Vortrag - Andreas Jung
Workshop - Digitale Selbstverteidigung Workshop Digitale Selbstverteidigung Version 1.4.2 / Mai 2015 Bild von tux.crystalxp.net Piratenpartei Kreisverband Augsburg Workshop - Inhaltsverzeichnis 1. DEFCON Die Bedrohung erkennen 2. ACTIO / REACTIO 3. HOW TO Angriff und Verteidigung Abwehrstrategien 4. BACK TO THE FUTURE Referent: Was uns noch erwartet Andreas Jung Bild von tux.crystalxp.net Piratenpartei Kreisverband Augsburg Workshop - DEFCON DEFCON = Defence Condition Kriegsausbruch Verteidigungszustand Angriff / Verteidigung Alarm Vollständige Einsatzbereitschaft Bereitschaft Vorbereitung der Verteidigung Wachsamkeit Frieden Erhöhte Aufklärung Normale Aufklärung und Aktivitäten Bild von wikimedia commons / Autor: ntrno Piratenpartei Kreisverband Augsburg Workshop - DEFCON DEFCON: Politik / Polizei / Geheimdienste Polizeistaat Präventionsstaat Überwachungsstaat Sicherheitsstaat Rechtsstaat Bild von wikimedia commons / Autor: ntrno Piratenpartei Kreisverband Augsburg Workshop - DEFCON DEFCON: Politik / Polizei / Geheimdienste Automatisierte Erfassung / Überwachung potentiell Verdächtiger, Zugriff auf private Informationen, Informations- und Datenmanipulation Vorbeugende Kontrolle und Überwachung, Verhaltenanalyse und -bewertung, Zensur von Informationen, Zugriff auf lokale Daten Aufbau umfassender Kontrollfunktionen mit VDS, Anlegen von Datenbanken, Automatisierter Erfassung und Datenzugriff in Netzwerken Erweiterte Aufklärung mit allgemeiner Erfassung, Auswertung und Speicherung von Informationen und Daten Fallbezogene Informationserfassung und -auswertung Bild von wikimedia commons / Autor: ntrno Piratenpartei Kreisverband Augsburg Workshop - DEFCON DEFCON: Wirtschaft / Medien Daten- und Verbraucherkontrolle (Manipulation Verbraucherverhalten, Beeinflussung von Meinungsbildung, Nutzung und Handel persönlicher Daten) Generelle Datenauswertung und -nutzung (Profilerstellung von Verbrauchern und ihren Vorlieben, Handel mit Kundendaten) Personifizierte Datenerfassung und -auswertung (Anlegen von Benutzerprofilen, Analyse Verbraucherverhalten, Handel mit Adressdaten) Erweiterte Datenerfassung (Nutzertracking, personifizierte Werbung, Konsum- und Verbraucheranalysen) Grundlegende Datenerfassung (Cookies / Umfragen) Bild von wikimedia commons / Autor: ntrno Piratenpartei Kreisverband Augsburg Workshop - DEFCON DEFCON: Wo stehen wir heute...? DEFCON 2 Bilder von wikimedia commons / Autor: ntrno Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Der Grundpfeiler unserer Demokratie Warum ausufernde Kontrolle unsere Grundrechte gefährdet "Alle Staatsgewalt geht vom Volke aus." "Die Gesetzgebung ist an die verfassungsgemäße Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden." Art. 20 GG, Absatz 2 und 3 Das Volk wird als Souverän verstanden. Die Politiker agieren nur im Mandat der Bevölkerung. Die Überwachung der Bevölkerung verdreht diesen Grundsatz ins Gegenteil und schüchtert die Bürger vor der politischen "Obrigkeit" ein. Eine Kontrolle der Regierenden wird erheblich dadurch eingeschränkt, wenn der Bürger diesen Zustand akzeptiert. "Wer die Daten hat, hat die Macht!" Günther Oettinger, EU-Kommissar, in einer Rede am 13. April 2105 Bild von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Wie man eine Demokratie zerstört... Die Beschwörung einer äußeren bzw. inneren Gefahr "Das Volk kann mit oder ohne Stimmrecht immer dazu gebracht werden, den Befehlen der Führer zu folgen. Das ist ganz einfach. Man braucht nichts zu tun, als dem Volk zu sagen, es würde angegriffen, und den Pazifisten ihren Mangel an Patriotismus vorzuwerfen und zu behaupten, sie brächten das Land in Gefahr. Diese Methode funktioniert in jedem Land." Hermann Göring, 18. April 1946 (G.M. Gilbert, Nürnberger Tagebuch, 1962) "Krieg gegen den Terrorismus" US-Präsident Barrak Obama "erhöhte abstrakte Gefährdungslage" Verteidigungsminister de Maizere Bild von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Wie man eine Demokratie zerstört... Verdächtigungen und Misstrauen - eine abwärtsführende Spirale Umkehr der "Unschuldsvermutung": Jeder gilt bis zum Beweis seiner Unschuld als "verdächtig" Verwässerung der Begriffe: Die Definition von "verdächtig" wird auf alltägliche, teilweise banale Dinge, Merkmale oder Verhaltensweisen ausgeweitet Verdächtig auf Verdacht: Verdachtsmomente werden von tatsächlich nachprüfbaren Ereignissen "entkoppelt" und begründen sich aus sich selbst Wie nennt man ein solches Verhalten? Sicherheit s- Paranoia Bild von openclipart.org (PD) Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Wie man eine Demokratie zerstört... Der Bürger gerät ins Visier Im Namen der öffentlichen Sicherheit wird ausgebaut: - Überwachung öffentlicher Plätze und privater Bereiche - Überwachung der Telekommunikation (Telefon, Fax, Email) - Automatisierte Analyse von Verhalten und Bewegungsprofilen - Anlasslose Erfassung und Speicherung personenbezogener Daten - Erstellung von Persönlichkeitsprofilen zur Erkennung von "nicht regulären Verhaltensweisen" Ebenso wird legales Handeln, Hinterfragen oder Kritik von Bürgern "kriminalisiert": ● ● ● Jugendliche fotographieren 2011 in Herford ein im Halteverbot parkendes Polizeifahrzeug und werden aus "erzieherischen Gründen" verhaftet Der Aktivist Daniel Bangert erhält Besuch vom Staatsschutz, nachdem er auf Facebook zu einem Spaziergang zum "Dagger-Komplex" (NSA-Abhörstation) aufgerufen hatte Ursula Gresser erhält nach einem kritischen Twitter-Beitrag zur CSU-Ministerin Merk in der "Mollath"-Affäre Polizeibesuch mit der Aufforderung, nicht zu einem Vortrag der Ministerin zu erscheinen. Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Wie man eine Demokratie zerstört... Die Abkopplung von der Realität Die Einhaltung von demokratischen Grundprinzipien und -rechten wird zunehmen als "störend" oder "lästig" empfunden. "Unpassende" Urteile des Bundesverfassungsgericht werden von Politiker kritisiert, anstatt ihr eigenes gesetzgeberisches Handeln zu hinterfragen. Bürger, die sich für die Einhaltung der Grundrechte engagieren, werden herabgewürdigt: "Chaoten aus dem Computerclub" Hans-Peter Uhl (CSU), 2011 "Karlsruhe-Touristen" Wolfgang Schäuble (CDU), 2008 Das eigene Verhalten wird umdefiniert und als "übergeordnet" eingestuft: "Sicherheit ist ein Supergrundrecht" Hans-Peter Friedrich (CSU), 2013 Bild von vorratsdatenspeicherung.de Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Die Rolle der Wirtschaft Beihilfe zum Demokratieabbau aus Eigeninteresse Ziel eines jeden Unternehmens ist die Gewinnmaximierung! Durch die Möglichkeit der Speicherung und automatischen Analyse auch großer Informationsmengen werden Daten zu einem "Rohstoff", der "ausgebeutet" wird. Um dies zu ermöglichen, wird Druck auf die Politiker ausgeübt, um "störende Einschränkungen" wie z.B. Datenschutz aufzuweichen und sich in ihrem Sinne der Unternehmen einzusetzen: „Wer Daten und ihre Plattformen beherrscht, sitzt an den Schaltstellen der Wirtschaft (...) ein Hemmschuh für neue Geschäftsmodelle ist vor allem der meiner Auffassung nach zu weit gehenden Datenschutz in Deutschland." Alexander Dobrindt (CSU), Verkehrsminister, Dezember 2014 "Google, Apple, Facebook und Amazon sind gemeinsam rund doppelt so viel wert wie alle 30 Unternehmen im Dax (...). Selbst ein Unternehmen wie Zalando, das noch nie Gewinne erwirtschaftet hat, ist an der Börse wertvoller als die Lufthansa – wegen des Zugriffs auf Kundendaten." Günther Oettinger (CDU), EU-Digitalkomissar, Dezember 2014 Bild von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Die Rolle der Wirtschaft Kooperation zwischen Staat und Wirtschaft als Win-Win-Situation Unternehmen erfassen Daten ihrer Kunden und Nutzer zur kommerziellen Auswertung und Profilerstellung für Werbezwecke zur Optimierung des Angebots und der Vertriebswege zum Weiterverkauf der gesammelten Daten als Einnahmequelle zur Manipulation und Steuerung der Kunden im Sinne der Unternehmen Staatliche Stellen greifen auf die Datenbestände der Wirtschaft zu für die Erstellung von Statistiken und Prognostizierung zukünftiger Entwicklungen für die Erstellung von Verhaltensmustern und (Kommunikations-)Inhalte Zusätzlich bedient sich der Staat der Hilfe der Wirtschaft bei der Einführung / Umsetzung von Projekten, die eine weitergehende Überwachung bzw. Kontrolle der Bürger ermöglichen: elektronischer Personalausweis Gesundheitskarte RFID- oder GPS-basierte Ortungssysteme Überwachung über Smart-Home-Geräte Bild von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Was geht mich das an? Gesundheit Finanzen Freunde Familie Hobbies Beruf Politik PRIVATSPHÄRE Bilder von tux.crystalxp.net / openclipart.org Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Was geht mich das an? Der heutige Stand in der Bundesrepublik, Europa und der Welt Wirtschaftsunternehmen lassen sich weitestgehende Rechte an der Datennutzung einräumen. Beispiel Facebook: Gemäß den geänderten Nutzungsbedingungen zum 01.02.2015 hat Facebook das Recht, alle eingestellten Inhalte exklusiv für sich selbst zu nutzen und darüber hinaus auch das Surfverhalten der Nutzer zu erfassen, zu speichern und kommerziell auszuwerten... Überwachungstechnologien, wie z.B. die Funkzellenortung, sind zum "Standard-Instrument" der Polizeiarbeit geworden. Die Erfassung von persönlichen Merkmalen, wie z.B. die Erstellung eines DNA-Profils, wird heute schon bei fast jeder sich bietenden Gelegenheit durchgeführt. Allein der Bundesnachrichtendienst erfasst verdachtsunabhängig pro Jahr rund 80 Milliarden an Telekommunikationsdaten. Vor dem NSAUntersuchungsausschuss wurde bekannt, dass der BND sich dabei nicht an deutsches Recht gebunden fühlt und gemachte Vorgaben systematisch ignoriert. Erfasste Daten werden mit "befreundeten" ausländischen Diensten geteilt bzw. getauscht, um auf diese Weise auch Informationen über die eigene Bevölkerung zu erhalten. Bilder von openclipart.org Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Was geht mich das an? Die Illusion einer harmlosen Datenerfassung Es wird immer wieder betont, dass keine Kommunikationsinhalte erfasst würden, sondern nur Metadaten. Was sind eigendlich "Metadaten"? Der Begriff umfasst alle Informationen, die bei der Kommunikation oder der Nutzung von Diensten entstehen, z.B. ● ● ● ● Ort- und Zeitangaben des Transfers Absender und Empfänger der Daten Häufigkeit und Dauer der Nutzung verwendete Gerätschaften Die Analyse dieser Informationen ermöglicht es, spezifische Muster einzelner Personen zu erkennen und diese dadurch in ihrem tagtäglichen Handeln gezielt verfolgen zu können. Durch die Vernetzung der gewonnenen Informationen kann man Rückschlüsse auf die eigendlichen Kommunikationsinhalte ziehen, ohne diese zu kennen! Bilder von openclipart.org Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Der gläserne Bürger Wir kennen Deinen Tagesrythmus... Bild aus dem Bericht "HOW YOUR INNOCENT SMARTPHONE PASSES ON ALMOST YOUR ENTIRE LIFE TO THE SECRET SERVICE", Dimitri Tokmetzis, CC BY-NC-SA (Bits of Freedom) Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Der gläserne Bürger Wir wissen wo Du gewesen bist... Bild aus dem Bericht "HOW YOUR INNOCENT SMARTPHONE PASSES ON ALMOST YOUR ENTIRE LIFE TO THE SECRET SERVICE", Dimitri Tokmetzis, CC BY-NC-SA (Bts of Freedom) Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Der gläserne Bürger Wir wissen wer Deine Freunde sind... Bild aus dem Bericht "HOW YOUR INNOCENT SMARTPHONE PASSES ON ALMOST YOUR ENTIRE LIFE TO THE SECRET SERVICE", Dimitri Tokmetzis, CC BY-NC-SA (Bits of Freedom) Piratenpartei Kreisverband Augsburg Workshop - ACTIO / REACTIO Der gläserne Bürger "I don’t want to live in a world where everything that I say, everything I do, everyone I talk to, every expression of creativity or love or friendship is recorded..." "Ich möchte nicht in einer Welt leben, wo alles was ich sage, alles was ich mache, mit wem ich spreche, jeder Ausdruck von Kreativität, Liebe oder Freundschaft aufgezeichnet wird..." Edward Snowden Bild von openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Früher war alles besser... Die Anfänge der Überwachungsstrategien Im Jahr 1971 bekam eine amerikanische Forschungsgruppe die Aufgabenstellung: "Mit welcher Maßnahme könnte der KGB am effizientesten ein alle seine Bürger umfassendes Überwachungssystem errichten, ohne dass dies zu offensichtlich wäre?" Im September 1975 wurde im "Computers & People Magazine" die Antwort präsentiert: Die "Debit Card" (Bank- / Kreditkarte) Die Forscher beschrieben ihren Lösungsansatz wie folgt: "Damit könnten nicht nur alle Zahlungsvorgänge abgewickelt und eine statistische Auswertung für eine zentralistisch orientierte Wirtschaft ermöglicht werden (...) würden alle Zahlungen ab einem Wert von $10 getätigt, liesse sich der Großteil aller Einkäufe inkl. Ort und Zeitpunkt automatisiert erfassen." Eingeführt wurde sie in den 1970er-Jahren in Europa und den USA Wir nutzen sie heute intensiver den je... Bild von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Schutz vor Ortung Ortung und Erstellung von Bewegungsprofilen über das Mobiltelefon Erfasste Daten: - Identifizierung Rufnummer / Besitzer - Dauer des Aufenthaltes innerhalb einer Funkzelle - Dauer eines Gesprächs / einer Datenübermittlung - Identifizierung Empfänger / Quelle der Abfrage Widerspruch der Speicherung / Verfügung umgehender Löschung Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Schutz vor Ortung Ortung und Erstellung von Bewegungsprofilen über das Mobiltelefon IMSI-Catcher - Ortung - Überwachung - Abhören Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Der Spion in der Hosentasche Datensammler im Smartphone Installierte Apps verlangen für die Ausführungen Berechtigungen auf dem Gerät Gesammelte Daten können vom Besitzer unbemerkt über eine Verbindung zum Internet an die Programmierer übertragen werden! ● ● ● Netzwerk Dateiordner Adressbuch Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Wem gehört Dein Smartphone...? Die Hersteller üben umfassende Kontrolle aus Vorinstallierte Apps können in vielen Fällen weder deinstalliert noch in ihren Zugriffsrechten auf lokale Daten eingeschränkt werden Die Installation von Apps anderer Hersteller kann eingeschränkt oder verhindert werden GESCHÜTZT Der Anwender kann meist nicht kontrollieren, welche Daten durch vorinstallierte Apps übermittelt werden Lösungsmöglichkeit: Smartphone "rooten", d.h. sich durch Installation eines modifizierten Betriebssystems Administratorrechte verschaffen Nur für erfahrene Anweder möglich Verlust der Garantieansprüche an den Hersteller Alternativ Smartphone mit einem anderen Betriebssystem kaufen Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unterwegs Erkennungsmaßnahmen über das Auto Systeme sind teilweise offen, teilweise verdeckt installiert Automatisiertes Scanning / Abgleich der Nummernschilder in Deutschland mit Fahndungslisten der Polizei Scanning laut BayVerG grundsätzlich zulässig Klage vom BVG abgewiesen, Gang vor das BVerfG angekündigt Für die Abrechnung der PKW-Maut werden die Kennzeichen auf die gleiche Art erfasst. Das Gesetz sieht eine Speicherdauer von 13 Monaten vor. Damit wird die rechtliche Grundlage für die umfassende Speicherung der KFZ-Bewegungen in Deutschland geschaffen. Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unterwegs Das deutsche Mautprojekt Die Zulässigkeit der Einführung der LKW-Maut wie auch der PKW-Maut wurde damit begründet, dass die erfassten Datensätze ausschließlich für die Abrechnung der Mautbeiträge erfasst und nicht weitergegeben werden dürfen Wirtschaft und BdK forderten bereits wiederholt Zugriff auf die Mautdaten! Die große Koalition plant eine Novellierung des LKW-Mautgesetzes bis 2017: Die erfassten Daten sollen für die Zwecke der Verkehrslenkung und -forschung sowie Dritten zur Entwicklung von "Diensten" "anonymisiert" zur Verfügung gestellt werden. Wie lange wird es wohl dauern, bis das auch für die PKW-Maut gelten soll...? Bilder von wikimedia commons / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unterwegs Ortung und Erstellung von Bewegungsprofilen über das Auto eCall Übermittlung Ort und Anzahl Personen Automatische Herstellung einer Sprachverbindung zu den Insassen Ab 2018 Pflicht für alle EU-Neuwagen Gegenmaßnahmen: - Deaktivierung / Ausbau des Systems - GPS-Jammer Verboten...? Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unterwegs Der Blick über die Schulter des Autofahrers Protokollierung jeder Fahrt mit Zeit- und Ortsangaben Bewertung der Fahrweise nach eigenen Kriterien der Versicherungsgesellschaft Black-Box-Recorder der Versicherungsgesellschaft Prozentpunkte als Beitragsrabatt bei einer vorsichtigen Fahrweise Kontrolle durch den Fahrer: KEINE Kontrolle durch die Versicherung: VOLLSTÄNDIG NOCH HABEN WIR DIE WAHL... Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unserer Lebensgewohnheiten "Tracker" können unser tägliches Leben überwachen Fitness-Tracker und -Apps können unsere Aktivitäten nicht nur protokollieren, sondern diese Daten auch speichern und weitergeben. An diesen Informationen haben z.B. Krankenkassen Interesse, um für "Aktive" besonder günstige Tarife "anzubieten". Umgekehrt könnten Leistungen im Zweifelsfall bei einer zu "ungesunden" Lebensweise verweigert werden. NOCH HABEN WIR DIE WAHL... Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unserer Lebensgewohnheiten “Intelligente Zähler“ helfen bei der Überwachung Gesetzlich vorgeschrieben (EnWG)! Verbrauchs- und Nutzungskontrolle Detailierte Kundenanalyse möglich Überwachung des Kundenverhaltens Auch Gas- und Wasserversorger wollen Smart Meter einführen! Datenauskunft verlangen! Widerspruch einlegen! Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Erfassung unserer Lebensgewohnheiten Der "Teleschirm" von 1984 ist Realität Vernetzte Geräte zeichnen ihre Umgebung in Bild und Ton auf und können die Daten an die Herstellerfirmen übermitteln. "Normale" Consumer-Geräte gehören nicht ins Internet! Bild "Hello Barbie" via netzpolitik.org und flickr/notionscapital - CC BY 2.0 Bilder von openclipart.org und wikimedia commons (CES2012 - Samsung Smart TV Presentation by "Pop Culture Geek" / Google Glasses by Tim Reckmann) Piratenpartei Kreisverband Augsburg Workshop - HOW TO Schutz im Internet Allgemeine Sicherheitsmaßnahmen Virenscanner Firewall Virenscanner aktuell halten Firewall korrekt konfigurieren Sicheres Betriebssystem verwenden Voraussetzungen: Software nur aus sicherer Quelle Nachprüfbarer Quellcode Bilder von openclipart.org / Public Domain Piratenpartei Kreisverband Augsburg Workshop - HOW TO Schutz im Internet Zusätzliche Sicherheitsmaßnahmen, weil auch Schutzsoftware Fehler haben kann: Sichere, möglichst quelloffene Software verwenden Ausführung von Scripten und Flash-Animationen einschränken (z.B. über Browser-AddOns wie NoScript) Betriebssystem einsetzen, bei dem die Zugriffsrechte der Programme dezidiert festgelegt / eingeschränkt werden können Ausführen kritischer Programme in einer Sandbox oder einer virtuellen Maschine Nutzung von Live-Betriebssystemen auf nicht-schreibbaren Medien Bilder von wikimedia commons (Tux von Larry Ewing) und www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Proaktiver Datenschutz Was wir über uns selbst preisgeben In Internetforen, auf sozialen Plattformen oder auf Twitter geben wir viele Dinge über uns preis. Sie alle werden von den Betreibern der Dienste dazu benutzt, Umsatz und Gewinn zu generieren. Und alles, was wir veröffentlichen... ● ● ● bleibt irgendwo im Internet gespeichert ist praktisch unmöglich wieder zurückzuholen kann auf der ganzen Welt abgerufen, kopiert und verteilt werden ... kann einem später ziemlich peinlich sein. Am besten geschützt sind Daten und Informationen, die nicht bzw. nur begrenzt freigegeben werden. Indem wir uns vorher überlegen, was wir über uns preisgeben, können wir den Mißbrauch oder die kommerzielle Ausnutzung dieser Informationen auf ein absolutes Mindestmaß beschränken. Bilder von www.openclipart.org / Bild von Mark Zuckerberg von flickr.com/photos/99132385@N06/ (insider monkey, CC BY-ND) Piratenpartei Kreisverband Augsburg Workshop - HOW TO Schutz meiner Daten Auf im Internet gespeicherte Daten können Dritte zugreifen, sie lesen oder ändern! Im Internet übertragene Daten können mitgeschnitten oder zurückverfolgt werden! Provider / Diensteanbieter Ermittlungsbehörden (mit oder ohne Genehmigung) Hacker und Datendiebe Deswegen gilt: Kommunikationswege, online gespeicherte Daten und Email-Kommunikation verschlüsseln! Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Datenübertragung Der Datentransfer im Internet erfolgt primär ungeschützt! https://www.irgendwas.net Bei Nutzung von TLS / SSL Verbindungen wird die Verbindung verschlüsselt. Somit wird es Dritten erschwert, die Kommunikation einzusehen oder anzugreifen. Leider unterstützen nicht alle Server dieses Protokoll. Es empfiehlt sich, nur Dienste zu Nutzen, die HTTPS unterstützen. Dies gilt vor allem bei der Eingabe sensibler bzw. persönlicher Daten wie z.B. bei Webabfragen von Emailkonten oder Bestellungen in Online-Shops. Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Datenübertragung Kekse und Zombies als Spione auf der Festplatte Cookies sind kleine Datendateien, die Logfiles auf der Festplatte ablegen und die aufgerufenen Seiten protokollieren. Händisch löschen oder über Browsereinstellungen verhindern Zombie-Cookies sind Dateien, die sich durch Flash oder JavaScript trotz Löschen selbst wiederhergestellen können. Flash und JavaScript im Browser deaktivieren / nur bregrenzt zulassen Evercookies nutzen Flash, JavaScript und HTML5 um aus Browser- und Computereinstellungen einen unverwechselbaren Fingerabdruck zu erstellen, über den der Nutzer identifizierbar bleibt. Flash und JavaScript im Browser deaktivieren / nur begrenzt zulassen Werbeblocker und Anonymisierungstechnik verwenden Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Daten im Netz In der Cloud gespeicherte Daten können von Dritten eingesehen werden! Dateien, vor allem mit sensiblem Inhalt, sollten grundsätzlich nur verschlüsselt im Netz abgelegt werden. GnuPG http://www.gnupg.org Bilder von www.openclipart.org und wikimedia commons Piratenpartei Kreisverband Augsburg Workshop - HOW TO Email-Kommunikation Auch die Kommunikation per Email geschieht standardmäßig unverschlüsselt! Deswegen: Verschlüsselte Übertragung im Email-Programm konfigurieren! Email-Abruf über POP3 auf Port 995 (SSL/TLS) Email-Versand über SMTP auf Port 587 (STARTTLS) Zusätzliche Sicherheitsmaßnahmen: - Empfang und Versand von Emails nur als Text-Dateien (ohne HTML) - Automatische Anzeige / Öffnen von Dateianhängen deaktivieren Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Email-Kommunikation Auch die Kommunikation per Email geschieht standardmäßig unverschlüsselt! Emails mit sensiblen Informationen zusätzlich verschlüsseln! Sicher: Asynchrone Verschlüsselung mit GnuPG Öffentlicher Schlüssel: verschlüsselt Nachricht Privater Schlüssel: entschlüsselt Nachricht mit zusätzlichem Passwort Nur der öffentliche Schlüssel wird verteilt. Bilder von www.openclipart.org und wikimedia commons Piratenpartei Kreisverband Augsburg Workshop - HOW TO Email-Kommunikation Und was ist mit De-Mail...? Mit De-Mail wird keine End-to-End-Verschlüsselung erreicht. Die Daten werden in der Zwischenstation beim Provider entschlüsselt (offiziell um sie auf Viren zu untersuchen...?). Damit besteht keine Sicherheit, dass kein Dritter Einblick in sensible Informationen nehmen kann! Bilder von www.openclipart.org, wikimedia commons (De-Mail [R]) und CCC Dresden (No-De-Mail-Logo) Piratenpartei Kreisverband Augsburg Workshop - HOW TO Unbeobachtet durch das Netz Der Datentransfer läuft im Netz über mehrere Knotenpunkte verschiedener Länder. An jedem Punkt hinterlässt der Transfer Spuren, so dass zurückverfolgt werden kann, wann von wo welche Daten wohin abgerufen wurden. Somit lassen sich Ort, Zeitpunkt und Empfänger von Daten ermitteln! Um das zu verhindern, muß der Übertragungsweg durch das Netz verschleiert werden. Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Unbeobachtet durch das Netz Verschleierung von Sender und Empfänger mit dem Tor Onion Router (TOR). Der Datenweg wird über ständig wechselnde Exit-Nodes zum Ziel geleitet, die jeweils nur den letzten Empfänger und das nächste Ziel sehen. Selbst wenn zwei Nodes kompromitiert werden, kann der vollständige Weg nicht zurückverfolgt werden. - Anonymität funktioniert nur, wenn der eigene PC hinreichend anonymisiert ist! - Hausdurchsuchungen bei Betreiben eines Exit-Nodes in Deutschland möglich! - Durch Kaskadierung des Datenstroms wird die Geschwindigkeit reduziert Bilder von www.openclipart.org und wikimedia commons Piratenpartei Kreisverband Augsburg Workshop - HOW TO Virtual Private Network (VPN) Zugriff auf Webinhalte trotz Zensur / Filterung von Inhalten VPN Die Verbindung zwischen Computer und VPN-Anbieter fungiert wie ein eigenes Netzwerk, über das auf vom Provider gesperrte Inhalte zugegriffen werden kann. Zusätzlich kann auf diese Weise eine Verschlüsselung realisiert werden, auch wenn diese vom eigendlichen Provider nicht unterstützt wird. - Vertrauen zum VPN-Anbieter muss gegeben sein - VPN-Dienste meist kostenpflichtig Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Das eigene System absichern Zugriffe können sowohl von „Außen“ wie auch von „Innen“ erfolgen! Datenträger und Computer können im Zuge von Durchsuchungen beschlagnahmt werden Datenein- und -ausgaben können hardwareseitig (z.B. über Logger) mitgeschnitten werden Schadsoftware kann Datenträger analysieren und die Inhalte über das Internet übermitteln Geheimdienste manipulieren Festplatten namhafter Hersteller, um diese Auslesen zu können Bilder von www.openclipart.org und wikimedia commons (Autor: Berishafjolla) Piratenpartei Kreisverband Augsburg Workshop - HOW TO Den eigenen Rechner absichern Dateien, Laufwerke und Festplatten verschlüsseln TrueCrypt 7.1 Programm wurde 2014 (vermutlich auf Druck der NSA) eingestellt Neue Version 7.2 fungiert nur noch zur Übertragung verschlüsselter Daten auf das Programm Bitlocker, das nicht als genauso sicher gilt Ciphershed Das Projekt will das System von TrueCrypt übernehmen und weiterführen http://www.ciphershed.org TrueCrypt / Ciphershed ist in der Lage, verschlüsselte Datencontainer zu erstellen sowie einzelne Laufwerke bzw. komplette Festplatten zu verschlüsseln! Das Programm gilt trotz bei Audits entdeckter kleinerer Fehler als äußerst sicher. Nach bestätigten Berichten sind bislang weder BKA noch FBI in der Lage, korrekt verschlüsselte TrueCrypt-Container mit ausreichend sicherem Passwort zu knacken, solange das korrekte Passwort nicht bekannt ist oder über Trojaner ausgespäht wird! Bilder von www.openclipart.org, wikimedia commons (Turecrypt [R]) und www.ciphershed.org Piratenpartei Kreisverband Augsburg Workshop - HOW TO Den eigenen Rechner absichern Was ist eigendlich ein sicheres Passwort...? Kryptische Passwörter sind für Menschen schwer zu behalten, können von Maschinen aber immer noch relativ einfach durch „Ausprobieren“ gelöst werden... Alternative: Passwort aus mehreren, nicht miteinander zusammenhängenden oder ableitbaren Wörtern bilden. Die hohe Anzahl der Stellen ergibt ein sehr sicheres Passwort, an das man sich dennoch gut erinnern kann. Merke: Längere Passwörter sind schwerer zu knacken! Passwörter regelmäßig ändern! Bilder von www.xkcd.com Piratenpartei Kreisverband Augsburg Workshop - HOW TO Den eigenen Rechner absichern Das Problem mit dem Passwort... „Sein Laptop ist verschlüsselt. Wir bauen einen Million-DollarCluster um es zu knacken.“ „Keine Chance! Das ist ein 4096-bit RSA-Code!“ „Verdammt! Unser böser Plan ist gescheitert!“ Was ist wahrscheinlicher? Systeme mit hoher Verschlüsselung greift man am besten am schwächsten Punkt an: dem Menschen! „Sein Laptop ist verschlüsselt. Setz ihn unter Drogen und schlag ihn mit diesem 5-Dollar-Schraubenschlüssel, bis er uns das Passwort verrät! „Alles Klar!“ Bilder von www.xkcd.com Piratenpartei Kreisverband Augsburg Workshop - HOW TO Den eigenen Rechner absichern Die Lösung von TrueCrypt / Ciphershed: 1. Container (verschlüsselt) mit erstem Passwort Ein versteckter Container! 2. Container (verschlüsselt), versteckt mit zweitem Passwort Es werden innerhalb eines verschlüsselten Bereichs zwei Datencontainer angelegt. Während im ersten Container Daten hinterlegt werden, die zwar sensibel aussehen, aber notfalls verzichtbar sind, werden die wirklich geheimen Daten in dem zweiten Container mit einem eigenen Passwort abgelegt. Wird man, z.B. durch Gewaltandrohung oder Beugehaft gezwungen, sein Passwort zu verraten, gibt man das des ersten Containers preis. Der zweite Container bleibt „unsichtbar“, da die jeweiligen Datenbereiche weder als solche erkennbar noch von dem jeweils anderen Container aus zugänglich sind. Auch von „außen“ kann nicht erkannt werden, ob der reservierte Bereich einen oder zwei Datencontainer erhält, da nicht benutzer Speicherplatz mit Zufallszahlen „aufgefüllt“ wird. Piratenpartei Kreisverband Augsburg Workshop - HOW TO Apps für das Smartphone Emailverschlüsselung und anonymes Surfen unter Android Standard-Mailprogramme unterstützen in der Regel Verschlüsselung mit GnuPG nicht Alternativ: K-9 Mail als Email-Client installieren GnuPG-Schlüssel können mit der App APG (Android Privacy Guard) erstellt, importiert und exportiert werden Mit den Apps Orbot und Orweb kann ein gesicherter Internetzugriff über das TOR-Netzwerk hergestellt werden Problem: Privater Schlüssel muss auf dem Gerät abgelegt werden! Mobilgeräte lassen sich nicht vollständig anonymisieren! Smartphones eignen sich nur bedingt als sichere, mobile Datenspeicher! Bilder von http://k9mail.org, http://thialfihar.org/projects/apg/ und guardianproject.info Piratenpartei Kreisverband Augsburg Workshop - HOW TO Apps für das Smartphone Datenverschlüsselung Es sind auch verschiedene Apps zur Verschlüsselung von Dateiordnern und SD-Karten verfügbar, die u.a. auch den EncFS-Standard unterstützen. Eine Android-Version von TrueCrypt / Cipher-Shed existiert gegenwärtig nicht. Das Gerät wird durch Verschlüsselung nicht unverwundbar! Die NSA hat z.B. einen der weltweit größter Hersteller von SIM-Karten gehackt! Hiervon sind auch deutsche bzw. europäische Anbieter wie die Telekom oder Vodafone betroffen. Der Hack ermöglicht der NSA die Möglichkeit, Gerätedaten abzufragen oder auch Gespräche abzuhören. Es gilt deshalb: Sensible Daten gehören nicht auf ein Mobiltelefon! Bilder von openclipart.org Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Die zukünftige Entwicklung Das die Dinge sich bessern werden, ist nicht zu erwarten... „Ich bin echt gut darin, Menschen zu töten!“ Barack Obama, Zitat aus der „Washington Post“ „Wir töten auf der Basis von Metadaten!“ Michael Hayden (Ex-NSA-Chef), Podiumsdiskussion April 2014 „Die Kooperation unserer Geheimdienste ist sehr hilfreich. Ihre Arbeit ist geradezu unverzichtbar.“ Angela Merkel, 2.05.2014, auf einer Pressekonferenz "Sicherheitsbehörden müssen in der Lage sein, auch bei verschlüsselter Kommunikation mitzulesen." Thomas de Maiziere, Innenminister, 21.01.2015 ...wohl eher das Gegenteil! Bilder von www.openclipart.org und www.fontblog.de Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Es kommt zum digitalen Wettrüsten... Die Gesetzgebung reagiert auf technologische Gegenmaßnahmen mit einer Ausweitung von polizeilichen Befugnissen und Überwachung. Sicherheitsmaßnahmen werden von Seiten der Wirtschaft mit neuen Entwicklungen zur Nutzererfassung beantwortet. Und der Nutzer muss sich weiter absichern. Keine der beiden Seiten kann auf Dauer gewinnen! Was jedoch als erstes stirbt, ist unsere Demokratie und unsere Freiheit, unsere Grund- und Bürgerrechte. Bilder von www.openclipart.org und wikimedia commons Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Die "Online-Durchsuchung" mit dem Bundestrojaner Staatlich legitimierte Schadsoftware soll die Computer infizieren - "Online-Durchsuchung" der gespeicherten Daten - gespeicherte Daten können gelöscht oder manipuliert werden - Einstellung des Betriebssystems können geändert werden - Zugriff auf angeschlossene Geräte (z.B. Webcam) möglich Der Staat wird zum Hacker der Bürger! Der Bürger erfährt unter "Idealbedingungen" nichts vom Zugriff auf seine lokal gespeicherten Daten und hat keine Chance, sich dagegen zu wehren. Es besteht die Gefahr, dass manipulierte bzw. kompromittierende Dateien auf seiner Festplatte abgelegt und im Fall von Ermittlungen gegen den Benutzer verwendet werden. Nach Aussage von Holger Münch (Präsident des Bundeskriminalamts) wird der Bundestrojaner voraussichtlich ab Herbst 2015 einsatzbereit sein! Bild von wikimedia commons Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Gefährliche Einstellungen zu Demokratie und Grundrechten... Rainer Wendt, seit 2007 Vorsitzender der DPolG, forderte bereits - den Einsatz von Gummigeschossen bei Demonstrationen, wie z.B. Stuttgart 21 - die vollständige Aufhebung der Privatsphäre im Internet und verteidigte das "Racial Profiling" durch Polizeibeamte. Anlässlich seiner Wiederwahl als Vorsitzender im April 2015 forderte er nun auch - die Errichtung von Zentrallagern für alle Menschen, die nicht als Flüchtlinge anerkannt wurden und abgeschoben werden müssen - die Einrichtung einer para-militärischen Einsatztruppe gegen Terroristen für den Einsatz innerhalb der Bundesrepublik - die Einführung des "Predictive Policing" mit Auswertung aller öffentlichen Datensammlungen Zusätzlich fordert er seit Jahren eine umfassende Vorratsdatenspeicherung. Bild von Friedrich Windmüller ( wikimedia commons / CC BY SA) Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Das Lieblingsprojekt der Regierung: die Vorratsdatenspeicherung Das erste Gesetz zur Vorratsdatenspeicherung wurde vom Bundesverfassungsgericht für gesetzeswidrig erklärt. Der europäische Gerichtshof erklärte auch die EU-Richtlinie zur Datenerfassung für ungültig, da die Daten der Bürger anlasslos erfasst und gespeichert werden sollten. Erfassung aller Verbindungsdaten der Bürger Speicherung der Daten für mindestens 6 Monate Maßnahme wurde bei der Einführung mit dem Kampf gegen Terrorismus und Schwerstkriminalität begründet Im Zeitraum 2007 bis 2010 (bis zur Aufhebung) keine messbare Auswirkung auf die Kriminalitätsbekämpfung Beispiel der Datenerfassung der Telekom im Jahr 2009: 20 TB Daten wurden innerhalb von 180 Tagen erfasst Insgesamt 12.891 Anfragen zur Datenübermittlung - 71.932 Datensätze an Behörden übermittelt (Verfahren: 1 Mord, der Rest Kleinkriminalität oder PC-Angriffe) - 2.095.304 IP-Adressen an Rechteverwerter wg. Filesharing-Verdacht Bild von www.openclipart.org / Bits of Freedom Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Das Lieblingsprojekt der Regierung: die Vorratsdatenspeicherung Justizminister Heiko Maas und Innenminister Thomas de Maiziere präsentierten am 15. April 2015 einen überarbeiteten Gesetzesentwurf zur Wiedereinführung der Vorratsdatenspeicherung: Speicherung der Metadaten für max. 10 Wochen Speicherung von Standortdaten für max. 4 Wochen keine Speicherung von Inhaltsdaten der Emails dafür aber: Erfassung der Standortdaten (Funkzelle) im Abstand von 10 min. Abruf auch bei "schweren" Straftaten zulässig Speicherung von IPv6-Adressen ermöglicht Personalisierung Weder eine Haftungsübername bei Missbrauch oder Datenverlust noch eine Informationspflicht betroffener Bürger sind vorgesehen! Es bleibt bei einer anlasslosen Pauschalüberwachung! Damit ist auch die "neue" Vorratsdatenspeicherung verfassungswidrig! Bilder von www.openclipart.org / Bits of Freedom Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Wie es weitergehen wird Das Lieblingsprojekt der Polizei: "Predictive Policing" Durch die konstante Auswertung aller verfügbaren Informationen aus den polizeilichen Datenbanken soll mit Hilfe stochastischer Methoden bestimmt werden könne, wann und wo ein Verbrechen in der Zukunft stattfinden wird. Voraussagen beruhen auf erfassten Daten, welche bereits durch die polizeiliche Arbeit vorbewertet sind - Vorurteile? Die Genauigkeit der Vorhersage hängt von der Menge der erfassten Daten ab - ständig erweiterte Speicherung nötig! Immer mehr Daten sollen in die Auswertung einfließen - aber wo ist die Grenze? Polizeiliche Ermittlungen? Finanzdaten aus der Kontenabfrage? Bewegungsprofile aus Mobilfunk, Mautdaten und Kameras? Personenprofile aus Kommunikations- und Metadaten? Risikobewertung aus Verhaltens- und Gesundheitsdaten? "Predictive Policing" analysiert keine Verbrechen - es bewertet Menschen! Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Es gibt große Pläne Das Projekt „BIG DATA“ Neue Analysemethoden zur Verknüpfung und Auswertung großer Datenmengen eröffnen ungeahnte Möglichkeiten zur Nutzung personenbezogener Daten. Steuer Identifikations nummer Punktestand in der Verkehrssünderkartei Schufa-Eintrag Kundenkarte Vorstrafenregister Fließen diese Daten zusammen, entsteht ein umfassendes Dossier jedes einzelnen Bürgers in unserem Land. Kommerzieller Ausnutzung und Missbrauch sind dadurch Tür und Tor geöffnet. Der Bürger ist vollständig „gläsern“ geworden. Bilder von www.openclipart.org und wikimedia commons Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Es gibt eine große Gefahr... Das Projekt „BIG DATA“ und die Folgen eines Missbrauchs Schon heute entscheidet ein Eintrag in der Schufa-Liste über die Kreditwürdigkeit eines Menschen. Nur weil er in der „falschen“ Gegend wohnt, kann ihm ein MobilfunkVertrag verwehrt werden... Schon heute entscheidet ein Name auf einer völlig unkontrolliert zusammengestellten Liste, wer in ein Flugzeug steigen darf! Die Vernetzung von sensiblen, persönlichen Daten zu Einkommen, Familienstand oder Gesundheit wird sich unweigerlich auf unsere persönliche und berufliche Entwicklung auswirken. Angenommen, dem Reichssicherheitshauptamt hätte 1936 eine derart umfangreiche und persönliche Datensammlung zur Verfügung gestanden... Wer kann garantieren, dass eine zukünftige Regierung unseres Landes aufgrund politischer Motivation eine solche Datensammlung nicht missbrauchen würde?! Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE „Wir werden nicht zulassen, dass technisch manches möglich ist, aber der Staat es nicht nutzt.“ Bundeskanzlerin Angela Merkel in einer Rede im Januar 2008 Sie auch...? Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Der Grundpfeiler unserer Demokratie Wie können wir uns wehren? "Alle Staatsgewalt geht vom Volke aus." "Die Gesetzgebung ist an die verfassungsgemäße Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden." Art. 20 GG, Absatz 2 und 3 "Gegen jeden, der es unternimmt, diese Ordnung zu beseitigen, haben alle Deutschen das Recht auf Widerstand, wenn andere Abhilfe nicht möglich ist." Art. 20 GG, Absatz 4 Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop – BACK TO THE FUTURE Es bringt nichts, nur zu reagieren Um etwas verändern zu können, muß man selbst von sich aus aktiv werden. Der Schutz der eigenen Privatsphäre mit technischen Mitteln kann nur ein erster Schritt sein. Ohne politisches und soziales Engagement der Bürger kann eine Demokratie auf Dauer nicht funktionieren und aufrechterhalten werden. Es liegt bei jedem von uns, aufzustehen und seine Rechte einzufordern. Bilder von www.openclipart.org Piratenpartei Kreisverband Augsburg Workshop – Weiterführende Informationen https://www.privacy-handbuch.de Eine umfangreiche Sammlung von Hintergrundinformationen und Anleitungen zu den Themen Privatsphäre, Anonymisierung und Verschlüsselung https://www.digitalcourage.de/support/digitale-selbstverteidigung Hilfreiche Tips zum Absichern des eigenen Computers oder Smartphones, mit Links zu zahlreichen Programmen und Tools http://www.vorratsdatenspeicherung.de Aktuelle Informationen zum Stand von Datenerfassung und -speicherung in der Bundesrepublik Deutschland und der europäischen Union http://www.ccc.de Seite des „Chaos Computer Clubs“ Deutschland mit vielen Informationen zum Thema Überwachung https://www.youtube.com/watch?v=a0n1PNpB00g Ein Vortrag des Fachanwalts Udo Vetter (https://www.lawblog.de) über den Umgang mit Polizei und Staatsanwaltschaften (Titel: „Sie haben das Recht zu Schweigen“) Piratenpartei Kreisverband Augsburg Workshop – Fragen und Demonstrationen Und wie funktioniert das jetzt genau...? Haben Sie Fragen zum Vortrag? Ist für Sie etwas Unverständlich gewesen oder wollen Sie weitere Details wissen? Möchten Sie wissen, wo sie eines der beschriebenen Programme erhalten können? Fragen Sie mich jetzt! Oder hinterlassen Sie Ihre Email-Adresse, damit ich Ihnen eine Kopie der Folien zuschicken kann. Vielen Dank für Ihr Interesse! Bild von tux.crystalxp.net Piratenpartei Kreisverband Augsburg
© Copyright 2024