Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft. Und fehlerhafte Software ist ein weiterer Angriffspunkt. Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is “dead” (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind. Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt. AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…

Selfies kill Privacy

Bilder bei Instagram posten ist ja so viel Fun! Yay!
…entschuldigung, da ist mir die Zynismus-Sicherung durchgeknallt…
Nein, ganz ehrlich, es ist ja wirklich schön, mit seinen Lieben die Urlaubserlebnisse visuell zu teilen, oder das tolle Essen welches mir gerade serviert wurde.
Aber…
Großes Aber, denn wer hier seine Fotos mit der ganzen Welt teilt, sollte sich bewusst sein, dass er nicht nur das sichtbare Bild hochlädt.
Nein, denn im Hintergrund werden mit dem Bild noch eine ganze Menge Metadaten mit übertragen. Diese Daten verraten einiges über die Kamera, mit der dieses Bild gemacht wurde. Schon das allein interessiert die Datenkraken sehr, denn dann können sie das Profil, welches sie über mich erstellen, noch weiter verfeinern. Zum Beispiel, indem mir passgenau Werbung zu meinem Tablet oder meiner Funkgeige reingedrückt wird.
Was jedoch noch wesentlich interessanter ist, dass hier auch das Datum und die genaue Uhrzeit vermerkt ist, wann dieses Bild entstanden ist…
Schon das ist ein Datenpunkt, welchen ich nicht so gerne freiwillig preisgebe, sagt es doch schon sehr viel mehr über die Umstände des Fotos aus als das Bild allein verrät.
Das ist aber immer noch nicht alles. Es wird noch deutlich schlimmer.
Die Metadaten des Bildes verraten auch die exakte geographische Position, wo dieses Foto aufgenommen wurde.
Also haben wir jetzt durch die Anmeldedaten von Instagram, dem Zeitstempel und der geographischen Koordinaten eine wundervolle Möglichkeit der Überwachung geschaffen…und wir füttern diese Überwachung auch noch freiwillig und mit ganz viel Spaß dabei.
Yay!
So, ist uns jetzt ein bisschen übel geworden und haben wir jetzt ein klein wenig Schwindelgefühle?
Also mir ging es jedenfalls so, als mir das zum ersten Mal bewusst wurde.
Aber zum Glück sind wir dieser Überwachung nicht hilflos ausgeliefert.
Ich habe an dieser Stelle drei Ideen, was wir tun können, um uns dieser Überwachung zu entziehen.
Als erste, radikale Idee (uuhh…da kommt er wieder, der Mann mit dem Aluhut…): Postet nicht jeden Scheiß. Ehrlich, kein Mensch (nicht mal du selbst) interessiert sich in fünf Minuten noch für dein tolles Selfie, das du vor dem 78. Brückenpfeiler mal wieder von dir gemacht hast.
Weniger posten bedeutet einfach weniger Datenpunkte für die Überwacher.
Is’ klar, ne?
Die nächste Möglichkeit zur Reduktion der Überwachung liegt in der Bearbeitung der Metadaten des geposteten Fotos. Diese Metadaten sind als Exif-Daten jedem Bild beigepackt. Schöne Analogie zum Beipackzettel. Liest beides kein Mensch. Diese Exif-Daten kann man sich mit passenden Tools oder auch Online-Diensten wie z.B. the eXif.er anschauen…und bearbeiten!
Ja, damit haben wir die Möglichkeit, die Metadaten unserer zu postenden Fotos zu verändern (ganz wichtig: vorher machen! Nach dem ganzen geposte sind die Metadaten schon bei den Kraken, dann isch d’ Katz da Boom nuf). Ganz praktisch, aber auch ein bissel aufwendig.
[Update]
…aber…es gibt auch praktischere Möglichkeiten der Bearbeitung der Exif-Daten direkt in der Funkgeige. Damit wird dann das aufwendige Prozedere Bild machen – auf den Rechner hochladen – Metadata bearbeiten – Bild wieder auf die Funkgeige übertrage – Bild posten – deutlich reduziert.
Für Android gibt es die App Photo Exif Editor, mit dieser wird die Bearbeitung der Exif-Daten quasi im Handumdrehen direkt auf der Funkgeige durchgeführt.
Für iOS gibt es da Photo Data by (Exiƒ Photos), das erledigt die gleichen Aufgaben 🙂
Um die Überwachung – zumindest was die geographischen Koordinaten angeht – einfach und dauerhaft zu vermeiden, reicht es, die Ortungsdienste deiner Funkgeige oder deines Tablets auszuschalten. Keine Ortungsdienste, keine geographischen Koordinaten in den Exif-Daten.
Einfach und wirkungsvoll.
Puh, glück gehabt, jetzt bleibt halt nur noch der Zeitstempel stehen, der uns halt dann doch verrät, das wir, statt im Büro zu sitzen, im Park ausspannen…aber da hilft ja dann halt doch wieder nicht posten oder die Exif-Daten korrigieren 🙂
So, und jetzt wünsche ich euch allen einen schönen Tag voll toller Erlebnisse – offline!
[Update]
Bei FreeYourData wurde dieser Tipp zum Bearbeiten der Metadaten auch für die neue Episode Instagram-Leaks verwendet 🙂
Ich wünsche viel Spaß mit dem Interview mit Tin Fischer!

Niemals eins für alle

Passworte, oder besser noch Passphrasen, sind ein heikles Thema.
Wir alle müssen sie verwenden und für die meisten von uns ist es eine große geistige Herausforderung.
Wir sind nicht alle Gedächtnis-Experten und eine zwölf Zeichen (das ist übrigens der Standard, den das BSI empfhielt) lange sichere Kette von, ja eben Zeichen, wie a5&ck!R$9vNd zu merken ist schon eine Herausforderung…
Und es ist ja nicht eine solche Zeichenkette, die wir uns merken sollen.
Nein, es sind fünf, acht oder elf verschiedene Zeichenketten, je nachdem wie viele unterschiedliche Dienste wir nutzen und an wie vielen unterschiedlichen sozialen Netzwerken wir teilnehmen.
Da ist es nicht verwunderlich, dass wir oft dazu tendieren dasselbe Passwort immer und immer wieder zu verwenden.
Und genauso oft ist dieses Verhalten immer und immer wieder schlecht.
Aber wie kommen wir jetzt aus dieser Misere heraus?
Zunächst einmal beginnen wir mit den worten von yoda: “you must unlearn what you have learned.”
Warum? Soll ich jetzt alle meine Passwörter vergessen, die ich mir so mühevoll eingeprägt habe?
Ja!
Denn alles, was wir in den letzten zwanzig jahren über “sichere” Passwörter gelernt haben ist schlicht und einfach – falsch.
Die Passwörter die wir uns bisher gemerkt haben, haben zwei Dinge gemeinsam: Sie sind schwierig und leicht.
Leider in der falschen Verteilung, denn sie sind schwierig für einen Menschen zu merken und leicht für einen Computer zu erraten.
Ein zufälliges, zwölfstelliges Passwort ist für einen Mensch sehr schwer zu merken. Ein Computer kann dieses jedoch – ausreichend Rechenleistung vorausgesetzt – erraten.
Wenn wir jedoch eine Passphrase nehmen, also einen Satz den ich mir leicht merken kann und der keinen Zusammenhang mit mir hat, so habe ich ein Passwort, welches nahezu unmöglich zu erraten ist.
Eine schöne Zusammenfassung verschiedener Passwortstrategien habe ich hier bei MasterPasswordApp gefunden.
Wenn wir jetzt noch dazu übergehen, ein Tool einzusetzen, welches uns bei der Erzeugung und Verwaltung unserer Passwörter hilft, wie zum Beispiel MasterPasswordApp, dann haben wir unsere Passwort-Misere schon sehr gut im Griff.

Urlaub offline

Ein Urlaub ist ein prima Gelegenheit sich selbst wieder einmal einem Data Detox zu unterziehen 🙂
Genau das habe ich gerade gemacht.
Ich war einige Tage im schönen Bad Birnbach und habe vollkommenes offline-sein genossen. Kein Handy-Empfang. Nichts. Herrlich.
Das Apartment ist eine Oase der Ruhe und bietet alles, was ich für einen Urlaub zum Data Detoxen brauche: Ruhe, Natur und neue Eindrücke.
Mit Data Detox verhält es sich so wie mit Meditation:
Ein Meister kann sich überall detoxen, auch wenn um einen herum toxische Einflüsse sind.
Ein Anfänger sollte sich eine Umgebung suchen, die ihn in seinem Detox untestützt.
…und eine solche Umgebung habe ich in meinem Urlaub gefunden.
Dieser Urlaub hat mir viel gebracht: Ruhe, Erkenntnis und Kraft.

Glorifiziert die Werkzeuge nicht

Wir sollten alle im Blick behalten, dass wir bei der digitalen Kommunikation nur Werkzeuge benutzen.
Sobald wir anfagen, diese zu glorifizieren und eine Weltanschauung daraus machen, verlieren wir uns darin und den Zweck aus den Augen.
Es geht darum, entspannt und auf vielfältige Arten miteinander zu kommunizieren.
Es ist vollkommen belanglos, auf welchem System wir das tun, solange das System uns die Möglichkeit gibt, sicher und möglichst anonym miteinander in Kontakt zu treten.
Ob das System jetzt einen Apfel, einen Pinguin oder ein Fenster vor sich her trägt ist vollkommen egal.
Wenn wir anfangen uns über diese Symbole zu definieren und die anderen deshalb abzuwerten, machen wir uns noch lächerlicher als wir sowieso alle schon sind.
Bitte, haltet euch vor augen, wie es war, als wir noch mit Füller auf Papier geschrieben haben.
Es war dem Papier ganz egal, welcher Füller benutzt wurde und es war dem Empfänger noch gleichgültiger. Der Empfänger hat sich einfach gefreut, einen Brief von euch zu bekommen. Einen Brief, der liebevoll von Hand geschrieben wurde.
Hier war auch keine Werbung für das Papier oder die Tinte im Brief dabei, es ging einfach um den Inhalt.
Bringen wir unsere Kommunikation doch wieder an diesen Punkt, dass der Inhalt wichtig ist.
Das Werkzeug ist einfach das: ein Werkzeug.
Es soll seinen Zweck erfüllen, sichere Kommunikation. es soll nicht die Botschaft sein. Es soll diese nur transportieren.

Was sind toxische Daten?

Wenn wir betrachten, warum wir die Entgiftung unserer Daten durchführen sollten, können wir zwei Seiten unterscheiden, die von der Toxizität der Daten betroffen sind:
Der Sender der Daten und der Träger der Daten.
Wenn Sender und Träger der Daten dieselbe Person sind, ist die Möglichkeit Einfluss auf die Giftigkeit der Daten zu nehmen am größten.
Wenn Alice Daten über sich selbst veröffentlicht, können sich diese Daten als toxisch für sie erweisen.
Aus diesen Daten wird ein Profil von Alice erstellt werden und diese Daten werden verwendet, um Alice zu überwachen.
Wenn Sender und Träger der veröffentlichten Daten unterschiedliche Personen sind, wird es für den Träger der Daten schwieriger, Einfluss auf die Toxizität der veröffentlichten Daten zu nehmen. Dies liegt zum Teil daran, dass der Träger der Daten möglicherweise gar nicht weiß, dass Daten über ihn veröffentlicht wurden.
Wenn Alice Daten von Bob veröffentlicht, können diese Daten sowohl für Alice als auch für Bob toxisch sein.
Zunächst sind diese Daten für Bob toxisch, da Bob gar nicht wollte, dass diese Daten veröffentlicht wurden. Aus diesen Daten kann nun ein Profil von Bob erstellt werden.
Andererseits sind diese Daten, die Alice über Bob veröffentlicht hat, auch für Alice toxisch.
Sind es falsche Daten, die Alice veröffentlicht hat, wird es ihren Ruf als Datenlieferant schädigen.
Sind es Daten, von denen Bob nicht wollte, dass sie veröffentlicht werden, sind diese Daten insofern toxisch, als dass sie die Beziehung zwischen Alice und Bob schädigen.
Falsche Daten über sich selbst zu veröffentlichen, um ein falsches Profil über sich zu erstellen, ist ein Trugschluss.
Denn Datensammler erstellen aus allen Daten ein Profil. Ihnen ist es egal, ob die Daten korrekt oder falsch sind.
Bei Big Data in der Wirtschaft zählt nicht die Korrektheit der Daten, hier zählt allein die Menge der gesammelten Daten.
Die Toxizität von Daten hat noch eine dritte Seite: Die Datenmenge.
Sobald zu viele Daten auf einen Menschen einströmen, werden auch diese Daten toxisch.
Sind Daten in kleinen Mengen sinnvoll und hilfreich, so wirkt eine Flut von Daten sehr schnell toxisch.
Dabei ist es egal, ob die Datenflut aus einer Quelle kommt, z.B. zu viele Nachrichten aus dem Instant Messenger, oder ob eine große Anzahl Datenquellen (Mail, Twitter, Zeitung und Facebook) jeweils eine kleine Datenmenge liefern. Zuviel ist einfach sehr schnell zuviel.
Daher ist hier als Quintessenz zu sagen: Datensparsamkeit hilft gegen toxische Daten.
Darum gilt für das Data Detox immer: weniger Daten ist mehr.