Beobachte mich nicht – Sicher Surfen und Anonymisierung im Internet
Materialien
Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )
Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.
Digitale Selbstverteidigung
Unter dem Begriff der Digitalen Selbstverteidigung verstehen wir alle Praxisformen und und Techniken zur digitalen Selbstbestimmung. In diesem Sinne verstehen wir Sie als Techniken des Digitalen Selbst.
Die Digitale Selbstverteidigung stellt im im Zeitalter der Digitalisierung einen Versuch der Selbstermächtigung vor um das Recht auf informationelle Selbstbestimmung wahrzunehmen. Insofern begegnet Digitale Selbstverteilung den Herausforderungen der Digitalisierung für die Menschen- und Bürgerrechte, die häufig als Kontrollverlust erlebt werden.
Im Zusammenhang mit der Folgende Aufstellung widmet sich den Aspekten der Privatheit, Nutzen und Risiken nach Gutwirth, S.; Gellert, R.; Bellanova, et al.
| Aspekt der Privatheit | Defintion und Umfang | Grenzen und Trade-offs | Beispiel für Risiken |
|---|---|---|---|
| Privatheit von Daten und Bilder | Menschen haben ein Recht auf Privatheit ihrer Daten und Bilder | Behörden, Arbeitgeber und Firmen benötigen für die Verwaltung und Leistungserfüllung Daten. Kontrollverlust: Es ist nicht immer möglich das Recht am eigenen Bild zu wahren (Fotografien an öffentlichen Plätzen) | Behörden, Regierungen und Firmen zweckentfremden die gesammelten Daten. Paparazzi. |
| Privatheit von Verhalten (und Handeln) | Menschen haben ein Recht sich so zu verhalten, wie sie möchten ohne dabei von anderen beobachtet und kontrolliert zu werden | Das Verhalten einiger Menschen setzt andere einem hohen Risiko aus | Manipulation: Firmen versuchen das Verhalten von Menschen in ihrem Sinne zu beeinflussen |
| Privatheit von Kommunikation | Menschen haben ein Recht auf vertrauliche, private Kommunikation die weder belauscht noch abgehört wird | Nachrichtendienste und Strafverfolgungsbehörden möchten kriminelle Elemente identifizieren | Regierungen und Behörden observieren alle Menschen, um ›kritische Stimmen‹ zu identifizieren |
| Aspekt der Privatheit | Nutzen durch Schutz von Privatheit | Risiken durch Verletzung der Privatheit | ||
|---|---|---|---|---|
| Für den Einzelnen | Für die Gesellschaft | Für den Einzelnen | Für die Gesellschaft | |
| Privatheit von Daten und Bilder | Empowerment: Selbstbestimmtheit/Autonomie, Entscheidungsspielräume | Fördert demokratische Entwicklung: Kontrolle der Daten als Chance zur Gestaltung von Gegenwart und Zukunft (›Schicksal‹) | Einzelne werden durch persönliche Daten kompromittiert. Personenbezogene Daten ermögliche persönliche Erfassung. Wer möchte immer anpeilbar sein? | Das gesellschaftliche Klima wird durch die permanente Kompromittierung persönlicher Daten vergiftet. |
| Privatheit von Verhalten (und Handeln) | Das Individuum kann sich im Handeln ungestört durch Andere entfalten. Menschen benötigen vom Rückzug in die Abgeschiedenheit (z. B um Ruhe zu finden). Trägt zur Entwicklung und Übung von Autonomie und der Freiheit im Denken bei, weil wir uns für einen Moment von der Billigung oder Missbildung Anderer entziehen können. (›Bei sich sein‹) | Demokratische Gesellschaften bestehen aus Individuen und fördert gleichzeitig die Solidarität und soziale Bindungen. | Chilling Effects. Der ständig beobachtete Einzelne fühlt sich unterjocht, isoliert, unterdrückt, hilflos (ohne Einfluss) oder ist aufgebracht. | Risiko sozialer Spannungen steigt: Angespanntes Verhältnis zwischen Staat und Bürger*Innen |
| Privatheit von Verhalten (und Handeln) | Meinungs- und Redefreiheit. Der Einzelne fühlt sich frei, seine Ansichten und Meinungen zu äußern. | Die Gesellschaft wächst unabhängig vom benutzen Kommunikationsmedium an der Möglichkeit freien Debatte. Die Vielfalt und Freiheit der Diskurse ermöglicht die zivilisierte Auseinandersetzung von politischer Meinungen, Strömungen und Weltanschauungen. Dies wird am ehesten in unbeobachteten Kommunikationsräumen (on- wie offline) möglich sein. |
Chilling Effects. | Atmosphäre des Misstrauens als Risiko für Solidarität. Meidung bestimmter Kommunikationstechniken und -plattformen. |
Bedrohungsmodelle (threat models)
Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.
Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.
Digitaler Schatten und Webtracking
Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.
Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.
Beim Behavioral Profiling werden dahingegen Tastatureingaben, Mausbewegungen und -klicks beobachtet, aus denen sich sehr eingeidute Personalisierungen ableiten lassen und gegen die aktuell noch keine durchgängigen Verteidigungsmaßennahmen bekannt sind.
Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.
Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.
SSL und TLS
SSL bzw. TLS dienen als Standardverschlüsselung, die beim Abruf von Webseiten eingesetzt wird und deren Protokoll dabei als HTTPS abgekürzt ist. Die Verschlüsselung ist in einem komplexen Kommunikationsprotokoll realisiert das auf Zertifikaten basiert. Durch die Kettenstruktur der Zertifikate ist diese System jedoch mit einem Vertrauensdilemma belastet. 2014 sind darüber hinaus – nicht nur durch die Enthüllung von Edward Snowden – gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
Die Achillesferse stellen bei SSL und TLS gesicherten Verbindungen die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Modell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der Zertifikatskette ganz oben stehen. Können diese manipuliert werden, bricht die Vertrauenswürdigkeit des ganzen Systems zusammen.
Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem ausgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit einem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensarchitektur zu kompromittieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 erfordert zwingend eine Transportverschlüsselung mittels TLS. Die Umsetzung der Transportverschlüsselung wird von Experten nicht nur positiv aufgenommen.
Add-Ons, Tools, Best Practices
Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessere Kontrolle über die Verbreitung eigener Datenspuren bzw. deren Verhinderung, u. a.:
µMatrix (uMatrix).
Self Destructing Cookies (leider nur noch mit der longtime stable Version einsetzbar),
Random Agent Spoofer (leider nur noch mit der longtime stable Version einsetzbar),
Weiterführend oder alternaiv bieten sich Erweiterungen an wie:
µBlock Origin (statt µMatrix),
NoScript, (statt µMatrix oder µBlock Origin),
RequestPolicy, (zusätzlich).
Die Software BleachBit kann unter anderem auch zur Beseitigung von Cookies eingesetzt werden.
Weiterführende Links
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl.
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Buch zu den mathematischen Hintergründen findet sich hier.
Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.