Am 6.6. ist IPv6 World-Launch-Day.

Ab diesem Tag werden viele
relevante Teile des Internets permanent über den neuen
Netzwerkstandard IPv6 erreichbar sein.

Knapp ein Jahr nach dem IPv6-World-Day, der grossen Generalproble für
IPv6, an dem viele grosse Inhalteanbieter das neue Internetprotokoll
testweise eingeschaltet hatten, werden viele namhafte
Internet-Companies nun permanent auf IPv6 gehen.

Mit dabei sind Grössen wie Google, Facebook, Yahoo oder Microsoft Bing. Aber auch viele Internetprovider und Hersteller von Home Equipment beteiligen sich und machen zu diesem Stichtag IPv6 verfügbar. Aufgerufen zu diesem Event hat die Internet Society.

Join the Launch!

Auch Sie können mitmachen! Auf der Seite http://www.worldipv6launch.org/ gibt es die Möglichkeit, sich zu registrieren.

Ihren Webauftritt können Sie ausserdem im Dashboard des Swiss IPv6 Councils eintragen. Damit machen Sie Ihren Beitrag für die weltweite Internet-Community sichtbar.

Übrigens wird auch diese Website bis dahin IPv6-fähig sein. Im Wege steht mein Hosting-Provider, der IPv6 nicht anbietet, daher habe ich unter http://www.frankherberg.ch einen neuen Server gemietet und werde in Kürze umziehen.

“DigiNotar” war das Internet-Security-Schlagwort des vergangenen Monats. DigiNotar ist – oder heute muss man sagen – war eine Certificate Authority, die Hackern zum Opfer gefallen ist. Damit wurde die vertrauenswürdige Internet-Kommunikation über https in Frage gestellt. Und diese ist die Basis für Internetgeschäfte, aber auch für private Kommunikation oder die sichere Übertragung von Kennwörtern.

Aber was ist eigentlich genau passiert, ist das schlimm und wie steht es um die Sicherheit der Verschlüsselung im Internet? Darum geht es in diesem Artikel:

Aber erstmal ganz von vorne

Wer mit jemandem vertrauenswürdige Informationen auszutauschen hat, achtet darauf, dass niemand anders zuhört. Klar. Aber er muss auch noch zusätzlich dafür sorgen, dass sein Gegenüber tatsächlich derjenige ist, mit dem er die Infos austauschen möchte. Wenn Sie zum Beispiel zur Bank gehen und Ihren Kontostand am Schalter erfahren möchten, werden Sie zunächstmal nach Ihrem Ausweis oder Ihrer Bankkarte gefragt. Erst dann bekommen Sie die gewünschte Information.

Die Analogien zur Internet-Kommunikation sind Verschlüsselung (niemand kann zuhören) und Zertifikate (mein Gegenüber ist der, für den er sich ausgibt). Und die Instanz, die die Zertifikate ausgibt, das Passamt sozusagen, das ist die Certificate Authority (CA).

Von diesen CAs gibt es viele, DigiNotar war eine davon.

CAs, Webbrowser und Betriebssysteme

Nun stellt sich die Frage, wie man feststellt, ob ein Zertifikat wirklich von einer vertrauenswürdigen CA ausgestellt wurde. Diese Aufgabe übernehmen unsere Webbrowser automatisch im Hintergrund. Sie vertrauen einer ganzen Reihe von CAs. Und deren Zertifikate, also die CA-Zertifikate, sind dazu fest eingebaut in unseren Webbrowsern und/oder Betriebssystemen.

Wer vertraut wem?

Wir als Anwender vertrauen also stillschweigend blind darauf, dass die Browser- (oder OS-) Hersteller sich genau anschauen, wen sie in den Kreis der CAs aufnehmen. Und die Browser- (bzw. OS-) Hersteller müssen darauf vertrauen, dass die CAs – auch Trustcenter genannt

a)      sorgsam bei der Zertifikatsvergabe vorgehen – und

b)      ihre Infrastruktur vor Einbrechern und Manipulation schützen.

Letzteres hat bei DigiNotar nicht funktioniert: Die bösen Jungs sind in das System von DigiNotar rein und haben sich munter eine Reihe eigener Zertifikate ausgestellt. Unter anderem für google.com, windowsupdate.com, wordpress.com. addons.mozilla.org oder login.yahoo.com. Insgesamt über 500 an der Zahl. Und damit können sie sich für die genannten Domains ausgeben und deren Datenverkehr mitschneiden (MITM).

Ist das DigiNotar-Desaster nun ein tragischer Einzelfall?

Nun könnte man sagen: Einzelfall! Holländer!* Darf nicht passieren, aber nichts ist 100%ig sicher. (* es könnte natürlich genauso auch jedes andere Volk sein.) Allerdings muss man sich auch die folgenden Fragen stellen:

• Waren die Server gegen Einbruchsversuche professionell abgesichert?
• Hat DigiNotar effektive Verfahren, um Einbrüche zu erkennen?
• Gab es ein wirkungsvolles Krisenmanagement, um weiteren Schaden abzuwenden?

Heute wissen wir, dass wohl auf alle diese Fragen die Antwort lautet: Nein! Kapitale Konfigurationsfehler, keine Tools um Malware wie Password-Sniffer zu erkennen, Verzögerungstaktik über Monate bei der Kommunikation [1][2].

Dies wiederum wirft ein fragwürdiges Licht auf die Aussagekraft der Audits, die im Rahmen einer Aufnahme einer CA in einen Webbrowser oder ein Betriebssystem nötig sind.

Wie marode ist also das gesamte System?

Webbrowser vertrauen heutzutage einer dreistelligen Anzahl von CAs, jede davon kann der nächste DigiNotar werden – oder ist es bereits. Jede davon ist ein Single Point of Trust, kann also zum schwächsten Glied in der Kette werden. Und viele davon unterhalten eine Reihe untergeordneter Stellen, die ihrerseits Zertifikate ausstellen können [3].

Blicken wir zurück, ist der letzte bekannt gewordene Vorfall noch nicht so lang her: Die CA Comodo war im März ebenfalls von einer Kompromittierung betroffen: Einige Zertifikate wurden unrechtmässig ausgestellt, hier auch wieder Google, Yahoo, Mozilla mit von der Partie [4].

Die Electronic Frontier Foundation, eine Organisation mit Sitz in San Francisco, die sich mit Bürgerrechten im Cyberspace beschäftigt, schrieb im März 2010 einen Artikel [5] mit dem Titel „Neuere Untersuchen legen den Verdacht nahe, dass Regierungen SSL-Zertifikate routinemässig fälschen.“ Sie beziehen sich dabei auf eine Forschungsarbeit von Christopher Soghoian und Sid Stamm, die kurz gesagt folgendes darlegt:

• In den USA werden Technologie-Firmen recht weitreichend zur Kooperation bei Überwachungsmassnahmen gezwungen.
• Viele Regierungen betreiben eigene staatliche CAs, deren Zertifikate in die gängigen Browser aufgenommen wurden.
• Die grösste CA ist ebenfalls an Geschäften zum Outsourcing von Telekommunikationsüberwachung beteiligt.

Damit sind nicht nur „böse Hacker“ in der Lage, das Sicherheitssystem des Internets zu unterlaufen, sondern auch eine ganze Reihe von Staaten. Wer hätte es gedacht.

Don’t trust the TrustCenter

Mit dem DigiNotar-Desaster haben wir mal wieder gelernt, dass Sicherheit immer sowohl relativ als auch dynamisch ist. Vielleicht stellt es aber einfach auch das ganze System, auf das wir vertrauen, in Frage. Wozu sind CAs gut, denen wir im Zweifelsfall nicht vertrauen können? Wer räumt im unüberschaubaren Zoo von CAs auf? Und welche technischen Alternativen gibt es?

Solange sich Anwender in Sicherheit wiegen und alle anderen bequem und ungehindert ihrer Geschäfte nachgehen können, werden sich mit diesen Fragen vermutlich nur ein paar Wenige beschäftigen.

Zum Abschluss und bei weitergehendem Interesse möchte ich Ihnen zwei interessante Projekte ans Herz legen:

1. EFF:  SSL-Observatory – Ein Projekt um den Zertifizierungs-Dschungel sichtbar zu machen

https://www.eff.org/observatory

2. Moxie Marlinspike: Convergence – ein fertig in Software gegossenes Konzept, das CAs unnötig macht, siehe dazu auch das Video [4]

http://convergence.io/

Und auch interessant:

3. Bruce Schneier / Carl Ellison: Ten Risks of PKI: What You’re not Being Told about Public Key Infrastructure

www.schneier.com/paper-pki.pdf

Hat Ihnen dieser Artikel gefallen? Haben Sie Fragen, Kritik oder Ergänzungen? Ich freue mich auf einen Austausch.

Quellen:

[1]  „Vertrauensbruch“ Heise-Artikel c’t 21/11, S. 84ff.

[2] Spiegel-Netzwelt, Attacke auf das Sicherheitssystem im Web http://www.spiegel.de/netzwelt/web/0,1518,784626,00.html

[3] EFF Defcon 18 Slides https://www.eff.org/files/DefconSSLiverse.pdf

[4] BlackHat USA 2011: SSL And The Future Of Authenticity http://www.youtube.com/watch?v=Z7Wl2FW2TcA

[5] EFF – New Research Suggests That Governments May Fake SSL Certificates https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl

Im Blog vom PR-Doktor lief in den letzten Monaten ein spannender Online-Workshop zum Thema “Neue Website”: Alles was Sie wissen müssen, wenn ein neuer Webauftritt geplant und realisiert werden soll. Im vorletzten Teil des Workshops habe ich mich zum Thema “Technik und Sicherheit im laufenden Betrieb” geäussert.

Themen:

• Wie sind die Verantwortlichkeiten geregelt?
• Wie steht’s mit der Dokumentation?
• Lohnt sich ein “Zweitsystem”?
• Ist das Identity Management up-to-date und wird gepflegt?
• Sollten Sie sich noch um Hardening-Massnahmen kümmern?
• Welchen Bedarf an Monitoring haben Sie?
• Haben Sie einen Notfallplan?

Den Artikel können Sie hier lesen:

http://www.kerstin-hoffmann.de/pr-doktor/2011/07/20/online-workshop-%E2%80%98neue-website%E2%80%99-folge-18-sicherheit-im-laufenden-betrieb/

Der von der Internet Society für den 8. Juni 2011 ausgerufene World-IPv6-Day ist nun Geschichte. Und er hat einiges Rumoren im Blätterwald und Online-Informationsdschungel verursacht. Aber während der gemeine Internet-User das Thema vermutlich erstmal wieder genauso schnell vergessen wird, wie EHEC und die Gurkenkrise, haben viele IT-Professionals eine lange To-Do-Liste mit nach Hause genommen.

Um was ging es?

IPv6 ist die nächste Generation des Internetprotokolls, sozusagen die Sprache mit der sich alle Maschinen im Internet miteinander unterhalten. Man wollte in einem möglichst grossen Feldversuch herausfinden, ob es zu Problemen kommt, wenn die neue Version zu der altbekannten Version 4 hinzugeschaltet wird. Und man wollte sehen, ob der Parallelbetrieb die vorhandene Kommunikation stört. Ausserdem war es eine Chance für Early Adopters, die bereits das neue Protokoll verwenden, damit mal ausgiebig im Netz zu surfen.

Facebook, Google, Yahoo und Co. sind einige “grosse Namen”, die sich an dem Test beteiligt haben, aber auch viele andere Content- und Serviceanbieter haben die Chance genutzt:

Liste der Teilnehmer inkl. Erreichbarkeits-Status

Und was hat’s gebracht?

Erste Erkenntnis: Das Internet ist nicht zusammengebrochen. Die Internet-Nutzer haben von der Aktion in den allermeisten Fällen wohl nichts mitbekommen. Das erklärte Ziel, Störungen und Fehler zu identifizieren um daraus zu lernen, konnte anscheinend nur bedingt erreicht werden: solche sind kaum aufgetreten. Donn Lee von Facebook berichtet beispielsweise: “Etwa eine Million der 500 bis 600 Millionen Facebook-Benutzer haben sich via IPv6 mit dem Sozialen Netzwerk verbunden”. Die Rückmeldungen der anderen Teilnehmer lesen sich ähnlich: Wer mit IPv6 unterwegs war, kam in den allermeisten Fällen am Ziel an, die anderen wurden nicht gestört.

Erfolgreicher Test – keine Entwarnung.

Wer sich als ITler aufgrund des erfolgreichen Tests nun wieder beruhigt hinlegt, hat allerdings die falschen Schlüsse gezogen: Weniger als 0.5% aller Webangebote weltweit sind derzeit fähig, das neue Protokoll zu verwenden.  Und die grossen Firmen, die sich aktiv an dem Test beteiligt haben, sind oft bereits seit vielen Jahren an dem Thema dran.

In einem Vortrag anlässlich des World-IPv6-Tages in Zürich erläuterte beispielsweise Markus Erlacher von Microsoft Schweiz den aktuellen Stand seiner Firma zum Thema IPv6. Microsoft kann hier auf eine bereits 10-jährige Historie zurückblicken, in der die Firma sowohl das interne Netz, aber natürlich auch Endkunden-Services (wie Bing) und ihre gesamten Produkte fit für IPv6 macht – und die Roadmap reicht noch ein paar Jahre in die Zukunft. Nun ist nicht jeder Microsoft, aber die Message kam rüber: Es braucht Zeit.

Zeit anzufangen!

Das war sicher auch die wichtigste Nachricht, die die ca. 170 Teilnehmer der beiden vom Swiss IPv6 Council initiierten Anlässe zum IPv6-Tag bei Digicomp und Devoteam mit nach Hause genommen haben. Hier konnten sich IT-Verantwortliche, Entscheider und Umsetzer einen Tag lang informieren, welche Aspekte das Thema IPv6 hat, welche Integrations-Strategien es gibt und wie man am besten ganz konkret in seinem Unternehmen mit der Planung und Umsetzung anfängt.

Auffällig war dabei: IPv6 wurde in den letzten Jahren oft eher als Randthema wahrgenommen, von dem man nicht so recht wusste, ob und wann es einen betrifft – und mit dem sich höchstens einige Freaks beschäftigen, die ansonsten nicht ausgelastet sind. Nun scheint aber in den IT-Abteilungen angekommen zu sein, 1.) dass es hier etwas zu tun gibt, 2.) dass es nicht nur die Netzwerkabteilung betrifft und 3.) dass IPv6 als Querschnittsthema in den IT-Masterplan aller über Netzwerke kommunizierenden Unternehmen gehört.

Im nächsten Beitrag berichte ich über meine persönlichen Key-Learnings aus den beiden genannten Veranstaltungen für eine erfolgreiche IPv6-Strategie.

So,  nun ist die Blog-Pause doch etwas länger geworden als geplant. Nicht nur der Techblog-Server ist umgezogen, auch ich bin nun an einem neuen Ort. Ab jetzt kommt mein Techblog nicht mehr aus Zürich, sondern aus Wetzikon im schönen Zürcher Oberland.

Geplant sind nun wieder einige spannende Artikel, z.B. über IPv6, einem der aktuellsten IT-Themen der Zeit. Und auch im PR-Doktor-Blog werde ich mal wieder mit einem Gastbeitrag dabei sein. Thema: “Betrieb und Sicherheit Ihres Webauftritts. Was ist zu tun, nachdem die schöne neue Website online ist?”. Und alles wie immer aus der Perspektive “Technologie für Menschen”.

Viel Spass beim Lesen und herzliche Grüsse aus Wetzikon,

Ihr Frank Herberg

“Können Sie Ihrem Computer noch vertrauen”, “Was passiert mit Ihren Daten bei einem Diebstahl Ihres Laptops?”, “Wie sollten Sie mit Updates umgehen?”, “Ist Ihr nächster Urlaub in Gefahr?”.

Diese Fragen und mehr habe ich im Januar in einem Gastbeitrag im Blog “PR-Doktor” von Kerstin Hoffmann beantwortet. Nun gibt es den Sicherheits-Checkup für Ihren Computer als PDF zum kostenlosen runterladen hier:

http://www.kerstin-hoffmann.de/downloads.htm – “Wie hoch ist mein Risiko?” Praxis-Leitfaden für den engagierten Webnutzer

Viel Spass damit…

…und bei Fragen fragen

Heute habe ich meinen Blog und meine Homepage auf einen neuen Server umgezogen. Der alte war 5 Jahre in Betrieb, der Speicher reichte nicht mehr und mein Provider konnte der Virtuellen Maschine keine Ressourcen mehr zuweisen. Also musste ich auf einen anderen ausweichen.

Nun habe ich den fünffachen Speicher und das Ganze ist – wie Sie vielleicht auch bemerkt haben – deutlich schneller geworden. Natürlich bin ich bei Debian Linux geblieben, denn das ist einfach ein fantastisches Server-Betriebssystem.

Willkommen zum dritten Teil meines Praxis-Workshops ‘Privatsphäre im Internet’!

Im vorigen Teil haben wir uns angesehen, was man Browser-seitig unternehmen kann, um seine Privatsphäre ein gutes Stück besser zu schützen, als dies von vornherein der Fall ist. Das ist für Sie vor allem dann relevant, wenn Sie verhindern möchten, dass allzuviele Daten über Ihr Surfverhalten erhoben werden.

Neben dieser sagen wir eher passiven Datenerhebung, gibt es natürlich noch die personenbeziehbaren Daten, die wir freiwillig aktiv preisgeben, in dem wir diverse Webanwendungen und -Tools benutzen. Darum geht es in diesem Teil des Workshops.

.

Nutzen…

Typische Webanwendungen, die wir nutzen – und bei denen wir Daten hinterlassen – sind beispielsweise:

• Suchmaschinen (z.B. Google)
• Soziale Netzwerke (z.B. Facebook, StudiVZ, Wer-kennt-wen, Xing)
• Online-Tools (z.B. Evernote, Google Text & Tabellen, Google Kalender)
• Onlinespeicher (z.B. Dropbox, TeamDrive, Microsoft Skydrive, Ubuntu One, Apple MobileMe)

Viele der angebotenen Tools erleichtern uns die Arbeit, verbessern die Möglichkeiten der Informationsbeschaffung und den Informationsaustausch.  Ausserdem ermöglichen Sie uns eine effiziente Kommunikation und Zusammenarbeit. Nicht zuletzt ist die Nutzung meist kostenlos.

… und Risiken

Auf der anderen Seite können die Daten, die wir bei all diesen Diensten hinterlassen zu detaillierten Informationsarchiven über uns führen  – wie wir in Teil 1 gesehen haben.  Ausserdem besteht kaum eine Möglichkeit,  Daten, die wir einmal im Internet preisgegeben haben, zu kontrollieren. Sie können ihren Weg vorbei an Sicherheitseinstellungen und Privacy Policies nehmen. Wie sie dann verwendet werden, können wir im Nachhinein nicht mehr beeinflussen.

Schauen wir uns an, was wir tun können:

Machen Sie sich die Psychotricks Sozialer Netzwerke bewusst!

Menschen wollen dazugehören. Soziale Netzwerke leben davon, dass wir mit persönlichen Daten rausrücken, möglichst viel über unsere Gewohnheiten und Vorlieben verraten und unser Verhältnis zu anderen Menschen offenlegen. Soziale Netzwerke suggerieren uns ständig, dass dies einen Riesenspass macht. Sie sagen uns ausserdem bei jeder Gelegenheit, dass unser Profil erst zu 70% vollständig ist (Xing), oder verknüpfen eine neue Profilansicht mit der Abfrage weiterer persönlicher Informationen (Facebook). Wer möchte schon, dass sein Profil unvollständig und leer aussieht. So werden wir zu unbezahlten Mitarbeitern, die ihre privaten Informationen schön in Kategorien einsortiert und geordnet bereitstellen. Ausserdem: Was soll die Panik, die anderen machen es doch auch!

So zum Beispiel fragt uns Facebook mittlerweile nach:

• Verknüpfungen zum Partner und Familienmitgliedern
• Schule, Uni, Arbeitgeber, Projekte
• Religion
• Politische Einstellung

Die Preisgabe vieler dieser Informationen trägt nicht dazu bei, meine persönliche User-Experience bzw. den Nutzen, den mir Facebook bietet, zu steigern. Also wozu werden sie abgefragt? Diese Frage sollten Sie sich hin und wieder stellen. Anstatt einen Datensammler mit vielen Informationen über Sie zu füttern, können Sie z.B. auch einfach auf Ihre Homepage verweisen.

Praxistipp: Misten Sie aus! Gehen Sie durch die Profile, die Sie bei Ihren Sozialen Netzwerken angelegt haben und schauen Sie aus der Perspektive Ihrer Privatsphäre, welche unnötigen Informationen Sie dort preisgeben. Löschen Sie diese.

Was interessieren mich die Privatsphären-Einstellungen von gestern?

Beim Anmelden an ein Soziales Netzwerk wird Ihnen mitunter gesagt, dass es wieder tolle neue Features für Sie gibt! Interessiert Sie jetzt gerade nicht? Ist jetzt im Moment zu kompliziert? Das ist so gewollt!

Mit einem solchen Verhalten werden oft neue Privatsphären-Einstellungen eingeführt. Die Kontrolle, die Sie über Ihre Daten dachten zu haben, wurde verändert.

Matt McKeon zeigt auf seiner Homepage “The Evolution of Privacy on Facebook” eindrucksvoll, wie sich die Standard-Privatsphäreneinstellungen mit den Jahren entwickelt haben:

Die Entwicklung der Privatsphäre auf Facebook

.

Praxistipp: Beschäftigen Sie sich mit den Konfigurationsmöglichkeiten der von Ihnen verwendeten Sozialen Netzwerke. Nehmen Sie sich die Zeit dazu! Stellen Sie alles einmal so ein, wie es für Sie angemessen erscheint. Und:  Informieren Sie sich dann regelmässig über Veränderungen. Geeignete Anleitungen dazu gibt es im Internet in grosser Fülle (siehe Informationsquellen unten im Artikel).

Drittverwerter einfach mal aussperren

Was nützen einem personenbezogene Informationen, wenn man sie nicht zu Geld machen kann? Eben. Dafür gibt es ganz viele bunte Facebook-Anwendungen. Super Spiele, unterhaltsame Umfragen, tolle Tools. Bevor Sie mitmachen können, müssen Sie dem Drittanbieter erstmal Zugriff auf Ihre Daten geben, Beispiel TripAdvisor:

Oft nutzt man diese Facebook-Apps nicht lange, sondern schaut sie sich vielleicht nur mal an. Die Zugriffsrechte bleiben.

Praxistipp: Räumen Sie auch hier auf! Schauen Sie in Facebook auf welche Zugriffsrechte an Dritte Sie lieber verzichten möchten.

(unter Konto > Privatsphären-Einstellungen > Anwendungen und Webseiten > Bearbeite Deine Einstellungen > Anwendungen die Du verwendest > Einstellungen bearbeiten)

Praxistipp: Werfen Sie auch einen Blick auf die ‘Umgehende Personalisierung’. Hier sollte das Feld “Umgehende Personalisierung auf Partnerseiten zulassen.” entweder ausgegraut oder deaktiviert sein. 

(Konto > Privatsphären-Einstellungen > Anwendungen und Webseiten > Bearbeite Deine Einstellungen > Umgehende Personalisierung > Einstellungen bearbeiten).

Zitat Facebook zur ‘Umgehenden Personalisierung’:

Wir haben uns mit einigen Seiten zusammengetan, um dir großartige, personalisierte Erfahrungen zu ermöglichen, sobald du dorthin gelangst, wie zum Beispiel das sofortige Abspielen von Musik, die dir gefällt oder das Anzeigen von Bewertungen von Freunden.

Supernett, oder?

Identitätsdiebstahl und Einbrecherinformationsdienst

Um das Kapitel abzuschliessen: Denken Sie auch sonst darüber nach, welche Infos Sie veröffentlichen: Die Angabe Ihres vollständigen Geburtsdatums macht Sie attraktiv für Identitätsdiebstahl. Über Postings wie “Ab Montag drei Wochen Urlaub auf Kreta! Katze ist auch untergebracht.” freut sich vielleicht auch der Einbrecher. (Und die Versicherung beruft sich erstmal auf grobe Fahrlässigkeit.)

Probieren Sie mal youropenbook.org aus. Wer hat zum Beispiel bald Urlaub?

Suchmaschinen – Don’t be evil goony!

Der Begriff Suchmaschine wirkt altbacken. Wir suchen nichts, wir googeln. Seit 2004 auch durch den Duden bestätigt. Google hat nicht nur zum Thema Suchmaschinen eine Marktkonzentration erfahren, die bedenklich ist. Die Palette der angebotenen Dienste ist gross und attraktiv.

Spannend ist es, tatsächlich mal Google’s Datenschutzbestimmungen zu lesen. Keine Angst, die sind unterhaltsam! Danach bekommen Sie vielleicht Lust, im Google Dashboard nachzuschauen, welche Dienste Sie eigentlich alle benutzen. Heribert Wendholt hat in seinem Blog hier und hier Übersichten erstellt, welche Informationen erfasst werden. Und auf der Homepage der ‘Googlefalle’ kann man sich eine Tabelle mit Alternativen runterladen.

Praxistipp: Diversifizieren Sie! Wie bei Finanzinvestments sollten Sie auch bei Ihren Daten nicht aus Bequemlichkeit alles auf eine Karte setzen. Schauen Sie, wo sich (Ihre) personenbeziehbaren Daten konzentrieren und sehen Sie sich dann nach Alternativen um.

Auch wenn Sie Google einfach nur zum Suchen benutzen: Bedenken Sie, dass Sie das Internet dann nur noch durch die Brille von Google sehen. Was Ihnen Google nicht zeigt – oder unten einsortiert – existiert für Sie nicht!

Praxistipp: Benutzen Sie nicht nur eine Suchmaschine!

Übrigens, wer Bing von Microsoft benutzt, kann hier nachlesen, wohin dort die Reise geht.

Einfach mal IXQUICKen!

Eine Suchmaschine, die für guten Datenschutz steht und für Sie eine Alternative zu Google darstellen könnte, ist Ixquick. Ixquick wirbt damit, keine IP-Adressen zu speichern und kein Such(t)verhalten seiner Benutzer aufzuzeichnen. Dabei leitet Ixquick Ihre Suchanfragen an andere Suchmaschinen weiter (ist also eine Metasuchmaschine) und liefert die Ergebnisse aufbereitet zurück. Zusätzlich können Sie dabei alternativ auch über einen sogenannten Proxy gehen, womit Ihre IP-Adresse und Ihre Herkunft (Browser-Fingerabdruck, siehe Teil 1 dieses Workshops) verschleiert wird.

Praxistipp: Probieren Sie es aus: Suchen Sie in Ixquick nach “wie ist meine ip adresse”, gehen Sie dann einmal direkt auf den Link von http://www.wieistmeineip.de/ und einmal auf ‘Proxy’. Wie Sie sehen, surfen Sie in letzterem Fall unter einer anderen Adresse und einem anderen Browser.

Wer es genauer wissen will: daten-speicherung.de hat den Dienst genauer unter die Lupe genommen.

Onlinespeicher und Onlinebackup

Zum Schluss noch was zum Thema Onlinespeicher und Tools wie Dropbox, Evernote usw. Wirklich eine prima Sache!

Machen Sie sich aber bewusst, dass Ihre Dokumente bei den meisten Diensten von jedermann weltweit eingesehen werden kann… – …der Ihre Zugangsdaten kennt. Wenn Ihr Benutzername dann Ihr Nachname oder die E-Mail-Adresse ist, die Sie auch auf Ihrer Homepage im Impressum stehen haben und das Passwort das ist, was Sie überall benutzen, oder leicht zu erraten ist, dann ist das mitunter eine recht geringe Hürde.

Ausserdem ist es nicht übertrieben, sich die Online-Dienste, die Sie benutzen möchten, vorher mal anzuschauen: Lesen Sie die AGB und die Privacy Policy. (Ja, ich weiss: das tut weh!) Manchmal reicht es auch, sich einfach mal im Netz über die wirkliche Sicherheit des Anbieters zu informieren. Meist haben sich schon einige Profis genauer damit befasst und berichten für jedermann/frau nachlesbar in Blogs oder auf IT-Seiten.

Beispiel Dropbox: Ein Zitat aus den AGB (Privacy Policy):

Dropbox may sell [...]

your Personal Information[...].

Hmm. Ausserdem zeigt sich bei einer technischen Sicherheitsbetrachtung von Dropbox: Ihre Daten werden zwar verschlüsselt – aber dieser Schlüssel ist Dropbox bekannt. Dropbox hat also Zugriff auf all ihre Daten. Zitat:

allowing user control over own private keys is something we might consider adding in the future

Dieses Vorgehen ist weit verbreitet, die Übertragung Ihrer Daten erfolgt verschlüsselt, die Speicherung erfolgt verschlüsselt und Sie denken vielleicht: Mensch, toll! Nur die nächste Frage ist: Wer hat Zugriff auf den Schlüssel?

Praxistipp: Im Fall von Dropbox gibt es eine sehr schicke Lösung: Sie können TrueCrypt verwenden, einen Dateicontainer erstellen, dessen Schlüssel nur Sie kennen und diesen über Dropbox nutzen. Anleitung hier.

Zusammenfassung: Seien Sie kein Frosch!

Webanwendungen sind aus dem Leben von vielen von uns kaum noch wegzudenken. Der Kontrollverlust über die eigene Privatsphäre ist dabei ein schleichender Prozess. Oft ist dies weitgehender, als zunächst offensichtlich. Die Nutzung der Webangebote ist dabei freiwillig und die Verantwortung liegt im wesentlichen beim Einzelnen. Wenn Sie Wert auf eine gewisse Privatsphäre legen, bleibt Ihnen also nichts anderes übrig, als Ihr eigener Datenschützer zu werden und sich zu einem gewissen Grad kritisch mit den genutzten Services auseinanderzusetzen – oder zu verzichten.

Wir alle geben unsere Privatsphäre auf, wenn wir nicht darüber nachdenken!

(Zitat: Bruce Schneier in ‘Privacy and Control’, s.u.)

So! Ich hoffe, es hat Ihnen mal wieder Spass gemacht . Hiermit ist der Privacy-Workshop auch schon am Ende angekommen.

Wenn Ihnen dieser Workshop bei der komplexen Thematik ein wenig geholfen hat oder falls Sie Anregungen, Lob oder Kritik haben, freue ich mich wie immer über eine Nachricht.

Weitere Informationsquellen:

• Electronic Frontier Foundation about Facebook’s Privacy Changes: The Good, The Bad, and The Ugly – Eine Analyse in welche Richtung Privatsphären-Einstellungen bei Facebook sich entwickeln
• Electronic Frontier Foundation Facebook Further Reduces Your Control Over Personal Information – Hintergrundinfos, wie und warum sich Privatsphären-Einstellungen langsam verändern
• Bruce Schneier: Privacy and Control – Der Kryptographie-Experte zum Thema Privatsphäre in sozialen Netzen
• Klicksafe: Leitfaden zum Schutz der Privatsphäre in Sozialen Netzwerken

Andere Artikel von mir zu dem Thema:

• Praxis-Workshop – Privatsphäre im Internet (Teil 1: Awareness)
• Praxis-Workshop – Privatsphäre im Internet (Teil 2: Der Browser)
• “Wie hoch ist mein Risiko?” – Praxis-Leitfaden für den engagierten Webnutzer – Gastbeitrag im PR-Doktor-Blog von Kerstin Hoffmann
• Was Sie im Internet über sich verraten – hier im techblog

In meinem Beitrag “Einfache Tipps gegen WordPress-Piraten” hatte ich kürzlich ein paar nützliche Massnahmen vorgestellt, wie Sie Ihre WordPress-Installation in kurzer Zeit sicherer machen können – und was dabei zu beachten ist.

In diesem Beitrag geht es darum, was Sie bei der Installation von Themes und Plugins bedenken sollten.

Wie bei jeder anderen Software auch, schenken Sie dem Autor bzw. Lieferanten von Ihrem Theme und den von Ihnen genutzten Plugins das Vertrauen, dass dies nur tut, was es soll.

Siobhan Ambrose hat sich die Mühe gemacht den Code verschiedener frei verfügbarer Themes zu analysieren. Ihr Fazit:

“Never search for free WordPress themes

in Google or anywhere else”.

In den in freier Wildbahn verfügbaren Templates werden häufig unerwünschte Links oder bösartiger Programmcode versteckt! Im genannten Test waren 8 von 10 Quellen kompromittiert.

Als Laie sollte man deshalb tunlichst darauf verzichten, Themes aus unbekannten Quellen zu installieren. Wer Lust hat, sich den Programmcode eines Themes anzuschauen, sollte auf Links und base64-codierte Codeteile achten. Letztere enthalten oft die ungewünschten Komponenten. Wie dieses Video von themelab.com zeigt, kann es auch sein, dass das Template vom Autor sauber ist, aber der Anbieter des Templates eine verseuchte Variante in Umlauf bringt.

Also: Entweder auf die Themes beschränken, die WordPress anbietet oder einen kritischen Blick in den Code werfen, letzteres ist übrigens gar nicht so schwer.

Wie sieht’s bei Plugins aus?

Um es gleich vorweg zu nehmen: Das Fazit für Plugins sieht gleich aus. Das Beispiel vom BlogPress-SEO-Plugin hat das Gefahrpotenzial eindrucksvoll aufgezeigt. Dieses Plugin schickte die E-Mail-Adresse Ihres Admin-Accounts an den Entwickler, der sich wiederum damit durch eine Backdoor (ebenfalls Teil des Plugins) am System anmelden konnte.

Joost de Valk erklärt in seinem Blog, wie er es mit Hilfe des WordPress-eigenen Update-Mechanismus geschafft hat, die global existierenden Installationen des Plugins zu entschärfen.

Dies zeigt wiederum ein weiteres Problem auf:

Sind Updates von existierenden Plugins immer sicher?

Ist gewährleistet, dass ein sauberes Plugin durch ein Update nicht auf einmal Dinge tut, die es nicht soll?

Hier gibt es das Beispiel des beliebten Plugins SexyBookmarks. Dieses enthielt nach einem Update auf einmal Google-Analytics-Code, per default aktiviert und kein Hinweis darauf im Changelog.

Sowas  ist mindestens unschön und schafft kein Vertrauen, aber es kann auch sehr ärgerlich werden, wenn der Blog nach einem Update nicht mehr konform mit dem Datenschutzrecht ist. Zumindest in diesem Fall deuten Foreneinträge darauf hin, dass den Autoren nicht bewusst war, dass man zumindest hierzulande kritisch über ein Unterschieben von Analytics-Code denkt.

Wie man an den Foreneinträgen ebenfalls sieht, hat aber auch hier die Community relativ schnell als Korrektiv gewirkt. Und das ist sicherlich die gute Nachricht.

Herzlich willkommen zum 2. Teil meines Praxis-Workshops ‘Privatsphäre im Internet’! Im Teil 1 wollte ich Sie zum Einstieg ein wenig für das Thema sensibilisieren. In diesem Teil geht’s nun darum, wie Sie mit Hilfe von Tricks und Tools Ihren Internet-Browser dazu bewegen können, von jetzt an Ihre Privatsphäre zu respektieren. Dabei lernen Sie auch Super-Cookies kennen und erfahren ausserdem, wie man Sie an öffentlichen Orten nicht so leicht ausspionieren kann.

Welcher Internet-Browser ist der sicherste?

Ob Firefox, Internet Explorer (Microsoft), Chrome (Google), Opera oder Safari (Apple). Alle diese Browser sind mittlerweile sehr ausgereift und haben ihre spezifischen Vor- und Nachteile. Jeder Browser-Hersteller ist natürlich überzeugt, dass sich sein Produkt in Sachen Sicherheit und Privatsphäreneinstellungen von den anderen positiv abhebt.

Aus meiner Sicht gibt es folgende Kriterien für einen sicheren Browser:

• Unabhängigkeit von Datensammlern
• Modulare Erweiterbarkeit (Sicherheits-Plugins)
• Möglichst vollständig quelloffen (Open Source)
• Schnelle Verfügbarkeit von Sicherheitsupdates

Diese Kriterien erfüllt der Firefox-Browser am vollständigsten. Und er ist für Windows, Linux und Mac verfügbar. Gut ist in jedem Fall, wenn man noch einen Zweitbrowser installiert hat, wie wir später noch sehen werden.

Aktivieren Sie den automatischen Updateservice

Offene Sicherheitslücken können schnell Ihre Privatsphäre gefährden. Ganz gleich welchen Browser Sie benutzen, er sollte mitsamt seiner Add-ons und Plugins also immer mit den neusten Sicherheitsupdates versorgt werden. Alle aktuellen Browser bieten dazu einen automatischen Updateservice an. Aktivieren Sie diesen!

Lauscher und Datensammler aussperren

Achten Sie einmal darauf, was sich alles in der Statusleiste Ihres Webbrowsers abspielt, während Sie eine ganz normale Webseite aufrufen, sagen wir irgendeinen Blog:

(Nicht jeder Browser zeigt diese Infos an…)

Wie im ersten Teil bereits beschrieben, sieht man hier deutlich, wie Ihr Aufruf einer Webseite dazu führt, dass auch andere Seiten kontaktiert werden. Der Webseitenbetreiber in diesem Beispiel

• blendet Werbung ein, um Geld mit seinem Webauftritt zu verdienen
• benutzt Analytics um detailliert zu erfahren, welche Besucher sein Angebot wie benutzen und
• setzt Facebook-Tools ein, um sich besser zu vernetzen und den Bekanntheitsgrad seines Webangebots zu erhöhen.

Gleichzeitig wissen aber diese Anbieter dadurch auch, welche Seite Sie gerade angesurft haben und können damit ihr Profil über Sie wieder ein Stück verfeinern.

Mit welchen Plugins Sie Ihre Privatsphäre schützen können

Um dies zu verhindern, gibt es eine Reihe von Browser-Plugins mit verschiedenen Stärken. Vier bekannte Vertreter möchte ich Ihnen kurz vorstellen:

AdBlock Plus – Das Filterlisten-Multitalent

AdBlock Plus hat seinen Schwerpunkt ursprünglich beim Ausfiltern von Werbung. Mit Filterlisten kann man hier unerwünschten Content ausblenden (und damit natürlich auch Datensammler). Mit sogenannten Filterabos ist es möglich, vorgefertigte Blockierlisten zu aktivieren und aktuell zu halten (z.B. die nach der Installation angebotene ‘EasyList German’). Speziell für den Schutz der Privatsphäre gibt es die Liste ‘EasyPrivacy’, siehe Link. Mit ‘Add EasyPrivacy to Adblock Plus’ können Sie diese abonnieren.

Darüber hinaus können Sie mit Ihren eigenen Blockierregeln z.B. Datensammler aussperren. Und mit Ihren persönlichen Ausnahmeregeln (Whitelist) können Sie diese für bestimmte Webseiten per Mausklick wieder dauerhaft erlauben.

Als weiteres Feature ist es möglich mit der Option ‘Tab zum Blockieren von Flash und Java anzeigen‘ Flash- und Java-Inhalte gezielt von Webseiten zu blockieren.

Link zu AdBlock plus: http://adblockplus.org/de/

Ghostery – der Trackerexperte

Ghostery kümmert sich gezielt um Tracker. Er erkennt nach eigenen Angaben Code und Web-Bugs von Facebook, Google und mehr als 400 Werbenetzwerken. Webseiten lassen sich hier ebenfalls leicht interaktiv zu einer Whitelist hinzufügen, um sie vom blockieren der externen Dienste auszunehmen.

Nach der Installation und dem Neustart des Browsers startet ein Setup-Wizard, der Sie initial durch ein paar Einstellungen begleitet, diesen können Sie überspringen. Gehen Sie dann über Extras > Ghostery > Manage Ghostery Einstellungen zur Konfiguration. Dort sollten Sie folgendes aktivieren:

• Optionen: Enable bug list auto update
• Blocking: Blocking-Optionen: An; Wählen Sie: Alle

Ghostery kann auch die browserübergreifend wirkenden Flash-Cookies (Local Shared Objects) und Silverlight-Cookies löschen:

• Performance: Flash und Silverlight cookies beim beenden löschen

Diesbezüglich bietet allerdings das weiter unten vorgestellte Tool ‘Better Privacy’ feinere Einstellungsmöglichkeiten, falls Sie bestimmte Cookies doch nicht löschen möchten.

Link zu Ghostery: http://www.ghostery.com/

NoScript – der ultimative Script-Blockierer

Das Plugin NoScript erlaubt das Ausführen von JavaScript, Flash und Java nur bei Webseiten Ihrer Wahl. Damit können Sie präventiv Skripte blockieren, die ggf. Sicherheitslücken ausnutzen und trotzdem vertrauenswürdige Webseiten mit ihrem vollen Funktionsumfang nutzen. Es verhindert zudem andere Manipulationsmethoden, wie Clickjacking und Cross Site Scripting (XSS).

Nach der Installation blockiert NoScript ersteinmal alle Scripte. Damit sind eine Vielzahl aktueller Webseiten nicht mehr nutzbar. Ausserdem wirken die Einstellmöglichkeiten und auch die zugehörige Homepage eher unübersichtlich. Auf der anderen Seite kann NoScript sehr gute Dienste leisten, wenn man auf unbekanntem Webseiten-Terrain Schädlinge konsequent draussen lassen will. Da NoScript auch Whitelisting beherrscht (‘Allow website’), können Sie hier entweder konsequent Ihre vertrauenswürdigen Seiten pflegen (was nur am Anfang viel Arbeit macht). Oder Sie aktivieren NoScript einfach nur dann, wenn Sie sich mal in unbekanntes – nicht von vornherein allzu vertrauenswürdiges – Terrain begeben.

Link zu NoScript: http://noscript.net/

BetterPrivacy – kümmert sich um Super-Cookies

BetterPrivacy löscht beim Schliessen des Webbrowsers Flash-Cookies (LSO, Local Shared Objects, Super-Cookies), die via Adobe Flash in Ihrem Computer sonst dauerhaft gespeichert würden. Diese werden von der normalen Cookie-Verwaltung Ihres Browsers nicht erfasst und überleben das normale Cookie-Löschen. Zudem gelten sie browserübergreifend und können deshalb Ihre Identität auch dann noch preisgeben, wenn Sie sicherheitshalber für bestimmte Aktivitäten einen zweiten Webbrowser benutzen.

Ausserdem löscht Better Privacy den sogenannten ‘DOM Storage’. Das ist die Weiterentwicklung der altbekannten HTML-Cookies und bietet eine weitere Möglichkeit für Webseitenbetreiber, Inhalte lokal auf Ihrem Rechner zu speichern.

Unter Einstellungen können Sie im LSO-Manager sehen, welche Super-Cookies schon auf Ihrem Rechner gespeichert sind. Hier haben Sie die Möglichkeit, bestimmte Cookies dauerhaft vom Löschvorgang auszuschliessen (Button ‘Nie automatisch löschen’). Initial sollten Sie einmal  ‘Alle LSO’s entfernen’, ab dann fragt Ihr Browser beim Beenden, ob neu hinzugekommenen LSO’s gelöscht werden sollen. Optional macht dies BetterPrivacy auch still und leise im Hintergrund, ohne Sie zu fragen.

Link zu Better Privacy: http://netticat.ath.cx/BetterPrivacy/BetterPrivacy.htm

Empfehlung

Für den normalen Surf-Gebrauch empfiehlt sich eine Kombination aus Ghostery oder AdBlock Plus und BetterPrivacy. Damit hat man Tracker und Super-Cookies ganz gut unter Kontrolle. AdBlock Plus bietet sich an, wenn man auf die Flexibilität eigener Filterregeln steht, Ghostery wirkt dafür etwas benutzerfreundlicher und moderner. NoScript ist sicherlich ein Tool, das vom Nutzer erstmal ein wenig Techie-Geist erfordert. Dann aber kann es sehr gute Dienste leisten, gerade wenn man mal einen sehr rigiden Schutz benötigt.

Ausser NoScript, das es nur für den Firefox gibt, sind die vorgestellten Erweiterungen für alle gängigen Browser erhältlich.

HTML-Cookies nicht vergessen

Natürlich sollten Sie auch die guten alten HTML-Cookies nicht ausser Acht lassen. Diese ganz abzuschalten ist oft nicht empfehlenswert, denn viele Webseiten funktionieren dann nur noch eingeschränkt. Ein guter Kompromiss ist, Cookies von Drittanbietern auszusperren und die Lebensdauer der Cookies auf die Dauer der Sitzung zu beschränken.

Beispiel Firefox: Extras > Einstellungen > Datenschutz

Unter ‘Ausnahmen’ können Sie hier auch Webseiten eintragen, deren Cookies Ihnen nützlich sind.

Nutzen Sie https!

Webseitenbetreiber bieten häufig neben der unverschlüsselten Verbindung über http auch eine verschlüsselte an (https).

Diese sollten Sie möglichst immer dann nutzen, wenn Sie persönliche Daten über einen Webservice senden (z.B. Eingabe von Passwörtern, Angaben von Kreditkartendaten) oder abrufen (z.B. Webmail). Andernfalls kann die Information von allen Stationen zwischen Ihnen und dem Webseitenbetreiber mitgelesen werden.

Neben persönlichen Daten kann man auch Ihre Session-Cookies abhören und damit zum Beispiel Ihre aktuelle Amazon-, Google- oder Facebook-Session übernehmen – und dann unter Ihrer User-ID weitersurfen. (Auch für solche Zwecke gibt es eine Firefox-Erweiterung namens Firesheep, die sich z.B. in offenen WLANs sehr einfach nutzen lässt.)

Schauen Sie also bei den Konfigurationsoptionen der von Ihnen genutzten Web-Dienste, ob man hier SSL bzw. https aktivieren kann. Oder versuchen Sie, die Webseiten gleich über ‘https://’ anzusteuern. Dabei kann wiederum die Firefox-Erweiterung https-Everywhere gute Dienste leisten.

Privatsphäre am öffentlichen PC

Wenn Sie einen öffentlichen Computer z.B. im Hotel, bei einer Tagung oder im Internetcafé benutzen, ist Ihnen in der Regel daran gelegen, keine Spuren auf dem Computer zu hinterlassen. Hier helfen folgende Verhaltensweisen:

• Schalten Sie den ‘Privaten Modus’ des Browsers am Anfang wenn möglich ein ( bei Firefox z.B. unter : Extras > Privaten Modus starten…). Wenn dies nicht möglich ist, löschen Sie am Ende den Cache, die History, Cookies und eventuell eingegebene Formulardaten (Extras > Neueste Chronik löschen…)
• Melden Sie sich von Ihren Anwendungen wie z.B. E-Mail nach Gebrauch wieder ab (schliessen Sie nicht nur das Browser-Fenster!)
• Bedenken Sie auch, dass auf dem PC Keylogger installiert sein könnten, die Ihre Tastatureingaben mitlesen

Der ‘Private Modus’ schützt übrigens auch vor dem in Teil 1 beschriebenen History-Hack und verbirgt in der Regel* auch die Cookie-Sammlung vor aufgerufenen Webseiten.

Der Trend geht zum Zweitbrowser

Zum Schluss noch ein ganz pragmatischer Tipp, mit dem Sie etwas für Ihre Privatsphäre im Internet tun können: Verwenden Sie einen Zweitbrowser! Eine Möglichkeit wäre beispielsweise mit Browser A den ganzen Tag bei Facebook und Ihren Google-Diensten angemeldet zu bleiben. Und mit Browser B erledigen Sie alles andere. Ihre IDs sind nicht browserübergreifend bekannt und der Browser-Fingerabdruck (siehe Teil 1 dieses Workshops) unterscheidet sich damit auch für beide Verwendungszwecke.

Überlegen Sie einmal, wie sich in Ihrem persönlichen Fall die Verwendung eines Zweitbrowsers eventuell sinnvoll nutzen liesse.

Zusammenfassung

Teil 2 dieses Workshops hat gezeigt, wie Sie Ihren Webbrowser dazu bringen können, Ihre Privatsphäre im Internet deutlich zu verbessern. Ausserdem können Sie nun mit Super-Cookies und DOM-Speicher so umgehen, dass diese nicht im Hintergrund ungewollt wirken. Und Sie haben ein paar sinnvolle und einfache Massnahmen kennengelernt, die Sie an öffentlichen Orten vor Mithörern schützen kann.

Im nächsten Teil geht’s dann darum, wie Sie das Nutzen verschiedener Internet-Dienste von E-Mail bis Dropbox sicherer gestalten können. Ausserdem sage ich Ihnen, was Sie beim Surfen am Arbeitsplatz beachten sollten.

Hat Ihnen der Workshop bis hierher genützt? Haben Sie Anmerkungen, Kritik oder Ergänzungen? Ich freue mich immer über ein Feedback!

Verwandte Artikel von mir zu diesem Thema:

• Praxis-Workshop – Privatsphäre im Internet (Teil 1: Awareness)
• “Wie hoch ist mein Risiko?” – Praxis-Leitfaden für den engagierten Webnutzer – Gastbeitrag im PR-Doktor-Blog von Kerstin Hoffmann
• Was Sie im Internet über sich verraten – hier im techblog

Weitere Informationsquellen:

• An analysis of private browsing modes in modern browsers – Ein 15-Seiten-PDF von der Stanford University zum Nutzen des Privaten Modus von Webbrowsern
• Facebook bietet ab sofort durchgängige HTTPS-Verschlüsselung – Ein aktueller Beitrag von ZDnet zum Thema https.

* nicht im Safari-Webbrowser

Hier geht es zum dritten Teil des Workshops.

von snowcrystals.com

Zum Wochenende etwas aus der Reihe ‘Freude an Technik’:

Über einen Beitrag von einstein.sf.tv bin ich auf die Bilder von Schneekristall-Forscher und -Fotograf Ken Libbrecht aufmerksam geworden. Seit über zehn Jahren fotografiert er im Labor oder unterwegs mit seinem mobilen gekühlten Mikroskop Schneekristalle.

Seine aussergewöhnlichen Bilder sind hier zu sehen. Ausserdem gibt es einen interessanten ‘Guide to Snowflakes‘.

Nun ist es soweit, dem Internet gehen die Adressen aus. Was bedeutet das überhaupt? Wie konnte es soweit kommen? Wer ist dran schuld? Und was machen wir nun? Viele Fragen.

Fangen wir mal ganz von vorne an

Das Internet besteht aus vielen miteinander verbundenen Computer, die miteinander kommunizieren. Damit das funktioniert, hat jeder Computer seine eigene Adresse, die IP-Adresse. Die Art wie die Computer miteinander kommunizieren, wurde auch festgelegt, im Internet-Protokoll namens TCP/IP. Aktuell läuft auf der ganzen Welt die Version 4, abgekürzt IPv4.

Bei der Definition von IPv4 hatte man sich in den Siebzigerjahren überlegt, wie man die Adressierung anstellen will – und kam auf eine 32-Bit-Zahl. Zum Beispiel 62.75.241.8, das ist die Adresse meines Servers auf dem meine Homepage und dieser Blog läuft. 62.75.241.8 ist die Darstellung von 32 Bit in 4 mal 8 Bit dezimal. Man könnte auch schreiben 00111110010010111111000100001000, aber das wäre nicht so übersichtlich.

Damit kann man theoretisch 2^32, also ungefähr 4.3 Milliarden Computer mit einer Adresse versorgen. Damals sah es wohl so aus, als wenn diese Zahl ausreichend wäre.

Visualisierung eines Teils des Internets (Autor: Matt Britt)

.

Wer hat die ganzen Adressen?

Diese Adressen wurden nun nicht einzeln verteilt, sondern in Blöcken von z.B. 16.7 Millionen Adressen ausgegeben, z.B. der Bereich von 12.0.0.0 bis 12.255.255.255 ging an AT&T, 13.x.x.x an Xerox, 15.x.x.x an HP, 18.x.x.x an das MIT und so weiter.

Dieses Dokument der ‘Internet Assigned Numbers Authority (IANA)’ zeigt die Verteilung der IPv4-Adressen in diesen grossen Blöcken:

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

Damit wurden also gehörige Teile des Adresskuchens schonmal grosszügig verteilt. Andere Adressbereiche werden dezentral verwaltet und in kleineren Stücken vergeben. Schauen wir mal bei meiner Adresse. 62.75.241.8 gehört zum 62er-Bereich. Und da sagt die oben verlinkte Übersicht: der Bereich gehört zu RIPE NCC (ripe.net).

RIPE NCC (Réseaux IP Européens Network Coordination Centre) ist für die Adresszuteilung in Europa, dem Mittleren Osten, Nordafrika und Teilen von Asien zuständig.

Gehen wir doch bei denen mal schauen:

http://ripe.net/

Ah, der Adressbereich 62.75.240.0 – 62.75.245.255 gehört vserver.de in Hürth, meinem Internethostingprovider, d.h. die haben den Computer, auf dem mein Blog läuft in ihrem Rechenzentrum stehen. Und mein Server hat dauerhaft eine Adresse aus deren Pool.

Eine weitere IP-Adresse aus dem grossen Kuchen benutze ich für den DSL-Router, der wie bei den meisten von uns, irgendwo im Flur unterm Tisch liegt, um uns mit dem Internet zu verbinden.

Zur Zeit habe ich die 188.62.33.234 und die gehört der Swisscom, meinem Internetprovider, siehe http://www.wieistmeineip.ch/.

Ausserdem sind noch Teile des Adresskuchens für Sonderaufgaben reserviert, so z.B. das 10er-Netz oder die vielen von uns bekannten 192.168.er-Adressen für private Netzwerke (schauen Sie mal in Ihre DSL- oder WLAN-Routerkonfiguration).

Adressknappheit ist lange bekannt

Nun kann man sich ein Bild machen. Von dem Kuchen haben sich einige ein ganz grosses Stück abgeschnitten, für die USA beläuft sich dies auf ca. 70% des weltweit verfügbaren IPv4-Adressraums. Der Rest wird immer weiter aufgeteilt – und irgendwann wird er natürlich knapp.

Es gibt auch schon lange ‘Notlösungen’, z.B. wenn man 100 Computer hat und nur 1 Adresse bekommt (Network Address Translation). Man kann sich vorstellen, dass dies in Ländern, die weniger vom grossen Kuchen abbekommen haben – z.B. in Asien -  notgedrungen gang und gäbe ist, aber auch an gewisse Grenzen stösst.

Lösung: IPv6

Diese Entwicklung ist vorauszusehen gewesen und so hat man auch vor gut 15 Jahren schon damit angefangen, sich über Auswege Gedanken zu machen. Das Ergebnis -IPv6 – wird seit Ende 1998 als Nachfolger von IPv4 gehandelt. Adressraum nun rechnerisch 2^128, das sind ca. 340 Sextillionen, eine Zahl mit 39 Stellen. (Vermutlich könnte damit jedes Sandkorn seine eigene IP-Adresse bekommen.)

Seit mehr als 10 Jahren steht IPv6 nun also in den Startlöchern. Neben dem neuen Adressumfang hat es noch eine ganze Reihe weiterer Verbesserungen mitgebracht, wie zum Beispiel IPSec zur Verschlüsselung von Verbindungen auf Netzwerkebene.

Also dann, rüber!

Da die Überwindung der Hürden einer ‘globalen Migration des Internets’ von Version 4 auf 6 aber zu gross erschienen, hat man einige dringend benötigte Neuerungen erstmal in die 4er-Version übernommen, wie z.B. IPsec.

An vielen Ecken wurde IPv6 aber schon lange in die Systeme eingebaut: Wenn Sie z.B. nicht gerade mit Windows 95 arbeiten, kann Ihr Computer bereits IPv6. Nur den Mut und die Strategie zum konsequenten Umstieg haben wir (besonders in Europa) bisher noch nicht gefunden. Dies könnte sich nun sehr bald notgedrungen ändern.

Herzlich willkommen zu meinem Praxis-Workshop ‘Privatsphäre im Internet’!

.

Worum geht’s?

Sich online informieren, kommunizieren, amüsieren, einkaufen, Bankgeschäfte abwickeln, mit Mitmenschen vernetzen, bloggen und vieles mehr – faszinierend, was man im Internet heute alles tun kann!

Dabei hinterlassen wir allerdings auch Unmengen Datenspuren. Das liegt in der Natur der Sache und ist zunächst mal auch kein Problem. Wenn aber viele von den Datenspuren gespeichert werden, mit uns als Person verknüpft und mit anderen Quellen zusammengeführt werden, entstehen daraus erschreckend detaillierte Profile.

Was tun Sie, wofür interessieren Sie sich, mit wem kommunizieren Sie, was kaufen Sie, wie geht es Ihnen gesundheitlich? Ob Facebook, Google oder Internet-Werbeverbände, alle möchten so viel wie möglich über Sie erfahren. Dies ist ein Milliardengeschäft. Personalisierte Werbung (‘Behavioral Targeting’) zum Beispiel bringt viel mehr Geld, als einfache Werbeanzeigen. Dumm wäre es da, wenn man die für Werbezwecke einmal gesammelten Informationen nicht weiter verfeinern und wiederverwenden würde. Hier sind der Phantasie wenig Grenzen gesetzt.

Jeder kann dabei in gewissen Grenzen etwas für seine Privatsphäre im Netz tun. Das geht ohne technisches Detailwissen und ist auch nicht übermässig aufwändig. Dieser Workshop sagt Ihnen  – ohne den Teufel an die Wand gemalt zu bekommen – was Sie wissen müssen und was Sie tun können.

Den wichtigsten Faktor kennen!

Bevor wir uns überlegen, mit welchen Kniffen, Mitteln und Tools wir unsere Privatsphäre im Netz verbessern können, lassen Sie uns auf die wichtigste Komponente eingehen: den für das Thema sensibilisierten Menschen. Leider kann uns (auch hier) kein technisches Mittel oder Tool die Aufgabe abnehmen, selber zu denken.

Und es gibt noch eine schlechte Nachricht: Es gibt immer nur einen Kompromiss zwischen Privatsphäre und Funktionalität im Netz. Hier muss jeder von uns sein eigenes Mass finden.

Ein paar Grundregeln

Dazu ist es hilfreich, sich folgende Punkte zu vergegenwärtigen:

• Das Gebot der Datensparsamkeit. Alle Daten, die Sie nicht – bewusst oder unbewusst – erzeugen, können auch nicht gesammelt werden. Ich habe es mir angewöhnt, immer mal wieder einen kurzen inneren Check zu machen, bevor ich Enter drücke. Die Frage lautet “Soll das die Welt über mich erfahren?”.
• Das Netz vergisst nicht.  Sie müssen davon ausgehen, dass Daten, die einmal ‘im Internet’ sind, nicht mehr gelöscht werden können. Diese Kontrolle haben Sie also nicht – oder nur sehr eingeschränkt.

Als kleines Beispiel dazu: Wer archive.org und die Waybackmachine nicht kennt, es macht Spass hier ein bisschen in die Vergangenheit zu reisen. Hier z.B. eine Yahoo-Nachricht vom 18.9.2001. Die hat nicht Yahoo gespeichert, sondern archive.org. Auch Ihre Homepage von vor 5 oder 10 Jahren können Sie sich dort nochmal in gewissen Teilen anschauen.

• Daten wandern. Informationen, die heute durch irgendwelche Sicherheitseinstellungen in einer Anwendung vor bestimmten Zugriffen geschützt sind, müssen dies morgen nicht mehr sein. Spätestens seit Wikileaks wissen wir das alle. Dazu gehört auch das Verkaufen von Daten und das Zusammenführen von Informationsbeständen verschiedener Sammler.
• Die Rechenkapazität ist da. Riesige Datenmengen auszuwerten, ist heute problemlos möglich. Wir alle benutzen z.B. jeden Tag Suchmaschinen und wundern uns nicht mehr über deren Leistungsfähigkeit.

Visualisierung eines Teils vom Internet (Originial von Matt Britt verlinkt)

.

Wie Sie im Netz identifiziert werden

Viele von uns melden sich morgens erstmal bei Google an, um ihre Mails zu lesen, den Newsreader zu nutzen oder ein paar Kalendereinträge zu machen. Danach schauen wir vielleicht bei Facebook, was unsere Freunde treiben und ob wir irgendwo mit einem Kommentar einen wichtigen Beitrag leisten können. Dann bleiben wir natürlich den ganzen Tag angemeldet, um uns zwischendurch schnell wieder updaten zu können. Die Verbindung zwischen unserer Person und den Daten, die wir ab dann erzeugen, ist damit prinzipiell erstmal hergestellt.

Aber auch ohne gerade bei einem der typischen Datensammler angemeldet zu sein: Ihre Datenspuren bieten Rückschlüsse auf Ihre Identität. Aus IP-Adresse, Cookies, Flash-Cookies und dem digitalen Fingerabdruck Ihres Browsers können sich die Jäger und Sammler des Informationszeitalters bedienen und auch Teile der ggf. von Ihnen ‘verschleierten’ Information (z.B. durch Löschen von Cookies) wieder regenerieren.

Bei Panopticlick können Sie sich den digitalen Fingerabdruck Ihres Browsers anschauen. In meinem Fall kann ich alleine durch diesen zwischen ca. 700.000 Nutzern eindeutig identifiziert werden.

Eine weitere Informationsquelle, (nicht nur) um Sie wiederzuerkennen,  ist Ihre Browser-Historie, also die Seiten, die Sie in der Vergangenheit besucht haben. Diese lässt sich indirekt auslesen. Bei Startpanic.com können Sie sich einen Eindruck davon verschaffen, wie man mittels des sogenannten ‘History-Hacks’ Ihre Browser-Historie in weiten Teilen auslesen kann.

Die Kunst des Datensammelns

Die erste Quelle für Datensammler ist natürlich das, was wir selber an Daten bei diesen Anbietern generieren, klar. Und natürlich ist es sinnvoll, von Zeit zu Zeit die Privatsphären-Einstellungen des genutzten Anbieters durchzuarbeiten und zu schauen, ob alles so konfiguriert ist, wie man es angemessen findet. Trotzdem sollten Sie aus den oben genannten Gründen grundsätzlich nur solche persönlichen Informationen bereitstellen, die im Zweifelsfall jeder sehen darf, auch in einem, fünf oder zehn Jahren noch.

Die zweite Quelle ist Ihr sonstiges Surfverhalten: Welche Internetseiten Sie wie oft und wie lange besuchen und wie Sie sich dort bewegen. Wer Werbung in seinem Webauftritt integriert, Google Analytics benutzt oder den Facebook-Button und andere ‘Social Plugins’ einbaut, integriert damit auch gleichzeitig Code, mit dem Sie getrackt werden können.

Den Facebook-Button (‘Gefällt mir’) links liegen zu lassen, nützt übrigens nicht. Auch ohne dass Sie diesen drücken, wird Ihr Besuch auf der Seite von Facebook erfasst.

Achtung Webseitenbetreiber

Solche ‘Tracking-Beihilfe’ kann übrigens für Webseitenbetreiber auch Konsequenzen haben! Hamburgs Datenschutzbeauftragter geriet kürzlich unter Druck, weil sein Internetauftritt Trackingsoftware enthielt. Dies wurde in einem Blogartikel von Thomas Stadler thematisiert und führte nach ein wenig Hin und Her zum Abschalten des Webauftritts. Natürlich ist das ein Extrembeispiel, trotzdem sollte man als Webseitenbetreiber – ob als privater Blogger oder Verantwortlicher für ein Firmenportal – hier eine gewisse Sensibilität an den Tag legen und zwischen Nutzen und potentiellem Schaden abwägen.

Neben dem möglichen Imageschaden, ist natürlich auch die datenschutzrechtliche Situation zu beachten, wie z.B. spreerecht.de berichtet.

Mal schauen, wer mitliest

Für den Webseitenbesucher, der einen Eindruck bekommen will, wer auf der von ihm angesurften Seite gerade mitliest, gibt ontraxx.net Aufschluss.

Tauchen unter den aufgerufenen Services Links wie

• google-analytics.com
• static.ak.connect.facebook.com
• ivwbox.de
• doubleclick.net
• etracker.com

auf, wissen Sie, wer durch Ihren Besuch auf der Seite gerade seine Informationsbasis erweitert.

Ein Wort zu ‘Privacy Policies’

Wer Datendienste anbietet, hat eine “Privacy Policy”. Dieser Begriff suggeriert vielen von uns, dass man sich hiermit zu vielfältigen Massnahmen zum Schutz unserer Privatsphäre verpflichtet. Es kann aber faktisch genau das Gegenteil der Fall sein: Mit weitschweifigen englischsprachigen Ausführungen, die mitunter nicht so leicht zu deuten sind, stimmt man implizit eventuell zu, dass der Anbieter mit den Daten machen kann, was er will.

Hier darf man sich also nicht blenden lassen.

Zusammenfassung

Im Teil 1 dieses Workshops ging es darum, Sie für das Thema ‘Privatsphäre im Internet’ zu sensibilisieren. Warum ist dies ein Thema und was sind die Grundregeln, die einem dazu bewusst sein müssen. Anhand von praktischen Beispielen haben Sie gesehen, wie Daten lange Zeit gespeichert werden und wie Informationen mit Personen verknüpft werden können.

Im nächsten Teil dieses Workshops geht es dann um technische Massnahmen, Tools und einfache Praxistipps, wie Sie ein Stück Ihrer Privatsphäre im Internet erhalten können, wenn Sie dies möchten.

Verwandte Artikel von mir zu diesem Thema:

• “Wie hoch ist mein Risiko?” – Praxis-Leitfaden für den engagierten Webnutzer – Gastbeitrag letzte Woche im PR-Doktor-Blog von Kerstin Hoffmann
• Was Sie im Internet über sich verraten – hier im techblog

Weitere Informationsquellen:

• Protecting Consumer Privacy in an Era of Rapid Change – ein 120-Seiten-PDF von der US Federal Trade Commisson, Stand Dezember 2010

Hier geht es zum zweiten Teil des Workshops.

Haben Sie sich bei einer Surfsession auch schon mal gefragt, wieviele Daten eigentlich so insgesamt tagtäglich ‘durchs Internet’ fliessen? Die tägliche Ration Online-News, E-Mails, Youtube-Videos, Internetradio, Downloads, Skype, etc. zählt sich schon bei jedem einzelnen zusammen. Dazu kommen Dienste wie VPNs (Netzwerkverbindungen von Firmen) und IPTV (Fernsehen übers Internet).

Was kommt da eigentlich zusammen?

Die Gesamtmenge der Daten, die sich tagtäglich im Internet bewegen, kann man nur schätzen. Um trotzdem einen guten Eindruck davon zu bekommen, was so durchs Netz geht, hilft ein Blick auf  einen der weltweit grössten Internet-Knotenpunkte, dem DE-CIX in Frankfurt.

DE-CIX

DE-CIX steht für ‘Deutscher Commercial Internet Exchange’. Dort laufen einerseits viele nationale und europäische Netzverbindungen zusammen, aber auch asiatische und  Transatlantik-Datenleitungen. Und dort kann man messen, wieviel Bits pro Sekunde ‘durchlaufen’.

Das aktuelle Traffic-Diagramm zeigt heute (Januar 2011) einen Durchschnitt von ca. 875 Gigabit pro Sekunde. Typische Tagesspitzenwerte liegen ungefähr bei dem Doppelten. Das ergibt umgerechnet ungefähr 35.000 DVD’s, die pro Tag an dem Fankfurter Knoten durchfliessen.

Die Tendenz ist, wer hätte es gedacht, steigend. DE-CIX erfährt seit Jahren etwa eine Verdoppelung des Datenaufkommens pro Jahr. Und das ist auch die Prognose für die kommenden Jahre.

Und andere Knoten?

DE-CIX ist damit übrigens momentan weltweit der Spitzenreiter, gefolgt von dem AMS-IX in Amsterdam (Traffic-Diagramm) und dem LINX in London (Traffic-Diagramm).

Eine gute Übersicht aller Knoten gibt es bei Wikipedia.

Heute erscheint ein Gastbeitrag von mir im Kommunikations-Blog “PR-Doktor” von Kerstin Hoffmann. Dieser geht der Frage nach, welche Risiken Webworker und andere Internetsurfer eigentlich beim Nutzen moderner Kommunikationsformen eingehen und welche Gegenmassnahmen Sie ergreifen können.

Ergänzend zu dem Artikel gibt es hier ein paar Links zu genannter Software und entsprechenden Anleitungen:

• Der Revo Uninstaller zeigt übersichtlich alle installierten Programme an und hilft, diese vollständig zu entfernen. (Windows, Freeware)  Download-Link
• Eine Anleitung zum Einrichten eines Firefox Masterpassworts finden Sie hier, zum Thunderbird gibt es hier entsprechende Hilfe
• Den ‘Password Safe’ vom Security-Guru Bruce Schneier gibt es hier (Windows, Freeware): Download-Link und einen Quickstart-Guide dazu
• Hier können Sie TrueCrypt runterladen (Windows, Mac, Linux, Freeware): Download-Link
• Hilfe zu TrueCrypt gibt es viele, z.B. das Tutorial von Truecrypt selber (englisch) oder diese deutschsprachige Anleitung
• Dropbox sicher machen mit TrueCrypt. Dazu finden Sie z.B. hier eine Anleitung
• Zu AdBlock plus gibt es hier Infos: Getting started und den Download-Link

Beste Grüsse
Frank Herberg