Frustabbau Weihnachtseinkäufe

Ich bin ein bisschen frustriert. In Konstanz sind fast alle Preise auf Schweizer Kunden abgestimmt und für uns Deutsche oft sehr teuer. Natürlich will man die lokale Wirtschaft und gerade die kleinen Geschäfte stützen, aber ganz einfach ist es nicht....

Ich bin ein bisschen frustriert. In Konstanz sind fast alle Preise auf Schweizer Kunden abgestimmt und für uns Deutsche oft sehr teuer. Natürlich will man die lokale Wirtschaft und gerade die kleinen Geschäfte stützen, aber ganz einfach ist es nicht. Amazon will man aber eigentlich auch meiden, die bezahlen ihre Mitarbeiter schlecht und liegen seit Jahren im Arbeitskampf mit Ver.di. Doch das Problem ist: Es gibt kaum ernstzunehmende Konkurrenz. In diesem Blog will ich meinen Frust mal etwas darlegen.

Klar, es gibt abertausende Online-Shops. Ich wollte uns für Weihnachten eine neue Lampe fürs Wohnzimmer kaufen. Die beiden größten Anbieter, Lampenwelt.de und LampenOnline.de. halten es nicht mal für nötig ihre Seiten zu verschlüsseln. Diese Einstellung zieht sich durch sehr viele kleinere und auf eine Produktgruppe spezialisierte Webshops. Auch wenn man Bezahldaten in einem verschlüsselten Pop-Up von Paypal eingibt, Vertrauen geht anders. Dabei muss Verschlüsselung nicht mal etwas kosten, wie StartSSL und Let’s Encrypt zeigen. Es fehlt vermutlich einfach das technische Know How und das Wissen, dass Google verschlüsselte Seiten deutlich höher bewertet. Selbst große Shops wie Mindfactory verzichten  auf Verschlüsselung – die gibt es erst, wenn man eingeloggt ist.

Ein wichtiger Grund, warum Seitenbetreiber auf HTTPS verzichten ist sicher die Werbung. Es gibt wenig Werbevermittler, die HTTPS unterstützen. Die oft befürchteten Performance-Einbußen sind ein Mythos. Im schlimmsten Fall einige Millisekunden mehr Ladezeit. Dass Google SSL verschlüsselte Seiten bevorzugt, ist dagegen ein Fakt.

Auch aufgefallen ist mir bei solchen Spezialshops, dass sie sehr viele Sachen nicht lagern sondern selbst erst bestellen müssen. Dann kommen schnell Lieferzeiten von acht Wochen zusammen. So rennen die Kunden, mich eingeschlossen, natürlich alle gleich zu Amazon. Lieferung am nächsten Werktag. In einer Woche hätte auch gereicht, aber nicht in acht Wochen! Wenn das dann nicht einmal beim Produkt dabei steht, dann fühlt man sich verarscht.

Auf diese Weise überlassen solche Online-Shops ihre Kundschaft kampflos dem Internetgiganten Amazon. Ich finde Verschlüsselung essentiell, denn was ich im Internet kaufe und anschaue ist meine Privatsache. Die Verschlüsselung sollte also unbedingt im gesamten Shop zum Einsatz kommen.

Mit Browsererweiterungen wie HTTPS Everywhere kann man als Benutzer sicherstellen, dass man – sofern vorhanden – sichere Seiten nutzt.

Daher der Aufruf an alle Shopbetreiber: Verschlüsselt eure Seiten! Konfiguriert die Server sicher, das kann man z.B. mit diesem SSL Tester prüfen. So wie hier sollte es nicht aussehen! Denn dann kann ein Angreifer sehr leicht den Aufbau einer verschlüsselten Verbindung verhindern. Haltet die Produkte auf Lager oder zumindest so, sodass man nicht länger als 1 Woche warten muss.

Warum wir uns gegen die Überwachung wehren müssen

Viele meiner Freunde und Bekannten nehmen die totale Überwachung, die durch Edward Snowden aufgedeckt wurde einfach hin. Sie sind der Meinung, nichts zu verbergen zu haben und dass man ja sowieso nichts machen kann.

Viele meiner Freunde und Bekannten nehmen die totale Überwachung, die durch Edward Snowden aufgedeckt wurde einfach hin. Sie sind der Meinung, nichts zu verbergen zu haben und dass man ja sowieso nichts machen kann.

Cyberwar

Die interaktive Dokumentation Netwars sollte jedem die Augen öffnen, was passiert, wenn sich unsere Gesellschaft nicht grundlegend auf die Herausforderungen des volldigitalen Lebens einstellt. Unbedingt anschauen!

Profiling

Doch den meisten Nutzern ist einfach nicht klar, welche gigantischen Datenmengen die Geheimdienste und eben auch Kriminelle abrufen können und welche äußerst reichhaltigen Profile sie daraus erstellen können. Das geht soweit, dass man automatisch vorhersagen kann wie ein Mensch in einer bestimmten Situation reagiert. Einen Eindruck davon, was Google alles über euch weiß, bekommt ihr bei Google Dashboard. Dort kann man die Daten praktischerweise auch entfernen. Inwieweit sie dann wirklich gelöscht werden kann ich leider nicht abschätzen.

Auch kann der Staat unliebsame Bürger schnell verschwinden lassen, indem man Ihnen einfach per Internet belastendes Beweismaterial unterschiebt. Das funktioniert zwar auch heute schon, wie man am Fall Edathy gut sehen konnte, aber mit den Persönlichkeitsprofilen lassen sich die Beweise nahezu perfekt zuschneiden.

Es geht also überhaupt nicht um die Daten, die jemand in beste Wissen irgendwo hochlädt, sondern um das Profil welches sich aus der Gesamtheit der Daten ergibt. So wird z.B. durch die zahllosen Fotos auf Facebook eine Gesichtserkennung derartig gut trainiert, dass man einzelne Menschen in einer riesigen Menschenmenge mit 99%iger Sicherheit erkennen kann – auch wenn sie eine Sonnenbrille tragen. Der Staat wird Schritt für Schritt alle derzeit noch bestehenden  rechtlichen Hemmnisse für ein solches Taggen der Bürger abschaffen, wenn wir uns nicht wehren!

Wie schütze ich mich?

Und nun zu dem Punkt, dass man sich nicht wehren kann. Die meisten Leute machen es den Geheimdiensten und auch Kriminellen sehr leicht. Sie benutzen Windows (im Schlimmsten Fall noch XP und den Internet Explorer). Windows ist erstens generell unsicherer als Linux, aber das Problem ist auch einfach, dass einmal bekannte Lücken viel langsamer geschlossen werden (bei XP überhaupt nicht mehr) und viele verschiedene Updateroutinen (Java, Flash, Browser, PDF-Betrachter, um nur die wichtigsten zu nennen)abgeklappert werden müssen. Zudem haben sich die kriminellen Virenprogrammierer auf Windows eingeschossen und es existiert ein florierender Schwarzmarkt für Sicherheitslücken.

Ein Windows-User ist für die anderen also immer das leichteste aller denkbaren Ziele.Die Mafia verdient heute nicht mehr durch Schutzgelderpressung, sondern mit Schadsoftware im großen Stil.

Transport-Verschlüsselung

Man sollte sich immer im klaren sein, dass alles was gesendet wird für Personen im gleichen Netzwerk praktisch ohne Aufwand mitzulesen ist. Das gilt ganz besonders für öffentliche WLANs, bei denen entweder viele Leute den Schlüssel haben oder – was noch schlimmer ist – überhaupt nicht verschlüsselt wird (ist inzwischen verboten). Es gibt Programme, die die aufgerufenen Webseiten, Bilder, eingegebene Passwörter uvm. aus dem Datenstrom herausfiltern. Ein Informatikstudium braucht dafür keiner mehr. Alleine aus diesem Grund lohnt es sich, alle Verbindungen nur verschlüsselt über TLS abzuwickeln. Es soll aber gesagt sein, dass diese Transport-Verschlüsselung für gezielte Angreifer kein Hindernis ist (Man in the Middle-Angriff). Für Otto Normalhacker ist es aber erheblich einfacher, unverschlüsselte Verbindungen abzugreifen.

Ende-zu-Ende-Verschlüsselung

Deshalb ist eine Ende-zu-Ende Verschlüsselung der Daten, die erst auf vom Benutzer manuell „geöffnet“ wird, wichtig.  Die Verschlüsselung von Emails (PGP), Instant Messaging (OTR) und Dropbox (BoxCryptor, EncFS) ist etwas, das absolut jeder völlig kostenlos machen kann. Und es erhöht wiederum den Aufwand für Geheimdienste, an die persönlichen Daten zu kommen. Auch für Skype gibt es Alternativen, die nicht über einen zentralen Server laufen undnur schwer abhörbar sind: Palava.tv.  Zuletzt möchte ich nochal die Möglichkeit erwähnen, mir mit Encrypt.to – ohne jede Anmeldung – verschlüsselte Mails zu senden.

PGP für Jedermann

Seit dem NSA-Skandal ist das Thema Verschlüsselung zumindest teilweise in der Öffentlichkeit angekommen. Viele Leute argumentieren aber immer noch damit, dass sie doch nichts zu verbergen hätten. Dies ist ein Trugschluß. Denn erstens kann es in niema...

Seit dem NSA-Skandal ist das Thema Verschlüsselung zumindest teilweise in der Öffentlichkeit angekommen. Viele Leute argumentieren aber immer noch damit, dass sie doch nichts zu verbergen hätten. Dies ist ein Trugschluß. Denn erstens kann es in niemandens Sinn sein, dass Geheimdienste (und auch Kriminelle) ein exaktes Persönlichkeitsprofil erstellen. So lässt sich beispielsweise der nächste Urlaub für einen Einbruch nutzen. Doch es geht um viel mehr.

Die NSA hat inzwischen die Rechenkraft um Verschlüsselung per Brute-Force zu knacken, d.h. durch Ausprobieren aller Passwörter. Dies kann aber nur funktionieren, solange nur sehr wenige Leute ihre geheimsten Nachrichten verschlüsseln. Denn diese Entschlüsselung kostet wertvolle Zeit. Wenn jetzt also ganz normale Leute anfangen, alle ihre Nachrichten zu verschlüsseln, gerät der Geheimdienst zusehends ins Hintertreffen, auch was die Auswahl der zu entschlüsselnden Nachrichten angeht. Dann ist es – so meine Hoffnung – bald nur noch möglich einen kleinne Bruchteil der Nachrichten stichprobenartig zu entschlüsseln.

PGP ist jedoch für Nutzer von Webmail-Diensten eine kleine Umstellung. Ein Bekannter hat mich heute auf encrypt.to aufmerksam gemacht. Die Seite ist zwar noch im Betastadium, aber sie ist bereits jetzt extrem nützlich um Security-unerfahrenen Mitmenschen das Prinzip von PGP näher zu bringen.

Man kann zum Beispiel mir mit Hilfe dieser Seite direkt verschlüsselte Mails zukommen lassen. Die Seite sucht sich meinen öffentlichen Schlüssel auf einem Keyserver. Diesen braucht man um die Nachricht zu verschlüsseln. Ich kann die Nachricht dann mit meinem privaten Schlüssel entschlüsseln.

Allerdings müssen PGP-interessierte Benutzer immernoch Enigmail in Thunderbird einrichten oder die Browsererweiterung Mailvelope nutzen. Dazu gibt’s aber inzwischen abermillionen Tutorials und ich bin auch gern bereit zu helfen! Fragt einfach!