Datenschutzfreundliche Alternativen zu Facebook & Co

[Update 18.07.2018: Abschnitt zu Humhub sowie Details zu anderen Plattformen ergänzt.]

Nicht erst seit den beiden jüngsten Datenskandalen rund um Facebook (Stichwort „Cambridge Analytica“, sowie Sammlung von SMS- und Anrufdaten) überlegen sich Viele, was eigentlich mit den eigenen Fotos, Nachrichten und „Gefällt mir“-Bewertungen passiert, nachdem sie einmal ins Netz gelangt sind. Eine Kontrolle darüber, wer auf Seiten der Dienstebetreiber private Nachrichten mitliest, ist aus Nutzersicht nicht möglich (s. z.B. „Microsoft liest heimlich Skype-Chats mit”). Ob Daten je wieder gelöscht werden können, scheint unsicher („Dropbox gesteht jahrelange Speicherung gelöschter Dateien“, „Facebook does not erase user-deleted content“).

Oft ist auch die Abgrenzung zwischen Komfortfunktionen und Datenausspähung nicht so einfach vorzunehmen. Wer will schon alle Freunde einzeln mit Telefonnummer, Profilbild, E-Mail-Adresse und Messenger-ID ins Smartphone eintippen, wenn die Übertragung auch automatisiert vonstatten gehen kann?

Eine Sache ist also klar: Ganz ohne Datenweitergabe sind öffentlicher Austausch und private Kommunikation nicht machbar. Aber es gibt Möglichkeiten, zumindest die Datenpreisgabe ein wenig einzudämmen.

Symbolbild zum Artikel (Foto: Marvin Meyer | Unsplash.com)

Die dezentrale Gemeinschaft: Eine „Föderation“ im sozialen Netzwerk

Seit mehreren Jahren versuchen verschiedene Entwickler_innen, eine solide Basis für soziale Netzwerke zu erfinden, die Werkzeuge zum Teilen von Inhalten mit dem Bedürfnis für Privatheit in Einklang bringen. Das soll vor allem dadurch gelingen, dass man die Hoheit über die eigenen Daten am besten gar nicht hergibt. Stattdessen könnte ein eigener Server aufgesetzt werden, der wiederum das eigene soziale Netzwerk beherbergt. Dabei gibt es natürlich die Auswahl zwischen „selbst hosten oder mitbenutzen“.

Dieser Lösungsansatz alleine würde natürlich zu kurz greifen: Wenn jede_r nur den eigenen Server bedient, wie wäre dann ein Austausch von Bildern und Nachrichten möglich? Die Antwort ist, dass sich Server verbinden lassen, über eine sogenannte „Föderation“. Als Nutzer_in muss ich mich dabei nur insoweit umgewöhnen, dass ich die Freunde nicht nur über den Namen, sondern mit einer Kennung ähnlich einer E-Mail-Adresse finde. Das Format wirkt vertraut und ist auch für Neulinge eingängig: name@server – und schon ist man in Kontakt (vorausgesetzt man wurde nicht geblockt ?).

Dieser dezentrale Ansatz findet immer mehr Eingang in die verschiedensten Open-Source-Plattformen und löst zugleich ein weiteres Problem: Bei Diensten wie Facebook, Google+, Whatsapp und Anderen ist man mehr oder weniger an die spezifische Herstellersoftware gebunden. Als Nutzer_in gibt es kaum Möglichkeiten sich die Funktionen und das Aussehen selbst zusammenzustellen oder gar auf alternative Produkte auszuweichen. Nach einem Wechsel der Plattform sind bei den marktbeherrschenden Diensten auch alle dortigen Kontakte verloren.

Bereits in den Anfangstagen des Internets wurden die Grundlagen für eine dezentrale Vernetzung und Freiheit bezüglich der konkret eingesetzten Software gelegt: Jede_r kann für sich selbst entscheiden, welches E-Mail-Programm man nutzen möchte, mit welchem Webbrowser man sich auf Websites bewegt oder über welche Anwendung man an den Chats im IRC teilnimmt. Abgeschlossene Plattformen mit festem „App-Ökosystem“ sind daher eher eine Entwicklung aus kommerziellen Interessen heraus.

 

Open Source to the rescue! Friendica, Diaspora, Hubzilla und andere

Mittlerweile gibt es mehrere freie Entwicklungen, die die Nachfolge von Facebook & Co. antreten wollen. Seit 2010 wird das Projekt »Diaspora*« vorangetrieben, für das sich aktuell ungefähr 650.000 Nutzer_innen eingeschrieben haben. Die verteilten Server, „Pods“, laufen auf der Computersprache Ruby. Da dies auf günstigen Webhostings eher nicht verfügbar ist, kann man sich alternativ »Friendi.ca« und »Hubzilla« ansehen. Diaspora verfügt derzeit als einziges der genannten Projekte auch über eine deutschsprachige (Erklär-)Website.

Die Vorteile der freien Wahl der Plattform, die aufgrund der Föderation auch mit den anderen Plattformen in Austausch treten kann, sind zugleich gelegentlich auch deren Nachteil: Jedes Softwareprojekt hat seine Stärken und Schwächen. Während möglicherweise bei einem der Projekte die Erweiterbarkeit durch jederzeit neue Plugins im Vordergrund steht, verlegt sich das andere vielleicht auf besondere Freiheiten für nomadische Profile.

Diaspora* ist zwar durch seine Crowdfunding-Kampagne vor wenigen Jahren stark in den Medien sichtbar gewesen; das bedeutet aber nicht, dass die „stilleren“ Projekte weniger leisten. Friendi.ca ist beispielsweise auch mit dem Hintergedanken ins Leben gerufen worden, dass Neuigkeiten und Informationen aus anderen Social Networks dort mit abgeholt werden können: Der eigene Umstieg auf Friendi.ca sollte also die bestehenden Kontakte in anderen Netzwerken weiter sichtbar und verfügbar halten. Dass Facebook & Co diese Öffnungsbestreben kritisch beäugen und teilweise aktiv bekämpfen, ist dabei leider auch nicht überraschend. »Hubzilla« wird des Öfteren als „eierlegende Wollmilchsau“ beschrieben, da auch Cloud-Funktionen wie Dateiablagen oder Netzwerkordner hier funktionieren. Allerdings fühlt man sich anfangs auf der Plattform ziemlich allein, da eine Pinnwand wie in anderen Netzwerken zuerst einmal fehlt. Insgesamt sind alle Aussagen über die eine oder andere Plattform auch relativ: Die Software-Projekte entwickeln sich aktiv weiter und lernen voneinander. Fehlende Funktionen werden nachgereicht, bestehende bekommen zusätzliche Verbesserungen.

Ebenfalls nicht ganz einheitlich ist die Benennung von eigentlich den selben Dingen: Während die verteilten Server bei Diaspora* als „Pods“ bezeichnet werden, nennt sie die freie Twitter-Alternative aus Jena, »Mastodon«, ganz technisch einfach „Instanzen“. (Eine Einführung zu Mastodon findet sich bei bento.)

Recht schnell zu verstehen ist das ebenfalls frei verfügbare »Humhub«. Es verfolgt zwar keinen föderierten Ansatz, sondern ist eher als „Social Intranet“ zu verstehen. Die Serveranforderungen sind ebenfalls nicht allzu hoch: Humhub kann ebenso wie Hubzilla oder Friendi.ca schon auf einem einfachen Webhosting installiert und durch Erweiterungen im Funktionsumfang aufgepimpt werden. Allerdings stößt man dabei derzeit noch schnell an funktionale Grenzen, wenn man von weiteren Anwendungen auf Kalender oder Kontakte zugreifen wollte. Erst eine kostenpflichtige „Enterprise Edition“ ergänzt fehlende Möglichkeiten.

Wem der konkrete Einstieg in eigene Server und föderierte Plattformen noch etwas zu kompliziert erscheint, kann sich auch bei nicht-gewinnorientierten, genossenschaftlich organisierten Social-Media-Plattformen registrieren. Eine davon ist die in Berlin angesiedelte Community von »Wechange.de«. Hier liegt der Fokus aber deutlich auf Vernetzung von thematisch aufgestellten Gruppen. Immerhin über 17.000 engagierte Personen tummeln sich mittlerweile auf dieser Plattform.

 

Dateien austauschen, Projekte managen: Nextcloud / Owncloud

Auf ein föderiertes Konzept setzen auch die populären „Clouds zum Eigenbau“, Nextcloud und sein Ahn Owncloud. Beide stellen in der fast überall zu betreibendenen Grundausstattung einen praktischen Ersatz für Dateiaustausch-Dienste wie Dropbox oder Google Drive dar und sind mit allen Arten von Betriebssystemen nutzbar. Sie können durch eigene oder zentrale Plugins erweitert werden, so dass auch ein selbst verwalteter Terminfinder (wie Doodle), Videotelefonate (Skype, Hangouts, Facetime) oder Projektmanagement-Werkzeuge zur Verfügung stehen.

 

Der Einstieg in diese neue Welt der eigenen Social-Media-Föderation ist nicht ganz leicht. Eine gewisse Lernkurve muss man in Kauf nehmen. Aber es lohnt sich!

ePartool: Mindestvoraussetzungen aktualisiert (PHP 7.1, MySQL 5.7, Verschlüsselung)

In wenigen Tagen erscheint das ePartool mit Unterstützung von regionalen Beteiligungsrunden (Landkarten-Funktionen) sowie Neuerungen bei den Abstimmungsmöglichkeiten (verschiedene Designs und Ja/Nein-Abstimmungen). Diese weitreichenden Änderungen haben wir zum Anlass genommen, die Mindestvoraussetzungen an das ePartool zu aktualisieren.

Wir empfehlen serverseitig den Umstieg auf PHP 7.1, das im Dezember 2016 erschienen ist. PHP 7.0 wird offiziell vom Hersteller noch bis Dezember 2018 gepflegt, jedoch werden wir das ePartool nur noch auf mindestens PHP 7.1 testen. Auch hinsichtlich der Datenbank empfehlen wir euch eine Aktualisierung. Der MySQL-Server 5.7 erschien bereits im Oktober 2015 – auch hier werden wir ältere Versionen nicht mehr in Tests berücksichtigen.

Zu guter Letzt gibt es nun eine verpflichtende Mindestanforderung an das ePartool: Die Übertragungsverschlüsselung (https) ist Voraussetzung für das Funktionieren der Landkarten-Funktionen. Hierfür wird ein sogenanntes SSL-Zertifikat benötigt, was allerdings bei Installationen der letzten Jahre auch schon längst üblich gewesen sein sollte: Ihr schützt doch sicherlich die Daten und Passwörter eurer Nutzer_innen, nicht?

Bei Fragen zu den Umstellungen helfen wir euch gerne weiter.

Heute ist „Safer Internet Day“

Am zweiten Tag der zweiten Woche des zweiten Monats findet jährlich der „Safer Internet Day“ statt. Die Zielsetzung an diesem „Tag für mehr Internetsicherheit“ ist über Aktionen und Informationen eine langfristige Sensibilisierung und Stärkung der Medienkompetenz für die Gefahren im Internet zu fördern. Mit jährlich wechselnden Schwerpunkten wird eine Bandbreite von Themen abgedeckt: „Safer“ kann das Internet ja in vielerlei Hinsicht sein.

Im Jahr 2018 steht der Aktionstag in Deutschland unter dem Motto »Alles Unter Kontrolle?!«. Es soll darum gehen, wie souverän und selbstbestimmt wir alle eigentlich online unterwegs sind.

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Damit der Safer Internet Day nicht nur ein Tag von Pressemitteilungen bleibt, fördern die Europäische Union und verschiedene Ministerien eine Vielzahl von Online-Angeboten, die von Telefonberatung und Jugendschutzmaßnahmen über eine Internet-Beschwerdestelle bis hin zu Fortbildungsangeboten für Kinder, Jugendliche und Erwachsene reichen. Einen guten Einstieg bzw. Übersicht über die verschiedenen Angebote gibt es unter der Adresse www.saferinternet.de. Einen großen Pool an Angeboten, sortierbar nach Sprachen und Altersspanne der jeweiligen Zielgruppe, gibt es unter www.saferinternetday.org/web/sid/resources/gallery.

Keine Chance für Hetze dank der »Internet-Beschwerdestelle«

Als Lesezeichen setzen kann man sich dabei auch die „Internet-Beschwerdestelle“, die sich um Inhalte in Deutschland und weltweit kümmert. Dabei klärt die Website auch über die Art der Inhalte und über die Verfahrenswege auf, die nach eine Beschwerde getätigt werden. Los geht’s auf: internet-beschwerdestelle.de

ePartool 4.7.0: Anonym Beitragen

Mit der heute veröffentlichten ePartool-Version 4.7.0 haben wir die Fähigkeiten für anonym stattfindende Beteiligungsrunden deutlich verbessert: In den Einstellungen einer Beteiligungsrunde kann nun ausgewählt werden, ob Beiträge anonym oder mit Angabe von persönlichen Daten (Name, E-Mail-Adresse usw.) übermittelt werden sollen.

Bisher konnten anonyme Beteiligungsrunden nur durchgeführt werden, indem die Teilnehmenden eine vorgegebene Standardmailadresse eintrugen. Nun entfällt dieser Schritt.

Die Einstellungen für anonymes Beitragen finden sich unter »Daten der Teilnehmenden«

Anonym übermittelte Beiträgen müssen wie bisher von den Veranstalter_innen der Beteiligungsrunde manuell im Backend freigeschaltet werden, bevor sie öffentlich sichtbar werden. Unverändert ist auch, dass Beiträge nach außen immer anonym angezeigt werden, egal ob persönliche Daten mit übermittelt wurden oder nicht.

Hilfe für nicht abgeschlossene Beiträge

Darüber hinaus sind Beiträge in nicht-anonymen Beteiligungsrunden, die noch nicht von Teilnehmenden bestätigt wurden, schneller für die Redaktion/Admins einsehbar: Sie sind anonym als Beiträge im Backend vorhanden und können ggf. manuell freigeschaltet werden. Unabsichtlich verloren gegangene Beiträge sollten damit der Vergangenheit angehören.

Nutzeroberfläche weiter entschlacken

Internetnutzung hat sich seit den Anfängen des ePartool deutlich verändert: Während anfangs nahezu alle Zugriffe von Desktop-Rechnern erfolgten, sind mittlerweile die mobilen Nutzer_innen mit entsprechend kleineren Bildschirmen in der Mehrheit. Dieser veränderten Situation tragen wir immer wieder durch kleine Anpassungen und Reduktion der Nutzeroberfläche Rechnung. In Version 4.7.0 haben wir den im Seitenkopf aller Unterseiten vorhandenen Textlink zur Startseite entfernt. Mittlerweile klicken Nutzer_innen intuitiv auf das große Seitenlogo, um zur Startseite zurückzukehren. Daher sehen wir in der Reduktion keine Einschränkung für die Barrierefreiheit oder Zugänglichkeit.

Reduktion des Seitenkopfes auf Unterseiten

Installation und Upgrade

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich. Allerdings muss beim Upgrade von der Version 4.5.x und 4.6.0 auch noch manuell ein Datenbankupdate ausgeführt werden:

ALTER TABLE `cnslt` ADD `anonymous_contribution` tinyint(1) NULL;
UPDATE `cnslt` SET `anonymous_contribution` = 0;
ALTER TABLE `cnslt` CHANGE `anonymous_contribution` `anonymous_contribution` tinyint(1) NOT NULL;
ALTER TABLE `cnslt` ADD `anonymous_contribution_finish_info` text NULL;

Tool-Tipp: Mit »DeepL Translator« gut verständlich übersetzen

Zwar ist es schon eine Weile her, als automatische Übersetzungsdienste „Bill Clinton“ noch falsch als „Rechnung Clinton“ ins Deutsche übertrugen, von Perfektion sind die bekannten Übersetzer von Google und Microsoft Bing trotzdem noch weit entfernt.

Das neue Angebot des in Deutschland beheimateten Unternehmens DeepL, das auch das bekannte Onlinewörterbuch Linguee betreibt, setzt nun auf neuronale Netzwerke und bietet einen komfortablen und sehr hochwertigen, automatischen Übersetzungsdienst an: Der kostenlose »DeepL Translator« ist erreichbar unter https://www.deepl.com/translator.

Unsere stichprobenartigen Tests ergaben, dass auch Texte mit Jugendarbeitsbezug gut lesbar in verschiedene Sprachen übertragen wurden. Sicherlich ist die automatische Übersetzung noch deutlich von einer muttersprachlichen Übersetzung zu unterscheiden, allerdings blieben die geprüften Textbeispiele im Gegensatz zu anderen Diensten gut verständlich. Falsch übersetzte Begriffe stellen bei DeepL ebenfalls kein Problem dar: Einfach auf ein falsch übersetztes Wort klicken und schon erhält man vom System mehrere Alternativvorschläge zur Auswahl.

Datenschutz: Wie bei allen kostenlos zur Verfügung stehenden Diensten im Netz muss man sich bewusst sein, dass die übertragenen Daten (also eure Texte) auf einem euch nicht bekannten Server verarbeitet und dort gespeichert werden können.

Bisher sind die Sprachen Deutsch, Englisch, Französisch, Italienisch, Niederländisch, Polnisch und Spanisch verfügbar. Im Zweifelsfall muss die Ausgangssprache nicht ausgewählt werden, sondern wird automatisch erkannt. Als weitere Sprachen angekündigt sind bereits Portugiesisch, Russisch, Japanisch und Mandarin.

ePartool 4.6.0: Sharing is caring!

Schon länger auf unserer Erledigungsliste stand die Überarbeitung der »Share«-Funktion. Dahinter verbarg sich seit mehreren Jahren eine Verbindung zu den Social-Media-Diensten Facebook, Google+ und Twitter. Allerdings war diese Funktion noch nicht sonderlich gut umgesetzt. Nicht nur, dass die Buttons langsam reagierten, sie waren zudem nicht einheitlich gestaltet und nicht zuletzt mit einem Datenschutzproblem behaftet. Bereits der Klick auf den »Share«-Button stellte eine Verbindung zu den Social-Media-Diensten her, auch wenn man gar nicht auf diese alle zugreifen wollte.

Mit der der ePartool-Version 4.6.0 wurde das Design dieser Funktion überarbeitet. Erst wenn ihr wirklich aktiv auf einen Dienst klickt, werdet ihr damit verbunden. Die nächste Version des ePartool wird voraussichtlich Ende der ersten Septemberwoche erscheinen und vor allem eine bessere Unterstützung für anonyme Beteiligungsrunde beinhalten.

Hier die alte und neue Share-Funktion im Vergleich:

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich.

Tool-Tipp: Große Dateien versenden mit send.firefox.com

Kurz mal einen Videoclip vom letzten Projektwochenende verschicken oder Druckvorlagen an eine Agentur schicken? E-Mail eignet sich leider für große Dateien nicht, so dass oft der Weg über Clouddienste wie Dropbox oder Google Drive gewählt wird. Diese Dienste sind allerdings nicht nur datenschutztechnisch umstritten (siehe z.B. hier und hier), auch setzen sie stets auch einen festen Nutzeraccount voraus.
Die gemeinnützige Mozilla-Stiftung, die allgemein vor allem durch Entwicklung des Firefox-Browsers und Thunderbird-Mailprogramms bekannt ist, bietet im Rahmen ihrer „Experiments“ einen neuen Dienst im Testbetrieb an: Dateien bis 1 GB Größe können ohne vorherige Anmeldung direkt übers Netz verschickt werden.

Dazu begibt man sich auf send.firefox.com, schiebt per Drag & Drop die zu versendende Datei in den Browser und und erhält einen bis zu 24 Stunden lang gültigen Link, der nur noch an den/die Empfänger_in weitergeleitet werden muss. Danach werden die Dateien wieder automatisch gelöscht.

Screenshot send.firefox.com

Die übersichtliche Seite send.firefox.com ist auch auf Deutsch verfügbar

Datenschutz: Die Dateien werden auf Servern der Mozilla-Stiftung bis zum Abruf durch den/die Empfänger_in zwischengespeichert. Theoretisch könnte die Stiftung oder Andere, die euren Link unbefugt erhalten, auf die Dateien zugreifen. Um die zu versendende Datei zusätzlich abzusichern, kann man sie vor dem Upload z.B. über ein populäres, sicheres Packprogramm wie 7zip in ein passwortgeschütztes ZIP oder 7z-Archiv packen. Das Vorgehen über ein ZIP-Paket bietet sich auch an, wenn ihr auf einen Schwung viele Dateien (z.B. Fotos) versenden wollt.

Keine Datenschutzbedenken mehr: Selbst einen Send-Server betreiben

Die zugrundeliegende Software entwickelt Mozilla als Open-Source-Tool. Die Entwicklung erfolgt offen zugänglich über Github (https://github.com/mozilla/send). Dort findet sich auch eine Erklärung, wie man selbst einen Send-Server aufbauen und für eigene Bedarfe in einem Projekt oder der eigenen Organisation betreiben kann.

Was ist eigentlich… „Vorratsdatenspeicherung”?

Die „Vorratsdatenspeicherung“ bezeichnet in der Regel eine anlassunabhängige Speicherung von personenbezogenen Daten, um sie später, im Fall eines Verbrechens, auswerten zu können. Im Augenblick der Speicherung gibt es also noch gar kein bekanntes Verbrechen.
Bei der Vorratsdatenspeicherung werden Daten zum Kommunikationsverhalten aller verfügbaren Nutzer_innen gespeichert. Dies kann z.B. Telefongespräche, Messenger-Nutzung, Standortdaten (GPS des Mobiltelefons), Fax, E-Mail oder Websiten-Abrufe bei den jeweiligen Providern umfassen. Es müssen jedoch nicht die Inhalte der Kontaktvorgänge selbst gespeichert werden. Gespeichert wird z.B., dass ein bestimmter Nutzer eine bestimmte Nummer gewählt hat, nicht aber, worüber er oder sie gesprochen hat. Mit den Daten lassen sich Persönlichkeitsprofile erstellen und das Nutzerverhalten analysieren. Es dient – so die Befürworter – der Aufklärung oder gar Verhinderung schwerer Straftaten.
Gegner der Vorratsdatenspeicherung befürchten ein Ausufern von Überwachung durch das Eindringen in die Privatsphäre oder die missbräuchliche Verwendung dieser Daten. Vereinbarte Anwendungsfälle der Vorratsdatenspeicherung könnten nachträglich erweitert werden – die Daten liegen ja schon bereit. Damit könnte die Gefahr von Selbstzensur oder die Beschneidung von eigentlich zulässigen Freiheiten bestehen, wenn die Bevölkerung jeden ihrer Schritte als beobachtet einschätzt.
In der Regel werden die Daten bei den Telefongesellschaften gespeichert und müssen dann je nach Rechtsprechung nach einem bestimmten Zeitraum wieder gelöscht werden. Die EU wollte eine solche VDS bereits 2006 verpflichtend einführen; Entscheidungen des deutschen Bundesverfassungsgerichts (2. März 2010) und des Europäischen Gerichtshof (8. April 2014) erklärten die Regelungen für ungültig. Seither gab es weitere Gesetzesinitiativen und Gerichtsurteile zu diesem Thema. Ob Telekommunikationsanbieter in Deutschland und Europa Daten nun auf Vorrat (und in welchem Umfang) speichern müssen, bleibt politisch weiter hart umstritten und wird zudem durch Gerichtsurteile immer wieder eingeschränkt.

Was ist eigentlich… ein »Staatstrojaner«?

Frage: In den Medien wird immer wieder von „Staatstrojanern“ und „Quellen-TKÜ“ berichtet. Worum geht’s da?

Antwort: Vom trojanischen Pferd, das einen Angriff auf die Stadt Troja von innen heraus ermöglichte, hat die Software-Gattung der »Trojaner« ihren Namen. Es handelt sich um vom Nutzer unerwünschte Anwendungen, die ihn ausspionieren, Daten manipulieren oder Geräte fernsteuern. Diese Trojaner existieren für Computer und Smartphones/Tablets gleichermaßen.
»Quellen-TKÜ« steht für Telekommunikationsüberwachung (TKÜ) an der „Quelle“, also dort wo die konkreten Vorgänge passieren. Es geht also darum die Trojaner direkt auf die Geräte der zu überwachenden Personen zu bekommen und dort die Daten live zu durchsuchen oder Eingaben oder Kommunikation mitzuprotokollieren. »Quellen-TKÜ« und »Online-Durchsuchung« sind daher auch die offiziellen Bezeichnungen für den Staatstrojaner. Unbemerkt vom Nutzer/von der Nutzerin soll das Mikrofon eingeschaltet werden, Bildschirmfotos gemacht und von der Ferne auf das Gerät zugegriffen werden.

Das Bundesverfassungsgericht beschloss 2008, den Einsatz von Staatstrojanern nur unter großen Auflagen für die Bekämpfung von Terrorismus zuzulassen. Der Bundestag möchte die Rahmenbedingungen und Einsatzmöglichkeiten allerdings derzeit deutlich erweitern.

Neben rechtsstaatlichen Fragen zieht Trojaner-Software aber auch konkrete Sicherheitsprobleme nach sich: Durch das Ausnutzen vorhandener oder neu geschaffener Einfallstore sind die Geräte auch noch anfälliger für Kriminelle. Man darf nicht vergessen: Die Überwachung soll der Aufklärung von Straftaten dienen und sollte daher nicht noch weitere Straftaten befördern.

Hilfe, wir wurden gehackt! – Sicherheit bei digitalen Angeboten

Beinahe täglich werden Fälle von Sicherheitslücken, Hackingangriffen und „Datendiebstahl“ veröffentlicht. Davon auszugehen, dass man mit einem kleinen Internetangebot im Netz unattraktiv für Angriffe ist, erweist sich als Trugschluss. Es trifft große und kleine Plattformen, Onlinehops oder Websites gleichermaßen: Automatisiert werden Sicherheitslücken ausgenutzt, um Schadsoftware weiterzuverbreiten, Passwörter abzugreifen oder Spam zu verteilen. Schutzmaßnahmen gegen solche Angriffe müssen heute bereits Bestandteil der Planung eines Internetangebots sein. Aber auch im laufenden Betrieb lässt sich mitunter mit geringem Aufwand die Integrität der eigenen Plattform und die Sicherheit der Teilnehmenden deutlich erhöhen.

Grafik: GR8DAN, CC0 1.0 (https://creativecommons.org/publicdomain/zero/1.0/deed.de)

Der Aufbau neuer Angebote im Netz ist eine spannende und oft anspruchsvolle Aufgabe: Es gilt – zumeist in Kooperation – die detaillierte Funktionalität zu entwickeln, ein passendes Design abzustimmen und immer wieder in Bereichen, die vorher noch nicht ganz durchdacht waren, nachzusteuern. Während man sich in der Regel darüber im Klaren ist, dass sich die Inhalte einer neuen Plattform später noch weiter entwickeln werden, werden Aspekte wie Zugänglichkeit, Hilfen in leichter oder einfacher Sprache oder Sicherheit eher nur zu Beginn thematisiert und umgesetzt. Sobald das Web-Angebot online ist, wird diesen Aspekten kaum noch Beachtung geschenkt: Die Website scheint ja nach bestem Wissen abgesichert; und auch für Menschen mit mobilen oder visuellen Einschränkungen vorbereitet zu sein. Also nichts mehr zu tun, oder?

Der Schrecken ist groß, wenn man nach einer Weile merkwürdige Beiträge auf seiner Site entdeckt, wenn aus unerklärlichen Gründen der Speicherbedarf riesengroß wurde oder der Provider auf einen möglichen Einbruch hinweist.

Was bedeutet eigentlich ein Hackingangriff und warum ist er schlimm?

Hinter einem Angriff steckt nur selten eine konkrete Person. Meist handelt es sich um Programme, insbesondere spezialisierte Bots, die systematisch nach Schwachstellen auf Internetservern suchen. Diese Schwachstellen werden dann von den Bots selbst oder von Anderen für unerwünschte Aktivitäten ausgenutzt.

Konkret sind Schwachstellen z. B. häufig in Formularen zu finden, die die Nutzerdaten nicht sicher von unerwünschten Eingaben befreien: Eine Internetsite kann dadurch dazu gebracht werden, die Eingabe nicht als Daten, sondern als Befehle zu interpretieren. Aber auch das „Einklinken“ fremder Inhalte ist häufig zu leicht möglich.

Für Betreiber*innen von betroffenen Internetangeboten bedeutet das eine Reihe von Problemen. Am offensichtlichsten sind das Abfließen von personenbezogenen Daten, das Abgreifen von Login-Daten (weil viele Nutzer*innen dasselbe Passwort oft auch woanders verwenden), das Einbauen von unerwünschten Inhalten oder das Verteilen von Schadsoftware und Spam-Mails vom Server aus.

Auch kleine Websites sind für Angreifer*innen interessant: Sie können genutzt werden, um monatelang unbemerkt illegale Downloads in allen ihren Facetten anzubieten oder um die Website als Teil eines Botnets einzusetzen, das andere Server durch millionenfache Anfragen in die Unbenutzbarkeit kickt.

Neben den direkten Konsequenzen für die Website-Besucher*innen kommen überdies auch weitere Folgen auf die Betreiber*innen zu: Suchmaschinen könnten das Internetangebot auf ihre schwarze Liste gefährlicher Sites nehmen. Bei nachgewiesener Nachlässigkeit drohen Kündigung durch den Provider oder gar juristische Konsequenzen. Und nicht zu vergessen ist der Vertrauensverlust bei den Nutzer*innen, der lange Zeit nachhallen wird.

Das beste Mittel: Es gar nicht so weit kommen lassen

Betreiber*innen sollten sich daher schon vorher regelmäßig darum kümmern, dass das eigene Internetangebot aktuellen Sicherheitsanforderungen genügt. In den meisten Fällen wird man die zugrundeliegende Software auf dem Server nicht selbst entwickelt haben, sondern vorgefertigte Content-Management-Systeme wie Typo3 oder WordPress einsetzen. Die wichtigste Regel hierbei lautet, dass alle Updates dieser Systeme so schnell wie möglich auf dem eigenen Server eingespielt werden sollten: Wo Schwachstellen beseitigt wurden, hat ein Einbruchsversuch geringere Aussicht auf Erfolg. Oben genannte CMS werden beim Einrichten einer Website häufig durch Plug-ins erweitert, deren Qualität sehr unterschiedlich ist. Hier sollten diejenigen, die die Auswahl der Plug-ins treffen, auch die Zukunft im Blick haben: Wenn Plug-ins nicht mehr aktiv weiterentwickelt werden, ist davon auszugehen, dass früher oder später Schwachstellen auftreten, die dann nur mit professioneller Hilfe oder gar nicht mehr abgesichert werden können.

Gleichzeitig gibt es sehr hilfreiche Plug-ins, die beispielsweise Kommentarfelder auf mögliche Spambots überprüfen und so unerwünschte Nachrichten auf der eigenen Website sogar abwehren können.

Um zeitnahe Updates sicherzustellen, muss man nicht täglich alle Hersteller-Websites abklappern: Automatische Benachrichtigungen und Newsletter können behilflich sein. Eine Überprüfung auf Aktualisierungen benötigt häufig weniger als eine Stunde pro Vierteljahr – und sollte im besten Fall sogar täglich geschehen.

Sollte der Server nicht bei einem Webhosting-Provider angemietet worden sein, sondern selbst aufgesetzt und betrieben werden, dürfen die regelmäßigen Updates fürs Betriebssystem und die darauf laufenden Dienste wie Programmiersprachen, Web- und Datenbank-Server nicht vernachlässigt werden.

Zugangspasswörter von Nutzer*innen zu schützen, ist eine der Kernverantwortlichkeiten von Anbieter*innen. So muss z. B. verhindert werden, dass das System endlos neue Login-Versuche mit zufälligen Passwörtern zulässt. Gut ist es, wenn jeder fehlerhafte Login-Versuch eine kurze Zwangspause nach sich zieht. Damit können Angreifer*innen statt tausender Testballons nur noch wenige Anfragen im selben Zeitraum senden.

Auf älteren Internetangeboten werden Passwörter häufig nicht so hinterlegt, dass sie gegen Auslesen geschützt sind. Dies ist besonders problematisch, da Nutzer*innen oftmals dieselben Passwörter auf verschiedenen Sites verwenden. Ein Abgreifen auf einem Server zieht also Probleme auf weiteren Angeboten nach sich. Auf keinen Fall sollten Passwörter im Klartext abgespeichert sein. Durch das Bilden eines „Hash“, einer Art Quersumme bestehend aus mehreren Zeichen, können Betreiber*innen sogar ganz davon absehen, das tatsächliche Passwort auf dem Server zu hinterlegen: Die Kennworteingabe wird einfach ebenfalls „gehasht“ und mit dem hinterlegten Wert verglichen. Die Standards dieser Absicherung haben sich im Laufe der Jahre verändert. Bei älteren Sites ist daher möglicherweise der Umstieg auf einen neueren Standard ratsam. Das bedeutet jedoch, dass alle Nutzer*innen ihre Passwörter selbst einmal neu vergeben müssen: Neue Kennwörter unverschlüsselt per E-Mail zu verschicken ist dabei keine gute Idee.

Eine Verbindungsverschlüsselung zum Internetangebot sollte heutzutage Standard sein: Erst wenn Nutzer*innen eine Website über https statt über http aufrufen können, ist die Eingabe personenbezogener Daten und Passwörtern vor fremden Einblick abgesichert. Das gilt übrigens auch für die administrativen oder redaktionellen Logins, die man zum Pflegen der Inhalte braucht.

Hilfreich bei der Einschätzung von möglichen Sicherheitslücken sind Dienste wie das Mozilla-Observatory, das ein Internetangebot auf viele potenzielle Angriffspunkte überprüft und hilfreiche Infos zum Absichern gibt. Dabei muss man jedoch stets Augenmaß behalten: Nicht alle Absicherungen sind sinnvoll, wenn dadurch das Internetangebot nur noch umständlich nutzbar wird und Nutzer*innen möglicherweise fernhält.

Websites, die nicht mehr aktiv bespielt werden, sondern lediglich aus dokumentarischen Zwecken online erreichbar bleiben sollen, kann man überdies auch für lange Zeit absichern, wenn alle datenbankgenerierten Inhalte einmalig als statische Seiten exportiert werden und der Datenbankserver abgeschaltet wird. Da alte Projektwebsites in der Regel seltener aufgerufen werden, könnte ein Servereinbruch eine Weile unbemerkt bleiben.

Auch ist „automatisches Vergessen“, d. h. automatisiertes Löschen nach einem gewissen Zeitraum, ein guter Ansatz. Nicht mehr benötigte Daten werden entfernt, bevor sie für unerwünschte Zwecke missbraucht werden können.

Grundsätzlich gilt: Alle Daten, die nicht erhoben werden, können später auch nicht in fremde Hände abwandern. Das Prinzip der Datensparsamkeit ist also weiterhin eine sinnvolle Herangehensweise. Und Hand aufs Herz: Benötigt man von Nutzer*innen wirklich alle Angaben – von Alter über Stadtteil bis hin zu Hobbys?

Sich als Anwender*in schützen

Entgegen der landläufigen Meinung stellen nicht Antivirus-Programme das A und O der Absicherung dar, sondern regelmäßige Updates des genutzten Betriebssystems und der darauf laufenden Software. Ein Antivirus-Programm kann sogar neue Sicherheitslücken ins System reißen, so dass manche renommierte Entwickler*innen sogar gegen Antivirus-Programme wettern.

Passwörter sollten eher lang (14 Zeichen oder mehr) und mit einer Eselsbrücke zu merken sein. Kurze, aber kryptische Kombinationen führen eher dazu, dass man die Passwörter vergisst. Da Angreifer*innen in sogenannten Brute-Force-Attacken einfach alle möglichen Kombinationen durchprobieren, ist jedes Extrazeichen ein deutlicher Sicherheitszugewinn: Allein wenn man die 26 Buchstaben in Groß- und Kleinbuchstaben und die Ziffern 0-9 heranzieht, dann bedeutet jedes zusätzliche Zeichen eine 62-fach höhere Sicherheit! Empfehlenswert ist natürlich auch der Rückgriff auf Sonderzeichen an unerwarteter Stelle, dann sind Attacken auf Basis von Wörterbüchern weniger Erfolg versprechend.

Überraschend ist möglicherweise auch die Erkenntnis, dass Adblocker, also Browser-Erweiterungen, die das Einblenden von Werbung verhindern sollen, den eigenen Rechner auch besser absichern: Leider ist in der Vergangenheit gerade über die Werbenetzwerke, die selbst auf großen Onlinemagazinen zum Einsatz kommen, oftmals Schadsoftware an die Besucher*innen verteilt worden.

Und wenn doch einmal etwas schiefläuft

Wenn doch einmal ein Servereinbruch stattgefunden hat, dann gilt es dennoch Ruhe zu bewahren. Die betroffenen Dienste sollten so schnell wie möglich offline genommen werden, bis sie wieder in abgesicherter Weise zur Verfügung stehen. Auch den Nutzer*innen gegenüber sollte man transparent sein: Dies zeigt, dass man vertrauenswürdig bleibt selbst in Problemsituationen. „Security by obscurity“, also Sicherheit durch Verheimlichen vorzutäuschen wird langfristig nicht helfen. Auf Sicherheitslücken spezialisierte Suchmaschinen stehen in den Tiefen des Internets schon zur Verfügung.

CC BY 3.0 DE
Tim Schrock arbeitet beim Deutschen Bundesjugendring und ist innerhalb des Projekts jugend.beteiligen.jetzt zuständig für die Entwicklung digitaler Tools für Jugendbeteiligung.