Wir haben nichts zu verbergen – oder doch?

Warum wir doch – alle – mehr oder weniger etwas zu verbergen haben sollten, wird aus der Kombination eines Artikels aus  „Technology Review“ (über Heise – Link unten), einem Artikel der Süddeutschen sowie einer satirischen Webseite über die NSA deutlich.

Heise berichtet über einen Artikel des Magazins „Technology Review“ in dem die Art beschrieben wird, wie der Personenkreis definiert wird, welcher zum Ziel von Drohnenangriffen wird. Wobei wir uns verinnerlichen müssen, dass ein Drohnenangriff in diesem Zusammenhang die gezielte Tötung mindestens einer (wie auch immer) definierten Person bedeutet. Das Töten von definierten Personen wird auch als Todesstrafe bezeichnet. Es werden Todesstrafen ohne eine Gerichtsverhandlung ausgeführt. Doch dazu später mehr.

In der Süddeutschen ist heute über die Arbeitsweise des BND zu lesen:

Die britischen und amerikanischen Abhördienste fischen Daten mit dem Schleppnetz, der deutsche BND arbeitet mit einem „Harpunen-System“. Allerdings vor allem, weil ihm für alles andere Personal und Speicherkapazität fehlen. Mails mit .de am Ende und Telefonnummern, die mit 0049 beginnen, filtert der BND raus.

Na, wenn Mails mit der Topleveldomain „.DE“ rausgefiltert werden bin ich ja beruhigt. Ohh, Moment mal bitte. Wenn jetzt alle mal oben in die Adressleiste des Browsers schauen mögen: Dort steht KOEPKE.NET. Dies bedeutet, dass Mails von und an Benutzer auf meiner Domain sehr wohl mitgelesen werden können. Ist ja nicht „.DE“. Die Spezialspezialisten des BND (ein Dienst der ausschließlich für Auslandsaufklärung zuständig ist) gibt also zu – bis auf weiteres – grundsätzlich einen Anfangsverdacht gegen Nutzer meines Servers zu haben. Nur weil er eine „.NET“ Topleveldomain nutzt. Obschon der Server in Deutschland steht und ich – der Registrar der Domain – seit der Geburt deutscher Staatsangehöriger bin.

Kommen wir nun zu der alles entscheidenden Frage: WAS lesen denn die Geheimdienste denn so mit, welche elektronisch übermittelnden Daten sind denn für einen Geheimdienst interessant?

Die satirische Webseite welche sich der Arbeit der NSA (National Security Agency – ein Geheimdienst dessen Existenz viele Jahre geleugnet wurde) annimmt offenbart uns, an welchen Daten – nicht ausschließlich! – Geheimdienste Interesse haben:

  • internet searches

Ach, suchen im Internet, das ist doch egal. Kann doch jeder wissen. Ehrlich? Hast Du noch nie nach einem Begriff (vielleicht sogar ein Sprengstoffname, über den Du dich informieren wolltest, weil Du ihn irgendwo gelesen hast) gesucht? Ein Freund von mir (persönlich bekannt – nicht Bekannter eines Bekannten) hatte Besuch vom BKA, weil er – aufgrund einer Hausaufgabe seiner Techniker-Ausbildung! -nach einem Stoff suchte, der auch zum Bombenbau benötigt wird. Kann mal passieren und im Einzelfall schon einen BKA-Einsatz auslösen.

  • websites visited

Zu den aufgesuchten Webseiten gehören natürlich auch die Webseiten, auf die man mittels oben bereits angesprochenen Webseiten gelangte. Aber auch Webseiten aufgrund von geklickten Links von anderen Webseiten fallen darunter. Perfider wird es, wenn ich z.B. unaufgefordert eine Mail bekomme, in der sich ein eingebetteter Link befindet. Wie man Mitmenschen „elektronisch“ kriminalisieren kann, habe ich bereits hier und hier ein wenig ausgeführt.

  • emails sent and received

Neben den oben angesprochenen Problem mit untergeschobenen Links und „gefährlichen“ Webinhalten, kommt hier noch das Medium Mail direkt ins Spiel. Was passiert z.B. wenn ich meine Mails verschlüssle? Damit bin ich schon einmal latent im Raster, denn wer verschlüsselt hat sehr wahrscheinlich etwas zu verbergen. Was aber, wenn ausgerechnet heute bekannt wird, dass ein aktuell von Terroristen genutztes Synonym für Sprengstoff „$Erfrischungsgetränk“ heißt und der Anschlag selbst als „Feier“ getarnt wird. Da werden aber einige Menschen im Raster landen, wenn sie einen Freund auffordern doch ausreichend $Erfrischungsgetränk zur Feier, die heute in der Nähe des Hauptbahnhofes stattfindet, mitzubringen. Und ich bin mir sicher: Mit exakt solch banalen Synonymen arbeiten Menschen, die etwas zu verbergen haben, sie wollen ja nicht auffallen. Abgesehen von all dem obigen: Es geht NIEMANDEN etwas an, wer mit wem mittels Mail kommuniziert und die Inhalte schon gar nicht. Ich bin ein unbestrafter Bundesbürger und ich mache das Recht geltend, dass ich nur als Verdächtiger überwacht werden darf. Unschuldsvermutung!

  • social media activity (Facebook, Twitter, etc)

Ich mag soziale Medien. Ermöglichen Sie es mir doch, festzustellen wer so alles wen kennt und wie intensiv einige Menschen miteinander kommunizieren. Wenn ich Revue passieren lasse, was ich schon so alles auf Twitter, auf Google+ und nicht zuletzt hier so von mir gegeben habe: Mir kann nichts passieren, ich werde gewiss überwacht.

  • blogging activity including posts read, written, and commented on

Tja, und hiermit seid ihr alle am Arsch, denn ihr seid auf dieser Seite gelandet, auf der ich gerade Kritik an der Überwachung durch die Geheimdienste der USA und anderer Staaten äußere. Und wer hier auch noch – am Ende gar meine Meinung unterstützend – kommentiert hat…..

 

  • videos watched and/or uploaded online
  • photos viewed and/or uploaded online
  • music downloads

Prima, die wissen welche Musik (Online/Cloud-Dienste) wir hören, welche Videos (sicher nur der schwarze Kanal) anschauen und wie oft wir nach Katzenbildern gesucht haben. Was ist aber mit dem Politiker oder höherem Manager, der sich des öfteren – vielleicht sogar vom Büro-PC) heimlich mal „Sexy“-Bilder oder Videos angesehen hat? Dieser wird – unter Umständen erpressbar. Und seine Mails hat man ja ebenfalls gescannt – ob er eine heimliche Freundin hat?

  • mobile phone GPS-location data

Mit unseren GPS-Daten geben wir nicht nur bekannt, wann wir uns wo aufhalten (Wann, wie oft), wir offenbaren auch, mit wem wir uns im realen Leben treffen. Diese Kontakte sind natürlich für Geheimdienste „härtere“ Fakten als nur der Mailaustausch. Dass der hochkriminelle Steuerhinterzieher und ich uns nur zufällig morgens beim Bäcker treffen, das wissen die Daten nicht.

  • mobile phone apps downloaded

Welche Software ich downloade, KANN uninteressant sein. Aber warum lade ich eine Verschlüsselungssoftware herunter und nutze sie (das krude Ding bekomme ich nicht installiert) anschließend nicht? Habe ich diese Software nur konspirativ für meinen Freund, den Steuerhinterzieher, herunter geladen?

DAS gehört seit Jahren zum Standardrepertoire, da muss ich nicht noch drauf eingehen.

  • text messages sent and received

Siehe oben.

  • online purchases and auction transactions

Wer kauft wann was. Gefährliche Artikel gibt es überreichlich – auch normale Haushaltsgegenstände können zu recht unangenehmen Dingen zusammen gemischt werden. Ich mache mich bei den Datensammlern nicht nur verdächtig, wenn ich alle drei gefährlichen Zutaten kaufe,  es reichen zwei Zutaten und ein Nachbar von mir, der die dritte Zutat erwirbt. Das ist dann der Beweis dafür, wie konspirativ wir vorgehen.

  • bookstore receipts

Nicht nur Online-Ordern, auch was wir beim Buchhändler um die Ecke erwerben, ist für unsere Kollegen mit dem ehemaligen Schlapphutfetisch interessant. Es KÖNNTE ja sein, dass wir nicht nur online recherchieren, sondern uns ein Buch kaufen. WEHE ihr studiert irgendwas mit Technik oder (noch schlimmer UND) Chemie.

  • credit card/ debit card transactions
  • bank statements

Bankauszüge und Geldbewegungen. ALLES. Man könnte ja nun fragen: Wieso gibt es dann noch Steuerhinterzieher? Aber ich frage: Was geht den Staat an, was auf meinem Konto liegt und dass ich meinem Bruder 100€ für „Sexuelle Gefälligkeiten“(er hatte mir etwas banales verkauft) überweise?

  • cable television shows watched and recorded

O.o. Jetzt wird es eng für die Menschen, die mir so ans Herz gewachsen sind: Menschen die sich gern informieren und deshalb vielleicht auch mal den Sender Al Jazeera einschalten. In Zukunft macht sich dann sicherlich auch verdächtig, wer die „Heute-Show“ oder „Neues aus der Anstalt“ ansieht. Dokumentationen sind auch suspekt!

  • commuter toll records
  • parking receipts
  • electronic bus and subway passes / Smartpasses
  • travel itineraries
  • border crossings
  • surveillance cameras

Bewegungsdaten aus allen Quellen – sollte man das Mobiltelefon einmal ausschalten. Natürlich auch mit Bewegtbilder – winkt doch mal, wenn ihr mal wieder an einer Überwachungskamera vorbeikommt. Aber Vorsicht: Das gibt schnell einen lahmen Arm, man hat viel zu winken.

  • medical information including diagnoses and treatments
  • prescription drug purchases

Alle meine Krankheiten und ärztliche Diagnosen. Insbesondere Interessant, wenn man Politiker oder Manager ist – da wird man bei bestimmten Diagnosen so schön erpressbar. Aber auch eine Krankheit, die ein Bekannter aus dem Urlaub mitbrachte, könnte schon bemerkenswert sein.

  • guns and ammunition sales

Naja. Das Waffen und Munitionskäufe überwacht werden, ist für mich schon irgendwie OK. In den USA wird dieser Punkt aber wahrscheinlich den grössten Aufschrei auslösen.

  • educational records

Meine Bildung ist tatsächlich für diese Damen und Herren ebenfalls einen eigenen Punkt in der Aufzählung wert. Ich frage mich, ob hier nun Intellektuelle oder besonders leicht zu beeinflussende Menschen beobachtet werden. Wahrscheinlich beide – nur die langweilige Mittelschicht hat hier nicht viel zu befürchten.

  • arrest records
  • driver license information

Sie wollen wirklich ALLES wissen. Welche Informationen wären über uns noch verfügbar, die hier nicht aufgeführt sind?

Sicherlich werden auch Daten von den Steuerbehörden und anderen Quellen abgeschnorchelt.

Nun möchte ich zum Schluss wieder auf den Artikel der Technology Review (über Heise) eingehen. Es gibt unterschiedliche Möglichkeiten sich verdächtig zu machen. Aber was sind die Folgen – was können die Folge meines Handelns sein, wenn ich in diesem Raster hängen bleibe:

Das bedeutet, der Offizier, der den Angriff freigibt, kennt die Identität der Ziele nicht.

Mit anderen Worten, ihr Verhalten trägt die „Signatur“ eines legitimen Angriffsziels.

Mein Verhaltensmuster kann mich zum Ziel eines legitimen Angriffes machen – ohne dass demjenigen, der über meinen Tod entscheidet, überhaupt mein Name bekannt ist. Die Software (deren Programmierer, die auch nicht immer fehlerfrei arbeiten) definiert ob ich weiterleben kann oder sterben muss.

Ich möchte an dieser Stelle alle Menschen die irgendwas mit Technik, Chemie oder Physik studieren, davor warnen, als Pizzabote zu  arbeiten. Denn wer weiß schon, ob man nicht vielleicht ausgerechnet dem gesuchten Steuerhinterzieher eine Pizza liefert, nachdem man für das Studium mal wieder Onlinerecherche betrieben hat.

[youtube NYj5SE88ypw]

Die Bundesregierung offiziell zum Thema Cloud und US-Geheimdienste

Unsere Regierung lässt sich nicht nur von den „Habenden“ vor jeglichen Karren spannen, auch schützt die Bundesregierung NICHT die Interessen der Bundesbürger gegenüber Willkürmaßnahmen ausländischer Regierungen. Über die Webseite von Andrej Hunko bin ich auf das Originaldokument gestoßen.

Eine Anfrage der Linken wurde von der Bundesregierung wie folgt beantwortet (Ausschnitt):

Frage 20: „Welche Rechtsakte der US-Regierung sind der Bundesregierung bekannt, die einen Zugriff durch US-Behörden auf in den USA befindlichen Cloud-Servern gespeicherte Daten von Nutzerinnen und Nutzern aus der Europäischen Union ermöglichen? „Antwort: „Zu Rechtsakten der Regierung der Vereinigten Staaten von Amerika, die einen Zugriff  von US-Behörden auf Daten von Nutzern aus der Europäischen Union erlauben, die  auf in den USA befindlichen „Cloud-Server gespeichert sind, liegen der Bundesregie-rung nur Hinweise aus öffentlich zugänglichen Quellen vor. Zu Inhalt und Auslegung ausländischen Rechts nimmt die Bundesregierung grundsätzlich nicht Stellung. “

Frage 21: „Inwiefern ist der Bundesregierung bekannt, ob der „Patriot Act“ oder der FISA auch Zugriffe von US-Behörden außerhalb der USA erlaubt, wie es niederländische Wissenschaftler kürzlich in einer Studie beschrieben hatten („Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“, 27. November, 2012)? “

Antwort: „Zur extraterritorialen Wirkung des genannten ausländischen Rechts liegen der Bundesregierung keine Erkenntnisse vor. Im Übrigen wird auf die Antwort zu Frage 20 verwiesen. „

Es ist ALLGEMEIN bekannt (oder sollte es zumindest sein), dass US-Behörden die Möglichkeit haben, auf Server von US-Firmen zuzugreifen – auch wenn diese z.B. in Deutschland stehen. Das Thema ist heiß- sehr heiß, wird aber von unserer Regierung seit mehr als einem Jahr schlicht ignoriert. Ich selbst bin schon seit längerer Zeit hinter dem Thema her, aber war leider genau so erfolglos wie die Linke – siehe hier.

Aber vielleicht genießt es die Bundesregierung ja, auch, dass ihre Behörden mittels „Amtshilfe“ über US-Behörden jederzeit an diverse Daten herankommen können, wofür sie sonst einen Richter bemühen müssten.

Mein #29c3 – völlig subjektive Betrachtungen zum Chaos Congress

Chaos Communication Congress Nummer 29 also nach 14 Jahren wieder in Hamburg. Meine Gefühle im Vorfeld waren zwiespältig: Einerseits freute ich mich auf einen Congress wieder dort, wo alles anfing – in meiner Heimatstadt 🙂 Andererseits das Bangen, ob diese Veranstaltung zu wuppen ist. Nicht dass ich an der Fähigkeit der Organisatoren zweifeln würde, aber eine neue Lokation, neue Ansprechpartner, neues Umfeld – all dies ist anspruchsvoll, sehr anspruchsvoll. Aber ich stelle fest: Es war eine sehr, sehr gute Veranstaltung und alle aktiv Beteiligten haben (nicht nur meine) Hochachtung, Respekt und nicht zuletzt Dank verdient.

Zur Abwechslung habe ich aber auch Kritik zu nennen. Wie es Kristian Köhntopp in einem Kommentar ansprach, wandern die Inhalte (vor allem der Vorträge) weg von der Technik und mehr hin zur Politik. Nicht dass mich politischen Themen verschließen würde, wer mich kennt weiß dass ich sehr politisch bin. Auch ich habe das Gefühl (um es mit Loriot zu sagen): „Früher war mehr Technik“. Meine politischen Ambitionen versuche ich auf anderen Ebenen zu befriedigen und suche dafür beim CCC eher Unterfütterung in Sachen technischen Randbedingungen, als die politische Endbetrachtung. DASS die NSA überwacht – jenseits jeglicher Vorstellung – ist bekannt. Mich interessieren die Mittel und Technologien und vielleicht noch Hinweise für den Otto Normalbürger wie er sich gegen jegliche Überwachung so weit wie möglich wehren kann. Grundlagen und Lösungen.

Für mich persönlich stand aber noch etwas ganz anderes im Vordergrund: Pflege der Sozialkontakte. Menschen treffen, mit denen man sich aus unterschiedlichsten Gründen typischerweise nicht mehr sieht. Sei es, weil Familie und Beruf zu sehr einnehmen, oder weil man einfach zu weit voneinander entfernt wohnt: Aber beim Congress trifft man sich, klönt, fachsimpelt und nimmt auch hier und da interessante Informationen und Ansichten mit. Bemerkenswert ist, dass die Lokation CCH so groß ist, dass ich von der Anwesenheit einiger Leute weiss, welche es durchgehend geschafft haben, vor mir zu verstecken 🙂

Womit wir bei der Lokation an sich wären: Grossartig. Sehr viel Platz, ohne leer zu sein. Nicht wie Computermessen, bei denen durch verschämt und kurzfristig eingerichtete und leerstehende „Ausruhzonen“ Leerflächen kaschiert werden. Jeglicher Platz im CCH wurde genutzt. Die unterschiedlichen Zonen zum entspannen, arbeiten, zuhören, zeigen, vorführen und was auch immer, wurden durchweg benutzt, ohne dass jemand zu kurz kam. PERFEKT! Keine Dauerkartenlotterie im Vorfeld, bei der viele interessierte Menschen leer ausgehen, sondern jeder war willkommen und jeder kam rein.

Was mir auch „bemerkenswert“ auffiel, waren die „Creepy-cards“. Keiner der mir bekannten Personen auf dem Congress hat sich in der Vergangenheit des Congresses oder dem disjährigen in die Richtung „das ist sexistisch, rassistisch, persönlich diffamierend“ geäußert. Vielmehr habe ich aus meinem Bekanntenkreis eher das Feedback erhalten, dass „Hacker-Events“ eher angenehm sind, weil es dort diesen Problemkreis eben nicht gibt. Aber sei es, wie es ist. Gehört vielleicht auch mal dazu.

Vorträge habe ich kaum gesehen – war eher „hier und da“. Aber dank des großartigen Archivs des Videoteams habe ich schon abends und Zuhause den einen oder anderen Vortrag gemütlich zu Hause sehen können.

Zum Abschluss noch die Erkenntnis: Scheiße sind wir alt geworden. Am Samstag sah ich in der Bahn eine Gruppe junger Menschen die von meinem Kleinhirn sofort als „Die steigen auch Dammtor aus“ einsortiert wurde – nicht zuletzt weil bei zweien nach genauerem Hinschauen das rote Dauerband am Ärmel erkennbar war. Das Problem: Alle Teilnehmer waren noch nicht geboren, als ich den ersten Congress besuchte. Und wenn das Hamburger Abendblatt (welches ich hier nicht verlinke) schreibt „Wer keine schwarze Kleidung trägt, fällt auf, wer über 50 Jahre alt ist, erst recht“, so ist dies schlicht gelogen und DAS ist diskriminierend. Denn weder fiel ich auf, noch viele andere „in ehren ergraute“ Anwesende. Aber die Medien müssen halt „Hacker“ mit „Jugendliche, die mit der Restmenschheit wenig zu tun haben“ gleichstellen.  Lieber Autor des Abendblatt-Artikels (Jens Meyer-Odewald), es geht bei den „CCC-Themen“ nicht um jung oder alt, sondern ausschließlich um eine gewisse Sicht der Dinge, Offenheit, Wissbegierde und vor allem dem Wunsch Dinge zu verstehen.

Ich hoffe, dass der 30c3 wieder in Hamburg stattfinden wird – ich wäre auf jeden Fall dabei.