Gutjahr gemeint, aber…

Ich freue mich über die vielen Initiativen, die auf die Schutzbedürftigkeit der Privatsphäre hinweisen und für den Wert persönlicher Daten sensibilisieren.
An das Abkleben von Webcams denke ich dabei aber nicht, zumindest nicht als erste Maßnahme. Zwar hat der britische Geheimdienst GCHQ über Webcams privater Laptops Fotos von dem Zuhause völlig Unverdächtiger gemacht und gespeichert, was zweifellos zu den größten Eingriffen in die Privatsphäre gehört, die ich mir vorstellen kann. Doch angesichts der Millionen Smartphones, deren Kameras viel mehr über die Besitzer verraten könnten, allein aufgrund der wechselnden Standorte – die aber munter zum Fotografieren / für Selfieshoots genutzt werden und deshalb unabgeklebt bleiben – ist die Notebook-Webcam doch eine ziemlich informationsarme Überwachungsquelle, oder? (Die Kameras von Smart-TVs, die ja auch schon gehackt wurden, demnach auch.)

Aktion auf www.gutjahr.biz zur re:publica 2016

Aktion auf www.gutjahr.biz zur re:publica 2016

Eine Aktion von Richard Gutjahr, eines von mir ansonsten hochgeschätzten Journalisten, hat die ganze Abdeckerei nun ins Absurde getrieben – trotz der Einbeziehung von Handykameras. Zur Re:publica hat er 12 Kilo Abdeckungen für Webcams oder eben Smartphones produzieren lassen, um sie an seine Follower zu verschenken.
In einem Blogeintrag schrieb er:

Schickt einfach eine Mail oder einen Snap mit Eurer Post-Adresse oder abonniert meinen Newsletter. Die ersten 100 Einsendungen oder Neu-Abonnenten erhalten jew. ein Heft mit 2 Webcam-Stickern per Post (das Porto übernehme ich).

Klingelt’s da?
Gutjahrs Freundinnen und Freunde bekommen eine Kameraabdeckung samt einer Postkarte mit der Aufschrift „Your Privacy has been deleted“, wenn sie ihre Postadresse über Email oder Snapchatalso sehr unsichere – Dienste übermitteln!
Paradox, oder?

  • Eine Email wird (wenn Sie nicht mit PGP verschlüsselt ist, was noch immer ziemlich kompliziert ist) in Klartext übertragen und z. T. sogar auf Inhalte gescannt – z. B. von Google, aber auch von den deutschen und US-Geheimdiensten.
    Damit ist sie ungefähr so sicher wie eine Postkarte.
  • Snapchat speichert diverse Daten des Absenders zu nicht genau erklärten Zwecken. Zudem ist die App nicht vor Hackern sicher.
  • Zuguterletzt gehört der Brief zum wohl unsichersten Kommunikationsmedium unserer Zeit. Nicht nur, weil täglich zigtausende Briefe verloren gehen (2004 schätzten Verbraucherschützer die Zahl auf 70.000) oder weil Briefsendungen gescannt werden und damit theoretisch hackbar sind – Das Scannen geschieht auf Wunsch des Kunden, internationale Post wird aber auch ohne dieses Einverständnis stichprobenartig gescannt („Mail Sampling Unit„, siehe Datenschutzbericht Peter Schaar, 2010-2011, ab S.183). Vor allem sind Briefe unsicher, weil der Briefinhalt nicht verschlüsselt ist, durch viele Hände geht und lange mehr oder weniger unbewacht herumliegt (Postschalter, Absendebriefkasten, Zustellfahrzeug, Zielbriefkasten).

Klar gibt es viele, die ihre Postadresse für nicht schützenswürdig halten. Aber zusammen mit den Metadaten, die zwangsläufig in einer Email mitgeschickt werden (eine tolle Demonstration hier) lässt sich viel über den Absender erfahren.Und Snapchat fällt als datenschutzsensibler Transportweg ohnehin weg.

Was bringt eine Aktion wie die von Richard Gutjahr also? PR-Punkte sicherlich, die ich dem Initiator der Aktion vollstens gönne – aber auch ein verzerrtes Bild der Datenschutz-Prioritäten. Immerhin wird der Fokus auf eine, sehr spezielle Datenschutzmaßnahme gelegt, während unsichere Kommunikationswege unkommentiert in die Aktion miteinbezogen werden.
Angesprochen auf diese Inkonsequenz bot mir Richard Gutjahr immerhin eine Alternative an, die ich schmunzelnd zur Kenntnis genommen habe:

Vielleicht findet er für eine sachliche Auseinandersetung mit meinen Argumenten den Weg auf diesen Blog.

Sichere Emails (nur) für GMX, web.de und 1&1-Mail-Nutzer

Emails sind nicht sicher vor Abhörungen. Google scannt den Inhalt seiner Kunden und macht aus den Begriffen Werbung, das Muscular-Programm der NSA zapft die Datenleitungen zwischen den Rechenzentren von Google und Yahoo an und Hacker erbeuten leicht auch mal Millionen Zugangsdaten.

Emailverschlüsselung wäre daher der richtige Weg zu sicherer elektronischer Kommunikation, das jahrelang erprobte PGP-Verschlüsselungsverfahren dabei die richtige Anwendung – denn NSA und GCHQ können es nicht knacken (konnten sie bislang zumindest nicht). Doch – selbst durch den tollen Service von Mailbox.org – PGP ist und bleibt komplex. (Jetzt nur mal so zum Einordnen: Meiner Familie, mit der ich seit Jahren über sicher Threema kommuniziere, habe ich die Einrichtung gar nicht erst zu erklären versucht.)

GMX, Web.de und 1&1 bieten nun einen Dienst an, der sichere Verschlüsselung und Komfort verbindet, und ich kann gar nicht sagen, wie sehr mich dieser Schritt in die richtige Richtung freut. Zumal fast alle meiner Familienmitglieder bei einem der Dienste ihre Mailadresse haben. Nach der halbgaren PR-Kampagne „Email made in Germany“, die uns die eigentlich selbstverständliche verschlüsselte E-Mail-Übertragung als Revolution verkaufte, und dem staatlich geförderten Rohrkrepierer DeMail gibt es jetzt aus dem Firmenverbund „United Internet“ etwas Handfestes:

  • Nutzer der Email-Dienste (auch der kostenfreien) können die verschlüsselte Übertragung freischalten.
  • Sie müssen das kostenfreie Browser-Plugin „Mailvelope“ installieren (gibt’s für Firefox oder Chrome).
  • Das Tool generiert im Hintergrund die für PGP erforderlichen Schlüsselpaare für die Verschlüsselung und speichert sie auf dem Rechner des Nutzers.
  • Beim Email-Schreiben haben die Nutzer nun die Möglichkeit, ihre Nachrichten mit ihrem Schlüssel verschlüsseln zu lassen. Eingehende verschlüsselte Mails werden automatisch entschlüsselt

Die PGP-Verschlüsselung ist dadurch sicher, dass sie bei Sender und Empfänger ver- bzw. enstschlüsselt wird. Das bedeutet natürlich, dass die GMX/1&1/Web.de-Nutzer nur anderen Nutzern, die sich dafür freigeschaltet haben, verschlüsselt schreiben können. Das sollte die Kunden nicht abhalten, den Dienst zu nutzen, wird es aber vermutlich.

Dabei ist die einzig kritische Frage bei dem Vorstoß der Email-Anbieter: das Vertrauen. Nicht in die Anbieter selbst, wie SpOn schreibt (der Autor brauchte wohl einen knackigen Ausstieg) – Die Anbieter speichern lediglich den öffentlichen Schlüssel und den verschlüsselten Text. Die Nutzer müssen vielmehr der Browsererweiterung vertrauen – Mailvelope erzeugt schließlich die Schlüsselpaare und ver- und entschlüsselt Mails, und könnte dehalb theoretisch den Inhalt der Mails lesen. Aber da würde ich mir keine Sorgen machen: Mailvelope ist quelloffen (Open-Source, hier zum Projekt) und kann somit von jedem sachverständigen Nutzer kontrolliert werden; nur so entsteht in den heutigen Tagen Seriösität.

Was ich mir wünschen würde: Dass auch andere PGP-Nutzer (die also andere Maildienste nutzen und PGP manuell eingerichtet haben) von GMX, Web.de und 1&1-Nutzern angeschrieben werden könnten und ihnen schreiben könnten. Das ist technisch natürlich möglich, bislang aber nicht in die Webmailer implementiert. Vermutlich, weil die öffentlichen PGP-Schlüssel auf diversen Servern verteilt, die erstmal alle durchkämmt werden müssten und dann auch noch verschiedene Einträge auswerfen würden, was man den Komfort gewohnten Nutzern nicht zumuten will. Aber nur so würde die Verbreitung über das United-Internet-Universum heraus wachsen; so kämen wir der selbstbestimmten Kommunikation wirklichein Stück näher.

UPDATE: Windows 10 – Ein Betriebssystem auf der Höhe der Zeit

Was wie ein Lob klingt, ist ein zweischneidiges Schwert. Mit der in Windows 10 implementierten Analyse von Schreibgewohnheiten, der Nutzung von Programmen und des Onlinespeichers „OneCloud“ will der Hersteller Microsoft die Software verbessern. Ich finde das gut, das moderne Betriebssysteme von den Nutzern lernen wollen und habe keinen Grund, Microsoft dabei böse Absichten zu unterstellen. Ebenso zeitgemäß und nutzerorientiert ist es nämlich, dass man diese – letztlich datenschutzrelevanten – Optionen auch deaktivieren kann.
Doch wie immer ist das Auffinden der diversen Umschaltknöpfchen mit Aufwand verbunden. Netzwelt.de hat ein verständliches Tutorial geschrieben, das den Weg zu den datenschutzrelevanten Optionen zeigt

Klar ist: Wer Windows 10 per „Express-Setup“ installiert, oder wer glaubt, er habe nichts zu verbergen, gibt viele Daten von sich preis, die nicht nur ein Softwareunternehmen auswertet, sondern das auch in die Hände der Geheimdienste fällt – Microsoft ist wie alle großen Softwareschmieden zur Zusammenarbeit mit der NSA verpflichtet.

Ich empfehle deshalb dem Betriebssysstem jede verzichtbare Datenerhebung zu verbieten. Der vielleicht wichtigste Baustein dabei ist sicherlich, Windows nur mit einem lokalen Nutzerkonto zu nutzen.Den Komfort bei der Nutzung der Software stört das meiner Meinung nach nicht. Giga.de erklärt diesen Schritt sehr gut.

Update 18. August:

Die Welt am Sonntag vom 16. August befasst sich mit der Machtverteilung im Internet und erwähnt auch Microsoft, konkret: Die Peer-to-Peer-Updatefunktion. Windows verteilt seine Updates nicht nur von Microsoftservern zu den Nutzern, sondern auch zwischen den Nutzern. Das so genannte Peer-to-Peer-Verfahren ist uralt und hat viele Vorteile, denn wenn Nutzer sich gegenseitig Daten schicken, geht das schneller, als wenn alle an einem Server saugen. Das Problem: Viele Nutzer wissen nichts davon, dass Microsoft ihre Rechner als Mini-Server gebraucht und natülrich auch ihre Internet-Upload-Leitung benutzt. Dementsprechend wissen sie nicht, wie man das Peer-to-Peer-Update abstellen kann. Dass das eigentlich ganz leicht ist, zeigt howtogeek.com.