- Bearbeitet
(Ich kann mich nicht erinnern, dass es hier einmal einen thread dazu gegeben hat. Hat es?)
Ohne aufgrund aktueller Enthüllungen in Panik geraten und blindwütigen Aktivismus betreiben zu wollen, eine Diskussion unter technischen Gesichtpunkten könnte interessant sein. Es geht um einen umfassenden Schutz der Persönlichkeit hinsichtlich mehrer Szenarien (um nicht das Wort "Bedrohung" zu verwenden):
1. Schadsoftware
2. Internetkriminalität
3. kommerzielle Datensammlung
4. in- und ausländische staatliche Überwachung
Die Liste wird ja interessanterweise immer länger. Und die Verantwortung dafür - der deutsche Innenminister hat es eigentlich klar ausgesprochen - liegt beim Einzelnen, er muss sich schützen, es wird schlicht keinen vertrauenswürdigen Weg mehr daran vorbei geben, Rechtsstaat hin oder her ... Politiker [1] jedenfalls werden dieses nötige Vertrauen wahrscheinlich nicht mehr herstellen können.
Ich spiele gerade (wieder einmal) mit dem tor-Netzwerk herum und muss zunächst bemerken, dass die Geschwindigkeitseinbussen, die noch vor zwei Jahren unübersehbar und schmerzlich waren, deutlich zurückgegangen sind. Selbstverständlich merkt man auch heute noch, dass die Kette halt länger ist, das lässt sich nicht vermeiden, aber es ist im Prinzip benutzbar. Man kann auch ein bisschen mehr daran steuern als früher, bestimmte Server bevorzugen usw. Was noch? Renderer in HTTP-Anfragen verbieten? User Agent verbieten? DNS-Auflösung privatisieren?
JavaScript ausschalten! - steht überall, seit Jahren schon. Aber JS generell im Browser hart ausschalten ist nicht unproblematisch. Viele Seiten funktionieren einfach nicht mehr ohne, d.h. man muss JS selektiv ausschalten. Das wiederum bedeutet aber, dass man (wahrscheinlich zahlreiche) Fenster öffnet und dauerhaft geöffnet lässt, obwohl man die Tür vielleicht peinlichst und doppelt abschliesst und noch einen Hund davorsetzt ... Viele Websites bieten immerhin eine zusätzliche Seite an, die ohne JS auskommt, beispielsweise duckduckgo, diese allerdings wird nicht automatisch angezeigt, sondern erfordert einen zweiten Klick, verwendet zudem nicht die richtigen Spracheinstellungen und hat andere Nachteile. Mit (oder besser gesagt: ohne) Cookies ist es ganz ähnlich. - Ist es ratsam, wirklich all das zu administrieren? D.h. wirklich festzulegen, diese Seite darf Cookies anlegen und Scripts ausführen, die andere nur Cookies setzen, die dritte wiederum nur Scripts, aber keine Cookies, die vierte nur bestimmte Cookies ......
Mails verschlüsseln - gute Idee! Ein nachhaltiges Problem ist allerdings, dass solche mails auch Empfänger haben bzw. von Absendern stammen, d.h. dass Personen (und Einrichtungen) involviert sind, die von Verschlüsselung vielleicht nicht nur noch nie etwas gehört haben, sondern die womöglich sogar per Policy dazu angehalten sind, sich so und so zu verhalten, d.h. ggf. auch mails unverschlüsselt zu senden und zu archivieren. (Es gibt ja noch viel dümmere Policies zum mail-Versand in HTML, RTF und sonstwas.) Zudem kommt das Problem, dass man diese Verschlüsselung dann auch selbst an diversen Stellen machen muss, insbesondere auch auf mobilen Geräten, d.h. man muss sich überall um Zusatzsoftware kümmern und diese konfigurieren. Drittens hat man das Problem, dass man einen verschlüsselten Text zwar verschlüsselt versenden kann, diesen damit aber aus der Hand gibt. Was der Empfänger damit (unverschlüsselt) macht (inkl. Ausdrucken und Abheften), ist schlicht seine Privatsache.
Wie sind Eure Erfahrungen? Was ist in Sachen Sicherheit wirklich notwendig? Was ist vernünftig? Was ist overkill?
P.S.: Für das Aufsetzen von tor hab ich das englische Wiki benutzt. Im deutschen steht schlicht gar nichts. Vielleicht wäre insgesamt eine Wiki-Seite gut, die das Thema "Internetsicherheit" technisch behandelt, Empfehlungen gibt und Konsequenzen aufzeigt.
[1] http://www.spiegel.de/images/image-229898-galleryV9-rjgx.jpg
Ohne aufgrund aktueller Enthüllungen in Panik geraten und blindwütigen Aktivismus betreiben zu wollen, eine Diskussion unter technischen Gesichtpunkten könnte interessant sein. Es geht um einen umfassenden Schutz der Persönlichkeit hinsichtlich mehrer Szenarien (um nicht das Wort "Bedrohung" zu verwenden):
1. Schadsoftware
2. Internetkriminalität
3. kommerzielle Datensammlung
4. in- und ausländische staatliche Überwachung
Die Liste wird ja interessanterweise immer länger. Und die Verantwortung dafür - der deutsche Innenminister hat es eigentlich klar ausgesprochen - liegt beim Einzelnen, er muss sich schützen, es wird schlicht keinen vertrauenswürdigen Weg mehr daran vorbei geben, Rechtsstaat hin oder her ... Politiker [1] jedenfalls werden dieses nötige Vertrauen wahrscheinlich nicht mehr herstellen können.
Ich spiele gerade (wieder einmal) mit dem tor-Netzwerk herum und muss zunächst bemerken, dass die Geschwindigkeitseinbussen, die noch vor zwei Jahren unübersehbar und schmerzlich waren, deutlich zurückgegangen sind. Selbstverständlich merkt man auch heute noch, dass die Kette halt länger ist, das lässt sich nicht vermeiden, aber es ist im Prinzip benutzbar. Man kann auch ein bisschen mehr daran steuern als früher, bestimmte Server bevorzugen usw. Was noch? Renderer in HTTP-Anfragen verbieten? User Agent verbieten? DNS-Auflösung privatisieren?
JavaScript ausschalten! - steht überall, seit Jahren schon. Aber JS generell im Browser hart ausschalten ist nicht unproblematisch. Viele Seiten funktionieren einfach nicht mehr ohne, d.h. man muss JS selektiv ausschalten. Das wiederum bedeutet aber, dass man (wahrscheinlich zahlreiche) Fenster öffnet und dauerhaft geöffnet lässt, obwohl man die Tür vielleicht peinlichst und doppelt abschliesst und noch einen Hund davorsetzt ... Viele Websites bieten immerhin eine zusätzliche Seite an, die ohne JS auskommt, beispielsweise duckduckgo, diese allerdings wird nicht automatisch angezeigt, sondern erfordert einen zweiten Klick, verwendet zudem nicht die richtigen Spracheinstellungen und hat andere Nachteile. Mit (oder besser gesagt: ohne) Cookies ist es ganz ähnlich. - Ist es ratsam, wirklich all das zu administrieren? D.h. wirklich festzulegen, diese Seite darf Cookies anlegen und Scripts ausführen, die andere nur Cookies setzen, die dritte wiederum nur Scripts, aber keine Cookies, die vierte nur bestimmte Cookies ......
Mails verschlüsseln - gute Idee! Ein nachhaltiges Problem ist allerdings, dass solche mails auch Empfänger haben bzw. von Absendern stammen, d.h. dass Personen (und Einrichtungen) involviert sind, die von Verschlüsselung vielleicht nicht nur noch nie etwas gehört haben, sondern die womöglich sogar per Policy dazu angehalten sind, sich so und so zu verhalten, d.h. ggf. auch mails unverschlüsselt zu senden und zu archivieren. (Es gibt ja noch viel dümmere Policies zum mail-Versand in HTML, RTF und sonstwas.) Zudem kommt das Problem, dass man diese Verschlüsselung dann auch selbst an diversen Stellen machen muss, insbesondere auch auf mobilen Geräten, d.h. man muss sich überall um Zusatzsoftware kümmern und diese konfigurieren. Drittens hat man das Problem, dass man einen verschlüsselten Text zwar verschlüsselt versenden kann, diesen damit aber aus der Hand gibt. Was der Empfänger damit (unverschlüsselt) macht (inkl. Ausdrucken und Abheften), ist schlicht seine Privatsache.
Wie sind Eure Erfahrungen? Was ist in Sachen Sicherheit wirklich notwendig? Was ist vernünftig? Was ist overkill?
P.S.: Für das Aufsetzen von tor hab ich das englische Wiki benutzt. Im deutschen steht schlicht gar nichts. Vielleicht wäre insgesamt eine Wiki-Seite gut, die das Thema "Internetsicherheit" technisch behandelt, Empfehlungen gibt und Konsequenzen aufzeigt.
[1] http://www.spiegel.de/images/image-229898-galleryV9-rjgx.jpg
