Aktualisierungen als RSS-Feed oder
auf unserem Twitter Account @PrHdb

Privacy-Handbuch




Privacy-Handbuch

Spurenarm Surfen mit Mozilla Firefox,
Mails verschlüsseln mit Thunderbird,
Anonymisierungsdienste nutzen,
chatten und Daten verschlüsseln





Aus den News gesammelt:

(Willkürlich gesammelt und ohne Anspruch auf Objektivität.)



EU-Gremien gegen "Anonymität" von Bitcoin & Co. (16. Dez. 2017) 
Das EU-Parlament, der Ministerrats und die EU-Kommission haben sich gestern Abend auf weitere Schritte gegen die "Anonymität" von Kryptowährungen wie Bitcoin geeinig.

Handelsplätze für Kryptowährungen und Anbieter von Online Wallets sollen zukünftig ihre Kunden nach den Regeln der Sorgfaltspflichten für Finanzinstitute kontrollieren. Das bedeutet, dass die Identität der Kunden eindeutig festgestellt werden muss. Die Identität der Nutzer soll zusammen mit den genutzten Adressen in einer zentralen Datenbank gespeichert werden.

Außerdem soll die Grenze für Zahlungen mit anonymen Prepaid Karten in der EU von 205,- Euro auf 150,- Euro gesenkt werden. (In Deutschland liegt die Grenze bei 100,- Euro.)

Begründet werden die Maßnahmen wie üblich mit dem Kampf gegen Steuerbetrug und Finanzierung von Terrorismus. In den kommenden 18 Monaten sind die Reglungen in nationale Gesetze umzusetzen. (Heise.de, FAZ.net, RT.com)

Kommentar:
NATO Osterweiterung und die alten Versprechen (15. Dez. 2017) 
Das National Security Archive der George Washington University hat Dokument frei­gegeben, die belegen, dass hochrangige NATO Vertreter und Politiker von EU-Staaten als Gegen­leistung für die Zustimmung der damaligen Sowjetunion zur deutschen Vereinigung eine Ausdehnung der NATO über die Grenzen Deutschlands hinaus ausgeschlossen hatten. Gorbatschow hatte ursprünglich gefordert, dass ein vereinigtes Deutschland neutral bleiben müsse und keinem Bündnis angehören soll. Als Kompromiss wurde ihm versprochen, dass die NATO sich nicht über die deutsche Grenze hinaus nach Osten ausdehnen würde.

Aktuell wird eine Integration der Ukraine in die NATO angestrebt. Die Einberufung des Ukraine-Nato-Gipfels im Dezember wurde aber durch ein Veto von Ungarn blockiert.

Aus Sicht der NATO wäre es wahrscheinlich ideal gewesen, wenn man mit der Integration der Ukraine in die NATO auch den wichtige russische Militärstützpunkt auf der Krim übernehmen könnte. Das würde die Operationsfähigkeit des russischen Militärs im gesamten Mittelmeer­raum und Nahost massiv einschränken.

Russland hatte aber bereits auf dem NATO-Russland Gipfel 2008 angekündigt, dass die Krim von der Ukraine abgelöst und an Russland angegliedert werden könnten, wenn die Gefahr besteht, dass die Ukraine sich der NATO zuwendet. Es wurde klargestellt, dass es für die Osterweiterung der NATO nicht überschreitbare Grenzen gibt.

Das man diese NATO Pläne bezüglich der Krim nach dem erfolgreichen Maidan Putsch trotzdem beerdigen musste, erklärt vermutlich das hysterische Geschrei westlicher Politiker (und Militärstrategen) über den Beitritt der Krim zu Russischen Förderation.

(Stratfor Chef Friedman: Die Ukraine-Krise ist eine US-Inszenierung)

Ergänzung: "Keine Osterweiterung der NATO" Aussenminister Genscher & Baker (Youtube)
ProtonMail Bridge vereinfacht PGP-Verschlüsselung? (08. Dez. 2017) 
ProtonMail hat das Release des lokalen Mail-Gateway ProtonMail Bridge bekannt gegeben. Mit ProtonMail Bridge soll PGP-Verschlüsselung ganz einfach sein, wie Heise.de schreibt.

ProtonMail ist ein E-Mail Provider, der den Umgang mit verschlüsselten E-Mails vereinfachen möchte. Bisher musste man das Webinterface nutzen und konnte mit anderen ProtonMail Nutzern sehr einfach verschlüsselt kommunizieren. Dieser Vorteil wird durch den Nachteil kompensiert, dass die PGP-verschlüsselte Kommunikation zu kompetenten, externen Nutzern etwas eingeschränkt und kompliziert ist. Ausführliches Review von uns findet man hier.

ProtonMail speichert alle Nachrichten und Kontakte auf dem Server, ein Abruf via POP3 und lokale Speicherung, wie von uns empfohlen, ist nicht möglich. Außerdem bietet ProtonMail ein Key Recovery via externer Mailadresse, wenn man sein Passwort vergessen hat. Das bedeutet, dass ProtonMail sich Zugriff auf die Kryptoschlüssel verschaffen kann, um sie mit einem neuen Passwort zu schützen. (Wahrscheinlich gibt es ein Masterpasswort?) Damit könnte ProtonMail auch alle Daten ohne Zutun des Nutzers entschlüsseln. Böswillig könnte man das als "Krypto-Backdoor" bezeichnen. Für hohe Sicherheitsanforderungen ist ProtonMail somit nicht geeignet (siehe auch: Threat Modell of ProtonMail).

Das Mail-Gateway ProtonMail Bridge vereinfacht oder verändert NICHTS an der ProtonMail Verschlüsselung und Schlüsselverwaltung. Das Gateway stellt nur eine SMTP und IMAP Schnittstelle zur API der ProtonMail Server bereit (leider noch kein POP3). Man kann damit statt Webbrowser auch einen E-Mail Client nutzen, es gelten aber die gleichen Vorteile und Einschränkungen für die Verschlüsselung wie im Webinterface.

By the way: Ein anderes Mail-Gateway für transparente PGP-, S/MIME- und PDF-Verschlüsselung ist CipherMail. Ist aber nicht gerade simple im Einsatz.
C. Ströbele zum Fall Amri (Anschlag auf Weihnachtsmarkt 2016) (06. Dez. 2017) 
C. Ströbele, ehem. Mitglied des Bundestages und der PKGr, kommentiert seine Erkenntnisse zum Versagen der Sicherheitsbehörden im Fall Amri (n-tv.de oder RT Deutsch):
Wir können doch nicht dieselben Leute weitermachen lassen, die so versagt haben.
Nach Ansicht von C. Ströbele waren BKA, Verfassungsschutz und die LKAs von Berlin und NRW hinreichend über die Anschlagspläne von Amri informiert und hätten vor dem Anschlag handeln müssen.

Das keine Schritte gegen Amri unternommen wurden und er sich in ganz Deutschland bewegen konnte trotz der Auflage, NRW nicht zu verlassen, liegt nach Ansicht von Ströbele an US-amerikanischen Wünschen. Eine "Ordnende Hand" schützte Amri.
Das entsprach nicht den Interessen der USA, die einen schweren Bombenangriff in Libyen planten. Ein Eingreifen gegen den überwachten Amri hätte die Islamisten in Libyen vorgewarnt.
Mein Kommentar: Immer wieder zeigt sich bei der Aufarbeitung von Anschlägen, dass die Sicherheits­behörden über ausreichende Mittel verfügen, um potentielle Terroristen zu erkennen. Wir brauchen nicht noch mehr Überwachungs­befugnisse für die "Dienste", wie sie auch nach dem Anschlag von Amri von den üblichen Politikern gefordert wurden.

Das der PKGr seit einem Jahr Unterlagen von den "Diensten" vorenthalten werden, zeigt meiner Meinung, das die wichtigste Schlussfolgerung aus den Snowden Dokumenten nicht umgesetzt wird. Geheheimdienste MÜSSEN kontrolliert und überwacht werden. In Deutschland operieren die "Diensten" weiterhin in einem rechtsfreien Raum und werden für Versagen nund Gesetzes­brüche icht zur Rechenschaft gezogen.

Btw: die USA platen 2016 einen schweren Bombenangriff auf Libyen - interessant!
Bitcoin bei $11.000 und weiter steigend (29. Nov. 2017) 
Der Preis für 1 Bitcoin hat die $11.000 überschritten. Im Moment steigt Bitcoin rasant und hat in den letzten 2 Tagen um 10% gewonnen. Der Marktkapitalisierung der virtuellen Währung, die aus dem Nichts geschöpft wurde, liegt damit über 325 Milliarden Dollar. Das ist mehr Wert, als produzierende Großkonzerne wie Boeing oder General Electric.

Die Wertsteigerung ergibt sich derzeit fast ausschließlich durch Nachfrage aufgrund von Spekulation auf einen noch höheren Preis. Es gibt keine nennenswerte Ökonomie, die Bitcoin als Währung nutzt und die diese Wertsteigerung rechtfertigen könnte. Damit gleicht Bitcoin einem Ponzi Schema, das in erster Linie reales Geld umverteilen wird.

Analyst Kay Van-Petersen von der Saxo Bank rechnet mit einem Kursanstieg in den nächsten 6 bis 18 Monaten auf 50.000 bis 100.000 Dollar. Anhaltende Bitcoin Gewinne erwartet auch der Analyst Greg McKenna von AxiTRader. Wer noch in das Roulette einsteigen will...

Wer meint, seine Bitcoin Brieftasche ganz easy mit dem Smartphone umhertragen zu können, der sollte mal den Test der Adroid Apps für Kryptowährungen von HTBridge anschauen. 90% dieser Apps haben erhebliche Sicherheitsmängel und viele Apps implemtieren selbst simple Dinge wie TLS fehlerhaft, so dass man-in-the-middel Angriffe möglich sind.

Für den Wettkampf der Bitcoin Miner wird inzwischen mehr Energie verbraucht, als 159 Länder verbrauchen. Das umfasst die meisten Länder von Afrika und ein bisschen mehr.

Während bei der Energieeffizienz von Kühlschränken über Kennzeichen mit AAA und A+ wie ein bedeutendes Politikum gestritten wird, gibt es derzeit keine regulativen Ansätze zu Dämpfung der Energie­verschwendung bei Kryptowährungen. Die Blockchain von Bitcoin würde auch mit 1 Millionstel der heute aufgewendeten Energie funktionieren.

(Die Blockchain war eine feine Idee, aber Bitcoin pervertiert das Konzept inzwischen.)

Kim Dotcom kündigt privacy-freundliches Internet an (24. Nov. 2017) 
Kim Dotcom (aka Kim Schmitz) kritisiert seit Jahren das Internet als Medium zur Überwachung der Massen und das ausufernde Tracking für die Verletzungen der Privatspäre.

Um diese Probleme zu überwinden, hat Kim Dotcom jetzt eine Lösung: MegaNet
The current corporate Internet will be replaced by a better Internet, running on the idle capacity of hundreds of millions of mobile devices. Run by the people for the people.
Bisher ist wenig konkretes bekannt. MegaNet soll dezentral, verschlüsselt und nicht IP-basiert realisiert werden. Es soll als Mesh-Netz die WiFi-Kapazitäten moderner Smartphones nutzen.

Es gibt bereits seit Jahren ähnliche Projekte, die eine neues Internet aufbauen wollen, dass die Privatsphäre der Nutzer respektiert und den Datenverkehr vollständig verschlüsselt. Beispiele sind GNUnet, A Gnu Internet, das Invisisble Internet Project (I2P) oder die Tor Onion Services. Alle diese Projekt führen bisher ein Nischendasein.

Ich erinnere mich an eine Podiumsdiskussion vor zwei Jahren, als ich mit qbi (TorProject), carlo von linX (#youbroketheinternet) u.a. auf der Tribüne saß und wir haben dieses Thema in ähnlichem Kontext diskutierten. Meine Rolle war dabei die des "Bad Guy", der Argumente gegen ein privacy-freundliches Internet bringen sollte.

Meine Argumente waren: Wenn man ein privacy-freundlich Internet will. Dann muss man die Ökonomie des Internet umkrempeln. Es ist keine Lösung, die darunter liegenden Infrastruktur umzubauen. Die vorhandene Infrastruktur ist auch für ein privacy-freundliches Internet nutzbar, wenn die Politik dem Kommerz Rahmen­bedingungen setzen würde, wenn die Wünsche der Menschen nach Privasphäre das Primat gegenüber der Gewinnmaximierung für Konzernen hätte.

Wenn man kein ökonomisches Konzept als Alternative zum Datensammlen anbieten kann, dann wird das MegaNet ein Nischendasein fürhren, so wie GNUnet oder I2P.
EU cybersecurity research centres (18. Nov. 2017) 
Am kommenden Montag wird die EU wahrscheinlich die Einrichtung neuer Cybersecurity Research Centres beschließen. Zielstellung ist die Schaffung eines Netzwerkes von EU Forschungs­zentren, die ähnliche Aufgaben wie das BSI in Deutschland haben.

Zu den Aufgaben gehört in erster Linie die Erforschung von Verschlüsselungs­technologien mit der Zielstellung, sichere Verschlüsselung für Unternehmen und Behörden zu entwickeln, um Hackerangriffe zu erschweren. Daneben soll das Vertrauen der Bürger in Verschlüsselungs­produkte gestärkt werden.

Ich wundere mich ein bisschen darüber, dass diese Initiative nicht schon vor 4 Jahren als Antwort auf die Snowden Leaks gestartet wurde, sondern erst jetzt durch die Welle von Erpressungstrojanern begonnen wird, ernsthaft über IT-Sicherheit nachzudenken.
Aktuelle IT-Angriffe bestätigen BSI Lagebericht (09. Nov. 2017) 
Der Lagebericht des BSI zur IT-Sicherheit wird durch aktuelle Meldungen bestätigt:
  1. Der neu Erpressungstrojaner Odincrypt greift bevorzugt Personalabteilungen an und soll ähnlich wie der Trojaner "Petya" vor allem maximalen Schaden anrichten.

    Der wichtigste Schutz gegen Trojaner sind Updates, Updates und wieder Updates. Die Trojaner verwenden in der Regel keine teuren 0-day Exploits zur Infektion sondern bekannte Schwachstellen, die auf aktuellen System meist gefixt wären.

    Wenn jemand unbedingt einen Virenscanner einsetzen möchte, dann ist vielleicht die Meldung interessant, dass das BSI keine Vorbehalte gegen Kaspersky hat, und das Kaspersky einer der Besten ist. (Kaspersky und der deutsche IT-Experte Ralph Langner haben als Erste die Cyberwaffen Stuxnet und Duqu zerlegt).
  2. Türkische Hackergruppen haben mit Phishing Angriffen die Twitter Account von Kritikern des türkischen Präsidenten Erdogan angegriffen.

    (Warum wird Erdogan in der deutschen Presse eigentlich immernoch als "Präsident" bezeichnet und nicht als "Diktator" wie Assad und andere?)


    Der Schutz gegen Phishing Angriffe liegt in erster Linie im eigenen Verhalten und kann nicht nur technisch realisiert werden. Man darf einfach auf irgendwelche Link-Buttons in E-Mails klicken, die mit ganz schlimmen Dingen drohen. Login Seiten, wo man sein Passwort eingibt, sollte man IMMER über Lesezeichen oder im Browser aufrufen.
  3. In ähnlichem politischem Zusammenhang wie die Phishing Angriffe stehen wahrscheinlich die seltsamen Entfreundungen in den Facebook Accounts von Erdogan Kritikern. Die seltsamen Entfreundung durch Facebook können die Reichweite von Erdogan Kritikern signifikant einschränken - ohne dass klar ist, warum so etwas passiert. Die Betroffenen tappen im Dunkeln, können sich nicht richtig wehren.

BSI Lagebericht zur IT-Scherheit 2017 (09. Nov. 2017) 
Das BSI hat den Lagebericht zur IT-Sicherheit 2017 veröffentlicht. Die größte Gefahr für die IT sind aktuell Angriffe mit Erpressungssoftware (WannaCry oder Petya).

An zweiter Stelle stehen Angriffe auf den "Faktor Mensch" (Phishing oder CEO-Angriff auf E-Mail Accounts). (Ein schönen Beispiel für einen CEO-Angriff hat B. Schneier gerade im Blog beschrieben: Cybercriminals Infiltrating E-Mail Networks to Divert Large Customer Payments.) Für diese Zwecke konnten kriminelle Hacker z.B. 500 Million E-Mail Konten und 2013 die Daten von einer Milliarde E-Mail Konten bei Yahoo erkapern.

Die Gefahr von DDoS-Angriffe durch Botnetze steigt kontinuierlich weiter. Dafür sind vor allem die Botnetze auf Basis von IoT-Geräten verantwortlich (z.B. Mirai-Botnet), denen eine große Menge schwach geschützter IoT-Geräte wie Kameras, Router u.ä. zur Verfügung steht.

Bei den Advanced Persistent Threads (APT) Gruppen, die meist mit staatlichen Geheim­diensten in Verbindung gebracht werden, ist der Trend erkennbar, dass diese Aktivitäten "ausgelagert" werden ("Hackers4hire", "Gunslingers"), so das Regierungen eine Beteiligung glaubhaft leugnen können und trotzdem Einfluss haben und Ziele beauftragen. Beispiel sind die chinesischen APT3/GothicPanda oder die nordkoreanisch Lazarus Gruppe. Das führt zu einem Abfluss von KnowHow und kriminelle Hacker könnten deshalb in Zukunft auch APT-Angriffs­techniken nutzen, die bisher nur staatlichen Angreifern zur Verfügung standen.

Zu den russischen Hackergruppen APT28/29 "Fancy Bear", die gerade bei Heise.de erwähnt wurden (Neue Belege für umfangreiche russische Hacker-Aktivitäten), meint das BSI:
Auch APT-Gruppen führten Angriffe auf deutsche Unternehmen aus. Bemerkenswert ist, dass bei Angriffen auf deutsche Unternehmen die Gruppen APT28 und APT29 kaum in Erscheinung traten. Abgesehen von Rüstungsunternehmen scheinen sich diese Gruppen vorrangig auf Regierungseinrichtungen und politische Organisationen zu konzentrieren.
Zu Hackingaktivitäten der NSA und anderer "befreundeter" Geheimdienste gegen deutsche Unternehmen und Regierungsorganisationen äußert sich das BSI nicht.
RBB und ARD berichteten über V-Mann VP01 alias "Murat" (05. Nov. 2017) 
Vor zwei Wochen haben RBB24 und ARD Sendung "Kontraste" über den V-Mann VP01 alias "Murat" (euphemistisch: "Vertrauens­person" des LKA NRW) berichtet, der verantwortlich für die Radikalisierung der islamischen Gruppe "Abu Walaa" war und der Anis Amri zu dem Anschlag auf den Berliner Weihnachtsmarkt im Dez. 2016 angestachelt hat. VP01 versuchte auch andere Mitglieder der Gruppe zu Anschlägen in Deutschland zu überreden, obwohl die Mehrheit der Gruppe nach Syrien gehen wollte, um sich dort islamistischen Kampfgruppen anzuschließen.

Angesichts der Toten des Anschlags von A. Amri zeigt V-Mann VP01 keine Reue. Er habe sich nur gemäß seiner Legende stets anschlagsbereit gezeigt und dazu gehören seiner Meinung nach auch "motivierende" Äußerungen wie:
Komm, du hast eh keinen Pass, mach hier was, mach einen Anschlag.
Neben A. Amri wurde auch Mikail S. von VP01 radikalisiert und zu Anschlägen angestachelt. Mikail S. wurde rechtzeitig verhaftet. Sein Strafverteidiger sieht es als erwiesen an, das VP01 ein "agent provocateur im Dienste des Staates" ist.

Nach der "Sauerland Terrorgruppe", die von Mevlüt Kar (V-Mann) aufgebaut wurde, und der "Globale Islamische Medienfront" (GIMF), die von Irfan Peci (V-Mann des BfV) aufgebaut wurde, ist die Gruppe "Abu Walaa" ein weiteres Beispiel für die zweifelhafte Rolle die V-Leute bei der Radikalisierung islamischer Terroristen. Um den eigenen Wert zu erhöhen und mehr Geld zu bekommen, schaffen sie aktiv ein Terrorgefahr, die sie eigentlich nur beobachten sollten.

Statt die Hintergründe für das Versagen der Sicherheitsorgane aufzuklären und die notwendigen Schlussfolgerungen zu ziehen, wurde nach dem Attentat (wie üblich) ein Ausbau der Über­wachung und die Erweiterung der Befugnisse des Geheim­dienste gefordert und genehmigt.
Lizenz: Public Domain