Schlagwort-Archive: Sicherheit

Sicherheit im Netz – Gedanken zur Arbeit mit Jugendlichen

Diese Woche habe ich mit mehreren Klassen (9./10. Schuljahr) einen »Internet Safety«-Workshop durchgeführt (Slides gibt es hier). Statt mich vorzustellen, habe ich damit begonnen, die Schülerinnen und Schüler herausfinden zu lassen, welche Informationen sie über mich im Netz finden. Dazu habe ich Ihnen ein Selfie gezeigt (damit wussten sie, dass ich ein Instagram-Profil habe) und eine Liste mit möglichen Informationen an die Wandtafel geschrieben: Alter, Adresse, Arbeitgeber, Einkommen, Handynummer, Email-Adresse, Hobbies, politische Haltung… 

Bildschirmfoto 2014-10-02 um 09.07.12Nachdem sie jeweils vieles davon ermitteln konnte (häufigste Klage war, dass man im Nachteil sein, wenn man keinen FB-Account habe, was in dieser Altersstufe bei rund der Hälfte der Jugendlichen der Fall ist), haben wir diskutiert, warum es für mich gefährlich sein könnte, dass diese Informationen im Netz stehen. Folgende Gefahren sahen alle Klassen (auch meist in dieser Reihenfolge):

  1. Stalking
  2. Verbreiten von falschen oder schädlichen Informationen über mich
  3. Verkauf oder Missbrauch meiner Daten
  4. Hacken meiner digitalen Konten
  5. personalisierte Werbung.

Mit der Übung versuchte ich sie darauf hinzuweisen, dass ich – aus beruflichen und psychologischen Gründen – bereit bin, einen Teil meiner Sicherheit preiszugeben. Während Stalking für Jugendliche durchaus eine reale Gefahr darstellen kann, bin ich kaum gefährdet. Sicherheit und Verzicht darauf bedeuten nicht für alle Menschen dasselbe.

Diese Einsicht habe ich mit ein paar Sicherheitsfragen vertieft: Dabei mussten sich die Schülerinnen und Schüler in fiktiven Situationen zwischen einer sicheren und einer unsicheren Variante entscheiden: Fahrradhelm oder schöne Frisur; im Urlaub mit einem unbekannten Date an den dunklen Strand oder mit den Eltern essen gehen; mit Freundinnen ein Unternehmen gründen oder den langweiligen Bürojob absitzen?

Die Erkenntnis: Der Verzicht auf Sicherheit hat einen Wert – »Spass« nannten die Jugendlichen ihn meist zuerst, dann aber auch Erfahrungen, Kick, Freiheit.

Sicherheit im Netz ist deshalb ein wichtiges Thema, weil es zeigt, dass wir als Individuen, als Gruppen und als Gesellschaft mitentscheiden können, wo auf der Skala zwischen zwei Alpträumen (totaler Sicherheit und totaler Unsicherheit) wir leben möchten. Auch wenn es darum geht, die Schwächsten im Netz sicherer zu machen, schränken die Maßnahmen sie selbst und andere ein. Krassestes Beispiel: In der Schweiz werden Unter-16-Jährige, die Nackfotos von sich selbst verschicken und anschließend damit gemobbt werden, für das Verbreiten von Kinderpornografie zur Rechenschaft gezogen. Das Gesetz, dass ihre Sicherheit schützt, schränkt auch ihren Handlungsspielraum ein.

Die Einsicht ist trivial, aber folgenreich: Nur ein sicheres Leben führt zu hoher Lebensqualität, aber nur ein freies ist lebenswert. Die richtige Balance zu finden – für sich selbst und für alle anderen – ist enorm schwierig. Zu wissen, dass  ausländische Geheimdienste die Telekommunikation in der Schweiz überwachen, ist beängstigend – zumal klar ist, dass sie wohl auch Zugriff auf die Mikrofone und Kameras unserer Smartphones haben. Gleichzeitig haben sie so bewirkt, dass drei mutmassliche Terroristen verhaftet werden konnten. War es das wert?

Letztlich droht die Gefahr, dass der Fokus auf das Risiko und mögliche Schäden uns immer wieder dazu bringen, ein Stück Freiheit gegen ein Stück Sicherheit einzutauschen – weil das in jedem einzelnen Fall vernünftig scheint.

sf

Swisscom, Verschlüsselung und Contentfilter – ein Zwischenstand

Nach meinem Blogbeitrag von vorgestern, der unter dem etwas reißerischen Titel »Swisscom hört Schulen ab« stand und in dem ich eigentlich lediglich aufgriff, was bei den Fachstellen (FHNW, Kanton Zürich) schon längst stand, wurde das Thema in der NZZ und im Tages-Anzeiger aufgegriffen. Für den Kanton Zürich hat René Moser in einem ausführlichen Blogbeitrag darauf reagiert (diese Bemerkung habe ich am 28. Oktober eingefügt, Ph.W.).

Die Swisscom reagierte gestern ausführlich, ihre Stellungnahme habe ich im Blogpost hinzugefügt (siehe ganz unten).

Dennoch bleiben einige Fragen ungeklärt, die ich im Folgenden noch einmal auflisten möchte. Zunächst aber eine kurze Beschreibung dessen, was passiert – ich vermeide Fachsprache, weil ich auch kein Informatiker bin:

Die Swisscom stattet Schulen mit eigenen Sicherheitszertifikaten aus, damit sie einen Teil der Internetkommunikation entschlüsseln und filtern kann. Das betrifft nach eigenen Angaben nur Traffic der zu Google geht (andere Suchmaschinen werden offenbar noch mit herkömmlichen Filtermethoden gefiltert). Das heißt, dass Suchanfragen an Schulen nicht effektiv verschlüsselt sind.

Die wichtigsten daran anschließenden Fragen, die teilweise in Kommentaren bei der NZZ und in meinem Blog aufgerufen werden, lauten wie folgt:

  1. Was passiert, wenn SchülerInnen und oder Lehrpersonen die Swisscom-Zertificate auf privaten Geräten installieren? Ist ihre private Kommunikation danach zuhause sicher verschlüsselt?
  2. Warum verwendet die Swisscom ein Zertifikat von ZScaler und nicht ein eigenes?
  3. Könnte die Swisscom schulische Kommunikation komplett überwachen? Könnte sie das auch mit privaten Swisscom-Anschlüssen tun?
  4. Warum bietet die Swisscom überhaupt einen Contentfilter an, wenn der mit Privacy-Problemen verbunden ist? Warum nicht das Geschäft komplett auslagern?
  5. Warum akzeptieren die Kantone diese Methode an ihren Schulen?
  6. Wer verantwortet die pädagogischen Konsequenzen, dass SchülerInnen und Lehrpersonen an gewissen Schulen aufgefordert werden, wichtige Sicherheits-Warnhinweise der Browser wegzuklicken?
  7. Ist dieser Preis (Aufgabe von Privacy) nicht zu hoch für die Filterung der Inhalte?

Bildschirmfoto 2013-10-25 um 10.36.48

Sichere Passwörter

**Diese Anleitung wurde im April 2014 überarbeitet.**

Inspiriert von einem dichten Text im Guardian einige Gedanke zur Sicherheit von Passwörtern. Eigentlich wäre es ganz einfach – man könnte den Tipps von Google folgen:

  • Ein anderes Passwort für jeden Account.
  • Lange Passwörter.
  • Verschiedene Zeichen benutzen, nicht nur Buchstaben.
  • Erinnerungen an Passwörter an einem sicheren Ort lagern.
  • Zusatzoptionen wie Google 2-step-verification, Facebooks Anmelde-Benachrichtigungen und Passwort-Recovery nutzen.

Gerade der letzte Punkt kann im Notfall entscheidend sein: Man kann so Konten retten, wenn man den Verdacht hat, sie seien kompromittiert worden. Die meisten Dienste verschicken Erinnerungsemails, sobald ein Passwort geändert wird etc.

Welche Tipps nichts taugen, zeigt dieser Beitrag sehr schön auf. Das Fazit dort: Passwörter müssen sehr, sehr lang sein!

Im Guardian wird die Frage aufgeworfen, mit welchem Bedrohungsszenario man bei der Wahl von Passwörtern rechnet. Die meisten Menschen werden von Systemen unter Druck gesetzt, komplizierte Passwörter mit Zahlen, Sonderzeichen und Buchstaben zu wählen. Das führt dazu, dass sie sich ein kompliziertes Passwort ausdenken, das sehr sicher ist – aber für alle Konten gleich eingesetzt wird. Dafür schreiben sie es, wie sie das gelernt haben, nicht auf – damit es niemand findet.

Die am häufigsten verwendeten Passwörter. Disclosure Project von Dazzlepod, veröffentlicht in InformationWeek BYTE ‚Top 5 Password Managers‘.

Die Frage ist nun: Vertraut man seiner Familie oder dem Arbeitsumfeld mehr als russischen Hackerinnen und Hackern, die folgendermassen vorgehen:

  1. Sie hacken einen Betreiber eines Online-Dienstes.
  2. Sie stehlen die Login-Informationen, die meist verschlüsselt sind.
  3. Sie versuchen, die Verschlüsselung zu knacken – ohne Tricks, mit roher Gewalt.
  4. Haben sie ein Passwort, versuchen sie darüber Zugriff zu anderen zu erlangen.
  5. Resultat: Im schlimmsten Fall: Alle Konten weg, alle Geräte komplett gelöscht, Geld weg.

Die »rohe Gewalt« führt einfacher zum Ziel, wenn Passwörter kurz sind. Es ist völlig egal, wie viele Sonderzeichen sie enthalten: Ein Computer probiert die alle durch. Faustregel: Ein Passwort mit 5 zufälligen Zeichen kann in drei Stunden geknackt werden, eines mit 20 nie (das ist nur leicht übertrieben).

Die Lösung wäre folgende:

  1. Für jeden Account ein anderes Passwort.
  2. Passwörter in folgender Form verwenden: Buchstabe+Buchstabe+Buchstabe+Buchstabe+… ohne je ganze Wörter zu verwenden. Idealerweise bildet man einen Satz: Zürich ist die schönste Stadt der Welt und verwendet z.B. von Nomen die ersten beiden, von allen anderen Wörter den ersten Buchstaben: ZueidsStdWe. Ums noch ein bisschen besser zu machen, nummerieren wir die Nomen zuästzlich: 1Zueids2Std3We. Leicht zu merken, aber lang und komplex genug, um kaum knackbar zu sein.
  3. Passwörter im Notfall aufschreiben.

Wörter sollten unbedingt vermieden werden, weil Hacker gezielt nach häufigen Wörtern in Passwörtern suchen. Profis können aus verschlüsselten Passwortlisten innert Stunden 60 bis 90% der Passwörter ermitteln.

Wer damit Probleme hat, sollte einen Dienst wie 1Password verwenden – wie das geht, habe ich hier notiert. Dort werden Passwörter automatisch verschlüsselt notiert – und zwar auf jedem Gerät, das man verwendet.

(Die Illustration zeigt die Passwort-Daten, die vom Disclosure Projekt gesammelt werden – eine Seite, auf der alle veröffentlichen Passwörter publiziert werden, damit man nachsehen kann, ob man Opfer von Hacker-Angriffen geworden ist.)

Die Methode von XKCD, bei der Wörter kombiniert werden, funktioniert nicht mehr, weil Hacker diese Methode bereit kennen, wie Bruce Schneier ausführt:

Wie Jugendliche WhatsApp nutzen

WhatsApp ist eine App, die man auf jedem Smartphone installieren kann. Sie nutzt eine bestehende Internetverbindung um Nachrichten, Bilder oder Videos zu verschicken – tut also das, was auch mittels SMS oder MMS möglich wäre.

Durchgesetzt hat sich WhatsApp aus zwei Gründen:

  • es war immer kostenfrei, auf WhatsApp Nachrichten zu verschicken
  • die App gibt es für jede gebräuchliche Plattform, sie verbindet insbesondere Nutzerinnen und Nutzer von Android mit denen von iOS.

Seit einigen Monaten bietet WhatsApp auch eine Gruppenchatfunktion, die sich vor allem bei Jugendlichen großer Beliebtheit erfreut. Damit können bis zu 30 Kontakte einer Gruppe hinzugefügt werden, alle können dann die Chatnachrichten von allen anderen lesen.

WhatsApp verbindet damit die Möglichkeiten eines (Video-)Chats mit den Stärken mobiler Kommunikation – und das meist kostenlos. Hinzu kommt der Aspekt, dass es sich zwar um ein soziales Medium handelt, bei dem Privatsphäre aber kein problematischer Aspekt zu sein scheint: Die Chats sind auf die Teilnehmenden beschränkt, es gibt nicht wie bei Facebook oder anderen sozialen Netzwerken potentielle Mitlesende.

Jugendliche organisieren sich z.B. in Klassenverbänden, aber auch in Cliquen, Sportvereinen etc. oft mit WhatsApp-Gruppen. So verschicken sie wichtige Infos, tauschen aber auch Bilder aus und klatschen. In Pausen kann es in Klassenzimmern oft vorkommen, dass Gespräche nicht mehr direkt, sondern per WhatsApp geführt werden: Was nicht alle Beteiligten als Verlust empfinden. Gerade die Möglichkeit, Bilder einzubeziehen wird als bereicherndes Element empfunden. (Vgl. meinen Vorschlag für einen sinnvollen Umgang mit Smartphones an Schulen.)

Vermehrt wird WhatsApp auch benutzt, um bei Prüfungen zu betrügen. Wenn Klassengruppen existieren, reicht es, dass jemand eine gute Lösung fotographiert und sofort auch verschickt – und alle erhalten sie innert Sekunden auf ihrem Smartphone.

* * *

WhatsApp ist momentan gerade im Gespräch, weil die Software enorm unsicher ist. Gerade weil damit täglich eine Millarde Nachrichten verschickt werden, kein zu vernachlässigendes Problem. Wie man hier nachlesen kann, betreffen die Sicherheitsprobleme alle Ebenen der Software: Hacker können sich über WhatsApp leicht Zugriff zu allen gespeicherten Telefonnummern in einem Gerät verschaffen, sie können alle Nachrichten abhören oder sich als eine bei WhatsApp registrierte Person ausgeben.