Beitrag in der LANline

Viel Ruhe im Blog im April und Mai, das Zeitbudget für die Masken fließt erst einmal in Print-Publikationen. Eine davon ist aber jetzt schon wieder im Web gelandet, und so sei sie doch wenigstens kurzerhand verlinkt.

Verizon, Hacker und die Maske

Das Unternehmen Verizon ist unter anderem ein renommierter Dienstleister für Informationssicherheit. Es bringt regelmäßig Berichte über den aktuellen Stand auf diesem Gebiet heraus und dokumentiert dabei auch Attacken von Cyberkriminellen. Ende März dieses Jahres fand sich unter gelisteten Vorfällen ein erfolgreicher Angriff auf einen Wasserversorger, bei dem die ungebetenen Gäste die chemische Zusammensetzung des Wassers ändern konnten.

Nicht schön, eher erschreckend. Für meine Arbeit als Berater für Informationssicherheit mal wieder ein Wachrüttler, der zumindest den potenziellen Wert des eigenen Tuns belegt.

Was mich hier interessiert, ist allerdings das Titelbild des Berichts, der unter dem Titel „Verizon Data Breach Digest“ läuft und leider nur gegen Registrierung heruntergeladen werden kann.

Das Cover ziert eine Maske, deren Konturen aus vielen Menschen gebildet werden.

Die Menschen nimmt man erst dann richtig war, wenn man das Bild erheblich vergrößert.

Die Frage ist: Was will mir das Bild eigentlich sagen? Wenn es wieder nur darum geht, die „Bösen“ im Netz mit denen gleichzusetzen, die dort anonym auftreten wollen, verstehe ich nicht das Element der Massenhaftigkeit, das hier enthalten ist.

Soll das eine Anspielung auf die große Zahl der Cyberkriminellen sein? Sind wir aus Sicht von Verizon allesamt Hacker? Oder die Quelle des Bösen, weil wir nicht alles von uns offenlegen?

Eingängig ist mir die Bildbedeutung nicht. Ich denke, ich sollte einmal Presseabteilung des Unternehmens befragen.

You only live x+1 times: Masken in LinkedIn und Second Life

Als ich vor Jahren den ersten Beitrag zu diesem Blog schrieb, fragte ich: „Warum tragen Avatare Masken?“

Ich hatte damals entdeckt, dass es in der virtuellen Welt „Second Life“ für Linden-Dollars eine komplette Bauta-und-Tabarro-Verkleidung zu kaufen gab.

Wozu? War nicht Second Life selbst schon eine Welt für Avatare? Dort liefen die unterschiedlichsten Verkörperungen von Anwendern herum, von Tiergestalten über typische Nerds bis zu Figuren, die sich einen bis ins Letzte durchgestylten Idealkörper zugelegt hatten.

Wozu sollte sich so ein zweites Ich dann noch eine Maske zulegen?

Antwort: Um mit der eigenen Identität noch besser spielen zu können. Es macht Spaß, sich gezielt zu maskieren und wieder zu demaskieren und vielleicht auszuprobieren, ob jemand anderer einen erkennt.

Avatare bekommen auf Dauer ja auch so etwas wie eine eigene Geschichte und feststehende Identitätsmerkmale, vor allem wenn sie sich wieder und wieder mit den gleichen Avataren treffen. „Man lebt nur zweimal“ – mit Bauta und Tabarro als generischer Verkleidung in einer virtuellen Welt kann man diese Grenze auf eine noch andere Weise  Weise durchbrechen, als wenn man „nur“ mit mehreren Avataren jongliert. So etwas ist vielleicht auch ein Akt der „informationellen Selbstbestimmung“.

Meine eigene virtuelle Bauta-und-Tabarro-Verkleidung hatte ich damals im Treppenhaus der ebenfalls virtuellen Second-Life-Repräsentanz der Bayerischen Staatsbibliothek fotografiert, sie fungiert noch immer als Titelbild des Blogs. Die Nachbildung der Bibliothek existierte übrigens nicht lange – und inzwischen habe ich Second Life auch schon ewig nicht mehr aufgesucht.

Dafür ist mir jetzt aufgefallen, dass auch in LinkedIn Maskenträger unterwegs sind. Damit meine ich nicht etwa die, die gar kein Bild von sich hochladen – weil sie gerade keines zu Hand haben, die existierenden nicht mögen oder einfach nicht wollen, dass Besucher ein Foto zu sehen bekommen.

Das sieht dann immer gleich aus, und zwar so:

Ich meine LinkedIn-Mitglieder, die sich bewusst als maskiert präsentieren.

Einige verwenden Avatare:

Einige geben sich sportlich:

Einige spielen mit skurrilen oder leicht beängstigenden Assoziationen:

Andere wählen Masken aus der Filmwelt, die mit besonderer Bedeutung aufgeladen sind:

Und noch andere spielen mit Photoshop-Effekten:

Die Beispiele sind willkürlich aus einer Liste vorgeschlagener Kontakte ausgewählt, die LinkedIn mir irgendwann zum Jahreswechsel 2015-2016 präsentiert hat.

Was sagt nun wieder das?

Ich konnte nicht feststellen, dass der Griff zum Maskenbild beispielweise mit eher restriktiv bestückten Profilen zusammenfiel.

Handelt es sich um ein Statement nach dem Motto: Ihr denkt jetzt, Ihr kennt mich, weil ich hier ein Profil eingestellt habe, aber da täuscht Ihr Euch – ich modelliere mein Profil, wie ich es für richtig halte?

Vielleicht frage ich irgendwann einmal bei dem einen oder anderen Maskierten nach.

Da ist er wieder, der Maskenmann

Das Unternehmen Vasco, Anbieter für Informationssicherheitsprodukte, hat ein eBook zum Thema „Social Engineering“ als Angriffsform beim Online-Banking und mögliche Gegenmaßnahmen veröffentlicht.

Darin gibt es ein Bild vom Angreifer – und wieder mal mit Kapuze und verstecktem Gesicht.

Mann wird’s wohl doch nicht los: Masken sind im Internet-Kontext ein Symbol für die Bösen. Ausnahmen bestätigen nur die Regel.

Zusatzanmerkung: Hier ein schöner Beitrag, der zeigt, wie man mit Social-Engineering-Risiken in Unternehmen umgeht.

Überwacht vom Kühlschrank, Tablet und dem Handy-Wecker: Anonymizer und das Internet der Dinge

Bruce Schneier, US-Querdenker in Sachen Sicherheit, hat in seinem jüngsten Blog- und Newsletter-Post ein schönes Bild davon gemalt, wie internetverbundene Dinge ihren Anwender in Zukunft ausforschen und an die werbetreibende Industrie verkaufen könnten.

Da gibt es Startups, die wollen Werbeclips im Fernsehen mit versteckten Botschaften (Töne, Frequenzen, was auch immer…) ausstatten, damit man herausbekommt, ob sie den Zuschauer zu einer sofortigen Bestellung oder wenigstens Recherche auf dem Mobiltelefon, dem Notebook oder dem Tablet animieren. Und so weiter. Vielleicht macht ja auch noch mein Auto mit und sagt dem Ölkonzern, dass ich auf sein Werbe-BlaBla über exxxxtrrreeeem energiesparenden Sprit hin (preislich reduziert nur bis 23.45 Uhr!) sofort zur nächstgelegenen Vertragstankstelle aufbreche, wo ich dann auch das zwei Minuten vorher ebenfalls beworbene Sandwich kaufe (was an meiner Kreditkartenabrechnung festzustellen ist).

Nehmen wir einmal an, dieses Szenario geht am Ende doch so vielen Menschen auf die Nerven, dass sie zumindest von ihren technischen Sklaven in Form von Computern, Telefonen, Küchenutensilien, Gartengeräten, Toilettenartikeln und so weiter  verlangen, dass diese in Sachen Informationsweitergabe eine gewisse Zurückhaltung in Bezug auf ihr Frauchen oder Herrchen üben. Nehmen wir weiterhin an, dass dieser Wunsch sich stark genug äußert, um den einen oder anderen Anbieter ein gewisses Geschäftspotenzial in der Erfüllung dieses Traums wittern zu lassen.

Dann hätten wir tatsächlich einen „Business Case“ für Anonymizer, wie im Beitrag über die „Anonymisierungstools unter der Motorhaube“ schon angedeutet. Vieles, was die Werbeindustrie will, lässt sich nämlich auch ohne Preisgabe personenbezogener Daten eines Gerätenutzers erreichen.

Nehmen wir an, ich trudele als typischer Berater-Nomade spät nachmittags in einer Stadt ein, die ich eigentlich gar nicht besuchen wollte. Ich will dort Zwischenstopp machen, weil ich einfach müde bin, oder ich will zwecks Zielerfüllung doch noch einen zusätzlichen potenziellen Kunden heimzusuchen – es sind da ja morgen früh noch knapp zwei Stunden frei im Plan.

Ich will wissen, wo ich übernachten und essen und vielleicht noch etwas Unterhaltung genießen kann. Werbung nehme ich in Kauf, wenn sie mir den Abend angenehmer gestaltet, aber Infos über mich selbst mag ich nicht herumposaunen: Profil – „Nein danke!“

Nehmen wir nun an, mein Mobiltelefon ist datenschutzmäßig von mir vorkonfiguriert und postet nur Folgendes in die Gegend: Hier ist ein Mensch, der ist über 18 (Detail aus dem Personalausweis), Mitglied in Hotelkette A,B und C (mit Nachweis, aber ohne Namen), Vegetarier (das ist fiktiv), Allergiker gegen Nahrungsmittel X (ebenfalls fiktiv), aktiver deutscher Sportschütze (Ich habe Pfeil und Bogen im Auto und den passenden Ausweis dazu, Vorsicht!) und Mitglied im Verein zur Rettung der letzten anspruchsvollen Programmkinos (Ebenfalls mit Nachweis – Gibt es das vielleicht? Ich trete ein!).

Jetzt können mich Hotels (möglichst mit Recurve-optimiertem Bogenparcours), Restaurants, Bars und Filmtheater und obendrein auch Tankstellen, Drogerien, die Bahn und die Fluglinien gern umgarnen, und zwar bitte sofort, noch während ich in der automobilen oder echten Einflugsschneise bin. Allesamt kennen sie mich nicht persönlich, aber ihr Werben hätte durchaus Aussicht auf Erfolg. Perfekte Win-Win-Situation!

Ist das nicht ein wunderbarer Einsatzbereich für Identitäts-Verschleierungstools als Standard-Module in internetverbundenen Geräten?

Schleichwerbung: Ist ja nicht so, als hätte man über so etwas noch nie nachgedacht: Frei und kommerziell. Grundlagen zum „benutzerzentrierten Identitätsmanagement“ hat Werner Degenhardt aufgearbeitet.

Die Firefox-Maske

Komisch, wie oft habe ich die „privaten Fenster“ im Firefox-Browser jetzt schon benutzt? Keine Ahnung, sehr häufig jedenfalls. Aber bisher nie darauf reagiert, dass die Macher der Software für ihre Browsen-ohne-Spuren-Funktion eine Maske als Symbol verwenden.

So kündigt ein englischer Firefox den Wechsel in den „Ich-habe-jetzt-etwas-zu-verbergen“-Modus an, danach zeigt eine winzige kleine Maske im Fensert oben rechts, dass die Funktion noch aktiv ist – ganz ähnlich dem Schloss-Symbol, das eine verschlüsselte HTTPS-Verbindung zur Zielseite markiert.

Diese Symbolik ist durchaus eine Erwähnung wert, denn Masken haben im Umfeld von Informationssicherheit und Datenschutz sonst eher ein schlechtes Image und müssen immer wieder als Kennzeichen der Internet-Kriminellen herhalten. In den Randbemerkungen aus Nizza hatte ich dazu schon ein paar Sätze geschrieben.

Vielleicht ändert die Firefox-Symbolik ja ein bisschen daran. Die Maske taucht nämlich in einem Zusammenhang auf, der sich vielen PC-Benutzern viel leichter erschließt als die irgendwie abstrakt und irreal wirkende Gefahr, durch Geheimdienste, Großkonzerne, Versicherungen oder irgendwo auf der Welt lauernde Kreditkartendiebe abgehört zu werden: „Wenn ich die Firefox-Maske aufsetze, bekommt der nächste Benutzer am PC (Papa, Mama, Ehegesponst, Mitbewohner(in)…) nicht mit, was ich mir angesehen habe, weil keine Relikte im Browserverlauf oder sonstwo zurückbleiben!“ Das ist doch schon einmal etwas, wenigstens ein Anfang für ein rudimentäres Datenschutz-Bewusstsein.

Wie viele Besitzer dann aber auch wissen, dass ihnen der Masken-Modus nichts nützt, wenn sie aus dem privaten Fenster heraus zweifelhaftes Zeug auf der Festplatte ablegen, darüber mag ich nicht weiter nachdenken.

Darauf, dass der Maskenmodus nichts daran ändert, dass die Verbindung zwischen dem Browser und der Zielseite an irgendwelchen Zwischenknotenpunkten abgehört werden kann, weist ja immerhin der Eingangsbildschirm des „privaten Fensters“ hin – und zwar in der deutschen Version des Firefox-Browsers noch deutlicher als in der englischen. Außerdem wird hier ausdrücklich erwähnt, dass Speicherbefehle des Anwenders nach wie vor ausgeführt werden.

Möge das als Awareness-Maßnahme genügen…

 

Anonymizer unter der Motorhaube

Die Autos der Zukunft sollen nicht nur selbst fahren können, sondern auch miteinander kommunizieren. Etwa, um dem nachfolgenden Gefährt auf der Autobahn rechtzeitig Bremssignale zu übermtteln und so die Gefahr von Auffahrunfällen zu reduzieren, gleich ob hinten ein Mensch oder ein Computer lenkt.

Wohin das vielleicht führt, lesen Sie hier: Klick.

Über diesen Blog-Beitrag habe ich mich so lange köstlich amüsiert, bis ein Kollege mit Erfahrung in der Auto-Netzwerkwelt einen Blick auf meinen Dienstwagen warf und ganz beiläufig bemerkte: „Ach, der könnte ja auch schon selber fahren, ist vielleicht nur noch nicht freigeschaltet. Ich sehe das an dem Auge da oben!“ Und er deutete auf einen unscheinbaren senkrechten Schlitz im Vorbau des Innenspiegels, von außen gesehen hinter der Windschutzscheibe.

Seitdem hege ich ein gewisses Misstrauen gegen mein Gefährt, schaue es möglichst nicht von vorn an, spreche sehr höflich mit dem Navi und leihe mir ansonsten, wenn irgend möglich, den alten Jeep meiner Frau. Der hat als Gipfel der Digitaltechnik eine elektonische Einspritzanlage eingebaut, deren rudimentärer Fehlerspeicher das absolut einzige kommunikationsfähige Gerät an Bord ist. Und selbst das lügt, haben uns schon zwei entnervte Automechaniker versichert. Gut so.

Aber das ist eine ganz andere Geschichte.

Hier geht es darum, dass die Designer und Sicherheitsspezialisten der künftigen Auto-zu-Auto-Kommunikation tatsächlich den Einbau von Anonymizern wie IBMs „Idemix“ planen. Stephan Holtwisch hatte diesen Aspekt erwähnt, als wir auf der Konferenz „Die Zukunft der informationellen Selbstbestimmung“ zu Einsatzchancen für Anonymizer in der modernen westlichen Kultur referierten. Offensichtlich macht man sich Sorgen, dass sich die zunehmend intelligenten Autos irgendwann auf der Straße wiedererkennen und dann Freund- und Feindschaften pflegen, sich quer durch Deutschland jagen, fremde Fahrdaten ohne Erlaubnis der Betroffenen der Polizei und den Versicherungen petzen oder – siehe oben – sich über ihre jeweiligen Besitzer lustig machen. Offiziell klingt das nüchterner: Man will gegenseitige Profilbildung bei der Maschine-zu-Maschine-Kommunikation ausschließen, wenn diese zum unkontrollierbaren Informationsaustausch über die Benutzer und damit zu Datenschutzverletzungen führen könnte. Das ist ein Aspekt, mit dem es die Entwickler des „Internets der Dinge“ wohl noch häufiger zu tun bekommen werden.

Das Spannende daran: Hier, im Versteckten, wo sie sie gar nicht bemerkt, wird die breite Öffentlichkeit Anonymizer wohl eher akzeptieren als in Form persönlicher, bewusst eingesetzter Werkzeuge. Verkehrte Welt.

Anonymizer und die „Zukunft der informationellen Selbstbestimmung“

Am 26. November 2015 waren Bettina Weßelmann, Stephan Holtwisch und ich als Referenten zu Gast auf der „Interdisziplinären Konferenz – Die Zukunft der informationellen Selbstbestimmung“ in Berlin. Unsere Aufgabe: Wir wollten darstellen, ob und gegebenenfalls wie „Anonymizer“ wie Tor in unserer westlichen Internet-Kultur als Mittel der informationellen Selbstbestimmung funktionieren können.

Wir griffen dazu zum Mittel des Kulturvergleichs.

Ausgangspunkt – mein Part – war die Anonymitätskultur im alten Venedig, wie sie Thema dieses Blogs ist. Bauta und Tabarro funktionierten dort als anerkannte Anonymizer ja geradezu prächtig.

Bettina zog die Vergleiche zu unserer Web-Welt und kann zu eher pessimistischen Resultaten: Nicht nur die Komplexität von Tor & Co., sondern auch die eher abwehrende Haltung unserer Kultur zur anonymen Kommunikation, die schwach ausgeprägte rechtliche Rückendeckung und die mangelnde Übung im Umgang mit anonymen Auftritten stellen Barrieren beim Einsatz von Anoymizern in der breiten Öffentlichkeit dar.

Stephan schließlich befasste sich mit dem Einsatz von Anonymizern in Wirtschaft und Technik – mit einem Sektor also, den man in diesem Zusammenhang eher selten betrachtet, in dem der Einsatz von Anonymisierungsmitteln aber durchaus gerechtfertigt ist und zuweilen gerade deshalb funktioniert, weil ihn niemand so richtig bemerkt.

Hier ist die Präsentation zum Nachlesen.

Zu den „versteckten Anonymizern“ und anderen Aspekten der  Veranstaltung folgen demnächst weitere Beiträge.

David Brins „Transparente Gesellschaft“

Habe begonnen, David Brins schon 1998 erschienenes Buch „The Transparent Society“ zu lesen – ein engagiertes Plädoyer für eine Gesellschaft, in der nichts verborgen bleibt und alle Akteure sich gegenseitig überwachen. Masken jeglicher Art mag der Autor gar nicht, auch keine Verschlüsselung, all dies ist für ihn negativ besetzt. Er glaubt, dass eine allgegenwärtige, nicht exklusiv einer Steuerungsinstitution zugängliche, gegenseitige Kontrolle massiv zur Verbesserung der Lebensbedingungen beiträgt, weil sie wie ein Immunsystem auf alle Fehler und Missbrauchsversuche innerhalb der Gemeinschaft reagiert und Verantwortung und Rechenschaftspflicht durchsetzt. Kreatives Anderssein ist für ihn das, was jeder Mensch will, und die jederzeit mögliche Kritik durch andere Menschen das Mittel der Wahl, unter diesen Umständen jeden Einzelnen in den Schranken sozialverträglichen Verhaltens zu halten.

Brins Buch ist eine der wichtigen Grundlagen für Christian Hellers Überlegungen, die hier schon Thema waren.

Was bei Brin auffällt, ist, dass sein durchaus faszinierendes Gesellschaftsmodell fast ausschließlich aktive, medienkompetente und einflussreiche, immer wache und auseinandersetzungsbereite Akteure kennt, die permanent ihre Position und mögliche Bedrohungen im Auge haben und in ihrer kommunikativen Internetwelt unmittelbar auf Angriffe reagieren können oder zumindest in der Lage sind, ihr Bild innerhalb der Gemeinschaft aktiv zu formen.

Das Weltbild eines aktiven Bloggers und Publizisten?

Kranke, temporär oder langfristig hilflose, in Sachen Medien weniger begabte, unterdrückte oder einfach nur schüchterne Personen, die von einer Maskierung profitieren könnten und vielleicht gerade unter dem Schutz einer Maske erst an der offenen Diskussion teilzunehmen vermögen, kommen bei ihm nicht vor – und auch kaum die Überlegung, dass Kreativität hin und wieder Zurückgezogenheit braucht, vom Spiel mit Identitäten und Rollen profitiert und andererseits durch permanente Kritik vielleicht auch einmal blockiert wird.

Zumindest nach etwa einem Drittel des Buches ist dies mein Eindruck. Mal sehen, ob dies noch zu revidieren ist, aber das Phänomen an sich war ja schon Thema in der Diskussion mit Heller. Das Konzept der transparenten Gesellschaft jedenfalls fasziniert noch immer!

Wie es weitergeht – zweiter Anlauf

Schon vor geraumer Zeit hatte ich so etwas wie eine Planung für diesen kleinen Forschnungsblog versucht – und mich gewaltig geirrt. Das Thema des Spiels einer generischen Rolle, das mit dem Tragen von Bauta und Tabarro verbunden ist, drängte sich vor und beanspruchte ganz mit Recht viel Raum und Zeit.

Ich wage jetzt noch einmal eine Vorausschau und glaube, dass sie diesmal realistisch ist.

• Was das Rollenspiel betrifft, so steht unbedingt noch ein Blick auf Johan Huizingas kulturhistorisches Werk „Homo Ludens“an: Der Autor behauptet, dass Spiel, Kultur und Kulturentwicklung sehr eng miteinander zusammenhängen. Dies möchste ich gern mit Ignatio Toscanis Ergebnissen abgleichen und untersuchen, wie die venezianische Anonymitätskultur in dieses Schema passt.
• Anschließend steht David Auerbach auf dem Plan, der ähnliche Gedanken für die Internetkultur verfolgt und in seinem Essay „Anonymity as Culture“ unter anderem Rollenspiel-Elemente bei der Nutzung anonymer Internet-Foren genauer untersucht hat. Ich dachte bisher beispielsweise, die „Trolle“, die ungeliebten Störenfriede und Stänkerer in Foren wie Krautchan und 4Chan oder auch anderen Plattformen, meinten es zumeist ernst mit ihren Einlassungen  – Auerbach dagegen kann zeigen, dass das Trolling und seine Abwehr, aber auch sonstiges Kommunikationsverhalten in Internet-Foren, häufig eine besondere Art elaborierten Rollenspiels darstellen.
• Danach würde ich mich gern noch kurz damit auseinandersetzen, ob Bauta und Tabarro noch irgendeinen Zusammenhang mit ursprünglichen rituellen und religiösen Bedeutungen von Masken haben. Vielleicht hilft dabei ein Blick in Lisa Zeitz`“Der Mann mit den Masken“ – eine Biographie des Psychoanalytikers und Maskensammlers Werner Muensterberger.
• Der letzte Punkt zum Thema Rollenspiel und Maske ist dann ein weiteres Mal das „Gentleman-Ideal“ – weil „Gentleman“ zumindest teilweise und zeitweise auch eine Rolle war, die Personen in bestimmten Kulturen bewusst spielen konnten und, weil es die Gesellschaft forderte, auch spielen mussten. Hier geht es unter anderem erneut um den stabilisierenden Höflichkeitsfaktor, der Bautaträger offenbar am Missbrauch der Freiheiten ihrer anonymisierenden Maske hinderte.
• Von dort aus dürfte dann der Schritt zum nächsten großen Thema zu schaffen sein, dem Abgleich des venezianischen Anonymitätsmodells mit anderen Konzepten des privaten und öffentlichen Lebens.

Aber langsam wird es gehen – und die englische Übersetzung sollte schließlich auch einmal wieder mit dem deutschen Blog gleichziehen.