Kleine Philosophie der digitalen Sicherheit

butter-sWährend ich eben den Sonntagmorgen-Kaffee kochte und dabei nachsah, was sich über Nacht im Netz tat, stolperte ich über einen Link, den Antje Schrupp bei Facebook weitergereicht hat: „Wir sind zu faul, um nicht überwacht zu werden„, von @dasnuf. Der Impuls, SOFORT dazu bloggen zu müssen, sprang mich an noch bevor ich sah, dass ich selber drin vorkomme.

„Wir sind zu faul,..“ um Tools und Methoden kennenzulernen oder zu benutzen, die das digitale Leben besser vor Überwachung schützen, bzw. der Möglichkeit, überwacht zu werden. Oder erstmal davor, dass unsere Daten eingesammelt und verkauft und ausgewertet und gerastert werden. Jeweils von Unternehmen und von Behörden. Möglicherweise. Wenn nicht jetzt, dann später.

Mir zieht sich immer alles zusammen, wenn ich mit dem Argument konfrontiert bin. Nicht, weil ich empörend fände, dass mein Gegenüber faul ist. Eine andere Variante ist, dass es so bequem ist, weil Googlemail eben irre gut funktioniert, die Google Suche genauso, weil es viel schneller geht, eine kurze Nachricht per Facebook-Chat zu schreiben oder als Twitter-DM, statt ‚richtigen Chat‘. Allein die Einrichtung von Chatprogrammen – und was nehme ich da überhaupt?

Ich glaube, das erste Mal ist mir das Argument begegnet, als die Post Telefonkarten eingeführt hat, mit denen in Telefonzellen anstelle von Münzen bezahlt werden konnte. Dann die EC-Karten. Die PayBack-Karten. In meinem Leben war von Computern weit und breit noch nichts zu sehen, aber das Problem war das gleiche: es ist viel bequemer, immer die Telefonkarte dabei zu haben, weil im Zweifelsfall nicht genug Groschen im Portemonnaie stecken. (Wir befinden uns Ende der 80er Jahre). Manche fanden das schlimm. Manche fanden das total bequem.

Faul sein ist völlig in Ordnung

Ich finde nicht schlimm, faul zu sein. Eher total normal. Warum ich trotzdem grässlich finde, wenn mir das, meist ein bisschen trotzig, entgegengeschleudert wird, hat verschiedene Gründe (bei DasNuf fand ich es übrigens nicht trotzig, eher nachdenklich).

Am besten lässt sich das vielleicht mit dem (immer hinkenden) Vergleich zu anderen Konsumgütern erklären. Nahrungsmitteln, beispielsweise. Mail-Verschlüsselung mit GnuPG auf Linux ist für mich ein bisschen die Demeter-Butter unter den Brotaufstrichen. Als ich jünger war, habe ich mich aus Überzeugung vegetarisch ernährt, Lebensmittel per Food-Coop bezogen, sonst auf dem Markt gekauft und mir vieles nicht geleistet, um gesund zu leben und die lokalen Bauernhöfe unterstützen zu können. Mit den Jahren und den Kindern habe ich akzeptiert, dass es kein richtiges Leben im falschen gibt und ich also Entscheidungen treffen muss. Und kann. Und trotzdem ganz gut weiterlebe. Mir geht es aktuell besser damit, das fertige Müsli aus der Tüte in die Schüssel zu schütten, statt am Abend vorher mit der Handmühle Getreide zu schroten und für den Frischkornbrei einzuweichen. Die Kinder essen Toast mit Nutella, manchmal Honig, und wenn wir besonders gut drauf sind, auch mal Müsli (mit Schokostückchen).

Ich habe nach 20 Jahren das vegetarische Essen wieder aufgegeben, und finde das lecker, aber eigentlich falsch. Ich vermute, dass jedesmal, wenn ich das Veganer_innen erzähle, die in etwa das gleiche Gefühl haben wie ich, wenn mir wer erklärt, dass er oder sie Googlemail benutzt. Sie gucken in der Regel so ähnlich: höflich leidend.

Ich verschlüssele Mails seit etwa .. 12 Jahren, ich habe 5-6 Jahre Linux-Betriebssysteme benutzt, nie wirklich gelernt, mit Konsolen umzugehen und kann nicht programmieren. Ich bin alt genug, um MS-DOS kennengelernt zu haben und habe meine politikwissenschaftlichen Hausarbeiten mit der Schreibmaschine geschrieben. Meine Diplomarbeit mit einem 386er schwarz-weiß Laptop mit einem Monitor, der ungefähr so groß war wie die Nintendos meiner Kinder. Ich habe 1981 die erste bundesweite Demonstration besucht (NATO-Doppelbeschluss. Googelt schön). Ich bin immer noch bei Facebook, ich benutze einen Mac und kann erklären, warum. Auch, warum das total schlecht ist.

Mein Job ist es inzwischen, anderen Leuten zu erklären, wie das Internet funktioniert und warum Überwachung möglicherweise ein Problem ist, und dann, was sie dagegen tun können. In der Regel habe ich es dabei mit Leuten zu tun, die das von sich aus wissen wollen. Und unterschiedlich viel Bereitschaft mitbringen, ihre Gewohnheiten zu ändern.

Ein Satz, der eigentlich immer in Gesprächen, Workshops oder Trainings zu digitaler Sicherheit vorkommt und die Grundlage meiner persönlichen Philosophie dazu ist:

Es gibt keine perfekte digitale Sicherheit.

Digitale Sicherheit ist keine Astrophysik

Schon im Zeitalter vor Snowden (abgekürzt: a.S., nach Snowden entsprechend: p.S.) gehörte es zu den beliebtesten Fingerübungen unter Nerds, sich darüber auszutauschen, welche Schlüssellängen für PGP-Schlüssel wirklich sicher seien, bzw. welche Rechenkapazitäten nötig seien, um diese Schüssel zu knacken (also: die dazugehörigen Passwörter maschinell zu erraten). Wusste natürlich niemand, aber es hat halt so einen schönen Gruselfaktor. In diesen Gesprächen ging und geht es in Variationen darum, welche Technologien wirklich wirksam schützen bzw warum diese oder jene nicht wirklich sicher ist. Nach Snowden sind das jetzt Gespräche über Chiffren und eliptische Kurven – Vokabeln, die sich auch in Gesprächen unter Leuten auftauchen, die nicht so richtig verstehen, worum es geht, die aber damit nebenbei ihr Image als Technik-Versteher polieren. Mich hat irgendwann ungeheuer erleichtert, als mir jemand, der gemeinhin als Koriphäe auf dem Gebiet anerkannt ist, erzählte, dass es nur sehr wenige Leute gibt, die Kryptographie (Verschüsselungswissenschaften) wirklich verstehen. (Der Rest baut darauf, dass andere, denen sie vertrauen, wissen, wovon sie reden. Zu der Sache mit dem Vertrauen kome ich später noch.)

Was in diesen Gesprächen meist keine Rolle spielt, ist die praktische Anwendung. Also, wie wahrscheinlich es ist, dass mögliche Gegner – in der Regel Polizeibehörden oder Geheimdienste – im konkreten Fall die nötigen Ressourcen a) haben und b) bereit sind einzusetzen. Ich habe selbst in einem Fall in den Ermittlungsakten nachgelesen, dass der Staatsanwaltschaft schon der Kostenvoranschlag zu teuer war, bei dem es nur darum ging einzuschätzen, welche Ressourcen nötig wären, ein PGP-Passwort zu knacken. Die PGP-verschüsselten Dateien sind bis heute ungeöffnet. Das ist nicht repräsentativ, aber die Überlegung, dass nicht immer alles stattfindet, was möglich ist, spielt in diesen Gesprächen zu selten eine Rolle. Zu oft dagegen geht es unterschwellig um den Beweis, dass einer viel mehr weiß als der andere. Legitim, manchmal auch einfach Spaß, aber keine gute Grundlage für realistische Einschätzungen im Bereich digitale Sicherheit.

Seit Snowden wissen wir auch, dass sehr viel mehr stattfindet, als wir dachten. Das war der Schock, den Tim Pritlove bei der Eröffnung des 30C3 beschrieb; das war die Kränkung, die Sascha Lobo neulich in die FAZ schrieb. Unter Nerds wird das seit dem Sommer halb erleichtert, halb entsetzt so umschrieben „Endlich wissen wir, dass wir nicht bloß paranoid waren“. Wir wissen, dass wir nicht wissen, war mit unseren Daten passiert, aber das mehr oder weniger alles möglich ist.

Die Leaks sind das Sahnehäubchen, aber wir wussten ja schon vorher, dass es keine perfekte Sicherheit gibt. Was heißt das also? Im Hier und Jetzt? Ich rede nicht von den Leuten, die in Ägypten, Syrien, Bahrain von in Deutschland gemachten Trojanern bedroht werden und ohne Gerichtsurteil im Knast landen und gefoltert werden. Die gibt es, aber für die ist das eine andere Frage. Es heißt u.a., dass wir dagegen protestieren müssen und dass das vor allem ein politisches Problem ist. Warum das nicht passiert, habe ich letzte Woche aufgeschrieben.

Zähneputzen

Das Gefühl von Ohnmacht spielt eine zentrale Rolle: Ohnmacht gegenüber der Politik, und Ohnmacht, wenn es darum geht, uns zu schützen. Es gibt übrigens kein Entweder-Oder dabei. Ich höre oft, dass wir das politisch angehen müssen, wenn ich erkläre, dass mehr Menschen Mails verschüsseln sollten, und umgekehrt. Wir brauchen beides. Um nochmal Metaphern zu bemühen: wir brauchen eine öffentliche Gesundheitsversorgung und müssen uns natürlich trotzdem jeden Tag die Zähne selber putzen.

Zurück zur Faulheit. Es juckte mich schon, dazu was zu schreiben, als ich gestern abend per Stream den Vortrag von Geert Lovink bei der Veranstaltung Netzkultur verfolgte, bzw. den Twitter-Stream dazu. Geert Lovink ist ein alter (naja) linker Internet-Theoretiker, der ein paar Grundsätze in die aktuelle Debatte geschüttet hat. Hinterher twitterte @DasNuf

Aus der #nk1314 nehme ich mit: verschlüsseln & dezentralisieren (naja und eine Brezel)

Und ich dachte: Oh je.

Ich sehe mich selber meist als eine Art Übersetzerin zwischen der Welt der Nerds und der der ’normalen Menschen‘, d.h. ich versuche, Tech-Talk verständlich zu machen und komplizierte Prinzipien soweit auf das Wesentiche reduziert zu beschreiben, dass sie anwendbar sind. Immer zulasten der theoretischen Sicherheit, aber da diese Sicherheit nur existiert, wenn sie praktiziert wird, ist es in jedem Fall ein Kompromiss. Insofern bin ich auch Übersetzerin in Richtung der Nerds, die sich selbst, ihre Begeisterung für komplexe technische Dinge und ihre Fähigkeit, zu lernen und anzuwenden gern zum Maßstab aller Dinge machen.

„Oh je“ also, weil ich realisierte, dass ich vergessen hatte, dass sowas wie Dezentralität als Prinzip nicht für alle selbstverständlich ist und sich auch überhaupt nicht „von selbst“ erklärt. Gut, dass es nochmal erklärt worden war.

Drei Thesen zur Digitalen Sicherheit

Müssen das tatsächlich alle kennen und verstehen? Ich glaube eigentlich nicht. Wichtig finde ich was anderes. Wir können aus mehreren Richtungen auf das Phänomen Digitale Sicherheit gucken:

1. Um Digitale Sicherheit zu erreichen, sind sichere Verschüsselungsmechanismen, einsehbarer und überprüfbarer Programmcode (Open Source), dezentrale Datenspeicherung, Kontrolle über Infrastruktur nötig. Jeder kommerzielle Dienst – also alles, womit andere Geld verdienen – schließt sich aus, wenn nicht vollständig einsehbar ist, wie über ihn Daten verarbeitet werden. (Ich weiß, dass das eine unvollständige Liste ist). Alles, was davon abweicht, kann nicht als sicher betrachtet werden.

2. Weil ich nicht weiß, wer mein Gegenüber ist und nicht weiß, wozu es fähig ist, ist es unmöglich, mich vollständig zu schützen. Auch die beste Verschlüsselung schützt mich nicht vor einem Keylogger (Programm, dass meine Tastaturbewegungen protokolliert und ggbf. an andere weitergibt) oder vor einer heimlich installierten Kamera, die auf meinen Bildschirm gerichtet ist. Seit Snowden erst recht.

3. Weil ich (in der Regel) nicht weiß, wer mein Gegenüber ist und was es bereit ist, gegen mich einzusetzen, und ob überhaupt irgendwer guckt, ist eigentlich jeder Schritt in Richtung mehr digitaler Sicherheit ein Schritt in die richtige Richtung.

Alle drei stimmen. Was völlig widersprüchlich ist, aber so ist nunmal das Leben.

Nochmal der Schlenker zur Ernährungsmetapher: ich finde Massentierhaltung schrecklich, trotzdem esse ich (wieder) Fleisch. Ich bemühe mich, mehrheitlich Bio-Fleisch zu kaufen, aber in Restaurants esse ich auch anderes und sowieso ist es so teuer, dass wir uns das nicht immer leisten können. Meine Kinder sind ausgesprochene Fleischfresser. Wenn ich denen nur zweimal die Woche Biofleisch erlaube und sonst Rührei, setze ich autoritär meine Bedürfnisse gegen ihre durch. (Mal abgesehen davon, dass in den Schulkantinen eh billigstes Käfigfleisch verkocht wird. Eine Privatschule mit selbstgekochtem Bio-Essen können wir uns ebenfalls nicht leisten). Zu jedem einzelnen Punkt gibt es gute Gegenargumente, kenne ich alle.

Worauf ich hinauswill ist, dass es nicht möglich ist, immer alles konsequent richtig zu machen, und das ist in der digitalen Kommunikation nicht anders, jedenfalls solange sie kein Selbstzweck ist.

Auch wenn ich von der Prämisse Nr. 1 ausgehe (kein Facebook, nur Linux, nur verschlüsselt, …) bin ich nicht sicher. Wenn ich weiß, dass nichts wirklich sicher ist, dann habe ich in der Hand zu entscheiden, wieviel Sicherheit ich – neben dem, was ich sonst noch zu tun habe – schaffen kann. Damit bin ich wieder bei Nr. 3: jedes bisschen mehr an digitaler Sicherheit ist ein Schritt in die richtige Richtung. Alternativ könnte ich auch jede digitale Kommunikation einstellen. Ganz im Ernst: wer sich wirksam schützen will, hat momentan eigentlich keine Alternative.

Die logische Reaktion auf diese eher dogmatische Auslegung ist eine, die gut zu „Ich bin zu faul, um nicht überwacht zu werden“: es nützt alles nichts, also lasse ich es gleich bleiben. Aber genau die halte ich für falsch. Nachvollziehbar, auf jeden Fall, aber ich glaube, dass da noch ein Weg ist.

Warum der Weltuntergang als Motivation ungeeignet ist

Was definitiv nicht funktionert ist, Leute, die vor allem aus Freude an elektronischem Schnickschnack viel mit Computern und mobilen Geräten herumspielen, mit Drohungen zu irgendwas zu motivieren. „Wenn Ihr nicht… dann geht die Welt unter“, oder so. Und das Gefühl, aus so vielen Richtungen von datenfressenden Monstern bedroht zu werden, führt höchstens dazu, nichts mehr hören und sehen zu wollen und genauso weiter zu machen wie bisher.

Nötig ist die Bereitschaft, zumindest mal darüber nachzudenken, dass Googlemail zwar echt gut funktioniert, aber dass mir anderes vielleicht doch so wichtig ist, dass ich mal was anderes probiere. Wenn die nicht da ist – geschenkt. Wer ohne Toast mit Aldi-Schokoschmiere morgens nicht leben kann, wird weder Nutella auf Bio-Brötchen noch Vollkornmüsli je anrühren. Da helfen auch keine Online-Petitionen zu den Arbeitsbedingungen in den Aldi-Fabriken.

Bei den anderen hilft bestimmt, sie mal zum Frühstück einzuladen und eine appetitliche Auswahl an Alternativen bereit zu halten. Und daran hapert’s natürlich: die meisten Software-Alternativen sind in graues Packpapier eingewickelt.

Sie sind schwer zu finden, es ist nicht einfach, sie zu installieren – gerade wenn es um Sicherheit geht und wir nicht wissen, ob die unverständliche Frage bei Installieren mit Ja oder Nein beantwortet werden muss und was das für Konsequenzen hat. Dazu kommt, dass sie mir dann nichts nützen, wenn ich davon abhängig bin, dass meine Bekannten, Kolleg_innen, Freunde sie auch benutzen.

Was aber kein Grund ist, sie nicht auszuprobieren. Ich benutze schon lange das SMS-Verschlüsselungs-Programm TextSecure und vom selben Hersteller das Programm Redphone zum Verschlüsseln von Telefongesprächen. Es kommt extrem selten vor, dass die Leute, mit denen ich SMS austausche, dasselbe Programm benutzen, und solange das so ist, hilft mir TextSecure kein bisschen. Andererseits: es stört ich auch nicht. Es ist installiert, ich kann damit genauso gut SMS schreiben, lesen oder Kontakte auswählen. Ich benutze es einfach weiter, rede darüber, helfe beim Installieren und hoffe, dass es langsam immer mehr Leute benutzen.

Es gibt keine ähnlich komfortable Alternative zu Googlemail, zugegeben (es arbeiten aber gerade Leute an einer). Googlemail ist die Brathähnchen-Käfighaltung unter den Mailprogrammen. Das kann man akzeptieren, aber ich jedenfalls komme gut damit zurecht, es ein bisschen weniger bequem zu haben und dafür ein paar Hühnerleben zu retten. Und ich erkläre auch wirklich gern, wie es geht.

Was definitiv fehlt, sind Anlaufpunkte jenseits von Krypto-Parties, wo sich normale Menschen hintrauen und wo die Einstiegshürde nicht ist, sich für Facebook, Mac und Google rechtfertigen zu müssen. Was ich den Krypto-Parties gar nicht unterstellen will, dazu war ich bei viel zu wenigen. Aber als Distinktions-Habitus ist das viel zu verbreitet unter den Leuten, die anderen was beibringen könnten.

Was fehlt ist, dass wir uns alle ein bisschen bewegen: die die vielleicht hier und da was ändern wollen, und die, die dabei helfen können. Und die, die selber Programme schreiben und lernen, was tatsächlich hilfreich ist.

Foto: madlyinlovewithlife / Flickr, CC-BY-NC-ND-Lizenz

Flattr this!

32 thoughts on “Kleine Philosophie der digitalen Sicherheit

  1. Pingback: Wir sind zu faul, um nicht überwacht zu werden | Das Nuf Advanced

  2. bzgl. “ Art Übersetzerin“ & dezentralisieren,
    waere es imho fein, falls vorhanden, mehrere alternativen aufzuzeigen (z.b. emailhosting nicht nur bei, obwohl sehr fein sind, riseup.net)

  3. Apropos ECC: das Thema ist bereits seit geraumer Zeit in Arbeit. Es gibt zum einen PCP (Pretty Curved Privacy, in C, https://github.com/TLINDEN/pcp, das ist von mir), als auch PBP (https://github.com/stef/pbp, macht das gleiche, nur in Python). Derzeit handeln wir über die Cypherpunks-Liste aus, wie wir die beiden Tools kompatibel machen, was aber nicht mehr lange dauern kann, ich bin bereits heftig am Umschreiben.

  4. Vielen Dank für diesen Beitrag und auch die Software-Tipps. Vielleicht benötigen wir User eine feste Anlaufstelle, wo solche Tools aufgelistet sind. Ich zumindest werde mir die Tools anschauen. (Mailpile sieht ja jetzt schon klasse aus).
    Als User möchte ich zum einen eben sicher unterwegs sein, aber trotzdem auch eine schöne Oberfläche haben. Man gibt ja nicht hunderte, gar tausende aus, um sich vor eine Textkonsole zu setzen. Ein Umdenken wird aber dennoch nur bei wenigen stattfinden und bei anderen nur zögerlich; Der Mensch ist eben ein Gewohnheitstier und folgt wie anderen Tieren dem Schwarm…

  5. Eine feste Anlaufstelle für Ottonormaluser wäre was, mal drauflosfantasiert: Ein Wiki, in dem man nach Anwendungsbereichen gruppiert entsprechende Software vorstellt und auch die zugehörigen Anleitungen findet mit Überblick was das ist, was das kann (und auch, was es nicht kann) und wie es sich in den Alltag integriert (Vorteile und auch (Komfort-) Nachteile). Dazu dann Bedienungsanleitungen für alles, was man damit eben so macht, in einer Schreibweise, dass es auch die nichtcomputeraffine eigene Oma hinkriegen würde. Denn die Anwendungsfälle sind doch in der Praxis eh immer die gleichen.

    • Das wäre am ehesten das oben beschriebene Security in-a-box. Gibt’s nur eben leider nicht auf deutsch.

  6. Dazu fällt mir immer wieder die Frage ein, warum es doch eine ansehnliche Zahl an Programmierern gibt, die bereit sind freie (und kostenlose) open source Software zu entwickeln, aber so wenige Spezialisten für UI/UX und Designer, die breit sind dort mitzuhelfen?

    Ist das ein Kulturproblem? Hat das was mit deren Ausbildung zu tun?
    Bekommen die einfach leichter/bessere/besser bezahlte Jobs in der Wirtschaft?

    Für den Otto-Normal-User ist UX ‚zigfach wichtiger als Cryptoalgorithmen. Trotzdem diskutieren wir endlos über letztere. Schade.

    • @Chaos99: ganz so einfach ist das leider auch nicht. Der Prozess ist extrem aufwändig und eine UI zu bauen, steht am Ende dieses Prozesses und ist auch das kleinste Problem.

      Um mal beim Beispiel Curve25519 zu bleiben: derzeit gibt es „nur“ den reinen Algorithmus und eine C-Library (libsodium), die den implementiert. Es gibt keine allgemein anerkannten Standards. Da der Algorithmus anders funktioniert als z.b. RSA (PGP), kann man auch nicht einfach Bestehende verwenden. Zumal letztere aus Sicht vieler Leute als kompromittiert gelten können (NSA).

      Man muss sich also erstmal umständlich auf einheitliche Austauschformate einigen, Schlüsselformate, Encodings, welche Hashes nehmen wir, etc pp. Das ist wirklich richtig vieeeel Arbeit (da sind wir gerade). An dem Punkt mit irgendwelchen UIs anzufangen ist wenig sinnvoll. Im Falle des oben erwähnten PCP ist das als Library implementiert, zusammen mit einem Commandline-Interface. Damit kann man überhaupt etwas hat, mit dem man Entwickeln und Debuggen kann, und man ans Ziel kommt. Wobei „Ziel“ hier nicht heisst „Für Endanwender verwendbar“, sondern funktionstüchtig, zuverlässig, sicher, von Cryptanalysis für gut befunden, portabel, schnell, erweiterbar – um nur einige Kriterien zu nennen. Alleine die Portabilität frisst unheimlich Resourcen und Zeit. Es gibt die unterschiedlichsten Betriebssysteme, Linux, Windows, Android, *BSD, MacOSX uvm, unzählige Hardwareplattformen wie X86, PPC, ARM, AVR uvm, es gibt big- und little-endian. Und man muss Zugriff auf solche Systeme haben, um das dort auch testen zu können. Man muss Localisation beachten, UTF8, Unicode, was weiss ich nicht alles. Es darf keine Buffer Overflows geben, keine Information-Leaks und so weiter und so fort.

      Wie Du siehst, ist UI im gegenwärtigen Stadium zweitrangig. Davon abgesehen hat irgendjemand auf der CP Liste gemeint, das System in Enigmail einbauen zu wollen. Das wär schon mal ein Anfang. Eine Sache musst Du auch sehen: wenn man eine saubere Library hat, die alle o.g. Kriterien erfüllt, kann man die leicht in eine UI einbauen. Wenn ein Programmierer ein grafisches Programm schreibt, wird er wohl kaum irgendwelche Kryptodinge selber von Hand schreiben. Statt dessen verwendet er eine Library, deren Funktionen er aufruft. Und da so ein UI-Programmierer meist nicht das Crypto-Knowhow hat (und das muss er auch nicht haben), MUSS so eine Library wirklich sauber, stabil und sicher laufen.

      Darüber hinaus sind „UIs“ heutzutage ohnehin nicht mehr wirklich der Stand der Technik. Apps, Mobile Geräte und Webservices sind die Richtung in die es geht. Irgendwo hat jemand vorgeschlagen (wo, weiss ich nicht mehr), ein Kommunikationssystem aufzubauen, in dem Verschlüsselung transparent UND obligatorisch ist, via P2P laufen soll, etc. Bei so einem System hat man als Anwender mit Verschlüsselung im Grunde gar nichts mehr zu schaffen. Das wäre jedenfalls der Idealfall.

      Ein letzter Gedanke noch: die viele Arbeit, die in solchen Projekten steckt, machen OS-Entwickler in ihrer Freizeit, auch ich. Und ich bin berufstätig, habe eine Familie, ein Haus, Aquarium, Terrarium, einen behinderten Sohn usw. Den überwiegenden Teil der Arbeit erledige ich, wenn ich mit der Bahn unterwegs bin.

      Also, alles nicht so einfach…

      Gruss,
      Tom

      • Tom, danke erstmal, dass du so viel Energie in Projekte steckst. Ehrlich, Hut ab. An einem Punkt würde ich aber gerne einhaken und das schreibe ich nur aus der Perspektive eines Grafikers im Bereich Web. Der Idealfall ist aus meiner Sicht ein gemeinsamer Weg. Vielleicht sind technikaffine Grafiker tatsächlich schwer zu finden, aber: wenn du einem grafisch getriebenen Menschen einen fertiges Bild von dem gibst, was du brauchst, dann haben die meisten keine Lust auf so ein Projekt. Denn auch diese Menschen stecken ihre Freizeit in die Projekte.

        Der Weg kann nur gemeinsam stattfinden, denn wenn du erstmal ein paar Menschen für ein Projekt begeistert hast, dann sind alle motiviert. Der Weg dauert vielleicht länger, aber es kann durchaus einen parallelen Prozess geben. Zumindest glaube ich daran. Natürlich muss der Grafiker dann die Bereitschaft mitbringen, stets Anpassungen vorzunehmen. Davon gehe ich aber gerade bei privaten Projekten aus. Auch wenn es dann länger dauert.

  7. Danke für den Text!
    Ich glaube, dass es langsam aber sicher (haha Wortwitz) ein Umdenken geben wird und kann, wenn Alternativen aktiv im 2er Gespräch benannt und erklärt werden.
    Ein Wiki oder eine Anlaufstelle für alle nicht-Nerds wäre zwar fein, aber vielleicht reichte hier auch schon eine Sammelstelle mit all den Links zu Tools, Software etc.pp. die ja schon gut im Netz erklärt sind, auch einfach und übersichtlich.
    Ich bin gerade bei der Mission meine Freund_Innen und Bekannten von der Nutzung des Instant Messengers „Threema“ statt Whats App zu überzeugen und merke, es gibt sie, die Bereitschaft, die Angst und den Willen etwas zu lernen, zumal vieles auch nicht zu schwer ist, v.a. für die „junge Generation“, die mit PCs aufgewachsen sind und verwachsen (nicht alle, ja, aber viele hier).

    Bildungsauftrag, quasi. Und im Zweifel immer behaupten „Die NSA hat mich auf der Liste. Also auch alle meine Bekannten. Also auch DICH.“ 😉 Gruselmärchen funktionierten schon immer.

  8. Manchmal sind kleine Schritte hilfreich. Die Frau an meiner Seite nutzt Google und IE und ich kann ihr nicht erklären, warum das nicht optimal ist. Aber neulich haben wir (mit Google über IE) die Suche „Ferienhäuser [Region]“ durchgeführt, und zwei Tage später gab es auf zwei verschiedenen Nachrichtenseiten Google-Anzeigen für – erraten. Da wurde ihr gruselig.

    Mit ixquick zu suchen, war nicht so schwer zu kommunizieren. Aber FF mit RequestPolicy und restriktiver Cookie-Politik führt halt zu einem gewissen Mehraufwand beim Surfen, der dann auch nicht ok ist.

    • Ich installiere Familie, Verwandten und Bekannten nach Möglichkeit Firefox samt den Add-Ons AdBlock Plus, Ghostery und HTTPS Everywhere. Wenn man bei Ghostery das Pop-Up mit den geblockten Cookies (und GhostRank) deaktiviert, dann bekommen die Leute beim normalen Surfen im Alltag eigentlich fast nie etwas von den installierten Add-Ons mit. (Mir ist klar, dass Ghostery und AdBlock Plus in letzter Zeit nicht ganz unumstritten sind, aber ich finde das besser als gar nichts.) U.U. kann man den/die Betroffene/n noch dazu bewegen, die Suche auf Startpage.com umzuschalten (wie und von IxQuick nur mit Suchergebnissen von Google). Manche finden es – nach Erklärung – sogar in Ordnung, wenn ich den Browser so konfiguriere, dass er beim Beenden alle Cookies löscht.

      Auf dem Smartphone versuche ich mein gesamtes Umfeld dazu zu bewegen, Threema zu verwenden. Das allerdings nur mit mäßigem Erfolg.

      Ich selbst nutze dasselbe Setup, würde mich also ggf. über Kritik freuen, da ich auch kein Experte bin. Darüber hinaus nutze ich seit 15 Jahren Linux und verschlüssle meine Festplatten. Perfekt bin ich allerdings auch nicht: Ich versuche seit einiger Zeit von GMail und Android weg zu kommen. Und wenn ich ehrlich bin, dann liegt es – dem Artikel entsprechend – nur an Faulheit. Insofern danke an Anne. Das hat mich mal wieder daran erinnert.

  9. Der „Distinktions-Habitus“ findet sich natürlich auch bei Internettheoretikern wie Michael Seemann o.a., nur in anderer Form: Dort werden wir unter der Prämisse „Kontrollverlust“ zu faulen Google-Jünger*innen, FourSquare-Aspirant*innen oder neoliberalen Kapitalist*innen (startnext) umerzogen.

    • Auf jeden Fall, in potenzierter Form. Das war hier aber nicht mein Problem. Bzw. ich versuche überhaupt zu vermeiden, bei dem Spiel mitzuspielen.

  10. Mal etwas aus meiner „Missionierungs-Erfahrung“:

    Ghostery ist als Einstieg sehr gut geeignet. Das „Add on“, erhältlich für alle gängigen Browser, bietet die Möglichkeit, Analysesoftware, Werbung und soziale Plugins zu sperren. Die so genannten Verbindungen zu Drittseiten.

    So habe ich das in etwa schon häufig erfolgreich gemacht:

    1. Kurz erklären was „Verbindungen zu Drittseiten“ sind.
    2. Anbieten ein Werkzeug zu zeigen, das diese sperrt.
    3. Nach einem „Ja“, Ghostery einrichten.
    4. Erklären was das Programm macht und wie es, wenn gewünscht, wieder zu löschen ist.
    5. Einige „Beispielseiten“ aufrufen.
    6. Bei Fragen Hilfe anbieten.
    7. Und das Thema wechseln.

    Werbung zu sperren (oder nicht) sollte mit dem Nutzer etwas reflektiert werden.

    Das dauert nicht länger als zehn Minuten. Der Nutzer sieht jetzt bei jedem Webseitenbesuch, welche Unternehmen bislang erfahren haben, dass er sie besucht. Das können auch auf seriösen Webseiten schnell 20 und mehr sein. Und das ohne Aufwand, Ärger, Einschränkungen etc.

    Das Ghostery häufiger kritisiert wird ist mir bekannt. Ich sage nicht, dass das Programm perfekt ist, stellt jedoch meiner Erfahrung nach einen sehr guten Einstig dar. „Die Ghost-rank Debatte“ halte ich für Unfug.

    Knapp die Hälfte der Leute spricht mich nach einigen Wochen oder auch Monaten von selbst an und erklärt mir, dass sie das Programm mögen, ihnen das nicht bewusst war und bedanken sich. Davon sind viele für weitere Vorschläge offen.

    Ich glaube, dass das ein deutlich besserer Einstieg ist, als „Du musst deine Emails verschlüsseln damit die NSA die nicht mitliest!!“.

    • Ich halte das nicht unbedingt für einen Gegensatz. Auch nicht alle Krypto-Expert_innen kennen sich mit Tracking gut aus. Aber es stimmt, dass meistens ein Einstieg über die Erklärung, wie das Internet überhaupt funktioniert, hilfreich ist. Add-Ons wie Ghostery (das übrigens einer Werbe-Firma gehört, aber trotzdem sehr hilfreich ist, aber womöglich eben selbst auch trackt) finden sich samt Anwendungs-Infos reichlich hier: https://myshadow.org/shadow-tracers-kit

  11. Verschlüsselung als technikvorsprung gegenüber der intelligence-community und andere informationstechnischen lösungsversuche zur eigensicherheit helfen einer kleinen minderheit <1%. Die 99% werden damit nie arbeiten. Auch werden Menschen die weniger technikzentriert denken und leben, vielleicht darauf hinweisen mögen, dass diese Grundfragen der menschheit (gesellschafts-)polititsch bearbeitet werden müssen.
    Zu faul für aktiven persönlichen politischen Einsatz, unwillig zur Gruppenarbeit -was ist das überhaupt- wäre die ehrlichere Beschreibung des Schlamassels,
    in dem wir uns befinden.

  12. Pingback: Wir Enkel von Sisyphos - Regine Heidorn

  13. Anne, ich schätze deine Arbeit sehr. Faulheit ist auch ok. Ich respektiere auch Leute die sagen, dass sie grundsätzlich keine Lust dazu haben sich um edv/-it-Technologie zu kümmern. Sollen die dann benachteiligt sein oder mehr politisch/menschenrechtlich gefährdet? Das wäre nicht gerecht.

  14. Pingback: TGIF! (19): Rants at our future selves, the web, open products and strangers

  15. Pingback: BlogArena » Blog Archive » In Zeiten totaler Überwachung und digitaler (Un-)Sicherheit

  16. Pingback: Links am Sonntag vom 26.01.2014 | .-

  17. Diese Verschlüsselungsdiskussion ist dasselbe Phänomen wie die Diskussion um Impfungen. Die Herdenimmunisierung findet nur statt, wenn durchgeimpft wird. Verschlüsselung und Verschleierung taugen nur, wenn genügend „durchverschlüsselt“ wird.

    Nun, wie steht es um die Impfdiskussion?

    Ebend.

  18. Hi Anne,
    was mich noch interessieren würde: TextSecure kann nur SMS bis zu 60 Zeichen versenden, richtig? Gibt es hierfür noch Alternativen? RedPhone werde ich jetzt mal eine Zeit lang testen und sehen, wie sich das verhält. Nochmal vielen Dank, dass du darüber sprichst. Aufklärung tut Not. Danke

    • Ich habe das bisher nicht gezählt, aber ich benutze jedenfalls Textsecure und bin ziemlich sicher, dass da für mehr als 60 Zeichen Platz ist.

  19. Pingback: Nur Mut: jeder kann die Sicherheit der eigenen Daten erhöhen | Fakeblog

  20. Pingback: Wir sind zu faul, um nicht überwacht zu werden | Carta

  21. Pingback: Lesestoff: Ende Jänner mit 23 Artikeln | Webanhalter

Comments are closed.