Posts Tagged ‘Sicherheit’

Lieber Herr Müller von Blumencron

Saturday, October 17th, 2015

Lieber Herr Müller von Blumencron,

dass ich die Frankfurter Allgemeine Zeitung (FAZ), im Netz unter faz.net, nicht oft aufrufe, versteht jeder, der meine politsche Haltung und die der FAZ kennt. Ausnahmen mache ich lediglich für das Feuilleton. Aber manchmal tauchen FAZ-Artikel in Pressespiegeln auf, d.h. Andere weisen mich auf wichtige Artikel hin. Und dann klicke auch ich zuweilen auf Faz.net.

So heute. Ehe ich den Artikel zu Gesicht bekomme, erscheint darüber ein Anschreiben von Ihnen. Es lautet:

Liebe Leserin, lieber Leser,

wir freuen uns, dass Sie FAZ.NET nutzen. Jeden Tag arbeitet unsere Redaktion die wichtigsten Ereignisse für sie auf, berichtet, analysiert, kommentiert. Viele dutzend Kollegen sorgen dafür, dass Sie sich rund um die Uhr, sieben Tage die Woche, auf unserer Webseite verlässlich über den Gang der Welt informieren können. Und das alles kostenlos.

Sie haben sich dafür entschieden, einen Adblocker einzusetzen. Ich möchte Sie dazu bewegen, die Anzeigen auf FAZ.NET nicht mehr zu blockieren. Das können Sie in Ihren Einstellungen einfach ändern. Wie es geht, erklären wir Ihnen hier.

Anzeigen sind die maßgebliche Einnahmequelle zur Finanzierung Ihres FAZ.NET. Auf unserer Webseite finden Sie in der Regel keine Pop-Ups, Layer oder ähnliche aggressive Werbeformen, sondern meist klassische Anzeigen. Wenn Sie möchten, dass wir FAZ.NET weiter entwickeln können und unsere Webseite auch in Zukunft kostenfrei bleiben kann, schalten Sie Ihren Adblocker für FAZ.NET ab. Ich finde, das ist ein sehr geringer Preis für so ein reichhaltiges Produkt.

Wir möchten verstehen, warum Sie einen Adblocker nutzen. Bitte nehmen Sie an unserer Umfrage teil.

Ihr Mathias Müller von Blumencron, Chefredakteur Digitale Produkte

Stimmt, bei mir läuft ein Adblocker namens Noscript. Den empfehle ich Ihren Lesern sehr nachdrücklich, denn er leistet sehr gute Arbeit für meine Sicherheit.

Aber ich möchte auch auf Ihre Frage antworten. Ihr Schreiben ist so nett. Ob es stimmt, dass ich mich „rund um die Uhr, sieben Tage die Woche,“ auf Ihrer Webseite „verlässlich über den Gang der Welt informieren“ kann, nun, dass ist vielleicht eine andere Diskussion.

Sie schreiben „Auf unserer Webseite finden Sie in der Regel keine Pop-Ups, Layer oder ähnliche aggressive Werbeformen, sondern meist klassische Anzeigen.“ Geben Sie doch mal Butter bei de Fisch: Streichen Sie das „in der Regel“ und das „meist“, die Ihre Aussagen verschwiemeln. Nüchtern sagen Sie ja nur, dass sie „Pop-Ups, Layer oder ähnliche aggressive Werbeformen“ eben doch einsetzen, nur eben „in der Regel“ nicht, was immer Ihre Regeln dabei sein mögen. Die des Marktes, mutmaße ich mal. Der Markt ist aber nicht mein Freund.

Aber ins Detail: Das oben erwähnte Firefox-Zusatzprogramm Noscript verhindert, dass Server auf meinem Rechner Programmcode (z.B. die Darstellung von Anzeigen, aber auch von schädlichem Code) ausführen, die ich gar nicht ansurfe. Deutlicher: Wenn ich Faz.net aufrufe, darf Faz.net an meinen Browser Code liefern, überlicherweise eine Webseite. Das ist völlig in Ordnung, denn ich habe Ihre Seite ja aufgerufen. Meine Entscheidung, mein Risiko.

Alle anderen Server dürfen mir, quasi Huckapack via Faz.net, nichts ausliefern. Hab ich nicht bestellt. Dass Ihre Anzeigenabteilung dann Schluckauf bekommt, ist schon klar, aber das ist nicht mein Problem.

Netterweise lässt mich Nocript auch genau wissen, welche Server denn da gern meinen Browser penetrieren möchten. Falls ich das will, kann ich dann nämlich einzeln freischalten (dauerhaft oder nur für diese eine Browser-Session).

Noscript zeigt die Server, die auf meinem Browseer im Hintergrund Code ausführen wollen

Bei www.faz.net (siehe Bild) sind das google.com und googletagmanager.com. Wozu muss eigentlich Google wissen, dass ich gerade die FAZ im Netz lese? Und warum wollen Sie das eigentlich - oder wissen Sie das gar nicht?

Weiter ruft www.faz.net facebook.net und twitter.com auf. Da gilt dieselbe Frage: Wozu muss Facebook wissen, dass ich FAZ lese? Wozu Twitter? Und warum lassen Sie das überhaupt zu? Schon klar, Sie wissen vermutlich gar nichts davon, der „Chefredakteur Digitale Produkte“ kann sich ja nicht um jedes Detail kümmern und Ihre Programmierer wollen eben die Like-Buttons nutzen. Aber mein Nutzen ist das definitiv nicht, und wenn ich surfe, geht es mir um meinen Nutzen, da hoffe ich auf Ihr Verständnis.

Ebenso ruft www.faz.net iqcontentplatform.de auf. Den Server kenne ich nicht. Will ich auch gar nicht kennen, wozu denn auch? Aber wieder dieselben Fragen: Was geht das iqcontentplatform an, dass ich gerade die Faz lese? Und warum lassen Sie das zu?

Dieselben Fragen gelten auch für plista.com und chartbeat.com. Kenn ich beide nicht, und wünsche auch gar nicht, deren Bekanntschaft zu machen. Die haben kein Recht auf meine Daten! Schon gar nicht, ohne dass ich’s weiss.

Das sind jetzt ganz schön viele Fragen. Mehr, als Sie mir gestellt haben. Deswegen eine kurze Zusammenfassung:

Lieber Herr Müller von Blumencron,

bei mir läuft ein Adblocker, weil Sie sonst mit meinen Daten Schindluder treiben. Wie sehr, ist Ihnen vermutlich gar nicht bewusst.

Werden Sie mal deutlich in Ihren Aussagen: Verwenden Sie Werbung, die mich stört und mich nicht ausforscht. Nicht nur „in der Regel“ nicht, sondern eben: gar nicht.

Und lassen Sie Ihre Seite mal doch mal sauber programmieren: Dass meine Daten bei Ihnen auflaufen, sobald ich Sie ansurfe, das ist in Ordnung. Meine Entscheidung, mein Risiko. Aber das Sie meine Daten mal eben an sieben andere Server weiterleiten, das ist absolut nicht in Ordnung. Verstehen Sie das, lieber Herr Müller von Blumencron?

Sagen Sie klar, was Sache ist (Ihre „Policy“, unverschwiemelt) und programmieren Sie Ihre Seite sauber.
Dann schalte ich auch meinen Adblocker aus.
Ist das ein Angebot?

Ganz herzlichst,
Albrecht Ude

Fragen nach WhatsApp

Sunday, February 23rd, 2014

Wem seine Privatsphäre wichtig ist, dem helfen fünf Fragen, um Angebote im Web zu beurteilen - einerlei, ob soziale Netze, Suchmaschinen oder was immer:

  1. Wo ist der Sitz der Firma, also: welches Recht gilt dort? Um das herauszubekommen, reicht ein Blick ins Impressum.
  2. Wo stehen die Server der Firma: wohin werden die Daten übermittelt und verarbeitet? Das sollte die Firma eigentlich selbst publizieren. Mit dem Addon WorldIP für den Webbrowser Firefox kann man die Frage selbst beantworten.
    Diese ersten beiden Fragen sind wichtig, weil Geheimdienste üblicherweise an Daten herankommen, die sich in ihrem Hoheitsgebiet befinden. Im Falle der USA gibt es die so genannten „Security Letters“, mit den Firmen zur Öffnung ihrer Daten und Verschlüsselungen gezwungen werden. Und darüber dürfen die nicht mal mit ihren Anwälten frei sprechen. Am 8. August 2013 löschte der E-Mail-Dienstleister Lavabit lieber alle Daten seiner Kunden, als der US-Regierung Zugriff zu gewähren. Lavabit-Gründer Ladar Levison dazu „Solange es keine klaren Aktionen des Kongresses oder der Justiz gibt, kann ich nur jedem dringend davon abraten, private Daten einem Unternehmen anzuvertrauen, das direkte physische Verbindungen zu den Vereinigten Staaten hat.“
  3. Wem gehört die Firma, welche Rechtsform hat sie und wer ist daran beteiligt? Diese Frage kann man oft mithilfe der englischen Wikipedia beantworten.
  4. Wie werden die Daten übermittelt: kann man die Dienste der Firma mit dem verschlüsselten Protokoll HTTPS via Secure Socket Layer (SSL) abrufen? Wenn das geht, ist nämlich das Ablauschen der Daten während der Übermittlung schwierig, wenn nicht gar unmöglich. Das Addon HTTPS Everywhere von der Electronic Frontier Foundation leistet hier gute Dienste. Es versucht, jede Verbindung im WWW via HTTPS aufzubauen.
  5. Welche Daten sammelt die Firma? Hier ist man – leider – wohl oder übel auf die Selbstaussagen in der „Privacy Policy“ angewiesen. Es sei denn, die Firma lässt das extern prüfen („zertifizieren“), was allerdings mit Kosten verbunden ist, die gerade kleinere Anbieter scheuen.

Nach dem Kauf von WhatsApp durch Facebook kommt noch eine weitere Frage dazu:
Was passiert mit meinen Daten bei einem Kauf der Firma? (Oder einer Insolvenz?) Und darauf gibt es gar keine Antwort.

Security-Artikelserie und Crypto-Party der Zeit online

Saturday, February 2nd, 2013

Do., 28.02.2013, Berlin, Redaktion Zeit online.

Patrick Beuth, Redakteur im Ressort Digital bei Zeit online, hat in einer kurzen Serie die wichtigsten Werkzeuge für Anonymisierung und Verschlüsselung vorgestellt. Die Beiträge seiner Serie Mein digitaler Schutzschild sind sehr lesbar und anwendungspraktisch verfasst.

(more…)

E-Mail Schnüffelei und was dagegen

Sunday, August 5th, 2012

E-Mails kann man tracken, also nachvollziehen, ob, wann und wo die E-Mail geöffnet (und also vermutlich auch gelesen) wurde. Das geht durch das Einfügen eines „Webbugs“ (auch „Fly“, Fliege genannt) in die Mail, einer transparenten Graphik, die beim Öffnen der Mail von einem Server nachgeladen wird. Dadurch entsteht ein Eintrag im Server-Logfile, der Timestamp (Datum, Uhrzeit, Zeitzone) sowie die IP-Adresse des Empfängers enthält.

(more…)

Vergesst Passwörter. Nehmt Pass-Sätze!

Friday, December 2nd, 2011

SCNR: Da es hier gerade Mode ist, Bilder zu bloggen, will ich auch eins beitragen.

(more…)

39e8c8f7eeec9f73f7627154fb50f128 - Schäuble defaced

Thursday, February 12th, 2009

Dass man mit sensiblen Daten anders umgehen muss, als mit einem beliebigen Christstollen, das sollte so langsam in dieser Republik bekannt sein - auch Telekom und Bahn sei dank. Gerade bei jenen, die „Sicherheit“ propagieren oder was sie dafür halten.

Vor diesem Hintergrund ist das Defacement der Website von Bundesinnenminister Wolfgang Schäuble mehr als nur eine Marginale. Die derzeit zwischenzeitlich unerreichbare Site („Page is being generated. If this message does not disappear within 30 seconds, please reload.“) verlinkte zwischenzeitlich auf den AK Vorratsdatenspeicherung.

(more…)

Workshop zum Informantenschutz am 15.11. in Dortmund

Sunday, October 19th, 2008

Die DJV-Verlags- und Service GmbH lädt zum Workshop „Tarnkappen für Journalisten - Anonymität für Rechercheure“ am Sa., den 15. November nach Dortmund. Themen sind Anonymisierung und Verschlüsselung - was sonst bei diesem Thema?

Referenten:

  • Kajo Döhring, Geschäftsführer des Deutschen Journalistenverbandes Landesverband NRW ;
  • Anita Brandt-Zimmermann, Innenministerium NRW, Verfassungsschutz, Referat Spionageabwehr ;
  • Peter Berger, Online-Trainer und Berater für Internetsicherheit, Autor des Buches „Sicher kommunizieren und recherchieren im Internet“ ;
  • Peter Michalke, Fachjounalist, MEDIAHAFEN Dortmund ;
  • Dr. Elke Heck, Fachjournalistin, Datenschutz-Kompetenzzentrum Dortmund .

Anmeldung bis zum 31.10. über den DJV-Bundesverband.

Wer ist „AOL No. 4417749“? Thelma Arnold!

Wednesday, August 9th, 2006

Klar. Als AOL 500 MB an Suchdaten ins Netz stellte – absichtlich, als Fundus für Suchforscher –, war die Aufregung erstmal groß. AOL hatte die Suchdaten „anonymisiert“ – wozu es nach Ansicht des Unternehmens ausreichte, Nutzerkennungen durch Nummern zu ersetzen. Die Kritik war heftig. Aber schnell war (mindestens) ein bekannter Suchexperte zur Stelle, um AOL in Schutz zu nehmen und die Vermutung, anhand der Suchanfragen selbst werde es ein leichtes sein, Nutzer zu identifizieren, als übertrieben abzutun:

Nevermind that no one actually has come up with an example where someone could be identified. Just the theoretical possibility is enough to create a privacy firestorm in some people’s minds.

Und nun das: Michael Barbaro und Tom Zeller Jr. von der New York Times haben fleißig recherchiert und der Nummer ein Gesicht gegeben: „A Face Is Exposed for AOL Searcher No. 4417749“.

Was jetzt, Herr Linden? Immer noch alle nur paranoid da draußen?

Also denkt dran: Immer schön Cookies löschen!