Verizon, Hacker und die Maske

Das Unternehmen Verizon ist unter anderem ein renommierter Dienstleister für Informationssicherheit. Es bringt regelmäßig Berichte über den aktuellen Stand auf diesem Gebiet heraus und dokumentiert dabei auch Attacken von Cyberkriminellen. Ende März dieses Jahres fand sich unter gelisteten Vorfällen ein erfolgreicher Angriff auf einen Wasserversorger, bei dem die ungebetenen Gäste die chemische Zusammensetzung des Wassers ändern konnten.

Nicht schön, eher erschreckend. Für meine Arbeit als Berater für Informationssicherheit mal wieder ein Wachrüttler, der zumindest den potenziellen Wert des eigenen Tuns belegt.

Was mich hier interessiert, ist allerdings das Titelbild des Berichts, der unter dem Titel „Verizon Data Breach Digest“ läuft und leider nur gegen Registrierung heruntergeladen werden kann.

Das Cover ziert eine Maske, deren Konturen aus vielen Menschen gebildet werden.

Verizon_Mask_1

Die Menschen nimmt man erst dann richtig war, wenn man das Bild erheblich vergrößert.

Verizon_Mask_2

Die Frage ist: Was will mir das Bild eigentlich sagen? Wenn es wieder nur darum geht, die „Bösen“ im Netz mit denen gleichzusetzen, die dort anonym auftreten wollen, verstehe ich nicht das Element der Massenhaftigkeit, das hier enthalten ist.

Soll das eine Anspielung auf die große Zahl der Cyberkriminellen sein? Sind wir aus Sicht von Verizon allesamt Hacker? Oder die Quelle des Bösen, weil wir nicht alles von uns offenlegen?

Eingängig ist mir die Bildbedeutung nicht. Ich denke, ich sollte einmal Presseabteilung des Unternehmens befragen.

Da ist er wieder, der Maskenmann

Das Unternehmen Vasco, Anbieter für Informationssicherheitsprodukte, hat ein eBook zum Thema „Social Engineering“ als Angriffsform beim Online-Banking und mögliche Gegenmaßnahmen veröffentlicht.

Darin gibt es ein Bild vom Angreifer – und wieder mal mit Kapuze und verstecktem Gesicht.

Vasco

Mann wird’s wohl doch nicht los: Masken sind im Internet-Kontext ein Symbol für die Bösen. Ausnahmen bestätigen nur die Regel.

Zusatzanmerkung: Hier ein schöner Beitrag, der zeigt, wie man mit Social-Engineering-Risiken in Unternehmen umgeht.

Überwacht vom Kühlschrank, Tablet und dem Handy-Wecker: Anonymizer und das Internet der Dinge

Bruce Schneier, US-Querdenker in Sachen Sicherheit, hat in seinem jüngsten Blog- und Newsletter-Post ein schönes Bild davon gemalt, wie internetverbundene Dinge ihren Anwender in Zukunft ausforschen und an die werbetreibende Industrie verkaufen könnten.

Da gibt es Startups, die wollen Werbeclips im Fernsehen mit versteckten Botschaften (Töne, Frequenzen, was auch immer…) ausstatten, damit man herausbekommt, ob sie den Zuschauer zu einer sofortigen Bestellung oder wenigstens Recherche auf dem Mobiltelefon, dem Notebook oder dem Tablet animieren. Und so weiter. Vielleicht macht ja auch noch mein Auto mit und sagt dem Ölkonzern, dass ich auf sein Werbe-BlaBla über exxxxtrrreeeem energiesparenden Sprit hin (preislich reduziert nur bis 23.45 Uhr!) sofort zur nächstgelegenen Vertragstankstelle aufbreche, wo ich dann auch das zwei Minuten vorher ebenfalls beworbene Sandwich kaufe (was an meiner Kreditkartenabrechnung festzustellen ist).

Nehmen wir einmal an, dieses Szenario geht am Ende doch so vielen Menschen auf die Nerven, dass sie zumindest von ihren technischen Sklaven in Form von Computern, Telefonen, Küchenutensilien, Gartengeräten, Toilettenartikeln und so weiter  verlangen, dass diese in Sachen Informationsweitergabe eine gewisse Zurückhaltung in Bezug auf ihr Frauchen oder Herrchen üben. Nehmen wir weiterhin an, dass dieser Wunsch sich stark genug äußert, um den einen oder anderen Anbieter ein gewisses Geschäftspotenzial in der Erfüllung dieses Traums wittern zu lassen.

Dann hätten wir tatsächlich einen „Business Case“ für Anonymizer, wie im Beitrag über die „Anonymisierungstools unter der Motorhaube“ schon angedeutet. Vieles, was die Werbeindustrie will, lässt sich nämlich auch ohne Preisgabe personenbezogener Daten eines Gerätenutzers erreichen.

Nehmen wir an, ich trudele als typischer Berater-Nomade spät nachmittags in einer Stadt ein, die ich eigentlich gar nicht besuchen wollte. Ich will dort Zwischenstopp machen, weil ich einfach müde bin, oder ich will zwecks Zielerfüllung doch noch einen zusätzlichen potenziellen Kunden heimzusuchen – es sind da ja morgen früh noch knapp zwei Stunden frei im Plan.

Ich will wissen, wo ich übernachten und essen und vielleicht noch etwas Unterhaltung genießen kann. Werbung nehme ich in Kauf, wenn sie mir den Abend angenehmer gestaltet, aber Infos über mich selbst mag ich nicht herumposaunen: Profil – „Nein danke!“

Nehmen wir nun an, mein Mobiltelefon ist datenschutzmäßig von mir vorkonfiguriert und postet nur Folgendes in die Gegend: Hier ist ein Mensch, der ist über 18 (Detail aus dem Personalausweis), Mitglied in Hotelkette A,B und C (mit Nachweis, aber ohne Namen), Vegetarier (das ist fiktiv), Allergiker gegen Nahrungsmittel X (ebenfalls fiktiv), aktiver deutscher Sportschütze (Ich habe Pfeil und Bogen im Auto und den passenden Ausweis dazu, Vorsicht!) und Mitglied im Verein zur Rettung der letzten anspruchsvollen Programmkinos (Ebenfalls mit Nachweis – Gibt es das vielleicht? Ich trete ein!).

Jetzt können mich Hotels (möglichst mit Recurve-optimiertem Bogenparcours), Restaurants, Bars und Filmtheater und obendrein auch Tankstellen, Drogerien, die Bahn und die Fluglinien gern umgarnen, und zwar bitte sofort, noch während ich in der automobilen oder echten Einflugsschneise bin. Allesamt kennen sie mich nicht persönlich, aber ihr Werben hätte durchaus Aussicht auf Erfolg. Perfekte Win-Win-Situation!

Ist das nicht ein wunderbarer Einsatzbereich für Identitäts-Verschleierungstools als Standard-Module in internetverbundenen Geräten?

Schleichwerbung: Ist ja nicht so, als hätte man über so etwas noch nie nachgedacht: Frei und kommerziell. Grundlagen zum „benutzerzentrierten Identitätsmanagement“ hat Werner Degenhardt aufgearbeitet.

Anonymität, Journalismus, Eliten

Im Beitrag vom 10. Januar ging es um zwei von Journalistinnen geschriebene beziehungsweise herausgegebene Bücher zum Thema Anonymität. Beide Werke sind hervorragend, aber die Bemerkungen zum Buch von Christiane Schulzki-Haddouti sind mir dann doch eher kritisch geraten.

Der Grund: „Vom Ende der Anonymität“ wendet sich primär an ein internet-affines und medienkompetentes Publikum, das im Gegensatz zu großen Teilen der Bevölkerung ein recht differenziertes Bild von Werkzeugen hat, die im Web anonyme Kommunikation erlauben und damit als Mittel der informationellen Selbstbestimmung dienen können.

Wenn Sie das jetzt so lesen und in den Beitrag nicht hineingeschaut haben, fragen Sie sich wahrscheinlich, was man daran denn kritisieren kann.

Frage ich mich inzwischen auch.

Der Grund für mein konkretes Missfallen war die generelle Einschätzung, dass sich die Internet-, Technik- und manchmal auch Medienpolitik-Profis zu wenig Mühe machen, ihre Positionen auch solchen potenziellen Rezipienten zu erklären, die nicht in ihrer Welt oder kulturellen Nische leben.  Deshalb schrieb ich, eine Behandlung des Themas wie Schulzki-Haddoutis Buch sei auch „elitär“. Außerdem zog ich ein Beispiel aus der aktuellen Flüchtlingsdebatte heran, um zu zeigen, wie schnell eine Elite an Personenkreisen vorbeidiskutieren kann, die es nicht mehr so einfach schaffen, die Komplexität eines wie auch immer gearteten Phänomens noch vollständig zu fassen. Dazu muss man ja nicht dumm sein – es gibt tatsächlich Sachverhalte und Themen in der modernen Welt, die nur noch für Spezialisten durchschaubar sind.

Man sagt ja, dass es ungefähr zur Goethezeit wirklich umfassend gebildeten Menschen (Elite!) zum letzten Mal möglich war, das gesamte Wissen der Welt ansatzweise vollständig zu erfassen und halbwegs sicher zu bewerten.

Zwei Tage nach meinem Beitrag, am 12.1.2016, kam dann der Auftritt der Legida-Frontfrau Tatjana Festerling in Leipzig und damit der Satz: „Wenn die Mehrheit der Bürger noch klar bei Verstand wäre, dann würden sie zu Mistgabeln greifen und diese volksverratenden, volksverhetzenden Eliten aus den Parlamenten, aus den Gerichten, aus den Kirchen und aus den Pressehäusern prügeln.“

Meedia-Bericht dazu

Focus-Mitteilung mit dem selben Thema

Da dreht sich einem angesichts eigener Elitenschelte schon einmal der Magen um.

Andererseits – das, was Tatjana Festerling da macht, ist ja auch deshalb so perfide, weil sie ja selbst als abgebrühter Medienprofi und Demagogin eine Eliteerscheinung ist. Sie biedert sich gezielt Personen an, die ihre Ängste durch Politik und Medien nicht mehr ernstgenommen glauben, und baut dabei ein Feindbild auf: Das von Eliten, die gegen das „Volksempfinden“ abgehobene und schädliche Entscheidungen vorbereiten, durchsetzen und dann medial vertreten – warum auch immer sie das wollen würden.

So lassen (und ließen) sich akademische Diskussionen und Fachdiskussionen natürlich leicht verunglimpfen, und niemand scheint so recht zu wissen, wie mit dem neuen Graben zwischen einer angeblichen „Intellektuellenelite“ und einem als übergangen oder missachtet dargestellten „Volk“ umzugehen ist. Beim letzten „Presseclub“ am Sonntag jedenfalls sagte Peter Pauls vom Kölner Stadtanzeiger sinngemäß (aus dem Gedächtnis zitiert), man müsse in der Flüchtlingsbedatte (um noch einmal dieses weit heiklere Thema heranzuziehen) aufpassen, in Politik und Presse nicht eine ganz andere Diskussion zu führen als in der großen Öffentlichkeit.

Aber muss man das nicht auch tun können?

Ich schließe mich der Ratlosigkeit an – bleibe aber dabei: Bei Themen, die sich noch außerhalb enger Fachkreise verständlich machen lassen, sollten die Spezialisten genau das auch so oft wie möglich versuchen.

In den USA bekommen Wissenschaftler, die allgemeinverständlich schreiben und präsentieren, selbst an den Hochschulen oft Extrapunkte. In Deutschland kann dasselbe Vorgehen den gegenteiligen Effekt haben, selbst wenn die einfachere Darstellungsweise den inhaltlichen Wert einer Arbeit nicht mindert.

Schade.

Anonymität – zwei journalistische Perspektiven

Zwei Bücher aus den Federn renommierter Journalistinnen liegen vor mir auf dem Schreibtisch, die das Thema „Anonymität im Web“ nicht unterschiedlicher angehen könnten. Gerade im Vergleich werfen sie ein interessantes Licht auf die Diskussion des Themas in den Medien und in der Gesellschaft.

Das erste der beiden Werke ist Christiane Schulzki-Haddoutis Beitragssammlung „Vom Ende der Anonymität – Die Globalisierung der Überwachung“. Es erschien im Heise-Verlag unter dem „Telepolis„-Label wohl zuerst im Jahr 2000, ich besitze die zweite Auflage von 2001.

sha.jpg

Christiane Schulzki-Haddouti und ihre Co-Autoren gehen das Thema primär politisch motiviert an und fragen lange vor der Snowden-Ära angesichts zunehmender Überwachung durch Geheimdienste, Strafverfolger und andere machtvolle Institutionen nach den Auswirkungen von Video- und Internetüberwachung auf den Bürger und damit auf Freiheit und Demokratie.

Dass Menschen zuweilen Dinge zu verbergen haben – etwa Informationen über eigene Erkrankungen oder übe persönliche politische Einstellungen in totalitär regierten Umgebungen – gilt den Autoren als gegeben, und die Möglichkeit der anonymen Kommunikation und Informationsbeschaffung sehen sie deshalb als massiv bedrohte, aber notwendige Instrumente der Informationellen Selbstbestimmung und des Datenschutzes an. Der Grundton des Buches ist eher pessimistisch. Florian Rötzer etwa spricht von einem „Grundrecht auf Anonymität“ und und legt dann dar, wie sehr es unter Beschuss stehe.

Snowdens Enthüllungen darf man durchaus als Bestätigung der im Buch vorgetragenen Positionen sehen.

Das zweite Buch ist Ingrid Brodnigs „Der unsichtbare Mensch – Wie die Anonymität im Internet unsere Gesellschaft verändert“. Dieses Buch ist im Czernin Verlag, Wien, 1913 erschienen, also mehr oder weniger zeitgleich zu den Snowden-Veröffentlichungen.

Brodnig.jpg

Ingrid Brodnig startet ganz anders: beim Phänomen des Cyber-Mobbings und der rüden Umgangsformen in anonymen Webforen. Sie zeigt, wie die Möglichkeit zur anonymen Meinungsäußerung im Internet auch dazu führen kann, dass sich unreflektierte, extremistische Äußerungen leichter verbreiten als ohne diesen Kanal oder dass Individuen ungestraft massiv angegriffen und herabgesetzt werden können. Für die Autorin ist die Anonymität im Internet ein neues Phänomen, das möglicherweise die Gesellschaft negativ beeinflusst. Am Ende diskutiert sie aber auch die Vorteile der Chance zur anonymen Meinungsäußerung im Web und zeigt Möglichkeiten auf, die Anonymität als Option beizubehalten und negative Auswirkungen dennoch zu begrenzen.

Hier geht es mir zunächst um die Ausgangspunkte der beiden Autorinnen und die daran knüpfenden Argumentationsstrukturen.

Christiane Schulzki-Haddoutis Buch ist fundiert und wichtig, die Autorin hat nicht umsonst Preise für die dem Buch zugrundeliegende Berichterstattung gewonnen. Aber das Werk nimmt die Perspektive einer extrem medienkompetenten, publizistisch geübten, interneterfahrenen und politisch aktiven Elite ein, deren Akteure sich außerdem sicher sein können, zumindest einen gewissen Einfluss auf die politische Kultur ausüben zu können. Hierin sind die Autoren kurioserweise den Apologeten der Transparenzgesellschaft wie David Brin und Christian Heller ähnlich, die in Sachen Informationelle Selbstbestimmung zwar zu diamatetral entgegengesetzten Forderungen kommen, aber ebenfalls nur für eine Welt publizistisch und medial erfahrener und aktiver Menschen schreiben.

Nehmen wir einmal an, ich würde einen kleinen Rezeptionstest machen und „Vom Ende der Anonymität“ einer Reihe älterer Verwandter und Bekannter vorlegen, mit denen ich häufiger zusammentreffe. „Älter“heißt beispielsweise: 72, 77 und 84. Hier im platten Münsterland gern auch 10 Jahre jünger, man hinkt hiesigen Ortes der modernen Welt doch etwas  langwieriger hinterher als anderwso.

Die Reaktion wäre wahrscheinlich: keine. Anonymität im Internet und die politischen Implikationen, ja die ganze hier vorgetragenen Abstraktionsebene der Internetnutzung  wären den meisten Probanten aus meinem Testpersonenkreis so fremd, so obskur und so weit hergeholt mit ihren Brückenschlägen zwischen individuellen Interessen und dem Agieren von Geheimdiensten und internationalen Strafverfolgern , dass sie das Buch als Produkt einer freakigen Parallelwelt ansehen würden: „Das geht uns doch nichts an. Weiß ich nicht, was die da wollen. Diese Anonymität, das ist doch was für diese Hacker und Pädophile“.

Dagegen anzuargumentieren wäre dann genau so zum Scheitern verurteilt wie der jüngst miterlebte Versuch einer juristisch und politologisch vorgebildeten Person, auch nach den frauenfeindlichen Ausschreitungen in Köln zur Silvesternacht vor der gleichen Clientel noch gegen stammtischmäßige Forderungen nach Schnellabschiebung für straffällig gewordene Flüchtlinge zu plädieren, weil man in Deutschland doch endlich einen erprobten und gut funktionierenden Rechtsstaat habe, der sich für Urteile glücklicherweise Zeit nehme und nicht in unselige Praktiken vergangener deutscher Dunkelzeiten unterschiedlicher Ausprägung verfalle. „Ach, jetzt komm‘ mir nicht wieder mit Nazis und Stasis, da muss man doch was tun, ihr labert immer nur, was Du da sagt ist doch nichts für uns normale Leute! Die müssen raus, sofort!“

Eine der ersten unangenehmen Wahrheiten, die ich als Politikstudent einst lernen musste, ist, dass man so etwas als wahrhaftig politisch engagierter Mensch nicht abtun oder zum Anlass nervöser Zuckungen oder baldiger Auswanderung nehmen darf. Wohin auch? Wo gibt es das nicht? Äußerungen der wiedergegebenen Art scheinen auf irrationalen Ängsten und Gedanken zu beruhen und dumm zu sein, sind vor dem begrenzten Horizont, auf dem sie entstehen, aber eben doch rational. Wer hat „Schuld“ oder muss sich „dumm“ nennen lassen, wenn er etwas nicht kennt, weiß oder versteht und deshalb Angst davor verspürt und dagegen vorgehen will? Den Menschen, die so reden, nicht mit nachvollziehbaren Antworten zu entgegenzukommen, ist fahrlässig und: elitär und arrogant. Das heißt aber nicht im Gegenschluss, dass man sich Personen, die auf dem entsprechenden Niveau argumnetieren, nun anbiedern und die eigene Meinung verbiegen solle. Aber etwas mehr Mühe beim Erklären komplexer Sachverhältnisse könnten sich speziell manche Akteure der IT- und Internet-Szene schon geben.

So, wie komme ich von dieser hochtrabenden Schreibe nun wieder zu Ingrid Brodnig?

Ganz einfach, ihr Buch würde meinen halbgaren Rezeptionstest vermutlich verstehen. Von „Cybermobbing“ hätten viele, die noch unmittelbar oder mittelbar Kontakt zur Welt moderner Teenager haben, vielleicht schon etwas gehört. Anderen hätte das Fernsehen die Thematik nahegebracht, und zwar nicht automatisch auf schlechte Weise. Wieder andere hätten schon hier und da davon gelesen, wie schwierig es ist, etwa als Unternehmen oder Arzt gegen eine (wirklich?) unberechtigte schlechte Beurteilung durch anonyme „Kunden“ im Web vorzugehen. Und ein gar nicht so kleiner Teil ist wahrscheinlich schon selbst im Web auf die eine oder andere unzivilisierte Hasstirade gestoßen und hat sich davor erschrocken. All das ist aus der Sicht des „normalen“ Bürgers wohl deutlich konkreter als die diffuse Schnüffelei der berühmten Drei-Buchstaben-Organisationen, die doch nur „Verbrecher“ und „diese Journalisten und so“ betreffen kann…

„Der unsichtbare Mensch“ geht von einem Phänomen und von Geschichten aus, die viele Menschen berühren, und wägt Einschätzungen ab, über die auch jenseits der Internet-Eliten leichter Einverständnis und eine breitere Argumentationsbasis zu erzielen sind als über den abstrakten Ansatz des Schulzki-Haddouti-Buches.

Deshalb ist Brodnigs Buch aber nicht seichter oder unreflektierter. Die Autorin spricht auch die Vorteile anonymer Kommunikation – wie erwähnt – sehr wohl an und zeigt – wie ebenfalls erwähnt- sogar konkrete Ansätze auf, wie man diese Vorteile auch dann erhalten kann, wenn man gegen ausufernde Pöbeleien und Hetze unter dem Mantel der Anonymität aktiv vorgeht. Etwa, indem man ein anonymes Forum so betreibt, wie es die Wochenzeitung „Die Zeit“ offenbar tut.

Deshalb ist Ingrid Brodnigs Buch für mich hier erst einmal interessanter.

Darüber hinaus sei schon einmal verraten, dass es eine ganze Reihe Anknüpfungspunkte zur venezianischen Anonymitätskultur bietet, auch wenn die Autorin letztere in ihren Ausführungen nicht erwähnt. Um diese Anknüpfungspunkte wird es nun in den folgenden Beiträgen gehen.

Die Firefox-Maske

Komisch, wie oft habe ich die „privaten Fenster“ im Firefox-Browser jetzt schon benutzt? Keine Ahnung, sehr häufig jedenfalls. Aber bisher nie darauf reagiert, dass die Macher der Software für ihre Browsen-ohne-Spuren-Funktion eine Maske als Symbol verwenden.

FF1

So kündigt ein englischer Firefox den Wechsel in den „Ich-habe-jetzt-etwas-zu-verbergen“-Modus an, danach zeigt eine winzige kleine Maske im Fensert oben rechts, dass die Funktion noch aktiv ist – ganz ähnlich dem Schloss-Symbol, das eine verschlüsselte HTTPS-Verbindung zur Zielseite markiert.

FF2

Diese Symbolik ist durchaus eine Erwähnung wert, denn Masken haben im Umfeld von Informationssicherheit und Datenschutz sonst eher ein schlechtes Image und müssen immer wieder als Kennzeichen der Internet-Kriminellen herhalten. In den Randbemerkungen aus Nizza hatte ich dazu schon ein paar Sätze geschrieben.

Vielleicht ändert die Firefox-Symbolik ja ein bisschen daran. Die Maske taucht nämlich in einem Zusammenhang auf, der sich vielen PC-Benutzern viel leichter erschließt als die irgendwie abstrakt und irreal wirkende Gefahr, durch Geheimdienste, Großkonzerne, Versicherungen oder irgendwo auf der Welt lauernde Kreditkartendiebe abgehört zu werden: „Wenn ich die Firefox-Maske aufsetze, bekommt der nächste Benutzer am PC (Papa, Mama, Ehegesponst, Mitbewohner(in)…) nicht mit, was ich mir angesehen habe, weil keine Relikte im Browserverlauf oder sonstwo zurückbleiben!“ Das ist doch schon einmal etwas, wenigstens ein Anfang für ein rudimentäres Datenschutz-Bewusstsein.

Wie viele Besitzer dann aber auch wissen, dass ihnen der Masken-Modus nichts nützt, wenn sie aus dem privaten Fenster heraus zweifelhaftes Zeug auf der Festplatte ablegen, darüber mag ich nicht weiter nachdenken.

Darauf, dass der Maskenmodus nichts daran ändert, dass die Verbindung zwischen dem Browser und der Zielseite an irgendwelchen Zwischenknotenpunkten abgehört werden kann, weist ja immerhin der Eingangsbildschirm des „privaten Fensters“ hin – und zwar in der deutschen Version des Firefox-Browsers noch deutlicher als in der englischen. Außerdem wird hier ausdrücklich erwähnt, dass Speicherbefehle des Anwenders nach wie vor ausgeführt werden.

FF3

Möge das als Awareness-Maßnahme genügen…