Category Archives: Allgemein

Digitale Selbstverteidigung an der VHS Geislingen

Auch dieses Jahr doziere ich wieder an unterschiedlichen Volkshochschulen – als Premiere diesmal auch an der VHS Geislingen:

Ich sag mal – da ist für jeden etwas dabei.

Wie uns Geld überwacht

Heather Jones - NSA: Listening in

TL;DR

  • Digitale Finanzströme: Online sind wir nackt
  • In the name of money: Wir zahlen mit unserem guten Namen – Kreditkarten
  • Bringing it all together: Hybride Überwachung – online meets offline
  • The Future: Daten sind Ge|old

“Money makes the world go round”
“Pecunia non olet”
“Nur Bares ist Wahres”

Diese Weisheiten stimmen uns auf meine Artikelserie zum Thema Geld und Privatsphäre ein.
Geld als abstraktes Tauschmittel und äußere, vergleichbare Form von materiellem Reichtum ist ein Thema, das unsere Gesellschaft bewegt – manch einen sogar treibt.
Bemaß sich der Wert eines Unternehmens früher noch an greifbaren Werten wie Gold, Immobilien oder Rohstoffen wie Öl – so kommt heute ein neuer Rohstoff ins Geldspiel:
Daten

In den kommenden fünf Artikeln will ich daher auf den Zusammenhang zwischen Geld (in welcher Form auch immer) und unserer Privatsphäre eingehen.
Beginnen werde ich heute mit der Tatsache, dass Geld uns überwachen kann.
Im folgenden Artikel betrachte ich neue Gefahrenpotenziale durch Funktechnologien in diversen Geldkarten.
Anschließend werfe ich einen Blick auf Online-Banking in seinen unterschiedlichen Ausprägungen.
Einen Schwenk zu den schwer überwachbaren Alternativen zu elektronischen Finanztransaktionen mache ich im darauf folgenden Artikel.
Den Abschluss der Reihe bildet ein Ausblick auf neue Geldformen und ihren Einsatz.

Aber beginnen wir zunächst mit den Überwachungsmöglichkeiten, die Geld bietet.

Online sind wir nackt

Bringe ich es doch einfach gleich auf den Punkt:
Unsere elektronisch ausgeführten Finanztransaktionen werden von der NSA gelesen.
Weltweit.
Fast alle.
Für diese Geldschnüffelei betreibt die NSA laut Edward Snowden sogar eine eigene Abteilung: Follow the Money.
Die Erkenntnisse aus dieser globalen Überwachungsaktion fließen in die NSA-eigene Finanzdatenbank Tracfin.
Bereits 2011 umfasste diese Datenbank ungefähr 180 Millionen Datensätze (und davon waren etwa 84% Kreditkartendaten).
Aber es ist ja alles “for the greater good”.

Ich bin immer wieder fassungslos, mit welch bescheuerten Argumenten der größte Überwachungsirrsinn immer wieder gerechtfertigt wird.
Mir gibt es ein schlechtes Gefühl, wenn ich weiß, dass alle meine Finanztransaktionen gesammelt und bewertet werden.
Ich halte es für entsetzlich, dass wir alle unter Generalverdacht stehen, wenn wir online etwas einkaufen. Oder noch schlimmer: bar bezahlen :)
Es geht verdammt noch mal niemanden etwas an, was ich mir für mein hart verdientes Geld beschaffe.
Und kommt mir bloß nicht mit der Argumentation, dass die Daten ja nur bei der NSA liegen.
Wie Edward Snowden 2013 gezeigt hat, ist es durchaus möglich, auch aus diesem Geheimclub Arme voll Daten rauszutragen.
Warum sollte das nicht auch einem Datenhändler, Cyber-Kriminellen oder sonstigem Schmutzbuckel gelingen?
Dann nämlich stehen wir noch ein wenig nackter im digitalen Wind der Online-Erpressbarkeit.

Wir zahlen mit unserem guten Namen – Kreditkarten

Kommt jetzt bitte nicht auf die Idee, eure Kreditkarten-gestützten Käufe offline zu tätigen, um euren guten Namen zu retten.
Das wird uns leider nicht retten.
Bloß weil wir unsere Daten offline zur Verfügung stellen, heißt das nicht, dass diese Daten nicht trotzdem in der Tracfin-Datenbank landen.
Mittlerweile werden spätestens am Kreditkartenterminal unsere Daten elektronisch weiterverarbeitet und landen dann mit hoher Wahrscheinlichkeit bei Follow the Money.
Damit sichergestellt werden kann, dass wir wirklich nur Gummibärchen online ordern und kein Hexamethylentriperoxiddiamin für unseren nächsten Sprengkörper kaufen wollen.
Puh, wirklich, als ob ich sowas kaufen würde.
Online.
Das hole ich mir schließlich bei meinem vertrauenswürdigen Schwarzhändler um die Ecke.

Dass Kreditkarten eine vertrauenswürdige und sichere Form der Bezahlung seien ist eine Illusion.
Das sollte sich inzwischen überall herumgesprochen haben.
Immer wieder decken Sicherheitsforscher, unter anderem Brian Krebs, Kreditkartendiebstähle in ungeheurem Umfang auf.
Es ist pure Bequemlichkeit, die Kreditkarte zu zücken, anstatt das Bargeld aus der Geldbörse heraus zu zählen.
Zugegeben, es gibt einige Dienstleistungen, da wird eine Kreditkarte zwingend vorausgesetzt.
Mir fallen da Autovermietungen oder Hotelreservierungen mit garantierten Zimmern ein.
Naja, seufz, legen wir uns für diese Zwecke eine Kreditkarte mit geringem Limit zu – dann ist der finanzielle Schaden wenigstens eng begrenzt.
Unsere Daten und unsere finanziellen Bewegsdaten sind wir dann allerdings immer noch los.

Hybride Überwachung – online meets offline

Seit kurzem ist die auch die Argumentation
“Aber mit Kreditkarten werden wir ja nur online, respektive offline, überwacht”
dahin.
Zuerst Google und jetzt auch Facebook haben eine Möglichkeit für ihre werbetreibenden Datenkrakenkunden geschaffen, Einkäufe, die offline durch Kreditkarten bezahlt werden, jetzt auch online weiter zur Komplettierung von Profilen heranzuzuiehen.
Schöne neue hybride Überwachungswelt.
Damit wird die Kreditkarte neben dem Smartphone zur nächsten Überwachungswanze, die wir freiwillig mit uns herumtragen.
Das perfide bei der Überwachung unserer Kreditkartenzahlungen, die wir offline durchführen, ist, dass wir hier gar nicht die Möglichkeit haben, dieser Überwachung zu widersprechen.
Im Online-Bereich sprechen wir von zwei Möglichkeiten der Zustimmung zu Diensten, in die wir einwilligen.
Es gibt die datenschutztechnisch positive Sichtweise des Opt-In.
Dies bedeutet, ich muss mich aktiv für die Nutzung eines Dienstes oder einer Dienstleistung entscheiden.
Erst wenn ich zugestimmt habe, fließen meine Daten in Richtung eines Datensammlers ab.
Die negative, aber in der breiten Masse der Angebote gängigere Variante ist die des Opt-Out.
Hier bin ich als Standard bereits in der Situation, dass meine Daten abgezogen werden.
Erst wenn ich mich aktiv gegen diese Weiterverarbeitung entscheide, kann ich aus diesem System aussteigen.
Da diese Möglichkeit zum einen eine aktive Handlung eines Dienstleistungsnehmers erfordert – und weil die Möglichkeit zum Opt-Out oft nur sehr schwierig zu finden ist – nehmen viele Nutzer diese Möglichkeit gar nicht erst wahr.

Und bei der Kreditkartennutzung im Offline-Bereich ist uns oft schlicht keine Möglichkeit gegeben, uns gegen die Weiterverarbeitung der von uns gesammelten Kreditkartendaten durch Facebook, Google und andere wehren zu können.

Daten sind Ge|old

Letztendlich sind Daten Geld.
Nur leider nicht unseres.
Wir sind nur die Geldquelle, die Datenmine, aus der die Datensammler und -händler fleißig schürfen.
Wir werden weder gerecht entlohnt für die Daten – also das Geld – welche wir den Datenkraken zur weiteren Veredelung und zum Handel geben.
Noch erfahren wir den (Geld-)Wert, den unsere Daten haben.
Durch diese Wissensasymmetrie sind wir als Datenlieferanten gegenüber den Datenhändlern in einer massiv schwächeren Position.
Wenn ich nicht weiß, über welche Werte ich verfüge, kann ich nicht angemessen handeln.
Wir sind wie die Lenape, die Manhattan 1626 an Peter Minuit für 60 Gulden verkauft haben.
Lernen wir den Wert unserer Daten schätzen!
Unsere Daten sind unser Gold.
Daten sind bereits Teil einer neuen Währung – achten wir darauf, dass wir nicht das Manhattan unserer digitalen Identität für eine Handvoll Glasperlen an die digitalen Imperialisten verschleudern.
Lernen wir, unser digitales Manhattan zu schützen und zu verteidigen.
Es ist das Kernland unseres digitalen Ichs.
Es geht um unsere Freiheit.

Fragen? Anmerkungen?

teilen + spenden

Recht egal

TL;DR

  • Mut, Schokolade und ein Einhorn an unserer Seite: Was wir brauchen
  • Physiker, aufgemerkt: Widerstand ist…
  • Gemach, gemach: Regierungen – The Regulatory Sloth
  • Wer schreibt der bleibt: Datensammler und AGB-Gestalter
  • Juristisches Bauchempfinden: Recht gefühlt

Legal – illegal – scheissegal.

Das denke ich mir meistens, wenn ich mich durch die seitenlangen juristischen Kleinode epischen Ausmaßes hindurchquälen muß, sobald ich eine neue Anwendung installiere oder einen neuen Online-Dienst in Anspruch nehme.
AGB.

Drei Buchstaben für eine Garantie vollkommenen Unverständnisses.
Juristen schmunzeln und wir Laien – wir zucken bestenfalls die Schultern – und akzeptieren den verklausulierten Wahnsinn in Worten.
Was bleibt uns auch anderes übrig?
Wenn wir den Dienst nutzen wollen, dann müssen wir die AGB abnicken – ob wir sie gelesen haben oder nicht.
Von verstanden einmal ganz abgesehen.

Dieses Vorgehen zementiert einmal mehr das immense Machtgefälle zwischen Dienstanbieter und -nutzer oder besser zwischen Datensammler und -quelle.
Mir kommt es zuweilen so vor, als würden die Datenkraken versuchen, mit dem Einsatz unverständlicher AGB ihr moralisch – und zumindest in Teilen juristisch – fragwürdiges Geschäftsgebahren auf eine rechtlich unangreifbare Basis stellen.
Ungefähr so, wie wenn man seine Burg mit vier Burggräben voller Krokodile umgibt.
Drum herum noch einen zweihundert Meter breiten Minengürtel legt.
Und das ganze auf einem unbezwingbaren Berg erbaut.

Aber das ist nur mein Gefühl.
Ich alter Pessimist.
Wahrscheinlich beschuldige ich die arglosen Datensammlern zu Unrecht.
Die tun das alles bestimmt nur, damit unser Nutzungserlebnis noch besser wird …
… oder welches Hohlphrasengewäsch auch immer aktuell en vogue ist …

Recht gefühlt

Ich bin kein Jurist und meine Einschätzungen zum juristischen Vorgehen der Datenkraken sind rein subjektiv.
Dennoch hoffe ich, dass juristische Formulierungen wenigstens noch ansatzweise mit unserer gelebten Realität vereinbar sind.
Wenn ich von dieser Annahme ausgehe, dann kann ich wirklich nur verwundert fragen:

"Dienstanbieter, Datensammler und Online-Profiteure - habt ihr se noch alle?"

Kein Mensch nimmt sich die Zeit, um 63 Seiten AGB für eine App zu lesen, die dem Nutzer helfen soll, effektiver mit seiner Zeit umzugehen.
Sind Unternehmen mittlerweile Auffanggesellschaften für Arbeit suchende Juristen geworden?
Oder noch schlimmer – vielleicht sind für die meterlangen Pamphlete inzwischen gar keine Juristen aus Fleisch und Blut mehr notwendig?
Möglicherweise werden die Texte zwischenzeitlich und ganz im Sinne einer effizient verlaufenden Digitalisierung folgend von Big Data basierten und maschinenangelernten Juristenalgorithmen geschrieben?
Wundern würde es mich nicht.

Liebe Juristen – möglicherweise würde ich mir an eurer Stelle jetzt ein wenig Sorgen um meinen Job machen – schließlich geistern gerade aktuelle Statistiken durch die virtuellen Untiefen, in denen von 35 bis zu 47% an durch Automatisierung gefährdeten Arbeitsstellen gesprochen wird – das sind wohl nicht nur Stellen im Bereich der ungelernten Arbeiter.

statista chart: How Many Jobs Could Fall Victim to Automatization?

Aber zurück zu meinem Gefühl.
Die Attitüde, mittels vollkommen unverständlich verklausulierter Nutzungsbedingungen seinen eigenen Arsch vor jeder möglichen Form eventuell auftretender Risiken (inklusive Angriffe durch Sauropoden, Stimmungsschwankungen und einem diffusen Gefühl von Paranoia) zu schützen, widerspricht dem ach so kooperativen Ansatz, den die meisten dieser Dienstanbieter und Plattformbetreiber in ihren hochglänzenden Wohlfühlwerbekampagnen zum Ausdruck bringen – bevor man einen gezwungenen Blick auf die in juristiche Worte gegossene Schauergeschichten werfen muss.

Was können wir tun?
Wir können überlegen, ob wir diesen Dienst, diese Plattform wirklich brauchen.
Ja, mir ist klar, dass wir durch unterschiedliche Seiten (peer-pressure, Unterzuckerung oder einfach Neugier) dazu genötigt werden, genau diesen Dienst zu nutzen.
Aber – und da formuliert Johann Nepomuk Nestroy diesen Zustand ganz stimmig:

“Ich bin mein eigener Herr, ich hab niemand Rechenschaft zu geben.”

Schlussendlich sind wir der Schmied unseres eigenen Glücks.
Es ist unsere Entscheidung, ob wir etwas tun oder nicht.
Also tun wir es - oder nicht.

Datensammler und AGB-Gestalter

Zuweilen sind AGB auch ein Quell der Erheiterung – wir müssen diese verbalen Untiefen mit ihren verschwurbelten Satzungetümen nicht nur als Last und Angriff auf unsere Freiheit betrachten.
Gibt es doch immer wieder literarische Kleinode, die uns die Augen für den darin lauernden Wahnsinn öffnen.
So hat z.B. der Anbieter für ein öffentliches WLAN, purple, jüngst seine AGB dahingehend erweitert, dass die Teilnehmer an dem Dienst sich dazu verpflichten

  • lokale Parks von Hundekot zu reinigen
  • streunende Katzen und Hunde in den Arm zu nehmen oder
  • Schneckenhäuser zu bemalen

Eine großartige Aktion, zeigt es doch, dass die Nutzer eines Dienstes deren AGB schlicht nicht lesen.
Andernfalls hätten sicherlich mehr als zwei aufmerksame Leser diese AGB hinterfragt – und nicht wie 22.000 andere Nutzer diese einfach abgenickt.

Ein Klassiker der AGB-Gestaltung ist auch die Maßgabe von Van Halen, dass es stets eine Schüssel mit M&M’s im Backstage-Bereich ihrer Konzerte geben müsse – jedoch explizit ohne braune M&M’s.
Diese augenscheinlich sinnlose Klausel hat nur den einen Zweck – nämlich zu überprüfen, ob alle übrigen sinnvollen Klauseln der AGB (beispielsweise hinsichtlich der Sicherheit des  Bühnenaufbaus), gelesen, verstanden und hoffentlich eingehalten wurden.
Wäre bei der einfachen und schnellen Prüfung der bereitgestellten M&M’s-Schüssel eine illegale braune M&M’s inkludiert – wäre dies Anlaß zum Abbruch des Konzerts.
Denn nun muß angenommen werden, dass an wesentlichen Stellen der Sicherheit genauso schlampig gearbeitet wurde.
Es ist quasi ein invertierter Grubenkanarienvogel – in diesem Fall schlecht, wenn er noch singt.

Auch an anderer Stelle sorgen AGB für ein gewisses Maß an Unterhaltung:
Gibt es doch mittlerweile die Facebook-AGB als Musical!
Da soll mir noch einer sagen, AGB seien zu nix nutze – sie können immer noch als schlechtes Beispiel für sinnlose Zeit- und Wortverschwendung dienen und jetzt auch noch für Musical-Freunde einen erquicklichen Zeitvertrieb bieten.

Diese, zumeist als Kritik an der bestehenden Gestaltungsweise von AGB, zu verstehenden Ausreißer im AGB-Gestrüpp bringen jedoch eines wieder deutlich zum Vorschein:
AGB sind eine Sicherung der Dienstanbieter gegenüber den Dienstnutzern.

Hier wird klar abgegrenzt, wer der Chef im Ring ist.
Von diesem Standpunkt aus gesehen auch eine berechtigte Vorgehensweise.
In meinem Haus gelten auch meine Regeln – nicht die meiner Gäste.
Der Unterschied besteht jedoch darin, dass ich im Gegensatz zu AGB-verseuchten Datensammlern meinen Gästen nicht sämtliche Rechte abspreche, so wie wir dies unter anderem bei Facebook sehen:

“Du gewährst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, gebührenfreie, weltweite Lizenz für die Nutzung jedweder IP-Inhalte, die du auf bzw. im Zusammenhang mit Facebook postest (IP-Lizenz).”

Das ist ungefähr so, als würde ich von Besuchern meines Hauses verlangen, dass alles, was sie dabei haben, in meinen Besitz übergeht.
Eigentlich eine gute Idee – vielleicht sollte ich das einmal versuchen!
Kommt vorbei – und bringt euer Tafelsilber mit!

Also, was können wir tun?

Die AGB lesen - sorgfältig.

(Ja – ich höre euch. Und wieder sage ich: Was können wir tun.
Ich sage nicht, dass wir das *immer* tun.
Aber wir können.)

Regierungen – The Regulatory Sloth

Die Ausgestaltung von AGB ist ein Thema, welches wir schwerlich durch digitale Selbstverteidigung in den Griff bekommen.
An dieser Stelle benötigen wir die Unterstützung unserer Regierungen.
Allerdings – und an dieser Stelle rückt die Führerscheinstelle aus Zootropolis vor mein inneres Auge – sind Regierungen systemimmanent eher auf der geschwindigkeitsreduzierten Seite.

Es ist schlicht unmöglich, dass Regierungen jedem innovativen Luftzug eines Cyber-Cyber-Unternehmens folgen – auch wenn der Luftzug aus dieser Ecke derzeit eher einem mittelschweren Orkan gleicht.

Darüber hinaus haben Regierungen auch das Wohl der Unternehmen im Blick – und deren Lobbyisten im Nacken.
Und die sind deutlich zahlreicher als die Lobbyisten der Nutzerrechte.

Steppenroller – zirpende Grillen

Ne, ehrlich.
Regierungen tun etwas.
Für uns.
Die EU-DSGVO hilft dem Verbraucher und Träger von personenbezogenen Daten (ja, wir sind alle Datenträger).
Aber es dauert eben einfach sehr, sehr, sehr, sehr lange bis diese Maßnahmen wirken.
Und leider werden diese Zeiträume juristischen Vakuums von den Datensammlern genutzt.
Die beschäftigen schließlich Horden von Anwälten und ähnlichen Juristen (oder zumindest juristisch maschinenangelernte Algorithmen), um Lücken in den Gesetzestexten zu finden und juristische Klippen zu umschiffen.
Die Unternehmen sind nämlich schnell – hier fällt mir Hammy aus Over the Hedge als Sinnbild ein.
Also, was tun?

Widerstand ist…

Nein, Locutus, Widerstand ist niemals zwecklos!
Bei Widerstand geht es schon grundlegend darum, seinen Widerstand zu signalisieren.
Oder um es mit den Worten von President Thomas Whitmore zu sagen:

“We will not go quietly into the night!”

Es geht auch darum, zu zeigen, dass wir mit dieser Machtassymmetrie nicht einverstanden sind.
Es geht darum, unseren Standpunkt, unser Recht auf informationelle Selbstbestimmung zu verteidigen.
Erhöhen wir die Spannung – verstärken wir unseren Widerstand!

Was wir brauchen

Mehr Mut, mehr Initiative und zunächst:
verständlichere AGB.
Eine hilfreiche Idee wäre eine ikonografische Form von AGB.
Das würde zumindest helfen, die Regelungen der Nutzungsbedingungen schneller zu erfassen – ohne stundenlang trockene Texte zu lesen.
Dies löst jedoch noch nicht die Diskrepanz zwischen Akzeptieren und Nutzen gegenüber Ablehnen und Verzichten.
An dieser Stelle wäre eine Aufteilung einer großen, alles umfassenden AGB in diskrete Teile hilfreich.
Damit könnten – und müssten – technisch unabhängige Teile einer Plattform oder eines Dienstes auch juristisch voneinander getrennt werden.
Dadurch wäre klar, dass ich A nur zustimmen muss, wenn ich A auch wirklich zu nutzen gedenke.
Will ich nur B nutzen, muß ich mich nicht mit A beschäftigen (auch nicht hinsichtlich gewisser Rechte, die ich einem Dienst oder einer Plattform einräumen müsste).

Aber ach, ob derartiges überhaupt darstellbar und machbar ist?
Bestimmt; aber einfach wird’s nicht – möchte ich mal sagen!
Nun, wir müssen uns von einfach jetzt einfach mal verabschieden.
Was ist schon einfach?
Leben nicht, dessen bin ich mir sicher, aber lohnend!
So lohnend.

Also, sammelt euren Mut, Kämpfer für eine selbstverteidigte Privatsphäre.
Es gibt zu viel zu verlieren, um den Kopf in den Sand zu stecken.

“No retreat, baby, no surrender.”

Recht hast du, Bruce.

Fragen? Anmerkungen?

teilen + spenden

Schwarze Datenlöcher

Heute betrachte ich den Zusammenhang zwischen Online-Konten und Datenhandel.
Mir kommt es mitunter so vor, als ob Daten, die wir online preisgeben – egal ob über uns selbst oder über andere – in einem schwarzen Loch verschwinden.

Nun da ich diese These schriftlich formuliert lese, offenbart sich der Mangel der Analogie:
Ein schwarzes Loch ist es nur für den Datenlieferanten.
Der Datensammler hingegen scheint nicht an die physikalischen Gesetze der Schwerkraft in einem schwarzen Loch gebunden zu sein – er kann nach Belieben über die gravitativ angezogenen Daten verfügen (wohlgemerkt, Datendiebe übrigens auch).

Das ist kein Mond!

Das tückische im Zusammenhang mit Online-Plattformen ist, dass wir weder sehen noch ahnen, welche Daten über uns gesammelt werden – und in welchem Umfang dies geschieht.

Vielleicht lernen wir zukünftig, ein für unsere Privatsphäre gesundes Misstrauen gegenüber diesen Diensten zu entwickeln – aber momentan haben wir derlei Fähigkeit noch nicht ausreichend ausgeprägt.
Es ist erschreckend, wie groß das Ausmaß der Datensammelgier in den virtuellen Welten ist, in denen wir uns bewegen.
Aktuell kann man das wieder bei der Dating-Plattform Tinder beobachten.
Hier hat der Anbieter nicht nur diejenigen Daten gehortet, welche der Nutzer bei Tinder offengelegt hat; Interessantes aus Profilen von Facebook oder Google+ wurde ebenfalls gesammelt und alles miteinander korelliert.
Und schon hat Tinder ein aussagekräftiges und umfassendes Profil über seine Nutzer zusammengestellt.

Uns sind oftmals die Möglichkeiten der Betreiber von Online-Portalen nicht bekannt und die daraus abzuleitenden Szenarien sind uns zumeist nicht bewusst. Häufig ist uns gar nicht klar, auf welche Datenquellen die Betreiber Zugriff haben (aus denen diese sich bedienen können, um ein umfangreiches Profil über uns zu erstellen).
Dies alles geschieht natürlich nur, um uns “besser kennenzulernen” oder um mit uns als Kunde “eine klarere Kundenbeziehung” aufbauen zu können.
Wie wir bei genauer Betrachtung dieser Gründe sehen, verdrehe ich die Fakten ganz unfair zu Ungunsten der Datenkraken – entschuldigung, wieder so ein snowdenscher Versprecher – der Innovatoren natürlich.
Aber was geschieht denn nun mit unseren Daten ?
Verdichten sie sich immer mehr im Schwerkraftfeld des informatorischen Schwarzen Lochs?
Oder nutzen die kundenfreundlichen Innovatoren diese verdichteten Daten vielleicht doch für dunkle Zwecke weiter?

Datenschürfen im schwarzen Loch

Wie kommt nun dieser Zusammenhang zwischen Online-Konten und Datenhandel zustande?
Schwarze Löcher dürfen wir uns nicht wie Staubsauger vorstellen.
Sie ziehen nicht aktiv Dinge wie Raumschiffe, kleinere und größere Planeten, Sterne und unvorsichtige Astronauten in ihr extremes Schwerkraftfeld.
Schwarze Löcher haben – ganz in Abhängigkeit ihrer Größe – immer nur die Masse ihrer Sonnen, aus denen sie entstanden sind.
Das reicht jetzt vom mikroskopisch kleinen Schwarzen Loch bis zum supermassereichen Schwarzen Loch im Zentrum einer Galaxie.

Das bedeutet, erst wenn unsere Daten den Ereignishorizont eines Schwarzen Lochs – also quasi den Point of no Return – überschritten haben, erst dann werden sie unwiderbringlich von der Schwerkraft des Schwarzen Loches angezogen.
Und erst dann tragen diese Daten zur Zunahme der Masse dieses speziellen Schwarzen Datenloches bei.

Allerdings übertreten unsere Daten den Ereignishorizont bereits, sobald wir sie preisgeben.
Egal ob es sich um Daten handelt, die wir in einem Online-Formular eingeben.
Oder um Informationen, die wir auf sozialen Plattformen posten.
Oder ganz einfach um die Lokationsdaten, die unsere Smartphones übermitteln, wenn wir unterwegs sind.
Alle unsere Daten überqueren den Ereignishorizont und erhöhen somit die Masse des Schwarzen Datenlochs.

Schön wäre es, wenn unsere Daten wirklich in einem Schwarzen Datenloch verschwänden und eben dort unwiderbringlich festgehalten würden.
Leider ist dem nicht so.
Wenn ich Datenkraken mit Schwarzen Löchern gleichsetze und die Preisgabe unserer Daten mit dem Überschreiten des Ereignishorizonts vergleiche, dann beginnt meine Analogie stark zu hinken.
Denn der Weg in ein Schwarzes Loch ist unumkehrbar.
Aber ich gestatte mir an dieser Stelle die künstlerische Freiheit des Autoren.
Und um meiner Analogie gerecht zu werden, gebe ich den Datenkraken die technische Möglichkeit, Daten aus dem Schwarzen Datenloch zu schürfen.
Vielleicht stellen wir uns das ungefähr so vor, wie wir es von den Guardians of the Galaxy kennen – in der Minenkolonie von Knowhere.

Stellen wir uns weiter vor – und an dieser Stelle folgen wir wieder der physikalischen Theorie von Stephen Hawking – dass die Schwarzen Datenlöcher die in Ihnen gesammelten Informationen wieder freigeben, wenn sie das Zeitliche segnen.
Damit stehen die gesammelten Daten wieder zur Verfügung und können für die weitere Verarbeitung genutzt werden.

Worauf ich hinaus will ist folgendes:
Wir verlieren die Kontrolle über unsere Daten, sobald wir diese aus unserem Einflussbereich lassen.
Und das geschieht in dem Moment, in dem wir wissentlich oder unwissentlich Informationen erzeugen.

  • eine Kurznachricht versenden,
  • einen Post bei Facebook liken
  • oder uns einfach irgendwo mitsamt unseres Fitness-Trackers bewegen.

Datenkraken und -händler profitieren davon.
Diese können und werden auf unsere Daten zugreifen.
Sie werden sie schürfen, korellieren und weiter verkaufen.

Dunkle Datenmaterie

Dunkle Materie ist ein weiteres physikalisches Postulat, um das Universum und überhaupt alles darin (und wahrscheinlich darum herum auch) zu erklären.
Das Vertrackte an dunkler Materie ist, dass sie nicht direkt sichtbar ist – aber trotzdem rein rechnerisch vorhanden sein muss.
Das kommt mir verdächtig bekannt vor, wenn ich über unsere Daten nachdenke.
Die Auswirkungen der Daten, die wir erzeugen (und die über uns gesammelt werden) sind auch nicht direkt sichtbar – aber sie sind da.

Wir sollten im Auge behalten (und in unserem Bewusstsein), dass alles, was wir digital und speicherbar von uns geben, auch dauerhaft verfügbar ist – und im Zweifel gegen uns verwendet wird.
Auch wenn wir dies nicht direkt mitkriegen und die Auswirkungen nicht sofort sehen.
Genau wie Dunkle Materie im Universum überall um uns herum vorhanden ist, so sind auch Daten, die wir erzeugen und die uns betreffen, allgegenwärtig.
Beides nehmen wir nicht unmittelbar wahr, aber beides beeinflusst unser Leben.

Der Vorteil von Daten gegenüber Dunkler Materie ist jedoch, dass wir Einfluss darauf haben.

Wir haben es im Griff, welche und wie viele Daten wir in Umlauf bringen.

Und in dem Maße, in dem wir Daten einsparen, reduzieren wir auch den gravitativen Einfluss der Schwarzen Datenlöcher auf unsere digitale Identität.

Astrophysiker sind keine Raketenwissenschaftler

“Habe nun, ach! Philosophie,
Juristerei und Medizin,
Und leider auch Theologie!
Durchaus studiert, mit heißem Bemühn.
Da steh ich nun, ich armer Tor!
Und bin so klug als wie zuvor.”

Ähnlich wie Goethes’ Faust geht es wohl nun auch dir, lieber Leser, nach diesem astrophysikalischen Ausflug.
Dir schwirrt der Kopf nun wie einst Sputnik um die Erde und du fragst – zu Recht! – was aber nun tue ich?
Bin ich doch kein Raketenwissenschaftler, Astrophysiker noch weniger!
Aber sei beruhigt – wir müssen weder das Eine noch das Andere sein, um unsere Privatsphäre vor dem gravitativen Zugriff der Schwarzen Datenlöcher zu bewahren.
Daher heute eine universelle Handreichung zum einfachen Datenschutz:

  • Drum prüfe, was ich ewig speichere:
    sei Datensparsam – sei dir bewusst, dass alles, was du digital von dir gibst, dauerhaft gespeichert wird
  • Don’t feed the Black Holes:
    nochmals – sei Datensparsam – je weniger du über dich preisgibst, desto besser für deine Privatsphäre
  • Datenwurmlöcher zwischen Schwarzen Datenlöchern sind dein Untergang:
    verknüpfe keine Online-Konten miteinander – halte deine digitalen Identitäten strikt getrennt
  • Setze nicht alles auf eine Weltraumkarte:
    Diversifiziere deine Online-Aktivitäten – dein Kurznachrichtendienst in dieser Galaxie, deine soziale Plattform in jener, dein E-Mail-Anbieter in einer anderen.

TL;DR

  • Houston, we have a Problem: Astrophysiker sind keine Raketenwissenschaftler
  • Wir sehen sie nicht und doch ist sie vorhanden: Dunkle Datenmaterie
  • Minenarbeiter im Himmlischen Wesen: Datenschürfen im schwarzen Loch
  • Genau so tückisch wie der Todesstern – Datenkraken: Das ist kein Mond!

Unsere datenkosmische Reise soll weder von datenhungrigen Schwarzen Löchern noch von konsumhungrigen Ferengiflotten oder imperialen Datenstürmern aufgehalten werden – daher lasst uns zu erfahrenen Datanauten werden und die immensen Vorteile einer modernen Datenzukunft lernen.
Sicher, datensparsam und informatorisch selbstbewusst.
Datenschilde hoch, Energie!

Potemkinsche Dörfer

Potemkinsches Dorf - Prof. Henner Herrmanns - BUGA 2011Was haben Online-Konten mit Potemkinschen Dörfern zu tun?

Betrachten wir doch hierzu zunächst, woher der Begriff des Potemkinschen Dorfes kommt:
Historisch nicht belegt – aber der Sache ihren Namen gebend – war Feldmarschall Grigori Alexandrowitsch Potjomkin.
Dieser soll für Zarin Katharina II. Schaudörfer errichtet haben, um die tatsächliche Beschaffenheit der Landschaft bei einem Besuch der Zarin zu verschleiern.
Denn hinter den theaterkulissenartigen Fassaden versteckte sich lediglich karges Brachland.
Auch heutzutage wird der Einsatz Potemkinscher Dörfer genutzt, um renovierungsbedürftigen Häusern einen oberflächlichen Glanz zu verleihen.

Meiner Ansicht nach erleben wir dieses Vorgehen mittlerweile auch beim Aufbau von Online-Plattformen, -Shops und anderen Formen virtueller Interaktionsmöglichkeiten.

Strahlend schön nach außen – und dahinter nur Brachland

Potemkinsches Dorf - entlarvt - Prof. Henner Herrmanns - BUGA 2011Mit der wundervoll prächtigen Fassade locken heute viele Online-Portale neue Kunden an.
Hier kommt mir Galadriel, die Herrin von Lothlorien in den Sinn:

“In the place of a Dark Lord you would have a Queen!
Not dark but beautiful and terrible as the Morn!
Treacherous as the Seas!
Stronger than the foundations of the Earth!
All shall love me and despair!”

Von außen betrachtet wirkt alles frisch, hip, sehr innovativ und ganz leicht.
Als interessierter Neubürger eines solchen Potemkinschen Dorfes erhalte ich allerdings von außen keinen Einblick in die Situation und Infrastruktur meines zukünftigen virtuellen Wohnsitzes.
Die Außensicht endet bei der glanzvollen Fassade.

Ich muss meine Entscheidung, dort ansässig zu werden, allein auf dem äußeren Anschein aufbauen.
Erst wenn ich gewillt bin, mich dort anzusiedeln – und bereits meine ersten Daten dem Feldmarschall dieses speziellen Potemkinschen Dorfes überlassen habe – erst dann erfahre ich, wie es um die tatsächliche Beschaffenheit der Online-Plattform abseits des Augenscheins bestellt ist.

Die echte Funktionalität und die tatsächliche Qualität eines Online-Angebots sehen wir leider erst, wenn wir bereits angemeldeter Nutzer des Dienstes sind. Die Bedienbarkeit beispielsweise; Wirklichkeitsabgleich gegen Werbeversprechen sozusagen.
Dann ist es allerdings schon zu spät – was die Sicherheit unserer Daten (und unsere Privatsphäre) angeht.

Diese negative Auswirkung können wir jedoch umgehen, indem wir uns für jedes Online-Angebot bei dem wir uns anmelden, eine eigene E-Mail-Adresse anlegen.

Denn die E-Mail-Adresse ist das am häufigsten genutzte Identifikationsmerkmal für Plattformen dieser Couleur.

Pfusch am Bau

Die ursprünglichen Potemkinschen Dörfern bestanden aus bemalten Theaterkulissen vor Brachland.

Ganz so krass sind die virtuellen Ausgaben dieser vorgespiegelten Realität meist nicht, steht man als Nutzer doch nicht vollkommen im Ödland.
Aber der Vergleich zur verpfuschten Bauruine liegt nahe.

Das fatale an dieser Situation ist, dass der durchschnittliche Nutzer einer solchen verpfuschten Online-Bauruine nicht feststellt – zumeist auch nicht feststellen kann – , dass er sich in einer Bauruine aufhält.
Erst nach und nach kommen die unschönen Tatsachen ans Licht.
Wenn ich in einer Bauruine wohne, kann ich das in aller Regel sofort festellen (auch wenn ich kein Handwerker bin).

  • Da sehe ich auf den ersten Blick, wenn Fliesen schlampig verlegt sind.
  • Ich erkenne auch ohne fachliche Ausbildung, wenn bei den Fugen gepfuscht wurde.

In einer virtuellen Bauruine ist das etwas problematischer.
Hier erkenne ich als Laie nicht, wenn eine untaugliche Technologie als Basis für ein solches digitales Potemkinsches Dorf genutzt wird.
Auch eine handwerklich mangelhafte Umsetzung grundsätzlich tauglicher Technologien bemerken wir als Nutzer nicht.
Online ist das Problem Pfusch am Bau anders gelagert als Offline.
In der virtuellen Welt treten die Probleme einer fehlerhaften oder schlampigen Implementierung nur sehr selten offensichtlich zu Tage.
Hier wirken sich diese viel stärker im Hintergrund (quasi unsichtbar) aus – für die Nutzer sind mögliche Folgen allerdings umso gravierender; beispielsweise durch unbeschränkte Zugriffsmöglichkeiten auf hinterlegte Nutzerdaten.

Der Schutz von Nutzer- bzw. Kundendaten wird häufig immer noch als Kostenfaktor (und nicht als Wettbewerbsvorteil) angesehen.

Es bedarf zusätzlichen Entwicklungs- und Pflegeaufwands, um eine Online-Plattform so zu gestalten, dass die Daten der Nutzer sicher aufbewahrt werden.
Leider kenne ich an dieser Stelle keine einfache und pragmatische Lösung für das Dilemma. Der durchschnittliche Nutzer ist zumeist nicht in der Lage, zu erkennen, ob er sich in einem von Online-Handwerkern nach allen Regeln der Kunst gebauten virtuellen Haus befindet oder ob es sich um eine von Hilfsarbeitern zusammengepfuschte Bauruine handelt.

Ich denke, es hilft, wenn wir uns selbst - oder andere - fragen, ob wir diesen Dienst benötigen.

Komm zu uns, wir haben Kekse!

Eine weitere Wirkung eines digitalen Potemkinschen Dorfes ist seine Anziehungskraft aufgrund seiner täuschenden Strahlkraft.

Hier werden Versprechungen postuliert, welche erst überprüft werden können, wenn wir den – oftmals – falschen Versprechungen erlegen sind.
Werbeversprechen sind stets – online wie offline – mit einem besonders kritischen Auge zu betrachten und zu hinterfragen.
Wenn sich dazu noch der Umstand gesellt, dass wir außer den Werbebotschaften nichts haben, um das Angebot zu prüfen, bevor wir uns zur Nutzung dieses Angebots verpflichten, dann grenzt ein derartiges Geschäftsgebaren meines Erachtens an unlauteren Wettbewerb.

Es zeigt sich auch an anderer Stelle das ungleiche Macht- und Informationsgefälle zwischen Diensteanbietern und -nutzern:
Wir Nutzer müssen dem Anbieter bereits bei der Anmeldung unsere Daten übergeben, erhalten dafür im Gegenzug jedoch lediglich einen ersten Einblick in Gestaltung und Umfang seines Angebots.
Ein schlechter Tausch, wie ich finde.

Für etwas derartig wertvolles wie meine Daten erwarte ich eine bessere Gegenleistung als nur einige überzogene Versprechungen und aufwändig gestaltete Grafiken.
Wir müssen unbedingt die Interessen des Diensteanbieters im Fokus behalten, wenn wir uns für einen Potemkinschen Anbieter entscheiden.

Es gibt nichts umsonst – ganz besonders im Internet gilt es, dies zu beachten.

Je aufwändiger die Theaterfassade des Potemkinschen Online-Dorfes gestaltet ist, desto höher wird der Preis, den wir als Nutzer dafür zahlen müssen.
Ganz besonderen Argwohn sollten wir hegen, wenn das Angebot als kostenlos angepriesen wird.

Genau dann kostet es uns besonders viel - nämlich unsere Daten, unsere Privatsphäre und letztlich unsere Freiheit.

Welcome to the Hotel California

Allzu oft zeigen sich Potemkinsche Plattformen als das Hotel California:

“You can checkout anytime you like but you can never leave.”

Damit schliesst sich der  Kreis zu meinem vorigen Artikel:
Wenn wir uns erst mal für einen Online-Dienst angemeldet haben, fehlt uns oft genug die Möglichkeit, diesen Dienst wieder zu verlassen.
Und selbst wenn wir uns abmelden – unsere Daten bleiben auf alle Fälle dort.
An dieser Stelle kommt mir ein Frühwerk der Ärzte ins Ohr:

“Du kannst gehen, aber deine Kopfhaut bleibt hier.”

Wir haben leider nie die Gewissheit, dass die Daten, die wir freiwillig preisgegeben haben – Harry Potter, ick hör dir trapsen:

“Flesh of the servant, willingly sacrificed, you will revive your master.”

– auch tatsächlich und unwiderbringlich gelöscht werden, wenn wir dies wünschen.

Alles, was wir online preisgeben, dient in erster Linie den Datenkraken – nicht uns.
Daher, überlegt euch wohl, was ihr preisgebt – schließlich wollen wir Lord Voldemort nicht zu neuer Macht verhelfen.

Gerade – und an dieser Stelle höre ich mich pessimistisch unken – Start-ups scheinen im epidemisch wuchernden Online-Markt nicht mit einem privatsphären-affinen Hintergrund gesegnet zu sein.
Ganz besonders, wenn es sich um Jungunternehmer neo-liberaler, transatlantischer Provenienz handelt.
Hier gilt der Datenschutz nur gerade so viel, dass er die Daten des Diensteanbieters, nicht jedoch die des Dienstenutzers schützt.

Darum nochmals meine dringende Exklamation:
Datensparsamkeit!

TL;DR

  • Außen hui – innen pfui: Strahlend schön nach außen – und dahinter nur Brachland
  • Handwerk hat goldenen Boden – IT nicht: Pfusch am Bau
  • Da hab ich mich wohl versprochen: Komm zu uns, wir haben Kekse!
  • It’s a Trap: Welcome to the Hotel California

Also, was machen wir mit den meta-virtuellen Potemkinschen Dörfern – denn virtuell sind Potemkinsche Dörfer ja ohnehin schon.

Kritisch sein.
Wachsam sein.
Weniges das glänzt ist tatsächlich Gold.

Fragen? Anmerkungen?

teilen + spenden

SHAPE your own security – Aufmerksamkeit ist der Preis der Datensicherheit

Conférence de Yalta, Février 1945

Oh, da war ich doch tatsächlich in meinem letzten Artikel zu voreilig, bzw. zu sehr in meinem eingeübten Muster eingefahren.
Die Schlangenöl-Serie ist noch gar nicht vollständig!
Oder sehen wir es anders:
Heute gibt es noch eine Zugabe – weil das Thema einfach viel zu schön ist, um ihm lediglich vier Artikel zu widmen.

Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge

Heute ist es mein erklärtes Ziel, nicht nur auf einer positiven Note zu enden.
Nein, heute soll der gesamte Artikel ein Quell der positiven Stimmung und der kraftvollen Ideen sein.
Ich sehe quasi schon die Einhörner zwischen den Zeilen hervorlachen.

Mit dem Titel meines heutigen Artikels lege ich bereits die Marschrichtung fest.
Geht es euch auch so, dass ihr das Gefühl habt, dass ich diesmal ordentlich in Richtung militärischer Nomenklatur unterwegs bin?
Wer fünf unterschiedliche militärisch belegte Begriffe findet, darf sich bei mir melden und erhält dafür meine Aufmerksamkeitsbelobigung am Band.

Wir sind es, die in erster Linie über Wohl und Wehe unserer Datensicherheit und Privatsphäre entscheiden.
Nun, damit sind wir doch geradezu für diese Schutzmaßnahme durch.

Noch nicht ganz, denn lediglich die Erkenntnis zu haben, dass unsere Handlungen kriegsentscheidend für unsere Privatsphäre und Freiheit sind, hilft uns nur bedingt weiter.
Immerhin bewahrt uns dieses Wissen davor, blindlings ins Verderben zu laufen.
Aber ich will euch ja Waffen und Munition für die Verteidigung an die Hand geben.
Für wesentlich halte ich daher eine fundierte Aufklärung der Bedrohungslage:

  • wo verlaufen die Frontlinien im Kampf um unsere Daten?
  • wie groß ist die Mannschaftsstärke der gegnerischen digitalen Armee?
  • welcher Art ist das digitale Waffenarsenal unserer Gegner?

Darum, liebe Leser, schlaut euch auf.
Fragt nach, interessiert euch.
Die zunehmende Digitalisierung unseres Alltags und unserer Gesellschaft ist weder aufzuhalten noch rückgängig zu machen.
Die Worte Winston Churchills

“[…] we shall fight on the beaches, we shall fight on the landing grounds, we shall fight in the fields and in the streets […]”

finden hier keine Anwendung, denn wir können dieser Entwicklung nicht auf dem offenen Schlachtfeld entgegentreten.
Wir müssen Guerilla-Taktiken anwenden.
Wir müssen die Schwächen des Gegners ausloten und zu unserer Stärke machen.
Ein Ausstieg aus der digitalen Entwicklung ist nur unter massiven Einbußen von Bewegungsfreiheit und gesellschaftlichem Kontakt möglich – auf Grönland vielleicht oder auf einer verträumten Insel im südlichen Pazifik.

Nein, unser Ziel muss sein, dass wir die technische Entwicklung und damit die gesellschaftlichen Auswirkungen kritisch begleiten.
Damit haben wir die Chance, den Kampf um unsere Daten für uns zu entscheiden.

Think first, click later

Als erste konkrete Handlungsanweisung für unseren Schutz vor digitalen Bedrohungen steht dieses Mantra.
Damit habe ich auch den aktuellen Bezug zur anstehenden Bundestagswahl – macht eine kleine Splitterpartei doch allen Ernstes Werbung mit dem Slogan:

“Digital first. Bedenken second.”

Wenn ich so etwas lese könnt ich grad auf der Sau naus.
Diese Sichtweise zeugt deutlich davon, gar nichts verstanden zu haben – zumindest nichts, was den Schutz der persönlichen Daten und die Privatsphäre angeht.
Möglicherweise haben Politiker, die eine derartige Aussage tätigen, sehr wohl den Wert von Daten verstanden – beispielsweise für die Wirtschaft – und die Digitalisierung liefert (nicht nur der Wirtschaft) wertvolle Information für Werbung, Manipulation und Einflussnahme.
Lediglich von einer solchen Geisteshaltung regiert werden will ich nicht.
Daher mein dringender Aufruf:

Bedenkt, was ihr tut - die digitalisierten Belege eurer Handlungen werden diese lang überdauern - trotz eines Rechts auf Vergessen in der EU-DSGVO.
Denn ein Recht führt nicht automatisch zu einer technischen Machbarkeit dieser politischen Forderung.

Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation

Eine der technischen Gegebenheiten des Internet ist, dass die direkte Kommunikation Angesicht-zu-Angesicht aufgehoben (bzw. verringert) wurde.
Dies hat den Vorteil, dass wir uns über Kontinente hinweg miteinander austauschen können.
Ein Nachteil liegt jedoch darin, dass die Hemmschwelle für kriminelle Aktivitäten sinkt, da das Opfer ja ebenfalls weit entfernt (also für den Täter quasi unsichtbar) ist.

Es ist deutlich leichter, eine Schadsoftware online zu verteilen, als einem zufälligen Passanten die Handtasche zu entreißen.
Wenn wir uns diesen Sachverhalt bei der Bearbeitung unserer elektronischen Post vor Augen führen, besitzen wir die nötige Aufmerksamkeit, um uns vor unliebsamen Auswirkungen einer solchen digitalen Landmine zu schützen.
Ein Großteil der Schadsoftware, sei es Ransomware, Spyware oder Crypto-Currency-Miner, kommen als Anhang einer E-Mail daher.

Darum meine Empfehlung in diesem Umfeld:

  • öffne keine Anhänge, die unaufgefordert kommen
  • klicke nicht auf Links, die unkommentiert geschickt werden
  • prüfe den Link, den du klickst

Mir ist klar, dass diese Forderungen mehr Arbeit bedeuten, mehr Aufmerksamkeit benötigen und daher mehr Zeit beanspruchen.
Aber, um es mit Mahatma Gandhi zu sagen:

“Es gibt wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen.”

Werkzeuge der digitalen Verteidigung

Unsere stärksten Verbündeten im Kampf um unsere Datenhoheit habe ich in den ersten Abschnitten dieses Artikels vorgestellt:
Unsere Aufmerksamkeit und die Kenntnis der Bedrohungen.
Da wir uns jedoch einer hochgerüsteten digitalen Armee gegenüber sehen, ist es ratsam, wenn wir uns auch das eine oder andere virtuelle Werkzeug zu eigen machen.

  • Add-ons für sicheres Surfen
    • Cookie Autodelete
      Hält uns lästige Cookies vom Hals, die unserer Surfverhalten verfolgen.
    • uBlock Origin
      Filtert Werbung von Webseiten – die oft als Träger von Schadsoftware dient.
    • NoScript
      Unterdrückt aktive Inhalte, bis wir diese – bewusst – zulassen.
      Schützt uns somit vor den Auswirkungen von Schadsoftware, die auf verseuchten Webseiten bereit gestellt wurde.
  • Eine Firewall
    Damit bekommen wir Kontrolle über die Datenflüsse in und aus unserem Rechner.
    Quasi die Grenzkontrolle zwischen unserem Datenzentrum und der weiten wilden virtuellen Welt.
  • Ein sicheres Betriebssystem
    Linux ist nicht gegen alle Angriffe gewappnet.
    Aber schon aufgrund der geringen Verbreitung von Linux im Desktopbereich ist dies ein Argument dafür, eben dieses Betriebssystem zu verwenden.
    Es ist schlicht nicht im Fokus der Angreifer.
    Und obendrein ist ein Rechner, der unter Windows läuft, schwieriger zu schützen als ein Rechner unter Linux.

Nutze nur, was du gerade brauchst

Die eigene Angriffsfläche maximal zu minimieren ist nicht nur im Krieg eine durchaus hilfreiche Überlebensstrategie.
Ein Infanterist, der mit ausgebreiteten Armen (ohne eine weiße Flagge zu schwenken) auf die feindlichen Linien zuläuft, hat ähnlich gute Überlebenschancen wie ein Schneeball in der Hölle.
Deswegen meine Empfehlung an dieser Stelle:

 Angriffsfläche minimieren.

Nutzt nur, was ihr wirklich benötigt.
Das trifft auf Software, die wir auf unseren Rechnern installiert haben, genauso zu, wie auf Schnittstellen, die wir bereit stellen.
Gerade jetzt hat der BlueBorne getaufte Angriffsvektor auf Bluetooth dies wieder drastisch zutage gefördert.
Bei BlueBorne handelt es sich um einen Angriff auf Bluetooth.
Egal auf welchem System.

Windows ist genauso betroffen wie macOS, iOS, tvOS, watchOS, Android und Linux.
Egal ob Smartphone, SmartTV, SmartWatch, Fitness-Tracker, Kaffeemaschine, Rolladensteuerung oder Laptop.

Es reicht für einen solchen Angriff bereits aus, wenn Bluetooth aktiviert ist.
Was hilft in allerster Linie:

 Bluetooth deaktivieren.

Ich weiß, ich weiß, ich höre das Heulen und Zähneknirschen.
Denn wenn ich Bluetooth deaktiviert habe, kann mein Fitbit mich überhaupt nicht mehr überwachen.
Ja, richtig.
Aber was ist dir lieber?
Keine Überwachung mehr oder keine Daten – weil dir diese gerade über deine offene Bluetooth-Verbindung gestohlen wurden?
Nun, es gibt Rettung – teilweise.
Updates.
Wenn das Gerät denn updatefähig ist – was entsetzlicherweise bei vielen IoT-Geräten tatsächlich nicht der Fall ist – trotz offener Bluetooth-Schnittstelle.

Be up to date – or else

Es ist doch vollkommen paradox:
Wir wollen immer zur Speerspitze der technischen Entwicklung zählen.
Wir wollen bei der Avantgarde, der Vorhut, der Pioniertruppe dabei sein.
Eine neue technische Entwicklung ist noch nicht ganz auf dem Markt, schon haben wir zugegriffen.
Wir sind so schnell, dass wir gestern schon haben, was erst morgen im Laden steht.

Aber – haben wir auch die Risiken im Blick, die wir uns damit einhandeln?
Wir sind die ersten, die durch das technische Minenfeld der Neuentwicklung gehen.
Wir schlagen den Brückenkopf für die Hersteller zu seinen Kunden.
Wir leisten die Pionierarbeit.
Aber, sind wir dafür auch ausreichend durch den Hersteller vorbereitet und geschützt?
Oder schickt uns dieser ohne Marschgepäck und ausreichende Feindaufklärung in vollkommen ungesichertes Terrain?
Und hier greift das Paradoxon:
Wir erhalten zwar den funktional neuesten heißen Scheiß – aber die Systeme dahinter sind weit offen für Angriffe.

Daher müssen wir stets die aktuellsten Softwareversionen einsetzen, die uns die Hersteller bereit stellen können.
Denn ohne aktuelle Systeme nützt uns die modernste Technik nichts.

Wirklich, das ist die wichtigste technische Verteidigungslinie, die wir aufrecht erhalten müssen.
System-Updates.

Wenn wir zulassen, dass dieser vorgelagerte Schutzwall fällt, dann bieten wir dem Feind eine ungeschützte Flanke, die er gnadenlos angreifen wird.
Und dann ist Polen offen.
Die Softwarehersteller liefern nicht aus Jux und Dollerei monatlich – oder besser noch wöchentlich (bisweilen sogar täglich) – Flicken für ihre umfangreichen Softwareteppiche.
Die meisten Softwarepakete wirken mittlerweile wie eine gut eingetragene Jeans in der dritten Generation einer Hippie-Familie.
Aber – wäre das nicht so, würde das Softwarepaket eher einer rostigen Gieskanne auf dem Grund des Neckars gleichen.
Der technisch interessierte Leser wird sich an dieser Stelle möglicherweise fragen:
Muss das so sein?
Meine Meinung dazu ist in diesem Fall recht klar und recht radikal:
Nein.

In einer idealen Welt wäre Software stabil, modular und sicher entworfen und klar für einen Zweck programmiert.
Leider leben wir nicht in einer idealen Welt.

Sicherheit kostet Geld und Zeit.
Und in einer Welt, in der Time-to-Market zählt und Kundendaten bestenfalls als Ölquelle angesehen werden, wird wenig Wert auf Security-by-Design und Privacy-by-Default gelegt.
Der Schutz der Privatsphäre wird immer noch als Kostenfaktor (und nicht etwa als Wettbewerbsvorteil) angesehen.
Ein Fehler, der unserer Wirtschaft noch schwer auf die Füße fallen wird.

In der wirklichen Welt müssen wir eben mit Software leben, die aussieht wie der Quilt einer Amish-Familie in der fünften Generation.

TL;DR

  • Wir sind unsere stärkste Armee: Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge
  • Denken ist wie googeln – nur krasser: Think first, click later
  • Weaponized Communication: Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation
  • Wir brauchen mehr als einen Hammer: Werkzeuge der digitalen Verteidigung
  • Reduktion der Angriffsfläche: Nutze nur, was du gerade brauchst
  • Software will gepflegt sein: Be up to date – or else

Damit haben wir uns durch das weite Feld der falschen Sicherheitsversprechen gekämpft.
Wir sind gestählt durch neue Erkenntnisse.
Wir sind gerüstet für eine digitale Zukunft.
Wir haben neue Strategien für die Verteidigung unserer Privatsphäre gefunden und neue Waffen gegen die Angreifer auf unsere digitale Freiheit kennen gelernt.
Kämpfen wir dafür.
Es geht um uns.

Fragen? Anmerkungen?

teilen + spenden

Gefühlte Sicherheit ist ein echtes Risiko

Heute sammle ich meine Gedanken zum größten Risiko, welches Schlangenöl für uns Nutzer darstellt:
Unser falsches Gefühl von Sicherheit, wenn wir eine AV-Lösung als Teil (oder noch schlimmer – als einziges Element) unserer Sicherheitsstrategie einsetzen.

Habe ich in meinem letzten Artikel die technischen Unzulänglichkeiten von Schlangenöl dargestellt, konzentriere ich mich heute auf das mit Abstand schwächste Glied der Sicherheitskette beim Schutz unserer digitalen Habseligkeiten.
Uns.
Den Nutzer, das nicht zu kontrollierende Element zwischen Tastatur und Schreibtischstuhl.

Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette

Wir können noch so viel technische Schutzmaßnahmen, politische Regelungen und gesellschaftliche Vereinbarungen einsetzen, dass wir uns im technisch-regulatorischen Dickicht verlieren – wenn der Mensch nicht vermag, nicht versteht oder schlicht nicht will, werden all diese Maßnahmen nicht wirken.
Oder noch schlimmer, sie werden die Situation seiner Daten schlicht verschlimmern.
Der Mensch ist letztendlich der alles entscheidende Faktor beim Schutz (oder eben beim Verlust) seiner Daten.
Wir können versuchen, mit technischen Mitteln ein Korsett von Sicherheitsmaßnahmen um unser digitales Handeln zu schnüren.
Aber wir werden es niemals schaffen, alle menschlich-irrationalen Handlungen automatisiert abzufangen.
Wenn der Mensch aus Unkenntnis, Unwissenheit oder Unwillen diese technischen Maßnahmen umgehen will, wird ihm das gelingen.
Ob an dieser Stelle jetzt die tatsächliche (oder auch nur die gefühlte) Unbequemlichkeit – oder der reine Wille, gegen eine technische Bevormundung zu rebellieren – steht, ist vollkommen belanglos.
Mir ist wichtig, hier klar zu vermitteln, dass wir als Mensch sowohl das Vermögen als auch die Pflicht haben, unsere digitale Identität zu schützen.
Werkzeuge, auf die wir vertrauen und die wir zum Schutz unserer Daten einsetzen, sind nur so gut wie das Wissen des Nutzers um dieses Werkzeug.
Ein Hammer ist ein fantastisches Werkzeug.
Allerdings nur für jemanden, der weiß wie man mit einem Hammer umgehen muss.
Für jemanden, der sich nicht mit der – zumindest grundlegenden – Funktionsweise eines Hammers auskennt, ist ein Hammer bestenfalls nutzlos.
Schlimmstenfalls ist ein Hammer eine sehr gefährliche Waffe – sowohl gegen den Anwender eines Hammers als auch alle anderen Umstehenden.
Was können wir nun – schlussfolgernd aus diesen Zeilen – tun, damit wir uns nicht ständig den digitalen Hammer beim Versuch, unsere Daten diebstahlgeschützt an unsere sichere Zimmerwand zu nageln, auf den virtuellen Daumen hauen?
Wir können uns weiterbilden.
Wir können lernen, wie wir selbstverantwortlich mit unseren Daten umgehen.
Oder wir können Verzicht üben.
Wir legen den digitalen Hammer beiseite, nageln unsere Daten nicht mehr an alle möglichen öffentlichen Wände und beschränken uns darauf, einfach weniger zu tun.
Das ist ein legitimes Vorgehen.
Niemand zwingt uns, auf jeden durch den Bahnhof des digitalen Weltdorfes rasenden Hype-Zug aufzuspringen.
Wir müssen nicht jede neue technische Möglichkeit ausschöpfen, um mit den Menschen, die uns wichtig sind in Kontakt zu bleiben.
Wir haben die Wahl.
Aber wenn wir uns dazu entscheiden, technisch modern und digital hochgerüstet zu agieren – dann haben wir auch die Pflicht und Schuldigkeit, zu verstehen, was wir tun.
Deswegen mein Aufruf an dieser Stelle:

Bilden wir uns weiter.

Gefühlte Sicherheit ist ein echtes Risiko

Der Hauptaspekt, den ich in diesem Artikel beleuchten will, ist das Risiko, welchem wir uns aussetzen, wenn wir vermeintliche Sicherheitstechnologien wie AV-Software unreflektiert einsetzen.
Wenn wir uns als Nutzer einer solchen Sicherheitssuite auf die Werbeversprechen der Schlangenölhersteller blind verlassen, lassen wir uns auf einen Tanz im Minenfeld ein.
Mit verbundenen Augen.
Und mit Kopfhörern auf den Ohren.
Und mit Schneeschuhen an den Füßen.
Es ist eine tödliche Illusion von Sicherheit, der wir uns digitaltechnisch hingeben.
In dem Gefühl vermeintlicher Sicherheit erliegen wir allzu leicht der Tendenz, gänzlich unsicheres Verhalten zu etablieren.
Wenn wir allzu unreflektiert einem System, einer Technologie vertrauen, dann ist dieses Verhalten stets zu unserem Schaden.
Wir sollten immer hinterfragen, was der Lieferant des Systems (oder der Technologie) davon hat, uns dieses System zur Verfügung zu stellen.
Ausser Geld damit zu verdienen.
Weiterhin tun wir gut daran, wenn wir etwas über die Wirkungsweise dieses Systems lernen und damit besser verstehen, wie – und ob überhaupt – dieses System für uns zuträglich ist.
In unserem konkreten Fall geht es hier um die Wirkweise von AV-Systemen – deren Schwächen habe ich in meinem letzten Artikel dargestellt.
Wenn wir nun Kenntnis darüber haben, wie AV unsere Systeme schützt und welche Lücken es hat, dann sind wir in der Lage, eine fundierte Entscheidung darüber zu treffen, wie sehr wir dieser Technologie trauen und ob wir einem solchen System unsere Daten anvertrauen wollen.
Hinterfragen wir nicht und vertrauen wir lediglich den Werbeaussagen der Hersteller, dann sind wir nicht weiter als unsere altehrwürdigen Vorfahren, die Blitz und Donner auf den Zorn der Götter zurück führten.
Mir ist klar, dass die Sichtweise, alles kritisch zu hinterfragen, was wir nutzen, deutlich mehr Zeit in Anspruch nimmt, als Aussagen von Werbung und Politik unkritisch anzunehmen.
Aber wenn wir beginnen, uns mit den Aktivitäten und Anwendungen unseres täglichen Lebens bewusst auseinander zu setzen, dann gewinnen wir mehr, als es uns an Zeit kostet:

Wir gewinnen Freiheit, Erkenntnis und die Selbstbestimmung über unser Leben.

AV-Software als moderner Ablassbrief

Gerade jetzt aktuell im Lutherjahr – da drängt sich der Vergleich von Schlangenöl zu den Ablassbriefen der vorreformatorischen Kirchengeschichte förmlich auf.
Mir erscheint das Verhalten der Nutzer von AV-Software vergleichbar zu sein mit dem Lebenswandel von solventen Kirchgängern der vorlutherischen Zeit:
Mächtig die Sau rauslassen, anschließend einen Ablassbrief kaufen und damit die Seele wieder freikaufen – Verzeihung, reinwaschen.
Die erklecklichen Lizenzgebühren für Schlangenöl scheinen mir an dieser Stelle das analoge Verhalten bei den Nutzern auszulösen:
Zahle ich schon Jahr für Jahr meine Ablassgebühren an die Schlangenölhersteller dann kann ich ja wohl auch unbesorgt im Internet herumsudeln – ich bin ja geschützt und meine Seele – respektive meine Daten – bleiben rein.
Beides – Ablassbrief und AV-Software – gehen auf ein verschobenes Verständnis hinsichtlich unseres Verhaltens zurück.
Wir können uns nicht von Schuld freikaufen – wir müssen zu dem stehen, was wir tun.
Verhalten wir uns unmoralisch, dann müssen wir mit den Konsequenzen leben – wir können unsere Seele nicht von Schuld freikaufen.
Martin Luther hat das folgerichtig erkannt und den Ablasshandel angeprangert – ganz wortwörtlich.
Verhalten wir uns im Internet datenunmoralisch, dann müssen wir lernen, mit den Folgen umzugehen.
Auch hier schützt uns kein moderner Ablassbrief in Form von Lizenzgebühren an Schlangenölverkäufer.
Das müssen wir – 500 Jahre nach Martin Luther – wohl erst erneut schmerzhaft lernen.
Wir können uns nicht freikaufen von unserem Fehlverhalten.

Aber wir können lernen, Fehlverhalten zu vermeiden und uns statt dessen datenmoralisch gut zu verhalten.

Blindes Vertrauen auf Technik macht uns blind im Handeln

Wenn wir blind darauf vertrauen, dass die Technik uns schützt, führt dies zu blindem und unvorsichtigem Handeln.
Es kann sein, dass wir ungestreift durch das virtuelle Minenfeld navigieren – schließlich findet ja auch das blinde Huhn seinen Korn und höhere Fügung mag uns auch leiten – gleichwohl, ich glaube nicht daran.
Blindes Vertrauen in dieser virtuellen Welt ist offenen Auges ins Verderben zu wanken.
Wir müssen wachsam sein – das ist der Preis für unsere Privatsphäre.
Technikgläubigkeit ist Verantwortungslosigkeit.
Wir können natürlich so handeln – aber dann dürfen wir nicht jammern, wenn unsere Privatsphäre geraubt wird und wir unsere Freiheit verlieren.

Wenn wir im Auto einen Sicherheitsgurt anlegen, heißt das auch nicht, dass wir immer mit 180 km/h über die Straßen rasen können.
Vertraut nicht blind auf die Technik – seid achtsamer im digitalen Miteinander.

Weil alles schnell gehen kann, heißt das nicht, dass wir alle Vorsicht außer acht lassen sollen.

Straßenverkehr und Führerschein

Was hat das mit Schlangenöl und echtem virtuellem Risiko zu tun?
Für den einen Bereich benötigen wir eine Fahrerlaubnis, vorherigen Unterricht und eine bestandene Prüfung – für den anderen Bereich können wir ohne jede Ahnung, Ausbildung und Information einfach mal loslegen – und uns dabei schlimmstenfalls vollkommen nackt machen.

Mir ist es schleierhaft, warum wir eine Technologie, die unsere gesamte Identität und unsere Zukunft beeinflussen, verändern und sogar massiv schädigen kann, vollkommen ohne den Nachweis von Grundkenntnissen einsetzen (dürfen).
Aktuell fordert die Gesellschaft einen derartigen Privatsphären-Führerschein nicht.
Aber wir können uns selbständig weiterbilden – oder bei mir etwas Analoges erlernen.

Das heißt nicht, dass wir jetzt alles allein lernen müssen - wir können jemanden fragen.

Was also kann ich tun?

Eines von zwei Versprechen aus meinem letzten Artikel halte ich ein:
Ich ende auf einer positiven Note!
Wer es bis hierher geschafft hat, der hat ein geistig-moralisches Gutsele in Form von Empfehlungen verdient. Was also können wir tun, um sicher im Internet unterwegs zu sein, ohne uns auf die Technik-verliebte Schlangenöllösung zu verlassen.

  • Nachdenken:
    Innehalten und Gehirn einschalten – anstatt jeder Verlockung im Internet unreflektiert zu folgen.
  • Nachprüfen:
    Stellen wir uns die folgenden Fragen, bevor wir auf einen Link klicken oder den Anhang öffnen.
    1. Kenne ich den Absender?
    2. Passt der Anhang?
    3. Zeigt der Link auf die Seite, die ich erwarte?
  • Nachfragen
    Und wenn etwas unklar ist, einfach nachfragen.
    Ein kurzer Anruf beim Absender genügt, um zu prüfen, ob die E-Mail mit dem unerwarteten Anhang wirklich von diesem Absender kommt.
    Wenn etwas unklar ist – schickt mir eine Mail.

Wir können nicht alles wissen – und selbst wenn wir einen Führerschein gemacht haben – wissen wir immer noch nicht alles über Autos und den Straßenverkehr.
Auch hier haben wir die Möglichkeit, einfach nachzufragen – warum sollten wir dies im Bereich Informationsverarbeitung nicht in dieser Form praktizieren?
Der IT-Bereich ist schließlich viel komplexer – und betrifft darüber hinaus auch deutlich mehr Gesellschaftsbereiche als der Straßenverkehr.

TL;DR

  • Der Mensch steht im Mittelpunkt – und damit der Technik im Weg: Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette
  • Sicherheit ist ein Gefühl: Gefühlte Sicherheit ist ein echtes Risiko
  • Hommage ans Lutherjahr: AV-Software als moderner Ablassbrief
  • Es geht hier um Wissen – nicht um bloßes Vertrauen: Blindes Vertrauen in Technik macht uns blind im Handeln
  • Analogie im Alltag: Straßenverkehr und Führerschein
  • Some Good Things: Was also kann ich tun?
  • Ending on a positive note: Was also kann ich tun?

Und wieder mein Aufruf:
Erhebt euch aus eurer selbstverschuldeten Unwissenheit.
Macht euch Gedanken, bildet euch weiter.
Ihr seid eurer bester Schutz vor Identitätsdiebstahl und Freiheitsverlust.

Fragen? Anmerkungen?

teilen + spenden

Warum AV nicht funktioniert

Heute sammle ich einige Gedanken hinsichtlich Schlangenöl (und stelle diese auch vor – heute mal wirklich ausführlich…).
Meine These:
Antiviren-Software taugt nicht als System zum Schutz unserer IT-Systeme und damit unserer Daten.

Was Schlangenöl kann… nicht!

Zunächst einmal betrachten wir kurz, was AV – besser deren Hersteller – uns versprechen zu tun; vor welchen Gefahren sie uns bewahren wollen.
Dieser Leistungsumfang – so ist mein Eindruck – geht mittlerweile weit über das klassische Virenscannen hinaus.
Ich schwanke an dieser Stelle schon zwischen den Gedanken

  • Schuster, bleib bei deinen Leisten.” und
  • Aha, ham se jetzt doch erkannt, dass AV nicht mehr der cybertechnischen Weisheit letzter Schluss ist?

Also, hier meine unvollständige Liste der vollmundigen Versprechungen, die uns die Schlangenölhersteller offerieren:

  • Schutz vor Ransomware
  • Schutz vor Zero-Second (es reicht hier augenscheinlich nicht mehr, von Zero-Day zu sprechen – es muss hier in Ich-hab-aber-den-Längeren-Manier noch einer draufgelegt werden) Angriffen
  • Auto-Updater
  • Daten-Shredder
  • Sichere Zahlungen
  • Passwort-Manager
  • Anti-Spam
  • Firewall
  • Verhaltensschutz
  • Blocking microfone and webcam access (Kaspersky): same shit as Samsung-TVs – wenn du den Bösen blocken willst, musst du immer überwachen
  • Regulate the use of apps and check your childs location (überwachung pur!)

Na, da bieten die Schlangenölverkäufer doch fast die eierlegende Wollmilchsau an – es fehlt eigentlich nur noch, dass es auch das Auto waschen und die Hausaufgaben der Kinder kontrollieren kann.
Aber was nicht ist kann ja noch werden.

Wenn ich mir diesen Wust an versprochenen Funktionalitäten und dysfunktionalen Versprechungen betrachte, fühle ich mich an Smartphones erinnert:
Die versuchen sich auch an jeder möglichen und unmöglichen Funktion – und scheitern grundsätzlich an allem.
Ganz besonders an ihrer Grundfunktionalität:
der Telefonie.

Wenn man alles tun will, erreicht man im Endeffekt – gar nichts.

Ich will hier jedoch kein Marketing-Bashing betreiben – Werbung ist immer übertrieben.
Aber für mich ist die Grenze erreicht, wo es von schlichter Übertreibung zur Gefährdung der Anwender eines Produktes kippt.
Und ich sehe bei Schlangenöl diese Grenze als überschritten an.
Schlangenöl übertreibt nicht einfach nur, was es alles an Leistungen bietet – nein, der Einsatz von AV auf einem Computersystem schwächt dieses System und gefährdet damit den Anwender.

Was Schlangenöl anderen überlassen sollte

Ausgehend von der Liste der mannigfaltigen Versprechungen der Schlangenölbranche liefere ich jetzt sinnvolle und bessere Alternativen zu den einzelnen großspurigen Versprechungen der Alles-aus-einer-Hand-Lösungen.

  • Daten-Shredder:
    Um Daten sicher – und unwiderbringlich – zu löschen, brauchen wir uns nicht in die Hände der Schlangenölbranche zu werfen.
    Es gibt für diesen Anwendungsfall dedizierte Lösungen, die diese Aufgabe schnell, effektiv und ohne den unnötigen Overhead einer Alles-in-Einem-Anwendung erledigen.
    Unter Windows empfehle ich hier DBAN (Darik’s Boot and Nuke)
    Für macOS und Linux können wir shred und wipe einsetzen.
  • Sichere Zahlungen:
    Was wollen die Schlangenöler hier eigentlich anbieten?
    Das ist auch ein weiterer Punkt, der mich ungemein ärgert:
    Der Nutzer einer AV-Suite wird dumm gehalten.
    Anstatt zu erklären, worauf es denn bei sicheren Zahlungen im Internet ankommt – nämlich eine geschützte HTTPS-Verbindung mit einem gültigen und vertrauenswürdigem Zertifikat – verschleiert die AV-Lösung dieses Wissen vor dem Anwender und spiegelt dem unbedarften Nutzer vor, die Sicherheit käme durch das Schlangenöl.
    Das ist aber nicht so.
    Für die Sicherheit sind die Shop-Betreiber bzw. die entsprechenden Banken und Finanzdienstleister verantwortlich.
  • Passwort-Manager:
    Das ist ein Anwendungsfall, den wir auf gar keinen Fall dem Schlangenölhersteller als Aufgabe übertragen wollen.
    Das wäre so, als würden wir einem dubiosen Sicherheitsdienst die Schlüssel zu unserem Haus, unsere Autoschlüssel, die Kreditkarten und unsere EC-Karte inklusive PIN überlassen.
    Ein Passwort-Manager ist eine derart sensible Angelegenheit, die vertrauen wir maximal einer eigenständigen, vollständig offenen und definitiv offline arbeitenden Anwendung wie KeePass/KeePassX an.
    Wenn wir unsere Passwörter einer “Rundum-Glücklich”-Lösung wie Schlangenöl anvertrauen, dann wissen wir schlicht und ergreifend nicht, was mit den Daten passiert.
    Schlangenöl ist Closed Source – wir können die Quelltexte nicht einsehen – und wir haben dadurch einfach keinen Einblick in das, was im Hintergrund mit unseren Daten geschieht.
    Darüber hinaus ist eine AV-Lösung dauerhaft mit dem Internet verbunden (ansonsten funktioniert das ganze Spiel nämlich nicht) und wir haben keine Kontrolle darüber, welche Daten wohin gesendet werden.
    Vertraue niemandem!
    Agent Mulder hat damit ja so recht.
  • Firewall:
    Eins haben inzwischen alle Hersteller von Betriebssystemen verstanden, nämlich die Notwendigkeit, dass eine Firewall Bestandteil des Betriebssystems sein sollte – und generell bereits ist.
    Ist es das nicht, lässt es sich einfach als eigenständige Lösung nachträglich installieren.
    Das ist einfach keine der Aufgaben, die von einer Schlangenöllösung übernommen werden sollte.
    Nehmen wir einmal den folgenden – gar nicht so weit hergeholten – Fall an:
    Ein System wird von AV (inklusive Firewall) “geschützt”.
    Ein Angreifer schafft es, diese AV ausser Kraft zu setzen (was oft einer der ersten Schritte ist, die ein Angreifer ausführt).
    Dadurch setzt der Angreifer die (quasi “integrierte”) Firewall ebenfalls ausser Kraft.
    Schade.
    Wäre die Firewall eine eigenständige Anwendung, hätte es der Angreifer bedeutend schwerer, diesen echten Schutzfaktor auszuschalten.
    Wenn der Angreifer die AV ausschaltet, ist die Firewall grundsätzlich mal nicht automatisch mit betroffen (es sei denn, es handelt sich eben nicht um eine eigenständige Lösung).
  • Anti-Spam:
    Der Schutz vor Spam-Mails ist ein weiteres Beispiel dafür, dass die Schlangenölhersteller (wie so viele andere auch) mittlerweile im Revier anderer Software-Hersteller wildern.
    Anti-Spam wird dort eingesetzt, wo Spam auftritt:
    Im Mailclient.
    Und dieser kümmert sich bestenfalls auch genau darum.
    Jeder Mailclient – sei es Outlook, Thunderbird oder welcher Mailclient auch immer den Postdienst versieht – er hat bereits die eine oder andere Anti-Spam-Implementierung eingebaut.
    Dafür brauchen wir keine Schlangenöl-Suite.
    Brauchen wir einfach nicht.
  • Verhaltensschutz:
    Achja, bei Verhaltensschutz muss ich irgendwie an die “No loitering“-Schilder denken.
    Verhaltensschutz wird zunehmend auch im Bereich Video-Überwachung getestet – und funktioniert dort ebenso schlecht wie beim Schlangenöl.
    Beim “Verhalten” ist eines der Hauptprobleme, dass “normgerechtes” Verhalten erst mal definiert und programmiert sein muss, um Auffälligkeiten im Verhalten zu erkennen.
    Und da fängt das Problem schon an.
    Was ist denn “normgerechtes” Verhalten (Bereich Video-Überwachung) eigentlich genau?
    Wenn jemand humpelt (sich also möglicherweise außerhalb der “Bewegungs-Norm” bewegt), gibt es dann Grund zur Sorge?
    Ist derjenige dann potenziell gefährlich?
    Vielleicht weil er schwer an seinem Bombenrucksack trägt, oder weil er ein Steinchen im Schuh hat?
    Oder doch, weil er (oder sie) sich im engen Schuhwerk Blasen gelaufen hat?
    Wenn jemand auf dem Boden sitzt, “loitert” er dann gerade (rechtswidrig) oder ruht er sich vielleicht nur aus?
    Und genauso verhält es sich mit Software.
    Was ist denn hier schon verhaltensauffällig, was ist noch normales Verhalten?
    Ich finde ja den Datenhunger von Anwendungen wie WhatsApp extrem verhaltensauffällig – dies sieht Schlangenöl jedoch anders.Und auch an anderer Stelle können wir etwas über “Verhaltensprüfung” lernen – Dieselgate.
    Die Softwaresteuerung von Dieselmotoren erkannte ganz zuverlässig, wenn diese sich im Prüfungsmodus befanden – und haben sich dann ganz unauffällig verhalten.
    Und wir können wohl annehmen, dass dies den Herstellern von Schadsoftware auch gelingt – und der Prüfung durch Schlangenöl ganz normgerechtes Verhalten präsentiert.
  • Webcam- und Microphone-blocking:
    Ja, jetzt wird’s ja ganz gruselig – nun will das Schlangenöl also das überwachen, was ich möglicherweise komplett verhindern will:
    Das ungewollte Ausnutzen von Webcam und Mikrofon.
    Das ist keine Funktion, die wir – ich wiederhole mich – einer Software überlassen, die Closed Source ist und dauerhaft am Internet hängt und wir nicht wissen, wann diese Daten überträgt und wohin.
    Bei SmartTVs klemmen wir diese Funktion ja auch vollständig ab – weil wir nicht wollen, dass wir rund um die Uhr abgehört oder beobachtet werden – und jetzt sollen wir diese Kontrolle einer Software überlassen, von der wir nicht wissen, was sie im Hintergrund so alles macht?
    Niemals! sage ich.Nochmals zur Erklärung:
    Damit eine Software mitbekommt, wann jemand – unberechtigt – Zugriff auf Funktionen meines Computers hat, muss diese Software die Funktion (in diesem Fall Webcam und Mikrofon) dauerhaft selbst überwachen.
    Das will ich nicht.
    Der beste Schutz vor Beobachtung durch meine Webcam ist es, diese einfach abzukleben.
    Ganz analog.
  • Kinder überwachen:
    Also, wenn ich damit anfange, die Anwendungen und Geräte meiner Kinder zu überwachen, warum dann nicht gleich so weit gehen und ihnen einen Chip implantieren?
    Das hat nichts mit Sicherheit zu tun – das ist neurotischer Überwachungswahn, erwachsen aus einem falsch verstandenen Wunsch, unsere Kinder vor Schaden zu bewahren.Aber so funktioniert das nicht.
    Mit diesem eklatanten Verstoß gegen die Privatsphäre unserer Kinder und einem kaum wieder gut zu machenden Vertrauensbruch treiben wir unsere Kinder mit einem derartigen Verhalten nur noch weiter von uns fort.
    Wir müssen Kinder begleiten und durch das Vorleben von beispielhaftem Verhalten zu selbstbewussten Nutzern digitaler Kommunikationsmittel erziehen.
    Wir dürfen sie nicht durch Angst und Misstrauen zu obrigkeitshörigen Sicherheitsfanatikern verbiegen.
  • Sandboxing
    Unter Sandboxing verstehen wir das Ausführen verdächtiger Dateien in einem geschützten Bereich – eben einer Sandkiste.
    Wir denken dabei nicht an eine Sandkiste im Kontext von Förmchen und Sandkuchen (auch nicht den Sandkuchen – verfressene Bande!).
    Sondern wir stellen uns dabei eine Sandkiste im Hinblick auf Blindgänger und Entschärfung von illegalen Feuerwerkskörpern vor.
    Kra-Wumm! eben.
    So eine Sandkiste haben wir im Hinterkopf, wenn wir von “Sandboxing” reden.
    Das Sandboxing ist aktuell der neueste “heiße Scheiß” der Schlangenölbranche – und war ursprünglich als der Heilsbringer beim Schutz gegen Schadsoftware gedacht – und wurde dann in der Branche rumgereicht wie der heilige Gral.
    Dummerweise eben der schön verzierte, golden glänzende.
    Und wir wissen ja, was mit Walter Donovan passierte, als er vor Indiana Jones aus diesem Becher getrunken hat…
    Der heilige Gral der Schlangenölbranche – äh, moment, die Sandkastenspiele – haben vier Probleme.Raum, Zeit, interdimensionale Wurmlöcher und schlechte Laune.
    Nee, das jetzt nicht – also ist das zumindest noch niemandem auf die Füße gefallen.Das erste Problem von Sandboxing ist die Erkennung von Malware, die ich in der Sandbox detonieren will (das heißt wirklich so – kein Spaß).
    Wir können ja schließlich nicht alles erst in der Sandbox ausführen, um bei 95% der Dateien festzustellen, ah ja, alles in Ordnung.
    Pack deine Förmchen zusammen, raus aus der Sandkiste, genug gespielt – die nächste Datei bitte.
    Also brauchen wir hier wieder – ja, richtig – eine Verhaltenserkennung.
    Und die ist nachgewiesener Maßen miserabel.
    Was zur Folge hat, dass wir entweder mehr Dateien prüfen müssen (kostet Zeit) oder uns Schadsoftware durchrutscht (kostet auch Zeit – nur eben etwas später – und unsere Daten).
    Beides blöd.Das zweite Problem dabei ist, dass Schadsoftware erkennt, dass es in einer Sandkiste spielen soll.
    Und was macht die Schadsoftware?
    Ist ja nicht blöd, hat sich vorher mit seinen Kumpels über Dieselgate unterhalten und versteckt sein schadhaftes Verhalten (und grinst dabei schändlich).
    Ergo, Sandkiste bringt wieder nix.
    Und das dritte Problem – so eine Sandkiste ist eben auch nicht vollkommen sicher.
    Da fliegen beim Bomben entschärfen schon mal Splitter aus der Sandkiste raus – da will man am liebsten möglichst weit entfernt sein, sonst kann das böse ins Auge gehen.
    Und solches Verhalten (Ausbüchsen aus der Sandkiste, “Splitterwirkung” und ähnliches) kann Schadsoftware mittlerweile auch.
    Und nicht nur Splitterregen.
    Sicherheitsforscher haben mittlerweile erfolgreich den Ausbruch von Schadsoftware aus einer Sandbox nachgewiesen.
    Und dann ist die Schadsoftware halt mal ganz eifrig in unserem ganzen System zugange.Das verheerendste Problem von Sandboxing sitzt jedoch vor dem Computer.
    Der Anwender.
    Dieser lässt sich nämlich gestützt von der Fehlannahme, er sei jetzt durch eine Sandbox vor den schadhaften Auswirkungen von Malware geschützt, zu unsicherem und nachlässigen Verhalten verführen.
  • Auto-Updater
    Ach, seufz.
    Was für eine hanebüchene Idee (vermutlich mal wieder der Bequemlichkeit wegen).
    Ein Autoupdater.
    Für alle Programme.
    Da kann ich mir gar nicht vorstellen, was da schief gehen soll.
    Zum einen legt dieses Vorgehen wieder zuviel Macht in eine Hand.
    Warum soll jetzt meine AV-Suite entscheiden, wann die Software auf meinem System aktualisiert wird?
    Das sollen die Programme selbst erledigen – die wissen am Besten, wann eine neue Version erschienen ist.
    Zu behaupten, AV könne dies schneller erledigen als die Hersteller der jeweiligen Programme, muss zwangsläufig gelogen sein, wer könnte dies wohl besser als der Hersteller ???”Mit dem automatischen Software Updater sind Sie den neuesten Updates Ihrer anderen Apps voraus.” – Avast- das ist einfach eine vollkommen lächerliche und haltlose Werbelüge.
    Was ist, wenn die AV plötzlich einfach böse wird und schlicht behauptet, es gibt keine Updates für meine Programme?
    Oder plötzlich gefälschte Updates verteilt?
    Man würde dies als Anwender spät – oder gar nicht bemerken.

Ich habe mehrfach als Alternative zu einigen Ideen der Schlangenölbranche dedizierte Lösungen empfohlen.
Dies hat natürlich zur Folge, dass wir Bequemlichkeit einbüßen – aber wir gewinnen viel mehr dafür.
Wissen und Kenntnis.
Und das sind die wahren Waffen, die uns im Kampf gegen Schadsoftware helfen.

Das System ist kaputt – vergiss das System

Was aber sind die grundlegenden Probleme, weshalb Antiviren-Software nicht funktioniert?
Ich breche es auf die folgenden sieben Punkte herunter – die sieben Systemschäden.

  1. Signaturbasiert erkennt nur Bekanntes
    Klassischerweise erkennt Schlangenöl Schadcode dadurch, dass diese Schadsoftware von AV-Herstellern entdeckt wurde.
    Daraufhin bekommt dieser Schadcode eine Signatur – einen eindeutigen Identifikator.
    Diese Signatur wird an die Anwender des Antivirenprogramms per online-update verteilt, etwa zwei- bis viermal täglich.
    Damit sind die AV-Programme in der Lage, neu entdeckte Schadprogramme zu erkennen.
    Und das ist das Problem.
    AV erkennt nur Bekanntes.
    Eine Schadsoftware muss als solche erkannt und katalogisiert werden – alle anderen Verfahren (Verhaltensbasiert und Heuristiken – also Berechnungen von möglicher Schadhaftigkeit) sind einfach zu ungenau und führen entweder zu Fehlalarmen oder lassen Schadcode unerkannt passieren.
  2. Signatur-Updates sind zu langsam
    Dieses Problem hängt mit dem ersten Problem von AV zusammen.
    Die Zeitspanne zwischen Entdeckung einer neuen Schadsoftware und der Verteilung neuer Signaturen ist viel zu groß.
    Selbst im theoretischen kurzen Update-Intervall von zwei Stunden ist diese Zeitspanne lang genug, um selbst vermeintlich AV-geschützte Systeme mit dieser neuen Schadsoftware zu infizieren.
    Wir müssen im Hinterkopf behalten, wir bewegen uns im Internet.
    Ein weltumspannendes Netzwerk von Computernetzwerken, in welchem Daten in Sekunden übertragen werden können.
    Und dies nutzen die Hersteller von Schadsoftware aus.
    Erkannt wird ihr Schadcode (früher oder später).
    Aber der kurze Zeitraum zwischen Erkennen der Schadsoftware, Erstellen der Signatur und Update reicht aus für eine Infektion.
  3. Codesigning ist auch keine Lösung
    Codesigning – das “Unterschreiben” von Software – ist eine weitere angebliche Wunderwaffe der Software-Hersteller.
    Dabei soll sichergestellt werden, dass geprüfter und schadsoftwarefreier Code durch eine “Unterschrift” im Quelltext als sicher eingestuft wird.
    So eine im Quelltext signierte Software wird von AV besonders wohlwollend betrachtet und nahezu ungeprüft durchgewunken.
    Leider wurde das System Codesigning schon erfolgreich gebrochen.
    Dabei wurde unter einer gültigen Signatur Schadsoftware verteilt.
    Und damit hebelt man das System AV vollständig aus.
  4. Schlangenöl ist Software
    Und Software schwächt das System.
    Klingt fies, ist es auch.
    Aber wir müssen immer im Auge behalten, dass jede Software Fehler hat.
    Und Fehler werden von Angreifern ausgenutzt, um Schadsoftware in das angegriffene System zu bringen.
    Je mehr Software wir auf unserem System haben, desto mehr Angriffspunkte geben wir preis.
    Und AV ist ein Softwareprodukt.
    Und dieses enthält eben auch Fehler.
    Und AV hängt dauerhaft im Internet und bietet dadurch noch mehr Angriffspunkte.
    Und je umfangreicher die Funktionalität der AV-Suite wird, desto mehr Fehler enthält sie und desto größer ist die Angriffsfläche.
  5. Systematischer Fehler “always on”
    Die notwendige dauerhafte Verbindung ins Internet, um stets die aktuellsten Signatur-Updates zu bekommen, ist ein systematischer Fehler bei AV-Programmen.
    Diese dauerhafte Verbindung führt selbst bei (gerade aufgrund von hohen Sicherheitsanforderungen explizit vom Internet getrennten) Systemen zu Angriffsszenarien.
    Denn selbst bei solchen “airgapped” genannten Systemen gibt es oftmals – in Hinblick auf die erhöhten Sicherheitsanforderungen – Ausnahmen für Schlangenöl.
    Denn Schlangenöl bringt gar nichts mehr – das wissen die Anwender – wenn die Signaturen veraltet sind.
    Also darf – selbst bei airgapped Systemen – AV dauerhaft am Internet nuckeln.
    Und dieses Schlupfloch wird ausgenutzt – nicht etwa, um Schadsoftware in das System zu bringen, sondern um vertrauliche Daten aus dem System zu stehlen.
    Herzlichen Glückwunsch, Schlangenölhersteller, da habt ihr die Sicherheit ja phänomenal erhöht.
  6. Wer online prüft, verliert – Daten
    Das jüngst bei dem Schlangenölhersteller Carbon Black aufgetretene Datenleck zeigt eine weitere Lücke im System AV.
    Carbon Black – und auch andere AV-Hersteller – laden verdächtige Dateien zur weiteren Prüfung in die große Datenwolke hoch.
    Solche cloudbasierten Prüfungen haben den immensen Vorteil, dass angemietete Rechenkraft die Prüfung deutlich beschleunigt.Und sie haben den irrsinnigen Nachteil, dass es einfach Rechner anderer Leute sind, die hierzu eingesetzt werden.Jetzt müssen wir nur noch in unserem vermeintlich hochsicheren System dafür sorgen, dass eine vertrauliche Datei, die ich stehlen will, als verdächtig eingestuft wird.
    Schon wird mir diese Datei quasi auf meinem Wolkenteller präsentiert, weil sie ja zur cloudbasierten Prüfung hochgeladen wird.
    Dort muss ich mir diese Datei nur noch abholen.
    Vielen Dank, liebe Schlangenölhersteller, jetzt muss ich bei meinen Zielpersonen gar nicht mehr in ihr System einbrechen – ihr liefert mir die Daten frei Haus.
  7. Es ist der Schlangenölbranche einfach egal
    Wie sagt es Quark bei Deep Space Nine so treffend:

    "Krieg ist gut fürs Geschäft."

Warum sollte die Schlangenölbranche denn an einer Lösung des Problems interessiert sein?
Solange das Problem Schadsoftware existiert, verdient die Schlangenölbranche mit.
Je mehr Schadsoftware, desto besser.
Und vielleicht stecken ja wirklich die Ferengi hinter der Schlangenölbranche.
Mit Angst lassen sich noch am besten Waffen verkaufen.

Was hilft – was nützt – was wirklich schützt

Ich gebe meinen Vorsatz, meine Artikel auf einer positiven Note enden zu lassen, nicht auf.
Heute wird es klappen; hier kommen einige Ideen, was uns wirklich schützen kann – ganz ohne Schlangenöl.

  • Weniger (Software) ist mehr (Sicherheit)
    Weniger Programme bedeuten eine geringere Angriffsfläche und dadurch eine erhöhte Sicherheit.
    Deswege empfehle ich programmatischen Minimalismus.
    Beschränk dich auf das Notwendigste, sicherheitsaffiner Leser!
  • Digitale Hygiene
    Accounts, die wir nicht benutzen, löschen wir.
    Was wir nicht haben … kann uns nicht schaden
    (Es reimt sich. Und alles, was sich reimt, ist gut!)
  • Uffpasse!
    Augen auf im Datenverkehr – und Hirn einschalten.
    Erst nachdenken, dann klicken.
    Unsere digitale Achtsamkeit ist der allerbeste Schutz unserer Daten und unserer digitalen Identität.
    Weiterbilden, lernen, nachfragen und verstehen – dies sind die wirksamsten Schutzschilde für uns.

Wer sich bis hierher durchgekämpft hat – Glückwunsch!
Meinem Versprechen, auf einer positiven Note zu enden, füge ich an dieser Stelle auch das Versprechen hinzu, mich künftig kürzer zu fassen.
(wers glaubt…)

TL;DR

  • Wunderbare Werbewelt: Was Schlangenöl alles kann – nicht!
  • Nicht deine Baustelle: Was Schlangenöl anderen überlassen sollte
  • Systematically broken: Das System ist kaputt – vergiss das System
  • Was tun? Was tun? Was lassen?: Was hilft – was nützt – was wirklich schützt

Und heute zum Abschluss mein klarer Aufruf:
Gehet hin und löschet euer Schlangenöl von euren Systemen!
Hinfort! Vade retro, satanas!

Fragen? Anmerkungen?

teilen + spenden