Crashkurs: Digitale Selbstverteidigung - Teil 2: Metadaten, sicheres Messaging & Browsing - LOAD eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Crashkurs: Digitale
Selbstverteidigung
Teil 2: Metadaten, sicheres Messaging & Browsing
Burkhard Ringlein, Schatzmeister LOAD e.V. – Verein für liberale Netzpolitik
Friedrich-Naumann-Stiftung für die Freiheit / Thomas-Dehler-Stiftung
01.02.2022
https://www.load-ev.de
Digitale Selbstverteidigung
Warum ich? Verteidigung? Gegen wen?
Macht das nicht jemand Warum?
anderes für mich?
1. Gegen kriminelle „Hacker“
Naja, es ist Alltag, wie 2. Gegen Überwachung
Heute
Schuhe binden oder essen... & Verfolgung
→ Gegen Freiheitsverlust
Digitale Selbstverteidigung – Teil 2
Agenda:
1) Hintergrund („Motivation“)
– Tracking
– Metadaten
2) Sicheres Surfen
3) Sichere Messenger
4) Alternative Suchmaschinen
...für alle!
5) „Gute“ Einstellungen Kein „Nerd-Wissen“ erforderlich!
6) → Ihre Fragen
Ziel: Sie alle wissen wie „Tracking“ funktioniert, installieren sich gleich heute noch
einen sicheren Messenger und bewegen sich sicher im Web!
4
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Hintergrund & Motivation
„Überwachung“ & Ausbeutung
●
Identitätsdiebstahl betrifft ~ 1% der Bevölkerung jährlich
→ Überwacht werden wir alle täglich
●
Schwerpunkt hier: durch private Unternehmen, v.a. Anbieter von Apps und Webseiten
●
Diese Unternehmen „machen“ unsere Daten zu viel Geld (€€€€)
– Oft ungefragt & gegen unseren Willen (im Sinne einer bewussten Entscheidung)
– Wir bekommen keinen (oder einen sehr geringen) Anteil von €€€€
– → „Ausbeutung“ & leichtere Manipulation
●
Verwirrend? → Details folgen…
6
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
http://www.stuttmann-karikaturen.de/karikatur/5060
Wert von Daten
●
Es gibt viele Gründe gegen Überwachung zu sein…
...ich fange mal mit Geld an (und ja, es gibt viel wichtigere Gründe)
●
Ein paar Eindrücke aus dem Handel mit Daten:
– z.B. Liste mit 1000 Personen die z.B. Medikamente missbrauchen: $79 [5]
– Aktive E-Mail-Adresse mit bekannten Interessen (für z.B. Luxus-Reisen): bis zu $251 [5]
– Facebook zahlte für die Daten jedes WhatsApp-Nutzers 2014: ~$50 [6]
( → ging v.a. um das Adressbuch der Nutzer)
– Umsatz von Google mit Werbeanzeigen 2020: 146.92 Milliarden $ [7]
– Umsatz von PAYBACK in Deutschland (31 Millionen Kunden) 2019: 312.55 Millionen € [8]
– Persönliche SCHUFA Bonitätsauskunft, pro Ausdruck: 29.95€ [9]
●
→ Milliardengeschäft...in der Regel ohne die Erzeuger der Daten (= uns) zu beteiligen…
●
→ basierend auf dem „Tracking“ (d.h. Verfolgung) unserer digitalen Aktivitäten
8
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Wie funktioniert „Tracking“? Dieser* Nutzer besucht
mich gerade
www.lokale-nachrichten.example Verfolgungs-Firmen: („Tracking“)
Letztes Jahr
Rundumüberwachung.com war er auf
Mallorca
Was-Macht-Mein-Nutzer AG
Seine Brille ist
Online Spurenleser GmbH zwei Jahre alt
Meine Lieblingssuchmaschine
Ich zahle dir 0.02€, wenn du
ihm meine Anzeige anzeigst
Werbeagenturen: Er hat neulich nach einer
Waschmaschine gesucht
Die Waschmaschinenverkäufer AG
Ich zahle dir sogar 0.04€, Das Luxus Reisebüro
wenn du
ihm meine Anzeige anzeigst Danke, interessiert
Verband Brillenverkauf mich nicht
9
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021
Wie kann man diesen Nutzer identifizieren?
1. Der Nutzer ist eingeloggt → eindeutig, sehr einfach
2. Der Browser des Nutzers wurde markiert
→ oft eindeutig, relativ einfach (bis nach diesem Kurs)
Markierung erfolgt über „Cookies“: Kleine „Krümmel“ /
„Ohrmarken“, die jede Webseite hinterlassen kann.
„Ah, diese Ohrmarke kenne ich, die habe ich
gestern einem Nutzer gegeben, der nach
Waschmaschinen gesucht hat.“
( 3. Der „Fingerabdruck“ dieses Browsers ist eindeutig
→ schwieriger, Kombination aus z.B.: genaue Browserversion,
genaue Bildschirmauflösung, genutzte Sprachen… )
10
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021 [4]„Ich habe nichts zu
„Geld ist mir egal“
verbergen“
„Schön, deinen Mitmenschen ist es vielleicht
nicht egal…oder sie haben ein interessanteres
Leben...“
11
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Welche Rolle hat Frau B?
Daten → Metadaten
●
Metadaten = „Daten über Daten“ Schwangerschafts
– Sind in der Regel viel
-beratung
aussagekräftiger 1. Anruf 40min
Frau D.
– Und einfacher auszuwerten 3. Anruf
70min Frau B.
– Fallen auch bei verschlüsselten
Verbindungen an
6. Anruf 2h
4. Anruf 20min
●
„Meine“ Metadaten → häufig auch
Metadaten der Anderen 2. versuchter Anruf
Frau A.
Was ist wohl der Inhalt
dieses Gesprächs? 7. Anruf 20min
5. versuchter Anruf
Abbruchklinik Herr C.
12
(c) BY-NC-SA 4.0 / B. Ringlein, LOADWelche
e.V. /Rolle
2021hat Herr C?Metadata kills
●
Zitat von General Michael Hayedn,
ehemaliger Direktor von NSA und CIA
bei einer öffentlichen Debatte in 2014.
[10]
●
(Bezugnehmend u.a. auf den
Drohnenkrieg)
●
→ „effektiver“ als Abhören und
Übersetzen
●
„es sind ja nur Metadaten...“
[11]
13
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Etwas „alltäglichere“ Beispiele (1/3)
●
www.onlinestatusmonitor.com (2014)
– Forschungsprojekt der Uni Erlangen-Nürnberg (FAU)
– Daten vom WhatsApp-Online-Status (öffentlich)
●
→ u.a. Beruf, Arbeitszeit, Pendelzeit, Affären erkennbar
●
2014: bei 40% aller Scheidungsprozesse in Italien, denen Ehebruch
zugrunde liegt, dienten WhatsApp-Nachrichten als Beweis [13]
[12]
[12]
14
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Etwas „alltäglichere“ Beispiele (2/3)
●
„Sozialer Graph“
●
Hier: Darstellung aller
Sportverein?
Adressbuchkontakte
●
Man erkennt z.B.:
– Verein
Arbeit/Kollegen – Kollegen
– Familie
– Etc….
●
→ ohne, dass die
Familie des Sie anderen gefragt
Kollegen?
werden...
[14]
15
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Etwas „alltäglichere“ Beispiele (3/3)
Hilfreiche Informationen auf Google Maps...
[16]
→ basierend auf Auswertung von Standortdaten (passiv)
16
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Ja, aber...schadet der Datenschutz nicht
„der Wirtschaft“ oder der
Pandemiebekämpfung?!?
●
...Nein!
●
Datenschutz bedeutet eigentlich nur:
[26]
Die Nutzer nach ihren Wünschen bezüglich Datenverarbeitung zu fragen,
wenn kein Zweck existiert, der gesetzlich die Datenverarbeitung erlaubt.
●
Wenn die Nutzer einverstanden sind, ist (fast) alles erlaubt
– „Freie, informierte und bewusste“ Entscheidung vorausgesetzt
– Möglicherweise als Teil von „anderen“ Verträgen
– Anbieter muss mit den Daten sicher umgehen
– Ausnahmen für: Daten von Kindern, Biometriedaten, etc.
●
Die Nutzer müssen aber immer transparent informiert werden!
17
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Kleine Argumentationshilfe zu:
„Wenn ‘der Datenschutz‘ etwas verhindert“
(frei nach Ulrich Kelber)
●
Es gibt zwei Gründe, wenn „Datenschutz“ etwas verhindert:
1) Das fragliche Geschäftsmodell funktioniert nur, wenn der Kunde „über den Tisch gezogen
werden soll“
2) Man hat nicht lange genug nachgedacht, wie dieselbe (ehrliche) Funktion
datenschutzkonform umgesetzt werden kann
●
Gelegentlich gibt es noch einen dritten Grund:
3) Man hat mächtig Mist gebaut und braucht jetzt einen Sündenbock…
18
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Warum ich? Warum verteidigen?
●
Ob wir wollen oder nicht:
– Daten und Metadaten sind integraler Teil unseres Lebens
– Es werden kritische Entscheidungen basierend auf Daten getroffen (Kreditwürdigkeit,
Einstellung/Job, Impftermin, …)
– Mit einem falschem Umgang gefährden wir nicht nur uns selbst,
sondern auch unsere Familie + Freunde
●
Es gibt keine „gute“ und „böse“ Technik → alles hängt von der Verwendung ab
●
Empfinden von Privatsphäre → sehr individuelle Entscheidungen
– „Freiwillig ins Unglück laufen“ → von mir aus…
– Mitmenschen mit ins Unglück nehmen → Nein!
●
Das Internet ist kein Neuland → es gibt viele & einfache Möglichkeiten, sich zu schützen
●
...muss aber jede/r selber lernen
●
→ dafür sind wir ja hier….
19
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Sicheres Surfen
Wie war das mit den „Ohrmarken“?
●
Cookies sind nützlich, z.B. beim E-Mail-Login oder anderen Webdiensten mit Anmeldung
●
Aber sie ermöglichen auch Tracking → gute Mischung finden
●
DSGVO etc.: Cookies stark reglementiert (theoretisch…)
●
→ Meine Empfehlung:
– Im Browser „Third-Party-Cookies“ ausschalten
– Mit Browser Plugins schützen:
●
Blockieren „schädlichen“ Inhalt automatisch
●
„lernen dazu“
21
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021 [4]HowTo: Third-Party Cookies blockieren
●
Anleitung Firefox: https://support.mozilla.org/de/kb/Cookies-von-Drittanbietern-blockieren
●
Anleitung Chrome:
https://support.google.com/accounts/answer/61416?co=GENIE.Platform=Desktop&hl=de
22
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021HowTo: Browser Plugins
●
Ich verwende EFF Privacy Badger und uBlock origin
●
EFF Privacy Badger: https://privacybadger.org
●
uBlock origin:
– Chrome:
https://chrome.google.com/webstore/detail/ubl
ock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?h
l=de
– Firefox:
https://addons.mozilla.org/de/firefox/addon/ub
lock-origin/
23
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021HowTo: Schutz überprüfen
https://coveryourtracks.eff.org/
25
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Sichere Messenger
Messenger („Kuriere“)
●
…gibt es inzwischen im Dutzend
●
Kernfragen:
– (starke) Ende-zu-Ende-Verschlüsselung?
– Zugriff auf das Adressbuch? Speicherung des
Adressbuches?
– Auch auf Laptop & PC verwendbar?
– Verbreitung? [14]
●
…es geht (auch) um die Daten der Anderen!
●
Lange Diskussionen...aber eigentlich ist es recht
einfach
27
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Es geht um Zustimmung! (Consent)
Kommunikation ist sehr persönlich, selbst Metadaten
können eine Menge über eine Person verraten.
→ Der Wunsch nach vertraulicher Kommunikation ist
genauso wenig zu diskutieren wie der Wunsch nach
sicherem Geschlechtsverkehr!
[24]Messenger: Die Alternativen
●
...auch bei der Wahl des Kommunikationskanals sollte man auf
Mitmenschen Rücksicht nehmen.
●
WhatsApp gehört zu Facebook
– Gewinnorientiert
– Speichert Adressbuchdaten dauerhaft
– Berufliche Verwendung kann gegen DSGVO verstoßen
●
Alternativen: Meine „Hitliste“:
1) Signal
2) Threema
3) (Matrix.org)
4) Wire
5) Verschlüsselte E-Mail
Niemals: Telegram
29
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021HowTo: Sichere Kommunikation
●
Signal: https://signal.org/install
– Verfügbar für Android, iOS, Windows, Linux, Mac
– Verwendet nur ein „gehashtes“ Adressbuch (d.h. der Server sieht
keine Kontakte)
– Verwendet beste Kryptographie
– Finanziert durch Spenden
●
Threema: https://threema.ch
– Verfügbar für Android, iOS, Browser
– (Auch für Firmen)
– Keine Adressbuchfreigabe nötig
– Kostet: ~4€ einmalig
– Verwendet beste Kryptographie
●
Gute Literatur:
https://www.republik.ch/2021/02/24/kill-the-messenger
https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/
whatsappalternativen-messenger-im-ueberblick-13055 30
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Alternative Suchmaschinen
Es gibt alternativen zu Google...
●
z.B. Qwant: https://www.qwant.com
– datenschutzfreundlich, aus Frankreich
– (selbsttändige Suchmaschine)
●
Oder: DuckDuckGo: https://duckduckgo.com
– Verwendet „im Hintergrund“ andere Suchmachinen
●
Am besten als „Standardsuchmaschine“ einstellen
●
(Man muss sich vielleicht daran gewöhnen…)
32
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021„Gute“ Einstellungen
Berechtigungen am Smartphone
●
(es wird generell immer besser)
●
...nur erlauben wenn unbedingt nötig!
[25]
34
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Was man sonst noch machen kann...
●
Standortverlauf im Handy ausschalten
– Google Maps ist natürlich trotzdem „normal verwendbar“
– https://www.googlewatchblog.de/2020/04/google-maps-so-standortverlauf-deaktivieren/
●
W-LAN am Handy ausschalten, wenn man es nicht braucht (außer Haus)
●
Wenn man ein Google Account hat,
– kann man einstellen, dass der Verlauf nicht gespeichert wird
– oder ihn immer mal wieder löschen
– https://myaccount.google.com/data-and-personalization
– (bei anderen Diensten geht das genauso)
35
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Lektüreempfehlung: (1/2)
BSI: IT-Sicherheitsleitfaden für Kandidierende bei
Bundes- und Landeswahlen
https://www.bsi.bund.de/SharedDocs/Downloads/DE
/BSI/Publikationen/Broschueren/Leitfaden-Kandidier
ende
36
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Lektüreempfehlung: (2/2)
Republik.ch: Nein, Instagram
hört (sehr wahrscheinlich) nicht
Ihr Handy ab
https://www.republik.ch/2021/
10/27/nein-instagram-hoert-se
hr-wahrscheinlich-nicht-ihr-han
dy-ab
37
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Zu guter Letzt…
Digitale Selbstverteidigung…
●
...ist kein Hexenwerk!
●
...kann jeder lernen!
●
...ist so einfach und notwendig wie z.B. ein Führerschein!
●
Aber:
– Es gibt keine „gute“ und „schlechte“ Technik
– → Technik allein kann niemanden vollständig schützen Burkhard Ringlein
– → Politische Rahmenbedingungen / Gesetze Schatzmeister / Treasurer
– → ...auch das macht LOAD e.V. burkhard.ringlein@load-ev.de
@0xcaffee
...freue mich LOAD e.V. - Verein für
liberale Netzpolitik
auf all Ihre Fragen! @loadev
load-ev.de
39
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Appendix
Weitere Beispiele zu Metadaten
●
Ein Samenspender bekommt von Facebook den Vorschlag, seinem biologischem Kind, das er nie
kennengelernt hat, eine Freundschaftsanfrage zu schicken [25].
●
„Eine Psychiaterin erfuhr, dass Facebook einigen ihrer Patienten empfahl, sich auf dem Dienst
gegenseitig zu befreunden.“ [25]
42
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021[15]
References (1/2)
1: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/2019/Jahrbuch/
pks2019Jahrbuch4Einzelne.pdf?__blob=publicationFile&v=4
2: https://de.statista.com/statistik/daten/studie/649357/umfrage/hoehe-der-finanziellen-schaeden-durch-identitaetsklau-in-
deutschland/
3: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/welche-folgen-identitaetsdiebstahl-im-internet-haben-kann-
17750
4: https://de.wikipedia.org/wiki/Ohrmarke#/media/Datei:Oeremaerke.jpg
5: https://blog.wiwo.de/look-at-it/2020/11/11/wie-viel-persoenliche-daten-wert-sind-markt-fuer-datenhandel-weltweit-200-
milliarden-dollar/
6: https://www.heise.de/newsticker/meldung/Vor-fuenf-Jahren-kaufte-Facebook-WhatsApp-wie-geht-es-weiter-4312349.html
7: https://www.statista.com/statistics/266249/advertising-revenue-of-google/
8: https://de.statista.com/statistik/daten/studie/1088022/umfrage/umsatz-der-payback-gmbh/
9: https://www.meineschufa.de/index.php?site=7&via=menu
10: https://www.justsecurity.org/10311/michael-hayden-kill-people-based-metadata/
11: https://twitter.com/AlecMuffett/status/957628347617562624/photo/1
12: https://www.onlinestatusmonitor.com/data_summary/
13: https://www.heise.de/security/meldung/WhatsApp-Was-der-Online-Status-ueber-die-Nutzer-verraet-2480333.html
14: https://www.asawicki.info/news_1453_social_graph_-_application_on_facebook
15: https://netzpolitik.org/2015/edward-snowden-ueber-ich-hab-nichts-zu-verbergen/
47
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021References (2/2)
16: https://www.google.de/maps/place/Burgw%C3%A4chter/@49.4557089,11.0656689,15.38z/data=!4m8!1m2!2m1!1sBurgw
%C3%A4chter!3m4!1s0x479f57b015cf46d3:0x5dfd440966b02c42!8m2!3d49.4575184!4d11.0766852
17: https://www.golem.de/news/imho-tag-der-unsinnigen-passwort-ratschlaege-1802-132533.html
18: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passwort-Tag-ist-gut-gemeinter-Unsinn-4293393.html
19: https://xkcd.com/936/
20: https://de.wikipedia.org/wiki/Diceware
21: https://helmschrott.de/blog/diceware-passwort-sicher-einfach
22: https://linuxnews.de/2020/07/keepassxc-2-6-veroeffentlicht/
23: https://www.heise.de/ratgeber/Passwoerter-systemuebergreifend-verwalten-und-synchronisieren-mit-Keepass-5064157.html?
seite=all
24: https://www.brigitte.de/familie/schlau-werden/schmerzen-nach-der-geburt--helfen-gefrorene-kondome--10922016.html
25: https://www.republik.ch/2021/07/28/druecken-sie-nicht-erlauben-quittieren-sie-mit-ablehnen
26: https://i.kym-cdn.com/entries/icons/original/000/000/554/picard-facepalm.jpg
48
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Diese Präsentation wurde mit und dank Freier* Software
erstellt
* frei wie in freie Meinungsäußerung
Mehr über Freie Software:
49
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2021Sie können auch lesen
