23 Mär 2018

Datenkraken - Was tun?

Submitted by ebertus

Nicht erst seit dem jüngsten Datenleck bei Facebook sind alternative Überlegungen und Verfahren in Sachen des Schutzes persönlicher Daten wieder neu im Gespräch.


Vorab und lediglich zur Klarstellung: Bei dem sogenannten Datenleck handelt es sich weder um ein Leck im klassischen Sinne, noch sind aus heutiger Sicht in diesem Zusammenhang auch nur die geringsten strafbaren Handlungen zu erkennen. Es ist nicht nur origin das Geschäftsmodell dieser sogenannten Datenkraken, sondern das Geschäftsmodell jedweder Kostenloskultur der kommenziell aufgestellten sogenannten Sozialen Medien.

Waschpulver und Autos  etc. zu bewerben, das war doch bislang ok. Warum also nicht auch die Politik, sprich: die Ideologie?

Alle anderen, im Internet kommerziell agierenden Unternehmungen sind da auch nicht besser und man braucht im Browser lediglich das Addon "NoScript" installieren. Dann sieht man ... ja, beinahe nichts mehr. Ehe auf der angesteuerten Seite das erscheint, weswegen man eben diese Seite doch aufgerufen hat, ehe das passiert laufen im Hintergrund diverse Prozesse ab, wird versucht, den in der Regel und dahingehend unbedarften Surfer nach allen Regeln der technisch möglichen Kunst zu analysieren. Damit nicht genug! Soweit bei dieser Analyse bereits gespeicherte, nun wiederkehrende Muster erkennbar sind, so ist der Delinquent identifiziert, kann der Seitenaufbau und das, was dem armen Tropf dann angezeigt und vorgeführt wird sehr spezifisch auf seine (vermeintlichen, unterstellten) Bedürfnisse zugeschnitten sein.

Noch schlimmer, noch zielgerichteter kann von Seiten der Anbieter agiert werden, wenn sich der Delinquent gar freiwillig anmeldet; bei Zeitungen, Zeitschriften, Versandhändlern, Ebook-Registrierung, Online-Shopping etc. Eigentlich klar, wer sich auch nur zum passiven Konsumieren explizit anmeldet ist gläsern, kann jeder gelesene Text, jedes geschaute Video, jedes gesuchte und vielleicht zum Kauf erwogene Produkt, selbst jede gelesene Seite eines ab und zu online verbundenen und via DRM geschützten Ebooks nach den verschiedensten Kriterien ausgewertet werden. Darüber dann Strategien zur Beeinflussung des sich angemeldet habenden zu entwickeln, das ist technisch kein Problem. Egal, ob es sich um ein (vorerst) kostenloses Angebot handelt, oder man sich und seine Daten gleich an ein kostenpflichtiges Angebot übergibt - im Wortsinne und anhaltend ...

Weitgehend -wenngleich nicht vollkommen- ausnehmen von dieser umfangreichen Analyse persönlicher Präferenzen mag man sogenannte Online-Bankgeschäfte. Während es bei Zeitungen, Zeitschriften, auch bei Shoppingportalen keine Seltenheit ist, das erwähnte "NoScript" eine zweistellige Zahl an Trackern und andere Tools vermeldet (die gerade versuchen, mich zu analysieren), so herrscht bei den zwei von mir als Kunde besuchten Banken dahingehend absolute Ruhe. Ok, wenn ich mich dann anmelde, dann sehen sie, was ich tue, haben sie früher bei Bankgeschäften über den Tresen ebenfalls gesehen.

Der Zeitungs- oder Buchverlag dagegen kannte mich nicht, soweit ich und ohne Abo einfach bar kaufte. Und selbst mit einem Abo hätte er lediglich meinen Namen, die Lieferadresse und ggf. die Bankverbindung gekannt. Ob, was und wie lange, wie intensiv ich dann lese war ihm unbekannt, geht ihn wohl auch wirklich nichts an ...

- - - - -


Unter dem vorgenannten Aspekt sind auch die -bis zu einer gewissen Größe- oft kostenlosen Angebote für sogenannten Cloudspeicher zu sehen. Diese Cloud ist im Grunde und durch verschiedene Gimmicks aufgepeppt nichts anderes als eine Erweiterung des lokalen Speichers auf dem PC, dem Tablet, dem Smartphone etc. Der Vorteil gegenüber einer rein lokalen Speicherung und gerade bei mobil eingesetzten Geräten liegt auf der Hand. Es kann von überall (aber prinzipiell eben auch von jedem) auf diese Daten zugegriffen werden.

Wenn dann in der Werbung für derartige Clouds von hochgesicherten Servern gesprochen wird, so ist das spätestens nach Snowden vollkommen irrelevant. Der die Daten abgreifende Knabe sitzt an der Quelle, als Provider, als Administrator, als Mitarbeiter der sog. Dienste - in geheimer, manchmal auch offener Mission. Selbst eine Verschlüsselung der Daten auf dem Server ist Augenwischerei, wenn eben dieser Knabe an der Quelle auch gleichzeitig Herr über die Schlüssel ist..

Schützen kann man sich dagegen nur sehr bedingt, weil manche Angebote und Funktionen auch für den Einzelnen, den Kunden gewisse Vorteile bieten. Reines Schwarz/Weiß-Denken ist selten zielführend, wirkt oft auch missionierend und kippt manchmal das sprichwörtliche Kind mit dem Bade aus. Was jedoch in jedem Fall wichtig und richtig sein kann, das ist die Entwicklung eines Verständnisses für die Prozesse und die Abläufe; nicht zuletzt immer wieder die Frage: Wem nützt es primär, und wer wird bstenfalls mit bunten Glasperlen abgespeist, zufriedengestellt.

- - - - -


Ansonsten ..., auf die kürzlich erfolgreich aktualisierte Termitencloud (Nextcloud: Version 13.01) sei hingewiesen.

Kommentare

Bild des Benutzers Heinz

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

eine Internetseite auch.

«Waschpulver und Autos  etc. zu bewerben, das war doch bislang ok.»

Asterix erobert Rom ab Minute 57:

 

Keine Webseite und kein Datenspeicher ist vor dem Superuser/Admin sicher. Dann kann ich zum Speichern meiner Daten auch gleich eine eigene Webseite verwenden, die öffentliche Verzeichnisse und nichtöffentliche Verzeichnisse hat. In den nichtöffentlichen Verzeichnissen kann ich meinen gesamten Datenschrott speichern und habe den überall und jederzeit zur Verfügung.

Den Unterschied zum «kostenlosen» Speicher macht das Urheberrecht. Auf der eigenen Webseite hat jeder User sein eigenes Urheberrecht, bis auf geklaute Bilder, Texte und Videos. Auf der «kostenlosen» Seite hat der User gar kein Recht mehr, der Provider kann die Daten jederzeit verwerten – genau das ist das Geschäftsmodell.

Bild des Benutzers ebertus

Antwort auf Heinz  zum Kommentar Werbung kostet Geld
 

Das ist weitgehend richtig. Und damit es so bleibt bibt's ja nun ganz offiziell den Staatstrojaner.

Die einzige Möglichkeit diesem Superadmin, dem Provider und anderen per Definition bösen Buben den Zugang zu verweigern, die besteht -neben der Abstinenz an sich- in einer sogenannten "Ende zu Ende"-Codierung ohne zentral hinterlegten Schlüssel. Nur muß man dann eben dem notwendigen Programm für diese lokal vorgenommene Ver/Entschlüsselung vertrauen.

Der Messenger Telegram beispielsweise, wird von der russischen Regierung gerade bedrängt, die zentralen Schlüssel herauszugeben. Wird er wohl nicht tun, zumindest nicht zugeben es dann doch getan zu haben.

Threema dagegen nutzt keine zentralen Schlüssel; muß man aber dann den Schweizer Machern vertrauen.

Absolute (ggf. auch im negativen Sinne) Sicherheit gibt es nirgends; und das ist (meist) wohl auch gut so.

Bild des Benutzers Heinz

Antwort auf ebertus  zum Kommentar Der Superuser/Admin
 

Wikipedia: Pretty Good Privacy

ist meines Wissens die einzige Verschlüsselung, die P2P funktioniert, also keinen zentralen Schlüssel braucht.

Bild des Benutzers ebertus

Antwort auf Heinz  zum Kommentar Pretty Good Privacy
 

Es gibt verschiedene sichere P2P-Verschlüsselungen (Threema uses the trusted open source NaCl cryptography library). Die eher pragmatische Frage ist jedoch, wie es implementiert wird. Und das von Dir erwähnte PGP ist eben nicht wirklich trivial, von sog. IT-Dummys einfach zu nutzen.

Bei Nextcloud gibt es bislang lediglich eine Verschlüsselung der Dateien auf dem Server. Es wird dort von den Machern und in der Community sehr ernsthaft diskutiert, dass ein Provider bzw. Administrator mit genügend krimineller Energie (und/oder als U-Boot für die Dienste fungierend) diese Daten beim Hochladen und vor der Verschlüsselung abgreifen könnte.

Ab der aktuellen Version 13 (vorerst noch beta) wird Nextcloud auch eine EndeZuEnde-Verschlüsselung implementieren; habe mir das allerdings noch nicht näher angeschaut. Was für den praktischen Einsatz dann natürlich sofort die Frage aufwirft, wie der zur Ver/Entschlüsselung notwendige lokale Client beschaffen ist. Und ob das Hoch/Runterladen dann nur mit diesem speziellen Client möglich ist. Aktuell verwende ich dafür sowohl FTP, als auch WebDav; und möchte diesen Komfort eigentlich nicht missen.

Auch Menschen wie unser Hermann sollten/müssten schließlich damit klarkommen ..........

Bild des Benutzers Heinz

Antwort auf ebertus  zum Kommentar Nicht nur PGP
 

Das ist mir alles klar, rate mal, warum ich das selbst nicht anwende.

Selbstverständlich habe ich was gegen Schnüffler, insbesondere gegen institutionelle. Trotzdem unterlasse ich die Verschlüsselung, weil ich meine Daten nicht so wichtig nehme, daß ich mir den Aufwand antue. Das klingt alles wohl schizophren, aber wer ist schon normal?!

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Bernd und Heina,
herzlichen Dank für die Info an einen ausgemachten Laien. Und Dank für Asterix!
Grüsse in die kalte Heimat, Hermann