2 / 64

Wer wir sind

● Digitalcourage e.V.• Gemeinnütziger Verein für Datenschutz und Bürgerrechte

• 1987 als FoeBuD e.V. gegründet

• Big-Brother-Awards, Freiheit statt Angst Demos, Klagen gegen Vorratsdatenspeicheung...etc.

● Digitalcourage Hochschulgruppe• Seit 2013 an der Uni-Bielefeld

• Cryptopartys, Netzwoche, Linux-Install-Partys...etc.

3 / 64

Was ist eine CryptoParty?

● Workshop zur digitalen Selbstverteidigung• "Tupperware-Party zum Lernen von Kryptographie"

(Cory Doctorow)

• Schutz vor Massenüberwachung

● Einsteigerfreundlich

● Öffentlich & unkommerziell

● Fokus auf Freier Software

● Von Anwendern für Anwender -> Gelerntes weitertragen

4 / 64

Agenda

● Einleitung: Warum digitale Selbstverteidigung?

● Inputvortrag zu:• Sichere Passwörter

• Verschlüsselung von E-Mails (PGP)

• Tracking beim Browsen vermeiden

• Dateiverschlüsselung (VeraCrypt)

• Mobilgeräte/Smartphones

● Praxis

5 / 64

Digitale Selbstverteidigung

Wirtschaft

Staat

Kriminelle

Freunde?

Freunde

persönlicheDaten

6 / 64

„Ich möchte nicht in einer Welt leben, in der alles, was ich sage, alles, was ich tue, jedes Gespräch, jeder Ausdruck von Kreativität, Liebe oder Freundschaft aufgezeichnet wird.

Das ist nichts, was ich bereit bin zu unterstützen. Das ist nichts, das ich bereit bin mit aufzubauen. Das ist nichts, unter dem ich zu leben bereit bin. Ich denke, jeder, der eine solche Welt ablehnt, hat die Verpflichtung, im Rahmen seiner Möglichkeiten zu handeln.“

- Edward Snowden

7 / 64

Persönlicher Bereich

8 / 64

● Analog• Privatsphäre

selbstverständlich akzeptiert

• Einbrüche in Privates meist erkennbar

• Gesetze zum Schutz der Privatsphäre

• Unverletzlichkeit der Wohnung• Briefgeheimnis• Freie Entfaltung der

Persönlichkeit

● Digital• Konzerne: „post-privacy“

Staat: „Nichts zu verbergen"

• Intransparente Datenerhebung und -nutzung

• Technisches Verständnis häufig notwendig

• Datenschutzgesetze nicht zeitgemäß (#Neuland)

Daten

9 / 64

Wirtschaft (Methoden)

● "Kostenlose" Angebote• Daten sind eine neue Währung

• Datenhändler kaufen Profile und verkaufen sie an die Werbeindustrie, Versicherungen, Schufa, etc.

● Geschlossene Systeme (Lock-In)• Proprietäre Software

• Keine offenen Schnittstellen

● Big Data• Zusammenführung, Analyse und Auswertung

großer Datenmengen

10 / 64

Wirtschaft (Ziele)

● Geschäftsmodell• "Daten sind das Öl des 21. Jahrhunderts"

– Stefan Gross-Selbeck, Ex-CEO von XING

● Monopolisierung• Lock-in-Effekte aufbauen

• Konkurrenz aufkaufen

● Macht / Kontrolle• Gesellschaftlicher Einfluss

• Lobbyismus

11 / 64

Beispiel: Facebook

● „Kostenlos“

● Datenschutzeinstellungen werden immer schwieriger

● Klarnamenpflicht

● Rechte an den Daten

● Intransparenz bei der Weitergabe

● Lock-In (kein Profil-Export)

Schön zusammengefasst von Alexander Lehmann (für X3)• Video (http://www.youtube.com/watch?v=e4re7mwQzIA)

12 / 64

Von Alvandria - CC-BY-SA 4.0

13 / 64

Beispiel: Alphabet

● Calico (Biotechnologie)

● Fiber (Aufbau eines eigenen Glasfasernetzes)

● Google • Suche, Analytics, AdSense, G+, Android, Maps, YouTube

● Nest (Hausautomation)

● Ventures (Investition in Start-Up Unternehmen)

● Verily (Biowissenschaften)

● X • Google Glass, autonome Fahrzeuge, Project Loon, Deep Mind

14 / 64

Alphabet Ziele & Visionen

● Geld

● Absolutes Monopol• Internet = Alphabet

• Keine Netzneutralität

● Zukunft der Welt gestalten• 'Fortschritt' in allen Lebensbereichen (A-Z)

• Nach den Vorstellungen von Larry Page & Sergey Brin

● Datenschutz = Hindernis• Dabei schützen die Alphabet-Chefs Ihre Privatsphäre stark

15 / 64

Staatliche Überwachung

● Strafverfolgung und Prävention

● Kontrolle / Machterhalt

● Vorteil gegenüber anderen Nationen• Politisch

• Wirtschaftlich (Wirtschaftsspionage)

16 / 64

Staat (Methoden)

● Gesetze• Vorratsdatenspeicherung

● Projekte• Elektronische Gesundheitskarte

• Elektronischer Personalausweis und Reisepass

• Videoüberwachung

● Geheimdienste• Massenhafte und gezielte Überwachung

17 / 64

Vorratsdatenspeicherung

● Erneut beschlossen am 16. Oktober 2015 als:„Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“.

● Verpflichtet Telekommunikationsunternehmen zum verdachtsunabhängigen Speichern von ...

• Standortdaten aller Mobiltelefonate bei Beginn des Telefonats (für 4 Wochen)

• Standortdaten bei Beginn einer mobilen Internetnutzung (für 4 Wochen)

• Rufnummern, Zeit und Dauer aller Telefonate (für 10 Wochen)

• Rufnummern, Sende- und Empfangszeit aller SMS-Nachrichten (für 10 Wochen)

• zugewiesene IP-Adressen aller Internetnutzer sowie Zeit und Dauer der Internetnutzung (für 10 Wochen)

18 / 64

Einschub: Metadaten

Definition: „Informationen über Merkmale anderer Daten enthalten, aber nicht diese Daten selbst“ (Wikipedia).

In der Telekommunikation häufig Verbindungsdaten genannt.

● Kleine Datenmenge

● Im Gegensatz zum Inhalt leicht zu analysieren

● Inhalte können verschlüsselt werden, Metadaten unbrauchbar zu machen ist schwieriger.

Metadaten eignen sich perfekt zur Massenüberwachung

19 / 64

Einschub: Metadaten II

Beispiel-Analyse von Verbindungsdaten:

● Wer kommuniziert mit wem? (Gruppen)

● Wer ist in welchen Gruppen aktiv?

● Wer ist Schlüsselperson in einer Gruppe?

● Korreliert die Aktivität mit bestimmten Ereignissen?

„We kill people based on metadata.“ – General Michael Hayden, Ex-CIA-und-NSA-Chef

20 / 64

Quelle: https://netzpolitik.org/2015/statistiken-zur-telekommunikationsueberwachung-telefon-und-internet-ueberwachung-weiterhin-meistens-wegen-drogen/

21 / 64

Folgen von Überwachung

● "Chilling-Effekt" (Selbstzensur)

● Angepasstes Verhalten

● Beobachtungsdruck

● Kontroverse Diskussionen vermeiden

⇒ Keine freie Meinungsäußerung

⇒ Keine kreativen Experimente

⇒ Keine freie Entfaltung der Persönlichkeit

22 / 64

Visualisierung von Überwachung

● Vorratsdatenspeicherung: https://apps.opendatacity.de/vds/

● Stasi vs. NSA Flächenvergleich:https://apps.opendatacity.de/stasi-vs-nsa/

23 / 64

Einschub: Freie Software

● Freiheit 0: Die Freiheit, das Programm auszuführen, wie man möchte, für jeden Zweck.

● Freiheit 1: Die Freiheit, die Funktionsweise des Programms zu untersuchen und eigenen Bedürfnissen der Datenverarbeitung anzupassen.

● Freiheit 2: Die Freiheit, das Programm weiterzuverbreiten und damit seinen Mitmenschen zu helfen.

● Freiheit 3: Die Freiheit, das Programm zu verbessern und diese Verbesserungen der Öffentlichkeit freizugeben, damit die gesamte Gemeinschaft davon profitiert.

⇒ Viel mehr als Open Source (Offenlegen der Quelltexte)

24 / 64

Sichere Passwörter

Wie werden Passwörter geknackt?

● Brute Force• Alle möglichen Kombinationen ausprobieren

● Listen / Wörterbuch-Angriffe• Alle Wörter einer Liste ausprobieren

● Social Engineering• Phishing, Person austricksen um PW zu erfahren

25 / 64

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

26 / 64

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

● Listen / Wörterbuch-Angriffe

=> Kein einzelnes Wort als PW verwenden

=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)

27 / 64

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

● Listen / Wörterbuch-Angriffe

=> Kein einzelnes Wort als PW verwenden

=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)

● Social Engineering

=> Niemandem das Passwort verraten!

28 / 64

Brute-Force-Angriffe und Passwortlänge

Nutzung von Kleinbuchstaben (26 Zeichen)

Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))

29 / 64

Brute-Force-Angriffe und Passwortlänge

Nutzung von Groß-, Kleinbuchstaben und Zahlen (62 Zeichen)

Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))

30 / 64

Wie erstelle ich ein sicheres Passwort?

● DbiR&DSd90M!• Merksatz: »Der Ball ist Rund & das Spiel dauert 90 Minuten!«

● HausLocherTasteMelone• Wortreihung

● 2UrN47oCfK6jAZ8xuKHiop4upPsI73• Passwortgenerator

31 / 64

Vorteile

● Open Source

● Viele Plattformen• Win, Linux, Mac, Android

● Passwortgenerator

● Verschlüsselt gespeichert

Passwortverwaltung

Nachteile

● Masterpasswort• Darf nicht vergessen oder

geknackt werden!

● Komfort• Kein Sync zwischen

verschiedenen Geräten

Wichtig: Für jeden Dienst ein anderes Passwort verwenden!

Software: KeePass / KeePassX

32 / 64

33 / 64

E-Mail Anbieter

Quelle: http://apps.opendatacity.de/prism/de

34 / 64

Vorteile

● Standort in Deutschland● Datensparsamkeit● Keine Inhaltsanalyse● Keine Werbung● Anonyme Nutzung möglich● Datenschutz hat Priorität

Nachteile● Kostet 1,- € pro Monat

● Posteo.de oder mailbox.org

● Gratis 24h-Einmal-E-Mail-Adresse: anonbox.net (CA-Cert)

Alternativen zu "kostenlosen" E-Mail-Anbietern

35 / 64

E-Mail Verschlüsselung (PGP)

Vorteile

● Inhalt Ende-zu-Ende verschlüsselt

● Sender & Empfänger sind eindeutig

Nachteile

● Metadaten unverschlüsselt

● Sender & Empfänger müssen PGP nutzen

Benötigte Software:

● E-Mail Programm: Thunderbird

● Add-on: Enigmail

36 / 64

Unterschied Symmetrische / Asymmetrische Verschlüsselung

● Symmetrische Verschlüsselung (secret key)• Wie analoge Schlüssel

• Ein Schlüssel zum ver- und entschlüsseln

• Alle Teilnehmer brauchen den Schlüssel

● Asymmetrische Verschlüsselung (public key)• Schlüsselpaar

37 / 64

Wie funktioniert PGP (Pretty Good Privacy)?

● Asymmetrische Verschlüsselung

● Schlüsselpaar: privater und öffentlicher Schlüssel.

● Öffentlicher Schlüssel:• verschlüsselt die E-Mail

• gibst du deinen Kommunikationspartnern

● Privater Schlüssel:• entschlüsselt die E-Mail

• bleibt privat, gibst du niemals raus!

38 / 64

39 / 64

Verbreitung von PGP

Quelle: https://sks-keyservers.net/status/key_development.php

40 / 64

Tracking beim Browsen vermeiden

Quelle: https://trackography.org/

41 / 64

Analyse mit Firefox-Addon Lightbeam

42 / 64

Analyse mit Firefox-Addon Lightbeam

43 / 64

● Cookies:• kleine Textdateien, die die aufgerufene Webseite im Browser

speichern und wieder abrufen kann.

● Passive Merkmale:• IP-Adresse, Sprache, Browser, Betriebssystem

● Aktive Merkmale (Javascript, Flash, Java, h264, ...)• Schriftarten, Browser-Add-ons, Bildschirmauflösung, uvm.

=> Eindeutiger Browser-Fingerabdruck• siehe https://panopticlick.eff.org/

Wie kann ein Webserver mich identifizieren und verfolgen (Tracking)?

44 / 64

Wie kann ich mich vor Tracking schützen?

● Browser-Wahl• Firefox, Chromium (https://download-chromium.appspot.com)

● Browser-Einstellungen• Do-not-Track Option

• Benutzerdefinierte Chronik: Cookies (für Drittanbieter) deaktivieren

• Adobe Flash Player deaktivieren (Flash-Cookies!)

● Suchmaschinen• Ixquick.com/Startpage.com, DuckDuckGo.com, MetaGer.de, etc.

(im Gegensatz zu Google auch keine individuellen Ergebnisse)

● Browser-Add-ons! ...

45 / 64

● Tracker und Werbung blocken: uBlock Origin

● Aktive Inhalte blocken: NoScript• Skripte allgemein erlauben (nicht empfohlen)

● Webseiten immer verschlüsseln: HTTPS Everywhere

● Flash-Cookies löschen: BetterPrivacy

Etwas komplizierter und aufwendiger:

● Alle Skripte blocken: NoScript

● Anfragen an Drittanbieter blocken: RequestPolicy

● Referer blocken: RefControl (Vorsicht!)

Schutz durch Firefox-Add-ons

46 / 64

TOR (The Onion Router)

Vorteile

● Anonymes Surfen

Nachteile

● Langsam

● Login bei personalisierten Seiten nicht sinnvoll

Was ist TOR?

● Netzwerk zur Anonymisierung von Verbindungsdaten

● IP-Adresse wird verschleiert

47 / 64

48 / 64

49 / 64

50 / 64

51 / 64

Dateiverschlüsselung

Software: VeraCrypt• Weiterentwicklung von TrueCrypt

• Software zur Datenverschlüsselung

Was kann ich mit VeraCrypt machen?• Verschlüsselte Container (Ordner) erstellen

• Komplette Festplatte verschlüsseln

• USB-Sticks und andere Wechseldatenträger verschlüsseln

52 / 64

Vorteile

● Plattformübergreifend • Win, Mac, Linux

● Quelloffen, freie Software

● Kompatibel mit alten TrueCrypt-Containern

Nachteile

● Komfort

● Passwort vergessen? => Daten weg!

VeraCrypt

56 / 64

MobilgeräteBenutzt am besten gar keine Mobiltelefone. Oder wir müssen die Mobilfunktechnik so grundlegend neu entwickeln, dass sie keine Spionagetechnik mehr ist.

● Hardware ("Super-Wanze")

● Betriebssystem• iOS (Apple) oder Android (Google) = Pest oder Cholera

● Android• Linux-Basis, quelloffen, Freie Software

• Tiefe Integrierung von proprietärer Google-Software (vorinstallierte, aktive Anwendungen, sog. "Bloatware")

57 / 64

Kommerzielle Datensammlungen● Neuer Markt für optimierte personenbezogene Werbung

● Apps sammeln diverse Nutzerdaten (z. B. Standortdaten)

● Beispiele von Apps und ihren jeweiligen Zugriffsrechten:Einige Hersteller von Spiele-Apps (z. B. iApps 7 Inc, Ogre Games, redmicapps)

Social Networks (Facebook, Twitter, Path); Location Dienste (Foursquare, Hipster, Foodspotting);Fotosharing App Instagram

Facebook App

- ungefährer (netz- werkbasierter) Standort- genauer (GPS-)Standort- uneingeschränkter Lesezugriff- Browserverlauf & Lese- zeichen lesen & erstellen- Telefonstatus lesen & Identifizieren- automat.nach dem Booten starten

ZUSÄTZLICH:

- das Adressbuch der Nutzer Auslesen UND- ohne Freigabe durch den Nutzer an der Service- Betreiber senden

ZUSÄTZLICH werden folgende Rechte eingefordert:- lesender Zugriff auf alle SMS und MMS- Zugriff auf Kalendertermine & vertrauliche Informationen- ohne das Wissen der Eigentümer Kalendertermine hinzufügen oder ändern- E-Mails an Gäste senden

58 / 64

Was kann ich tun?

Es gibt Möglichkeiten, sich auch auf dem Smartphone etwas Datensicherheit und Selbstbestimmung zurück zu holen!

Das kann ich tun, um mir die Gerätehoheit zurück zu erobern:

● Starke, sichere Bildschirmsperre wählen

(Android-Möglichkeiten, Bildschirm zu sperren – von unsicher zu sicherer: Wischgeste, Gesichtserkennung, Muster, PIN, Passwort)

59 / 64

Was kann ich tun?

60 / 64

Was kann ich tun?

● WLAN, GPS, Bluetooth, etc. ausschalten, wenn nicht genutzt

● Schluss mit dem Ammenmärchen "Ich habe doch nichts zu verbergen", bewusster mit den eigenen Daten umgehen

61 / 64

Was kann ich tun?

● Ansprüche an Messenger-Alternativen:• eine gute Ende-zu-Ende-Verschlüsselung

• einen sicheren Verschlüsselungsalgorithmus (AES)

• Open Source macht Überprüfung der Verschlüsselung durch unabhängige Experten möglich

• Upload von Daten darf ohne ausdrückliche Bestätigung des Nutzers nicht durchführbar sein

• Google-freie Installation (z.B. via F-Droid) und Google-freier Betrieb sollten möglich sein

=> Kaum ein Messenger erfüllt all diese Bedingungen

62 / 64

63 / 64

1. Unnötiges deaktivieren/entfernen• Google-Einstellungen (G+, Standort, Suche, Werbe-ID)

2. Alternative Dienste nutzen• Browser, Suche, Mail, Kalender-/Kontakte-Sync

3. Play Store deaktivieren/entfernen• mindestens eingeschränkt nutzen

4. Freies Android-Betriebsystem installieren• z.B. Replicant, CyanogenMod, Paranoid Android

Weitere Tipps: Android 'entgoogeln'

64 / 64

● App-Store: F-Droid

● Browser: Firefox

● E-Mail: K-9 Mail

● Messenger : Conversations (via XMPP/Jabber)

● SMS: Silence

Überblick: empfehlenswerte Apps

65 / 64

Weitere Projekte I

● Prism-break.org: ( https://prism-break.org/de/all/ ) Liste datenschutzfreundlicher Software und Anbieter, z.B.:

• Startpage und DuckDuckGo statt Google-Suche

• OpenStreetMap statt Google Maps

• Dudle statt doodle

• EtherCalc und EtherPad statt Google Docs

• Diaspora* statt facebook oder Google+

• ...

● DigitalCourage: Digitale Selbstverteidigung

( https://digitalcourage.de/digitale-selbstverteidigung )

66 / 64

Weitere Projekte II

● freifunk: freie, eigene Internet-Infrastruktur mit offenen WLANs

● Tails (The amnesic incognito live system): Anonymes Live-Linux

Noch in Entwicklung:

● p≡p (Pretty Easy Privacy): Einfach zu bedienende E-Mail- und Chat-Verschlüsselung (PGP kompatibel) für Outlook, Thunderbird, WhatsApp, Facebook und Jabber, auf iOS-, Android-, Windows- und GNU/Linux-Geräten

67 / 64

Kontakt & Infos

E-Mail: digitalcourage.hsg@uni-bielefeld.de

Homepage: https://hsg.digitalcourage.de

Es liegt außerdem eine Liste aus, auf der man sich in unseren Newsletter eintragen kann.