#33c3 – best of chaos communication congress 2016 (part 12)

Video (in German): Technologien für und wider Digitale Souveränität

Rüdiger Weis und Volker Grassmuck nähern sich dem Thema digitale Souveränität aus zwei verschiedenen Richtungen.

Weis, der Krypto-Profi, nimmt die Hardware ins Visier, die uns durch das „Internet of Things“ in die Wohnstuben geliefert wird: Vernetzte Kühlschränke, Toaster, Kaffeemaschinen, Thermostate, Webcams – alle ip-fähig und oftmals im default-Modus offen wie ein Scheunentor. Das haben frierende Finnen erfahren ebenso wie die Endverbraucher in den USA, die im Oktober letzten Jahres von einer DDoS-Attacke durch eine Armee von IoT-Geräten betroffen waren.

Weis fordert nichts weniger als eine Selbstverständlichkeit: Verbraucherschutz. Eine Art TÜV müsse die Geräte prüfen, die Herstellerhaftung müsse greifen, die Lebenszeit der Geräte müsse bestimmt und ein entsprechender Zeitraum gewährleistet sein, in dem Updates der Software erfolgen und Sicherheitslöcher gestopft werden. In diesem schnelllebigem Markt seien Hersteller auch relativ schnell wieder verschwunden. Deswegen müssten die Quelltexte entweder offen gelegt – oder zumindest treuhänderisch verwaltet werden, dass bei einem Marktaustritt die Geräte weiterhin gewartet werden könnten.

Im übrigen könne Forschung und Kryptographie helfen, Geräte und Daten zu schützen. Dafür stellt Weis verschiedene Verfahren vor, die dazu dienen können, Vertrauensanker aufzubauen, staatliche und nicht-staatliche. Allerdings misstraut der Experte gegenwärtig auch den eigenen Regierenden: „Ich kann keiner Datenschutzzusicherung einer Bundesregierung glaubem, die nicht mal ihr eigenes Parlament gegen Angriffe schützen kann.“

Der Mediensoziologe Volker Grassmuck nähert sich dem Thema digitale Souveränität aus Sicht der Datenauswertung, der Verwertung der gesammelten Informationen und den Risiken, die sich dadurch für den Verbraucher und die Verbraucherin entfalten. Bspw. Autoversicherungen, die günstige Tarife anbieten, wenn die autofahrende Gemeinde bereit ist, Tracking-Hard- und Software in ihre Fahrzeuge einbauen zu lassen, die den Fahrstil, das Brems- und Beschleunigungsverhalten sowie die Geolocation und vieles andere mehr aufzeichnen und weiterleiten. Die einen rabattieren sich durch individuelle Verträge die Gebühren. Die anderen, die nicht in der Lage sind, weil ihr Auto zu alt ist, weil sie selbst zu alt sind oder einfach nicht wollen, dass ihre Versicherung sie ständig beobachtet, zahlen die Rechnung für die Ersparnis der Tracking-Begeisterten.

Dieser Art der individuellen Bereitschaft, sich um des eigenen Vorteils willen ständig und überall verfolgen zu lassen, hat vor Jahren mit den App-Stores, den Messenger-Diensten, den Spielen, all den wunderbaren Nettigkeiten und Alltagserleichterungen begonnen – und dafür die Nutzer*innen gelehrt, dass es gut und sinnvoll ist, sich die persönlichen Daten en bloc absaugen zu lassen. So trifft das Scoring auf einen bereits vorbereiteten Boden, in dem Geschäftsmodelle blühen, die nun das Tracking in scheinbar noch größeren, individuellen Benefit umsetzen: Bessere Tarife hier, 50€ zusätzlich für die Smart-Watch durch eine Krankenkasse dort. Die Haltung der Nutzer*innen führt zu einer schleichenden Entsolidarisierung in der Gesellschaft. Die, die es sich leisten können und wollen, machen Kasse oder sparen Geld – die anderen Zahlen die Rechnung. Denn eines macht Grassmuck ganz klar: Die Merkmale von Armut und Scoring korrelieren, die Armen zahlen mehr – schon weil sie sich die neuesten Fahrzeuge oder Smartphones oder -watches nicht leisten können.

#33c3 – best of chaos communication congress 2016 (part 7)

Video (in German): Build your own NSA – How private companies leak your personal data into the public domain, and how you can buy it.

Svea Eckert und Andreas Dewes stellen vor, wie sie an den angeblich anonymisierten Datensatz von ca. 3 Millionen Browserverläufen gekommen sind – über den der NDR im November berichtet hatte.

Mit den auf einem grauen Markt erworbenen Daten können Eckert/Dewes belegen, wie unaufwendig es ist, einen solchen Datensatz zu deanonymisieren. Selbst die Herausnahme von nutzerspezifischen deep-links verhindert es nicht, in einer Matrix aus 9M domains und 1M Individuen eindeutige Nutzerprofile bzw. Zuordnungen herzustellen. Durch den Abgleich mit öffentlich verfügbaren Daten über eine Twitter-API, Likes bei der IMDB, oder Google-Maps-Geodaten reichen die besuchte Domain und der Zeitstempel aus, Individuen und ihre persönlichen Aktivitäten 100%-ig zu identifizieren.

No way out if you want to be in.