Lobbyschlacht in Brüssel: Wie Deutschland die Datenschutzreform der EU schwächt

Derzeit werden von fast allen Internetnutzern unbemerkt Millionen von persönlichen Daten gesammelt. Viele User merken gar nicht, dass es von Ihnen Profile und Verzeichnisse gibt mit zum Teil hochsensiblen Daten. In Europa soll die neue EU-Datenschutzverordnung den Nutzer mehr schützen. Doch ausgerechnet Deutschland scheint sich auf EU-Ebene eher für weniger als für mehr Datenschutz einzusetzen. Das belegen interne Papiere, die report München vorliegen.

Whistleblowerin Annie Machon „Die deutschen Geheimdienste betteln offenbar darum, der NSA Informationen liefern zu dürfen“

Annie Machon war eine Whistleblowerin, bevor der Begriff fast schon Teil der Popkultur wurde. Nach sechs Jahren beim britischen Geheimdienst MI5 konnte sie es nicht mehr mitansehen, wie der MI5 Minister ausspioniert, Telefone illegal abgehört und die Regierung belogen hat. Wir haben sie auf der re:publica in Berlin getroffen.

Können wir Überwachung im Internet verhindern?

Das ist schwierig. Es gibt aber immer mehr Tools, die uns zeigen, wer uns beobachtet. Wir empfehlen Ihnen, eine neue „digitale Hygiene“ zu praktizieren und einige Ratschläge zu befolgen.

Hier finden Sie einige Softwareprogramme und Websites, die Ihnen helfen, Ihre Beobachter zu verfolgen:

  • Lightbeam ist eine von Mozilla entwickelte Firefox-Erweiterung, mit der Sie sehen können, wer Ihnen auf die von Ihnen besuchten Websites folgt. Cookies, Websites von Dritten, Links zwischen Trackern: Lightbeam verschafft Ihnen einen Überblick über alle Tracker, die Sie überwachen, wenn Sie auf Firefox surfen.
  • Ghostery ist ein von einem amerikanischen Unternehmen entwickeltes Programm, mit dem Internetschnüffler blockiert werden können. Ghostery ist auf allen Browsern anwendbar und blockiert Schnüffler nicht nur, sondern speichert sie zudem in einer Datenbank. Das Unternehmen bietet außerdem eine Beratung für Firmen, die ihre Marketingmethoden optimieren möchten. Um das Plug-in herunterzuladen, klicken Sie bitte hier.
  • Die nationale Datenschutzbehörde in Frankreich CNIL (Commission Nationale Informatique et Liberté) hat in Frankreich das Programm Cookieviz entwickelt, das in Echtzeit Cookies identifiziert, die Daten an andere Websites weitergeben. Zusammen mit Expérience sind sie Teil ihrer Sensibilisierungsmaßnahmen für Internetnutzer über Cookies und Privatleben.
  • me wurde von ehemaligen Google-Mitarbeitern und Anwälten entwickelt. Es ermöglicht u. a., Tracker zu blockieren und das Surfen im Internet zu verbessern. Das Plug-in ist in Englisch verfügbar und kategorisiert Tracker (Werbung, Funktionsweise …). Auf dieses Tool wird in Echtzeit bei Do Not Track-Vorfällen zurückgegriffen.

Tactical Technology Collective ist ein Unternehmen, das sich mit der Verwendung von Daten befasst und eine Reihe von Websites vorschlägt, um die von uns im Internet hinterlassenen Spuren zu analysieren bzw. die Hinterlassung von Spuren zu verhindern. Es bietet zahlreiche Tools, darunter auch My Shadow, das in mehreren Sprachen verfügbar ist. Es ermöglicht, alle Spuren, die wir mit sämtlichen Geräten überall im Internet hinterlassen, ausfindig zu machen.   Von dem gleichen Unternehmen gibt es Trackography, eine Website, die uns zeigt, welche Tracker von den von uns besuchten Websites je nach Land benutzt werden. Leider sind dort nicht alle Websites aufgeführt.

Für weitere Möglichkeiten des sicheren Surfens klicken Sie bitte hier.

Tracking beim Einkaufen: Wie Shopping-Apps unsere Daten ausspionieren

Rabatte, Bonuspunkte, Gutscheine – Einkaufs-Apps locken mit Vergünstigungen. Doch während wir fleißig aufs Smartphone tippen und Barcodes scannen, nutzen die Anbieter unsere Daten für Kundenprofile, die immer detaillierter werden.

Eine klassische Einkaufspassage – und immer wieder meldet sich das Smartphone, zumindest wenn die App „Shopkick“ installiert ist. Das Programm macht so auf spezielle Angebote aufmerksam.

Punkte gegen Daten

Um in bestimmte Läden zu locken, bietet „Shopkick“ Bonuspunkte an, sogenannte Kicks. Die gibt es bei Karstadt und Kaufhof genauso wie bei Netto und Penny, den Modeketten H&M, Esprit und Zara, bei OBI, Media Markt und Saturn. Beim jedem Gang durch die jeweilige Ladentüre landen Punkte auf dem Konto. Will man die Punkte behalten und irgendwann gegen einen Shoppinggutschein eintauschen, braucht man ein „Shopkick“-Konto. Dabei muss man seine E-Mail Adresse angeben oder den Facebook-Account verraten. Die App als eine Art Kundenkarte will den Nutzer kennen lernen. Die Datenschutzverwendungsrichtlinie der App ist daher auch gezielt darauf abgestimmt, Daten zu sammeln. Mit denen ist vieles möglich. Etwa mit der angewendeten Funk-Technologie genaue Bewegungsprofile erstellen. Also feststellen, in welchen Läden ist der Nutzer gewesen, an welchen Regalen ist er vorbeigegangen und wo ist er besonders lange stehen geblieben. Über die Kombination mit einer Zahlungsfunktion – also Handy hinhalten, Betrag wird vom Konto abgebucht – könnte „Shopkick“ alle Einkäufe einer Person genau aufzeichnen und auswerten.

Shopkick – Erfolgsstory aus den USA

Bislang haben die Shopkick-App gut eine Million Nutzer in Deutschland herunter geladen, in gerade mal einem knappen halben Jahr. In den USA ist das Programm ein Renner; und zwar bei Kunden und bei Ladenbesitzern gleichermaßen. Die Nutzer stören sich offenbar nicht daran, dass sie die App auf Schritt und Tritt verfolgt, ihr Verhalten aufzeichnet und sie außerdem manipuliert. „Shopkick“ berichtet selbst, dass Konsumenten zwischen 50 und 100 Prozent mehr Geld in Läden ausgeben würden, wenn die App auf dem Smartphone läuft. „Shopkick“ wiederum profitiert von den willigen Klienten, denn je mehr Bonuspunkte die im jeweiligen Laden erreichen, umso mehr muss der Händler dort für das Programm bezahlen.

Den Originalartikel finden Sie im Bayern 2-Notizbuch auf der Webseite des Bayerischen Rundfunks.

BR

Datenschutz im Netz: Verschlüsselung für alle!

Eigentlich sollte man seine Kommunikation im Netz ja verschlüsseln – aber das ist aufwändig. Viele tüfteln deshalb an einer nutzerfreundlichen Lösung: die einen an einem Plugin, die anderen an einem Mini-Rechner. Wir haben drei Ideen getestet.

Liest jemand mit? Seit der NSA-Affäre bleibt ein ungutes Gefühl beimKommunizieren im Netz. Viele würden ihre Nachrichten lieber verschlüsseln – aber Kryptographie ist umständlich und benötigt Zeit, die man im Alltag oft nicht hat. Also lassen es viele ganz bleiben.

Zahlreiche Projekte wollen das Verschlüsseln nun nutzerfreundlicher machen. Sie haben drei Dinge gemeinsam: Erstens gehen die Macher davon aus, dass Provider angreifbar sind. Deshalb setzen sie auf Ende-zu-Ende-Verschlüsselung, das heißt, dass die verschlüsselten Nachrichten direkt von Gerät zu Gerät wandern. Der Grund: Viele E-Mail-Provider bieten zwar automatische Verschlüsselung an. Kritiker wenden aber ein, dass die Daten nur auf dem Weg zum Rechenzentrum verschlüsselt werden – auf dem Server selbst liegen sie unverschlüsselt herum. Zwar nur für kurze Zeit, dennoch könnten sie dadurch unter Umständen mitgelesen werden.

Zweitens greifen die Projekte auf bereits vorhandene Verschlüsselungsprogramme zurück – das heißt auf solche mit einem öffentlichen und einem persönlichen Schlüssel. Diese Systeme funktionieren vereinfacht gesagt so: Den öffentlichen Schlüssel (public key) kann man sich wie ein offenes Vorhängeschloss vorstellen. Der Sender kann es schließen – allerdings nicht wieder öffnen. Mit diesem public key codiert der Sender seine Nachricht, er kann sie aber nicht wieder decodieren. Das geht nur mit dem persönlichen Schlüssel (private key), und den hat nur der Empfänger. Asymmetrische Verschlüsselung nennt sich das.

Die dritte Gemeinsamkeit: Die Projekte legen aus Prinzip ihren Quellcode offen, um Missbrauch vorzubeugen. Wir stellen euch drei der neuen Verschlüsselungsideen vor.

Das Plugin „Pretty Easy Privacy“ (PEP)

Klar gibt es bereits Messenger mit Ende-zu-Ende-Verschlüsselung – man denke an Threema und Co. Nur was nützt das, wenn die meisten Freunde weiterhin bei den großen Anbietern wie Whatsapp bleiben? Volker Birk, Softwarearchitekt und Aktivist des Schweizer Chaos Computer Club, hat deshalb ein Plugin entwickelt, das die Chats und Nachrichten bei Whatsapp, Facebook, Instagram und Co. verschlüsseln soll. Sobald „Pretty Easy Privacy“ (PEP) installiert ist, läuft es im Hintergrund und durchforstet den Rechner nach bereits vorhandenen Kryptographie-Systemen. Wenn es nichts findet, greift es zum Beispiel auf das freie System GNU-Privatsphärenschutz zurück und besorgt das benötigte Schlüsselpaar selbst. Nur wenn PEP gar nichts findet, werden die Daten unverschlüsselt gesendet. Birk plant, dass der offene Quellcode regelmäßig von Experten gecheckt wird. So soll ein Hintertürchen verhindert werden. Das Crowdfunding für PEP läuft noch.

Der Minirechner „Kinko“

Kinko ist ein Minirechner, der als eigener kleiner E-Mail-Server samt dynamischem Domainnamen fungiert. Die kleine Box soll zwischen Computer und Internet geschaltet werden und dann automatisch alle ausgehenden E-Mails codieren. Kinko verwendet dafür kryptographische Programme wie GnuPG, OpenSSL und SSH. Auch Smartphone oder Tablet sollen über das Internet auf die Kinko-Box zugreifen können. Die Software hinter Kinko ist frei und Open Source. Das Crowdfunding für das Projekt aus Berlin läuft noch.

Die Software „Qabel“

Das Projekt „Qabel“ aus Hannover soll Chats, geteilte Dateien und Adressbuch verschlüsseln, später soll auch E-Mail dazukommen. Alles, was der Nutzer aus der Software heraus verschickt, wird asymmetrisch verschlüsselt – und zwar direkt auf dem Rechner des Senders. Die Macher versprechen, dass so an keiner Schnittstelle mitgelesen werden kann. „Auf unseren Servern und im Internet erscheinen die Daten aller unserer User nur als sinnlose Bithaufen, mit denen niemand etwas anfangen kann“, heißt es auf der Projektseite. Falls Qabel einen Text nicht verschlüsseln kann, fragt das Programm, ob es ihn mit dem freien Kryptographie-System PGP codieren soll. Geht auch das nicht, werden die Daten unverschlüsselt verschickt. Qabel läuft aus Prinzip nicht auf dem iOS, weil die Macher die Plattform von Apple für zu unsicher halten. Qabel ist Open Source, das Crowdfunding bereits abgeschlossen. Die Software läuft jetzt in der Beta-Phase.

NSA überwacht Erlanger Student: Mit TOR auf die Überwachungsliste

Er will anderen helfen, im Netz anonym zu bleiben – und wird deswegen selbst von der NSA ausspioniert. Kein Politiker, kein Lobbyist, sondern einer von uns: Ein Student aus Erlangen ist nach der Kanzlerin das zweite namentlich bekannte deutsche NSA-Opfer. Ein Beitrag von Max Muth.

Eigentlich kennt er sich aus mit der Abhör-Abwehr im Netz: Sebastian Hahn studiert Informatik in Erlangen. Im Herbst entwickelte er das Sicherheitskonzept für die Tagung seiner Fakultät. Darin ist er Experte und betreibt selbst einen Server im Netzwerk des Internet-Anonymisierers TOR.

TOR steht für „The Onion Router“, also Zwiebel-Router, und das beschreibt eigentlich ganz gut, wie TOR funktioniert. Informationen, die über TOR transportiert werden, befinden sich im Inneren von mehreren Zwiebelschichten. Jede Zwiebelschicht ist dabei ein Server, über den der Internetverkehr geleitet wird. Wenn in Nürnberg jemand den TOR-Browser benutzt, dann kann es sein, dass seine Anfrage zuerst an einen Server in Schweden, dann über Russland nach Südafrika zu seinem Endpunkt geleitet wird. Dort ist nicht mehr nachzuvollziehen, wer das Signal urspünglich geschickt hat.

Sebastian Hahn wollte also anderen helfen, im Netz anonym zu bleiben und hat sich selbst damit auf die Überwachungsliste der NSA gebracht. Denn TOR oder ähnliche Dienste sind für Menschenrechtsaktivisten in Ländern mit autoritären Regimen wie Iran und Syrien unverzichtbar. Sie können Leben retten. Der NSA aber sind sie ein Dorn im Auge. Eine Präsentation aus dem Fundus von US-Whistleblower Edward Snowden befasst sich komplett mit Möglichkeiten, TOR auszuspähen. Überschrieben ist das Paper mit „TOR stinks“.

Um trotzdem an Informationen über TOR-Nutzer zu kommen, überwacht die NSA laut Informationen von NDR und WDR mehrere Server, die TOR-Sympathisanten zur Verfügung stellen. Menschen, denen Privatsphäre und Freiheit wichtig sind. Menschen wie Sebastian Hahn. Die IP-Adresse des von ihm betriebenen Servers taucht im Quell-Code der NSA-Software XKeyscore auf. In dem stehen die Regeln, nach denen das Programm das Internet nach Informationen absucht. Der Server mit dem Namen „gabelmoo“ und der IP-Nummer 212.112.245.170:443 gehört Sebastian Hahn.

„Dass alle Verbindungen, die ich mit einem Server, den ich selber in Deutschland betreibe, von einem ausländischen Geheimdienst mitgeschnitten werden, ist ein Rieseneingriff in meine Privatsphäre“, sagte Sebastian dem ARD Morgenmagazin.

Weitere Interviews will Sebastian jetzt nicht mehr geben, im Internet hat er aber auf die wichtigsten Fragen geantwortet. Dort schreibt er, dass er nicht besonders überrascht ist, dass das TOR-Netzwerk Ziel der NSA-Agenten wurde. Aber dass einfach alle Serverbetreiber überwacht werden, findet er ziemlich dreist. Von den Medien wird Sebastian jetzt als zweites namentlich bekanntes Opfer der NSA nach Angela Merkel bezeichnet. Den Vergleich mit der Bundeskanzlerin findet er nicht sehr gelungen, schließlich wurde nicht sein Handy abgehört. Aber mit welcher Selbstverständlichkeit Geheimdienste Unschuldige in den Fokus nehmen, das schockiere ihn schon.

Weitermachen mit seinem Engagement für das freie Internet will Sebastian trotzdem. Auf die Frage, was er für Konsequenzen aus dem Angriff auf seine Privatsphäre zieht, schreibt er: „Ich fühle mich bestätigt auf meinem Weg. Nur durch aktives Handeln lässt sich unsere Demokratie langfristig verteidigen. Demokratie braucht Privatsphäre und Sicherheit in der Kommunikation.“

Autor dieses Beitrages ist Max Muth. Den Original-Artikel finden Sie bei PULS, dem jungen Programm des Bayerischen Rundfunks.

 

Older Posts