Dieser Text ist - auf Teilnehmerwunsch - eine Zusammenfassung des Vortrages "Crashkurs Sicheres Internet - Ein Vortrag aus der Praxis, nicht nur für Journalisten", den ich am Sonntag, 03.12.2006, im Rahmen der Vortragsreihe Public Domain des FoeBuD e.V. gehalten habe. Auf dieser Webseite habe ich einige weiterführende Links ergänzt.
Überwachung im Internet ist allgegenwärtig und nahezu umfassend. Um dieses Problem strukturiert anzugehen, lohnt es, die fünf "journalistischen W-Fragen" zu stellen:
* Was ... * Wo ... * Wann ... und * Wer wird überwacht?
Das sind nur vier Fragen. Die fünfte lautet:
* Warum ...
... lassen wir uns das gefallen? Wer bewacht die Wächter? Überwachung als permanentes Grundproblem der offenen Gesellschaft
Es keinen Grund, Überwachungsmaßnahmen einfach hinzunehmen. Im Gegenteil!
Überwachung ist ein Grundproblem und Dauerthema der Gesellschaft. Den Kern des Problems hat bereits der römische Satirendichter Juvenal (ca. 60 - 128 n. Chr.) in die Worte gefasst:
Wer bewacht die Wächter? ("Quis custodit custodes?")
Er schildert die Geschichte eines Ehemannes, der so eifersüchtig ist, dass er seine Frau von einem Sklaven bewachen läßt. Wenig Phantasie ist nötig, um sich auszumalen, wie diese überzogene Kontrolle letztlich kontraproduktiv wirkt...
Zu viel Kontrolle bewirkt das Gegenteil des Bezweckten. Zu viel Kontrolle bedroht die Demokratie und die freie Gesellschaft!
Die offene Gesellschaft braucht Anonymität und garantierte Nicht-Überwachung. Ein Beispiel dafür, das jeder kennt, sind Wahlen. Obwohl sichergestellt wird, dass jeder nur ein Mal seine Stimme abgibt, muss der eigentliche Wahlakt anonym sein und darf nicht überwacht werden. Andernfalls ist echte Demokratie nicht denkbar.
Deshalb: Es muss sich nicht rechtfertigen, wer sich der Überwachung entzieht und auf seinem Recht zur Anonymität besteht. Rechtfertigen - öffentlich rechtfertigen! - muss sich, wer diese Grundrechte einschränken will. Was wird überwacht?
Überwacht werden
1. die Inhalte der Kommunikation: * E-Mail Inhalte o ... nach richterlichem Beschluß (?) o ... oder durch Google, wenn wir an @gmail.com schreiben! (Google ist laut Geschäftsbedingungen der Google-Mail berechtigt, Inhalte solcher E-Mails zu untersuchen - und zwar sowohl der ausgehenden, wie auch der eingehenden Mails. * Inhalte angesurfter Webseiten o Google z.B. Externer Link (Klick für Erklärungen): | blendet passende Werbung nach Analyse der Suche ein. Der Link zeigt auf eine Google-Ergebnisseite zum Thema "Keystroke Logger". Oberhalb und rechts von den eigentlichen Suchergebnissen ist bezahlte Werbung zu diesem Thema eingeblendet. 2. die Verbindungsdaten: * Die gesamten Verbindungsdaten unserer E-Mails (ohne Richtervorbehalt!) Mit diesen Daten lassen sich durch Social Network Analysis Kontaktnetze erstellen: Diagramm eines Sozialen Netzwerkes (aus Wikipedia) (Das Bild stammt aus dem Externer Link (Klick für Erklärungen): | Wikipedia-Artikel "Soziales Netzwerk" und zeigt das Diagramm eines solchen. Jeder blaue Punkt steht für eine Person, jeder schwarze Strich für eine Verdingung unter diesen. Im diesem Sozialen Netzwerk kennt jedes Individuum also höchstens drei weitere Personen. Wer diese Daten auswertet, weiß mehr über uns, als wir selbst! ... zum Beispiel, indem wir zu Googlemail einladen. 3. die Profildaten: * Wann bewegen wir uns wo? o Mit entsprechenden Cookies erfährt z.B. Google von jedem Besuch einer Website, in der Google-Ads eingeblendet sind. ... und das bis ins Jahr 2038!
Es wird mehr erfasst, als wir glauben!
Testseiten von Externer Link (Klick für Erklärungen): | Privacy.net und Externer Link (Klick für Erklärungen): | Leader.ru zeigen, welche Informationen über Ihren Rechner an Webauftritte übergeben werden bzw. von diesen abgefragt werden können. (Achtung: Eine kann sein, dass Ihre Firewall während dieser Tests mehrmals Alarm gibt.) Wo wird überwacht?
Sie werden überwacht ...
1. bei Ihnen zuhause / an Ihrem Arbeitsplatz * durch eingeschleuste Software, z.B. "Trojaner" * oder durch Hardware, z.B. "Keystroke-Logger" 2. beim Transfer Ihrer Daten * bei Ihrem Provider, z.B. auf staatliche Anordnung * durch Phishing und IP-Spoofing o Beachten Sie den Unterschied zwischen diesen beiden (hypothetischen) Webadressen: www.meine.bank.de/mod/WebObjects/dbpbc.woa www.meine.bank.de.mod.WebObjects.dbpbc.woa.db.phishingfarm.to Die erste Adresse verlinkt auf die Domain bank.de, die zweite hingegen phishingfarm.to, obwohl sie im vorderen Teil die "echte" Bankadresse vorspiegelt. Weitere Informationen über das so genannte "Phishing" (das Erschleichen vertraulicher Informationen) finden Sie in dem Artikel von Wolf-Dieter Roth Externer Link (Klick für Erklärungen): | Von Phishern und Jägern (telepolis, 16.11.2006) * aber auch: durch Geheimdienste und Überwachungsbehörden 3. bei Kommunikationspartnern * bei Empfängern von E-Mails o E-Mails sind durch das Brief- und Postgeheimnis geschützt, ihre Inhalte dürfen nur auf Anordnung eines Richters eingesehen werden (Richtervorbehalt). Das gilt aber nur, solange die Mails übermittelt werden. E-Mails, die jemand empfangen und etwa auf seiner Festplatte gespeichert hat, darf z.B. die Polizei im Rahmen einer Hausdurchsuchung lesen! * bei Anbietern von Webseiten, z.B. Suchmaschinen oder "sozialen Netzwerken" wie StudiVZ o Viele Anbieter, bei denen unsere Daten gespeichert werden, gehen nicht seriös (im Sinne effektiven Datenschutzes) damit um. Teilweise sind sogar angeblich private Daten öffentlich sichtbar. Das kann für Sie als Besitzer dieser Daten sehr nachteilige Folgen haben. So speichert z.B. das "soziale Netzwerk" StudiVZ (für StudiVerZeichnis - ich verlinke es bewußt nicht!) Nutzerdaten in katastrophaler Weise. Was das für die Nutzer bedeuten kann, daüber finden Sie einen Beitrag von Don Alphonso in der Externer Link (Klick für Erklärungen): | Blogbar. * aber auch: durch Angreifer der Kommunikationspartner o Ihre Daten, die auf den Computersystem von Dritten abgelegt sind, können dort gehackt werden. Man muss von jedem, der fremde Daten speichert, Auskunft verlangen, wie diese Daten gesichert werden.
Wann wird überwacht?
Ünerwachung findet nicht jetzt oder bald statt. Überwacht werden
1. die Vergangenheit * durch Vorratsdatenspeicherung und andere Datenbanken o Der Sinn der Vorratsdatenspeicherung liegt nicht darin, alle Bürger ab Einführung des Gesetzes zu überwachen. Sobald aber jemand in den Fokus gerät, läßt sich dadurch schnell rekonstruieren, was diese Person bisher gemacht hat und zu wem sie Kontakt hatte. 2. die Gegenwart * durch Arbeitgeber und Provider o Diese Form der Überwachung ist die garstigste überhaupt. Z.B ist es durch Externer Link (Klick für Erklärungen): | Keystroke Logger möglich, jeden Tastendruck und jeden Mausklick zu speichern und regelmäßig digitale Bildschirmfotos zu erstellen. Dadurch wird Ihr gesamtes Verhalten am Computer überwacht, auch Verschlüsselung wird ausgehebelt, da Sie die Nachrichten ja zunächst im Klartext eintippen. Das Problem, wem Sie vertrauen können, ist technisch nicht zu lösen. * durch Kommunikationspartner (Betreiber von Websites) 3. die Zukunft * durch richterlichen Beschluß * durch Cookies o Der Zweck eines Cookie ist, uns jetzt zu markieren, um uns später wiederzuerkennen
Wer wird überwacht?
Nach dem bisher ausgeführten ist klar, dass diese Frage banal ist. Sinnvoll ist die Frage nur so: Wer wird überwacht?
Sie werden überwacht von
1. Ihrem Arbeitgeber bzw. Ihrer eigenen Organisation * Problem: Eigentlich sollte man denen Vertrauen * Problem: Es gibt kaum (technisch) wirksame Mittel gegen den "Man in the Middle" 2. Ihrem Provider, Website-Betreiber, Geschäftspartner ... * Problem: Es wird immer einfacher, digitale Daten zu verknüpfen * Problem: Viele Geschäftsmodelle handeln mit Nutzerdaten 3. Ihrem Staat und anderen Staaten * Problem: Es werden immer mehr Daten erhoben und immer länger gespeichert. * Problem: Der Staat hat im Zweifel Zugriff auf alle Daten.
Warum lassen wir uns das gefallen?
Auch diese Frage ist nach dem Bisherigen hoffentlich falsch gestellt. Sie sollte lauten Warum lassen wir uns das gefallen?
Es gibt effektive Gegenmaßnahmen gegen Überwachung. Zum Beispiel:
1. Sichern Sie Ihren eigenen Rechner! * Schützen Sie Ihren Rechner physikalisch (insbes. Notebooks) * Verwenden Sie ein Externer Link (Klick für Erklärungen): | starkes Passwort, ändern Sie es regelmäßig * Setzen Sie ein Image-Programm ein, um sichere (d.i. un-infizierte) Konfigurationen Ihres Rechners zu archivieren * Verwenden Sie ein schlüssiges Sicherheits- und Backup-Konzept * Seien Sie ein mißtrauischer Benutzer! 2. Sichern Sie Ihre Kommunikation! * Deaktivieren Sie "Third-Party-Cookies" oder begrenzen Sie die 'Haltbarkeit' der Cookies auf die jeweilige Online-Sitzung. * Geben Sie Links manuell im Browser ein, statt darauf zu klicken * Surfen Sie anonym und mailen Sie anonym * Verschlüsseln Sie Ihre E-Mails und sensible Dateien 3. Geben Sie Daten nur sparsam weiter! * Verwenden Sie eine zweite Identität (durch Pseudonym und kostenfreie Mailadresse bei einem der vielen Freemail-Provider) * Verzichten Sie auf "Ego-Surfing" vom eigenen System aus. * Lesen Sie die Datenschutzhinweise ("Privacy Policy") aufmerksam: o Z.B. die Formulierung "Ihre Daten werden nicht an unberechtigte Dritte weitergegeben" ist wertlos! o Wenn Sie Fragen haben, wie eine Firma mit Ihren Daten umgehen wird, stellen Sie diese Fragen der Firma. Durch Inhalt und Form der Antwort bekommen Sie einen ersten Eindruck von deren Verbindlichkeit und Verläßlichkeit. * Seien Sie zurückhaltend mit der Übermittlung von privaten Daten an Webauftritte. Lügen Sie dabei! Niemand hat Anspruch auf mehr korrekte Daten von Ihnen, als zur unmittelbaren Geschäftsabwicklung nötig sind. o Seriöse Anbieter müssen sichere Datenübermittlung via Secure Socket Layer (SSL), erkennbar am Protokoll "https", ermöglichen * Wenn Sie zur Eingabe einer E-Mail-Adressse aufgefordert werden, überlegen Sie, eine Freemail-Adresse oder eine Wegwerf-Mailadresse zu verwenden 4. Engagieren Sie sich! * Beteiligen Sie sich an Externer Link (Klick für Erklärungen): | Verfassungsbeschwerde gegen die Vorratsdatenspeicherung
Weiterführende Link-Empfehlungen
Neben den oben im Text erwähnten Links empfehle ich - ohne jeden Anspuch auf Vollständigkeit - folgende Hyperlinks: Sicherung des eigenen Rechners
* Qualifizierter Selbstschutz : 10 Schritte zur Rechnersicherheit. Diesen Text habe ich im Januar verfasst. Sie finden dort in aller Kürze weitere Links. * In Teilen ausführlicher ist der Text von Dr. Andreas K. Bittner (dem Vorsitzenden des Bundesfachausschusses Online des Deutschen Journalisten-Verbandes), der gerade als Dokumentation für die Fachzeitschrift journalist erschienen ist: Externer Link (Klick für Erklärungen): | Sicherheit im Internet : Tipps zum Schutz von Daten und Rechnern (Es handelt sich um eine PDF-Datei, sie umfasst 4 S., 114 KB) * Schließlich darf die Tool-Sammlung des Heise-Verlages nicht unerwähnt bleiben: Externer Link (Klick für Erklärungen): | Ausgewählte Werkzeuge, um die eigene Sicherheit zu testen und zu erhöhen.
Sicherheits-Checks
Der eben erwähnte Heise-Verlag (in dem u.a. die Zeitschrift c't erscheint) hält eine Reihe nützlicher Test bereit, nämlich den Externer Link (Klick für Erklärungen): | c't-Browsercheck, den Externer Link (Klick für Erklärungen): | c't-Emailcheck und den Externer Link (Klick für Erklärungen): | c't-Netzwerkcheck. Ferner finden Sie hier Anti-Virus-Hinweise für den Umgang mit Externer Link (Klick für Erklärungen): | Viren, Würmern & Co.. Verschlüsselung
In meinem oben erwähnten Text ist ein Abschnitt der Verschlüsselung sensibler Dateien (mit PGP, GnuPG und Truecrypt) gewidmet, weshalb ich hier einfach darauf verlinke. Anonymes Surfen
Die einfachste Methode, anonym im WWW zu surfen, bietet derzeit das PrivacyDongle des FoeBuD e.V.: ein USB-Stick, den Sie einfach in den Computer stecken - und schon kann es unbeobachtet losgehen. Hier finden Sie Externer Link (Klick für Erklärungen): | und die Externer Link (Klick für Erklärungen): | Bestellmöglichkeit. Das PrivacyDongle nutzt das Externer Link (Klick für Erklärungen): | TOR-Servernetz.
Eine weitere Möglichkeit des anonymen Surfens ist der Externer Link (Klick für Erklärungen): | JAP Annymity & Privacy, der allerdings eigene Installationsarbeiten voraussetzt. JAP ist eine Entwicklung im Externer Link (Klick für Erklärungen): | Projekt Anonymität im Internet, das von der Deutschen Forschungsgemeinschaft und vom Bundesministerium für Wirtschaft und Technologie (BmWi) gefördert wird. Das Projekt arbeitet eng mit dem Externer Link (Klick für Erklärungen): | Unabhängigen Landeszentrum für den Datenschutz Schleswig-Holstein zusammen. Weitere Informationen
Weitere Informationen über Sicherheit im Internet und Ihre Rechte finden Sie beim Externer Link (Klick für Erklärungen): | Bundesamt für Sicherheit in der Informationstechnik und beim Externer Link (Klick für Erklärungen): | Virtuellen Datenschutzbüro. Fragen dazu?
Fragen zu diesem Text? E-Mail an post@ude.de.
Albrecht Ude
ude.de, Berlin, 06. Dezember 2006
Original: http://www.ude.de/internet/vortrag-ueberwachung-im-internet-public-domain-144.html