Digitale Selbstverteidigung

»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«

Digitale Selbstverteidigung

Was ist digitale Selbstverteidigung?

• Metapher: Digitale Hygiene, Datenhygiene
• Versuch des Empowerments: das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrzunehmen
• Aufruf zur Selbstbestimmung durch Teilrestauration gegen den neuen Kontrollverlust von Privatheit

Digitale Selbstverteidigung

Metaphern

Digitale Selbstverteidigung

Digitale Selbstverteidigung als Aufklärungsmodell

Habe Mut, dich deines eigenen Verstandes zu bedienen!

Beantwortung der Frage: Was ist Aufklärung?

→ Selbstbestimmung erfordert Wissen und Erfahrung.

Risiko: Überforderung des Individuums

Digitale Selbstverteidigung

Digitale Selbstverteidigung

Prinzipien und Praxisformen

Motive/Anlass für Digitale Selbstverteidigung

Herausforderungen

Überwachung, Disziplin und Kontrolle (Focault/Deleuze/Han)

Datengetriebene Gesellschaft

Weitere praktische Möglichkeiten

• Daten-Hygiene einüben: immer wieder CryptoParties besuchen und weiterempfehlen
• mit Freunden und Familie über Digitalisierung und Privatsphäre diskutieren
• sich bei Apps und Sozialen Diensten über deren Datensammlung informieren, ggf. Alternativen verwenden

Aktiv werden

Mitmachen!

• Mitstreiter*Innen und Unterstützer*Innen im Bündnis sind herzlich willkommen!
• Spenden für OpenSource-Projekte (z. B. GnuPG, Linux, Mozilla, etc.)

Literatur- und TV-Empfehlungen

Fazit

Wendet sich gegen Massenüberwachung

Grenzen digitaler Selbstverteidigung

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Verschlüsselung funktioniert

• gute Nachricht weil Verschlüsselung – nahezu immer – Grundlage digitaler Selbstverteidigung ist
• aber:
  • richtige Implementierung → setzt deren Überprüfbarkeit voraus → OpenSource
  • starke Crypto-Systeme → standardisierte, aktuelle und öffentlich überprüfte Verfahren und Algorithmen
• Also quelloffene, empfohlene Lösungen im eigenen Alltag einsetzen und alles ist gut?

Verschlüsselung umgehen

Schief gegangen

Beispiele von Sicherheitsbrüchen

• Sloppy security hygiene made Sony Pictures ripe for hacking
• Nackt im Netz: Millionen Nutzer ausgespäht
• Hack von 500 Millionen Nutzerkonten: 35 Millionen Dollar Strafe für Yahoo
• Knuddels.de: Millionen Nutzerdaten mit Passwörtern geleakt

Grenzen ausloten

Risikoanalyse an Hand von Bedrohungsmodellen

Bedrohungsmodelle:

• beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
• helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.

Bedrohungsmodell

Übersicht

Die W-Fragen

Schutzintressen und -rahmen ermitteln

• Was möchte ich schützen?
• Vor wem möchte ich es schützen?
• Was sind die Konsequenzen, wenn der Schutz versagt?
• Welche Angriffswege könnten genutzt werden?
• Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
• Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

• Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
• Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
• Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
• Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)

Soziale Netzwerke

Traps and Pitfalls

Überwachungskapitalismus

Zentrale Datenhaltung und BigData

• Zentrale Datenhaltung (Zugriff?)
• Verwertungsrechte der eingestellten Inhalte durch AGBs geregelt
• Profilbildung und Verknüpfung durch Big-Data-Analysen
• Langzeitspeicherung und massive Datensammlung
• Schattenprofile
• Übertragung/Veräußerung von Privatheit an einen fremden Akteur

Überwachungskapitalismus

Walled Gardens und soziale Experimente

• Walled Gardens als isolierte, selbstreferenzielle Systeme (Filterbubble)
• Algorithmen bestimmen Relevanzen dargebotener Inhalte (Filterung)
• Einschränkung oder Aufgabe von Autonomie
• kontinuierliche soziale Experimente

Überwachungskapitalismus

Synoptikum (Baumann, Mathiesen, Lyon)

• Do-it-yourself panoptikum
• Echokammern, Filterbubble: Nutzer*innen indoktrinieren sich selbst
• Tendenz des Totalen: (möglichst) Lückenlose Beobachtung der der Bewegungen des täglichen Lebens

Durchlässige Mauern

Datensicherheit und Zugriffe von Außen

• Nadel im Heuhaufen: Soziale Netze und Clouds als Teil von PRISM und Tempora
• BND-Überwachung wird auf soziale Netze ausgeweitet (Vorhaben trotz #NSAU)
• Kreditkartenbetrüger und Kettenbriefe
• Identitätsdiebstahl (Link zum Erfahrungsbericht der Journalistin Tina Grolls (DLF nova))
• Online Harassment: Von Trollen und Mobbing
• Stalking

Skizze des Charakters Sozialer Netzwerke

Soziale vs. Asoziale Netzwerke

• Polemik: Alternative/Föderierte Soziale Netzwerke seien aufgrund der fehlenden kritischen Masse per se asozial
• Welcher Gemeinschaftsbegriff liegt Facebook & Co. zugrunde?
• Facebook-Freund als false friend

Alternative Soziale Grauzonen

DSGVO

»Alternative Anbieter wie Diaspora oder Mastodon, die graswurzelartig von den Nutzern selbst betrieben werden, stehen vor kaum lösbaren Problemen: Wie etwa soll das in der DSGVO verankerte „Recht auf Vergessen“ auf derart verteilten Plattformen eigentlich umgesetzt werden? Einige sehen keine andere Wahl, als Nutzer aus der EU einfach auszusperren.«

• Facebook überarbeitet seine Privatsphäre-Tools
• Infografik: Die Privatsphäreeinstellungen von Facebook richtig nutzen
• Facebook: Grundlegende Privatsphäre-Einstellungen und Funktionen

Sichtbarkeiten und Vernetzung einschränken

Clicktivism

• Sicher auf Twitter: So schützt Ihr Eure Privatsphäre
• Vereinfachte Datenschutz-Einstellungen bei Google
• Google Dashboard
• The Redditor’s Guide to Android Privacy (and other tools/tips)

Alternative Soziale Netwerke

Blogs und Microblogging

Allgemein

• OpenSource-Projekt basierend auf PHP
• 2001/2 als Weblogsystem von Michel Valdrighi gestartet
• ab 2003 von Matthew Mullenweg und Mike Little fortgeführt
• am 3. Januar 2004 erste stabile Version von WordPress
• ab 2005 Entwicklung durch die Firma Automattic (Firma von Mullenweg)

Allgemein

• als Blogsystem gestartet seit 2007 auch CMS
• sehr gut für Selfhosting geeignet (überschaubare Anforderungen an den Hoster)
  → eigene Daten und die Daten der Nutzer unter Kontrolle

Grundlegende Funktionen

• einfache „5-Minuten-Installation“
• Verwaltung von Bildern und Texten
• in Form von Blog-Artikeln und statischen Seiten
• Erschließung der Inhalte über Verschlagwortung (Tags) und Kategorien
• Bloginhalte als Web-Feeds abonnierbar

Unter der Haube

• Versionierung von Seiten/Artikeln
• integrierter Editor
• Redaktionssystem mit verschiedenen Rollen
• Mediengalerie
• integrierte Volltextsuche über alle Seiten

Erweiterbarkeit und Anpassung

• Plugins
• Themes (frei und kommerziell)
• Widgets für Standard-Funktionen
• integriertes Kommentarsystem (je Veröffentlichung steuerbar)
• Offizielle Deutsche Lokalisierung: https://de.wordpress.org/
• Deutsche Community (z. B.): http://wpde.org/

Vor- und Nachteile

• Pro:
• Kontrolle über die eigenen Veröffentlichungen
• einfache Bedienung
• sehr gute Anpassbarkeit
• solide Pflege des Kernsystems (Autoupdate) und aktive Entwicklung
• Weite Verbreitung = Weite Unterstützung

• Contra:
• beliebtes und lohnendes Angriffsziel:
• Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress
• Malvertising: Kriminelle nutzen Tausende WordPress-Sites als Malware-Schleudern
• WordPress-Schwachstelle kann Codeausführung aus der Ferne ermöglichen

Demo von

lokale Installation auf Basis von www.wordpressdocker.com

Datenschutzgrundverordnung 1

• Private Datenverarbeitung nicht betroffen
  Artikel 2, Sachlicher Anwendungsbereich, im Absatz 2:
  

  „(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
  [...]
  c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“

• unklar ist die Bewertung was „persönliche Tätigkeit“ ist

Datenschutzgrundverordnung 2

• Datenschutzerklärung (Website)
• erweiterte Infopflichten (Artikel 13 DSGVO), insbesondere um die Rechte der betroffenen Person
• Name und Kontakdaten des Verarbeiters, Beschreibung und Umfang der Verarbeitung, Rechtsgrundlage (gemäß Artikel 6), Zweck und falls Artikel 6 Abs. 1 (f) berechtigtes Interesse, Speicherdauer oder Kriterien dafür, Wiederspruchsrechte und -Stelle
• gutes, allerdings umfangreiches Beispiel, auf: heise.de
• Hilfestellung von Wordpress im Backend für Details dazu ansehen

• OpenSource-Projekt basierend auf JavaScript und node.js
• Fokus auf angenehmes Schreiberlebnis
• benötigt ein externes Kommentar-System
• bereits zahlreiche Themes und Plugings verfügbar
• zum Ausprobieren: Ghost auf Docker Hub
  $ docker run -d --name some-ghost -p 3001:2368 -v /path/to/ghost/blog:/var/lib/ghost/content ghost:1-alpine

Evan Prodromou

• Softwareentwickler und Open-Source Advocate
• Gründer von identi.ca, Haupt-Comitter des Status.net Projekts
• Gründer von Pump.io basierend auf ActivityStreams, eine wesentliche Quelle des Protokolls ActivityPub

pump.io

Social server with an ActivityStreams API

• OpenSource-Projekt (node.js), dass 2013 ins Leben gerufen wurde
• erlaubt lange Nachrichten
• Föderation und Dezentralität (Nutzer verschiedener Installationen können sich miteinander austauschen)
• Anmeldung an andere Installationen über Webfinger
• Hashtags und Gruppen fehlen noch

pump.io

Social server with an ActivityStreams API

• ActivityStream-Protokoll erlaubt prinzipiell vielfältige Nutzung
• Austausch von Bildern (Upload)
• Software für eigene Geräte (Desktop-Clients) und Apps verfügbar
• Grundlage von Mediagoblin
• Needs Love
• befindet sich noch in einem sehr frühen Stadium
• Dynamik der Entwicklung hat nachgelassen

pump.io

Ausprobieren

GNU Social

• OpenSource-Projekt (PHP), dass 2013 als Fortführung des StatusNet-Projekt ins Leben gerufen wurde.
• Microblogging auf Basis des OStatus Standards
• Ziel mehr Kontrolle über eigene Dienste und Daten
• Integration mit anderen Diensten (Interoperablität)

GNU Social

gnusocial.de is gone...

After a wild ride of four years running this server it was about time to say goodbye.
For keeping up with free, decentralized and federated microblogging please check:

• Mastodon
• Pleroma
• Friendica

So long, take care and always be excellent to each other!

Mastodon

kurz vorgestellt

• Offene Standards: Atom Feeds, ActivityStreams, Salmon, PubSubHubbub und Webfinger
• und neu: ActivityPub
• Interoperatblität: Austausch mit GNU social/ OStatus und anderen ActivityPub-Plattformen

Mastodon

kurz vorgestellt

• Diskussionen (Threads) werden online verteilt (föderiert)
• hohe Integrierbarkeit (OAuth und REST)
• Hosting: vereinfachtes Deployment trotz anspruchsvollem Technologie-Stack (Devops/Docker)

Mastodon

Ausprobieren

Alternative Soziale Netzwerke

HumHub

• in PHP, JavaScript, CCS/Less geschrieben
• Open Source Community Edition
• kostenpflichtige Enterprise Edition
• Anpassung auf firmenintere Bedürfnisse durch diva-e (zeros+ones)

Friendica

kurz vorgestellt

• OpenSource-Projekt (PHP)
• Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
• Durchgängige Berücksichtigung der Privatsphäre (jeder Entscheidet über preisgegebene Daten)
• Anlage detaillierter Profile möglich

Friendica

kurz vorgestellt

• Eingebettete Inhalte
• Austausch von Fotos und Anlage von Fotogalerien
• Events (z. B. Geburtstage)
• Gruppen und Hashtags werden unterstützt
• Einführung im umfangreichen Wiki

Ausprobieren

Diaspora*

kurz vorgestellt

• OpenSource-Projekt (Ruby on Rails)
• Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
• Datensparsamkeit

Diaspora*

kurz vorgestellt

• Aspekte zur Sichtbarkeitskontrolle von Posts und Hashtags
• Eingebettete Inhalte und Posting in Markdown
• diaspora* Anleitungen
• Liste von Diaspora-Servern, auf denen sich Benutzer anmelden können, um an dem sozialen Netzwerk teilzunehmen

Ausprobieren

Fazit

Alternative Soziale Netzwerke

• jenseits des Mainstream: Alternative Netzwerke existieren, sind aber relativ unbekannt
• Es fehlt an entsprechenden, fancy Smartphone-Apps
• kritische Masse/Publicity
• Entwicklern fehlt Dialog mit Nutzer*Innen → Gründung von UserGroups?
• geeignet für kleinere, abgeschlossene Netze (Familie, Vereine, regionale Gruppen, kleinere Netzwerke)
• Ressourcen-Mangel: OpenSource als Spezialfall des Allmende-Problems → Croudfunding?

Discourse

Discourse

Civilized discussion

• eigene Community betreuen
• einfaces Editieren und Zitieren von Beiträgen
• einfaches Hinzufügen von Medieninhalten
• Dynamische Benachrichtungen (Nofitications)
• Kontextsensitives Darstellungen

Discourse