Potemkinsche Dörfer

Was haben Online-Konten mit Potemkinschen Dörfern zu tun?
Betrachten wir doch hierzu zunächst, woher der Begriff des Potemkinschen Dorfes kommt:
Historisch nicht belegt – aber der Sache ihren Namen gebend – war Feldmarschall Grigori Alexandrowitsch Potjomkin.
Dieser soll für Zarin Katharina II. Schaudörfer errichtet haben, um die tatsächliche Beschaffenheit der Landschaft bei einem Besuch der Zarin zu verschleiern.
Denn hinter den theaterkulissenartigen Fassaden versteckte sich lediglich karges Brachland.
Auch heutzutage wird der Einsatz Potemkinscher Dörfer genutzt, um renovierungsbedürftigen Häusern einen oberflächlichen Glanz zu verleihen.
Meiner Ansicht nach erleben wir dieses Vorgehen mittlerweile auch beim Aufbau von Online-Plattformen, -Shops und anderen Formen virtueller Interaktionsmöglichkeiten.

Strahlend schön nach außen – und dahinter nur Brachland

Mit der wundervoll prächtigen Fassade locken heute viele Online-Portale neue Kunden an.
Hier kommt mir Galadriel, die Herrin von Lothlorien in den Sinn:

“In the place of a Dark Lord you would have a Queen!
Not dark but beautiful and terrible as the Morn!
Treacherous as the Seas!
Stronger than the foundations of the Earth!
All shall love me and despair!”

Von außen betrachtet wirkt alles frisch, hip, sehr innovativ und ganz leicht.
Als interessierter Neubürger eines solchen Potemkinschen Dorfes erhalte ich allerdings von außen keinen Einblick in die Situation und Infrastruktur meines zukünftigen virtuellen Wohnsitzes.
Die Außensicht endet bei der glanzvollen Fassade.
Ich muss meine Entscheidung, dort ansässig zu werden, allein auf dem äußeren Anschein aufbauen.
Erst wenn ich gewillt bin, mich dort anzusiedeln – und bereits meine ersten Daten dem Feldmarschall dieses speziellen Potemkinschen Dorfes überlassen habe – erst dann erfahre ich, wie es um die tatsächliche Beschaffenheit der Online-Plattform abseits des Augenscheins bestellt ist.
Die echte Funktionalität und die tatsächliche Qualität eines Online-Angebots sehen wir leider erst, wenn wir bereits angemeldeter Nutzer des Dienstes sind. Die Bedienbarkeit beispielsweise; Wirklichkeitsabgleich gegen Werbeversprechen sozusagen.
Dann ist es allerdings schon zu spät – was die Sicherheit unserer Daten (und unsere Privatsphäre) angeht.

Diese negative Auswirkung können wir jedoch umgehen, indem wir uns für jedes Online-Angebot bei dem wir uns anmelden, eine eigene E-Mail-Adresse anlegen.

Denn die E-Mail-Adresse ist das am häufigsten genutzte Identifikationsmerkmal für Plattformen dieser Couleur.

Pfusch am Bau

Die ursprünglichen Potemkinschen Dörfern bestanden aus bemalten Theaterkulissen vor Brachland.
Ganz so krass sind die virtuellen Ausgaben dieser vorgespiegelten Realität meist nicht, steht man als Nutzer doch nicht vollkommen im Ödland.
Aber der Vergleich zur verpfuschten Bauruine liegt nahe.
Das fatale an dieser Situation ist, dass der durchschnittliche Nutzer einer solchen verpfuschten Online-Bauruine nicht feststellt – zumeist auch nicht feststellen kann – , dass er sich in einer Bauruine aufhält.
Erst nach und nach kommen die unschönen Tatsachen ans Licht.
Wenn ich in einer Bauruine wohne, kann ich das in aller Regel sofort festellen (auch wenn ich kein Handwerker bin).

  • Da sehe ich auf den ersten Blick, wenn Fliesen schlampig verlegt sind.
  • Ich erkenne auch ohne fachliche Ausbildung, wenn bei den Fugen gepfuscht wurde.

In einer virtuellen Bauruine ist das etwas problematischer.
Hier erkenne ich als Laie nicht, wenn eine untaugliche Technologie als Basis für ein solches digitales Potemkinsches Dorf genutzt wird.
Auch eine handwerklich mangelhafte Umsetzung grundsätzlich tauglicher Technologien bemerken wir als Nutzer nicht.
Online ist das Problem Pfusch am Bau anders gelagert als Offline.
In der virtuellen Welt treten die Probleme einer fehlerhaften oder schlampigen Implementierung nur sehr selten offensichtlich zu Tage.
Hier wirken sich diese viel stärker im Hintergrund (quasi unsichtbar) aus – für die Nutzer sind mögliche Folgen allerdings umso gravierender; beispielsweise durch unbeschränkte Zugriffsmöglichkeiten auf hinterlegte Nutzerdaten.
Der Schutz von Nutzer- bzw. Kundendaten wird häufig immer noch als Kostenfaktor (und nicht als Wettbewerbsvorteil) angesehen.
Es bedarf zusätzlichen Entwicklungs- und Pflegeaufwands, um eine Online-Plattform so zu gestalten, dass die Daten der Nutzer sicher aufbewahrt werden.
Leider kenne ich an dieser Stelle keine einfache und pragmatische Lösung für das Dilemma. Der durchschnittliche Nutzer ist zumeist nicht in der Lage, zu erkennen, ob er sich in einem von Online-Handwerkern nach allen Regeln der Kunst gebauten virtuellen Haus befindet oder ob es sich um eine von Hilfsarbeitern zusammengepfuschte Bauruine handelt.

Ich denke, es hilft, wenn wir uns selbst - oder andere - fragen, ob wir diesen Dienst benötigen.

Komm zu uns, wir haben Kekse!

Eine weitere Wirkung eines digitalen Potemkinschen Dorfes ist seine Anziehungskraft aufgrund seiner täuschenden Strahlkraft.
Hier werden Versprechungen postuliert, welche erst überprüft werden können, wenn wir den – oftmals – falschen Versprechungen erlegen sind.
Werbeversprechen sind stets – online wie offline – mit einem besonders kritischen Auge zu betrachten und zu hinterfragen.
Wenn sich dazu noch der Umstand gesellt, dass wir außer den Werbebotschaften nichts haben, um das Angebot zu prüfen, bevor wir uns zur Nutzung dieses Angebots verpflichten, dann grenzt ein derartiges Geschäftsgebaren meines Erachtens an unlauteren Wettbewerb.
Es zeigt sich auch an anderer Stelle das ungleiche Macht- und Informationsgefälle zwischen Diensteanbietern und -nutzern:
Wir Nutzer müssen dem Anbieter bereits bei der Anmeldung unsere Daten übergeben, erhalten dafür im Gegenzug jedoch lediglich einen ersten Einblick in Gestaltung und Umfang seines Angebots.
Ein schlechter Tausch, wie ich finde.
Für etwas derartig wertvolles wie meine Daten erwarte ich eine bessere Gegenleistung als nur einige überzogene Versprechungen und aufwändig gestaltete Grafiken.
Wir müssen unbedingt die Interessen des Diensteanbieters im Fokus behalten, wenn wir uns für einen Potemkinschen Anbieter entscheiden.
Es gibt nichts umsonst – ganz besonders im Internet gilt es, dies zu beachten.
Je aufwändiger die Theaterfassade des Potemkinschen Online-Dorfes gestaltet ist, desto höher wird der Preis, den wir als Nutzer dafür zahlen müssen.
Ganz besonderen Argwohn sollten wir hegen, wenn das Angebot als kostenlos angepriesen wird.

Genau dann kostet es uns besonders viel - nämlich unsere Daten, unsere Privatsphäre und letztlich unsere Freiheit.

Welcome to the Hotel California

Allzu oft zeigen sich Potemkinsche Plattformen als das Hotel California:

“You can checkout anytime you like but you can never leave.”

Damit schliesst sich der  Kreis zu meinem vorigen Artikel:
Wenn wir uns erst mal für einen Online-Dienst angemeldet haben, fehlt uns oft genug die Möglichkeit, diesen Dienst wieder zu verlassen.
Und selbst wenn wir uns abmelden – unsere Daten bleiben auf alle Fälle dort.
An dieser Stelle kommt mir ein Frühwerk der Ärzte ins Ohr:

“Du kannst gehen, aber deine Kopfhaut bleibt hier.”

Wir haben leider nie die Gewissheit, dass die Daten, die wir freiwillig preisgegeben haben – Harry Potter, ick hör dir trapsen:

“Flesh of the servant, willingly sacrificed, you will revive your master.”

– auch tatsächlich und unwiderbringlich gelöscht werden, wenn wir dies wünschen.
Alles, was wir online preisgeben, dient in erster Linie den Datenkraken – nicht uns.
Daher, überlegt euch wohl, was ihr preisgebt – schließlich wollen wir Lord Voldemort nicht zu neuer Macht verhelfen.
Gerade – und an dieser Stelle höre ich mich pessimistisch unken – Start-ups scheinen im epidemisch wuchernden Online-Markt nicht mit einem privatsphären-affinen Hintergrund gesegnet zu sein.
Ganz besonders, wenn es sich um Jungunternehmer neo-liberaler, transatlantischer Provenienz handelt.
Hier gilt der Datenschutz nur gerade so viel, dass er die Daten des Diensteanbieters, nicht jedoch die des Dienstenutzers schützt.

Darum nochmals meine dringende Exklamation:
Datensparsamkeit!

TL;DR

  • Außen hui – innen pfui: Strahlend schön nach außen – und dahinter nur Brachland
  • Handwerk hat goldenen Boden – IT nicht: Pfusch am Bau
  • Da hab ich mich wohl versprochen: Komm zu uns, wir haben Kekse!
  • It’s a Trap: Welcome to the Hotel California

Also, was machen wir mit den meta-virtuellen Potemkinschen Dörfern – denn virtuell sind Potemkinsche Dörfer ja ohnehin schon.

Kritisch sein.
Wachsam sein.
Weniges das glänzt ist tatsächlich Gold.

Du kommst hier nicht raus!

Jetzt aber.
Ab heute erquicke ich euch, liebe Leser, mit einer neuen Artikelserie:
Online-Konten.
Haben wir alle.
Vielleicht ohne es zu wissen.
Vielleicht viel mehr als wir wirklich nutzen.
Und wahrscheinlich mehr als wir benötigen.
Es ist ja auch irrsinnig einfach und bequem, Bücher online zu bestellen.
Oder ein Auto zu mieten.
Eine Reise zu buchen.
Einige Dienste sind offline gar nicht verfügbar, aber das ist ein anderes Thema.
Mir geht es in dieser Artikelserie darum, die negativen Auswirkungen von Online-Konten auf unsere Privatsphäre und auf die Souveränität unserer Daten ins Bewusstsein zu rücken.
Daher betrachte ich in diesem Artikel gleich zu Beginn der Serie die Ausstiegsszenarien aus diesem selbstgewählten virtuellen Verwaltungswahnsinn.
Anschließend werfe ich einen dystopischen Blick auf Hintergründe, warum so viele Online-Dienste mit Kontoerstellungspflicht aus dem Boden schießen.
Im Anschluss schaue ich mir den Zusammenhang zwischen Online-Konten und Datenhandel an.
Abschließend richte ich mein skeptisches Auge auf die rechtliche Situation – und ob das die Anbieter dieser Dienste überhaupt tangiert.
Dann werfen wir uns jetzt in die wilde virtuelle Wirrnis der Online-Konten – anschnallen, Luft anhalten, es wird ein wilder Ritt.

Abmelden? Kannste knicken.

Bei vielen Diensten, so ist meine Erfahrung, reduziert sich das Abmeldeprozedere auf diese drei Worte.
Denn abmelden ist schlicht und ergreifend nicht vorgesehen.
Es geht uns bei diesen Diensten wie Mitch McDeere:
Wir können einsteigen und alles ist ganz großartig – wenn wir uns denn den Knebelverträgen der Dienstanbieter unterwerfen – aber wir können nicht mehr aussteigen.
Ein geschickter Schachzug der Profiteure der umgreifenden Digitalisierung unseres gesellschaftlichen Lebens.
Fast noch besser als das Vorgehen von Drogenhändlern.
Diese fixen neue Kunden auch mit Gratisproben an – aber hier hat man – so willens ist und gute Unterstützung erhält – die Möglichkeit wieder aufzuhören.
Wenn die Möglichkeit des Ausstiegs abgeschafft wird hat man jeden neuen Kunden dauerhaft an sich gebunden.
Hat ein bissel was von einem Teufelspakt – sollten wir mal bei Faust und Mephistopheles nachfragen, wie die das so sehen.
Nun, um euch einen Einblick in meine Erfahrungswelt zu geben und euch hoffentlich an der einen oder anderen Stellen dieselbe Erfahrung zu ersparen, schildere ich hier einige meiner Odyseen beim Kampf aus den Fängen diverser Online-Ungeheuer.
Denn eigene Erfahrung ist zwar die edelste Art zu lernen – aber auch die schmerzhafteste.
Nachahmung hingegen die einfachste.

  • eBay: Der Preis der Freiheit ist sehr hoch.
    Man sollte ja vermuten, dass ein Dienst, der schon so lange am Markt ist wie ebay, eine stabile Prozessstruktur etabliert hat.
    Und in der Tat, so ist es. Leider existiert jedoch kein Prozess, der einen abmeldewilligen (Noch-)Nutzer von ebay dabei unterstützt, auszusteigen.
    Weit gefehlt.
    Damit wir uns bei eBay abmelden können, fordert eBay die Preisgabe weiterer persönlicher Daten, die – und das ist mal ein Schlag ins Gesicht der informationellen Selbstbestimmung – an die Schufa übermittelt werden.
    Zur Prüfung.
    Dazu fällt mir wirklich nur ein:
    eBay, habt ihr noch alle Latten am Zaun?
    Mein Rat an Dich, lieber Leser, der du ebay verlassen willst:

    Lösche alle möglichen Daten über dich in deinem Profil.
    Gib möglichst kreativ unstimmige Daten an den Stellen an, die als Pflichtfelder markiert sind.
    Lege abschließend eine Burner-E-Mail-Adresse an und lass dieses nicht mehr zu nutzende eBay-Konto in Ruhe vor sich hin verwesen.

    Möge eBay in einem Sumpf aus nutzlosen Konten untergehen.
    Wer derart willkürlich die Datenhoheit seiner Kunden missachtet, der hat derartige Guerilla-Taktiken als Antwort verdient.
    Es ist grotesk, dass wir dazu gezwungen werden, mehr Daten über uns preiszugeben, um sicherzustellen, dass weniger Daten über uns im Umlauf sind.
    Aber es ist eben nicht das Ziel der Datenkraken, uns bei unserer Datenhygiene zu unterstützen.
    Möglicherweise ist dies jedoch auch ein Geschäftsmodell:
    Noch schnell Daten von einem abmeldewilligen Nutzer abgreifen, damit der zu datenhandelnde Umfang etwas größer und lukrativer wird.

  • eBay Kleinanzeigen: Wenn du gehen willst, dann bettle.
    eBay ist nicht gleich eBay.
    Das lernte ich bereits, als ich mich – fälschlicherweise – zunächst bei eBay angemeldet hatte.
    Wollte ich doch eine Kleinanzeige schalten – keine Auktion starten.
    Naja, kleiner Fehler meinerseits, kann ja mal passieren.
    Kann ich mich ja schnell wieder abmelden.
    Oh, ach, ich armer Tor – falsch gehofft.
    Doch zurück zu eBay Kleinanzeigen.
    Fehlanzeige, was die Anzeige von Abmeldeprozessen angeht.
    Hmm, sollten die doch eigentlich können, so als Kleinanzeigen-Portal?
    Nein, können sie nicht.
    Erst nach mehrmailiger Nachfrage beim Support wurde unwillig meinem Wunsch nach Abmeldung Folge geleistet.
    Auch für euch, eBay Kleinanzeigen:
    Schande über euch!
    Was für ein Armutszeugnis.
    Habt ihr so kleinliche Angst vor der Abwanderung eurer Kunden, dass ihr diese auf eine solch hinterlistige Art und Weise an euch binden müsst?
    Armselig.

Diese Art der kettenartigen Kundenbindung ist mir bei einigen Online-Diensten untergekommen:
mytaxi, LifeTrust, genialokal und andere sind weitere Negativbeispiele für diese Art der Kundenbindung.
Dabei – und das scheint diesen Anbietern nicht klar zu sein – verstoßen sie damit gegen §13 TMG, Absatz 4, Satz 1:

“Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,”

Diese Beispiele haben mir ganz klar gezeigt, wie groß das Machtgefälle zwischen den Datenkraken auf der einen und den Nutzern dieser Dienste auf der anderen Seite ist.
Mir ist vollkommen klar, dass die Frustrationstoleranz der Nutzer komplett ausgereizt wird, wenn sie sich dauerhaft derartigen Beschränkungen, Bevormundungen gar, durch die Diensteanbieter ausgesetzt sehen.
Da ist es schlicht einfacher, aufzugeben und halt in Orwells Namen bei diesem Dienst zu bleiben.
Und wieder hat eine Datenkrake gewonnen.

Ich rufe euch zu, wechselwillige Leser, gebt nicht auf!
Bleibt hartnäckig!
Ihr habt einen Anspruch auf eure informationelle Selbstbestimmung - und ihr habt das Recht auf eurer Seite!

Wir sollten uns dieses feudalherrschaftliche Vorgehen der Datenkraken nicht gefallen lassen.
Wir sollten diesen unmoralischen Datenhändlern, die sich wie autokratische Despoten aufführen, unseren Widerstand entgegenstellen.

Recht so!

Aber wir sind nicht hilflos – die Politik ist, man mag es kaum glauben, auf der Seite der Nutzer!
Mit der beschlossenen und im nächsten Jahr in Kraft tretenden europäischen Datenschutzgrundverordnung (EU-DSGVO) erhalten wir auch das Recht auf Löschung.
In Artikel 17 werden uns einige fundamentale Rechte zur informationellen Selbstbestimmung über unsere Daten zugesprochen.
Ich finde es zwar sehr unerfreulich, mit rechtlichen Schritten drohen zu müssen, um Forderungen durchzusetzen.
Aber bei derart eklatanten Verstößen gegen die Achtung unserer Privatsphäre halte ich diese Schritte für angemessen.
Wehren wir uns, es geht um unsere Freiheit.

Eine Idee – in den virtuellen Raum gestellt

Ja, so ist das eben, wenn man eine Idee in den Raum stellt.
Dann steht sie da.
Beansprucht Platz, steht einem möglicherweise im Weg rum.
Genau das soll diese Idee auch tun:
Wie wäre es denn mit einem Recht auf Obsoleszenz?
Mir geht es dabei auch um eine Art automatischer Obsoleszenz von ungenutzten Online-Konten.
Dies widerspricht allerdings meiner Kritik an Google hisichtlich ihres aktuellen Vorgehens beim Backup im Online-Speicher Google Drive.
Dort werden bereits  nach sehr kurzer Zeit (nämlich nach zwei Wochen Inaktivität des zugehörigen Google-Kontos) Backups gelöscht.
Meine Idee einer automatischen Löschung von Online-Konten muss an dieser Stelle zunächst eine mehrstufige Interaktion mit dem Kontoinhaber voraussetzen.
Aber, so meine Hoffnung, diese würde uns als Nutzer bei unserer Datenhygiene deutlich helfen.
Marktwirtschaftlich gesehen haben Datenkraken kein Interesse an einem solchen Vorgehen, denn dadurch würde ihnen ja – ganz automatisch – ein Teil ihrer Geld- äh, Datenquellen wegbrechen.
Und das wär ja blöd.

Gimme hope, Manufakturist!

Was können wir konkret tun, wenn wir einen Online-Dienst verlassen wollen – damit will ich heute enden.
Meine erste Empfehlung lautet:

  • Suchen, suchen, suchen!
    Nicht aufgeben.
    Trotz meiner unkenrufartigen Negativbeispiele finden wir doch bei vielen Diensten Hinweise darauf, wie wir uns von diesem auf Wunsch auch wieder abmelden können.
    Zugegebenermaßen oft sehr gut versteckt.
    Aber irgendwo – in den Untiefen im dritten Kellergeschoß, hinter der verschlossenen Tür, in dem Raum, in dem der Lichtschalter schon seit drei Jahren defekt ist.
    Dort – in dem Aktenschrank, der hinter einem Berg rostiger Fahrräder und Tonbandgeräte versteckt ist, dort finden wir eine kurze Anleitung (und einen Link) wie wir uns abmelden können.

Wenn wir nichts finden:

  • Löschung fordern.
    Schreibt eine Mail an den Support.
    Dann schreibt noch eine Mail.
    Droht, jammert, heult, knirscht mit den Zähnen.
    Pestet die Anbieter so lange, bis sie euch ziehen lassen.
    Ihr werdet gewinnen – denn es ist euer Recht, es sind eure Daten.

Was immer hilft:

  • Selbstauskunft fordern.
    §19 BDSG und §34 BDSG gewähren uns das Recht und den Dienstanbietern die Pflicht zur Auskunft über unsere Daten.
    Tut dies, es ist nicht nur sehr erkenntnisreich, was Datenkraken so über uns speichern.
    Sondern es generiert auch Mehraufwand bei den Datenkraken; und damit können wir das Machtgefälle zwischen Datenkraken und uns Nutzern ein wenig nivellieren.

Keine Online-Konten zu haben heißt nicht Totalverzicht:

  • Bestellt per Vorkasse
    Damit umgehen wir die Notwendigkeit eines weiteren Online-Kontos.
    Eine Möglichkeit, der Abmelde-Odysee komplett zu entgehen, ist es, keine Online-Konten anzulegen.
    Das funktioniert bei Online-Shops.
    Wenn wir Vorkasse als Zahlungsweg wählen, müssen wir keine weiteren Daten über uns preisgeben. Zumindest keine, die nicht für den Versand, die Lieferung und Zustellung der Ware notwendig sind.
    Datensparsamkeit ganz praktisch.

Den Kriegshammer auspacken:

  • Beschwerde beim Datenschutzbeauftragen einlegen.
    Das hilft vielleicht nicht Dir direkt – aber es ist eine Maßnahme, um die übrigen Nutzer eines solchen unkooperativen Dienstes zu unterstützen.

TL;DR

  • Eene, meene, Mift – raus bist du noch lange nicht: Abmelden? Kannste knicken.
  • Die Politik stärkt uns den Rücken: Recht so!
  • I have a Dream: Eine Idee – in den virtuellen Raum gestellt
  • Ans Werk, Leser: Gimme hope, Manufakturist!

Betreibt Datenhygiene, auch wenn es nervt und schwierig ist, aber es schützt eure Privatsphäre!

SHAPE your own security – Aufmerksamkeit ist der Preis der Datensicherheit

Oh, da war ich doch tatsächlich in meinem letzten Artikel zu voreilig, bzw. zu sehr in meinem eingeübten Muster eingefahren.
Die Schlangenöl-Serie ist noch gar nicht vollständig!
Oder sehen wir es anders:
Heute gibt es noch eine Zugabe – weil das Thema einfach viel zu schön ist, um ihm lediglich vier Artikel zu widmen.

Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge

Heute ist es mein erklärtes Ziel, nicht nur auf einer positiven Note zu enden.
Nein, heute soll der gesamte Artikel ein Quell der positiven Stimmung und der kraftvollen Ideen sein.
Ich sehe quasi schon die Einhörner zwischen den Zeilen hervorlachen.
Mit dem Titel meines heutigen Artikels lege ich bereits die Marschrichtung fest.
Geht es euch auch so, dass ihr das Gefühl habt, dass ich diesmal ordentlich in Richtung militärischer Nomenklatur unterwegs bin?
Wer fünf unterschiedliche militärisch belegte Begriffe findet, darf sich bei mir melden und erhält dafür meine Aufmerksamkeitsbelobigung am Band.
Wir sind es, die in erster Linie über Wohl und Wehe unserer Datensicherheit und Privatsphäre entscheiden.
Nun, damit sind wir doch geradezu für diese Schutzmaßnahme durch.
Noch nicht ganz, denn lediglich die Erkenntnis zu haben, dass unsere Handlungen kriegsentscheidend für unsere Privatsphäre und Freiheit sind, hilft uns nur bedingt weiter.
Immerhin bewahrt uns dieses Wissen davor, blindlings ins Verderben zu laufen.
Aber ich will euch ja Waffen und Munition für die Verteidigung an die Hand geben.
Für wesentlich halte ich daher eine fundierte Aufklärung der Bedrohungslage:

  • wo verlaufen die Frontlinien im Kampf um unsere Daten?
  • wie groß ist die Mannschaftsstärke der gegnerischen digitalen Armee?
  • welcher Art ist das digitale Waffenarsenal unserer Gegner?

Darum, liebe Leser, schlaut euch auf.
Fragt nach, interessiert euch.
Die zunehmende Digitalisierung unseres Alltags und unserer Gesellschaft ist weder aufzuhalten noch rückgängig zu machen.
Die Worte Winston Churchills

“[…] we shall fight on the beaches, we shall fight on the landing grounds, we shall fight in the fields and in the streets […]”

finden hier keine Anwendung, denn wir können dieser Entwicklung nicht auf dem offenen Schlachtfeld entgegentreten.
Wir müssen Guerilla-Taktiken anwenden.
Wir müssen die Schwächen des Gegners ausloten und zu unserer Stärke machen.
Ein Ausstieg aus der digitalen Entwicklung ist nur unter massiven Einbußen von Bewegungsfreiheit und gesellschaftlichem Kontakt möglich – auf Grönland vielleicht oder auf einer verträumten Insel im südlichen Pazifik.

Nein, unser Ziel muss sein, dass wir die technische Entwicklung und damit die gesellschaftlichen Auswirkungen kritisch begleiten.
Damit haben wir die Chance, den Kampf um unsere Daten für uns zu entscheiden.

Think first, click later

Als erste konkrete Handlungsanweisung für unseren Schutz vor digitalen Bedrohungen steht dieses Mantra.
Damit habe ich auch den aktuellen Bezug zur anstehenden Bundestagswahl – macht eine kleine Splitterpartei doch allen Ernstes Werbung mit dem Slogan:

“Digital first. Bedenken second.”

Wenn ich so etwas lese könnt ich grad auf der Sau naus.
Diese Sichtweise zeugt deutlich davon, gar nichts verstanden zu haben – zumindest nichts, was den Schutz der persönlichen Daten und die Privatsphäre angeht.
Möglicherweise haben Politiker, die eine derartige Aussage tätigen, sehr wohl den Wert von Daten verstanden – beispielsweise für die Wirtschaft – und die Digitalisierung liefert (nicht nur der Wirtschaft) wertvolle Information für Werbung, Manipulation und Einflussnahme.
Lediglich von einer solchen Geisteshaltung regiert werden will ich nicht.
Daher mein dringender Aufruf:

Bedenkt, was ihr tut - die digitalisierten Belege eurer Handlungen werden diese lang überdauern - trotz eines Rechts auf Vergessen in der EU-DSGVO.
Denn ein Recht führt nicht automatisch zu einer technischen Machbarkeit dieser politischen Forderung.

Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation

Eine der technischen Gegebenheiten des Internet ist, dass die direkte Kommunikation Angesicht-zu-Angesicht aufgehoben (bzw. verringert) wurde.
Dies hat den Vorteil, dass wir uns über Kontinente hinweg miteinander austauschen können.
Ein Nachteil liegt jedoch darin, dass die Hemmschwelle für kriminelle Aktivitäten sinkt, da das Opfer ja ebenfalls weit entfernt (also für den Täter quasi unsichtbar) ist.
Es ist deutlich leichter, eine Schadsoftware online zu verteilen, als einem zufälligen Passanten die Handtasche zu entreißen.
Wenn wir uns diesen Sachverhalt bei der Bearbeitung unserer elektronischen Post vor Augen führen, besitzen wir die nötige Aufmerksamkeit, um uns vor unliebsamen Auswirkungen einer solchen digitalen Landmine zu schützen.
Ein Großteil der Schadsoftware, sei es Ransomware, Spyware oder Crypto-Currency-Miner, kommen als Anhang einer E-Mail daher.
Darum meine Empfehlung in diesem Umfeld:

  • öffne keine Anhänge, die unaufgefordert kommen
  • klicke nicht auf Links, die unkommentiert geschickt werden
  • prüfe den Link, den du klickst

Mir ist klar, dass diese Forderungen mehr Arbeit bedeuten, mehr Aufmerksamkeit benötigen und daher mehr Zeit beanspruchen.
Aber, um es mit Mahatma Gandhi zu sagen:

“Es gibt wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen.”

Werkzeuge der digitalen Verteidigung

Unsere stärksten Verbündeten im Kampf um unsere Datenhoheit habe ich in den ersten Abschnitten dieses Artikels vorgestellt:
Unsere Aufmerksamkeit und die Kenntnis der Bedrohungen.
Da wir uns jedoch einer hochgerüsteten digitalen Armee gegenüber sehen, ist es ratsam, wenn wir uns auch das eine oder andere virtuelle Werkzeug zu eigen machen.

  • Add-ons für sicheres Surfen
    • Cookie Autodelete
      Hält uns lästige Cookies vom Hals, die unserer Surfverhalten verfolgen.
    • uBlock Origin
      Filtert Werbung von Webseiten – die oft als Träger von Schadsoftware dient.
    • NoScript
      Unterdrückt aktive Inhalte, bis wir diese – bewusst – zulassen.
      Schützt uns somit vor den Auswirkungen von Schadsoftware, die auf verseuchten Webseiten bereit gestellt wurde.
  • Eine Firewall
    Damit bekommen wir Kontrolle über die Datenflüsse in und aus unserem Rechner.
    Quasi die Grenzkontrolle zwischen unserem Datenzentrum und der weiten wilden virtuellen Welt.
  • Ein sicheres Betriebssystem
    Linux ist nicht gegen alle Angriffe gewappnet.
    Aber schon aufgrund der geringen Verbreitung von Linux im Desktopbereich ist dies ein Argument dafür, eben dieses Betriebssystem zu verwenden.
    Es ist schlicht nicht im Fokus der Angreifer.
    Und obendrein ist ein Rechner, der unter Windows läuft, schwieriger zu schützen als ein Rechner unter Linux.

Nutze nur, was du gerade brauchst

Die eigene Angriffsfläche maximal zu minimieren ist nicht nur im Krieg eine durchaus hilfreiche Überlebensstrategie.
Ein Infanterist, der mit ausgebreiteten Armen (ohne eine weiße Flagge zu schwenken) auf die feindlichen Linien zuläuft, hat ähnlich gute Überlebenschancen wie ein Schneeball in der Hölle.
Deswegen meine Empfehlung an dieser Stelle:

 Angriffsfläche minimieren.

Nutzt nur, was ihr wirklich benötigt.
Das trifft auf Software, die wir auf unseren Rechnern installiert haben, genauso zu, wie auf Schnittstellen, die wir bereit stellen.
Gerade jetzt hat der BlueBorne getaufte Angriffsvektor auf Bluetooth dies wieder drastisch zutage gefördert.
Bei BlueBorne handelt es sich um einen Angriff auf Bluetooth.
Egal auf welchem System.
Windows ist genauso betroffen wie macOS, iOS, tvOS, watchOS, Android und Linux.
Egal ob Smartphone, SmartTV, SmartWatch, Fitness-Tracker, Kaffeemaschine, Rolladensteuerung oder Laptop.
Es reicht für einen solchen Angriff bereits aus, wenn Bluetooth aktiviert ist.
Was hilft in allerster Linie:

 Bluetooth deaktivieren.

Ich weiß, ich weiß, ich höre das Heulen und Zähneknirschen.
Denn wenn ich Bluetooth deaktiviert habe, kann mein Fitbit mich überhaupt nicht mehr überwachen.
Ja, richtig.
Aber was ist dir lieber?
Keine Überwachung mehr oder keine Daten – weil dir diese gerade über deine offene Bluetooth-Verbindung gestohlen wurden?
Nun, es gibt Rettung – teilweise.
Updates.
Wenn das Gerät denn updatefähig ist – was entsetzlicherweise bei vielen IoT-Geräten tatsächlich nicht der Fall ist – trotz offener Bluetooth-Schnittstelle.

Be up to date – or else

Es ist doch vollkommen paradox:
Wir wollen immer zur Speerspitze der technischen Entwicklung zählen.
Wir wollen bei der Avantgarde, der Vorhut, der Pioniertruppe dabei sein.
Eine neue technische Entwicklung ist noch nicht ganz auf dem Markt, schon haben wir zugegriffen.
Wir sind so schnell, dass wir gestern schon haben, was erst morgen im Laden steht.
Aber – haben wir auch die Risiken im Blick, die wir uns damit einhandeln?
Wir sind die ersten, die durch das technische Minenfeld der Neuentwicklung gehen.
Wir schlagen den Brückenkopf für die Hersteller zu seinen Kunden.
Wir leisten die Pionierarbeit.
Aber, sind wir dafür auch ausreichend durch den Hersteller vorbereitet und geschützt?
Oder schickt uns dieser ohne Marschgepäck und ausreichende Feindaufklärung in vollkommen ungesichertes Terrain?
Und hier greift das Paradoxon:
Wir erhalten zwar den funktional neuesten heißen Scheiß – aber die Systeme dahinter sind weit offen für Angriffe.
Daher müssen wir stets die aktuellsten Softwareversionen einsetzen, die uns die Hersteller bereit stellen können.
Denn ohne aktuelle Systeme nützt uns die modernste Technik nichts.

Wirklich, das ist die wichtigste technische Verteidigungslinie, die wir aufrecht erhalten müssen.
System-Updates.

Wenn wir zulassen, dass dieser vorgelagerte Schutzwall fällt, dann bieten wir dem Feind eine ungeschützte Flanke, die er gnadenlos angreifen wird.
Und dann ist Polen offen.
Die Softwarehersteller liefern nicht aus Jux und Dollerei monatlich – oder besser noch wöchentlich (bisweilen sogar täglich) – Flicken für ihre umfangreichen Softwareteppiche.
Die meisten Softwarepakete wirken mittlerweile wie eine gut eingetragene Jeans in der dritten Generation einer Hippie-Familie.
Aber – wäre das nicht so, würde das Softwarepaket eher einer rostigen Gieskanne auf dem Grund des Neckars gleichen.
Der technisch interessierte Leser wird sich an dieser Stelle möglicherweise fragen:
Muss das so sein?
Meine Meinung dazu ist in diesem Fall recht klar und recht radikal:
Nein.
In einer idealen Welt wäre Software stabil, modular und sicher entworfen und klar für einen Zweck programmiert.
Leider leben wir nicht in einer idealen Welt.
Sicherheit kostet Geld und Zeit.
Und in einer Welt, in der Time-to-Market zählt und Kundendaten bestenfalls als Ölquelle angesehen werden, wird wenig Wert auf Security-by-Design und Privacy-by-Default gelegt.
Der Schutz der Privatsphäre wird immer noch als Kostenfaktor (und nicht etwa als Wettbewerbsvorteil) angesehen.
Ein Fehler, der unserer Wirtschaft noch schwer auf die Füße fallen wird.
In der wirklichen Welt müssen wir eben mit Software leben, die aussieht wie der Quilt einer Amish-Familie in der fünften Generation.

TL;DR

  • Wir sind unsere stärkste Armee: Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge
  • Denken ist wie googeln – nur krasser: Think first, click later
  • Weaponized Communication: Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation
  • Wir brauchen mehr als einen Hammer: Werkzeuge der digitalen Verteidigung
  • Reduktion der Angriffsfläche: Nutze nur, was du gerade brauchst
  • Software will gepflegt sein: Be up to date – or else

Damit haben wir uns durch das weite Feld der falschen Sicherheitsversprechen gekämpft.
Wir sind gestählt durch neue Erkenntnisse.
Wir sind gerüstet für eine digitale Zukunft.
Wir haben neue Strategien für die Verteidigung unserer Privatsphäre gefunden und neue Waffen gegen die Angreifer auf unsere digitale Freiheit kennen gelernt.
Kämpfen wir dafür.
Es geht um uns.

Was uns wirklich gefährdet

Habe ich mich in den letzten Wochen ausführlich – geradehin in epischer Breite – über die Versprechungen der Schlangenölbranche ausgelassen.
Schimpfte ich wie ein Rohrspatz über die Risiken, denen wir uns durch den Einsatz von AV-Software aussetzen.
Führte nachgerade schonungslos aus, wer das wahre und größte Risiko der Preisgabe unserer digitalen Identität sind:
Wir selbst.
So schließe ich heute meine Reihe über Schlangenöl und die Bedrohungen, denen wir uns dadurch aussetzen, ab.
Und zwar mit einem warnenden Paukenschlag:
Was uns wirklich gefährdet

Vor einem Zero-Day kann dich keine Software schützen

Zero-Days, also Bedrohungen, die noch niemand entdeckt bzw. als Gefahr kategorisiert hat, sind die panzerbrechende, uranangereicherte Munition, mit der u.a. Cyberkriminelle uns bedrohen.
Und damit meine ich staatliche Dienste, die in vollkommen verantwortunsloser Weise solche Zero-Day-Exploits horten.
Zum einen ist das eine Gefahr für uns alle, da diese Dienste ihre gesammelten Zero-Days gegen uns, unsere Privatsphäre und damit gegen unsere Freiheit einsetzen können – ich sage an dieser Stelle nur Staatstrojaner.
Zum anderen gefährden uns Dienste, da dieser Hort toxischer Lücken in Software durchaus in die (noch) falsch(eren) Hände von Kriminellen anderer Art gelangen können – hier sage ich nur CIA-Leaks.
Durch einen Zero-Day-Exploit haben Angreifer die Möglichkeit, Schadsoftware auf einem Zielsystem zu deponieren, ohne dass eine vorhandene Schlangenöllösung auch nur den Hauch einer Ahnung hat, dass das vermeintlich geschützte System kompromittiert wurde.
Klassisch unter dem Radar durch.
Zero-Day-Exploits sind quasi die Stealth-Bomber der Informationstechnologie.
Erst wenn der Einschlag kommt, weiß der Anwender, dass er angegriffen wurde.
Oder erst viel später, meistens sogar sehr viel später (und auf jeden Fall zu spät).
Das hängt natürlich ganz von den Zielen der Schadsoftware ab.
Ein Beispiel für den erfolgreichen Einsatz eines Zero-Day-Exploits ist die WannaCry-Ransomware, die es auch aufgrund ihrer publikumswirksamen Auswirkungen in die allgemeinen und klassischen Medien geschafft hat.
Daher meine Handlungsanweisung für diesen Fall:

Ganz frei nach Kant:
Klicke so, dass du ständig die Verantwortung für deine Klicks übernehmen kannst.
Wisse, wohin der besuchte Link dich führt.

Verschlüsselt und verraten

Ransomware ist aktuell nicht nur die Schadsoftware mit der höchsten Verbreitung, sie ist auch eine der Formen von Malware, die Schlangenöl nicht erkennt.
Die große Verbreitung von Ransomware liegt nicht daran, dass die betroffenen Systeme etwa kein Schlangenöl eingesetzt hätten, sondern daran, dass die meisten dieser Systeme keine aktuellen Systemupdates eingespielt hatten.
Die meisten dieser betroffenen Systeme – so ist meine feste Überzeugung – waren sehr wohl durch AV-Software geschützt.
Gleichwohl, es hat nichts genützt.
Denn – und auch an dieser Stelle verweise ich wieder auf WannaCry – Ransomware nutzt ungepatche Lücken in Computersystemen durch Zero-Day-Exploits.
Und diese können von AV-Lösungen einfach nicht erkannt werden.
Ransomware ist ein mittlerweile ein riesiger Markt – und es sind schon längst keine Script-Kiddies mehr, denen wir uns als Gegner gegenüber sehen.
Sondern es ist ein hoch professionalisierter krimineller Wirtschaftszweig, der sich inzwischen sogar die Bewertungssystematik des klassischen Online-Handels zueigen gemacht hat.
Ableitung aus diesen Erkenntnisse:

Habe stets ein aktuelles Backup deiner Daten verfügbar.

Wer nicht up-to-date ist, handelt fahrlässig

“Kein Backup, kein Mitleid!”

Dieses Bonmot der Sys-Admin-Community bringt es treffend auf den Punkt.
Ich formuliere es – passend für diesen Abschnitt – um:

“Kein aktuelles System, kein Mitleid.”

Der technisch wichtigste Schutz vor unbekannten Gefahren ist schlicht und einfach ein aktuelles System.
Das zu bewerkstelligen ist auch wirklich keine Raketenwissenschaft.
Mittlerweile unterstützen uns alle Betriebssysteme dabei, die entsprechenden Geräte aktuell zu halten.
Es ist eben so ähnlich wie bei des Deutschen liebstem Kind:
Dem heiligen Blechle.
Das Auto unserer Wahl nörgelt, warnt und blinkt ja auch in aller Regelmäßigkeit, will unsere Aufmerksamkeit und äussert den Wunsch nach Inspektion, Wischwasser und sonstwas. (Erinnert uns doch irgendwie an die Tamagotchis – wisst Ihr noch?)
Und dem kommen wir doch gerne nach.
Und genauso verhält es sich mit unseren Computersystemen.
Die machen uns ganz selbsttätig darauf aufmerksam, dass sie umsorgt und aktualisiert sein wollen.
Kommen wir diesem doch bitte auch gleich nach.
Es ist kein Aufwand, weder zeitlich noch mental.
Verschieben wir es nicht.
Sobald wir den Wunsch des Betriebssystems nach Update bekommen leisten wir dem Folge.
Ohne Aufschub.
Sofort.
Dieser einfache Klick kann uns eine sehr große Menge Ärger und Ungemach sparen.
Daher mein Aufruf:

Brüder zur Sonne, zum Update!
Daten wir up, sobald es etwas zum updaten gibt.

Jetzt ist aber auch wieder genug des unreflektierten Folgeleistens bei computergenerierten Anweisungen.
Ein weiteres, großes Risiko ist das reflexhafte Klicken auf jeden Link, der uns in einer E-Mail entgegenspringt.
Wir klicken einfach nicht auf jeden Link, der uns in einer E-Mail erreicht – möglicherweise sogar noch vollkommen unkommentiert.
Das tun wir einfach nicht.
Wir wurden doch alle als Kinder umfangreich auf die Gefahren hingewiesen, die von fremden Menschen ausgehen, die uns entweder etwas schenken wollen, oder uns einfach “das süße Kaninchen in ihrem Garten” zeigen wollen.
Sind wir doch alle, oder?
Haben wir etwas angenommen? Nein!
Sind wir mitgegangen? Nein!!
Also.
Ist doch genau das gleiche hier.
Ein Link ist nichts anderes als das Angebot, etwas geschenkt zu bekommen oder ein süßes Kaninchen in dem unheimlichen, überwucherten Garten vor oder hinter der heruntergekommenen und halb verfallenen Villa am Stadtrand gezeigt zu bekommen.
Das nehmen wir nicht an, dieses Angebot.
Zumindest prüfen wir sehr kritisch, ob der entsprechende Link dahin führt, wo er vorgibt hinzuführen.
Das ist bei Plain-Text-Mails einfacher als bei HTML-Mails – aber es geht in allen Fällen.
Wir müssen schlicht und ergreifend unseren gesunden Menschenverstand wieder stärker schulen und ein gerüttelt Maß an Mißtrauen kultivieren.
Deshalb an dieser Stelle alle im Chor:

Wir klicken nicht reflexartig auf alle Links, die uns unter den Mauszeiger kommen.

Nicht öffnen!

Wenn es tickt, ölig riecht und eine ungleichmäßige Gewichtsverteilung hat – dann machen wir ein Paket doch auch nicht auf!
Warum sollte dies bei Anhängen von E-Mails anders sein?
Gut, die riechen eher nicht ölig (die olfaktorische E-Mail ist uns bisher zum Glück erspart geblieben), aber ein unerwarteter Anhang ist die digitale Analogie dazu.
Wenn wir den Absender nicht kennen, können wir die E-Mail mit Anhang schon gleich unbesehen und unbesorgt löschen.
Wenn es etwas wichtiges ist dann kommt es wieder.
Und selbst wenn wir den Absender kennen, muss schon ein triftiger Grund vorliegen, um den Anhang öffnen.
Und dieser triftige Grund ist die Ankündigung des Anhangs (aus einer früheren Mail oder einem persönlichen Gespräch).
Fragen wir lieber nach – auf einem anderen Kanal bitte! – ob der Anhang wirklich authentisch ist.
Denn insbesondere unaufgefordert zugesandte Anhänge – wie z.B. Bewerbungsunterlagen – waren in der Vergangenheit (und sind es aktuell immer noch) tickende Briefbomben. Sie wirken zumeist wahnsinnig echt und verleiten die ansprochenen Personen in aller Regel zum Öffnen.
Darum:

Nichts öffnen, was wir nicht angefordert haben - es könnte ein Drache in dem Paket hocken.

Obrigkeitshörigkeit kostet Millionen

Unkritisches Verhalten – gepaart mit einer restriktiven und rigiden Hierarchie – sind ein ideales Ökosystem für ein weiteres virtuelles Angriffsszenario, bei dem Schlangenöl keinerlei Schutz bietet.
In einem derartigen von Angst, Gleichgültigkeit, Obrigkeitshörigkeit und Unkenntnis verseuchten Umfeld können Angriffe wie der CEO-Fraud aufblühen und ihre kriminellen Blüten treiben.
Bei dieser Form des Internetbetrugs wird eine gefälschte E-Mail – vermeintlich vom Geschäftsführer (eben dem CEO) – an einen zumeist hochrangigen Mitarbeiter mit Finanzkompetenz geschickt.
Diese Mail formuliert die Anweisung, ganz kurzfristig und unter Umgehung sämtlicher gängiger Prozesse, unauffällig eine größere Menge Geldes an eines der unauffälligen Konten in einem ganz vertrauenswürdigen Land zu überweisen.
Dringend, weil das Wohl der Firma, der freien Welt und ganz besonders die Sicherheit des Jobs des Mail-Empfängers davon abhängen.
Und, ach ja, noch nebenbei, natürlich bleibt die ganze Transaktion vertraulich zwischen den Mail-Parteien.
Geht ja üblicherweise nur um ein paar Millionen Dollar.
Und da dies eben in einem Umfeld von Befehl und Gehorsam stattfindet und die Mails wirklich authentisch wirken – bis auf die klare Aushebelung jeglicher Vernunft und Ordnung – sind diese CEO Frauds sehr erfolgreich.
Was bleibt mir da zu empfehlen?

Stärken wir unser Rückgrat.
Fragen wir lieber einmal mehr nach als später den Schaden zu haben.
Wird uns für eine solche - durchaus berechtigte - Rückfrage der Kopf abgerissen, wäre für mich zumindest eines klargestellt:
Das ist sicherlich keine Umgebung, in der ich weiterhin freiwillig arbeiten will.

“If you don’t like how things are, change it! You’re not a tree.”

Unsere Handlungen bestimmen unsere Privatsphäre

Das größte Risiko sind aber letztlich wir selbst.
Es hilft alles nichts, wir sind schlussendlich selbst für unser Wohl und Wehe verantwortlich.
Wir können alles auf externe Faktoren schieben:

  • die schlechte Schutzsoftware
  • die bösen Cyber-Kriminellen
  • das schlechte Betriebssystem
  • die gemeinen Geheimdienste
  • und, und, und…

Wenn wir eine Ausrede finden wollen – finden wir sie.
Wenn wir eine Lösung finden wollen – finden wir auch einen Weg.
Wir sollten bei unserem eigenen Verhalten beginnen.
Wir können immer entscheiden, wie wir handeln wollen.
Und sobald wir dies erkennen und entsprechend Verantwortung für unser Handeln übernehmen, ist das der erste Schritt zurück zur Souveränität über unsere Daten und unsere Privatsphäre.
Deshalb:

Beginnen wir damit, Verantwortung für unser eigenes Handeln zu übernehmen.

Was also können wir tun, Lone Ranger?

Zunächst – Optimistisch bleiben.
Denken wir uns erst einmal:

“This too will pass.”

Echt, die Welt geht davon (noch) nicht unter.
Es klingt alles furchtbar dramatisch, aber wir haben schon anderes überstanden.
Modern Talking zum Beispiel.
Ne, Ernst beiseite – hier nochmal kurz zusammengefasst, was wir tun können, um nicht in die Cyber-Cyber-Falle zu tappen:

  • Backups haben – und den Restore-Fall testen!
  • das System aktuell halten
  • erst denken, dann klicken
  • keine suspekten Anhänge öffnen (und rückversichere dich im Zweifel beim Absender)
  • hab ein Rückgrat, sei kritisch und frag lieber einmal mehr nach als einmal zu wenig
  • übernimm Verantwortung für deine eigenen Handlungen

TL;DR

  • Was Schlangenöl nicht kennt, kann dir trotzdem schaden: Vor einem Zero-Day kann dich keine Software schützen
  • Ransomware: Verschlüsselt und verraten
  • Updates: Wer nicht up-to-date ist handelt fahrlässig
  • Trügerische Verweise: Links, zwo-drei-vier!
  • Der Anhang, das gefährliche Wesen: Nicht öffnen!
  • Es ist nicht alles Chef, was danach aussieht: Obrigkeitshörigkeit kostet Millionen
  • Wir sind unser größter Schutz: Unsere Handlungen bestimmen unsere Privatsphäre
  • Ending on a positive Note: Was also können wir tun, Lone Ranger?

Das Ende einer langen Reise:
Schlangenöl in epischer Breite – mit hilfreichen Tipps und Handreichungen.
Und bei Fragen – immer her damit

Gefühlte Sicherheit ist ein echtes Risiko

Heute sammle ich meine Gedanken zum größten Risiko, welches Schlangenöl für uns Nutzer darstellt:
Unser falsches Gefühl von Sicherheit, wenn wir eine AV-Lösung als Teil (oder noch schlimmer – als einziges Element) unserer Sicherheitsstrategie einsetzen.
Habe ich in meinem letzten Artikel die technischen Unzulänglichkeiten von Schlangenöl dargestellt, konzentriere ich mich heute auf das mit Abstand schwächste Glied der Sicherheitskette beim Schutz unserer digitalen Habseligkeiten.
Uns.
Den Nutzer, das nicht zu kontrollierende Element zwischen Tastatur und Schreibtischstuhl.

Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette

Wir können noch so viel technische Schutzmaßnahmen, politische Regelungen und gesellschaftliche Vereinbarungen einsetzen, dass wir uns im technisch-regulatorischen Dickicht verlieren – wenn der Mensch nicht vermag, nicht versteht oder schlicht nicht will, werden all diese Maßnahmen nicht wirken.
Oder noch schlimmer, sie werden die Situation seiner Daten schlicht verschlimmern.
Der Mensch ist letztendlich der alles entscheidende Faktor beim Schutz (oder eben beim Verlust) seiner Daten.
Wir können versuchen, mit technischen Mitteln ein Korsett von Sicherheitsmaßnahmen um unser digitales Handeln zu schnüren.
Aber wir werden es niemals schaffen, alle menschlich-irrationalen Handlungen automatisiert abzufangen.
Wenn der Mensch aus Unkenntnis, Unwissenheit oder Unwillen diese technischen Maßnahmen umgehen will, wird ihm das gelingen.
Ob an dieser Stelle jetzt die tatsächliche (oder auch nur die gefühlte) Unbequemlichkeit – oder der reine Wille, gegen eine technische Bevormundung zu rebellieren – steht, ist vollkommen belanglos.
Mir ist wichtig, hier klar zu vermitteln, dass wir als Mensch sowohl das Vermögen als auch die Pflicht haben, unsere digitale Identität zu schützen.
Werkzeuge, auf die wir vertrauen und die wir zum Schutz unserer Daten einsetzen, sind nur so gut wie das Wissen des Nutzers um dieses Werkzeug.
Ein Hammer ist ein fantastisches Werkzeug.
Allerdings nur für jemanden, der weiß wie man mit einem Hammer umgehen muss.
Für jemanden, der sich nicht mit der – zumindest grundlegenden – Funktionsweise eines Hammers auskennt, ist ein Hammer bestenfalls nutzlos.
Schlimmstenfalls ist ein Hammer eine sehr gefährliche Waffe – sowohl gegen den Anwender eines Hammers als auch alle anderen Umstehenden.
Was können wir nun – schlussfolgernd aus diesen Zeilen – tun, damit wir uns nicht ständig den digitalen Hammer beim Versuch, unsere Daten diebstahlgeschützt an unsere sichere Zimmerwand zu nageln, auf den virtuellen Daumen hauen?
Wir können uns weiterbilden.
Wir können lernen, wie wir selbstverantwortlich mit unseren Daten umgehen.
Oder wir können Verzicht üben.
Wir legen den digitalen Hammer beiseite, nageln unsere Daten nicht mehr an alle möglichen öffentlichen Wände und beschränken uns darauf, einfach weniger zu tun.
Das ist ein legitimes Vorgehen.
Niemand zwingt uns, auf jeden durch den Bahnhof des digitalen Weltdorfes rasenden Hype-Zug aufzuspringen.
Wir müssen nicht jede neue technische Möglichkeit ausschöpfen, um mit den Menschen, die uns wichtig sind in Kontakt zu bleiben.
Wir haben die Wahl.
Aber wenn wir uns dazu entscheiden, technisch modern und digital hochgerüstet zu agieren – dann haben wir auch die Pflicht und Schuldigkeit, zu verstehen, was wir tun.
Deswegen mein Aufruf an dieser Stelle:

Bilden wir uns weiter.

Gefühlte Sicherheit ist ein echtes Risiko

Der Hauptaspekt, den ich in diesem Artikel beleuchten will, ist das Risiko, welchem wir uns aussetzen, wenn wir vermeintliche Sicherheitstechnologien wie AV-Software unreflektiert einsetzen.
Wenn wir uns als Nutzer einer solchen Sicherheitssuite auf die Werbeversprechen der Schlangenölhersteller blind verlassen, lassen wir uns auf einen Tanz im Minenfeld ein.
Mit verbundenen Augen.
Und mit Kopfhörern auf den Ohren.
Und mit Schneeschuhen an den Füßen.
Es ist eine tödliche Illusion von Sicherheit, der wir uns digitaltechnisch hingeben.
In dem Gefühl vermeintlicher Sicherheit erliegen wir allzu leicht der Tendenz, gänzlich unsicheres Verhalten zu etablieren.
Wenn wir allzu unreflektiert einem System, einer Technologie vertrauen, dann ist dieses Verhalten stets zu unserem Schaden.
Wir sollten immer hinterfragen, was der Lieferant des Systems (oder der Technologie) davon hat, uns dieses System zur Verfügung zu stellen.
Ausser Geld damit zu verdienen.
Weiterhin tun wir gut daran, wenn wir etwas über die Wirkungsweise dieses Systems lernen und damit besser verstehen, wie – und ob überhaupt – dieses System für uns zuträglich ist.
In unserem konkreten Fall geht es hier um die Wirkweise von AV-Systemen – deren Schwächen habe ich in meinem letzten Artikel dargestellt.
Wenn wir nun Kenntnis darüber haben, wie AV unsere Systeme schützt und welche Lücken es hat, dann sind wir in der Lage, eine fundierte Entscheidung darüber zu treffen, wie sehr wir dieser Technologie trauen und ob wir einem solchen System unsere Daten anvertrauen wollen.
Hinterfragen wir nicht und vertrauen wir lediglich den Werbeaussagen der Hersteller, dann sind wir nicht weiter als unsere altehrwürdigen Vorfahren, die Blitz und Donner auf den Zorn der Götter zurück führten.
Mir ist klar, dass die Sichtweise, alles kritisch zu hinterfragen, was wir nutzen, deutlich mehr Zeit in Anspruch nimmt, als Aussagen von Werbung und Politik unkritisch anzunehmen.
Aber wenn wir beginnen, uns mit den Aktivitäten und Anwendungen unseres täglichen Lebens bewusst auseinander zu setzen, dann gewinnen wir mehr, als es uns an Zeit kostet:

Wir gewinnen Freiheit, Erkenntnis und die Selbstbestimmung über unser Leben.

AV-Software als moderner Ablassbrief

Gerade jetzt aktuell im Lutherjahr – da drängt sich der Vergleich von Schlangenöl zu den Ablassbriefen der vorreformatorischen Kirchengeschichte förmlich auf.
Mir erscheint das Verhalten der Nutzer von AV-Software vergleichbar zu sein mit dem Lebenswandel von solventen Kirchgängern der vorlutherischen Zeit:
Mächtig die Sau rauslassen, anschließend einen Ablassbrief kaufen und damit die Seele wieder freikaufen – Verzeihung, reinwaschen.
Die erklecklichen Lizenzgebühren für Schlangenöl scheinen mir an dieser Stelle das analoge Verhalten bei den Nutzern auszulösen:
Zahle ich schon Jahr für Jahr meine Ablassgebühren an die Schlangenölhersteller dann kann ich ja wohl auch unbesorgt im Internet herumsudeln – ich bin ja geschützt und meine Seele – respektive meine Daten – bleiben rein.
Beides – Ablassbrief und AV-Software – gehen auf ein verschobenes Verständnis hinsichtlich unseres Verhaltens zurück.
Wir können uns nicht von Schuld freikaufen – wir müssen zu dem stehen, was wir tun.
Verhalten wir uns unmoralisch, dann müssen wir mit den Konsequenzen leben – wir können unsere Seele nicht von Schuld freikaufen.
Martin Luther hat das folgerichtig erkannt und den Ablasshandel angeprangert – ganz wortwörtlich.
Verhalten wir uns im Internet datenunmoralisch, dann müssen wir lernen, mit den Folgen umzugehen.
Auch hier schützt uns kein moderner Ablassbrief in Form von Lizenzgebühren an Schlangenölverkäufer.
Das müssen wir – 500 Jahre nach Martin Luther – wohl erst erneut schmerzhaft lernen.
Wir können uns nicht freikaufen von unserem Fehlverhalten.

Aber wir können lernen, Fehlverhalten zu vermeiden und uns statt dessen datenmoralisch gut zu verhalten.

Blindes Vertrauen auf Technik macht uns blind im Handeln

Wenn wir blind darauf vertrauen, dass die Technik uns schützt, führt dies zu blindem und unvorsichtigem Handeln.
Es kann sein, dass wir ungestreift durch das virtuelle Minenfeld navigieren – schließlich findet ja auch das blinde Huhn seinen Korn und höhere Fügung mag uns auch leiten – gleichwohl, ich glaube nicht daran.
Blindes Vertrauen in dieser virtuellen Welt ist offenen Auges ins Verderben zu wanken.
Wir müssen wachsam sein – das ist der Preis für unsere Privatsphäre.
Technikgläubigkeit ist Verantwortungslosigkeit.
Wir können natürlich so handeln – aber dann dürfen wir nicht jammern, wenn unsere Privatsphäre geraubt wird und wir unsere Freiheit verlieren.
Wenn wir im Auto einen Sicherheitsgurt anlegen, heißt das auch nicht, dass wir immer mit 180 km/h über die Straßen rasen können.
Vertraut nicht blind auf die Technik – seid achtsamer im digitalen Miteinander.

Weil alles schnell gehen kann, heißt das nicht, dass wir alle Vorsicht außer acht lassen sollen.

Straßenverkehr und Führerschein

Was hat das mit Schlangenöl und echtem virtuellem Risiko zu tun?
Für den einen Bereich benötigen wir eine Fahrerlaubnis, vorherigen Unterricht und eine bestandene Prüfung – für den anderen Bereich können wir ohne jede Ahnung, Ausbildung und Information einfach mal loslegen – und uns dabei schlimmstenfalls vollkommen nackt machen.
Mir ist es schleierhaft, warum wir eine Technologie, die unsere gesamte Identität und unsere Zukunft beeinflussen, verändern und sogar massiv schädigen kann, vollkommen ohne den Nachweis von Grundkenntnissen einsetzen (dürfen).
Aktuell fordert die Gesellschaft einen derartigen Privatsphären-Führerschein nicht.
Aber wir können uns selbständig weiterbilden – oder bei mir etwas Analoges erlernen.

Das heißt nicht, dass wir jetzt alles allein lernen müssen - wir können jemanden fragen.

Was also kann ich tun?

Eines von zwei Versprechen aus meinem letzten Artikel halte ich ein:
Ich ende auf einer positiven Note!
Wer es bis hierher geschafft hat, der hat ein geistig-moralisches Gutsele in Form von Empfehlungen verdient. Was also können wir tun, um sicher im Internet unterwegs zu sein, ohne uns auf die Technik-verliebte Schlangenöllösung zu verlassen.

  • Nachdenken:
    Innehalten und Gehirn einschalten – anstatt jeder Verlockung im Internet unreflektiert zu folgen.
  • Nachprüfen:
    Stellen wir uns die folgenden Fragen, bevor wir auf einen Link klicken oder den Anhang öffnen.
    1. Kenne ich den Absender?
    2. Passt der Anhang?
    3. Zeigt der Link auf die Seite, die ich erwarte?
  • Nachfragen
    Und wenn etwas unklar ist, einfach nachfragen.
    Ein kurzer Anruf beim Absender genügt, um zu prüfen, ob die E-Mail mit dem unerwarteten Anhang wirklich von diesem Absender kommt.
    Wenn etwas unklar ist – schickt mir eine Mail.

Wir können nicht alles wissen – und selbst wenn wir einen Führerschein gemacht haben – wissen wir immer noch nicht alles über Autos und den Straßenverkehr.
Auch hier haben wir die Möglichkeit, einfach nachzufragen – warum sollten wir dies im Bereich Informationsverarbeitung nicht in dieser Form praktizieren?
Der IT-Bereich ist schließlich viel komplexer – und betrifft darüber hinaus auch deutlich mehr Gesellschaftsbereiche als der Straßenverkehr.

TL;DR

  • Der Mensch steht im Mittelpunkt – und damit der Technik im Weg: Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette
  • Sicherheit ist ein Gefühl: Gefühlte Sicherheit ist ein echtes Risiko
  • Hommage ans Lutherjahr: AV-Software als moderner Ablassbrief
  • Es geht hier um Wissen – nicht um bloßes Vertrauen: Blindes Vertrauen in Technik macht uns blind im Handeln
  • Analogie im Alltag: Straßenverkehr und Führerschein
  • Some Good Things: Was also kann ich tun?
  • Ending on a positive note: Was also kann ich tun?

Und wieder mein Aufruf:
Erhebt euch aus eurer selbstverschuldeten Unwissenheit.
Macht euch Gedanken, bildet euch weiter.
Ihr seid eurer bester Schutz vor Identitätsdiebstahl und Freiheitsverlust.