Crashkurs: Digitale Selbstverteidigung - Teil 2: Metadaten, sicheres Messaging & Browsing - LOAD eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Crashkurs: Digitale Selbstverteidigung Teil 2: Metadaten, sicheres Messaging & Browsing Burkhard Ringlein, Schatzmeister LOAD e.V. – Verein für liberale Netzpolitik Friedrich-Naumann-Stiftung für die Freiheit / Thomas-Dehler-Stiftung 01.02.2022
Digitale Selbstverteidigung Warum ich? Verteidigung? Gegen wen? Macht das nicht jemand Warum? anderes für mich? 1. Gegen kriminelle „Hacker“ Naja, es ist Alltag, wie 2. Gegen Überwachung Heute Schuhe binden oder essen... & Verfolgung → Gegen Freiheitsverlust
Digitale Selbstverteidigung – Teil 2 Agenda: 1) Hintergrund („Motivation“) – Tracking – Metadaten 2) Sicheres Surfen 3) Sichere Messenger 4) Alternative Suchmaschinen ...für alle! 5) „Gute“ Einstellungen Kein „Nerd-Wissen“ erforderlich! 6) → Ihre Fragen Ziel: Sie alle wissen wie „Tracking“ funktioniert, installieren sich gleich heute noch einen sicheren Messenger und bewegen sich sicher im Web! 4 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
„Überwachung“ & Ausbeutung ● Identitätsdiebstahl betrifft ~ 1% der Bevölkerung jährlich → Überwacht werden wir alle täglich ● Schwerpunkt hier: durch private Unternehmen, v.a. Anbieter von Apps und Webseiten ● Diese Unternehmen „machen“ unsere Daten zu viel Geld (€€€€) – Oft ungefragt & gegen unseren Willen (im Sinne einer bewussten Entscheidung) – Wir bekommen keinen (oder einen sehr geringen) Anteil von €€€€ – → „Ausbeutung“ & leichtere Manipulation ● Verwirrend? → Details folgen… 6 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Wert von Daten ● Es gibt viele Gründe gegen Überwachung zu sein… ...ich fange mal mit Geld an (und ja, es gibt viel wichtigere Gründe) ● Ein paar Eindrücke aus dem Handel mit Daten: – z.B. Liste mit 1000 Personen die z.B. Medikamente missbrauchen: $79 [5] – Aktive E-Mail-Adresse mit bekannten Interessen (für z.B. Luxus-Reisen): bis zu $251 [5] – Facebook zahlte für die Daten jedes WhatsApp-Nutzers 2014: ~$50 [6] ( → ging v.a. um das Adressbuch der Nutzer) – Umsatz von Google mit Werbeanzeigen 2020: 146.92 Milliarden $ [7] – Umsatz von PAYBACK in Deutschland (31 Millionen Kunden) 2019: 312.55 Millionen € [8] – Persönliche SCHUFA Bonitätsauskunft, pro Ausdruck: 29.95€ [9] ● → Milliardengeschäft...in der Regel ohne die Erzeuger der Daten (= uns) zu beteiligen… ● → basierend auf dem „Tracking“ (d.h. Verfolgung) unserer digitalen Aktivitäten 8 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Wie funktioniert „Tracking“? Dieser* Nutzer besucht mich gerade www.lokale-nachrichten.example Verfolgungs-Firmen: („Tracking“) Letztes Jahr Rundumüberwachung.com war er auf Mallorca Was-Macht-Mein-Nutzer AG Seine Brille ist Online Spurenleser GmbH zwei Jahre alt Meine Lieblingssuchmaschine Ich zahle dir 0.02€, wenn du ihm meine Anzeige anzeigst Werbeagenturen: Er hat neulich nach einer Waschmaschine gesucht Die Waschmaschinenverkäufer AG Ich zahle dir sogar 0.04€, Das Luxus Reisebüro wenn du ihm meine Anzeige anzeigst Danke, interessiert Verband Brillenverkauf mich nicht 9 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Wie kann man diesen Nutzer identifizieren? 1. Der Nutzer ist eingeloggt → eindeutig, sehr einfach 2. Der Browser des Nutzers wurde markiert → oft eindeutig, relativ einfach (bis nach diesem Kurs) Markierung erfolgt über „Cookies“: Kleine „Krümmel“ / „Ohrmarken“, die jede Webseite hinterlassen kann. „Ah, diese Ohrmarke kenne ich, die habe ich gestern einem Nutzer gegeben, der nach Waschmaschinen gesucht hat.“ ( 3. Der „Fingerabdruck“ dieses Browsers ist eindeutig → schwieriger, Kombination aus z.B.: genaue Browserversion, genaue Bildschirmauflösung, genutzte Sprachen… ) 10 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021 [4]
„Ich habe nichts zu „Geld ist mir egal“ verbergen“ „Schön, deinen Mitmenschen ist es vielleicht nicht egal…oder sie haben ein interessanteres Leben...“ 11 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Welche Rolle hat Frau B? Daten → Metadaten ● Metadaten = „Daten über Daten“ Schwangerschafts – Sind in der Regel viel -beratung aussagekräftiger 1. Anruf 40min Frau D. – Und einfacher auszuwerten 3. Anruf 70min Frau B. – Fallen auch bei verschlüsselten Verbindungen an 6. Anruf 2h 4. Anruf 20min ● „Meine“ Metadaten → häufig auch Metadaten der Anderen 2. versuchter Anruf Frau A. Was ist wohl der Inhalt dieses Gesprächs? 7. Anruf 20min 5. versuchter Anruf Abbruchklinik Herr C. 12 (c) BY-NC-SA 4.0 / B. Ringlein, LOADWelche e.V. /Rolle 2021hat Herr C?
Metadata kills ● Zitat von General Michael Hayedn, ehemaliger Direktor von NSA und CIA bei einer öffentlichen Debatte in 2014. [10] ● (Bezugnehmend u.a. auf den Drohnenkrieg) ● → „effektiver“ als Abhören und Übersetzen ● „es sind ja nur Metadaten...“ [11] 13 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Etwas „alltäglichere“ Beispiele (1/3) ● www.onlinestatusmonitor.com (2014) – Forschungsprojekt der Uni Erlangen-Nürnberg (FAU) – Daten vom WhatsApp-Online-Status (öffentlich) ● → u.a. Beruf, Arbeitszeit, Pendelzeit, Affären erkennbar ● 2014: bei 40% aller Scheidungsprozesse in Italien, denen Ehebruch zugrunde liegt, dienten WhatsApp-Nachrichten als Beweis [13] [12] [12] 14 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Etwas „alltäglichere“ Beispiele (2/3) ● „Sozialer Graph“ ● Hier: Darstellung aller Sportverein? Adressbuchkontakte ● Man erkennt z.B.: – Verein Arbeit/Kollegen – Kollegen – Familie – Etc…. ● → ohne, dass die Familie des Sie anderen gefragt Kollegen? werden... [14] 15 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Etwas „alltäglichere“ Beispiele (3/3) Hilfreiche Informationen auf Google Maps... [16] → basierend auf Auswertung von Standortdaten (passiv) 16 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Ja, aber...schadet der Datenschutz nicht „der Wirtschaft“ oder der Pandemiebekämpfung?!? ● ...Nein! ● Datenschutz bedeutet eigentlich nur: [26] Die Nutzer nach ihren Wünschen bezüglich Datenverarbeitung zu fragen, wenn kein Zweck existiert, der gesetzlich die Datenverarbeitung erlaubt. ● Wenn die Nutzer einverstanden sind, ist (fast) alles erlaubt – „Freie, informierte und bewusste“ Entscheidung vorausgesetzt – Möglicherweise als Teil von „anderen“ Verträgen – Anbieter muss mit den Daten sicher umgehen – Ausnahmen für: Daten von Kindern, Biometriedaten, etc. ● Die Nutzer müssen aber immer transparent informiert werden! 17 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Kleine Argumentationshilfe zu: „Wenn ‘der Datenschutz‘ etwas verhindert“ (frei nach Ulrich Kelber) ● Es gibt zwei Gründe, wenn „Datenschutz“ etwas verhindert: 1) Das fragliche Geschäftsmodell funktioniert nur, wenn der Kunde „über den Tisch gezogen werden soll“ 2) Man hat nicht lange genug nachgedacht, wie dieselbe (ehrliche) Funktion datenschutzkonform umgesetzt werden kann ● Gelegentlich gibt es noch einen dritten Grund: 3) Man hat mächtig Mist gebaut und braucht jetzt einen Sündenbock… 18 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Warum ich? Warum verteidigen? ● Ob wir wollen oder nicht: – Daten und Metadaten sind integraler Teil unseres Lebens – Es werden kritische Entscheidungen basierend auf Daten getroffen (Kreditwürdigkeit, Einstellung/Job, Impftermin, …) – Mit einem falschem Umgang gefährden wir nicht nur uns selbst, sondern auch unsere Familie + Freunde ● Es gibt keine „gute“ und „böse“ Technik → alles hängt von der Verwendung ab ● Empfinden von Privatsphäre → sehr individuelle Entscheidungen – „Freiwillig ins Unglück laufen“ → von mir aus… – Mitmenschen mit ins Unglück nehmen → Nein! ● Das Internet ist kein Neuland → es gibt viele & einfache Möglichkeiten, sich zu schützen ● ...muss aber jede/r selber lernen ● → dafür sind wir ja hier…. 19 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Sicheres Surfen
Wie war das mit den „Ohrmarken“? ● Cookies sind nützlich, z.B. beim E-Mail-Login oder anderen Webdiensten mit Anmeldung ● Aber sie ermöglichen auch Tracking → gute Mischung finden ● DSGVO etc.: Cookies stark reglementiert (theoretisch…) ● → Meine Empfehlung: – Im Browser „Third-Party-Cookies“ ausschalten – Mit Browser Plugins schützen: ● Blockieren „schädlichen“ Inhalt automatisch ● „lernen dazu“ 21 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021 [4]
HowTo: Third-Party Cookies blockieren ● Anleitung Firefox: https://support.mozilla.org/de/kb/Cookies-von-Drittanbietern-blockieren ● Anleitung Chrome: https://support.google.com/accounts/answer/61416?co=GENIE.Platform=Desktop&hl=de 22 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
HowTo: Browser Plugins ● Ich verwende EFF Privacy Badger und uBlock origin ● EFF Privacy Badger: https://privacybadger.org ● uBlock origin: – Chrome: https://chrome.google.com/webstore/detail/ubl ock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?h l=de – Firefox: https://addons.mozilla.org/de/firefox/addon/ub lock-origin/ 23 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
HowTo: Schutz überprüfen https://coveryourtracks.eff.org/ 25 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Sichere Messenger
Messenger („Kuriere“) ● …gibt es inzwischen im Dutzend ● Kernfragen: – (starke) Ende-zu-Ende-Verschlüsselung? – Zugriff auf das Adressbuch? Speicherung des Adressbuches? – Auch auf Laptop & PC verwendbar? – Verbreitung? [14] ● …es geht (auch) um die Daten der Anderen! ● Lange Diskussionen...aber eigentlich ist es recht einfach 27 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Es geht um Zustimmung! (Consent) Kommunikation ist sehr persönlich, selbst Metadaten können eine Menge über eine Person verraten. → Der Wunsch nach vertraulicher Kommunikation ist genauso wenig zu diskutieren wie der Wunsch nach sicherem Geschlechtsverkehr! [24]
Messenger: Die Alternativen ● ...auch bei der Wahl des Kommunikationskanals sollte man auf Mitmenschen Rücksicht nehmen. ● WhatsApp gehört zu Facebook – Gewinnorientiert – Speichert Adressbuchdaten dauerhaft – Berufliche Verwendung kann gegen DSGVO verstoßen ● Alternativen: Meine „Hitliste“: 1) Signal 2) Threema 3) (Matrix.org) 4) Wire 5) Verschlüsselte E-Mail Niemals: Telegram 29 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
HowTo: Sichere Kommunikation ● Signal: https://signal.org/install – Verfügbar für Android, iOS, Windows, Linux, Mac – Verwendet nur ein „gehashtes“ Adressbuch (d.h. der Server sieht keine Kontakte) – Verwendet beste Kryptographie – Finanziert durch Spenden ● Threema: https://threema.ch – Verfügbar für Android, iOS, Browser – (Auch für Firmen) – Keine Adressbuchfreigabe nötig – Kostet: ~4€ einmalig – Verwendet beste Kryptographie ● Gute Literatur: https://www.republik.ch/2021/02/24/kill-the-messenger https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/ whatsappalternativen-messenger-im-ueberblick-13055 30 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Alternative Suchmaschinen
Es gibt alternativen zu Google... ● z.B. Qwant: https://www.qwant.com – datenschutzfreundlich, aus Frankreich – (selbsttändige Suchmaschine) ● Oder: DuckDuckGo: https://duckduckgo.com – Verwendet „im Hintergrund“ andere Suchmachinen ● Am besten als „Standardsuchmaschine“ einstellen ● (Man muss sich vielleicht daran gewöhnen…) 32 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
„Gute“ Einstellungen
Berechtigungen am Smartphone ● (es wird generell immer besser) ● ...nur erlauben wenn unbedingt nötig! [25] 34 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Was man sonst noch machen kann... ● Standortverlauf im Handy ausschalten – Google Maps ist natürlich trotzdem „normal verwendbar“ – https://www.googlewatchblog.de/2020/04/google-maps-so-standortverlauf-deaktivieren/ ● W-LAN am Handy ausschalten, wenn man es nicht braucht (außer Haus) ● Wenn man ein Google Account hat, – kann man einstellen, dass der Verlauf nicht gespeichert wird – oder ihn immer mal wieder löschen – https://myaccount.google.com/data-and-personalization – (bei anderen Diensten geht das genauso) 35 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Lektüreempfehlung: (1/2) BSI: IT-Sicherheitsleitfaden für Kandidierende bei Bundes- und Landeswahlen https://www.bsi.bund.de/SharedDocs/Downloads/DE /BSI/Publikationen/Broschueren/Leitfaden-Kandidier ende 36 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Lektüreempfehlung: (2/2) Republik.ch: Nein, Instagram hört (sehr wahrscheinlich) nicht Ihr Handy ab https://www.republik.ch/2021/ 10/27/nein-instagram-hoert-se hr-wahrscheinlich-nicht-ihr-han dy-ab 37 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Zu guter Letzt…
Digitale Selbstverteidigung… ● ...ist kein Hexenwerk! ● ...kann jeder lernen! ● ...ist so einfach und notwendig wie z.B. ein Führerschein! ● Aber: – Es gibt keine „gute“ und „schlechte“ Technik – → Technik allein kann niemanden vollständig schützen Burkhard Ringlein – → Politische Rahmenbedingungen / Gesetze Schatzmeister / Treasurer – → ...auch das macht LOAD e.V. burkhard.ringlein@load-ev.de @0xcaffee ...freue mich LOAD e.V. - Verein für liberale Netzpolitik auf all Ihre Fragen! @loadev load-ev.de 39 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Appendix
Weitere Beispiele zu Metadaten ● Ein Samenspender bekommt von Facebook den Vorschlag, seinem biologischem Kind, das er nie kennengelernt hat, eine Freundschaftsanfrage zu schicken [25]. ● „Eine Psychiaterin erfuhr, dass Facebook einigen ihrer Patienten empfahl, sich auf dem Dienst gegenseitig zu befreunden.“ [25] 42 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
[15]
References (1/2) 1: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/2019/Jahrbuch/ pks2019Jahrbuch4Einzelne.pdf?__blob=publicationFile&v=4 2: https://de.statista.com/statistik/daten/studie/649357/umfrage/hoehe-der-finanziellen-schaeden-durch-identitaetsklau-in- deutschland/ 3: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/welche-folgen-identitaetsdiebstahl-im-internet-haben-kann- 17750 4: https://de.wikipedia.org/wiki/Ohrmarke#/media/Datei:Oeremaerke.jpg 5: https://blog.wiwo.de/look-at-it/2020/11/11/wie-viel-persoenliche-daten-wert-sind-markt-fuer-datenhandel-weltweit-200- milliarden-dollar/ 6: https://www.heise.de/newsticker/meldung/Vor-fuenf-Jahren-kaufte-Facebook-WhatsApp-wie-geht-es-weiter-4312349.html 7: https://www.statista.com/statistics/266249/advertising-revenue-of-google/ 8: https://de.statista.com/statistik/daten/studie/1088022/umfrage/umsatz-der-payback-gmbh/ 9: https://www.meineschufa.de/index.php?site=7&via=menu 10: https://www.justsecurity.org/10311/michael-hayden-kill-people-based-metadata/ 11: https://twitter.com/AlecMuffett/status/957628347617562624/photo/1 12: https://www.onlinestatusmonitor.com/data_summary/ 13: https://www.heise.de/security/meldung/WhatsApp-Was-der-Online-Status-ueber-die-Nutzer-verraet-2480333.html 14: https://www.asawicki.info/news_1453_social_graph_-_application_on_facebook 15: https://netzpolitik.org/2015/edward-snowden-ueber-ich-hab-nichts-zu-verbergen/ 47 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
References (2/2) 16: https://www.google.de/maps/place/Burgw%C3%A4chter/@49.4557089,11.0656689,15.38z/data=!4m8!1m2!2m1!1sBurgw %C3%A4chter!3m4!1s0x479f57b015cf46d3:0x5dfd440966b02c42!8m2!3d49.4575184!4d11.0766852 17: https://www.golem.de/news/imho-tag-der-unsinnigen-passwort-ratschlaege-1802-132533.html 18: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passwort-Tag-ist-gut-gemeinter-Unsinn-4293393.html 19: https://xkcd.com/936/ 20: https://de.wikipedia.org/wiki/Diceware 21: https://helmschrott.de/blog/diceware-passwort-sicher-einfach 22: https://linuxnews.de/2020/07/keepassxc-2-6-veroeffentlicht/ 23: https://www.heise.de/ratgeber/Passwoerter-systemuebergreifend-verwalten-und-synchronisieren-mit-Keepass-5064157.html? seite=all 24: https://www.brigitte.de/familie/schlau-werden/schmerzen-nach-der-geburt--helfen-gefrorene-kondome--10922016.html 25: https://www.republik.ch/2021/07/28/druecken-sie-nicht-erlauben-quittieren-sie-mit-ablehnen 26: https://i.kym-cdn.com/entries/icons/original/000/000/554/picard-facepalm.jpg 48 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Diese Präsentation wurde mit und dank Freier* Software erstellt * frei wie in freie Meinungsäußerung Mehr über Freie Software: 49 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Sie können auch lesen