Es muss nicht immer VPN sein – surfen im IP-Adressbereich der Uni über einen SSH-Tunnel

Ein virtuelles Privates Netzwerk (VPN) bindet entfernte Nutzer über das Internet in ein lokales Netzwerk ein. Das geschieht im Allgemeinen transparent, d.h. für die Nutzerinnen und Nutzer sieht es so aus, als ob sie sich beispielsweise im Uni-Netz befinden. Alle Netzdienste in einem Firmen- Heim- oder Universitätsnetz können dann unterwegs so genutzt werden, als ob man vor Ort wäre. Sehr häufig geht es aber nur um einen einzigen Netzdienst, nämlich das Web. An der Universität Duisburg-Essen werden viele Dinge heute webbasiert erledigt. Allerdings erfordern viele Seiten, dass sich der Nutzer im IP-Adressbereich der Uni befindet. Warum also ein vollständiges VPN verwenden, wenn eigentlich nur die Verbindungen über die Ports 80 (http) und 443 (https) genutzt werden? Eine Möglichkeit http- und https-Verbindungen umzuleiten ist ein Web-Proxy, der auf Protokollebene zwischen dem Browser und dem Web vermittelt. Dazu muss aber ein dezidierter Proxy-Server betrieben werden, der von außerhalb des Uni-Netzes zugänglich ist. Alternativ realisiert ein sogenannter Socks-Proxy so etwas auf Socket-Ebene also über TCP/IP Ports.

Ein Tunnel sie alle zu knechten …

Alle aktuelle Browser unterstützen die Verbindung auch über einen Socks-Proxy. Wer Login-Zugriff per SSH auf einen Rechner in dem Zielnetz hat, kann sehr einfach einen Socks-Proxy per SSH-Tunnel realisieren. Das ist beispielsweise an der Universität Duisburg-Essen für alle Nutzer der Fall. Alle Mitarbeiter haben mit ihrer Unikennung Zugriff auf staff.uni-due.de und alle Studierende können die Maschine student.uni-due.de mit ihrer Kennung nutzen.

Linux/MacOS/Unix:

Unter unixoiden Betriebsystemen wie Linux und MacOS geht das sehr einfach mit Bordmitteln auf der Kommandozeile (hier mit staff.uni-due.de für Mitarbeiter):

ssh -N -D2000 <unikennung>@staff.uni-due.de

Der Parameter -N verhindert hier den Aufbau einer interaktiven Shell-Verbindung. Der Parameter -D gibt den lokalen Zugriffsport für den dynamischen Tunnel an. Diesen Port wählt man unter Unix geschickter Weise oberhalb von 1023, damit keine Root-Rechte erforderlich sind.

Windows:

Unter Windows benötigen Sie einen SSH-Clienten wie beispielsweise den quelloffen Putty.

Nach der Installation wird Putty folgendermaßen konfiguriert (hier staff.uni-due.de  für Mitarbeiter, Studierende verwenden student.uni-due.de):

putty_tunnel0

Dann wird der Tunnel mit dem lokalen Endpunkt Port 2000 (willkürlich gewählt) konfiguriert. Wichtig für einen Socks-Proxy ist die Einstellung „Dynamic“:

putty_tunnel1

Nach klick auf „Add“ ist der Tunnel eingerichtet. Sinnvollerweise speichert man das Profil nun ab. Vorsicht ist geboten bei der Checkbox „Local ports accept connection from other hosts“. Wer diese Option anwählt tunnelt womöglich andere Rechner oder gar Angreifer mit in das Universitätsnetz.

Betriebssystemunabhängig – die Browser-Konfiguration:

So konfiguriert man den Browser (hier z.B. Firefox, sorry ich verwende nur den englischsprachigen), damit er den Tunnel auch benutzt:

putty_tunnel2

Technisch gesehen wird nun jeder http-Request über den lokalen Port 2000 des Klienten abgewickelt, der ja über den (gesicherten) ssh-Tunnel mit dem Publikumsrechner im LAN der Uni verbunden ist.

Wenn der Tunnel erfolgreich in Betrieb genommen worden ist, kann man zum Beispiel auf www.wieistmeineip.de überprüfen, ob auch wirklich der Tunnel im Browser verwendet wird. Dort wird nun eine IP-Adresse aus dem Uni-Adressbereich 132.252.X.X angezeigt. Natürlich muß die Proxy-Einstellung immer wieder rückgängig gemacht werden, wenn der Tunnel wieder abgebaut wird. Zweckmäßig ist die Nutzung eines extra Browsers oder beispielsweise bei Opera die Verwendung der Schnelleinstellungen.

So ein Socks-Proxy funktioniert auch in Umgebungen, in denen herkömmliche VPN-Lösungen versagen (müssen), z.B. doppeltes NAT. Es ist auch möglich beliebig viele Klienten aus einer NAT Umgebung gleichzeitig zu verbinden, was bei einem VPN zu Problemen führen kann. Auch Unitymedia-Kunden mit IPv6-Stack ohne IPv4 profitieren von dieser Lösung.

socks-proxy

Übrigens bekommt Ihr Provider (oder das Internet-Cafe in dem Sie sich befinden) nicht mit was in dem Tunnel passiert, alles ist bis zum Socks-Proxy in der Uni verschlüsselt. Nach dem Tunnel, also ab staff.uni-due.de bzw. student.uni-due.de geht es aber wieder unverschlüsselt weiter. Zumindest Ihr Provider hat aber keine Chance diese Verbindungsdaten abzugreifen.Der Provider sieht nur die Verbindung zum Socks-Proxy. Gegen die Datenschnüffellei der NSA schützt das aber nicht wirklich, da der Traffic aus der Uni zu den Webseiten die Sie besuchen abgegriffen wird, was wirklich eine Frechheit ist!

Spezialitäten:

Wer mehr möchte, kann auch Programme die keine Socks-Proxys unterstützen mit dieser Technik ausstatten, indem man einen Wrapper wie z.B. tsocks einsetzt.

Es ist sogar möglich einen kompletten Stack über einen Socks-Proxy umzuleiten. Dazu wird das Tool tun2sock (bzw. badvpn) eingesetzt. Damit ist ein SSH-basiertes VPN realisierbar.

Für Kunden von Unitymedia mit neuem Ipv6-Stack ohne IPv4 wäre es damit möglich das Zwangs-NAT für alle Verbindungen zu überwinden.

Noch ein Tipp für die Besitzer eines Servers/virtuellen Servers oder eines Shellaccounts mit fester erreichbarer IP:

Wer von einem limitierten Internetzugang (z.B. NAT und kein Zugriff auf den Router) aus Serverdienste (Web, ssh, etc.) betreiben möchte, kann z.B. mit

ssh -R 3333:localhost:22 <gateway-maschine>

einen ssh-Server des nicht erreichbaren Rechers in einem NAT (oder in einem Ipv6-only-Netz) auf den Port 3333 auf einer Gateway-Maschine (die über eine öffentlich erreichbare IP-Adresse verfügt) umlenken, wenn auf der Gateway-Maschine in der Konfigurationsdatei /etc/ssh/sshd_config

GatewayPorts yes

(Neustart des sshd erforderlich) eingetragen wird.

So kann die versteckte Maschine per ssh auf den Port 3333 der Gateway-Maschine erreicht werden. Das klappt beispielsweise auch mit einem Server (z.B. auch Webserver, dann aber Port 80 weiterleiten) auf einem Smartphone (oder einem mobilen Roboter, wie ich das hier im Jahre 2009 realisiert habe) im UMTS-Netz, dass bei fast allen Providern auch per NAT betrieben wird!

nat-tunnel-server

Dazu sind natürlich auf der aus dem Internet erreichbaren Maschine Root-Rechte erforderlich.

Ohne Root-Rechte ist es etwas komplizierter so etwas zu realisieren, hier benötigt man zwei Tunnel:

auf der hinter einem NAT versteckten lokalen Maschine:

ssh -R 3333:localhost:22 <gateway-maschine>

auf der Gateway-Maschine mit öffentlicher IP:

server# ssh -g -L4444:localhost:3333 localhost

Dann kann nun über den Port 4444 der Gateway-Maschine per ssh auf die versteckte Maschine zugegriffen werden. Das funktioniert mit beliebigen Quellports, also auch mit Port 80. Die Beispiele beziehen sich auf die Unix-Kommandozeile aber sollten mit entprechenden Einstellungen auch unter Windows funktionieren, sofern man einen sshd für Windows installiert.

Vorausgesetzt wird immer, dass keine Firewall die Ports blockiert. Wenn man nicht über root-Rechte verfügt, muss man Ports oberhalb von 1023 wählen, es geht bis 65535 😉 .
Die Maschinen staff.uni-due.de und student.uni-due.de am ZIM der Universität Duisburg-Essen erlauben dieses erweiterte Verfahren übrigens nicht, da sie durch Firewalls geschützt sind. Einen Socks-Proxy können Sie aber mit diesen Maschinen aufbauen.

Veröffentlicht unter Allgemein, Anwendungen & Dienste, Code & Kernel, Tipps & Tricks | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Zoff im Schwarm – Anmerkungen zur NSA-Affäre

Im Schwarm „Menschheit“ gibt es drei Verhaltensmuster, die zusammen gehören:

  • Dinge geheim halten
  • geheime Dinge ausspähen
  • erspähte Geheimnisse ausplaudern

In Maßen praktiziert kommt der Schwarm damit zurecht.

Doch jetzt scheint die Sache aus den Fugen zu geraten: Staatliche Stellen aller Länder spionieren in dem Bestreben das Böse zu bekämpfen alle elektronischen Kommunikationswege aus und haben dabei jegliches Maß verloren. Und sie fühlen sich dabei ertappt: Das Geheimnis der Geheimniserspähungsmaßnahmen wurde verraten. So könnte man die aktuelle Situation beschreiben. Wer sind jetzt die Bösen im Schwarm? Die Bösen die man mit Überwachung zur Strecke bringen will, die Bösen, die eine Überwachungsinfrastruktur aufgebaut haben oder die Bösen, die diesen Vorgang öffentlich bekannt gemacht haben.

Rollen wir das Thema einmal von vorne auf: Ein wesentlicher Schritt in der Entwicklung eines Kindes ist seine Erkenntnis, dass es Geheimnisse haben kann. Einschränkend steht dem aber die Drohung entgegen, dass im Himmel jemand ist, der alles sieht und in ein Buch der Taten und Missetaten einträgt. Für das hiesige Leben scheint es aber keine Relevanz zu haben, weil niemand auf Erden Einblick in dieses Buch bekommen wird. Auf der Erde selbst läuft es aber anders. Bekommt jemand ein Geheimnis heraus, wird es gnadenlos verpetzt. Mit dieser Realität lernt das Kind sich zu arrangieren.

Auch die Menschheit insgesamt hat gelernt damit umzugehen. Alle drei Verhalten (Geheimhalten, Ausspähen und Ausplaudern) regulieren sich gegenseitig. Die Frage nach „Gut“ oder „Böse“ kann dabei nicht absolut beantwortet werden. Je nach Situation kann Geheimhalten, Ausspähen oder Ausplaudern geächtet sein, oder begrüßt werden. Oft wird sogar eine Situation von manchen als abscheuliches und niederträchtiges Verhalten gegeißelt, während andere die gleiche Tat als heroisch und edel bewerten.

Jetzt auf einmal scheint dieser uralte Gesellschaftskonflikt unbeherrschbar zu werden. Das Informationszeitalter scheint unsere Gesellschaft gegen die Wand zu fahren. Schauen wir uns die Entwicklung des Informationszeitalters nochmal in Stichpunkten an

  • Buchdruck (Bibel)
  • Druckerpressen (Zeitschriften, Flugblätter, Propaganda)
  • Telegraphie (die Welt umspannend)
  • Radio (gesprochene Propaganda)
  • Telefon (erstmals wirklich Kommunikation)
  • Fernsehen (Berieselung)
  • Datenbanken (EDV)
  • E-Mail
  • elektronische Buisnessprozesse (IT)
  • Web
  • mobile Telefonie
  • ein neues Web mit Service für den Alltag (Google Maps, Ebay, Amazon) einzelne Firmen dominieren zunehmend das Web: Google, Facebook, …
  • Smartphones (Apps)

Jetzt befinden wir uns am Beginn einer neuen Phase, die dadurch gekennzeichnet ist, dass das Speichern und Analysieren sehr großer Datenmengen immer effizienter wird. „Big-Data“ heißt das Stichwort und dahinter steckt im übertragenen Sinn die Frage: „Wie sucht man Nadeln in Heuhaufen?“. (siehe http://de.wikipedia.org/wiki/Big_Data) In vielen Bereichen hat der Big-Data-Hype zu einer Goldgräberstimmung geführt.

Zunächst sind da die Konzerne, die in dem gläsernen Kunden Ihren finanziellen Erfolg sehen. Firmen wie Google, Facebook, Amazon, Apple und Microsoft haben Geschäftsmodelle entwickelt, um die Internetnutzung über Ihre Portale zu kanalisieren und so an Informationen über Personen zu gelangen, die sich dann vermarkten lassen. Jeder unserer Klicks im Internet wird heute registriert und analysiert und hinterläßt eine auf unsere Computer gepinkelte Duftspur, die später wieder erschnuppert werden kann.

Als Zweites sind staatliche Stellen wie Polizei und Geheimdienste zu nennen, die in den Milliarden von Kommunikationsdaten nach der Konspiration des Bösen suchen. In manchen Ländern sind aber eher die staatlichen Stellen die Bösen, die in den kritischen Bürgern ihre Feinde sehen und ihn deshalb ausspähen. Moralisch mag man das unterscheiden, doch von den Methoden her, ist es das selbe. Beängstigend ist auch die Vorstellung, dass das Eine in das Andere umschlagen könnte.

Drittens muss man feststellen, dass auch die demokratische Gesellschaften von dem Big-Data-Hype erfasst ist. Daten die von Behörden gesammelt werden, sind mittlerweile elektronisch gespeichert. Man denke an Messdaten von Umweltbehörden, statistische Daten von Ämtern oder Daten über die Einnahmen und Ausgaben öffentlicher Einrichtungen. Die Einsichtnahme der Bürger in solche Daten ist heute technisch leichter zu verwirklichen, als das früher noch der Fall war. Die Opendata-Bewegung fordert daher die rechtliche Freigabe solcher Daten und Ihre Verfügbarmachung durch dokumentierte Schnittstellen. In den großen Pressehäusern gibt es heute bereits Speziallisten für „Datenjournalismus“: Sie suchen in dem Wirrwarr öffentlicher Daten nach Auffälligkeiten und berichten darüber.

Nicht zuletzt ist auch die Wissenschaft an Big-Data interessiert. In vielen Disziplinen fallen große Mengen von scheinbar chaotischen Daten an und wollen durchforscht werden. Für unsere gesellschaftskritische Diskussion spielt dieser Bereich vielleicht keine besondere Rolle, doch muss er Erwähnung finden, da die Wissenschaft an den gleichen Methoden der Massendatenspeicherung und Massendatenanalyse interessiert ist und die Methoden von der Wissenschaft auch weiterentwickelt werden.

Datenanalyseverfahren? Bringen wir ein Beispiel: Bildervergleichen. Ein Bild einer Menschenmenge mit tausenden von Gesichtern wird verglichen mit Millionen von persönlichen Profil-Bildern aus den Internet-Netzwerken. Wer genau war bei diesem Konzert dabei oder bei dieser Demo. Ist das eine absurde Zukunftsvision? Nein, das ist eine Technologie, die gerade aus Ihren Kinderschuhen herauswächst. Wer kann so etwas gebrauchen? Zum einen die moderne Spaßgesellschaft als Kunden von Facebook und Co. und zum anderen die Polizei und die Geheimdienste.

Mit den neuen Datenmethoden wächst der Gesellschaft ein neues Sinnesorgan. Alle Bereiche gieren danach, sich dieses Organs zu bedienen, und Nutzen daraus zu ziehen: Den Kunden verstehen und besser abschöpfen können, Verbrecher fangen und Verbrechen verhindern können, Unrecht in der Gesellschaft erkennen und den Staat kontrollieren können. Und wir stehen erst am Anfang. Die technologische Entwicklung wird weitergehen. Wird unsere Gesellschaft damit umgehen können? Kann sich die Demokratie durch dieses schwierige Fahrwasser hindurchretten können?

Demnächst kommt „Google-Glaces“: Eine Brille mit Kamera. Alles „Gesehene“ kann sofort mit anderen Daten im Netz verglichen werden und interpretiert werden. Und: Alles „Gesehene“ kann für spätere Auswertungen aufgezeichnet werden. Was werden wir damit machen? Was werden die gesellschaftlichen Institutionen wie, Polizei und Geheimdiensten, Konzerne, Versicherungen, Medien u.s.w. damit machen.

Welche Leitlinien kann man der Gesellschaft in dem dargestelltem Konflikt geben? Worauf kommt es dabei an? Nur dem Staat das „Schnüffeln“ verbieten, während im kommerziellen und privaten Bereich das Datensammeln und das „sich gegenseitig beobachten“ immer ungehemmter passiert? Das kann es vielleicht nicht sein!

Damit das Schnüffeln nicht ausufert, brauchen wir anerkannte Verhaltensregeln für alle Beteiligten und auch Gesetze und auch Kontrollinstanzen. Aber welche Bereiche betrifft das?

  • Wie kontrolliert der Bürger (also die demokratische Gesellschaft) den Staat?
  • Welche Informationen müssen jedermann frei zugänglich sein?
  • Wie werden Firmen kontrolliert, die Angebote im Internet haben? Welche Daten über Kunden und Kundenverhalten dürfen sie sammeln. Hierbei heißt Kunde auch Besucher; also die Besucher einer Web-Site.
  • Welche Methoden dürfen Polizei und Geheimdienste zum Zwecke der Gefahrenabwehr und der Strafverfolgung anwenden.
  • Wie sichert man die Infrastruktur des Internets und wie die Teilnehmer des Internets vor Angriffen aus dem Internet. (Viren, Bot-Netze)
  • Welche Verhaltensregeln gelten für den einzelnen privaten Internetnutzer. Auch er hat eine Sammlung personenbezogener Daten seiner Freunde: ein Adressbuch, Bilder von Meetings und Partys. Darf er die Daten mit andere teilen und welche externe Dienstleistung darf er für die Speicherung der Daten in Anspruch nehmen?

Statt einer Korntrolle von Kommunikationsinhalten, brauchen wir also eine Kontrolle der eingesetzten Verfahren. Diese Kontrolle könnte von staatlichen Instanzen ausgeführt werden (von wem sonst) doch die demokratische Gesellschaft muss auch die Kontrollinstanzen kontrollieren können. Aktuell hat man den Verdacht, dass genau das nicht funktioniert. Als Grundsatz muss gelten, dass der Bürger den Staat kontrolliert, und nicht umgekehrt. Dazu müssen alle eingesetzten Datenverfahren öffentlich bekannt sein. Stattdessen wird z.Z. derjenige (Edward Snowden), der eine Öffentlichkeit endlich herstellt, international als Staatsverräter gesucht. Für die demokratische Welt ist dabei besonders peinlich, dass Snowden sich in einem Staat verstecken und schützen lassen muss, der nicht gerade als demokratischer Musterknabe gilt.

Zusätzlich ergibt sich immer mehr die Frage, welche Bedeutung die nationalen Grenzen für die Beantwortung unserer Fragen haben. Bisher hatte man den Eindruck, dass im Internet nationale Grenzen keine Relevanz mehr haben. Aus einer gewissen Sicht gilt aber heute das Gegenteil: „Zuhause pflegt man feine Umgangsformen, doch draußen auf der Straße darf herumgesaut werden“. National gelten zum Teil strenge Datenschutzregeln. Heere von Datenschutzbeauftragten achten in Deutschland in den Verwaltungen, den großen Firmen und den Universitäten auf die Einhaltung der Gesetze und pflegen Verfahrensverzeichnissen. Es gibt im Datenschutz aber keine absoluten Prinzipien. Man orientiert sich in Deutschland an den Rechten deutscher Bürger. Und Amerika orientiert sich an den Rechten amerikanischer Bürger. Außerhalb dieser engen rechtlichen Definitionen gelten dann keine Gesetze mehr. Das ist dann Spionage, und die darf alles.

In der Anfangsphase der NSA-Affäre bemühten sich alle nationalen Regierungen noch um Schadensbegrenzung. Alle Geheimdienste ziehen doch am gleichen Strang und unter befreundeten Staaten tauscht man auch schon mal gerne Daten aus. Durch die Enthüllungen über das Ausspähen des Handys der deutschen Kanzlerin, trat aber eine Wende ein. Es begann ein Umdenken, das dazu führt, dass der von mir beschriebene Gesellschaftskonflikt, nicht nur ein Konflikt zwischen Bürger und Staat ist, sondern zunehmend auch ein Konflikt zwischen den Staaten wird.

Ich bestehe aber darauf, zwischen dem Ausspionieren eines Regierungschefs und dem massenhaften Speichern aller Kommunikationsdaten eine klaren Unterschied machen. Das erste ist eigentlich klassische Spionage und nur bei dem Zweiten geht es um das neue Phänomen unsere Zeit, über das wir hier reden. Auch die Argumente in den Diskussionen unterscheiden sich. In dem ersten Fall sagt man „nicht unter Freunden“ , doch im zweiten Fall sind die Bedenken viel grundsätzlicher: Es darf von keiner Instanz aus eine prophylaktische Überwachung aller Kommunikation geben. Trotzdem gibt es zwei Gemeinsamkeiten. Das sind zum einen die technischen Möglichkeiten, die sowohl das gezielte Spionieren einer öffentlichen Person, wie auch das pauschale Überwachen aller Bürger begünstigen und als Zweites eine vielleicht zunehmende Enthemmung beim Datensammeln, die ebenfalls beides befördert.

Soweit einige Anregungen für eine Diskussion. Aktuell befinden wir uns aber noch gar nicht in der Diskussionsphase und noch nicht mal in der Aufklärungsphase – auch wenn ab und zu etwas Neues ans Tageslicht kommt. Noch sind wir in der Empörungsphase.

Veröffentlicht unter Allgemein | Schreib einen Kommentar

Weihnachtsgruß 2013

Weihnachtsgruss-2013

Veröffentlicht unter Allgemein | Schreib einen Kommentar

Hip Hop Hype – Der Gartner Hype Cycle 2013

Am 19. August 2013 hat die Firma Gartner ihren alljährlichen Hype Cycle zu Emerging Technologies, also zu den aufstrebenden Technologien, veröffentlicht.

Als grundlegendes Thema sieht Gartner dieses Jahr die Beziehung zwischen Mensch und Maschine. Produktive Techniken wie Spracherkennung oder Wearable Computer werden zunehmend Einfluss auf Arbeitsweisen der Menschen und den Umgang mit Maschinen haben. Neue und aufstrebende Technologien sieht Gartner z. B. in den Punkten Inhaltsanalyse und soziale Analyse, Embedded Software und Systeme und Open Banking. Cloud Computing hat sich fast durchgesetzt, das Internet der Dinge braucht jedoch noch über 10 Jahre.

Gartner Hype Cycle 2013

Zum Vergleich, der Hype Cycle von 2012 findet sich unter: https://blogs.uni-due.de/zim/2013/01/02/hip-hop-hype-der-gartner-hype-cycle-2012/

Veröffentlicht unter Allgemein, Trends & Entwicklungen | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Stop watching us – IT in Zeiten von PRISM

Welchen Diensten und Anbietern kann man noch trauen? Das fragen sich verunsicherte Nutzer von Datendiensten zurecht im Angesicht der immer neuen Enthüllungen in der  NSA-Affäre bzw. im PRISM-Datenschutzskandal.

Während Experten schon lange vermutet haben, dass Dinge, die technisch möglich sind, von Geheimdiensten auch getan werden (Echelon, mögliche Verbindungen von Facebook zu Geheimdiensten, the guardian 2008),  sind viele begeisterte Nutzer von Web2.0-Diensten nun in Sorge um ihre Privatsphäre.  Das Ausmaß des PRISM-Skandals ist erschreckend, da offensichtlich viele Anbieter von Diensten und Betriebssytemen betroffen sind.

Update: Welche gesellschaftliche Auswirkungen die PRISM-Überwachung haben kann, wird in diesem Youtube-Video eindrücklich und unterhaltsam visualisiert.

Es gibt aber für alle Dienste Alternativen. Etwas Informationsbeschaffung und ein wenig Verzicht auf Bequemlichkeit hilft die Privatsphäre zu stärken und den Datenschutz zu gewährleisten. Unter prism-break.org werden derzeit datenschutzkonforme Alternativen zu vielen Diensten gesammelt und vorgeschlagen.

Was kann der Einzelne nun für seine Privatsphäre tun?

  • Benutzen Sie nicht mehr Google als Standardsuchmaschine.
    Verwenden Sie einfach DuckDuckGo.  Diese Maschine erlaubt eine anonyme Suche und legt kein Nutzerprofil an. Sie üben mit einer solchen Entscheidung Druck auf Google aus, mit den Daten der Nutzer datenschutzkonform umzugehen. Firmen wie Google leben von dem Vertrauen Ihrer Nutzer und werden durch die Abwanderung der Kunden gezwungen, sich dem PRISM-Programm  entgegenzustellen.
  • Vorsicht bei Cloud-Diensten.
    Wenn Sie überhaupt Cloud-Speicherdienste benutzen, verschlüsseln Sie Ihre Daten in einem Truecrypt-Container. Verwenden Sie Alternativen, wie z.B. OwnCloud. In einem durch die Uni Münster initierten Projekt, an dem auch das ZIM teilnimmt, wird übrigens derzeit ein Dropbox-ähnlicher Cloud-Speicher, basierend auf OwnCloud, realisiert. Dieser Dienst wird zukünftig allen Hochschulangehörigen zur Verfügung stehen.
  • Verschlüsseln Sie Ihre Daten.
  • Nehmen Sie Einfluss!
    Wenn Ihnen Ihre Privatsphäre wichtig ist, engagieren Sie sich und machen Sie Ihren Standpunkt bei Ihren Abgeordneten in den Parlamenten deutlich! Update: Schützen Sie Edward Snowden indem Sie die Affäre weiter verfolgen.
  • Verschlüsseln Sie Ihre Kommunikation.
    Chat: Benutzen Sie nicht WhatsApp/Facebook Chat/Google Talk sondern Off-the-Record Messaging.
    Mail: Signieren Sie Ihre Mail. Wenn erforderlich verschlüsseln Sie Ihre Mail.
  • Vorsicht in sozialen Netzwerken.
    Hinterlassen Sie dort keine Daten, die potentielle Arbeitgeber interessieren könnten. Alles war Sie beispielsweise bei Facebook hinterlassen, wird niemals wirklich gelöscht (auch Chat wird aufgezeichnet).
  • Meiden Sie Facebook.
    Dieser Anbieter geht nicht datenschutzkonform mit Ihrer Privatsphäre um. Verwenden Sie diese Alternativen. Schreiben Sie in den sozialen Netzwerken nichts, was Sie nicht auch öffentlich sagen würden.
  • Verwenden Sie Open Source Betriebssysteme (Linux FreeBSD).
    Quelloffene Software kann von Experten auf verborgene Hintertüren oder (viel häufiger) Programmierfehler hin untersucht werden. Bei kommerzieller Closed Source Software müssen Sie auf Gedeih und Verderb dem Anbieter vertrauen, dass Sicherheitslöcher wirklich geschlossen werden und dass keine Zugänge für Geheimdienste eingebaut sind.
    Der Umstieg ist häufig viel einfacher als Sie denken. Wenn Sie Ihren Rechner überwiegend für Office-Anwendungen, E-Mail-Kommunikation und für das Web benutzen, müssen Sie sich nicht umgewöhnen. Wenn Sie mit kommerziell interessanten Forschungsdaten arbeiten, sollten Sie sich fragen ob Sie Betriebssystemen von Microsoft oder Apple diese Daten noch anvertrauen können.
  • Geben Sie niemals Ihre Passwörter weiter!
    Das ZIM/die Hochschule bittet Sie niemals per Mail um eine Passworteingabe. Verwenden Sie niemals gleiche Passwörter für verschiedene Dienste. Lassen Sie niemals Dienste wie z.B. Linkedin (Facebook, Google … etc.) per E-Mail-Passwort-Login in Ihr E-Mail Konto schauen. Sie geben damit Ihren Account aus der Hand und geben die E-Mailadressen Ihrer Kontakte an den Anbieter weiter. Wenn Sie eduroam auf einem Android-Gerät nutzen und Ihr WLAN-Profil bei Google speichern, geben Sie Ihr Uni-Passwort bei Google ab.
    UPDATE 19.7.: Der letzte Satz gewinnt traurige Aktualität, da Google wohl die WLAN-Passwörter bei der Datensichrung unverschlüsselt überträgt und auch unverschlüsselt auf seinen Servern ablegt.
Android_Daten_sichern_bei_Google

Wer auf einem Android-Smartphone Eduroam konfiguriert hat und unter „Einstellungen“ – „Sichern & zurücksetzen“ bei „Meine Daten sichern“ einen Haken eingetragen hat, muss schnellstens sein Uni-Passwort ändern und vorher diesen Haken entfernen! Bei alten Android-Versionen steht das unter „Einstellungen“ – „Datenschutz“.

Was tut das ZIM?

In der  Diskussion um Verlagerung von Diensten in die Cloud werden vom ZIM immer datenschutzkonforme Private Cloud Lösungen als Alternative vorgeschlagen. Daten von Hochschulangehörigen dürfen nicht auf Servern außerhalb Europas gehostet werden, da sonst kein europäisches Datenschutzrecht zur Anwendung kommt.

Einen Dienst, den wir alle benutzen und den es schon viel länger gibt als das Web, ist E-Mail. Auch bei Konfiguration von POP3 und SMTP über SSL bzw. TLS-Verschüsselung, kann nicht von einer sicheren Ende-zu-Ende-Verschlüsselung ausgegangen werden. Auf den Mailbox-Servern Ihres Providers, auch im ZIM, sind ihre Mails immer unverschlüsselt gespeichert. Wenn Sie ein Postfach auf Servern des ZIM verwenden, können Sie aber sicher sein, dass nach den Regeln deutscher Datenschutzgesetzgebung vorgegangen wird. In Deutschland ansässige Provider, wie GMX und Web.de, sind sicherlich viel vertrauenswürdiger, als beispielsweise Google Gmail. Das aktuell propagierte DE-Mail als verbindliche Kommunikation zwischen Ämtern und Bürgern realisiert aber keine sichere Ende-zu-Ende-Verschlüsselung, was Experten seit langer Zeit kritisieren.

Das ZIM stellt für fast alle angebotenen Dienste auch Konfigurationsanleitungen für Open Source Alternativen zur Verfügung. Wir beraten Sie gerne!

Veröffentlicht unter Allgemein, Trends & Entwicklungen | Verschlagwortet mit , , , | Schreib einen Kommentar