Ich war schon immer jemand, dem das Hier & Jetzt nicht fortschrittlich genug ist. Insofern werde ich im nachfolgenden Beitrag die digitalen Medien oder die digitale Technik keinesfalls verteufeln. Auch wenn ich die 1970er und 1980er-Jahre, in denen die „Computerisierung“ gerade erst Fahrt aufnahm, wirklich geliebt habe, so wäre es mein Horror, würde ich morgen früh (wieder) in dieser Zeit aufwachen. Abgeschnitten von entfernten Freunden und Verwandten, abgeschnitten von Nachrichten in Echtzeit.

Update: 18.07.2022

Und ich gestehe: Ja, auch abgeschnitten von Google und Wikipedia! Selbstverständlich ersetzen diese Seiten nicht eigenes Denken, aber sie ermöglichen es den Menschen Informationen zu finden und Wissen zu teilen.

Allgegenwärtigkeit der Erfassung von Daten

Die gesellschaftliche Aufgabe, die daraus resultiert … und was Sie unternehmen können.

Überarbeiteter, bisher unveröffentlichter Katalogtext für „Ohne Schlüssel und Schloss – Chancen und Risiken von Big Data“, Museum Pfalzgalerie, Kaiserslautern.

Ich arbeitete von 2017 bis 2018 an diesem Artikel, folglich ist er in Teilen bereits überholt – und das nicht zu unser aller Vorteil.

Die Lesedauer beträgt fast eine Stunde, da das Thema wirklich umfangreich ist und ich bei den Recherchen auf Fakten stieß, die ich selbst bisher im Reich der Verschwörungstheorien verortete.

Einige Links verweisen durch ein Link-Überprüfungstools mittlerweile auf Archivseiten.

Ach ja, und falls Du Dich wunderst, wieso ich Dich hier sieze: Der Text ist in formeller Sprache verfasst, weil ich ihn für den oben angegebenen Museumskatalog erstellte. Ihr wieder zu ändern, war mir zu viel Arbeit. Schon die Konvertierung eines Office-Dokuments mit all seinen Fußnoten war richtig viel Arbeit. Du kannst mich gerne unterstützen, wenn Du magst.

Folge auch meiner Rubrik zur IT-Sicherheit.

Die Schattenseite der digitalen Welt?

Wir hinterlassen eine Datenspur, ob wir wollen oder nicht. Aus dieser kann sehr einfach ein Profil von uns erstellt werden. Zudem haben wir kein angeborenes Gespür für diese digitale Welt. Wir haben kein Sinnesorgan für digitale Kommunikation.Sie ist extrem schnell und schnelllebig, aber vergisst nur wenig. Dieser Text soll sie zum Nachdenken anregen. Bei wem liegt die „Schuld“ für diese digitale „Kopie“ unser aller Leben? Bei uns selbst? Bei den Firmen? Bei den Regierungen?

Alle Fußnoten in diesem Text dienen nicht nur dem Beleg meiner Beispiele und Ausführungen, sondern vor allem sollen sie es Ihnen selbst ermöglichen, weiterführende Informationen zu bekommen. Daher sind alle Informationen frei im Netz verfügbar und stammen aus seriösen Quellen.

Ein kurzer Rückblick

https://commons.wikimedia.org/wiki/File:Arpanet_map_1973.jpg

Das Internet, früher ARPANET, gibt es seit 1968 und wurde für Dienste wie E-Mail oder das Usenet benutzt. Es diente zum Informationsaustausch an den Universitäten, war also nur einem kleinen Personenkreis zugänglich. Diese Personen mussten zudem die Informationen mühsam suchen. Welcher News-Server hielt die gesuchte Information in welcher Gruppe und welchem Posting vorrätig? Es gab keinen Index, keine Suchfunktion, keine Verlinkungen.

BBS

Privaten Nutzern, ohne Netzzugang zu den Universitäten, blieben nur Mailboxen (BBS, Bulletin Board System) über das Fernsprechnetz. Hier tauschte man sich ähnlich wie im Usenet aus. Jeder konnte eine Mailbox betreiben, aber die Nutzer mussten zumindest die Telefonnummer kennen. Für die unbeschränkte Nutzung von Mailboxen war der Betreiber meistens gezwungen, Geld zu verlangen, denn er hatte oft gleich mehrere teure Telefonleitungen von der Post angemietet. Informationen wurden meist in reiner Textform ausgetauscht.

BTX

In den 1980er-Jahren schuf die Telekom den Bildschirmtext (BTX), einen teureren Spaß. Man benötigte ein Modem mit Decoder oder gleich ein ganzes BTX-Terminal mit Tastatur und Bildschirm. Es gab aber auch Modems für den IBM-PC und andere Computersysteme. Die Grundgebühr allein für BTX betrug 55 Mark im Monat und fast jede Seite kostete beim Aufruf zusätzliches Geld. Es gab praktisch nur kommerzielle Anbieter.

WWW

Tim Berners-Lee entwickelte am Kernforschungszentrum CERN in Genf das WWW, einen Internetdienst, welchen heute fälschlicherweise viele Menschen mit dem Internet, dem weltweiten Verbund von Rechnernetzwerken gleichsetzen. Das World Wide Web ermöglichte erstmals eine Verlinkung von Informationen (Webseiten) untereinander. Die ebenfalls von Berners-Lee entwickelte Seitenbeschreibungssprache HTML erlaubte eine formatierte Darstellung des Textes, das Einbinden von Bildern, Audio und Video. Jeder konnte nun seine eigene Seite erstellen, wenn er bereit war, die Sprache HTML zu lernen.
Quelle ohne Link((HTML ist eine textbasierte Auszeichnungssprache zur Strukturierung digitaler Dokumente wie Texte mit Hyperlinks, Bildern und anderen Inhalten.))

Walled Gardens

Anfangs versuchten Internetzugangsanbieter wie AOL, Compuserve, Germanynet oder die Telekom, die Nutzer aus Kostengründen in ihrem eigenen kleinen Mikrokosmos, auf ihrer Website zu halten. Die Internetnutzung war damals teuer, langsam und lief meistens über die Telefonleitung. Wollte man telefonieren, musste man offline gehen.

Webrings

Um eine Information im World Wide Web zu finden, klickte man sich von einer Website zur anderen. Es gab Linklisten und Webrings, mit denen sich Webseiten gleicher Themengebiete untereinander verlinkten. Das Web wuchs rasant. Suchmaschinen mussten her. Abacho, AltaVista, Excite, Fireball oder Yahoo nutzt heute aber kaum noch jemand. Seit etwa 2004 liefert Google konkurrenzlos gute Suchergebnisse und wurde Marktführer.

Web 2.0

Anfang der 2000er-Jahre kam das Web 2.0 auf. Eigentlich bedeutet das nichts anderes, als dass dem Nutzer das Erlernen von HTML abgenommen wurde und er statt einer eigenen Website nun ein personenbezogenes Profil auf einer geschlossenen Plattform eines Unternehmens hatte. Das soziale Web war geboren. Neu war auch die Funktion, dass man Informationen einem selbst bestimmten Benutzerkreis zugänglich machen konnte.

Ist Social Media ein Rückschritt? Nein, denn auf diesen geschlossenen Plattformen wird eine andere Art von Informationen ausgetauscht. 123Die meisten Menschen auf Facebook schreiben keine eigenen Beiträge. Sie teilen von anderen verfasste Beiträge. Es ist ein wenig wie an einem sehr großen Stammtisch.
Quelle((„Facebook-Algorithmus: Diese Faktoren beeinflussen das Newsfeed-Ranking“, Christian Erxleben, Internetworld.de, 17.02.2016))
Quelle((„Facebook: Neuer Algorithmus löst den EdgeRank endgültig ab“, Björn Hallmann, 20.08.2013))
Quelle((„Facebook EdgeRank: So funktioniniert der Algorithmus im Detail“, t3n.de, 18.04.2013))

Immer online

Als 2007 als logische Entwicklung und Symbiose von Mobiltelefon und PDA (Personal Digital Assistant, ein kleiner tragbarer Computer) das erste iPhone auf dem Markt erschien, wurde es auf einmal möglich, dass man „sein“ Internet mitnahm. War man früher nur via SMS mobil erreichbar, so gab es plötzlich Instant Messenger wie WhatsApp oder SnapChat. Die Handys machten mittlerweile gute Bilder, also gab es Plattformen wie Instagram.

Phänomen Twitter

Warum wurde gerade Twitter so beliebt? Vielleicht, weil die Twitter-App viel schneller als die App von Facebook ist. Weil man durch die Hashtags (#) Informationen selbst markieren, taggen konnte. Weil man durch eigene Filter die Nachrichten gezielt suchen konnte. Weil ein Tweet immer auf 140 (jetzt 280) Zeichen beschränkt, die Information darin komprimiert, zwangsweise auf den Punkt gebracht ist. Ein Tweet auf Twitter ist aber vor allem immer eines: öffentlich!

Wer bezahlt das alles?

Früher waren die Webseiten meist statisch, ohne Interaktion durch den Nutzer. Heute sind Webpräsenzen aufwendig zu pflegen und benötigen oftmals mehrere Rechenzentren. Das kostet alles enorm. Es geht den Telekommunikationsanbietern gerade in Deutschland hervorragend. Der Mobilfunkmarkt ist hier unter drei großen Anbietern zu gleichen Teilen aufgeteilt. Die „letzte Meile“ im Festnetz ist im Besitz der Telekom. Es gibt drei große Kabelnetzbetreiber. Wir zahlen im europäischen Vergleich mit die höchsten Beträge, um online gehen zu können – bei gleichzeitig eher bescheidenen Zugangsgeschwindigkeiten. Von diesen Gewinnen sehen die Betreiber der Webpräsenzen keinen Cent.

Die Dienste von Facebook, Google (Alphabet) & Co kosten kein Geld. Wir sprechen dabei aber von den global reichsten Unternehmen! Wie machen die das? Durch Werbung!

Werbung spricht immer eine Zielgruppe an und muss gut platziert sein.Soziale Medien sind schnell und aktuell, kein Nutzer klickt auf Werbung, die ihn nicht interessiert. Schlimmer noch: nervt die Werbung, kommen Werbeblocker zum Einsatz. Folglich ist es notwendig, die Nutzer zu identifizieren und ihre Interessen zu bestimmen. Das kollidiert oft mit dem Datenschutz.

Warum habe ich die Geschichte noch einmal erzählt? Weil sich das WWW gewandelt hat. Früher waren die Webseiten meist statisch, ohne Interaktion durch den Nutzer. Heute sind Webseiten aufwendig zu pflegen und benötigen oftmals gleich mehrere Rechenzentren. Das kostet alles enorme Summen von Geld. Es geht den Telekommunikationsanbietern gerade in Deutschland sehr, sehr gut. Der Mobilfunkmarkt ist unter drei großen Anbietern zu gleichen Teilen aufgeteilt. Die „letzte Meile“ ist im Besitz der Telekom. Es gibt drei große Kabelnetzbetreiber und einige unbedeutende regionale Anbieter. Wir zahlen im europäischen Vergleich mit die höchsten Beträge, um online gehen zu können – bei gleichzeitig eher bescheidenen Zugangsgeschwindigkeiten. Von den Gewinnen der Telekommunikationsgesellschaften sehen aber die Betreiber der Webseiten keinen Cent.

Die Werbeindustrie!

Facebook,, Google (Alphabet) & Co kosten kein Geld. Wir sprechen dabei meistens von den weltweit reichsten Unternehmen! Wie machen die das? Ganz klar: durch Werbung!

Nun müssen wir uns vor Augen halten, dass Werbung immer eine Zielgruppe anspricht und gut platziert sein will. In den Printmedien ist das noch recht einfach, in den sozialen Medien aber deutlich schwerer. Soziale Medien sind schnell und aktuell, keiner der Nutzer klickt auf Werbung, die ihn nicht interessiert. Schlimmer noch: nervt die Werbung, installiert der Nutzer vielleicht sogar einen Werbeblocker. Folglich ist es notwendig, die Nutzer zu identifizieren und ihre Interessen exakt zu bestimmen. Das kollidiert leider oft genug mit dem Datenschutz.

In diesem Text werde ich Ihnen aufzeigen, dass Datenschutz uns alle betrifft und warum wir ihn ernst nehmen müssen. Er betrifft Sie, egal ob Sie Dienste der großen IT-Unternehmen nutzen oder nicht. Er betrifft Sie sogar, egal ob Sie ein Smartphone oder einen Computer besitzen. Wir hinterlassen in unserem scheinbar so analogen Leben täglich eine nachverfolgbare Datenspur (siehe „Ein Tag im Leben eines Überwachten. Du, ich, wir alle“) – ob wir das wollen oder nicht.

Die Zukunft

Am 14. Dezember 2017 hat die US-Regierung der FCC (eine Regulierungsbehörde ähnlich unserer Bundesnetzagentur) die Kontrolle über die ISP (Internet Service Provider) entzogen. Damit soll es weniger Datenschutz und weniger Netzneutralität bei gleichzeitiger Gewinnmaximierung der ISP geben. Dieses Ansinnen war sogar so wichtig, dass die Bürgerbefragung dazu manipuliert wurde. Was ist „Netzneutralität“? Die deutsche Wikipedia fasst zusammen:

„Netzneutralität bezeichnet die Gleichbehandlung von Daten bei der Übertragung 
im Internet und den diskriminierungsfreien Zugang bei der Nutzung von 
Datennetzen. Netzneutrale Internetdienstanbieter behandeln alle Datenpakete 
bei der Übertragung gleich, unabhängig von Sender und Empfänger, dem Inhalt 
der Pakete und der Anwendung, die diese Pakete generiert hat.“

Die Netzneutralität sorgt also dafür, dass Datenpakete immer gleich behandelt werden, egal ob ich auf Netflix eine Serie schaue, oder als Dissident politische Botschaften verbreite. Da es kaum noch echte Telefonanschlüsse gibt, werden auch die meisten Telefonate über VoIP geführt. Keiner dieser Dienste darf benachteiligt werden. Das ist Netzneutralität. Die sogenannte „Freiheit“, die mit der Abschaffung der Netzneutralität propagiert wird, bedeutet immer die Freiheit des stärkeren Marktmitspielers. Eine Aufhebung der Netzneutralität hat nur zum Ziel, dass sich für die Internetserviceprovider neue Verdienstmöglichkeiten auftun. Es gibt keinen technischen oder logistischen Grund für die Einschränkung des Internetverkehrs. Die Aufhebung der Netzneutralität bedeutet eine automatisierte, technische Überwachung zur Kontrolle und Manipulation der Datenströme im Internet, die datenschutz- und bürgerrechtlich Fragen aufwerfen wird. Wir müssen die auf der DS-GVO (Datenschutz-Grundverordnung) basierenden Rechtsprechungen abwarten. Wiegt das Interesse der ISP an der Gewinnmaximierung (oder das eines Anbieters, der für eine Priorisierung zahlt) höher als das Recht einer Person an den eigenen Daten? Ist Netzneutralität – da sie vom Staat gesetzlich eingeschränkt wurde – gar Zensur und nicht nur eine Steuerung von Datenströmen?
Quelle((Volker Bernhard, „Wie die Bürgerbefragung zur Netzneutralität manipuliert wurde“, Süddeutsche.de, 14.12.2017))

Der ehemalige Digitalkommissar der EU, Günther Oettinger, führte als Beispiele für zu priorisierte Dienste im Internet Telemedizin (genauer ferngesteuerte OPs) und autonome Fahrzeuge an. Autonome Fahrzeuge zeichnet eben aus, dass sie autonom fahren können. Bei einem Ausfall des Mobilfunknetzes müssen sie weiterhin ohne Gefährdungspotenzial fahrbereit sein. Ob sie die aktuellen Staudaten eine hundertstel Sekunden später bekommen ist irrelevant, da sie ohnehin über WLAN direkt miteinander kommunizieren und so über einen Unfall auf der Straße vor ihnen in Echtzeit informiert werden. Wer lebenswichtige Operationen vornimmt, die über die eher wackligen Internetanschlüsse eines Kabelnetzbetreibers oder die ebenfalls nicht sonderlich ausfallsicheren DSL-Anschlüsse durchführt, handelt sicher grob fahrlässig oder ist blind Technik-gläubig.

Das Internet durchdringt unser Leben. Datenschutz betrifft uns also alle.

Das betrifft mich nicht

„Ich habe nichts zu verbergen!“ – diesen Satz hört man immer wieder, wenn es um das Thema Datenschutz oder das Ausspionieren des Bürgers geht. Woher kommt diese Einstellung?

„Ich habe nichts zu verbergen!“. Warum? Weil Sie nicht wichtig sind? Das digitale Abbild Ihres Lebens, Ihr digitaler Zwilling, welcher im Zuge von Big Data zusammengestellt und durch Algorithmen ausgewertet wird, kann sich erheblich von Ihrem realen unterscheiden. Dem Irrglauben, dass man nichts zu verbergen hätte, liegt vermutlich einzig der Mangel an Informationen zugrunde, was in unserer durchdigitalisierten Welt passiert.

Dabei erstaunt, dass es bei vielen Menschen einen „gefühlten Datenschutz“ gibt. Google Streetview ist in Deutschland umstritten. Die eigene Häuserfassade oder das Kennzeichen am Fahrzeug finden oftmals die gleichen Menschen schützenswert, die das biometrisch auswertbare Bild des süßen Kindes bedenkenlos auf die Server von Facebook, Apple oder Google hochladen.

„Das können doch nur Freunde sehen!“. Stimmt. Und können auch nur die sogenannten Freunde speichern, teilen, per Mail verschicken und auf anderen Plattformen wieder hochladen. Noch nie hat ein Häkchen in irgendwelchen Einstellungen ein Bild oder eine Information vor weiterer, unkontrollierbarer Verbreitung geschützt. Alles, was man im Browser sehen kann, kann man auch nach Belieben kopieren und weiterverteilen.

Facebook, Google und Amazon lassen über jedes Bild, dessen sie habhaft werden, einen Objekt- und Gesichtsscanner laufen. Wird irgendwann einmal einem dieser Gesichter ein Name zugeordnet, so wird die Person höchstwahrscheinlich mit allen Bilder verknüpft, auf denen sich ihr Konterfei befindet.

Ich resümiere: ein Kennzeichen, welches nach wenigen Jahren ohnehin neu vergeben wird, ist also schützenswerter als die biometrischen Daten eines Kindes? Das eine schützt ein lebloses Ding, das andere kann aus heutiger Sicht unvorstellbare Auswirkungen auf das Leben unserer Schutzbefohlener haben.

Was ist eigentlich Datenschutz?

Schulmädchen schließen seine Tagebücher selbstverständlich ab und verwahren es an einem sicheren Ort. Dabei sind die Folgen, wenn jemand diese Zeilen lesen würde, bestenfalls peinlich. Lassen wir die Wohnungstür offen, damit die Nachbarn unsere Tagebücher, Steuererklärungen und Fotoalben durchsuchen können? Natürlich nicht.

Wie kommt es, dass wir Daten in Papierform einen höheren Stellenwert zubilligen als den Daten, die auf unseren Smartphones und Notebooks gespeichert sind? Meist ist es Unwissenheit über die Missbrauchsmöglichkeiten und auch Unwissenheit über die Möglichkeiten zum Schutz der eigenen Daten.

Datenschutz ist keine abstrakte Angelegenheit und auch nicht vor allem durch dunkle Dritte bedroht. Nein, der plaudernde Bekannte ist oftmals das Problem. Oder der Arbeitskollege, der das Bild des Kumpels teilt.

"Datenschutz ist ein Begriff, der leider nicht hinreichend klar ist (…)
Es geht ja nicht um den Schutz der Daten als solche,
sondern um den um Schutz von Menschen vor anderen Menschen (…)"

Hans Peter Bull, Bundesdatenschutzbeauftragter von 1978 bis 19835
Quelle((„Rivalität zwischen Behörden als Garant für den Datenschutz?“, Ulrike Heitmüller, Telepolis, 16.01.2016))

Wir haben noch nicht begriffen, was Datenerfassung und -auswertung bedeuten. In einer globalisierten Welt, in der die Konzerne weltumspannend agieren, fehlen funktionierende und allgemeingültige Regeln für den Umgang mit persönlichen Daten.

Vielleicht ist für manche Politiker die vernetzte Welt „Neuland“, während sich die Firmen und Bürger bereits lange darin bewegen. Notfalls wird sogar ein Standard für einen E-Mail-Dienst per Gesetz als sicher erklärt, auch wenn er es nicht ist und es aufgrund der Vorgaben durch die Verantwortlichen auch nie sein kann.

Unabhängige Experten werden zwar angehört, aber deren Rat oft nicht beachtet und den Empfehlungen von Lobbyisten gefolgt, wie es insbesondere der IT-Sicherheitsberater Linus Neumann vor dem Innenausschuss des Bundestages erlebte. Seine fachlichen Bedenken zur Sicherheit von De-Mail wurden ignoriert. Gleichwohl wurde ihm unter vier Augen bestätigt, dass er recht habe, „es aber eben so sei, wie es sei“.

Wir können nicht auf die Politik warten, wenn uns etwas an unserer Privatsphäre liegt. Das Thema Datenschutz mag unsexy sein. Es mag sogar Angst machen. Deswegen wird der Gedanke an Datenschutz gern verdrängt.

Quelle((Deutscher Bundestag, Drucksache, 17/13139, „Beschlussempfehlung und Bericht des Innenausschusses (4. Ausschuss) zu dem Gesetzentwurf der Bundesregierung – Drucksache 17/11473 – Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“, 17.04.2013, Berlin))
Quelle((Linus Neumann, „Stellungnahme zum Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“, 20.03.2013, Hamburg))
Quelle((§ 67 Absatz 6 Satz 3 b SGB X, dejure.de))
Quelle ohne Link((Linus Neumann, „Bullshit made in Germany“, Vortrag auf dem 30C3, 29.12.2013, Hamburg))
Quelle((„Bundestag erklärt De-Mail per Gesetz für sicher“, Konrad Lischka und Christian Stöcker, Spiegel.de, 19.04.2013))

Wir können nicht auf die Politik warten, wenn uns etwas an unserer Privatsphäre liegt. Das Thema Datenschutz mag unsexy sein. Es mag sogar Angst machen. Deswegen wird der Gedanke an Datenschutz gern verdrängt. Aber: Wenn Sie auf Ihre Daten nich5t aufpassen, kann Sie das nicht nur finanziell teuer zu stehen kommen.

Wenn Sie nicht auf Ihre Daten aufpassen, kann Sie das – nicht nur finanziell – 
teuer zu stehen kommen.

Nein, hier drückt nicht der Aluhut, hier gibt es keine Verschwörungen. Wenn ich von „Manipulationen“ spreche, so meine ich das nicht reißerisch oder anklagend. „Cui bono“ – wem nützt es?“ – diese Frage mag tatsächlich legitim sein. Ich möchte aber, dass Sie sich eine andere, ähnliche Frage stellen und diese ganz ehrlich für sich selbst beantworten:

"Was würde ich anstelle der Konzerne, der Politik oder der Geheimdienstler tun, 
wenn ich die gleichen Möglichkeiten hätte und meinen Job gut machen möchte?"

Ich würde so lange jede Information sammeln und auswerten, an die ich herankommen könnte, bis mich ein Gericht stoppt. Ob flächendeckende Überwachung ein Verbrechen an der Demokratie ist, sie aushöhlt und vergiftet, werden erst spätere Generationen beantworten können. Dann ist es aber zu spät. Als Otto Normalverbraucher stehen wir einfach zu dicht vor dem Gesamtbild. Wir benötigen zur Beurteilung unserer eigenen Situation inzwischen die Hilfe von Experten aus der Technikfolgenabschätzung.

Quelle((Bundesrat, „Entwurf eines Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes, Seite 6, 1. b) dd), Drucksache 430/1/16, 12.09.2016, Berlin))

Was ist Big Data?

Man schürft nach Gold und Diamanten, gräbt nach Kohle und bohrt nach Öl. Der Rohstoff, nach dem es der digitalen Industrie gelüstet, sind aber Daten. Sie gewinnt man durch das sogenannte Data-Mining. Minen befinden sich gewöhnlich in Bergen. In unserem Fall ist es ein ganzes Gebirge. Nennen wir es Big Data. Dessen Berge sind nicht geologisch gewachsen, sie sind von uns aufgehäuft worden und wachsen rasant sogar.

Data-Mining benötigt massive Gebirge. Die wenigen Ausläufer dieses Gebirgszuges wurden von kleinen Firmen und selbstständigen Entwicklern gestaltet. Diese sammeln etwa Daten der Nutzer ihrer Handyspiele. Der Mount Everest dieses Gebirges dürfte der Mount Facebook sein. Beim Graben bilden sich große Abraumhalden aus Katzenvideos, Essensfotos und immer gleichen Geburtstagsglückwünschen. Viele Giftstoffe wie Pornos, Tierquälerei, Enthauptungsvideos und Aufrufe zur Gewalt werden ausgefiltert, bevor sie den Mount Facebook erreichen und wachsen lassen. höher machen. Allerdings tragen Menschen weltweit zum Wachstum des Berges bei. Und die Bewertung, was ein Giftstoff ist, unterscheidet sich in den unterschiedlichen Kulturkreisen.

Facebook gräbt sich durch diesen gigantischen Berg. Auf der Suche nach Informationen, die es ermöglichen, den Touristen (Benutzer) am Fuße des Berges ein schönes Panorama („optimales Nutzererlebnis“) zu bescheren – und natürlich zu ihm passende Werbung zu offerieren.

„Wenn wir völlig unkritisch mit uns selbst sind und jeden Mist in Facebook
und ähnliche Plattformen pumpen, dann haben wir nichts gewonnen.“

David Kriesel, auf dem 33c3, Hamburg, 2016

Es wäre aber unfair, würden wir Facebook, Google & Co allein an den Pranger stellen, denn es gibt noch genügend andere imposante Berge im Big-Data-Massiv. Die können wir nur schwierig entdecken. Es glitzern keine Schneekoppen auf deren Gipfeln. Sie liegen unauffällig im Schatten.

Zum Wachsen all dieser Datenberge tragen wir selbst bei. Wir könnten einfach aufhören, Puzzleteile unseres Lebens an die sozialen Netzwerke weiterzugeben. Wäre damit das Problem gelöst?
Natürlich nicht.

Digitale Währung

Daten sind also die Währung unserer Zeit. Sie werden gern nach dem Motto „Haben ist besser als brauchen“ erfasst. Auch ohne unsere Mithilfe. Datenerfassung ist leicht, billig und geschieht ohne umständliche Fragebögen oder Formulare. Ohne unser Zutun, ohne unsere Zustimmung. Unbemerkt und nebenbei. Die Vorgehensweisen widersprechen dabei oft dem Bundesdatenschutzgesetz. Aber man kann den Firmen und Institutionen nur selten nachweisen, in welchem Umfang sie unsere Daten sammeln und auswerten.

Quelle ohne Link((Siehe dazu beliebige Tätigkeitsberichte der Datenschutzbeauftragten des Bundes und der Länder))
Quelle((„US-Firmen machen sich kaum Gedanken zum Datenschutz“, Martin Bayer, Computerwoche.de, 27.06.2017))

"Polizisten speichern, was sie wissen, elektronisch ein –
alles kann ja irgendwann und irgendwie mal wichtig sein."

(Extrabreit, „Polizisten“, Album „Welch ein Land! Was für Männer:“, 1982)
Quelle((Einordnung siehe Wikipediaartikel „Polizisten“, abgerufen 18.07.2022))

Apple hat den Ruf eines Datenschützers1. Den pflegt die Firma. Apple Smartphones sollen die Daten des Benutzers besser schützen als Telefone mit Googles Android.2 Persönlich habe ich daran aber Zweifel. Jedes Unternehmen will seine Kunden verstehen, damit es sie besser binden kann. Dazu braucht das Unternehmen persönliche Daten.

Google verkauft Werbung, Apple verkauft Hardware. Dazu brauchen sie Nutzer- und Nutzungsdaten. Ohne sie können die Angebote nicht persönlich zugeschnitten werden und verpuffen. Und ob sich selbst die wertvollste Firma der Welt tatsächlich gegen den eigenen Staat stellt, wenn es um den Schutz der persönlichen Daten ihrer Kunden geht? Egal wie die Antwort ausfällt: sie beunruhigt mich.

Quelle((„Welche Tech-Firmen unsere Daten vor der Regierung schützen“, Handelsblatt.de, 17.07.2017))
Quelle((„Apple vs Google on privacy: a tale of absolute competitive advantage“, Aral Balkan, 15.01.2015))

Die Wahrnehmung der Computertechnik im Wandel der Zeit

Volkszählungen gibt es bereits seit ca. 2.700 v Chr. – zwei werden in der Bibel geschildert und geschahen in Gottes Auftrag. Herman Hollerith, der Gründer der Firma, die wir heute als IBM kennen, wurde ab 1890 durch seine Tabelliermaschinen bekannt. Diese mechanischen Rechner wurden für Volkszählungen auch in Deutschland verwendet.

https://commons.wikimedia.org/wiki/File:Census_pantograph_and_1930s_keypunches.jpg

In den 1980er Jahren aber ging ein Aufschrei durch die Republik: „Als sei es des Teufels eigenes Werk!“ (Der Spiegel)1, „1984 wird Realität!“, „Der Überwachungsstaat kommt!“. Auf Demonstrationen wurde „Zählt nicht uns – zählt eure Tage“ skandiert.2 Breite Bevölkerungsschichten waren gegen die Volkszählung, die durch Beamte und Mitarbeiter des öffentlichen Dienstes (z.B. Postbeamte) durchgeführt werden sollte. Teilweise wurden diese Personen von ihrem Umfeld als „Überwachungshandlanger“ geschnitten.

Das Bundesverfassungsgericht stoppte im „Volkszählungsurteil“ 1983 die Volkszählung in der geplanten Art und Weise. Die Fragebögen mussten teilweise anonymisiert werden. 1987 fand die Volkszählung schließlich statt. Wegweisend war das Urteil, weil es ein Recht auf informationelle Selbstbestimmung aus dem Grundgesetz ableitete.
Quelle((„»Als sei es des Teufels eigenes Werk«“, Der Spiegel 21/1987, 17.05.1987))
Quelle((„Vor 20 Jahren: 10 Minuten, die allen helfen [Update]“, Detlef Borchers, 25.05.2007))

„Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen 
der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, 
Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“

Bundesverfassungsgericht 65,1 – Volkszählung
Quelle((„Datenschutz: Auswirkungen der EU-Datenschutzgrundverordnung“, IITR Datenschutz GmbH, Dr. Sebastian Kraska, 28.12.2015))

Generationswechsel

Wie konnte es dazu kommen, dass der Umgang mit den persönlichen Daten quasi von einer Generation auf die andere so umschlug? Statt die Mitarbeiter der Volkszählung zu ächten, stellen heute die Menschen intimste Informationen selber und bereitwillig in das Netz. Für die Generation der 1968er waren Computer große Schränke, auf denen sich Magnetbandspulen langsam drehten und unaufhörlich und geheimnisvoll unser Leben aufzeichneten. Das entsprach natürlich nicht im Geringsten der Realität, hatte aber einen wohligen Gruselfaktor.

https://commons.wikimedia.org/wiki/File:Mainframe_-_16317517254_IBM_2311_-_2401.jpg

Die Kinder der 1968 hingegen waren die „computerbegeisterten Jugendlichen“, die an ihrem Commodore 64 viel zu viel Zeit mit unverständlichen Dingen verbrachten. Sie blickten lieber auf einen flimmernden Bildschirm, als draußen zu spielen. Die Entwickler der frühen Heimcomputer konnten sich nicht vorstellen, was die Kinder seinerzeit mit dem Rechner anstellen würden. Diese Computer konnten durch geschickte Programmierung sehr weit über ihre geplante Leistungsfähigkeit gebracht werden. Diese Computer-Kids trieben die Technik immer schneller voran, dachten dabei selten an deren Missbrauchsmöglichkeiten. Das Establishment und der Staat waren die erklärten Gegner – es entwickelte sich eine eigene Kultur und eine digitale (Hacker-)Ethik. Diese Generation entwickelte später die Computertechnik, die uns heute umgibt. Sie schuf Apple, Amazon, Google, Microsoft und viele andere Firmen.

https://commons.wikimedia.org/wiki/File:Commodore_64_at_Video_Game_Museum_in_Berlin_(45946155851).jpg

Erstaunt betrachten die „Computerpioniere“ heute die eigenen Kinder. Technisch in der Regel unbedarft, benutzen diese die Smartphones und digitalen Gadgets, als ob es darum ginge, möglichst viel vom eigenem Leben preiszugeben. Google und Facebook werden nicht als Establishment wahrgenommen, auch wenn sie es längst sind. Weil Facebook, Google und Apple als cooler Kumpel und innovativer Begleiter wahrgenommen werden, scheint es opportun zu sein, dass diese Firmen die persönlichen Daten der Nutzer abgreifen und daraus detail- und umfangreiche Profile erstellen.

Rechner sind nicht mehr die unheimlichen, klickenden Schränke. Rechner sind heute schicke Uhren, trendige Armbänder und Streichelcomputer, mit denen man telefonieren kann. Persönliche Nachrichten (PN oder PM wie Personal Message) sind in Zeiten von WhatsApp und anderen Messangern viel beliebter als altmodische E-Mails. Ich muss mir nicht einmal eine E-Mail-Adresse merken, sondern werde „automagisch“ mit meinen Freunden und Bekannten im Adressbuch meines Telefons verbunden. Möglich machen dies umfangreiche Rechte, die die Apps einfordern, wenn man sie auf seinen Geräten installiert. Dass wir dabei die Datenschutzrechte jedes einzelnen Kontaktes in unserem Adressbuch verletzen, binden einen die Messenger-Dienste nicht auf die Nase.
((Quelle ohne Link((Amtsgericht Bad Hersfeld — Beschl. v. 15.05.2017, Az.: F 120/17 EASO))

Instant Messanger sind einfach, schnell und sexy. Aber wir verlassen uns dabei meist auf einen Anbieter mit einem zentralen Service. Ob dieser Anbieter seinen Dienst für immer anbieten wird, ist fraglich. Ob dieser Dienstanbieter unsere Daten nicht mit Geheimdiensten und Firmen teilt, ist sogar mehr als fraglich. Um dem vorzubeugen und sich sauber aus der Affäre zu ziehen, verschlüsseln mittlerweile die meisten Instant Messenger die Kommunikation mit einer Ende-zu-Ende-Verschlüsselung, deren Schlüssel selbst der Messenger-Dienst nicht kennen soll.

Daher hat der BND das Projekt „Aufklärung nicht-standardisierter Kommunikation im Internet“ (ANISKI) ins Leben gerufen, welches die Verschlüsselung der Messenger knacken soll.
Quelle((Andre Meister, „Projekt „ANISKI“: Wie der BND mit 150 Millionen Euro Messenger wie WhatsApp entschlüsseln will“, Artikel mit Veröffentlichung von geheimen Haushaltsunterlagen und Stellungnahme des BND, NetzPolitik.org, 29.11.2016))

Die Diensteanbieter sind gewinnorientierte Firmen. Die Gewinne sprudeln nicht durch Magie, nur weil jemand deren kostenlosen Apps und Dienste verwendet. Das Geld muss irgendwo herkommen.

„Kostenlose Dienste sind nicht kostenlos. Wir bezahlen sie mit unseren persönlichen Daten.“

Persönlichen Daten lassen sich im sozialen Netzwerk nur sehr mühselig wieder löschen? Kein Wunder, denn sie sind Geld wert. Facebook hat zum Beispiel 2016 einen Reinerlös von knapp sieben Milliarden Dollar erwirtschaftet. Die persönlichen Daten der User und komplette Personenprofile werden an Firmen verkauft, die im Bereich Werbung und Meinungsumfragen tätig sind und entsprechende, speziell an den Nutzer angepasste Werbung in den sozialen Netzen schalten. Die meisten Menschen nutzen die kostenlosen Dienste der großen Internetkonzerne und vergessen dabei einen universellen Grundsatz:

„Sie sind nicht der Kunde, Sie sind die Ware!“

Das Internet vergisst nichts

Wir müssen uns darüber im Klaren sein, dass digitale Daten, werden sie einmal in das Netz gestellt, durch uns nur noch extrem schwer zu kontrollieren oder gar zu entfernen sind. Es gibt die Gefahr, dass Dritte sie auf dem Weg zum Empfänger mitlesen, speichern und verkaufen. Diese Dritten können überall sitzen. Das Internet ist vom Konzept her deshalb dezentral, da es im Wortsinne atombombensicher sein sollte. Der Verkehr in ihm wird über sogenannte „Router“ verteilt, welche untereinander verbunden sind.1 Sie leiten den Verkehr so, dass es zu keinen Staus kommt. Ruft man eine Website auf, so kann es passieren, dass der Verbindungsaufbau von Kaiserslautern nach Dublin über Moskau, HongKong und New York, also einmal um die ganze Welt herum, schneller ist, als eine viel direktere, aber gerade überlastete Verbindung.

Es gibt ca. 340 internationale Hauptinternetknotenpunkte. An diesen hängen wiederum viele hunderte weitere große Router. Einige der Router stehen vielleicht in Ländern, die ein Interesse daran haben, Daten zu sammeln. Vielleicht nutzt gerade ein künftiger Staatspräsident oder ein Vorstandsmitglied seinen Mailaccount? Informationen waren schon immer Macht – auch und gerade „unter Freunden“.

Quelle((Greg’s Cable Map, Website: cablemap.info, Lage der internationalen Unterseekabel, Stand 04.2018))
Quelle((„Map of the Internet“, Infopedia, abgerufen 11.04.2022))

Dezentrale Sicherung Ihrer Kommunikation

Sie sind Kunde der Telekom? Das ist interessant, denn die Telekom ist an den europäischen Hauptknotenpunkt De-CIX (mit Sitz in Frankfurt am Main) primär über die Firma Level3 angebunden. Diese sitzt in den USA. Die Telekom selbst hat nur eine sehr schmalbandige Verbindung über „deutsche“ Kabel an den De-CIX. Wenn Sie also eine europäische (auch deutsche) Website aufrufen, deren Hoster (Server) nicht an das Telekom-Netz, sondern, so wie es sich eigentlich gehört, an das Netz des De-CIX angebunden ist, dann läuft die Kommunikation in der Regel über die Vereinigten Staaten. Vermutlich wird also die Masse der E-Mails, die Sie empfangen, über Router laufen, auf denen die NSA mitliest.

Seien Sie also unbesorgt: Der BND liest u.a. im Rahmen des Projektes „Eikonal“Ihre Mails mit einiger Wahrscheinlichkeit mit und tauscht sie teilweise mit der NSA aus.5 15 6 7

Ein übliches Vorgehen unter guten Freunden. 8 De-CIX hat gegen das „BND-Gesetz“ oder „G10-Gesetz“, welches das Fernmeldegeheimnis aushebeln soll, bereits Klage eingereicht. Auch der ehemalige Präsident des Bundesverfassungsgerichtes, Prof. Dr. Hand-Jürgen Papier, hält das Vorgehen des BND für „insgesamt rechtswidrig“. Der Historiker Prof. Dr. Foschepoth findet noch viel deutlichere Worte über den BND, den er für ein „Ziehkind der USA“ hält. Aber auch über die NSA hat er eine klare Meinung:

Quelle((Peter Pilz, „Ich darf die Anregung weitergeben“, peterpilz.at, österreichischer Politiker, 23.10.2015, Wien))
Quelle((Deutscher Bundestag – Stenografischer Dienst, Vorläufiges Stenografisches Protokoll 18/3, 1. Untersuchungsauschuss, Zeugenaussage Peter Schaar, Seite 6 ff, Seite 21 ff, Wikileaks, 12.05.2015))
Quelle(( Thorsten Denkler, „Geheime BND-Mails enthüllen Streit um Datenweitergabe an NSA“, Sueddeutsche.de, 12.11.2015, München))
Quelle((7§ 10 Absatz 4 Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz – G 10) ))
Quelle((Deutscher Bundestag, Dokument: „Zeuge verteidigt die Kooperation mit NSA“, 2016, Berlin))
Quelle((DE-CIX Management GmbH, Pressemitteilung, „Informationen zur Klage gegen die Bundesrepublik Deutschland“, 16.09.2016, Frankfurt am Main))
Quelle((Prof. Dr. Hans-Jürgen Papier, „Beschränkungen der Telekommunikationsfreiheit durch den BND an Datenaustauschpunkten“, Seite 14, Neue Zeitung für Verwaltungsrecht, 01.08.2016, München))
Quelle((Patrick Gensing, „Der BND ist ein Ziehkind der USA“, Interview mit Prof. Dr. Foschepoth, Tageschau.de, 07.07.2014, Hamburg))
Quelle((Prof. Dr. Josef Foschepoth, „Josef Foschepoth: „Verfassungswidrig!“, ‎ Vandenhoeck & Ruprecht; 1. Edition (11. September 2017))
Quelle((Prof. Dr. Josef Foschepoth, „Josef Foschepoth: „Überwachtes Deutschland““, private Website foschepoth.wordpress.com, Stand 04.2018))
Quelle((„Geheimakte BND & NSA: Operation Eikonal – das Inland als „virtuelles Ausland““, Stefan Krempl, heise.de, 09.04.2017))
Quelle((„Geheimakte BND & NSA: Die rätselhafte Supergeheim-Operation Glotaic“, Stefan Krempl, heise.de, 16.04.2017))
Quelle((„Geheimakte BND & NSA: Der BND spioniert am größten Internetknoten der Welt“, Stefan Krempl, heise.de, 23.04.2017))
Quelle((„NSA-Skandal und BND-Überwachung: Internet-Knoten De-CIX klagt gegen die Bundesrepublik“, Monika Ermert, heise.de, 16.09.2016))

"Die NSA darf in Deutschland alles machen. 
Nicht nur aufgrund der Rechtslage, sondern vor allem aufgrund 
der intensiven Zusammenarbeit der Dienste."

Prof. Josef Foschepoth, Uni Freiburg, Süddeutsche 2013
Quelle((„“Die NSA darf in Deutschland alles machen““, Oliver Das Gupta, Süddeutsche.de, 09.08.2012))

Läuft die Kommunikation über Satelliten, so hat der BND dafür die sogenannte „Weltraumtheorie“ entwickelt. Ein Kommunikationssatellit befindet sich im Erdorbit und damit außerhalb des Grundgesetzes. Man darf ihn daher aus Bad Aibling folgenlos abhören und die gewonnenen Erkenntnisse mit der NSA in einem „Ringtausch“ teilen. 3 Ist das nicht kreativ? Offensichtlich schwebt das geplante BND-Gesetz ebenfalls über unserem Grundgesetz.

Sie werden womöglich einwenden, dass der BND nur die Telekommunikation zwischen Ausländern abhören will. Wozu wurde aber dann die „Weltraumtheorie“ entwickelt? Ganz einfach: Der Datenverkehr lässt sich nicht einfach in „ausländisch“ und „inländisch“ aufteilen. Das Internet kennt schließlich keine Grenzen, und so reisen auf den jeweiligen Medien (Funk, Kupfer, Glasfaser, etc.) in- und ausländische Datenverkehre. Um diese unterscheiden zu können, muss man sich die einzelnen Datenpakete genauer ansehen. So bleibt es nicht aus, dass man technisch bedingt auch „deutsche“ Benutzer abhören muss.

Quelle((Deutscher Bundestag, NSA Untersuchungsausschuss, Karl Otto Sattler, „Defizite beim BND in der Datenschutzpraxis“, Dokument zur Zeugenvernehmung „Frau F.“, 09.10.2014, Berlin))
Quelle((Deutscher Bundestag, NSA Untersuchungsausschuss, Dr. Winfried Dolderer, „Rechtsgrundlagen der NSA-Kooperation erörtert“, Dokument zur Zeugenvernehmung von Dr. Martin Ney, Auswärtiges Amt; Christina Polzin, Bundesinnenministerium; Monika Genkova, Bundesamt für Verfassungsschutz, 26.02.2016))
Quelle((Deutscher Bundestag, „Rechtsgrundlagen des Datenaustauschs“, Kurzmeldung, 26.02.2016))
4Bundesrat, „Entwurf eines Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes“, Drucksache 430/1/16, Empfehlungen des Rechtsausschusses, Seite 3 ff, 23.09.2016, Berlin
5Kay Rechthien, „Sachverständigen-Gutachten gemäß Beweisbeschluss SV-13“, Chaos Computer Club, 30.09.2016, Hamburg
Quelle((„Geheimakte BND & NSA: Bad Aibling und die „Weltraumtheorie““, Stefan Krempl, heise.de, 26.03.2017))

Wer jetzt noch glaubt, dass die Komödie „Das gibt Ärger!“, in der zwei Geheimagenten die Ressourcen eines Geheimdienstes für das Anbandeln mit Frauen missbrauchen, unrealistisch sei, dem sei gesagt, dass es nachweislich ein dutzend Fälle gab, bei denen Mitarbeiter der NSA die Datenbanken zur Überwachung ihres privaten Umfeldes missbrauchten.
Quelle((Stellungnahme Inscpetor General National Security Agency George Ellard zur Anfrage von Senator Chuck Grassley vom 11.09.2013))

Können die Geheimdienste die gesamte Kommunikation aller Menschen auf der Welt abhören und abspeichern? Kurz gesagt: leider ja.

Methoden der Erfassung

Denkt man an Datensammler, denkt man in der Regel an die großen Internetkonzerne wie Google, Facebook, Apple oder Microsoft. In Deutschland sammeln aber auch noch viele andere Firmen Daten von uns. Das ist uns nicht bewusst, wir verbinden es nicht mit dem Internet und wir haben uns im Laufe der Jahre daran gewöhnt. Seien es Auskunfteien, wie die Schufa, die unsere Kreditwürdigkeit bewertet, ohne dass jemand genau weiß, wie die Ergebnisse entstehen. Seien es die Adresshändler, die mittlerweile auch sehr detaillierte Angaben zu unserem Kaufverhalten und unseren persönlichen Interessen verkaufen. Seien es die Versicherungen, die untereinander Daten über den Ablauf unserer Versicherungsfälle miteinander austauschen. Die weitaus größte und umfangreichste Sammlung betreibt aber unser Staat, die Kreise und die Gemeinden. Aber nicht nur das, sie verkaufen diese „mikrogeografischen“ Daten auch noch an Dritte.

Neben den offensichtlichen Erfassungsmethoden über Fragebögen und Selbstauskünfte existieren vielfältige andere Möglichkeiten der Erfassung von persönlichen Daten, bei denen sich der Nutzer nicht bewusst wird, was alles erfasst und ausgewertet werden kann.

Welche Seiten wir im Internet wann und wie lange besucht haben, speichert unser Router. Mit wem wir wann wie lange telefonierten, ebenfalls. Wenn wir einen Einzelverbindungsnachweis angefordert haben, dann werden diese Daten auch bei unserem Telekommunikationsdienstleister gespeichert. Die Streamingdienste speichern, wann wir welchen Film geschaut haben und an welcher Stelle wir abschalteten. Jede Spielkonsole meldet sich beim Einschalten beim Onlinedienst des Herstellers an. So kann unser Nutzungsverhalten protokolliert werden. Die Browser auf unserem Mobiltelefon und unseren Rechnern speichern in der Regel ebenfalls den Browserverlauf und etliche Cookies, die die besuchten Webseiten protokollieren. Unsere Kameras, auch die im Smartphones, können in den sogenannten EXIF-Daten speichern, wer wann und wo das Bild aufgenommen hat. Die Sprachassistenten speichern im Fall von Google alle, auch gescheiterte Anfragen als Audiofile. Und vor der Tür steht das Internet der Dinge, bei dem Haushaltsgeräte miteinander vernetzt sind und dadurch „smart“ werden sollen.

Quelle((„Aktivitätseinstellungen und Google Nest“, support.google.com, abgerufen 11.04.2022))

„Der Wäschetrockner flirtet mit dem Video und sendet Strahlen aus – ein elektronischer Zoo
Die Kaffeemaschine törnt den Toaster an – ich krieg die Kurve nicht mehr!
Oh Mann, oh Mann! Falsch programmiert!“

Spliff, „Computer sind doof!“, Album „8555“, 1982

Sage mir, was du kaufst …

Fintech, aber auch etablierte Banken bieten neue „Produkte“, die besser auf den Kunden zugeschnitten sind. Dazu muss man nur zustimmen, dass alle Kontobewegungen weitergegeben werden können. Wenn die Schufa an die Daten der Rabattkarten, der Buchungssätze der Banken und an die von Apple- und Google-Pay kommt … ach … Datenschutz, Datenschatz, legal, illegal, scheißegal, denn das Betriebsgeheimnis regelt.

Es wird beim Datenschutz mit zweierlei Maß gemessen. Das ist keine Boshaftigkeit, sondern im Verfahren begründet. Ich hatte mich einmal mit Peter Schaar nach einer Veranstaltung unterhalten, welche Möglichkeiten denn der Datenschutz hätte, Firmen Verstöße nachzuweisen. Danach war mir klar, warum die Datenschutzbeauftragten der Länder lieber an die kleinen Leute gehen. Das verspricht einfache Erfolge. Wie zuvor erwähnt: Dies ist keine böse Absicht oder eine Verschwörung, sondern schlicht in der Sache begründet. Die Alternative wäre, die Datenschutzbehörden aufzulösen. So tun diese Behörden eben, was sie können.

Firmen wie die Schufa lassen sich nicht in die Karten schauen und da bedarf es schon eines Whistleblowers, wenn wir näheres erfahren wollten. Nur Firmen, die offensichtliche Verstöße begehen, kann man angehen. Die Firmen, die das (Finanz-) Leben der Menschen kontrollieren, die sind zu schlau, sich erwischen zu lassen, deshalb haben die Datenschutzbehörden diese nach dem Motto im Auge: „Wehret den Anfängen!“.

International agierende Firmen der Informationstechnologie, wie Meta, Alphabet, Microsoft und Apple beschäftigen zwar Heerscharen von Anwälten, verloren aber in der Vergangenheit die gesetzlichen Regelungen in der EU aus den Augen – oder dachten, sie seien unangreifbar. Die Strafen zahlten sie zwar aus der Portokasse, aber der Ruf war trotzdem angeschlagen. Es wird immer schwieriger, auch diesen Firmen konkrete Datenschutzverletzungen nachzuweisen.

Quelle((Angelika Breinich-Schilly, „Fintechs brauchen umfassende Datenschutz-Konzepte“, Interview mit Gregor Dorfleitner und Lars Hornuf, springerprofessional.de, 14.01.2020))

Geteilte Daten, gute Daten?

Die EU kam 2022 auf die Idee, das Monopol des Messengers WhatsApp in Europa mittels des Digital Service Acts (DSA), der generell die Pflichten von Gatekeepern regelt soll, zu brechen. Auch wenn WhatsApp in den USA eine eher untergeordnete Rolle spielt, ist auch dort der Marktführer von Meta: Der Facebook Messenger ist in den USA mit über 80 % Marktanteil der eindeutige Platzhirsch. Ganz eindeutig dominiert Meta den Messengermarkt weltweit.

Ziel ist es, dass sich Nutzer von Telegramm und WhatsApp & Co gegenseitig aus ihren Messengern Nachrichten schicken können. Das ist ersteinmal eine gute Idee, aber diese Interoperabilität setzt aber auch den Austausch von personenbezogenen Daten und damit von Metadaten voraus. Schreibe ich beispielsweise mittels WhatsApp eine Nachricht an einen User, der Threema nutzt, kann dieser auch gleich WhatsApp benutzen, was er aber aus Datenschutzgründen eben bewusst nicht installiert hat. Überspitzt gesagt, ist dies ein digitaler Missbrauch. Facebook freut sich, kommt es doch so an Daten heran, an die es nie käme. Besser noch: Diese Daten sind „wertvoll“, weil sie von Usern stammen, die auf Datenschutz wert legen.

Dass Threema und Signal nun auf die Barrikaden gehen, verwundert nicht und ist begrüßenswert. Jeder, der Meta aus Datenschutzgründen meidet, würde gezwungen werden, auf Messenger zurückzugreifen, die sehr wenig Nutzerzahlen haben, was das Ganze noch absurder macht.

Aber es kommt noch schlimmer! Sag der Verschlüsselung zum Abschied leis‘ Auf Wiedersehn‘! Für den Austausch der Nachrichten müssten diese an den Schnittstellen entschlüsselt werden. Das lassen wir nun sacken und bei aller Phobie gegen Verschwörungstheorien fragt man sich unwillkürlich schon, wer denn bitte etwas _davon_ hat?

Quelle((Thomas Spinnler, „Volltreffer gegen die Big-Tech-Übermacht?“, tagesschau.de, 05.07.2022))
Quelle((Andreas Proschovsky, „Signal und Threema: Sichere Messenger wollen von EU-Zwang zu Interoperabilität nichts wissen“, derstandard.de, 09.07.2022))
Quelle((Matthias Mehner, „Nutzerzahlen Messenger-Apps Deutschland und weltweit“, Messengerpeaople.com, 02.03.2022))

Anonymität war gestern

Ist die Datenerfassung schlimm? Wenn sie mit Ihren persönlichen Daten verknüpft wird, mit Sicherheit. Klar, man muss einen Google-, Apple- oder Microsoft-Account nicht mit seinem Realnamen benutzen, aber spätestens, wenn Ihre Smartphone-Telefonnummer mit Ihrem Realnamen in einem anderen Adressbuch vom Dienstanbieter verglichen wird, werden Ihrer Identität beide Namen zugeordnet. Jeder weiß, dass man heute selbst für eine einfache Gmail-Adresse eine echte Telefonnummer vorhalten muss. Die anonyme Nutzung von Prepaid-Karten1 ist seit Juli 2017 nicht mehr möglich, also steht in einer Datenbank Ihre Telefonnummer zusammen mit Ihrem Namen. Wenn Sie einen Telefonvertrag haben, dann wird dieser bei den Auskunfteien ohnehin als Konsumkredit gespeichert, meist ist ja ein Handy mit dem Vertrag subventioniert.

Wer garantiert mir, dass Programme auf dem PC, Apps auf dem Handy oder die Firmware des WLAN-Radios nicht Spionage-Funktionen haben? Woran kann ich das erkennen? Wenn es gut gemacht ist, hat man als Normalverbraucher kaum eine Chance, Spionagefunktionen zu erkennen. Selbst wenn man sich im Router die Zieladressen des Gerätes anzeigen lässt, dem man misstraut, so kann ein Kontakt nach Hause auch einfach nur die Updatefunktion oder eine Lizenzschlüsselabfrage sein.

Quelle((Michael Heßburg, „Datenschutz durch eine anonyme SIM-Karte?“, Tellerrandforschung.de, 22.06.2017, Seeheim-Jugenheim))

Wem gehören meine Geräte?

https://commons.wikimedia.org/wiki/File:PlannedObsolescencePCB_german.png

Erinnern Sie sich noch, was geplante Obsoleszenz (Verschleiß) ist? Berühmt waren die Tintenstrahldrucker, die nach einer bestimmten Anzahl von Reinigungsvorgängen einfach den weiteren Betrieb verweigerten. Der Hersteller rechtfertigte dieses Verhalten damit, dass das Vlies, welches die überschüssige Tinte auffängt, dann vollgesogen wäre. Denkbar ist in dieser Richtung vieles. Warum sollte man nicht ein im Netz hängendes Gerät „defekt“ gehen lassen, wenn der Hersteller meint, dass es an der Zeit wäre, dass sich der Kunde ein neues kauft? Viele Firmwares sind heute verschlüsselt, die Beweisführung also eher schwierig, sodass sich der eine oder andere Hersteller vielleicht zu solchen „Sicherheitsmaßnahmen“ hinreißen lässt.
Quelle((„Wie die Hersteller tricksen“, sueddeutsche.de, 17.04.2012))

Digital gefälscht

So ein Drucker druckt nicht nur, nein, er merkt sich auch, wie viele Seiten – auch leere – bereits gedruckt wurden. Die großen Druck- und Kopierstationen in Firmen speichern sogar alle Druck- und Kopieraufträge auf einer internen Festplatte. Auch das Hinterteil der Chefsekretärin am Abend der Betriebsfeier. Die Daten sollten gelöscht werden, wenn der Leasingvertrag ausläuft. Aber wer denkt schon daran? Sie werden jetzt sagen, dass das doch schlicht zu viele Daten für eine Festplatte bei einer Nutzung über mehrere Jahre wären. Das stimmt schon. Aber die werden folgendermaßen komprimiert:

https://commons.wikimedia.org/wiki/File:BarackObamaLongFormBirthCertificate-Cropped.jpg

Erinnern Sie sich noch an den Skandal um die Geburtsurkunde des US-Präsidenten Barack Obama? Die sei angeblich gefälscht gewesen. Dabei wurde sie nur mit einem Druckcenter der Firma Xerox kopiert. Um Speicherplatz zu sparen, durchsucht die Texterkennung des Gerätes gleiche Buchstaben und – Sie ahnen es – speichert und verwendet nur einen einzigen dieser gescannten Buchstaben. Sind also auf einer Seite fünfzig gleiche Buchstaben „A“, so druckt das Gerät anstelle der verschiedenen „A“s immer nur ein einziges A aus dem Speicher. Manchmal vertut sich auch die Texterkennung und verwechselt eine 6 mit einer 8, einer 3 oder einer 9. Das sorgt für Erheiterung bei der Steuerprüfung. Gut, das ist Schnee von gestern. Hoffentlich.
Quelle((„31C3: Xerox womöglich Grund für Obama-Verschwörungstheorien“, Alexander Trust, Macnotes.de, 29.12.2014))

Fingerabdrücke auf Ausdrucken

Aktuell ist aber, dass manche Laserdrucker und -kopierer mindestens die Seriennummer als winzig kleinen Code aus gelben Pünktchen auf jeden Ausdruck mit ausgeben. Die Hersteller machen um den MIC (Machine Identification Code)1 ein Geheimnis, so weiß man nicht genau, was neben der Seriennummer noch „unsichtbar“ mit ausgedruckt wird. Überlegen Sie sich also zweimal, ob Sie das, was Sie da gerade drucken und weitergeben wollen, überhaupt dürfen. Einer NSA-Whistleblowerin brachte die MIC die Überführung und Inhaftierung ein.2 3 Wollen Sie die frisierten Firmenbilanzen weitergeben und glauben, dass in dem Falle abfotografieren eine clevere Lösung sei, dann weise ich auf die EXIF-Daten hin, die sogar noch geschwätziger sind. Wir leben in gefährlichen Zeiten für Whistleblower.

Quelle((Rob Graham, „How The Intercept Outed Reality Winner“, 05.06.2017, Errata Security))
Quelle((„Machine Identification Code“, Wikipedia, abgerufen 11.04.2022))
Quelle((„Vom Drucker verraten: NSA-Dokument enttarnt Whistleblowerin“, Martin Holland, heise.de, 06.06.2017))

Digitale Assistenten gibt es schon lange, aber erst heute sind sie langsam brauchbar geworden.
Textvervollständigungsassistenten beschleunigen das Verfassen von Texten. Daher überprüfen zum Beispiel Google, Facebook & Co. den eingegebenen Text bereits während der Benutzer noch tippt und geben mehr oder weniger passende Textvorschläge. Dies geschieht auf Basis der gespeicherten personenbezogenen Daten. Idealerweise sind Ihre Daten mit einem identifizierbaren Account verknüpft. Was für den Benutzer so schön komfortabel aussieht, ist in Wahrheit ein echter Datenschutz-GAU.

Okay, Sophia!

Wir wollen doch nur lauschen: Digitale Assistenten

Digitale Assistenten gibt es schon lange, aber erst heute sind sie langsam brauchbar geworden. Textvervollständigungsassistenten beschleunigen das Verfassen von Texten. Daher überprüfen zum Beispiel Google, Facebook und viele andere Websites den eingegebenen Text bereits, während der Benutzer noch tippt, und geben mehr oder weniger passende Textvorschläge. Dies geschieht auf Basis der gespeicherten personenbezogenen Daten.

Wenn Sie jetzt glauben, dass Sie in ein Kontaktformular einer Website schreiben können, was Sie möchten, solange Sie es nicht absenden, so muss ich Sie leider enttäuschen. Viele Website-Betreiber benutzen „Session Replay“1. Dieses Tool zeichnet alles auf, was Sie auf deren Website schreiben, wohin sie die Maus bewegen und wie lange der Mauszeiger auf einem Bereich (vielleicht ein Bild oder ein interessanter Textabschnitt?) stehen bleibt, wie schnell oder langsam Sie scrollen und vieles mehr. Passen Sie also auf, wenn Sie etwa Ihrer Versicherung über deren Portal eine Schadensmeldung schicken. Die können auch lesen, was Sie dort wieder gelöscht haben. Sie sollten die Schadenssumme besser nicht nachträglich erhöhen.

Idealerweise sind die aufgezeichneten Daten mit einem Ihrer identifizierbaren Accounts verknüpft. Was für den Benutzer oft so schön komfortabel aussieht, ist in Wahrheit ein echter Datenschutz-GAU.

Entsprechendes gilt für die Sprachassistenten. Siri, Alexa, Cortina oder die namenlose Dame, die auf „Okay, Google“ hört, sind wirklich praktisch. Ich nutze die Spracherkennung gerade im Auto sehr gern. In der Regel wird die Spracherkennung nicht auf dem Gerät selber ausgeführt, sondern auf die firmeneigenen Server hochgeladen und dort verarbeitet. Wussten Sie, dass man aus der Stimme vielerlei Informationen extrahieren kann? Klar, die Stimmung bzw. der Stresslevels eines Anrufers wird auch von manchen Telefonhotlines ausgewertet. Fluchen Sie doch mal unfreundlich in den Hörer, wenn Ihnen das Auswahlmenü einer Hotline zu umständlich erscheint. In vielen Fällen werden Sie dann direkt zu einem realen Mitarbeiter durchgestellt. Wir waren aber bei den Informationen, die man aus einer Stimme heraushören kann. Neben der aktuellen Gefühlslage und dem Gesundheitszustand kann man sogar die soziale Herkunft, den Bildungsgrad und natürlich die Heimatregion heraushören. Diese Technik wird tatsächlich für Apps, beispielsweise gegen Depressionen, entwickelt. Seien Sie also nicht nur vorsichtig, was Sie sagen, wenn Sie Ihre Versicherung anrufen, sondern auch, was Sie nicht sagen.
Quelle((Fabia A. Scherbel, „Session-Replay: Viele beliebte Webseiten zeichnen jegliche Texteingabe auf“, Heise.de, 22.11.2017, Hannover))
Quelle((„Kann man Depressionen an der Stimme erkennen?“, Eva Tenzer, Badische-Zeitung.de, 26.09.2016))
Quelle((Michael Heßburg, „Ein Tag im Leben eines Überwachten“, Hessburg.de, 16.11.2021))

Trauen Sie Ihrer Zahnbürste?

Für nur 120 EUR, ein echtes Schnäppchen, kommen Sie in den Genuss, dass Ihre Zahnbürste Sie ausspioniert. Es gibt da einige tolle Geräte mit Bluetooth. Etwas von Oral B. Deren App verlangt aber teils umfangreiche Rechte, unter anderem auf den Kalender, die Kamera und natürlich auf das Internet. Ein Blick in die AGB lohnt immer und so erfährt man, dass die erhobenen Daten an Dritte weitergegeben und mit anderen Quellen kombiniert werden dürfen.

Wenn Sie eine solche Zahnbürste online bestellen, dann sehen Sie zu, dass Sie dies zu einer christlichen Zeit machen. Und bitte zügig bestellen, nicht herumdrucksen und den Mauszeiger über „Jetzt bezahlen“ kreisen lassen, das wirkt, als seien Sie sich nicht sicher, ob Sie sich die Waren leisten können. Wenn Sie zum Beispiel mit Ihrer Bank Mailverkehr haben, sollten Sie schon auf eine korrekte Rechtschreibung und eine angemessene Sprachwahl achten. Nicht nur Banken verfügen schon seit Jahrzehnten über Customer-Relation-Management-Systeme (CRM). Dort wird auch der persönliche Eindruck erfasst, den Sie bei dem Bankangestellten hinterlassen.
Quelle((„Oral-B-App sendet unnötig viele Daten“, test.de, 25.10.2017))

Freiwillige 24-Stunden-Überwachung

Einfacher kann man Ihre persönlichsten Daten erfassen, wenn Sie immer ein Fitnessarmband tragen.1 Die Hersteller räumen sich in den meisten Fällen auch Rechte an den erfassten Daten ein, die Sie mit Ihrem Kundenprofil bei dem Hersteller verknüpfen. Explizit wird meist auch darauf hingewiesen, dass man durch die Daten einige Erkrankungen erkennen könne. Gespeichert werden u.a. Ihr Schlafverhalten, der Kalorienverbrauch, die zurückgelegten Schritte und sonstige Aktivitäten. Nun, ich überlasse Ihnen, was mit „sonstige Aktivitäten“ gemeint sein könnte, rate Ihnen aber, das Band bei ehelichen Aktivitäten nicht zu tragen. Alles müssen Dritte nun wirklich nicht wissen.

Wobei: es gibt tatsächlich Apps, die die Qualität Ihres Sexuallebens anhand der Anzahl der durchgeführten Bewegungen, der Dauer und der Lautstärke ermitteln. Wenn Sie nie wieder „Wie war ich?“ fragen wollen, könnten diese Apps etwas für Sie sein.
Quelle((Maximilian Mertin, „Fitness-Tracker – Zum Umgang vom Fitness-Armband mit Ihren Daten“, Datenschutzbeauftragter-Info.de, 02.01.2017, Hamburg))

Wobei … es gibt tatsächlich Apps, die die Qualität Ihres Sexuallebens anhand der Anzahl der durchgeführten Bewegungen, der Dauer und der Lautstärke ermitteln. Wenn Sie nie wieder „Wie war ich?“ fragen wollen, könnten diese Apps etwas für Sie sein.

Intransparente Bewertungen der Kunden

Umstritten ist, ob es wirklich Onlineshops gibt, die die Preise der Waren an die Anschaffungskosten des Gerätes koppeln, mit denen der Kunden den Shop öffnet. Vermutlich gab es aber in der Vergangenheit einige solcher Fälle. Da das aber leicht zu überprüfen ist und man den „Useragent“ des Browsers auf beliebige Betriebssysteme einstellen kann, wird sich der Aufwand wohl nicht gelohnt haben.

Auskunfteien sind ein ständiger Quell des Ärgernisses für den Datenschutz.1 Ich habe keine Rechnung mit der Schufa oder der Creditreform offen. Tatsächlich war mein Scoring bisher vermutlich weit überdurchschnittlich, vermutlich, weil ich keine Handyverträge nutze und Ratenzahlungen auf Konsumartikel nicht mag. Aber genau weiß man das ja nicht, die Algorithmen, die die Menschen bewerten, sind natürlich Geschäftsgeheimnisse. Vermutlich erscheinen auch nicht alle Daten auf der Selbstauskunft, die die Firmen gespeichert haben über ihre… sagt man da wirklich „Kunden“?
Quelle((Prof. Dr. Michael Ronellenfitsch, „Dreiundvierzigster Tätigkeitsbericht“, Seite 165 ff, 31.12.2014, Wiesbaden))

Auskunfteien

Auskunfteien sind ein ständiger Quell des Ärgernisses für den Datenschutz. Nein, nein, ich habe keine Rechnung mit der Schufa oder der Creditreform offen. Tatsächlich war mein Scoring bisher weit überdurchschnittlich, vermutlich, weil ich keine Handyverträge nutze und Ratenzahlungen auf Konsumartikel nicht mag. Aber genau weiß man das ja nicht, die Algorithmen, die die Menschen bewerten, sind natürlich Geschäftsgeheimnisse. Vermutlich erscheinen auch nicht alle Daten auf der Selbstauskunft, die die Firmen gespeichert haben, über ihre … sagt man da wirklich „Kunden“?
Quelle((„Hessischer Datenschutzbeauftragter kritisiert die Schufa“, Stefan Krempl, heise.de, 08.09.2015))

Facebook kennt Sie besser als ihr Partner

Es gibt Studien darüber, dass die sozialen Netzwerke eine Person besser kennen und einschätzen können, als deren eigener Partner. Klingt erschreckend, oder? Ist aber nicht verwunderlich, wenn Sie sich mal überlegen, wie viele News, Texte, Bilder und Videos Sie auf Facebook bisher wohl geliked haben. Es sind bei mir in zehn Jahren Abertausende gewesen. Selbst wenn Sie aus Datenschutzgründen nur Bilder liken würden, so muss ich Ihnen leider mitteilen, dass Facebook schon lange eine Objekterkennung über die Bilder laufen lässt und die Bilder automatisch „taggt“.1 So weiß Facebook genau, was Sie auf Bildern gerne sehen. Weiß Ihr eigener Partner das auch so genau? Seien Sie ehrlich, vielleicht zur diamantenen Hochzeit. Facebook weiß hingegen sogar, wen Sie wählen werden. 2 3

Quelle¹
Quelle((Jacqueline Büchi, „Big-Data-Guru Kosinski: «Ich habe Trump meine Facebook-Algorithmen nicht verkauft»“, Watson.ch, 22.08.2017, Zürich))
Quelle ohne Link((Siehe dazu den Cambridge Analytica-Skandal, der in der Insolvenz der Firma mündete.))

Bildersammler

Einige Firmen locken mit unbegrenztem Speicherplatz für Fotos. Un-be-grenzt! „Richtiger“ Cloud-Speicher ist normalerweise relativ teuer. Teurer z. B. als eine Prime-Mitgliedschaft. Warum machen die Anbieter das also? Die sind doch nicht der Weihnachtsmann. Nun, einerseits ist das Volumen durch die Internetverbindung der User recht limitiert; will sagen, es würde einfach zu lange dauern, eine Bildersammlung von mehreren hundert Gigabyte auf die Server zu laden. Allerdings bekommen die Unternehmen jede Menge Futter für ihre Big-Data- und KI-Algorithmen. Die Firmen erfahren enorm viel über ihre Kunden und deren Privatleben. Deshalb dürfen diese Bilder auch nicht verschlüsselt werden, denn damit könnten die Algorithmen nichts anfangen.

"Deine Fotos werden geordnet und können nach Orten und Inhalten durchsucht werden.
Taggen ist nicht nötig. Wenn du dir beispielsweise die Fotos deines süßen Hundes 
ansehen möchtest, suche einfach nach "Hund".“

support.google.com

"Sicherer Fotospeicherplatz; bewahren Sie Ihre Fotos sicher und ohne Auflösungs- 
oder Qualitätsverlust auf. Geben Sie Speicherplatz auf Ihrem Smartphone frei; 
laden Sie unbegrenzt Fotos hoch und löschen Sie sie dann sicher von Ihrem Smartphone."

support.google.com

"Die Vorteile des Tarifs „Unlimited Photos“ von Prime Photos gilt nur für Dateien, 
die als Foto erkannt werden. Wenn ein Foto verschlüsselt wurde, kann es nicht von 
Amazon Drive als solches identifiziert werden und die Datei wird auf Ihren 
Speicherplatz angerechnet."

Amazon Prime Photos

Filterblasen

in weiterer typischer Fall von Big Data ist – natürlich – Facebook. Über eine Milliarde Benutzer generiert täglich unglaubliche Datenmengen, die von den firmeneigenen Servern gespeichert und analysiert werden. Bei der Verarbeitung von persönlichen Daten ist das Hauptziel der Firmen die Kundenbindung. Wenn der Kunde sich auf der Plattform des Unternehmens oder als Kunde wohlfühlt, wird er nicht zu einem Mitbewerber wechseln. Das Unternehmen muss die Wünsche und Vorlieben des Kunden erkennen und darauf reagieren. Gewinne erzielt das Unternehmen durch Bezahlung durch den Kunden selbst oder durch personalisierte Werbung.

Aber die sozialen Netzwerke wollen nicht nur wissen, was uns auf ihrer eigenen Plattform interessiert, sie spionieren uns auch noch auf allen anderen Seiten nach1, die einen Like-Button des jeweiligen Dienstes haben. Dazu muss man diesen nicht einmal anklicken, es reicht, wenn man noch gleichzeitig bei Facebook angemeldet ist und man keine Schutzmaßnahmen wie eine Sandbox oder einen Container für die Social-Media-Website eingerichtet hat.

Die Filterblase, unsere „virtuelle Komfortzone“, die uns in den sozialen Netzwerken dieses Gefühl der Geborgenheit vermittelt, ist vielleicht für die weltweite Zunahme der Akzeptanz von radikalen Meinungen und einfachen Lösungen für komplexe Sachverhalte mitverantwortlich. Auf Facebook tobte seinerzeit der Kampf zwischen Anhängern und Gegnern des geschassten Verteidigungsministers Theodor von und zu Guttenberg. Offene Schlagabtausche fördern jedoch nicht gerade den Wohlfühlfaktor. Seitdem hat sich bei Facebook hinter den Kulissen sehr viel getan.

Quelle((Bundeskartellamt, „Vorläufige Einschätzung im Facebook-Verfahren: Das Sammeln und Verwerten von Daten aus Drittquellen außerhalb der Facebook Website ist missbräuchlich“, Pressemitteilung, 19.12.2017, Bonn))

Je mehr persönliche Daten wir im sozialen Netzwerken preisgeben, 
desto kuscheliger wird die Blase, in der wir uns aufhalten. 
Datensparsamkeit würde hier also ganz real den Horizont erweitern.

Vom Kunden zum Rind

Facebook ist bedacht darauf, dass sich seine Kunden . . . nein, Kunden ist das falsche Wort . . . seine Ware? Das ist besser. Oder passt ein anderes Bild noch besser? Vielleicht eine gigantische Rinderherde auf einer riesigen argentinischen Ranch? Also, Facebooks Rinder sollen sich also wohlfühlen. Sie sollen nicht kämpfen. Facebook zog folglich neue Zäune zwischen den Rindern, die sich ohnehin nicht so gut verstanden. Wir kennen diese Zäune als Filterblasen. Man kann, wenn man es darauf anlegt, ein Stück weit über den Zaun schauen, aber man wird nur schwierig Teil der anderen Gruppe werden können. Daraus folgt, dass man nur mit Rindern zusammengeführt wird, die die eigene Meinung bestärken und ihr nicht widersprechen. Rinder werden zusammengeführt, die im realen Leben aufgrund der räumlichen Abstände nur schwierig zueinander gefunden hätten. Verschwörungsrinder. Identitäre Rinder. Chemtrail-Rinder. Es gibt Rinder, die glauben, die Erde sei eine Scheibe. Und niemand weit und breit, der ihnen widerspricht. Ein Paradies.
Quelle((„Aluhüte und Reptiloiden“, Interview mit Roland Imhoff, ruprecht.de, 13.06.2017))

Fake News

Wer ist noch nie auf eine Fake News hereingefallen, wenn die einem schlicht zu gut in das eigene Weltbild passte? Ich gebe es zu, auch mir ist es passiert. Ebenso habe ich auch einmal ein Video des renommierten und von mir sehr geschätzten Professor Harald Lesch „geliked“ und geteilt. Dabei schaute ich nicht auf die Quelle, die ein Facebook-Freund von mir für seinen Post verwendete. Es handelte sich um eine Fake News-Webseite mit einer Postfach-Adresse im Impressum. Ich löschte meinen Repost natürlich sofort, aber der Algorithmus von Facebook hatte längst gespeichert, dass ich dieser Quelle anscheinend vertraue. Es darf bezweifelt werden, dass Facebook wirklich alle Meta- und sonstige Daten in der Realität löscht, wenn der User sie löscht. Man selbst sieht sie nur nicht mehr.

Was sind Metadaten und warum sind die so interessant?

Kommt man auch an Metadaten, ohne die Internetleitungen direkt abzuhören? Sie haben nichts zu verbergen, aber Ihnen unbekannte Konzerne dürfen wissen, wann und wie oft Sie andere Webseiten besucht haben? Die interessieren sich für Ihre Besuche bei Ihrer Bank, bei ihren bevorzugten Newsportalen, bei Ebay und Amazon. Vor allem ist interessant, was Sie sich dort ansehen. Diese „Metadaten“ enthalten zum Beispiel nicht den Inhalt einer Mail oder eines Postings auf Facebook – sie enthalten gewissermaßen nur die Verbindungsdaten. Wer wann und wo welche Seite aufgerufen oder wem z. B. eine Mail oder Whats (WhatsApp-Kurznachricht) geschickt hat.

Aus diesen Metadaten kann man tatsächlich einiges ableiten. Sie sind die Kristallkugel der Datensammler. Ruft jemand am Ende des Monats mehrfach am Tag seinen Kontostand ab, so darf man wohl davon ausgehen, dass er auf sein Gehalt wartet, weil sein Konto leer ist, oder? Man könnte daraus schlussfolgern, dass dieser Mensch nicht kreditwürdig ist, da er augenscheinlich nicht mit Geld umgehen kann. Aber vielleicht wollte er auch nur nachsehen, ob PayPal schon die Reklamation zurückgebay hat? Ohnehin hat so ein Mensch aus der Logik eines Finanzdienstleisters sein Leben nicht im Griff. Entweder hat er generell zu wenig Geld oder er hat den Überblick verloren.

Anderes Beispiel: Ein Kollege und eine Kollegin benutzen Facebook auf ihren Smartphones. Sie schreiben sich nicht einmal private Nachrichten. Facebook muss nicht einmal die Inhalte mitlesen, um einer Liebschaft auf die Spur zu kommen. Da reichen die Metadaten.

Befinden sich die beiden öfter zu Mittag in einem kleinen Restaurant? Oder gehen im Park spazieren? Abends sind sie wieder zu Hause? Beide haben den Status „Verheiratet“ und einen anderen Partner angegeben. Gelegentlich treffen sie sich aber in einem Hotel. Facebook kennt meistens den Standort seiner Mitglieder sehr genau. Beide dürfen sich nicht wundern, wenn sie Werbung für „romantische Wochenenden zu zweit“ angezeigt bekommen, schließlich verkauft Facebook sehr zielgenaue Werbung.

Klar, Facebook bindet seine Nutzer in ein komplettes Social-Network-Biotop, dem der Nutzer auch nicht auf fremden Webseiten entgehen kann, denn viele bieten eben Like- und Share-Buttons für die großen sozialen Netzwerke an, die den Nutzer identifizieren können.

Mögen Sie Kekse?

Wie kommt man aber als normaler Webseitenbetreiber an die Informationen, welche Seite der Besucher vorher besucht hat? Man liest seine Cookies aus. „Cookie“ heißt übersetzt „Keks“. Jeder mag Kekse und freut sich, wenn er einen bekommt. Surfen wir im Netz, bekommen wir von jeder Seite mindestens einen eindeutig identifizierbaren Keks. Ähnlich wie Hänsel und Gretel hinterlassen wir so eine Spur aus Kekskrümeln auf unserem Rechner, die nicht nur die Website lesen kann, die uns den Cookie gab, sondern auch jede andere. Die Krümel verraten u. a. wo wir online einkaufen, ob wir dort als Kunde registriert sind, über welche Nachrichtenportale wir uns informieren und welche Hobbys wir haben. Für die Websitebetreiber ist dies praktisch, denn so kann er besser personalisierte Werbung schalten. Die Lebensdauer von Cookies ist unterschiedlich. Einige laufen nach einigen Minuten ab, andere sind gleichermaßen unlöschbar.

Quellen((„Cookies löschen nutzlos – Das fast unlöschbare Cookie“, Technologie4web.de))

Ortungsdienste? Wie funktionieren die?

Mehrfach bemerkte ich, dass die Menschen nicht wissen, wie die Navigationssatellitensysteme GPS, Galileo oder Glosnass überhaupt funktionieren. Oft höre ich, dass „der Satellit“ dem Navigationsgerät „sagt“, wo man ist. Das ist falsch. Satelliten senden ihre Position im Orbit und die mit den anderen Satelliten synchronisierte Atomzeit in Richtung Erde. Empfängt dort ein Gerät mit GPS-Funktion das Signal von mindestens vier Satelliten, so kann es eigenständig seine eigene Position (Längengrad, Breitengrad und Höhe über Null) durch die Laufzeitunterschiede der Satellitensignale errechnen. Ein navigationsfähiges Gerät wird erst durch eine Datenverbindung zum Internet zur Plaudertasche – es kommuniziert nicht mit den Satelliten.

Google schickte mich in das Gefängnis

Wer, was, wann wo und mit wem? Sind im Handy die Ortungsdienste (GPS) aktiviert, wird von Ihnen in der Regel durchgehend ein Bewegungsprofil erstellt, welches Sie z.B. bei Google im „Dashboard“ in der Timeline einsehen können. Ich besuchte neulich meine Mutter in Kassel. Sie wohnt dort in der Nähe des Parks Schönfeld. Google zeigt mir jetzt in der Timeline an, dass ich die „JVA Kassel II“ besucht hätte, die ebenfalls dort angrenzt. Ich war nicht einmal in Sichtweite der Justizvollzugsanstalt. Ich hoffe einfach mal, dass an dem Tag dort niemand ausbrechen wollte und ich als Ortsfremder nicht in das Visier der Ermittlungsbehörden komme.

Stauerkennung in Echtzeit

Google sammelt Daten aus dem Fahrzeug und wertet sie aus. Die Firma holt sich die Staumeldungen nicht via TMC (Traffic Message Channel) aus dem Radio. Man kann doch viel schneller und genauer feststellen, an welchen Stellen der Verkehr langsamer als sonst fließt, wenn man die Autos beobachten könnte. Dazu wertet Google die anonymisierten GPS-Daten aus tausenden Android-Geräten aus. So kommt es, dass man (tolle Sache!) sogar Staus vor Ampeln oder Bahnübergängen quasi live im Routenplaner angezeigt bekommt.

Positionsbestimmung ohne GPS?

Aber nicht nur Google kann Ihren Standort und Ihre Geschwindigkeit feststellen. Nein, das kann eben jede x-beliebige Website mittlerweile auch, wenn sie Zugriff auf Ihre sogenannten „Standortdaten“ hat.1 Den Standort kann man auch ohne GPS relativ genau feststellen2, in dem man die Mobilfunksender und/oder die WLAN-Hotspots in der Umgebung und deren Empfangsstärke mit vorhandenen Datenbankeinträgen3 vergleicht. Google dürfte die größte, genaueste und aktuellste Datenbank dieser Art besitzen.4

Quelle((„Standort im Browser ermitteln per HTML5 Geolocation API“, selfhtml5.org, 08.08.2014))
Quelle((„So funktioniert die HTML5-Lokalisierung“,Daniel Behrens, pcwelt.de, 03.01.2014))
Quelle((„All the networks. Found by Everyone.“, Lister aller WLAN-Hotspots weltweit))
Quelle((„Datenschützer: Street-View-Autos scannen private Funknetze [Update]“, Volker Briegleb, heise.de, 22.04.2010))

Wir werden überwacht und rufen „Hurra!“

Aber wir wollen jetzt nicht unfair gegenüber Google sein. Seit März 2018 gibt es eCall! Die Absicht dahinter ist hehr: schnellere ärztliche Versorgung nach einem Autounfall.1 eCall ist eine Blackbox mit GPS und einem Mobilfunkmodul. Ab 2018 muss jedes neue Fahrzeugmodell in der EU über dieses automatische Notrufsystem verfügen. eCall ist über das OBD-System (On Board Diagnostic) mit den Sensoren des Fahrzeugs verbunden. Kommt es zu einem Unfall, ruft eCall die Rettungsdienste. So weit, so gut.

Quelle((„eCall: Elektronischer Schutzengel im Auto“, ADAC.de, 03.04.2018, München))
Quelle((„Das sollten Sie über eCall wissen“, smh/dpa, spiegel.de, 28.04.2015))

Leider wollen die Automobilhersteller über dieses System, das im Prinzip ständig aktiv sein könnte, nicht nur im Falle eines Unfalles – „Zusatzdienste“ anbieten. Neugierig waren sie schon immer. Aber auch die Versicherer haben bereits Interesse an der Sammlung von Fahr(er)profilen angemeldet:
Quelle((„ADAC Untersuchung: Datenkrake Pkw“, ADAC.de, München))
Quelle((„Vernetzt und verraten“, Christof Vieweg, zeit.de, 15.02.2016))

„Sie bremsen öfter sehr scharf, beschleunigen danach wieder stark und 
pflegen einen eher „eckigen“ Fahrstil. An Stop-Schildern bremsen Sie 
niemals bis zum völligen Stillstand ab. Dies sind Indikatoren, die auf 
ein erhöhtes Versicherungsrisiko schließen lassen. 
Ihr Beitrag wird mit einem Risikozuschlag versehen.“

Eine finstere Zukunftsvision? Leider nein. Schon jetzt gibt es etwa die App „Allianz BonusDrive“, die genau das Beschriebene macht.

Mein Auto spricht mit fremden Autos!

Auch neu ist pWLAN (Public WLAN) in Kraftfahrzeugen. Dieses Fahrzeug-zu-Fahrzeug-Kommunikationssystem wird als „Blick um die Ecke“ angepriesen2 und ist primär für autonomes Fahren interessant, denn es ist eine Art Sensoren-Sharing, eine deutliche Erweiterung des Blickfelds der Fahrzeuge. Weiterhin wird es möglich sein, vor herannahenden Rettungs- und Einsatzfahrzeugen zu warnen. Das System funktioniert in einem Radius von etwa 500m. Wie bei eCall auch wird es bei pWLAN nicht lange dauern, bis jemand auf die Idee kommt, das System für kommerzielle Zwecke zu verwenden.

Wenn Datenschützer schon bei der normalen Notruffunktion des eCall-Systems Bedenken haben,3 wie werden sie dann erst pWLAN in Kraftfahrzeugen beurteilen? Neben den datenschutzrechtlichen Bedenken komm das Sicherheitsproblem hinzu, dass man fingierte Staus und ähnlichen Schabernack mit etwas Bastelei und ein paar handelsüblichen WLAN-Sticks „entstehen“ lassen kann.

Quelle((„Mit dem Ziel, die Sicherheit im Straßenverkehr zu erhöhen, lässt Volkswagen Fahrzeuge ab 2019 miteinander kommunizieren“, Volkswagen AG, 28.06.2017, Wolfsburg))

Quelle((„IEEE 802.11p“, wikipedia.de, abgerufen 12.04.2022))

Überwachung des ruhenden Verkehrs

Wenn Datenschützer schon bei der normalen Notruffunktion des eCall-Systems Bedenken haben, wie werden sie dann erst pWLAN in Kraftfahrzeugen beurteilen? Neben den datenschutzrechtlichen Bedenken kommen für mich noch Sicherheitsprobleme hinzu, denn ich gehe noch Wetten ein, dass man fingierte Staus und ähnlichen Schabernack mit etwas Bastelei und ein paar handelsüblichen WLAN-Sticks „entstehen“ lassen kann.
Quelle((Thilo Weichert, „Datenschutz im Auto“, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, 30.01.2014, Kiel))

(Park-) Raumüberwachung

Erinnern Sie sich noch daran, wie es war, als Sie noch anonym einen öffentlichen Parkplatz benutzen und ebenso unbeobachtet einen Parkschein ziehen konnten? Damit Sie sich auch beim Parken sicher fühlen können – und weil es so schrecklich bequem und ultracool ist – können Sie seit einigen Jahren via SMS ein virtuelles Parkticket ziehen1 – wenn es denn funktioniert2. Einen Boom wird diese Technik sicher erleben, wenn das Bargeld endlich, so wie in Schweden konkret geplant, abgeschafft würde. 3 Die Abschaffung kann man mit der Bekämpfung des Terrors, der kriminellen Organisationen und der Schwarzarbeit rechtfertigen. Nebeneffekt ist, dass der Staat nun jedweden Geldfluss im Blick hat. Die totale finanzielle Überwachung!
Quelle((Hannah Schmitt, „Service funktioniert nicht immer“, Generalanzeiger Bonn, 22.02.2016, Bonn))
Quelle((Nils-Victor Sorge: „Bargeld-Abschaffung – warum Schweden plötzlich nervös wird“, Manager-Magazin.de, 20.02.2018, Hamburg))
Quelle((„Parkticket per SMS wird kaum genutzt“, dpa, heise.de, 29.07.2017))
Quelle((„Handyparken mit Tücken: Warum es mit dem Parkschein per SMS nicht immer klappt“, suedkurier.de, 18.08.2014))

Überwachung des fließenden Verkehrs

Die On Board Unit (OBU) in Lkws erfasst schon heute die Position des Fahrzeugs kontinuierlich und übermittelt die Wegstrecke über Mobilfunk (GSM) an die Zentrale von Toll Collect.  Nun kommt die umstrittene Pkw-Maut.  Glücklicherweise wird diese in Deutschland nur durch eine einfache Vignette kontrolliert und nicht durch eine OBU. Wäre dies der Fall, stünde technisch tatsächlich einer flächendeckenden Überwachung des fließenden und ruhenden Verkehr nichts im Wege.

Die Mautbrücken auf Deutschlands Autobahnen lesen unermüdlich Kennzeichen ein. Tag und Nacht. Durch die gewonnenen Daten könnte man Bewegungsprofile der Fahrzeuge inklusive der gefahrenen durchschnittlichen Geschwindigkeiten erstellen, auch, ohne dass z.B. ältere Fahrzeuge über irgendeine Art von Elektronik verfügen. Die Polizei, der BGS und das BKA würden die Mautbrücken gern für die Fahndung benutzen. 5 6 7 Datenschützer gehen auf die Barrikaden, aber die Mautbetreiber versichern, dass die Kennzeichen nur für Abrechnungszwecke gespeichert und danach unverzüglich gelöscht würden. Wenn es nun aber externe Schnittstellen für Strafverfolgungsbehörden geben wird, reicht diese kurze Zeitspanne aus, um diese Daten zu kopieren. Und „glaubt jemand ernsthaft, der BND oder die NSA kommen an diese Daten nicht ran, wenn sie wirklich wollen?“

Quelle((Toll Collect, „Fahrzeuggerät Bedienungsanleitung V. 4.0“, Seite 3, Stand 01.2018))
Quelle((Deutscher Bundestag, „Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Horst Friedrich (Bayreuth), Ulrike Flach, Birgit Homburger, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 15/2026 – Datenschutz und Datensicherheit bei der Lkw-Maut“, Drucksache 15/2127, 03.12.2003, Berlin))
Quelle((Deutscher Bundestag, „Entwurf eines ersten Gesetzes zur Änderung des Infrastrukturabgabengesetzes“, Drucksache 18/11237, 20.02.2017, Berlin))
Quelle((Deutscher Bundestage, „Stellungnahme des Bundesrates und Gegenäußerung der Bunderegierung“, Drucksache 18/11536, 15.03.2017, Berlin))
Quelle((M. Bewarder, K. Kammholz, M. Lutz, „Das BKA will Zugriff auf die Mautdaten“, Welt.de, 02.11.2014, Hamburg))
Quelle((„Kriminalbeamte fordern: Daten von Lkw-Mautbrücken für Fahndung nutzen“, VerkehrsRundschau.de, 25.11.2005, München))
Quelle((Deutscher Bundestag, „Stenografischer Bericht 170. Sitzung“, 15948 ff, Rede Günter Baumann, 15.04.2005))

"Glaubt irgendjemand ernsthaft, der BND oder die NSA kommen an diese Daten 
nicht ran, wenn sie wirklich wollen?"

Gregor Honsel, MIT Technology Review
Quelle((„Kommentar zur Maut: mehr Überwachung statt Mehreinnahmen? Schluss mit dem Unfug!“, Gregor Honsel, MIT Technology Review, heise.de, 31.10.2014))

eSIM: Abhören leicht gemacht!

Eine neue Technik ist die eSIM.Das ist eine SIM-Karte für die Mobilfunknetze, die fest in ein Gerät eingebaut ist und sich deshalb nicht wechseln lässt. Notwendig wurde diese Technik für die Industrie durch die Entwicklung des IoT (Internet of Things, Internet der Dinge). Musste die NSA früher noch umständlich die Schlüssel für SIM-Karten beim Hersteller in Asien stehlen2, so bietet die eSIM mannigfaltiger Möglichkeiten der Manipulation – nicht nur durch Geheimdienste. Solange wiederum hohe Beamte aus mangelnder Fachkenntnis die NSA mit der NASA verwechseln, wird es keine sichere Kommunikation für die Bürger geben. Solange EU-Digitalkommissare augenscheinlich frei von jedweder Sachkenntnis fremdbestimmte Verordnungen erlassen wollen, solange wird es keine Gesetze geben, die die Interessen der Bürger schützen – statt die der Konzerne und Geheimdienste.

Quelle((Harald Range, Pressekonferenz des Generalbundesanwaltes 2013))
Quelle ohne Link((Dr. Helmut Fogt, „(…) deren Lieblingsobjekte die Geheimdienste, NASA usw. sind, das mag schon sein. (…)“, zitiert von Linus Neumann, Vortrag auf dem 30C3, 29.12.2013, Hamburg ))
Quelle((Andrea Rungg, „Günther Oettinger, der aufgescheuchte Kommissar der Unternehmen“, Manager-Magazin.de, 19.11.2014, Hamburg))
Quelle((Nina Katzemich, „Günther Oettinger: Kommissar der Konzerne“, Lobbycontrol, 05.01.2017, Köln))
Quelle ohne Link((Bundesfinanzministerium, „Diskussionsrunde zur Sonderreihe „BMF im Dialog“: Wachstumstreiber Digitalisierung“, 06.03.2015, Berlin))
Quelle((Markus Beckedahl, „Günther Oettinger: Netzneutralität tötet, Befürworter sind Taliban-artig“, Netzpolitik.org, 06.03.2015, Berlin))
Quelle,((Alexander Demling, Philipp Seibt, „Der Telekommissar“, „Eine Datenanalyse“, Spiegel Online, 24.06.2015, Hamburg))
Quelle((„Was die eSIM für den Datenschutz bedeutet“, Oliver Schonschek, datenschutz-praxis.de, 07.03.2016))
Quelle((„Zwei Milliarden gestohlene SIM-Karten sind ein echter Alptraum“, Brian Donohue, kaspersky.de, 27.02.2015))

Jeder kennt jeden über sieben Ecken

Sie erlauben Apps wie WhatsApp Zugriff auf Ihre Telefonkontakte? Das ist eine schlechte Idee. Neben der Tatsache, dass Sie dadurch vor Gericht landen können (und zum Lesen der Seite klicksafe.de sowie der Benutzung eines nicht-online-basierenden Weckers verdonnert werden können – kein Witz!)1 kennen Facebook, Google – und vielleicht auch die NSA, das GCHQ sowie der BND über den bereits angesprochenen Ringtausch – jetzt ebenfalls Ihr Adressbuch. Und interessieren sich folglich auch für die Adressbücher Ihrer Kontakte. Sie haben gar nichts verbrochen? Sie vielleicht nicht, aber wussten Sie, dass sich einer der 734 Facebook-Freunde des netten Arbeitskollegen gerade in einem Boot-Camp der IS in Afghanistan aufhält? Oder dass der Nachbar aus dem zweiten Stock Drogen an Jugendliche verkauft?

Quelle((Amtsgericht Bad Hersfeld — Beschl. v. 15.05.2017, Az.: F 120/17 EASO))
Quelle((Wikipedia, „Rasterfahndung“, Unterpunkt „Kritik“, Stand 04.2018))
Quelle((„Urteil: Sohn nutzte WhatsApp, Mutter muss nun Klicksafe.de lesen“, Ingo Dachwitz netzpolitik.org, 28.06.2017))

Schau mir in die Augen, Computer!

Der zunehmende Einsatz von Videoüberwachung in Deutschland ist insofern problematisch, als durch den elektronischen Personalausweis (und den ePass) im Laufe der Zeit das Gesicht eines jeden Bundesbürgers digitalisiert und als biometrischer Datensatz abgespeichert wurde. Auf die Datenbanken, in denen unsere biometrischen Merkmale abgespeichert werden, haben die Geheimdienste Zugriff1 und können so in Echtzeit jeden Menschen eindeutig identifizieren, der auf einem Überwachungsvideo zu sehen ist.2 Haben Sie einmal eine Gesichtserkennungssoftware benutzt? Die ist nun wirklich nicht perfekt, sodass das Risiko von Verwechslungen real ist. In jedem Fall ist die Videoüberwachung im Zusammenspiel mit dem Zugriff auf unsere biometrischen Daten ein nicht hinzunehmender Eingriff in unsere Privatsphäre und verletzt unsere Grundrechte.
Quelle((Deutscher Bundestag, „Entwurf eines Gesetzes zur Förderung des elektronischen Identitätsnachweises“, Drucksache 18/12417, 17.05.2017, Berlin))
Quelle((Benjamin J. Kees „Algorithmisches Panopticon“, Verlagshaus Monsenstein und Vannerd, 2015, Münster))
Quelle((„Im Bundestag: Automatisierter Zugriff auf biometrische Passbilder für alle Geheimdienste“, Constanze Kurz, netzpolitik,org, 17.05.2017))
Quelle((„Interview zur Videoüberwachung: Computer, die auf Menschen starren“, Constanze Kurz, netzpolitik.org, 02.05.2017))

„Den gleichen Namen zu haben wie ein Verdächtiger
kann in Deutschland heute schon für Sanktionen reichen.“

Christian Stöcker, „Treffen sich Orwell und Kafka am Bahnhof…“, Spiegel Online, 2017
Quelle((„Treffen sich Orwell und Kafka am Bahnhof…“, Chrstian Stöcker, spiegel.de, 25.08.2017))

„Jedes Überwachungsvideo, das Gewalt zeigt, ist ein Beweis, 
dass Videoüberwachung Ihnen keine Sicherheit bringt.“

fiff.de/ digitalcourage.de
Quelle((„Kamera läuft – bitte lächeln!“, Kerstin Demuth, fiff.de / digitalcourage.de, 22.02.2017))

Denunzianten sind überall!

Als es auf Facebook erstmals möglich wurde, Personen auf Bilder zu markieren, nutzte diese Funktion ein Freund von mir. Mit Dutzenden Bildern, auf denen ich zu sehen war. Man glaubt nicht, wie lange die Entfernung eines solchen „Tags“ dauert! Danach sperrte ich diese Funktion, aber da war das Kind bereits in den Brunnen gefallen, und meine biometrischen Daten befanden sich in den Händen des zuckerbergschen Imperiums. Facebook liebt Denunzianten. Deswegen wird manchmal auch bei Freunden von Benutzern nachgefragt, ob derjenige wirklich seinen Realnamen verwendet.

Warum ist das nun aber so schlimm? Weil jeder dadurch die Identität von Personen auch auf eigene Faust feststellen kann. Immer noch nicht schlimm genug? Zwei Beispiele aus der Realität, die den Leser fassungslos zurücklassen: VK.com, das „russische Facebook“ ent-anonymisierte Darstellerinnen aus pornographischen Filmen und wies deren Freunde, Bekannte und Verwandte auf die Nebentätigkeiten der Frauen hin.1 Aber auch Demonstranten wurden identifiziert und mit Namen und Link zum VK-Profil auf einer Website veröffentlicht.2 Beide Vorgänge waren durch die App „FindFace“ möglich.
Quelle((Julian Hans, „Wie Russland Demonstranten identifiziert“, Süddeutsche.de, 12.07.2017, Moskau))
Quelle((„vk.com: Porno-Darstellerinnen per Gesichtserkennung entanonymisiert“, Martin Holland, heise.de, 26.04.2016))
Quelle((„Russische Demonstranten per Gesichtserkennungs-Software identifiziert“, Simon Rebiger, netzpolitik.org, 13.07.2017))

RFID

Die Nahfeldkommunikationstechnik RFID sollte ursprünglich u.a. den Barcode ersetzen. Bisher hat sie sich aber nur auf hochpreisigen Artikeln durchgesetzt. Es ist schlicht viel zu teuer, einen Becher Joghurt mit einem dieser sogenannten RFID-Tags auszustatten. In dem Tag befindet sich ein kleiner Sender, bestehend aus einem Chip mit einer Antenne. Dieser Sender hat keine Batterie. Kommt er in die Nähe eines RFID-Auslesegerätes, wird er durch das von ihm ausgesendete elektromagnetische Feld mit Energie versorgt und übermittelt seine Daten.

Die Grundidee dahinter ist, dass man kontaktlos und im Vorübergehen Warenein- und Ausgänge sowie Lagerbestände erfassen kann. Dem Endkunden wird es mit dem Beispiel schmackhaft gemacht, dass er mit seinem vollen Einkaufwagen einfach durch die Kasse spaziert und bezahlt. Das wäre das Ende der Kassenbänder. Aber auch das Ende der Kassiererinnen, wenn man sie im gleichen Zug durch einen Kassenautomaten ersetzt. Dieser Kassenautomat würde vielleicht aus einem Drehkreuz mit einem Display und einem Tastenfeld bestehen. Der Kunde steht mit seinem Einkauf davor, es werden ihm die Rechnung und die Zahlungsmöglichkeiten angezeigt. Er gibt seine PIN ein und geht. Dazu bleibt die Karte in der Tasche, denn auch sie verfügt über einen der RFID-Chips (es sei denn, man nutzt einen Geldbeutel mit integrierter Alufolie, das gibt es). Niemand muss mehr den Magnetstreifen über das Hemd reiben, alles funktioniert kontaktlos.

Bereits heute kann man sich so einen RFID-Sender unter die Haut pflanzen lassen. Was im ersten Moment gruselig klingt, ergibt plötzlich Sinn, wenn man im Freibad mal wieder panisch seine Brieftasche sucht. Einige Diskotheken bieten dieses RFID-Implantat tatsächlich an1. Es ersetzt die oft verwendeten RFID-Armbänder. Ebenso gibt es Firmen, die die Zugangskontrolle zu besonders geschützten Bereichen oder schlicht die Arbeitszeiterfassung mit RFID-Implantaten realisieren. Meist werden dazu aber Schlüsselanhänger oder Karten mit RFID-Chip verwendet. Im Gegensatz zu externen RFID-Tags wird man ein Implantat aber zu den schützenswerten biometrischen Daten einer Person zählen müssen.
Quelle((„Das Implantat hört mit“, Susanne Donner, dpa, spiegel.de, 30.08.2008))

Vorsicht! Hinter Ihnen!

Früher folgten in einem Geschäft den Verbrauchern Mitarbeiter, die mit der Verhaltensanalyse der Kunden beauftragt gewesen waren. Auf einem Block mit dem Grundriss des Einkaufszentrums oder Möbelhauses zeichnete der Angestellte die Wege der Kunden nach. Er notierte, wo und wie lange man stehen blieb und was besonderes Interesse weckte. Heute gibt es solche unauffälligen Schatten nicht mehr. Die Kunden senden selbst ihren Kurs durch das Center – in Echtzeit. Nicht nur Ihre Kreditkarten sind mit Nahfeldsendern wie NCF und RFID ausgestattet, nein, auch zunehmend Ihre Smartphones, Schuhe, Hosen und Jacken sind damit bestückt. Auch wenn nicht jede Jacke eine eindeutige Seriennummer sendet, so könnte man doch anhand der Kombination der Kleidung und der mitgenommenen Geräte jeden einzelnen Kunden eindeutig bis zur Kasse identifizieren. Spätestens dort bekäme der Händler bei der Kartenzahlung den Namen des Kunden übermittelt.

https://commons.wikimedia.org/wiki/File:RFID_tag_in_textile_label_disassembled.jpg

Die kontaktlos erfassten Daten würden sehr genau auf die Solvenz eines Kunden schließen. Jemand in einem Mantel von „Hugo Boss“, der goldenen „American-Express-Karte“ im Portemonnaie und dem „S-Klasse“-Autoschlüssel in der Tasche wird sich nicht für Kleidung vom Bangladesch-Outlet interessieren. Diesen VIP-Kunden würden die Verkäufer – vom Geschäftssystem in dem Moment informiert, als er den Laden betrat – besonders intensiv umgarnen. Jemandem in der Zwei-Streifen-Jogginghose und der PrePaid-Kreditkarte zeigt man an der nächsten Video-Werbesäule einen Trailer für die neue Collection der Zweitplatzierten des Dschungel-Lagers. Das interessiert ihn, das wird er sich leisten können, das kann er sich selber vom Kleiderständer nehmen. Okay: das ist vielleicht noch etwas Zukunftsmusik, eben weil nicht in jedem Kleidungsstück ein RFID-Tag eingenäht ist. Die Werbung auf das Handy des Passanten (vorbeigehenden Kunden) zu schicken, steht aber auf der Agenda des Einzelhandels.
Quelle((„Läden wollen Kunden mit Mini-Sendern ausspionieren“, Michael Gassmann, welt.de, 18.05.2016))

Der ePerso als Sicherheitsrisiko

Aber RFID kann noch viel mehr! Biometrische Daten1 befinden sich auf dem wiederbeschreibbaren(!) RFID-Chip eines elektronischen Personalausweises.2 Sie sind nur durch die PIN des Benutzers gesichert. Teure Lesegeräte haben ein eigenes Eingabefeld für diese PIN, die billigen benutzen die Tastatur des Computers zur Eingabe der PIN. Auf diesem Computer kann sich Schadsoftware (Keylogger) befinden. Entweder sie kam Huckepack mit einem Programm mit, welches der Benutzer installiert hat, oder jemand hat schlicht einen USB-Keylogger-Stick in den Rechner gesteckt, der vollautomatisch jede Tastatureingabe abspeichert oder gar versendet.

Quelle((Deutscher Bundestag, „Nutzung biometrischer und genetischer Daten im elektronischen Personalausweis“, Drucksache 17/9864, 04.06.2012, Berlin))
Quelle((„Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis“, Chaos Computer Club, 21.09.2010, Hamburg))

Hat ein Dritter Zugriff auf diese PIN, so kann er auch einen elektronischen Personalausweis aus der Ferne auslesen und direkt online benutzen.1 Gleiches gilt auch für Ihre Kreditkarte. Um Karten aus mehreren Metern Entfernung auslesen zu können, bedarf es jedoch eines Lesegerätes, das nicht mehr unauffällig bei sich getragen werden kann. Aber überlegen Sie einmal, wie oft Sie jemanden in der Fußgängerzone mit einem Notebook oder Handy sitzen sehen, neben dem ein Rucksack steht? Bevor Paranoia ausbricht: Nicht jeder mit einem Rucksack und einem Handy will Ihre Daten stehlen. 2 Weitaus unauffälliger ist es, ein Handy mit NFC (Near Field Communication) auf oder neben eine fremde Brieftasche zu legen, wie es z. B. im Biergarten häufiger vorkommen kann. Eine einfache, frei verfügbare App kann damit alle Karten in Ihrem Portemonnaie auslesen, die über RFID funktionieren. Es existiert sichere RFID-Technik, bei der die Daten auf dem Chip verschlüsselt werden, aber die kosten eben Geld. Meine Frau besitzt dagegen so ein Portemonnaie mit „RFID-Protect“, das gab es nur in maskulinen Farben: schwarz und dunkelbraun.
Quelle ohne Link((„Bearded Villains mistaken for terrorists“, Reatemybeard.se, 2015, Stand 04.2018))
Quelle((„«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»“, Oliver Wietlisbach, watson.ch, 23.05.2015))

DE-Mail – lassen Sie es sein!

DE-Mail ist auch so ein Beispiel, bei dem eine an sich gute Idee durch Unwissenheit, Geiz und falsche Versprechungen gründlich in den Sand gesetzt wurde. DE-Mail ist unsicher. Es verfügt nicht über eine Ende-zu-Ende-Verschlüsselung. Es verschlüsselt nur den Transportweg. Die Nachrichten sind beim Absender, auf den DE-Mailservern und beim Empfänger unverschlüsselt. Ein Service von DE-Mail stellt der Virenscan dar, der aber natürlich nur mit unverschlüsselten E-Mails möglich ist. Auf den Servern von DE-Mail werden somit die (transport-) verschlüsselten Mails sowie die Schlüssel dafür zusammen gespeichert. Die zentralisierten Server mit de facto unverschlüsselter Mailablage stellen ein attraktives Ziel von Hackern und Geheimdiensten dar. DE-Mail ist nicht anonym, es ist Identifikation vor der Nutzung nötig. Da dies auch in Paketannahmestellen wie Tankstellen möglich ist, besteht die Gefahr, dass die Identitätsüberprüfung dort nicht hinreichend gründlich festgestellt wird. Betrüger könnten fremde Identitäten übernehmen.1

Gegen die Stimmen von IT-Sachverständigen und wider besseres Wissen wurde DE-Mail per Gesetz zum sicheren Übertragungsmedium erklärt.
Quelle((Wikipedia, „De-Mail“, Unterpunkt „Kritik“, Stand 04.2018))
Quelle((§ 87a Absatz 1 Abgabenordnung, „Die kurzfristige automatische Entschlüsselung (…) verstößt nicht gegen das Verschlüsselungsgebot (…)“))
Quelle((Patrick Beuth, „Chaos Computer Club kritisiert Trickserei der Regierung“, Zeit online, 20.03.2013, Hamburg))

"Keine Regierung ist so blöd, ihren Bürgern ein abhörsicheres Kommunikationsmedium zu bieten."

Linus Neumann, 30c356
Quelle((„Bullshit made in Germany“, Video, media.cc.de, 28.12.2013))

DE-Mail hat massive Nachteile für die Nutzer: Unliebsame Personengruppen könnten durch eine eindeutige Identifizierung von der Kommunikation ausgeschlossen werden. Schlechte Kunden mit mangelnder Bonität, Kritiker von Firmen, Journalisten und andere Personen könnten DE-Mail nicht mehr benutzen. Bei DE-Mail besteht ein Rechtegefälle zum Privatnutzer hin. Mails können behördliche Bescheide beinhalten, welche auch ohne Empfangsbestätigung automatisch nach drei Tagen als zugestellt gelten.1 Damit laufen evtl. bereits Fristen, ohne dass man davon weiß. Franz Kafka und Douglas Adams hätten es sich nicht zynischer ausdenken können.
Quelle((„Verwaltungszustellungsgesetz (Bund) § 5a Elektronische Zustellung gegen Abholbestätigung über De-Mail-Dienste“, dejure.org))

DE-Mails sollten nur von Rechnern aus abgerufen werden, denen man auch vertraut. Eine Nutzung im Urlaub von einem Computer im Internetcafé scheidet somit aus. Generell sollte man keinerlei Zugangsdaten an fremden Rechnern oder in fremden WLAN verwenden. Bei der Entwicklung von De-Mail arbeitete die US-amerikanische Firma „Computer Sciences Corporation“, kurz CSC, mit. Sie ist ein Zulieferer der NSA für deren Hackingtools. CSC entwickelte auch den deutschen Staatstrojaner mit. „So einfach wie E-Mail, so sicher wie Papierpost.“ – dieser Werbeslogan für De-Mail war und ist schlicht falsch. Neben den oben angeführten Designfehlern gibt es weitere gesetzliche Vorgaben, die De-Mail unsicher machen. Ein klassischer Brief unterliegt dem Briefgeheimnis, er ist durch § 10 des Grundgesetzes geschützt. Niemand darf Ihren Briefkasten aufbrechen und Ihre Post lesen. Sie werden jetzt sagen, dass das nicht ganz stimmt und die G 10-Kommission den Nachrichtendiensten des Bundes Ausnahmen gewähren kann. Das ist richtig, aber es gibt hier ja immerhin noch eine Kontrollinstanz. Die fällt aber bei De-Mails komplett weg
Quelle((„Politische Lösungen für eine sichere Zukunft der Kommunikation“, Linus Neumann, heise.de, 07.08.2014))
Quelle((„Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz – G 10)“, gesetze-im-internet.de))
Quelle((„G 10-Kommission, Arbeit und Aufgabe“, bundestag.de, 07.07.2017))

„Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird.“
„Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, darf (…) die (…) erhobenen Daten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden.“
Quelle((„Telekommunikationsgesetz (TKG), § 113 Manuelles Auskunftsverfahren“, 20.07.2017))

DE-Mails sollten nur von Rechnern aus abgerufen werden, denen man auch vertraut. Eine Nutzung im Urlaub von einem Computer im Internetcafé scheidet somit aus. Generell sollte man keinerlei Zugangsdaten an fremden Rechnern oder in fremden WLAN verwenden. Bei der Entwicklung von DE-Mail arbeitete die US-amerikanische Firma „Computer Sciences Corporation“, kurz CSC, mit.1 Sie ist ein Zulieferer der NSA für deren Hackingtools. CSC entwickelte auch den deutschen Staatstrojaner mit. „So einfach wie E-Mail, so sicher wie Papierpost.“ – dieser Werbeslogan für DE-Mail war und ist schlicht falsch. Neben den oben angeführten Designfehlern gibt es weitere gesetzliche Vorgaben, die DE-Mail unsicher machen. Ein klassischer Brief unterliegt dem Briefgeheimnis, er ist durch Artikel 10 des Grundgesetzes geschützt. Niemand darf Ihren Briefkasten aufbrechen und Ihre Post lesen. Sie werden jetzt sagen, dass das nicht ganz stimmt und die G 10-Kommission2 3 den Nachrichtendiensten des Bundes Ausnahmen gewähren kann. Das ist richtig, aber es gibt hier ja immerhin noch eine Kontrollinstanz. Diese fällt aber bei DE-Mails komplett weg.

Nach § 113 des Telekommunikationsgesetzes darf so ziemlich jede Behörde, die sich mit der wie auch immer gearteten „Sicherheit“ unseres Landes befasst, von der Polizei über den MAD bis zum BND, von den jeweiligen DE-Mail-Anbietern die Zugangsdaten zum Postfach eines Nutzers anfordern. 5 Ganz ohne richterlichen Beschluss oder eine Kontrollkommission.

Welche Vorteile bietet DE-Mail also dem Bürger? Außer, dass er behördliche Bescheide auf dem Rechner empfangen und rechtsverbindliche Verträge abschließen kann? Absolut keine! Da in Deutschland Vertragsfreiheit gilt, können Verträge mündlich, schriftlich oder in anderer Form geschlossen werden. Die wenigen Verträge, die der Schriftform bedürfen, Arbeitsverträge zum Beispiel, und die mit DE-Mail einen Komfortgewinn (mehr nicht!) bringen würden, rechtfertigen kaum die massiven Nachteile, die der Dienst den Bürgern bietet. Die größten Vorteile haben die Behörden, die Sicherheitsorgane und die Firmen.

Data-Mining und Algorithmen

Ein Algorithmus ist ein „Problemlöser“, gleichermaßen eine Art Formel in einem Programm, welche eingehende Daten verarbeitet und eine Ausgabe generiert. Ein Algorithmus kann vieles steuern: vom optimalen Motorlauf in Ihrem Auto über das optimale Bild Ihres Fernsehers bis hin zu den Filmen, die Ihnen Ihr Streamingdienst empfiehlt. Im Bereich von Big Data ist ein Algorithmus meist eine Datenbankabfrage mit anschließender Verarbeitung und Verknüpfung der erhaltenen Daten nach vorgegebenen Parametern. Algorithmen können relativ einfach, aber auch sehr komplex sein und auch aufeinander aufbauen. Sie können zudem oft auf verschiedene Datenquellen zugreifen. Allein Facebook erstellt den Newsfeed eines Benutzers aus über 100.0001 Einzelfaktoren. Einhunderttausend! Die Algorithmen der Firmen sind also extrem komplex – und liegen trotzdem viel zu oft daneben. Wer wird nicht täglich bei Facebook durch uninteressante und unpassende Beiträge in der Timeline genervt? Die Algorithmen der Versicherer oder der Geheimdienste sind nicht treffsicherer, haben aber unangenehmere Auswirkungen als eine langweilige Timeline.
Quelle((„EdgeRank Is Dead: Facebook’s News Feed Algorithm Now Has Close To 100K Weight Factors“, Matt McGee, martech.org, 16.08.2013))

Algorithmen bringen unsortierte Rohdaten in für Menschen verständliche Formen. Die Funktionalität ist im Prinzip nur durch die Phantasie des Programmierers limitiert. Kann ein Algorithmus also neutral sein? Kann er objektiver als der Programmierer sein? Unvoreingenommener als der Auftraggeber? Fließen nicht immer auch persönliche Erwartungshaltungen mit ein? Kulturelle Eigenheiten? Vorurteile? Davon ist auszugehen. In der Folge kann künstliche Intelligenz nicht fair, objektiv, neutral oder unvoreingenommen sein. Pathetisch gesagt, kann künstliche Intelligenz niemals die reine Seele eines Kindes haben, da ihre Schöpfer bereits kulturelle und soziale Prägungen erfahren haben.

„Rohdaten sind geil!“

David Kriesel, 33c3

Die Entwicklung von Algorithmen ist sehr aufwendig und teuer. Sie bestimmen das viel gepriesene „Nutzererlebnis“ in sozialen Netzwerken oder gar die Bonität von Kunden und Geschäftspartnern. Die Musikindustrie würde lieber heute als morgen Musik nur noch von Algorithmen komponieren lassen, ganz in der Hoffnung, dass dabei ‚automatisch‘ Hits entstehen. Algorithmen sind der zukünftige Kern fast jeder Firma. Entsprechend werden sie geschützt. Sind ungenaue Algorithmen bei Facebook nur ärgerlich, können falsche Daten bei der Schufa für den Bürger schnell teuer werden. Liegen die Algorithmen der Geheimdienste daneben, so könnte die Folge auch ein ausgedehnter Aufenthalt in Guantanamo Bay sein. Durch die Polizei wurden in den USA bereits Personen durch False Positive verhaftet.
Quelle((„Gesichtserkennung: Algorithmus führt zur Verhaftung eines Unschuldigen“, Stephan Krempel, heise.de, 26.06.2020))

Das ist an den Haaren herbeigezogen? Auf der Liste der Terrorverdächtigen der türkischen Regierung stehen neben Privatpersonen und einer Dönerbude auch deutsche Großkonzerne wie Daimler oder BASF. Das Auswärtige Amt teilt mit, dass seit Anfang 2017 wiederholt deutsche Staatsbürger die Einreise ohne Angabe von Gründen verweigert wurde. Bis zu ihrer Abreise wurden diese Personen in Gewahrsam genommen. Ende Juli 2017 verschärfte das Auswärtige Amt seine Reisehinweise für alle Deutschen, die in die Türkei reisen64. Lassen wir dabei mögliches politisches Kalkül der türkischen Regierung außer Acht (wie diese selbst beteuert), bleibt nur, dass diese Liste mithilfe von Geheimdienstinformationen erstellt wurde.
Quelle((„Türkei beschuldigt Daimler, BASF – und eine Dönerbude“, handelsblatt.de, 19.07.2017))
Quelle((„Türkei: Reise- und Sicherheitshinweise“, auswärtiges-amt.de, 21.07.2017))

In den falschen politischen Händen

Sie mögen jetzt immer noch sagen, dass Sie nichts zu verbergen und damit nichts zu befürchten hätten. Sie sind ein kleiner Angestellter in einer langweiligen Position? Auch privat besuchen Sie nicht einmal Schmuddelseiten? Man darf alles von Ihnen wissen, weil nichts gegen Sie verwendet werden kann? Das ist kurz gedacht. Wer garantiert Ihnen, dass diese Firmen entgegen deren Beteuerungen nicht bereits mit den Geheimdiensten kooperieren? Als „Schlapphut“ würden auch Sie alles daransetzen, an diesen un­glaub­li­chen Datenschatz zu gelangen.

So wie in Israel. Dort wurden bereits 800 Personen verhaftet, weil man ihre Facebook-Postings auswertete. Schenkt man den Berichten1 Glauben, so waren das nicht immer, wie kolportiert, „Aufrufe zu Gewalt und Terroranschlägen“. Beweise werden als Staatsgeheimnis klassifiziert, die Angeklagten verschwänden ohne Prozess oft für mehrere Monate im Gefängnis.
Quelle((„Predictive Policing: „Falsches“ Facebook-Posting führt in Israel oft zu Haft“, heise.de, 09/2017))

In Zeiten des Populismus werden die gewählten Regierungen immer unberechenbarer. Die Rechtsstaatlichkeit und -sicherheit wird ausgehöhlt. Auch in den Staaten der EU. Man mag kaum vorhersagen, wer morgen Regierungsoberhaupt des Landes ist, in welchem wir unseren nächsten Urlaub verbringen wollen. Oder welche Partei die Regierung in Deutschland stellen wird. Deswegen ist es wichtig, dass wir keine technischen Möglichkeiten zulassen, die nur durch Gesetze, welche eine Regierung ändern kann, künftig die flächendeckende Überwachung der Menschen ermöglichen.

Alternativen?

Die EU hat Alternativen zu YouTube und Twitter auf den Weg gebracht, die den Datenschutz auf ihre Fahnen geschrieben haben: EU Video und EU Voice. Hier geht der Datenschutz soweit, dass man sich dort nicht anmelden, geschweige denn mitdiskutieren oder gar eigene Inhalte hochladen kann. Chapeau! Mehr Privatsphäre geht nicht.

EU Video ist die offizielle ActivityPub-Videoplattform der Organe,
Einrichtungen und Agenturen der EU (EUI).
Zusammen mit EU Voice ist sie Teil eines alternativen Pilotprogramms
für soziale Medien, das vom Europäischen Datenschutzbeauftragten (EDSB)
vorgeschlagen und bereitgestellt wird

(Übersetzung, da sie Site keine einheitliche Sprache hat)

Durch das Anmelden können sie Inhalte hochladen
Diese Instanz erlaubt zurzeit keine Registrierung, 
sie können sich die Richtlinien für mehr Details 
durchlesen, oder hier nach einer Instanz suchen, 
die Ihnen das Anlegen eines Kontos und das 
Hochladen von Videos erlaubt.

Quelle((tube.network.europa.eu, abgerufen 18.07.2022))

Man soll eine Institution anfragen, ob die einem erlaubt, Inhalte hochzuladen? Mit Passierschein A38? Ich habe mir den Spaß erlaubt, mich als Creator bei tube.tchncs.de, einer der erwähnten Instanzen, zu registrieren. Mit diesen Anmeldedaten kann ich mich aber bei EU Video nicht anmelden. Welch Wunder!

Diese beiden Plattformen sind also Top-Down-Social-Media-Plattformen. Social Media ohne das Social gewissermassen. Hier diskutieren EU-Institutionen miteinander und der Bürger darf dabei nur zuschauen. Man sieht Selbstgesprächen zu. Spannend.

Hier hat jemand gedacht, dass es im 21. Jahrhundert eine tolle Idee wäre, Fernsehen und einen Newsticker im Internet abzubilden. Ohne Möglichkeit der Interaktion! Das nennen die dann auch noch „alternatives Pilotprogramm für soziale Medien“! Bitte was? Social Media 0.1 alpha? Vom Kopfschütteln bekommt man erneut ein Schleudertrauma.

Quelle((apo, „“EU Voice“ und „EU Video“: Die EU testet eigene Alternativen zu Youtube und Twitter“, derstandard.de, 30.04.2022))

Gegenwehr im virtuellen Raum

Ja. Es gibt Möglichkeiten sich zu wehren. Ein kompletter Ausstieg aus der digitalen Datenerfassung ist nicht möglich, wie wir jetzt wissen. Aber man kann es den Datensammler schwerer machen. Der erste Schritt ist die Datensparsamkeit, man sollte wirklich nicht jeden Gedanken auf Facebook teilen, jeden geteilten Artikel liken und ganz sicher nicht Bilder mit biometrisch auswertbaren Inhalt hochladen. Erst recht nicht von fremden Personen und ganz sicher nicht von Kindern!

Der zweite Schritt ist die Verwendung von sichereren Betriebssystemen, Programmen, Apps und Add-ons. Meine erste Wahl für ein Betriebssystem ist dabei nicht Windows, welches durch sein grundlegendes, historisch gewachsenes Design nur mit sehr viel Aufwand halbwegs sicher zu bekommen ist. Ein Linux, Ubuntu zum Beispiel, ist vom Design her sicherer. Die Bedienung von Ubuntu ist dabei der von Windows 10 nachempfunden. Auch macOS ist sicherer als Windows. Alle Systeme haben natürlich Sicherheitslücken. Doch durch die weite Verbreitung von Windows ist dieses das mit Abstand beliebteste Angriffsziel.

Open Source, also die Veröffentlichung des Quellcodes des Betriebssystems, wie bei Linux üblich, ist zudem kein Garant dafür, dass Sicherheitslücken auch zeitnah entdeckt werden. Sicherheitslücken entstehen in der Regel durch Programmierfehler, aber manchmal werden sie auch absichtlich hinzugefügt. Niemand kann garantieren, dass nicht einer der freiwilligen Entwickler von Linux eigene Absichten oder auch die anderer verfolgt. Ein Betriebssystem – aber auch die meisten Programme – sind schlicht zu komplex und der Code oft zu schwer zu lesen, als dass jede Sicherheitslücke auffallen würde. Sicherheitslücken kann man kaufen.

Es tut mir leid, absolute Sicherheit gibt es nicht und wenn es schon für Experten nicht leicht ist, eine Applikation als „sicher“ einzustufen, dann hat man als Otto Normaluser nun wirklich keine Chance – und muss den Entwicklern letztlich ein Stück weit vertrauen.

„Sicherheit ist niemals statisch!“

„Man kann Sicherheit nicht installieren!“

Alte Sinnsprüche aus der IT

Virenscanner

Ein Virenscanner ist unter Windows Pflicht. Denken Sie aber immer daran: Die Hersteller der Virenscanner können immer nur reagieren. Eine brandneue Schadsoftware hat immer einen Vorsprung. Eine Personal „Firewall“ ist auch okay, bietet aber nicht den Schutz, der suggeriert wird. Gehen wir aber nun davon aus, dass das Betriebssystem sauber ist und Sie den (vor-)installierten Programmen halbwegs vertrauen.

Ändern Sie Ihr Verhalten

Überdenken Sie Ihr Verhalten! Nicht auf jeden Link klicken. Keine unbekannten Mailanhänge öffnen. Keine suspekten Apps installieren. Ja, FaceApp oder Prisma sind cool, aber die übertragen die Bilder (biometrische Daten!) auf Server im Ausland.1 2 Amazon bietet kostenlose „Underground“-Apps an – schauen Sie da doch mal in die AGB. Wie bereits gesagt: Ist eine App kostenlos, dann kostet sie Sie in der Regel Ihre Privatsphäre, das heißt Sie werden an Ihrem Content gemessen. Leider kann dies auch für kostenpflichtige Software gelten. Ausnahmen bestätigen wie immer die Regel – siehe Linux.
Quelle((„Was für ein NRW-Politiker ist das denn?“, Christoph Schröter, rp-online.de, 05.05.2017))
Quelle((„Prisma: App mit bedenklichen Privatsphäre-Regeln“, Denise Bergert, macwelt.de, 12.07.2016))

„Das Problem sitzt zwischen der Sitzlehne und der Tastatur!“

IT-Weisheit

Lesen Sie die AGB!

Lesen Sie die AGB! Niemand liest sich die Nutzungsbedingungen durch, die vor der Installation von Software angezeigt werden (und sie sind laut Alexander Sander, dem Geschäftsführer der NGO Digitale Gesellschaft, auch darauf angelegt, dass es zeitlich gar nicht möglich ist, sie zu lesen1). Jeder klickt auf „Akzeptieren“.2 Dabei nehmen sich viele Firmen das Recht heraus, alle auf dem Rechner installierten Programme inkl. Versionsnummern zu scannen und die gewonnenen Daten an den Firmenserver und Dritte zu übermitteln. Explizit auch zur Fahndung nach illegal kopierter Software. Gleiches Spiel auf den Ebook-Readern. Auch diese nehmen sich das Recht heraus die Bibliothek zu scannen und deren Inhalt an den Anbieter zu übermitteln. Auch damit kann man ein wunderbares Persönlichkeitsprofil erstellen.1 Alexander Sander: Big Data und Datenschutz – Wer überwacht unsere Grundrechte? Vortrag bei der
Quelle((Jessica Thomas, „22,000 people willingly agree to community service in return for free WiFi“, Purple WiFi, 13.07.2017, Manchester))
Quelle (kein Link)((„Alexander Sander: Big Data und Datenschutz – Wer überwacht unsere Grundrechte? Vortrag bei der Tagung: Gefährdet Big Data unsere Demokratie? Ev. Akademie Schwerte, 14-16.10.2016))
Quelle((„22.000 Hotspot-Nutzer willigen ins Toilettenputzen ein“, Heise Online, 07/2017))

Vermeiden Sie Google!

Benutzen Sie nicht Google. Jedenfalls nicht direkt. Benutzen Sie als Suchmaschine künftig DuckDuckGo oder Startpage. Diese Suchmaschinen zeigen ebenfalls Suchergebnisse von Google an, auch wenn die etwas anders ausfallen als bei Google direkt. Das liegt vermutlich daran, dass z.B. die Startpageserver vornehmlich in den Niederlanden stehen. Ferner erkennt Google nicht mehr, wer man ist, so dass personalisierte Suchergebnisse nicht mehr angezeigt werden können. Man kann Startpage oder DuckDuckGo als Standard-Suchmaschine für das Suchfeld der meisten Browsers anheften.

Weitere Schutzmaßnahmen

Neben Virenscannern gibt es auf der Betriebssystemebene weitere Schutzmöglichkeiten für Sie. Die angesprochenen „Personal Firewalls“ sind ein Beispiel dafür. Ob ZoneAlarm, LeopardFlower, Little Snitch, HandsOff oder die im jeweiligen Betriebsystem verankerte „Firewall“, alle haben gemeinsam, dass Sie sich in den Netzwerkverkehr einklinken und ausgehende (teils auch eingehende) Verbindungen blockieren. Klingt kompliziert? Nein, das ist ganz einfach. Lädt zum Beispiel im Email-Programm ein Newsletter Grafiken nach, so macht er dies oftmals von Drittanbietern, die sich auf die Auswertung von E-Mail-Werbung spezialisiert haben. Die erstgenannten Tools schützen vor solchen Ausspähattacken. Außerdem verhindern sie, dass ein Programm „nach Hause telefoniert“ und Nutzerdaten übermittelt. Einige Programme umgehen aber bereits die gängigen „Personal Firewalls“.

Glimmerblocker, Privoxy oder Squid sind lokale, transparente Proxys. Diese blockieren die Adressen von Werbenetzwerken auf der Betriebssystemebene. Dadurch wird schon ein Großteil der Werbung für alle Anwendungen herausfiltert, die auf dem Rechner Internetzugang haben.
Einfacher zu konfigurieren und zu benutzen, ist Pi-hole((Anleitung)). Er schützt zudem alle Geräte in Ihrem Netzwerk.

Niemals Adobe Flash installieren! Flash ist tot, Flash braucht kein Mensch und keine Website, Flash ist ein unkalkulierbares Sicherheitsrisiko. Installieren Sie Flash, können Sie sich auch die Absicherung Ihres Browsers sparen und das Lesen ab hier einstellen. Weg mit Flash! Keine Diskussion! Punkt! Aus! Ende!

Gleiches gilt auch für das Java-Plugin für Browser! –> in den Java-Einstellungen bitte deaktivieren! (Java ist nicht Javascript). Auch Microsofts Silverlight ist mausetot! Microsoft rät von der Benutzung ab!

ZoneAlarm((zonealarm.com/de (kostenlos für private Anwender) ))
LeopardFlower((github.com/andreizilla/leopard-flower-firewall))
Little Snitch((obdev.at/products/littlesnitch (kostenpflichtige Software) ))
HandsOff((oneperiodic.com/products/handsoff (kostenpflichtige Software))
Glimmerblocker((glimmerblocker.org))
Privoxy((privoxy.org))
SquidCache((squid-cache.org))

Quelle((„Flash & The Future of Interactive Content“, Adobe Systems, 25.07.2017, San José, USA))
Quelle((Markus Werner, „Weg mit Flash: Der Flash Player ist ein Sicherheitsrisiko“, BasicThinking.de, 06.04.2016, Berlin))
Quelle((Jerry Smith, „Moving to HTML5 Premium Media“, Microsoft, 02.07.2015, Redmond, USA))

Es muss nicht immer Firefox sein

Benutzen Sie alternative, auf Sicherheit ausgerichtete Browser! Klar oder Cliqz zum Beispiel. Cliqz wird noch kontrovers diskutiert, ist aber sicher ein richtiger und wichtiger Schritt in der Browserentwicklung. Sogar die Mozilla Foundation, der Hersteller von Firefox, hat sich bei der Cliqz GmbH aus München eingekauft.

Auch der bekannte TOR-Browser, welcher es dem Benutzer ermöglicht, seine IP-Adresse zu verschleiern, soll nicht unerwähnt bleiben. Letztlich kann man ihn aber nicht mehr guten Gewissens zum anonymen Surfen empfehlen. Seine Nutzung könnte den Nutzern sogar einen Eintrag in einer Liste für Extremisten bei der NSA bescheren.1 Nutzen Sie lieber einen (kostenpflichtigen) VPN-Dienst, wenn Sie Ihre IP-Adressse verschleiern wollen. Dieser baut einen verschlüsselten „Tunnel“ zu einem „Ausstiegspunkt“ (Router) im Ausland auf,, so dass Sie quasi mit der IP-Adresse dieses weit entfernten Routers im Internet unterwegs sind. Da die Verbindung von Ihrem Rechner bis zu dem Ausstiegspunkt verschlüsselt ist, können Sie auf diese Weise auch in fremden oder öffentlichen WLAN-Netzen sicher surfen. Jedenfalls so weit wie Sie dem VPN-Anbieter trauen. Ich würde mein Leben oder meine Freiheit aber nicht einem VPN-Anbieter anvertrauen.

Quelle((Patrick Beuth, „NSA hält alle Tor-Nutzer für verdächtig“, Zeit Online, 03.07.2014, Hamburg))

Facebook sicherer machen

Ändern Sie Ihre Privatsphären-Einstellungen von Facebook!  Ich gehe hier nicht auf die Einstellungen im Einzelnen ein. Diese ändern sich alle paar Wochen, so dass man sie mit einer älteren Anleitung meist nicht mehr wiederfindet. Daher nur generelle Tipps für Facebook:

• Alles so restriktiv einstellen wie nur möglich
• Zum Anmelden keine Mailadresse nehmen, die man auch sonst verwendet!
• Nicht den echten Namen angeben! Sie finden Ihre Freunde meist auch so – neuen Kontakten geben Sie Ihr Pseudonym.
• Nie das eigene Bild posten!
• Nie die „richtige“ Telefonnummer angeben. Haben Sie noch eine alte, anonyme SIM-Karte in der Schublade? Benutzen Sie diese!
• Nie das richtige Geburtsdatum angeben!
• Ortungsdienste abschalten (für die App)!
• Wenig öffentlich sichtbare Likes platzieren!
• Keine Bilder Ihrer Kinder, Enkel oder dritter Personen posten!
• Keine Namenstags zulassen!
• Niemandem erlauben, auf Ihrer Chronik zu posten!
• Keine Spiele und Anwendungen auf Facebook benutzen!
• Nicht die FacebookApp benutzen, die ist ein Datenstaubsauger.

Ein Widerspruch der Facebook-AGB ist sinnlos. Facebook hat nun einmal ein Hausrecht. Nein, es hilft nicht, ein irgendwo gefundenes Bild mit einem Widerspruchstext in Ihrer Timeline zu veröffentlichen. Absurd? Ja, aber man sieht das immer wieder. Ein solches Bild hilft in etwa so viel wie ein Aufkleber an einem Auto: „Hiermit erkläre ich: Die StVO gilt für mich nicht!“.

Verschlüsseln Sie Ihre Daten!

Benutzen Sie ein Notebook, ein Smartphone oder externe Festplattem, so sollten Sie diese entsprechend mit den Mitteln des Betriebssystems verschlüsseln. Verlieren Sie so ein Gerät, kann niemand auf Ihre Daten (auf Ihr Leben!) zugreifen. Bei der Kommunikation über Mail ist eine Verschlüsselung ebenfalls ratsam. Diese sollte durch GPG/PGP erfolgen. Für die gängigen Mailprogramme gibt es komfortable Erweiterungen dafür. Einmal installiert und konfiguriert, merken Sie gar nichts mehr von deren Existenz, sie funktionieren vollautomatisch.

Wie funktioniert so eine Verschlüsselung? Stellen Sie sich analog zu dieser MPK-Ausstellung „Ohne Schlüssel und Schloss“ vor, sie hätten unendlich viele identische Vorhängeschlösser. Die haben Sie alle selber hergestellt und nur sie haben den passenden Schlüssel für diese Schlösser. Diese Schlösser geben Sie nun alle einer Stelle im Internet, die diese sie aufbewahrt und an jeden weitergibt, der Ihnen eine verschlüsselte Mail zukommen lassen will.

Ebenso ist es umgekehrt: Wollen Sie jemandem eine verschlüsselte Mail zukommen lassen, so schaut Ihr Email-Programm bei der Stelle nach, die die Schlösser aufbewahrt, ob der Empfänger dort ein Schloss hinterlegt hat. Mit diesem Schloss schließen Sie nun die zusendende Mail ab. Nur jemand, der den richtigen Schlüssel hat, kann die Email dann noch lesen. Für alle anderen sieht sie aus wie eine Buchstabensuppe. Verliert der Empfänger seinen Schlüssel, so kann er die bereits empfangenen und auch zukünftigen Mails nicht mehr lesen, wenn sie verschlüsselt wurden. Nach aktuellem Stand der Technik ist eine verschlüsselte Email nur extrem schwer und mühselig zu knacken. Wieder ein Beispiel zum Verständnis: Stellen Sie sich vor, Ihr Fahrrad wäre mit hundert Millionen Schlössern der höchsten Sicherheitsklasse abgeschlossen. Das Fahrrad zu stehlen würde sehr, sehr lange dauern. Deswegen sollte man diesen Schlüssel sehr gut aufbewahren.

Man spricht eigentlich statt von „Schlössern“ und „Schlüssel“ von „Schlüsselpaaren“. Es gibt einen „öffentlichen Schlüssel (ein Schloss) und den „privaten Schlüssel“, den Schlüssel. Die Analogie mit Schloss und Schlüssel dürfte aber für einen normalen Benutzer verständlicher sein.

Browser absichern

Gehen wir also davon aus, dass der Rechner nur so einigermaßen abgesichert ist und uns niemand in den Rücken fällt. Bleibt jetzt nur noch das Haupteinfallstor: der Browser. Hier finden Sie eine (völlig subjektive) Auswahl an AddOns für die verschiedenen Browser, die das Surfen im Netz sicherer machen. Es gibt sicher eine Unzahl von anderen Erweiterungen, die gleiches oder besseres leisten. Die Zeit und die Entwicklung bleiben eben nicht stehen. Meine Tipps machen Ihr „Surferlebnis“ nicht einfacher. Man hat schon kleinere (überschaubare) Einschränkungen, gerade zu Beginn, an die man sich aber schnell gewöhnt. Sicher ist es die ersten Tage etwas unkomfortabel, bis man die Einstellungen – wie vorher bei einem anderen Browser auch – an seine Bedürfnisse angepasst hat. Die meisten Add-ons bieten Ausnahmen für Webseiten, denen man vertrauen kann. Auch auf neuen Websites muss man erst einige Ausnahmen hinzufügen, bevor sie im vollem Umfang funktionieren. Aber der Schutz Ihrer persönlichen Daten ist es wirklich wert.

F.B. Purity

Facebook ohne F.B. Purity kann man sich gar nicht mehr vorstellen, wenn man es einmal benutzt hat. Neben der absoluten Werbefreiheit, die kein anderes Add-on bietet, kann man z.B. die Seitenleisten nach seinen Bedürfnissen anpassen. Ferner bekommt man Benachrichtigungen, wenn „Freunde“ von der Freundesliste verschwinden. F.B. Purity ist freilich nur für Nutzer von Facebook interessant.

Nachteile: keine

Vorteile: Erscheinungsbild anpassbar, komplette Werbefreiheit, Meldungen bei verschwundenen „Freunden“

uBlock Origin

Statt AdBlock Plus/Edge benutze ich uBlock Origin gegen Werbung und Malware. Er ist wesentlich ressourcenfreundlicher als ABE.

Nachteile: Keine

Vorteile: kaum noch Werbung

NoScript

NoScript verbietet grundsätzlich auf allen Websites alle Scripte. Man tut gut daran, die Scripte von Drittanbietern nur bei Bedarf zu erlauben. Sind Sie sich nicht sicher, welche „fremden“ Scripte Sie erlauben sollten, dann besuchen Sie die Seite der Anbieter oder schauen Sie auf Wikipedia, was dieser Anbieter eigentlich macht. Oft kommt man aber nicht um Scripte von z.B. Akamai oder cloudfront herum. Die der besuchten Website sollte man i.d.R. erlauben. Das Add-on bietet die Möglichkeit temporär einige oder gar alle Scripte auf der besuchten Seite zu erlauben.

Nachteile: Scripte müssen generell erst erlaubt werden. Facebook in einer Sandbox lädt nicht.

Vorteile: Mehr Sicherheit.

Ghostery

Ghostery bietet einen guten Grundschutz der Privatsphäre, den man aber erst in den Einstellungen aktivieren muss. Meines Wissens nach hat auch Ghostery keine Möglichkeit um „unlöschbare“ Langzeitcookies (LSOs) löschen zu können. Unter den Einstellungen sollte man keine Haken unter „Ghostery untertützen“ setzen, sonst übermittelt das Add-on alle besuchten Webseiten an den Betreiber. Die Browsererweiterung wurde von Cliqz aufgekauft. Vermutlich, um sie in deren neuen und sicheren Browser zu integrieren.

Nachteile: Vermutlich keine LSO (Langzeitcookies) löschbar. Nach der Installation muss man die Filter erst aktivieren. Erweiterung sammelt ggf. Daten

Vorteile: Guter Grundschutz

Priv8

Priv8 ist eine Sandbox für Webseiten. Diese können wortwörtlich nur in ihrem eigenen Sandkasten spielen und haben keinerlei Zugriff auf die Cookies anderer besuchter Webseiten (und umgekehrt). Dies ist meiner Meinung eine Funktion, die in das Grundkonzept eines Browsers gehören sollte. Man sperrt in eine Sandbox Websites ein, die sensible Daten verarbeiten oder als Datenkraken bekannt sind. Ich benutze Priv8 u.a. für Facebook, Amazon, Onlinebanking, YouTube und GoogleMail. Links und eingebettete Inhalte aus diesen „Sandkästen“ heraus funktionieren aber nicht, denn so ein Link beinhaltet immer auch den Referrer, die Herkunftswebsite. Man kann aber den Link mit der Maus markieren und ihn mit der rechten Maustaste in einem neuen Tab/Fenster öffnen lassen. Um Facebook oder andere Datensammler (z.B. alle zum Google-Konzern gehörenden Seiten wie YouTube u.a.) „einzuschließen“, könnte man für jede dieser Seiten je einen eigenen Browser oder je ein privates Fenster benutzen. Das ist natürlich etwas unübersichtlich. Mitunter hat man sich verklickt und damit seine Daten doch anderen Sites zugänglich gemacht. Eine Virtuelle Maschine (VM) bietet Sicherheit? Leider nein, auch daraus ist ein Zugriff auf das Wirtssystem möglich.70 Priv8 ist also immer noch die erste Wahl.

Nachteile: Keine Links nach „draußen“ möglich

Vorteile: Website kann nicht auf Daten anderer besuchter Webseiten zugreifen um Daten zu sammeln

Quelle((„Hacker brechen aus virtueller Maschine aus“, heise online, 03/2017))

Self-Destructing Cookies

Self-Destructing Cookies löscht automatisch und fortwährend Cookies, so dass diese nicht von Dritten ausgewertet werden können. Damit ist ein automatisches Einloggen aber auch nicht mehr möglich, da die Website den wiederkehrenden Besuch nicht erkennt. Man wird automatisch nach einiger Zeit abgemeldet. Das ist Vorteil wie Nachteil zugleich.

Nachteile: Kein Auto-Login und automatischen Abmelden nach einiger Zeit

Vorteil: Man wird automatisch ausgeloggt, Datenschutz vor Dritten

BetterPrivacy

BetterPrivacy kann auch Langzeitcookies (LSO) löschen. Hat aber keine Zeitsteuerung für das Löschen normaler Cookies wie Self-Destructing-Cookies (s.o.).

Nachteile: schlechte Benutzerführung

Vorteile: löscht auch Langzeitcookies (LSO)

Hola Better Internet

Mit Hola Better Internet kann man seinen Standort verschleiern. HBI benutzt dazu auswählbare Proxyserver in anderen Ländern, so dass es für die besuchte Website so aussieht, als käme man aus diesem Land. Weiterhin wird die eigene IP-Adresse nicht übermittelt, so dass man quasi anonym surfen kann. Durch diesen Aspekt kann man z.B. bei Oninestores von Steam oder Origin günstige Angebote im Ausland wahrnehmen. Die Datenübertragungsrate ist durch die Proxy-Server deutlich eingeschränkt. Daher sollte man Hola nur einschalten, wenn man z.B. Ländersperren umgehen will. Was Hola oder die Proxy-Server speichern ist mir nicht bekannt, ich gehe aber davon aus, dass diese alle Zugriffe protokollieren. Falls es nicht funktioniert: Einige Browser übermitteln auch über einen Proxy die echte IP-Adresse. Um dies im Firefox zu verhindern, muss man im Adressfeld „about:config“ eingeben, die Warnung bestätigen und nach „media.peerconnection.enabled“ suchen. Doppelt auf das Feld klicken, so dass „false“ erscheint. Fertig.

Nachteile: langsam, im Zweifel nicht anonym

Vorteile: Herkunft und persönliche IP-Adresse werden verschleiert

Alternativen: Hotspot Shield Free VPN Proxy (einfaches Firefox-Plugin)

Wiederkehrende Fragen zu den Erweiterungen

Werbeblocker schaden Websitebetreibern? Ja, das ist vollkommen richtig. Werbung ist eine Einnahmequelle für Webseitenbetreiber. Auch ich überlege immer wieder, ob ich auf Werbeblocker verzichte, damit die (guten) Websites unterstütze und etwas weniger Privatsphäre akzeptiere. Aber spätestens, wenn ich Spiegel Online besuche und dort riesige, flackernde Werbebanner, teils mit Sound sehe, ist zehn Sekunden später der Werbeblocker wieder installiert. Die Werbetreibenden schaden sich damit nur selbst. Weniger wäre meistens mehr. Aber das lernen die Verantwortlichen wohl nicht mehr. Viel wichtigere Gründe sind aber, dass Schadprogramme bereits über Werbebanner verteilt wurden71 und ein Benutzer durch die Werbebanner – auch über mehrere Webseiten hinweg – verfolgt werden kann72. Sie haben doch sicher bereits auf Facebook Werbung für ein Produkt angezeigt bekommen, nach dem sie vorher über Google oder Amazon gesucht hatten?
Quelle((„BSI weist erneut auf breitflächige Verteilung von Schadprogrammen über Werbebanner hin“, Bundesamt für Sicherheit in der Informationstechnik))
Quelle((„Was Online-Werbung kann“, bitkom-datenschutz.de))

„Die Erweiterungen sind doch nicht wirklich sicher, oder?“ Ja, richtig. Man weiß nicht so genau, was die Add-ons und die Scripte wirklich machen. Es kann sein, dass ein Add-on, welches mit mehr Datenschutz und Sicherheit wirbt, leider in Wirklichkeit seine Benutzer ausspäht. Die Erweiterung „Web-Of-Trust“ (WOT) war so unrühmliches Beispiel, bei dem sogar Bundespolitiker ausgespäht wurden73. Ein wenig Gottvertrauen braucht man also schon, selbst wenn man sich die von mir besprochenen Add-ons in das Haus holt.
Quelle((„Sensible Daten von Bundespolitikern ausgespäht“, dpa, kg, zeit-online.de, 03.11.2016))

„All das hilft doch nicht gegen den digitalen Fingerprint!“ Jein. Unter digitalen Fingerprint versteht man die Kombination aus Merkmalen eines Systems wie den verwendeten Browser, installierte Erweiterungen, Betriebssystem, Patchlevel, Monitorauflösung, gesetzte Cookies, installierte Schriftarten. Alle diese kleinen Unterschiede machen ein System relativ einzigartig. Man könnte einen Useragent Switcher verwenden, der einer Website vorgaukelt, dass man unter Ubuntu mit Midori surft, obwohl man in Wirklichkeit den Firefox unter Windows nutzt. Ich konnte bisher kein solches Tool finden, das automatisch für jede neu besuchte Website nach dem Zufallsprinzip einen neuen UserAgent erstellt.. Aber das ändert letztlich nichts an den anderen Merkmalen wie der Bildschirmauflösung des Systems.

Einige der hier vorgestellten Add-ons scheinen den gleichen Funktionsumfang zu haben, das ist mir bewusst. Es sind aber meist nur Schnittmengen. Alle Erweiterungen laufen problemlos miteinander auf meinen Rechnern. Ich empfehle, alles über einen Add-on-Manager (Extras, Add-Ons) zu installieren. Dadurch lassen sich auch alle Erweiterungen via Firefox Sync in einem Rutsch auf alle benutzen Rechner installieren.

Ihre Gegenwehr im „Real Life“

Abschirmung

Vor dem unbemerkten Auslesen seiner Kreditkarten oder des Personalausweises kann man sich durch spezielle Brieftaschen mit Abschirmung schützen. Man kann aber auch einfach einen passenden Streifen Alufolie in eines der durchgehenden Geldscheinfächer legen, wenn damit das Portemonnaie ganz abgedeckt ist. In den käuflich erwerbbaren Geldbeuteln mit RFID-Protect ist auch nichts anderes eingenäht.

Um die RFID-Tags in der Kleidung zu zerstören, bzw. zu deaktivieren, könne Sie sich mit einfachen Mitteln einen RFID-Zapper bauen. (Wer das wirklich versucht: Vorsicht! Das Gerät könnte auch andere elektronischen Bauteile beschädigen!)
Quelle((„RFID-Zapper“, events.ccc.de))

Biometrisches Passbild

Um nicht seine echten biometrischen Daten auf dem Bürgerbüro angeben zu müssen, könnte man tatsächlich ein Passfoto abgeben, auf welchem man vorher die Proportionen seines Gesichtes mit einem Bildbearbeitungsprogramm leicht verändert hat. Menschen sind „fehlertoleranter“, der Mitarbeiter wird den Unterschied sicher nicht bemerken, zumal man auf Passfotos sowieso immer wie ein Verbrecher aussieht. Dadurch sollte eine automatische Erkennung Ihrer Person bei einer Videoüberwachung nicht mehr möglich sein bzw. wesentlich erschwert werden. Mit allen Vor- und Nachteilen wie einem „FalsePositive“, oder Problemen bei einer Personenkontrolle. Alternativ können Sie natürlich im öffentlichen Raum ab jetzt immer eine tief in das Gesicht gezogene Schirmmütze tragen. Steht aber nicht jedem.

Fingerabdrücke

Der Chaos Computer Club gibt Ratschläge, wie Sie die Abgabe von Fingerabdrücken entweder ganz vermeiden, oder gleich (tatsächlich) die Fingerabdrücke von Wolfgang Schäuble oder Ursula von der Leyen benutzen können. Zur Vermeidung reichte es in einem Falle wohl aus, dass sich der künftige Personalausweisinhaber Sekundenkleber auf jeden seiner Finger tropfte und dem Leiter des Bürgerbüros erzählte, er habe viel mit chemischen Stoffen zu tun. Es gäbe wohl auch ein Feld in dem man ankreuzen könne, dass die Abgabe nicht möglich sein.
Quelle((„Wie können Fingerabdrücke nachgebildet werden?“, ccc.de))
Quelle((„CCC publiziert die Fingerabdrücke von Wolfgang Schäuble [Update]“, Torsten Kleinz, heise.de, 29.03.2008))
Quelle((„Hacker kopieren Fingerabdruck von Ursula von der Leyen“, tagesspiegel.de, 27.12.2014))
Quelle((„25C3: CCC rät zum „Selbstschutz“ vor biometrischer Vollerfassung“, Stephan Krempl, 30.12.2008))

SIM-Karte

Nach dem 01.07.2017 ist es ohne Weiteres nicht mehr möglich sein, sich eine SIM-Karte zu besorgen um sie auf seinen Hund, Kater oder einer fiktiven Person zu registrieren. Man kann sich aber immer noch eine Prepaid-Karte während des Urlaubs im europäischen Ausland kaufen. Diese Karten kann man ganz einfach in das Telefon stecken und drauflos telefonieren. Die muss man meistens nicht registrieren. Dank inzwischen kostenlosen Roaming kann man die Karte auch in Deutschland betreiben. Natürlich wird (leider) der Nutzer so einer Karte für die „Schlapphüte“ dann besonders interessant. Diese Telefonnummer wird mit der IMEI (International Mobile Station Equipment Identity) des Endgerätes verknüpft und landet im Vorratsdatenspeicherpool – auf den die Geheimdienste Zugriff haben. So eine Karte würde ich daher nur für die Zwangsregistrierung bei sozialen Medien und FreeMail-Providern (Facebook, Google u.a.) benutzen. Einfach in ein Billig-Handy (bitte ohne GPS!) stecken, Akku raus und in die Schublade legen. Wird es benötigt, schaltet man es ein. Vorzugsweise fernab der eigenen Funkzelle.

Alternativ kann man auch die vielen freien SMS-Webservices benutzen. Die funktionieren aber in der Regel nicht mehr mit Facebook, weil eben bereits sehr viele Personen diesen Service mit Facebook benutzt haben und damit die Telefonnummern „verbrannt“ sind. Für den Empfang von Bestätigungscodes sind sie aber vollkommen ausreichend. Da jeder, der die Seite des SMS-Webservices geöffnet hat, alle empfangenen SMS lesen kann (!), sollte man sicher sein, dass in der SMS, die man empfangen möchte keine Zugangsdaten oder Klarnamen gesendet werden. Ich würde auch keine SMS-TAN darüber empfangen wollen, sicher ist sicher.

Android ohne Google

Ein Android-Telefon ohne Google? Ja, auch das ist möglich. Es gibt zum Beispiel das Blackphone 280, das einen erhöhten Datenschutz bietet. Das Vorgängermodell ist als Restposten bereits für deutlich unter 200 Euro zu haben. Sie können aber auch eine alternative Firmware auf Ihr vorhandenes Smartphone spielen, LineageOS oder Paradroid. Die legen zwar eigentlich keinen gesteigerten Wert auf den Datenschutz, aber damit sind Sie die Schnüffelsoftware des Herstellers wenigstens losgeworden. Alternative Firmwares sind meist schlanker und schneller – damit verlängern Sie auch die Nutzungsdauer des Gerätes.
Quelle((„Wie fühlt sich Android ohne Google eigentlich an?“, Eric Ferrari-Herrmann, nextpit.de, 22.05.2019))
Quelle((„Products & Solutions“, silentcircle.com))

Ohne Apple und Microsoft?

Mit iOS oder Windows wird es schon schwerer, sein Telefon und seine persönlichen vor dem Hersteller zu verstecken.8182 Für die volle Funktionalität ist doch ein persönlicher Account notwendig. Googeln… Entschuldigung… fragen Sie doch mal DuckDuckGo nach „Privatsphäreneinstellungen“83 oder „Datenschutz“84 für das von Ihnen verwendete Gerät. Da sich die Einstellungen, gerade bei Android, von Gerät zu Gerät doch erheblich unterscheiden können, lohnt ein eigener Blick auf die Einstellungen. Gerade die Ortungsdienste sollten Sie nicht dauernd aktiviert lassen – und benutzen Sie doch öfter mal den Flugmodus. Ihre Nerven werden es Ihnen danken.
Quelle((„Apple iOS: So verhindert ihr die Erhebung von Nutzungs- und Analysedaten“, Jan Brack, netzwelt.de, 21.02.2020))
Quelle((„Tipp: Datenschutz in Windows 10 Mobile“, Andreas Erle, worldofppc.com, 24.03.2016))
Quelle((„So bekommen Sie mehr Privatsphäre bei Android“, Alexander Spier, spiegel.de, 20.03.2017))
Quelle((„Europäischer Datenschutztag: So schützt Ihr Eure Daten auf dem Smartphone“, Eric Ferrari-Herrmann, nextpit.de, 28.01.2020))

Werbetreibende in Deutschland

Tragen Sie sich in die Robinsonlisten8586 ein. Seriöse Werbetreibende aus Deutschland respektieren diese Listen. „Googeln“ Sie sich, Ihre Telefonnummer und Ihre Adresse selber! Natürlich mit DuckDuckGo. Die meisten dieser Internet-Personenverzeichnisse bieten die Möglichkeit einen Eintrag direkt zu löschen. Das funktioniert tatsächlich. Deutschen Firmen wie Yasni, muss man meist eine Mail schreiben, der Nutzung der persönlichen Daten widersprechen und sie auffordern diese Daten zu löschen. Seien Sie hartnäckig aber sachlich und verweisen Sie immer auf das Bundesdatenschutzgesetz. Melden Sie Verstöße der Bundesnetzagentur87 und/oder dem jeweils zuständigen Datenschutzbeauftragten des Landes88. Sie sind kein Querulant, wenn Sie das tun und Sie belästigen diese Institutionen auch nicht, denn das ist deren Aufgabe – und der können diese Institutionen zum größten Teil nur nachgehen, wenn der Bürger mithilft.
Quelle((robinsonliste.de))
Quelle((ichhabediewahl.de))
Quelle((„Verbraucherthemen Telekommunikation“, Bundesnetzagentur))
Quelle((„Anschriften und Links“, Der Bundesbeautftragte für den Datenschutz und die Informationsfreiheit))

Schlußwort

Kommen wir zum Schluss. Sie werden sich jetzt sicher fragen, ob ich alle meine eigenen Ratschläge selber befolge. Darauf antworte ich mit einem eindeutigen „Teils!“. Ich benutze Google Drive als Ablage mit automatischen Backup für die Dokumente, an denen ich gerade arbeite. Der Artikel, den Sie gerade lesen, ist auch dort gespeichert. Ich benutze Google-Mail unter verschiedenen Namen, aber manchmal macht man eben Fehler und auf diese Weise weiß sicher auch Google, dass die alle einer, also meiner Person gehören. Vermutlich sogar mit Klarnamen. Aber ansonsten beherzige ich wirklich meine eigenen Tipps und bin auch im Web hinterher, dass so wenig Daten über mich zu finden sind, wie es nur geht.

Glossar

Algorithmus

Ein Algorithmus ist ein „Problemlöser“, ein Computerprogramm, welches eingehende Daten verarbeitet und eine Ausgabe nach vorgegebenen Parametern generiert. Algorithmen sind von Menschen gemacht und daher selten bis gar nicht: neutral.

Big Data

Große, unstrukturierte Datenmengen. Sie werden meist bei Firmen und staatlichen Stellen mit Hilfe von Algorithmen verarbeitet. Daten aus verschiedenen Quellen sind oft unterschiedlich formatiert und können sich teilweise widersprechen. Big Data ist im Prinzip die Suche nach der Nadel im Heuhaufen – nur eben sehr viel schneller und deutlich erfolgversprechender.

ChatBot

Künstliche Intelligenz kann durch Zugriff auf Datenbanken dem Kunden die Illusion geben, dass er mit einem echten Menschen in einem Chat interagiert (vgl. Ikeas „Anna“). Ein sehr einfacher, aber recht gut funktionierender Chat-Bot war bereits in den 1970er Jahren Prof. Weizenbaums „Eliza“.

Cookies

„Cookie“ heißt übersetzt „Keks“. Jeder mag Kekse und freut sich, wenn er einen bekommt. Surfen wir im Netz, bekommen wir von jeder Seite mindestens einen eindeutig identifizierbaren Keks. Ähnlich wie Hänsel und Gretel hinterlassen wir so eine Spur aus Kekskrümeln auf unserem Rechner, die jede andere Webseite auslesen kann. So kann

DeMail

DeMail ist ein per Gesetz für sicher erklärtes, technisch unsicheres Mailsystem mit massiven negativen Eigenschaften für den Bürger. An seiner Entwicklung arbeitete auch ein NSA-nahes Unternehmen mit.

DeCIX

Größter Internetknotenpunkt der Welt. Sitzt in Frankfurt am Main.

EXIF-Daten

Kameras, Handys und Bildbearbeitungsprogramme speichern eine Vielzahl von Informationen in den Photos mit ab. Unter anderem sind dies:
– Zeit
– Ort (GPS-Koordinaten)
– Handy-/Kameramodell

Schon daraus lassen sich Rückschlüssel ziehen. Gleicht man Daten miteinander ab, so kann man schnell feststellen, wer sich wann und wo mit jemand anderem getroffen hat. Auch Rückschlüsse auf die finanzielle Lage sind denkbar, in dem man das Handy- oder Kameramodell ausliest.

Filterblase

Das virtuelle Gegenstück zur realen „Komfortzone“. Häufig angezweifelt und doch existent: Dem Nutzer eines sozialen Netzwerkes oder einer Suchmaschine werden nur Ergebnisse und Inhalte angezeigt, die seinem Welt- und Wertebild entsprechen. Durch dieses positive Feedback wird die Kundenzufriedenheit erhöht. Das Problem dabei ist, dass der Nutzer kaum noch über den eigenen Tellerrand hinaussehen kann. Er bekommt keine widersprechenden Meinungen und Meldungen mehr angezeigt und verfällt dem Irrglauben, dass seine Meinung der der Masse entsprechen würde.

MIC

Machine Identifikation Code. Laserdrucker drucken die eigene Seriennummer und einen Zeitstempel nahezu unsichtbar als Punktmuster mit auf das Papier. Zusammen mit den Druckerlogs wurde es möglich, dass die NSA im Sommer 2017 eine Whistelblowerin verhaften konnte.

MIME

Das Schlüsselpaar wird durch eine zertifizierende Stelle generiert und dem Inhaber übergeben. Der zertifizierenden Stelle und ihrer Integrität muss vertraut werden, schließlich hat sie das Schlüsselpaar generiert, welches man benutzt. Ich rate daher von der Benutzung ab.

PGP/GPG

Nach heutigem Stand eine recht sichere Verschlüsselung. Vorteil gegenüber MIME ist, dass der Benutzer das Schlüsselpaar (Schloss und Schlüssel) selber generiert, so dass keine Zertifizierungsstelle den Schlüssel kennt. Auch der potentiell unsichere Transportweg von der Zertifizierungsstelle zum Inhaber des Schlüssels entfällt.

Schlüsselpaare

Öffentlicher Schlüssel

Das Schloss, mit welchem ein Absender Mails oder Dokumente verschlüsseln kann. Dieses Schloss (und der passende Schlüssel) wird durch den Besitzer erstellt und muss öffentlich zugänglich sein.

Privater Schlüssel

Der Schlüssel, der den passenden öffentlich Schlüssel (das Schloss) öffnen und die verschlüsselten Daten entschlüsseln kann. Dieser Schlüssel darf nie herausgegeben oder verlegt werden.

1. „Wie funktionieren automatische Alternativtexte?“, Facebook.com, Stand 04.2018 [↩]