Seminar „Digital Privacy“

In verschiedenen Beiträgen dieses Blogs habe ich auf Tools und Einstellungen verwiesen, die – gemäß dem inoffiziellen Motto von Spähgypten – persönliche Daten schützen können, ohne den Komfort in der Nutzung von Computern, Smartphones oder Tablets zu beeinträchtigen (z. B. für Windows, Android, Google…).

Am 31. August 2019 findet in Lingen ein Seminar zu diesem Thema statt. Dafür möchte ich, weil ich es organisiert habe, hier schamlos werben möchte.
Der Datensicherheitsexperte Elmar Brandhorst wird den Interessierten, die an diesem Tag ins Ludwig-Windthorst-Haus kommen, einen Blick in einen Privacy-Werkzeugkasten werfen lassen. Elmar beschäftigt sich seit Jahren u.a. mit den Fragen sicherer Email-Kommunikation, Tracking im Netz oder Alternativen zu Google & Co. Vor allem aber bringt er die Inhalte tierisch unterhaltsam rüber.
Meine wärmste Empfehlung für „Digital Privacy“ am Samstag, 13. August 2019, von 10 bis 17 Uhr im Ludwig-Windthorst-Haus. Die Seminargebühr beträgt 75,00 €

» zur Veranstaltung

Gutjahr gemeint, aber…

Ich freue mich über die vielen Initiativen, die auf die Schutzbedürftigkeit der Privatsphäre hinweisen und für den Wert persönlicher Daten sensibilisieren.
An das Abkleben von Webcams denke ich dabei aber nicht, zumindest nicht als erste Maßnahme. Zwar hat der britische Geheimdienst GCHQ über Webcams privater Laptops Fotos von dem Zuhause völlig Unverdächtiger gemacht und gespeichert, was zweifellos zu den größten Eingriffen in die Privatsphäre gehört, die ich mir vorstellen kann. Doch angesichts der Millionen Smartphones, deren Kameras viel mehr über die Besitzer verraten könnten, allein aufgrund der wechselnden Standorte – die aber munter zum Fotografieren / für Selfieshoots genutzt werden und deshalb unabgeklebt bleiben – ist die Notebook-Webcam doch eine ziemlich informationsarme Überwachungsquelle, oder? (Die Kameras von Smart-TVs, die ja auch schon gehackt wurden, demnach auch.)

Aktion auf www.gutjahr.biz zur re:publica 2016

Aktion auf www.gutjahr.biz zur re:publica 2016

Eine Aktion von Richard Gutjahr, eines von mir ansonsten hochgeschätzten Journalisten, hat die ganze Abdeckerei nun ins Absurde getrieben – trotz der Einbeziehung von Handykameras. Zur Re:publica hat er 12 Kilo Abdeckungen für Webcams oder eben Smartphones produzieren lassen, um sie an seine Follower zu verschenken.
In einem Blogeintrag schrieb er:

Schickt einfach eine Mail oder einen Snap mit Eurer Post-Adresse oder abonniert meinen Newsletter. Die ersten 100 Einsendungen oder Neu-Abonnenten erhalten jew. ein Heft mit 2 Webcam-Stickern per Post (das Porto übernehme ich).

Klingelt’s da?
Gutjahrs Freundinnen und Freunde bekommen eine Kameraabdeckung samt einer Postkarte mit der Aufschrift „Your Privacy has been deleted“, wenn sie ihre Postadresse über Email oder Snapchatalso sehr unsichere – Dienste übermitteln!
Paradox, oder?

  • Eine Email wird (wenn Sie nicht mit PGP verschlüsselt ist, was noch immer ziemlich kompliziert ist) in Klartext übertragen und z. T. sogar auf Inhalte gescannt – z. B. von Google, aber auch von den deutschen und US-Geheimdiensten.
    Damit ist sie ungefähr so sicher wie eine Postkarte.
  • Snapchat speichert diverse Daten des Absenders zu nicht genau erklärten Zwecken. Zudem ist die App nicht vor Hackern sicher.
  • Zuguterletzt gehört der Brief zum wohl unsichersten Kommunikationsmedium unserer Zeit. Nicht nur, weil täglich zigtausende Briefe verloren gehen (2004 schätzten Verbraucherschützer die Zahl auf 70.000) oder weil Briefsendungen gescannt werden und damit theoretisch hackbar sind – Das Scannen geschieht auf Wunsch des Kunden, internationale Post wird aber auch ohne dieses Einverständnis stichprobenartig gescannt („Mail Sampling Unit„, siehe Datenschutzbericht Peter Schaar, 2010-2011, ab S.183). Vor allem sind Briefe unsicher, weil der Briefinhalt nicht verschlüsselt ist, durch viele Hände geht und lange mehr oder weniger unbewacht herumliegt (Postschalter, Absendebriefkasten, Zustellfahrzeug, Zielbriefkasten).

Klar gibt es viele, die ihre Postadresse für nicht schützenswürdig halten. Aber zusammen mit den Metadaten, die zwangsläufig in einer Email mitgeschickt werden (eine tolle Demonstration hier) lässt sich viel über den Absender erfahren.Und Snapchat fällt als datenschutzsensibler Transportweg ohnehin weg.

Was bringt eine Aktion wie die von Richard Gutjahr also? PR-Punkte sicherlich, die ich dem Initiator der Aktion vollstens gönne – aber auch ein verzerrtes Bild der Datenschutz-Prioritäten. Immerhin wird der Fokus auf eine, sehr spezielle Datenschutzmaßnahme gelegt, während unsichere Kommunikationswege unkommentiert in die Aktion miteinbezogen werden.
Angesprochen auf diese Inkonsequenz bot mir Richard Gutjahr immerhin eine Alternative an, die ich schmunzelnd zur Kenntnis genommen habe:

Vielleicht findet er für eine sachliche Auseinandersetung mit meinen Argumenten den Weg auf diesen Blog.

Sichere Emails (nur) für GMX, web.de und 1&1-Mail-Nutzer

Emails sind nicht sicher vor Abhörungen. Google scannt den Inhalt seiner Kunden und macht aus den Begriffen Werbung, das Muscular-Programm der NSA zapft die Datenleitungen zwischen den Rechenzentren von Google und Yahoo an und Hacker erbeuten leicht auch mal Millionen Zugangsdaten.

Emailverschlüsselung wäre daher der richtige Weg zu sicherer elektronischer Kommunikation, das jahrelang erprobte PGP-Verschlüsselungsverfahren dabei die richtige Anwendung – denn NSA und GCHQ können es nicht knacken (konnten sie bislang zumindest nicht). Doch – selbst durch den tollen Service von Mailbox.org – PGP ist und bleibt komplex. (Jetzt nur mal so zum Einordnen: Meiner Familie, mit der ich seit Jahren über sicher Threema kommuniziere, habe ich die Einrichtung gar nicht erst zu erklären versucht.)

GMX, Web.de und 1&1 bieten nun einen Dienst an, der sichere Verschlüsselung und Komfort verbindet, und ich kann gar nicht sagen, wie sehr mich dieser Schritt in die richtige Richtung freut. Zumal fast alle meiner Familienmitglieder bei einem der Dienste ihre Mailadresse haben. Nach der halbgaren PR-Kampagne „Email made in Germany“, die uns die eigentlich selbstverständliche verschlüsselte E-Mail-Übertragung als Revolution verkaufte, und dem staatlich geförderten Rohrkrepierer DeMail gibt es jetzt aus dem Firmenverbund „United Internet“ etwas Handfestes:

  • Nutzer der Email-Dienste (auch der kostenfreien) können die verschlüsselte Übertragung freischalten.
  • Sie müssen das kostenfreie Browser-Plugin „Mailvelope“ installieren (gibt’s für Firefox oder Chrome).
  • Das Tool generiert im Hintergrund die für PGP erforderlichen Schlüsselpaare für die Verschlüsselung und speichert sie auf dem Rechner des Nutzers.
  • Beim Email-Schreiben haben die Nutzer nun die Möglichkeit, ihre Nachrichten mit ihrem Schlüssel verschlüsseln zu lassen. Eingehende verschlüsselte Mails werden automatisch entschlüsselt

Die PGP-Verschlüsselung ist dadurch sicher, dass sie bei Sender und Empfänger ver- bzw. enstschlüsselt wird. Das bedeutet natürlich, dass die GMX/1&1/Web.de-Nutzer nur anderen Nutzern, die sich dafür freigeschaltet haben, verschlüsselt schreiben können. Das sollte die Kunden nicht abhalten, den Dienst zu nutzen, wird es aber vermutlich.

Dabei ist die einzig kritische Frage bei dem Vorstoß der Email-Anbieter: das Vertrauen. Nicht in die Anbieter selbst, wie SpOn schreibt (der Autor brauchte wohl einen knackigen Ausstieg) – Die Anbieter speichern lediglich den öffentlichen Schlüssel und den verschlüsselten Text. Die Nutzer müssen vielmehr der Browsererweiterung vertrauen – Mailvelope erzeugt schließlich die Schlüsselpaare und ver- und entschlüsselt Mails, und könnte dehalb theoretisch den Inhalt der Mails lesen. Aber da würde ich mir keine Sorgen machen: Mailvelope ist quelloffen (Open-Source, hier zum Projekt) und kann somit von jedem sachverständigen Nutzer kontrolliert werden; nur so entsteht in den heutigen Tagen Seriösität.

Was ich mir wünschen würde: Dass auch andere PGP-Nutzer (die also andere Maildienste nutzen und PGP manuell eingerichtet haben) von GMX, Web.de und 1&1-Nutzern angeschrieben werden könnten und ihnen schreiben könnten. Das ist technisch natürlich möglich, bislang aber nicht in die Webmailer implementiert. Vermutlich, weil die öffentlichen PGP-Schlüssel auf diversen Servern verteilt, die erstmal alle durchkämmt werden müssten und dann auch noch verschiedene Einträge auswerfen würden, was man den Komfort gewohnten Nutzern nicht zumuten will. Aber nur so würde die Verbreitung über das United-Internet-Universum heraus wachsen; so kämen wir der selbstbestimmten Kommunikation wirklichein Stück näher.