Sicherheit, IT
Wie sicher kann man sein und was bedeutet sicher.
von Tobias Lamers vom 14.02.2021 // 17:36 Uhr
Heute möchte ich mich dem Begriff der Sicherheit™ insbesondere in der IT (Information Technology) nähern:
Sicherheit (lateinisch sēcūritās zurückgehend auf sēcūrus “sorglos”, aus sēd “ohne” und cūra “(Für-)Sorge”) bezeichnet einen Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird.
Aus dieser Definition lässt sich der subjektive Charakter von Sicherheit™ ableiten . Sorge setzen wir in einen persönlichen Bezug und sorgen uns um Dinge die uns wichtig sind.
Sicherheit™ ist also Sorglosigkeit? Wohl kaum!
Heutige IT-Systeme sind weltweit vernetzt und mit damit sind nicht nur die komplexeren Router und Server von Technolgiegiganten gemeint. Netzwerkfähige Geräte, sei es das Smartphone oder die unzähligen IOT-Geräte (Kühlschränke, Thermostate, Zahnbürsten, Kameras usw.), sind praktisch von jedem Ort mit einem Internetzugang erreichbar. Das macht das Internet möglich. Neben den Möglichkeiten des offnen Austausch von Informationen, des Handels, der Kommunikation, birgt es auch Risiken. Ähnlich unserer Gesellschaft, verfolgt jedes Subjekt (oder Kollektiv) in diesem Netzwerk eigene Ziele und diese können von Fall zu Fall mit unseren eigenen konkurrieren. Diese Zielrevalität bedroht unsere Sicherheit bzw. bedroht unser Gefühl der Sorglosigkeit.
Damit alle IT-Systeme sorglos nutzen können, bedarf es eines Grundwissens der möglichen Risiken und daraus abgeleitet den Aufbau von Abwehrmaßnahmen, damit jede:r von uns ruhig schlafen kann. Das Ganze hat einen Haken:
Sicherheit™ steht in Relation zum Engagement die Sicherheitsmaßnahmen zu überwinden. Der Grad von Sicherheit ist demnach am Einsatz von Ressourcen zur Verteidigung gegen Risiken zu messen. Ein Beispiel ist die Geschichte von den drei kleinen Schweinchen und dem großen bösen Wolf. Ein Holzholz ist sicherer als ein Strohhaus aber unserer als ein Steinhaus. Doch unter der Annahme, dass der Wolf einen ausreichend großen Sprengkörper einsetzt, wird das Steinhaus vermutlich auch nichts nutzen. Dies soll noch einmal hervorheben, dass Sicherheit kein absoluter Zustand ist, sondern ein kontinuierlicher Prozess der Anpassung, Reaktion und Vorbereitung.
Diesen Umstand zu verstehen, ist grundlegend für die Ausgestaltung von Sicherheitsstrategien. Sei es zum Schutz der eigenen Privatsphäre oder relevanter Firmen- und Wirtschaftsdaten.
Ich nutze gerne das Trademark (™) um hervorzuheben, dass Sicherheit auch ein Ware darstellt, also eine monetarisierbare Eigenschaft, sei es nun der Virenscanner, die Alarmanlage, der Airbag oder die:der Sicherheitsberater:in. Sicherheit kostet etwas, allerdings hilft Geld allein nicht, denn es gilt Grundlegend zu verstehen, wie man sich absichert.
Dazu zu gegebener Zeit mehr hier.
perma-link: 202102141736_Securitas.md
Sicherheit, Telegram, Messenger
Wir haben hier eine Dépêche, aber das Siegel ist dem Postreiter leider zerbrochen...
von Tobias Lamers vom 23.01.2021 // 22:09 Uhr
Warum Telegram keine Alternative ist? Tja, dazu komme ich im zweiten Schritt.
Zu nächst möchte ich mal das Gefühl beschreiben, wie ich mich auf Telegram fühle. Dazu sollte man wissen, das Telegram auch Gruppen bietet und diese scheinen aus irgendeinem Grund eine spezielle Vertretungen der Gattung Mensch anzuziehen. Die Gruppen können öffentlich oder geschlossen und geheim angelegt werden und eine solche Gruppe kann bis zu 200.000 Mitglieder haben. Die Gruppe dieses veganen Kochs mit zweifelhaften Gemütszustand aus Berlin hat es bereits bis in die Bundespresse geschafft ^1. Aber ich muss gar nicht so weit schauen! Mach ich mein Telegram auf und schaue mal auf die groups nearby, könnte ich wahlweise faschistischen und antisemitischen Theorien lauschen, Sex kaufen oder "Holland gute materiaal" erwerben. Also findet mach sich irgendwo zwischen Theke, Stadtrand und Bahnhof wieder. Manchmal sind die Abgründe noch tiefer ^2.
Nun aber zu meinen Bedenken in Richtung Privatsphäre . Telegram unterscheidet zwischen zwei Verfahren die Chats zu verschlüsseln:
- Der Standard (sog. Cloudchats): Die "privaten" und Gruppenchats werden für den Transport verschlüsselt, also zwischen Endgerät (z.B. Handy) und dem Telegram-Servern. Die Chatdaten werden also nicht zwischen zwei Endgeräten ausgetauscht sondern verschlüsselt auf den Telegram-Servern abgelegt und damit hat das Unternehmen selbst und im Zweifel Dritte Zugriff auf die Chats - denn der Schlüssel steht dem Unternehmen zur Verfügung.
- Der geheime Chat: Über eine extra Option kann man mit einer Person einen geheimen Chat starten. Dieser ist end-to-end, also vom einen Endgeräte zum anderen Endgeräte, verschlüsselt. Der Verschlüsselungsalgorythmus ist anerkannt und da Verfahren kann auf der FAQ-Seite von Telegram eingesehen werden^3.
Was meine meine Bedenken noch schürt, ist zum Beispiel der Umstand, dass unklar ist wo sich die Verantwortlichen befinden, nach eigenen Angabe befindet sich das Entwicklungsteam derzeit in Dubai ^4. Die Gründer mussten Russland nach anhaltenden Konfrontationen mit der russischen Staatsführung verlassen^5. Wo die Server betrieben werden, ist eben so unklar. Die Finanzierung ist unklar, aber noch in diesem Jahr soll der Dienst monitarisiert werden, was immer das auch heißen mag.
Und während ich das schreibe denke ich, wer im Schatten lebt, fühlt sich dort entweder zu hause oder hat Angst. Beides nicht die besten Voraussetzungen, um mein Vertrauen zu gewinnen.
Verfügbarkeit und Featureset ^6, sind ansich gut, schade nur das die Gesellschaft dort nicht meine ist und die sogenannten Cloudchats ein anderes das Sicherheitsniveau haben, als ich mir das vorstelle. Somit stellt Telegram für mich auch keine angemessene Alternative dar.
perma-link: 202101232209_Die_Depeche.md
Sicherheit, WhatsApp, Messenger
Die Spinne spinnt ihr Netz...
von Tobias Lamers vom 16.01.2021 // 17:39 Uhr, überarbeitet am 24.02.2021 // 7:52 Uhr
Wie jedes Jahr im Januar überkommt mich dieses Gefühl, zu wenig für meine Rechte auf informationelle Selbstbestimmung und den Schutz meiner Daten zu tun. Die Wochen nach dem Chaos Communication Congress^1 sind geprägt von Begeisterung für Technik und der Erkenntnis, dass das Leben im Netz gefährlich ist. Deshalb gilt:
IT'S DANGEROUS TO GO ALONE! TAKE THIS.
Zum selben Zeitpunkt überlegt sich Facebook "WhatsApp" doch näher an die interne Datamining-Plattform heranzuziehen. Natürlich geht es Facebook dabei nicht um meine bzw. eure Daten. Facebook verweist darauf, dass die Privatsphäre von Chats in Europa durch dieses Vorhaben keineswegs beeinträchtigt wird^2. Entgegen Facebooks Verweis
[...]There are no changes to WhatsApp's data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.[..]
- Niamh Sweeny (Director of Policy for WhatsApp) auf Twitter
darauf, die Privatssphäre zu achten, besteht kein Schutz meiner bzw. eurer Daten, sofern ihr den Dienst nutzt. Denn das Privacy Shield Abkommen, welches aufgrund des mangelnden Datenschutzesniveaus vom Europäishen Gerichtshof (EGH) für ungültig erklärt wurde, sichert die Europäischen Datenschutzstandards nicht mehr.
Also lieber selbst aktiv werden und eine passende Alternative zu Whatsapp suchen.
Welchen Einfluss Facebook hat, habt ihr wohl auch schon gemerkt haben. Facebook hat eine enorme Macht über Informationen und deren Steuerung. So nutzen 2,7 Milliarden Menschen einen der Facebookdienstn ^3. Das sind 34,7 % der Weltbevölkerung ^4 bzw. 59,4 % derjenigen mit einem Zugang zum Internet^5. Die Dimension hat mich erschreckt. Eine derart monopolistische Position verzerrt nicht nur wirtschaftliche Prozesse (z.B. Marktchancen von Alternativen), mit diesem Durchdringungsgrad ist Facebook in der Lage politische Entscheidungsprozesse zu beeinflussen ^6.
Die Aussagen des Konzerns zu WhatsApp sind zunächst beruhigend formuliert. Die verschlüsselten Chats (also die Inhalte) sind weiter sicher™, doch tatsächlich ist das aufgrund der ungeheuren Datenmengen auch eher ein nachrangiges Ziel. Wichtiger für Facebook sind eure Metadaten, also mit wem kommuniziert ihr und zu welcher Zeit an welchem Ort? Wie viele Fotos und Videos verschickt ihr, welche Nachrichten bzw. Inhalte haben denselben Hash, welches Endgerät nutzt ihr usw.
Der Hash ist ein auf die Daten errechneter Wert, der mit hoher Wahrscheinlichkeit eindeutig ist. Ein Hash kann auch über verschlüsselte Daten hergestellt werden. Damit ist einfach zu überprüfen, ob eine Nachricht denselben Inhalt hat, ohne den Inhalt zu kennen.
Ein Beispiel:
Photo 1: md5-hash 6a0816dc6a75d6e17fbacbbe3806e91e
Photo 2: md5-hash 90eda14638a2495c7cb71a3b62bee2db
Der Hash verändert sich nicht, solange das Photo nicht verändert wird. Wenn das Photo nun geteilt, wird kann sehr einfach nachvollzogen werden, wie sich ein Photo verbreitet. Wenn das Photo nun z.B. auf Facebook durch eine einzelne Person unverschlüsselt veröffentlicht wird, kann Facebook trotz Verschlüsselung in Whatsapp erkennen, welcher Inhalt zwischen welchen Personen geteilt wird - also doch nicht so ganz geheim.
Ich höre in Diskussionen oft, dass Facebook mit diesen Daten nichts anfangen könne. Doch das ist nicht richtig. Facebook (u.a.) geht es gerade darum, Netzwerke zu erkennen und die Datenpunkte einer WhatsApp mit den vorhandenen Daten ihrer anderen Dienste zu verknüpfen. So entstehen Profile, mit denen sich Geld verdienen lässt. Wer teilt Inhalte mit wem, welche Medien werden geteilt und welche Inhalte werden oft auf Instagram angeklickt. Diese Daten lassen sich nun verkaufen oder stehen Sicherheitsbehörden^7 und Kriminellen ^8 zur Verfügung. Facebook steuert meine Interessen, indem es Informationen auf seinen Diensten einblendet und so eine informationelle Blase schafft, die zwar meine Interessen abbildet, mich aber bewusst auf diese beschränkt.
Seit Jahren benutze ich nun Threema, einen Dienst, den ich für mich als sicher™ eingestuft habe. Mittlerweile ist der Quellcode veröffentlicht ^9 und grundsätzlich gilt der Ansatz: Wenn ich für ein Produkt bezahle, bin ich nicht selber das Produkt. Allerdings erlebe ich mit Threema in der täglichen Nutzung immer wieder Probleme. Zum einen ist die Benutzer:innen-Basis ziemlich klein (liegt wohl am unverschämt hohen Preis von ca. 4,00 € 😉 ); zum andern kommen Push-Nachrichten (die Meldungen im Homescreen) verzögert an, die Verbindung baut nicht adhoc auf oder bricht sogar ab. Schlecht um Freunde:innen, Familienmitglieder und Kollegen:innen von meiner Leidenschaft für datenschutzkonformes Kommunizieren zu überzeugen.
Signal habe ich auch schon vor Jahren ausprobiert, der Dienst war zu der Zeit nicht weit verbreitet und ich konnte niemanden aus meinem sozialen Umfeld über Signal erreichen. Die derzeitige Immigration von WhatsApp hat das verändert.
Aus folgenden Gründen ist Signal für mich eine gute Alternative:
- Signal beherrscht alles was ein Messenger leisten muss:
- Nachrichten zwischen Einzelpersonen
- Gruppenchats (max. 1000 Teilnehmer:innen)
- Fotos und Videonachrichten
- Sticker / Gifs über Giphy^10
- Video und Sprachanrufe
- Signal ist kostenlos. Es gibt weder Werbung noch werden die Daten verkauft.
- Die Signal Foundation ist eine Non-Profit-Organisation und Spenden finanziert. Jeder kann an den Dienst spenden. Das hat auch Brian Acton mit seinem Erlös aus dem WhatsApp-Verkauf in Höhe von 50 Millionen Dollar gemacht.
- Der Austausch von Textnachrichten/Medien muss asynchron erfolgen, da Nachrichten zu unterschiedlichen Zeitpunkten geschrieben und gelesen werden (anders als bei Video- oder Sprachanrufen). Das bedeutet, dass die Nachrichten auf den Signal-Servern zwischengespeichert werden. Die Verschlüsselung dieser Nachrichten erfolgt Ende-zu-Ende ^11. Auch wenn der Transport der Nachricht über die Signalserver läuft, sind die Informationen sicher, da der Schlüssel zum entschlüsseln lediglich den Endgeräten bekannt ist. Die Signal Foundation hat damit keinen Zugriff auf die Kommunikation. Allerdings fallen auch hier Metadaten an. Die gesamte Kommunikation (Chats, Bilder, Videos, Anrufe und Sticker) wird verschlüsselt.
- Signal ist ein Open Source Projekt, das heißt jede:r kann sich den Quellcode des Programs angucken. Das geschieht durch Nutzer:innen und so werden Bugs gefixt (Fehler behoben) und es ist sehr schwer Hintertüren oder Datenlecks einzubauen.
- Zahlreiche Aktivisten:innen und Sicherheitsexperten:innen empfehlen Signal als Messenger der Wahl.
- Die Datenschutzeinstellungen sind sehr detailiert/granular konfigurierbar.
- Nachrichten können mit einem Verfallsdatum versehen werden. Die Nachricht wird nach einer Zeit automatisch gelöscht.
- Edward Snowden empfiehlt Signal, nutzt es und lebt immer noch 😉.
Es gibt jedoch einen klaren Nachteil zu Threema. Um Signal nutzen zu können müsste ihr euch mit einer Telefonnummer verifizieren (die aber nicht die eigene sein muss ^12). Im eigentlichen Sinn handelt es sich um ein eindeutiges Identifizierungsmerkmal, welches aus Gründen der Vereinfachung die Telefonnummer ist. Der Datenaustausch erfolgt verschlüsselt und gehasht (s.o.) ^13
Erlaubt ihr Signal zusätzlich auf eure Kontakte zuzugreifen, synchronisiert der Dienst die Daten. Dies führt dazu, dass die in eurem Adressbuch gespeicherten Kontakte (gehasht und verschlüsselt) ohne euer Zutun eine Information darüber erhalten, dass ihr Signal nutzt. Benutzt ihr eine „fremde“ Telefonnummer ^12, fällt dieser Service weg, allerdings taucht diese Nummer dann bei euren Kontakten als weitere Kontaktinformation in eurem Profil auf, was ungünstig sein kann. Gleichzeitig zeigt ihr durch diesen automatischen Service allen Kontakten, dass ihr den Messenger nutzt und eure Nummer aktiv ist. Ich finde das teilweise unangenehm!
Derzeit wachsen die Nutzer:innenzahlen stetig an; zurzeit so stark, dass es teilweise zu Ausfällen auf den Servern kommt. Die Signal Foundation nimmt unablässig neue Server in Betrieb, um dem Ansturm zu bewältigen. Somit empfehle ich nicht direkt aufzugeben, sondern sich zu freuen, dass jetzt so viele Kontakte über Signal erreichbar sind.
Verschlüsselt kommunizieren zu können, ermöglicht es uns vertrauensvoll auch schwierige, kritische und sehr persönliche Dinge mit anderen zu teilen. Signal bietet uns - wie auch anderne Dienste - eine sichere™ Plattform für diesen Dienst und das kostenlos. Damit die Signal Foundation das leisten kann, ist sie auf Spenden angewiesen, zwar hab ich keine 50 Millionen Dollar übrig aber 2€^14 im Monat tun es auch.
Signal steht für iOS^15 und Android^16 zur Verfügung und bietet darüber hinaus eine gute Desktop-App^17.
perma-link: 202101161739_Die_Spinne.md