In den vergangenen Wochen hat sich gezeigt, dass unsere Bundesregierung offensichtlich nicht in der Lage und/oder Willens ist, die Bürger vor der flächendeckenden Überwachung unserer Onlinekommunikation durch fremde Geheimdienste zu schützen. Und was sollen wir jetzt tun? Wahlweise wird in Meinungsbeiträgen die Möglichkeit erörtert, zum Kommunizieren doch lieber in den Wald zu gehen oder einfach nichts zu verheimlichen zu haben. Beide Möglichkeiten überzeugen mich jetzt nicht wirklich. Ich würde auch gerne weiterhin von meinen Grundrechten, u.a. auf Informations- und Meinungsfreiheit, Gebrauch machen, ohne Gefahr zu laufen, dass meine gesamte Kommunikation irgendwo in den USA oder Großbritannien gespeichert zu wissen.
Kopf in den Sand stecken oder was tun?
Wenn die Bundesregierung nicht aufgeben will, müsste sie den nächsten konsequenten Schritt machen: Wo bleibt die bundesweite Kampagne für mehr digitale Selbstverteidigung, vergleichbar mit den Aids-Aufklärungskampagnen der 80er und 90er Jahre? Damals und heute war klar, dass die Bundesregierung den Einzelnen nicht davor schützen konnte, sich mit Aids anzustecken. Aber durch die Nutzung von Kondomen konnte man das Risiko deutlich verringern, sich unbedarft anzustecken. Es wurde ein enormer Aufwand betrieben, Kondome populär zu machen und Aufklärungsprogramme zu entwickeln – mit deutlichem Erfolg. Ähnlich läuft es heute mit der flächendeckenden Überwachung. Durch die konsequente Nutzung von Anonymisierungs- und Verschlüsselungstools kann man das Risiko verringern, dass die eigene Kommunikation von fremden Geheimdiensten gegen einen verwendet wird.
Bessere Anonymisierungs- und Verschlüsselungstools fördern!
Die Werkzeuge dafür mögen zwar manchmal noch etwas umständlich zu bedienen sein, aber selbst das kann man mit etwas Aufwand ändern. Die Bundesregierung könnte konsequent die Weiterentwicklung dieser Werkzeuge fördern, wie sie dies bereits getan hat und es auch andere Staaten tun. Beispielsweise lässt sich die Nutzerfreundlichkeit deutlich verbessern und Plugins für gängige Standardprogramme könnten entwickelt und/oder verbessert werden, so dass es einfacher wird, die eigene Kommunikation zu schützen.
Wenn die Bundesregierung wirklich ein Interesse daran hat, unsere Grundrechte zu schützen, dann muss sie jetzt handeln. Wir brauchen eine bundesweite Kampagne für digitale Selbstverteidigung, um Bürger aufzuklären und zu mehr digitaler Selbstverteidigung zu motivieren: Gib NSA keine Chance!
Leider haben wir (Piraten) es noch nicht geschafft eine Seite wie http://www.encrypteverything.ca auf deutsch zu realisieren. Aber auch ohne Parteibranding wäre es schön wenn jemand Ressourcen dazu hat.
Wir haben mal einige Anleitungen (u.a. PGP/GnuPG, Jabber/XMPP/OTR, Tor, Firefox und Plugins etc.) in deutscher Sprache geschrieben:
https://www.mtmedia.org/manuals/
erste anfänge in die Rictung: http://prism-break.org/#de
auch auf deutsch!
Solange auch ihr es nicht schafft, das Thema seriös zu verarbeiten, wird sich hier nichts ändern. Was fehlt, ist eine öffentlichkeitswirksame Verknüpfung der Themengebiete „NSA Abhörskandal“ und „Big Data“. Die Diskussion konzentriert sich leider viel zu sehr auf die Individualebene (und ein bischen klassische Spionage), wodurch die/der Einzelne sich berechtigterweise in der Hoffnung wiegen darf, dass ihre/seine Person in der Masse der Daten untergeht; die meisten haben schließlich tatsächlich nichts zu verbergen. Dass sich der wahre „Grusel“ aber auf der Aggregatebene abspielt, geht in der Diskussion leider unter. Es geht hier um den auf Kennzahlen verdichteten und allumfassenden Echtzeit-Blick in den Ameisenhaufen als „Tool“ zur progressiven Kontrolle über die Herde. Der Einzelne konditioniert sich doch letztendlich über den Vergleich mit der Masse von selbst.
Ich stimme dir da größtenteils zu. Meiner Ansicht nach ist das aber weniger ein Problem der seriösen Aufarbeitung als mehr der persönlichen Betroffenheit. Die Kernfrage ist: Wie zeigt man den Bundesbürgern, dass sie persönlich betroffen sind? Wenn Du denen dann was von Big Data erzählst, ist das zu abstrakt. Die Frage ist: Muss dafür erst der nächste Whistleblower konkrete personenbezogene Datensätze veröffentlichen oder findet man jetzt schon einen Weg der Bevölkerung klar zu machen: Auch Du bist betroffen! Deshalb finde ich die Idee von Markus ganz gut.
Die Netz-Elite(tm) sollte sich auch mal fragen lassen, warum noch immer das schwerfällige und nur mit Plugins nutzbare PGP/GPG promoted wird, anstatt auf eine S/MIME X509-Lösung zu setzen.
S/MIME wird von allen Mail-Clients unterstützt, auch auf bspw dem iPhone, und ist schon seit Jahren der Industriestrandard in konzernweiter Kommunikation bspw bei Daimler, VW, Audi, Telekom oder Post AG.
Verschlüsselung ist nur so sicher, wie das schwächste Teil im Glied und das sind Millionen von Endanwendern ohne Crypto-Knowhow, die mit GPG vollkommen überfordert sind.
Weil die Community es nicht geschafft hat, es wie CAcert in Deutschland aufzubauen und zu betreiben, wird wahrscheinlich DE-Mail mit dem nPA (Elektronischer Perso) genau diese Funktion übernehmen — mit staatlichem oder zumindest Provider-Vollzugriff (der dann nach G10 und TKÜV wieder an Nachrichtendienste etc liefern darf).
Bei der CAcert- Lösung musst du den Leuten auch erklären, dass diese zunächst die CAcert Root CA installieren sollten (und wie und warum und so).
Die Werkzeuge dafür mögen zwar manchmal noch etwas umständlich zu bedienen sein
Wieso wird das immer und immer und immer und immer und immer wieder betont?
Verschlüsselung ist total kompliziert. Sichere Verbindungen – leider ganz schön knifflig.
Was soll das?
Als ob die Benutzung von E-Mail oder das Browsen oder überhaupt alle möglichen Handlungen im/um/am Internet total trivial wären – bis auf die unfassbar superdiffizile Verschlüsselei.
Spart euch einfach diesen Zusatz. Er ist ohnehin nur eine Notfallerklärstütze dafür, weshalb Verschlüsselung so wenig genutzt wird und kein Naturgesetz.
Die Selbstverteidigung gegen Lauscher auf dem (Untersee-)Kabel ist ja recht simpel: Hypertext Transfer Protocol Secure
Und auch für den DAU der das nicht jedesmal von Hand eintippen will, gibt es Abhilfe: HTTPS Everywhere
HTTPS ist so gesehen auch angreifbar. Ein Szenario wäre die verschlüsselte Kommunikation mitzuschreiben und erst später (nachdem man Zugriff auf die Zertifikate hat – durch z.B. Beschlagnahmung der Zertifikate) zu entschlüsseln. So kann nachträglich gezielt HTTPS Traffic attackiert werden.
Ja klar, das ist denkbar. Aber diese dauerhafte Mitschreiben und Zwischenspeichern der verschlüsselten Daten erhöht den Aufwand doch enorm. Ich glaube wenn erst einmal jeder seine YouTube-Videos über HTTPS ansieht, ist schon einiges erreicht.
Meine Theorie ist ja immer noch, dass die sich Hintertüren, oder Generalschlüssel von den Zertifizierungsstellen geben lassen. Und dass moderne Browser nur deshalb vor selbstsignierten Zertifikaten so sehr warnen, weil das in Wirklichkeit die einzig sichere Methode ist, SSL zu verwenden.
Ok, aber die Anfragen ließen sich doch technisch so lösen, daß man eine „Chinese Wall“ einzieht zwischen Youtube US und Youtube EU, z,B. Youtube EU darf zwar anfragen an Youtube US schicken, aber die Clientzuordnung erfolgt erst wieder auf dieser Seite des Atlantiks. Keine IPs von Clients werden über den Antlantik geschickt, das machen die Server unter sich aus. Ausgeliefert wird aus Hamburg, per https.
Weiß ich doch. Mir ging es auch explizit nur um diejenigen, die in der „Mitte“ der Leitung mithorchen. Würde jeder seinen kompletten Traffic (auch den völlig banalen) verschlüsseln, wäre denen die Arbeit schon deutlich erschwert, was Datenanalyse, DPI und ähnliche Späßchen anbelangt. Also, nehmt HTTPS Everywhere, and let’s encrypt the web!
Bei Tactical Tech gibt es auch eine ganze Menge Tips für die digitale Selbstverteidigung. EInmal die Alternativen für die Online-Kommunikation alternatives.tacticaltech.org/, außerdem Hilfsmittel zur Erkundung des eigenen ‚Digitalen Schattens‘ samt kommentierter Hilfsmittel dagegen: Me and My Shadow und das Toolkit Security in-a-box mit Anleitungen und Beschreibungen zu Open-Source-Software für die digitale Sicherheit. Das es mittlerweile in 12 Sprachen gibt.
Uups. Jetzt über Technik (zur Verschlüsselung) zu diskutieren, ist völliger Quatsch. Es geht um unsere Grundrechte und die Privatsphäre des Einzelnen. Ich muss doch auch nicht Selbstverteidigung können, wenn ich abends ausgehen will. Genausowenig habe ich früher meine Briefe mit Geheimtinte geschrieben. Es geht darum, Druck auf unsere Regierung auszuüben, damit diese Druck auf die Regierung der Länder ausübt, deren Geheimdienste unsere Grundrechte mit Füßen treten.
Wir *müssen* über Verschlüsselung sprechen. Die Geheimdienste werden niemals ihre Überwachungskapazitäten runterfahren. Du hast doch auch eine Haustür an deiner Wohnung? Und du hast doch auch ein Schloss an deiner Autotür. Und genauso brauchen wir ein Schloss für unsere Email und Webseiten. Fakten schaffen mit digitaler Selbstverteidigung, dann hat das Ausschnüffeln ein Ende.
aber sie haben doch gerade erst die entsprechende Lösung aus dem Hut gezaubert: DE-Mail…
mal im Ernst, „von Oben“ ist da nichts zu erwarten
Kondomkampagne? Warum haben sie das gemacht? Weil sie Gutmenschen sind? Weil sie nicht wollen, dass Menschen unnötig leiden müssen? Ich sags dir, warum: weil die Behandlung von Aids die Krankenkassen viel Geld kostet, darum und aus keinem anderen Grund. Das steht übrigens auch in jeder Begründung zu solchen Aktionen: Ziel ist es, die Kosten für die Sozialsysteme zu senken. So, und wo wäre jetzt dieser Grund beim Thema Datenschutz zu finden ;)
Um die Bundesregierung dazu zu bekommen etwas zu unternehmen, sollte man immer auf die Gefahr für den Wirtschaftsstandort Deutschland hinweisen.
Argumentation: Wird Deutschland stärker überwacht weil es hier so viele Terroristen gibt, oder weil es hier so viele technologisch gute Unternehmen gibt?
Wenn dem deutschen Unternehmen so richtig die Muffe geht, dass die NSA ihre Technologie ausspioniert, dann wird die Bundesregierung handeln müssen.
Solange sich nur ein paar ständig nörgelnde linke Chaoten Sorgen um Bürgerrechte machen, kann die Regierung das mit ein paar schönen Sonntagsreden abtun.
Anonym und sicher vor aufschlussreichen Verbindungsdaten:
i2p installieren + i2p-bote Plugin dazu
https://de.wikipedia.org/wiki/I2p
https://de.wikipedia.org/wiki/I2p#I2P-Bote
https://www.i2p2.de/
imho besserer Ansatz als Tor, da die Verbindungen alle im OnionNetz bleiben und nicht nur durchtunneln ins wieder abschnorchelbare Internet
Richtig, die Wirtschaftskarte zu ziehen ist die einzige Sprache, die Merkel und Co. jetzt verstehen. Hat nicht der CCC auch schon darauf hingewiesen, daß es bei der massenhaften Überwachung in D der NSA wohl eher um Wirtschaftsspionage geht? Die eigene Wirtschaft zu schützen und zu stärken ist doch auch Teil ihres Aufgabenprofils.
Eine interessante Idee. Und es gibt ja sogar Anlaufstellen, die in diesem Sinne handeln können und sollten, z.B.
https://www.bsi-fuer-buerger.de
P.S. Naja, der Abschnitt zur Verschlüsselung muss dann wohl nochmal überarbeitet werden.
Ich habe den neuen Aufkleber mal in einen „politischen“ Zusammenhang eingebaut: http://www.gunwalt.de/blog/blog/2013/07/was-bin-ich/