Digitale Selbstverteidigung

»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«

Digitale Selbstverteidigung

Was ist digitale Selbstverteidigung?

• Technik der Selbstkultivierung: Vita activa (Hannah Arendt), Technologie des digitalen Selbst (in Ahnlehnung an Focault)
• Metapher: Digitale Hygiene, Datenhygiene
• Versuch des Empowerments: das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrzunehmen
• Aufruf zur Selbstbestimmung durch Teilrestauration gegen den neuen Kontrollverlust von Privatheit

Digitale Selbstverteidigung

Metaphern

Digitale Selbstverteidigung

Metaphern

Digitale Selbstverteidigung

Technologie des digitalen Selbst (in Anlehnung an Focault)

„Darunter sind gewusste und gewollte Praktiken zu verstehen, mit denen die Menschen nicht nur die Regeln ihres Verhaltens festlegen, sondern sich selber zu transformieren, sich in ihrem besonderen Sein zu modifizieren und aus ihrem Leben ein Werk zu machen suchen, das gewisse ästhetische Werte trägt und gewissen Stilkriterien entspricht.“

Digitale Selbstverteidigung

Digitale Selbstverteidigung als Aufklärungsmodell

Habe Mut, dich deines eigenen Verstandes zu bedienen!

Beantwortung der Frage: Was ist Aufklärung?

→ Selbstbestimmung erfordert Wissen und Erfahrung.

Risiko: Überforderung des Individuums

Digitale Selbstverteidigung

Digitale Selbstverteidigung als Aufklärungsmodell

»Der Dataismus tritt mit der Emphase einer zweiten Aufklärung auf. […] Der Imperativ der zweiten Aufklärung lautet: Alles muss Daten und Information werden.[…] Der Dataismus führt zu einem digitalen Totalitarismus.Notwendig ist daher eine dritte Aufklärung, die uns darüber aufklärt, daß die digitale Aufklärung in Knechtschaft umschlägt.«

Digitale Selbstverteidigung

Prinzipien nach Bruce Schneier (Data vs Goliath)

• Überwachung vermeiden
• Überwachung blockieren
• Überwachung verfälschen
• Überwachungssysteme lahmlegen (selten legal)

Digitale Selbstverteidigung

Prinzipien und Praxisformen

Aspekte der Privatheit

Privatheit: Nutzen und Risiken

Motive/Anlass für Digitale Selbstverteidigung

Staatliche Überwachung und Datensammelei (Beispiel)

Motive/Anlass für Digitale Selbstverteidigung

Datensammlungen Privater Firmen (Beispiele)

• Google z. B. aus Suche, E-Mail, Webanalyse … für zielgenaue Werbung
• Facebook für soziale Beziehungen und Netzwerke
• amazon für Kaufverhalten und -vorlieben oder Leseverhalten (Kindle)

Motive/Anlass für Digitale Selbstverteidigung

Berufsgeheimnisträger (Gesellschaft und Geheimnis)

• Journalisten: Quellenschutz, Schutz der Recherche, ›Undercover‹
• Seelsorger: Beichtgeheimnis
• Ärzte: Schweigepflicht

Motive/Anlass für Digitale Selbstverteidigung

Weitere Beispiele (Gesellschaft und Geheimnis)

• Arbeit mit Minderheiten/Marginalisierten: Schutzbedürfnis vor willkürlicher Repression (Geflüchtete, Arbeitssuchende, Sexualität/Gender, Menschen mit Behinderung, Kranke)
• Angestelle: Datenschutzanforderungen, Schutz von Geschäftsgeheimnissen

Herausforderungen

Analyseverfahren und Auswertung

• BigData zur Profilbildung und Analyse auf der Grundlage massiver Datensammlungen
• BigData als Geschäftsmodell
• Public-Private-Partnership (Indifferenz)

Herausforderungen

Big Data als Überwachungskapitalismus

• beschreibt BigData als neue Form des Informationskapitalismus
• kommerzialisiert und verwertet werden soll jede Äußerung des täglichen Lebens (everydayness)
• als neue Ware(nfiktion) steigt Verhalten auf (Verhalten symbolisiert Bewusstsein am Markt)

Herausforderungen

Überwachungskapitalismus als Risiko

• Marktkontrolle durch (vermeintliche) Verhaltenskontrolle (Nudging, Microtargeting)
• Tendenz des Totalen und Schaffung von Monopolen (Machtasymmetrien)

Herausforderungen

»Von Überwachungskapitalisten zu verlangen, sie sollten die Privatsphäre achten oder der kommerziellen Überwachung im Internet ein Ende setzen, wäre so, als hätte man Henry Ford dazu aufgefordert, jedes T-Modell von Hand zu fertigen.«

Herausforderungen

CryptoWars 2.0/3.0

• Justice Department Seeks to Force Apple to Extract Data From About 12 Other iPhones
• Crypto Wars 3.0: Thüringens Verfassungsschutzchef fordert Hintertüren in Krypto-Messengern
• Hillary Clinton wants “Manhattan-like project” to break encryption
• Crypto Wars Part II - The Empires Strike Back
• Crypto Wars 3.0: EU-Rat diskutiert Schlüsselhinterlegung
• CCC fordert Ausstieg aus unverschlüsselter Kommunikation
• The second “Crypto War” and the future of the internet
• Cryptowar: Verfassungsschutz fordert ein Ende der „kryptierten Kommunikation“
• Obama will Verschlüsselung aufweichen

BigPicture: gesellschaftliche Transformation

Digitale Selbstverteidigung und Digitalisierung

• Digitalisierung als Kulturwandel → Nutzungsänderungen
• Überwachung und Manipulation als Machttechniken (min. seit der Disziplinargesellschaft)
• Welche Gesellschaft streben wir an? (Panoptikum, Banoptikum, Synoptikum)

BigPicture: gesellschaftliche Transformation

Überwachung, Disziplin und Kontrolle (Focault/Deleuze/Han)

BigPicture: gesellschaftliche Transformation

Digitale Selbstverteidigung und Digitalisierung

»Wenn Big Data Zugang zum unbewussten Reich unserer Handlungen und Neigungen böte, so wäre eine Psychopolitik denkbar, die tief in unsere Psyche eingreifen und sie ausbeuten würde.«

Weitere praktische Möglichkeiten

• Daten-Hygiene einüben: immer wieder CryptoParties besuchen und weiterempfehlen
• mit Freunden und Familie über Digitalisierung und Privatsphäre diskutieren
• sich bei Apps und Sozialen Diensten über deren Datensammlung informieren, ggf. Alternativen verwenden

Aktiv werden

Mitmachen!

• Mitstreiter*Innen und Unterstützer*Innen im Bündnis sind herzlich willkommen!
• Spenden für OpenSource-Projekte (z. B. GnuPG, Linux, Mozilla, etc.)

Literatur- und TV-Empfehlungen

Fazit

Wendet sich gegen Massenüberwachung

Grenzen digitaler Selbstverteidigung

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Schief gegangen

Beispiele von Sicherheitsbrüchen

• Sloppy security hygiene made Sony Pictures ripe for hacking
• Citizenlab-Bericht: Angriffe auf Two-Factor-Authentifikation bei Google-Konten beobachtet
• Waiting for Android’s inevitable security Armageddon
• Even when told not to, Windows 10 just can’t stop talking to Microsoft

Grenzen ausloten

Risikoanalyse an Hand von Bedrohungsmodellen

Bedrohungsmodelle:

• beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
• helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.

Bedrohungsmodell

Übersicht

Die W-Fragen

Schutzintressen und -rahmen

• Was möchte ich schützen?
• Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
• Vor wem möchte ich es schützen?
• Was sind die Konsequenzen, wenn der Schutz versagt?
• Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?

Schutzgüter

Beispiele

• Passwörter
• Geld
• Dateien (private Fotos, Videos, Dokument, etc.)
• Chats, Unterhaltungen, Korrespondenzen
• Metadaten
• private Geheimnisse, Betriebsgeheimnisse

Angreifer

Beispiele

• Nachrichtendienste mittels Massenüberwachung (NSA, GCHQ, BND)
• (neugierige) Kolleg*Innen, Nachbar*Innen, Eltern, Schulkamerad*Innen usw.
• (neugierige) Sicherheitsbehörden (BKA, Verfassungsschutz)
• Diebe, kriminelle Elemente
• Unternehmen die Dienste anbieten um Profilbildung für Werbeeinnahmen zu betreiben

Folgen bei Schutzversagen

Beispiele

• Identitätsdiebstahl: Hacker/Script-Kiddie übernimmt Facebook-Account
• Autonomieverlust:
  • Werbeanbieter liest und analysiert meine Daten
  • Anbieter filtert oder liest Tweets, Facebook-Nachrichten, E-Books etc.
• Übernahme/Verlust des Geräts: Smartphone, Laptop, Tablet, E-Book-Reader
• Datenverlust: Messenger-App, welche es erlaubt übermittelte Bildnachrichten abzugreifen, Systemverschlüsselung durch Erpressungs-Trojaner

Angriffspotentiale

Beispiele

• physischer Gerätezugriff Familienangehöriger installiert Überwachungssoftware auf meinem Gerät
• Zugriff auf den Transportweg der Daten Angreifer*In könnte das LAN/WLAN ausspionieren
• Phishing/Trojaner, Manipulation des Endpunktes der Kommunikation Angreifer*In könnte eine Website gefälscht haben
• Manipulation des Systems/von Anwendungen Angreifer*In nutzt Sicherheitslücken im System/ Applikationen

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

• Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
• Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
• Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)

Grenzen erweitern

Grundregeln und Maßnahmen

• Update, Updates, Updates
• Backups, Backups, Backups
• Virenscanner (+/-)
• Verschlüsselung/Verschleierung
• Unplugged: Sensible Daten auf System ohne Netzzugang aufbewahren und verschlüsseln

Grenzen

Exkurs

Smartphones und Handys

Überwachungskapitalismus

Zentrale Datenhaltung und BigData

• Zentrale Datenhaltung (Zugriff?)
• Verwertungsrechte der eingestellten Inhalte durch AGBs geregelt
• Profilbildung und Verknüpfung durch Big-Data-Analysen
• Langzeitspeicherung und massive Datensammlung
• Schattenprofile
• Übertragung/Veräußerung von Privatheit an einen fremden Akteur

Überwachungskapitalismus

BigData als Technologie

Organize, analyze, and interpret any large, complex dataset, and apply your insights to real-world problems and questions.

Überwachungskapitalismus

BigData-Profiling und Big-Data-Analytics I

• The Dalles Google Rechenzentren
Technische Sildes von Felix Naumann (TU Dresden) über Big Data Profiling (PDF)
• Predictive Policing: Big Data in der Polizeiarbeit

Überwachungskapitalismus

BigData-Profiling und Big-Data-Analytics II

Illustration einer Open-Source »data-intensive supercomputing platform« für Big-Data-Operationen

Überwachungskapitalismus

Walled Gardens und soziale Experimente

• Walled Gardens als isolierte, selbstreferenzielle Systeme (Filterbubble)
• Algorithmen bestimmen Relevanzen dargebotener Inhalte (Filterung)
• Einschränkung oder Aufgabe von Autonomie
• kontinuierliche soziale Experimente

Durchlässige Mauern

Datensicherheit und Zugriffe von Außen

• Nadel im Heuhaufen: Soziale Netze und Clouds als Teil von PRISM und Tempora
• BND wollte Überwachung auf soziale Netze ebenfalls ausweiten (Vorhaben aufgrund des #NSAUA derzeit ausgesetzt)
• Kreditkartenbetrüger und Kettenbriefe
• Identitätsdiebstahl
• Online Harassment: Von Trollen und Mobbing
• Stalking

Sichtbarkeiten und Vernetzung einschränken

Clicktivism

• The Complete Guide to Facebook Privacy Settings
• Facebook Privacy Bascis
• Vereinfachte Datenschutz-Einstellungen bei Google
• Google Dashboard
• The Redditor’s Guide to Android Privacy (and other tools/tips)

PrivacyParadox

Snowden Effect vs. Privacy Paradox

Chat-Apps und Messenger

Grundkonzepte

• Ende-zu-Ende-Verschlüsselung
• Perfect Forward Secrecy
• Problem: Asynchrone Nachrichten

Perfect Forward Secrecy

Späteres Aufdecken von geheimen Nutzerschlüsseln darf es nicht erlauben, früher aufgezeichnete Nachrichten zu entschlüsseln

→ neue Schlüssel für jede Nachricht

OTR

Off-the-Record

• Borisov/Goldberg/Brewer, 2004:
  Off-the-Record Communication,or, Why Not To Use PGP (PDF)
• Beglaubigung während der Konversation
• Abstreitbarkeit nach der Konversation
• Forward Secrecy

Kontaktfindung

• Problem: Metadaten-Sicherheit vs. Kontaktfindung:
  https://whispersystems.org/blog/contact-discovery/
• Problematische Lösung: Whatsapp lädt beim Installieren Teile des Adressbuchs zum Server hoch

→ Unvermeidbarer Zielkonflikt, Kompromisse

Asynchrone Tools

Schlechte Beispiele

• E-Mail: Sicherheit nicht Teil des Konzepts, PGP/GPP-Verschlüsselung aufwendig
• SMS: unsicher, aber Kontaktdaten gehen an Stellen (Provider), die sie schon haben
• Whatsapp: seit kurzem Ende-zu-Ende-verschlüsselt (Konzept (PDF)); aber: lädt Kontakte hoch an den Betreiber

Asynchrone Tools

Signal I

• empfohlen
• SMS-Ersatz
• unempfindlich gegen kürzlich aufgetauchte Sicherheitslücke (Stagefright) beim Autoplay von MMS (allerdings nur durch Abwesenheit von Autoplay)
• Lädt digitalen Fingerabdruck (Hashes) der Telefonnummern hoch (nur marginal besser)
• im Prinzip umgehbar, Server ist auch OpenSource
• Alternativ: LibreSignal nutzen (via FDroid)
• Ziele des verwendeten Protokolls (Axolotl) weitgehend erfüllt

Asynchrone Tools für Mobilgeräte

Signal II

• Problem: Metadaten-Sicherheit vs. Kontaktfindung: https://whispersystems.org/blog/contact-discovery/
• https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms

Signal

Apps für Mobilgeräte

Übersicht I

Apps für Mobilgeräte

Übersicht II

Fazit

Chats und Messenger I

• Übersicht
• Nur sichere implementierte Ende-zu-Ende-Verschlüsselungen bietet angemessenen Schutz
• Ende-zu-Ende-Verschlüsselung heißt, dass kein*e Angreifer*In die Nachrichten abfangen kann (Man-in-the-Middel); Nachricht kann nur vom Empfänger und Sender gelesen werden
• Apps/Chats sollten offene, von Experten anerkannte Protokolle verwenden und als OpenSource vorliegen

Fazit

Chats und Messenger II

• Herstellerversprechen sollte man kritisch prüfen (Audits? OpenSource? Protokolle?)
• Smartphones sind schwer abzusichern und unsichere Umgebung für Verschlüsselung
• Empfehlung: Signal, Wire für iOS/Android

Weiterführende Links

• Aktuelle CryptoParties des Bündnis Privatsphäre
• Diskurssions für Fragen und Anregungen des Bündnis Privatsphäre
• prism-break.org
• Security in a Box

Vielen Dank