25.07.2013

Der Terrorismus hat den Freiheitsstaat abgeschafft - Leserbrief

Die Empörung über die Abhöraffäre nimmt und nimmt keine Fahrt auf, obwohl jeden Tag schreckliche neue Details zutage treten.

Jetzt wird sogar offenbar, dass die Geheimdienste die Verschlüsselung des https-Protokolls aufbrechen wollen, indem sie von den Firmen die Herausgabe der privaten Schlüssel verlangen.

Dazu mein Leserbrief mit einer Zusammenfassung des bisher Bekannten an die WZ.

Mein Fazit: allein durch die Veränderung vieler demokratischer Staaten hin zu dieser extremen Überwachung haben die Terroristen unglaublichen Schaden angerichtet. Dieser ideelle Schaden überwiegt bei weitem alles andere, was Terroristen im Namen welchen Gottes oder welcher Ideologie auch immer bislang verursacht haben.

Leserbrief zum Dauerthema Abhören

Wenn sogar der "Spiegel" das Abhörthema zum Dauerthema auf der Website macht und dauerhaft extrem kritisch berichtet, ist das schon ein deutliches Warnzeichen für unsere Demokratie und unser Verhältnis zu sogenannten "befreundeten" Staaten. Eigentlich ist es schlimm, dass man dieses Adjektiv in Anführungszeichen setzen muss, aber es scheint nicht weit her zu sein mit der Freundschaft. In den vergangenen 12 Jahren haben sich die USA von einem freien in einen Überwachungsstaat verwandelt.
In Deutschland gab es einige Zeit lang die Vorratsdatenspeicherung für Verbindungsdaten (keine Inhalte). Das Max-Planck-Institut für ausländisches und internationales Strafrecht fand keine Hinweise darauf, dass die Speicherung einen Terroranschlag verhindert hätte - oder dass sich damit Kinderpornografie wirksamer bekämpfen ließe. Forscher der Technischen Universität Darmstadt kommen zu dem Ergebnis, dass die Vorratsdatenspeicherung wohl nicht zur Prävention geeignet ist.
Zunächst schien es "nur" Internetüberwachung zu sein, bis bekannt wurde, dass die US-Post pro Jahr 160 Milliarden Briefumschläge fotografieren und digitalisieren lässt.
Als nächstes wurde nun bekannt, dass T-Mobile USA einen Geheimvertrag mit dem FBI unterzeichnen musste, der den Ermittlern nahezu grenzenlosen Zugriff zu den Daten und zur Kommunikation ihrer Kunden gewährt.
"Prism" habe doch keine fünf konkreten Terroranschläge in Deutschland verhindert, wie es zunächst hieß. "Vielleicht mehr, vielleicht weniger", sagte Friedrich jetzt. Dafür musste also unsere gesamte Kommunikation überwacht werden?
Jeder ist betroffen: nicht durch durch eigenes aktives Verhalten, sondern auch, weil Firmen Daten über uns speichern und natürlich über's Internet miteinander austauschen.
Es geht um die flächendeckende Abschöpfung des Internetgebrauchs, nicht nur um sogenannte Metadaten, sondern um alle Daten inklusive der https-verschlüsselten: E-Mails, Chat, Suchanfragen, Videotelefonate, Käufe. Das wäre so, als ob jeder Mensch dauerhaft per Video total überwacht wird. Wer weiß, was man in ein paar Jahren mit diesen gespeicherten Daten anstellen kann?
Die Geheimdienste "5 eyes" der englischsprachigen Länder haben vereinbart, dass sie sich gegenseitig abhören und Daten austauschen. Man darf ja nicht die eigenen Landsleute abhören. Aber die Erkenntnisse der "Freunde" darf man natürlich verwerten. Wie verlogen ist das denn?
Merkel: "Da wurde dem Bundesinnenminister sehr deutlich gesagt, es gibt keine Industriespionage gegen deutsche Unternehmen." Die amerikanische Geheimdienstführung hat mehrfach sowohl Senatoren wie auch den US-Kongress angelogen. Wie außerordentlich egal muss dann erst eine Lüge gegenüber einem europäischen Reisebittsteller sein? Es gibt 45 verschiedene amerikanische Geheimdienste, und alle haben eigene Geheimnisse.
Es ist ein offenes Geheimnis, dass amerikanische Geheimdienste auch zu Gunsten der amerikanischen Wirtschaft spionieren. Es wird kolportiert, dass Airbus Ausschreibungen verloren hat, weil Boeing durch Insiderkenntnisse Angebote nachbessern konnte. Merkel gibt sich doch immer so wirtschaftsfreundlich. Warum wird sie hier nicht zum Schutz der Wirtschaft tätig?
Deutschland und die EU könnten sich wehren; es gibt durchaus Druckmittel: Fluggastdatenabkommen, SWIFT-Datenaustausch, Freihandelsabkommen. Man muss es nur wollen. Die Datenschutzbeauftragten geben die Marschrichtung vor: derzeit keine neuen Genehmigungen für "Safe Harbour"-Anträge, d.h. keine Auftragsdatenverarbeitung im Ausland nach EU-Richtlinien, weil nicht klar ist, ob "Safe Harbour" wirklich eingehalten wird.
Eine kurzfristige Gegenmaßnahme ist das Verschlüsseln von Mails (Anleitung dazu in meinem Blog). Aber eigentlich ist das ein Zeichen, dass ich meinem Staat mißtraue. Und das ist auch kein schönes Gefühl.
Das eigentliche Ziel von Terrorismus ist es, Angst zu verbreiten. Bis jetzt kann ich nur feststellen: Job well done.
Im Vergleich zu anderen Todesursachen rangiert Terrorismus deutlich unter "ferner liefen". Es gibt viel mehr Tote durch Krankheiten, Drogen, Unfälle. Warum erhält Terrorismus soviel Aufmerksamkeit? Das ist genau das, was die Terroristen wollen. Meine Theorie dazu: Ohne Aufmerksamkeit durch die Medien gäbe es langfristig keine oder kaum Anreize, Anschläge zu verüben.

24.07.2013

Mehr CyanogenMod: Motorola Flipout, der Senior-Zwerg

Unglaubliche Sachen passieren in diesem merkwürdigen Internet ...

Ich hatte das alte Motorola Flipout immer noch als Notfallhandy im Regal liegen, nachdem Kind 1 sich ein Galaxy S2 zulegen wollte, und ab und zu hab ich damit ein wenig herumgespielt.



Allerdings ist es aufgrund des extrem kleinen Bildschirms mit 320x240 eher ein Hilfsmittel zur Umsatzsteigerung für Augenärzte denn ein ernstzunehmendes Smartphone.

Offensichtlich gibt es aber trotzdem Liebhaber für schnuckelige kleine Geräte mit lustiger Drehmechanik: das Gerät wird "über Eck" geöffnet, um die Tastatur zu entblößen. Es ist also weder ein Aufklapphandy wie die recht erfolgreichen Motorola V3 "Razr"-Geräte noch ein Schiebehandy wie Motorola Milestone und Milestone 2.

Irgend jemandem hat es also keine Ruhe gelassen, dass dieses Gerät quasi ab Auslieferung schon für tot erklärt wurde. Es gab nie ein vernünftiges Update von Motorola. Alles, was sich im Internet finden lässt, ist ein Update, das die "Blur"-Software entfernt, aber die Android-Version ist nach wie vor 2.1 "Eclair".

Ich wollte es schon einem Museum stiften und bot es in Google+ zum Verkauf an ... Mit dem Hinweis "Kein Update möglich". Spaßeshalber hab ich dann trotzdem "CyanogenMod Motorola Flipout" gesucht und es gibt wirklich Bastler, die im Juli 2013 (!) an CyanogenMod 7 für das intern MB511 genannte Flipout arbeiten.

Es funktioniert tatsächlich. Im zweiten Anlauf hab ich es geschafft, das Gerät mit Android 2.3.7 zu versorgen. Aber der kleine Bildschirm ist in meinem hohen Alter das K.O.-Kriterium, ich will es trotzdem loswerden. Immerhin ist Android 2.3.7 jetzt sogar ein starkes Werbekriterium beim Verkauf ;). Leider hat es insgesamt nur 512 MB RAM, davon sind knapp 150 MB frei zur Installation von Apps. Diese Einschränkung kann man mit einer kleinen App umgehen, wenn man in Kauf nimmt, dass man dafür eine neu partitionierte SD-Karte einsetzen muss, die man dann nicht mehr entnehmen darf (s.u.). Google Maps funktioniert leidlich mit der Bildschirmgröße, der Google-Authenticator hat am unteren Bildschirmrand (hochkant!) schon Probleme, die neue PIN komplett anzuzeigen.


Im CM-Paket ist sogar schon eine App für das UKW-Radio enthalten, allerdings nur in Japanisch. Wenn man einen Kopfhörer als Wurfantenne anschließt, kann man damit sogar Radio hören.

Hier also wie üblich die Anleitung in Ihrem freundlichen Android-Serviceblog, was zu tun ist, um statt des originalen Motorola-Android 2.1 das immerhin etwas modernere 2.3.7 zu installieren. Achtung, die derzeit verfügbare CM-Version heißt "RC version 2: 0.7.1", sie ist also als "RC" (release candidate) gekennzeichnet, es kann sein, dass nicht alles perfekt funktioniert.

Wie üblich muss das Gerät gerootet werden, damit man einen alternativen Bootloader und Recovery-Modus installieren kann.

Falls das Gerät schon modifiziert ist, sollte man laut Empfehlung der Entwickler zunächst mit dem offiziellen Tool "RSD Lite" die Motorola-Version zurückspielen (für Europa die 1.14 Central Europe).

Als Vorbereitung für den nächsten Schritt sollte man die "Installation aus unbekannten Quellen" erlauben, sonst kann man keine lokalen apk-Dateien von der SD-Karte installieren. Danach müssen die zwei apk-Dateien, CM7 und die Google-Apps für Android 2.3.7 auf die SD-Karte kopiert werden, am besten ins Root-Verzeichnis. Dummerweise enthält das Flipout keinen Dateimanager, mit dem man sich den Inhalt der SD-Karte anschauen und apk anwählen kann. Man benötigt also z.B. "ES File Manager" oder "AndExplorer" oder ähnliche.

Danach kann man mit Hilfe des Dateimanagers eine App "UniversalAndroot" installieren, die das Rooten und Unrooten durchführen kann. Extrem bequem!

Der nächste Schritt ist die Installation von CWM Recovery mit der App "Charms Bootstrapper". Zunächst den oberen Menüpunkt "install recovery" anwählen, danach den unteren Menüpunkt "boot to recovery".

Da das Telefon recht langsam ist, dauert es, bis tatsächlich das Recovery-Menü erscheint. Spätestens jetzt bietet es sich an, das Telefon aufzuklappen, man benötigt zur Bedienung des Recovery-Modus die Cursor-Tasten und die Eingabetaste auf der Tastatur. Die Lautstärketasten und der Einschaltknopf funktionieren nicht in allen Menü-Ebenen. Diese Situation erkennt man daran, dass ein Bildschirm mit einem Hut und einem großen gelben Pfeil erscheint. In diesem Fall kommt man einfach mit dem Einschaltknopf zurück.

Der Reihe nach nun die üblichen Löschbefehle anwählen:

  1. Wipe Data
  2. Wipe Cache
  3. Advanced -> Wipe Dalvik Cache

Wenn das erledigt ist, muss die /system-Partition noch manuell gemountet werden:

  1. Mounts and Storage -> mount /System

Danach "install zip from SD card" anwählen und der Reihe nach CM7.zip und gapps.zip (es muss genau diese hier sein: gapps-gb-20110828-signed) anwählen und installieren lassen. Das geht recht fix.

Als nächstes den Reboot auswählen und warten ...
Wie üblich dauert der erste Start von CyanogenMod recht lang, danach kann man sich das System neu einrichten. Einige Google-Apps wollen sich danach von selbst updaten.

Wenn etwas schiefgeht: keine Panik, man kann problemlos immer wieder zurück zur Motorola-Originalversion. Am PC muss man mit dem Motorola-Devicemanager zunächst alle Windows-USB-Treiber und danach die Flashsoftware "RSD Lite" installieren. Wenn das erledigt ist, als nächstes kurz den Akku entnehmen, Gerät aufklappen, Akku wieder einlegen, bei gedrückter Cursor-Hoch-Taste einschalten und die Cursor-Taste weiter gedrückt lassen, bis ein bißchen Text in weiß auf schwarz erscheint.

Jetzt das USB-Kabel zum PC anschließen, abwarten, bis Windows alles erledigt hat, und dann RSD Lite starten. "Show Device" anklicken. Sobald das Telefon erkannt wurde, mit dem "..."-Button die SBF-Datei mit der Originaldatei von Motorola anwählen und auf "Start" klicken (Runterladen kann man meistens eine sbf.zip oder sbf.gz, die muss ausgepackt werden, z.B. mit 7-Zip). Das Flashen dauert ca. 5 Minuten. Unbedingt das Kabel stecken lassen, bis das Telefon von allein neu startet und im Flashprogramm "PASS" angezeigt wird. Erst jetzt das Kabel entfernen. Patsch, das Telefon ist wieder auf Android 2.1.

Allerdings macht es ehrlich gesagt keinen großen Spaß mit dem kleinen Bildschirm. Trotzdem finde ich es faszinierend, dass es eine Entwicklergemeinde gibt, die das aktiv betreibt ;)

Zum Schluss noch der versprochene Punkt mit der Verbesserung der geringen RAM-Ausstattung: wenn man eine hinreichend große SD-Karte einsetzt, kann man diese Karte mit zwei primären Partitionen ausstatten (eine große mit FAT32, eine kleinere 1 bis 2 GB große mit ext2), kann man mit Hilfe der App INT2EXT die interne und die externe SD-Karte "tauschen" und hat dann nicht mehr knapp 150 MB, sondern die gesamte ext2-Partition auf der großen SD-Karte zur Verfügung. Der Rest der SD-Karte ist dann wie üblich Datenbereich für Fotos, Musik etc.
Für die Partitionierung der SD-Karte muss man die Karte in einem Kartenleser an ein Linux-System anschließen und kann dann mit fdisk oder einem ähnlichen Tool die SD-Karte umbauen. Danach ist aber der Menüpunkt "SD-Karte entnehmen" in den Android-Einstellungen tabu, sonst zieht man dem laufenden Android-System den Boden unter den Füßen weg ;)
Technisch passiert dabei folgendes: die App verschiebt große Dateien auf die externe SD-Karte und hinterlässt an der ursprünglichen Stelle im internen Filesystem nur einen symbolischen Link (eine wunderbare Erfindung von Unix) auf die große SD-Karte.

22.07.2013

Sicherheit beim electronic banking

In den letzten Tagen ging eine einigermaßen spektakuläre Meldung durch die Presse: beim electronic banking wurden über 40.000 Euro gestohlen. Ursprünglich ging es wohl um mehr als 100.000 Euro, von denen aber ein Teil von den Banken zurückgebucht werden konnte.

Unabhängig vom Verlauf dieser Aktion und der Frage, wer nun zu welchem Zeitpunkt einen Fehler gemacht hat, will ich mal zusammen sammeln, wie man das electronic banking und generell seinen PC "sicher" machen kann, wenn man das Internet benutzen will.

Vorweg: absolute Sicherheit gibt es nicht. Die Bösewichte werden immer einfallsreicher. Es läuft auf ein Hase-und-Igel-Wettrennen hinaus. Wie beim Absichern der eigenen Wohnung gegen Einbrecher: es muss nicht perfekt sein, aber es muss den Bösewicht so viel Mühe kosten, dass er von seinem schändlichen Tun ablässt (und sich ein leichteres Opfer sucht).

Nun konkreter zum Absichern von electronic banking. Die meisten der Ratschläge sind allgemein verwendbar, aber man sollte sie unbedingt beherzigen, wenn man via Internet seine Bankgeschäfte erledigen will.

Viele der folgenden Tipps überschneiden oder ergänzen sich. Wenn Sie mehrere davon für sich einsetzen, sollte das Ihre Sicherheit deutlich steigern.

  • Nicht Windows verwenden. Windows ist so weit verbreitet, dass es sich für Bösewichte ganz besonders lohnt, hierfür Schadprogramme zu entwickeln. Dieser Ratschlag ist nicht ideologisch gemeint, sondern eine statistische Tatsache. Verwenden Sie Linux oder Apple mit einem passenden ebanking-Programm. Für browserbasiertes ebanking geht sogar ein "browser-only" Netbook mit Googles ChromeOS, z.B. von Samsung.
  • Verwenden Sie einen separaten PC nur für das ebanking. Vermeiden Sie dort die Installation von unnötiger Software, wenn es für das ebanking nicht unbedingt nötig ist. Surfen Sie nicht mit diesem PC. Verwenden Sie den PC wirklich nur für das ebanking. Rufen Sie mit diesem PC keine anderen Webseiten auf. Erledigen Sie mit diesem PC nicht Ihre Email.
    Kaufen Sie z.B. ein kleines Netbook gebraucht bei ebay, das sollte für unter 100 Euro möglich sein. Man bekommt für diesen Betrag einen kleinen PC mit intel Atom, 1 GB RAM, Festplatte ist vollkommen unwichtig (20-40 GB reichen völlig, am bequemsten wäre natürlich SSD statt einer mechanischen Festplatte). Löschen Sie den PC komplett und richten Sie ihn selbst neu ein, selbst wenn der Verkäufer ein "neu installiertes Windows" anbietet.
  • Verwenden Sie zum ebanking ein separates Betriebssystem, das Sie von einer CD oder von einem schreibgeschützten USB-Stick starten. Die c't bietet hierzu kostenlos die Linux-Variante "Bankix" an.
  • Verwenden Sie niemals ein öffentliches WLAN für Ihre Bankgeschäfte. Mag sein, dass die Funkstrecke mit WPA2 gesichert ist, aber ab der Basisstation ist es ungeschützt und kann belauscht werden.
  • Achten Sie auf Warnungen im Browser, dass die Website, die Sie besuchen wollen, "unbekannt" ist oder das Zertifikat ungültig oder abgelaufen ist. Dies sind Anzeichen dafür, dass Sie nicht die gewünschte Website besuchen, sondern Ihnen ein anderes Ziel "untergeschoben" wurde. Lesen Sie den Sicherheitshinweis genau durch. Im Zweifelsfall fragen Sie die Hotline Ihrer Bank und gehen nicht weiter.
  • Installieren Sie in Ihrem Browser "Add-Ons" oder "Extensions", die einige der Sicherheitsprobleme umgehen, indem bestimmte Funktionen abgeschaltet oder nur bei zugelassenden Websites aktiviert werden ("whitelist"). Zugegeben: damit wird das Surfen umständlicher, aber definitiv sicherer. Ich empfehle "uBlock origin" "Adblock Plus Edge", "NoScript" bzw. "NotScripts", "Secure Login" und "Better Privacy". Genauer erklärt habe ich das hier schon mal. Blättern Sie bis zu der Frage "Was kann man dagegen machen?"
  • Achten Sie darauf, wenn Sie Mitteilungen bekommen, dass sich an einem Zugang zu einem Dienst im Internet etwas geändert hat. Google, PayPal etc. verschicken Emails, wenn jemand das Passwort ändert. Schalten Sie diese Benachrichtigungsfunktion nicht ab! Wenn Sie die Änderung nicht selbst veranlasst haben, ist höchste Alarmstufe! Dann hat jemand einen Ihrer Online-Zugänge geknackt. Versuchen Sie, so schnell wie möglich den eigenen Zugang wiederzuerlangen. Meistens ist ein Angriff auf das Emailkonto der erste Schritt zum Online-Finanzbetrug und -Kontomissbrauch! Wer die Email kontrolliert, kann bei anderen Diensten Passwörter, Handynummern etc. ändern und die Warnungen darüber abfangen.
  • Verwenden Sie unterschiedliche Passwörter für jeden Internetdienst. Niemand kann sich alle Passwörter merken, das ist auch gar nicht schlimm. Verwenden Sie einen Passwortgenerator oder Passwortsafe, der komplizierte, zufällige Passwörter erzeugen kann. Die üblichen Programme für diesen Zweck können das Passwort automatisch in den Browser übertragen, so dass Sie es nicht umständlich abtippen müssen. Alternativ können Sie Ihre Passwörter aufschreiben oder speichern (ich nehme eine Tabellenkalkulation dafür und speichere die Passwortdatei verschlüsselt auf einen USB-Stick ab).
    Ein paar ganz gute Ratschläge finden sich beim BSI oder mit dieser Google-Suche.
  • Öffnen Sie in Ihrer Email keine Dateianhänge, wenn Sie keine Zusendung von Anhängen erwarten. Sprechen Sie mit dem Absender, ob er Ihnen wirklich einen Anhang zugeschickt hat, bzw. sprechen Sie vorher ab, dass Ihnen Dateien geschickt werden.
  • Klicken Sie in Ihrer Email nicht auf WWW-Adressen (URLs).
  • Schalten Sie in Windows die Anzeige von Dateiendungen ein. Windows unterdrückt normalerweise diese Anzeige, aber dadurch übersieht man häufig, dass man z.B. kein PDF anklickt, sondern eine Datei, die Rechnung.PDF.EXE heißt (doppelte Dateiendung).
    Speichern Sie Dateianhänge ab. Dabei kann der Virusscanner die Datei überprüfen. Beachten Sie die Warnungen, falls welche angezeigt werden.
  • Verwenden Sie unübliche Programme. Die haben normalerweise nicht die gängigen Sicherheitslücken (vielleicht andere, aber unübliche ;) ).
    Nehmen Sie z.B. Foxit statt Acrobat Reader oder lesen Sie PDF in den neueren Versionen von Firefox oder Google Chrome.
    Verzichten Sie auf Flash. Das ist derzeit noch ein wenig schmerzhaft, aber Youtube z.B. setzt zunehmend mehr auf Videos in HTML5-Technik. Flash ist eigentlich nur eine Ansammlung von Sicherheitslücken. Allein im Februar gab es drei Notfall-Updates.
  • Mißtrauen Sie prinzipiell jeder Email, in der es um Geld geht oder um eine Firma, die Ihnen androht, dass eines Ihrer Online-Konten gesperrt wird, wenn Sie nicht umgehend dort Ihr Passwort und eine TAN eingeben (oder sinngemäß ähnlich). Ihre Bank, ebay oder Paypal schicken prinzipiell keine Emails, dass Ihr Konto gesperrt wird.
  • Achten Sie zeitnah auf die Installation sämtlicher Fehlerkorrekturen für das Betriebssystem und die ebanking-Software.
  • Achten Sie auch auf Updates für den Browser, für Oracle Java Runtime, Acrobat Reader und Flash (nicht Zutreffendes streichen ;) ).
  • Schalten Sie in allen Programm die automatische Update-Funktion ein, soweit möglich.
  • Ein Virenscanner nutzt nur, wenn er verhaltensbasiert überwachen kann. Viren und Trojaner ändern sich erfahrungsgemäß im Stundentakt. Wenn ein Antivirus-Programm Schadprogramme nur anhand ihrer "Kennungen" (Signaturen) erkennen kann, ist es immer im Nachteil. Insbesondere bemerken die Programmierer von Schadprogrammen, wenn ein Antivirus-Hersteller neue Kennungen veröffentlich, und passen dann sofort ihre Schädlinge an.
    Achten Sie darauf, dass das Antivirus-Programm mindestens täglich ein Update der Viruskennungen bekommt. Je mehr, desto besser.
  • Die meisten Schädlinge verbreiten sich über infizierte Webseiten. Die meisten Betreiber von Webseiten wissen das nicht einmal. Über eine Sicherheitslücke dringen Hacker in den Webserver ein und ergänzen die regulären Webseiten um "unsichtbaren" Inhalt, der über eine Sicherheitslücke im Browser oder in Flash/Java dann den eigenen PC infizieren kann. Deshalb: verwenden Sie Linux oder Apple oder einen unüblichen Browser.
  • Verwenden Sie nicht die browserbasierte ebanking-Variante, die Ihre Bank anbietet. Der Browser ist prinzipiell unsichere Software. Installieren Sie eine spezielle ebanking-Software, die mit HBCI arbeitet (z.B. das kostenlose Hibiscus, das es für Windows, Apple und Linux gibt). HBCI ist entweder mit einer speziellen Bankkarte möglich (sieht so aus wie eine Giro-/Kreditkarte mit Chip) oder mit Verschlüsselung über einen Datenträger (nannte sich früher "Diskette", geht mit USB-Stick genausogut). Die meisten Banken lassen sich HBCI mit Chipkarte jährlich bezahlen, HBCI mit Schlüsseldiskette ist i.a. kostenlos. Der Aufwand bei der Einrichtung ist etwas höher (man muss postalisch mit der Bank Verschlüsselungsinformationen austauschen, die sog. "öffentlichen Schlüssel").
  • Falls Sie eine HCBI-Karte haben, benötigen Sie einen Kartenleser. Nehmen Sie nicht das billigste Modell, sondern eines mit eigenem Display und eigener Tastatur (von Kobil oder ReinerSCT). Ansonsten kann ein Trojaner auf dem PC die Eingabe Ihrer PIN zur Karte abfangen - das ist natürlich nur dann ein Risiko, wenn die Originalkarte gestohlen wird. Achten Sie darauf, dass der Kartenleser mit Ihrem PC zusammen arbeitet (nicht jeder Kartenleser funktioniert mit Apple oder Linux).
  • Wenn es denn doch ebanking mit dem Browser sein soll, verwenden Sie nicht das TAN-Verfahren (auch wenn es iTAN oder mTAN ist). Derzeit vernünftig ist ein Verfahren, bei dem Sie von der Bank ein zusätzliches Gerät ("Token") bekommen, das eine Geheimnummer für jeden Vorgang erzeugt. Dieses Gerät dürfen Sie natürlich nicht verlieren oder in fremde Hände geben. Auch das Zusenden von TANs per SMS ist eine schlechte Idee, GSM, UMTS und LTE sind nicht sicher und können relativ problemlos abgehört werden. Außerdem könnte sich ein wirklich bösartiger, gewiefter Mensch eine doppelte SIM-Karte beschaffen und die SMS abfangen. Bis Anfang Juli gab es das bei unserer örtlichen Volksbank als Sonderaktion sogar kostenlos.
  • Das Verfahren mit einem zusätzlichen Gerät, das Geheimnummern erzeugt, bietet auch PayPal für kleines Geld an. Wenn Sie PayPal verwenden: unbedingt benutzen! Alternativ gibt es die Möglichkeit, diese Geheimnummern mit einer Android-App zu erzeugen. Das halte ich für fast genauso gut (wenn das Smartphone nicht infiziert wird).
  • Schalten Sie bei Google ebenfalls die zweistufige Authentisierung ein! Die Geheimnummern zur Anmeldung kommen dann entweder per SMS auf Ihr Handy, oder Sie verwenden die App Google Authenticator. Damit wird es deutlich schwerer, Ihr Google-Email-Konto zu kapern. Klicken Sie dazu in irgendeiner Google-App (Mail, Kalender, Google Plus etc.) auf Ihr Profilfoto rechts oben, dann auf "Konto", danach auf "Sicherheit" und dann auf "Bestätigung in zwei Schritten".
  • Den o.g. "Google Authenticator" kann man auch verwenden, um die zweistufige Anmeldung bei DropBox durchzuführen!
  • Richten Sie für alle Fälle eine zweite Emailadresse bei einem anderen Anbieter ein. Verwenden Sie diese Emailadresse zur Wiederherstellung Ihres "Erstkontos", wenn der schlimmste Fall eintrifft und jemand das Passwort irgendwie herausbekommen hat. Lassen Sie alle Benachrichtigungen über Passwortänderungen parallel auch an diese zweite Emailadresse senden!
  • Richten Sie zur Kontowiederherstellung Ihre Handynummer ein, so dass der Anbieter Ihnen eine SMS schicken kann. Dies geht nur vorbeugend, bevor das Kind in den Brunnen gefallen ist!
  • Ein exotischer Ratschlag, der eher für das berufliche Umfeld gilt: stecken Sie keine "gefundenen" oder fremden USB-Sticks in Ihren PC. Manche Firmennetze wurden auf diese Weise schon infiltriert, auch wenn die Firewalls noch so gut sind. Manche "USB-Sticks" sind komplette kleine PCs, die Ihr Opfer gezielt angreifen können und dort Schadsoftware einschleusen.
  • Wenn Sie ein Smartphone für Bankgeschäfte verwenden wollen, achten Sie auch hier auf die o.g. Sicherheitsvorkehrungen. Installieren Sie keine unbekannte Software.
  • Bei Android:
    * schalten Sie den USB-Debugging-Mode aus, wenn Sie ihn nicht brauchen.
    * Schalten Sie "Software aus unbekannten Quellen" aus.
    * Installieren Sie ein vertrauenswürdiges Antivirus-Programm, z.B. von Kaspersky, Sophos, Norton, AVG, Avast.
    * Installieren Sie keine Apps, die unnötige Rechte beanspruchen.
    * Verwenden Sie ein Kontrollprogramm wie SRT AppGuard.
  • Für Profis: lesen Sie den heise-Newsticker und die Mailingliste Full Dosclosure. Wenn Sie hier einige Wochen mitgelesen haben und immer noch gut schlafen können, sind Sie wirklich ein Profi! ;)
[Update 20130722: Tippfehler, Adblock Plus durch Adblock Edge ersetzt]
[Update 20180710: Adblock Edge durch uBlock origin ersetzt]

19.07.2013

Noch'n Update. CyanogenMod ist schneller als Google Nexus.

Mein Vertrauen in die Nexus-Baureihe der Android-Smartphones ist leicht erschüttert ...

Es gibt zwei bekannte Sicherheitslücken in Android (angeblich seit 1.6), mit denen man die Installationsarchive (apk-Dateien) so verfälschen kann, dass die Prüfsumme korrekt ist, aber trotzdem bösartige Dateien aus diesem Paket auf dem Smartphone installiert werden.

Die Sicherheitslücken können allerdings nur ausgenutzt werden, wenn man apk-Dateien am Google Play Store vorbei installiert ("side loading") und dazu in den Sicherheitseinstellungen "Installation aus unbekannten Quellen" erlaubt. Beim Upload in den offiziellen Google Play Store wird seit einiger Zeit geprüft, ob Apps in dieser Art verfälscht sind. Hier sollten Android-Benutzer also auf der sicheren Seite sein.

Allein die Namensgebung dieser Einstellungsmöglichkeit sollte Warnglocken klingeln lassen ... Allerdings erfordert jeder alternative App Store, wie z.B. Amazon, dass man dort ein Häkchen setzt. Eine gewisse Gefahr besteht also durchaus auch in der Realität. Zumal es auch schon Baukastensysteme gibt, die die Erstellung von bösartigen apk-Dateien stark vereinfacht.

Ich hoffe, dass in der Google-Veranstaltung, die demnächst stattfindet, eine neue Android-Version angekündigt wird, in der diese Fehlerkorrektur enthalten ist. Und vor allem hoffe ich, dass mein Galaxy Nexus das nächste Android-Update noch mitmachen wird. Das Vorgänger-Modell Nexus S ist bei 4.1.2 stehengeblieben und hat kein 4.2 mehr bekommen. Irgendwann wird vermutlich auch mein Modell "out of support" sein. Bis jetzt schlägt es sich aber noch ganz wacker, die technischen Daten sollten für 4.3 auf jeden Fall gut genug sein.

In den Android-Quelltexten ist der Fehler repariert, aber es wurde noch kein Update auf die Nexus-Geräte verschickt.

Hier ist CyanogenMod schneller gewesen. Mit den Updates 10.1.1 und 10.1.2 wurden nacheinander beide Sicherheitslücken repariert und als "stable"-Versionen veröffentlicht, zumindest für die "offiziell" unterstützten Geräte.

Ich bin jetzt also in der etwas merkwürdigen Situation, dass meine Frau mit dem i9000 Galaxy S und CM 10.1.2 aktueller ist als ich mit dem i9250 Galaxy Nexus ;). Ich überlege ernsthaft, ob ich ebenfalls auf CM umsteige.

09.07.2013

[en] Theater play in Hanau: Eric by Sir Terry Pratchett

Wow, it is unbelievable how fast a year can pass! Yes, it's really been nearly a whole year since I attended my first theatre play by the group "Die Dramateure" in Hanau's "Hoher Landesschule" and enjoyed it very much.

Last year they played "Carpe Jugulum", with vampiyres and religion critics quite some heavy stuff but they managed to put it on stage with Pratchettian wit and ease.

In march's newsletter "Discworld Monthly" there was an announcement for a new play,  Faust Eric. Haha, I knew about it earlier though ;), there were also postings on Facebook in their group.

I'm especially happy about the fact that the former school-based theatre group has become independent and continues to play even when some of the actors have left school. Of course they still have connections to their Alma Mater, and some of the actors are still students there.

From some other Facebook postings I learnt that "Carpe Jugulum" was their second play after "Guards! Guards!" which I regrettably missed the year before last. There are slideshows for both "Eric" and "Guards" on their web site.

I hope very much that they will continue their good and successful work, be it on their school's stage or somewhere else. I have heard rumours that they are looking for a bigger stage for the next play ...

I was attending on friday night; arrived a bit early to pick up my reserved ticket and enjoy some time with the book edition which I spontaneously grabbed from my book shelf before leaving. On Facebook I read that it was nearly sold out, so I was lucky to learn about pre-reserving tickets ;)

Admittedly Faust Eric is not my favourite book but it's a good read anyway. It's from the beginning of the Discworld series and it doesn't contain as much philosophy as I credit to the recent ones (I may be wrong there to simply not spot it).

Same as last year, there was a beamer which showed some background about Discworld, introduced the actors and their roles and some of the stage technicians. I noticed some differences to the book, so I was very curious ;).

To freshen up your memory: Faust Eric is a book about Rincewind the most unsuccessful and untalented "wizzard" of the Discworld. His previous occurance was in the book "Sourcery" where he was flinged into the "dungeon dimensions" where unspeakable things happen.

Now, in Faust Eric the story continues ... We learn about what odyssey his return is, and that's literal! Sir Terry took ideas and concepts not only from Goethe's "Faust" but also from nearly all of Greek mythology, from the battle of Troy, the odyssey, the tales of Sisyphos and Prometheus and even some more.

Allegedly for casting reasons the play director, Jonas Milke, slightly changed some roles and names; the demon Vassenego became a female demon Vassenega, the demon king Astfgl received a sidekick, a secretary Theszecka, presumably to speak out loud some of what is only a mere thought in the book but is nonetheless important for the story.

I glanced a very minor mistake during the prologue in front of the curtain. This scene shows the Unseen University and the wizards trying to find out some mysterious phenomenons. As said before Faust Eric takes place some time after "Sourcery". In this book the arch chancellor is killed and his successor is "Ezrolith Churn", but in the play this is "Mustrum Ridcully". This character appears much later in the series and is the current arch chancellor (e.g. in Night Watch, Thud!, Unseen Academicals).

The costumes and dressing-up as well as the makeup were handcrafted and very detailed. The director made some advertising and teasing weeks before and I liked it very much (both the teasing and the result on stage ;) ). The costumes fit the bizarre Discworld peoples and habits very well. One of the demons, the "worm of doom", was played by an actor in a modified sleeping bag who received ovations for his amazingly fast pace.

Probably some of the guests were relatives of the actors and so for the sake of the "amateur attendees" the play included two narrators which interspersed some explanations and even some witty footnotes from the book. This is a very good idea and it worked this year equally well as last year (though it was only one narrator last year).

Music, background noise and lighting were helping to put all of the the scenes in the right mood and I liked it very much.

The story begins at Unseen University in  Ankh-Morpork where the wizards experience some strange phenomenons of bodiless voices ("oshitoshitoshit..."). Of course this is Rincewind trying to escape from the Dungeon Dimensions which reverberates and reaches the Discworld. The wizards do not want to be disturbed in their naps so they set to find out the reason for this ...





As usual in these cases they summon DEATH with the  ritual of Ashk'Ente. Obviously since DEATH is ubiquitous he knows everything about everyone.
The wizards (including the librarian) start the summoning. A nice detail is a banana which was placed on the stairs to the stage for the monape.

Without waiting for any questions DEATH states that the answer is "Rincewind". He insists that the answer is always "Rincewind" no matter the question. Rincewind is always the reason for problems ;)
DEATH's voice was slightly alienated with electronic tricks and it matched my imagination from the books how his voice should sound WHEN SPEAKING IN UPPERCASE.


Same time in Pseudopolis ... a 14-year old boy tries to summon demons with a magic circle. Due to a minor mistake it is not the demon Vassenego who crosses the magic portal to Discworld but - of course -  Rincewind. The boy Eric Thursley (right actor, here with false beard to appear older) asks Rincewind to grant him three wishes.

(note the parrot to the left. he aten't dead!)




After finding out about Eric's youth and him being called to his mother Rincewind has a very entertaining talk with the parrot. This parrot was my absolute favourite character and actor in the play. Last year she played Granny Weatherwax. Admittedly a supporting role only but a very funny and very present one. Nice costume, too!

Being a parrot she obviously is not equipped with splendid vocabulary so she has a lot of "wossnames" and when her instincts take over "Polly wants a cracker". Perfectly played, perfectly intonated bird-like voice and simply hilarious.

After Eric returns and insists on wishes being granted Rincewind mocks him that he'd only need to snap his fingers to fulfill his wishes, then he snaps with his fingers ... and away they are like magic. Noone is more surprised than Rincewind himself ;)


The travel leads them to the kingdom of  Tezuman (not ruled by an Amazonian princess). This is a very depressive people living in the Klatchian jungle waiting for the predicted arrival of a ruler. After worshipping him for a short time they intend to sacrifice him to pay back all bad luck they had to suffer in the past.

The stage set and the transportable throne of king Muzuma were very nicely built and decorated. To the very right the slightly oversized sculpture of Quezovercoatl, the founder of their religion.


In one of the pyramids Rincewind and the parrot meet a captive, Ponca da Quirm (in the book Ponce da Quirm is male, on stage she's a female seeker) on a quest for the fountain of youth. Next the "god" Quezovercoatl (which is in fact a very low and very small demon) is literally flattened by the Luggage and our (nearly) heroes can escape their fate of being flayed and sacrificed. Ponca da Quirm and the parrot part from Rincewind and Eric to continue searching for aforementioned fountain of youth.

Rincewind and Eric manage to get out of the frying pan into the fire: they happen to arrive at the time of the Tsortian war, inside the "trojan" or, more accurate, ephebian hollow wooden horse. The Tsortians are not as naive as the Trojans on Roundworld ... they move the statue inside the city but then guard it heavily and so Rincewind and Eric are captives right again. Distracted by the arrival of the Luggage they are able to escape and inadvertently open a city gate and let the Ephebians in. Very nice: the audience plays the role of the Ephebian army because the fictitious gate is set on the stage's verge. The beamer already announced this during the actors' introduction. One slide read " ... the Ephebian army: YOU" ;)
By accident Rincewind puts fire to the city and meets Lavaeolus (historically the fire was attributed to him). A bit later he learns that Lavaeolus is his ancestor (latin "Rinser of Winds"). He doesn't want to tell him about the future but assures nevertheless that Lavaeolus will finally arrive at home alive. But he doesn't tell about the duration of that travel ...
Lavaeolus actually wanted to save the kidnapped Elenor but in the meantime she got attracted to King Mausoleum of Tsort and is a sevenfold mother. Disappointed he leaves and due to Rincewind's assuring words he is even convinced that the Gods don't mean him no harm. Let's see to that ...

Rincewind and Eric continue travelling, and their next stop is the time right before the Big Bang of this universe. They meet a creator (not the creator) who is about to initiate the Big Bang and meanwhile contemplates the multitude of snow flakes. The creator was playing Igor last year and in both roles he excelled. Fabulous!

The audience could not hear the Big Bang. This was achieved by the narrators appearing with a remote control and muting the actors of the play. They delivered some more hilarious anecdotes and footnotes. Again: very nice!

Astfgl still looking for the travellers cannot watch them any more in his magic mirror so he deduces they have travelled "out of time" which leaves two places: before and after time. He sets out for the end of time but only meets DEATH there. The Luggage even overtakes him but he doesn't notice. What we already know he also realizes there and returns from the end to the beginning of time but he is too late once again: only a magic circle and some foot marks reveal that Eric and Rincewind have magicked themselves away.


They arrive at the last station of their travel: in Hell, in front of the huge Gate of Hell. The gate is guarded by a dumb two-headed demon who they pass quite easily, and inside they meet again Ponca da Quirm, who did not boil the water from the fountain of youth, her parrot, and Lavaeolus.

After some confusion we find out the plot: Vassenega had planned all this, had done the magic (not Rincewind snapping his fingers) and schemed to overturn Astfgl. She promotes and declares him "President of Hell" and moves him to a very quiet office together with his secretary Theszecka to do some more  bureaucracy without annoying the rest of hell with it. One of the other demons is quite astonished about bureaucracy: "And humans  somewhere thought this up all by themselves?  I thought we were supposed to be the ghastly ones!".

Rincewind and Eric escape unharmed and everyone was happy afterwards. The creator even cheated by inventing some quite unusual snowflakes.

The actors received long applause and well-deserved standing ovations.

(l2r: Ponca da Quirm, Tezuman citizen, Demons, Rincewind, Parrot, Theszecka, Librarian, tsortian philosopher, Moderator, Lavaeolus, Eric)

(All photos used by friendly permission of Jonas Milke, director of "Die Dramateure". Thanks!)

04.07.2013

Das Labyrinth der Wörter - Marie-Sabine Roger - Buchbesprechung

Zur Abwechslung mal ein ganz anderer Beitrag: eine Buchbesprechung über ein harmloses Buch aus der echten Welt ... kein Fantasy, kein Science Fiction, kein Artikel über LTE, DSL, Android, Linux oder Java ;)

Meine Frau hat das Buch vor mir gelesen und es mir wärmstens empfohlen ... manchmal kennt sie mich halt ;)

In diesem Buch geht es um eine Art von Liebesgeschichte, eigentlich sogar mehrere. Es kommt sogar Sex vor, aber nicht in Zusammenhang mit den Liebesgeschichten. Hört sich merkwürdig an, oder? ;)

Es geht um einen großen, starken, erwachsenen Mann, der aus Gründen bildungsmäßig ein bißchen zurückgeblieben ist. Er ist nicht zurückgeblieben in dem Sinn, wie man umgangssprachlich jemanden "zurückgeblieben" nennt. Er ist durchaus intelligent, nimmt an seiner Umwelt teil und versucht, über sich und sein Leben nachzudenken, aber eben durch unglückliche Umstände während der Kindheit und Adoleszenz ist er ungebildet und unbelesen geblieben, und es fehlt ihm der zündende Funke, selbständig zu lernen. Er macht sich aber durchaus tiefschürfende Gedanken über sich und seine Umwelt.

Am Teich seines Heimatortes trifft er eines Tages eine alte Dame, die derselben Beschäftigung nachgeht wie er: dem Zählen der Tauben. Über dieser eher trivialen Tätigkeit kommen sie ins Gespräch und freunden sich nach und nach an. Als ihr Gespräch einmal auf Bücher kommt, gibt er ohne falsche Scham zu, dass er nur schlecht lesen kann, und es ergibt sich, dass die alte Dame dem Mann vorliest und dadurch sein Interesse an Literatur und Bildung weckt. Er lernt dadurch Camus und andere berühmte Autoren kennen, er lernt, ein Wörterbuch zu verwenden, und er wagt sich sogar allein in die Stadtbücherei, weil er ein neues Buch ausleihen, lesen und dann seiner neuen alten Freundin vorlesen will, deren Augenlicht durch eine Makula-Degeneration absehbar nachlassen wird.

Durch diese Bekanntschaft verändert sich sein gesamtes Leben: seine bislang eher lockere und rein körperliche Liebschaft mit seiner Freundin wird intensiver, seine Kneipenbekanntschaften wundern sich über seine Belesenheit, er wäscht einem seiner Kumpels den Kopf und rettet dessen Ehe, als dieser eine Affäre beginnt, und am Schluss gibt es sogar ein Happy-End mit seiner Freundin, und die alte Dame Margueritte wird sozusagen in die Familie adoptiert, so dass er als Ausgleich für den Verlust der Mutter eine warmherzige Oma erhält.

"Das Labyrinth der Wörter" ist eine wunderschöne, geschmeidig dahinfließende Geschichte mit sehr kurzen Kapiteln (drei bis vier Seiten) und die Charaktere entwickeln eine unglaubliche Tiefe. Man kann das Buch wunderbar abends im Bett lesen, es nach einem oder zwei Kapiteln weglegen und dann noch etwas darüber nachdenken. Es hat eine poetische Sprache mit gelegentlichen, netten Wortspielen, die den Leser zum Schmunzeln bringen. Die Art von Wortspielen, etwa eine Redewendung oder ein Sprichwort wörtlich zu nehmen, erinnert an die Ernsthaftigkeit, mit der das "Sams" von Paul Maar ebenfalls manche gesprochenen Dinge zu wörtlich nimmt. Allerdings frage ich mich dabei, inwieweit dies dem französischen Original entspricht. Bei den Büchern von Terry Pratchett hat der frühere deutsche Übersetzer aus vielen höchst anspruchsvollen Wortspielen eher plumpe deutsche Witzchen gemacht oder ganz unter den Tisch fallen gelassen, was dazu geführt hat, dass ich Pratchett nur noch im Original lese. Leider reichen dazu meine Französisch-Kenntnisse nicht, aber es wäre mal einen Versuch wert ;)

Die Entwicklung vom "dummen", ungebildeten Dorfjungen zum an Literatur interessierten Menschen, der sich seiner Geliebten Annette öffnet und ihr von seinem bisherigen traurigen Leben erzählt, erinnert im Verlauf an die ebenso wunderschöne wie manchmal ebenso traurige Geschichte "Blumen für Algernon" von Danny Keyes, die als "Charly" vor nunmehr 35 Jahren mäßig gut verfilmt wurde. Allerdings ist Germain nicht wirklich dumm, so wie Charly. Er lernt vielmehr aus eigenem Antrieb neue Dinge hinzu, wohingegen Charlie Gordons Intelligenz operativ erhöht wird, und zum Schluss jener Geschichte verliert er sie wieder auf dramatische Weise.

Obwohl Germains Mutter dement wird und dann stirbt, ist dies kein trauriges Buch. Der Tod gehört zum Leben dieser Menschen dazu. Das einzig Traurige ist, dass seine Mutter ihm niemals ihre Liebe zeigen konnte, weil der Verlust seines Erzeugers sie zu sehr verbittert hat. Am Ende erfährt Germain wenigstens aus ihrer Hinterlassenschaft vermittels von ein paar alten Bildern, wie sein Vater ausgesehen hat.

Obwohl ich normalerweise skeptisch bin, was "Bestsellerlisten" angeht, finde ich dieses Buch wirklich empfehlenswert, auch wenn es auf einer solchen Liste im "Spiegel" auftaucht. Im Gegensatz dazu bekamen wir vor einiger Zeit ein wirklich schreckliches Buch geschenkt, das ebenfalls im "Spiegel" auf den vorderen Plätzen aufgetaucht ist, und das ich so grausam fand, dass ich es niemandem zum Lesen geben würde.

Was ich mir auf jeden Fall nicht antun werde, ist der Film zum Buch mit Gérard Dépardieu. Ich mag den Schauspieler eigentlich schon, aber nach der Zusammenfassung des Films bei Wikipedia will ich gar nicht genauer wissen, was noch geändert wurde im Vergleich zum Buch. Am Ende des Films entführt er Margueritte sogar aus ihrem Altersheim. Das klingt zwar heldenhaft und passt unzweifelhaft zu Germains Charakter, aber ich mag solche Differenzen zwischen Büchern und Filmen gar nicht.

03.07.2013

Wir brauchen keine Paranoia, es ist alles wahr

Und da sage noch einer, Science Fiction sei übertrieben. Die Realität ist viel schlimmer als alles, was sich SF-Autoren wie George Orwell ausdenken. Es ist überhaupt nicht mehr nötig, eine gesunde Paranoia zu pflegen, es reicht, wenn man die Tageszeitung liest.

Jeden Tag neue Enthüllungen, wer wen wann abhört. Nicht nur Privatleute, sondern sogar diplomatische Vertretungen. Alles natürlich nur zum Schutz vor Terror.

Wir sind von Freunden umzingelt, die uns abhören. Ob ausländische Geheimdienste in Frankfurt am DE-CIX abhören, ist unklar. Technisch möglich wäre es, weil auch ausländische Provider in Frankfurt Stellplatz im Rechenzentrum haben. Ob die nun wirklich ausschließlich an ihren eigenen Geräten fummeln oder auch mal zum Nachbarschrank gehen?

Um es mal ganz klar zu sagen: wenn ich bei einem sozialen Netzwerk schreibe, ist das meine eigene Entscheidung. Ich übernehme die Verantwortung für das, was ich öffentlich schreibe (dass Eltern Bilder ihrer Kinder veröffentlichen, ist ein anderes Thema). Dass aber jemand ungefragt heimlich meine Daten mitschneidet und dann jahrelang politisch nicht kontrolliert alle Verbindungs- und vermutlich auch Inhaltsdaten über mich speichert, ist ein unglaublicher Mißbrauch. Angeblich wurden ja nur um die 50 Anschläge verhindert. Und dafür wird jeder weltweit verdächtigt und ausgeforscht?

Was kann man dagegen machen?
Kann man was dagegen machen?

Dieselben Fragen stellen sich, genau wie in meinem Artikel über Privatsphäre im Browser.

Zunächst einmal: ich habe ein Recht auf Privatsphäre. Das bedeutet, dass es niemanden was angeht, was ich tue, wenn ich es nicht selbst freigebe. Es geht den Staat nicht mal 'was an, ob ich etwas zu verbergen habe. Das ist meine Privatsache. Auch im Internet. Punkt. Wichtige Inhalte werden ja auch nicht auf Postkarten geschrieben, sondern in Kuverts gesteckt. Besonders wichtige Mitteilungen werden per Einschreiben oder sogar mit Postzustellungsurkunde verschickt (quasi ein reitender Bote, der als Zeuge die Zustellung und auf Wunsch sogar den übermittelten Inhalt bestätigen kann).

Es gibt verschiedene Hilfsmittel für den Schutz verschiedener Privatsphäre-Schutzverletzungen (flacher Scherz aus Windows-Zeiten, geb ich zu).

Surfen

TOR

TOR ist ein Verschleierungswerkzeug, um zu verhindern, dass jemand erfährt, wie und wo ich mich im Internet bewege, also ein Anonymisierungswerkzeug. TOR ist ein Netzwerk aus "Nodes", die als Proxy arbeiten und meine Anfragen hin- und herschieben, ohne den Absender aufzuzeichnen. Erst der "Exit node" reicht die Anfrage wieder "hinaus" ins Internet, und die Antwort geht denselben Weg schrittweise zurück. Jeder Node kennt aber nur seine Nachbarn. Natürlich kann man mit viel Aufwand jeden Schritt beobachten, und vermutlich wird das auch gemacht. Wenn aber sehr viele Menschen sich so verhalten, wird es schwieriger, und man kann in der Masse untertauchen.

TOR wird umso besserer und sicherer, je mehr Leute daran teilnehmen! Jeder kann sich so einen "Node" aufbauen und anderen Benutzern zur Verfügung stellen. Man braucht aber schon etwas Mut, um einen "Exit node" zu betreiben. Gerüchteweise betreiben auch Geheimdienste Exit nodes. Hier hätte man natürlich das Kind mit dem Bad ausgeschüttet. Zum Glück kann man als TOR-Benutzer einschränken, welche Exit nodes zulässig sind (z.B. kann man festlegen, dass keine Exit nodes in USA verwendet werden).

Ich finde es bezeichnend, wenn ein Massenmagazin wie der Spiegel eine Anleitung veröffentlicht, aus einem Raspberry PI (einem Linux-Mini-PC) einen TOR-Router mit WLAN zu bauen und einzurichten.

VPN

Ein ähnliches Prinzip wie TOR, aber nur einstufig, erreicht man dadurch, dass man einen eigenen Server im Internet mietet und dort ein VPN ("virtual private network") einrichtet. Auf dem eigenen PC surft man dann nicht direkt im Internet, sondern sendet alle Anfragen zunächst an den gemieteten Server. VPN arbeiten prinzipiell verschlüsselt, so dass also niemand, der an der Leitung lauscht, Inhalte oder Ziele mithören kann. Der Server sollte natürlich bei einem vertrauenswürdigen Anbieter gemietet werden. Hier beißt sich jetzt zugegebenermaßen die Katze in den Schwanz: wem soll man vertrauen?

Cloud

Tja, das ist nun ein besonders schweres Problem: ich will Dateien zuverlässig ablegen, damit sie mir nicht verloren gehen, wenn zuhause ein Unglück geschieht (Festplattendefekt oder Brand, um nur mal zwei zu nennen). Andererseits sind die großen Cloud-Anbieter wie Google, Microsoft, Dropbox, Box, Amazon aufgrund der Datenmengen und des Standorts in USA sicherlich besonders attraktiv für das Ausforschen von Daten. Man sollte also nur verschlüsselte Daten dort ablegen. Dazu kann man entweder ein Tool verwenden, das sich in die Kommunikation mit der Cloud einklinkt (gibt es z.B. für Dropbox), oder man verschlüsselt zuhause manuell und lädt schon nur die verschlüsselten Dateien hoch. Die zweite Variante hat den Vorteil, dass man die Verschlüsselungsqualität frei wählen kann und nicht das Risiko eingeht, dass jemand eine Hintertür eingebaut hat.

Für diese Verschlüsselung kann man wiederum GPG verwenden (dasselbe Hilfswerkzeug, das auch in der verschlüsselten Email mit Thunderbird verwendet wird). Mit GPG kann man die Integrität von Dateien oder Nachrichten sicherstellen, indem man sie elektronisch signiert. Oder man kann sie verschlüsseln, damit nur der Besitzer der Schlüsseldatei und des dazugehörigen Passworts sie wieder entschlüsseln kann. Oder man kombiniert Signatur und Verschlüsselung.

Email

Email kann man mittlerweile leicht verschlüsseln. Thunderbird mit Enigmail nehmen, Gnu Privacy Guard dazuwerfen und schon kann man mit jedermann geschützt emailen, sogar mit wählbarer Verschlüsselungsqualität.

Kleine Einführung in Gnu Privacy Guard

Aber nur ganz klein, soweit es zur Benutzung nötig ist ;)
Die Schritte zur Benutzung von GPG sind recht übersichtlich:
(Edit bzw. Tools)->Account Settings

  1. GPG-Software beschaffen und installieren (für Windows, Linux, Mac)
  2. Erstellen eines eigenen Schlüssels
  3. Enigmail als Add-On für Thunderbird installieren
  4. In den Kontoeinstellungen für jedes eigene Emailkonto die Option "OpenPGP verwenden" ankreuzen.
  5. Benutzen
  6. OpenPGP verwenden und alles verschlüsseln
  7. Eigenen öffentlichen Schlüssel unter die Leute bringen (wenn man selbst verschlüsselte Mails bekommen will)
Grade eben hab ich auch noch ein Video gefunden, das auch alles sehr schön erklärt.

Noch ein paar Details zum 2. Punkt:

Nachdem man GPG installiert hat, muss man sich selbst einen sog. "Schlüssel" erstellen. Dieser Schlüssel wird nach einem mathematischen Verfahren ausgerechnet (im Prinzip ist das nur eine sehr große Zahl) und in einer Datei gespeichert. Es gibt verschiedene mathematische Verfahren, manche basieren auf Primzahlen, manche auf geometrischen Prinzipien über elliptische Kurven, und man kann über die Anzahl der "Bits" die Qualität einstellen. Je mehr Bits, desto besser, allerdings dauert dann auch die Verschlüsselung etwas länger. Ich empfehle, 2048 Bit einzustellen. Man kann auch 3072 wählen, um die NSA zu ärgern ;).

Wenn man sich selbst einen Schlüssel erstellt, erhält man kostenlos sogar noch etwas obendrauf: nicht nur einen "privaten" Schlüssel, sondern auch einen "öffentlichen". Die beiden Teile gehören mathematisch zusammen. Allerdings ist die Mathematik dabei so aufwändig, dass es nicht möglich ist, aus dem "öffentlichen" Schlüssel den privaten (oder: geheimen) zu bestimmen, und man kann auch nicht nach der Verschlüsselung mit demselben Schlüssel die Nachricht wieder lesbar machen. Die Entschlüsselung klappt nur mit dem privaten Schlüssel. Interessanterweise benötigt man eigentlich nur den privaten Schlüssel, denn aus dem kann man den öffentlichen Teil berechnen (aber nicht umgekehrt, wie schon gesagt!).

Diese Schlüsseldatei und den Zugang dazu muss man besonders gut schützen, dies repräsentiert die eigene digitale Identität, wenn man sich auf das "Signieren" und Verschlüsseln einlässt, um Nachrichten mit Partnern auszutauschen. Das Schützen kann man erreichen, indem diese Datei auf einem USB-Stick gespeichert wird und der nur eingesteckt wird, wenn die Datei mit dem Schlüssel wirklich gebraucht wird. Außerdem wird die Schlüsseldatei mit einem möglichst guten Passwort geschützt (bei GPG nennt man das Passphrase, um zu betonen, dass es auch ein längerer Satz statt eines einzelnen Worts sein kann). Der übliche Satz "Mein Vater erklärt mir jeden Sonntag unsere neun Planeten" ist abgelutscht, weil ihn jeder kennt, und zudem ist er astronomisch falsch, seit Pluto zu einem "Zwergplaneten" degradiert wurde ;)

Das Tolle an dieser sogenannten "asymmetrischen" Verschlüsselung ist, dass sie aus zwei Teilen besteht, wie der Name schon vermuten lässt: für Ver- und Entschlüsselung benötigt man zwei verschiedene Dateien bzw. Schlüssel. Weiter oben habe ich es schon erwähnt: man verschlüsselt mit dem öffentlichen Schlüssel, und man entschlüsselt mit seinem privaten Schlüssel. Deshalb nennt man dieses Verfahren auch "public/private key encryption".

Das ist ein ganz geniales Prinzip: der öffentliche Schlüssel kann beliebig in die Welt hinausgepustet werden, man kann ihn jedem seiner Mailpartner geben, und selbst wenn jemand die verschlüsselte Nachricht abfängt, kann er sie mit dem öffentlichen Schlüssel nicht wieder entschlüsseln. Das kann nur ich allein mit dem persönlichen, privaten Schlüssel.

Das Grundprinzip lautet also: ich brauche den öffentlichen Schlüssel meines Mailpartners, dann kann ich ihm vertrauliche Emails schicken. Nur er kann sie mit seinem privaten Schlüssel lesen.

Umgekehrt: wenn ich eine Email signieren will, um zu kennzeichnen, dass sie wirklich von mir ist, geht das nur, wenn ich diese Email mit meinem privaten Schlüssel bearbeite. Nur ich kann also diese Signatur erzeugen, weil ich Zugang zum privaten Schlüssel habe.

Wenn man beides machen will, verschlüsseln und signieren, verwendet man den öffentlichen Schlüssel des Partners zum Verschlüsseln und den eigenen privaten zum Signieren.

Da es natürlich mit zunehmender Anzahl von GPG-Benutzern unpraktisch wird, gibt es frei benutzbare Server im Internet, die eine Art Telefonbuch von öffentlichen Schlüsseln speichern ("Keyserver" oder "Schlüsselserver"). Der Schlüssel ist mit einer Emailadresse verbunden, und der Einreicher zeigt damit, dass er mit dieser Emailadresse verschlüsselte Email empfangen will und kann. Enigmail kann man so einstellen, dass prinzipiell jede Email verschlüsselt wird, und wenn der Schlüssel des Empfängers noch nicht bekannt ist, kann Enigmail ihn automatisch bei diversen Keyservern suchen.

Falls aber nun doch der private Schlüssel außer Kontrolle gerät, kann man ihn annullieren und das der Welt mitteilen: es gibt eine "revocation", und man sollte gleich einen neu erzeugten Schlüssel mitliefern.

Wer mehr über die mathematischen Grundlagen und die Konzepte von Integrität, Vertraulichkeit und Verlässlichkeit wissen will, kann dies übersichtlich in einem Buch von Kryptographie-Koryphäe Bruce Schneier tun (auch als ebook). Über Schneier gibt es ähnlich viele Scherze wie über Chuck Norris, aber zum wahren Genuss sollte man das o.g. Buch etwas eingehender studiert haben ;)

02.07.2013

Politiker wollen keine Bürgermeinung wissen

Mal schnell zwischendurch neue Meldungen bei Facebook und Google+ lesen, das eine oder andere "liken" und "plussen", vielleicht sogar kommentieren ... das ist mittlerweile der Normalzustand, das Web zu nutzen.

Wenn dann dazu noch das Gefühl kommt, man kann Politiker erreichen und mit ihnen interagieren, hat man sogar noch ein höchst demokratisches Wohlgefühl dabei.

Bis ... ja bis man auf den "Social Media Superstar" Peter Tauber trifft, der erstaunlicherweise trotz CDU-Mitgliedschaft gegen das Leistungsschutzrecht gestimmt hat und auch sonst in netzpolitischen Dingen eigentlich recht vernünftig erscheint.

Andererseits lässt er immer wieder Lobarien über Kanzlerin Merkel ab, die sehr geschönt klingen und nicht immer allzu nah an der Realität sind. Aber dafür ist er ja in der CDU ...

Neulich gab es ein peinliches Interview mit "DJane" Marusha, einer B-Promi, die in bemerkenswerter Unkenntnis von Fakten ziemlich viel Unsinn von sich gegeben hat, und auf die Nachlieferung von Fakten durch den Interviewpartner sehr ... flexibel reagiert hat. Daraufhin hat Sascha Lobo das Interview zerpflückt und wunderschön kommentiert.


Herr Tauber nun hat das original in der Welt erschienene Interview auf Facebook geteilt und dazu geschrieben "Zweitstimme ist Merkelstimme".

Ich konnte mir nicht verkneifen, den Link zu Lobos Kommentar darunter zu setzen und einen weiteren zur "taz", die dieses Interview ebenso liebevoll in kleine Teile zerlegte.



Heute nun lobpreist Tauber sich und die CDU wegen des ersten Entwurfs für eine Verordnung zur Netzneutralität. Diese Verordnung kommt in der Fachpresse nicht besonders gut weg. Ich wollte das entsprechend kommentieren und stelle fest, dass Facebook mir kein Eingabefeld zum Kommentieren anbietet. Außerdem ist der Knopf "Nachricht senden" verschwunden. Leider habe ich keinen Screenshot dieses Artikels vorher mit meinem Kommentar darunter.

Offensichtlich hat Herr Tauber mich also aufgrund meiner unerwünschten Kommentare in Facebook blockiert und wünscht nicht mehr, Volkes Stimme aus seinem Wahlkreis zu vernehmen. Ebenso sind meine Kommentare unter dem Facebook-Beitrag gelöscht worden.

Genauso so stelle ich mir Politik vor: man darf alle vier (oder fünf) Jahre wählen gehen, dazwischen soll man aber schön seinen Mund halten, und wenn man protestiert (wie in Frankfurt), wird man von der Polizei eingekesselt, einzeln abgeführt, erkennungsdienstlich behandelt und ist als Aufrührer in sämtlichen Informationssystemen von Polizei und Geheimdiensten vermerkt (das letztere ist eine reine Vermutung, sozusagen ein "educated guess" ;) ).

Als ich mit meiner Familie darüber sprach, meinte meine Frau zu meinem größten Erstaunen, dass es absolut in Ordnung sei, wenn jemand unter "seinen" Artikeln Kommentare löscht. Wohlgemerkt: es geht um harmlose, weder (meiner Meinung nach) rechtlich noch moralisch zu beanstandende Kommentare. Ihr einziger Makel ist der falsche politische Stallgeruch.

Was meinen die anderen Leser: darf ein Politiker bei seinen öffentlichen Artikeln in sozialen Netzwerken Kommentare löschen, nur weil sie ihm nicht in die politische Richtung passen? Technisch kann er es offensichtlich, aber ist das bei einem Politiker in Ordnung, der im öffentlichen Rampenlicht steht und sich selbst gern für seine Auftritte bei Facebook und Twitter loben lässt?