 Der Marius, der will uns über Datenschutz und IMSI-Catcher zählen. Ich danke dir, Marius. Dankeschön. So, Datenschutzfirmen, Aktivisten und Aktivistinnen ist mein Vortrag heute. Inhaltlich ist das ein Einsteigervortrag. Das heißt, wer vielleicht schon mal gehört hat, was ein IMSI-Catcher ist oder wer schon mal was von Ende zu Ende Verschüsselung gehört hat, wer weiß wahrscheinlich schon die meisten Sachen, die einfach in diesem Vortrag sind. Aber ich denke, es gibt halt viele Leute, die irgendwie im Aktivismusbereich sind, die vielleicht nicht das tiefe technische Wissen dahinter haben und für die ist dieser Vortrag gedacht. Politisch gesehen richtet sich der Vortrag irgendwie an Leute, die mit Aktivismus die Welt ein bisschen besser machen wollen, an Leute, die eine sozialere oder eine gerechtere Gesellschaft wollen, vielleicht an Leute, die das mit der Demokratie eine gute Idee finden und an Leute, die denken, dass man allen Leuten erstmal per se mit Respekt begegnen sollte und mit Wohlwollen, egal welcher Weltanschauung oder Herkunft man ist. Datenschutz erst mal wirkt erst mal wie ein dröges Thema. Ist aber meiner Meinung nach trotzdem sehr wichtig, das muss man Leuten im Karstumfeld nicht unbedingt erzählen, aber manchmal ist es vielleicht auch wichtig, sich nochmal daran zu erinnern, worum es eigentlich geht. Und ich glaube irgendwie einen großen Anteil daran hatte das Noten, weil wir da gesehen haben, dass zumindest staatliche Überwachung sehr viel weiter reicht, als das vorher von den meisten angenommen wurde. Wir wissen, dass es bis hin mit diesen Prism-Programmen in die eigentlichen Dienste hineingeht, wo staatliche Stellen Zugriff haben. Es wird an Infrastruktur, das haben wir an diesem Temporer-Programmen gesehen, abgehört und teilweise zumindest auf der Ebene der Geheimdienste. Es ist so, dass selbst irgendwie vor dem Heck von Netzwerken und Organisationen wie der EU nicht zurückgeschreckt wurden. Auf der Ebene der Geheimdienste bleiben wir jetzt nochmal kurz, auch wenn es natürlich nicht nur diese Ebene gibt. Konkret, wenn ich mich jetzt irgendwie mit Aktivismus befasse, ist vielleicht irgendwie eine Gefahr von anderen aktivistischen Gruppen da oder vielleicht von der Polizei, weil die, das sehen wir auch später noch, bei manchen Überwachungsmaßnahmen manchmal zu weit greift. Ein gutes Beispiel, wie ich finde, um sich das mal zu verdeutlichen, über was für Dimensionen wir bei so Massenüberwachung eigentlich reden, ist ein Beispiel, was direkt auf die das Notenförbliche folgte, damit damals war der Herr Gauck, der Bundespräsident und der hat irgendwie gesagt, naja, aber das ist ja jetzt alles digital und das ist ja gar nicht so schlimm, wie bei der Stasi früher als Leute, was irgendwie einen Ordner gepackt haben. Und das ist auch ein kleines bisschen das Problem, glaube ich, dass bei digitaler Überwachung die eigentliche Problematik, die Größe der Problematik vielleicht auch gar nicht bewusst ist und wie in diesem Fall, das da gedacht wurde, naja, wenn ich jetzt Daten aufschreibe, irgendwie einen Aktenordner, dann ist das schlimmer, als wenn ich die auf einer Festplatte speichere. Und das ist nun mal nicht der Fall. Gibt es eine schöne Visualisierung im Internet? Da habe ich nun mal zwei Screenshots gemacht, das ist eigentlich eine schöne Animation. Und dieses kleine Quadrat hier ist die Fläche, die die Stasi-Akten einnehmen würden, wenn man sie auf dem Boden auslegen würde. Und dann gibt es noch ein größeres Quadrat, also zum Vergleich, das hier ist Berlin, die Museumsinsel. Und dann gibt es noch ein größeres Quadrat, das wäre, wenn man zu diesem Zeitpunkt, ich weiß nicht, ob das vielleicht 2013 auch war, die Daten nehmen würden, die die NSA ungefähr speichern kann, in ihren Rechenzentren. Und wenn man die auf Akten ausdrucken würde und auf den Boden auslegen würde, wie groß dieses Quadrat wäre. Jetzt kann kurz jeder mal für sich überlegen, wie groß dieses Quadrat wäre. Manche mögen es vielleicht auch wissen. Und was wir dann sehen ist, dass es einfach um viele Dimensionen größer ist. Und dass wir mittlerweile von irgendwie eine Skalierung von Überwachung reden, die so nie zuvor möglich war. Und das ist natürlich nicht nur bei Geheimdiensten der Fall, auch auf der Ebene der Polizei. Es ist so, dass mittlerweile es sehr viel einfacher ist, Daten zu speichern und zu verarbeiten. Gucken wir uns doch mal an, was wir so im Einzelnen dagegen tun können. Und die eine Antwort ist, wir können Sachen verschlüsseln. Wenn wir miteinander kommunizieren, dann sollten wir irgendwie Verschlüsselungen nutzen. Und da gibt es zwei Verschlüsselungen, die man vielleicht mal gehört haben sollte. Das eine ist die Wegverschlüsselung, die Transportwegverschlüsselung. Heißt manchmal SSL oder TLS. Im Browser kann man sich das angucken, wenn da dieses HTTPS am Anfang steht. Also dieses S steht für SSL oder Secure. Und was wir da haben, ist eine Verschlüsselung, die von meinem Gerät ausgeht, wenn ich da irgendwie eine App habe, die im Internet irgendwas macht, die mit irgendeinem Dienst kommuniziert, mit einem Server im Internet. Oder ein Browser, wo ich einen Website aufmache. Und dann ist meine Anfrage oder meine Nachricht, die ich verschicke, auf dem gesamten Weg im Internet. Also über die einzelnen Knoten, es gibt einen großen Knotenpunkt in Frankfurt zum Beispiel, ist verschlüsselt bis zu meinem Dienst. Und da ist es erstmal wieder entschlüsselt. Und das soll dieses rote, dieser rote kleine Teil in der Kommunikation, wenn ich jetzt zwischen zwei Nutzern kommuniziere, anzeigen, dass da irgendwie der Dienstprovider trotzdem noch Zugriff hat, wenn ich irgendwie TLS benutze. Es gibt einen Plugin für die unterschiedlichen Browser, was HTTPS Everywhere heißt, was immer, wenn es eine verschüsselte und eine unverschüsselte Variante von der Website gibt, dann die verschüsselte wählt. Aber glücklicherweise gibt es mittlerweile fast nur noch die verschüsselten Varianten. Ein bisschen cooler, wenn ich jetzt irgendwie mit einer eigentlichen Person kommuniziere, also das heißt, wenn der Empfänger meiner Nachricht oder meine Anfrage vielleicht jemand mit einem Telefon oder einem Laptop ist, dann kann ich Ende zu Ende Verschlüsselung benutzen. Und Ende zu Ende Verschlüsselung bedeutet, auf meinem Gerät wird verschlüsselt und dann ist die über den ganzen Weg hinweg, selbst wenn das noch irgendwie bei einem Dienst vorbeigeht, ist es auf dem ganzen Weg verschlüsselt und erst auf dem Gerät von dem Empfänger, der meine Nachricht dann bekommt, der kann sie wieder endschlüsseln. Gibt es, würde ich sagen, zwei große Protokolle oder Prinzipien oder Tools vielleicht, die man kennen soll, das eines PGP oder die konkrete Open Source Implementierung GPG, genug PG, die wird hauptsächlich für E-Mail-Verschlüsselung genutzt und noch für viele andere Sachen, die irgendwie so ein bisschen im Hintergrund stattfinden, aber das ist jetzt für mich als Endnutzer erstmal vorrangig nicht irrelevant. Und es gibt Integrationen davon, unterschiedlichste E-Mail-Clients und das Gute ist, würde ich sagen, das Ganze gilt seit Jahrzehnten als grob sicher. Und der Nachteil ist, dass es relativ schwer benutzbar ist, aber das verändert sich gerade ein kleines bisschen. Gerade irgendwie die PEP-Leute, Pretty Easy Privacy heißt das, arbeiten da an Plugins, die GPG ein bisschen einfacher benutzbar machen. Es gibt Standards wie den Autocrypt-Standard, der ein kleines bisschen dieses ganze Prozedere, was man durchgehen muss, etwas vereinfacht, würde ich sagen. Es gibt ein gutes Tutorial für GPG bei der Free Software Foundation, habe ich hier verlinkt. Und neben GPG gibt es aber auch noch das Signal-Protokoll, vielleicht technisch der Double-Ratchet-Algorithmus. Das wurde eingeführt von den Leuten, die den Signal-Messenger gemacht haben. Und das wird aber mittlerweile, dieses Prinzip wieder verschlüsselt wird, wird mittlerweile auch verwendet von WhatsApp, von Wire, von Element, der neue Name von Riot bzw. Matrix. Das heißt, sie haben mittlerweile drei Namen durch und haben sich jetzt auf Element geeinigt oder XMPP zum Beispiel. Genau, und auch in anderen Plattformen oder in anderen Apps wird das benutzt. Einer der Vorteile, dass man Forward-Secrecy hat, das heißt, wenn an irgendeinem Punkt mal mein Handy zum Beispiel in die Finger von jemand anderem kommt und ich jetzt aber die Nachrichten da nicht mehr in der App drin habe, der die aber mitgeschnitten hat, dann kann er nur, weil er jetzt zu zeigen, mein Passwort oder mein Key hat im Nachhinein nicht die Nachrichten entschlüsseln, wenn er die verschüsselten Nachrichten gesammelt hat im Vorhinein. Genau, hier nochmal zwei Messenger irgendwie vielleicht ein bisschen herausgehoben, das Element, das Open Source, kann man selbst betreiben, wenn man das möchte. Das heißt, wenn man irgendwie einen eigenen Server hat oder irgendwo ein Anbieter sich wählt, der Element zur Verfügung stellt, kann ich im Infact eins zu eins verwenden, wie irgendwie auf der einen Seite ein Messenger auf meinem Telefon, aber auf der anderen Seite auch so was wie IRC oder Slack oder so was. Viele Projekte, die einfach zu Element wechseln, was cool ist, was einfach ein modernes Open Source Tool ist, was Ende zu Ende in der Verschüsselung kann. Signal ist vielleicht auch sehr bekannt, dass wiederum nicht dezentral, es gibt einen zentralen Anbieter, der aber immerhin eine Stiftung ist, die halt in ihren Statuten hat, dass man die bestimmte Daten nur speichern und das ist sehr weniger. Und zumindest könnte man argumentieren, dass sie technisch alles möglich machen, um Transparenz herzustellen und unter anderem auch der Server Algorithmus oder der Server-Programm Code des Open Source und ich würde sagen, in puncto Benutzbarkeit versus Einfachheit versus ich möchte eine offene Plattform, die mich schützt, Signal ist auf jeden Fall sehr gut. Was man bei Ende zu Ende in der Verschüsselung so ein bisschen noch mit bedenken muss, dass ich zwar dann da so ein Zeichen habe, dass ich verschüsselt mit jemandem, kommuniziere, aber im allerschlimmsten Fall kommuniziere ich verschüsselt mit dem Falschen. Das heißt, in den Fällen, wo es mir sehr wichtig ist, dass ich exakt weiß, dass ich mit der richtigen Person auch noch da chatte, in denen sollte man so eine Identitätsüberprüfung machen und jede Ende zu Ende, verschüsselt Messenger oder fast jeder, würde ich sagen, hat diese Funktion. Die heißt manchmal unterschiedlich Überprüfung des Fingerprints oder Identitätsüberprüfung oder ähnliches. Aber im Endeffekt ist immer das Gleiche. Man liest sich gegenseitig eine Zahlenfolge vor oder man scant einen Barcode ab und dann ändert sich mit dieser einen Person in dem Chat irgendwie das Aussehen. Man sieht dann, dass man mit einer verifizierten Person spricht und weiß dann ganz genau, mit wem man spricht. Und nicht nur das Zufall zu sagen. Das ist sehr subjektiv, würde ich sagen, aber ich habe es alles mal in einer Tabelle zusammengefasst. Bei WhatsApp ist zwar die Verschüsselung ganz cool mit diesem Signal-Protokoll, aber alles andere ist halt irgendwie blöd. Wieder ein vertrauenswürdiger Anbieter, noch ist es die App Open Source. Das heißt, die App könnte alles machen. Sie können so viel sagen, dass die Verschüsselung gut machen, solange man da nicht reingucken kann, das ist irgendwie für die Katze. Und auch Telegram wird irgendwie häufig als ein positives Beispiel angesehen, weil zumindest die App irgendwie Open Source ist. Aber das Problem ist, dass an diversen Stellen die Verschüsselung bereits angezweifelt wurde, dass sie ihre eigene Art und Weise gefunden haben, wie sie verschlüsseln, was häufig kritisiert wurde, als es gibt auch Standards irgendwie für Verschüsselung, wie so muss man was Eigenes machen, das ist meistens eher schlecht, wenn man das macht. Genau, und das wird ja irgendwie von einem, unter anderem Betrieben, der irgendwie dieses russische Facebook, irgendwie ursprünglich markiert, hat dieses Kontakt hier, und klar, die sind irgendwie aus Russland weggegangen, um sich vielleicht irgendwie vor Russischem Einfluss zu schützen, aber grundsätzlich bin ich mir nicht ganz sicher, wie vertrauenswürdig jetzt der Anbieter ist. Das kann man bei Signal genauer sagen, weil es eben eine Stiftung ist, und weil sie irgendwie klare Statute haben und klar ansagen, was gespeichert wird. Bei Element und XMPP, die würde ich sagen, um so ein bisschen die gleichen Nische gehen, nämlich irgendwie Dezentraldienste, die ich auch selbst betreiben kann, wenn ich das kann und möchte, sieht das Ganze ein bisschen besser aus, und dann gibt es noch Bria, das vielleicht ein kleines bisschen schwieriger zu benutzen, aber wenn ich sehr besorgt bin um meine Privatsphäre, dann ist Bria auf jeden Fall der Messenger, die ich nutzen sollte. Der hat erstmal per se, wenn ich den aufmache, nutzt er keine meiner Kontaktdaten, nichts, um irgendwie zu gucken, ob andere das haben, sondern ich muss mich explizit mit jemandem verbinden, und der benutzt auch keinen einzigen Dienst im Infekt, sondern er macht sich seinen eigenen Dienst auf, über Torben, ob wir noch hören, die Tor funktioniert, aber wenn ich sehr besorgt bin um meine Privatsphäre, dann würde ich, glaube ich, Bria nutzen, und wenn ich eher so mittel besorgt bin, dann würde ich irgendwo mir Signal oder Element angucken. Momentan ist ja irgendwie, mit den ganzen Corona-Situationen, sind Video-Touch-Softwares auch irgendwie ein Ding, was viele Leute benutzen, und da gibt es irgendwie auf der einen Seite große, proprietäre Plattformen, wo man überhaupt nicht weiß, welche Daten gesammelt werden und wo die landen. Dieses Beispiel ist jetzt hier auf der linken Seite mit Zoom und Microsoft Teams. Ich würde vorschlagen, eher eine Open-Source-Software zu verwenden. Die Bekannten sind, denke ich, Jitsie Mead oder Big Blue Button. Ich selbst habe noch mit ein paar Freunden eine Videochat-Plattform kreiert, die Palava.tv heißt, die ebenfalls Open-Source ist und noch zusätzlich Ende-zu-Ende-Verschüsselung ist. Eine Sache, wo Jitsie gerade daran arbeitet, aber meines Wissens noch nicht da angekommen sind. Gucken wir uns an. Wenn wir jetzt schon verschüsseln, dann ist der nächste Schritt, dass wir uns angucken müssen, welche Daten sind trotzdem noch von mir aufhindbarm oder von mir speicherbarm, wenn jetzt meine Inhaltsdaten schon geschützt sind. Das heißt, wenn ich jetzt verschlüsselt, mit jemandem kommuniziere, dann gibt es trotzdem Daten, die jemand sammeln kann, einen Dienstanbieter zum Beispiel oder jemand, der mein Netzwerk beobachten kann. Und das sind die Metadaten. Metadaten sind alle W-Fragen, außer das was, würde ich sagen. Also wer hat mit wem, wann, wie kommuniziert? Und wo? Wo ist tatsächlich ein ziemlich wichtiger Punkt? Bei Google gibt es irgendwie, wenn man nicht an zehn Stellen ungefähr sagt, dass man nicht möchte, dass seine Standortdaten aufgenommen werden. Wenn man ein Android-Telefon hat, dann werden seine Standortdaten die ganze Zeit an Google gesendet. Wenn man die da mal sich rausgeben lässt, gibt es dann so eine Option online, dass man sagen kann, ich möchte irgendwie alle Daten, die Google über mich gespeichert hat, mir mal angucken. Das hat hier mal jemand gemacht aus dem Chaosumfeld. Und da kann man dann ziemlich genau sehen, wo jemand zu einem bestimmten Zeitpunkt war. Und wenn man dann solche Heatmaps hier macht, dann kann man unter anderem auch sich angucken, was irgendwie so Orte sind, wo ich mich regelmäßig aufhalte. Wenn das jetzt irgendwie wieder oben eine Kirche ist, könnte man irgendwie auf meine Religion schließen. Wenn das ein Haus ist, vielleicht wo ein ganz spezieller Arzt drin ist, könnte man auf Krankheiten schließen, die ich habe. Aber auch interessant ist immer, wenn sich irgendwelche Muster, die ich habe, irgendwelche Bewegungsmuster, wenn die sich verändern. Man kann sehen, was mein Arbeitgeber ist. Man kann sehen, ob ich vielleicht eine Affäre habe. Es gibt ganz viele Sachen, die ich aus den Standortdaten herauslesen kann. Aber nicht nur die Standortdaten sind interessant. Selbst so einfache Dinge, wie Zeitdaten, können interessant sein. Wir haben hier mal aus unserem bekannten Umfeld vor langer Zeit schon von Micro-Blogging-Diensten, so Twitter und andere aus dem Fediverse, die es damals noch gab, haben wir mal visualisiert, wer, wann etwas gepostet hat online. Hier kann man zum Beispiel sehen, die Namen sind anonymisiert, dass hier eine Person gibt, die einfach in der üblichen Arbeitszeit vielleicht, so 9-5, und nur an den Wochentagen, also die 0-4 auf der Seite, die ein Tag im Montag bis Freitag in seinem Dienst, also in diesem Dienst benutzt. Und das ist schon interessant. Da sieht man auf jeden Fall, dass er das wahrscheinlich in der Arbeitszeit macht, oder dass er das zumindest irgendwie, dass er da wach ist, dass er da da ist, vielleicht auch. Hier gibt es jemanden, der ein ganz anderes Leben hat, würde ich sagen, eher jemand, der irgendwie noch studiert oder so. Also meistens fängt irgendwie die Aktivität erst so gegen 15 Uhr an, geht dann aber bis 2 oder 3 in die Nacht hinein. Genau, und hier gibt es noch jemand, der dann irgendwie so am Anfang der Woche eher wenig irgendwie im Internet macht, vielleicht sich das auch vornimmt und dann gegen Ende der Woche bricht es dann ein. Metadaten werden unter anderem auch gesammelt bei der Vorratsdatenspeicherung. Das ist leider ein Thema, über das man immer noch reden muss. Seit mittlerweile Jahrzehnten wird das vor jedem Verfassungsgericht und Europäischen Gerichtshof vor, dass es kommt, wird es als unverhältnismäßig und nicht verfassungsgemäß zurückgewiesen. Und trotzdem gibt es leider immer noch bei jedem Anschlag, der irgendwie passiert oder bei jeder größeren kriminellen Tat, gibt es die immer wieder gleichen Leute aus der CDU und teilweise leider auch aus der SPD, die dann wieder mit der Vorratsdatenspeicherung ankommen, selbst wenn diese überhaupt nicht zur Aufklärung des Verbrechens irgendwie beigetragen hätten. Die Vorratsdatenspeicherung soll die Anbieter verpflichten, also die Mobilfunkanbieter und die Internetanbieter meine Verkehrsraten aufzubewahren, und zwar für sechs Monate oder mehr üblicherweise. Und das sind sowas wie Anrufe, das ist sowas, wo ich mich befunden habe, das ist sowas, mit wem kommuniziere ich. Also all diese Daten, die da aufkommen. Und als es die Vorratsdatenspeicherung mal ein Jahr gab, hat sich Malte Spitz von den Grünen und mittlerweile von der Gesellschaft für Freiheitsrechte sich mal seine Daten rausgeklagt bei der Telekom, glaube ich, war das. Und da kann man ziemlich genau sehen, dass über einen längeren Zeitraum einfach sein komplettes Leben nachvollziehbar ist. Natürlich ist es an vielen Stellen geschwärzt und seine Kommunikationspartner sind aus Datenschutzsicht eben nicht mit online, aber es gibt von der Zeit online eine schöne Visualisierung, die man mal durchklicken kann, wo man genau sieht, wie detailliert diese Daten dann auch sind. Wenn ich jetzt zum Beispiel regelmäßig auf dem Moskier, dann könnte ich mir auch Gedanken machen, soll ich jetzt meinen Handy mitnehmen oder nicht zum Beispiel, das habe ich schon häufiger mal gehört. Handynetz funktioniert über Funkmasten, die sehen zum Beispiel so aus, gibt es einen kleinen Groß, manchmal auf Häusern drauf, manchmal in der Landschaft. Und wenn wir mal bei der Bundesnetzagent-Tour auf der Website sehen, können wir sehen, wo diese Funkzellen jetzt zum Beispiel hier in Dresden instelliert sind. Es gibt einen Überwachungsinstrument, das nennt sich Funkzellenabfrage, habe ich immer so eine Art Steckbrief gemacht. Das kann nur unter Richtervorwahl geschehen. Aber wie häufig das jetzt genau ist, darüber gibt es leider keine große Transparenz. Das ist der erste große Kritikpunkt daran. Nur in Berlin wird jetzt gerade so ein bisschen daran, gibt es zumindest einen Dienst, da kann ich mich anmelden mit meiner Telefonnummer bei der Polizei oder bei der Staatsanwaltschaft wahrscheinlich, wenn ich informiert werden möchte, wenn ich mal in eine Funkzellenabfrage vielleicht wahrscheinlich unschuldig reingraten bin. So eine Funkzellenabfrage betrifft immer eine oder mehrere Funkzellen und die sind dann, die decken einen Raum von üblicherweise einem Häuserblock ab. Das heißt, dass alle, die sich in dieser Zeit da befunden haben, von denen werden die Verkehrsdaten aufgenommen. Das passiert in Berlin ungefähr 1,7 Mal pro Tag, in Sachsen ungefähr 1,2 Mal pro Tag. Diese Daten haben wir nur, weil es in Sachsen von den Grünen in Berlin weiß ich es nicht genau, kleine Anfragen gab. Das heißt, es gibt leider keinen Automatismus, es gibt keinen Bericht oder Report irgendwo, wo ich nachschlagen kann, wie viele Funkzellenabfragen wurden denn getätigt und ich hab zumindest jetzt hier als den Dresdenleben da keine Möglichkeit zu erfahren, wenn ich da mal reingerannt bin und das wird wahrscheinlich sehr regelmäßig schon gewesen sein. Die TATS hat da eine Rechnung angestellt im Jahr 2015 schon, erst die noch nicht ganz so weit verbreitet war wie jetzt, zu der Aussage gekommen, dass jeder pro Jahr ungefähr 10 Mal in so eine Funkzellenabfrage gerät und somit meine Daten von diesem Zeitpunkt, von diesem Zeitraum, in dem ich mich da zufällig drin befunden habe, irgendwo jetzt bei der Polizei liegen. Was da mit genau geschieht, kann man nicht sagen und leider ist es auch so, dass es sehr wenig überprüft wird, was dann damit eigentlich geschieht. Gesetzlich geregelt ist das seit 2015, wurde aber auch vorher schon angewandt. Es ist eine Flächenüberwachung, das heißt, es ist eben nichts ganz konkret gezieltes und manchmal wird es für eine Art gezielte Abfrage verwendet, aber häufig ist es auch einfach, gibt mir mal alles, alle Leute, die irgendwas gemacht haben in dieser Zeit, in dieser Funkzelle. Und das sind die Metadaten von Anrufen, also wer hat wen angerufen, wer hat Wemnes mes geschrieben, wer hat welche Dienste aufgerufen im Internet und so weiter und so fort. In Dresden ist das auch mal bei einem Demo geschehen, wahrscheinlich der einzige Vorfall, wo das mal geschehen ist, aber es ist zumindest bisher der einzige Vorfall, der bekannt und vor Gericht gelandet ist. Und das wurde auch als illegal damals 2011, das war hier so eine Nazi- und Gegendemo zum 13. Februar in Dresden, zu der das geschehen ist und da wurden, glaube ich, 40.000 Bestandsdaten, Bestandsdaten sind immer einzelne Nummern oder einzelne Handys oder einzelne Laptops zum Beispiel, sofern die Zugriff aufs Mobilfunknetz haben und mehrere Millionen Verkehrsdaten damals aufgenommen. Zur Funkzellenabfrage gibt es einen richtig guten Vortrag auf media.cc.de von Ulf Burmaier und André Meister. Der ist zwar schon ein paar Jahre alt, glaube ich, da war er gar nicht so alt. Und den kann man sich auf jeden Fall sehr gut ansehen, wenn man noch sehr viel mehr Infos dazu haben möchte. Ein bisschen weiter gehen in MCCatchern, die sind auch Unterrichter vor Behalt, die häufig die eingesetzt werden, habe ich leider nicht gefunden und gesetzlich geregelt ist das seit 2002. Was hier gemacht wird, ist, dass nicht im Nachhinein bei dem Internet ein Bieter angefragt wird, sagt man, habt ihr hier irgendwie noch Daten gespeichert, sondern es wird eine Funkzelle, wie wir sie am Anfang gesehen haben, ersetzt, durch einen Überwachungswagen, manchmal ist es auch nur so ein kleines Gerät, was alle Handys in der Nähe dazu zwingt, sich zu diesem Gerät zu verbinden, statt zu der nächstgelegenen Funkzelle. Und was man dann damit machen kann, ist, dass man zumindest in der Theorie nicht nur die Verkehrsdaten mit schneiden kann, also die Metadaten, wer mit wem irgendwie kommuniziert hat oder was in München aufgerufen wurde, sondern dass man auch Anrufe und SMS damit abhören kann. In den meisten Fällen live. Zwar sind Anrufe theoretisch erstmal verschüsselt, praktisch gibt es genug Angriffe auf verschlüsselte Telefonate, also normale Handitelefonate, das in fast jedem Fall funktioniert, solche Sachen live mitzuhören. IMSI-Catcher wurden auch schon bei Demos eingesetzt, und zwar auch bei G20, wo im Vorfeld gesagt wurde, solche Überwachungsmaßnahmen, die schon sehr tief eingreifen in die Privatsphäre, nicht benutzt werden, das ist nicht geschehen, und insgesamt sind beides Flächenüberwachungsinstrumenten, und beides ist zumindest meiner Meinung nach als eine ungezielte Massenüberwachung ähnlich verfassungswidrig, wie das die Vorratsdatenspeicherung ist, weil es dem gleichen Prinzip verfolgt, dass wir kollektiv Daten sammeln, und nur einen Bruchteil dieser Daten wahrscheinlich, die eigentlich interessant sein könnten. IMSI-Catcher werden auch zu anderen Sachen eingesetzt, also unter anderem hat mal die schwedische Zeitung, norwegische Zeitung, Aftenposten, in Oslo mal rumgeguckt, also man kann diese IMSI-Catcher relativ einfach finden, und die haben in ihrem Regierungsviertel eine größere Anzahl gefunden, wo einfach bisher unbekannte Leute da mitschneiden, und wer das ist, weiß man nicht, das ist einfach nur eine Sache, die wahrscheinlich nicht nur die Polizei benutzt, und die aber gleichzeitig selbst nicht staatliche Stellen auch irgendwie einfach benutzen können, und dementsprechend ist es sehr schade, dass es keinerlei Möglichkeit gibt für mich als Verbraucher, mich dafür irgendwie zu werden, dass ich mein Handy mit einer fremden, mir nicht wohlgesinnten Funkzelle verbindet. Gegenmaßnahmen, Handy aus, ist zumindest die effektivste, zumindest bei Demonstrationen vielleicht eine Variante, dass ich nicht möchte, dass irgendwo gesammelt wird, dass ich da war, was schließlich mein demokratisches Recht ist, dass niemand massenweise sammelt, wer auf einer Demonstration sich aufgehalten hat. Man kann unterschiedliche SIM-Karten für unterschiedliche Sachen verwenden, ich könnte zum Beispiel eine haben, ich könnte irgendwie mit meinem Aktivismus-Umfeld verwenden und eine andere oder je nachdem. Ich könnte auch außerdem eine anonyme SIM-Karte verwenden. Die eine Variante ist, weil es in Deutschland nicht mehr möglich ist, eine nicht registrierte, also nicht auf meine Adresse registrierte SIM-Karte zu bekommen, das sie einfach im europäischen Allausland zu kaufen, oder es gibt so Tauschdienste, ich meine, SIM-Karte tauschen kann gegen eine andere, die vielleicht einen ähnlichen Vertrag hat oder sowas. Aber das muss man schon wieder gucken, ob man das möchte, dass jemand anderes dann in seinem Namen eben auch surfen kann. Und vielleicht eine Sache, die am einfachsten ist, ist, dass man Anrufe und SMS nicht über das normale Mobilführungnetz macht, sondern dass man dafür irgendwie die Messenger nutzt. Sie haben Signal zum Beispiel oder Element, haben die Möglichkeit, einen verschüsselten Anruf zu tätigen und eh verschüsselt Nachrichten zu verwenden. Und da kann ich wenigstens sicher sein, dass man die Inhalte, die ich schreibe, dass die nicht irgendwo aufgenommen werden. Gibt es ebenfalls hier zu IMSI-Catchern einen sehr technischen Vortrag vom Camp 2019. Da ging es darum, wie kann ich dann so IMSI-Catcher finden? Und das ist mit dem richtigen technischen Equipment gar nicht so schwer, weil die nämlich die Handys in ihrer Umgebung nicht nur zwingen, sich zu dieser falschen Zelle zu verbinden, sondern denen dann auch noch die Anweisung geben, sich regelmäßig bei dieser Zelle zu melden und zwar sehr viel regelmäßiger, als dass irgendeine normale Funktion Zelle machen würde. Das kann man im IMSI-Catcher wohl relativ gut herausfiltern. Gesichtserkennung ist zum Glück noch nichts, womit wir uns hier irgendwie auf Demonstrationen irgendwie mit befassen mussten. In Hongkong sah das anders aus. Da wurde Gesichtserkennung auf Demonstrationen angewandt und umzugucken, welche Leute sind bei dieser Demonstration vor Ort. Und ich finde, da haben sich coole Protestformen entwickelt. Unter anderem haben dann alle Demonstranten oder viele Demonstrierende da Laserpointer mitgebracht, die zumindest in der aktuellen Form die Gesichtserkennung unschädlich oder unbrauchbar gemacht haben. Das ist natürlich irgendwie eine coole Protestform, würde ich sagen. Aber ich würde mich nicht darauf verlassen, dass da die Technologie sich in Zukunft auch weiterhin von Laserpointer ausdrichsen lassen. Und eigentlich braucht es zu solchen Sachen eine ganz klare Echtung aus der Gesellschaft heraus, dass wir sowas nicht wollen. Wenn ich mich jetzt als Aktivismusgruppe zusammen finde, finde ich es auch sehr wichtig, ich nochmal zu erwähnen, dass wir irgendwie Dienste nutzen sollten, die wir entweder selbst betreiben können oder die zumindest eine Datenschutzärmere oder freundlichere Alternative sind, als die üblichen Standarddienste, die wir benutzen. Das bei Suchmaschinen kann man zum Beispiel Startpage und DuckDuckGo empfehlen. Wir haben Alternativen zu Google Maps zum Beispiel, nämlich die Open-Street-Map und den damit verbundenen Open-Route-Service oder die damit verbundenen Open-Street-Map für Android-App. Es gibt eine ganze Reihe von Diensten, die man selbst betreiben kann, über die man sich kollektiv organisieren kann und wenn ich die selbst betreibe oder wenn ich jemanden frage, der es kann, dass die das für mich betreiben, dann spielen auch die Metadaten gar nicht mehr so eine Rolle, weil die ja schließlich zumindest auf einem Server landen, den ich selbst unter Kontrolle habe. Zu diesen Sachen gehören zum Beispiel XMPP oder Element, was vorhin schon mal angesprochen wurde. Da gehört aber auch sowas wie der Next-Cloud dazu, die von dem Speichern von Dateien über gemeinsame Kalender und Kontakte über Chats eigentlich ein gesamtes digitales Leben mittlerweile abbilden kann. Und wenn ich dann doch mal irgendwie Dienste nutzen muss, denen ich nicht so sehr vertraue, dann kann ich das zum Beispiel über Tor tun. Dazu muss man sagen, Tor anonymisiert einen zwar, aber natürlich, sobald ich mich irgendwo anmelde bei einem Dienst mit im schlimmsten Fall noch Name und Adresse oder sowas, dann habe ich natürlich wieder meine Anonymität aufgehoben. Das heißt, wenn ich Tor zum Beispiel für Anonymität verwende, muss das immer irgendwie mit einer Art Pseudonymität zum Beispiel verbunden sein, dass ich mich nicht mit meinen realen Daten irgendwo anmelde. Das wird auch auf dem Telefon. Vielleicht noch ein paar abschließende allgemeine Tipps zu Datensparsamkeit. Das eine ist, viele Daten zusammen ergeben Profile. Das heißt, sie sollte ich auf keinen Fall immer irgendwie einem Anbieter zukommen lassen. Es sei denn, ich bin derjenige, der diesen Dienst betreibt natürlich. Nutzung ihrer Dienste verteilen der Daten. Dann sollte ich mich immer irgendwie fragen, werden die Daten eigentlich gebraucht? Muss ich mich irgendwo Daten von mir angeben und auch werden echte Daten gebraucht? Kann ich nicht einfach irgendwo ein falsches Geburtsdatum angeben oder einen anderen Namen oder solche Dinge? Da kommt Pseudonymität mit rein, aber da kommen auch so Sachen mit rein, dass ich, statt meiner eigenen E-Mail-Adresse zum Beispiel, eine Weckwerf-E-Mail-Adresse verwenden kann, wenn ich genau weiß, dass das jetzt irgendwie ein Login ist, den ich, wo ich mir meinen Passwort merke und das nie zurücksetzen muss. Es gibt sogar Weckwerf-Telefonnummern, Frank geht dran, kann man sogar anrufen, da geht Frank ran, kann man auch angeben, wenn irgendwo eine Telefonnummer irgendwie notwendig erfragt wird. Man kann auch schon fertige Fake-Accounts sich angucken unter bugminot.com, kann man auch eigene eintragen. Und das sind alles so Sachen, wenn ich irgendwo meine Daten nicht angeben muss, dann sollte ich es vielleicht auch nicht tun. Vielleicht auch interessant, im Zusammenhang mit Passwörtern ist es, die großen Plattformen irgendwie, bei fast allen gab es schon mal irgendwie den Fall, dass irgendwie die Passwort hashes, also die gespeicherten Passwörter in einer umgewandelten Version mal durch irgendeinen Heck oder sowas in die Öffentlichkeit gelangt sind. Ob mein Login dabei war, da gibt es die Seite Hefebain-Pond. Wenn mir jetzt da ein Problem hat, seine E-Mail-Adresse da anzugeben, dann gibt es da sogar noch Varianten, wie ich das rauskriegen kann, aber diese Seite ohne, dass ich das muss. Genau, und vielleicht, das traurig, dass man das im Jahr 2020 vielleicht immer noch irgendwie sagen muss, aber wenn ich nicht, die allermeisten Probleme, die Leute haben mit IT-Sicherheit, sind nicht, dass ihr Computer gehackt wurde, sondern, dass jemand das Passwort von ihrem E-Mail-Account erraten hat oder sowas. Das heißt, wenn ich irgendwie, wenn ich meinen, einen Wert darauf lege, dass meine digital gespeicherten Sachen, dass dann jemand rankommt, dann sollte ich auf jeden Fall ein sinnvolles Passwort wählen. Das heißt, keine einfachen Wörter, am besten irgendwie Großkleinbuchstaben, Ziffern, Sonderzeichen, allerwichtigste ist eigentlich, dass es möglichst lang genug ist. Ein paar Beispiele hier gewählt, das ist ein einfaches Wort, das ist blöd, das ist vielleicht nicht ganz lang genug, aber ansonsten schon ganz gut. Auch wenn man die Wörter zusammenfügt, das ist nicht gut, auch wenn man nur eine Form wählt, in diesem Fall nur Sonderzeichen ist nicht gut, ehe viel zu kurz. Auch Muster auf der Tastatur sind nicht gut. In diesem Fall ist das auf jeden Fall ein sicheres Passwort und man kann sich sogar ganz gut merken, wenn man versucht sich einfach einen Satz zu merken und den umwandelt in irgendwie so eine Zahlenreinfolge. Hinter dem Passwort hier steht der Satz, man kann sich fragen, ob durch Punkt und Komma ein Passwort-Wort sicherer wird. Und wenn man das zweimal getippt hat, dann hat man sich es gemerkt und hat schon ziemlich gutes Passwort. Genau, und verschiedene Passwörter, möglichst mindestens für E-Mail und andere Dienste oder ein Passwort-Manager verwenden. Genau, das war jetzt eine kleine Rundumreise mit ein paar kleinen Teilen, die irgendwie auf Aktivismus fokussiert haben. Ich hoffe, das war interessant und wäre bereit für Fragen. So, ich danke dir, Marius. Wir? Danke. Das erste Mal, dass wir Applaus aus dem Publikum haben. Du hast gerockt bei den Datensponen. Wir haben zwei Fragen aus dem Internet und zwar, die erste wäre, wie genau ist der Aufenthaltsort bei IMSI-Catchern und in der Funktion abfragen? Also, bei Beidem kann man den, herausfinden, den Aufenthaltsort. Hi. Bei Beidem kann man den herausfinden, den Aufenthaltsort und es gab auf jeden Fall bei diesem Vortrag über die IMSI-Catcher beim Camp. Es ist ein bisschen technischer erläutert, wie das bei den IMSI-Catchern funktioniert. Bei den neueren Netzen, zum Beispiel, ich glaube ab 3G, kann man einfach dem Handy sagen, eine Ordnung von sich selbst machen, einfach über das Mobilfunknetz, also Triangulation über die Mobilfunkmasten und dann wird das Handy einfach dem, sorry, bei den IMSI-Catchern, das ist so, dann wird das Handy dem IMSI-Catcher, der dann die Funkzelle ist, das Freihaus liefern. Bei der Funkzellenabfrage bin ich mir nicht zu 100% sicher, wie es da genau steht, ob da einfach sozusagen in regelmäßigen Abständen das Telefon nicht e seine Position verrät und das dann aufgenommen wird. Aber da bin ich mir gerade unsicher. Gut, und die nächste Frage war, kann man Handys auch otten, wenn die ausgeschaltet sind? Ich gehe davon aus, dass nein, aber eine gute Antwort darauf habe ich nicht. Ich würde schätzen, wenn der Strom weg ist, dann ist der Strom weg, aber es ist natürlich so, in der Theorie könnte ich Hardware bauen, die mir nur anzeigt, dass es aus ist, ohne dass es aus ist, aber ich gehe davon aus, wenn ich mein Handy ausmache, dass es auch aus ist. Wenn ich ganz sicher sein möchte, macht halt die Batterie raus. Okay, viel Spaß beim Nextbike-Ottern damit. Okay, ich gehe davon aus, dass hier vor Ort keine Fragen mehr sind und danke dir dann für den Talk. Vielen Dank.