Datenschutz – Geht das überhaupt noch?

Bisher war ich voll und ganz für den Schutz von privaten Daten. Das scheint jedoch immer unpraktischer zu werden, so dass an dieser Stelle eine Kosten-Nutzen-Analyse angebracht ist. Insbesondere deswegen, weil man den Schutz der eigenen Daten gar nicht so recht in der Hand hat.

Aspekte

Adressbuch

Sein Adressbuch zu beschützen ist inzwischen ziemlich sinnlos. WhatsApp hat 800 Millionen Nutzer, die sich wahrscheinlich größtenteils in den wohlhabenderen Ländern befinden. Darunter sind wahrscheinlich auch wenige Senioren und wenige Kleinstkinder. Von daher kann man eigentlich abschätzen, dass in Deutschland die meisten Jugendliche und Erwachsene diesen Dienst benutzen.

Das ganze habe ich schon mal in Adressbücher hochladen ausgeführt. Letztlich ist mein ganzes Adressbuch, bis vielleicht auf ein paar Kontakte, schon online.

Dadurch, dass ich es nicht hochlade, habe ich eigentlich nur Nachteile. Ich kann an der Kommunikation über dieses Medium nicht teilhaben und muss mir ein anderes Medium suchen.

Doch auch der OpenPGP Schlüsselring und die Signaturen an den Schlüsseln verraten, mit wem man in Kontakt steht. Um das nicht zu haben müsste man die Signaturen im eigenen Schlüsselring über getrennte Verbindungen mit Tor aktualisieren. Die Informationen auf den Schlüsselservern wird man auch nie wieder entfernen können, so dass Teile des Adressbuches auch da sichtbar sind.

Kalender

Die Termine in meinem Kalender gehen eigentlich niemanden anderen etwas an. Damit ich die allerdings selbst auf meinem Handy einsehen kann, habe ich auf dem Server eines Freundes freundlicherweise einen ownCloud Account bekommen. Diesen Account nutze ich auf meinem Rechner und meinem Handy.

Allerdings musste ich mich ziemlich auf den Kopf stellen um die Daten verschlüsselt zu übertragen. Auf dem Server ist ein Zertifikat von CAcert installiert und ich musste auf beiden Geräten dieses Zertifikat hinzufügen um es nutzen zu können. Damit habe ich jetzt noch eine Zertifikatsauthorität in meinen Systemen, was mir auch nicht so ganz geheuer ist. Aber besser so als die Kalender und Kontakte unverschlüsselt zu synchronisieren.

Und am Ende kommt das Jolla mit den Zeitzonen nicht klar und ich weiß doch nicht genau, wann ich welche Termine habe.

Würde ich meinen Kalender einfach von Google synchronisieren lassen, hätte ich diese Probleme einfach nicht. Die Verbindung wäre gut geschützt, schließlich ist Google erstklassig im Schutz der Benutzerdaten bis zu deren Servern.

Fotos

In Deutschland gibt es das Recht am eigenen Bild. Das wissen nur die meisten Leute, die ihre Fotos einfach ins Internet stellen, nicht. Und da auf vielen Fotos irgendwelche anderen Personen drauf sind, verletzt man damit deren Rechte.

Das ist aber nichts, wogegen man sich wirklich schützen kann. Man müsste darauf achten, dass von einem nie ein Foto gemacht wird. Das ist nicht sonderlich praktikabel. Die Leute alle über das eigene Recht informieren bringt sicher nichts, vor allem nicht, wenn man die Leute gar nicht kennt.

Die Gesichtserkennungsalgorithmen können die Bilder aber gut genug zuordnen, von daher haben die Unternehmen damit kein Problem.

Letztlich ist es inzwischen fast unmöglich zu verhindern, dass irgendwie ein Bild von einem im Internet auftaucht. Eigentlich hatte Eric Schmidt schon recht:

If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.

Eric Schmidt

Positionsdaten

Ich habe mein Handy immer dabei. Daher weiß mein Mobilfunkanbieter auch immer, wo ich bin. Über die Vorratsdatenspeicherung weiß das auch der Staat, wenn er das möchte.

Das einzige, was ich noch wählen kann, ist welcher Privatfirma ich diese Daten zusätzlich auch noch geben möchte. Apple? Google? Microsoft?

Über den Internetzugang und meine IP-Adresse kann man auch ganz gut abschätzen, wo ich bin. Das sieht man selbst immer ganz gut an ortsbezogener Werbung. Da in alle Seiten Skripte von sozialen Netzwerken oder vom Google CDN eingebaut werden, können Google, Facebook und Twitter mich eigentlich auch schon ganz gut durchs Netz verfolgen.

Surfverhalten

Das Surfverhalten ist dank Werbung auf allen Seiten ganz einfach zu verfolgen. Dazu noch die „Teilen“ Schaltflächen, die von extern eingebunden werden und man steht als Nutzer ziemlich gläsern da. Der „Do-Not-Track“ Header im Browser ist ja ganz nett, aber man weiß eh nicht so genau, was die am Ende eigentlich damit treiben.

Jede Webseite verfolgt die Nutzer mit Cookies und wertet das aus. Ich mache das auch, allerdings nur aus Neugier und verkaufe die Daten nicht. Andere Seiten geben die direkt an ihre Werbenetzwerke weiter und lassen ihre Besucher mit persönlicher Werbung zuballern.

Passwörter

Diverse Dienste sollten eigentlich auf die Nutzerdaten aufpassen. Jedoch gibt es immer wieder Einbrüche bei denen viele Nutzerdaten geklaut werden. Zuletzt war es das Seitensprungportal Ashley Madison. Wenn man dort einen Account hatte, weiß das jetzt jeder, nach nachschauen möchte.

Sehr häufig werden dann auch schlecht gesicherte Passwörter veröffentlicht. Wenn man nicht für jeden Dienst ein anderes Passwort gewählt hat, hat man dann auch ein Problem. Automatisiert kann man leicht einfach alle Emailadressen und Passwörter aus dem Sony Hack bei Twitter ausprobieren. Dies wurde so gemacht und es gab eine große Welle Spam bei Twitter in eigentlich legitimen Accounts.

Auf haveibeenpwned kann man nachschauen, ob in irgendwelchen öffentlich verfügbaren Datensätzen die eigene Emailadresse enthalten ist. Bei mir es nur die, die ich Adobe gegeben habe.

Mit einem Passwortmanager auf meinem Rechner wäge ich mich noch in Sicherheit vor diesen Angriffen. Aber irgendwie muss ich die Passwörter ja auch speichern und muss da einem Programm vertrauen.

TLS Verbindungen

Man erhofft sich von einer mit TLS (z. B. HTTPS) gesicherten Verbindung Sicherheit vor Abhören und Manipulation durch Dritte. Das Problem ist jedoch, dass jemand alle diese Zertifikate ausstellen muss. Diese werden durch private Firmen ausgestellt, die gewisse Überprüfungen haben. Ist das Verfahren vertrauenswürdig genug, so wird das Stammzertifikat in die Liste der vertrauen Stammzertifikate in die Browser aufgenommen.

Nun wird aber immer mal wieder eine derartige Zertifikatsauthorität geknackt (siehe Diginotar) oder Mitarbeiter gehen unsensibel mit ihrer Verantwortung um (Symantec). Es reicht ein einziges Zertifikat für eine beliebte Domain zu haben um sich damit unbemerkt in den Verkehr einklinken zu können.

Wenn man in seinen Browser schaut, gibt es hunderte dieser Zertifikatsauthoritäten. Das schwächste Glied in dieser Kette ist das, was zählt. Und die meisten davon kennt man überhaupt nicht.

Konversationen

Eigentlich möchte ich meine privaten Konversationen privat halten. Es scheint aber so zu sein, dass die einzige Möglichkeit im digitalen ist, die Konversationen erst gar nicht stattfinden zu lassen.

Email klappt eigentlich noch ganz gut mit den meisten Leuten. Die Verschlüsselung mit OpenPGP oder S/MIME dagegen nicht sonderlich. Das ist einfach zu sperrig einzurichten und man muss sich richtig Gedanken machen. So gibt es gute Gründe seinen privaten Schlüssel nicht auf sein Mobiltelefon zu laden. Allerdings kann man dann unterwegs seine eigenen Nachrichten nicht mehr lesen. Das ist unpraktisch.

Für Sofortnachrichten sowie Audio- und Videochats habe ich keine brauchbare freie Lösung gefunden. Ich habe XMPP ausprobiert, das hat niemand installiert. Selbst wenn ich zwei meiner Rechner nehme, kann ich dazwischen nicht wirklich sinnvoll Audiochats laufen lassen. Und wenn es schon im lokalen Netzwerk nicht klappt, braucht man über das Internet eigentlich erst gar nicht anzufangen.

Als nächstes habe ich einen Mumble-Server aufgesetzt, das für Sprachkonferenzen in der Art von TeamSpeak funktioniert. Da muss man dann auch wieder alle Beteiligten zur Installation des Clients nötigen. Und am Ende hat es dann doch teilweise nicht funktioniert. Die meisten Gespräche waren dann irgendwie einseitig und gingen mehr um die Optimierung der Gesprächsqualität als über die Dinge, über die man sich eigentlich unterhalten wollte.

Und nun? Mit einem Freund habe ich mal Wire ausprobiert. Das klappt über die Webseite ganz gut. Allerdings hat man dann noch einen Tab mehr, den man offen haben muss und angemeldet sein muss, um erreichbar zu sein. Die Sprachqualität war allerdings zufriedenstellend. Und dann? Betrifft mich das wirklich?

Klassisch wäre natürlich der Anruf über das Telefon- oder Mobilfunknetz. Allerdings müsste ich mir dann einen entsprechenden Vertrag mit Flatrate kaufen und immer alle Leute zurückrufen, weil die nicht dafür bezahlen wollen. Dass man kein Geld ausgeben möchte, wenn es das gleiche auch kostenlos gibt, kann ich verstehen.

Am Ende bin ich jetzt bei Skype. Das funktioniert, das hat jeder und man kann damit auch sinnvoll Videochats durchführen. Ja, Microsoft erhält durchaus Rechte an meinen Gesprächsinhalten.

Die einzige Alternative wäre noch Google Hangouts. Das benutzen ein paar Leute in meinem Bekanntenkreis und das scheint auch sinnvoll zu funktionieren.

Wirklich eine Wahl habe ich nicht. Entweder ich stehe mit Leuten nicht im Kontakt oder ich leite meine Gespräche durch Microsoft, Google oder Facebook. Und da ist das zweite eher ein akademisches Problem.

Dateien synchronisieren

Idealerweise hat man seine persönlichen Daten überall zur Verfügung. Zum Beispiel möchte ich die Unterlagen zu meinen aktuellen Vorlesungen dabei haben. Mit meinem Jolla Phone mache ich das über den SSH Server, der in den Entwickleroptionen eingebaut ist. Unter Android könnte man etwas ähnliches machen, jedoch ist es einfacher dies einfach in einen Dienst wie Dropbox oder Google Drive hochzuladen und das ganze automatisch handhaben zu lassen.

Dadurch haben zwar andere auch Zugriff auf die Daten, aber vor allem habe ich unterwegs auch meine Daten dabei. Sie nur zuhause haben ist nicht sonderlich praktisch.

Hardware

Am Ende hängt aber alles an der Hardware. Und da hat man noch deutlich weniger eine Chance irgendwas zu kontrollieren als bei Software. Man benutzt ein Smartphone mit Hardware, die teilweise vom Mobilfunkanbieter kontrolliert wird. Mein neues Mainboard kann von Windows aus ein Update bekommen. Selbst wenn ich den Rechner unter Linux benutze, könnte das Mainboard mich irgendwie austricksen.

Wenn man bei der Hardware nicht alles irgendwie im Griff hat, spielt man schon auf der Verliererseite im Kampf um die Kontrolle der eigenen Daten. Da kann man als Einzelperson nur hoffen, dass man sich dem kleineren Übel angeschlossen hat.

Fazit

Bruce Schneier schrieb vor knapp drei Jahren von einem feudalen Sicherheitsmodell in das wir uns entwickeln. Er hat Recht (und beschreibt das ganze noch schöner). Man sucht sich einen (oder ein paar) große Anbieter aus und vertraut darauf, dass die einen beschützen. Als Einzelperson kämpft man letztlich alleine, so wie die Bauern außerhalb der Burgen im Mittelalter. Und auch wenn die keinen Herrn hatten, waren die teilweise schlechter dran als die, die sich einem Herrn verpflichtet haben.

Möchte man heute teilhaben, muss man wohl die bittere Pille schlucken und sich davon lösen, dass die eigenen Daten privat zu halten sind. Die einzige Möglichkeit ist der Verzicht oder die extreme Einschränkung des Bekanntenkreises. Und das ist es mir dann auch nicht wert.

Ich werde mich weiterhin mit Methoden wie Festplattenverschlüsselung, sicheren Passwörtern oder VPN gegen Risiken wie Diebstahl oder unsichere Netzwerke schützen. Dadurch habe ich auch keine Nachteile.

Die Hoheit über die eigenen „sozialen“ Daten gewinnt man aber nur noch durch einen gesamtheitlichen gesellschaftlichen Wandel zurück. Ich alleine werde die Gesellschaft nicht nach meinen Vorstellungen von Datenschutz formen können. Anstelle mich weiter daran abzuarbeiten es zu versuchen versuche ich zu akzeptieren, dass dieser Kampf verloren ist.

Eigentlich sollte man fragen:

Warum sollte ich meine Daten überhaupt mit Dritten teilen?

Und jetzt fragt man sich:

Welche Nachteile habe ich, wenn ich meine Daten keinem Unternehmen in den Rachen werfe? Eigentlich habe ich doch nichts zu verbergen …

Hoffentlich wird es in Zukunft überhaupt noch die Möglichkeit geben sensible Daten und Geschäftsgeheimnisse sicher miteinander kommunizieren zu können.