This is a read only archive of pad.okfn.org. See the
shutdown announcement
for details.
wastun
- Was Tun - Forum gegen Überwachung am 22.6. 14-18 Uhr
Ort: Wikimedia Dtl. e.V., Tempelhofer Ufer 23/24, 10693 Berlin
Arbeitsgruppen + Pads
Technik http://okfnpad.org/p/wastun-technik
Kampagnen & Öffentlichkeitsarbeit http://okfnpad.org/p/wastun-kampagne
Aktionen/Aktionsformen http://okfnpad.org/p/wastun-aktion
Bildung/Empowerment http://okfnpad.org/p/wastun-bildung
http://pad.okfn.org/p/wastuntxt
Links
Mailinglist: https://lists.schokokeks.org/mailman/listinfo.cgi/wastun
Web: http://ausserreichweite.org/ | Twitter: https://twitter.com/ausserrw | Facebook: https://facebook.com/ausserrw
Nächste Treffen
- nächstes #wastun-Forum: 31. August 2014, ein Tag nach der Freiheit statt Angst-Demo (Wikimedia anfragen!)
- nächstes Kampagnen-Treffen: 7. August? 19:30 Uhr, Laika, Emserstraße 131, Neukölln (regelmäßig jeden 1. + 3. Donnerstag im Monat)
- nächstes Technologie-Treffen: 18. August? 20 Uhr, Werkstadt Cafe, Emser Str. 124, Neukölln (#TA3M, jeder 3. Montag)
Gedächtnisprotokoll des Gesamtplenums (bitte ergänzen)
Erst mal läuft die Kommunikation weiter über die zentrale Mailingliste. Dabei bitte Themenfeld mit in den Betreff schreiben (Kampagne/Aktion/Bildung/Technik)!
Es soll ein gemeinsames offenes Wiki geben, um alle Inhalte zu bündeln.
Wenn wir etwas Basismaterial erarbeitet haben (Kampagnengruppe), soll bald eine erste Aktion stattfinden.
-- Ideen für das nächste Forum
- Dezentralisierung des Protests
- Auf dem letzten Forum gab es schon vereinzelt Beiträge in diese Richtung: Da wir nun beständige Kampagnen- und Technikforen haben, könnten wir das nächste #wastun wieder etwas dynamischer gestalten. Es könnten mehr einzelne Projekte, Initiativen und Aktionen im Vordergrund stehen, für die #wastun das Forum bietet, um Mitstreiterinnen zu gewinnen. Ein bißchen wie ein Basar der Aktivitäten.
- #wastun muss so keine einheitliche Gruppe sein, in der sich alle immer einig sein müssen. Stattdessen ist es Aggregatorin eines diversen Protests. Ist ja auch eigentlich jetzt schon so. ;)
- Ein möglicher Ablauf könnte dann sein, dass sich zuerst Aktivistinnen und Initiativen mit konkreten Projekten vorstellen, dann sich die Interessierten zusammenfinden, die Projekte konkretisieren und abschließend wieder ins Plenum geben mit konkreten Terminen und Infos zur Beteiligung.
-- Archiv
Vorbereitungstreffen, Montag 26.5. - 19 Uhr
Ort: Lokaler, Oranienstr. 19a., 10997 (bei Heinrichplatz, QG/Hinterhaus, 2. Stock)
Um wieder Schwung in #wastun zu bringen, wollen wir ein weiteres größeres Treffen am Sonntag den 22.6. in Berlin vorbereiten.
Es soll von 15 bis 19 Uhr dauern.
Wir wollen diesmal das Programm konkreter vorbereiten. Gedacht ist nach einer gemeinsamen Runde in mehrere Arbeitsgruppen zu gehen, die im Vorhinein feststehen und dieverantwortlich von einer oder mehreren Personen vorbereitet und moderiert werden. Abschließend gibt es dann eine weitere Runde.
Arbeitsgruppen, die es geben wird (Arbeitstitel)
- Aktionsformen
- Kampagnen & Öffentlichkeitsarbeit
- Technologie
- Bildung & Empowerment
Weitere Ideen bzw. Angebote sind willkommen.
Wir haben schon Ideen für Räumlichkeiten; falls aber jemand noch Räume für 50-100 Leute an der Hand hat, bitte melden.
Um das Treffen zu planen, gibt es ein Vorbereitungstreffen am kommenden Montag, 26.5. um 19 Uhr; Ort: Lokaler, Oranienstr. 19a, 10997 (nahe Heinrichplatz (in den Hinterhof, 2. Stock im Quergebäude (Hinterhaus)).
Wer kommt:
Lorenz
Jürgen (juwalter@mailbox.org)
Ingo
Markus
Ideen & Vorschläge för Veranstatlungsort am 22.6.:
- L17 http://lehrtersiebzehn.de/ - seitdem der Festsaal in Kreuzberg abgebrannt ist, findet Pecha Kucha dort statt - ich finde es dort ganz nett, man hat auf jeden Fall Platz, und besonders teuer kann es auch nicht sein. Ich kann gerne Joachim von Pecha Kucha fragen, was die Konditionen sind. Man muss allerdings sagen, dass die Erreichbarkeit besser sein könnte - vom Hbf sind es ca. 10min zu Fuß. - Jürgen (juwalter@mailbox.org) -- SvenG: war neulich beim L17 zum pechakucha - und es wurde so sehr gequalmt, dass ich wieder gegangen bin. erreichbarkeit: der bus123 faehrt vom hauptbahnhof drei stationen zum "Poststadion" - das L17 ist dann max 100m weg davon. das L17 ist nicht im vorderhaus, sondern erreichbar ueber den ersten hinterhof. die raeumlichkeiten sind dann im dritten stock mit blick auf die bahngleise.
- Wikimedia - nach Rücksprache mit Julia und Gespräch mit Daniela von Wikimedia hätten wir aktuell die Möglichkeit die Räume bei Übernahme der Reinigungskosten von etwa 50€ zu bekommen, ob Wikimedia das Forum mit einer komplett kostenlosen Nutzung quasi sponsert, werden sie nächste Woche Dienstag erst entscheiden können. Was haltet ihr von dem 50€-Angebot? Wenn jeder der kommt 50 Cent/1 Euro in 'ne Büchse wirft, hätten wir diese Kosten vermutlich locker drin.
- Supermarkt
- Betahaus
- Humboldt Uni
- Rosa LuxemburgStiftung / ND Haus?
HIER NICHT MEHR EDITIEREN!
Ideen & Themen
- Plakatserie
- an Hochschulen, Schulen und in Museen dürften die Chancen passabel sein, einen dauerhaften Plakatplatz zu bekommen
- Logo/ Symbol entwickeln
- Regelmässige Youtube-Show zum Thema, um andere Zielgruppen zu erreichen(jung&naiv einbinden?)Kampagnenpakete entwicklen (Material, Aktionsidee-Briefings etc.), um lokal und regional gg. Überwachung zu protestieren
- Comicserie/ Comicreportage zum Thema
- Brettspiel zum Thema entwickeln
- Online Teach/ins zu Themen
- AKTION zivilen Ungehorsams: Rücküberwachung. Massenhaftes DIY abhören und livestreamen von Regierungsmitgliedern.
So sehr wie möglich 1:1 wie NSA. Entwicklung eines Rechtfertigungszwangs, weshalb da von Regierungsseite nicht gegen vorgegangen wird (bei den AktivistInnen aber schon). Rechtliches Schutzschild der Kunstaktion dazu nutzen.
- EntwicklerInnen freier Software sensibilisieren: "Was nicht geloggt wird, kann nicht gespeichert werden." Verschlüsselung als Standard usw.
- google-fonts und ähnliches aus websoftware entfernen - die Google fonts sind fast alle open source. Einfach runterladen und direkt einbinden.
- Es fehlen freie Alternativen und Operationsregeln/Finanzierungmethoden für Freie Clouddienste
- geht das dezentral nach dem Tor-Modell? eher nicht, oder?
- Die Leute nutzen Google Fonts fuer die Sites, weil es total praktisch ist und eine Alternative nicht in Sicht. Koennte natuerlich ein Verein eine funktionierende Alternative aufsetzen.Meinst du fonts im Sinne von Schriftart??
- es gibt alternative Anbieter, z.B. Adobe TypeKit. Muss nicht Google sein.
- Vielleicht reicht einfach eine Art Datenkartellrecht
- Die müssen noch für anderes sensibilisiert werden: http://www.crypto-fuer-alle.de/wishlist/sichtbarkeit/#crypto-oss
- Freie Tools zur Kollaboration von "Tracking" befreien. Beispiel: git als Versionskontrolle oder Kollaborationspads wie dieses enthalten zu viel Info
- Statt Google Analytics kann man Piwik (Freie Software, open source) aufsetzen http://piwik.org/, ist aber aufwendig. Die Empfehlungen der Datenschutzbeauftragten zum rechtskonformen Piwikeinsatz sind kaum praktikabel.
- Es fehlen klare Regeln was man loggen darf und was nicht, hier auch bessere Defaults für Webserver
- Die Regeln gibt es schon: Stichwort EU-Cookie-Richtlinie, leider nicht ins deutsche Recht umgesetzt
- Datenschutzkonforme Defaults für Webserver wäre eine tolle Sache. Dazu brauchen unabhängige Freie Software
- https://addons.mozilla.org/de/firefox/addon/ghostery/ Nett zur Bewusstseinsbildung
- Erweiterte Open-Source Lizenzen, um möglichen Einsatz in Überwachung und Anti-Menschenrecht zu untersagen. Ist rechtlich und von der Machbarkeit sicher schwierig.
- "privacy protected" lable for web services and apps. self proclaimed against checklist, peer reviewed?
- common protocol to report and share "threats to privacy" or "privacy violations" being carried by apps or web services, or their use licences.
- Sich inforimieren ueber die Nutzingsbedingungen auf http://tosdr.org
- Zu den Öffentlichkeitsarbeitsideen:
- Die Ausübung und Unterstützung von Überwachung gesellschaftlich "ächten" und das "unschuldige" Image (spähen usw.) unterminieren.
- Statistikgläubigkeit entgegenwirken, d.h. die Schwächen und Gefahren von BigData deutlich machen.
- Öffentliche Demonstrationen vor verantwortlichen oder untätigen Stellen?
- Das womöglich größte Problem zur Zeit ist, dass bisher niemand für sein Versagen von den Medien vorgeführt wurde. Absurderweise wird ja aber nicht einmal von der Politik bestritten, dass es ein Problem gibt. Ich vermute, diese mediale Untätigkeit ist vor allem darauf zurückzuführen, dass die Journalisten (fast) alle selber ihre Hausaufgaben nicht gemacht haben. http://www.crypto-fuer-alle.de/andere/hall-of-shame/
- Öffentliche Stellen sollten ohne Google-Analytics und Co laufen. berlin.de ist da ein besonders schlechtes Beispiel.
- Ich habe gegen die Administration vom EU-Parlament Beschwerde eingelegt, weil sie für die Parlamentswebsite Trackerdienste nutzen (andre)
- Es gibt für so ziemlich jeden Browser ein Plugin (von google!!), was verhindert, dass man bei Analytics getrackt wird. Vielleicht sollte man das mal bekannter machen? Hier mal der Link zum Chrome-Plugin: https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=de
- Aber nur, weil sonst deutsche und seit der EU-Cookie-Richtlinie auch andere europäische Websitebetreiber Google-Analytics nicht einsetzen dürften. Freiwillig hat google das nicht gemacht!
- Öffentliche Web-Seiten, auf denen ich z.B. meinen Termin für das Bürgeramt vereinbare, sollten ohne die kommerzielle Form des Tracking arbeiten.
- Das Google-Tracking Opt-Out hilft leider nicht gegen anderes und generell sollte ein Opt-In der Standard werden.
- dann halt: javascript aus. die probleme sind da, von daher ist es schon wichtig sich zu schützen. bzw solche services einfach zu meiden.
- Javascript aus! JA, wie ich finde, eine sehr lebensnahe Lösung, für die sich garantiert viele Menschen begeistern werden (SCNR)
- ich hab seit ein paar monaten js per default auf aus, und so doll kaputt ist das netz ohne garnicht. wenn doch, muss man halt 2-3 mal klicken und dann ist die website wieder hübsch ;)
- Two click Lösung von Social Buttons ist auch eine wichtige Sache.
- "Zertifikatemafia" - sehr wichtiges Thema imho. +1
- Die meisten Websites nutzen keine SSL Verschlüsselung, da die Browser keine offene Zertifizierung unterstützen.
- Was soll denn "offene Zertifizierung" sein? Von der bösen Suchmaschine 'Keine Ergebnisse für "offene zertifizierung" ssl OR "x.509" gefunden' zu bekommen, ist ja doch eher ungewöhnlich.
- https:// als default wäre mit offenen Zertifikaten möglich
- Derzeit eine Art Kartell von Zertifikatemafia und Browserherstellern, überteuerte Zertifikate von zweifelhaften Wert (aka Ausweis nach Israel faxen), Browser finanzieren sich z.T. über die Zertifikatehersteller (Import von deren Rootzertifikaten)
- EU Signaturgesetz (modelliert nach deutschem Recht, von 1999) geht an der Marktrealität vorbei und macht kommerzielle Zertifikate künstlich teuer (z.B. Hinterlegung von mehreren hundertausend Euro)
- self signed certs? dieses ganze root-CA gedöns ist doch eh müll. Ebend!
- Problem: Wenn Dein Zertifikat abläuft oder nicht unterstützt wird vom Browser, bricht es Deine Seite, d.h. Du stehst schlechter da als ohne Zertifikat
- die "das zertifikat wurde nicht von vertrauenswürdigen quellen (harrharr) bestätigt"-meldung muss weg. wenn die verschlüsselungstechniken nicht unterstützt werden sollte der browser per default auf http wechseln... zu allererst sollten aber natürlich die entsprechenden algorithmen unterstützt werden - oder?
- Über (geplante) Alternativen zum CA-System informieren - http://security.stackexchange.com/questions/23648/what-alternatives-are-there-to-the-existing-certificate-authority-system-for-ssl
- X.509 muss dringend dahingehend umgebaut werden, dass ein Zertifikat von mehreren CAs signiert werden kann. Das wäre der erste Schritt, sich von schlechten CAs lösen zu können.
- und dann kann ich mich von x CAs gleichzeitig verarschen lassen?
- Mal abgesehen davon, dass das keine Änderung gegenüber der heutigen Situation wäre: Dann könnte man Trust-Faktoren wie beim OpenPGP-WoT einführen, so dass gar keine einzelne CA mehr Schaden anrichten kann. Heute setzt X.509 den Trust jeder CA unveränderlich auf 1.
- sobald ich die identität von einem dritten verifizieren lassen muss, muss ich mich auch fragen, wie vetrauenswürdig der dritte ist. von daher ist das eigentliche problem noch nicht gelöst, es kommt nur ein layer dazu der das ganze verkompliziert.
- wäre es nicht sinnvoller auf seiner website den hash seines zertifikates zu veröffentlichen? stimmt der hash, stimmt das zertifikat - dann brauch ich auch keine signings mehr
- und der der die Website hackt, braucht nur den Hash auszutausen. oder eine gefälschte aufsetzt, braucht nur seinen eigenen Hash-Wert einzusetzen.
- kritisch beleuchten:
- Datensammlung und Sichtbarkeit im "Internet der Dinge"
- Smart-Meter und co
Für Öffentlichkeitsarbeit:
- Wege aufzeigen die eigene Angst und Betroffenheit in Handeln zu verwandeln, denn Angst haben schon sehr viele, aber resignieren angesichts der scheinbaren Überlegenheit der Überwachung.
- Sanktionen gegen Spionagekollaborateure z.B. Visaerschwerung/-sperren für CEOs von Firmen, die europäisches Internet ausspionieren?
Wie gefährlich sind Meta-Daten?
- Du telefonierst mit einem Frauenhaus und wechselst danach deine Telefonnummer.
- Du rufst monatlich in einer Praxis für Krebspatienten an.
- Du schreibst immer SMS an eine bestimmte Nummer, wenn dein Partner mit seiner/m besten Freund/in telefoniert. (gendern nach Bedarf)
- Die Nazis hatten in den besetzten Niederlanden leichtes Spiel, weil es eine zentrale Einwohnerkartei mit Religionszugehörigkeit gab.
- Wieso darf protokolliert werden welche Artikel man im Netz bei Online-Zeitungen liest? Man stelle sich das bei Printmedien vor.
Solche Beispiele auf Flyer, Plakate drucken / den Leuten nahelegen
- da kann man sich gleich mal Gedanken über die Finanzierung dessen machen / flyeralarm ist doch nicht teuer/ aber die Arbeitsbedingungen sollen dort unter aller Sau sein.
Dezentrales Internet
- Home-P2P-Boxes: Freedombox / Freebox
- -> Open Source Hardware, Free Software: Home-P2P-Box für verschlüsselte/obfuszierte Kommunikation, dezentrales Social Network, Dropbox-Alternative, File-Sharing
- Sinn? Freedombox ist eine Software, die seit fast zwei Jahren bei 0.1 steckengeblieben ist. Praktikable Lösung für 0,00001% der Bevölkerung
- Freedombox ist aktiv, 0.2 wurde vor kurzem released. Auf der Konferenz stelle ich ein simpleres Projekt vor, das verschiedene P2P Applikationen in einer Plug'n Play-Box vereint.
- aka the Eben Moglen show :)
- Ich bring 3 Freedomboxen mit.
- Unhosted
- ownCloud anstatt Dropbox oder Google Apps: http://owncloud.org
- Freifunk / Meshnetze / Vergemeinschaftung der Mobilfunkinfrastruktur
- DIY-ISPs - https://www.diyisp.org
- peer-to-peer-Technologien (P2P) Retroshare, Torrent, GNU-net, Bitmessage.org
- Öffentlichkeitsbildende Maßnahmen bei Netzknotenpunkten z.B. Atlantikkabel usw., bei denen wir seit Snowden wissen, dass Daten abgeschnorchelt werden. Benennen von Roß und Reiter. Ziel hier: Einschreiten der zuständigen Behörden.
- Ganz frisch - der Masterplan von YouBrokeTheInternet: http://www.wauland.de/files/2014-03-25_InternetForThe21stCentury.pdf
Digitale Notwehr
- Kryptographische Tools die gängige Praxis überall sein sollten (PGP, OTR, Truecrypt), (ist natürlich nur Symptom- und keine Ursachenbekämpfung)
- Entsprechende Werkzeuge sollten auch wieder öffentlich finanziert werden, wie Werner Koch um 2000 mit dem Windowsport
- Statt "Notwehr" (was Aktion vom Benutzer erfordert)
- in den Protokollen automatisch im Hintergrund einbetten.
- Oder Verpflichtung staatlicher Stellen zum Einsatz von GNUpg usw.
- Oder Verpflichtung der Hersteller zur Unterstützung, wenn sie europäische Kunden haben,
- Protokolle, die ein besonderes Sicherheitsrisiko darstellen, z.B. unverschlüsselte Emailserverzugänge als abmahnfähige Ordnungswidrigkeit der ISPs (aber mit Bestandsschutz).
- einheitliche Sicherheitslevel (vielleicht auch für Anonymität sinnvoll), damit man leicht (Praxistauglichkeit!) gemeinsame Niveaus aushandeln kann und dafür sensibilisiert wird, dass man die Wertigkeit seiner Daten jeweils einzeln festlegen und die unterschiedlichen Gruppen eben auch unterschiedlich handhaben muss
Ja und auch die Verbreitung von Linux, wobei wir da auch aufpassen müssen, wie z.B. bei Ubuntu: https://one.ubuntu.com/privacy/ und https://fixubuntu.com/ Daneben der Sinn der CPU und damit Ebergief5resser und Datensammler, wie zeitgeist und tracker in Linuxdesktops.
- Damit könnten wir die Massen kriegen: http://www.alt-aber-sicher.de/
- Hilariös. Die Massen wollen eher ein sicheres zweit-Tablet. Am besten erst-Tablet. Sorry, die Idee ist Zeitverschwendung.
Snowden
- Ideen Entwicklung wie man ihm helfen könnte (befristetes Asyl in Russland)
- Zusammenstellung der Best Of seiner Enthüllungen gibt es schon als Buch "Der NSA-Komplex" bzw. "111 Gründe Snowden zu unterstützen"
- Benefiz-Konzert mit möglichst vielen bekannten Bands organisieren (Lindenberg, Helden, Hosen, Ärzte etc. alle die Asyl für Manning/Snowden/Assange unterstützen) und prominente Befürworter von #Asyl aus den Parteien einladen (Ströbele Wagenknecht etc.)
- Spenden sammeln für TV-Spots mit bekannten Fernsehdarstellern, Künstlern etc. die Asyl für Manning/Snowden/Assange fordern
- Benefiz-Sampler mit Bands gegen Überwachung und für Asyl für Manning/Snowden/Assange
- Soli-Buttons #Asyl kostenlos überall verteilen um das Thema im Öffentlichen Raum (Rucksäcke, Taschen, Jacken) präsent zu machen
- #Asyl-Shirts drucken lassen und im Internet zum Freundschaftspreis verkaufen (Nachahmeffekt wenn Promis das Ding im TV tragen), #Asyl muss cool sein
- Sponsoren suchen z.B. #Asyl-Tarif der DB, #Asyl-Mobilfunkvertrag, #Asyl-Briefmarken (wenn so was geht) damit das Thema überall präsent wird
- #Asyl-Tarif der Air Berlin... Asyl-Tarif der Lufthansa. Bei der Abschiebung. SCNR.
Sicherheitsforschung
- PPP in der Sicherheitspolitik/-Forschung "Horizont 2020"
- Forschung an Universitäten (Zivilklausel) vs. Forschung in privaten Unternehmungen
- Freiheit der Lehre? - Freiheit der Forschung
- "DualUse" - ein (Kampf)-Begriff der zur legitimation unethischer Forschung herangezogen wird.
- das Internet ist dual-use. Unethisch, abschalten.
- stimmt, es bedarf zum jeweiligen Objekt eine genaue betrachtung
Regelmäßiges PGP-Keysigning-Event
- existiert so etwas möglicherweise schon?
- vielleicht parallel zu den Cryptopartys die regelmäßig stattfinden. (cryptoparty.in)
- (ist keysigning noch en vogue und löst es ein echtes Problem? Ich hätte gar kein Problem damit, wenn ich mir eine Signatur von meinem Notar holen kann und er sie in den Tresor steckt oder eine Signatur vom Bürgeramt mir abholen könnte),
- Das bisherige WoT (? - Web of Trust) ist eine einzige Katastrophe. Es gibt kein System, um einheitlich die wichtigen Aspekte mitzuteilen (was wurde wie geprüft). 90% der Signaturen haben nicht mal einen cert level, 5% haben eine Zertifizierungsrichtlinie, quasi niemand hat eine darüber hinausgehende Schlüsselrichtlinie. Das ist bisher mehr Beschäftigungstherapie als Sicherheit. Ähnliches Problem wie http://www.crypto-fuer-alle.de/wishlist/securitylevel/
- Was nützt z.B. eine Ausweisprüfung? Wer Ausweisprüfung will, der kann auch gleich den Behörden die Ausgabe von Zertifikaten überlassen. Die WoT paranoia gegen zentrale Infrastrukturen und libertäre Ansätze geht imho am praktischen Problem vorbei.
- Es spricht zumeist nichts dagegen, dass auch Behörden Zertifikate signieren (außer vielleicht der Rechtslage; ich nehme an, der Staat darf der Wirtschaft da nicht einfach so Konkurrenz machen). Es wundert sich ja auch niemand darüber, dass der Staat Ausweise ausgibt. (Oder?)
- Wozu wird die genaue Feststellung der Identität denn wirklich benötigt? Verschlüsselung ohne gleichzeitige Identifizierung ist wichtig., d.h. verschlüsselt anonym kommunizieren.
- Es gibt für jede technische Variante Szenarien. Mit anderen Worten: keine Variante ist allein seligmachend oder sinnlos. Die Frage ist: Wie häufig sind die einzelnen Szenarien? Sind womöglich viele Nutzer von einzelnen Szenarien "nie" betroffen? Meine Einschätzung:
- Die gesamte "normale" Kommunikation muss signiert werden, um den Computerkriminellen das Handwerk zu legen.
- Es muss nicht alles verschlüsselt werden (und heutzutage sollte das auch gar nicht gemacht werden: http://www.openpgp-schulungen.de/kurzinfo/irrtuemer/#encryptall), aber jeder muss die Möglichkeit haben, fallweise zu verschlüsseln. / fragt sich ob der Benutzer hier bewusste Entscheidungen zu treffen hat. Sprich, Verschluesslung im Hintergrund.
- Harte Anonymisierung ist sehr schwierig (viel schwerer als Kryptografie), und die meisten Leute brauchen das nicht. Und die meisten anderen brauchen es für die meisten ihrer Kontakte auch nicht. Offensichtliche Kontakte (Familie, Firma, Vereine) braucht man nicht zu verschleiern, und die effektive Verschleierung erfordert weitaus mehr als nur bessere E-Mail-Systeme. Das hier mag ein passabler Kompromiss sein: http://www.crypto-fuer-alle.de/wishlist/cinda/
Philosphische und kulturelle Betrachtungen
- Die "Datenschutzszene" ist tradionell stark darin technische belange zu betrachten. Ich halte es für unbedingt Notwendig auch Fragen zur Kultur, Ethik und zum Wirtschaftsystem zu stellen. +1+1...und Gender +1
- Genau. Damit Leute, die eben noch das gemeinsame Ziel hatten, technisches Wissen zu verbreiten und das allgemeine Sicherheitsniveau zu erhöhen, sich dann schön über Politik streiten können und man am Ende die kompetentesten Leute von seiner Schulungsveranstaltung auslädt, um die politische Botschaft der angeblich politisch neutralen Veranstaltung nicht zu gefährden... Wer Politik machen will, soll das in einer Partei tun. ( wo steht, dass es bei Außer Reichweite nur darum geht "technisches Wissen zu verbreiten" und Politik außen vor zu lassen? Der naive Glaube, Technologien könnten neutral und unpolitisch sein hat uns doch die ganze Misere eingebrockt, fände es ungünstig wenn das nicht besprochen werden kann)
- Was ist mit dem G10 Gesetz? Wird das jetzt reformiert? http://www.gesetze-im-internet.de/g10_2001/
- Ist Verschlüsselung auch anti-privacy, etwa Senderverifikation?
- Verschlüsselung und Signierung haben erst mal nichts miteinander zu tun.
- Legen Keyserver evtl. Netzwerke offen? (ok, akademisch in Zeiten von Facebook)
- Zertifizierung via Facebook eine gute Idee? Eine Signatur per Facebokaccount über FB login?
- Hilfreich wäre eine Zertifizierung der E-Mail-Adressen (ohne Name) durch den Mailprovider
- es braucht Argumente, warum man den eigenen Datenschatten klein halten sollte
- unzählige Leute veröffentlichen sich selbst freiwillig (FB, youtube, Talkshows) - warum eigentlich? und werden die sich überzeugen lassen, ihre Emails zu verschlüsseln und ihre Payback-Karten nicht mehr zu benutzen?
FreieSoftware - FreieFormate - FreieNetze - FreieProtokolle
Datenschutz und Datenverwendung
- Während es Regeln zum Datenschutz gibt, die an der Quelle ansetzen, gibt es kaum gesetzliche Regelungen zur Datenverwendung / zulässigen Geschäftspraktiken für Daten. z.B. kann Google meine EMails für die Anpassung von Werbung durchsuchen, aber was ist mit anderen Verwendungen? Z.B. kann eine App auf mein Addressbuch zugreifen, aber wie schützt mich das Gesetz vor unerwartbaren Nutzungen durch denjenigen, der Zugriff erlangt
- "sittenwidrige Datennutzung"?
- Die Eurropäischen Regeln zum Datenschutz regeln selbstverständlich auch die Datennutzung durch Dritte. Das Problem ist, dass derzeit für viele datennutzende (datenmißbrauchende) Firmen leider das EU-Recht nicht gilt, sondern das Recht ihres Landes (z.B. US-Recht).
- "free flow" in "Drittstaaten"?
Existierende Initiativen
Es gibt bereits zahlreiche Initiativen die sich mit genau diesen Themen auseinander setzen. Kooperationen statt Konkurrenz mit ihnen fördern.
Hierzu vielleicht mal eine Liste erstellen?
Initiativen schaffen
Damit sich die Qualität des (deutschen) Internets merklich ändert, dürften wir etwa zehn Millionen Nutzer brauchen (in fünf bis zehn Jahren). Das ist auf keinen Fall zu schaffen, ohne dass das Thema an Hochschulen und Schulen präsent wird:
Eine spannende Frage ist, was man (v.a. kleinen) Unternehmen empfehlen kann, was sie dafür tun können, um ihre Situation zu verbessern. Auch wenn es da ein kleines Budget gibt, wüssten vermutlich im Moment die meisten gar nicht, was sie damit anfangen sollen.
- Wie gut skaliert der Ansatz? Ich meine "wenn alle das machen würden" Ansätze sind immer zum Scheitern verurteilt. Und Bewusstseinsbildung von unten ist wie Propaganda.
- Welcher Ansatz?
- Selbstverteidigung von KMU.
- Ich kapier die Frage nicht so recht. Ich bin gebeten worden, im Mai auf dem IT-Sicherheitstag in Wildau einen kurzen Vortrag zu halten. Leute, die sich mit KMU viel besser auskennen als ich, sagen, dass dort das Interesse an dem Thema wachse. Auf dem aktuellen Niveau ändert "Wachstum" natürlich wenig. Mein Problem: Wenn ich dort sage, "Geben Sie X mal 500 EUR, damit er Y für Sie macht", dann werden das wohl einige tun. Wenn ich statt dessen sage, "Organisieren Sie doch mal eine Cryptoparty für Ihre Mitarbeiter", dann wird das wohl eher keiner machen.
- Sorry, ich meine in Bogota kann die Empfehlung "Kauf dir eine Knarre" ja richtig sein. Aber wenn wir von Sicherheit auf den Strassen sprechen, muss ja keine Aktion von Privatpersonen notwendig sein. Meine Empfehlung wäre nicht "Organisiere eine Cyptoparty" sondern tretet den Herstellern der Software in den allerwertesten, Änderung der Internetprotokolle, der Gesetze etc. Derzeit ist die effizienteste Antwort: Spendet an EDRI.org
- Viel Erfolg. Angesichts dessen, wie viel Scheiß ich in letzter Zeit sogar in der Crypto-OSS-Community erlebt habe, möchte die die Frage der Skalierung da gerne zurückgeben...
- Eine erste Empfehlung: Verschlüsselung bei vertraulichen Mails einsetzen, die Backup-Medien (insbesondere, die ausgelagerten) verschlüsseln, Auf die Nutzung von unsicheren Clouddiensten und MIcrosofts Office 365 verzeichten, .... Da gibt es einige Empfehlungen, die gegen werden können (spreche aus Erfahrung als externer Datenschutzbeauftragter)
Existierende Forderungskataloge
- Empfehlungen des Europaparlament Echolon-Berichtes 2001 http://www.europarl.europa.eu/sides/getDoc.do?type=REPORT&reference=A5-2001-0264&language=DE
- 29. ersucht die Kommission und die Mitgliedstaaten, geeignete Maßnahmen für die Förderung, Entwicklung und Herstellung von europäischer Verschlüsselungstechnologie und -software auszuarbeiten und vor allem Projekte zu unterstützen, die darauf abzielen, benutzerfreundliche Kryptosoftware, deren Quelltext offengelegt ist, zu entwickeln;
- 30. fordert die Kommission und die Mitgliedstaaten auf, Softwareprojekte zu fördern, deren Quelltext offengelegt wird, da nur so garantiert werden kann, dass keine „backdoors“ eingebaut sind (sog. „open-source Software“);
- 31. fordert die Kommission und die Mitgliedstaaten auf, Softwareprojekte zu fördern, deren Quelltext offengelegt wird, da nur so garantiert werden kann, dass keine „backdoors“ eingebaut sind (sog. „open-source Software“); fordert die Kommission auf, eine Qualifikation festzulegen für die Sicherheit von Software, die für den Austausch von Nachrichten auf elektronischem Wege bestimmt ist, nach der Software, deren Quellcode nicht offengelegt ist, in die Kategorie „am wenigsten vertrauenswürdig“ eingestuft wird;
- 32. appelliert an die europäischen Institutionen sowie an die öffentlichen Verwaltungen der Mitgliedstaaten, Verschlüsselung von E-mails systematisch einzusetzen, um so langfristig Verschlüsselung zum Normalfall werden zu lassen;
- ---> und warum wurde das nicht umgesetzt von den Verantwortlichen, verdammt!! -> na wegen dem TERROR!!1!elf
- ist ja witzig, ähm realsatire pur
- Empfehlungen des EU Snowdenberichtes 2014 http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0230+0+DOC+XML+V0//DE
- 4. betont, dass das Vertrauen zwischen den beiden transatlantischen Partnern, das Vertrauen zwischen den Bürgern und ihren Regierungen, das Vertrauen in das Funktionieren der demokratischen Institutionen auf beiden Seiten des Atlantiks, das Vertrauen in die Achtung der Rechtstaatlichkeit sowie das Vertrauen in die Sicherheit von IT-Dienstleistungen und Kommunikation zutiefst erschüttert ist; ist der Meinung, dass es dringend eines sofortigen und umfassenden Abwehrplans mit einer Reihe von Maßnahmen, deren Umsetzung öffentlich nachgeprüft werden kann, bedarf, um das Vertrauen auf all diesen Ebenen wiederherzustellen;
- 14. weist darauf hin, dass die genannten Befürchtungen durch die rasche technische und gesellschaftliche Entwicklung noch verstärkt werden, da das Internet und mobile Geräte aus dem modernen Alltag nicht mehr wegzudenken sind („allgegenwärtige Datenverarbeitung“) und das Geschäftsmodell der meisten Internetanbieter auf der Verarbeitung personenbezogener Daten basiert; vertritt die Auffassung, dass es sich um ein Problem bisher ungekannten Ausmaßes handelt; stellt fest, dass dies zu einer Situation führen kann, in der die Infrastruktur für die massenhafte Erhebung und Verarbeitung von Daten im Falle eines politischen Führungswechsels missbraucht werden kann;
- 15. stellt fest, dass weder die öffentlichen Institutionen noch die Bürger der EU sicher sein können, dass ihre IT-Systeme und ihre Privatsphäre vor Angriffen durch gut ausgerüstete Eindringlinge geschützt sind („keine 100%-ige IT-Sicherheit“); stellt fest, dass es für maximale IT-Sicherheit erforderlich ist, dass man in Europa bereit ist, ausreichende personelle und finanzielle Mittel für die Aufrechterhaltung der Unabhängigkeit und Eigenständigkeit auf dem Gebiet der IT bereitzustellen;
- 22. fordert alle EU-Mitgliedstaaten und unter Hinweis auf seine Entschließung vom 4. Juli 2013 und die Anhörungen vor dem Untersuchungsausschuss insbesondere das Vereinigte Königreich, Frankreich, Deutschland, Schweden, die Niederlande und Polen auf, dafür Sorge zu tragen, dass ihre aktuellen oder künftigen nationalen Rechtsrahmen und Kontrollmechanismen im Bereich geheimdienstlicher Tätigkeiten mit den Normen der Europäischen Menschenrechtskonvention und den Datenschutzgesetzen der Europäischen Union in Einklang stehen; fordert diese Mitgliedstaaten auf, die Anschuldigungen von Massenüberwachung, einschließlich der Massenüberwachung grenzüberschreitender Telekommunikation, von ungezielter Überwachung bei der kabelgebundenen Kommunikation, möglicher Vereinbarungen zwischen Nachrichtendiensten und Telekommunikationsunternehmen über den Zugang zu und den Austausch von personenbezogenen Daten sowie den Zugang zu transatlantischen Kabeln, von US-Geheimdienstmitarbeitern und -Ausrüstung auf dem Hoheitsgebiet der EU ohne Kontrolle von Überwachungsmaßnahmen, und ihre Vereinbarkeit mit EU-Recht zu klären; fordert die nationalen Parlamente dieser Länder auf, die Zusammenarbeit ihrer Geheimdienstaufsichtsgremien auf europäischer Ebene zu intensivieren;
- 29. fordert die Mitgliedstaaten auf, unverzüglich geeignete Maßnahmen, einschließlich gerichtlicher Schritte, gegen die Verletzung ihrer Souveränität und des allgemeinen Völkerrechts, die der Einsatz von Programmen zur Massenüberwachung darstellt, einzuleiten; fordert die Mitgliedstaaten zudem auf, alle verfügbaren internationalen Maßnahmen zu nutzen, um die Grundrechte der EU-Bürger zu verteidigen, insbesondere indem sie das zwischenstaatliche Beschwerdeverfahren gemäß Artikel 41 des Internationalen Pakts über bürgerliche und politische Rechte (IPBPR) auslösen;
- 30. fordert die Mitgliedstaaten auf, wirksame Mechanismen einzurichten, wodurch die Verantwortlichen für solche (Massen)überwachungsprogramme, die gegen die Rechtsstaatlichkeit und die Grundrechte der Bürger verstoßen, für diesen Machtmissbrauch zur Rechenschaft gezogen werden;
- 36. stellt fest, dass es sich bei den Unternehmen, die laut den Enthüllungen der Medien von der flächendeckenden Überwachung von Datensubjekten in der EU durch den US-Geheimdienst NSA betroffen waren, um Unternehmen handelt, die sich öffentlich zur Einhaltung der Grundsätze des „sicheren Hafens“ („Safe Harbour“) verpflichtet haben, und dass die „Safe-Harbour“-Vereinbarung das Rechtsinstrument ist, das für die Übermittlung personenbezogener Daten aus der EU in die USA verwendet wird (Beispiele sind Google, Microsoft, Yahoo!, Facebook, Apple und LinkedIn); erklärt sich besorgt, dass diese Unternehmen den Informations- und Kommunikationsfluss zwischen ihren Datenzentren nicht verschlüsselt haben, wodurch sie den Geheimdiensten das Abfangen von Informationen ermöglichen; begrüßt die diesbezüglichen Bemühungen einiger US-Unternehmen, die Vorhaben zur Verschlüsselung der Datenflüsse zwischen ihren globalen Datenzentren zu beschleunigen;
- 56. vertritt die Auffassung, dass eine zufriedenstellende Lösung unter dem „Rahmenabkommen“ eine Vorabbedingung für die vollständige Wiederherstellung des Vertrauens zwischen den transatlantischen Partnern darstellt;
- 65. fordert alle öffentlichen Einrichtungen in der Union auf, in Fällen, in denen Nicht-EU-Gesetze greifen, keine Cloud-Dienste zu verwenden;
- 92. verurteilt aufs Schärfste die Tatsache, dass Geheimdienste versucht haben, die IT-Sicherheitsstandards zu senken und „Backdoors“ („Hintertüren“) in vielen verschiedenen IT-Systemen zu installieren; fordert die Kommission auf, einen Gesetzesentwurf für das Verbot der Verwendung von „Backdoors“ durch Strafverfolgungsbehörden vorzulegen; empfiehlt folglich die Verwendung von quelloffener Software in allen Umgebungen, in denen die IT-Sicherheit eine wichtige Rolle spielt;
- 93. fordert alle Mitgliedstaaten, die Kommission, den Rat und den Europäischen Rat auf, ihre vollste Unterstützung, einschließlich Finanzierung im Bereich Forschung und Entwicklung, für die Entwicklung von europäischen innovativen und technischen Kapazitäten in Bezug auf IT-Instrumente, -Unternehmen und -Anbieter (Hardware, Software, Dienstleistungen und Netze), einschließlich zu Zwecken der Cybersicherheit, sowie Verschlüsselungskapazitäten und kryptografischer Möglichkeiten, zu gewähren; fordert alle zuständigen EU-Organe und die Mitgliedstaaten auf, in lokale und unabhängige Technologien der EU zu investieren und die Aufdeckungsfähigkeiten massiv zu entwickeln und zu vergrößern;
- 126. erachtet abhörsichere Kommunikationsstrukturen (E-Mail und Telekommunikation, einschließlich Festnetz- und Mobiltelefonen) und abhörsichere Sitzungsräume in allen wichtigen EU-Institutionen und EU-Delegationen für absolut notwendig; fordert daher die Einrichtung eines verschlüsselten EU-internen E-Mail-Systems;
- EU-Gesetzesentwurf von den #youbroketheinternet-Leuten: "Obligatory obfuscated and end-to-end encrypted communications in all telephony and computer appliances sold after 2014" (http://youbroketheinternet.org/legislation )
Sichtbarkeit des Themas
Meines Erachtens ist das Hauptproblem, dass das Thema Kryptografie (und ähnlich die anderen hier angesprochenen) im Alltag keine Rolle spielt. Wenn man davon nur im Fernsehen hört und in der Zeitung liest, dann fühlt "meine Mutter" sich davon nicht angesprochen, bezieht das nicht auf sich. Dadurch kann sich die "Das ist was für Freaks"-Meinung halten. Das Internet sieht genauso aus, wie man es erwarten würde, wenn Kryptografie ausschließlich ein Freak-Thema wäre. Ich vermute, dass es nicht der spektakulären Aufmerksamkeit der Berichterstattung bedarf, sondern einer dauerhaften Präsenz. Diese Sichtbarkeit muss von Privatleuten, Unternehmen und sonstigen Organisationen gleichermaßen geschaffen werden: http://www.crypto-fuer-alle.de/wishlist/sichtbarkeit/
- Du brauchst ja auch gar nicht zu wissen wie der Ottomotor funktioniert! Du brauchst Dir auch nicht selbst ein Auto zu basteln. Alles was "effort" erfordert hat schon mal einen Fehler. Es braucht keine "bewusste Entscheidung". Wenn Datensicherheit so etwas wie Vegetariertum ist, dann läuft da was falsch. Oder auf den irrealen "wenn alle das machen würden" Ökonomien.
- erinnerst du dich an "fightclub" und die dort dargestellte art und weise, wie die autohersteller die "sicherheit" garantieren, indem sie die kosten von entschädigungen und die kosten einer rückrufaktion gegeneinander kalkulieren? es geht nicht um "sicherheit". weder hier noch dort. daher müssen wir uns selbst kümmern und daher ist bewußtseinsarbeit wichtig.
- Die Vorstellung, es könne Sicherheit ohne bewusste Entscheidungen geben, ist grotesk.
- Bei meinem Auto deligiere ich das an den Hersteller und Gesetzgeber. Bei Lebensmitteln an Vertrauen und Gesundheitsbehörden. Nicht: "Die Verbraucher besser informieren und kundig machen um unsichere Autos zu erkennen" sondern Gesetze, Sanktionen/Haftung und Prüfstellen.
- Ich bin gerade nicht in der Stimmung, jemandem den Unterschied zwischen Autos und Verschlüsselung zu erklären.
- Man sollte die Aufklärungsarbeit in den Schulen unterstützen, denn hier wird extrem sorglos mit den Daten umgegangen (Stichwort .Cybermobbing, Facebookzwang) und hier kann man noch am ehesten eine Diskussion lostreten. Zumal man dort echte Multiplikatoren hat.
- Jugendliche brauchen einen Grund, sich mit dem Thema zu beschäftigen. Das Thema liegt nicht auf der Hand.
- siehe die Links im Block Initiativen schaffen
- Grundsätzlich passiert aber inzwischen was an den Schulen. Der Verband der Berlin-Brandenburger Informatiklehrer hatte Anfang März mehrere Workshops mit Berliner Cryptoparty-Leuten, und auch über diese Workshops hinaus war das ein Thema auf der Tagung: http://www.hyfisch.de/Fachgruppe/tagung13
Bedrohungen via MLATs Abkommen / lawful intercept, d.h. gerichtsverwertbar
- Hier erklaeren Ueberwachungsbefuerworter mit kommerziellen Motiven, wie sie MLATs fuer ihre Zwecke einspannen wollen
Sammlung unterschiedlicher Vorschläge: http://www.crypto-fuer-alle.de/wishlist/ <-- Linkschleuder ist doch schon min 10x-mal im PAD vorhanden.
- Die Seite habe ich hier vorher nicht verlinkt. Ich habe drei Links auf zwei Unterseiten, von denen man sie erreicht, hier reingesetzt. Kann sein, kann nicht sein, dass der geneigte Leser sich aus eigenem Antrieb durch die Seite klickt. Wenn in Zweifel gezogen wird, dass das Niveau dieser Linksammlung (z.B. gemessen an dem, was hier so steht) es nicht rechtfertigt, die Seite hier auch explizit aufzuführen, dann brauche ich Samstag nicht zu kommen.
- Kritik darf auch hart sein, nur eben nicht dumm. Und wenn das hier für Dich Spam ist, dann hat es sowieso keinen Sinn, mit Dir zu reden.
- Leute, seid lieb zueinander.. Sind wir, alles gut.
- Protestaktionen
- Demos bundesweit oder besser noch EU-weit besser koordinieren, am besten viele demos an einem bestimmten Tag statt an vielen unterschiedlichen Tagen (höhere Teilnehmerzahlen in der Presse)
- gridcalendar.org nutzen?or protestwiki?
- bestehende Termine
- Freiheit statt Angst 2014?
- nächster (International Day of Privacy) #IDP14
- Anti-Überwachungscamp den ganzen Sommer über machen (z.B. Berlin-Tiergarten oder Bad Aibling)
- Gibt es nicht irgendeine verlassene Stasizentrale oder sowas? Ja schon aber Camp&Berlin schlechte Kombination Wowereit+Polizei+Staatsschutz incl. V-Leute=Desaster (O-Platz/Occupy etc.)| Mahwache vielleicht besser. Hier> http://www.stasimuseum.de/verein.htm
- Irgendwann gab es doch mal ein Creativhub im Telegrafenamt...