Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Überwachungskapitalismus
Die zunehmende Zahl datengetriebener Geschäftsprozesse und die lückenlose Vernetzung und Überwachung des Alltags haben dazu geführt, dass einige Daten als neue Ressource des 21. Jahrhunderts mit dem Rohstoff Öl vergleichen.
Unabhängig davon, was von diesem Vergleich zu halten ist, wird die Frage diskutiert, ob Big-Data-Geschäftsmodelle mit speziellen oder spezialisierten Verwertungs- und Kommerzialisierungslogiken einhergehen.
Diese Frage ist insbesondere im Hinblick auf die Konsequenzen für Grundrechtsfragen, wie dem Recht auf Privatheit im digitalen Zeitalter und im weiteren Sinne auch dem Konzept des Datenschutzes von Belang.
Die Ökonomin Shoshana Zuboff prägte in ihrem Essay Big Other: Surveillance Capitalism and the Prospects of an Information Civilization erstmal den Begriff des Überwachungskaptialismus. Das Essay stellt einen Versuch dar, die ökonomischen Logiken hinter dem Geschäftsmodell Big-Data näher zu beschreiben.
Ziel von Überwachungskapitalisten soll nicht nur Marktkontrolle durch den Ausbau von Marktvorherrschaft (Hegemonie) sein, sondern auch die Manipulation menschlichen Verhaltens zur Steuerung des Konsums. Überwachungskapitalismus beschreibt insofern den Zustand der Kommerzialisierung der Bewegungen des täglichen Lebens.
Unter dem Begriff nudging, der erstmal in der Verhaltensökonomie diskutiert wurde, werden all jene Versuche zusammengefasst, Verhalten von Menschen auf sanfte Weise zu beeinflussen. Die Manipulation soll dabei möglichst als freiwillig und für die Manipulierten als nutzenstiftend erlebt werden. Nudging kann mit Ergebnissen von Big-Data-Analysis kombiniert werden, wird als Big Nudging beschrieben und findet etwa bei Experimenten Sozialer Netzwerke Anwendung.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
Risiken und Nebenwirkungen von Mobilgeräten
The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security
Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.
Tutorials und HowTos
How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.
How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.
Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.
Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.
Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.
Empfehlenswerte Apps für Mobilgeräte
Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.
| Signal | Wire | Threema | Telegramm | Wickr | Antox | Ello | ||
|---|---|---|---|---|---|---|---|---|
| Empfehlung | ||||||||
| immer Ende-zu-Ende-verschlüsselt | ||||||||
| Forward Secrecy | ||||||||
| Gruppenunterhaltungen verschlüsselt | ||||||||
| Telefonate verschlüsselt | ||||||||
| Videokonferenz verschlüsselt | ||||||||
| Open-Source | ||||||||
| Alternative zu | , , , Ello | , , , Ello | , , Ello | , , Ello | , , , Ello | , , Ello | – | – |
| Betriebssysteme | , , | , | , | , | , | , |
Weitere empfehlenswerte Apps:
- Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
- Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
- Android: Secure Update Scanner
- Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
- Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.
CryptoPhones
Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.
Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops
Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box, sowie im CryptoParty-Handbook. (beide engl.)
Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.
Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen: Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.
Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)
Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.
Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.
CryptoCat hingegen ist ein seit kurzem für Windows-, Linux, und Mac-Systeme erhältliches Chat-Programm mit Ende-zu-Ende-Verschlüsselung sowie Gruppenchats und hebt sich vor allem durch die einfache, intuitive Bedienbarkeit hevor.
Weiterführende Links
Folien zu unserem Vortrag zum Überwachungskapitalismus von der CryptoCon15.
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl.
Explain Like I’m Five: How Does Off-The-Record Encryption Work?
OTR im XMPP-Wiki.
Off-the-Record Messaging: Useful Security and Privacy for IM. YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.
A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.
Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.