Category Archives: Digitale Selbstverteidigung

NFC – Taschendiebstahl digital

TL;DR

  • ARD, BRD, CSU, NFC – oje, oje: Drei Buchstaben für mehr Bequemlichkeit
  • So nah, so schlecht: Und was habe ich davon?
  • No use, no danger? – Was kann denn schon passieren?
  • Das bisschen Digitalgeld: Wo Nahfeld sonst noch drin ist
  • Wir haben die Macht: NFC-Karten dumm machen

Drei Buchstaben für mehr Bequemlichkeit – NFC

Und wieder eine neue Drei-Buchstaben-Kombination, die unser Leben erleichtern soll.
Und wieder ein Moment, an dem sich mir die Nackenhaare sträuben.
Das geschieht (fast) immer dann, wenn mehr Bequemlichlichkeit angepriesen wird.
Mehr Bequemlichkeit geht stets mit einer Einbuße an anderer Stelle einher.
Im Falle von NFC ist das eine Einbuße im Bereich Datensicherheit und Privatsphäre.
Aber sehen wir uns zunächst an, wofür NFC steht.
Near Field Communication, also Nahfeldkommunikation.
Nahfeld bedeutet wirklich nah – also Entfernungen von wenigen Zentimetern, etwa im Bereich von 5 – 10 cm, maximal 20 cm.
Eingesetzt wird diese Form kontaktloser Datenübertragung im Bereich von Schließsystemen, Zugangskontrollen, Paßkontrollen und mittlerweile auch bei der Bezahlung.
Und weil es so furchtbar bequem ist – wir müssen jetzt keine Karte, keinen Stift oder irgendeine andere Form von Datenträger mehr in ein Lesegerät stecken – wird diese Technologie aktuell von der Finanzbranche als der neueste heiße Scheiß gehyped.
Seufz.

Grundsätzlich halte ich es für ein gutes Vorgehen, wenn man Ideen, die mit brachialer Marketing-Macht unters Volk gekippt werden, zunächst sehr kritisch gegenüber steht.
So wie dem plötzlichen Auftauchen von glutenfreien Lebensmitteln, veganem Analogkäse und Self-Checkout- bzw. Self-Checkin-Terminals.

Funktionierende Konzepte brauchen schlicht Zeit, um sich durchzusetzen und ihre Tauglichkeit unter Beweis zu stellen.
Die Lungenatmung bei Landlebewesen hat sich auch nicht über Nacht durchgesetzt und die Erde hat auch knapp 2,3 Milliarden Jahre Abkühlzeit gebraucht, um halbwegs bewohnbar zu werden.
(Dafür braucht die Menschheit keine halbe Generation, um den Planeten zurück in den Zustand “reif für die Verschrottung” zurückzusetzen.)

Und was habe ich davon?

Schauen wir uns doch zunächst an, welche Vorteile diese uns ach-so-nahe Technologie bescheren kann.
Schweigen im Walde

Oh, Verzeihung, ich habe nach sinnvollen Vorteilen Ausschau gehalten.
Setze ich doch kurz meine rosarote Brille der Bequemlichkeit auf und schnüffle schnell mal am Klebstoff der Marketingversprechen.
Dann sehe ich natürlich Unmengen an gesparter Zeit, die ich nicht mehr in langen Schlangen an Supermarktkassen verbringen muss, weil mir ja jetzt einfach im Vorbeilaufen in meine digitale Geldbörse gegriffen wird.
(Ich fühle schon die Kälte der Grauen Herren um mich herum aufziehen.)

Da spüre ich den Wind der Innovation, der mir um die mit Innovationskoks gepuderte Nase weht, während ich meine eigene NFC-gesteuerte Grenzkontrolle durchlaufe.
(Stand von euch schon mal jemand in dieser elenden Self-Checkin-Border-Control-Schlange in Heathrow? – Da gehts auch nicht schneller voran, als wenn ein echter Mensch mein gesamtes Gepäck händisch auf Drogen, Bomben oder Sex-Pistols-CDs durchsucht.)

Da öffnet sich wie von elektronischer Zauberhand gesteuert meine Bürotür, wenn ich nur glücklich mit meinem Mitarbeiterausweis wie mit einem Zauberstab vor dem Lesegerät wedle.
(Alohomora.)

Schnell wieder die rosarote Brille abgesetzt.
Gut, ich bin Technologie-Pessimist.
Eine Kassandra der Privatsphäre.
Ein einsamer Warner im Wald der wahnwitzigen Entwicklungen.

Genau darum lautet mein Fazit:
Da ist kein sinnvoller Anwendungsfall sichtbar.
Weder nah noch fern.

Wo ist bitteschön der Vorteil, wenn ich meine Geldkarte nur in die Nähe des Bezahlterminals halte, anstatt es einfach in das Terminal zu stecken?
Zumal es zumeist dasselbe Terminal ist.
Nun ja, für zittrige Hände womöglich.
Wer weiß, was dieses Terminal aus meinen dreiundzwanzig weiteren NFC-fähigen Karten ausliest, die auch noch in meinem Geldbeutel stecken, den ich so bereitweilig dem Bezahlterminal als Opfergabe zu Füßen lege?
Von welcher meiner dreiundzwanzig NFC-fähigen Karten bucht das Terminal denn gerade meine Packung Kaugummis und die Schachtel Zigaretten ab?
Oder vielleicht doch gleich von allen?

Wo bitte ist mein Vorteil, wenn ich meine NFC-fähige Geldkarte aus meiner Gedlbörse ziehe und dem freundlichen Kassenpersonal übergebe?
Da ist es mir doch vollkommen schnuppe, ob diese die Karte einfach über das Terminal wedeln (Alohomora!) oder in den sowieso vorhandenen Schacht schieben.

Wo ist mein Vorteil, wenn ich mich an der Grenzkontrolle vor eine Kamera stelle, ausgeleuchtet werde wie ein Model beim Fotoshooting und gleichzeitig meinen Reisepass auf einen Scanner lege ?
Verglichen mit der Möglichkeit, einem echten Menschen meinen Reisepass zu geben, diesem schüchtern (oder mit festem Blick – je nachdem wie stabil unser Gewissen ist) in die Augen zu schauen und darauf warte, einreisen zu dürfen.
Oder eventuell niedergeknüppelt, festgenommen und mit dem nächsten Flug zurückgeschickt werde.

Ist es nicht ein viel handfesteres Gefühl von Tätigkeit, einen Schlüssel ins Schloß zu stecken und beim aufschließen wirklich zu merken, wie hier mechanisch Zutritt gewährt wird?

Ehrlich, hier ist kein Blumentopf für diese Technologie zu gewinnen.
Weder zeitlich noch sicherheitsseitig, und auch nicht vom zu treibenden Aufwand her.

Was kann denn schon passieren?

Die haben gesagt, es sei sicher.
Die haben beschworen, da kann gar nichts passieren.
Dieses marketing-technische Beschwichtigungs-Blabla kennen wir zur genüge von jeder Technologie oder sonstigen politisch gepushten Idee.

“Die Renten sind sicher.”
“Der will nur spielen.”
“Spinat enthält viel Eisen.”

In diese Bresche schlagen auch die Anbieter von NFC-Bezahldiensten – wie etwa die Sparkassen.
Dort heißt es:

“NFC gilt – unter anderem wegen der kurzen Reichweite des Signals – als sehr sicher.”

Nun ja, sehr sicher ist sehr relativ.
Es reicht bei NFC eben aus, wenn mir ein Dieb nahe kommt, um meine digitale Geldbörse auszurauben.
Mir muss dabei physisch nichts geraubt werden – meine Geldbörse etwa – um mir finanziellen Schaden zuzufügen.
Es genügt bereits, wenn der Dieb in meine Nähe kommt – so ungefähr in 10 – 20 cm Entfernung.
Und diese Abstände reichen Taschendieben allemal aus – die kommen mir sogar deutlich näher.

Außerdem geht es beim digitalen Taschendiebstahl nicht nur um mein elektronisches Kleingeld – wir sprechen hier wie bei der Geldkarte über Beträge bis 25€ – sondern wir gefährden damit auch unsere digitale Identität.
Denn ein digitaler Nahfelddieb erfährt aus unserer elektronischen Geldbörse im Zweifel auch einiges über unser Konsum- und Bewegungsprofil.
Es werden hier schließlich auch weitere Daten über unser bisheriges Kaufverhalten gespeichert.
Und wird uns die NFC-fähige Karte physisch gestohlen – so kann der Dieb bis zur Sperrung der Karte über den digitalen Geldbestand verfügen.

Wo Nahfeld sonst noch drin ist

NFC ist eine dieser nahezu ubiquitären Technologien wie wir sie heuer in unterschiedlichen Bereichen erleben.
Der Einsatz von kontaktlosem Bezahlen tritt unter anderem mittlerweile auch in weiteren Bezahl(k)arten auf.
So nutzen inzwischen auch Kreditkarten diese kontaktscheue Form des Geldtransfers.
Mit den gleichen, schwachen Sicherheitsmerkmalen wie die anderen NFC-befähigten Geldkarten:
Wer in die Sendereichweite einer NFC-Karte kommt, kann deren Bezahlwilligkeit ausnutzen.

Ohne PIN.
Ohne Unterschrift.
Hit and run quasi.
Nur eben ohne das hit, weil ist ja kontaktlos.

Reisepässe.
Damit wir ganz kontaktlos und dennoch vollständig überwacht einreisen können.
Nun, da frage ich mich, wer meine Daten sonst noch auslesen kann.
Es ist bei Technologien ja nicht etwa so, als wären diese nur den berechtigten staatlichen Stellen zugänglich.
Man soll ja schon davon gehört haben, dass unberechtigte, möglicherweise mit krimineller Energie gesegnete Zeitgenossen sich dieser Technologie bemächtigen / bedienen.

Nein! Doch!! Ohh!!!

Also – mir fehlt an dieser Stelle die kriminelle Fantasie, um mir auszumalen, was jemand mit den Daten meines Reisepasses anfangen will – aber ich bin mir sicher, dass ich nicht will, dass jemand über meine Daten verfügt.
Über meinen Fingerabdruck zum Beispiel.

NFC-Karten dumm machen

Doch – zum Glück – können wir uns selbst verteidigen!
Wir können uns informieren, aufbegehren – und im NFC-Fall sogar auf einfache Weise etwas gegen diese Nahfeldbevormundung unternehmen!

Abschalten!

Da alle neu ausgegebenen Geldkarten mit NFC-Funktionalität ausgestattet sind und dieses auch standardmäßig aktiviert ist, sollten wir hier direkt handeln.
Das Vorgehen der Banken zeigt ebenfalls, dass diese die Bequemlichkeit der Kunden der Privatsphäre der Kunden vorziehen.
Es sind ja nicht die Bankdaten, die riskiert werden, sondern nur die Privatsphäre der Kunden.
Ganz schlechter Schritt, liebe Banken.
Vorbildhaft wäre hier der Privacy by Design Ansatz, der davon ausgeht, dass neue Funktionalitäten, die die Gefahr der Einschränkung der Privatsphäre mit sich bringen, standardmäßig deaktiviert sind und nur im Fall einer informierten und gewünschten Nutzung des Dienstes aktiviert werden.
Wir sehen hier wieder, dass die negative Vorgehensweise des Opt-Out einem positiven Opt-In vorgezogen wird.
Aber zurück zu unseren Möglichkeiten:
Wir können die NFC-Funktionalität deaktivieren.
Die Banken haben diese Möglichkeit alle umgesetzt – leider unterschiedlich kundenfreundlich.

Volksbanken gehen an dieser Stelle wesentlich kundenfreundlicher und zeitgemäßer vor.
Hier kann der Bankkunde die NFC-Funktionalität selbsständig an einem Bankautomaten deaktivieren und bei Wunsch auch wieder aktivieren.

Die Sparkassen gehen hier einen deutlich beratungsintensiveren Weg.
Der privatsphären-affine Kunde muss hier die NFC-Funktionalität seiner Bankkarte durch einen Mitarbeiter der Bank deaktivieren lassen.
Naja.
Aber immerhin: es geht!

Und ich rate dringend dazu, diesen Schritt zu gehen und NFC auf allen Bankkarten zu deaktivieren.

Aluhut für die Karten

Eine weitere, noch einfachere und in meine Augen daher noch viel charmantere Lösung ist der Einsatz einer Schutzhülle aus einem Material, welche den NFC-Chip abschirmt.
Quasi ein Aluhut für die Geldkarte.
Inzwischen gibt es neben speziellen Kartenetuis auch Geldbörsen, in die abschirmendes Material eingewebt ist.

Reisepass, gut durch

Ein Reisepass ist ein gültiger Reisepass – auch ohne intakten NFC-Chip.
Der Chaos Computer Club (CCC) hat einem kurzen Video anschaulich gezeigt, wie der privatsphären-affine Reisende seine informationelle Selbstbestimmung selbstverteidigen kann.
Wenn der Reisepass ausversehen (hust) auf das Induktionsfeld in der Küche fällt, reicht der Puls des Kochfeldes aus, um den NFC-Chip zu deaktivieren.
Anschließend haben wir weiterhin einen gültigen Reisepass und unsere Daten wieder besser im Griff.
Das Einzige, was uns jetzt entgeht, ist der Spaß des Self-Checkins bei der nächsten Auslandsreise.
Oder ein anregendes Gespräch mit Grenzbeamten, sollten wir dies dennoch versuchen.

Recht egal

TL;DR

  • Mut, Schokolade und ein Einhorn an unserer Seite: Was wir brauchen
  • Physiker, aufgemerkt: Widerstand ist…
  • Gemach, gemach: Regierungen – The Regulatory Sloth
  • Wer schreibt der bleibt: Datensammler und AGB-Gestalter
  • Juristisches Bauchempfinden: Recht gefühlt

Legal – illegal – scheissegal.

Das denke ich mir meistens, wenn ich mich durch die seitenlangen juristischen Kleinode epischen Ausmaßes hindurchquälen muß, sobald ich eine neue Anwendung installiere oder einen neuen Online-Dienst in Anspruch nehme.
AGB.

Drei Buchstaben für eine Garantie vollkommenen Unverständnisses.
Juristen schmunzeln und wir Laien – wir zucken bestenfalls die Schultern – und akzeptieren den verklausulierten Wahnsinn in Worten.
Was bleibt uns auch anderes übrig?
Wenn wir den Dienst nutzen wollen, dann müssen wir die AGB abnicken – ob wir sie gelesen haben oder nicht.
Von verstanden einmal ganz abgesehen.

Dieses Vorgehen zementiert einmal mehr das immense Machtgefälle zwischen Dienstanbieter und -nutzer oder besser zwischen Datensammler und -quelle.
Mir kommt es zuweilen so vor, als würden die Datenkraken versuchen, mit dem Einsatz unverständlicher AGB ihr moralisch – und zumindest in Teilen juristisch – fragwürdiges Geschäftsgebahren auf eine rechtlich unangreifbare Basis stellen.
Ungefähr so, wie wenn man seine Burg mit vier Burggräben voller Krokodile umgibt.
Drum herum noch einen zweihundert Meter breiten Minengürtel legt.
Und das ganze auf einem unbezwingbaren Berg erbaut.

Aber das ist nur mein Gefühl.
Ich alter Pessimist.
Wahrscheinlich beschuldige ich die arglosen Datensammlern zu Unrecht.
Die tun das alles bestimmt nur, damit unser Nutzungserlebnis noch besser wird …
… oder welches Hohlphrasengewäsch auch immer aktuell en vogue ist …

Recht gefühlt

Ich bin kein Jurist und meine Einschätzungen zum juristischen Vorgehen der Datenkraken sind rein subjektiv.
Dennoch hoffe ich, dass juristische Formulierungen wenigstens noch ansatzweise mit unserer gelebten Realität vereinbar sind.
Wenn ich von dieser Annahme ausgehe, dann kann ich wirklich nur verwundert fragen:

"Dienstanbieter, Datensammler und Online-Profiteure - habt ihr se noch alle?"

Kein Mensch nimmt sich die Zeit, um 63 Seiten AGB für eine App zu lesen, die dem Nutzer helfen soll, effektiver mit seiner Zeit umzugehen.
Sind Unternehmen mittlerweile Auffanggesellschaften für Arbeit suchende Juristen geworden?
Oder noch schlimmer – vielleicht sind für die meterlangen Pamphlete inzwischen gar keine Juristen aus Fleisch und Blut mehr notwendig?
Möglicherweise werden die Texte zwischenzeitlich und ganz im Sinne einer effizient verlaufenden Digitalisierung folgend von Big Data basierten und maschinenangelernten Juristenalgorithmen geschrieben?
Wundern würde es mich nicht.

Liebe Juristen – möglicherweise würde ich mir an eurer Stelle jetzt ein wenig Sorgen um meinen Job machen – schließlich geistern gerade aktuelle Statistiken durch die virtuellen Untiefen, in denen von 35 bis zu 47% an durch Automatisierung gefährdeten Arbeitsstellen gesprochen wird – das sind wohl nicht nur Stellen im Bereich der ungelernten Arbeiter.

statista chart: How Many Jobs Could Fall Victim to Automatization?

Aber zurück zu meinem Gefühl.
Die Attitüde, mittels vollkommen unverständlich verklausulierter Nutzungsbedingungen seinen eigenen Arsch vor jeder möglichen Form eventuell auftretender Risiken (inklusive Angriffe durch Sauropoden, Stimmungsschwankungen und einem diffusen Gefühl von Paranoia) zu schützen, widerspricht dem ach so kooperativen Ansatz, den die meisten dieser Dienstanbieter und Plattformbetreiber in ihren hochglänzenden Wohlfühlwerbekampagnen zum Ausdruck bringen – bevor man einen gezwungenen Blick auf die in juristiche Worte gegossene Schauergeschichten werfen muss.

Was können wir tun?
Wir können überlegen, ob wir diesen Dienst, diese Plattform wirklich brauchen.
Ja, mir ist klar, dass wir durch unterschiedliche Seiten (peer-pressure, Unterzuckerung oder einfach Neugier) dazu genötigt werden, genau diesen Dienst zu nutzen.
Aber – und da formuliert Johann Nepomuk Nestroy diesen Zustand ganz stimmig:

“Ich bin mein eigener Herr, ich hab niemand Rechenschaft zu geben.”

Schlussendlich sind wir der Schmied unseres eigenen Glücks.
Es ist unsere Entscheidung, ob wir etwas tun oder nicht.
Also tun wir es - oder nicht.

Datensammler und AGB-Gestalter

Zuweilen sind AGB auch ein Quell der Erheiterung – wir müssen diese verbalen Untiefen mit ihren verschwurbelten Satzungetümen nicht nur als Last und Angriff auf unsere Freiheit betrachten.
Gibt es doch immer wieder literarische Kleinode, die uns die Augen für den darin lauernden Wahnsinn öffnen.
So hat z.B. der Anbieter für ein öffentliches WLAN, purple, jüngst seine AGB dahingehend erweitert, dass die Teilnehmer an dem Dienst sich dazu verpflichten

  • lokale Parks von Hundekot zu reinigen
  • streunende Katzen und Hunde in den Arm zu nehmen oder
  • Schneckenhäuser zu bemalen

Eine großartige Aktion, zeigt es doch, dass die Nutzer eines Dienstes deren AGB schlicht nicht lesen.
Andernfalls hätten sicherlich mehr als zwei aufmerksame Leser diese AGB hinterfragt – und nicht wie 22.000 andere Nutzer diese einfach abgenickt.

Ein Klassiker der AGB-Gestaltung ist auch die Maßgabe von Van Halen, dass es stets eine Schüssel mit M&M’s im Backstage-Bereich ihrer Konzerte geben müsse – jedoch explizit ohne braune M&M’s.
Diese augenscheinlich sinnlose Klausel hat nur den einen Zweck – nämlich zu überprüfen, ob alle übrigen sinnvollen Klauseln der AGB (beispielsweise hinsichtlich der Sicherheit des  Bühnenaufbaus), gelesen, verstanden und hoffentlich eingehalten wurden.
Wäre bei der einfachen und schnellen Prüfung der bereitgestellten M&M’s-Schüssel eine illegale braune M&M’s inkludiert – wäre dies Anlaß zum Abbruch des Konzerts.
Denn nun muß angenommen werden, dass an wesentlichen Stellen der Sicherheit genauso schlampig gearbeitet wurde.
Es ist quasi ein invertierter Grubenkanarienvogel – in diesem Fall schlecht, wenn er noch singt.

Auch an anderer Stelle sorgen AGB für ein gewisses Maß an Unterhaltung:
Gibt es doch mittlerweile die Facebook-AGB als Musical!
Da soll mir noch einer sagen, AGB seien zu nix nutze – sie können immer noch als schlechtes Beispiel für sinnlose Zeit- und Wortverschwendung dienen und jetzt auch noch für Musical-Freunde einen erquicklichen Zeitvertrieb bieten.

Diese, zumeist als Kritik an der bestehenden Gestaltungsweise von AGB, zu verstehenden Ausreißer im AGB-Gestrüpp bringen jedoch eines wieder deutlich zum Vorschein:
AGB sind eine Sicherung der Dienstanbieter gegenüber den Dienstnutzern.

Hier wird klar abgegrenzt, wer der Chef im Ring ist.
Von diesem Standpunkt aus gesehen auch eine berechtigte Vorgehensweise.
In meinem Haus gelten auch meine Regeln – nicht die meiner Gäste.
Der Unterschied besteht jedoch darin, dass ich im Gegensatz zu AGB-verseuchten Datensammlern meinen Gästen nicht sämtliche Rechte abspreche, so wie wir dies unter anderem bei Facebook sehen:

“Du gewährst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, gebührenfreie, weltweite Lizenz für die Nutzung jedweder IP-Inhalte, die du auf bzw. im Zusammenhang mit Facebook postest (IP-Lizenz).”

Das ist ungefähr so, als würde ich von Besuchern meines Hauses verlangen, dass alles, was sie dabei haben, in meinen Besitz übergeht.
Eigentlich eine gute Idee – vielleicht sollte ich das einmal versuchen!
Kommt vorbei – und bringt euer Tafelsilber mit!

Also, was können wir tun?

Die AGB lesen - sorgfältig.

(Ja – ich höre euch. Und wieder sage ich: Was können wir tun.
Ich sage nicht, dass wir das *immer* tun.
Aber wir können.)

Regierungen – The Regulatory Sloth

Die Ausgestaltung von AGB ist ein Thema, welches wir schwerlich durch digitale Selbstverteidigung in den Griff bekommen.
An dieser Stelle benötigen wir die Unterstützung unserer Regierungen.
Allerdings – und an dieser Stelle rückt die Führerscheinstelle aus Zootropolis vor mein inneres Auge – sind Regierungen systemimmanent eher auf der geschwindigkeitsreduzierten Seite.

Es ist schlicht unmöglich, dass Regierungen jedem innovativen Luftzug eines Cyber-Cyber-Unternehmens folgen – auch wenn der Luftzug aus dieser Ecke derzeit eher einem mittelschweren Orkan gleicht.

Darüber hinaus haben Regierungen auch das Wohl der Unternehmen im Blick – und deren Lobbyisten im Nacken.
Und die sind deutlich zahlreicher als die Lobbyisten der Nutzerrechte.

Steppenroller – zirpende Grillen

Ne, ehrlich.
Regierungen tun etwas.
Für uns.
Die EU-DSGVO hilft dem Verbraucher und Träger von personenbezogenen Daten (ja, wir sind alle Datenträger).
Aber es dauert eben einfach sehr, sehr, sehr, sehr lange bis diese Maßnahmen wirken.
Und leider werden diese Zeiträume juristischen Vakuums von den Datensammlern genutzt.
Die beschäftigen schließlich Horden von Anwälten und ähnlichen Juristen (oder zumindest juristisch maschinenangelernte Algorithmen), um Lücken in den Gesetzestexten zu finden und juristische Klippen zu umschiffen.
Die Unternehmen sind nämlich schnell – hier fällt mir Hammy aus Over the Hedge als Sinnbild ein.
Also, was tun?

Widerstand ist…

Nein, Locutus, Widerstand ist niemals zwecklos!
Bei Widerstand geht es schon grundlegend darum, seinen Widerstand zu signalisieren.
Oder um es mit den Worten von President Thomas Whitmore zu sagen:

“We will not go quietly into the night!”

Es geht auch darum, zu zeigen, dass wir mit dieser Machtassymmetrie nicht einverstanden sind.
Es geht darum, unseren Standpunkt, unser Recht auf informationelle Selbstbestimmung zu verteidigen.
Erhöhen wir die Spannung – verstärken wir unseren Widerstand!

Was wir brauchen

Mehr Mut, mehr Initiative und zunächst:
verständlichere AGB.
Eine hilfreiche Idee wäre eine ikonografische Form von AGB.
Das würde zumindest helfen, die Regelungen der Nutzungsbedingungen schneller zu erfassen – ohne stundenlang trockene Texte zu lesen.
Dies löst jedoch noch nicht die Diskrepanz zwischen Akzeptieren und Nutzen gegenüber Ablehnen und Verzichten.
An dieser Stelle wäre eine Aufteilung einer großen, alles umfassenden AGB in diskrete Teile hilfreich.
Damit könnten – und müssten – technisch unabhängige Teile einer Plattform oder eines Dienstes auch juristisch voneinander getrennt werden.
Dadurch wäre klar, dass ich A nur zustimmen muss, wenn ich A auch wirklich zu nutzen gedenke.
Will ich nur B nutzen, muß ich mich nicht mit A beschäftigen (auch nicht hinsichtlich gewisser Rechte, die ich einem Dienst oder einer Plattform einräumen müsste).

Aber ach, ob derartiges überhaupt darstellbar und machbar ist?
Bestimmt; aber einfach wird’s nicht – möchte ich mal sagen!
Nun, wir müssen uns von einfach jetzt einfach mal verabschieden.
Was ist schon einfach?
Leben nicht, dessen bin ich mir sicher, aber lohnend!
So lohnend.

Also, sammelt euren Mut, Kämpfer für eine selbstverteidigte Privatsphäre.
Es gibt zu viel zu verlieren, um den Kopf in den Sand zu stecken.

“No retreat, baby, no surrender.”

Recht hast du, Bruce.

Fragen? Anmerkungen?

teilen + spenden

Potemkinsche Dörfer

Potemkinsches Dorf - Prof. Henner Herrmanns - BUGA 2011Was haben Online-Konten mit Potemkinschen Dörfern zu tun?

Betrachten wir doch hierzu zunächst, woher der Begriff des Potemkinschen Dorfes kommt:
Historisch nicht belegt – aber der Sache ihren Namen gebend – war Feldmarschall Grigori Alexandrowitsch Potjomkin.
Dieser soll für Zarin Katharina II. Schaudörfer errichtet haben, um die tatsächliche Beschaffenheit der Landschaft bei einem Besuch der Zarin zu verschleiern.
Denn hinter den theaterkulissenartigen Fassaden versteckte sich lediglich karges Brachland.
Auch heutzutage wird der Einsatz Potemkinscher Dörfer genutzt, um renovierungsbedürftigen Häusern einen oberflächlichen Glanz zu verleihen.

Meiner Ansicht nach erleben wir dieses Vorgehen mittlerweile auch beim Aufbau von Online-Plattformen, -Shops und anderen Formen virtueller Interaktionsmöglichkeiten.

Strahlend schön nach außen – und dahinter nur Brachland

Potemkinsches Dorf - entlarvt - Prof. Henner Herrmanns - BUGA 2011Mit der wundervoll prächtigen Fassade locken heute viele Online-Portale neue Kunden an.
Hier kommt mir Galadriel, die Herrin von Lothlorien in den Sinn:

“In the place of a Dark Lord you would have a Queen!
Not dark but beautiful and terrible as the Morn!
Treacherous as the Seas!
Stronger than the foundations of the Earth!
All shall love me and despair!”

Von außen betrachtet wirkt alles frisch, hip, sehr innovativ und ganz leicht.
Als interessierter Neubürger eines solchen Potemkinschen Dorfes erhalte ich allerdings von außen keinen Einblick in die Situation und Infrastruktur meines zukünftigen virtuellen Wohnsitzes.
Die Außensicht endet bei der glanzvollen Fassade.

Ich muss meine Entscheidung, dort ansässig zu werden, allein auf dem äußeren Anschein aufbauen.
Erst wenn ich gewillt bin, mich dort anzusiedeln – und bereits meine ersten Daten dem Feldmarschall dieses speziellen Potemkinschen Dorfes überlassen habe – erst dann erfahre ich, wie es um die tatsächliche Beschaffenheit der Online-Plattform abseits des Augenscheins bestellt ist.

Die echte Funktionalität und die tatsächliche Qualität eines Online-Angebots sehen wir leider erst, wenn wir bereits angemeldeter Nutzer des Dienstes sind. Die Bedienbarkeit beispielsweise; Wirklichkeitsabgleich gegen Werbeversprechen sozusagen.
Dann ist es allerdings schon zu spät – was die Sicherheit unserer Daten (und unsere Privatsphäre) angeht.

Diese negative Auswirkung können wir jedoch umgehen, indem wir uns für jedes Online-Angebot bei dem wir uns anmelden, eine eigene E-Mail-Adresse anlegen.

Denn die E-Mail-Adresse ist das am häufigsten genutzte Identifikationsmerkmal für Plattformen dieser Couleur.

Pfusch am Bau

Die ursprünglichen Potemkinschen Dörfern bestanden aus bemalten Theaterkulissen vor Brachland.

Ganz so krass sind die virtuellen Ausgaben dieser vorgespiegelten Realität meist nicht, steht man als Nutzer doch nicht vollkommen im Ödland.
Aber der Vergleich zur verpfuschten Bauruine liegt nahe.

Das fatale an dieser Situation ist, dass der durchschnittliche Nutzer einer solchen verpfuschten Online-Bauruine nicht feststellt – zumeist auch nicht feststellen kann – , dass er sich in einer Bauruine aufhält.
Erst nach und nach kommen die unschönen Tatsachen ans Licht.
Wenn ich in einer Bauruine wohne, kann ich das in aller Regel sofort festellen (auch wenn ich kein Handwerker bin).

  • Da sehe ich auf den ersten Blick, wenn Fliesen schlampig verlegt sind.
  • Ich erkenne auch ohne fachliche Ausbildung, wenn bei den Fugen gepfuscht wurde.

In einer virtuellen Bauruine ist das etwas problematischer.
Hier erkenne ich als Laie nicht, wenn eine untaugliche Technologie als Basis für ein solches digitales Potemkinsches Dorf genutzt wird.
Auch eine handwerklich mangelhafte Umsetzung grundsätzlich tauglicher Technologien bemerken wir als Nutzer nicht.
Online ist das Problem Pfusch am Bau anders gelagert als Offline.
In der virtuellen Welt treten die Probleme einer fehlerhaften oder schlampigen Implementierung nur sehr selten offensichtlich zu Tage.
Hier wirken sich diese viel stärker im Hintergrund (quasi unsichtbar) aus – für die Nutzer sind mögliche Folgen allerdings umso gravierender; beispielsweise durch unbeschränkte Zugriffsmöglichkeiten auf hinterlegte Nutzerdaten.

Der Schutz von Nutzer- bzw. Kundendaten wird häufig immer noch als Kostenfaktor (und nicht als Wettbewerbsvorteil) angesehen.

Es bedarf zusätzlichen Entwicklungs- und Pflegeaufwands, um eine Online-Plattform so zu gestalten, dass die Daten der Nutzer sicher aufbewahrt werden.
Leider kenne ich an dieser Stelle keine einfache und pragmatische Lösung für das Dilemma. Der durchschnittliche Nutzer ist zumeist nicht in der Lage, zu erkennen, ob er sich in einem von Online-Handwerkern nach allen Regeln der Kunst gebauten virtuellen Haus befindet oder ob es sich um eine von Hilfsarbeitern zusammengepfuschte Bauruine handelt.

Ich denke, es hilft, wenn wir uns selbst - oder andere - fragen, ob wir diesen Dienst benötigen.

Komm zu uns, wir haben Kekse!

Eine weitere Wirkung eines digitalen Potemkinschen Dorfes ist seine Anziehungskraft aufgrund seiner täuschenden Strahlkraft.

Hier werden Versprechungen postuliert, welche erst überprüft werden können, wenn wir den – oftmals – falschen Versprechungen erlegen sind.
Werbeversprechen sind stets – online wie offline – mit einem besonders kritischen Auge zu betrachten und zu hinterfragen.
Wenn sich dazu noch der Umstand gesellt, dass wir außer den Werbebotschaften nichts haben, um das Angebot zu prüfen, bevor wir uns zur Nutzung dieses Angebots verpflichten, dann grenzt ein derartiges Geschäftsgebaren meines Erachtens an unlauteren Wettbewerb.

Es zeigt sich auch an anderer Stelle das ungleiche Macht- und Informationsgefälle zwischen Diensteanbietern und -nutzern:
Wir Nutzer müssen dem Anbieter bereits bei der Anmeldung unsere Daten übergeben, erhalten dafür im Gegenzug jedoch lediglich einen ersten Einblick in Gestaltung und Umfang seines Angebots.
Ein schlechter Tausch, wie ich finde.

Für etwas derartig wertvolles wie meine Daten erwarte ich eine bessere Gegenleistung als nur einige überzogene Versprechungen und aufwändig gestaltete Grafiken.
Wir müssen unbedingt die Interessen des Diensteanbieters im Fokus behalten, wenn wir uns für einen Potemkinschen Anbieter entscheiden.

Es gibt nichts umsonst – ganz besonders im Internet gilt es, dies zu beachten.

Je aufwändiger die Theaterfassade des Potemkinschen Online-Dorfes gestaltet ist, desto höher wird der Preis, den wir als Nutzer dafür zahlen müssen.
Ganz besonderen Argwohn sollten wir hegen, wenn das Angebot als kostenlos angepriesen wird.

Genau dann kostet es uns besonders viel - nämlich unsere Daten, unsere Privatsphäre und letztlich unsere Freiheit.

Welcome to the Hotel California

Allzu oft zeigen sich Potemkinsche Plattformen als das Hotel California:

“You can checkout anytime you like but you can never leave.”

Damit schliesst sich der  Kreis zu meinem vorigen Artikel:
Wenn wir uns erst mal für einen Online-Dienst angemeldet haben, fehlt uns oft genug die Möglichkeit, diesen Dienst wieder zu verlassen.
Und selbst wenn wir uns abmelden – unsere Daten bleiben auf alle Fälle dort.
An dieser Stelle kommt mir ein Frühwerk der Ärzte ins Ohr:

“Du kannst gehen, aber deine Kopfhaut bleibt hier.”

Wir haben leider nie die Gewissheit, dass die Daten, die wir freiwillig preisgegeben haben – Harry Potter, ick hör dir trapsen:

“Flesh of the servant, willingly sacrificed, you will revive your master.”

– auch tatsächlich und unwiderbringlich gelöscht werden, wenn wir dies wünschen.

Alles, was wir online preisgeben, dient in erster Linie den Datenkraken – nicht uns.
Daher, überlegt euch wohl, was ihr preisgebt – schließlich wollen wir Lord Voldemort nicht zu neuer Macht verhelfen.

Gerade – und an dieser Stelle höre ich mich pessimistisch unken – Start-ups scheinen im epidemisch wuchernden Online-Markt nicht mit einem privatsphären-affinen Hintergrund gesegnet zu sein.
Ganz besonders, wenn es sich um Jungunternehmer neo-liberaler, transatlantischer Provenienz handelt.
Hier gilt der Datenschutz nur gerade so viel, dass er die Daten des Diensteanbieters, nicht jedoch die des Dienstenutzers schützt.

Darum nochmals meine dringende Exklamation:
Datensparsamkeit!

TL;DR

  • Außen hui – innen pfui: Strahlend schön nach außen – und dahinter nur Brachland
  • Handwerk hat goldenen Boden – IT nicht: Pfusch am Bau
  • Da hab ich mich wohl versprochen: Komm zu uns, wir haben Kekse!
  • It’s a Trap: Welcome to the Hotel California

Also, was machen wir mit den meta-virtuellen Potemkinschen Dörfern – denn virtuell sind Potemkinsche Dörfer ja ohnehin schon.

Kritisch sein.
Wachsam sein.
Weniges das glänzt ist tatsächlich Gold.

Fragen? Anmerkungen?

teilen + spenden

Du kommst hier nicht raus!

Jetzt aber.
Ab heute erquicke ich euch, liebe Leser, mit einer neuen Artikelserie:
Online-Konten.

Haben wir alle.
Vielleicht ohne es zu wissen.
Vielleicht viel mehr als wir wirklich nutzen.
Und wahrscheinlich mehr als wir benötigen.
Es ist ja auch irrsinnig einfach und bequem, Bücher online zu bestellen.
Oder ein Auto zu mieten.
Eine Reise zu buchen.
Einige Dienste sind offline gar nicht verfügbar, aber das ist ein anderes Thema.

Mir geht es in dieser Artikelserie darum, die negativen Auswirkungen von Online-Konten auf unsere Privatsphäre und auf die Souveränität unserer Daten ins Bewusstsein zu rücken.
Daher betrachte ich in diesem Artikel gleich zu Beginn der Serie die Ausstiegsszenarien aus diesem selbstgewählten virtuellen Verwaltungswahnsinn.
Anschließend werfe ich einen dystopischen Blick auf Hintergründe, warum so viele Online-Dienste mit Kontoerstellungspflicht aus dem Boden schießen.
Im Anschluss schaue ich mir den Zusammenhang zwischen Online-Konten und Datenhandel an.
Abschließend richte ich mein skeptisches Auge auf die rechtliche Situation – und ob das die Anbieter dieser Dienste überhaupt tangiert.

Dann werfen wir uns jetzt in die wilde virtuelle Wirrnis der Online-Konten – anschnallen, Luft anhalten, es wird ein wilder Ritt.

Abmelden? Kannste knicken.

Bei vielen Diensten, so ist meine Erfahrung, reduziert sich das Abmeldeprozedere auf diese drei Worte.
Denn abmelden ist schlicht und ergreifend nicht vorgesehen.
Es geht uns bei diesen Diensten wie Mitch McDeere:
Wir können einsteigen und alles ist ganz großartig – wenn wir uns denn den Knebelverträgen der Dienstanbieter unterwerfen – aber wir können nicht mehr aussteigen.

Ein geschickter Schachzug der Profiteure der umgreifenden Digitalisierung unseres gesellschaftlichen Lebens.
Fast noch besser als das Vorgehen von Drogenhändlern.
Diese fixen neue Kunden auch mit Gratisproben an – aber hier hat man – so willens ist und gute Unterstützung erhält – die Möglichkeit wieder aufzuhören.
Wenn die Möglichkeit des Ausstiegs abgeschafft wird hat man jeden neuen Kunden dauerhaft an sich gebunden.
Hat ein bissel was von einem Teufelspakt – sollten wir mal bei Faust und Mephistopheles nachfragen, wie die das so sehen.

Nun, um euch einen Einblick in meine Erfahrungswelt zu geben und euch hoffentlich an der einen oder anderen Stellen dieselbe Erfahrung zu ersparen, schildere ich hier einige meiner Odyseen beim Kampf aus den Fängen diverser Online-Ungeheuer.
Denn eigene Erfahrung ist zwar die edelste Art zu lernen – aber auch die schmerzhafteste.
Nachahmung hingegen die einfachste.

  • eBay: Der Preis der Freiheit ist sehr hoch.
    Man sollte ja vermuten, dass ein Dienst, der schon so lange am Markt ist wie ebay, eine stabile Prozessstruktur etabliert hat.
    Und in der Tat, so ist es. Leider existiert jedoch kein Prozess, der einen abmeldewilligen (Noch-)Nutzer von ebay dabei unterstützt, auszusteigen.
    Weit gefehlt.
    Damit wir uns bei eBay abmelden können, fordert eBay die Preisgabe weiterer persönlicher Daten, die – und das ist mal ein Schlag ins Gesicht der informationellen Selbstbestimmung – an die Schufa übermittelt werden.
    Zur Prüfung.
    Dazu fällt mir wirklich nur ein:
    eBay, habt ihr noch alle Latten am Zaun?
    Mein Rat an Dich, lieber Leser, der du ebay verlassen willst:

    Lösche alle möglichen Daten über dich in deinem Profil.
    Gib möglichst kreativ unstimmige Daten an den Stellen an, die als Pflichtfelder markiert sind.
    Lege abschließend eine Burner-E-Mail-Adresse an und lass dieses nicht mehr zu nutzende eBay-Konto in Ruhe vor sich hin verwesen.

    Möge eBay in einem Sumpf aus nutzlosen Konten untergehen.
    Wer derart willkürlich die Datenhoheit seiner Kunden missachtet, der hat derartige Guerilla-Taktiken als Antwort verdient.
    Es ist grotesk, dass wir dazu gezwungen werden, mehr Daten über uns preiszugeben, um sicherzustellen, dass weniger Daten über uns im Umlauf sind.
    Aber es ist eben nicht das Ziel der Datenkraken, uns bei unserer Datenhygiene zu unterstützen.
    Möglicherweise ist dies jedoch auch ein Geschäftsmodell:
    Noch schnell Daten von einem abmeldewilligen Nutzer abgreifen, damit der zu datenhandelnde Umfang etwas größer und lukrativer wird.

  • eBay Kleinanzeigen: Wenn du gehen willst, dann bettle.
    eBay ist nicht gleich eBay.
    Das lernte ich bereits, als ich mich – fälschlicherweise – zunächst bei eBay angemeldet hatte.
    Wollte ich doch eine Kleinanzeige schalten – keine Auktion starten.
    Naja, kleiner Fehler meinerseits, kann ja mal passieren.
    Kann ich mich ja schnell wieder abmelden.
    Oh, ach, ich armer Tor – falsch gehofft.
    Doch zurück zu eBay Kleinanzeigen.
    Fehlanzeige, was die Anzeige von Abmeldeprozessen angeht.
    Hmm, sollten die doch eigentlich können, so als Kleinanzeigen-Portal?
    Nein, können sie nicht.
    Erst nach mehrmailiger Nachfrage beim Support wurde unwillig meinem Wunsch nach Abmeldung Folge geleistet.
    Auch für euch, eBay Kleinanzeigen:
    Schande über euch!
    Was für ein Armutszeugnis.
    Habt ihr so kleinliche Angst vor der Abwanderung eurer Kunden, dass ihr diese auf eine solch hinterlistige Art und Weise an euch binden müsst?
    Armselig.

Diese Art der kettenartigen Kundenbindung ist mir bei einigen Online-Diensten untergekommen:
mytaxi, LifeTrust, genialokal und andere sind weitere Negativbeispiele für diese Art der Kundenbindung.
Dabei – und das scheint diesen Anbietern nicht klar zu sein – verstoßen sie damit gegen §13 TMG, Absatz 4, Satz 1:

“Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,”

Diese Beispiele haben mir ganz klar gezeigt, wie groß das Machtgefälle zwischen den Datenkraken auf der einen und den Nutzern dieser Dienste auf der anderen Seite ist.
Mir ist vollkommen klar, dass die Frustrationstoleranz der Nutzer komplett ausgereizt wird, wenn sie sich dauerhaft derartigen Beschränkungen, Bevormundungen gar, durch die Diensteanbieter ausgesetzt sehen.

Da ist es schlicht einfacher, aufzugeben und halt in Orwells Namen bei diesem Dienst zu bleiben.
Und wieder hat eine Datenkrake gewonnen.

Ich rufe euch zu, wechselwillige Leser, gebt nicht auf! 
Bleibt hartnäckig!
Ihr habt einen Anspruch auf eure informationelle Selbstbestimmung - und ihr habt das Recht auf eurer Seite!

Wir sollten uns dieses feudalherrschaftliche Vorgehen der Datenkraken nicht gefallen lassen.
Wir sollten diesen unmoralischen Datenhändlern, die sich wie autokratische Despoten aufführen, unseren Widerstand entgegenstellen.

Recht so!

Aber wir sind nicht hilflos – die Politik ist, man mag es kaum glauben, auf der Seite der Nutzer!
Mit der beschlossenen und im nächsten Jahr in Kraft tretenden europäischen Datenschutzgrundverordnung (EU-DSGVO) erhalten wir auch das Recht auf Löschung.
In Artikel 17 werden uns einige fundamentale Rechte zur informationellen Selbstbestimmung über unsere Daten zugesprochen.
Ich finde es zwar sehr unerfreulich, mit rechtlichen Schritten drohen zu müssen, um Forderungen durchzusetzen.
Aber bei derart eklatanten Verstößen gegen die Achtung unserer Privatsphäre halte ich diese Schritte für angemessen.
Wehren wir uns, es geht um unsere Freiheit.

Eine Idee – in den virtuellen Raum gestellt

Ja, so ist das eben, wenn man eine Idee in den Raum stellt.
Dann steht sie da.
Beansprucht Platz, steht einem möglicherweise im Weg rum.

Genau das soll diese Idee auch tun:

Wie wäre es denn mit einem Recht auf Obsoleszenz?

Mir geht es dabei auch um eine Art automatischer Obsoleszenz von ungenutzten Online-Konten.
Dies widerspricht allerdings meiner Kritik an Google hisichtlich ihres aktuellen Vorgehens beim Backup im Online-Speicher Google Drive.
Dort werden bereits  nach sehr kurzer Zeit (nämlich nach zwei Wochen Inaktivität des zugehörigen Google-Kontos) Backups gelöscht.
Meine Idee einer automatischen Löschung von Online-Konten muss an dieser Stelle zunächst eine mehrstufige Interaktion mit dem Kontoinhaber voraussetzen.
Aber, so meine Hoffnung, diese würde uns als Nutzer bei unserer Datenhygiene deutlich helfen.
Marktwirtschaftlich gesehen haben Datenkraken kein Interesse an einem solchen Vorgehen, denn dadurch würde ihnen ja – ganz automatisch – ein Teil ihrer Geld- äh, Datenquellen wegbrechen.
Und das wär ja blöd.

Gimme hope, Manufakturist!

Was können wir konkret tun, wenn wir einen Online-Dienst verlassen wollen – damit will ich heute enden.
Meine erste Empfehlung lautet:

  • Suchen, suchen, suchen!
    Nicht aufgeben.
    Trotz meiner unkenrufartigen Negativbeispiele finden wir doch bei vielen Diensten Hinweise darauf, wie wir uns von diesem auf Wunsch auch wieder abmelden können.
    Zugegebenermaßen oft sehr gut versteckt.
    Aber irgendwo – in den Untiefen im dritten Kellergeschoß, hinter der verschlossenen Tür, in dem Raum, in dem der Lichtschalter schon seit drei Jahren defekt ist.
    Dort – in dem Aktenschrank, der hinter einem Berg rostiger Fahrräder und Tonbandgeräte versteckt ist, dort finden wir eine kurze Anleitung (und einen Link) wie wir uns abmelden können.

Wenn wir nichts finden:

  • Löschung fordern.
    Schreibt eine Mail an den Support.
    Dann schreibt noch eine Mail.
    Droht, jammert, heult, knirscht mit den Zähnen.
    Pestet die Anbieter so lange, bis sie euch ziehen lassen.
    Ihr werdet gewinnen – denn es ist euer Recht, es sind eure Daten.

Was immer hilft:

  • Selbstauskunft fordern.
    §19 BDSG und §34 BDSG gewähren uns das Recht und den Dienstanbietern die Pflicht zur Auskunft über unsere Daten.
    Tut dies, es ist nicht nur sehr erkenntnisreich, was Datenkraken so über uns speichern.
    Sondern es generiert auch Mehraufwand bei den Datenkraken; und damit können wir das Machtgefälle zwischen Datenkraken und uns Nutzern ein wenig nivellieren.

Keine Online-Konten zu haben heißt nicht Totalverzicht:

  • Bestellt per Vorkasse
    Damit umgehen wir die Notwendigkeit eines weiteren Online-Kontos.
    Eine Möglichkeit, der Abmelde-Odysee komplett zu entgehen, ist es, keine Online-Konten anzulegen.
    Das funktioniert bei Online-Shops.
    Wenn wir Vorkasse als Zahlungsweg wählen, müssen wir keine weiteren Daten über uns preisgeben. Zumindest keine, die nicht für den Versand, die Lieferung und Zustellung der Ware notwendig sind.
    Datensparsamkeit ganz praktisch.

Den Kriegshammer auspacken:

  • Beschwerde beim Datenschutzbeauftragen einlegen.
    Das hilft vielleicht nicht Dir direkt – aber es ist eine Maßnahme, um die übrigen Nutzer eines solchen unkooperativen Dienstes zu unterstützen.

TL;DR

  • Eene, meene, Mift – raus bist du noch lange nicht: Abmelden? Kannste knicken.
  • Die Politik stärkt uns den Rücken: Recht so!
  • I have a Dream: Eine Idee – in den virtuellen Raum gestellt
  • Ans Werk, Leser: Gimme hope, Manufakturist!

Betreibt Datenhygiene, auch wenn es nervt und schwierig ist, aber es schützt eure Privatsphäre!

Fragen? Anmerkungen?

teilen + spenden

SHAPE your own security – Aufmerksamkeit ist der Preis der Datensicherheit

Conférence de Yalta, Février 1945

Oh, da war ich doch tatsächlich in meinem letzten Artikel zu voreilig, bzw. zu sehr in meinem eingeübten Muster eingefahren.
Die Schlangenöl-Serie ist noch gar nicht vollständig!
Oder sehen wir es anders:
Heute gibt es noch eine Zugabe – weil das Thema einfach viel zu schön ist, um ihm lediglich vier Artikel zu widmen.

Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge

Heute ist es mein erklärtes Ziel, nicht nur auf einer positiven Note zu enden.
Nein, heute soll der gesamte Artikel ein Quell der positiven Stimmung und der kraftvollen Ideen sein.
Ich sehe quasi schon die Einhörner zwischen den Zeilen hervorlachen.

Mit dem Titel meines heutigen Artikels lege ich bereits die Marschrichtung fest.
Geht es euch auch so, dass ihr das Gefühl habt, dass ich diesmal ordentlich in Richtung militärischer Nomenklatur unterwegs bin?
Wer fünf unterschiedliche militärisch belegte Begriffe findet, darf sich bei mir melden und erhält dafür meine Aufmerksamkeitsbelobigung am Band.

Wir sind es, die in erster Linie über Wohl und Wehe unserer Datensicherheit und Privatsphäre entscheiden.
Nun, damit sind wir doch geradezu für diese Schutzmaßnahme durch.

Noch nicht ganz, denn lediglich die Erkenntnis zu haben, dass unsere Handlungen kriegsentscheidend für unsere Privatsphäre und Freiheit sind, hilft uns nur bedingt weiter.
Immerhin bewahrt uns dieses Wissen davor, blindlings ins Verderben zu laufen.
Aber ich will euch ja Waffen und Munition für die Verteidigung an die Hand geben.
Für wesentlich halte ich daher eine fundierte Aufklärung der Bedrohungslage:

  • wo verlaufen die Frontlinien im Kampf um unsere Daten?
  • wie groß ist die Mannschaftsstärke der gegnerischen digitalen Armee?
  • welcher Art ist das digitale Waffenarsenal unserer Gegner?

Darum, liebe Leser, schlaut euch auf.
Fragt nach, interessiert euch.
Die zunehmende Digitalisierung unseres Alltags und unserer Gesellschaft ist weder aufzuhalten noch rückgängig zu machen.
Die Worte Winston Churchills

“[…] we shall fight on the beaches, we shall fight on the landing grounds, we shall fight in the fields and in the streets […]”

finden hier keine Anwendung, denn wir können dieser Entwicklung nicht auf dem offenen Schlachtfeld entgegentreten.
Wir müssen Guerilla-Taktiken anwenden.
Wir müssen die Schwächen des Gegners ausloten und zu unserer Stärke machen.
Ein Ausstieg aus der digitalen Entwicklung ist nur unter massiven Einbußen von Bewegungsfreiheit und gesellschaftlichem Kontakt möglich – auf Grönland vielleicht oder auf einer verträumten Insel im südlichen Pazifik.

Nein, unser Ziel muss sein, dass wir die technische Entwicklung und damit die gesellschaftlichen Auswirkungen kritisch begleiten.
Damit haben wir die Chance, den Kampf um unsere Daten für uns zu entscheiden.

Think first, click later

Als erste konkrete Handlungsanweisung für unseren Schutz vor digitalen Bedrohungen steht dieses Mantra.
Damit habe ich auch den aktuellen Bezug zur anstehenden Bundestagswahl – macht eine kleine Splitterpartei doch allen Ernstes Werbung mit dem Slogan:

“Digital first. Bedenken second.”

Wenn ich so etwas lese könnt ich grad auf der Sau naus.
Diese Sichtweise zeugt deutlich davon, gar nichts verstanden zu haben – zumindest nichts, was den Schutz der persönlichen Daten und die Privatsphäre angeht.
Möglicherweise haben Politiker, die eine derartige Aussage tätigen, sehr wohl den Wert von Daten verstanden – beispielsweise für die Wirtschaft – und die Digitalisierung liefert (nicht nur der Wirtschaft) wertvolle Information für Werbung, Manipulation und Einflussnahme.
Lediglich von einer solchen Geisteshaltung regiert werden will ich nicht.
Daher mein dringender Aufruf:

Bedenkt, was ihr tut - die digitalisierten Belege eurer Handlungen werden diese lang überdauern - trotz eines Rechts auf Vergessen in der EU-DSGVO.
Denn ein Recht führt nicht automatisch zu einer technischen Machbarkeit dieser politischen Forderung.

Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation

Eine der technischen Gegebenheiten des Internet ist, dass die direkte Kommunikation Angesicht-zu-Angesicht aufgehoben (bzw. verringert) wurde.
Dies hat den Vorteil, dass wir uns über Kontinente hinweg miteinander austauschen können.
Ein Nachteil liegt jedoch darin, dass die Hemmschwelle für kriminelle Aktivitäten sinkt, da das Opfer ja ebenfalls weit entfernt (also für den Täter quasi unsichtbar) ist.

Es ist deutlich leichter, eine Schadsoftware online zu verteilen, als einem zufälligen Passanten die Handtasche zu entreißen.
Wenn wir uns diesen Sachverhalt bei der Bearbeitung unserer elektronischen Post vor Augen führen, besitzen wir die nötige Aufmerksamkeit, um uns vor unliebsamen Auswirkungen einer solchen digitalen Landmine zu schützen.
Ein Großteil der Schadsoftware, sei es Ransomware, Spyware oder Crypto-Currency-Miner, kommen als Anhang einer E-Mail daher.

Darum meine Empfehlung in diesem Umfeld:

  • öffne keine Anhänge, die unaufgefordert kommen
  • klicke nicht auf Links, die unkommentiert geschickt werden
  • prüfe den Link, den du klickst

Mir ist klar, dass diese Forderungen mehr Arbeit bedeuten, mehr Aufmerksamkeit benötigen und daher mehr Zeit beanspruchen.
Aber, um es mit Mahatma Gandhi zu sagen:

“Es gibt wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen.”

Werkzeuge der digitalen Verteidigung

Unsere stärksten Verbündeten im Kampf um unsere Datenhoheit habe ich in den ersten Abschnitten dieses Artikels vorgestellt:
Unsere Aufmerksamkeit und die Kenntnis der Bedrohungen.
Da wir uns jedoch einer hochgerüsteten digitalen Armee gegenüber sehen, ist es ratsam, wenn wir uns auch das eine oder andere virtuelle Werkzeug zu eigen machen.

  • Add-ons für sicheres Surfen
    • Cookie Autodelete
      Hält uns lästige Cookies vom Hals, die unserer Surfverhalten verfolgen.
    • uBlock Origin
      Filtert Werbung von Webseiten – die oft als Träger von Schadsoftware dient.
    • NoScript
      Unterdrückt aktive Inhalte, bis wir diese – bewusst – zulassen.
      Schützt uns somit vor den Auswirkungen von Schadsoftware, die auf verseuchten Webseiten bereit gestellt wurde.
  • Eine Firewall
    Damit bekommen wir Kontrolle über die Datenflüsse in und aus unserem Rechner.
    Quasi die Grenzkontrolle zwischen unserem Datenzentrum und der weiten wilden virtuellen Welt.
  • Ein sicheres Betriebssystem
    Linux ist nicht gegen alle Angriffe gewappnet.
    Aber schon aufgrund der geringen Verbreitung von Linux im Desktopbereich ist dies ein Argument dafür, eben dieses Betriebssystem zu verwenden.
    Es ist schlicht nicht im Fokus der Angreifer.
    Und obendrein ist ein Rechner, der unter Windows läuft, schwieriger zu schützen als ein Rechner unter Linux.

Nutze nur, was du gerade brauchst

Die eigene Angriffsfläche maximal zu minimieren ist nicht nur im Krieg eine durchaus hilfreiche Überlebensstrategie.
Ein Infanterist, der mit ausgebreiteten Armen (ohne eine weiße Flagge zu schwenken) auf die feindlichen Linien zuläuft, hat ähnlich gute Überlebenschancen wie ein Schneeball in der Hölle.
Deswegen meine Empfehlung an dieser Stelle:

 Angriffsfläche minimieren.

Nutzt nur, was ihr wirklich benötigt.
Das trifft auf Software, die wir auf unseren Rechnern installiert haben, genauso zu, wie auf Schnittstellen, die wir bereit stellen.
Gerade jetzt hat der BlueBorne getaufte Angriffsvektor auf Bluetooth dies wieder drastisch zutage gefördert.
Bei BlueBorne handelt es sich um einen Angriff auf Bluetooth.
Egal auf welchem System.

Windows ist genauso betroffen wie macOS, iOS, tvOS, watchOS, Android und Linux.
Egal ob Smartphone, SmartTV, SmartWatch, Fitness-Tracker, Kaffeemaschine, Rolladensteuerung oder Laptop.

Es reicht für einen solchen Angriff bereits aus, wenn Bluetooth aktiviert ist.
Was hilft in allerster Linie:

 Bluetooth deaktivieren.

Ich weiß, ich weiß, ich höre das Heulen und Zähneknirschen.
Denn wenn ich Bluetooth deaktiviert habe, kann mein Fitbit mich überhaupt nicht mehr überwachen.
Ja, richtig.
Aber was ist dir lieber?
Keine Überwachung mehr oder keine Daten – weil dir diese gerade über deine offene Bluetooth-Verbindung gestohlen wurden?
Nun, es gibt Rettung – teilweise.
Updates.
Wenn das Gerät denn updatefähig ist – was entsetzlicherweise bei vielen IoT-Geräten tatsächlich nicht der Fall ist – trotz offener Bluetooth-Schnittstelle.

Be up to date – or else

Es ist doch vollkommen paradox:
Wir wollen immer zur Speerspitze der technischen Entwicklung zählen.
Wir wollen bei der Avantgarde, der Vorhut, der Pioniertruppe dabei sein.
Eine neue technische Entwicklung ist noch nicht ganz auf dem Markt, schon haben wir zugegriffen.
Wir sind so schnell, dass wir gestern schon haben, was erst morgen im Laden steht.

Aber – haben wir auch die Risiken im Blick, die wir uns damit einhandeln?
Wir sind die ersten, die durch das technische Minenfeld der Neuentwicklung gehen.
Wir schlagen den Brückenkopf für die Hersteller zu seinen Kunden.
Wir leisten die Pionierarbeit.
Aber, sind wir dafür auch ausreichend durch den Hersteller vorbereitet und geschützt?
Oder schickt uns dieser ohne Marschgepäck und ausreichende Feindaufklärung in vollkommen ungesichertes Terrain?
Und hier greift das Paradoxon:
Wir erhalten zwar den funktional neuesten heißen Scheiß – aber die Systeme dahinter sind weit offen für Angriffe.

Daher müssen wir stets die aktuellsten Softwareversionen einsetzen, die uns die Hersteller bereit stellen können.
Denn ohne aktuelle Systeme nützt uns die modernste Technik nichts.

Wirklich, das ist die wichtigste technische Verteidigungslinie, die wir aufrecht erhalten müssen.
System-Updates.

Wenn wir zulassen, dass dieser vorgelagerte Schutzwall fällt, dann bieten wir dem Feind eine ungeschützte Flanke, die er gnadenlos angreifen wird.
Und dann ist Polen offen.
Die Softwarehersteller liefern nicht aus Jux und Dollerei monatlich – oder besser noch wöchentlich (bisweilen sogar täglich) – Flicken für ihre umfangreichen Softwareteppiche.
Die meisten Softwarepakete wirken mittlerweile wie eine gut eingetragene Jeans in der dritten Generation einer Hippie-Familie.
Aber – wäre das nicht so, würde das Softwarepaket eher einer rostigen Gieskanne auf dem Grund des Neckars gleichen.
Der technisch interessierte Leser wird sich an dieser Stelle möglicherweise fragen:
Muss das so sein?
Meine Meinung dazu ist in diesem Fall recht klar und recht radikal:
Nein.

In einer idealen Welt wäre Software stabil, modular und sicher entworfen und klar für einen Zweck programmiert.
Leider leben wir nicht in einer idealen Welt.

Sicherheit kostet Geld und Zeit.
Und in einer Welt, in der Time-to-Market zählt und Kundendaten bestenfalls als Ölquelle angesehen werden, wird wenig Wert auf Security-by-Design und Privacy-by-Default gelegt.
Der Schutz der Privatsphäre wird immer noch als Kostenfaktor (und nicht etwa als Wettbewerbsvorteil) angesehen.
Ein Fehler, der unserer Wirtschaft noch schwer auf die Füße fallen wird.

In der wirklichen Welt müssen wir eben mit Software leben, die aussieht wie der Quilt einer Amish-Familie in der fünften Generation.

TL;DR

  • Wir sind unsere stärkste Armee: Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge
  • Denken ist wie googeln – nur krasser: Think first, click later
  • Weaponized Communication: Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation
  • Wir brauchen mehr als einen Hammer: Werkzeuge der digitalen Verteidigung
  • Reduktion der Angriffsfläche: Nutze nur, was du gerade brauchst
  • Software will gepflegt sein: Be up to date – or else

Damit haben wir uns durch das weite Feld der falschen Sicherheitsversprechen gekämpft.
Wir sind gestählt durch neue Erkenntnisse.
Wir sind gerüstet für eine digitale Zukunft.
Wir haben neue Strategien für die Verteidigung unserer Privatsphäre gefunden und neue Waffen gegen die Angreifer auf unsere digitale Freiheit kennen gelernt.
Kämpfen wir dafür.
Es geht um uns.

Fragen? Anmerkungen?

teilen + spenden

Was uns wirklich gefährdet

Habe ich mich in den letzten Wochen ausführlich – geradehin in epischer Breite – über die Versprechungen der Schlangenölbranche ausgelassen.
Schimpfte ich wie ein Rohrspatz über die Risiken, denen wir uns durch den Einsatz von AV-Software aussetzen.
Führte nachgerade schonungslos aus, wer das wahre und größte Risiko der Preisgabe unserer digitalen Identität sind:
Wir selbst.

So schließe ich heute meine Reihe über Schlangenöl und die Bedrohungen, denen wir uns dadurch aussetzen, ab.
Und zwar mit einem warnenden Paukenschlag:
Was uns wirklich gefährdet

Vor einem Zero-Day kann dich keine Software schützen

Zero-Days, also Bedrohungen, die noch niemand entdeckt bzw. als Gefahr kategorisiert hat, sind die panzerbrechende, uranangereicherte Munition, mit der u.a. Cyberkriminelle uns bedrohen.
Und damit meine ich staatliche Dienste, die in vollkommen verantwortunsloser Weise solche Zero-Day-Exploits horten.
Zum einen ist das eine Gefahr für uns alle, da diese Dienste ihre gesammelten Zero-Days gegen uns, unsere Privatsphäre und damit gegen unsere Freiheit einsetzen können – ich sage an dieser Stelle nur Staatstrojaner.

Zum anderen gefährden uns Dienste, da dieser Hort toxischer Lücken in Software durchaus in die (noch) falsch(eren) Hände von Kriminellen anderer Art gelangen können – hier sage ich nur CIA-Leaks.

Durch einen Zero-Day-Exploit haben Angreifer die Möglichkeit, Schadsoftware auf einem Zielsystem zu deponieren, ohne dass eine vorhandene Schlangenöllösung auch nur den Hauch einer Ahnung hat, dass das vermeintlich geschützte System kompromittiert wurde.
Klassisch unter dem Radar durch.
Zero-Day-Exploits sind quasi die Stealth-Bomber der Informationstechnologie.
Erst wenn der Einschlag kommt, weiß der Anwender, dass er angegriffen wurde.
Oder erst viel später, meistens sogar sehr viel später (und auf jeden Fall zu spät).
Das hängt natürlich ganz von den Zielen der Schadsoftware ab.
Ein Beispiel für den erfolgreichen Einsatz eines Zero-Day-Exploits ist die WannaCry-Ransomware, die es auch aufgrund ihrer publikumswirksamen Auswirkungen in die allgemeinen und klassischen Medien geschafft hat.

Daher meine Handlungsanweisung für diesen Fall:

Ganz frei nach Kant:
Klicke so, dass du ständig die Verantwortung für deine Klicks übernehmen kannst.
Wisse, wohin der besuchte Link dich führt.

Verschlüsselt und verraten

Ransomware ist aktuell nicht nur die Schadsoftware mit der höchsten Verbreitung, sie ist auch eine der Formen von Malware, die Schlangenöl nicht erkennt.
Die große Verbreitung von Ransomware liegt nicht daran, dass die betroffenen Systeme etwa kein Schlangenöl eingesetzt hätten, sondern daran, dass die meisten dieser Systeme keine aktuellen Systemupdates eingespielt hatten.
Die meisten dieser betroffenen Systeme – so ist meine feste Überzeugung – waren sehr wohl durch AV-Software geschützt.
Gleichwohl, es hat nichts genützt.

Denn – und auch an dieser Stelle verweise ich wieder auf WannaCry – Ransomware nutzt ungepatche Lücken in Computersystemen durch Zero-Day-Exploits.
Und diese können von AV-Lösungen einfach nicht erkannt werden.
Ransomware ist ein mittlerweile ein riesiger Markt – und es sind schon längst keine Script-Kiddies mehr, denen wir uns als Gegner gegenüber sehen.
Sondern es ist ein hoch professionalisierter krimineller Wirtschaftszweig, der sich inzwischen sogar die Bewertungssystematik des klassischen Online-Handels zueigen gemacht hat.

Ableitung aus diesen Erkenntnisse:

Habe stets ein aktuelles Backup deiner Daten verfügbar.

Wer nicht up-to-date ist, handelt fahrlässig

“Kein Backup, kein Mitleid!”

Dieses Bonmot der Sys-Admin-Community bringt es treffend auf den Punkt.
Ich formuliere es – passend für diesen Abschnitt – um:

“Kein aktuelles System, kein Mitleid.”

Der technisch wichtigste Schutz vor unbekannten Gefahren ist schlicht und einfach ein aktuelles System.
Das zu bewerkstelligen ist auch wirklich keine Raketenwissenschaft.
Mittlerweile unterstützen uns alle Betriebssysteme dabei, die entsprechenden Geräte aktuell zu halten.
Es ist eben so ähnlich wie bei des Deutschen liebstem Kind:
Dem heiligen Blechle.
Das Auto unserer Wahl nörgelt, warnt und blinkt ja auch in aller Regelmäßigkeit, will unsere Aufmerksamkeit und äussert den Wunsch nach Inspektion, Wischwasser und sonstwas. (Erinnert uns doch irgendwie an die Tamagotchis – wisst Ihr noch?)
Und dem kommen wir doch gerne nach.
Und genauso verhält es sich mit unseren Computersystemen.
Die machen uns ganz selbsttätig darauf aufmerksam, dass sie umsorgt und aktualisiert sein wollen.
Kommen wir diesem doch bitte auch gleich nach.
Es ist kein Aufwand, weder zeitlich noch mental.
Verschieben wir es nicht.
Sobald wir den Wunsch des Betriebssystems nach Update bekommen leisten wir dem Folge.
Ohne Aufschub.
Sofort.
Dieser einfache Klick kann uns eine sehr große Menge Ärger und Ungemach sparen.

Daher mein Aufruf:

Brüder zur Sonne, zum Update!
Daten wir up, sobald es etwas zum updaten gibt.

Jetzt ist aber auch wieder genug des unreflektierten Folgeleistens bei computergenerierten Anweisungen.
Ein weiteres, großes Risiko ist das reflexhafte Klicken auf jeden Link, der uns in einer E-Mail entgegenspringt.
Wir klicken einfach nicht auf jeden Link, der uns in einer E-Mail erreicht – möglicherweise sogar noch vollkommen unkommentiert.

Das tun wir einfach nicht.

Wir wurden doch alle als Kinder umfangreich auf die Gefahren hingewiesen, die von fremden Menschen ausgehen, die uns entweder etwas schenken wollen, oder uns einfach “das süße Kaninchen in ihrem Garten” zeigen wollen.
Sind wir doch alle, oder?
Haben wir etwas angenommen? Nein!
Sind wir mitgegangen? Nein!!
Also.
Ist doch genau das gleiche hier.
Ein Link ist nichts anderes als das Angebot, etwas geschenkt zu bekommen oder ein süßes Kaninchen in dem unheimlichen, überwucherten Garten vor oder hinter der heruntergekommenen und halb verfallenen Villa am Stadtrand gezeigt zu bekommen.
Das nehmen wir nicht an, dieses Angebot.
Zumindest prüfen wir sehr kritisch, ob der entsprechende Link dahin führt, wo er vorgibt hinzuführen.
Das ist bei Plain-Text-Mails einfacher als bei HTML-Mails – aber es geht in allen Fällen.
Wir müssen schlicht und ergreifend unseren gesunden Menschenverstand wieder stärker schulen und ein gerüttelt Maß an Mißtrauen kultivieren.

Deshalb an dieser Stelle alle im Chor:

Wir klicken nicht reflexartig auf alle Links, die uns unter den Mauszeiger kommen.

Nicht öffnen!

Wenn es tickt, ölig riecht und eine ungleichmäßige Gewichtsverteilung hat – dann machen wir ein Paket doch auch nicht auf!

Warum sollte dies bei Anhängen von E-Mails anders sein?
Gut, die riechen eher nicht ölig (die olfaktorische E-Mail ist uns bisher zum Glück erspart geblieben), aber ein unerwarteter Anhang ist die digitale Analogie dazu.
Wenn wir den Absender nicht kennen, können wir die E-Mail mit Anhang schon gleich unbesehen und unbesorgt löschen.
Wenn es etwas wichtiges ist dann kommt es wieder.
Und selbst wenn wir den Absender kennen, muss schon ein triftiger Grund vorliegen, um den Anhang öffnen.
Und dieser triftige Grund ist die Ankündigung des Anhangs (aus einer früheren Mail oder einem persönlichen Gespräch).

Fragen wir lieber nach – auf einem anderen Kanal bitte! – ob der Anhang wirklich authentisch ist.
Denn insbesondere unaufgefordert zugesandte Anhänge – wie z.B. Bewerbungsunterlagen – waren in der Vergangenheit (und sind es aktuell immer noch) tickende Briefbomben. Sie wirken zumeist wahnsinnig echt und verleiten die ansprochenen Personen in aller Regel zum Öffnen.

Darum:

Nichts öffnen, was wir nicht angefordert haben - es könnte ein Drache in dem Paket hocken.

Obrigkeitshörigkeit kostet Millionen

Unkritisches Verhalten – gepaart mit einer restriktiven und rigiden Hierarchie – sind ein ideales Ökosystem für ein weiteres virtuelles Angriffsszenario, bei dem Schlangenöl keinerlei Schutz bietet.
In einem derartigen von Angst, Gleichgültigkeit, Obrigkeitshörigkeit und Unkenntnis verseuchten Umfeld können Angriffe wie der CEO-Fraud aufblühen und ihre kriminellen Blüten treiben.
Bei dieser Form des Internetbetrugs wird eine gefälschte E-Mail – vermeintlich vom Geschäftsführer (eben dem CEO) – an einen zumeist hochrangigen Mitarbeiter mit Finanzkompetenz geschickt.
Diese Mail formuliert die Anweisung, ganz kurzfristig und unter Umgehung sämtlicher gängiger Prozesse, unauffällig eine größere Menge Geldes an eines der unauffälligen Konten in einem ganz vertrauenswürdigen Land zu überweisen.
Dringend, weil das Wohl der Firma, der freien Welt und ganz besonders die Sicherheit des Jobs des Mail-Empfängers davon abhängen.
Und, ach ja, noch nebenbei, natürlich bleibt die ganze Transaktion vertraulich zwischen den Mail-Parteien.
Geht ja üblicherweise nur um ein paar Millionen Dollar.

Und da dies eben in einem Umfeld von Befehl und Gehorsam stattfindet und die Mails wirklich authentisch wirken – bis auf die klare Aushebelung jeglicher Vernunft und Ordnung – sind diese CEO Frauds sehr erfolgreich.

Was bleibt mir da zu empfehlen?

Stärken wir unser Rückgrat.
Fragen wir lieber einmal mehr nach als später den Schaden zu haben.
Wird uns für eine solche - durchaus berechtigte - Rückfrage der Kopf abgerissen, wäre für mich zumindest eines klargestellt:
Das ist sicherlich keine Umgebung, in der ich weiterhin freiwillig arbeiten will.

“If you don’t like how things are, change it! You’re not a tree.”

Unsere Handlungen bestimmen unsere Privatsphäre

Das größte Risiko sind aber letztlich wir selbst.
Es hilft alles nichts, wir sind schlussendlich selbst für unser Wohl und Wehe verantwortlich.
Wir können alles auf externe Faktoren schieben:

  • die schlechte Schutzsoftware
  • die bösen Cyber-Kriminellen
  • das schlechte Betriebssystem
  • die gemeinen Geheimdienste
  • und, und, und…

Wenn wir eine Ausrede finden wollen – finden wir sie.
Wenn wir eine Lösung finden wollen – finden wir auch einen Weg.

Wir sollten bei unserem eigenen Verhalten beginnen.
Wir können immer entscheiden, wie wir handeln wollen.
Und sobald wir dies erkennen und entsprechend Verantwortung für unser Handeln übernehmen, ist das der erste Schritt zurück zur Souveränität über unsere Daten und unsere Privatsphäre.

Deshalb:

Beginnen wir damit, Verantwortung für unser eigenes Handeln zu übernehmen.

Was also können wir tun, Lone Ranger?

Zunächst – Optimistisch bleiben.
Denken wir uns erst einmal:

“This too will pass.”

Echt, die Welt geht davon (noch) nicht unter.
Es klingt alles furchtbar dramatisch, aber wir haben schon anderes überstanden.
Modern Talking zum Beispiel.
Ne, Ernst beiseite – hier nochmal kurz zusammengefasst, was wir tun können, um nicht in die Cyber-Cyber-Falle zu tappen:

  • Backups haben – und den Restore-Fall testen!
  • das System aktuell halten
  • erst denken, dann klicken
  • keine suspekten Anhänge öffnen (und rückversichere dich im Zweifel beim Absender)
  • hab ein Rückgrat, sei kritisch und frag lieber einmal mehr nach als einmal zu wenig
  • übernimm Verantwortung für deine eigenen Handlungen

TL;DR

  • Was Schlangenöl nicht kennt, kann dir trotzdem schaden: Vor einem Zero-Day kann dich keine Software schützen
  • Ransomware: Verschlüsselt und verraten
  • Updates: Wer nicht up-to-date ist handelt fahrlässig
  • Trügerische Verweise: Links, zwo-drei-vier!
  • Der Anhang, das gefährliche Wesen: Nicht öffnen!
  • Es ist nicht alles Chef, was danach aussieht: Obrigkeitshörigkeit kostet Millionen
  • Wir sind unser größter Schutz: Unsere Handlungen bestimmen unsere Privatsphäre
  • Ending on a positive Note: Was also können wir tun, Lone Ranger?

Das Ende einer langen Reise:
Schlangenöl in epischer Breite – mit hilfreichen Tipps und Handreichungen.
Und bei Fragen – immer her damit

Fragen? Anmerkungen?

teilen + spenden

Warum AV nicht funktioniert

Heute sammle ich einige Gedanken hinsichtlich Schlangenöl (und stelle diese auch vor – heute mal wirklich ausführlich…).
Meine These:
Antiviren-Software taugt nicht als System zum Schutz unserer IT-Systeme und damit unserer Daten.

Was Schlangenöl kann… nicht!

Zunächst einmal betrachten wir kurz, was AV – besser deren Hersteller – uns versprechen zu tun; vor welchen Gefahren sie uns bewahren wollen.
Dieser Leistungsumfang – so ist mein Eindruck – geht mittlerweile weit über das klassische Virenscannen hinaus.
Ich schwanke an dieser Stelle schon zwischen den Gedanken

  • Schuster, bleib bei deinen Leisten.” und
  • Aha, ham se jetzt doch erkannt, dass AV nicht mehr der cybertechnischen Weisheit letzter Schluss ist?

Also, hier meine unvollständige Liste der vollmundigen Versprechungen, die uns die Schlangenölhersteller offerieren:

  • Schutz vor Ransomware
  • Schutz vor Zero-Second (es reicht hier augenscheinlich nicht mehr, von Zero-Day zu sprechen – es muss hier in Ich-hab-aber-den-Längeren-Manier noch einer draufgelegt werden) Angriffen
  • Auto-Updater
  • Daten-Shredder
  • Sichere Zahlungen
  • Passwort-Manager
  • Anti-Spam
  • Firewall
  • Verhaltensschutz
  • Blocking microfone and webcam access (Kaspersky): same shit as Samsung-TVs – wenn du den Bösen blocken willst, musst du immer überwachen
  • Regulate the use of apps and check your childs location (überwachung pur!)

Na, da bieten die Schlangenölverkäufer doch fast die eierlegende Wollmilchsau an – es fehlt eigentlich nur noch, dass es auch das Auto waschen und die Hausaufgaben der Kinder kontrollieren kann.
Aber was nicht ist kann ja noch werden.

Wenn ich mir diesen Wust an versprochenen Funktionalitäten und dysfunktionalen Versprechungen betrachte, fühle ich mich an Smartphones erinnert:
Die versuchen sich auch an jeder möglichen und unmöglichen Funktion – und scheitern grundsätzlich an allem.
Ganz besonders an ihrer Grundfunktionalität:
der Telefonie.

Wenn man alles tun will, erreicht man im Endeffekt – gar nichts.

Ich will hier jedoch kein Marketing-Bashing betreiben – Werbung ist immer übertrieben.
Aber für mich ist die Grenze erreicht, wo es von schlichter Übertreibung zur Gefährdung der Anwender eines Produktes kippt.
Und ich sehe bei Schlangenöl diese Grenze als überschritten an.
Schlangenöl übertreibt nicht einfach nur, was es alles an Leistungen bietet – nein, der Einsatz von AV auf einem Computersystem schwächt dieses System und gefährdet damit den Anwender.

Was Schlangenöl anderen überlassen sollte

Ausgehend von der Liste der mannigfaltigen Versprechungen der Schlangenölbranche liefere ich jetzt sinnvolle und bessere Alternativen zu den einzelnen großspurigen Versprechungen der Alles-aus-einer-Hand-Lösungen.

  • Daten-Shredder:
    Um Daten sicher – und unwiderbringlich – zu löschen, brauchen wir uns nicht in die Hände der Schlangenölbranche zu werfen.
    Es gibt für diesen Anwendungsfall dedizierte Lösungen, die diese Aufgabe schnell, effektiv und ohne den unnötigen Overhead einer Alles-in-Einem-Anwendung erledigen.
    Unter Windows empfehle ich hier DBAN (Darik’s Boot and Nuke)
    Für macOS und Linux können wir shred und wipe einsetzen.
  • Sichere Zahlungen:
    Was wollen die Schlangenöler hier eigentlich anbieten?
    Das ist auch ein weiterer Punkt, der mich ungemein ärgert:
    Der Nutzer einer AV-Suite wird dumm gehalten.
    Anstatt zu erklären, worauf es denn bei sicheren Zahlungen im Internet ankommt – nämlich eine geschützte HTTPS-Verbindung mit einem gültigen und vertrauenswürdigem Zertifikat – verschleiert die AV-Lösung dieses Wissen vor dem Anwender und spiegelt dem unbedarften Nutzer vor, die Sicherheit käme durch das Schlangenöl.
    Das ist aber nicht so.
    Für die Sicherheit sind die Shop-Betreiber bzw. die entsprechenden Banken und Finanzdienstleister verantwortlich.
  • Passwort-Manager:
    Das ist ein Anwendungsfall, den wir auf gar keinen Fall dem Schlangenölhersteller als Aufgabe übertragen wollen.
    Das wäre so, als würden wir einem dubiosen Sicherheitsdienst die Schlüssel zu unserem Haus, unsere Autoschlüssel, die Kreditkarten und unsere EC-Karte inklusive PIN überlassen.
    Ein Passwort-Manager ist eine derart sensible Angelegenheit, die vertrauen wir maximal einer eigenständigen, vollständig offenen und definitiv offline arbeitenden Anwendung wie KeePass/KeePassX an.
    Wenn wir unsere Passwörter einer “Rundum-Glücklich”-Lösung wie Schlangenöl anvertrauen, dann wissen wir schlicht und ergreifend nicht, was mit den Daten passiert.
    Schlangenöl ist Closed Source – wir können die Quelltexte nicht einsehen – und wir haben dadurch einfach keinen Einblick in das, was im Hintergrund mit unseren Daten geschieht.
    Darüber hinaus ist eine AV-Lösung dauerhaft mit dem Internet verbunden (ansonsten funktioniert das ganze Spiel nämlich nicht) und wir haben keine Kontrolle darüber, welche Daten wohin gesendet werden.
    Vertraue niemandem!
    Agent Mulder hat damit ja so recht.
  • Firewall:
    Eins haben inzwischen alle Hersteller von Betriebssystemen verstanden, nämlich die Notwendigkeit, dass eine Firewall Bestandteil des Betriebssystems sein sollte – und generell bereits ist.
    Ist es das nicht, lässt es sich einfach als eigenständige Lösung nachträglich installieren.
    Das ist einfach keine der Aufgaben, die von einer Schlangenöllösung übernommen werden sollte.
    Nehmen wir einmal den folgenden – gar nicht so weit hergeholten – Fall an:
    Ein System wird von AV (inklusive Firewall) “geschützt”.
    Ein Angreifer schafft es, diese AV ausser Kraft zu setzen (was oft einer der ersten Schritte ist, die ein Angreifer ausführt).
    Dadurch setzt der Angreifer die (quasi “integrierte”) Firewall ebenfalls ausser Kraft.
    Schade.
    Wäre die Firewall eine eigenständige Anwendung, hätte es der Angreifer bedeutend schwerer, diesen echten Schutzfaktor auszuschalten.
    Wenn der Angreifer die AV ausschaltet, ist die Firewall grundsätzlich mal nicht automatisch mit betroffen (es sei denn, es handelt sich eben nicht um eine eigenständige Lösung).
  • Anti-Spam:
    Der Schutz vor Spam-Mails ist ein weiteres Beispiel dafür, dass die Schlangenölhersteller (wie so viele andere auch) mittlerweile im Revier anderer Software-Hersteller wildern.
    Anti-Spam wird dort eingesetzt, wo Spam auftritt:
    Im Mailclient.
    Und dieser kümmert sich bestenfalls auch genau darum.
    Jeder Mailclient – sei es Outlook, Thunderbird oder welcher Mailclient auch immer den Postdienst versieht – er hat bereits die eine oder andere Anti-Spam-Implementierung eingebaut.
    Dafür brauchen wir keine Schlangenöl-Suite.
    Brauchen wir einfach nicht.
  • Verhaltensschutz:
    Achja, bei Verhaltensschutz muss ich irgendwie an die “No loitering“-Schilder denken.
    Verhaltensschutz wird zunehmend auch im Bereich Video-Überwachung getestet – und funktioniert dort ebenso schlecht wie beim Schlangenöl.
    Beim “Verhalten” ist eines der Hauptprobleme, dass “normgerechtes” Verhalten erst mal definiert und programmiert sein muss, um Auffälligkeiten im Verhalten zu erkennen.
    Und da fängt das Problem schon an.
    Was ist denn “normgerechtes” Verhalten (Bereich Video-Überwachung) eigentlich genau?
    Wenn jemand humpelt (sich also möglicherweise außerhalb der “Bewegungs-Norm” bewegt), gibt es dann Grund zur Sorge?
    Ist derjenige dann potenziell gefährlich?
    Vielleicht weil er schwer an seinem Bombenrucksack trägt, oder weil er ein Steinchen im Schuh hat?
    Oder doch, weil er (oder sie) sich im engen Schuhwerk Blasen gelaufen hat?
    Wenn jemand auf dem Boden sitzt, “loitert” er dann gerade (rechtswidrig) oder ruht er sich vielleicht nur aus?
    Und genauso verhält es sich mit Software.
    Was ist denn hier schon verhaltensauffällig, was ist noch normales Verhalten?
    Ich finde ja den Datenhunger von Anwendungen wie WhatsApp extrem verhaltensauffällig – dies sieht Schlangenöl jedoch anders.Und auch an anderer Stelle können wir etwas über “Verhaltensprüfung” lernen – Dieselgate.
    Die Softwaresteuerung von Dieselmotoren erkannte ganz zuverlässig, wenn diese sich im Prüfungsmodus befanden – und haben sich dann ganz unauffällig verhalten.
    Und wir können wohl annehmen, dass dies den Herstellern von Schadsoftware auch gelingt – und der Prüfung durch Schlangenöl ganz normgerechtes Verhalten präsentiert.
  • Webcam- und Microphone-blocking:
    Ja, jetzt wird’s ja ganz gruselig – nun will das Schlangenöl also das überwachen, was ich möglicherweise komplett verhindern will:
    Das ungewollte Ausnutzen von Webcam und Mikrofon.
    Das ist keine Funktion, die wir – ich wiederhole mich – einer Software überlassen, die Closed Source ist und dauerhaft am Internet hängt und wir nicht wissen, wann diese Daten überträgt und wohin.
    Bei SmartTVs klemmen wir diese Funktion ja auch vollständig ab – weil wir nicht wollen, dass wir rund um die Uhr abgehört oder beobachtet werden – und jetzt sollen wir diese Kontrolle einer Software überlassen, von der wir nicht wissen, was sie im Hintergrund so alles macht?
    Niemals! sage ich.Nochmals zur Erklärung:
    Damit eine Software mitbekommt, wann jemand – unberechtigt – Zugriff auf Funktionen meines Computers hat, muss diese Software die Funktion (in diesem Fall Webcam und Mikrofon) dauerhaft selbst überwachen.
    Das will ich nicht.
    Der beste Schutz vor Beobachtung durch meine Webcam ist es, diese einfach abzukleben.
    Ganz analog.
  • Kinder überwachen:
    Also, wenn ich damit anfange, die Anwendungen und Geräte meiner Kinder zu überwachen, warum dann nicht gleich so weit gehen und ihnen einen Chip implantieren?
    Das hat nichts mit Sicherheit zu tun – das ist neurotischer Überwachungswahn, erwachsen aus einem falsch verstandenen Wunsch, unsere Kinder vor Schaden zu bewahren.Aber so funktioniert das nicht.
    Mit diesem eklatanten Verstoß gegen die Privatsphäre unserer Kinder und einem kaum wieder gut zu machenden Vertrauensbruch treiben wir unsere Kinder mit einem derartigen Verhalten nur noch weiter von uns fort.
    Wir müssen Kinder begleiten und durch das Vorleben von beispielhaftem Verhalten zu selbstbewussten Nutzern digitaler Kommunikationsmittel erziehen.
    Wir dürfen sie nicht durch Angst und Misstrauen zu obrigkeitshörigen Sicherheitsfanatikern verbiegen.
  • Sandboxing
    Unter Sandboxing verstehen wir das Ausführen verdächtiger Dateien in einem geschützten Bereich – eben einer Sandkiste.
    Wir denken dabei nicht an eine Sandkiste im Kontext von Förmchen und Sandkuchen (auch nicht den Sandkuchen – verfressene Bande!).
    Sondern wir stellen uns dabei eine Sandkiste im Hinblick auf Blindgänger und Entschärfung von illegalen Feuerwerkskörpern vor.
    Kra-Wumm! eben.
    So eine Sandkiste haben wir im Hinterkopf, wenn wir von “Sandboxing” reden.
    Das Sandboxing ist aktuell der neueste “heiße Scheiß” der Schlangenölbranche – und war ursprünglich als der Heilsbringer beim Schutz gegen Schadsoftware gedacht – und wurde dann in der Branche rumgereicht wie der heilige Gral.
    Dummerweise eben der schön verzierte, golden glänzende.
    Und wir wissen ja, was mit Walter Donovan passierte, als er vor Indiana Jones aus diesem Becher getrunken hat…
    Der heilige Gral der Schlangenölbranche – äh, moment, die Sandkastenspiele – haben vier Probleme.Raum, Zeit, interdimensionale Wurmlöcher und schlechte Laune.
    Nee, das jetzt nicht – also ist das zumindest noch niemandem auf die Füße gefallen.Das erste Problem von Sandboxing ist die Erkennung von Malware, die ich in der Sandbox detonieren will (das heißt wirklich so – kein Spaß).
    Wir können ja schließlich nicht alles erst in der Sandbox ausführen, um bei 95% der Dateien festzustellen, ah ja, alles in Ordnung.
    Pack deine Förmchen zusammen, raus aus der Sandkiste, genug gespielt – die nächste Datei bitte.
    Also brauchen wir hier wieder – ja, richtig – eine Verhaltenserkennung.
    Und die ist nachgewiesener Maßen miserabel.
    Was zur Folge hat, dass wir entweder mehr Dateien prüfen müssen (kostet Zeit) oder uns Schadsoftware durchrutscht (kostet auch Zeit – nur eben etwas später – und unsere Daten).
    Beides blöd.Das zweite Problem dabei ist, dass Schadsoftware erkennt, dass es in einer Sandkiste spielen soll.
    Und was macht die Schadsoftware?
    Ist ja nicht blöd, hat sich vorher mit seinen Kumpels über Dieselgate unterhalten und versteckt sein schadhaftes Verhalten (und grinst dabei schändlich).
    Ergo, Sandkiste bringt wieder nix.
    Und das dritte Problem – so eine Sandkiste ist eben auch nicht vollkommen sicher.
    Da fliegen beim Bomben entschärfen schon mal Splitter aus der Sandkiste raus – da will man am liebsten möglichst weit entfernt sein, sonst kann das böse ins Auge gehen.
    Und solches Verhalten (Ausbüchsen aus der Sandkiste, “Splitterwirkung” und ähnliches) kann Schadsoftware mittlerweile auch.
    Und nicht nur Splitterregen.
    Sicherheitsforscher haben mittlerweile erfolgreich den Ausbruch von Schadsoftware aus einer Sandbox nachgewiesen.
    Und dann ist die Schadsoftware halt mal ganz eifrig in unserem ganzen System zugange.Das verheerendste Problem von Sandboxing sitzt jedoch vor dem Computer.
    Der Anwender.
    Dieser lässt sich nämlich gestützt von der Fehlannahme, er sei jetzt durch eine Sandbox vor den schadhaften Auswirkungen von Malware geschützt, zu unsicherem und nachlässigen Verhalten verführen.
  • Auto-Updater
    Ach, seufz.
    Was für eine hanebüchene Idee (vermutlich mal wieder der Bequemlichkeit wegen).
    Ein Autoupdater.
    Für alle Programme.
    Da kann ich mir gar nicht vorstellen, was da schief gehen soll.
    Zum einen legt dieses Vorgehen wieder zuviel Macht in eine Hand.
    Warum soll jetzt meine AV-Suite entscheiden, wann die Software auf meinem System aktualisiert wird?
    Das sollen die Programme selbst erledigen – die wissen am Besten, wann eine neue Version erschienen ist.
    Zu behaupten, AV könne dies schneller erledigen als die Hersteller der jeweiligen Programme, muss zwangsläufig gelogen sein, wer könnte dies wohl besser als der Hersteller ???”Mit dem automatischen Software Updater sind Sie den neuesten Updates Ihrer anderen Apps voraus.” – Avast- das ist einfach eine vollkommen lächerliche und haltlose Werbelüge.
    Was ist, wenn die AV plötzlich einfach böse wird und schlicht behauptet, es gibt keine Updates für meine Programme?
    Oder plötzlich gefälschte Updates verteilt?
    Man würde dies als Anwender spät – oder gar nicht bemerken.

Ich habe mehrfach als Alternative zu einigen Ideen der Schlangenölbranche dedizierte Lösungen empfohlen.
Dies hat natürlich zur Folge, dass wir Bequemlichkeit einbüßen – aber wir gewinnen viel mehr dafür.
Wissen und Kenntnis.
Und das sind die wahren Waffen, die uns im Kampf gegen Schadsoftware helfen.

Das System ist kaputt – vergiss das System

Was aber sind die grundlegenden Probleme, weshalb Antiviren-Software nicht funktioniert?
Ich breche es auf die folgenden sieben Punkte herunter – die sieben Systemschäden.

  1. Signaturbasiert erkennt nur Bekanntes
    Klassischerweise erkennt Schlangenöl Schadcode dadurch, dass diese Schadsoftware von AV-Herstellern entdeckt wurde.
    Daraufhin bekommt dieser Schadcode eine Signatur – einen eindeutigen Identifikator.
    Diese Signatur wird an die Anwender des Antivirenprogramms per online-update verteilt, etwa zwei- bis viermal täglich.
    Damit sind die AV-Programme in der Lage, neu entdeckte Schadprogramme zu erkennen.
    Und das ist das Problem.
    AV erkennt nur Bekanntes.
    Eine Schadsoftware muss als solche erkannt und katalogisiert werden – alle anderen Verfahren (Verhaltensbasiert und Heuristiken – also Berechnungen von möglicher Schadhaftigkeit) sind einfach zu ungenau und führen entweder zu Fehlalarmen oder lassen Schadcode unerkannt passieren.
  2. Signatur-Updates sind zu langsam
    Dieses Problem hängt mit dem ersten Problem von AV zusammen.
    Die Zeitspanne zwischen Entdeckung einer neuen Schadsoftware und der Verteilung neuer Signaturen ist viel zu groß.
    Selbst im theoretischen kurzen Update-Intervall von zwei Stunden ist diese Zeitspanne lang genug, um selbst vermeintlich AV-geschützte Systeme mit dieser neuen Schadsoftware zu infizieren.
    Wir müssen im Hinterkopf behalten, wir bewegen uns im Internet.
    Ein weltumspannendes Netzwerk von Computernetzwerken, in welchem Daten in Sekunden übertragen werden können.
    Und dies nutzen die Hersteller von Schadsoftware aus.
    Erkannt wird ihr Schadcode (früher oder später).
    Aber der kurze Zeitraum zwischen Erkennen der Schadsoftware, Erstellen der Signatur und Update reicht aus für eine Infektion.
  3. Codesigning ist auch keine Lösung
    Codesigning – das “Unterschreiben” von Software – ist eine weitere angebliche Wunderwaffe der Software-Hersteller.
    Dabei soll sichergestellt werden, dass geprüfter und schadsoftwarefreier Code durch eine “Unterschrift” im Quelltext als sicher eingestuft wird.
    So eine im Quelltext signierte Software wird von AV besonders wohlwollend betrachtet und nahezu ungeprüft durchgewunken.
    Leider wurde das System Codesigning schon erfolgreich gebrochen.
    Dabei wurde unter einer gültigen Signatur Schadsoftware verteilt.
    Und damit hebelt man das System AV vollständig aus.
  4. Schlangenöl ist Software
    Und Software schwächt das System.
    Klingt fies, ist es auch.
    Aber wir müssen immer im Auge behalten, dass jede Software Fehler hat.
    Und Fehler werden von Angreifern ausgenutzt, um Schadsoftware in das angegriffene System zu bringen.
    Je mehr Software wir auf unserem System haben, desto mehr Angriffspunkte geben wir preis.
    Und AV ist ein Softwareprodukt.
    Und dieses enthält eben auch Fehler.
    Und AV hängt dauerhaft im Internet und bietet dadurch noch mehr Angriffspunkte.
    Und je umfangreicher die Funktionalität der AV-Suite wird, desto mehr Fehler enthält sie und desto größer ist die Angriffsfläche.
  5. Systematischer Fehler “always on”
    Die notwendige dauerhafte Verbindung ins Internet, um stets die aktuellsten Signatur-Updates zu bekommen, ist ein systematischer Fehler bei AV-Programmen.
    Diese dauerhafte Verbindung führt selbst bei (gerade aufgrund von hohen Sicherheitsanforderungen explizit vom Internet getrennten) Systemen zu Angriffsszenarien.
    Denn selbst bei solchen “airgapped” genannten Systemen gibt es oftmals – in Hinblick auf die erhöhten Sicherheitsanforderungen – Ausnahmen für Schlangenöl.
    Denn Schlangenöl bringt gar nichts mehr – das wissen die Anwender – wenn die Signaturen veraltet sind.
    Also darf – selbst bei airgapped Systemen – AV dauerhaft am Internet nuckeln.
    Und dieses Schlupfloch wird ausgenutzt – nicht etwa, um Schadsoftware in das System zu bringen, sondern um vertrauliche Daten aus dem System zu stehlen.
    Herzlichen Glückwunsch, Schlangenölhersteller, da habt ihr die Sicherheit ja phänomenal erhöht.
  6. Wer online prüft, verliert – Daten
    Das jüngst bei dem Schlangenölhersteller Carbon Black aufgetretene Datenleck zeigt eine weitere Lücke im System AV.
    Carbon Black – und auch andere AV-Hersteller – laden verdächtige Dateien zur weiteren Prüfung in die große Datenwolke hoch.
    Solche cloudbasierten Prüfungen haben den immensen Vorteil, dass angemietete Rechenkraft die Prüfung deutlich beschleunigt.Und sie haben den irrsinnigen Nachteil, dass es einfach Rechner anderer Leute sind, die hierzu eingesetzt werden.Jetzt müssen wir nur noch in unserem vermeintlich hochsicheren System dafür sorgen, dass eine vertrauliche Datei, die ich stehlen will, als verdächtig eingestuft wird.
    Schon wird mir diese Datei quasi auf meinem Wolkenteller präsentiert, weil sie ja zur cloudbasierten Prüfung hochgeladen wird.
    Dort muss ich mir diese Datei nur noch abholen.
    Vielen Dank, liebe Schlangenölhersteller, jetzt muss ich bei meinen Zielpersonen gar nicht mehr in ihr System einbrechen – ihr liefert mir die Daten frei Haus.
  7. Es ist der Schlangenölbranche einfach egal
    Wie sagt es Quark bei Deep Space Nine so treffend:

    "Krieg ist gut fürs Geschäft."

Warum sollte die Schlangenölbranche denn an einer Lösung des Problems interessiert sein?
Solange das Problem Schadsoftware existiert, verdient die Schlangenölbranche mit.
Je mehr Schadsoftware, desto besser.
Und vielleicht stecken ja wirklich die Ferengi hinter der Schlangenölbranche.
Mit Angst lassen sich noch am besten Waffen verkaufen.

Was hilft – was nützt – was wirklich schützt

Ich gebe meinen Vorsatz, meine Artikel auf einer positiven Note enden zu lassen, nicht auf.
Heute wird es klappen; hier kommen einige Ideen, was uns wirklich schützen kann – ganz ohne Schlangenöl.

  • Weniger (Software) ist mehr (Sicherheit)
    Weniger Programme bedeuten eine geringere Angriffsfläche und dadurch eine erhöhte Sicherheit.
    Deswege empfehle ich programmatischen Minimalismus.
    Beschränk dich auf das Notwendigste, sicherheitsaffiner Leser!
  • Digitale Hygiene
    Accounts, die wir nicht benutzen, löschen wir.
    Was wir nicht haben … kann uns nicht schaden
    (Es reimt sich. Und alles, was sich reimt, ist gut!)
  • Uffpasse!
    Augen auf im Datenverkehr – und Hirn einschalten.
    Erst nachdenken, dann klicken.
    Unsere digitale Achtsamkeit ist der allerbeste Schutz unserer Daten und unserer digitalen Identität.
    Weiterbilden, lernen, nachfragen und verstehen – dies sind die wirksamsten Schutzschilde für uns.

Wer sich bis hierher durchgekämpft hat – Glückwunsch!
Meinem Versprechen, auf einer positiven Note zu enden, füge ich an dieser Stelle auch das Versprechen hinzu, mich künftig kürzer zu fassen.
(wers glaubt…)

TL;DR

  • Wunderbare Werbewelt: Was Schlangenöl alles kann – nicht!
  • Nicht deine Baustelle: Was Schlangenöl anderen überlassen sollte
  • Systematically broken: Das System ist kaputt – vergiss das System
  • Was tun? Was tun? Was lassen?: Was hilft – was nützt – was wirklich schützt

Und heute zum Abschluss mein klarer Aufruf:
Gehet hin und löschet euer Schlangenöl von euren Systemen!
Hinfort! Vade retro, satanas!

Fragen? Anmerkungen?

teilen + spenden

Geislinger rät zur digitalen Selbstverteidigung

Geislinger Zeitung

Heute hat die Geislinger Zeitung einen Artikel von Ruben Wolff über meine Arbeit als Data Detox Berater und die hier beheimatete Manufaktur für digitale Selbstverteidigung veröffentlicht.

Dieser Artikel war das Ergebnis eines einstündigen, sehr spannenden Gesprächs mit Ruben Wolff über Themen wie Digitalisierung sich auf die Entwicklung der Arbeitswelt auswirkt und welchen Einfluss die Daten, die wir von uns preisgeben, haben.

Fragen? Anmerkungen?

Anmerkungen? Fragen?

teilen + spenden

teilen + spenden

Warum wir so leichtfertig unsere Privatsphäre aufgeben

Die Liste der Gegensätze ist lang und wird mit jedem neuen Thema, dem wir uns gegenüber sehen, um mindestens einen Punkt länger.

  • Sekt oder Selters?
  • Lackschuh oder Leguano?
  • Aufzug oder Treppe?
  • Batman vs. Superman

Und in diesem illustren Reigen wollte ich mit meinem Thema natürlich auch einen Beitrag leisten:

Bequemlichkeit vs. Privatsphäre

In diesem und den folgenden Artikeln mache ich mir Gedanken darüber, wie diese beiden Fixsterne – schwarze Löcher gar – miteinander konkurrieren und gegenseitig um unsere Aufmerksamkeit buhlen.

Ich werfe zunächst einen kritischen Blick darauf, was uns dazu treibt, unsere Privatsphäre zu leichtfertig aufzugeben.
Anschließend beleuchte ich das Thema, wie Bequemlichkeit unsere Privatsphäre gefährdet.
Gefolgt von einem aufmunternden und mutmachenden Aufruf, was wir tun können – zum einen um unseren inneren bequemen Schweinehund zu überwinden und zum anderen, um unsere Privatsphäre zu schützen.
Als Abschluss dieser Reihe mache ich mir dann noch einige unbequeme Gedanken (für mich und die anderen) über die Bequemlichkeit.

Dann fangen wir mal.
Oder, um es mit dem Joker zu sagen:

"And here we go."

Es ist halt so verdammt bequem

Nun, die Industrie arbeitet halt mit Hochdruck, Sahnetorten und allem möglichen anderen Lockmittelkram daran, uns um unsere Privatsphäre – im Tausch gegen ein Plus an Bequemlichkeit – zu bringen.
Und allein die Verlockung, ein Mehr an Bequemlichkeit zu erhalten, reicht für den durchschnittlichen Wald-und-Wiesen-Privatsphärengefährder aus, um seine Privatsphäre den Bach runter gehen zu lassen.

  • Den SmartTV bequatschen, damit dieser das Programm wechselt?
    Klar, her damit!
    Ach, dabei werde ich dauerhaft in meinen eigenen heiligen Hallen überwacht? Egal!
  • Das Auto starten, ohne aufwändig den Zündschlüssel anzufassen?
    Da mach ich mit!
    Oh, mein Auto kann mir deswegen geklaut werden, weil der Dieb ja gar nicht den Schlüssel in Händen halten muss?
    Achwas, passiert ja nur anderen.
  • Das Smartphone mit meinem Fingerabdruck entsperren?
    Ja, super – dann brauch ich mir gar kein Passwort mehr merken!
    Kann ja gar nix dabei passieren, weil den Fingerabruck hab ich ja immer bei mir und der kann ja gar nicht geklaut werden…
    Oder wie war das noch mit dem Chaos Computer Club und Wolfgang Schäuble?

Bequemlichkeit ist einer der größten Feinde der Privatsphäre.
Weil es halt so bequem ist.
Andersrum wird vielleicht eher ein Schuh der Erkenntnis daraus:
Es bedeutet eben einen gewissen Aufwand, seine Privatsphäre zu schützen.
Das ist halt unbequem.

  • Wir müssen für jeden Online-Dienst, den wir nutzen, ein eigenes, sicheres Passwort anlegen (und am besten eine eigene E-Mail Adresse).
    Das ist unbequemer, als überall das eingespielte Passwort (“geheim“) einzusetzen.
  • Es ist unbequemer, mit Bargeld zu bezahlen, als jeden Kaugummi durch einen nonchalanten Wisch mit der EC-Karte über das Bezahlterminal zu begleichen.
  • Ein physisch vorhandener Schlüssel schließt manuell langsamer (aber sicherer!) als ein cooles, biometrisch mit Fingerabdruck und Iris-Scan gesichertes Türschloß.

Privatsphäre und Bequemlichkeit sind schlicht zwei Wünsche, die sich diametral gegenüber stehen.
Da wird es schwer bis unmöglich, diese in Einklang miteinander zu bringen.
Wenn wir das Eine wollen, müssen wir Abstriche beim Anderen hinnehmen.

Unwissenheit essen Privatsphäre auf

Ich habe es bereits im Zusammenhang mit sicherem Surfen erwähnt, unsere Gegner sind zahlreicher als wir – und besser ausgebildet.
Wir müssen Wissen darüber auf- und ausbauen, wie wir unsere Privatpshäre schützen können, ansonsten werden wir immer weiter zurückgedrängt.
Unsere Freiheit wird Schritt für Schritt eingeschränkt.
Der Freiraum unserer Privatsphäre wird kleiner und kleiner.
Was wir dagegen tun können?

  • Wir können uns weiterbilden.
  • Wir können unsere selbstverschuldete digitale Unmündigkeit aufgeben.
  • Wir müssen unsere Unwissenheit aufgeben.

Es interessiert unsere Kontrahenten nicht, ob wir unsere Privatsphäre verlieren, weil wir unwissend sind.

"Ignorantia legis non excusat"

ist uns allen ein Begriff.
Uns ist klar, dass Unwissenheit uns nicht vor Strafe schützt.
Warum – so frage ich – verhalten wir uns dann hinsichtlich unserer Privatsphäre gerade so, als würde uns Unwissenheit vor Strafe schützen?
Wir gehen so fahrlässig mit unseren persönlichen Daten um, als gäbe es kein Morgen.
Wäre ein schuldhafter – und wir sind schuld daran, wenn wir unsere Daten verlieren (oder verschenken!) – Datenverlust ein Verbrechen, die Gefängnisse wären übervoll mit Datenverlustschuldigen!
Ich wiederhole mich – gern und mit inbrunst – wir müssen lernen, lernen, lernen!

Was geht mich meine Privatsphäre an?

Desinteresse ist ein weiterer Punkt auf der Liste der Risikofaktoren unserer Privatsphäre.
Mir ist klar, dass in unserer Zeit ein starker Fokus darauf liegt, möglichst an allem Interesse zu haben und auch zu allem eine Meinung zu haben.
Weiterhin ist mir auch klar, dass jeder der sein Thema nach vorn bringen will, sein Thema als das allerwichtigste Thema überhaupt (mit Abstand und Sternchen) ansieht.

Kein Waffenhändler argumentiert – neben den wundervollen Vorzügen der neuesten Tarnkappendrohne mit lasergesteuerten Präzisionsbomben – für die Rettung des einohrigen Sumpfdotterhuhns.
Das ist unproduktiv und lenkt einfach vom Thema ab.
Aber eine lasergesteuerte Präzisionsbombe von einer Tarnkappendrohne – das is halt wirklich wichtig.
Musste verstehn, ne?

Ja, da bin ich auch nicht anders.
Ich halte mein Thema auch für das wichtigste Thema überhaupt.
Aber meine Argumentation ist besser als die des Tarnkappendrohnen-liefernden Waffenhändlers:

Mir liegt die Freiheit am Herzen.

Ohne, dass ich dafür jemand anderen (der auf der falschen Seite der präzisionsgesteuerten Laserbombe steht) dafür in ein kleines Häufchen rauchende Asche verwandeln muss.

Nein, wir müssen uns nicht für alles interessieren.
Aber wir sollten uns dringend für das interessieren, was uns wirklich betrifft.
Und das ist nun mal unsere Privatsphäre.
Die geht halt uns etwas an.
Genau genommen geht sie nur uns etwas an.
Und um zu verhindern, dass sich jemand anderes um unsere Privatsphäre kümmert, müssen wir uns halt verdammt noch mal selbst darum kümmern.

Desinteresse ist keine Lösung.
Wenn wir uns nicht interessieren, dann löst sich das Problem über kurz oder lang von ganz allein.
Dann gibt es einfach kein “uns” mehr.
Dann wird der letzte Rest von Individualität, eigener Meinung, Freiheit – schlicht von Privatsphäre – einfach ausgelöscht.
Weil wir uns nicht gekümmert haben.

Komm auf die bequeme Seite – wir haben Kekse

Die Verlockungen der bequemen Seite sind halt sehr stark.

  • Es ist einfach bequem, sich mit einem Facebook-Account in jedem anderen Online-Account anzumelden.
  • Es ist halt so viel leichter, mit “ja” auf die Frage “Haben Sie payback?” (wenn die Frage in dieser nahezu grammatikalisch vollständigen Form gestellt wird) zu antworten, als zu sagen “Nein, habe ich nicht und mit diesem datensaugenden Überwachungssystem will ich nichts zu tun haben!“.
  • Es ist so viel praktischer, irgendwo in der Wohnung zu rufen:
    Hey Alexa (Siri, Cortana oder wie auch immer die nächste Überallwanze auch verniedlichend genannt wird), wie ist das Wetter heute?” anstatt einfach das Fenster aufzumachen und den Regen aufs Gesicht tanzen zu lassen.

Der Mensch (und da schließe ich mich mit ein) tendiert konstant zu einem höheren Maß an Bequemlichkeit.
Mit dieser Erkenntnis haben wir jetzt die Wahl (wir haben immer eine Wahl).

  • Entweder können wir diesem konstanten Sog nachgeben und uns stets auf eine neue Ebene der Bequemlichkeit heben lassen.
    (is nämlich voll bequem: für mehr Bequemlichkeit müssen wir aktiv gar nichts tun)
  • Oder wir kämpfen gegen unseren inneren Schweinehund (die bequeme Socke!) und verzichten auf die eine oder andere Bequemlichkeit und stärken damit unsere Privatsphäre.

Denn eines muss uns klar sein:
Mehr Bequemlichkeit geht immer mit weniger Privatsphäre einher.
Wenn wir den Schutz unserer Privatsphäre als Ziel haben, verzichten wir damit auf ein gewisses Maß an Bequemlichkeit.

Aber seien wir doch ehrlich:
Wie viel mehr Bequemlichkeit brauchen wir?

  • Ist eine manuell bediente Fernbedienung für unseren Fernseher nicht ausreichend?
  • Reicht uns nicht vielleicht doch eine funkgesteuerte Zentralverriegelung unseres Autos ?
  • Ist eine klassische Schließanlage an der Haustür – so eine mit einem echten Schlüssel – nicht vielleicht doch ausreichend?

Hip und der-neueste-heiße-Scheiß bedeutet nicht direkt “besser als etabliert und ausgereift“.

“Ich habe doch nichts zu verbergen”

Ehrlich, liebe Leser, ich könnt jedes Mal im Strahl spucken, wenn ich diesen Hohlphrasenschwachsinn höre.
Edward Snowden bringt es wirklich gut auf den Punkt, wenn er sagt:

„Zu behaupten, das Recht auf Privatsphäre sei nicht so wichtig, weil man nichts zu verbergen hat, ist, wie zu sagen; Das Recht auf freie Meinungsäußerung sei nicht so wichtig, weil man nichts zu sagen hat.“

Dieser alberne Dummfug, zu behaupten, man habe nichts zu verbergen, ist meiner Ansicht nach entweder vollkommen unreflektiert oder aus der falschen Annahme heraus, nur schlechte Menschen hätten Geheimnisse, entstanden.
Leute!
Wer ist denn bereit, die PIN seiner EC-Karte ans schwarze Brett zu hängen oder seine sexuellen Fantasien beim nächsten Familienfest auszubreiten?
Also, sind wir doch mal ganz ehrlich, atmen locker durch die Füße und sagen:

"Ja, ich habe etwas zu verbergen."

Geht doch.
Fühlt sich gut an, oder?
Weil wir jetzt an einem Punkt angelagt sind, von dem aus wir etwas für den Schutz unserer Privatsphäre tun können.

TL;DR

  • Die Katze beisst sich in den Schwanz: Es ist halt so verdammt bequem
  • Nix wissen hilft nix: Unwissenheit essen Privatsphäre auf
  • Mir egal: Was geht mich meine Privatsphäre an?
  • Die dunkle Seite: Komm auf die bequeme Seite – wir haben Kekse
  • Achtung, Brechreiz: “Ich habe doch nichts zu verbergen”

Wir müssen nicht zurück in die digitale Steinzeit – aber wir müssen uns klar machen, was uns erwartet, wenn wir nichts tun.
Also tun wir etwas.

Anmerkungen? Fragen?

Du kannst den Blog teilen + spenden !

Was kann mir jetzt noch helfen

Was bleibt jetzt noch zu tun?
Wir haben unsere Flotte zusammengestellt:

  • die Tarnkappen-Korvette zur unerkannten Aufklärung: den Tor Browser
  • unseren hochseetauglich aufgerüsteten Brot-und-Butter Fischkutter: den Firefox
  • unser Rettungsboot: den Vivaldi oder auch den Safari (sofern wir unter macOS die digitalen Weltmeere durchsegeln

Wir sind uns der Gefahren im virtuellen Ozean bewusst:

  • wir kennen Scylla und Charibdis mit Vor- und Zunamen (Theresa und Angela – was uns Homer verschweigen wollte).
  • wir haben gelernt, wie wir uns vor Datenpiraten, -kraken und informatorischen Saugrobotern schützen können.
  • wir erkennen die digitalen Untiefen, auch wenn sie nur mit ihren manipulatorischen Sirenengesängen locken.

Wir haben unseren Datenkutter kalfatert und mit Schwimmflügeln ausgerüstet.
Unnötigen Ballast haben wir über Bord geworfen und wir wissen, dass wir auch sonst sparsam mit unseren Datenrationen umgehen müssen – ansonsten werden wir bis auf unser letztes Seehemd ausgezogen – oder sogar noch weiter.

Also was bleibt jetzt noch zu tun?

Die Crew schulen.

Ich komme mir ein wenig wie eine Schallplatte vor, die hängen geblieben ist, weil ich in jedem Artikel zum Thema sicheres surfen immer wieder auf der Tatsache herum reite, dass Lernen essenziell wichtig für den Schutz unserer Privatsphäre ist.
Wir leben in einer Zeit der Machtasymmetrie und dieses Gefälle dürfen wir nicht noch mehr zu unseren Ungunsten verschieben.
Die dunkle Seite der Macht ist besser ausgestattet als wir:
personell, technisch und auch finanziell.

Daher ist es für die Verteidigung unserer Privatsphäre und unserer Freiheit so unerlässlich wichtig, dass wir unsere virtuellen Seemannsbeine trainieren und immer wieder trainieren.
Wenn wir Gefahren nicht kennen, kommen wir darin um – oder zumindest unsere Daten.
Der Gefahr ist es egal, ob wir sie kennen oder nicht – sie ist da.
Ignorance is bliss – aber nur bei Dingen, die uns nicht betreffen.
Wenn wir uns im digitalen Ozean den Luxus von Ignoranz leisten wollen, dann dürfen wir nicht surfen.
Sollte jemand dies hinkriegen, hat er meinen tief empfundenden Respekt.
Mein Ziel ist jedoch, meine Leser zu erfahrenen und mit allen virtuellen Wassern gewaschenen Digitalseebären zu schulen – und nicht zu technophoben Landratten zu ängstigen.
Darum mein Aufruf:

Lernt, Leute, lernt! - und lasst euch nicht verschrecken.

Regelmäßig Rettungsmanöver durchführen

So wie wir unser Hausboot regelmäßig ins Trockendock zur Wartung schippern müssen, so müssen wir für unsere virtuelle Flotte regelmäßig Sicherungen durchführen.
Ähnlich wie es im Rahmen einer Schifffahrt vollkommen fahrlässig ist, ohne Rettungsboote in See zu stechen, so ist es für uns Digitalmatrosen vollkommen unverantwortlich, ohne Backup zu arbeiten.
Mir gefällt der Spruch aus der Systemadministratoren-Riege:

Kein Backup - kein Mitleid.

Allerdings reicht es nicht, Rettungsboote an Bord zu haben.
Wir müssen auch regelmäßig Manöver durchführen.

Ach, wie schön sind doch diese Drills auf den Kreuzfahrtschiffen, wenn alle Passagiere mit ihren orangefarbenen Rettungswesten an Deck stehen und darauf warten, in die ihnen zugeteilten Rettungsboote verfrachtet zu werden.

Frauen, Kinder und Einhörner zuerst!
Drachen und Faulpelze erst später.

Und danach gibt’s dann für alle einen Aquavit zum aufwärmen.
Und genau dies sollten wir als versierte virtuelle Seefahrer auch machen.
Also – nicht mit dem Aquavit anfangen – den gibt’s erst hinterher.
Nein, regelmäßige Manöver durchführen.

Das beste Backup hilft uns nicht, wenn der Restore nicht klappt.
Wär ja auch echt blöd, wenn wir feststellen (sobald wir auf den Eisberg aufgelaufen sind) dass die Rettungsboote leck geschlagen, keine Riemen vorhanden und die Rettungswesten aufgrund von Sparmaßnahmen aus Pappmaché sind.
Schön blöd.
Darum prüfen wir regelmäßig die Tauglichkeit unserer Backups.
Nicht jedes Mal, aber ein ums andere Mal schon.
Weil nix blöderes, als im Katastrophenfall festzustellen, dass wir zwar ein Backup angelegt haben – sich dieses aber nicht wieder einspielen lässt.

Auf virtueller Schleichfahrt

Wir können auch ab und zu unsere Segelyacht im Hafen lassen und ein U-Boot nehmen.
Mit einem U-Boot sind wir – zunächst einmal – weg von der Oberfläche.

Die Entsprechung eines U-Bootes im virtuellen Weltmeer ist ein VPN-Tunnel.
Ein VPN – ein Virtual Private Network – errichtet gewissermaßen einen Tunnel, der unsere Kommunikation verschlüsselt, so dass kein Dritter diese auf dem Übertragungsweg mitlesen kann.
Darüber hinaus verschleiert ein VPN auch unsere geografische Position im digitalen Ozean – ganz so, als würden wir die Kompasse, Sonars und Echolote der Datenpiraten verwirren.
Der Einsatz eines VPNs lohnt sich immer dann, wenn wir einfach mal weniger Spuren als üblich hinterlassen wollen.

Unterwegs mit der eigenen Nebelbank

Eine weitere Möglichkeit, unsere wahren Interessen vor den neugierigen Augen der Datenkraten zu verbergen, ist der Einsatz von Obfuscation – Verschleierung.
In meinem letzten Artikel habe ich bereits das Add-on Adnauseam angesprochen.
Dieses nutzt die Technik der Obfuscation bereits, indem es wahllos auf jede Werbeanzeige klickt.
Ein Wort zur Beruhigung: Durch dieses wahllose Herumklicken fangen wir uns keine Schadsoftware ein, denn der Klick auf die Werbefläche wird nur simuliert, nicht wirklich durchgeführt.
Die technischen Details dazu sind hier erklärt.
Durch dieses All-you-can-click Verhalten von Adnauseam wird unser wahres Interesse an Produkten und Dienstleistungen vollkommen verschleiert – kein Datenauswerter kann jetzt noch etwas sinnvolles mit unseren Daten anfangen.
Und in genau diesem Gewand kommt ein weiteres Add-on daher:
TrackMeNot
Dieses Add-on zur Verschleierung unseres Surfverhaltens wurde von Helen Nissenbaum und Daniel C. Howe entwickelt und erzeugt einen Datennebel aus zufälligen Suchmaschinenanfragen, in welchem unsere wirklichen Interessen untergehen – das ist eine Form von Obfuscation.
Diese “Waffe der Schwachen” ist in meinen Augen ein legitimes Mittel, welches wir zur Verteidigung unserer Privatsphäre einsetzen können, dürfen und auch sollten.

Landgang!

Als weiteres – letztes – Mittel in unserem Kampf um unsere datentechnische Souveränität haben wir natürlich immer noch den Landgang.
Wir können – ganz im Geiste Robinson Crusoes – unser Seegefährt recyclen und eine gemütliche Hütte auf einer einsamen Insel daraus bauen.
Das ist ein drastischer Schritt, denn eine einsame Insel ist vor allem eines:
Einsam.
Und ganz so, wie es Robinson Crusoe erging, werden wir nicht dauerhaft allein bleiben.
Die (Daten-)Piraten finden uns auch auf unserer vom digitalen Ozean umgebenen einsamen Insel und dringen dort – an Land – in unsere Privatsphäre ein.
Das geschieht auch schon jetzt.
Google will seine digital korrelierten Ergebnisse zukünftig auch mit Daten aus der echten Welt verknüpfen.
Damit ist auch der Rückzug aus der virtuellen Welt keine Option mehr, um seine Privatsphäre zu retten.

Es ist aber auf jeden Fall ein Baustein in der Verteidigungslinie für unsere Privatsphäre.
Ein temporärer digitaler Landgang entzieht uns für eine gewisse Zeit dem allsehenden digitalen Auge und beschert uns Zeiten von Ruhe und nimmt uns aus der digitalen Hektik raus.
Jede Aktion, die uns unberechenbarer macht, hilft uns dabei, unsere Eigentümlichkeit, unsere Individualität und unsere Privatsphäre zu erhalten.
Daher mein Rat:

Nehmt euch ab und zu eine Auszeit und geht mal wieder an Land!

TL;DR

  • Surfer müssen lernen. Lernen. Lernen! – Die Crew schulen.
  • Alle Mann an Deck: Regelmäßig Rettungsmanöver durchführen
  • U-Boote im digitalen Weltmeer: Auf virtueller Schleichfahrt
  • Obfuscation: Unterwegs mit der eigenen Nebelbank
  • Der letzte Ausweg, Robinson: Landgang!

Ihr habt euch euer virtuelles Offizierspatent redlich verdient.
Genießt euren Erfolg.
Sonnt euch auf dem Deck eurer 12-m-Yacht. Ich wünsche euch immer eine Handbreit Wasser unterm Kiel – und Augen offen halten – die Gefahren bleiben bestehen, es gibt noch viel unentdecktes Meer dort draußen.

Fragen? Anmerkungen?