friendica ist ein umfassendes, verteiltes Soziales Netzwerk. Neuen Nutzern können in der Dokumentation eine Einführung konsultieren.
Ähnlich wie bei Facebook können Nutzer detaillierte Informationen zu ihren Vorlieben, Interessen und ihren Beziehungen angeben. In den Beiträgen ist es möglich Hyperlinks, Bilddateien, Video und Klangdateien einzubinden. Wie Facebook oder Twitter bietet Friendica die Möglichkeit, Schlagworte in den Beiträgen über Hashtags zu kennzeichnen. Wie bei Facebook ist die Möglichkeit gegeben über einen Kalender Ereignisse zu teilen oder anzulegen. Zudem können persönliche Notizen verfasst werden. Nutzer können ihre Kontakte über Gruppen organisieren oder diesen Beitreten. Ein IRC-Chat kann direkt integriert werden. Community Pages und Friendica Forums runden die Möglichkeiten ab. Die Standardoberfläche wirkt aus heutiger Sicht etwas angestaubt. Allerdings bietet Friendica Betreibern die Möglichkeit Themes zu installieren oder diese selbst anzupassen. Plugins erlauben ferner andere Dienste einzubinden. Die Verbindung zu Facebook (Facebook Connector) wurde vor Kurzem abgeschaltet, da Facebook die eigenen Schnittstellen so verändert hat, dass ein sog. Crossposting aus Friendica heraus nicht mehr möglich ist. Kritiker loben immer wieder die einfache Installation von Friendica .
Das Projekt Diaspora* wurde im Jahr 2015 als Crowdfunding-Projekt unter dem Eindruck der starken Expansion von Facebook ins Leben gerufen. Nach zwei Jahren Entwicklungsarbeit haben die ursprünglichen Entwickler Diaspora* dann der Open-Source-Gemeinde übergeben. Seither wurde das Projekt kontinuierlich weiterentwickelt.
Anders als bei den üblichen Sozialen Netzwerken ist Diaspora* auf Datensparsamkeit ausgelegt. Das Profil verlangt, verglichen mit vielen andren Sozialen Netzwerken, kaum Angaben zur eigenen Person (Selbstbeschreibung/Biografie, das Gender/Geschlecht wurde bewusst als Eingabefeld definiert). Diese Einschränkung verhindert einerseits die Suche nach Nutzer*Innen über Merkmale, trägt aber der Privatsphäre der Nutzer Rechnung.
Nachrichten könne im Markdown-Format eingegeben werden, so dass etwa Links oder Formatierungen innerhalb von Beiträgen möglich werden.
Ähnlich wie bei Google+ (Kreise) oder Facebook (Gruppen) haben Nutzer*Innen die Möglichkeiten ihre Kontakte in sog. Aspekten zu organisieren. Die Sichtbarkeit bestimmter Beiträge kann so je nach Kommunikationskontext getrennt werden. Links werden, ähnlich wie bei Facebook, mit einer Vorschau eingebunden. Hashtags haben bei Diaspora* eine zentrale Bedeutung. Nutzer*Innen sind in der Lage die Kommunikationsströme, die mit diesen Schlagworten arbeiten, zu abonnieren.
Kritiker haben sehen bei Diaspora* vor allem die relativ komplexe Installation als Hürde, die sich aus den eingesetzten Technologien ergibt. Die Anforderungen eines Hostings sind dadurch erhöht, was als Widerspruch zu dem ursprünglichen heeren Ziel eines dezentralen Systems, bei dem jeder Nutzer seine eigene Instanz (Pod) betreibt, aufgefasst wurde. Hier lohnt sich eine vorsichtige Evaluierung.
Für Friendica existieren eine Reihe von Apps die das OStatus-Protokoll von GnuSocial unterstützen. Mit dem Android Client for Friendica existiert auch eine Android-App die speziell für Friendica Nutzer*Innen ausgelegt ist. Die Diaspora* Entwickler wollen keine zu hohen Erwartungen bei den Apps schüren. Android-Nutzer können allerdings die App Pusteplume ausprobieren.
Als vielversprechender Ansatz für eine sinnvolle Realisierung verteilter, dezentraler Vernetzung wird aktuell Etherum diskutiert. Dabei wird die dezentrale Datenbank der Bitcoin-Währung, die sog. Blockchain zu einer dezentrale, verteilte Infrastruktur weiterentwickelt, auf der nicht länger nur eine Währung übertragen werden kann, sondern auf deren Basis verteile Soziale Netzwerke oder Messaging-Systeme denkbar werden. Dieses Feature wird bereits als das Rückrat von Web 3. 0 bezeichnet, für dass eine Verlagerung zu dezentralen Ansätzen vorhersagt. Akasha könnte ein erste Soziales Netzwerk werden, dass Web 3.0 auf der Basis von der Blockchain dezentral umsetzt.
Weiterführende Links
Jeff Reifmann hat sich in seinem Artikel mit alternativen Sozialen Netzwerken u. a. mit Diaspora*, Pump.io und GnuSocial befasst.
Die Wikis der Alternativen Sozialen Netzwerke bieten häufig detaillierte Installationsanleitungen. Eine sorgfältige Vorbereitung lohnt sich, um sicher zu stellen, dass der verwendete Hosting-Anbieter die notwendigen Voraussetzungen auch erfüllt.
Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Literatur
Roberto Simanowski: Facebook-Gesellschaft. Matthes & Seitz, Berlin. 238 Seiten
Ralf Adelmann: „Von der Freundschaft in Facebook. Mediale Politiken sozialer Beziehungen in Social Network Sites“ in: Oliver Leistert, Theo Röhle (Hrsg.): Generation Facebook. Über das Leben im Social Net, transcript , Bielefeld 2011, S. 127–144.
Anders Albrechtslund: Online Social Networking as Participatory Surveillance in: First Monday, Vol. 13, No. 3, 2008
Byung-Chul Han: Transparenzgesellschaft , 3. Auflage, Matthes & Seitz, Berlin 2013.
Wann : – ,
Wo :
Cryptoparty 09. November 2016
Wann : – ,
Wo :
17. 11. 2016, Welttag der Philosophie
Lesen – und diskutieren – für Privatsphäre, 19.30, Kulturwerkstatt KAOS
Am 17. 11. ist der Welttag der Philosophie. Das Bündnis Privatsphäre Leipzig veranstaltet aus diesem Anlass einen Lese- und Diskussionsabend. Wir laden Sie dazu ab 19.30 Uhr in die Villa der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V. –, Wasserstraße 18, 04177 Leipzig, ein.
Wir hinterlassen Daten, immer und überall. Werden verschiedene Quellen zu Profilen verknüpft, kann die eigene Identität ungewollt aufgedeckt und durch Dritte Rückschlüsse auf intime Lebensdetails gezogen werden. Die aktuelle Aufregung um die Datensammlung von Surfhistorien, die zum Kauf angeboten werden – und unter denen sich auch die Informationen von mehreren Millionen Deutschen finden –, illustriert das sehr plastisch.
Welches ökonomische und gesellschaftliche Potential hat die Aneignung und Verwertung von Nutzerdaten durch private Firmen? Welche politische Dimension und Aufgabe haben die Datensammlungen staatlicher Stellen und Institutionen? Erhöht sich die tägliche Sicherheit durch anlasslose (Massen)Überwachung? Haben Datensammlungen und die zur Auswertung eingesetzten Algorithmen (macht)politische Auswirkungen? Sind sie Demokratie-kompatibel? Wird Privatsphäre dabei verletzt? Ist das ein überholter Wert?
Wir wollen als Einstieg in den Abend Texte lesen, die diese Fragen kommentieren, darüber reflektieren und die gegenwärtige Situation beleuchten. Ausgesucht haben wir „Facebook-Gesellschaft“ von Roberto Simanowski, erschienen 2016 bei der MSB Matthes & Seitz Berlin Verlagsgesellschaft mbH.
Vor Allem aber, möchten wir mit Ihnen diskutieren und Ihre Ansichten dazu erfahren.
Wir freuen uns auf Sie, herzlich Willkommen!
Für die Kooperation bei der Veranstaltung bedanken wir uns beim Mitteldeutschen Internetforum, einem Projekt des Medienstadt Leipzig e. V., der Kulturwerkstatt KAOS – Projekt der KINDERVEREINIGUNG Leipzig e. V. und MSB Matthes & Seitz Berlin Verlagsgesellschaft mbH für die freundliche Genehmigung zur Lesung.
Wann : – ,
Wo :
Öffentliches Plenum, 06. Dezember 2016
Am Dienstag, den 06. Dezember 2016, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Retro Lesen für Privatsphäre am 17.11.2016
Podcast-Projekt
Weiteres Vorgehen und Ausarbeitung
Produktion des Podcasts
Status SmartCity Leipzig
Positionspapier
SmartCity-Veranstaltungen im Dezember
Mitgliederversammlung 2016
Inhalte, Ziele und Forderungen
Thematische Schwerpunkte und Perspektiven für 2017
Wie neue Mitstreiter*innen gewinnen?
Gäste sind, wie immer, herzlich willkommen. 🙂
Da das sublab nicht geheizt wird, empfehlen wir warme Kleidung und eine Decke mit zurückbringen.
Wann : – ,
Wo :
Panel: Wie smart kann eine linke City sein?, 12.12.2016
Im Rahmen der Veranstaltungsreihe “Stadt für alle statt für wenige! ” veranstaltet das linXXnet ein Panel zum SmartCity-Prozess. Zusammen mit dem Haus- und Wagenrat e.V. wurden wir zu dieser Gesprächsrunde eingeladen:
Unter dem Begriff „smart cities“ werden technische, wirtschaftliche und gesellschaftliche Innovationen versammelt, die eine grünere und sozialere Stadt versprechen. Die Stadt Leipzig bemüht sich bereits um die Umsetzung von Smart City Initiativen und ist Partner eines entsprechenden Förderprogramms der EU-Kommission.
Doch welche Folgen hat die technische Vernetzung in einer smarten city, welche Technologien sind überhaupt betroffen und welche Daten werden von den betroffenen Bewohner*innen gesammelt und verwertet?
Gäste:
Katalin Gennburg für DIE LINKE im Berliner Abgeordnetenhaus,
Michael Stellmacher (Verein für selbstorganisierte Räume in Leipzig, Haus- und Wagenrat e.V.)
Bündnis Privatsphäere Leipzig e. V.
Moderation:
Susanna Karawanskij (Mitglied des Deutschen Bundestags)
Wann: 12.12.2016 19-21 Uhr
Wo: Eisengießerei Westwerk, Karl-Heine-Str. 93b
Wann : – ,
Wo :
Podiumsgepräch im Rahmen von »Hotspots der Stadtentwicklung«: Datenschutz & Privatsphäre vs. Smart City? am 15.12.2016
Im Rahmen der Veranstaltungsreihe HOT SPOTS :: DER STADTENTWICKLUNG veranstaltet das Institut für Stadtentwicklung und Bauwirtschaft (ISB) der Universität Leipzig unterstützt durch die Vereinigung für Stadt-, Regional- und Landesplanung e.V. (SRL e.V.) , die Schaubühne Lindenfels und die Stiftung Lebendige Stadt , vom Oktober 2016 bis Januar 2017 zu Veranstaltungsreihe mit dem Schwerpunkt SmartCity .
Wir wurden u. a. zu dem Podiumsgespräch Datenschutz & Privatsphäre vs. Smart City am kommenden Donnerstag (15.12.2016). Nach zwei kurzen Vorträgen (die Slides hierzu werden wir auf unserer Website unter der Rubrik SmartCity einstellen) freuen wir uns auf eine spannende Debatte.
Gäste:
Lutz Martiny (achelos GmbH, Paderborn)
Bündnis Privatsphäre, Leipzig
Wo: Schaubühne Lindenfels / Grüner Salon (1.OG), Karl-Heine-Str. 50, 04229 Leipzig
Wann: 15.12.2016, 18:30 – 20:00 Uhr
Wann : – ,
Wo :
CryptoParties 2017, 1. Halbjahr
Unsere regulären CryptoParties von Januar bis Juni starten jeden 2. Mittwochabend im Monat, ab 19 Uhr, im Westwerk, sublab e. V., Karl-Heine-Straße 93, Leipzig (Plagwitz). Die Teilnahme ist kostenfrei.
Für Fragen zwischendurch gibt’s auch unser Diskussionsforum, auch Anregungen und Anmerkungen sind dort gern willkommen. Einfach registrieren und loslegen, E-Mail-Adresse genügt ;-).
Termine und Themen
11. Januar 2017 Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet
8. Februar 2017 Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
8. März 2017 Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs
12. April 2017 Keiner soll es erraten – Symmetrische Verschlüsselung, Datei- und Festplattenverschlüsselung
10. Mai 2017 Das können wir selber – Alternative Soziale Netzwerke, Cloud-Systeme und Backups
14. Juni 2017 Datenverkehr unter Kontrolle – privat mit Windows 10, virtuelle Maschinen und Systeme
Warum eigentlich?
Im zweiten Halbjahr 2016 ist eine Gesetz beschlossen worden, dass die bisher illegale oder mindestens höchst umstrittene Praxis des BND masenhaft Daten zu erfassen legalisiert. Erweiterte Erfassungs- und Auswertungsmöglichkeiten von Internet-Daten sind auch für den Verfassungsschutz geplant. Überwachungsbefugnisse werden damit ausgeweitet.
Große Teile der Digital-Wirtschaft agieren nach dem von der EU-Kommission vollmundig verkündeten Nachfolger des Safe Habour Abkommens – dem EU-US-Privacy-Shield – das in seiner Wirksamkeit für effektiven Datenschutz nach europäischen Standards höchst umstritten ist, teilweise ist von einer Farce die Rede. Erneutes gerichtliches Vorgehen gegen dieses Abkommen ist bereits angekündigt.
Die europäische Datenschutzgrundverordnung, die den Schutzrahmen für den Umgang mit Daten in Unternehmen und teilweise auch Verwaltungen in Europa als unmittelbar geltendes Recht neu setzt, weist viele Regelungslücken auf (beispielsweise zur Videoüberwachung), hebt aber bisherige Rechtsprechung gleichzeitig teilweise auf und verlangt nach neuer Interpretation durch Gerichte und Richter. Dem ersten Entwurf des deutschen Innenministeriums zur Anpassung dieser Richtlinie an nationales Recht werden verheerende Noten ausgestellt, weil damit versucht wird, aktuelle Datenschutzstandards abzusenken. In Reden von Regierungspolitikern wird Datenschutz zunehmend als Investitions- und Innovationshemniss dargestellt, das es umzudeuten oder abzuschaffen gälte.
Ungebrochen räumen sich Diensteanbieter weitergehende Rechte zur Verwertung der Daten ihrer Nutzer ein – neben den anfallenden Metadaten auch an Fotos, Texten, Videos, Entwürfen usw.
Nahezu täglich werden erfolgreiche Hackerangriffe publik, bei denen große Mengen von Zugangsdaten kopiert und in Umlauf gebracht worden sind oder zum Verkauf stehen. Oft stellt sich dabei heraus, das die Daten völlig unzureichend gesichert und die eingesetzten Algorithmen überholt sind. Identitätsdiebstahl kann eine für die Betroffenen unangenehme Folge sein.
Den Schutz der eigenen Daten und der Vertraulichkeit ihre Kommunikation müssen die Bürger*Innen unter diesen Vorzeichen selbst in die Hand nehmen. Unter dem Schlagwort „Digitale Selbstverteidigung“ sind die Aktivitäten zusammengefasst, die Jede und Jeder Einzelne gegen den ungesteuerten Verlust der Kontrolle über seine Daten, und damit mindesten einen Teil seiner Autonomie und Persönlichkeit, in Anwendung bringen kann.
Mitmachen!
In praxisorientierter, anwenderfreundlicher und verständlicher Weise informieren wir über Möglichkeiten und Grenzen von Verschlüsselungs- und Anonymisierungsprogrammen und -techniken und zeigen deren Einsatz.
Am Beginn steht die Frage nach der Bedrohungslage (Threat Model): Wer will wie und wo an meine Daten? Wogegen muss ich meine Daten also schützen? Das erlaubt, zu geeigneten Sicherheitsentscheidungen zu gelangen und ein persönliches Schutzniveau zu finden. Oft wird dies auf eine Entscheidung zwischen Sicherheit und Bequemlichkeit hinaus laufen.
Für den praktischen Teil bei allen Veranstaltungen ist es sinnvoll, eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen. Vorkenntnisse sind immer hilfreich aber nicht notwendig.
Wir freuen uns auf euch!
Wann : – ,
Wo :
Sommersemester 2017
Wann : – ,
Wo :
Datenschutz geht alle an
Ein Gespräch zu Privatsphäre und Datenschutz
Dieser podcast entstand in einem gemeinsames Projekt des RPJ Sachsen e. V. in Kooperation mit linksjugend [‘solid] Sachsen. Gefördert aus Mitteln des Freistaates Sachsen.
Weiterverwendung des podcast nur gemäß CC BY-NC-SA 3.0 .
Zu diesen Zeiten dreht sich das Gespräch um die aufgeführten Themen:
0:02:00 Privatsphäre und Daten
0:20:37 BigData und Auswirkungen
0:51:58 ökonomische Hintergründe
1:05:50 Überwachung
1:25:55 Datenschutz
1:32:26 Digitale Selbstverteidigung/Cryptoparties
1:43:21 konkrete Handlungsempfehlungen
2:13:49 weitere Handlungsempfehlungen
Weiterführende Informationen:
Website der Kampagne »Datenschutz geht alle an«
Cryptoparty-Unterlagen
Weitere Informationen zur Digitalen Selbstverteidigung
Digitale Selbstverteitung, eine Zusammenstellung
PRISM Break
Surveillance Self-Defense
Security in a Box (engl.)
Literatur
Roberto Simanowski: Facebook-Gesellschaft. Matthes & Seitz, Berlin. 238 Seiten
Ralf Adelmann: „Von der Freundschaft in Facebook. Mediale Politiken sozialer Beziehungen in Social Network Sites“ in: Oliver Leistert, Theo Röhle (Hrsg.): Generation Facebook. Über das Leben im Social Net, transcript , Bielefeld 2011, S. 127–144.
Anders Albrechtslund: Online Social Networking as Participatory Surveillance in: First Monday, Vol. 13, No. 3, 2008
Byung-Chul Han: Psychopolitik . Neoliberalismus und die neuen Machttechniken, 2. Auflage , FISCHER Taschenbuch, Frankfurt am Main 2015
Byung-Chul Han: Transparenzgesellschaft , 3. Auflage, Matthes & Seitz, Berlin 2013.
Shoshana Zuboff: Big Other. Surveillance Capitalism and the Prospects of an Information Civilization (4. April 2015). Journal of Information Technology (2015) 30, 75–89. doi:10.1057/jit.2015.5. Available at SSRN: https://ssrn.com/abstract=2594754
Shoshana Zuboff: Lasst euch nicht enteignen! Warum wir uns gegen den Überwachungskapitalismus von Big Data mit aller Macht wehren müssen – eine Kampfansage . In: FAZ. 15. September 2014 (Nachdruck der Eröffnungsrede beim M100 Sanssouci Colloquium).
Zygmunt Bauman, David Lyon: Daten, Drohnen, Disziplin. Ein Gespräch über flüchtige Überwachung , edition suhrkamp, Berlin 2013, 205 Seiten
Frieder Vogelmann: Foucault lesen , 1. Auflage, Springer VS, 2017, 48 Seiten
Gutwirth, S.; Gellert, R.; Bellanova, et al.: Appendix: Types of privacy, benefits & harms. In: PRESCIENT. Privacy and emerging fields of science and technology: Towards a common framework for privacy and ethical assessment , Fraunhofer ISI, Karlsruhe 2011, 74 S.
Wann : – ,
Wo :
Weihnachtsfeier, 20. Dezember 2016
Am Dienstag, den
20. Dezember 2016 , findet unsere diesjährige Weihnachtsfeier statt. Wir werden bei Keksen und Tee ein ereignisreiches 2016 ausklingen lassen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Da das sublab nicht geheizt wird, empfehlen wir warme Kleidung und eine Decke mit zurückbringen.
Wann : – ,
Wo :
Datenschutz-Podcast
Wann : – ,
Wo :
Podcast zum Panel › Wie smart kann eine linke City sein?‹
Wann : – ,
Wo :
Datenschutz geht alle an
Am 5. 1. geht die Kampagne „Datenschutz geht alle an“ an die Öffentlichkeit – ein gemeinsames Projekt des RPJ Sachsen e. V. in Kooperation mit linksjugend [‘solid] Sachsen, gefördert aus Mitteln des Freistaates Sachsen.
Das Projekt präsentiert allgemeine Tipps zum sicheren Umgang mit persönlichen Daten. Dazu stellt es Informationen zur digitalen Selbstverteidigung bereit und RFID-Schutzhüllen, die handelsübliche Chipkarten, wie den elektronische Personalausweis, zuverlässig vor ungewolltem Auslesen schützen.
Im Rahmen des Projektes haben wir ein Gespräch zu Privatsphäre und Datenschutz aufgenommen, das als podcast zur Verfügung steht.
Weitere Informationen: datenschutzgehtallean.de
Wann : – ,
Wo :
Neustart: CryptoParties 2017, erstes Halbjahr
Am 11. 1. 2017, um 19.00 Uhr beginnen wir mit dem Thema „Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet“ wieder mit unseren
CryptoParties für das 1. Halbjahr 2017.
In sechs lose verbundenen Veranstaltungen werden wir im sublab, Karl-Heine-Straße 93, 04229 Leipzig, die Möglichkeiten zur digitalen Selbstverteidigung gegen privatwirtschaftliche sowie staatlicher Massenüberwachung und Datenerhebung zeigen sowie Hintergründe beleuchten. Details zu den jeweils behandelten Themen und die Veranstaltungstermine finden sich unter https://privatsphaere-leipzig.org/cryptoparties/
Täglich hinterlassen wir bei unseren Wegen durchs Netz – und zunehmend auch bei denen durch das Leben – digitale Datenspuren. Welche unterschiedlichen Ansätze der Datensammlung werden dabei von wem verwendet? Können wir dem permanenten Stalking etwas entgegensetzen? Und falls ja: Wie?
Kann ich mein Surfverhalten weniger transparent werden lassen, um meine Privatsphäre zu schützen? Was sollte bei der Auswahl eines VPN-Anbieters beachtet werden? Wie kann ich Tor sinnvoll und sicher einsetzen, um digitale Spuren zu verwischen? Gibt es Wege, die Hoheit über meine Daten zu behalten? Mit diesen und weiteren Fragen werden wir uns am Mittwoch, den 11. Januar 2017, ab 19.00 Uhr im sublab/Westwerk beschäftigen. Dazu laden wir herzlich ein. Der Eintritt ist frei.
Für den praktischen Teil empfehlen wir einen Laptop mitzubringen. Auch Smartphones oder Tabletts können eingesetzt werden, bieten aber nicht in allen Fällen ein adäquates Schutzniveau oder sind eine empfehlenswerte Alternative.
Vorkenntnisse sind wie immer hilfreich, aber nicht notwendig.
Bitte warm anziehen, denn das sublab wird leider nur knapp über Frost gehalten. 😉
Wann : – ,
Wo :
Cryptoparty 11. Januar 2017 – Programme, Materialien, Links
Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Beim Behavioral Profiling werden dahingegen Tastatureingaben, Mausbewegungen und -klicks beobachtet, aus denen sich sehr eingeidute Personalisierungen ableiten lassen und gegen die aktuell noch keine durchgängigen Verteidigungsmaßennahmen bekannt sind.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung , die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen .
Anonymisierungs-/Pseudonomisierungsnetzwerk Tor
Tor gilt als das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.
Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.
Das Tor-Browser-Bundle ist ein gehärteter Firefox-Browser, der speziell für das Surfen mit Tor entwickelt und vorkonfiguriert wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI in Kooperation mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.
Es wird empfohlen, Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, das ein für das anonyme Surfen angepasstes Betriebssystem darstellt.
Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben müssen, um Schutz zu gewährleisten.
Das Whonix Projeckt hat eine Reihe von Ratschlägen von Dingen, die man nicht tun sollte , zusammengestellt.
Personal Virtual Private Network (VPN)
Personal Virtual Private Networks (VPNs ) versprechen ebenfalls die Verschleierung von Metadaten, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Die Nutzer*In baut über eine spezielle Software einen sicheren Kanal zum Anbieter auf, durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.
Wer hartnäckigen Verfolgungstechniken, wie etwa den Perma-Cookies von Internet Service Providern, entkommen möchte, muss auch beim Surfen mit VPNs die TLS-Verschlüsselung der besuchten Webseiten in Anspruch nehmen.
Stichwort CryptoWars : Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren . Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
Self Destructing Cookies ,
Random Agent Spoofer ,
µMatrix (uMatrix).
Weiterführend oder alternaiv bieten sich Erweiterungen an wie:
µBlock Origin (statt µMatrix),
NoScript , (statt µMatrix oder µBlock Origin),
RequestPolicy , (zusätzlich).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl .
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier .
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
Cryptoparty 11. Januar 2017
Wann : – ,
Wo :
CryptoParty at Pögehaus 15.01.2016 – Ressources
Our CryptoParty was orginally presented in German and translated into Kurdish.
Sildes and Discourse
Our slides. (Download: Zip-Archiv | Tarball )
discussion forum for questions, comments, hints. Simply register and start.
Threat models
Threat models allow evaluation of risks which eventually come across as a by-product of digital communication.
They describe potential attacks and expose risks in behaviors, in transmissions or in channels.
This descriptions provide knowledge, which enables you to estimate limits and possibilities of solutions such as end-to-end-encryptions or transport security regarding the given use case and provides hints for adapdting the own online behavior.
The slides of the talk What the Hell is Threat Modelling Anyway? give a short introduction into conceptualizing risks, which you might face whenever using communication technology.
Electronic Frontier Foundation (EFF ) provide a short Introduction on thread models focused on the needs of journalists.
Passphrases and Password Managers
Please do not consider using a cloud-based password manager. Instead, we recommend using a password manager which stores your passwords into a encrypted container or database on your own device.
If you cannot avoid using cloud based storage we suggest sharing the encrypted database of a password manager who runs on your own device.
The following password managers seem recommendable for us:
KeePass : offcial site with tutorials, docs and a bbs. You can find KeePass Source code in the download section.
MacPass (MacOSX/macOS): offical site. source code is hosted on Github .
KeepassX (Linux): offical site with docs , bbs and source code .
KeeWeb : offical site.
PasswortSafe : offical site with doc and source code
Remember : Length beats complexity. A good password is a long password (20-30 letters or 8-12 words) even when it is simple. A simple method for choosing a good password is to combine at least 6 random words and use memory techniques to remember. Please resist writing it down. Another method is to generated a random password by using your Password Manager and remember only a good master password.
Diceware™ is a method to compile a password or a passphare by using a dice and a dictionary list. Using a high-quality dice (casino dice) is recommend. Instead you can use Software base on a cryptographically secure pseudorandom number generator only. Good passphrases generated this way consits of at least eight words (80 bits entropy).
Twelve words (120 bit entropy) are considerd as a strong passphrase. Generating a passphrase that provides enough entropy that lasts a year by current standards should
provide 65 bit entropy at least.
Webtracking and Digital Shadow
By Using digitial services with our devices we leave traces – intentional or not. We click on websites, comment on Twitter or upload photos to Facebook or Instagram or share your thougts in Vlogs on YouTube. Even if we phone our write texts we leave this traces.
Metaphorically speaking our digital shadow is growing and growing continously. By using My Digital Shadow Technical Tech provides a tool to visualize these traces.
Most websites use cookies to gather information about their visitors and users. There are different kinds of cookies where some are more persitent than others.
Especially media sites use tracker scripts to identify users and provide personalized advertising and services.You can use Trackography to visualize the way your data colleted by these tracker flows around the globe.
Browser Fingerprints are another quite popular method of tracking your online behavoir. Use Panopticlick and HTML5 Canvas Fingerprinting to check if your browser setup allows fingerprinting to identify you uniquely.
Behavioral Profiling tracks key strokes, mouse movments and clicks to build a very unique and identifying behavoiral profile you cannot get rid of. There is no broad defence method available for this new kind of surveillance.
Recently Cross Device Tracking has been added to the arsenal of tracking technolgy which uses ultrasound (silent to the human ear) to identify users across their different devices (Mobile, Laptop, Computer). This method is also able to deanoynomize Tor users. It could be a wise decision to put your mobile devices into a fridge while using any method to cover your tracks.
SSL and TLS
SSL or better TLS is a standard end-to-end-encrytion used in the internet. Whenever possible use this kind of end-to-end-encryption. The strength of this encryption relies heavily on the server side. Thus it is out of your controll most of the time. Always us the latest version of your Browser (Firefox or Tor-Browser are recommend).
Check the validity of server SSL/TLS certificiates is alaways a good idea when you need to trust the website you are using. The proof is done by checking the SHA256 fingerprint. You need the correct fingerprint sent to you by a secure channel before.
Tor – The Anonymity Network
Tor is the most famous and the best reviewed anonymity network.
Tor aims to obfuscate data traces and meta data generated by online traffic such as visiting websites, receving emails or using an instant messenger.
Driven by Onion routing the traffic is routed trough randomly choosen Tor nodes using 3 hops each request while layered encryption ensures that no participating node can leak its traffic information.
This efforts render the Tor network nearly incapable of serving large amount of bandwidth, which are usualy consumed by services such as media streaming or online gaming.
Using specific protocols to transfer large amount of data such as the Bittorent protocol even undo the efforts of covering your tracks and enables deanonymization.
Theoretically Tor complicates tracking users inside its networks. However studies show latetly, that statistic analysis can be used over time to almost deanonymize certain participants. Moreover intelligence make huge efforts to infilitrate parts of the Tor network (so called Relays) in order to uncover participants.
The Tor Browser Bundle i s a hardend version of Firefox, specially adapted and configured for the use of Tor. Unfurtunatly this makes this Browser a special target. The FBI recently attacked the Tor Browser in combination with infected malicous relays in order to uncover certain users.
Nevertheless it is recommoned to use Tor only on Tails , a special Linux-Live-Distribution with anonymity in mind. Tails purpose is to avoid metadata and increase the efforts to uncover its users.
Using Tor comes with the price of changing your online behavoir in order to provide best protection and anonymity. The Whonix Project colleted some advice of things not to do.
Recommend readings and talks
Prism-break.org – Used cases and non-privacy invasive tools and/or alternatives
Surveillance Self-Defense Guide of EFF
Security-In-A-Box (sometimes outdated tutorials)
Slides of our talk Überwachungskapitalismus (German) at CryptoCon15.
Talk on CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbook of Applied Cryptography”:
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.
Wann : – ,
Wo :
CryptoParty Pögehaus 15.01.2016
Wann : – ,
Wo :
Öffentliches Plenum, 17. Januar 2017
Am Dienstag, den 17. Januar 2017, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Retro CryptoParty vom 11.01.2017
Retro der Spezial-CryptoParty im Pöge-Haus vom 15.01.2017
Lesen für Privatsphäre anlässlich des Safer Internet Day (SID2017) am 07.02.2017
Außerordentliche Vereinsversammlung im Februar
Status SmartCity Leipzig
Vortrag im Rahmen der Linux-Tage in Chemnitz am 11./12. März
Teilnahme an der HOTSPOTS-Veranstaltung am 19.01.2017
Positionspapier
Abwicklung der Kampagne Verfolgungsprofile
Halbjahresplanung, Inhalte, Ziele und Forderungen
Alternative Operationsbasis/Treffpunkte und Veranstaltungsorte
Workload und Re-Humanisierung des ehrenamtlichen Engagements
Gewinn neuer Aktivist*innen, Bündnis as a plattform/service
Abstimmung der Halbjahresplanung 1/2107 und Festlegung thematischer Schwerpunkte
SmartCity
IoT
Datennutzungskonvention
Bildungsinitiative
Kritische Stimme im Spannungsfeld Sicherheitspolitik und Grundrechte (u. A. Wahlprüfsteine entwickeln, Kommentare, Veranstaltungen etc.)
Planung eines Review/Public Viewings der Talk-Recordings vom 33c3
Gäste sind, wie immer, herzlich willkommen. 🙂
Da das sublab nicht geheizt wird, empfehlen wir warme Kleidung und eine Decke mit zurückbringen.
Wann : – ,
Wo :
Hackerspace Sublab soll im Juli ausziehen
Vor wenigen Tagen (Mitte Januar 2017) wurden die Räumlichkeiten des
Sublab im Westwerk durch deren Vermieter gekündigt. Bis zum 31. Juli wird das Sublab wohl räumen müssen, falls sich in den angebotenen Gesprächen keine Einigung mit dem Vermieter erzielen lässt.
In den vergangen Jahren wurde das Sublab zu unserer Operationsbasis. Wir konnten dort 5. CrpytoParty-Seasons durchführen. Die aktuelle 6. Staffel wird wohl voraussichtlich die letzte in den Räumen im Westwerk sein.
Ebensowenig wie das Sublab, wissen wir aktuell nicht, wie diese Entwicklung sich auf unsere Plenen und für die CryptoParties auswirken, halten Euch aber auf dem Laufenden. Gleichzeitig sind wir bereits dabei, alternative Räumlichkeiten in Erwägung zu ziehen.
Hier die Erklärung des Sublab: http://sublab.org
Wann : – ,
Wo :
Öffentliches Plenum, 31. Januar 2017
Am Dienstag, den 31. Januar 2017, findet unser nächstes reguläres, öffentliches Plenum im sublab statt, zu dem wir alle Interessierten einladen.
Wann: Beginn 19.00 Uhr c.t.
Wo: sublab e. V. , Karl-Heine-Straße 93, 04229 Leipzig
Agenda:
Organisatorisches
Lesen für Privatsphäre anlässlich des Safer Internet Day (SID2017) am 07.02.2017
Außerordentliche Vereinsversammlung im Februar
Halbjahresplanung, Inhalte, Ziele und Forderungen
Alternative Operationsbasis/Treffpunkte und Veranstaltungsorte / Aktuelle Situation im Sublab
Gäste sind, wie immer, herzlich willkommen. 🙂
Da das sublab nicht geheizt wird, empfehlen wir warme Kleidung und eine Decke mit zurückbringen.
Wann : – ,
Wo :
Lesen – und diskutieren – für Privatsphäre
am „Tag des sicheren Internet“,
7. Februar 2017, 19.30 Uhr, Kulturwerkstatt KAOS
Daten fallen an, online wie offline. Welches ökonomische Potential hat die Aneignung und Verwertung von Daten durch private Firmen? Welche politische Dimension und Aufgabe haben die Datensammlungen staatlicher Stellen und Institutionen? Haben die auswertenden Algorithmen (macht)politische Auswirkungen? Sind sie Demokratie-kompatibel?
Wir wollen zu Beginn der Veranstaltung Texte von Byung-Chul Han lesen, die – recht pointiert – den Istzustand der zunehmend digitalisierten Gesellschaft aus kulturwissenschaftlich-philosophischer Sicht problematisieren. Anschließend soll der kontrovers diskutierte Entwurf der „Charta der digitalen Grundrechte“ vorgestellt werden, mit der konkrete Lösungen und Regulierungen vorgeschlagen werden. Han ist einer der Autoren des Entwurfs.
Vor allem aber, möchten wir mit Ihnen über die Analyse und die in der Charta angedeuteten Lösungen diskutieren und Ihre Ansichten dazu erfahren.
Wir laden Sie herzlich ein dabei zu sein, am 7. 2. 2017, ab 19.30 Uhr, in der Villa der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V. – Wasserstraße 18, 04177 Leipzig.
Wir bedanken uns beim Mitteldeutschen Internetforum, einem Projekt des Medienstadt Leipzig e. V. und bei der Kulturwerkstatt KAOS – ein Projekt der Kindervereinigung Leipzig e. V. für die freundliche Unterstützung der Veranstaltung sowie für die Leserechte: © Byung-Chul Han „Psychopolitik. Neoliberalismus und die neuen Machttechniken“ Leserechte mit freundlicher Genehmigung des S. Fischer Verlag GmbH, Frankfurt am Main.
Wann : – ,
Wo :
CryptoParty am 8. Februar 2017, 19.00 Uhr
„Der elektronische Briefumschlag” – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
E-Mail hat den Postweg weitgehend ersetzt und wird oft zum Austausch von Dokumenten eingesetzt und es scheint so, als würden so viele E-Mails geschrieben wie nie zuvor.
Immer noch entschieden sich viele bei der Wahl ihres E-Mail-Providers für kostenfreie Angebote. Die Anbieter lesen und analysieren dann allerdings meistens die Inhalte der E-Mails ihrer Kunden um das Angebot über Werbung und den Verkauf von Profilen zu finanzieren.
Anders als bei Briefen, die in einen Umschlag verschickt werden, sind normale E-Mails während des Versandes nicht vor neugierigen Augen geschützt, sondern werden als Klartext übertragen. Die Ausweitung der Befugnisse der deutschen Geheimdienste im letzten Jahr, komplette Leitungsverkehre analysieren zu dürfen, sollte Anlass sein, zuverlässige Verschlüsselung einzusetzen. Denn dies ist ein funktionierendes Mittel um wenigstens die Inhalte seiner Kommunikation vertraulich auszutauschen, auch wenn die Massenüberwachung der Verbindungsdaten damit nicht unterbunden wird.
Wir laden Sie am 8. 2. 2017 um 19 Uhr herzlich ins sublab, Karl-Heine-Straße 93, 04229 Leipzig zur CryptoParty ein um Ihren sichere Ende-zu-Ende-Verschlüsselung von E-Mails vorzustellen und deren Einrichtung zu zeigen. Die Erzeugung und Verwaltung der elektronischen Schlüssel wird demonstriert und darüber hinaus erklärt wie eine gute Passphrase gefunden werden kann, um den eigenen geheimen Schlüssel zu sichern. Auch deshalb stehen Passwort-Managern mit auf dem Programm.
Zum Einstieg erläutern wir Hintergründe zu E-Mail-Versand und -verschlüsselung. Ein kurzer Überblick über Kriterien zur Analyse der eigenen Bedrohungslage um den nötigen „Verteidigungsaufwand“ einschätzen zu können, rundet unsere Cryptoparty ab. Und natürlich wünschen wir uns eine angeregte Diskussion im Anschluss.
Eigene Geräte (Laptop, Computer, Smartphone etc.) mitzubringen ist hilfreich und erhöht Lerneffekt und Spaß, ist aber keine Voraussetzung. Der Eintritt ist frei, eine Voranmeldung nicht erforderlich.
Im sublab ist es sehr kalt, so dass wir warme Kleidung und eine Decke sehr empfehlen.
Wann : – ,
Wo :
CryptoParty 8. Februar 2017 – Programme, Materialien, Links
Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP
Materialien, Programme, Links
Hier ist der Link unseren Folien (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Passwörter und Passwort-Manager
Von Passwort Managern die Passwörter in der Cloud ablegen raten wir ab. Wer auf die Cloud nicht verzichten kann sollte eine auf eigenen Gerät verschüsselte Passwort Manager Datei (in der Regel eine verschlüsselte Datenbank) mit der Cloud seiner Wahl synchronisieren. Um das Risiko von Hintertüren in der Software zu reduzieren, empfehlen wir unbedingt auf quelloffene Password Manager zu setzen.
KeePass : Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum . Der Quellcode findet sich auf der Download-Seite .
MacPass (MacOSX/macOS): Offizelle Webseite des Projektes (englisch). Quellcode bei Github .
KeepassX (Linux): Offizielle Website des Projektes (englisch) mit Dokumentation , Forum und Quellcode.
KeeWeb : Offizelle Website des Projektes (englisch).
PasswortSafe : Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org , die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt.
Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Diceware™ ist eine Methode eine Passwort oder eine Kombination von Passwörtern (Passpharse) unter Einsatz eines Würfels zu erzeugen. Dafür gibt es Wörterbuchlisten. Es wird empfohlen entweder einen hochwertigen Würfel (z. B. Casino-Würfel) oder Software einzusetzen, die einen kryptographisch sicherer Zufallszahlengenerator einsetzt. Nach aktuellem Stand gilt eine Passphrase, die auf diese Weise erzeugt wurd