There is no Safe Harbor

Da habe ich tatsächlich nicht damit gerechnet.Und gerade darum ist es umso schöner.
Also nicht, dass ich mit der Sicherheit meiner Daten die ich nach Amerika schicke gerechnet hätte. Nein, aber ich hatte tatsächlich nicht damit gerechnet, dass Europe vs. Facebook vor dem EuGH gewinnt.
Richtig, Max Schrems hat mit seiner Klage gegen Facebook gewonnen!
Zunächst will ich an dieser Stelle Max Schrems für sein Durchhaltevermögen, seinen Mut und sein Engagement danken.
Mir gibt dies Mut und das gute Gefühl, dass meine Arbeit an der richtigen Stelle ansetzt. Der Schutz der Privatsphäre beginnt bei mir selbst. Ich muss damit beginnen meine Daten zu schützen. There is no Safe Harbor. Gib deine Daten nicht raus, dann musst du dir auch keine Gedanken machen, welche fadenscheinigen Versprechungen die Datenkraken abgeben um deine Daten zu schützen.
Der einzige Safe Harbor für deine Daten ist bei dir selbst und nicht in irgendeinem transatlantischen Rechenzentrum.
Wir müssen einfach wieder zu Erkenntnis kommen, dass es eine schlechte Idee ist, seine Daten – ganz besonders seine wichtigen Daten wie z.B. Passworte – einem Cloud-Service zur Verfügung zu stellen.
Auch noch einem amerikanischen!
Amerika wo Datenschutz nicht einmal als Idee bekannt ist und Datensparsamkeit für ein Übel wie Welthunger gehalten wird, was bekämpft werden muss.
Nein, there is no Safe Harbor, denn Privatsphäre hat den wesentlichen Bestandteil doch schon im Namen: Privat.
Etwas was privat ist muss in erster Linie von mir selbst geschützt werden. Wir müssen wieder lernen, unsere Privatsphäre als etwas Unveräußerliches zu bewahren.
Ich rufe euch zu: Schützt eure Privatsphäre! Lernt digitale Selbstverteidigung! Macht eine Datenentgiftung!

Wir brauchen ein Opt-out aus dem Datensammelirrsinn in der realen Welt

Welche Möglichkeiten habe ich in der realen Welt zum data detoxing?
Diese Frage stelle ich mir seit einiger Zeit im Zusammenhang mit dem unsäglichen Datenhunger der Kundenkarten-Mafia.
Es ist ja mittlerweile fast egal wo ich einkaufen gehe, überall werde ich nach der einen oder anderen Kundenkarte gefragt:
“Payback?”
“DeutschlandCard?”
“GummibärchenClub?”
Nicht nur der abgrundtief traurige Mangel an kommunikativen Fähigkeiten schmerzt. Nein, auch die schiere Unausweichbarkeit der Frage ist nervtötend.
In der virtuellen Welt habe ich die Möglichkeit, mich von jedem störenden oder unpassenden Werbeangebot abzumelden.
Aber in der echten Welt bleibt mir dieser Ausweg verwehrt.
Klar, ich habe die Wahl diese Läden zu meiden und nur noch dort einzukaufen, wo sich diese schleichende Seuche der datenhungrigen Bedarfsoptimierer noch nicht durchgesetzt hat.
Nur darf das nicht der Weg sein.
Wenn uns in der virtuellen Welt ein Weg angeboten wird, ein Angebot auszuschlagen, dann muss uns diese Möglichkeit in der wirklichen Welt auch gegeben sein.
Und bis dahin schlage ich zivilen Ungehorsam vor: beugt euch nicht dem Diktat der Datenkraken!
Erleichtert euch und macht es diesen Datensammlern klar, dass es auch unglaublich nervt, ständig bedrängt zu werden eure Daten preiszugeben – für einen schlechten Preis auch noch 🙂
Marc-Uwe Kling hat das sehr schön in seinem Lied von der Verweigerung zusammengefasst.
Darum nochmal mein Aufruf:
Verweigert die Datenherausgabe um eure Privatsphäre zu schützen.

Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft.
Und fehlerhafte Software ist ein weiterer Angriffspunkt.
Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is „dead“ (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind.
Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt.
AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…

Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft. Und fehlerhafte Software ist ein weiterer Angriffspunkt. Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is “dead” (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind. Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt. AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…

Selfies kill Privacy

Bilder bei Instagram posten ist ja so viel Fun! Yay!
…entschuldigung, da ist mir die Zynismus-Sicherung durchgeknallt…
Nein, ganz ehrlich, es ist ja wirklich schön, mit seinen Lieben die Urlaubserlebnisse visuell zu teilen, oder das tolle Essen welches mir gerade serviert wurde.
Aber…
Großes Aber, denn wer hier seine Fotos mit der ganzen Welt teilt, sollte sich bewusst sein, dass er nicht nur das sichtbare Bild hochlädt.
Nein, denn im Hintergrund werden mit dem Bild noch eine ganze Menge Metadaten mit übertragen. Diese Daten verraten einiges über die Kamera, mit der dieses Bild gemacht wurde. Schon das allein interessiert die Datenkraken sehr, denn dann können sie das Profil, welches sie über mich erstellen, noch weiter verfeinern. Zum Beispiel, indem mir passgenau Werbung zu meinem Tablet oder meiner Funkgeige reingedrückt wird.
Was jedoch noch wesentlich interessanter ist, dass hier auch das Datum und die genaue Uhrzeit vermerkt ist, wann dieses Bild entstanden ist…
Schon das ist ein Datenpunkt, welchen ich nicht so gerne freiwillig preisgebe, sagt es doch schon sehr viel mehr über die Umstände des Fotos aus als das Bild allein verrät.
Das ist aber immer noch nicht alles. Es wird noch deutlich schlimmer.
Die Metadaten des Bildes verraten auch die exakte geographische Position, wo dieses Foto aufgenommen wurde.
Also haben wir jetzt durch die Anmeldedaten von Instagram, dem Zeitstempel und der geographischen Koordinaten eine wundervolle Möglichkeit der Überwachung geschaffen…und wir füttern diese Überwachung auch noch freiwillig und mit ganz viel Spaß dabei.
Yay!
So, ist uns jetzt ein bisschen übel geworden und haben wir jetzt ein klein wenig Schwindelgefühle?
Also mir ging es jedenfalls so, als mir das zum ersten Mal bewusst wurde.
Aber zum Glück sind wir dieser Überwachung nicht hilflos ausgeliefert.
Ich habe an dieser Stelle drei Ideen, was wir tun können, um uns dieser Überwachung zu entziehen.
Als erste, radikale Idee (uuhh…da kommt er wieder, der Mann mit dem Aluhut…): Postet nicht jeden Scheiß. Ehrlich, kein Mensch (nicht mal du selbst) interessiert sich in fünf Minuten noch für dein tolles Selfie, das du vor dem 78. Brückenpfeiler mal wieder von dir gemacht hast.
Weniger posten bedeutet einfach weniger Datenpunkte für die Überwacher.
Is’ klar, ne?
Die nächste Möglichkeit zur Reduktion der Überwachung liegt in der Bearbeitung der Metadaten des geposteten Fotos. Diese Metadaten sind als Exif-Daten jedem Bild beigepackt. Schöne Analogie zum Beipackzettel. Liest beides kein Mensch. Diese Exif-Daten kann man sich mit passenden Tools oder auch Online-Diensten wie z.B. the eXif.er anschauen…und bearbeiten!
Ja, damit haben wir die Möglichkeit, die Metadaten unserer zu postenden Fotos zu verändern (ganz wichtig: vorher machen! Nach dem ganzen geposte sind die Metadaten schon bei den Kraken, dann isch d’ Katz da Boom nuf). Ganz praktisch, aber auch ein bissel aufwendig.
[Update]
…aber…es gibt auch praktischere Möglichkeiten der Bearbeitung der Exif-Daten direkt in der Funkgeige. Damit wird dann das aufwendige Prozedere Bild machen – auf den Rechner hochladen – Metadata bearbeiten – Bild wieder auf die Funkgeige übertrage – Bild posten – deutlich reduziert.
Für Android gibt es die App Photo Exif Editor, mit dieser wird die Bearbeitung der Exif-Daten quasi im Handumdrehen direkt auf der Funkgeige durchgeführt.
Für iOS gibt es da Photo Data by (Exiƒ Photos), das erledigt die gleichen Aufgaben 🙂
Um die Überwachung – zumindest was die geographischen Koordinaten angeht – einfach und dauerhaft zu vermeiden, reicht es, die Ortungsdienste deiner Funkgeige oder deines Tablets auszuschalten. Keine Ortungsdienste, keine geographischen Koordinaten in den Exif-Daten.
Einfach und wirkungsvoll.
Puh, glück gehabt, jetzt bleibt halt nur noch der Zeitstempel stehen, der uns halt dann doch verrät, das wir, statt im Büro zu sitzen, im Park ausspannen…aber da hilft ja dann halt doch wieder nicht posten oder die Exif-Daten korrigieren 🙂
So, und jetzt wünsche ich euch allen einen schönen Tag voll toller Erlebnisse – offline!
[Update]
Bei FreeYourData wurde dieser Tipp zum Bearbeiten der Metadaten auch für die neue Episode Instagram-Leaks verwendet 🙂
Ich wünsche viel Spaß mit dem Interview mit Tin Fischer!

Niemals eins für alle

Passworte, oder besser noch Passphrasen, sind ein heikles Thema.
Wir alle müssen sie verwenden und für die meisten von uns ist es eine große geistige Herausforderung.
Wir sind nicht alle Gedächtnis-Experten und eine zwölf Zeichen (das ist übrigens der Standard, den das BSI empfhielt) lange sichere Kette von, ja eben Zeichen, wie a5&ck!R$9vNd zu merken ist schon eine Herausforderung…
Und es ist ja nicht eine solche Zeichenkette, die wir uns merken sollen.
Nein, es sind fünf, acht oder elf verschiedene Zeichenketten, je nachdem wie viele unterschiedliche Dienste wir nutzen und an wie vielen unterschiedlichen sozialen Netzwerken wir teilnehmen.
Da ist es nicht verwunderlich, dass wir oft dazu tendieren dasselbe Passwort immer und immer wieder zu verwenden.
Und genauso oft ist dieses Verhalten immer und immer wieder schlecht.
Aber wie kommen wir jetzt aus dieser Misere heraus?
Zunächst einmal beginnen wir mit den worten von yoda: “you must unlearn what you have learned.”
Warum? Soll ich jetzt alle meine Passwörter vergessen, die ich mir so mühevoll eingeprägt habe?
Ja!
Denn alles, was wir in den letzten zwanzig jahren über “sichere” Passwörter gelernt haben ist schlicht und einfach – falsch.
Die Passwörter die wir uns bisher gemerkt haben, haben zwei Dinge gemeinsam: Sie sind schwierig und leicht.
Leider in der falschen Verteilung, denn sie sind schwierig für einen Menschen zu merken und leicht für einen Computer zu erraten.
Ein zufälliges, zwölfstelliges Passwort ist für einen Mensch sehr schwer zu merken. Ein Computer kann dieses jedoch – ausreichend Rechenleistung vorausgesetzt – erraten.
Wenn wir jedoch eine Passphrase nehmen, also einen Satz den ich mir leicht merken kann und der keinen Zusammenhang mit mir hat, so habe ich ein Passwort, welches nahezu unmöglich zu erraten ist.
Eine schöne Zusammenfassung verschiedener Passwortstrategien habe ich hier bei MasterPasswordApp gefunden.
Wenn wir jetzt noch dazu übergehen, ein Tool einzusetzen, welches uns bei der Erzeugung und Verwaltung unserer Passwörter hilft, wie zum Beispiel MasterPasswordApp, dann haben wir unsere Passwort-Misere schon sehr gut im Griff.

Urlaub offline

Ein Urlaub ist ein prima Gelegenheit sich selbst wieder einmal einem Data Detox zu unterziehen 🙂
Genau das habe ich gerade gemacht.
Ich war einige Tage im schönen Bad Birnbach und habe vollkommenes offline-sein genossen. Kein Handy-Empfang. Nichts. Herrlich.
Das Apartment ist eine Oase der Ruhe und bietet alles, was ich für einen Urlaub zum Data Detoxen brauche: Ruhe, Natur und neue Eindrücke.
Mit Data Detox verhält es sich so wie mit Meditation:
Ein Meister kann sich überall detoxen, auch wenn um einen herum toxische Einflüsse sind.
Ein Anfänger sollte sich eine Umgebung suchen, die ihn in seinem Detox untestützt.
…und eine solche Umgebung habe ich in meinem Urlaub gefunden.
Dieser Urlaub hat mir viel gebracht: Ruhe, Erkenntnis und Kraft.

Glorifiziert die Werkzeuge nicht

Wir sollten alle im Blick behalten, dass wir bei der digitalen Kommunikation nur Werkzeuge benutzen.
Sobald wir anfagen, diese zu glorifizieren und eine Weltanschauung daraus machen, verlieren wir uns darin und den Zweck aus den Augen.
Es geht darum, entspannt und auf vielfältige Arten miteinander zu kommunizieren.
Es ist vollkommen belanglos, auf welchem System wir das tun, solange das System uns die Möglichkeit gibt, sicher und möglichst anonym miteinander in Kontakt zu treten.
Ob das System jetzt einen Apfel, einen Pinguin oder ein Fenster vor sich her trägt ist vollkommen egal.
Wenn wir anfangen uns über diese Symbole zu definieren und die anderen deshalb abzuwerten, machen wir uns noch lächerlicher als wir sowieso alle schon sind.
Bitte, haltet euch vor augen, wie es war, als wir noch mit Füller auf Papier geschrieben haben.
Es war dem Papier ganz egal, welcher Füller benutzt wurde und es war dem Empfänger noch gleichgültiger. Der Empfänger hat sich einfach gefreut, einen Brief von euch zu bekommen. Einen Brief, der liebevoll von Hand geschrieben wurde.
Hier war auch keine Werbung für das Papier oder die Tinte im Brief dabei, es ging einfach um den Inhalt.
Bringen wir unsere Kommunikation doch wieder an diesen Punkt, dass der Inhalt wichtig ist.
Das Werkzeug ist einfach das: ein Werkzeug.
Es soll seinen Zweck erfüllen, sichere Kommunikation. es soll nicht die Botschaft sein. Es soll diese nur transportieren.