Einfach mal eine coole Sau…

Alle Rechte bei Hans-Christian-Ströbele, via Twitter… dieser Ströbele…
auf seine alten Tage noch mal aus seinem Revoluzzerimage auszubrechen und Bundespolitik zu schreiben – wenn nicht Weltpolitik. Mit seinem überraschenden Treffen mit Edward Snowden hat sich als Oppositionspolitiker bewiesen – die Bundesregierung wusste nichts von der Aktion – der Regierung aber gleich einen Gefallen getan: Denn sie hätte sich nicht mit Snowden treffen können, ohne die Amerikaner zu provozieren. Ströbele hat ausgelotet, unter welchen Bedingungen Snowden bereit ist die Affäre in Deutschland rechtsstaatlich aufarbeiten zu lassen. Er ist bereit, sofern seine Sicherheit gewährleistet ist. Und das sieht er für sein russisches Exil nicht.
Jetzt liegt der Ball also doch im Feld der Regierung. Holt sie Snowden zur Anhörung nach Deutschland? Muss sie ihn dann als politischen Asylanten behalten? Wie geht sie mit dem bereits im Vorhinein gestellten Auslieferungsantrag der USA um? Es scheint, dass unser Land eine Schlüsselrolle bei der Bewältigung dieser internationalen Krise haben wird. Ich wünsche allen Beteiligten Mut, Augenmaß und Verantwortungsbewusstsein!

Prism-Break III: Das Handy, dein Freund und Verräter

apps, Sean McEntee / CC BY 2.0Um der NSA zu entkommen, kann man Google bzw. anderen Firmen, die aus privaten Daten Werbung generieren, wie ich es getan habe (Prism-Break II / Brism-Break I) seine Emaildaten, sein Adressbuch, seine privaten Termine und seine Cloudspeicher-Dateien entziehen.
Dabei füttern wir den vermutlich größten Datensammler Tag für Tag mit jeder Menge persönlicher Information, ohne es zu merken. In der Bahn, auf dem Klo oder während langweiliger Sitzungen. Unser Smartphone!

Viele Apps sind wahre Datenkraken. Sie erfordern bei der Installation nicht nur die Berechtigungen für die Funktionen, für die sie gedacht sind, sondern für viele weitere. Und die Berechtigungsabfrage wird vom Nutzer in der Regel – Hand aufs Herz – einfach bestätigt. Wer liest schon das Kleingedruckte, wenn er die neue App ausprobieren will?!
So sind viele kostenlose Apps auf den zweiten Blick sauteuer. Sie lesen private Daten aus dem Handy aus uns stellen Sie dem Hersteller für jegliche Zwecke zur Verfügung, und das vollkommen sauber, vollkommen legal, denn der Nutzer hat ja sein Okay gegeben.

  • Die beliebte Musikerkennungs-App „Shazam“ zum Beispiel liest die Geräte-Kennung eines Android-Handies aus, zudem die GPS-Position und sie sammelt Infos über alle gestarteten Apps.
  • Die Taschenlampen-App „Tiny Flashlight“ verbindet sich zudem zu zwei Servern. Obwohl sie eigentlich nur Zugriff auf die Geräte-LED bräuchte.
  • Der Blog „Kuketz-Blog“ gibt weitere Beispiele und zudem eine sehr gute Einführung in das Thema Datenschutz bei Smartphones.

My iPhone apps as of February 2010, dougbelshaw / CC BY 2.0

Aber jetzt jede installierte App auf dem Smartphone oder Tablet durchgehen und sich durch Seiten von Kleingedrucktem quälen? Hätte ich auch keine Lust drauf. Aber es gibt eine Anwendung, die einem das zum Glück abnimmt. De App Clueful der Firma Bitdefender sollte eigentlich alle Apps auf dem Gerät, auf dem sie installiert ist, untersuchen und dann die gefährlichen Berechtigungen anzeigen. Auf Android-Geräten tut sie das auch – Iphone-Nutzer hingegeben müssen jede App, die sie überprüfen wollen, selbst im Web eingeben. Der Grund: Apple hat die App für iOS nämlich wieder aus dem Appstore genommen. Warum, haben sie nicht gesagt.

Das Wissen um gefährliche Apps ist gut und schön. Ich habe mir aber zum Ziel gesetzt, auf dem Weg in die personelle Selbstbestimmung, die der beste Schutz zumindest vor der NSA ist (weil viele Server in den USA stehen und deren Betreiber mit dem Geheimdienst kooperieren müssen) nicht auf Komfort zu verzichten.
Zum Glück gibt’s für Android-Smartphones mehrere Programme, die die Apps Berechtigungen entziehen können – bzw. persönliche Daten mit gefälschten ersetzen, so dass die Programme also nur die Daten bekommen, die sie haben dürfen. Dann kann ich immer noch überlegen, ob ich Facebook auf meine Bilder zugreifen lasse (nicht unnütz, wenn ich eines hochladen möchte) oder Ebay Kleinanzeigen meinen Standort verrate. Ich nutze Xprivacy (im Portal Androidpit gut beschrieben), das sehr detailliert Berechtigungen löschen / faken kann.
Die Möglichkeit gefährliche Berechtigungen zu sperren bzw. zu manipulieren gibt’s bei Iphones / Ipads meines Wissens leider nicht. Dafür, welch Hohn in der jetzigen Zeit, beim neuen Iphone einen Fingerabdruckscanner. Da freut sich die NSA, dass sie den gleich mitgeliefert kriegt.

Bildrechte: AndroidPIT

Bislang habe ich mit Android + XPrivacy weder auf ein Programm verzichten müssen, noch Geschwindigkeitseinbußen wahr genommen. Allerdings, das muss ich zugeben, ist die Installation und Benutzung nicht sonderlich komfortabel. Komfortabler ist da Cyanogenmod – ein modifiziertes Android-Betriebssystem, das von einer großen Entwicklergemeinschaft kostenlos aktuell gehalten wird und für eine Vielzahl von Android-Geräten verfügbar ist. Cyanogenmod enthält einen so genannten „Privacy Guard“, mit dem sich der Zugriff auf Kalender, Kontakte, Nachrichten Telefonat-Liste sehr komfortabel beschränken lässt. Ich nutze „CM“ bei meinem aktuellen Smartphone nicht, weil meine Kamera nur mit dem Original-Betriebssystem einwandfrei funktioniert.

Umso froher bin ich, meine Smartphone-Daten dank XPrivacy trotzdem im Griff habe – und sie dem Zugriff möglicher staatlicher Datensammler entziehe, indem ich sie einfach nicht verrate. So läuft das nämlich mit der Privatsphäre.

Prism-Break II: Kontakte, Kalender, Dropbox

Überwachung abwählen / benjaminbeckmann, CC BY-SA 2.0Ich habe in den letzten Tagen viel über Internetserver gelernt. In diesem Zuge habe ich auch ein bisschen besser verstanden, wie das Internet funktioniert. Für mich war das eine gute Erfahrung, immerhin befinden sich dort meine Daten, öffentliche wie private.

Ziel der zweiten – wie der ersten – „Prism-Break„-Aktion war, wieder Verantwortung für mein digitales Leben zu übernehmen, das ich zu großen Teilen Google in die Hand gegeben habe. Ich habe es in den letzten Jahren als komfortabel empfunden, dass Google

  • meine Kontakte verwaltet und mir auf dem Smartphone sowie jedem Rechner der Welt zur Verfügung stellt
  • und meinen privaten und eine Kopie meines dienstlichen Kalenders speichert und mich ebenfalls dort benutzen lässt, wo ich es brauche – ob mobil oder an irgendeinem PC.

Ich sagte bereits, dass ich keinerlei Groll gegen Google hege. Auch habe ich immer akzeptiert, dass das Unternehmen im Gegenzug für meine kostenfreie Nutzung ihrer Dienste meine Daten für personalisierte Werbeanzeigen nutzt. Und ja, ich habe Google auch vertraut, dass sie gut auf meine Daten aufpassen. Aber als amerikanisches Unternehmen steht die Firma, egal wie „gut“ oder „schlecht“ sie ist, unter dem Zugriff der Geheimdienste.

Was ich in den letzten Tagen gemacht habe, bedeutet nun freilich keinen definitiven Schutz vor dem Zugriff der Geheimdienste, aber wie ich bereits schrieb, möchte ich meine Daten soweit wie möglich selbst in der Hand behalten. Und da geht was.

Zum Beispiel habe Google (neben zuvor meinen Mails) nun auch die oben genannte Daten weg genommen.
Die Lösung heißt „OwnCloud“ und ist eine Anwendungssammlung, die ich auf meinem (gemieteten) Webserver installiert habe und die dort Kontakte und Kalender verwaltet, im Web für mich als Benutzer sichtbar und editierbar macht und sie mit Smartphones synchronisiert. Alles, was Google auch kann.
Zudem lassen sich Daten mit lokalen Verzeichnissen auf dem PC synchronisieren, was der Funktionsweise der bisher von mir genutzten Cloudservices Dropbox und Telekom Mediencenter entspricht. Ebenfalls abgemeldet.

Ich habe bisher keinen Komfortverlust im Vergleich mit den etablierten Services feststellen können, was bei der Funktionalität, die vor allem Google seinen Anwendungen mitgibt, schon beachtlich ist. Owncloud hingegen basiert auf einer Idee eines Open-Source-Entwicklers und bemächtigt sich nicht meiner Daten.

Die Alternative zu einer Installation der Anwendungssuite auf einem gemieteten Webserver ist übrigens Owncloud auf einem eigenen Webserver zu installieren, wie er z.B. in Form von NAS (Netzwerkfestplatten) für gut 300 Euro zu haben ist. Ich denke darüber nach, ob mir das Mehr an Kontrolle (immerhin fällt dann die Administration des Webhosting-Anbieters weg) das Weniger an Sicherheit wert ist, das ein von einem Nicht-IT-Spezi gewartete Heimsystem birgt. Der Nutzer ist nach wie vor der größte Risiko für die Daten…

Wie gesagt – die zum Teil sensiblen Daten liegen nun nicht mehr in den USA, sondern auf einem deutschen Server, geschützt durch gesicherte Verbindungen, sichere Passwörter, relativ strenge Datenschutzbestimmungen – und verwaltet von mir.

Diese Fähigkeit zu erlangen war jedoch nicht so einfach wie gedacht. Vor allem der Schutz meines Servers durch ein SSL-Zertifikat, genauer: Die Verschlüsselung der Verbindung, ist relativ vertrackt. Und hier liegt, wenn man denn danach sucht, auch ein Haken gegenüber den Google-Diensten: Denn SSL-Zertifikate sind nicht kostenfrei. Ich habe eines für 2 Euro pro Monat abonniert, das aber sein Geld wert ist, finde ich.
Ich bin ein bisschen stolz, dass ich das Zertifikat installieren konnte. Vor allem aber ist es ein gutes Gefühl, meine Daten – Mails, Cloud-Daten, Kalender, Kontakte – nun weitgehend unter meiner Kontrolle zu wissen. Sind ja meine. Gell, NSA?