Tor und Twitter: Du wirst staatlich gehackt, weil sie es können.

Quelle opensource.com

alvar freudeGestern wurde über eine Warnung von Twitter an einige Nutzer wegen eines staatlich motivierten Hackerangriffs berichtet. Alvar Freude nahm die Vorfälle mal wieder zum Anlass, um vor der Benutzung des Anonymisierungsdienstes Tor zu warnen. Er hält die Nutzung von Tor für unsinnig, wenn nicht gar für schädlich. Weltweit vertrauen allerdings sehr viele Menschen der Anonymisierungssoftware. Sollten sich alle getäuscht haben – oder nutzt Alvar nur die Gelegenheit zum Rundumschlag gegen Tor?

Diesen Beitrag haben Constanze und Jens Kubieziel zusammen verfasst. Sie gehören zu den von Twitter gewarnten Opfern staatlichen Hackings.

Alvar schreibt unter dem Titel „Du wirst staatlich gehackt, weil Du Tor nutzt!“ eingangs:

Auffällig ist, dass alle bisherigen Empfänger dieser Nachricht den Anonymisierungsdienst Tor nutzen.

Alvars Posting beginnt also mit der Aussage, dass alle Empfänger der Twitter-Nachricht über den staatlichen Angriff Tor benutzen würden. Dies ist falsch.

Die Liste der Betroffenen ist mittlerweile auf 41 Menschen angewachsen. Es gibt darunter einige (Beispiel 1, Beispiel 2 sowie private Kommunikation), die explizit sagen, dass sie noch nie Twitter mit Tor benutzt haben. Alvar ist das auch direkt zur Kenntnis gegeben worden. Andere wurden bisher noch nicht gefragt. Es ist zu vermuten, dass auch von diesen einige kein Tor verwenden. Insofern ist schon die Prämisse seines Blogbeitrages falsch.

Er argumentiert außerdem, dass Twitter und Facebook ohnehin wüssten, wer der jeweilige Nutzer ist. Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt? Es gibt keine Pflicht, sich mittels Personalausweis oder anderen Dokumenten anzumelden, und dies soll auch weiterhin so bleiben. Gerade Menschen, die Wert auf eine freiheitliche Nutzung der Netze legen, geben nicht immer ihren Realnamen an. Das mag Alvar befremdlich verkommen, entspricht aber durchaus den Gepflogenheiten, gerade wenn man aktivistisch tätig ist. Und unter den Betroffenen befinden sich auffällig viele Aktivisten. (Jens hat in seinem Blog nochmal was dazu geschrieben, warum es durchaus Sinn ergibt, bei Twitter mit wirklichem Namen zu schreiben und trotzdem Tor zu nutzen.)

Im weiteren Verlauf spekuliert er, dass die Betroffenen Ziel einer Man-in-the-Middle-Attacke gewesen seien. Das heißt, ein Angreifer stellte ein Zertifikat aus, das sich für Twitter ausgibt. Die Browser der betroffenen Personen würden dies „glauben“, und der Angreifer könnte so die Kommunikation mitlesen. Als „Beweis“ verlinkt Alvar auf eine alte Heise-Meldung, wo es um gefälschte Zertifikate geht. Dieser Angriff ist im Falle von Twitter jedoch ausgesprochen unwahrscheinlich. Durch die bekanntgewordenen Fälle liefern nämlich die Browser Informationen zu Zertifikaten von Haus aus mit (siehe hier). Das heißt: Selbst wenn ein Angreifer ein Zertifikat fälscht und diese Fälschung beglaubigt würde, dann würden die aktuellen Browser (Chrome, Firefox, IE, Safari und andere) diese Fälschung erkennen und den Nutzer warnen. Gerade die Entwickler von Tor haben die Schwächen des Zertifikatssystems seit langem im Blick und versuchen, Schutzmaßnahmen zu entwickeln. Mindestens einigen der Betroffenen hätten Angriffe auffallen müssen, niemand hat aber davon berichtet.

Bei anderen Anbietern, die nicht so gesichert sind, stellt sich die Frage, warum Angreifer einen derartigen Aufwand treiben und ein derart hohes Risiko der Aufdeckung in Kauf nehmen sollten, nur um dann Informationen von zufällig ausgewählten Nutzern abzugreifen. Hier steht Aufwand und Nutzen für den Angreifer in keinem Verhältnis.

Aber nehmen wir für einen Moment an, Alvar hätte recht und ein Angreifer hätte sich ein Zertifikat besorgt und würde versuchen, eine Man-in-the-Middle-Attacke durchzuführen. Dann würde das innerhalb kürzester Zeit bemerkt werden. Seit einigen Jahren schon durchforsten Freiwillige das Tor-Netzwerk nach Servern, die Fehlverhalten zeigen. Auf diese Weise wurden bereits mehrfach Server enttarnt und aus dem Netz entfernt, wenn sie solche Angriffe durchführten. Das heißt, ein Angreifer hätte nur wenig Aussicht auf Erfolg. Die Scansoftware liegt übrigens bei Github. Wer derartige Tests durchführen oder die Software erweitern will, ist bei der Gelegenheit herzlich dazu eingeladen.

Zum Abschluss von Alvars Beitrag ist noch zu lesen:

Für den normalen Nutzer in einem freiheitlich-demokratischen Staat, der nicht befürchten muss persönlich und direkt von den Geheimdiensten überwacht zu werden, ist Tor für die normale Internet-Nutzung in der Regel keine gute Idee, da die Anzahl der Angriffsvektoren steigt.

privacy is not a crimeWas will uns Alvar sagen? Was für Angriffsvektoren sollen das sein? Die deutsche Marlene Mustermann darf besser brav ihren Browser starten, ihr Surfverhalten protokollieren und sich blinkende Werbung anzeigen lassen, sich nebenbei Schadsoftware über Werbenetzwerke einfangen und dann im Urlaub nicht mal mehr ihre Lieblingswebsites anschauen? Da fehlt ja nur noch, dass der elektronische Personalausweis vor jeder Surfsitzung eingelesen werden muss. Denn wir leben doch in einem rundum freiheitlich-demokratischen Staat.

Ist Alvar vielleicht entgangen, dass die deutsche Regierung gerade die anlasslose Protokollierung aller Telekommunikations- und Standortdaten per Gesetz beschlossen hat, heute zudem noch die Tore für die deutschen Geheimdienste aufgestoßen wurden, die in Zukunft auch darauf zugreifen sollen dürfen? Hat Alvar vielleicht die Skandalserie der internationalen Geheimdienst-Cliquen nicht mitbekommen und über ihre massenhaften Datensammlungen nichts gelesen? Es gibt nichts zu befürchten?

Weder Tor noch der Tor-Browser wurden einzig mit dem Ziel geschaffen, Menschen vor der Verfolgung von Geheimdiensten zu schützen. Vielmehr sollen das Werkzeuge sein, die allen helfen, ihre Privatsphäre zu schützen, egal, ob vor dem neugierigen Chef, vor spionierenden Unternehmen, dem Staat oder anderen Akteuren. Die Entwickler des Tor-Browsers investieren viel Arbeit und Energie, den Firefox abzusichern. Dadurch haben wir alle am Ende ein einfach zu nutzendes Programm zur Verfügung. Dieses schützt die Nutzer in freiheitlich-demokratischen Grundordnungen ebenso wie auch andere in diktatorischen Staaten.

Nein, Alvar, wir sollten nicht die „Finger von Tor lassen“, wir sollten besser zusehen, dass wir sichere und nutzbare Anonymisierungswerkzeuge haben, verbessern und selbstverständlich nutzen können. Nicht nur für uns und gegen die derzeit überwachungshysterischen Regierungen mitsamt ihren Geheimdiensten, sondern auch, weil viele Menschen weltweit das noch nötiger brauchen als wir. Mit einer unsinnigen Argumentation, nach der man glauben könnte, Tor wäre für den Benutzer nicht ein Schutz, sondern ein Risiko, läuft man politisch nur denen in die Arme, die ohnehin die Axt an den Tor-Baum legen wollen.

Bild oben: MrTopf, Bild unten: Jürgen Telkmann. Lizenzen: Creative Commons BY-NC 2.0.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

203 Ergänzungen

  1. mh *kopfkratz* ist das jetz der richtige Ort hier um persönlich gegen die Meinung eines Bloggers Stimmung zu machen. Irgendwie wäre mir wohler wenn der Artikel deutlicher als Meinung gekennzeichnet wäre. Mh naja, dabei fällt mir auf, dass das natürlich oft so ist hier wenn Politiker_innen unfug reden, aber das sind ja immerhin deutlich Personen öffentlichen Interesses.

    Ehrlich gesagt kenn ich den Alvar gar nicht, hat der so eine Bedeutung, dass man die Plattform hier nutzen muss/darf um ihn persönlich in jedem einzelnen Absatz so anzufahren und seine Meinung niederzumachen? das würde doch auch mehr auf sachlicher Ebene klappen.

    Dieser Beitrag wurde übrigens über den Tor Browser geschrieben

    1. „das würde doch auch mehr auf sachlicher Ebene klappen.“

      Aktivismus hat generell wie auch im konkreten Fall von Netzpolitik wenig mit sachlicher Information und Argumentation und mehr mit Agitation zu tun. Insofern sehe ich auch nicht, inwiefern der Stil dieses Beitrags aus dem Rahmen fällt – allenfalls der Adressat. Die Erkenntnis, dass auch andere Auffassungen oft ihre Berechtigung haben, mag man sie auch nicht teilen, ist wie auch eine abwägende Haltung dem Aktivismus – anders als einer im weitesten Sinne politischen Betätigung an sich – regelmäßig fremd.

    2. möchten sie nach ihren äußerungen zu dieser website, der autorin und ihrem eigenen verhältnis zu alvar freude nicht noch etwas inhaltlich beitragen?

      der obige artikel kritisiert detailreich einen relevanten beitrag zu einem aktuellen thema, das viele leser hier interessieren mag.

      ich finde schade, dass sie die angesprochenen inhalte in ihrem kommentar völlig ignorieren.

      .~.

      1. ich frag mich ob du jetzt mich meinst? Na nehm ich mal an.

        Also ersteinmal, meine Kritik geht ja nicht an das Thema an sich oder die Position von Constanze/Jens dazu. Ich finde das ist ein interessantes diskutierbares Thema, vor allem deshalb weil ich es auch wert finde mal eine andere Perspektive entgegen dem „nimm immer Tor“ einzunehmen. Allein schon um seine eigenen Argumente zu überprüfen und zu trainieren. Abgesehen davon, mal ehrlich, wer benutzt schon *immer* Tor in seinem normalen Alltag.

        Aber eigentlich wollte ich das Thema an sich ja auch garnicht ansprechen, dshalb bin ich ja auf die Argumente auch nicht eingegangen, weil es mir garnicht darum geht ob ich sie richtig finde oder nicht. Es geht mir nur um die Form die benutzt wurde.

        Warum sprecht ihr (Constanze/Jens) im Rahmen von Netzpolitik.org Alvar so persönlich an als ob er jetzt ein Ziel wäre gegen das man in Stellung gehen muss. Deshalb auch meine Frage, wie wichtig ist Alvars Position als Blogger? Kann ich nicht einschätzen. Wenn dieser Artikel auf Constanzes oder Jens eigenem Blog gestanden hätte fänd ich das völlig gerechtfertigt so zu schreiben. Wahrscheinlich sogar wenn hier auf np.org oben z.B. gestanden hätte „ein Gegenkommentar“ oder soetwas in der Art. So aber hab ich gerade das Gefühl, dass das eher auf einer persönlichen Fehde zwischen Constanze/Jens und Alvar beruht, die beiden aber die Plattform np.org gebrauchen (beinahe schon miss-) um diese auszutragen. Ich will garnichts gegen die Argumente in diesem Artikel sagen und kann auch nicht behaupten, dass er böse geschireben ist. Aber seine persönliche Note und Ansprache finde ich hier sehr unangemessen. Ich find es völlig richtig, die Position und Argumente von Alvar aufzunehmen, sie in einen größeren Kontext zu packen und zu besprechen, aber ich find es nicht richtig die ganze Zeit zu beschreiben wie Alvar jenes ud dieses sagt, wie er da und da argumentiert etc. 13 mal kommt sein Name in diesem Artikel vor, das erweckt eher den Eindruck einer persönlichen Abrechnung als ob es wirklich um das Thema geht.

        Ganz praktisch gesprochen macht es mir Angst: muss ich jetzt erwarten, dass wenn ich mit Constanze/Jens keinen gute Beziehung habe und dann etwas schreibe wozu sie eine andere Meinung haben ich dann blogestellt werde auf np.org? Sollte ich mich also besser mit den AutorInnen lieb machen damit mir das nicht passiert, weil sie die geballte Macht eines viel besuchten Portals hinter sich haben? Das hat irgendwie was von mafiösen Strukturen.

        Ganz anders ist das, wenn es um Personen des öffentlichen Interesses, PolitikerInnen etc. geht wo es ja die Afugabe der Presse ist genau diese Positionen auseinanderzunehmen und zu analysieren. Das schreint mir hier aber nicht der Fall zu sein. Kurz gesagt, wieso so einen Aufwand hier mit einem Artikel zu betreiben nur weil ein Blogger mal ne andere Meinung hat? Wenn diese Meinung/der Post nicht nur einzeln auseinandergenommen worden wäre sondern in einen größeren Kontext gestellt und als problematische Position zu Anonymität und Verschlüsselung an sich besprochen worden wäre, hätte ich das für sehr viel angemessener empfunden.

      2. @Tora:
        Ich mische mich an der Stelle mal ein: nach meinem Wissen gibt es keine Fehde, die Constanze oder Jens und ich miteinander austragen. Constanze und ich kennen und einigermaßen gut, Jens kenne ich meines Wissens (fast?) nur aus dem Netz. Wir haben viele gleiche und ein paar unterschiedliche Meinungen und kommen m.E. damit ganz ordentlich zurecht. Die beiden mögen mir bitte widersprechen, falls nötig! ;-)
        Nichtsdestotrotz kann ich mir vorstellen, dass Constanze augenrollend ein »achnee, bitte nicht!« stöhnt, wenn ich sage, dass Tor nicht das beste seit geschnitten Brot ist – aber als erwachsene Menschen halten wir das beide aus. Hoffe ich! ;-) Denn wie man sieht, haben wir unterschiedliche Ansichten bei der Frage, ob nun am besten jeder Internet-Nutzer Tor nutzen sollte oder nicht.

        Die Form, die Du kritisierst, finde ich als Betroffener zwar auch nicht toll, zumal das einen Dissens um einen kleinen aber entscheidenden Punkt größer macht als er ist und die Wirkung auf so manchen Leser missverständlich sein könnte – aber da ich ja auch austeile muss ich das eben aushalten.

      3. @Horst Kevin: Der Artikel bei Golem ist, vorsichtig ausgedrückt, sehr selektiv und macht mir Vorwürfe, die in der Form aus dem Zusammenhang gerissen und teilweise falsch sind. Fefe hat in einigen Teilen Unsinn behauptet und versucht mit wüsten Beschimpfungen andere Meinungen zu unterdrücken. Klappt übrigens ganz gut, ich höre immer wieder von dem einen oder anderen: »ja, aber öffentlich sage ich das nicht«. Woran das liegt kannst Du hier nachlesen: http://blog.alvar-freude.de/2014/01/vorratsdatenspeicherung-holocaust.html (zu Fefe geht es in Absatz 5 los).
        Wenn Du über die VDS diskutieren möchtest, können wir das gerne tun – aber bitte mache Dich vorher mit meiner Position vertraut, die Du hier nachlesen kannst:
        http://blog.alvar-freude.de/2014/01/24/Technische-Fragen-VDS.pdf

      4. Moin Alvar,

        ich wollte nur auf den eventuellen Konflikt aufmerksam machen und mein Link war als Beispiel gedacht, ohne daß ich mich damit gemein machen würde.
        Deinen ersten Link habe ich nach dem ersten Absatz wieder geschlossen und eine VDS ist für mich, bitte entschuldige meine Konsequenz in solchen Dingen, absolut indiskutabel.
        Ich werde mich dennoch in ruhiger Minute mit deinen Standpunkten auseinandersetzen. Versprochen.

      5. @tora
        Wie Alvar schon schrieb, trage ich bzw. wir keine Fehde aus. Ich fand diverse Aussagen in seinem Ursprungsposting einfach nicht zutreffend und war der Meinung, dass diese korrigiert werden müssen. Ich schätze Alvar und seine Leistungen sehr und würde mich freuen, wenn es bei 32C3 mal mit einem Treffen von Angesicht zu angesicht klappen würde.

      6. Alvar hat eine Argumentation gebracht, die sehr plakativ Tor als Risiko für Nutzer hinstellt und im Titel auch impliziert, die Betroffenen des staatlichen Hackings seien quasi selber schuld. Er titelt: „Du wirst staatlich gehackt, weil Du Tor nutzt“. Technisch und politisch sind seine Argumente für diese These fragwürdig und teilweise schlicht falsch, wie wir oben ja im Detail schreiben.

        Jens und ich haben sie vor allem technisch analysiert und das in dem Text begründet dargelegt. Daraus eine persönliche Fehde zu konstruieren, ist weit hergeholt von meinem Standpunkt aus. Denn ich habe nichts gegen Alvar persönlich, Jens schrieb hier schon, dass das auch bei ihm nicht der Fall ist. Warum auch, weil der Text sehr klar formuliert, was wir an Alvars Thesen falsch finden? Weil wir nicht hinter dem Berg halten, was wir über den Beitrag denken? Weil wir verteidigen, dass es sinnvoll ist, Tor zu nutzen?

        Ich kenne Alvar seit mehreren Jahren, in der Enquête-Kommission, in der wir beide waren, habe ich dann gelernt, wie er arbeitet und argumentiert und auch seine politische Haltung kennengelernt. Warum sollte ich ihn nicht kritisieren dürfen, wenn ich sowohl seine technischen Argumente als auch seine Schlüsse daraus glaube widerlegen zu können?

        Allerdings wollten wir klar Stellung beziehen, und zwar gegen die aufkeimende Unsitte, für die Alvars Blogpost ein prototypisches Beispiel ist, nämlich den Nutzern ihre Verwendung von „privacy enhancing“-Werkzeugen so auszulegen, dass sie damit irgendwie selber schuld wären, wenn sie von „staatlichen Hackern“ heimgesucht werden. Und dass sie es mal besser lassen sollen.

        Nochmal kurz zur Erinnerung: „Du wirst staatlich gehackt, weil Du Tor nutzt“, das war seine These. Mag sein, dass wir uns auch deswegen wenig über Alvars Text freuen konnten, weil wir selber und noch ein paar uns bekannte Menschen genau dieses „Du“ sind.

        Warum das nicht hier bei netzpolitik.org diskutiert werden sollte, leuchtet mir nicht ein. Natürlich hätte Jens das in sein Blog stellen können, aber wir wollten diese technisch nicht sinnvoll begründete und politisch gefährliche Argumentation durchaus öffentlich sichtbar widerlegen. Nebenbei: Ich arbeite bei netzpolitik.org, wo, wenn nicht hier, sollte ich diese Diskussion eröffnen wollen? Warum sollen wir nicht hier darüber diskutieren, ob und mit welchen Argumenten man Tor-Nutzern vorwerfen darf, sie machten sich quasi zum Ziel staatlichen Hackings durch die Tor-Nutzung?

        Natürlich kann ich als Mit-Autorin nicht zufrieden sein, wenn der Text als „Missbrauch“, als „böse“ und gar in Verbindung zu „mafiösen Strukturen“ gebracht wird. Denn was wir hier wollten, war vor allem, eine technisch falsche Argumentation offenzulegen und die politischen Schlüsse als wahrlich naiv zu entlarven. Dazu stehe ich, aber volle Kanne.

        Vielleicht muss ich mal darüber nachdenken und mit Jens beraten, ob wir besser paar Samthandschuhe anschaffen.

        Nunja, ich hoffe, Alvar wird mich trotzdem beim Congress wie immer freundlich begrüßen. :}

      7. @Constanze

        Kennst du Derailing? Und ist dir Ressourcenbindung ein Begriff? Du fällst darauf rein. Ich finde es sehr schade, wie es Alvar mal wieder schafft, eure und unsere kostbare Zeit mit seinen kruden „Argumentations“linien zu verschwenden. Schade auch, dass Jacob Appelbaum nicht so gut deutsch spricht, um Alvar mal gepflegt und klarstellend über den Mund zu fahren. Jacob ist eine Rampensau für solche Fälle.

        PS:
        Tipp, um Alvar argumentativ zu zerlegen: Als Wissenschaftlerin kennst du sicher, wie man als Forscher die Prämissen so wählen kann, dass die gewünschten Ergebnisse produziert werden. Du kannst dir ja mal genauer anschauen, mit welchen verengten Grundannahmen Alvar „argumentiert“ (Hint: Verengung auf deutsche User in Deutschland i.V.m. „Otto Normal hat nichts zu befürchten (ohne Tor)“).

        1. @Jana: Ach, „Derailing“. Ich finde, wer sich auf eine andere Schiene setzen lässt, ist zumindest Mitschuld. Ich habe das nicht vor. Und auch wie ich meine Ressourcen binde, ist meine freie Entscheidung, ebenso ob die Leser sich die Zeit nehmen, das zu lesen und sich damit auseinanderzusetzen. Natürlich konnte ich mir heute den halben Tag anhören, warum wir überhaupt was dazu schreiben: Das sei doch alles Unsinn, da brauche man doch gar nicht erst anfangen, der will doch nur Aufmerksamkeit, wer ist das überhaupt usw. Das ging bis zu herben Vorwürfen, auch von Leuten, die ich schätze.

          Ich kann mit diesen Vorwürfen offengestanden wenig anfangen, denn sich gedanklich mit etwas beschäftigen, die eigene Position dabei zu hinterfragen oder zu schärfen, halte ich erstmal nicht für falsch. Jens und ich haben nach der Lektüre einfach das Bedürfnis gehabt, das aus technischen und politischen Gründen nicht so stehen zu lassen. Man könnte natürlich auch eine Textwand per Mail verschicken, aber wenn das hier öffentlich im Blog passiert, haben im besten Fall Leser einen Mehrwert.

      8. @Constanze: Selbstverständlich werde ich Dich auf dem Congress freundlich begrüßen! Da können wir dann ja auch gerne weiter diskutieren und am Ende gar nicht mal so weit auseinander liegen … ;-)
        (Da fällt mir ein, ich muss noch einen Vortrag vorbereiten …)

      9. genau so habe ich das gemeint: es lohnt sich, über die sache so zu sprechen, dass alle aspekte den raum bekommen, der einen erkenntnisgewinn für alle ermöglicht.

        dafür vielen dank an alle beteiligte.

        .~.

      1. Jedes Repressionsmittel wird irgendwann repressiv eingesetzt werden, weil es dafür beschafft wurde und die Verwalter halt ihre Pöstchen gegen Kürzungen verteidigen wollen. Kürzungswellen sind nicht zu verhindern, weil die Wirtschaft und damit die Staatseinnahmen sich halt nicht linear, sondern zyklisch entwickeln und so regelmäßig Kürzungsdruck entsteht..

        Hast Du gedient? Falls ja kennst Du dann ja sicherlich das Jahresend-Munitionsverbrauchsschiessen. Warum sollte das mit Abhörgerätschaften anders laufen? Da kann ich mir gut Jahresend-Abhörwellen vorstellen, damit die Jahresstatistik stimmt.

        Und da das „Es ist kein Faschismus wenn wir es tun!“ Argument in der Praxis also nicht funktionieren kann, zyklisch auftretender Kürzungsdruck führt immer zu sinnlosem Mitteleinsatz für die Statistik, damit die Kürzung möglichst andere trifft und nicht einen selbst, brauchen wir halt zivile Anti-Repressionsmittel wie Tor um unsere kommunikative Würde, unser Recht nicht von Schnüfflern belästigt zu werden, selbst zu verteidigen. Und Verschlüsselung funktioniert halt am besten, wenn immer alle sie nutzen, weil dann durch sie keiner aus der Masse hervorsticht.

        Wer Schnüffelei also auch nur im Ansatz toleriert, und sei es um pöse Nazis und Islam-Spinner abzufischen, der landet halt leider automatisch auf der dunklen Seite, weil die zyklische Natur der Wirtschaft keine dauerhaft helle, kürzungsfreie Schlaraffenland-Seite zulässt.

        Fragen, Alvar?

  2. Wir haben hier das (auch durch meinen Text aufgeworfene) Problem, dass wir zwei zwar verwandte, aber dennoch unterschiedliche Themen miteinander vermischen:

    a) Die Warnung von Twitter, dass so mancher Twitter-Nutzer Opfer eines staatlichen Hackerangriffs geworden sein könnte. Leider sagt Twitter weder dazu, wie sie zu dieser Vermutung kommen noch wie sicher sie ist. Alleine zu diesem Bereich kann man daher viele Vermutungen anstellen … ;-) – aber genau das ist das Problem an der Diskussion: alles Vermutungen über Vermutungen.
    b) Die Frage, für welchen Nutzerkreis in welchem Kontext die Nutzung von Tor sinnvoll ist und/oder weitere Angriffsvektoren sowie höhere Risiken schafft.

    Zu a):
    Ja, es stellt sich nun heraus, dass nicht alle angeschriebenen Tor-Nutzer sind. Aber anders als ihr im Text oben suggeriert habe ich auf den entsprechenden Tweet ja durchaus geantwortet. Kernfrage ist: wie kommt Twitter zu der Annahme, dass die betroffenen Nutzer Angegriffen worden sein könnten? Eine Möglichkeit habe ich in meinem Text dargestellt, aber auch geschrieben, dass es eine Vermutung ist: Man-in-the-Middle-Angriff auf die Verschlüsselung. Ist wie ihr oben zu Recht beschrieben habt nicht einfach, und wird von vielen Browsern noch weiter erschwert. Aber auch von jedem Twitter-Client?
    Dass auch Nicht-Tor-Nutzer von dieser Möglichkeit betroffen sein könnten, habe ich schon via Twitter beschrieben: In vielen Firmen wird die SSL-Verschlüsselung durch einen Proxy-Filter gebrochen, der als Man-In-The-Middle dazwischen hängt und alles wieder mit einem eigenen Zertifikat signiert – das hätte den gleichen Effekt wie der als Möglichkeit beschriebene Angriff via Tor.
    Es gibt aber auch andere Optionen: vielleicht vergleicht Twitter die vom Browser angegebenen Cipher-Suiten (Verschlüsselungs-Methoden) mit denen, die der jeweilige Browser normalerweise tatsächlich benutzt. Oder oder. Auch eine Erkennung eines MITM-Angriffs ist für den Server nicht einfach: mit JavaScript lassen sich meines Wissens keine Informationen über das SSL/TLS-Zertifikat abrufen. Hmmm. Hat Twitter andere Methoden genutzt? Oder mit einem Browserhersteller kooperiert? Wie alt sind die Informationen?
    Vielleicht ist die Vermutung von Twitter auch nur ganz trivial: von der gleichen IP-Adresse wie die der angeschriebenen Nutzer wurden andere Anomalien (z.B. Brute-Force-Angriffe auf Passwörter) beobachtet. Aber wäre es da nicht viel zu hoch gegriffen zu behaupten, dass ein staatlicher Angriff dahinter steckt? Oder sind die „anderen Anomalien“ andere Angriffe auf die Verschlüsselung? SSL/TLS ist in vieler Hinsicht ziemlich kaputt, ich habe für ein Projekt manuell einen SSL/TLS-Handshake programmiert, und könnte mir durchaus vorstellen, dass da in den gängigen Implementationen noch weitere Fehler stecken, die ein Angreifer nutzen könnte.
    Wie gesagt: alles Spekulation, solange Twitter keine genauen Informationen raus rückt.

    Zu b) :
    Darüber, wie hoch man das Kosten/Nutzen-Verhältnis von Tor ansehen mag, kann man sicher lange diskutieren. Ich habe dargelegt, dass ich es nicht als sinnvoll ansehe, Tor einem normalen Laien als Mittel der Wahl für das normale Surfen in Deutschland anzupreisen. Mein Artikel „Finger weg von Tor!“ beschreibt das ja doch ziemlich ausführlich, im dort verlinkten c’t-Artikel gibt es auch noch Hintergrundinfos. Aber damit widerspreche ich nicht der Forderung, dass wir „sichere und nutzbare Anonymisierungswerkzeuge“ schaffen sollten. Wobei ich diese Forderung nicht nur auf Anonymisierung sondern auch auf Verschlüsselung beziehe. (Denn auch da liegt einiges im Argen: 5% einer von mir untersuchten Stichprobe an Webservern aus der Region Stuttgart nutzt noch SSLv2, 25% SSLv3 – beide haben schlimme Bugs. Und nur wenige setzen die BSI-Vorgaben um, aber das führt nun alles zu weit und mehr kommt da von mir zu anderer Zeit ;-) ).

    Tor ist eine Tolle Sache. Wirklich. Das Problem ist aber, dass es schlicht und ergreifend einen neuen Angriffsvektor eröffnet, der nicht gerade klein ist und für viele hiesige Nutzer in keinem Verhältnis zum Nutzen steht. Es gibt Leute, die können damit umgehen. Aber das sind eben auch nur wenige. In anderen Kontexten sieht das anders aus – und wie immer im Leben kann man natürlich sowieso anderer Ansicht sein.

    Der Angriffsvektor wäre übrigens geringer, wenn es bei Tor ausschließlich vertrauenswürdige Exit-Nodes geben würde.

    Ansonsten: was den Realnamen angeht: die beiden Beispiele, die den Fall groß publik gemacht haben (Anne und Jens), twittern ja unter Realname. Man kann aber natürlich auch unter Pseudonym twittern oder auf Facebook aktiv sein. Ob man in Deutschland dazu Tor braucht? Kommt drauf an … – ich spreche aber immer von Otto-Normal-Nutzer, und der ist zumindest auf Facebook üblicherweise mit Realname unterwegs.

    Auch auf den Punkt der Geheimdienste bin ich eingegangen. Auch vor dem Hintergrund der Snowden-Enthüllungen halte ich für den Otto-Normal-Nutzer das Risiko mit Tor für größer als ohne. Auch in Bezug auf Vorratsdatenspeicherung. Deswegen muss ich aber weder das eine noch das andere toll finden. Zumal das Problem eher politischer Natur ist und dort gelöst werden muss. Der Staat muss nicht nur diejenigen schützen, die laut schreien – sondern eben auch Otto-Normal-Nutzer, der noch nie von Tor gehört hat. Die Bundesregierung versagt da m.E. auf großer Linie – aber das ist natürlich kein Argument gegen Tor …

    1. Also in Kurz zu b): Du findest die Leute zu doof, als dass sie sicherstellen https zu benutzen, wenn Sie mit Tor unterwegs sind (zusammen mit den Artikeln aus deinem Blog)?
      Und dass es Anbieter gibt, die sich einen Dreck um Nutzersicherheit kümmern hat insoweit mit Tor zu tun, als dass man das deswegen nicht nutzen sollte?
      Hab ich das richtig verstanden, oder bin ich falsch abgebogen (ernst gemeinte Frage!)?

      1. Der Durchschnittsnutzer hat nicht das Wissen und die Erfahrung, um eine sichere Benutzung sicherzustellen. Das hat nichts mit doof zu tun – das betrifft doofe wie schlaue Menschen.
        Man öffnet sich mit der Tor-Nutzung einen neuen Angriffsvektor, das ist sicherlich unstrittig. Strittig ist, wie groß dieser ist, wer ihn beherrschen kann – und ob der Nutzen von Tor größer wiegt. Zudem ist vermutlich strittig, wie sich die Kosten-Nutzen-Abwägung verhält, wenn man unter Nutzung von Tor mit Realname Facebook nutzt oder etwas z.B. bei Amazon bestellt.

      2. @Alvar, ich finde Deine Perspektive interessant und Deine Argumente nachvollziehbar, Deine Schlussfolgerung aber ein non sequitur. Unbestritten ergeben sich neue Angriffsvektoren. Dafür fallen andere weg (nämlich die, die in dem Netz, in dem du gerade bist, von irgendwelchen 0815-Leuten gefahren werden können).

        Den gleichen Effekt der verschobenen Angriffsvektoren haben natürlich VPN. Tor hat mehrere Vorteile: das verteilte Vertrauen für eine weit wirkungsvollere Anonymisierung, das sehr professionell arbeitende Team dahinter, den Rauscheffekt, den Zusatznutzen durch Hidden Services, die selbstauthentifizierend sind und gegen CA-basierte Attacken (und schon gar DNS-Manipulation) nicht anfällig sind.

        Zudem profitieren momentan (von sekundären Konsequenzen wie Verbotsversuchen abgesehen) alle, wenn die Nutzung von Tor üblicher wird und einem damit weniger ein Fadenkreuz aufmalt. Gerade letzteren Schuh darf man sich nicht anziehen: freiwillig auf legales, aber „subversives“ Verhalten verzichten aus Angst, getargeted zu werden! Wo führt denn das hin?

        Das Argument mit den Staaten mit freiheitlich-demokratischer Grundordnung erschließt sich mir nicht. Diese kann ebensoschnell in der allgemeinen Hysterie verlorengehen (Frankreich und UK scheinen mir da gerade Wackelkandidaten zu sein, die USA sind schon weit darüber hinaus und auch sonstwo ist niemand vor den Machenschaften der verselbstständigten Geheimdienste und anderen staatlich gedeckten Kriminellen sicher, und vielleicht ist man ja auch viel unterwegs). Sicher ist eine politische Lösung das, was wir anstreben müssen. Dennoch ist es in all diesen Fällen besser, sich schonmal mit OPSEC auseinandergesetzt zu haben.

        Der Umstieg zu Tor muss also Hand in Hand mit einer Auseinandersetzung mit den technischen Details gehen, soweit sind wir glaube ich einer Meinung. Man muss sich auseinandersetzen mit dem, was man da tut. Und zwar intensiv. Und man wird trotzdem nicht alles überblicken können, aber zumindest die schlimmsten Fehler nach und nach einstellen.

        Ich schließe aber daraus nicht, dass man die Finger von Tor lassen sollte. Im Gegenteil. Sorry, IMHO dürft man sonst heute gar nicht mehr ins Internet gehen, weil man sich als unbedarfter Nutzer sonst IMMER ungeschützt einem Fangnetz in die Maschen wirft! Viel zu gefährlich. Lieber die Finger vom Internet lassen, als mit Volldampf und sorglos nackt ins Haifischbecken Internet und dann nicht an Tor rantrauen, auch wenn man am Anfang Fehler machen wird!

        Unwissend ins Internet ist zwar verlockend, aber da ist es in den allermeisten Fällen noch vernünftiger, offline zu sein.

        Ich glaube übrigens sehr wohl, dass viele der Angeschriebenen halbwegs wissen, was sie da tun und auch wissen, dass die Vertraulichkeit ihrer Verbindung zu Twitter immer noch von der Vertrauenswürdigkeit von CA’s abhängt (vorausgesetzt, sie pinnen nicht selber – ich nehme CertificatePatrol) und von anderen Dingen und dass Twitter ohnehin mehr eine Big-Data-Verhaltensprofilierungs-Psychoexperimentplattform denn ein neutrales „soziales Netzwerk“ ist …

        My 2 cents

      3. Danke für die klarer Stellung ;)

        Dann verstehe ich nicht, wie Tor sich anders verhält zur normalen Internetnutzung oder zur Nutzung eines VPNs (hinsichtlich der sicheren Benutzung meine ich). Das Problem das du damit ansprichst ist kein spezifisches von Tor ausgehendes Problem, sondern ein Klassiker auf OSI-8 :D, oder?

        Ich meine selbst hier im Blog war vor einiger Zeit ein gewisser Link zu einer gewissen Umfrage mit schnödem http untergebracht, obwohl der Serviceprovider https ausliefert. Wenn ich das mit Tor klicke vs VPN vs „normal“, stehe ich deswegen zunächst nicht schlechter da, sondern nur anders. Korrigiere mich bitte, wenn ich Unfug schreibe. Aber der Böse Bube muss halt entweder im Exitnode, beim VPN-Anbieter oder bei meinem ISP sitzen.
        Richtig?
        Dann beruht dein Argument im Kern noch auf dem Problem, dass jeder Bösewicht n Exitnode betreiben kann, aber nicht nen VPN/ISP? Was ist aber dann mit der VDS? Wird da nicht de facto (jedenfalls) der ISP zum Bösewicht?

      4. @McGurk:
        In dem Netz, in dem ich mich *gerade* befinde, können keine 0815-Leute Angriffe fahren, denn ich bin in einem ganz ordentlich abgesichertem, BSI-zertifiziertem Netz. Nichtsdestotrotz wüsste ich die richtigen Leute mit den passenden Zugriffsrechten, die Angriffe fahren könnten. ;-)
        Aber im Ernst: Ich empfehle immer und jedem sehr dringend die Nutzung eines (möglichst eigenen oder anderweitig vertrauenswürdigen) VPN, wenn man sich in einem nicht vertrauenswürdigen Netz befindet – Hotel-WLAN, ICE-WLAN und so weiter und so fort.
        Den normalen Access-Provider in Deutschland sehe ich *in der Regel* als vertrauenswürdig an – sofern es nicht gerade ein britisches Unternehmen ist ;-) Eingriffe von Geheimdiensten sind nicht gänzlich auszuschließen, aber wie ich schon geschrieben habe: Aus Angst vor einem Risoko wie der Geheimdienstüberwachung sollte man sich nicht größeren Gefahren aussetzen. Überwachung durch NSA und Co. sind ein politisches Problem und müssen nicht nur politisch sondern natürlich auch technisch gelöst werden. Für Normalnutzer aber durch mehr Ende-zu-Ende-Verschlüsselung, und nicht Man-in-the-Middle-Verschlüsselung mit zusätzlichem Angriffspunkt wie bei Tor.

        Zudem bringt Tor ja auch noch eine Reihe von zusätzlichen Komfort-Einbußen wie langsame Verbindungen und so weiter.

        Ich sage nicht, dass Tor keine Existenzberechtigung hat, verboten gehört oder ähnliches. Ich finde Tor eine gute Sache. Aber auch gute Sachen müssen nicht für jeden gut sein! Mein Artikel »Finger weg von Tor« bezieht sich vor allem auf reisserische werbende Aussagen, mit Tor-Nutzung wäre jeder DAU mit einem mal »sicher im Internet«.

        Im vorliegenden Fall habe ich die Vermutung – ja, Vermutung! – dass sich die Betroffenen durch die Tor-Nutzung ein zusätzliches Problem eingehandelt haben. Ich kann mich irren, und vielleicht werden wir es irgendwann erfahren.

      5. @Alvar Mist! Ich muß dir zustimmen. ;-))
        Vor Jahren hab ich Tor ausprobiert. Scheißelangsam. Dann irgendwann noch die Information, daß jeder, also auch die Weststasi, so einen Dingspunkt innerhalb Tors betreiben kann und das damit kompromitieren kann. Damit war für mich der Drops gelutscht.
        Jahre zuvor gabs mal ne Verschlüsselungssoftware von Wiso, welche wohl aus dem Netz genommen werden musste, weil die interessierten Stellen keinen Generalschlüssel hatten.
        Warum sollte ich also den Aufwand von Verschlüsselung oder anonymsurfen betreiben, wenns doch nur Schlangenöl ist?!
        Bei den Preisen für Rechentechnik, mal ganz abgesehen davon, daß ich mir kaum vorstellen kann, daß sowas ein Problem für die Geheimdienste ist, und die auswerterischen Möglichkeiten, dürfte auch die Möglichkeit der Überlastung der Spitzelsysteme eher ein frommer Wunsch sein.

        Ich möchte auch nicht von denen überwacht werden, die vorgeben, mich damit zu schützen!
        Wenn ein Chinese sich meinen Rechner ansieht, ist mir das wohl beinahe egal (ihm wohl auch). Wenn das der „eigene“ Gehemdienst tut, ists mir nicht mehr egal.
        Dabei kommt mir grad noch der vielleicht eigentliche Aspekt in den Sinn. Man muß vielleicht nicht mal aktiv bespitzelt werden. Die reine Möglichkeit und das Wissen darum kann und wird schon zur Selbstbeschränkung führen. Und da, bester Alvar, ist mein Argument gegen jede VDS.

      6. @Alvar, ich wollte Dir nicht unterstellen, in einem unsicheren Netz unterwegs zu sein :-) Das „du“ war ein generisches „du“. Ansonsten siehe Antwort im Blog.

      7. @Alvar: „Man öffnet sich mit der Tor-Nutzung einen neuen Angriffsvektor, das ist sicherlich unstrittig.“

        Wenn Du schon Einschätzungen zu Risikoerhöhungen absonderst, dann geh doch mal bei den Risiken etwas in die Breite, dann relativiert sich deine german angst nämlich fast von selbst.

        Wie lange brauchst Du, um einen offenen AP aufzusetzen, der hintendran ein wenig MitM macht? Da siehst Du die selben Passworte und das kriegt auch jeder Cyba-Kriminelle hin.

        Argumentierst Du genauso gegen die Wifi-Funktionalität in Smartphones, so wie Du gegen Tor wetterst, bei ähnlichen Grund-Risiken? Natürlich nicht… :)

        „Oder anders gesagt: es ist einem normalen Kriminellen oder anderen Angreifer nicht ohne weiteres möglich, an fremde Passwörter zu gelangen. Ich kann mich nicht mal eben ins Netz der Telekom einklinken, um dort Daten der Kunden abzugreifen.“

        Doch, genau das geht, man kann durchaus im Wifi AP Bereich kreativ spoofen und einen Telekomiker Hotspot simulieren.

        So wie Behörden IMSI Catcher einsetzen können.

    2. b)
      Ich gebe dir je nach Angreifer recht was die Angriffsvektoren angeht. unverschlüsselter/unauthentifizierter Traffic lässt sich natürlich easy auf der Exit-Node mitschneiden / verändern. Das ist definitiv ein Sicherheitsproblem und eine größere Angriffsfläche wie ohne TOR. Das trifft zu, wenn wir über Angreifer mit begrenztem Zugriff sprechen.

      Ein großer Geheimdienst oder eine Regierung kann aber auch den Traffic im normalen Netz umleiten / verändern, z.B. per QUANTUMHAND, da bringt TOR wieder etwas, da der Angreifer dann auch im Land des Exit-Nodes präsent sein muss b.z.w. es aufwändiger wird das Ziel in Echtzeit zu erkennen und die richtige Verbindung zu treffen.

      Einem Ottonormalnutzer bringt TOR eigentlich nur was gegen seinen ISP, seinen Arbeitgeber oder den teilweise gegen den Seitenbetreiber, um wirklich anonym zu sein vor großen Angreifern muss man ja doch noch Einige weitere Dinge beachten.

      1. Wie gut die NSA darin ist, beliebigen Traffuc im „normalen Netz“ umzuleiten, darüber können wir immer noch nur spekulieren. Und zudem dürfte dies von Land zu Land und von Provider zu Provider unterschiedlich sein. QUANTUMHAND ist ja auch nicht das Umleiten von allem Traffic, sondern das Infizieren von Rechnern mit Schadsoftwarfe. Aber nichtsdestotrotz können wir davon ausgehen, dass die NSA bei genug Interesse bei nahezu jedem speziell ausgewähltem Ziel einiges erreichen kann.

        Was Ottonormalnutzer angeht hast Du Recht, ABER: gegenüber dem Arbeitgeber wird es schwer, weil die Nutzung von Tor in vielen Umgebungen nicht möglich sein dürfte; in vielen anderen Fällen dürfte es schlicht nicht erlaubt sein.
        Gegen irgendwelche Seitenbetreiber bringt Tor nur bedingt etwas, da der Seitenbetreiber nicht die Identität des Nutzers kennt. Er kann nur ungefähr einen Ort erraten.
        Bleibt der ISP. Der kann so ziemlich vieles machen, bzw. zu fast allem gezwungen werden. In Deutschland DARF er aber vieles nicht tun und würde sich in vielen Fällen strafbar machen. Wie hoch man hier das Risiko einschätzt ist eine Vertrauens- und Glaubensfrage und da kann man zu Recht viele Positionen vertreten …

    3. Alvar, deine Argumentation ist aus meiner Sicht nur zum Teil logisch. Deine Voraussetzungen kann man anzweifeln und deine Motivation verstehe ich nicht.

      1) Warum sollte ein Exit-Node weniger Vertrauenswürdig sein, als dein Provider oder große Knoten in Frankfurt? Immerhin wird der Exit-Node zufällig gewechselt und die Nodes werden von Leuten betrieben, die etwas sinnvolles für Andere tun wollen. Frankfurt aber wird nie „gewechselt“ und nur zum Teil für das Gemeinwohl betrieben. (Stichwort: Datenausleitungen) Genau da hilft Tor.

      2) Meine Familie und Freunde surfen seit Jahren über Tor. Für Facebook, Banking usw. gibt es einen extra Browser. Damit entfällt ein Hauptargument (der möglichen aufgerissenen „Sicherheitslücke“ – wo du sonst durchaus Recht hättest).

      3) Dazu kommt, dass auch Twitter über Tor sicher stellt, dass meine Nachricht bei Twitter ankommt und nicht anderswo massengespeichert wird. Deine Argumentation ist wie: Der Staat/Geheimdienste kann die Bremsen deines Autos manipulieren und deshalb sein Autofahren besser zu unterlassen.

      3) Wenn Tor die Aufmerksamkeit von Geheimdiensten auf den User zieht, dann sollte jeder immer Tor nutzen, damit dieser Grundrechtsverstoß endlich sinnfrei gemacht wird.

      4) Ein Staat, der seine Bürger via VDS unter Generalverdacht stellt, der stellt sich über und aus meiner Sicht sogar gegen seine Bürger. Kommunikation ist Privatsache und Grundrecht. Der Staat handelt hier nicht akzeptablel (in dem Sinn, dass Grundrechte Abwehrrechte gegen einen ausufernden Staat sind). Tor ist eine legitime Gegenmaßname und aktiver Protest.

      5) Die Nutzung von Tor durch mich hier in Deutschland stützt Dissidenten in totalitären Staaten. Die Nutzung ist eine Frage der Solidarität und des Demokratieverständnisses. Ich denke, da kann man mal verzichten, wenn die NSA unbedingt meine (öffentlichen!) Twitter-Nachrichten mitlesen will.

      6) Wie kommst Du darauf, dass jemand extra für mich, dem Normalbürger, einen Exit-Node aufsetzt und mich ausspioniert? Ich denke, die Massenüberwachung ist das Problem. Da ist Tor effektiv.

      7) Ich lass das mal hier, aber eine technische Debatte zur Sicherheit von Tor können wir gerne führen. Dann aber mit nachweisbaren Fakten.

      1. Zu 1.) Ich habe es schon an anderer Stelle geschrieben: Wenn ich mich als Angreifer betätigen will, habe ich ziemlich schlechte Karten einen Access-Provider oder das DE-CIX zu infiltrieren. Aber ich kann mit relativ geringem Aufwand einen Tor-Exit-Node aufbauen, der unverschlüsselte Kommunikation abgreift.

        Zu 2.) Es widerspricht allen gängigen Sicherheitsanforderungen, „sichere“ und „unsichere“ Verbindungen gleichzeitig zu nutzen. Sprich: wenn Tor, dann sollte man auch sicherstellen, dass NUR mittels Tor gesicherte Verbindungen nach draußen gehen, denn sonst setzt man sich der Gefahr der Enttarnung aus.

        Zu 3.) Da Twitter HTTPS nutzt, kann auf dem Weg keiner mitlauschen – außer durch einen entsprechend guten MITM-Angriff.

        Zu 4.) Thema verfehlt

        Zu 6.) Gar nicht, denn das habe ich auch nicht behauptet.

      2. Zunächst einmal Alvar und das ist leider notwendig: ich bin zwar nicht deiner Meinung, doch ich bin sehr dankbar dafür, dass du dich kompetent und unaufgeregt und geduldig damit beschäftigst. Ich halte persönliche Angriffe und unqualifizierte Aussagen (irren ist natürlich okay!) in Kommentaren für unerträglich und absolut kontraproduktiv. Das dies geschieht tut mir ehrlich Leid und der Sache keinen Dienst.

        zu 1) „Wenn ich mich als Angreifer betätigen will“ und NSA bin, dann gehe ich nach Frankfurt. Wenn ich BND bin dann auch. Dumme Abzocker werden durch Tor hinreichend verhindert. Der Exit-Node wird zyklisch gewechselt. Böse Nodes werden identifiziert und ausgeschlossen. Zudem helfen noch andere Methoden und ein wenig Hirn.

        zu 2) „Es widerspricht allen gängigen Sicherheitsanforderungen, „sichere“ und „unsichere“ Verbindungen gleichzeitig zu nutzen“

        Wieder eine Voraussetzung, die du einfach annimmst und unzulässig verallgemeinerst. Immerhin, würde ich das „Gleichzeitig“ so tun, dann hättest du unter Umständen durchaus recht. Auf den Leitungen der Telekom ins „Internet“ wird jedoch gesicherter und ungesicherter Inhalt gleichzeitig übertragen. Du meinst hier also etwas anderes… Nur, das geschieht bei mir nicht.
        Vielleicht sollte man sich von der Vorstellung lösen, Internet würde am Ende der Telekom-Leitung in meinem Haus enden. Und davon, dass IP=Rechner oder gar Benutzer ist. Wer „böse“ ist, der kann sogar IPs auf primitive Art fälschen.

        zu 3) „Da Twitter HTTPS nutzt, kann auf dem Weg keiner mitlauschen“
        Wenn man einmal von der VDS absieht. Und wenn man von einem MITM-Attack absieht. Und wenn man davon absieht, dass Hersteller unsinnige Zertifikate fälschen. HTTPS verschlüsselt nur Inhalte. Das „Gold“ sind aber die Metadaten, wer wann mit wem. Wäre das anders, dann wäre die VDS nicht nur sinnbefreit sondern auch noch von kompletten Idioten ausgedacht.

        zu 4) Nein, nicht Thema verfehlt. Tor ist ein Mittel gegen die VDS. Es ist Werkzeug, mein Recht auf informelle Selbstbestimmung durchzusetzen. Grundrechte sind Abwehrrechte gegen einen ausufernden Staat. Es ist meine Meinung, dass die VDS massiv unverhältnismäßig in Grundrechte eingreift.

        zu 6) Zitat Alvar: „Für den normalen Nutzer in einem freiheitlich-demokratischen Staat, der nicht befürchten muss persönlich und direkt von den Geheimdiensten überwacht zu werden, ist Tor für die normale Internet-Nutzung in der Regel keine gute Idee“

        Das würde natürlich stimmen, wenn die Voraussetzung gelten würde. Leider existiert in Deutschland Massenüberwachung durch deutsche und ausländische Behörden, sowie einer Industrie und teilen des Internet selbst. Datenschutz und informelle Selbstbestimmung sind wenigstens beschädigt. Die Industrie tut das ihrige dazu, auch wenn sie sich für Geld und weniger für Menschen interessiert. Zudem existiert eine Vorratsdatenspeicherung.

        Und zuletzt: der Angriffsvektor ist ohne Tor wesentlich größer, als mit Tor. Ich sehe nicht, wo du das Gegenteil auch nur annähernd belegen kannst. Es existiert, reduziert auf die Aufgabe von Tor und die sich damit ergebenden technischen Voraussetzungen, kein praktikabler oder theoretischer Angriff auf Tor selbst. Nur vor „Dummheit“ schützt Tor natürlich nicht.

      3. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

    4. @Alvar
      Die ganze Diskussion hier leidet darunter, dass über „Angriffsvektoren“ abstrakt gesprochen wird, ohne diese in Bezug auf Tor konkret zu benennen.
      Sätze wie diese helfen nicht:

      Man öffnet sich mit der Tor-Nutzung einen neuen Angriffsvektor, das ist sicherlich unstrittig. Strittig ist, wie groß dieser ist, wer ihn beherrschen kann – und ob der Nutzen von Tor größer wiegt.

      Also bitte, welches sind konkret die Angriffsvektoren, wenn man Tor benutzt?

      1. @Alvar
        Diese Links sind hinlänglich bekannt. Als Kurzfassung könnte man resümieren: Das Problem sitzt vor der Tastatur. Aber das ist nicht das, was unter einem attack vector verstanden wird, der Tor zugerechnet werden könnte. Die Texte sind allgemein gehalten und etwas schwurbelig.
        Im Übrigen bedarf es einer Erklärung der reißerischen Headline: „Staatlich gehackt“
        Wer hackt denn da, und warum Tor? Wenn Du einerseits auf die „FDGO“ und „vertrauenswürdigen“ deutschen Provider verweist, dann dürfte die „FDGO“ ja auch bezüglich Tor gelten. Oder?
        Ich frage mich, welche Motivation hinter Deinen Artikeln steht. Ist es wirklich nur gut gemeinte Fürsorge oder eine etwas andere Agenda?

  3. Herrlich absurde Diskussion, die leider deutlich zeigt, dass sich das netz vor allem mit sich selbst beschäftigt. Ein Alvar macht sich damit wichtig, dass er ernsthaft anmerkt, dass Tor ja nichts bringt, wenn man über facebook , ebay oder Amazon mit KLarnahmen oder registrierten Nick Name unterwegs ist. Geht’s noch ? Für wie blöd muss man die Menschheit halten, bzw. wie niderschwelligkeit muss daseigene Egos sein, um zu glauben, dass diese „Aufklärung“ selbst für einen Grenzdementen aus Ostfriesland nötig ist ? Getarnt wird der Unsinn mit Begirfflichkeiten ala „Gefahrenvektor oder Middle of Man Attacken“. Und tatsächlich ist es wieder anderen einen Artikel dazu wert, dem zu entgegnen. Beim BfV und NSA lesen die Netzpolitik sicher täglich für Ihre Schenkelklopferei, und zum Witze erzählen in der Werkskantine.

    1. Das ist Dir klar und das ist mir klar. Es ist aber Alltag, dass Leute genau durch solche Unachtsammkeiten deanonymisiert werden!

    2. Das ist für uns klar, weil viele von uns täglich damit beschäftigen, über die entsprechende Kentnisse verfügen, damit arbeiten etc.. und auf einer Seite wie NP.org alle zusammentreffen.

      Allerdings hat der Großteil Deutschlands nicht die leiseste Ahnung vom „Neuland“, geschweige denn, wie irgendeine Technik dahinter funktioniert.

      Warum man keine Klarnamen über TOR verwenden sollte, setzt sehr viel Verständnis der Materie voraus. Dafür müsste man sich mit HTTPS, Tor, ISPs, Routing etc beschäftigen. Geh mal in eine beliebige Fußgängerzone und frag 10 zufällige Leute danach. Einer wird dir sagen, dass HTTP irgendwas mit Internet ist und der Rest denkt an Fussball und Navigationssysteme.

      In dieser Hinsicht hat Alvar völlig Recht, dass der durchschnittliche Nutzer nicht weiß, wie man damit umgeht. Womit er meiner Meinung nach aber nicht Recht hat, dass man es dennoch nicht benutzen sollte.
      Tor gibt sich ja mittlerweile größte Mühe auf das „richtige Verhalten“ hinzuweisen. Und je mehr verschlüsseln, desto besser.

      Je mehr verschlüsselter Traffic unterwegs ist, desto besser. Das einzig effektive Mittel gegen Überwachung ist, diese unrentabel zu machen.

      1. Ich bin wohl so ein DAU und muß auch sagen, daß ich das in technischer Hinsicht auch nicht unbedingt aktiv zu ändern bereit bin. Mein Auto repariere ich auch schon lange nicht mehr selbst und noch habe ich niemanden, der mir meine Internetwerkzeuge so konfiguriert, daß sich auch nur ansatzweise ein Gefühl der Sicherheit einstellen könnte.
        Ich bevorzuge da simplere Methoden, indem ich auf den Geräten, welche mit dem Netz verbunden werden, nie wichtige Dinge habe und zu Raubmordkopiererkinderterroristendingen in den Wald gehe.
        Für mich ist das Internet so, als wenn ich Postkarten schreibe und mir die Stasi immer noch hinterherschleicht. Damit muß ich umgehen oder drauf verzichten. Der Stasi zu DDR-Zeiten wäre ich wohl auch nur durch Selbstmord entkommen.
        Auf Twitter oder Facebook zu verzichten fällt mir leicht. Leichter als mich durch solche feinen Dinge noch gläserner zu machen.

        Ich stelle mal die These auf, daß dieser „Krieg“ technisch eher nicht zu gewinnen ist. Es wird wohl bei einem recourcenfressenden Wettlauf bleiben.
        Schade um das schöne viele Westgeld. ;-)

      2. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      3. Und was können wir aus Alvars neuestem Statement lernen? Ist es nicht ein Genuss, ihm dabei zuzusehen, wie er sich selbst bloßstellt?

        Ob wir noch von ihm erfahren werden, inwiefern man ein „Troll“ ist, wenn man das offizielle und technische Designdokument von Tor verlinkt?
        Hat da jemand Angst, die Deutungshoheit zu verlieren?
        Und wer „beleidigt“ hier eigentlich wen „dumm“? Menschen, die auf Tor-Designdokumente verlinken oder Menschen, die andere als Trolle beleidigen?

  4. Grundsätzlich sollte jeder Tor nutzen weil die Bürger vor Datensammelei, Abmahnindustrie usw geschützt werden. Weiterhin wird durch Tor die weltweite Überwachung zugunsten von finanzkräftigen Minderheiten aufgezeigt. Wenn Tor Nutzer enttarnt werden zeigt das nur auf das die Provider und die Netzwerkfirmen wie Cloudflare, Level3, CSC aber die sind ja eh alle von Snowden genannt worden mit den Geheimdiensten zusammenarbeiten weil sonst wäre das nicht möglich. Weiterhin beweißt die Enttarnung von Tornutzern das Geheimdienste nicht die Bevölkerung schützen sondern ausschließlich die Interessen einer finanzkräftigen Minderheit. Die Minderheiten wie die im Grunde illegale Datensammelei von Facebook, Google und all die kleinen Handyapps die mit dem EIgentum der Menschen Milliarden machen und letztendlich Konzerne sind genau wie Chemiekonzerne und die Besitzer der KOnzerne sind einige wenige also MInderheiten. Darüber Hinaus wird aufgezeigt das der Staat der geheimdienste fördert die die Bevölkerung ausspionieren nicht mehr eine Bürgervertretung sein kann sondern eine Minderheitsregierung vollumfänglich entspricht was dann natürlich auch für das Gesetzugebungsverfahren dieser Staaten gilt. Das dieser Staat eine Minderheitsregierung entspricht beweißt auch die Enttarnung der Bundestagshausausweise.

    Machen wir uns nichts vor das Internet war schon immer ein Spionagesystem das von im Grunde MInderheitsstaaten betrieben wurde um die Bürger in Abhängigkeit zu bringen was ihnen mit Spielen usw auch geglückt ist. daher ist Tor ein Anfang um aus dem Minderheiteninternet ein Bürgernetz zu machen. Ich könnte mir auch eine Art Funktornetzwerk vorstellen. Datenübertragung im freien Funkbereich. Zum Abschluß plädiere ich auf jeden Fall für kostenreduzierung im IT und Handybereich. Unsinnige Handy- oder Providerverträge kündigen. Vorallem die Provider die die Sicherheit der Bürger misachten. Man braucht auch nicht immer die neuste IT.

  5. Schönen Guten Tag, Ich glaube was sie nicht durchschauen ist folgendes: Sie arbeiten beide für mehr Freiheit im Netz also wären versöhnlichere Töne adäquat gewesen.
    Dann zum zweiten, Sie glauben also nicht, dass Nutzer des Tornetzwerkes nicht eher kontrolliert werden als Leute die dies nicht tun? Wie naiv ist denn diese Annahme.

    1. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

      https://www.torproject.org/projects/torbrowser/design/

      PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      1. Und was können wir aus Alvars neuestem Statement lernen? Ist es nicht ein Genuss, ihm dabei zuzusehen, wie er sich selbst bloßstellt?

        Ob wir noch von ihm erfahren werden, inwiefern man ein „Troll“ ist, wenn man das offizielle und technische Designdokument von Tor verlinkt?
        Hat da jemand Angst, die Deutungshoheit zu verlieren?
        Und wer „beleidigt“ hier eigentlich wen „dumm“? Menschen, die auf Tor-Designdokumente verlinken oder Menschen, die andere als Trolle beleidigen?

  6. Nachdem ich mir das meiste durchgelesen habe (beide Positionen und einige der intelligenteren Kommentare) , neige ich dazu Tor zu nutzen bzw den Tor-Browser, selbst wenn ich wenig Ahnung und noch weniger Lust habe, mich ständig mit irgendwelchen Regeln und Konfigurationen zu beschäftigen. Aber zumindest kann ich a. so etwas zum Rauschen beitragen und b. wird das eine oder andere auch bei mir als zusätzliche Erkentnis hängen bleiben, and last but not least c. kann meine IP nicht mal eben so ermittelt werden, was jedenfalls auf Youtube schon mal von Vorteil ist.
    Deshalb danke an alle, das war ziemlich erhellend.

    1. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

      https://www.torproject.org/projects/torbrowser/design/

      PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      1. Und was können wir aus Alvars neuestem Statement lernen? Ist es nicht ein Genuss, ihm dabei zuzusehen, wie er sich selbst bloßstellt?

        Ob wir noch von ihm erfahren werden, inwiefern man ein „Troll“ ist, wenn man das offizielle und technische Designdokument von Tor verlinkt?
        Hat da jemand Angst, die Deutungshoheit zu verlieren?
        Und wer „beleidigt“ hier eigentlich wen „dumm“? Menschen, die auf Tor-Designdokumente verlinken oder Menschen, die andere als Trolle beleidigen?

  7. Man kann Tor an einem praktischen Beispiel aufzeigen. EInfach mal wenn man WIndows 7 nutzt, WIndows 10 halte ich persönlich für ein datenschutzrisiko, links unten bei Programmdateien suchen cmd eingeben dann öffnet sich ein schwarzes Feld dann netstat -t eingeben dann werden die Internetverbindungen angezeigt. Das sind in der Regel bei Internetnutzung ohne Tor sehr viele, Tracke rund was nicht alles an Spionen. Wenn man Tor hingegen benutzt dann hat man nur noch eine bis drei Verbindungen nämlich mit dem Tornetzwerk das am Ende die Ip verschleiert und den Standort und den Weg. Mit Linux kann man das genauso machen LInux MINt ist zum Beispiel echt klasse ansich besser als WIndows aber wenn man spielen will nicht so gut geeignet weil nicht alle Spiele funktionieren. Interessant ist es auch sich mal die Ip Adressen anzugucken die mit dem Windowsrechner so verbunden sind. Da gibt es einige Dienste womit man das Machen kann findet man im Internet. Bei WIndows würde ich auf keinem Fall entfehlen den Defender zu installieren(Man muss auch dort schon eine seperate AGB unterschreiben einfach durchlesen und ablehnen weil der setzt sich schon mal gerne vor Tor und überwacht somit schonmal vor Tor die Datenströme direkt auf dem Windowsrechner quasi als legaler Trojaner.

    1. Genau das ist ein gefährlicher und – bitte entschuldige – laienhafter Irrglaube. Das Tracking hört nicht auf, nur weil Du Tor nutzt. Das Tracking läuft ganz genau so weiter wie bisher. Und für Deine IP-Adresse interessiert sich der Tracker nicht die Bohne (außer zur Bekämpfung von Angriffen), Du wirst ganz genauso getrackt wie vorther. Zum Tracking werden nicht die IP-Adressen verwendet, sondern global gültige, eindeutige IDs. Ob mit oder ohne Tor: Du änderst damit rein gar nichts am Tracking von Windows 10. Du kannst allerdings mit entsprechender Konfiguration Windows selbst einige Sachen abgewöhnen.

      Dass Du mit Tor weniger Verbindungen siehst ist klar; einfach ausgedrückt: alle Verbindungen werden durch das Tor-Netz getunnelt. Dein Aufruf von netstat zeigt Dir offensichtlich nur die Tunnel-Verbindungen. Innerhalb des Tunnels sind aber die anderen Verbindungen durchaus noch vorhanden.

      1. Sicher hört das Tracking nicht auf aber es bezieht sich nicht mehr direkt auf deinen Standort der immer durch den Provider bekannt ist. Auch alle anderen Information sind verändert auch wenn die getrackt werden. Du vermittelst hier nach meiner Meinung sorry einen sehr laienhaften Eindruck das die Leute sicherer wären ohne Tor zumal du nichtmal weißt was ein Tunnel ist. Bist DU ein Mitläufer?. Weiterhin WIndows 10 kann man auch nix abgewöhnen weil man es nicht sicher bekommen kann was schon bei windows 7 so gut wie nicht geht außer man kann das Internet nicht mehr als Privatanwender benutzen. Innerhalb des Tunnels sind keine Verbindungen sondern nur die Daten die nach außen geschützt sind eben durch das vpn Protokoll. Man kann wenn überhaupt nur die hops tracken, den Header und den Tunnel entschlüsseln aber das muss man erst mal machen und das ist schon illegal weil dann auch alle Wirtschaftsdaten aller Firmen den Geheimdiensten bekannt wären und das verstößt gegen den Datenschutz. Da läuft eigentlich alles viel über Internettunnelprotokolle.

      2. Wenn man nur die VPN Verbindungen sieht ist das schonmal ein Vorteil weil man sieht nur die verschlüsselten VPN Verbindungen die man haben will und nicht wie bei der ohne Tor Nutzung das jeder Hans und Trackingfranz sich mit deinem Rechner verbinden kann.

      3. Naja, eins der Features vom Tor Browser (den vermutlich die meisten Endanwender nutzen) ist ja, dass dieser ganze Browser-Tracking-Scheiss zumindest deutlich erschwert wird.

      4. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      5. Und was können wir aus Alvars neuestem Statement lernen? Ist es nicht ein Genuss, ihm dabei zuzusehen, wie er sich selbst bloßstellt?

        Ob wir noch von ihm erfahren werden, inwiefern man ein „Troll“ ist, wenn man das offizielle und technische Designdokument von Tor verlinkt?
        Hat da jemand Angst, die Deutungshoheit zu verlieren?
        Und wer „beleidigt“ hier eigentlich wen „dumm“? Menschen, die auf Tor-Designdokumente verlinken oder Menschen, die andere als Trolle beleidigen?

      1. Die VDS wurde entgegen guten Argumenten durchgesetzt. Das war eine platte Dämlichkeit. Für den Umstand, dass sich einer daran beteiligt hat, reicht der vornehme Wortschatz nicht aus.

  8. „Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt?“
    Ich nutze Facebook mit richtigem Namen im Tor Browser. Mir gehts vorallem darum, dass FB meinen Besuch bei FB nicht mit anderen Internet Aktivitäten verknüpfen kann. Dafür gibs natürlich auch andere Möglichkeiten, aber ich finde es mit Tor ganz praktisch. Will damit sagen, ich stimme zu, dass sich FB und Tor nicht ausschließen.

    Die Gefahr, dass Exit-Nodes alles mitschneiden besteht natürlich. Ich bin aber nicht der Meinung, dass Leute deshalb kein Tor nutzen sollten. Auch Leute, die davon keine Ahnung haben. Die Vorteile überwiegen einfach. Einmal glaube ich nicht, dass es wirklich so wahnsinnig viele Seiten gibt, die einen unverschlüsselten Loginbereich anbieten. Zumindest nicht die „Mainstream“ Angebote im Netz, Geldsachen sowieso nicht . Und mal ehrlich, wer seinen eigenen Blog betreibt, also wirklich technisch selbst für den Blog verantwortlich ist und sich dann so gar nicht um die Sicherheit kümmert (z.B. in Form von SSL)…. irgendwann kann man die Leute nicht mehr vor sich selbst schützen. Da wird ein kompromittierter Exit-Node noch eins der kleineren Probleme sein.

    1. Du irrst, wenn Du glaubst, dass Facebook Deinen Facebook-Besuch nicht mit anderen Aktivitäten im Netz verknüpfen kann, wenn Du Tor nutzt. Dafür ist vollkommen irrelevant, ob Du Tor nutzt oder nicht.

      Leicht vereinfacht dargestellt: Facebook kann Deine Aktivitäten im normalen Web mit Deinem Facebook-Profil verknüpfen, weil viele Webseiten Facebook-Buttons eingeblendet haben. Diese werden vom Facebook-Server geholt. Genau dabei überträgt Dein Browser dem Facebook-Webserver Deine Facebook-Cookies. Ob Du Tor nutzt oder nicht ist dafür vollkommen egal.

      Wenn Du nicht willst, dass Facebook Deine Besuche fremder Seiten tracken kann, dann kannst Du
      a) die Betreiber der Seiten verklagen, weil sie durch die Einblendung der Facebook-Buttons dafür verantwortlich sind, dass Deine Daten weitergegeben werden.
      b) Du könntest auf politischer Ebene dafür sorgen, dass dies unterbunden wird
      c) oder Du kannst mittels einer Filterregel in Deinem Browser bzw. mit einem passenden Plugin die Anzeige dieser Buttons unterbinden.

      Tor hilft Dir dabei in keinster Weise.

      1. Natürlich würde es helfen:

        a) wenn man sich exklusiv über Tor mit Facebook verbindet und sonst einen Browser ohne Tor verwendet, mögen da zwar auch Daten eingesammelt werden, aber diese können nicht dem eigenen Facebookprofil zugeordnet werden, weil sie über einen ganz anderen Kanal anfallen.

        b) selbst wenn man für beides, Facebook-Zugriff und sonstiges Web, etwa den Tor Browser verwendet, kann man über den Wechsel der Session neben Cookies auch die bisher genutzte IP-Adresse abzuwerfen und hat damit eine gute Chance die Verknüpfung von Webaktivitäten mit dem Facebook-Profil deutlich zu erschweren. Hinzu kommt über die gleiche IP-Adresse und mit sehr ähnlich konfigurierte Browsern sind gleichzeitig viele andere Tor-Nutzer unterwegs und Facebooks Tracking muss all diese anfallenden Daten auseinanderhalten.

      2. Wenn Du nicht willst, dass Facebook Deine Besuche fremder Seiten tracken kann, dann kannst Du
        a) die Betreiber der Seiten verklagen, weil sie durch die Einblendung der Facebook-Buttons dafür verantwortlich sind, dass Deine Daten weitergegeben werden.
        b) Du könntest auf politischer Ebene dafür sorgen, dass dies unterbunden wird
        c) oder Du kannst mittels einer Filterregel in Deinem Browser bzw. mit einem passenden Plugin die Anzeige dieser Buttons unterbinden.

        Tor hilft Dir dabei in keinster Weise.

        Die ist leider richtig, und ist selbst im HTML-Code von netzpolitik.org zu finden:

        Facebook erkennt also, ob jemand netzpolitik.org liest, auch wenn er die über Tor macht.
        Das Üble bei https ist dabei, dass man dies über übliche Proxies nicht filtern kann.

      3. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      4. Mein vorheriger Text wurde aus irgendwelchen Gründe nicht gepostet, hier nochmal leicht verändert, da mittlerweile „Unsocial“ gepostet hat:

        @Alvar:
        Zusätzlich zu dem was Mes schon richtigerweise geschrieben hat (17.12 03:06Uhr). Tor ist der einzig mir bekannte Browser, der per Default einmal Skripte verbietet (und damit
        den FB Button unterdrückt) und außerdem Cookies sehr aggresiv löscht (nach jeder Session). Also ich finde, selbst technisch nicht versierte User sind damit besser vor den von dir genannten Methoden geschützt als mit jedem anderen Browser (in den Default Einstellungen).

        Hätte ich oben vlt etwas detaillierter schreiben sollen, zugegeben.
        Ich finde die Aussage falsch, es sei unsinnig Tor zu nutzen und sich gleichzeitg FB mit Klarnamen anzumelden. Natürlich deanonymisiere ich mich selbst vor FB in dem Moment. Aber stelle ich es richtig an, so tue es einmal wirklich nur vor FB und auch wirklich nur auf deren Webseite. Ums mal konkret zu machen, du hattest geschrieben:
        „… Wenn Hans Wurst eine große Tarnkappe anzieht, diese aber mit einem Namensschildchen „Hans Wurst“ versieht, ist die Tarnkappe eben unsinnig.“
        Tor bietet dir die Möglichkeit jederzeit deine Tarnkappe wegzuwerfen bzw. eine neue zu erstellen. Wenn ich auf einer meiner Tarnkappen mal meinem Namen stehen habe (in Form eines FB Accounts z.B.), ist die Tor Nutzung damit noch lange nicht unsinnig. Sie schützt mich weiterhin vor allen nicht-FB Trackern, ich kann den Namen leicht wieder verschwinden lassen und viele andere Vorteile von Tor bleiben komplett unangetastet.
        Kann also schon Sinn machen, finde ich.

        @Unsocial:
        Nein, Facebook erkennt erstmal nicht, ob jmd bei Netzpolitik liest. Einmal müssten Skripte erlaubt sein (bei vielen Browsern sind sie das, bei Tor per default nicht), zum anderen verwendet Netzpolitik.org den
        FB Button nicht direkt, sondern binden ihn über die sogenannte „2 Klick“ Methode ein. Wenn du den FB Button nicht selbst „aktivierst“ (1 Klick), wird nichts an FB übertragen.

      5. Gerne. Sag mir aber bitte das Kapitel. Das Design Dokument ist doch recht lang ;-)
        Aber sagt so, worüber genau^^

      6. Hey Til! :)

        Ich kann Dir das komplette Lesen des Designdokuments nicht abnehmen. Da steht alles Wichtige drin. Aber es lohnt sich! :) Du kannst ja zumindest mal die Überschriften lesen und den Rest überfliegen.

        Wichtige Stichwörter in Deinem Zusammenhang sind:
        – Security Slider (in welchem Umfang ist JavaScript an/aus)
        – Fingerprintability & linkability defenses (was kann Facebook von Deinem sonstigen Surfverhalten erfahren)

        Hier die passenden Kapitel:
        https://www.torproject.org/projects/torbrowser/design/#security
        https://www.torproject.org/projects/torbrowser/design/#privacy
        https://www.torproject.org/projects/torbrowser/design/#Implementation

      7. @Til:
        Tor an sich ist erst mal kein Browser, sondern das gesamte Netzwerk. Der „Tor Browser“ ist vor allem ein Firefox mit einigen bereits installierten Plugins, ein paar Ergänzungen und angepasster Default-Konfiguration. So manches davon würde durchaus auch normalen Standard-Browsern gut tun. Ein Nachteil ist, dass manches davon deutlich unkomfortabler für die alltägliche Nutzung ist, insbesondere für DAUs. Aber das (Umgang der Browser mit verschiedensten zum Tracken nutzbaren Sachen) ist ein anderes Thema. Ich habe nirgendwo den Tor-Browser kritisiert.

        Bei den verschiedenen Social-Plugins der verschiedenen Webseiten, gibt es unterschiedliche Methoden für die Einblendung; nicht nur via direktem JavaScript. Selbst bei Facebook habe ich dunkel auch irgendwas mit iFrames in Erinnerung – sprich: 100% sicher sollte man sich dabei nicht sein.

        Aber das ist auch eher egal, denn für diese ganzen Features braucht man nicht das Tor, das Netzwerk. Die sind eine Zugabe, die auch gänzlich ohne Tor funktioniert – und wie schon geschrieben, sind primär Browser-Hersteller und der Gesetzgeber gefragt.

        Um das Tracking von Facebook, von Werbedienstleistern und anderen zu umgehen braucht man nicht Tor (das Netzwerk). Oder, um beim Thema zu bleiben: man muss nicht einem unbekannten Exit-Node vertrauen. Man muss nicht seine IP-Adresse verstecken. Denn die Tracker nehmen sowieso NICHT die IP-Adresse zum Tracken, da dies viel zu unsicher ist, zu viel Rauschen produziert, nicht sauber und so weiter (möglichweise ändert sich das, wenn IPv6 immer weiter verbreitet wird, allerdings haben gängige Systeme die Privacy-Extensions aktiviert, so dass dies für die Tracker auch wieder uninteressanter wird).

        Und wie gesagt: Browser-Hersteller und Gesetzgeber sind in dem Bereich in der Verantwortung. Denn der Staat muss alle seine Bürger schützen.

        Aber, ich wiederhole mich nun mehrfach (und das alles geht auch nicht nur an Dich): all das ist außerhalb dessen, was ich angesprochen habe; dazu habe ich mich überhaupt nicht geäußert. Sprich: wenn ich sage, dass Tor an einer ganz anderen Stelle einen neuen und nicht ungefährlichen Angriffsvektor öffnet, dann sagt das überhaupt nichts zu Firefox+Noscipt+HTTPS-Everywhere+…

        Mit den Facebook-Buttons hier hast Du natürlich vollkommen recht.

      8. @Zarah:
        Mach ich, danke.

        @Alvar:
        Ähmmmm. Also erstmal, da hast du natürlich recht!
        Aber (großes aber) an dem Missverständlich bist du nicht unschuldig. Ich schrieb im ersten Beitrag, ich nutze den „Tor Browser“. Du hast darauf geantwortet, dass „Tor“ mir nicht hilft bei meinem Anliegen. Woher soll ich bitte wissen, dass du dich da alleine auf das Tor Netzwerk bezogen hast? Vlt war ich da zu voreingenommen, aber ich dachte es wäre klar, dass ich auch im nachfolgendem vom „Tor Browser“ rede.

        Ich habe nur wenig hier im Kommentarbereich gelesen, habe aber trotzdem den Eindruck, einige (hitzige) Diskussionen basieren auf ähnlichen Missverständnissen. Das ist schade.

      9. @Til: da hast Du wahrscheinlich recht; vor der Diskussion hier war mir auch nicht klar genug, dass einige im „Tor Browser“ etwas gänzlich anderes als „mit Plugins und Voreinstellungen aufgemotzter Firefox“ verstehen. Und dass einige (andere, nicht Du) auch darunter „Tor“ verstehen zeigt, dass doch hin und wieder aneinander vorbei geredet wird.

        Letztendlich sind viele Meinungsverschiedenheiten ja auch mit ein Ergebnis unterschiedlicher Perspektiven.

  9. @ Constanze

    „Er argumentiert außerdem, dass Twitter und Facebook ohnehin wüssten, wer der jeweilige Nutzer ist. Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt?“

    Facebook und Twitter über Tor zu nutzen hat noch mehr Vorteile, die Du nicht erwähnt hast:
    Man schützt seinen aktuellen Standort und insgesamt sein Bewegungsprofil.
    Und nur Facebook und Twitter wissen, dass Du sie nutzt.
    Dein ISP, WLAN-Betreiber oder sonstige Lauscher auf der Leitung wissen nur, dass Du Tor nutzt.

    1. Es gibt noch einen Vorteil: Man kriegt viel lustigere Werbung eingeblendet, also zumindest die, die man nicht irgendwie ausblenden kann. (Sorry, couldn’t resist. :)

  10. @ALL

    Das „Schöne“ an Alvar Freude ist: Er spaltet die Gruppe der Freiheitsfreunde und Bürgerrechtler. Er bindet Ressourcen – in Form von Zeit und Nerven. Was auch immer Alvar (wirklich) beabsichtigt und für wen auch immer er (wirklich) arbeitet – das Ergebnis seines Wirkens ist eine weniger schlagkräftige Bürgerrechtsszene und eine Schwächung der Selbstverteidigungsinstrumente für freiheitsliebende Bürger. Vielleicht ist es sogar nur sein Ego, dass durch die viele Aufmerksamkeit zu seinen (zweifelhaften) Thesen gebauchpinselt wird. Vielleicht sitzt er auch gerade zu Hause und grinst sich ob seines erneut gelungenen Coups gegen Bürgerrechte („Tor ist gefährlich!“ analog zum damaligen „VDS ist gut!“).

    Übrigens:
    – Will Alvar, dass saudische Schwulenaktivisten, chinesische Demokratieverfechter und iranische Frauenrechtlerinnen verhaftet, gefoltert und ermordet werden? Ohne Tor würde das noch viel mehr Menschen dort passieren. Ohne dass wir alle Tor nutzen, würden Menschen in Lebensgefahr keine wirksame Deckung haben. Die Vielfalt der Nutzer und Nutzungsszenarien schützt am Ende alle. Wie bei Impfungen und der sog. Herden-Immunität.
    – Will Alvar, dass Whistleblower wie Edward Snowden und investigative Journalisten wie Glenn Greenwald, Jacob Appelbaum und Laura Poitras hierzulande und weltweit keine illegalen und illegitimen Machenschaften, Machtmissbrauch und Korruption von Regierungen, Behörden, Geheimdiensten (und Konzernen) mehr aufdecken können? Ohne Tor wäre das viel schwerer.
    – Will Alvar, dass Opfer von häuslicher Gewalt hierzulande und weltweit ihre Webaktivitäten nicht mehr wirksam vor ihren stalkenen Peinigern schützen können? Ohne Tor würden diese Opfer es schwerer haben.
    – Will Alvar, dass Unternehmen, Organisationen und Diplomaten hierzulande und weltweit ihre Betriebs-, Geschäfts und Amtsgeheimnisse sowie Kommunikations- und Beziehungsnetzwerke nicht mehr durch Tor-Anonymisierung (+Verschlüsselungs-Layer) effektiv schützen können? Ohne Tor wäre das viel schwerer.
    – Will Alvar, dass kommerzielle Überwachung/Tracking von uns allen noch einfacher wird? Ohne Tor ist kommerzielles Tracking fast immer personenbezogen (fingerprintability + linkability).
    – Will Alvar uns allen eins der wenigen wirksamen Instrumente zur Selbstverteidigung gegen übergriffige und belästigende Überwachung wegnehmen? Ohne Tor würde ein zentrales Werkzeug zum Selbstschutz fehlen.
    – Will Alvar, dass Polizisten nicht mehr verdeckt im Web ermitteln können? Ohne Tor könnte die Polizei kaum im Web verdeckt ermitteln. Ein normaler Proxy, der nur von der Polizei genutzt wird, würde schnell auffliegen.
    – Will Alvar, dass Tor besser wird (schneller als heute schon, komfortabler als heute schon)? Will Alvar konstruktiv zur Verbesserung von Tor beitragen?
    – Oder will Alvar destruktiv Tor diskreditieren, Ängste schüren und klasssische FUD (fear, uncertainty and doubt) verbreiten?

    FAZIT: Auf wessen Seite steht Alvar und inwiefern arbeitet er FÜR den Schutz unserer Rechte und Freiheiten?

    1. Ach, ich mache Dir mal einen Vorschlag: wie wäre es, wenn Du einfach mal LESEN würdest, was ich geschrieben habe, bevor Du solchen UNSINN schreibst? Dann hättest Du schon einige Antworten auf Deine Fragen.

      Wie GENAU sollen Opfer von häuslicher Gewalt ihre „Webaktivitäten“ mittels Tor „vor ihren stalkdenden Peinigern schützen“? Hast Du überhaupt eine Ahnung, wie Tor funktioniert und vor was es schützt?

      Kannst Du mir bitte einen Diplomaten nennen, der für dienstliche Kommunikation Tor nutzt? Kannst Du mir bitte den BSI-Audit des Tor-Client sowie des Tor-Netzwerkes zeigen, die es dem Diplomaten überhaupt erst erlauben würde, Tor für die Übertragung von Dokumenten ab der Geheimhaltungsstufe NfD zu nutzen?

      Bist Du in der Lage dir Vorzustellen, dass es zur geschützten und sicheren Datenübertragung andere Möglichkeiten gibt als Tor?

      Durch was soll Deiner Ansicht Tor (ja, Tor!) noch mal das Tracking und „kommerzielle Überwachung“ mittels Browser-Fingerprinting und ähnlichem verhindern?

      Kannst Du mir bitte auch nur einen einigen Polizisten nennen, der Tor nutzt um verdeckt „im Web“ (also nicht innerhalb von Tor) zu ermitteln?

      Inwiefern ist Deine „Freiheit“ bedroht wenn ich schreibe, dass für Otto-Normal-Nutzer Tor mehr Risiken als Nutzen bringt?

      Hast Du überhaupt irgendwas zu sagen, oder trollst Du nur herum?

      1. Moin Alvar,

        du schreibst

        „Bist Du in der Lage dir Vorzustellen, dass es zur geschützten und sicheren Datenübertragung andere Möglichkeiten gibt als Tor?“

        Genau das kapiere ich nicht – welche Alternativen sollen das sein? VPN erfordert grundsätzlich einen Provider, und zwar einen, dem man vertrauen kann. Ein vertrauenswürdiger Provider ist mir bislang nicht bekannt. Eigenes VPN führt nach meinem Verständnis (≈ DAU-Niveau) nicht zur Anonymität, da dieses über meine IP-Adresse laufen müsste. Außerdem ist die Einrichtung von VPN gerade für unkundige Internet-Nutzer auch nicht ganz ohne.

        Vor diesem Hintergrund ist TOR für mich alternativlos, auch wenn ich von TOR nicht begeistert bin und die Schwächen sehe. TOR ist meines Erachtens aber zum Beispiel geeignet, um eine gesicherte Verbindung in öffentlichen WLAN-Netzen aufzubauen. Zu den Verbindungen jenseits der Exit-Nodes: Wenn es um wirklich sensible Daten wie Passwörter geht, sind die entsprechenden Homepages mittlerweile meistens über https erreichbar, so das TOR gegenüber herkömmlicher Internet-Nutzung keine Nachteile aufweist.

        Gruß
        pg

      2. Sehr schön Alvar, da wollen wir ihn haben. Warum ist er bloß so gereizt? Keine Argumente mehr? Selbst sachlichen und fairen Diskussionsstil einfordern, aber andere als „Unsinn“ und „Troll“ abkanzeln? Haben wir Alvar der Doppelmoral entlarvt? Wäre Bigotterie möglicherweise der Grund, warum Alvar so gut in die SPD passt? Aber der Reihe nach:

        ### „Ach, ich mache Dir mal einen Vorschlag: wie wäre es, wenn Du einfach mal LESEN würdest, was ich geschrieben habe, bevor Du solchen UNSINN schreibst? Dann hättest Du schon einige Antworten auf Deine Fragen.“

        Hat er gelesen, was wir geschrieben haben? Hat er unsere Fragen beantwortet? Warum pickt er sich (statt unsere Fragen zu beantworten) die Rosinen raus, um mit Gegenfragen zu antworten? Hat er keine Argumente mehr? Warum lässt er bestimmte unserer Fragen weg? Müsste er dann zugeben, dass keine überzeugenden Antworten darauf hat?

        ### „Wie GENAU sollen Opfer von häuslicher Gewalt ihre „Webaktivitäten“ mittels Tor „vor ihren stalkdenden Peinigern schützen“? Hast Du überhaupt eine Ahnung, wie Tor funktioniert und vor was es schützt?“

        Hat er als weißer, christlicher, relativ reicher, gesunder, regierungshöriger, deutscher und privilegierter Mann überhaupt eine Vorstellung, wie Frauen auf der ganzen Welt unter häuslicher Gewalt und Vergewaltigung in der Ehe leiden? Will er diesen Opfern absprechen, wie sehr sie leiden und wie sehr sie auch technische Schutzmittel brauchen? Weiß er überhaupt, wie leicht es die Peiniger der Frauen haben, ihnen hinterherzuschnüffeln und sie zu stalken? Wie soll zum Beispiel ein Opfer von häuslicher Gewalt ihren Fall in Webforen mit Leidensgenossinnen erörtern, wenn ihr Peiniger sie über nicht-anonymisierte Forenkommentare zurückverfolgen und lokalisieren kann? Müssen Opfer von häuslicher Gewalt sich nicht vor ihren Peinigern verstecken?

        Weiß Alvar, wie Tor funktioniert und wovor es schützt? Hat er das offizielle Design-Dokument verinnerlicht? https://www.torproject.org/projects/torbrowser/design/

        ### „Kannst Du mir bitte einen Diplomaten nennen, der für dienstliche Kommunikation Tor nutzt? Kannst Du mir bitte den BSI-Audit des Tor-Client sowie des Tor-Netzwerkes zeigen, die es dem Diplomaten überhaupt erst erlauben würde, Tor für die Übertragung von Dokumenten ab der Geheimhaltungsstufe NfD zu nutzen?“

        Aha, er will also Namen hören. Solange man keine Namen und Dokumente auf den Tisch legt, ist etwas 100% ausgeschlossen? So wie die Massenüberwachung offiziell lange nicht existierte, bis ein Herr Snowden Dokumente lieferte?

        Und was hat ein BSI-Audit mit der ganzen Sache zu tun? Auditiert das BSI die Tools aller Diplomaten aller Staaten weltweit? Beschränkt er also seine Sicht wieder nur auf unser „gutes“ Deutschland, wo er anscheinend jeden einzelnen Diplomaten und deren Tools persönlich kennt? Will er ernsthaft behaupten, dass kein einziger Diplomat weltweit (inklusive USA) Tor benutzt? Dass kein einziger Diplomat weltweit Tor nutzt (auch inoffiziell), um aus Botschaften und Konsulaten sicheren Kontakt in die Heimat herzustellen? Warum sponsort bloß das deutsche Außenministerium Tor? https://www.torproject.org/about/sponsors.html.en

        ### „Bist Du in der Lage dir Vorzustellen, dass es zur geschützten und sicheren Datenübertragung andere Möglichkeiten gibt als Tor?“

        Weiß Alvar, dass „geschützte und sichere Datenübertragung“ z.B. über Botnetze funktioniert? Weiß er, dass Kriminelle (ganz ohne Tor) mit einem Netz aus infizierten Computern sich ihr eigenes (temoräres) Anonymisierungsnetzwerk aufbauen können? Kennt er I2P, Retroshare, GNUnet, Freenet? Hat überhaupt irgendjemand bestritten, dass es für andere Einsatzzwecke auch andere Optionen gibt (neben Tor)?

        ### „Durch was soll Deiner Ansicht Tor (ja, Tor!) noch mal das Tracking und „kommerzielle Überwachung“ mittels Browser-Fingerprinting und ähnlichem verhindern?“

        Zeigt Alvar wieder mal seine technische Inkompetenz? Hat er das offizielle Designdokument von Tor überhaupt gelesen? https://www.torproject.org/projects/torbrowser/design/#privacy
        Möge sich jeder selbst ein Bild davon machen, ob es die kommerziellen Tracker gegen Tor-Nutzer so leicht haben, wie Alvar behauptet.

        ### „Kannst Du mir bitte auch nur einen einigen Polizisten nennen, der Tor nutzt um verdeckt „im Web“ (also nicht innerhalb von Tor) zu ermitteln?“

        Aha, er will also wieder Namen hören. Beschränkt er seine Sicht wieder mal nur auf unser „gutes“ Deutschland, wo er anscheinend jeden einzelnen Polizisten und deren (offizielle und inoffizielle) Tools persönlich kennt? Kennt er Europol, FBI, BKA und Co.? Wie soll ein Polizist bei verdeckten Ermittlungen seine Identität verschleiern, wenn seine IP-Adresse direkt zu Polizeibehörden, anderen Behörden oder bekannten Behörden-Dienstleistern zurückverfolgbar ist? Und wie soll ein verdeckter Ermittler seine Aktivitäten vor einem einfachen VPN- oder Webproxy-Betreiber verbergen, die alle seine Zielpersonen und Zielobjekte herauslesen können?

        ### „Inwiefern ist Deine „Freiheit“ bedroht wenn ich schreibe, dass für Otto-Normal-Nutzer Tor mehr Risiken als Nutzen bringt?“

        Aha, warum setzt er „Freiheit“ bloß in Anführungsstriche? Will er damit sein freundliches, gutmütiges und respektvolles Wesen zum Ausdruck bringen? Wie sollen sich russische Schwulenaktivisten vor Verfolgung schützen, wenn keine Otto-Normal-Nutzer Tor einsetzen? Schützt nicht eine möglichst große Anonymitätsgruppe gerade diejenigen, die Schutz (zum Überleben) am nötigsten haben?

        ### „Hast Du überhaupt irgendwas zu sagen, oder trollst Du nur herum?“

        Interessante Sichtweise hat er, nicht wahr? Mögen wir uns nun nochmal vor Augen führen, auf welche Fragen er NICHT antwortet. Warum bloß? Warum verweigert er bloß die Mitarbeit an der Verbesserung von Tor? Geht es ihm überhaupt um die Sache?
        Wir fragten ihn:
        – Will Alvar, dass Tor besser wird (schneller als heute schon, komfortabler als heute schon)? Will Alvar konstruktiv zur Verbesserung von Tor beitragen?
        – Oder will Alvar destruktiv Tor diskreditieren, Ängste schüren und klasssische FUD (fear, uncertainty and doubt) verbreiten?

        NEUES FAZIT: Alvar macht seine Sache gut. Allerdings nicht für diejenigen, für die er vorgibt, sich zu engagieren.

      3. @Pleitegeier:
        Ja, ein (eigenes) VPN benötigt einen Provider, dem man vertrauen kann. Ich vertraue allen meinen Hosting-Providern, bei denen ich jemals Server stehen hatte, mehr als einem beliebigen Tor-Exit-Node, dass er nicht in die Daten schaut bzw. diese nicht manipuliert. Auch, aber nicht nur, weil es für ihn strafbar wäre (Ausnahme: er würde dazu von einer entsprechenden Behörde gezwungen).
        Es gibt auch VPN-Provider, die einen entsprechenden Dienst anbieten, bei dem man für den normalgebrauch hinreichend anonym ist. Hier meine ich mit „normalgebrauch“: keine expliziten schweren Straftaten. Für diesen Anwendungsfall gibt es aber m.W. auch VPN-Anbieter. m.W. bietet sogar die Telekom für Kunden einen kostenlosen VPN an.
        Die Nutzung eines VPN halte ich in vielen Fällen (WLAN in Zug, Hotel, …) für sehr sinnvoll. Ob man sich in diesen oft schlechten Umgebungen die zusätzliche Verlangsamung von Tor antun will, nur um zu verhindern, dass der Zimmernachbar nicht mitlauscht? Naja … – ich habe in Hotels oft so schlechtes WLAN, dass das mit Tor nicht mehr praktikabel wäre, weil es so schon sehr schlimm ist.

        Anonymität: die Preisfrage ist doch: vor wem willst Du Anonym sein, wie wichtig ist Dir das, und wie sehr anonym möchtest Du sein? Wenn Du nur nicht willst, dass die Admins bei netzpolitik.org und anderen Webseiten, die Du besuchst, nicht wissen, wer Du bist, dann brauchst Du gar nichts machen. Denn das können sie nicht herausfinden – außer Du gibst ihn an oder man kann ihn aus der von Dir angegebenen E-Mail-Adresse rauslesen etc.
        Willst Du verhindern, dass Dein Provider protokolliert, welche Webseiten Du aufrufst? Dann musst Du nichts weiter tun, wenn Du z.B. in Deutschland oder Österreich wohnst: das darf er nicht und macht er nicht, da er sich strafbar machen würde.
        Willst Du verhindern, dass Dich ganz gezielt der Verfassungsschutz mittels TKÜ beobachtet? Dann ist Tor für Dich eine gute Wahl, je nach Situation auch ein VPN.
        Willst Du verhindern, dass Microsoft Dich mit Windows 10 Trackt? (wenn Du Windows nutzt) Dann nutze kein Windows ;-P oder schalte das Tracking so weit es geht ab. Tor hilft da nicht.
        Willst Du verhindern, dass Dich Werbenetzwerke tracken? Da gibt es entsprechende Browser-Plugins, Tor an sich hilft da nicht (ja, ich weiß, der Tor-Browser hat einige Anpassungen diesbezüglich).

        Dies war nur eine kleine zufällige Auswahl …

    2. Ach, @COUNTER und unter welchem Namen Du hier sonst noch so auftauchst:
      Ich bin gereizt, weil hier lauter Bullshit-Argumente auf dem Level von „Aber Nachts ist es kälter als draußen, wieso sagst Du das nicht!“ aufgeworfen werden und diese mit Beleidigungen mir gegenüber verknüpft werden. Und da reagiere ich – wie Du wahrscheinlich schon weißt – eben gereizt. Ja, ich bin manchmal einfach zu durchschauen, ich gebe es zu.

      Anders als Du behauptest kenne ich das Stalking-Thema nur zu gut, leider. Nichtsdestotrotz hat das mit Tor nichts zu tun: Betroffene sollten halt nur nicht ein Web-Forum ihres Peinigers nutzen und dort ihre ihm bekannte E-Mail-Adresse angeben, aber auch das hat mit Tor nichts zu tun. Opfer sollten auch nicht in anderer, durch den Täter identifizierbarer Weise öffentlich diskutieren, aber auch das hat mit Tor nichts zu tun. Tor schützt niemanden, der von Stalking betroffen ist, vor dem Stalker. Beides hat schlicht und ergreifend nichts miteinander zu tun – es ist weder so, dass ohne Tor ein Stalker erraten kann, was sein Opfer im Internet macht, noch dass Tor eine von einem Starker verfolgte Person schützt, wenn dieser ihr einen Trojaner oder andere Schadsoftware auf den Rechner gespielt hat.

      Auch die Opfer von häuslicher Gewalt stehen nicht mit Klarname im Netz, wenn sie sich in einem entsprechenden Forum anonym austauschen ohne Tor zu nutzen. Ihr Name steht auch nicht dran, wenn man Tor nutzt. Das eine hat mit dem anderen nichts zu tun. Vielleicht sollte man für sowas nicht gerade Facebook nehmen, aber auch das hat mit Tor nichts zu tun. Und wie schon mal oben geschrieben: man sollte natürlich nicht ein vom Stalker betriebenes Forum nutzen und eine diesem bekannte E-Mail-Adresse angeben; aber auch das hat nichts mit Tor zu tun.

      Es ist mitnichten so, dass ohne Nutzung von Tor jeglicher Beitrag in einem Diskussionsforum mit dem Klarnamen des Autors beschriftet ist. Es ist mitnichten so, dass Tor jemanden davor schützt, auf der Webseite des Arbeitgebers Name, E-Mail-Adresse und Foto zu veröffentlichen. All das hat nichts damit zu tun. Ist das so schwer zu verstehen?

      Wenn Du anderer Ansicht bist, dann bitte ich Dich nochmals darum: Nenne mir anhand konkreter Beispiele, warum Tor für ein Stalking-Opfer essentiell ist.

      Ach so, natürlich wird man immer Fälle finden, bei denen der Stalker Admin bei dem Access-Provider des Opfers ist und beide in einem Land leben, in dem die Verletzung des Fernmeldegeheimnisses keine Straftat darstellt. Das ist aber eine gänzlich andere Situation – und der Wechsel des Providers oder die Nutzung eines VPNs oder die Nutzung von Tor würden dieses sehr konstruierte Problem tatsächlich beheben.

      Was Diplomaten anbelangt, habe ich übrigens Mist erzählt und das hier verdrängt: es gibt durchaus Diplomaten, die Tor genutzt haben. Mit den bekannten Folgen:

      „Die vor Kurzem veröffentlichte Liste von E-Mail-Zugangsdaten von Botschaften und Behörden ist offenbar das Ergebnis unsicherer Verwendung des Anonymisierungsnetzes Tor gewesen.
      […]
      Neben den Botschaftspasswörtern will Egerstad so auch an E-Mail-Zugangsdaten namensträchtiger Fortune-500-Firmen, tausender Privatleute und an andere vertrauliche Daten gelangt sein, […]
      Egerstad geht sogar so weit, einige der von ihm untersuchten Exit-Nodes chinesischen, russischen und amerikanischen Regierungskreisen zuzuschreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben.“

      Quelle: http://www.heise.de/newsticker/meldung/Anonymisierungsnetz-Tor-abgephisht-173525.html

      Ansonsten bitte ich noch mal darum: diskutiere mit mir darüber, was ich wirklich gesagt/geschrieben habe. Nicht darüber, was Du Dir unter Zuhilfenahme von reichlich Phantasie einbildest, was ich behauptet haben könnte.

      1. @ Alvar Freude

        „Ach, @COUNTER und unter welchem Namen Du hier sonst noch so auftauchst:“

        Warum unterstellst anderen Leuten Dinge, die du nicht belegen kannst? Verlangst du selbst nicht immer von anderen, Belege und Quellen zu nennen? Und was hat dieses abfällige „Ach“ in dieser sachlichen Diskussion zu suchen?

        „Ich bin gereizt, weil hier lauter Bullshit-Argumente auf dem Level von „Aber Nachts ist es kälter als draußen, wieso sagst Du das nicht!“ aufgeworfen werden und diese mit Beleidigungen mir gegenüber verknüpft werden. Und da reagiere ich – wie Du wahrscheinlich schon weißt – eben gereizt. Ja, ich bin manchmal einfach zu durchschauen, ich gebe es zu.“

        Wenn du so überzeugt von deinen Thesen bist, musst du doch nicht gereizt sein, oder?
        Wer beleidigt hier eigentlich wen? Gibt es hier irgendjemanden der dich beschimpft hat? Kannst du das belegen?
        Und wer bezeichnet die Argumente des anderen als „Bullshit“?
        Was meinst Du überhaupt mit „Aber Nachts ist es kälter als draußen, wieso sagst Du das nicht!“? Muss man das verstehen?

        „Anders als Du behauptest kenne ich das Stalking-Thema nur zu gut, leider.“

        Was habe ich behauptet? Legst du anderen gerne Dinge in den Mund? Kannst du deine Unterstellung belegen?

        „Tor schützt niemanden, der von Stalking betroffen ist, vor dem Stalker.“

        Wie kann eine Frau ihren Standort zuverlässig vor einem Stalker verbergen, ohne Tor zu nutzen? Verengt sich deine Perspektive immer nur auf Deutschland? Ist es in den USA nicht leicht, an Daten anderer zu gelangen, teilweise sogar legal? Was macht eine Frau in den USA, wenn ihr technisch versierter Ex-Freund sie stalkt?

        „Betroffene sollten halt [Reihe an Tipps…]“

        Ist Tor nicht ein Schutzinstrument im Zusammenspiel mit weiteren Werkzeugen? Hat irgendjemand behauptet, dass man außer Tor zu nutzen nichts zur Eigensicherung tun muss?

        „noch dass Tor eine von einem Starker verfolgte Person schützt, wenn dieser ihr einen Trojaner oder andere Schadsoftware auf den Rechner gespielt hat.“

        Hat das jemand behauptet? Ist Tor nicht ein Schutzinstrument im Zusammenspiel mit weiteren Werkzeugen?

        „Auch die Opfer von häuslicher Gewalt stehen nicht mit Klarname im Netz, wenn sie sich in einem entsprechenden Forum anonym austauschen ohne Tor zu nutzen.“

        Wie kann man gerade als Otto Normal hinreichend anonym sein ohne Tor? Wenn der Täter sich die IP-Adresse des Opfers aus dem Forum beschafft (Hacking, Bestechung, Social Engineering – es gibt viele Wege) und damit den aktuellen Aufenthaltsort ermittelt (einfaches Geolocating oder mit illegalen Mitteln über ISP), hat das Opfer dann nicht verloren? Wo ein Wille ist, ist auch Weg, nicht wahr?

        „man sollte natürlich nicht ein vom Stalker betriebenes Forum nutzen und eine diesem bekannte E-Mail-Adresse angeben“

        Wozu muss ein Stalker ein Forum selbst betreiben? Kommt er da nicht auch so rein? Gehst du immer davon aus, dass Kriminelle dumm sind und technisch nichts drauf haben?

        „Es ist mitnichten so, dass ohne Nutzung von Tor jeglicher Beitrag in einem Diskussionsforum mit dem Klarnamen des Autors beschriftet ist.“

        Hat das jemand behauptet? Und seit wann sind Klarnamen die einzigen Mittel, um Online-Kommentatoren zu identifizieren?

        „Es ist mitnichten so, dass Tor jemanden davor schützt, auf der Webseite des Arbeitgebers Name, E-Mail-Adresse und Foto zu veröffentlichen.“

        Was hat das mit dem Thema zu tun?

        „Nenne mir anhand konkreter Beispiele, warum Tor für ein Stalking-Opfer essentiell ist.“

        Hat jemand behauptet, dass Tor „für ein Stalking-Opfer essentiell“ sei? Ist Tor nicht ein Schutzinstrument im Zusammenspiel mit weiteren Werkzeugen?

        „Ach so, natürlich wird man immer Fälle finden, bei denen der Stalker Admin bei dem Access-Provider des Opfers ist und beide in einem Land leben, in dem die Verletzung des Fernmeldegeheimnisses keine Straftat darstellt. Das ist aber eine gänzlich andere Situation – und der Wechsel des Providers oder die Nutzung eines VPNs oder die Nutzung von Tor würden dieses sehr konstruierte Problem tatsächlich beheben.“

        Bist du wirklich so naiv? Seit wann muss man Admin bei einem Provider sein, um an Daten zu kommen? Sehr konstruiertes Problem? Ist nicht Deine Panikmache vor 100% Tor Bad Exit Nodes konstruiert?

        „Was Diplomaten anbelangt, habe ich übrigens Mist erzählt und das hier verdrängt: es gibt durchaus Diplomaten, die Tor genutzt haben. Mit den bekannten Folgen:“

        Was lernen wir daraus? Muss man den richtigen Umgang mit Tor nicht genauso lernen, wie alles andere im Leben auch? Wenn Diplomaten und Geschäftsleute kein HTTPS/TLS + ggf. E2E-Encryption einsetzen, was kann Tor dafür? Empfiehlt nicht Tor sogar, HTTPS/TLS + ggf. E2E-Encryption einzusetzen, wann immer es geboten ist? Sind staatliche Angreifer auf von ihnen aufgesetzte Bad Exit Nodes angewiesen, wo die großen Geheimdienste weltweit und großflächig Zugriff auf die Internetinfrastruktur haben?

        „Quelle: http://www.heise.de/newsticker/meldung/Anonymisierungsnetz-Tor-abgephisht-173525.html

        Wie oft willst du noch mit alten Quellen arbeiten? Ist nicht der ständig von dir verlinkte c’t-Artikel schon über 2 Jahre alt? Dreht sich die Welt und die Entwicklung von Tor nicht ständig weiter?

        „Ansonsten bitte ich noch mal darum: diskutiere mit mir darüber, was ich wirklich gesagt/geschrieben habe. Nicht darüber, was Du Dir unter Zuhilfenahme von reichlich Phantasie einbildest, was ich behauptet haben könnte.“

        Wer beleidigt hier eigentlich wen? Warum sollte dich irgendjemand ernst nehmen und gerne mit dir diskutieren, wenn du bei jeder Gelegenheit (seit Jahren bei allen Diskussionen) deine Mitmenschen abfällig und von oben herab abkanzelst?

        Und wenn du nur darüber diskutieren willst, was du wirklich gesagt hast, warum gibst du dann nicht zu, dass du mit deiner auf Deutschland und „Lieschen Müller“ verengten Perspektive im Zeitalter der globalisierten Gesellschaften und Überwachungssysteme auf dem Holzweg bist?

  11. @ Alvar

    Wenn Du konstruktive Kritik äußern willst, dann hier entlang:

    https://www.torproject.org/getinvolved/volunteer.html.en
    https://www.torproject.org/about/contact.html.en

    Wenn Du nicht mit Tor direkt in Kontakt trittst und Dich für Verbesserungen einsetzt, dann kannst Du Dich wieder in Deine getarnte Pseudo-Bürgerrechtsecke verkriechen und weiter insgeheim den Überwachungsextremisten in die Hände spielen.

    Du hast die Wahl. Wofür entscheidest Du Dich? Das Tor Project nimmt Deine konstruktiven Verbesserungsvorschläge gerne entgegen.

    1. Ist es nicht bezeichnend, dass Alvar bislang keinen einzigen konkreten Verbesserungsvorschlag zu Tor gemacht hat ? Was er wohl wirklich im Schilde führt?

  12. @ Constanze Kurze

    Sehr verehrte Frau Dr. Kurz,

    ich danke Ihnen von Herzen für Ihre (mit Herrn Kubieziel) verfasste Gegenrede zu den Theorien des Herrn Freude.

    Es macht mich immer wieder traurig, solche auf den ersten Blick griffige, beim genaueren Hinsehen aber irreführenden und gefährlichen Argumentationen (wie z.B. von Herrn Freude) zu lesen. Ich frage mich dann immer, ob es sich um Unwissenheit oder um Böswilligkeit handelt. Bei Herrn Freude bin ich noch unentschieden.

    Ich bin Ihnen unendlich dankbar, dass Sie so vielen aus der Seele sprechen. Ich könnte nicht so gut argumentieren und vor allem in der Öffentlichkeit bestehen, wie Sie das können. Sie kämpfen seit Jahren an vorderster Front für unsere Grundrechte – größtenteils ehrenamtlich. Ich selbst könnte den Druck und die ständigen Facepalms nicht ertragen. Daher bin ich dankbar für jeden Menschen, der wie Sie in meinem Sinne handelt und genug gestählt und kampferprobt ist, um all dem Irrsinn und gefährlichen Bullshit etwas entgegen zu setzen.

    Um mit meiner Lobrede nicht den Rahmen zu sprengen, möchte ich mit Folgendem schließen:
    Ohne Menschen wie Sie, Frau Dr. Kurz, wäre unser Planet ein Ort ohne Hoffnung. Danke für das Licht in dieser dunklen Welt.

    Mit besten Grüßen
    Friedrich Schneider

  13. Wenn Alvar Freude behauptet, dass deutsche Internet-Nutzer kein Tor bräuchten, weil der deutsche(!) Staat nicht massenhaft überwache, ist das dasselbe, wie zu behaupten, man brauche in Deutschland keinen Strafverteidiger, weil unsere guten heilen deutschen Gerichte, Polizeien und Staatsanwaltschaften immer fair und korrekt alle Regeln einhielten.

    Wenn es nach Alvar Freude geht, kann man auch die geheimen Wahlen abschaffen, weil in unserem guten heilen Deutschland niemand befürchten muss, für seine Wahlentscheidung (also welche Partei gewählt) diskriminiert oder verfolgt zu werden?

    Und überhaupt könne man nach Alvar Freude auch das Bundesverfassungsgericht abschaffen, weil in unserem guten heilen Deutschland nie verfassungswidrige Gesetze beschlossen werden?

    Und natürlich ist nach Alvar Freude die Welt in Ordnung, solange nicht deutsche Behörden jeden einzelnen deutschen Bürger vollständig überwachen, sondern das ausländische Behörden bei vielen deutschen Bürgern in erheblichen Umfang erledigen?

    1. Du hast eine reichlich interessante Phantasie, denn keine Deiner Unterstellungen habe ich jemals behauptet.
      Lese einfach mal, was ich geschrieben habe.

      1. Humorlos ist er auch noch, dieser Alvar. Und von Analogien hat er noch nie gehört. Klingt komisch, ist aber so.

      2. @Arne: Wenn mir jemand, der sich in keiner Weise mit meiner Aussage auseinander gesetzt hat, dummen Unsinn unterstellt, dann bin ich in der Tat humorlos.

      3. Hat da nicht jemand einfach Deine Logik für das Publikum mittels Analogien übersetzt?
        Warum schimpfst Du die Äußerungen anderer Menschen als „dummen Unsinn“? Was haben Dir diese Menschen getan?
        Hast Du Dich denn mit den zahlreichen Einwänden der anderen sachlich und argumentativ auseinandergesetzt?
        Warum hört man von Dir keine Vorschläge, wie man Tor verbessern kann? Warum scheint Dein einziges Ziel zu sein, Menschen an der Nutzung von Tor zu hindern?

  14. Vielleicht ist das ja die neue Art von Twitter, sich gegen staatliche Regulierungsbestrebungen zur Wehr zu setzen, nach den bisherigen Versuchen. In anderern Ländern muss sich Twitter auch Kompromisse eingehen. Unterordnung ist natürlich immer schwierig. Wo ist da die Grenze zu ziehen? Da ist noch einiges an Überzeugungsarbeit notwendig.
    Manchmal ist die Nutzung bestimmter Dienste und Programme auch eine politische Entscheidung. Wenn eines davon im Interesse einer Organisation oder gar eines ganzen Staats steht, wie will oder kann man das überhaupt unterbinden?

  15. Alvars Welt:
    Im guten Deutschland brauchen Frauen kein Pfefferspray. Im guten Deutschland muss eine Frau nichts befürchten. Pfefferspray in den Händen deutscher Frauen erhöht nur die Angriffsvektoren! Pfefferspray gegen den Wind sprühen ist gefährlich!! Finger weg von Pfefferspray!!! Pfefferspray brauchen nur Frauen in Pakistan, Indien und Saudi-Arabien. Das geht deutsche Frauen nichts an.

    Machen wir ein Meme draus? Alvars Welt?

  16. Ach nee, ein Privilegierter will nicht, dass wir Tor nutzen?
    Ist Alvar Freude nicht ein weißer, christlicher, gut ausgebildeter, gut verdienender, gesunder deutscher Mann und Anhänger der Regierungspartei? Dieser hochgradig Privilegierte will uns erzählen, warum man als „Normalnutzer“ nichts zu befürchten hat und mit Tor sterben wird? Tja, wie gut (für Alvar), dass er es nicht kennt, zu Minderheiten und Randgruppen zu gehören, die auch in Deutschland mit Tor besser geschützt sind als ohne.

    PS: Alvar Freude könnte ja mal bei Crypto Parties den „Normalnutzern“ den richtigen und sicheren Umgang mit Tor erklären, oder?

  17. Die gesamte Diskussion hier ist leider in der Zwischenzeit auf Kindergartenniveau à la „Hilfe, der will mir mein Spielzeug wegnehmen!!!“ angelangt. Mit Argumenten setzt sich in der Zwischenzeit keiner mehr auseinander.

    Ich bin ein Freund sachlicher Argumente. Daher mache ich noch mal einen Versuch:

    Ich erinnere daran: Twitter warnt, dass einige Nutzer – vor allem solche, die Tor nutzen – eventuell Opfer staatlicher Hackerangriffe geworden seien. Nun ist bekannt, dass Tor Risiken birgt. Es ist eine naheliegende Vermutung, dass diese hier zum Tragen kamen.

    http://www.heise.de/ct/ausgabe/2013-20-Gefahren-der-Tor-Nutzung-im-Alltag-2293262.html
    http://blog.alvar-freude.de/2014/10/finger-weg-von-tor.html
    http://blog.alvar-freude.de/2015/12/gehackt-wegen-tor.html

    Einen plausiblen Grund, warum das genannte Problem nicht existieren soll, hat niemand genannt.

    1. Fassen wir mal zusammen:

      – Es geht nicht um normale Nutzer sondern überwiegend um solche die konkret befürchten müssen, Ziel gezielter staatlicher Überwachungsmaßnahmen zu werden bzw. dies bereits geworden sind. Dies umzukehren, dass sie ins Visier geraten sind, weil sie Tor nutzen, ist absurd.

      – Deine Theorie über gefälschte SSL-Zertifikate ist wegen Certificate Pinning widerlegt.

      – Dein Vorschlag, ein eigenes VPN zu verwenden, ist wenig hilfreich, weil der Endpunkt des VPNs genauso überwacht wird wie der Rest des Internets.

      – Dass Twitter staatliche Angriffe erkennen kann aber übersehen haben soll, dass die Leute Tor verwendet haben, ist arg unwahrscheinlich.

      – „Für den normalen Nutzer in einem freiheitlich-demokratischen Staat, der nicht befürchten muss persönlich und direkt von den Geheimdiensten überwacht zu werden“: Diese Prämisse ist offensichlich falsch. Dein persönliches Browserverhalten wird von der NSA und anderen Geheimdiensten überwacht und gespeichert. Wenn der BND oder der Verfassungsschutz will, kann er morgen auf Deine Daten von gestern zugreifen.

      Und eben weil Du in der Vergangenheit viel fürs Netz getan hast und die gegen Überwachung und Zensur gewehrt hast, machen sich die Leute halt besonders Sorgen.

      1. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      2. Es wäre wirklich hilfreich für eine sinnvolle Diskussion, sich mit den Sachen die ich geschrieben habe auseinanderzusetzen.
        So habe ich explizit davon gesprochen, dass Tor für hiesige, normale Nutzer ein größeres Risiko darstellt als kein Tor, weil es einen zusätzlichen Angriffsvektor erschafft. Ich bezog mich ursprünglich vor allem auf »Tor für alle«-Boxen, die in der Presse bejubelt wurden. Und ich habe explizit geschrieben, dass dies in anderen Umgebungen durchaus anders aussehen kann. Außerdem kann man sich immer bewusst dafür entscheiden, aus irgendwelchen Gründen an einer Stelle ein höheres Risiko einzugehen. Ihr habt alle die Wahl und könnt Euch frei für die Nutzung von Tor entscheiden.

        Bzgl. Certificate-Pinning: Widerlegt wurde gar nichts, sondern es wurde der Einwand geäußert, dass ein großflächiger Angriff mittels gefälschter Zertifikate aufgedeckt worden wäre. Sowohl dass es einen solchen Angriff gegeben haben könnte als auch dass er aufgedeckt worden wäre sind beides Theorien. Twitter selbst nutzt kein HPKP. HPKP ist übriegens auch anfällig, da die *erste* Verbindung zu einem entsprechenden Dienst quasi ungepinnt durchgeführt wird. Nichtsdestotrotz sind ja nicht alle Nutzer immer die ersten, vollkommen klar, ist also nur ein kleiner Einwand, und HPKP ist eine gute Sache, liegt hier aber nicht vor. Und natürlich kann festes Pinning im Browser auch umgangen werden – beispielsweise wenn man es schafft, ein Zertifikat von einer gepinnten CA erstellen zu lassen, wie und warum auch immer. Und es gibt natürlich auch noch andere denkbare Gründe, warum Twitter die Warnung abgegeben hat. Habe ich nebenan besprochen: http://blog.alvar-freude.de/2015/12/gehackt-wegen-tor.html

        Ob der Endpunkt des VPNs überwacht wird, kommt ganz drauf an. Ich gehe nicht von einer flächendeckenden Totalüberwachung des gesamten Internet-Verkehrs aus – und wenn das der Fall wäre, dann wäre auch Tor nicht sicher. Es gibt bisher auch keine Anhaltspunkte, dass die NSA etc. eine entsprechende Totalüberwachung von jedem Provider durchführen. Und natürlich kommt es hier wie immer stark auf den konkreten Anwendungsfall an. Dennoch halte ich die NSA-Überwachung alles andere als für harmlos.

        Wie ich bereits geschrieben habe: Solange Twitter keine Details herausrückt, ist nicht klar, was sie gefunden haben. Es sind viele Sachen denkbar. Von Fehlalarm über tatsächliches Risiko bis sonstwas. Wenn es kein Fehlalarm ist und die angeschriebenen wirklich tatsächliche Opfer sind, gibt es nur wenige Möglichkeiten (jeweils in verschiedenen Abwandlungen denkbar):
        a) Angriff am oder nach dem Exit-Node, weil Exit-Node unter eigener Kontrolle oder als solcher erkannt
        b) Direkter Angriff auf Tor (z.B. die Verschlüsellung zum Entry-Node, das Tor-Netzwerk selbst, Tor-Client, o.ä.)
        c) Trojaner auf dem Rechner der angeschriebenen Personen
        d) Es hat nichts mit Tor zu tun, Angriff war bei Twitter-Nutzung der Betroffenen ohne Tor.
        e) Wenn in Zusammenhang mit Tor, kann ein Problem in oder mit Tor nicht das alleinige Problem gewesen sein, dann muss da noch mehr passiert sein (z.B. Angriff auf SSL/TLS in irgendeiner Form)
        f) … eine Abwandlung davon oder irgendwas, was ich vergessen habe.

        Ein nicht unerheblicher Teil der Möglichkeiten basiert nun darauf, dass irgendeine direkte (z.B. Bug) oder indirekte (z.B. Risiko Exit-Nodes) Schwachstelle in Tor ist. Exit-Nodes halte ich immer noch für relativ wahrscheinlich, weil relativ einfach.

        Es kann aber auch sein, dass alles ein Fehlalarm von Twitter ist. Möglich.

        Bzgl. NSA und BND: Wir wissen, dass die NSA bzw. im Team FVEY umfangreiche Überwachungen durchführen. Was exakt und wie viel genau wissen wir nicht. Wir wissen, dass sie in einigen Ländern mehr überwachen als in anderen. Wir können davon ausgehen, dass in Deutschland keine Totalüberwachung des gesamten Internet-Verkehrs bzw. meines »persönliches Browserverhaltens« stattfindet. Das mag man je nach persönlicher Paranoia (und ich finde ein gesundes Maß an Paranoia durchaus gut) anders sehen. Nichtsdestotrotz gibt es Überwachung, zum Beispiel ist ja sehr gut belegt, dass diverse Satelitten-Internet-Anbieter überwacht wurden. Ebenso würde ich mich nicht wohl fühlen, wenn mein Provider eine britische Firma wäre.
        Um potentieller Überwachung zu entgehen, halte ich es für mich beispielsweise effektiver, einen eigenen Mail- und Jabber-Server zu betreiben und bei Bedarf ein eigenes VPN zu nutzen, als den ganzen Tag via Tor unterwegs zu sein. Das heißt aber nicht, dass ich Tor verbieten will oder jeglichen Nutzen abstreiten würde.

        Zudem habe ich klar und deutlich geschrieben – aber das wird von denen, die mit Schaum vor dem Mund durch die Gegend rennen gerne unterschlagen: »Aus Angst vor einem Risiko wie der Geheimdienstüberwachung sollte man sich nicht viel größeren Gefahren aussetzen. Überwachung durch NSA und Co. sind ein politisches Problem und müssen nicht nur politisch sondern natürlich auch technisch gelöst werden. Für Normalnutzer aber durch mehr Ende-zu-Ende-Verschlüsselung, und nicht Man-in-the-Middle-Verschlüsselung mit zusätzlichem Angriffspunkt wie bei Tor.« Ich habe nirgendwo ein gutes Wort über die Machenschaften der Geheimdienste hinterlassen.

        Apropos, Du schreibst oben, dass der BND auf meine Daten von gestern zugreifen könne: Nein, kann er nicht, weil er sie nicht hat und nicht haben darf. Wir wissen nun zwar, dass die Filterung „deutscher Staatsbürger“ nichr so toll geklappt hat, aber nichtsdesotrotz darf der BND dennoch nicht. Und hier ist auch – wie ich bereits geschrieben habe – dringend eine politische Lösung gefragt! Das gleiche gilt auch für den Verfassungsschutz. Denn: ein 100%-Schutz kann der Normaluser nicht leisten. Es reicht ja nicht, einfach mal Tor zu nutzen (ganz unabhängig von den Risiken). Man kann am anderen Ende mitlauschen, E-Mail ist ein interessantes Angriffsziel, Messanger und so weiter. Insgesamt gilt: wir brauchen mehr Ende-zu-Ende-Verschlüsselung, das schützt auch. Und Tor schützt nicht, wenn Hans Wurst eine E-Mail-Adresse bei GMX hat. Und so weiter. Und wir brauchen politische Lösungen, die Dienste müssen politisch an die Leine gelegt werden. Dringend.

        Und ansonsten wäre es natürlich hilfreich, wenn man sich genau mit dem auseinandersetzen würde, was ich auch wirklich geschrieben habe. Von den hiesigen Kommentatoren hat das kaum einer getan, und auch die Beschreibung von Constanze und Jens ist da leider lückenhaft und hat den einen oder anderen Troll erst angefixt.

        Tor ist keine heilige Kuh, die man nicht kritisieren darf.

      3. @Alvar

        Aha, jetzt kommen wir der Sache schon näher.

        „Ich bezog mich ursprünglich vor allem auf »Tor für alle«-Boxen, die in der Presse bejubelt wurden“

        Du hast also vor der Nutzung von Tor ohne TorBROWSER gewarnt? Du hast davor gewarnt, mit dem normalen Standardbrowser sämtlichen Traffic durch das Tor-Netzwerk zu jagen? Ist das die Essenz Deiner Kritik?

        Ach was! Selbst Tor rät dringend dazu, nur den abgestimmten und gehärteten TorBrowser und keine andere Tor+Randombrowser-Kombi zu nutzen!!!

        „und hat den einen oder anderen Troll erst angefixt.“

        Und genau deshalb bist Du ein unsympathischer Zeitgenosse! Eigenmächtig andere als Trolle zu diskreditieren, nur weil sie Dich kritisieren, aber selbst verlangen, dass Deine eigene Kritik unangetastet bleibt. Dazu noch von anderen verlangen, Deine Aussagen zu lesen, aber selbst nicht wirklich auf die sachlichen Gegenargumente zu Deinen Thesen eingehen. Double standards at its best!

        Und der versteckte Verweis auf die „heilige Kuh der Anonymität, die auch mal geschlachtet gehört“ („Tor ist keine heilige Kuh, die man nicht kritisieren darf.“) ist einfach nur eine überflüssige Polemik und Provokation.

        Du erntest die Diskussionsatmosphäre, die Du selbst sähst. Wie es in den Wald hineinschallt, so schallt es heraus. Wenn Du Provokateur sein willst, musst Du mit entsprechendem Gegenwind rechnen. Denk mal drüber nach.

        PS: Welche Verbesserungsvorschläge hast Du der Tor-Community anzubieten? Man wartet weiterhin auf Deine Expertise. Oder bist Du am Ende hier der Troll, der nur stänkern will?

      4. @Ricarda, und unter welchen Namen Du hier sonst noch so auftauchst:
        Ich habe in meinen Texten beschrieben, auf was ich mich beziehe. Das ist also nichts neues, und wäre es nicht fair, mal vorher nachzulesen, was jemand schreibt, bevor man ihm irgendwas gänzlich anderes vorwirft?

        Und nein, das ist nicht die Essenz meiner Kritik. Ich kritisiere auch nicht Tor. Ich will weder Tor verbieten noch habe ich geschrieben, dass Tor ein schlechtes Projekt sei. Im Gegenteil: ich halte Tor für eine tolle Sache, die in vielen Fällen sehr sinnvoll sein kann. Aber eben nicht für den Alltagsgebrauch von Lieschen Müller.

        Ich habe davor gewarnt, dass man sich mit Tor einen weiteren Angriffspunkt in sein Setup holt: Den Tor-Exit-Node. Hier kann ein Angreifer passiv mitsniffen (und keiner merkt es), er kann aber auch aktiv in den Datenstrom eingreifen. Und beides können angreifer machen, die ansonsten keinen Zugriff auf den Provider des angegriffenen haben.

        Und ich habe geschrieben, dass die von Twitter gewarnten Nutzer möglicherweise Opfer eines solchen Angriffs geworden sein könnten.

        Ich habe nicht geschrieben, dass die Anonymität geschlachtet gehört. Ich würde das nie schreiben, da dies in keinster Weise meiner Meinung entspricht.

        Wenn Du forderst, dass ich nur dann Tor-Nutzung kritisieren darf, wenn ich auch irgendwas zu dem Tor-Projekt beitrage, dann ist das so, als ob jemand sagt: nur Politiker dürften Politiker kritisieren.

      5. „Ricarda, und unter welchen Namen Du hier sonst noch so auftauchst:“

        Willst Du mir vorschreiben, wie ich mich nenne? Ich nenne mich Ricarda. Wie andere sich nennen, damit habe ich nichts zu tun. Oder willst Du mit unbelegten Tatsachenbehauptungen aufs Glatteis?

        „Ich habe in meinen Texten beschrieben, auf was ich mich beziehe. Das ist also nichts neues, und wäre es nicht fair, mal vorher nachzulesen, was jemand schreibt, bevor man ihm irgendwas gänzlich anderes vorwirft?“

        Genau, lies doch einfach mal, was Dir Deine Kritiker sagen. Warum hast Du auf viele der hier geäußerten offenen Fragen nichts antworten können?

        „Und nein, das ist nicht die Essenz meiner Kritik. Ich kritisiere auch nicht Tor.“

        Du kritisiert nicht Tor? Ist das Dein Ernst? Willst Du mich und uns jetzt – mit Verlaub – verarschen? Was ist das denn sonst, was Du hier machst?

        „ich will weder Tor verbieten noch habe ich geschrieben, dass Tor ein schlechtes Projekt sei.“

        Hat irgendwer gesagt, dass Du das behauptet hättest? Nein, hat niemand, siehste.

        „Im Gegenteil: ich halte Tor für eine tolle Sache, die in vielen Fällen sehr sinnvoll sein kann. Aber eben nicht für den Alltagsgebrauch von Lieschen Müller.“

        In welchen Fällen hältst Du Tor für eine „tolle“ und „sinnvolle Sache“
        Und wer ist „Lieschen Müller“? Wer definiert das?
        Und was ist ein „Alltagsgebrauch“? Wenn man Tor nur für sensible und heiße Sachen nutzt, ist dann nicht immer sofort klar, dass man Tor gerade für sensible und heiße Sachen nutzt? Macht man es Angreifern damit nicht leichter, Interessantes von Uninteressantem zu trennen? Sollte man also auch nur die wirklich hochbrisanten Daten verschlüsseln, damit jeder Angreifer sofort weiß, worauf er sich konzentrieren muss?

        „Ich habe davor gewarnt, dass man sich mit Tor einen weiteren Angriffspunkt in sein Setup holt: Den Tor-Exit-Node.“

        Fallen nicht viele andere Angriffsvektoren weg, sobald man Tor nutzt? Willst Du 100%-Sicherheit? Erreichst Du 100%-Sicherheit, wenn Du auf Tor verzichtest?

        „Hier kann ein Angreifer passiv mitsniffen (und keiner merkt es), er kann aber auch aktiv in den Datenstrom eingreifen.“

        Kann man das nicht auch in Public WLANs in Hotel, Café, Flughafen etc.? Und wozu gibt es HTTPS/TLS? Wozu gibt es Zertifikatswarnungen? Sind wir wirklich so machtlos gegen die von Dir heraufbeschworenen Angriffe?

        Uns sagt das Tor Project nicht selbst, dass man auf HTTPS/TLS für die Verbindung vom Exit Node zur Zielwebsite achten soll, falls z.B. Login-Daten versendet werden?

        Und wie kann es Bad Exit Node Schaden anrichten, wenn man gar keine Login-Credentials oder andere Realdaten überträgt? Solange der Bad Exit Node nicht die Artikel z.B. hier auf netzpolitik.org gefälscht anzeigt, kann man doch auch über einen Bad Exit Node die neusten Geheimdienstnachrichten lesen, oder? Dabei wird man ja nicht deanonymisiert, nicht wahr?

        „Und beides können angreifer machen, die ansonsten keinen Zugriff auf den Provider des angegriffenen haben.“

        Wie hoch ist die Wahrscheinlichkeit, genau die paar möglicherweise zeitweise aktiven Bad Exit-Nodes zufällig zu erwischen? Oder willst Du behaupten, 100% der Tor Exit Nodes seien zu jeder Zeit bösartig?

        Und gibt es nicht genug Angreifer, die auch über den Provider passiv, aktiv und unbemerkt angreifen können?

        Willst Du Dich nicht an der aktiven Suche nach Bad Exit Nodes beteiligen? Das machen einige (auch Forscher). Willst Du nicht etwas Gutes beitragen?

        „Und ich habe geschrieben, dass die von Twitter gewarnten Nutzer möglicherweise Opfer eines solchen Angriffs geworden sein könnten.“

        Möglicherweise? Du spekulierst also und machst ein Riesen-Fass auf? Inwiefern bringt uns das weiter?

        „Ich habe nicht geschrieben, dass die Anonymität geschlachtet gehört. Ich würde das nie schreiben, da dies in keinster Weise meiner Meinung entspricht.“

        Hat das irgendwer behauptet? Nein, hat niemand, siehste.

        „Wenn Du forderst, dass ich nur dann Tor-Nutzung kritisieren darf, wenn ich auch irgendwas zu dem Tor-Projekt beitrage, dann ist das so, als ob jemand sagt: nur Politiker dürften Politiker kritisieren.“

        Habe ich das behauptet? Nein, habe ich nicht, siehste.
        Ich halte Dir gerne ein weiteres Mal den Spiegel vor: Wirf anderen nicht genau das vor, was Du selber praktizierst.

        Und hinkt Dein „Politiker-Vergleich“ nicht?
        Kennst Du den Unterschied zwischen destruktivem Meckern und Nörgeln und konstruktiver lösungsorientierter Kritik?
        Warum ist überall in der Gesellschaft und erst recht im Berufsleben konstruktive lösungsorientierte Kritik gern gesehen?

        Wenn Du es ernst meinst, dass Du Tor “ für eine tolle Sache“ hältst, warum fängst Du dann nicht an, die von Dir ausgemachten Kritikpunkte bei Tor zu verbessern?
        Wäre das nicht ein fairer Deal, mit dem alle leben können?
        Warum willst Du Deine Expertise nicht der Tor-Community zur Verfügung stellen? Wäre das nicht sozial?

      6. Alvar, ich kann Deine grundsätzlichen Anmerkungen zu Tor ja nachvollziehen. Für den aktuellen Fall halte ich sie nur für wenig valide, weil es eben um netzpolitisch aktive Bürgerrechtler geht, die gute Gründe haben, Tor zu benutzen.

        Du sagst, dass Du nicht von einer flächendeckenden Überwachung des Netzes ausgehst. Das halte ich für erstaunlich naiv. Zumindest in Deutschland ist diese Überwachung Fakt, nicht umsonst will der DE-CIX gerichtlich dagegen vorgehen. Und das betrifft nur den BND, die Rolle des am DE-CIX angeschlossenen NSA-Partnerunternehmens Level 3 ist dabei außen vor. In den USA gibt es Schnittstellen für die NSA bei den ISPs wie den „Room 641A“, welche gerichtlich per FISA-Geheimanordnung eingerichtet worden sind. Andere Länder werden ähnliche Infrastruktur besitzen. Das macht es etwas schwierig, ein unüberwachtes VPN zu betreiben.

        Und dass BND und Verfassungsschutz via XKeyscore Zugriff auf die abgesaugten Daten haben, ist ebenfalls dokumentiert. Oder betrachtest Du die Snowden-Dokumente als Fälschungen? Und darauf, dass sie diese Daten nicht nutzen werden, würde ich mich nicht unbedingt verlassen, schließlich hat das Parlamentarische Kontrollgremium des Deutschen Bundestages erst gestern dem BND gravierende Rechtsverstöße attestiert.

      7. Angriffe via Exit-Node könnte Twitter übrigens recht einfach unterbinden, indem sie wie Facebook innerhalb des Tor-Netzwerks einen eigenen Hidden Service betreiben.

      8. @Bernd: bzgl. Twitter bzw. Facebook Hidden-Service gibt es auch Kritik und Sicherheitsbedenken – ich habe das nur überflogen und kann das nun nicht sinnvoll wiedergeben, war aber irgendwo hier oder bei mir im Blog in den Kommentaren erwähnt.

        „Flächendeckende Überwachung“: da ist immer die Frage, a) was man als Flächendeckend ansieht und b) wie man die vorhandenen sehr lückenhaften Informationen interpretiert. Klar ist, dass beispielsweise einige Satelliten-Internet-Anbieter relativ breit überwacht wurden. Wie breit ist auch schwer zu sagen, und ob es noch andauert auch. Was und wie viel beim DE-CIX genau überwacht wird ist auch eine Frage — und es geht nicht jeder Traffic über den DE-CIX. Nichtsdestotrotz hatte ich da mal was gebloggt: http://blog.alvar-freude.de/2014/06/nsa-ueberwacht-wie-viel.html

        Allerdings ist der BND etwas anderes als NSA, zumal er unsere Kommunikation als Bundesbürger gar nicht erfassen darf. Wie mehrfach geschrieben: hier sind primär politische Lösungen nötig.

        Und wenn man vor dieser Überwachung Befürchtungen hat darf man nicht vergessen, dass man sich mit Tor erst recht ins Fadenkreuz der Dienste begibt. Ist also alles andere als einfach.

        Auch aufgrund der Gefahren mittels der Exit-Node-Kontrolle usw. bevorzuge ich ein ordentliches VPN und würde das der Mehrheit der genannten Betroffenen auch empfehlen. Und natürlich Ende-zu-Ende-Verschlüsselung, eigene Server für Mail und andere Kommunikationsdienste und so weiter. Mich erschrickt, wie viele Leute Tor nutzen und dann via GMail oder GMX ihre Standard-Mails laufen lassen – allerdings betrifft das die in diesem Kontext hier namentlich erwähnten nicht, nur um keine Missverständnisse aufkommen zu lassen.

      9. @Alvar: „„Flächendeckende Überwachung“: da ist immer die Frage was man als Flächendeckend ansieht … Was und wie viel beim DE-CIX genau überwacht wird ist auch eine Frage — und es geht nicht jeder Traffic über den DE-CIX.“

        Der DE-CIX kann sich nicht dafür verbürgen, dass seine Alcatel-Lucent Router keine Firmware-Wanzen enthalten, die Daten dublizieren, die dann ein von der BReg per diplomatischer Note straffrei gestellter Contractor wie L3 von diesen Routern zur Verarbeitung durch NSA und Co. ableiten könnte. Und die Lucent Labs sind ja nun auch nicht gerade berühmt für ihre Geheimdienstferne… Es gibt keinen anderen vernünftigen Grund für den DE-CIX die Traffic-Statistiken seiner Router durch Messungen an den Leitungen zu verfizieren, was sie ja tun oder zumindest versuchen.

        Und jetzt mal im ernst, irgendwoher müssen die Daten, die im Dagger Complex und später in der Clay Kaserne in Wiesbaden verarbeitet werden sollen ja auch kommen.

        Um ein paar Satellitendaten kann es da kaum gehen, die könnten sie auch direkt in die USA weiterleiten und dort verarbeiten.

        „Im Dagger Complex arbeiten etwa 1100 Intelligence Professionals und Special Security Officers.“
        https://de.wikipedia.org/wiki/Dagger_Complex#Ab_1999

        Der Dagger Complex ist der Rauch, Alvar, erkläre Du uns jetzt bitte welcher harmlosen Natur das Feuer sein kann, das ihn erzeugt.

        Was tun die 1100 SchlapphütInnen dort, ausser Eier(stöcke) schaukeln?

      10. @Alvar

        So habe ich explizit davon gesprochen, dass Tor für hiesige, normale Nutzer ein größeres Risiko darstellt als kein Tor, weil es einen zusätzlichen Angriffsvektor erschafft.

        Man muss es solche Sätze nur oft genug wiederholen, bis es geglaubt wird. Ok, auch eine Strategie. Tor als Technologie ist also nichts für Hiesige (Stuttgarter?). Und Tor ist nichts für „Normale“.
        Ist das nun schon Diskriminierung? Eine Frage von Bildung? Ausgrenzung? Ich zähle das auf, um die Problematik solcher Äußerungen zu entlarven. Wo fängt das Normale an und wann ist ein User nicht mehr „normal“?

        Lieber Alvar, Du schuldest uns ein wenig mehr Differenziertheit. Deshalb ein Vorschlag zur Güte: Wann ist (um Deinen Sprachgebrauch zu verwenden) ein User nicht mehr normal genug, um Tor benutzen zu können?

        Ach ja, noch eine große Bitte! Bitte werde endlich HIER konkret, ohne immer wieder mantrahaft auf Deine Publikationen zu verweisen. Wer sich hier die Mühe macht, auf Deine Einlassungen zu antworten, der hat diese bereits gelesen. Und auch verstanden.

        So mancher wundert sich auch, welchen Qualitätsstandards sogenannte „Kurzgutachten“ genügen müssen, um von einer Partei bezahlt zu werden. Also wenn Du nochmals versucht sein solltest darauf zu verweisen, dann mach Dir bitte die Mühe und zitiere Deine eigenen Sätze hier. Ach ja apropos Zitate. Dein „Kurzgutachten“ kommt ohne ein einziges Zitat aus. Hast Du nicht gelernt, wie man zitiert und ein Literaturverzeichnis erstellt, oder wurde das vom Auftraggeber nicht gewünscht? Wie wissenschaftlich ist diese Arbeit? Von einer Semesterarbeit würde ich mehr verlangen.

    2. Aha, arrogant ist Alvar auch noch.

      Hat er sich denn „als Freund sachlicher Argumente“ schon mit allen sachlichen Gegenargumenten zu seinen steilen Thesen beschäftigt? Oder beschimpft er andere in der Zwischenzeit lieber als „Kindergartenniveau“?

      Hat er denn noch mehr als „naheliegende Vermutungen“ zu bieten?
      Und seit wann muss der andere „plausible Gründe für die Nicht-Existenz von Problemen“ nennen? Muss nicht immer derjenige Belege vorbringen, der Behauptungen aufstellt?

      Lebt Alvar in einer verkehrten Welt?

      1. „@Heiner, und unter welchem Namen Du hier sonst noch so auftauchst:“

        Sind Sie paranoid? Und was hat das mit der Sache zu tun? Sind Sie denn wirklich Alvar Freude? Können Sie bitte Ihre Ausweiskopie hochladen?

        „Welche Gegenargumente meinst Du? Gegenargumente zu welchem Punkt aus diesen drei Artikeln?“

        Müssen Sie nicht Ihre Thesen zuerst belegen? Wenn Sie Behauptungen in die Welt setzen, haben Sie dann nicht die Bringschuld zur Untermauerung Ihrer Thesen? Wenn Sie behaupten würden, die Welt ist eine Scheibe, wäre der Rest der Welt dann in der Pflicht, Ihre These zu widerlegen? Oder müssen Sie Ihre These belegen?

        Und wollen oder können Sie die in dieser Kommentarspalte zahlreich geäußerten Gegenargumente zu Ihren Thesen nicht zur Kenntnis nehmen?
        Warum besteht der Großteil Ihrer Kommentare aus persönlichen Angriffen, Polemik und Provokation?
        Warum setzen Sie Ihre Zeit nicht dafür ein, die zahlreichen Gegenargumente und konkreten Fragen an Sie zu beantworten? Zum Beispiel, welchen Beitrag Sie zur Verbesserung von Tor leisten? Wollen Sie Tor verbessern? Wann fangen Sie damit an?

      2. „Für welche konkrete These fehlt Dir ein Beweis?“

        Warum duzen Sie mich? Kennen wir uns persönlich?

        Welche konkreten Thesen haben Sie denn aufgestellt? Können Sie das kurz zusammenfassen?
        Welche konkreten Beweise haben Sie denn als Beleg Ihrer Thesen bisher dargeboten? Können Sie das kurz auflisten?

        Warum soll ich Ihre Arbeit machen? Wollen Sie uns nicht überzeugen?

      3. @Heiner: ich Dutze Dich hier, weil es hier üblich ist. Wenn es Dir nicht passt: Pech.

        Wenn Du einem oder mehreren Punkten, die beispielsweise da

        http://www.heise.de/ct/ausgabe/2013-20-Gefahren-der-Tor-Nutzung-im-Alltag-2293262.html
        http://blog.alvar-freude.de/2014/10/finger-weg-von-tor.html
        http://blog.alvar-freude.de/2015/12/gehackt-wegen-tor.html

        erwähnt wurden, widersprechen möchtest, dann mache es.

        Wenn Du mir in irgendeiner meiner irgendwo geäußerten Aussage widersprechen willst, dann mache es (bitte mit Nennung der Quelle).

        Ansonsten muss ich ja wohl davon ausgehen, dass Du mir nicht widersprichst.

      4. @Alvar

        „ich Dutze Dich hier, weil es hier üblich ist. Wenn es Dir nicht passt: Pech.“

        Warum so unfreundlich? Warum sind Sie so unsympathisch? Warum erwarten Sie, dass Sie mit offenen Armen empfangen werden, wenn Sie selbst einfachste Regeln des ziviliserten und respektvollen Umgangs nicht beachten?

        „Wenn Du mir in irgendeiner meiner irgendwo geäußerten Aussage widersprechen willst, dann mache es (bitte mit Nennung der Quelle).“

        Ihre Thesen sind also uneingeschränkt gültig und unantastbar, solange Ihnen niemand widerspricht? Und selbst wenn Ihnen jemand widerspricht, lehnen Sie die Einwände als ungültig ab? Haben nicht viele andere Personen Ihnen hier bereits widersprochen? Da Sie Ankläger und Richter gegen Tor zugleich sein wollen, lassen Sie keine Einwände gelten und behaupten anschließend, es gebe keine Einwände? Was ist der Unterschied zwischen einem Fundamentalisten und Ihnen? Müssen Sie Ihre Thesen nicht zuerst WASSERDICHT belegen, bevor den Ruf anderer schädigen?

      5. @Heiner: Wenn ich blöd angemacht, beschimpft und beleidigt werde sowie mir Behauptungen unterstellt werden, die ich nie getätigt habe, dann werde ich unfreundlich. Ist leider eine Schwäche von mir, die ja einige auch ganz gut ausnutzen.

        Der Behauptung, dass irgendwelche Thesen von mir widerlegt wurden, kann ich nicht folgen und weise nochmals darauf hin, dass die Gefahr nicht nur (aber auch) durch manipulierende Exit-Nodes sondern auch durch schlichtes Sniffing besteht. Ich habe mehrfach geschrieben, dass man Gefahr und Nutzen auf die eine oder andere Art bewerten kann.

        Wir können uns nun weiter gegenseitig Fundamentalismus, Aluhutträgerei, böse Hintergedanken oder sonstwas vorwerfen; die Diskussion bringt das nicht weiter. Ohne konkrete Widerrede zu konkreten Behauptungen kann und werde ich nicht mehr viel zu irgendwelchen Vorhaltungen sagen können.

      6. hey alvar, ich hab grad mal diesen thread ein bissel überflogen. ich weiß nur nicht, warum du dich blöd angemacht, beschimpft und beleidigt fühlst. ich find dazu nix. zu fundamentalismus, aluhutträgerei und bösen hintergedanken finde ich auch nix wirklich. und behauptungen unterstellt dir auch keiner. da sind halt einige, die viele fragen an dich haben. wenn man dich was fragt, unterstellt man dir ja keine behauptungen oder macht dir vorhaltungen, sondern will dich einfach nur verstehen. ist doch eigentlich alles ganz easy peasy. die wollen halt näheres zu deiner meinung erfahren. ich wäre froh über so viel aufmerksamkeit und reichweite. wenn ich irgendwo mal meine meinung äußere, bekomme ich nicht hunderte antworten und stehe so im zentrum.

  18. Schöne Diskussion(-:. ich habe allerdings immer noch nicht verstanden, wieso ich Tor nicht nutzen sollte.
    Das einzige, was momentan stört ist, dass Cloudflare schon wieder Tor sabotiert.

    1. Also das finde ich beruhigend. Ich auch nicht. Mag er es gefährlich finden, ich nutze Tor. Und Leute, die mir zuhören auch :)

    2. Sieh die Cloudflare-Walls doch mal als eine Warnung vor deren breitaufgestelltem MITM, das du sonst nur bei näherem Hingucken erkennen würdest …

      1. Wer sich aus offiziellen und seriösen Quellen über Tor informieren will, der gehe bitte hier entlang:

        https://www.torproject.org/projects/torbrowser/design/

        PS: Alvar nutzt aus, dass es kaum offizielle deutschsprachige Tor Advocates gibt. Gegen die vielen englischsprachigen und hochrangigen Tor-Vertreter hätte Alvar keine Chance, seine Theorien zu belegen und aufrechtzuerhalten.

      2. Und was können wir aus Alvars neuestem Statement lernen? Ist es nicht ein Genuss, ihm dabei zuzusehen, wie er sich selbst bloßstellt?

        Ob wir noch von ihm erfahren werden, inwiefern man ein „Troll“ ist, wenn man das offizielle und technische Designdokument von Tor verlinkt?
        Hat da jemand Angst, die Deutungshoheit zu verlieren?
        Und wer „beleidigt“ hier eigentlich wen „dumm“? Menschen, die auf Tor-Designdokumente verlinken oder Menschen, die andere als Trolle beleidigen?

  19. Warum Tor?

    Was viele nicht verstehen (wollen):

    Tor gibt Dir die Wahlfreiheit zurück. Du kannst entscheiden, wem Du was wann und wo und wofür offenbarst.

    Mal willst Du Deinen Namen nicht preisgeben. Mal nicht Deinen Standort oder Dein Bewegungsprofil. Mal willst Du Deine Interessen, Vorlieben und Gewohnheiten nicht offenlegen. Mal willst Du frei Deine Meinung äußern. Mal willst Du frei Informationen lesen. Mal willst Du verschiedene Pseudonyme für verschiedene Zwecke getrennt halten.

    Mit Tor hast Du mehr Optionen, Dein Leben selbstbestimmt zu gestalten, als ohne Tor.

      1. Will da jemand mit aller Macht versuchen zu verhindern, dass Tor Mainstream wird? Was genau ist an den Aussagen von „Tor=choice“ falsch?
        Wurdest Du überhaupt direkt angesprochen durch „Tor=choice“? Oder hat er/sie nicht allgemein etwas zu Tor gesagt?

      2. @Lara, oh Schaisze, Du hast mich erwischt!!!!!!11 Mann-O-Mann, jetzt geht mein ganzer Plan, das blöde sichere Tor ENDLICH zu zerstören und die ganze Bevölkerung vollkommen totalzuüberwachen, den Bach herunter. Was mache ich bloß nur? Das muss ich gleich mal meinen Vorgesetzten bei BND und NSA melden, dass dieser großartige Plan leider nicht aufgegangen ist. Oh mann, so eine Schaisze, jetzt müssen wir uns was anderes suchen, um das Tor endlich weg zu kriegen. Mannmann, so wird das nichts, mit der Totalüberwachung des Internets, wenn ein Masterplan nach dem anderen dauernd schief geht …

        (wer Ironie findet darf sie behalten)

      3. Haben wir nun nicht alle endlich vor Augen, welchen Charakter Herr Alvar Freude besitzt? Möchte man mit so einer Person gerne diskutieren? Jeder dürfte nun im Bilde sein, mit wem wir es hier zu tun haben. Wenn jemand Größe und Ehre hat, dann jedenfalls nicht Alvar Freude.

    1. Liebe Lilly, und unter welchen Namen Du sonst noch so hier auftauchst.
      Wenn Du das was ich geschrieben habe mit „The Design and Implementation of the Tor Browser“ vergleichst, wirst Du feststellen, dass ich nichts, aber auch rein gar nichts zum Tor Browser und den in dem Dokument beschriebenen Designentscheidungen geschrieben habe.

      1. Bitte nenne mich nicht „liebe Lilly“! Das dürfen nur Menschen, die ich gerne habe und die mir nahestehen. Dazu gehörst du nicht. Sorry, aber wie kann man so anmaßend sein? Gehst du mit allen Frauen so respektlos um?

        > und unter welchen Namen Du sonst noch so hier auftauchst

        Was unterstellst du mir da? Kannst du das auch belegen oder verleumdest du andere Leute einfach mal so auf Verdacht? Ist das fairer und sachlicher Dialog, den du selbst immer wieder verlangst?

        > Wenn Du das was ich geschrieben habe mit „The Design and Implementation of the Tor Browser“ vergleichst, wirst Du feststellen, dass ich nichts, aber auch rein gar nichts zum Tor Browser und den in dem Dokument beschriebenen Designentscheidungen geschrieben habe.

        Haben wir nun also des Rätsels Lösung? Hast du deine Kritik an Tor ohne Berücksichtigung des TorBrowsers aufgerissen? Was ist deine verengte Kritik dann noch wert? Sagt nicht das Tor Projekt selbst, dass Otto-Normal-Nutzer (und alle anderen) ausschließlich den TorBrowser verwenden sollen?

        Können wir der ganzen Diskussion nicht ein versöhnliches Ende bereiten, indem wir uns darauf einigen, dass jeder, der an Tor interessiert ist, nur den TorBrowser (und keine andere Kombination Marke Eigenbau) nutzen und sich vorher die verfügbaren Anleitungen zum richtigen Umgang durchlesen soll? Denn wenn ich dich jetzt richtig verstehe, liegen wir ja gar nicht so weit auseinander, oder? Frieden? :-)

        @ NETZPOLITIK.ORG-Redaktion / Constanze Kurz:

        Bitte greift in einem Update zum Artikel auf, dass Alvar Freude offenbar den Einsatz von nacktem Tor als gefährlich kritisiert, aber „zum Tor Browser und den in dem Dokument beschriebenen Designentscheidungen“ „nichts, aber auch rein gar nichts“ geschrieben habe.

      2. Ich werd jetzt mein Linux auf Win 10 upgraden. Das kann auch nicht mehr schlimmer sein, als Euer Buddelkastengeplärr.
        Mimimimimi…

      3. @Lilly:
        Siehe u.a. die folgenden Artikel:
        http://www.heise.de/ct/ausgabe/2013-20-Gefahren-der-Tor-Nutzung-im-Alltag-2293262.html
        http://blog.alvar-freude.de/2014/10/finger-weg-von-tor.html
        http://blog.alvar-freude.de/2015/12/gehackt-wegen-tor.html

        Die dort aufgeführten Kritikpunkte haben nichts mit dem Tor Browser zu tun und ob man den Tor Browser nun nutzt oder nicht, ändert nichts an dem zusätzlichen Risiko, das man sich mit der Tor-Nutzung im Alltag einfängt.

      4. Ergänung: ob das zusätzliche Risiko durch andere positive Eigenschaften aufgewogen wird, kann und muss jeder selbst und individuell anders abwägen. Meine Ergebnis dieser Abwägung habe ich kund getan.

      5. >> Die dort aufgeführten Kritikpunkte haben nichts mit dem Tor Browser zu tun und ob man den Tor Browser nun nutzt oder nicht, ändert nichts an dem zusätzlichen Risiko, das man sich mit der Tor-Nutzung im Alltag einfängt.

        Du hast also nichts zu verbergen und deshalb nichts zu befürchten? Deshalb brauchst du als Vertreter der braven „Lieschen Müller“-Fraktion kein Tor?
        Ist es nicht auch ein zusätzliches Risiko, sich impfen zu lassen oder im Auto den Gurt anzulegen?
        Wie hoch ist eigentlich das Risiko von Bad Exit Nodes bei Tor? Hast du da konkrete Zahlen als Beleg? Und wie vertrauenswürdig sind weltweit gesehen „normale“ Provider?
        Wo kann man jemanden gezielt und breitflächig angreifen? Über den Provider oder über zufällige Tor Exit Nodes?

        >> Ergänung: ob das zusätzliche Risiko durch andere positive Eigenschaften aufgewogen wird, kann und muss jeder selbst und individuell anders abwägen. Meine Ergebnis dieser Abwägung habe ich kund getan.

        Du willst dich also egoistisch der weltweiten Solidarität verweigern? Du willst dich also deinem möglichen Beitrag als Tor-Nutzer zur Anonymitätsgruppe verweigern und damit Menschen weltweit in Lebensgefahr bringen?
        Weil du „Lieschen Müller“ in Panik versetzt, muss der schwule Mustafa in Saudi-Arabien sterben, weil „Lieschen Müller“ nun aus der Anonymitätsgruppe von Tor fällt und keine Deckung mehr für Mustafa liefern kann?
        „Lieschen Müller“ soll also auch kein Geld für die Welthungerhilfe und Unicef spenden, weil in Deutschland keine Kinder hungern?
        Bist du ein Anhänger der deutschen Isolationstheorie?

  20. ich find den alvar unsympathisch und nicht überzeugend. nach allem, was ich mir jetzt durchgelesen habe, komme ich zu dem schluss, dass mir tor mehr nützt als schadet. man muss den richtigen umgang mit tor lernen, wie man so vieles im leben erstmal lernen muss. aber die restrisiken bei der nutzung von tor nehme ich gerne in kauf. warum sollte ich es den ganzen stalkern und überwachern nicht schwerer machen dürfen? tor erscheint mir nicht perfekt, aber besser als alles andere, was es in dem bereich so gibt.

  21. Wäre ich ein Geheimdienst, würde ich Alvar sofort einstellen. Er macht das genau richtig. Schön agressiv, ätzend und haarspalterisch hält er die Netzgemeinde von Wichtigerem ab. Auf die SPD ist einfach Verlass!

      1. „Geil, jetzt ist sogar die SPD Schuld.“

        Wer hat das behauptet? Bitte belegen, ansonsten bitte aufhören, Unterstellungen zu verbreiten. Die SPD kann nichts dafür, dass Sie dort Mitglied sind.

      2. Also ich würde jetzt gar nicht so auf die SPD schimpfen. Immerhin ist sie doch auf ihre Art sehr verlässlich.

      3. @Martin Heller:
        Übrigens fürs Protokoll: ich bin kein SPD-Mitglied und war nie SPD-Mitglied.

        Ich habe beispielsweise an einigen netzpolitischen Papieren der SPD mitgewirkt und bei nahezu allen Meinungen die ich in Diskussionen dort vertreten habe, würde mir hier wahrscheinlich keiner widersprechen.

      4. Breaking news: Alvar Freude distanziert sich von SPD. Ob er in Zukunft SPD-Mitglied werden wird, ließ er offen.

      5. @Alvar, nun räume doch den Verdacht aus, dass Du die VDS befürwortet hast.
        Ein glaubhaftes Dementi reicht uns.

      6. @Quirrl:
        Wo sind wir denn hier, dass Du von mir verlangst, dass ich irgendwas gemacht haben soll? Verdacht ausräumen, sind wir hier vor Gericht? Was glaubst Du, wer Du bist?
        Ich kann ganz gut alleine entscheiden, was ich für gut oder schlecht halte. Genauso wie ich bei #Zensursula oder dem #JMStV meine Meinung äußere und mich für das einsetze, was ich für richtig halte, genauso mache ich das bei der VDS und in sehr vielen anderen Bereichen.

        Aber, nichtsdestotrotz: Meine Ansichten bzgl. VDS lassen sich hier nachlesen, wir können gerne darüber diskutieren (auch wenn evtl. ein anderer Ort besser angebracht wäre):
        http://blog.alvar-freude.de/2014/01/24/Technische-Fragen-VDS.pdf
        Ich weiß, es sind ein paar Seiten zum lesen – aber es lohnt sich!

        Und ansonsten: meine Teilzeit-Chefin hat gegen die VDS gestimmt und dies schon sehr früh öffentlich kund getan: http://www.saskiaesken.de/statements/keine-vorratsdatenspeicherung

  22. @ Alvar
    Als Antwort auf diesen Kommentar von Dir: https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2002632

    „@Ricarda, und unter welchen Namen Du hier sonst noch so auftauchst:“

    Willst Du mir vorschreiben, wie ich mich nenne? Ich nenne mich Ricarda. Wie andere sich nennen, damit habe ich nichts zu tun. Oder willst Du mit unbelegten Tatsachenbehauptungen aufs Glatteis?

    „Ich habe in meinen Texten beschrieben, auf was ich mich beziehe. Das ist also nichts neues, und wäre es nicht fair, mal vorher nachzulesen, was jemand schreibt, bevor man ihm irgendwas gänzlich anderes vorwirft?“

    Genau, lies doch einfach mal, was Dir Deine Kritiker sagen. Warum hast Du auf viele der hier geäußerten offenen Fragen nichts antworten können?

    „Und nein, das ist nicht die Essenz meiner Kritik. Ich kritisiere auch nicht Tor.“

    Du kritisiert nicht Tor? Ist das Dein Ernst? Willst Du mich und uns jetzt – mit Verlaub – verarschen? Was ist das denn sonst, was Du hier machst?

    „ich will weder Tor verbieten noch habe ich geschrieben, dass Tor ein schlechtes Projekt sei.“

    Hat irgendwer gesagt, dass Du das behauptet hättest? Nein, hat niemand, siehste.

    „Im Gegenteil: ich halte Tor für eine tolle Sache, die in vielen Fällen sehr sinnvoll sein kann. Aber eben nicht für den Alltagsgebrauch von Lieschen Müller.“

    In welchen Fällen hältst Du Tor für eine „tolle“ und „sinnvolle Sache“
    Und wer ist „Lieschen Müller“? Wer definiert das?
    Und was ist ein „Alltagsgebrauch“? Wenn man Tor nur für sensible und heiße Sachen nutzt, ist dann nicht immer sofort klar, dass man Tor gerade für sensible und heiße Sachen nutzt? Macht man es Angreifern damit nicht leichter, Interessantes von Uninteressantem zu trennen? Sollte man also auch nur die wirklich hochbrisanten Daten verschlüsseln, damit jeder Angreifer sofort weiß, worauf er sich konzentrieren muss?

    „Ich habe davor gewarnt, dass man sich mit Tor einen weiteren Angriffspunkt in sein Setup holt: Den Tor-Exit-Node.“

    Fallen nicht viele andere Angriffsvektoren weg, sobald man Tor nutzt? Willst Du 100%-Sicherheit? Erreichst Du 100%-Sicherheit, wenn Du auf Tor verzichtest?

    „Hier kann ein Angreifer passiv mitsniffen (und keiner merkt es), er kann aber auch aktiv in den Datenstrom eingreifen.“

    Kann man das nicht auch in Public WLANs in Hotel, Café, Flughafen etc.? Und wozu gibt es HTTPS/TLS? Wozu gibt es Zertifikatswarnungen? Sind wir wirklich so machtlos gegen die von Dir heraufbeschworenen Angriffe?

    Uns sagt das Tor Project nicht selbst, dass man auf HTTPS/TLS für die Verbindung vom Exit Node zur Zielwebsite achten soll, falls z.B. Login-Daten versendet werden?

    Und wie kann es Bad Exit Node Schaden anrichten, wenn man gar keine Login-Credentials oder andere Realdaten überträgt? Solange der Bad Exit Node nicht die Artikel z.B. hier auf netzpolitik.org gefälscht anzeigt, kann man doch auch über einen Bad Exit Node die neusten Geheimdienstnachrichten lesen, oder? Dabei wird man ja nicht deanonymisiert, nicht wahr?

    „Und beides können angreifer machen, die ansonsten keinen Zugriff auf den Provider des angegriffenen haben.“

    Wie hoch ist die Wahrscheinlichkeit, genau die paar möglicherweise zeitweise aktiven Bad Exit-Nodes zufällig zu erwischen? Oder willst Du behaupten, 100% der Tor Exit Nodes seien zu jeder Zeit bösartig?

    Und gibt es nicht genug Angreifer, die auch über den Provider passiv, aktiv und unbemerkt angreifen können?

    Willst Du Dich nicht an der aktiven Suche nach Bad Exit Nodes beteiligen? Das machen einige (auch Forscher). Willst Du nicht etwas Gutes beitragen?

    „Und ich habe geschrieben, dass die von Twitter gewarnten Nutzer möglicherweise Opfer eines solchen Angriffs geworden sein könnten.“

    Möglicherweise? Du spekulierst also und machst ein Riesen-Fass auf? Inwiefern bringt uns das weiter?

    „Ich habe nicht geschrieben, dass die Anonymität geschlachtet gehört. Ich würde das nie schreiben, da dies in keinster Weise meiner Meinung entspricht.“

    Hat das irgendwer behauptet? Nein, hat niemand, siehste.

    „Wenn Du forderst, dass ich nur dann Tor-Nutzung kritisieren darf, wenn ich auch irgendwas zu dem Tor-Projekt beitrage, dann ist das so, als ob jemand sagt: nur Politiker dürften Politiker kritisieren.“

    Habe ich das behauptet? Nein, habe ich nicht, siehste.
    Ich halte Dir gerne ein weiteres Mal den Spiegel vor: Wirf anderen nicht genau das vor, was Du selber praktizierst.

    Und hinkt Dein „Politiker-Vergleich“ nicht?
    Kennst Du den Unterschied zwischen destruktivem Meckern und Nörgeln und konstruktiver lösungsorientierter Kritik?
    Warum ist überall in der Gesellschaft und erst recht im Berufsleben konstruktive lösungsorientierte Kritik gern gesehen?

    Wenn Du es ernst meinst, dass Du Tor „für eine tolle Sache“ hältst, warum fängst Du dann nicht an, die von Dir ausgemachten Kritikpunkte bei Tor zu verbessern?
    Wäre das nicht ein fairer Deal, mit dem alle leben können?
    Warum willst Du Deine Expertise nicht der Tor-Community zur Verfügung stellen? Wäre das nicht sozial?

    1. Sorry, Antwort kommt etwas spät – aber ich war mit einigen anderen Sachen beschäftigt :-/

      Ich beschränke mich mal auf ein paar inhaltliche Punkte, die mir wichtig erscheinen – zum einen um eine etwas bessere Übersicht zu haben, zum anderen damit wir uns alle auf die wichtigen Punkte konzentrieren könne und zu guter Letzt weil es einfach zeitsparender ist. Wenn ich etwas wichtiges vergesse bitte nachfragen!

      Du schreibst:

      Genau, lies doch einfach mal, was Dir Deine Kritiker sagen. Warum hast Du auf viele der hier geäußerten offenen Fragen nichts antworten können?

      Hmm, welche sinnvolle, nicht rhetorische Frage habe ich bisher nicht beantwortet? Das meine ich ernst! Die „Frage“, die mir unterstellt, dass ich den Tod von schwulen saudischen Bloggern verursache? Selbst auf den Quatsch habe ich ja geantwortet.

      Oder eine sinnvollere, die Frage nach den Angriffsvektoren: die habe ich im kritisierten Blog-Artikel erwähnt, und bin hier auch darauf eingegangen. Ich habe auch dazu geschrieben, dass man abwägen muss, dass man das unterschiedlich bewerten kann, wie immer im Leben. Aber -thh hat oben, gleich im 2. Kommentar nicht so ganz Unrecht, wenn er schreibt: Aktivismus habe „wenig mit sachlicher Information und Argumentation und mehr mit Agitation zu tun.“ Das Abwägen scheinen viele Kommentatoren hier nicht so sehr zu mögen, sie scheinen stehen auf dem Standpunkt zu stehen: Tor ist super, wer daran irgendwas kritisiert ist ein Ketzer. Dazu passt der Vorwurf „Er spaltet die Gruppe der Freiheitsfreunde und Bürgerrechtler.“ (COUNTER 16. DEZ 2015 @ 20:58) Tja, das klingt irgendwie wie: „Scheiß auf die Meinungsfreiheit, wer nicht in der (sozialistischen) Einheitsfront mitmarschiert ist ein Verräter“ – das kann eigentlich nicht im Interesse der Freiheitsfreunde sein …?

      Ich weiß, das hast nicht Du geschrieben, aber in einer solchen Stimmung ist eine sachliche Diskussion alles andere als einfach.

      Zu den neuen Fragen:

      Du kritisiert nicht Tor? Ist das Dein Ernst? Willst Du mich und uns jetzt – mit Verlaub – verarschen? Was ist das denn sonst, was Du hier machst?

      Nein, ich kritisiere, nicht Tor; ich sage nicht, dass Tor Mist sei, dass der Code schlecht sei (ich habe mir den Code nicht angeschaut) oder ähnliches; ich habe auch nicht die Bedienung oder Performance kritisiert – die bei meinem letzten Test nicht so wirklich toll waren, aber das ist eine Weile her und vielleicht hat sich das ja in der Zwischenzeit geändert. Ich kritisiere, das Tor als das Nonplusultra für ein „sicheres Internet“ von Teilen der Presse und anderen angepriesen wurde, ich kritisiere, dass der Einsatz von Tor für alles und jeden angepriesen wird. Und ich sage, dass ich aus bestimmten Gründen bei einem Normalnutzer davon abrate. Und da bin ich ja auch nicht der einzige und erste.

      In welchen Fällen hältst Du Tor für eine „tolle“ und „sinnvolle Sache“

      Ich halte alleine schon die Existenz von Tor für eine gute Sache. Aber beispielsweise können Dissidenten in autoritären Regimen damit ein Mindestmaß an Schutz haben, müssen aber auch mit Nachteilen leben. Natürlich kann man auch versuchen, sich als Drogendealer oder sonstwas mit Hilfe von Tor zu betätigen. Wenn solche Leute auffliegen habe ich allerdings kein Mitleid.

      Wenn ich aber meiner Nachbarin ein komplettes Tor mit Tor-Browser und allem – am besten gleich Trails als Live-CD – installieren würde, dann wäre das m.E. Unfug.

      Wenn man Tor nur für sensible und heiße Sachen nutzt, ist dann nicht immer sofort klar, dass man Tor gerade für sensible und heiße Sachen nutzt? Macht man es Angreifern damit nicht leichter, Interessantes von Uninteressantem zu trennen?

      Richtig, wenn man 24/7 mittels TKÜ überwacht wird, dann ist das so, dann denkt der Abhörende: „ah, nun kommt was sensibles“. Aber da Tor ja sicher ist, weiß der Abhörende ja nicht, was da durch die Leitung geht … also …

      Aber mal im Ernst: Das muss jeder selbst entscheiden. Auch vor dem Hintergrund des Komforts, inkl. Performance-Verlust, anderen Risiken, …

      Fallen nicht viele andere Angriffsvektoren weg, sobald man Tor nutzt? Willst Du 100%-Sicherheit? Erreichst Du 100%-Sicherheit, wenn Du auf Tor verzichtest?

      Ich schrieb ja bereits mehrfach und auch im Original-Artikel, dass jeder selbst abwägen muss, was ihm wie wichtig ist. Und es kommt auf die Wahrscheinlichkeit an. Tor wurde aber oft als „so surfen Sie sicher im Internet“, und das in einer Variante als mehr oder minder transparente Box in der Leitung, angepriesen; insbesondere davor habe ich gewarnt.
      Konkret zu den wegfallenden Angriffsvektoren: Wenn man mal von den Firefox-Plugins des „Tor Browsers“ und deren Funktionalität absieht (die man auch ohne Tor-Netz nutzen kann), dann fällt mit Tor als Angriffsvektor z.B. weg: Jegliche Ermittlung von Strafverfolgungsbehörden wird sehr stark erschwert. Mitlauschen unverschlüsselter Verbindungen durch öffentliches WLAN wird quasi unmöglich – aber dafür hat man da hinten beim Exit-Bode ganz konkret das Risiko.

      Wenn man nun wiederum sowieso (fast) nur SSL/TLS-Verbindungen nutzt: Wo ist das Killerfeature, das man Lieschen Müller schmackhaft machen sollte? Dass die IP-Adresse, die beim Serverbetreiber ankommt, zufällig ist? Naja, was kann denn der Serverbetreiber mit der IP-Adresse anfangen?
      Und für manchen Nutzer mag es eher nervig sein, dass er mit Tor bei einigen Webseiten Teil-Ausgesperrt wird, weil über die IP-Adresse zu viele Angriffe auf die betreffende Webseite gefahren wurden.

      Mitlauschen kann auch ein Angreifer auch im Hotel- oder ICE-WLAN. Es gibt aber einen fundamental großen Unterschied: diese werden nicht als Sicherheitsfeature beworben! Das Hotel sagt nicht: übernachte nicht zu Hause. übernachte bei mir, weil hier das Internet sicher ist!

      Abgesehen davon empfehle ich jedem, der häufig unterwegs online ist, dringend den Einsatz eines VPNs. Aber das schalte ich eben auch nur an, wenn ich im Hotel- oder ICE-WLAN bin. Wenn ich es zu Hause mal vergesse abzuschalten ist es aber auch egal: der Overhead von OpenVPN ist ziemlich gering, die Performance leidet nur minimal.

      Nein, ich habe nirgendwo behauptet, dass 100% der Exit-Nodes bösartig sind.

      Wie hoch ist die Wahrscheinlichkeit, genau die paar möglicherweise zeitweise aktiven Bad Exit-Nodes zufällig zu erwischen?

      Das kommt auf die Anzahl dieser bösen Exit-Nodes an. Ich weiß es nicht, Du weißt es nicht, niemand weiß es. Wir können auch nicht wirklich erfahren, ob einer einfach nur mitlauscht? Oder ob er von der NSA betrieben wird? Aber vor allem: wie hoch ist das Risiko, dass mein Provider mitlauscht und manipuliert und versucht, auf die eine oder andere Art an interessante Daten zu kommen?

      Und gibt es nicht genug Angreifer, die auch über den Provider passiv, aktiv und unbemerkt angreifen können?

      Der Provider kann, ja. Aber in Deutschland gibt es nicht nur ein Grundgesetz sondern auch ein Strafgesetzbuch, dass solche Angriffe unter Strafe stellt – von einer rechtmäßig angeordneten TKÜ mal abgesehen. Das hat zur Folge, dass ich meinem Provider mehr vertraue als einem durchschnittlichen Tor-Exit-Node. Wäre mein Standort Absurdistam oder mein Provider eine britische Firma, wäre das möglicherweise anders ;-)

      Ja, natürlich kann der Provider mithören; oder ein neugieriger Mitarbeiter bei ihm. Aber in der Risiko-Abwägung komme ich zu dem Schluss, dass das Risiko bei Tor deutlich höher ist. Je nach persönlichem Geschmack und Aluhutgröße mag die Bewertung anders ausfallen.

      „Und ich habe geschrieben, dass die von Twitter gewarnten Nutzer möglicherweise Opfer eines solchen Angriffs geworden sein könnten.“
      Möglicherweise? Du spekulierst also und machst ein Riesen-Fass auf? Inwiefern bringt uns das weiter?

      „Riesen-Fass“? Größe liegt im Auge des Betrachters. Ich habe immer noch kein Indiz gesehen, dass darauf hindeutet, dass es nichts mit Tor zu tun hat; und ich habe meine Meinung geäußert, das ja weder ehrenrührig, verboten noch sonstwas.

      Bei der Risikoabwägung muss man immer alle Möglichkeiten in Betracht ziehen. Wenn auch nur die geringe Möglichkeit für ein Desaster besteht, muss man viel tun um das abzuwenden.

      Es ist ja bekannt, dass die NSA versucht, das Tor-Netzwerk zu überwachen; dass sie Directory-Server überwachen. Wie viele Exit-Server betreiben sie? Wie viele Entry-Server? Wir wissen es nicht.

      Und nein, ich habe keine Pläne, mich aktiv am Tor-Projekt zu beteiligen. Ich beteilige mich an vielen Sachen und habe mit vielen Sachen zu tun, da steht das ehrlich gesagt nicht sehr weit oben auf meiner Prioritätenliste, zumal – und das ist nicht unwichtig – ich jetzt keinen Punkt sehe, wo ich mal eben mit vertretbarem Aufwand irgendwas beitragen könnte, das andere nicht können.

      Ich kritisiere Sachen, wenn ich es für richtig halte. Wir haben hier keine sozialistische Einheitsmeinung. Die Netz-Szene ist stark genug, dass sie auch Widerspruch aushalten kann. Ach, was heißt Netz-Szene – nicht jeder aus der „Netz-Szene“ ist aktiver Tor-Nutzer. Aber die Netz-Szene hält aus, wenn es verschiedene Meinungen gibt, verschiedene Sichtweisen, verschiedene Positionen. Lebhafte Diskussionen helfen uns allen, solange sie nicht unter die Gürtellinie gehen.

  23. @ Alvar:
    Als Antwort auf diesen Kommentar von Dir: https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2002632

    „@Ricarda, und unter welchen Namen Du hier sonst noch so auftauchst:“

    Willst Du mir vorschreiben, wie ich mich nenne? Ich nenne mich Ricarda. Wie andere sich nennen, damit habe ich nichts zu tun. Oder willst Du mit unbelegten Tatsachenbehauptungen aufs Glatteis?

    „Ich habe in meinen Texten beschrieben, auf was ich mich beziehe. Das ist also nichts neues, und wäre es nicht fair, mal vorher nachzulesen, was jemand schreibt, bevor man ihm irgendwas gänzlich anderes vorwirft?“

    Genau, lies doch einfach mal, was Dir Deine Kritiker sagen. Warum hast Du auf viele der hier geäußerten offenen Fragen nichts antworten können?

    „Und nein, das ist nicht die Essenz meiner Kritik. Ich kritisiere auch nicht Tor.“

    Du kritisiert nicht Tor? Ist das Dein Ernst? Willst Du mich und uns jetzt – mit Verlaub – verarschen? Was ist das denn sonst, was Du hier machst?

    „ich will weder Tor verbieten noch habe ich geschrieben, dass Tor ein schlechtes Projekt sei.“

    Hat irgendwer gesagt, dass Du das behauptet hättest? Nein, hat niemand, siehste.

    „Im Gegenteil: ich halte Tor für eine tolle Sache, die in vielen Fällen sehr sinnvoll sein kann. Aber eben nicht für den Alltagsgebrauch von Lieschen Müller.“

    In welchen Fällen hältst Du Tor für eine „tolle“ und „sinnvolle Sache“
    Und wer ist „Lieschen Müller“? Wer definiert das?
    Und was ist ein „Alltagsgebrauch“? Wenn man Tor nur für sensible und heiße Sachen nutzt, ist dann nicht immer sofort klar, dass man Tor gerade für sensible und heiße Sachen nutzt? Macht man es Angreifern damit nicht leichter, Interessantes von Uninteressantem zu trennen? Sollte man also auch nur die wirklich hochbrisanten Daten verschlüsseln, damit jeder Angreifer sofort weiß, worauf er sich konzentrieren muss?

    „Ich habe davor gewarnt, dass man sich mit Tor einen weiteren Angriffspunkt in sein Setup holt: Den Tor-Exit-Node.“

    Fallen nicht viele andere Angriffsvektoren weg, sobald man Tor nutzt? Willst Du 100%-Sicherheit? Erreichst Du 100%-Sicherheit, wenn Du auf Tor verzichtest?

    „Hier kann ein Angreifer passiv mitsniffen (und keiner merkt es), er kann aber auch aktiv in den Datenstrom eingreifen.“

    Kann man das nicht auch in Public WLANs in Hotel, Café, Flughafen etc.? Und wozu gibt es HTTPS/TLS? Wozu gibt es Zertifikatswarnungen? Sind wir wirklich so machtlos gegen die von Dir heraufbeschworenen Angriffe?

    Uns sagt das Tor Project nicht selbst, dass man auf HTTPS/TLS für die Verbindung vom Exit Node zur Zielwebsite achten soll, falls z.B. Login-Daten versendet werden?

    Und wie kann es Bad Exit Node Schaden anrichten, wenn man gar keine Login-Credentials oder andere Realdaten überträgt? Solange der Bad Exit Node nicht die Artikel z.B. hier auf netzpolitik.org gefälscht anzeigt, kann man doch auch über einen Bad Exit Node die neusten Geheimdienstnachrichten lesen, oder? Dabei wird man ja nicht deanonymisiert, nicht wahr?

    „Und beides können angreifer machen, die ansonsten keinen Zugriff auf den Provider des angegriffenen haben.“

    Wie hoch ist die Wahrscheinlichkeit, genau die paar möglicherweise zeitweise aktiven Bad Exit-Nodes zufällig zu erwischen? Oder willst Du behaupten, 100% der Tor Exit Nodes seien zu jeder Zeit bösartig?

    Und gibt es nicht genug Angreifer, die auch über den Provider passiv, aktiv und unbemerkt angreifen können?

    Willst Du Dich nicht an der aktiven Suche nach Bad Exit Nodes beteiligen? Das machen einige (auch Forscher). Willst Du nicht etwas Gutes beitragen?

    „Und ich habe geschrieben, dass die von Twitter gewarnten Nutzer möglicherweise Opfer eines solchen Angriffs geworden sein könnten.“

    Möglicherweise? Du spekulierst also und machst ein Riesen-Fass auf? Inwiefern bringt uns das weiter?

    „Ich habe nicht geschrieben, dass die Anonymität geschlachtet gehört. Ich würde das nie schreiben, da dies in keinster Weise meiner Meinung entspricht.“

    Hat das irgendwer behauptet? Nein, hat niemand, siehste.

    „Wenn Du forderst, dass ich nur dann Tor-Nutzung kritisieren darf, wenn ich auch irgendwas zu dem Tor-Projekt beitrage, dann ist das so, als ob jemand sagt: nur Politiker dürften Politiker kritisieren.“

    Habe ich das behauptet? Nein, habe ich nicht, siehste.
    Ich halte Dir gerne ein weiteres Mal den Spiegel vor: Wirf anderen nicht genau das vor, was Du selber praktizierst.

    Und hinkt Dein „Politiker-Vergleich“ nicht?
    Kennst Du den Unterschied zwischen destruktivem Meckern und Nörgeln und konstruktiver lösungsorientierter Kritik?
    Warum ist überall in der Gesellschaft und erst recht im Berufsleben konstruktive lösungsorientierte Kritik gern gesehen?

    Wenn Du es ernst meinst, dass Du Tor „für eine tolle Sache“ hältst, warum fängst Du dann nicht an, die von Dir ausgemachten Kritikpunkte bei Tor zu verbessern?
    Wäre das nicht ein fairer Deal, mit dem alle leben können?
    Warum willst Du Deine Expertise nicht der Tor-Community zur Verfügung stellen? Wäre das nicht sozial?

      1. Kannst Du mir meine Frage beantworten, z.B. mit einem Dementi?
        Wenn Du Tor Exit Nodes grundsätzlich für gefährlich und nicht vertrauenswürdig hältst, bezeichnest Du damit die Tor-Node-Betreiber unter dem Dach von torservers.net nicht auch als gefährdend und nicht vertrauenswürdig?

      2. Ich habe torservers.net in keiner Weise erwähnt, also kann ich ihm auch kein bösartiges Verhalten unterstellen – ebensowenig wie das Gegenteil.

        Kannst Du mir nun bitte meine Frage beantworten, zum Beispiel mit einem Dementi, wo ich behauptet haben soll, dass torservers.net bösartiges Verhalten zeige?

        Wenn Du das, was ich geschrieben habe, gelesen hättest, dann hättest Du wahrscheinlich auch bemerkt, dass ich nicht geschrieben habe, dass „Tor Exit Nodes grundsätzlich nicht vertrauenswürdig“ seien.

        Ich erlaube mir aber noch ein paar Fragen:
        Kannst Du garantieren, dass kein Tor-Exit-Node protokolliert, was die Nutzer machen? Kannst Du garantieren, dass kein Tor-Exit-Node Daten verändert? Kannst Du garantieren, dass kein Tor-Exit-Node es schafft, die Erkennungsverfahren für bösartige Exit-Nodes zu umgehen?

        Kannst Du all das für die Server bei torservers.net garantieren?

      3. „Ich habe torservers.net in keiner Weise erwähnt, also kann ich ihm auch kein bösartiges Verhalten unterstellen – ebensowenig wie das Gegenteil.“

        Wenn Du über Tor Exit Nodes sprichst, dann hat das nichts mit torservers.net zu tun?

        „Kannst Du mir nun bitte meine Frage beantworten, zum Beispiel mit einem Dementi, wo ich behauptet haben soll, dass torservers.net bösartiges Verhalten zeige?“

        Kannst Du Fragen von unterstellten Behauptungen unterscheiden? Ist jede Frage an Dich eine Unterstellung?

        „Wenn Du das, was ich geschrieben habe, gelesen hättest, dann hättest Du wahrscheinlich auch bemerkt, dass ich nicht geschrieben habe, dass „Tor Exit Nodes grundsätzlich nicht vertrauenswürdig“ seien.“

        Haben nicht alle in der Schule gelernt, dass jedem Text auch ein Subtext bzw. eine Botschaft zwischen den Zeilen innewohnt? Wenn Du vor Bad Exit Nodes warnst, warnst Du dann nicht vor dem ganzen System „Tor Exit Nodes“? Liegt es völlig fern, dass man Deine Äußerungen so interpretieren kann?

        „Ich erlaube mir aber noch ein paar Fragen:“

        Geht es Dir um Garantien? In unserer Welt bekommst Du nur für eine Sache eine Garantie: Dass jeder von uns sterblich ist. Ansonsten gilt: Threat Model erstellen und es den Angreifern möglichst schwer machen.

        „Kannst Du garantieren, dass kein Tor-Exit-Node protokolliert, was die Nutzer machen?“

        Kennst Du die Standard-Config für Tor Exit Nodes? Wird nicht ständig nach Bad Exit Nodes gefahndet und an Abwehrmechanismen ständig geforscht und entwickelt?
        Woher soll ein Bad Exit Node die Identität eines Nutzers kennen, solange der Nutzer keine identifizierenden Daten unverschlüsselt über den Exit Node leiten lässt?
        Hast Du schon mal einen Bad Exit Node betrieben? Wenn Du da mitsniffst, siehst Du dann nicht einfach einen unbekannten Nutzer X, der z.B. Website Y besucht?
        Ist es nicht gerade das Design von Tor, dass das Tor-Netzwerk die Nutzer vor Beobachtung des Tor-Netzwerks selbst schützt und man by design eben nicht jedem einzelnen Node 100% vertrauen muss?
        Warum empfiehlt Tor selber, bei identifizierenden Daten HTTPS/TLS + evtl. Ende-zu-Ende-Verschlüsselung zu nutzen?
        Ist Tor nicht primär für die Anonymisierung zuständig, während Ende-zu-Ende-Verschlüsselung vom Nutzer als zusätzlicher Security-Layer darüber gelegt werden sollte, falls nötig?
        Schützt Anonymisierung nicht primär Metadaten, während E2E-Verschlüsselung den Inhalt schützt? Ist nicht die Kombination aus beidem notwendig?

        „Kannst Du garantieren, dass kein Tor-Exit-Node Daten verändert?“

        Siehe oben. HTTPS/TLS + evtl. E2E-Verschlüsselung on top.

        „Kannst Du garantieren, dass kein Tor-Exit-Node es schafft, die Erkennungsverfahren für bösartige Exit-Nodes zu umgehen?“

        Nur weil es überall im Security/Privacy/Anonymity-Bereich ein ewiges Arms Race zwischen Angreifern und Verteidigern gibt, sollen wir es lieber gleich sein lassen?
        Wie hoch ist die Wahrscheinlichkeit, dass gerade Du in genau diesem Moment genau einen der paar möglichen Bad Exit Nodes erwischst, die noch nicht nach kurzer Zeit aufgedeckt und geblockt wurden, weil sie Magic Obsfucation drauf haben?

        „Kannst Du all das für die Server bei torservers.net garantieren?“

        Kennst Du den ehrenwerten Moritz Bartl und seine integren Mitstreiter persönlich? Weiß Du überhaupt, mit wem Du es zu tun hast? Willst Du Dich nicht auf dem 32c3 mal mit Moritz treffen, damit er Dir einige Dinge erklärt? Sprich ihn einfach mal an: moritz@torservers.net

      4. @Torsten:
        Also, halten wir fest: natürlich kann das Tor-Projekt und die Betreiber von Exit-Nodes nicht garantieren, dass keine Daten abfließen oder dass keine Manipulation stattfindet. Letzteres kann man immerhin erkennen.

        Du schreibst, dass man bei Tor weitere Sicherheitsmechanismen benötigt. Richtig. Und es ist auch klar, dass man wissen sollte, was man tut.
        Und genau aus dem Grund habe ich geschrieben, dass Tor nichts von Bettina Beispiel und Hans Wurst ist. Für die Nutzung in Deutschland – auch das habe ich dazu geschrieben – ist es für normale Nutzer damit nicht sinnvoll, Tor zu benutzen. Denn es ging mal ursprünglich um Anonymisierungs-Boxen, die sich ein Nutzer in sein Netzwerk hängt und die von der hiesigen Presse groß bejubelt wurden. Klar, man kann mir eine verengte Sicht vorwerfen wenn ich schreibe: in Deutschland ist es in der Regel nicht sinnvoll, aber woanders kann das anders aussehen. Aber üblicherweise werden deutschsprachige Medien eben auch hier gelesen.

        Natürlich machen die aktiven Menschen des Tor-Projektes viel, um die Sicherheit zu erhöhen. Das habe ich nirgendwo in Abrede gestellt. Aber dennoch ist das, was für einen Dissidenten in Absurdistan oder einen Aluhutträger in Deutschland sinnvoll bzw. für einen technikaffinen Menschen interessant sein mag nicht für jeden Otto-Normal-Surfer richtig.

        Wir haben nun die Situation gehabt, dass Twitter Leute vor möglichen Angriffen von Geheimdiensten gewarnt hat. Das ist unstrittig. Viele dieser gewarnten Leute haben Tor benutzt. Es kann also sein, dass die Warnung etwas mit Tor zu tun hat. Es kann sein, dass die Warnung insgesamt Mist war. Es kann sein, dass sie nichts mit Tor zu tun hat. Es gibt viele Möglichkeiten – dass aber Tor da mit reinspielt, auf welche Art auch immer, sehe ich als relativ wahrscheinlich an. Sollte man sich nicht auch im Tor-Projekt darüber Gedanken machen? Sollten Nutzer sich nicht überlegen, ob sie mit einem höheren Risiko behaftet sind, als sie bisher dachten?

      5. „natürlich kann das Tor-Projekt und die Betreiber von Exit-Nodes nicht garantieren, dass keine Daten abfließen oder dass keine Manipulation stattfindet.“

        Können ISPs, VPN-Betreiber, WLAN-Betreiber und sämtliche Routing-Dienstleister irgendetwas garantieren, insbesondere dann, wenn sie kommerzielle Interessen verfolgen und staatlichen Übergriffen kooperativ begegnen?

        „Und genau aus dem Grund habe ich geschrieben, dass Tor nichts von Bettina Beispiel und Hans Wurst ist.“
        Wer ist für Dich Normalnutzer? Nutzer, die „nichts zu verbergen“ haben?
        Haben nicht auch deutsche Normalnutzer Schwächen und Fehler, die vor Schnüfflern und Stalkern geschützt werden sollten?

        „Denn es ging mal ursprünglich um Anonymisierungs-Boxen, die sich ein Nutzer in sein Netzwerk hängt und die von der hiesigen Presse groß bejubelt wurden.“

        Wurde dieser Use Case jemals vom Tor Project empfohlen? Wie kannst Du Tor daraus einen Vorwurf konstruieren?

        „Klar, man kann mir eine verengte Sicht vorwerfen wenn ich schreibe: in Deutschland ist es in der Regel nicht sinnvoll, aber woanders kann das anders aussehen.“

        Erledigt sich die Diskussion über die von Dir vorgebrachten Bedenken dann nicht von vornherein? Seit wann werden Datenpakete deutscher Nutzer nur über deutsche Unternehmen und Server geleitete? Ist das Internet nicht globalisiert?

        “ was für einen Dissidenten in Absurdistan oder einen Aluhutträger in Deutschland sinnvoll“

        „Aluhutträger in Deutschland“? Warum so diskreditierend? Meinst Du, es gibt in Deutschland keine investigativen Journalisten, Whistleblower, Geschäftsleute, Aktivisten und privatsphärebewussten Bürger, die es verdient haben, von Diffamierungen à la „Aluhut“ verschont zu bleiben?

        „Wir haben nun die Situation gehabt, dass Twitter Leute vor möglichen Angriffen von Geheimdiensten gewarnt hat. Das ist unstrittig. Viele dieser gewarnten Leute haben Tor benutzt.“

        Warum haben auch Leute diese Warnung von Twitter erhalten, die gar kein Tor nutzen? Wie kannst Du aus dieser Sachlage Tor als Dreh- und Angelpunkt des Vorfalls herleiten?

        „Es kann also sein, dass die Warnung etwas mit Tor zu tun hat. Es kann sein, dass die Warnung insgesamt Mist war. Es kann sein, dass sie nichts mit Tor zu tun hat. Es gibt viele Möglichkeiten – dass aber Tor da mit reinspielt, auf welche Art auch immer, sehe ich als relativ wahrscheinlich an.“

        Du arbeitest also auf der Basis von Vermutungen und Spekulationen? Du machst also ein Riesenfass auf und verbreitest Angst vor Tor, noch bevor wir wirklich wissen, was Sache ist?

        „Sollte man sich nicht auch im Tor-Projekt darüber Gedanken machen? Sollten Nutzer sich nicht überlegen, ob sie mit einem höheren Risiko behaftet sind, als sie bisher dachten?“

        Warum sollten die betroffenen Twitter-Nutzer (die auch Tor nutzen) wegen ihrer Tor-Nutzung ins Visier von staatlichen Angreifern geraten sein?
        Sind diese Personen nicht zuerst durch ihr Engagement als Aktivisten ins Visier geraten? Empfiehlst Du ernsthaft Aktivisten, auf Tor zu verzichten?

        Hast Du nicht zur Kenntnis genommen, dass das Tor Project sehr genau beschreibt, für welche Use Cases Tor gedacht ist und wovor es schützen kann und wovor nicht?
        Hast Du nicht zur Kenntnis genommen, dass das Tor Project den richtigen und sicheren Umgang mit Tor vermittelt?

        KERNFRAGESTELLUNG:
        Ich kann nicht nachvollziehen, wie Du aus dem aktuellen „Twitter warnt bestimmte Nutzer“-Vorfall eine Verbindung zu Tor und eine Warnung vor Tor konstruieren kannst. Insbesondere wenn Deine Warnung vor Tor ausschließlich auf das fragwürdige, weil verengte und unbestimmte Szenario „deutscher Normalnutzer“ basiert, ist es mir unverständlich, wie Du eine Verbindung zu den betroffenen Twitter-Nutzern herstellen kannst, die allesamt KEINE Normalnutzer (nach Deiner Definition) sind, sondern sogar Nutzer mit hohem Risk Exposure (Aktivisten, Hacker etc.).

        Wenn Du in Zukunft in Fachkreisen ernst genommen werden willst, können wir uns darauf einigen, dass Du mit irreführenden und pauschalisierenden Schlagzeilen à la „Finger weg von Tor“ und „Du wirst staatlich gehackt, WEIL Du Tor nutzt“ Abstand nimmst?
        Können wir uns darauf einigen, dass Du in Zukunft sehr genau darauf achtest, dass Du jegliche Missverständlichkeiten vermeidest?
        Und können wir uns darauf einigen, dass Du Dich auf der Tor Mailinglist mit Vorschlägen zu Wort meldest, wie man das Risiko von marginalen und temporären Bad Exit Nodes weiter mitigieren kann?

        Damit die Dinge besser werden, brauchen wir Konstruktivität. Bist Du konstruktiv dabei?

  24. @ NP-Maschinenraum-Admins:

    In der Warteschleife hängt offensichtlich meine längere Antwort auf Alvar Freude fest. Bitte schaltet die letzte Version meiner Versuche manuell frei. Da stehen noch wichtige Antworten meinerseits drin. Danke!

    1. @Markus Beckedahl

      Bitte schaut noch mal in der Kommentarwarteschleife nach. Es wäre sehr schade, wenn meine längere Replik an Alvar von gestern (die ich mehrmals versucht habe abzuschicken) verloren ginge. Danke im Voraus! :-)

      1. @ Markus Beckedahl

        Hi Markus! Danke fürs Aktivwerden. Leider kann ich meinen Kommentar von gestern Abend hier weiterhin nicht finden. Ich habe auf diesen Kommentar hier von Alvar eine längere Replik geschrieben:

        https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2002632

        Findet sich dieser meiner längerer Kommentar noch im Filter? Das wäre super gut! :-) Ich hatte es gestern mehrfach vergeblich versucht.

      2. @Ricarda:
        Da ich hier unter der Wüste von >150 Kommentaren auch nicht mehr ganz durchsteige kannst Du es mir auch gerne auf anderem Wege, drüben bei mir im Blog (da kriege ich Benachrichtigung, wenn ich sie nicht übersehe ;-) ) oder auf beliebigem anderem Weg zukommen lassen.

  25. ich schiebe hier noch mal einen dank an herrn freude nach. für die aufgewendete zeit der vielen antworten hier unten.

    wie schade, dass ich es dieses jahr nicht nach hamburg schaffe, ich hätte unsere meinungsverschiedenheiten gerne in einem gespräch differenziert.

    .~.

    1. Ja, angesichts der sich ausdehnenen Diskussion (172 Kommentare, ist das Rekord?) wird’s hier unuebersichtlich.

      Tor ist eine Schutzmaßnahme, deren Vorteile und Grenzen intensiv wissenschaftlich untersucht werden und die ständig verbessert wird. Alvars relative Angriffsgefahr-Einschätzungen halte ich für bloße Spekulation, solange sie nicht durch Messungen (OONI?) untermauert sind,

      klar ist jedoch, dass direkte Verbindungen auf eine Weise „nackt“ sind, dass poplige ISPs sowie die örtliche Polizei sie erfassen können und daher vermieden werden sollten (sorry, das Argument mit „demokratischen“ Ländern zieht nicht, wenn die Demokratie bereits am Röcheln ist).

      HPKP oben erwähnt, halte ich für einen nicht zuendegedachten Ansatz: alles, was das CA-Modell nicht für überholt hält, ist überholt. Da kann Tor nix tun, die Vertrauensmodelle sind schlicht ein Fall für eine Generalüberholung. „Sozialen“ Medien sollte man von vornherein nicht trauen, das wissen die Betroffenen mit Sicherheit sehr gut (auf die Gefahr, mich zu wiederholen).

  26. Zitat:“Im weiteren Verlauf spekuliert er, dass die Betroffenen Ziel einer Man-in-the-Middle-Attacke gewesen seien.“
    – wenn er eine Alienware Maschine hatte, wäre die Paranoia berechtigt -> http://m.heise.de/security/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html

    Angriffsvektoren … sind z.B. Umstände, die einen Normalbürger verdächtig erscheinen lassen, wie z.B. Andrej Holm, der z.B. das Wort „Gentrifikation“ nutzte und somit in den Focus der Behörden geriet!
    Also, niemals Wörter nutzen, die auch in irgendwelchen Bekennerschreiben stehen könnten!
    Am besten ist es, wenn man als Bürger gar nichts sagt, schreibt oder gar öffentlich Anmahnt!

    Zitat:“Da fehlt ja nur noch, dass der elektronische Personalausweis vor jeder Surfsitzung eingelesen werden muss.“
    Nun … das wird bestimmt noch kommen, wenn sich IPv6 durchgesetzt hat!
    Gehen tutet das heute schon -> http://der-neue-personalausweis.de -> https://www.socialsecurity.be/site_de/general/helpcentre/eid/use/authentication.htm … das kann man hübsch auf normale Internetzugänge adaptieren, nicht?
    Argumentation?
    Das wäre dann aktiver Kinderschutz, da der Provider dann aufgrund dieser Zuordnung auch das Web Kindgerecht filtern könnte!
    Kinder könnten dann auch Twitscher und Fratzebuch ohne Reue und Argwohn nutzen, da jeder „neue Freund“ staatlich auf Konsistenz geprüft werden würde, nicht das da ein Terrorist oder ein Kinderschänder die Kleinen für ihre Bedürfnisse rekrutiert!
    Klar ist das eine Gefahr, wie auch Mobbing in der Schule!

    @Tora, klar hat jeder seine Sichtweise (Starwars:“Viele Wahrheiten hängen von unserem persönlichen Standpunkt ab!“) und es gibt viele Möglichkeiten, seine Privatsphäre zu schützen!
    Jeder hat die Freiheit sich für diejenige zu entscheiden, die für ihn passend erscheint!
    Das kann z.B. das VPN Ding von Opera sein, einfach zu bedienen, aber da ist die eine komische Frau … Cecilia Malmström, die das etwas sehr ähnliches möchte, wie unsere Zensursula!
    -> http://m.faz.net/aktuell/feuilleton/frau-malmstroems-internetsperren-sie-tappt-im-dunkeln-1954742.html
    Wichtig ist es, über diese Möglichkeiten informiert zu sein, klar … ich präferiere auch TOR und unsere Firma hat eine Extrakonfiguration für unsere programmierenden Paranoiker!
    Was auch lustig ist, das mittlerweile sehr viele anderer Angestellten genau diese Proxyoption nutzen, obwohl sie langsamer ist!
    Alvar möchte sicher, das man sich als „Einzelkämpfer“ gegen die Windmühlen der Behörden stellen sollte … und klar, diesen Kampf verliert man recht schnell!
    Wehrt man sich aber in bzw. mit einer viel zahl von Mitstreitern, so könnte es sein, das die Flügel der Windmühlen der Menge nicht mehr Herr werden und der Bürgerterror gegenüber dem Staat gewinnt!
    Klar ist das eine Unterstellung, Alvar, aber hey, TOR ist ja auch von Natur aus Böse, oder?

    @Alvar … Zitat:“In vielen Firmen wird die SSL-Verschlüsselung durch einen Proxy-Filter gebrochen, der als Man-In-The-Middle dazwischen hängt und alles wieder mit einem eigenen Zertifikat signiert – das hätte den gleichen Effekt wie der als Möglichkeit beschriebene Angriff via Tor.“
    Http/Https Proxys haben wir auch in der Firma, SSL-Verschlüsselungen werden nicht geknackt, sondern 1:1 weitergeleitet, Proxys werden vorrangig eingesetzt, um z.B. Datenströme auf mehrere Netzwerkzugänge zu verteilen … z.B. um SDSL Anschlüsse zu entlasten!
    Im übrigen ist das aufschlüsseln einer SSL-Verbindung, ohne wissen des Nutzers, eine Strafbare Handlung und somit sollte sich eine Firma, die dieses praktiziert, strafrechtlich warm anziehen!
    … und ja, ich kenne einen Proxy, der mit meinem Wissen genau diese Atacke macht und auch den Inhalt dieser SSL-Site Filtert!
    … hat eine Vorteil, insbesondere, so man eine verseuchte staatliche Site besucht!
    … viele verschlüsselte Scripte, die durch einen Platzhalter ersetzt werden!
    … genau diese Webseiten versuchen via Chrome die Kamera und das Mikrofon zu aktivieren, ist schon lustig, wie unser Staat „Unschuldig/Unbescholten“ definiert!
    Unschuldig ist nur der Bürger, der sich nicht für Politik, deren Auswirkungen interessiert oder gar auf der BKA Site nach sieht, ob sein Konterfei schon abgebildet ist!
    Dieser Terrorist, der sich als unbescholtener Bürger tarnt, muss ja enttarnt werden!
    Zitat:“In dem Netz, in dem ich mich *gerade* befinde, können keine 0815-Leute Angriffe fahren, denn ich bin in einem ganz ordentlich abgesichertem, BSI-zertifiziertem Netz.“
    … au ja, am besten noch beim BSI die „Hosen runter gelassen“, oder?
    Jetzt frage dich mal selbst, wer hört nun in diesem Netzwerk mit, der Admin oder das Innenministerium?
    Kleiner Hinweis … der Admin darf das gesetzlich nicht!
    Ich habe mir so eine Zertifizierung „angesehen“, diese Netzwerke haben Löcher … und ohne diese Löcher, kein Zertifikat!
    Tut mir leid das dir zu Schreiben, aber wir haben kein Zertifikat, zu Sicher!
    Bei dem Beratungsgespräch haben wir uns ständig gefragt, will der uns veralbern, meint der das im Ernst?
    … und ohne das wir unser Konzept auf den Tisch legen, könne er uns nicht weiter beraten!
    Der beste Vorschlag (das dem Fass den Boden ausschlug) von ihm war, das wir unsere interne verschlüsselte (TLS 1.2) VoIP Kommunikation an einen externen Dienstleister auslagern sollten!
    Die „Beratung“ fand ich alles in Allem, komisch!
    Zumal wir nicht mit unserem Sicherheitskonzept gepralt haben, wir wollten ja nicht ihn beraten, sondern evtl. übersehene Lücken schließen!
    Du erinnerst mich irgendwie an diesen Berater … TOR verschlüsselt und entschlüsselt den Datenstrom, ja … aber nicht die SSL Verschlüsselung einer Website, ist also wie ein VPN zu betrachten!

    @Grauhut … es geht sogar noch besser!
    Du holst dir Kalilinux und spannst deinen eigenen Accesspoint auf, du überlagerst das Zielnetzwerk und zwingst die Nutzer sich nochmals anzumelden, an deinem Accesspoint!
    Nun hast du den Schlüssel zum Zielnetzwerk und kannst deinen ACP als Bridge „laufen“ lassen, bis das Netzwerkpasswort wieder geändert wird!
    … und klar, wenn die Datenübertragung nicht gerade mit VPN/IPSEC gesichert ist, kannst du quasi alle Pakete schööön mitschneiden!

    Ich möchte es hier dabei belassen und jeder Firma anraten, sich sicherheitstechnisch beraten zu lassen, das BSI kann es sein, ist aber nicht zu empfehlen, zu viel heiße Luft und Allgemeinplätze!
    Zum Thema TOR, je mehr es nutzen, desto sicherer wird es, außerdem verringert sich die Angriffsfläche auch dadurch, das die Exitnode angegriffen wird und nicht dein Rechner direkt!

  27. Ich habe wohl den Filter mal wieder überreizt:

    Habo 21. DEZ 2015 @ 13:12
    Your comment is awaiting moderation.

  28. So mancher wundert sich über die seltsamen Positionen, die Herr Freude einnimmt. Er geht technischen Fragen aus dem Weg und wiederholt beharrlich den Verweis auf seine „lesenswerten Publikationen“. Folgt man dem, so sucht ein fachkundiger Leser vergeblich nach stichhaltigen Facts, während ein „normaler User“ (wer oder was ist für Alvar normal?) mit Halbwissen und Meinungen gespeist wird.

    Während weiter oben Kommentatoren nach einer Agenda von Herrn Freude fragten (ohne Antwort) oder die Qualität seiner „Publikationen“ in Frage stellten (ohne Antwort), fand „Die Zeit2 Herrn Freude indes als zitierwürdig.
    http://www.zeit.de/news/2015-12/22/internet-hacker-bringen-it-sicherheit-und-netzpolitik-auf-pruefstand-22092402
    Herr Freude wird in einem Atem mit Linus Neumann und Fefe genannt und – Trommelwirbel – den Zeitlesern als „Politikberater“ verkauft. Das erklärt doch einiges, wie auch dieses Zitat:

    Allerdings müsse die Szene auch akzeptieren, nicht alle Wünsche durchsetzen zu können, meint Freude. Für Probleme der digitalen Gesellschaft gebe es keine technischen, nur politische Lösungen. „Wenn man sich in die Schmollecke zurückzieht und auf spezielle technische Werkzeuge baut, dann hat man schon verloren.“

    „Die Szene“ muss akzeptieren. So so. Das klingt doch stark nach alternativlos. Müssen wir VDS, Massenüberwachung und geschleifte Netzneutralität wirklich akteptieren? Ich finde nicht! Ich finde auch nicht, dass sich Developer, die „spezielle Tools bauen“ sich in eine Schmollecke zurückziehen. Welch seltsames diskreditierendes Gedankengut.

    Ein wirksames Tool zur digitalen Selbstverteidigung ist Tor, zusammen mit Encryption. Herr Freude jedoch bevorzugt andere Tools für „unpriviligierte normale User“, nämlich die „politische Lösung“. Dabei übersieht Herr Freude, dass politische Lösungen stets Kompromisse sind, also geschliffene Lösungen.
    Man fragt sich zurecht, wie denn solche Lösungen im Hinblick auf Anonymisierung und Verschlüsselung aussehen, wenn Politik in diese Bereiche hinein regiert: Kompromiss-Anonymisierung und Hintertür-Verschlüsselung?

    Eine andere Bezeichnung für Politikberater ist Lobbyist. Herr Freude ist also Lobbyist geworden. Doch welche Interessen vertritt er neben seinen eigenen?

    Der Eindruck, dass Herr Freude mit seiner Arbeit begonnen hat, die Interessen relevanter Politikkreise in die Netzgemeinde hineinzuwirken, birgt Beklemmendes.

    Übrigens ist Wirken ein Begriff des Bäckerhandwerks. Durch wirken des Hefeteigs wird ein kontrolliertes Aufgehen erzielt. Ich jedenfalls bin wenig geneigt, die Brötchen des Herrn Freude zu kaufen, geschweige denn zu essen.

    1. Dem ist nicht viel hinzuzufügen!
      Naja … die Verschlüsselung im Mobilfunk ist schon etwas länger „geknackt“ -> http://m.heise.de/security/meldung/Sicherheitsluecke-im-Mobilfunk-UMTS-Verschluesselung-mittels-SS7-umgangen-2503376.html
      Ein Grund mehr, auch die Datenkommunikation eines Handys zu verschlüsseln, nicht?
      … aber das ist ja Humbug, oder Herr Freude?
      Die Politik erlässt ein Gesetz (regelt es politisch) und schon sind UMTS und GSM wieder Hack-Sicher!
      … weil auch Hacker (per se keine Straftäter) oder Straftäter sich an Rrrrechts und Ordnung zu halten haben, sonst gibt es Strafe, falls die vom Verfassungsschutz mal aus versehen über die Gespräche des Herrn Freude mitschneiden!
      Das findet Herr Freude gust, weil er hat nichts zu verbergen, auch nicht die zwischenmenschlichen Gespräche … die er führt!
      Hier eine Innovation, die noch „vor den Anschlägen“ möglich war -> http://m.heise.de/newsticker/meldung/Handy-verschluesselt-Gespraeche-auf-Knopfdruck-37624.html und jetzt nicht mehr möglich zu sein scheint!
      … mal eine App programmieren, die die Tonsignale abfängt und vor dem versenden verschlüsselt … ein elektronischer Scrambler ( https://de.m.wikipedia.org/wiki/Scrambler_(Telekommunikation) ) quasi … nur eben stark modernisiert!
      Welch ein Gedankengut!
      Stark Terrorverdächtig!
      Ja, Habo ist ein pöser pöser Purche, ein pöser Gefährder, ein Terrorist!
      … mit Geheimwissen!

      Hören Ihr auch Herrn Freude verstummen und mich schallend Lachen?
      Klar bin ich weder Terrorist oder ein Gefährder!
      Klar für einen politischen Berater bin ich eine echte Plage, wie die Pest oder ein Tripper, aber hey … wer redet denn schon gern über letzteres?

  29. Möge sich jeder selbst ein Bild zu Alvars Kompetenz machen.

    „wer nicht in der (sozialistischen) Einheitsfront mitmarschiert ist ein Verräter“ & „Wir haben hier keine sozialistische Einheitsmeinung. Die Netz-Szene ist stark genug, dass sie auch Widerspruch aushalten kann.“
    -> Eine der SPD nahestehende Person wirft ihren Kritikern vor, Teil einer sozialistischen Einheitsfront zu sein. Wer Alvar kritisiert, ist Teil einer sozialistischen Einheitsfront. Noch Fragen?

    „ich habe auch nicht die Bedienung oder Performance kritisiert – die bei meinem letzten Test nicht so wirklich toll waren, aber das ist eine Weile her und vielleicht hat sich das ja in der Zwischenzeit geändert.“
    -> Ein Kritiker von Tor hat seit längerem Tor nicht mehr benutzt und keine aktuelle Nutzungserfahrung zu Tor. Noch Fragen?

    „Wenn man nun wiederum sowieso (fast) nur SSL/TLS-Verbindungen nutzt: Wo ist das Killerfeature, das man Lieschen Müller schmackhaft machen sollte? Dass die IP-Adresse, die beim Serverbetreiber ankommt, zufällig ist? Naja, was kann denn der Serverbetreiber mit der IP-Adresse anfangen?“
    -> TLS kann nicht verhindern, dass mittels IP-Adresse der geografische Nutzer-Standort (Land, Stadt, Region) gegenüber der Website offenbart wird. Ein selbsternannter IT-Experte zeigt sich ahnungslos, dass TLS die Erstellung von Bewegungsprofilen nicht verhindern kann (bei mobiler Nutzung einer Website; z.B. Facebook-Nutzung heute in Stadt X, morgen in Ort Y, übermorgen in Land Z).

    „wie hoch ist das Risiko, dass mein Provider mitlauscht und manipuliert und versucht, auf die eine oder andere Art an interessante Daten zu kommen?“
    -> Ein selbsternannter Netzaktivist hat die Snowden-Enthüllungen nicht mitbekommen.

    „Der Provider kann, ja. Aber in Deutschland gibt es nicht nur ein Grundgesetz sondern auch ein Strafgesetzbuch, dass solche Angriffe unter Strafe stellt – von einer rechtmäßig angeordneten TKÜ mal abgesehen. Das hat zur Folge, dass ich meinem Provider mehr vertraue als einem durchschnittlichen Tor-Exit-Node.“
    -> Ein regierungsnaher Mensch glaubt an unseren Staat, wie an seine erste Liebe. Was verboten sei, werde auch nicht gemacht. Noch Fragen?

    „Ich habe immer noch kein Indiz gesehen, dass darauf hindeutet, dass es nichts mit Tor zu tun hat;“
    -> Warum die „Twitter warnt Nutzer“-Sache etwas mit Tor zu tun hat, kann Alvar nicht belegen. Vielmehr sollen andere Indizien vorbringen, die darauf hindeuten, dass es nichts mit Tor zu tun hat. „Alvar ist schwul.“ Solange niemand Indizien vorbringen kann, die darauf hindeuten, dass Alvar nicht schwul ist, ist Alvar schwul? Umkehr der Unschuldsvermutung. Noch Fragen?

    „Und nein, ich habe keine Pläne, mich aktiv am Tor-Projekt zu beteiligen. “
    -> Kritisieren und selbst nichts verbessern wollen. Wie am Stammtisch die Wutbürger. Noch Fragen?

    1. Klar habe ich mindestens eine, warum klingen Alvars Äußerungen wie das Fachwissen unserer Politiker?
      Weiß Alvar, was ein Browser ist?
      Weiß Alvar, was eine „Killerapplikation“ ist?
      Kann man mit dieser Applikation auch Selbstmordterroranschläge verüben und wie legt man die Applikation an, wie ein Konto?
      Warum sollte sich Alvar am TOR Projekt beteiligen, hat er nicht geäußert, das er es nicht nutzen darf, weil er sich dann der Zersetzung verdächtig macht?
      > Zitat Wikipedia:“Es galt eine Situation wie 1918 mit strafrechtlichen Mitteln und unter exzessiver Anwendung der Todesstrafe zu verhindern, um derart „revolutionäre Erscheinungen“ und „seelische Zersetzung(en)“ zu unterdrücken.“
      Quelle: https://de.m.wikipedia.org/wiki/Wehrkraftzersetzung <

    2. Als Zyniker frage ich mich doch da persönlich, bekommt Alvar dafür Geld?
      … und wen ja, kann ich es auch bekommen?
      Mein Kumpel macht des öfteren eine Feststellung, Zitat „Zu nichts zu gebrauchen, aber zu allem fähig!“ … und langsam deucht mich, das der Mann den BSI und unsere Regierung berät, was dann auch die panischen Angstzustände unserer Politiker erklärt, so sie auf die brutale Realität treffen!

    3. Nun ist ja z.B. durch das EFF nachgewiesen, das TOR von den Nachrichtendiensten der US&A für den Datenaustausch genutzt und auch finanziell unterstützt wird!
      Also ist TOR ein nachrichtendienstlicher Gebrauchsgegenstand, den sich der Bürger erdreistet zu nutzen, wann er will und wo er will, nicht?
      … hui … ich muss jetzt einkaufen, sonst macht der Konsum zu!

      1. > … ich muss jetzt einkaufen, sonst macht der Konsum zu!
        Dem Himmel sei dank! Laß dir viel Zeit, und frische Luft ins Hirn rein.
        Ach ja, der Alki bleibt im Regal stehen.

      2. Ja, so fing es auch in der DDR an, den Alk, den ich wollte, hatten sie nicht mehr da!
        Importware, Devisen … keine Devisen, keine Importware!

      3. Hat jemand den Habo gesehen? Erst haut der drei Kommentare pro Minute raus, einer blöder als der andere. und jetzt ist ganz Stille.
        Ist dem sein Einkauf nich bekommen oder kriegt der seinen Kopp nich mehr aus der Schüssel raus?
        Haaaaabbooooooo! Pooooopcoooorn!
        Kann da mal einer kucken gehen? Ick will jetzt nich noch nen Nachruf schreiben müssen.

      4. So, die schwarzen Männer und Frauen (vermummt, was ja eigentlich verboten sein müsste, ach ist es ja!) haben mich wieder raus gelassen!
        Der Staatsanwalt warf mir kurz vor:
        Staatsanwalt: Herr Habo … Sie hatten nachweislich am Tag mit 30000 Terrororganisationen via TOR Kontakt, deswegen sind sie hier gelandet, haben Sie etwas zu Ihrer Verteidigung zu sagen?
        Habo: Ich möchte meinen Anwalt sprechen, weil ja alles was ich Sage gegen mich verwendet werden könnte!
        Staatsanwalt: Aber nein, wer hat Ihnen das denn gesagt?
        Habo: Mein Anwalt!
        Staatsanwalt: Also haben Sie eine Straftat begangen, von der Ich noch keine Kenntnis habe? Na dann, erzählen Sie mal!
        Habo: Nö!
        Staatsanwalt: Sie dürfen gehen, aber Wir haben sie im Auge, wie die anderen 40 Millionen Gefährder, verlassen Sie sich nicht auf die restlichen Rechte, die Sie denken noch zu haben! Verwende Sie kein TOR mehr, damit Wir Ihnen nachweisen können, das Sie mit den Russen in ISIStan einmarschieren möchten und auch die Staatsanwaltschaft weg Bomben möchten, nicht? Das sind doch Ihre Absichten, oder?
        Habo: Auf nimmer wiedersehen und noch einen schönen Tag!

        Ganz nebenbei, die Postings im „Minutentakt“ war lediglich nur ein einzelner Kommentar, den die Website zwar mit einer Kommentarnummer versehen, aber nicht veröffentlicht hatte!
        … und ich möchte gern herausfinden, warum das genau bei diesen wenigen Zeilen passiert!

      5. Im Posting -> https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2004096 sind alle einzelnen Postings (Minutentakt) und auch die teuflischen Zeilen enthalten, die ich versuchte hier -> https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2004099 zu Posten!
        Klar das Links nicht funktioneren, aber unter diesen Kommentarnummern ( #comment-2004096 und #comment-2004099) wurden die Kommentare eben abgespeichert … und verschwanden!
        Voodoo? Wer weiß von diesen Dingen?

  30. Alvar Freudes Diskussionsstil zeichnet sich offenbar dadurch aus, seinen Kritikern das Verhalten vorzuwerfen, dass er selbst an den Tag legt (Psychologen nennen so etwas Projektion). Während hier keiner der Kommentatoren Herrn Freude beleidigende Schimpfwörter an den Kopf geworfen hat, wirft er vielen Kritikern vor, ihn zu beleidigen und zu beschimpfen. Offenbar setzt Herr Freude fundierte Kritik an seinen Thesen mit Beleidigung gleich. Interessant.

    Interessant ist auch, dass Alvar Freude jeden, der ihm die Hand reicht und Brücken bauen will, entweder ignoriert oder abkanzelt. Wenn man ihm anbietet, sich beim Tor Projekt einzubringen, lehnt er ab. Wenn man ihm anbietet, sich bei Moritz Bartl von torservers.net über den vertrauenswürdigen Betrieb von Tor Exit Nodes zu informieren, schweigt er. Torsten hat z.B. eine interessante Zusammenfassung der Diskussion gebracht, natürlich ohne Antwort von Herrn Freude.

    Eine der interessantesten und entscheidendsten Fragen hat Alvar Freude überdies zu keinem Zeitpunkt beantwortet – trotz der vielen Nachfragen hierzu. Wer ist „Lieschen Müller“? Wer ist „Normalnutzer“? Bemerkenswert unwissenschaftliche Äußerungen sind das von Herrn Freude, wenn er noch nichtmal definiert, worüber er überhaupt genau redet. Da helfen auch seine ermüdenden Verweise auf seine nicht stichhaltigen Blogposts nicht.

    Dass er zudem von seinen Kritikern verlangt, dass diese seine Thesen zu widerlegen haben, spricht Bände. Belege für einen Zusammenhang der Attacke auf Twitter-Nutzer mit der Nutzung von Tor kann er bis heute nicht vorzeigen. Jeder Wissenschaftler weiß, dass er Belege für seine Hypothesen präsentieren muss, nicht umgekehrt. Wenn jemand behauptet, es gebe rosa Elefanten, ist es die Aufgabe des Thesenaufstellers, dies zu belegen, nicht umgekehrt.

    https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2003205

    Zitat von Torsten:
    „KERNFRAGESTELLUNG:
    Ich kann nicht nachvollziehen, wie Du aus dem aktuellen „Twitter warnt bestimmte Nutzer“-Vorfall eine Verbindung zu Tor und eine Warnung vor Tor konstruieren kannst. Insbesondere wenn Deine Warnung vor Tor ausschließlich auf das fragwürdige, weil verengte und unbestimmte Szenario „deutscher Normalnutzer“ basiert, ist es mir unverständlich, wie Du eine Verbindung zu den betroffenen Twitter-Nutzern herstellen kannst, die allesamt KEINE Normalnutzer (nach Deiner Definition) sind, sondern sogar Nutzer mit hohem Risk Exposure (Aktivisten, Hacker etc.).
    Wenn Du in Zukunft in Fachkreisen ernst genommen werden willst, können wir uns darauf einigen, dass Du mit irreführenden und pauschalisierenden Schlagzeilen à la „Finger weg von Tor“ und „Du wirst staatlich gehackt, WEIL Du Tor nutzt“ Abstand nimmst?
    Können wir uns darauf einigen, dass Du in Zukunft sehr genau darauf achtest, dass Du jegliche Missverständlichkeiten vermeidest?
    Und können wir uns darauf einigen, dass Du Dich auf der Tor Mailinglist mit Vorschlägen zu Wort meldest, wie man das Risiko von marginalen und temporären Bad Exit Nodes weiter mitigieren kann?
    Damit die Dinge besser werden, brauchen wir Konstruktivität. Bist Du konstruktiv dabei?“ Zitat Ende.

  31. Alvar Freudes Diskussionsstil zeichnet sich offenbar dadurch aus, seinen Kritikern das Verhalten vorzuwerfen, dass er selbst an den Tag legt (Psychologen nennen so etwas Projektion). Während hier keiner der Kommentatoren Herrn Freude beleidigende Schimpfwörter an den Kopf geworfen hat, wirft er vielen Kritikern vor, ihn zu beleidigen und zu beschimpfen. Offenbar setzt Herr Freude fundierte Kritik an seinen Thesen mit Beleidigung gleich. Interessant.

    Interessant ist auch, dass Alvar Freude jeden, der ihm die Hand reicht und Brücken bauen will, entweder ignoriert oder abkanzelt. Wenn man ihm anbietet, sich beim Tor Projekt einzubringen, lehnt er ab. Wenn man ihm anbietet, sich bei Moritz Bartl von torservers.net über den vertrauenswürdigen Betrieb von Tor Exit Nodes zu informieren, schweigt er. Torsten hat z.B. eine interessante Zusammenfassung der Diskussion gebracht, natürlich ohne Antwort von Herrn Freude.

    Eine der interessantesten und entscheidendsten Fragen hat Alvar Freude überdies zu keinem Zeitpunkt beantwortet – trotz der vielen Nachfragen hierzu. Wer ist „Lieschen Müller“? Wer ist „Normalnutzer“? Bemerkenswert unwissenschaftliche Äußerungen sind das von Herrn Freude, wenn er noch nichtmal definiert, worüber er überhaupt genau redet. Da helfen auch seine ermüdenden Verweise auf seine nicht stichhaltigen Blogposts nicht.

    Dass er zudem von seinen Kritikern verlangt, dass diese seine Thesen zu widerlegen haben, spricht Bände. Belege für einen Zusammenhang der Attacke auf Twitter-Nutzer mit der Nutzung von Tor kann er bis heute nicht vorzeigen. Jeder Wissenschaftler weiß, dass er Belege für seine Hypothesen präsentieren muss, nicht umgekehrt. Wenn jemand behauptet, es gebe rosa Elefanten, ist es die Aufgabe des Thesenaufstellers, dies zu belegen, nicht umgekehrt.

    https://netzpolitik.org/2015/tor-und-twitter-du-wirst-staatlich-gehackt-weil-sie-es-koennen/#comment-2003205

    Zitat von Torsten:
    „KERNFRAGESTELLUNG:
    Ich kann nicht nachvollziehen, wie Du aus dem aktuellen „Twitter warnt bestimmte Nutzer“-Vorfall eine Verbindung zu Tor und eine Warnung vor Tor konstruieren kannst. Insbesondere wenn Deine Warnung vor Tor ausschließlich auf das fragwürdige, weil verengte und unbestimmte Szenario „deutscher Normalnutzer“ basiert, ist es mir unverständlich, wie Du eine Verbindung zu den betroffenen Twitter-Nutzern herstellen kannst, die allesamt KEINE Normalnutzer (nach Deiner Definition) sind, sondern sogar Nutzer mit hohem Risk Exposure (Aktivisten, Hacker etc.).
    Wenn Du in Zukunft in Fachkreisen ernst genommen werden willst, können wir uns darauf einigen, dass Du mit irreführenden und pauschalisierenden Schlagzeilen à la „Finger weg von Tor“ und „Du wirst staatlich gehackt, WEIL Du Tor nutzt“ Abstand nimmst?
    Können wir uns darauf einigen, dass Du in Zukunft sehr genau darauf achtest, dass Du jegliche Missverständlichkeiten vermeidest?
    Und können wir uns darauf einigen, dass Du Dich auf der Tor Mailinglist mit Vorschlägen zu Wort meldest, wie man das Risiko von marginalen und temporären Bad Exit Nodes weiter mitigieren kann?
    Damit die Dinge besser werden, brauchen wir Konstruktivität. Bist Du konstruktiv dabei?“ Zitat Ende.

  32. Ladies and gentlemen! We proudly present to our geek audience Alvar Freude. He earned his merits by writing prose on Tor-network and advanced to be called Politikberater now after supporting the German SPD Party while implementing telecommunication surveillance laws.

    Give Alvar Freude a warm applause for for being a truly daring net activist.>

  33. Die Geister, die ich rief.
    Nun habe ich mich ankündigungsgemäß Alvars Links und so fast allen hier aufgeführten, sowie noch weiterreichender Literatur (meist nur Wikipedia) gewidmet.
    Als DAU bin ich so klug als wie zuvor. Daher wird sich der „Wissende“ wohl mitleidig über mein Geschreibsel erheben können. Damit kann ich aber umgehen, da ich in mir Fähigkeiten sehe, die ich dem gewöhnlichen Nerd nie zutrauen kann, :-))
    Einerseits sehe ich mich fast verpflichtet Tor zu verwenden, weils ja die Masse ist, welche zum Gelingen notwendig ist. Andererseits bin ich in diesen Dingen so blöd, daß ich in der Hinsicht Alvar rechtgeben muß, daß das für mich eher ungeeignet ist.
    Leider fehlen mir für mich nachvollziehbare Fakten, was z.B. die Kompromittierung durch massives Betreiben Tors durch Geheimdienste angeht.
    .
    Bezeichnend an Alvars SPD-Text ist für mich, daß es wohl grundsätzlich Möglichkeiten der Umgehung der Spitzelei gibt. (mal abgesehen davon, daß ich es für verharmlosend halte, wenn regelmäßig das Argument kommt, daß irgendeine Spitzelei am zu großen Aufwand scheitern könnte) Wer also tatsächlich „etwas verbergen möchte“, wird wohl eh nicht erfasst werden können, wenn er nicht so unfähig/unwillig wie ich ist oder sich das Wissen nicht zukauft. Damit bleibts für mich bei einer unvertretbaren Massenabschnorchelung der Bevölkerung, deren einziger Effekt die Selbstbeschränkung selbiger sein kann. Schlimm genug!
    Ich bleibe also bei meiner Meinung, daß das weniger ein technisches Problem ist, als ein gesellschaftliches.
    Die derzeitigen rechtlichen Hürden gegen einen Mißbrauch scheinen mir eher lächerlich und die betriebene Sicherheitspolitik gefährlich. Da sollte dringend angesetzt werden.
    Liebe Nerds, seid also nicht beleidigt. Ich lese das bis an die Grenzen meines Verständnisses durchaus gern und halte das auch für wichtig, weil es ja die Gefahren zeigt. Für unnötig halte ich die Giftereien und Grabenkämpfe untereinander. Trefft euch also bitte freundlich, trinkt ein Bier miteinander, diskutiert freundlich und bitte vergesst nie, daß es im Netz jede Menge Blödies wie mich gibt, die ohne euch hilflos wie neugeborene Eichhörnchen sind.

    1. Mist, zwei Punkte vergessen:
      1. Wo gibts deutschsprachige Torinformationen, die für DAUs les- und verstehbar sind?
      2. Wieviel SPDler werden wohl Alvars Text gelesen und dazu noch verstanden haben?

      1. > 2. Wieviel SPDler werden wohl Alvars Text gelesen und dazu noch verstanden haben?

        Als geschundenes und bei Abstimmungen missbrauchtes SPD-Glied ist mir Herrn Freudes Kurzgutachten bisher nicht bekannt geworden. Ich frage mich allen Ernstes, welchen Mindeststandards diese Art von Kurzgutachten genügen müssen, um von unserer Bundesparteikasse bezahlt zu werden.
        Für dieses Werk dürften locker 5000 Euronen geflossen sein.

  34. Dummheit ist nicht ausrottbar. Sie wächst nach. Bekanntlich sitzen die troublemaker an der Tastatur. Davon sind Autoren nicht ausgenommen.

    1. Auch im Namen der Staats- und Parteiführung möchte ich dich zu deiner unendlichen Klugheit beglückwünschen. Bekanntermaßen ist es ja ganz besonders dienlich, wenn nur Auserwählteste Wissende den Trouble ihrer Tastatur beherrschen.
      .
      Ich bin, in meiner Beschränktheit, derzeit soweit, daß an meinem ohnehin nixwissenden Linuxdödel wohl bald alles ausgeschaltet habe, was je an Bedienkomfort hätte erinnern können.
      Derzeit werden wohl von 5 Seiten Kekse angenommen.
      ABP und sonstiges Zeug gabs schon vorher.
      Das wird anstrengend, aber ich sag mir, daß das wohl so muß.
      Früher hatte man auch achtstellige Telefonnummern im Kopf… Ich seh das also eher als Sport für atrophierende Verknüpfungsfähigkeiten.
      Das Konzept des völlig hirnlosen Rechners, scheint mir sehr angenehm. War wohl auch in HH Thema. Leider bin ich dafür zu doof.
      Wär das nicht ne Idee, wirklich saubere Rechner zu verkaufen? Sozusagen CCC-geprüft und ohne beschreibbaren Speicher.
      Ich meld mich schon mal an, für son Ding.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.