Dieses Jahr geht es endlich nach Chemnitz!

Being Fellow #952 of FSFE » German | 12:13, Monday, 10 March 2014

Seit Jahren höre ich von allen Seiten, dass ich unbedingt mal die Chemnitzer Linuxtage besuchen sollte und ich habe es immer noch nicht geschafft. Dieses Jahr soll es dann endlich so weit sein.

Ich werde in regelmäßigen Abständen beim Stand der FSFE zu finden sein und habe folgende Vorträge in die engere Auswahl genommen:

Samstag 15. März

10:00 Grüner verschlüsseln
11:00 LaTeX oder ownCloud
12:00 remote access Möglichkeiten
15:00 X2Go Remote Desktop
16:00 WLAN-Meshing
17:00Vortag vom Edu-Team Mitglied Wolf-Dieter Zimmermann oder OpenVPN oder über Debian-LAN von Andreas Mundt mit dem ich im Zusammenhang mit dem Bildungsteam bereits Kontakt hatte, aber noch nicht persönlich getroffen habe.

Dazu kommt noch die Key-Signing-Party, die für Samstag nachmittag angesetzt ist aber noch keine genaue Uhrzeit hat.

Sonntag 16. März

10:00 Matthias’ Vortrag über die Universalmaschine habe ich auch noch nie gesehen.
12:00 Kurt Gramlich über Klimaschutz mit Freier Software
13:00 Teambildung oder vielleicht boot via WLAN
14:00 Kinder community
16:00Puppet
17:00 geotagging photos oder OTRS

Mal sehen zu welchen Vorträgen ich es dann tatsächlich schaffe, da mir persönliche Gespräche auf solchen Veranstaltungen wichtiger sind als Vorträge besuchen, die man oft auch nachsehen kann.

Falls mich jemand sucht, meine XMPP-Kennung sollte bekannt sein Ich hoffe, man sieht sich!

Besuch vom Vizepräsidenten

stehmann's blog | 16:56, Friday, 07 March 2014

Am 05.03.2014 fand ein außerordentliches Fellowshiptreffen im Schwesterherz statt.

Anlass war, dass Matthias Kirschner , der Vizepräsident der FSFE und ihr Koordinator für Deutschland, in Düsseldorf weilte. Wir diese Gelegenheit wollten wir nutzen, um mit ihm über die Arbeit der FSFE zu sprechen.

Die Vorstellung der Teilnehmer fand bei diesem Treffen eher informell statt. Sehr erfreulich für ein außerordentliches Treffen war auch die Teilnehmerzahl. die uns veranlasste, die Runde in den Kellerraum zu verlegen. Auch der niederländische Koordinazor und sein Stellvertreter waren gekommen, letzterer direkt von einem Treffen im europäischen Parlament in Brüssel.

Gesprochen wurde in offener Diskussion auch in kleineren Runden über alle Themen, die die Teilnehmer bewegten. Dabei hatte Matthias die Gelegenheit, rheinische Aktivisten für Freie Software kennenzulernen.

Einge der Teilnehmer werden sich bald in Chemnitz wiedersehen.

Bericht vom Fellowship-Treffen in Frankfurt (5. März)

Being Fellow #952 of FSFE » German | 12:23, Friday, 07 March 2014

Am Mittwoch war wieder Fellowship-Treffen in Frankfurt. Wir trafen uns im Café Albatros in Bockenheim. Wie schon in Mainz und in Friedberg behinderte die Deutsche Bahn unser treffen: Es fuhren keine ICs und ICEs zum Hauptbahnhof…

Nach der abgeschlossenen Testrunde (Englisch) mit wechselnden Städten entschlossen wir uns dazu dieses Konzept fortzuführen, wollen aber in der zweiten Runde andere Städte aussuchen. Variatio delectat.

Außerdem wird es einen kleinen Schluck-auf in unserem Frankfurt-auswärts-Frankfurt-auswärts-Turnus geben, da wir entschieden haben uns im April erneut in Frankfurt zu treffen. Somit werden die Treffen künftig in geraden Monaten in Frankfurt stattfinden und in ungeraden auswärts.

Folgende Treffen stehen also dieses Jahr noch an:

• wie gesagt: 2. April wieder im Café Albatros in Frankfurt
• Am 7. Mai geht es dann nach Wiesbaden, ins Café Klatsch.
• 4. Juni: Frankfurt
• Am 2. Juli ist Bad Homburg dran. Thomas wird vermutlich eine geeignete Lokation auftreiben.
• 6. August: Frankfurt
• Am 3. September geht es ostwärts: zur Auswahl stehen Hanau, Seligenstadt und vieleicht doch wieder Aschaffenburg? Ein Stimmungsbild wird im Dudle gesammelt. Die  Entscheidung wird auf der Mailingliste fallen.
• 1. Oktober: Frankfurt
• Am 5. November (remember, remember,…) soll es dann nach Mannheim gehen.
• 3. Dezember: Frankfurt

Ich werde versuchen die nötigen Details für die Lokation bis zum nächsten Treffen am 2. April zusammenzubringen, damit sie entsprechend beworben werden können.

Zum Bewerben wollen Thomas und ich gucken ob wir nicht bald mal das Ticket #451 schließen können und damit gleich eine Möglichkeit unsere Treffen automatisch auf  der Seite der UserGroups Rhein/Main zu platzieren.

Da niemand von uns in den nächsten Wochen die nötige Zeit für die Organisation aufbringen werden kann, müssen wir unsere geplante Teilname am diesjährigen Document Freedom Day leider absagen.

Auf der kommenden Cryptoparty in Frankfurt am 22. März werden dafür aber wieder einige von uns dabei sein!

Daneben gab es natürlich wieder ein breit gefächtertes Themenfeld über das wir gesprochen haben. Leider war ich diesmal etwas faul, was die Notizen angeht, also kann ich nur auf folgende Punkte verweisen: NixOS, startpage.com, mutt-kz, .

Dann also bis zum nächsten mal am 2. April in Frankfurt oder eben schon am 22. März auf der Cryptoparty!

Reguläres Treffen der Community “FreieSoftwareOG”

Infos der Community "FreieSoftwareOG" | 11:42, Thursday, 06 March 2014

Gestern trafen sich wieder die Communities “FreieSoftwareOG” und “LugOG”, um gemeinsam zum Thema Linux und Freier Software zu fachsimpeln.

Es war schön zu sehen, daß sich auch drei neue Gesichter zu uns gesellten, die (nach eigenen Worten) endlich weg von Windows wollen…

Auch ein Interessent mit einem eee-PC, der sich schon auf dem Infoabend im Stud vorgestellt hatte, kam vorbei, um nun endlich mal Ubuntu auf dem Gerät auszuprobieren.

Das Thema des Abends war die zweite Fortsetzung der Serie: “Linux hilft Windows”.

Diesmal ging es um Datenrettung und es wurden anhand zweier Szenarien (Windows startet nicht mehr, Festplatte ist nicht mehr ansprechbar) Werkzeuge und Linux-Distributionen vorgestellt, mit denen man solche Probleme angehen und mit etwas Glück auch lösen kann.

Für die “üblichen” Gespräche blieb natürlich wie immer auch noch genügend Zeit, sodaß auch das aktuelle Thema “Messenger” nochmals rege besprochen wurde.

Das Fellowshiptreffen am 26.02.2014

stehmann's blog | 08:51, Sunday, 02 March 2014

hatte ein wirtschaftliches Vortragsthema. Man kann zwar die Bedeutung koffeinhaltiger Kaltgetränke für die Entwicklung Freier Software nicht überschätzen, aber darum ging es an diesem Abend nicht. Vielmehr ging es um das Projekt oder Unternehmen, welches hinter “premium”-Cola steht, und seine Menschen und wie sie miteinander umgehen.

Um 20:00 Uhr fingen wir mit dem “offiziellen” Teil, nämlich einigen Verkündigungen und dann der Vorstellungsrunde an. Etwa zwanzig Teilnehmer hatten sich eingefunden.

Uwe Lübbermann, der Initiator dieses Unternehmens, berichtete in einem interessanten und spannenden Vortrag, wie es zur Gründung dieses Unternehmens kam, vor allem aber auch über den Umgang mit Konsumenten, Lieferanten, Mitarbeitern und Mitbewerbern dieses Projektes. Entscheidend ist für ihn und seine Mitstreiter, dass man sich “auf Augenhöhe” begegnen kann, was er immer wieder betonte und auch anschaulich schilderte. Ein derart offenen Projekt, wie dieses, kann natürlich beispielsweise auch Trolle anziehen. Uwe schilderte jedoch. wie man auch damit klar kommt, ohne von Prinzip des gleichrangigen Umgangs miteinander abzuweichen.

Transparenz ist ein weiteres Prinzip, dessen praktische Anwendung er uns erläutern konnte. Wer wieviel vom Preis beispielsweise einer Flasche premium-Cola bekommt, ist klar vereinbart und jedem bekannt. Auch Fehler werden veröffentlicht, beispielsweise wenn bei der Abfüllung etwas schief gegangen ist. Transparenz schafft Vertrauen und damit auch Kundenbindung.

Insgesamt ist dieses Unternehmen etwas anders, als man sich das gemeinhin vorstellt, genießt aber trotz oder gerade wegen dieses andersartigen Umgangs mit Menschen den Respekt seiner Mitbewerber.

Ein weiteres schönes Beispiel für die Andersartigkeit dieses Projektes war der Umgang mit “Wachstumsschmerzen”. Als relativ kleines Unternehmen kann man als Kreditnehmer mit Banken nicht “auf Augenhöhe” verkehren. Also musste premium auch einmal einen Großauftrag ablehnen und sein Wachstum bewußt begrenzen, um wegen der Vorfinanzierung der Produktion nicht in Abhängigkeit zu geraten.

Insgesamt war es ein interessanter Vortrag und eine anregende Diskussion, bei der sowohl das Publikum als auch der Referent einiges voneinander lernen konnten. Vieles kannte man auch von Freien-Software-Projekten oder ließ sich auf diese übertragen.

Auch im Jahre 2014 fährt wieder unser Bus zu den Chemnitzer Linux-Tagen am 15. und 16.03.2014. Wie üblich geht es bereits Freitagmittag um 12:15 Uhr auf dem Staufenplatz los. Weitere “Haltestellen” sind das FSFE-Büro in Bilk, Essen, Wuppertal und Haaren.

Birgit konnte dann noch berichten, dass der Doppeldeckerbus bestens ausgelastet ist und nur noch wenige Plätze zur Verfügung stehen.

Jeder sollte einmal in Chemnitz zu den Linux-Tagen gewesen sein und der beste Weg dorthin ist der Freedom-Tours-Bus, der auch dieses Jahr wieder mit der freundlichen Empfehlung der Düsseldorfer Fellowship-Gruppe der FSFE auf die Reise geht.

Auch die Kinder und Jugendlichen aus Nordrhein-Westfalen, die an den FrogLabs des Teckids e.V. in Chemnitz teilehmen, werden mit dem Freedom-Tours-Bus anreisen.

Nächstes Treffen

Thema des Vortrages des Treffens im März am 26.03.2013 ist Kivitendo. Kivitendo ist eine betriebswirtschaftliche Freie-Software-Anwendung für die Bereiche Warenwirtschaft und Finanzbuchhaltung. Der Name Kivitendo kommt aus dem Suaheli und bedeutet “praktisch”. Bekannt ist diese Freie Software auch unter ihrem früheren Namen “Lx-Office”. Der eingeladene Referent kann uns nicht nur dieses Programmpaket vorstellen, sondern auch beispielhaft erläutern, wie ein Unternehmen mit Freier Software Geld verdient.

Das Treffen findet ab 19:30 Uhr statt. Um 20:00 Uhr beginnen wir mit dem “offiziellen” Teil. Wer später kommt, verpasst also was.

Kurzer Bericht von der Veranstaltung “Recht auf informationelle Selbstbestimmung?”

Being Fellow #952 of FSFE » German | 13:07, Friday, 28 February 2014

Gestern trafen sich sehr kurzfristig zwei Fellows und Kollegin um die Veranstaltung “Recht auf informationelle Selbstbestimmung?” mit Constanze Kurz und Peter Schaar in Frankfurt zu besuchen. Jan Philipp Albrecht war ebenfalls als Podiums-Gast angekündigt, konnte aber leider nicht kommen.

Für Leute, die sich mit dem Thema beschäftigen, gab es nicht so viel Neues, aber es war mal wieder schön die Ereignisse und Argumente mundgerecht und zusammengefasst präsentiert zu bekommen.

Daneben empfand ich es als beruhigend und motivierend, dass dieses Thema noch eine Menge Leute interessiert und aus dem Haus zieht. Der Saal war voll (ich schätze es gab weniger als 10 freie Plätze). Außerdem wusste ich nicht wie unterhaltsam Peter Schaar sein kann.

Die Veranstaltung, oder Teile davon sollen am 16. März im ZDF zu sehen sein. Name der Sendung “Sonntags”. In der Mediathek wird der Beitrag dann hier erscheinen.

Ob die Situation besser mit technischen Mitteln oder mit politisch/rechtlichen Mitteln angegangen werden sollte war kein Streitpunkt, sondern es bestand Einigkeit darüber, dass dieses Problem auf allen Ebenen angegangen werden muss. Generell bestand unter den Diskutanten kaum Dissens so sehr sie auch danach suchten Es ist fraglich in wie weit die Anwesenheit Jan Philipp Albrechts diese Situation besonders geändert hätte. Höchstens vielleicht in der Einschätzung welche Erfolgsaussichten der geplanten EU-Datenschutz-Grundverordnung eingeräumt werden.

Kurz und Schaar äußerten wenig Hoffnung, dass in absehbarer Zeit etwas Substanzielles von der Politik kommen könnte. Constanze rief dazu auf, dass solange sich die Politik nicht bewegt, die Bürger mit den Füßen (bzw. den Fingern) abstimmen müssten und den datenfressenden Dienstleistern den Rücken kehren sollten. Es seien schließlich sie, die denen ihre Daten freiwillig gäben. Siehe dazu auch Karstens Artikel: Some things you can do to secure your communications

Kurz: schön sei, dass die NSA Affäre als Katalysator für viele Entwicklungen diene, dass man schon fasst dankbar sein muss, dass sie besteht. Das hatte ich mir in ähnlicher Form auch schon öfter gedacht.

Schaar betonte, dass wir mehr darauf pochen sollten, die Zweckmäßigkeit der massenhaften Überwachung zu überprüfen, denn bereits vorhandene Studien belegten, dass sie rein gar nichts zur nachgesagten Terror- oder Verbrechensbekämpfung beitrage.

Im Folgenden schreibe ich einfach stichpunktartig die Punkte auf, die ich sonst noch bemerkenswert fand:

• Neben dem Recht auf informationelle Selbstbestimmung gibt es auch das Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme. Das ist bisher von mir nicht wahrgenommen worden. Vielleicht geht es jemanden ähnlich.
• Ich glaube Constanze verwandte den Begriff “Informationelle Gewaltenteilung“, der mir sehr gefiel und mich an Matthias Artikel erinnerte: Demokratie braucht Freie Software.
• Ein weiterer Begriff, der mir gefiel, diesmal von Peter Schaar: die “eingeschliffenen Ohnmachts-Strukturen der EU” (in Bezug auf die NSA Affäre)
• Im EU Jargon soll laut Schaar der Ausdruck “German vote“ gebräuchlich sein, der gleichbedeutend ist mit “Enthaltung” . Dieses vorhersehbare Abstimmverhalten führt er auf das föderale System zurück.
• Der Moderator Heinz-Peter Höller deutete an, dass es bei BITKOM kürzlich “gefunkt” hätte aufgrund der Spannungen zwischen den deutschen Firmen und den amerikanischen Tochterunternehmen. Davon habe ich nichts mitbekommen. Weiß da jemand mehr? Update (3. März, 2014): Gemeint war wohl das hier: Bitkom streitet über Antworten zum NSA-Skandal

Fazit

Der Moderator erwähnte in seiner Zusammenfassung als Fazit: “Wir müssen also mehr verschlüsseln und mehr ‘Open Source’ nutzen.”  Das Schöne an dieser Bemerkung war, dass es mir schien als sei dies auch beim Publikum generell angekommen.

Als Constanze mal ins Publikum fragte: “Wer verwendet denn bereits GPG/PGP?“, hoben überraschenderweise ca. 30% der Anwesenden die Hand. Wow.

Also ein netter Abend, wenn es nur nicht so heiß gewesen wäre. Während die drei auf dem Podium sich jeder einen Liter Wasser reinkippen konnten, mussten wir im Publikum das mit ansehen und verdursten…

Mehr davon können wir am kommenden Mittwoch beim Fellowship-Treffen in Frankfurt erzählen. Dann aber mit Getränken.

Web.de und GMX.net zerstören Vertrauen

Jens Lechtenbörger » Deutsch | 17:40, Thursday, 27 February 2014

Als hätte ich nichts Besseres zu tun!

Es hätte ein so schöner, freier Nachmittag werden können, aber jetzt verbringe ich meine Freizeit damit: United Internet warnt als Betreiber der kostenlosen, deutschen E-Mail-Dienste Web.de und GMX.net Besucherinnen und Besucher, die Werbe-Blocker installiert haben: „Die Sicherheit der Seite wird durch ein Firefox Add-on eingeschränkt.“

Ich werde auf eine „Informationsseite“ weitergeleitet, wo ich lese, dass manipulierte Browser-Erweiterungen wie Adblock Plus unbemerkt Online-Banking-Daten an Kriminelle weitergeben können.

Ich bin fassungslos. Ist das noch legal?

Aber ich bin nicht sprachlos. Richtig ist, dass manipulierte Software Online-Banking-Daten an Kriminelle weitergeben kann. Das kann eine manipulierte Browser-Erweiterung sein, das kann der manipulierte Browser selbst sein, das kann das durch Trojaner manipulierte Betriebssystem sein, das kann das bewusst oder unbewusst mit Sicherheitslücken ausgestattete Betriebssystem selbst sein. Die Liste der Möglichkeiten lässt sich lange fortsetzen und erlaubt nur einen Schluss: Online-Banking ist riskant. Wer über diese Tatsache noch nicht nachgedacht hat, sollte auf Online-Banking verzichten.

Alice benutzt für ihr Online-Banking eine Live-CD, wie ich anderswo beschrieben habe. Sie benötigt dazu keine Werbe-Blocker.

Alice und Bob benötigen aber unbedingt einen Werbe-Blocker, um sich im Web nicht auf Schritt und Klick verfolgen zu lassen. Sie setzen Werbe-Blocker nicht so sehr ein, weil sie Werbung an sich schlecht finden; sie setzen Werbe-Blocker vielmehr ein, um ihre Privatsphäre zu schützen und ihr Recht auf informationelle Selbstbestimmung wahrzunehmen: Typische Web-Werbung sorgt im Hintergrund dafür, dass unsichtbare Werbenetze ausspionieren, welche Web-Seiten Sie wann, wie lange und in welcher Reihenfolge besuchen; wo Sie sind, welche Vorlieben Sie haben, was Sie denken. (Eric Schmidt in 2010 als Google-CEO: „We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less now what you’re thinking about.“).

Mein allererster Artikel in diesem Blog stellt diese Sicht auf Werbe-Blocker ausführlicher dar. Ich verwende übrigens die freie Software Adblock Edge als Werbe-Blocker.

Dieser Werbe-Blocker hilft nicht nur beim Schutz meiner Privatsphäre, er erhöht darüber hinaus auch die PC-Sicherheit: Über kompromittierte Werbenetze werden seit langem und immer wieder Schadprogramme wie Viren und Trojaner per Drive-by-Download verteilt, etwa bei wetter.com oder aktuell bei YouTube, wovor im letzten Jahr auch das Bundesamt für Sicherheit in der Informationstechnik gewarnt hat. Mit einem Werbe-Blocker gelangen die Inhalte von Werbenetzen nun gar nicht mehr auf meinen Rechner, weder „echte“ Werbung noch eingeschleuste Schadprogramme.

Zurück zu United Internet: Auf web.de und gmx.net handelt mir die Browser-Erweiterung Adblock Edge die eingangs zitierte Warnung ein, die Sicherheit der Seite sei reduziert. Überlegen wir doch mal. Gerade habe ich erläutert, dass diese Erweiterung dafür sorgt, dass mein Browser weniger Inhalte aus mir unbekannten Quellen einbettet. Jede dieser Quellen könnte kompromittiert sein und Schadprogramme auf meinem Rechner installieren. Also ist das Gegenteil der Warnung richtig: Die Erweiterung erhöht die Sicherheit. Dennoch ist die Absicht der Warnung natürlich offensichtlich: Ich soll zu der Annahme verleitet werden, meine Daten würden durch diese „böse“ Browser-Erweiterung an Kriminelle gesendet. Das ist allerdings Quatsch: Auf der „Informationsseite“ geht es um einen im Testlabor manipulierten Werbe-Blocker. Dieser kann natürlich beliebige Daten an beliebige Dritte leiten. Aber ich verwende die offiziell veröffentlichte Erweiterung, und nicht die im Labor manipulierte Version …

Als Schlussfolgerung bleibt wohl nur, dass United Internet mehr Geld mit Werbung verdienen möchte als bisher. Insbesondere möchte man (wer ist „man“?) dort nicht, dass wir uns aus den Saugnäpfen der Datenkraken im Internet befreien. Um uns zurück in deren Saugnäpfe zu treiben, schreckt United Internet nicht einmal vor falschen, irreführenden Warnungen zurück. Das zerstört mein Vertrauen. Erstens bin ich (noch) Kunde bei 1und1, der/die/das ebenfalls zu United Internet gehört. Zweitens habe ich kürzlich meine Frau überredet, ihre transatlantische Yahoo-E-Mail-Adresse zugunsten einer deutschen bei GMX aufzugeben. Diese Empfehlung werde ich nicht wieder aussprechen; ab jetzt werde ich warnen.

In der c’t ist kürzlich ein Testbericht zur Sicherheit verschiedener E-Mail-Anbieter erschienen; einige Aspekte werden hier zusammengefasst. Neben den dort genannten Anbietern erscheint mir mailbox.org einen Test wert. Ich habe mich gerade registriert. 1€ pro Monat finde ich günstig für eine Mailbox bei einem Anbieter, von dem ich hoffe, dass er meine Privatsphäre zu schätzen weiß.

Im Übrigen bin ich der Meinung, dass E-Mail verschlüsselt werden muss.

Infoveranstaltung zu Freier Software im “Stud” Offenburg

Infos der Community "FreieSoftwareOG" | 15:00, Monday, 24 February 2014

Am vergangenen Samstag fand in der beliebten und bekannten Studentenkneipe “Stud” in Offenburg der erste Informationsabend zu Freier Software statt.

Zu diesem Anlass hatte ich natürlich einen Informationsstand aufgebaut.

Zusätzlich kündigte sich unser lokaler Hackerspace “Section77″ mit einem Basteltisch an und in einem separaten Raum konnten die interessierten Besucher die aufgezeichneten Videos der Vorträge vom 30C3 letzten Jahres ansehen.

Trotz einiger “Werbung” auch in unserer Tageszeitung kamen nicht ganz so viele Besucher wie erhofft, es genügte jedoch für diverse Informationsgespräche und den einen oder anderen “Verkaufserfolg”. Einige Besucher versprachen, auch mal zum nächsten Treffen vorbeizuschauen.

Da die Räumlichkeiten durchaus für solche Veranstaltungen gedacht sind, könnte ich mir vorstellen, auch den diesjährigen SFD hier auszurichten.

Zumindest aber habe ich mir vorgenommen, dieses Jahr noch das eine oder andere mal meine Sache hier zu vertreten…

Wirklich sichere WhatsApp Alternativen

Max's weblog » Deutsch | 09:41, Friday, 21 February 2014

Nachdem diese Woche bekannt wurde, dass Facebook es endlich geschafft hat, WhatsApp-Gründer Jan Koum und Brian Acton mit einer stolzen Summe von rund 16 Milliarden US-Dollar zum Verkauf ihrer Firma zu bewegen, fragen sich viele, was sich nun in Sachen Privatsphäre ändern wird – und wie man dem entgegenwirken kann. In diesme Artikel werde ich erläutern, was man bei der Wahl des richtigen Messengers beachten sollte, warum Threema nicht die Lösung ist und was wirklich sichere Alternativen sind.

Grundlegendes

Prinzipiell geht es hier um zwei Aspekte von Datenschutz: Erstens der Schutz vor (halb)staatlicher Überwachung und zweitens der Schutz seiner persönlichen Daten vor privaten Konzernen, meist Werbetreibende.
Beides sollte jedem von uns sehr wichtig sein, denn WhatsApp befördert noch kritischere Daten als Facebook heutzutage. Wissen wir mittlerweile, dass wir vielleicht nicht unbedingt unseren 300 “Freunden” auf Facebook unsere peinlichsten Momente per Video mitteilen sollten und dass dort vielleicht auch der künstige Arbeitgeber mitlesen kann, so chatten wir auf WhatsApp viel privater mit einer zweiten Person oder einer sich kennenden Gruppe. Die Hemmschwelle, mal eben lustig-peinliche Bilder zu schicken ist niedriger, genauso wie es einfacher ist, sich anzügliche Nachrichten und Medien hin- und herzuschicken. Bisher haben nur die wenigsten damit ein Problem gehabt, denn es blieb ja privat.

Das war allerdings schon vor dem Kauf durch Facebook nicht garantiert. WhatsApp hat sich zwar von Anbeginn an den Grundsätzen verschrieben, unabhängig zu bleiben und keine Werbung zu schalten, aber die Nutzungsbedingungen waren schon damals kaum privatsphärenachtend. Dass sich das durch den Einstieg von Facebook rapide ins negative verändern wird, sollte aber jedem einleuchten: Facebook lebt durch den Verkauf von Werbung und den Verkauf von persönlichen Daten.
Ein Paar schickt sich anzügliche Bilder und Texte? Na was wäre da angebrachter als Werbung  Unterwäsche und Sexspielzeuge? Jemand schickt immer viele Bilder und Videos von Clubs und Festivals? Werbung für Nikon-Kameras und überteuerte Tickets wären da doch genau das richtige. Und damit nichts verloren geht, wird das alles noch auf unbestimmte Zeit gespeichert, inklusive Namen, Bild und GPS-Verlaufsdaten.

Die Suche nach den Alternativen

Jetzt geht in sozialen Netzwerken und in Onlinemagazinen die Suche nach Alternativen los – absolut berechtigt. Aber leider wird wieder nicht aus den Fehlern gelernt, die schon bei WhatsApp gemacht wurden: Wir vertrauen allzu oft dem bloßen Versprechen der App-Anbieter. Auch Jan Koum hat noch kürzlich gesagt, dass WhatsApp nicht verkauft wird und nicht auf Profit aus ist. Aber bei einer Summe mit 9 Nullen hintendran wird jeder schwach…

Threema ist dafür ein trauriges Beispiel. Der kostenpflichtige Dienst wirbt mit hohen Verschlüsselungsstandards, den meisten Funktionen von WhatsApp und sicheren Servern in der Schweiz – und wird deswegen von vielen teils seriösen Zeitungen als “der NSA-Ärgerer” oder “sicherer Hafen für private Kommunikation” gepriesen. Doch es gibt ein grundlegendes Problem mit Threema: Es ist keine Freie Software.

Freie Software? Was’n das?
Freie Software wird oft auch als Open Source bezeichnet, also dass der Quellcode des Programms öffentlich ist. Dadurch kann jeder Interessierte den Programmcode auf Hintertüren und Schwachstellen untersuchen. Natürlich beherrscht das nicht jeder, aber es gibt genügend IT-Spezialisten, welche dies regelmäßig machen und somit einen großen Beitrag zur Sicherheit und Vertrauenswürdigkeit von gängigen Verschlüsselungstechniken beitragen: GnuPG (für E-Mails), Tor (zum anonymen Surfen) oder OTR (zum verschlüsselten Chat).

Freie Software (welche sich durch die Benutzung von freien Lizenzen definiert) geht auch einen Schritt weiter: Sie erlaubt jedem Menschen die Modifizierung des Programms und die Weiterveröffentlichung. Wird also der Entwickler einer Freien Software für Verschlüsselung aufgekauft und ist dadurch nicht mehr vertrauenswürdig, können Freiwillige den Quellcode kopieren, anpassen und unter einem anderen Namen wieder der Allgemeinheit frei zur Verfügung stellen. Somit geht eine Freie Software nicht verloren.
Freie Software hat übrigens nichts mit dem Preis zu tun, sondern ausschließlich mit den Freiheiten, die den Nutzern dabei garantiert werden: Das Recht, dass jeder für jeden Zweck die Software nutzen kann, dass man den Quellcode einsehen kann, diesen verändern darf und dann weiterveröffentlichen darf.

Wir können also nie nachprüfen, ob Threema seine Versprechen hält, die Daten der Nutzer nicht weiterzugeben. Und es ist auch nicht zu überprüfen, ob die Verschlüsselung nicht ein Leck hat, sei es wissentlich oder nicht. Und wenn Threema in ein paar Jahren von einem Silicon Valley-Konzern (wer denkt da auch an Google?) aufgekauft wird, gehören die Daten wieder mal nicht uns, den Usern, sondern dem neuen Besitzer – und alles war umsonst.

Es gibt weitere Anbieter, die viel versprechen, aber in der Hinsicht wenig halten. Dazu gehören etwa SilentCircle, Wickr und nahezu alle Apps, die “verschlüsselten Chat” bieten, wenn man mal im Google Play Store sucht.
Andere Alternativ-Apps wie Hike, Line und Viber legen beispielsweise erst überhaupt keinen Wert auf Verschlüsselung und bieten dabei staatlichen Behörden, aber auch Hobbyhackern massenhaft Möglichkeiten, private Daten abzufangen.

Gibt’s denn überhaupt sichere Alternativen?

Ja, die gibt es, man muss sie nur finden! Sie müssen prinzipiell nur zwei Dinge erfüllen: Erstens Freie Software/Open Source und zweitens mit leistungsfähiger Verschlüsselung. Es gibt noch einige andere wünschenswerte Sachen, aber diese beiden sind grundlegend.

Einer der heißesten Kandidaten ist surespot für Android und iOS. Diese App nimmt Verschlüsselung sehr ernst und ist hoch leistungsfähig. Bilder- und Audioübertragungen funktionieren problemlos in hoher Qualität. Ein weiterer Vorteil ist, dass man das Konto leicht umziehen kann, da es nicht an eine Telefonnummer, sondern an einen frei wählbaren Nicknamen gebunden ist. Es ist also eine gewisse Pseudonymität gegeben.
Wird surespot das erste mal nach Start des Geräts geöffnet, wird man nach seinem Kennwort gefragt, das man bei der Accounterstellung angeben muss. Danach bleibt es im Hintergrund und fragt auch nicht mehr nach dem Kennwort, solange man sich nicht abmeldet.
Vorteile: Technisch die wohl ausgereifteste App
Nachteile: Bisher gibt keine Unterstützung von Gruppenchats und Videonachrichten.

Eine weitere App ist Telegram, auch für Android und iOS. Was als erstes ins Auge sticht ist die enorme optische Ähnlichkeit mit Whatsapp. Auch Telegram verspricht effektive Verschlüsselung, allerdings muss die wirklich effektive Verschlüsselung erst jedes mal manuell aktiviert werden – sehr schade. Von unabhängigen Experten wurde auch die Leistungsfähigkeit der Verschlüsselung bemängelt. Positiv ist aber, dass Gruppenchats möglich sind und auch sonst kaum Funktionen von WhatsApp fehlen.
Vorteile: Kaum ein Funktionsunterschied zu WhatsApp, grundlegende Verschlüsselung
Nachteile: “Secret Chats” müssen jedes mal manuell aktiviert werden, Verschlüsselung ist nicht auf höchstem Niveau

ChatSecure für Android und iOS stammt vom renommierten Guardian Project, welches sich auf die Entwicklung von Apps für sichere Kommunikation konzentriert hat. Hervorstechend ist, dass es rein technisch die wohl sicherste Variante ist, da es auf OTR und XMPP aufsetzt und man auch seinen eigenen Server betreiben kann, also komplett unabhängig ist. Der eindeutige Nachteil ist, dass es eine andauernde Verbindung zum Server benötigt und dadurch ordentlich Batterie frisst. Dadurch kann man auch nicht chatten, wenn man offline ist. Zudem wird die iOS-Version leider durch das Apple-System alle 10 Minuten automatisch beendet.
Vorteile: Technisch hochgradig effizient, bewährte Verschlüsselung
Nachteile: Akkufresser, auf iOS kaum nutzbar, Gruppenchats nicht möglich

Ebenfalls erwähnenswert ist TextSecure (nicht verwechseln mit ChatSecure oben). Die Entwicklung dieser App ist etwas kompliziert, daher hier nur die Kurzzusammenfassung. Zu Anfang dieser App wurden Nachrichten verschlüsselt per SMS/MMS versendet, allerdings verursachte das zahlreiche Probleme, was den guten Ansatz getrübt hat. Das wurde jetzt über Bord geworfen und die Weiterentwicklung einer App ausschließlich auf Datenbasis (wie WhatsApp) hat begonnen. Diese wird Android und iOS unterstützen, Bilder, Videos und Gruppenchats werden auch dabei sein – und kostenlos soll’s auch werden! Zudem sind die Entwickler alle Größen in der Community.
Vorteile: Technisch einwandfreier Ansatz, state-of-the-art-Verschlüsselung
Nachteile: Bis zur Veröffentlichung von TextSecureV2 vergeht noch etwas Zeit, bis dahin nicht wirklich empfehlenswert.

Als letzte hier vorgestellte Alternative ist Kontalk zu nennen. Auch diese ist leider nicht uneingeschränkt zu empfehlen, da sie erstens nur auf Android funktioniert und zweitens momentan noch eine unausgereifte Verschlüsselung bietet. Das soll sich im Laufe dieses Jahres ändern mit dem Umstieg auf ein anderes Protokoll (XMPP), aber Unterstützung für iOS (was für den Chat mit Apple-Freunden leider notwendig ist) ist trotzdem nicht in Sicht.
Vorteile: Leichte Bedienung, gute Performance
Nachteile: Technisch mit leichten bis mittleren Mängeln, keine iOS-Unterstützung.

Also was nun?!

Schwer zu sagen. Es gibt bisher noch keinen eindeutigen Favoriten, den man uneingeschränkt empfehlen kann.
Auf kurze Sicht würde ich zu surespot oder Telegram raten, je nachdem, wie wichtig einem Gruppenchats und Videos sind. surespot ist dabei die sicherere Variante, Telegram die zugänglichere. Da aber der Erfolg einer App eh nur von der Nutzerbasis abhängt, wird es wahrscheinlich Telegram werden.

Auf lange Sicht hin lohnt es sich, TextSecure im Auge zu behalten. Wenn alles so wird, wie es momentan geplant ist, steht uns im Sommer ein Freudenfest für Datenschutz und Privatsphäre ins Haus! Auch heml.is, welches noch nicht veröffentlicht wurde, könnte ein guter Kandidat werden, allerdings gibt es noch kaum technische Hintergrundinfos und die sinngemäße Aussage, man versuche, so viel wie möglich Open Source zu machen, gibt einem zu denken. Also noch nicht zu häuslich in der WhatsApp-Alternative einrichten, mit Sicherheit kommt noch etwas besseres.

Nochmal: Threema klingt zwar toll, ist es aber allein vom Konzept nicht, da der Quellcode nicht öffentlich ist. Nur Freie Software schützt effektiv die Sicherheit und Privatsphäre von uns Anwendern – alles andere sind schlicht Werbelügen und hohle Phrasen.

PS: Während dem Schreiben habe ich noch einen netten Artikel gefunden, der nochmal einige Apps gegenüberstellt und dabei auch mehr auf die dahinterliegende Technik eingeht.

Reise in den Überwachungsstaat – Indien als Widerstandsmotivator

Leena Simon» deutsch | 14:31, Monday, 17 February 2014

Long time no write…(This blogpost is also available in english.)

Aber ich habe für Digitalcourage einen Beitrag zu Überwachung in Indien geschrieben, den ich hier einfach mal crossposte. Dieser Text wurde dankenswerterweise von Sebastian Lisken übersetzt und ist daher auch in Englisch verfügbar.

Bild von Johannes Mahnke (cc by sa 4.0)

Die Männer, die am Eingang des Flughafengebäudes stehen, sehen mit ihren Maschinengewehren ungemütlich aus. Mittlerweile sind wir schon gewohnt, dass man überall den Reisepass zeigen muss, doch es stellt sich heraus, dass ihnen das nicht reicht. Nur wer ein Flugticket hat, darf das Abfertigungsgebäude betreten. Doch auf die Eventualität, dass jemand ein E-Ticket hat und dies nur digital vorliegt, sind sie nicht vorbereitet. Oder doch. Ein Mann bringt eine lange Liste mit Namen. Mehrere Meter Endlospapier beinhalten sämtliche Daten derer, die heute von diesem Flughafen abreisen werden. Wir kriegen die Liste ausgehändigt und sollen unsere Namen aus den vielen Fluggastinformationen herausfinden. Erst danach dürfen wir den Flughafen betreten. Mitsamt der Liste. Die sollen wir dem Kollegen drinnen am Schalter geben.

So endete für mich eine dreiwöchige Reise durch Indien im letzten November. Es war eine aufregende Reise mit vielen neuen Eindrücken. Besonders nachhaltig hat sich der Eindruck gehalten, wie sehr die indische Bevölkerung und ihre Besucher überwacht werden:
Bei jeder Hotelübernachtung wurde unser Reisepass kopiert und wir mussten für ein Foto posieren. Auch Zug fahren war nicht ohne die Nummer im Reisepass möglich, von den Unmengen an abgefragten Informationen bei der Visumsbeantragung und beim Kauf einer SIM-Karte gar nicht zu sprechen. Um einen Fern- oder U-Bahnhof zu betreten, mussten wir unser Gepäck durchleuchten lassen und durch den Metalldetektor schreiten. Videokameras gehören zum Stadtbild.

Eine sehr große Demokratie

Im Falle des Flughafens hat es meine Sicherheit ganz sicher nicht erhöht. Als Frau ist man im chauvinistischen Indien nicht gerne alleine unterwegs. Auch das ausschließlich männliche Flughafensicherheitspersonal hielt sich nicht zurück, mir als alleinreisender Frau ihre Macht zu demonstrieren und zu versuchen, mich zu beschämen. Wenn meine männliche Reisebegleitung aus Sicherheitsgründen nicht den Flughafen betreten darf, setzt mich das sogar zusätzlicher (real spürbarer!) Unsicherheit aus. Ganz zu schweigen davon, was jemand, der Böses im Schilde führt, mit dieser Fluggastliste hätte alles anstellen können.

Schlimmer als gedacht

Mit einem Gedanken hatte ich mich jedoch vorerst beruhigt. Die meisten Datenerhebungen fanden analog statt. Mit Stift und Papier. Die schlechte Organisation der Inder ließ mich annehmen, dass die Daten nicht wirklich effizient verknüpft würden. Dass dies auch nur eine Frage der Zeit ist, war mir klar. Ende des vergangenen Jahres auf dem 30. Chaos Communication Congress (30C3) wurde ich dann eines Besseren belehrt: es wird bereits jetzt noch viel mehr elektronisch erfasst und effizient verknüpft, als ich befürchtet hatte. Wir können in Indien schon heute sehen, wie unsere Zukunft aussehen könnte, wenn wir den Kampf gegen Überwachung für verloren erklärten.

Zwei Vorträge zum Thema

Ich möchte zwei Vorträge zu diesem Thema vom 30C3 empfehlen. Maria Xynou beschreibt in ihrem Vortrag ein wahr gewordenes Horrorszenario

Doch Xynou und Srikanth sind optimistisch. Während bei uns mehr und mehr Menschen bereits die Flinte ins Korn werfen, sind beide – trotz der viel aussichtsloseren Situation in Indien – überzeugt, etwas verändern zu können. Srikanth erzählt auch weshalb: in Indien gab es in den letzten Jahren eine große Protestbewegung gegen Korruption, bei der viel erreicht worden sei. Das ist auch sein Ziel für den Datenschutz. Dass es möglich ist, mit solchen Themen mehrere tausend Menschen auf die Straße zu bringen habe er im letzten Herbst in Berlin auf der Freiheit Statt Angst Demo gesehen. Das habe ihm viel Mut gemacht.

Wir im Datenschutzwunderland

Verglichen mit anderen Ländern leben wir in Deutschland im Datenschutzwunderland. Derweil wird allein in Indien ein Sechstel der Weltbevölkerkung daran gewöhnt, dass Überwachung ganz normal und ein unvermeidbares Übel sei. Während wir hier über die Vorratsdatenspeicherung diskutieren, werden dort weitaus gruseligere Tatsachen geschaffen. Und Indien ist nicht der einzige stark bevölkerte Überwachungsstaat. Bezieht man allein China in die Betrachtung mit ein (Thema eines anderen Vortrags auf dem 30C3) sind wir schon bei einem guten Drittel der Weltbevölkerung, das permanent ausgespäht und gefügig gemacht wird.

Bild von Johannes Mahnke (cc by sa)

Unser Widerstand hilft nicht nur bei uns. Er hat auch Signalwirkung ins Ausland. Sowohl in die Politik als auch für die Menschen, die gegen einen noch viel größeren Goliath kämpfen. Wenn Srikanth seinen Vortrag damit beendet, zu betonen, wie wichtig für ihn die „Freiheit statt Angst“-Demo war, wird mir klar: Während wir uns von Streitigkeiten über das Datum demotivieren lassen, vergessen wir, was wirklich wichtig ist. Wichtig ist, dass es solche Demos gibt und dass wir damit über die deutschen Grenzen hinaus ein Signal setzen. Kein kleinteiliger Streit oder Pessimismus darf das verhindern.

Mut machen und erfolgreich sein

Wenn wir uns nur auf das Innere unserer „Festung Europa“ konzentrieren, werden wir angesichts dieser Übermacht an Überwachungsglauben langfristig nicht weit kommen. Denn nicht nur wir haben Wirkung nach außen. Das Außen wirkt auch auf uns. (Viele Firmen, die Überwachungstechnik produzieren, kommen aus Indien.) Deshalb müssen wir uns damit beschäftigen, wie wir die Menschen außerhalb Deutschlands und außerhalb Europas unterstützen können, und uns unserer Vorbildwirkung bewusst werden. Denn dann können wir uns gegenseitig Mut machen und erfolgreich sein.

Cryptoparty bei den Elzpiraten

Infos der Community "FreieSoftwareOG" | 13:25, Monday, 17 February 2014

Nachdem ich fast schon nicht mehr daran geglaubt hatte, erschien gestern dann doch noch ein kleiner Artikel über die Cryptoparty der Elzpiraten am 26.11.2013:

Ich war da ja als “Cyborg” hingefahren, halb Pirat, halb Freie-Software-Aktivist und hab’ versucht, ein wenig von beiden Welten einzubringen…

FOSDEM 2014

stehmann's blog | 17:32, Sunday, 16 February 2014

Der erste größere Event in jedem Jahr ist das Free and Open Source Developers European Meeting (FOSDEM) in Brüssel.

In diesem Jahr ging es zeitig bereits am Freitagmittag auf nach Brüssel, denn wir wollten den Apache-OpenOffice-Stand schon am Freitag aufbauen. Die beiden Rollupdisplays wurden auf der anderen Seite des Ganges gegenüber dem Stand so platziert, dass sie schon aus einiger Entfernung auf Stand hinwiesen. Neben uns war wieder der Perl-Stand; auf der anderen Seite Jenkins. Flyer hatten wir in englischer, französischer und deutscher Sprache, leider aber keine in niederländischer Sprache.

Am Freitagabend gingen wir nach getaner Arbeit in den Irisch Pub gegenüber der Börse. Dort erschien dann nach kurzer Zeit ein wohlbekannter Fellow der FSFE aus Wien, mit dem wir uns gut unterhielten. Allerdings verließen wir den Pub frühzeitig, sodass uns die dort später eingetroffenen Freunde nicht mehr antrafen.

Am Samstagmorgen wurde dann der Standaufbau durch die Installation von Rechner und Bildschirm vollendet. Ein freundliches Apache-Mitglied stattet uns mit weiteren Apache-Aufklebern aus, die sich in den beiden Tagen als “Renner” erwiesen – unser Stand war wohl auch der einzige Ort in Brüssel, wo man sie bekommen konnte. Unser Stand war dann auch der Anlaufpunkt nicht nur für die anwesenden Apache-OpenOffice-Entwickler, sondern auch für die Entwicklern anderer Apache-Projekte, die vorbeischauten.

Am Samstag gab es auch einen gemeinsamen Dev-Room mit LibreOffice (Open document editors devroom). LibreOffice hatte den Stand im selben Gang, aber etwas entfernt von unserem. Dort konnten wir Freunden “aus alten Tagen” ein “Hallo” sagen.

Die Fragen waren immer wieder dieselben: Warum gibt es keinen Merge beider Projekte? Was ist der Unterschied zwischen Apache OpenOffice und LibreOffice? Daneben gab es dann die üblichen User-Support-Fragen. Interesse wecken beim Publikum konnten wir einerseits mit der Sidebar und anderseits mit Loook. Die meisten Gespräche führten wir in Englisch, viele aber auch in Deutsch.

Samstagmittag war ich dann noch “als Nachbar” Gast beim belgisch-niederländischen Fellowshiptreffen.

Der FSFE-Stand wird von Jahr zu Jahr prächtiger. Die Arbeit hinter dem Stand lief dieses Jahr “wie am Schnürchen”. Es hat sich ein gutes Team herausgebildet, das “Hand in Hand” arbeitet.

Routiniert verlief schließlich der Abbau der Stände am Sonntagabend. Noch unter dem Eindruck der zahlreichen Gespräche, die wir mit dem interessierten Publikum, aber auch mit Freunden aus anderen Projekten geführt hatten, traten wir dann die Heimreise an. Die FOSDEM war auch in diesem Jahr die Reise nach Brüssel wert.

Die nächste Reise geht ganz gemütlich mit dem Bus im März nach Chemnitz.

Brief an Frau Nallinger – LiMux ist mehr als Software

softmetzbetrieb » fsfe | 23:24, Friday, 14 February 2014

Offener Brief an Sabine Nallinger, Kandidatin für das Amt der Bürgermeisterin

Sehr geehrte Frau Nallinger,

heute feiern Freie Software-Aktivist_Innen in ganz Europa den “I Love Free Software”-Tag. Mit von der Partie sind u.a. auch Ihre Parteifreund_Innen von GrünDigital sowie die Grüne Jugend München.

Gerade an diesem freudigen Tag trifft mich Ihre Aussage vom angeblichen Misserfolg des LiMux-Projekts besonders hart. Auf der nur für Mitglieder zugänglichen Internet-Seite Facebook schreiben Sie: “Ich will eine Lösung, die funktioniert, egal mit welcher Software.” Diese als Pragmatismus getarnte Gleichgültigkeit ist in meinen Augen ein harter Schlag für die Freiheit und Unabhängigkeit der Stadt München in unserer zunehmend digitalisierten Gesellschaft. Ferner ist diese Denkweise aus meiner Sicht nicht zu vereinbaren mit den Werten der Grünen Partei. Denken Sie an die vielen Menschen im Umfeld Ihrer Partei, die mit Ihrer beharrlichen Arbeit dafür gesorgt haben, dass Umweltschutz, geschlechtliche sowie sexuelle Emanzipation heute zu gesamtgesellschaftlichen Themen geworden sind. Wie oft forderten Grüne Politiker_Innen vom Volk, kurzfristig auf ein Quant Komfort zu verzichten, um die Welt zu einem besseren Ort zu machen. Und wie oft hatten sie damit Recht!

Das auch von den Grünen realisierte Münchner LiMux-Projekt ist eben ein Paradebeispiel für diese emanzipatorische Politik: es macht die Stadt (und ihre Bürger_Innen) wieder zu den Eigentümer_Innen ihrer Daten und der Datenverarbeitung. Es versetzt sie in die Lage,  alle Daten in offenen Formaten ohne Einschränkungen durch einen Hersteller zu speichern, die verwendete Software nach eigenen Wünschen anzupassen, zu verbessern und diese Änderungen mit der ganzen Gemeinschaft zu teilen.

Sie aber geben bereitwillig bei einem der wichtigsten Themen unserer Zeit, der Teilhabe an der digitalen Gesellschaft, klein bei. Können Sie sich etwa nicht vorstellen, dass die technischen und organisatorischen Probleme lösbar sind, ohne die Ideale über Bord zu werfen? Wir stehen gerade am Scheideweg, jetzt entscheidet sich welche Rechte unsere Kinder später an ihren Geräten, Programmen und Inhalten haben werden. Werden sie künftig als souveräne und emanzipierte Teilnehmer_Innen auftreten, oder werden sie zu reinen Konsument_Innen degradiert?

Sie schreiben, dass man den Mut haben muss, Fehleinschätzungen einzugestehen. Das ist richtig, und daher bitte ich Sie: Überdenken Sie ernsthaft Ihre Einschätzung zu LiMux. Überlegen Sie sich, wie wertvoll die gewonnene Freiheit und Unabhängigkeit für jede_n von uns ist. Überzeugen Sie im Wahlkampf mit Ideen zur Lösung der angesprochenen Probleme, um die Menschen in der Verwaltung auch bei IT-Fragen glücklich zu machen ohne die eben gewonnene Freiheit und Unabhängigkeit der Münchner IT direkt wieder aufzugeben..

“Freie Software – Freie Gesellschaft” – Dies soll unser gemeinsames Ziel bleiben!

Erstes ordentliches Fellowshiptreffen im neuen Jahr

stehmann's blog | 18:27, Sunday, 09 February 2014

Das erste ordentliche Fellowshiptreffen in Düsseldorf, das in diesem Jahr am 29.01.2014 stattfand, dient traditionell dem Rückblick auf das vergangene und der Planung unserer Aktivitäten im neuen Jahr.

Leider waren zu diesem Treffen – im Gegensatz zum vergangenen Jahr – recht wenig Teilnehmer erschienen. Dafür waren aber der niederländische Fellowshipkoordinator und sein Stellvertreter zu Gast. Das Treffen begann mit einer Vorstellungsrunde.

Im Rückblick auf die Vergangenheit wurde der bedauerliche Umstand festgestellt, dass wir immer erst mit zum Teil erheblicher Verspätung anfangen, was auch für die Referenten eine unangenehme Situation darstellen kann. Fellowshiptreffen werden traditionell “ab 19:30 Uhr” angesetzt. Dies hat seinen Grund darin, dass man (beispielweise wegen der Parkplatzsuche oder unpünktlicher öffentlicher Verkehrsmittel) verspätete Teilnehmer nicht ausschließen will. Es ist allerdings auch schon vorgekommen, dass ein erheblicher Teil der Teilnehmer erst um 20:00 Uhr oder sogar noch später “eintrudelte”. Auch bei dem Treffen, über das hier berichtet wird, war die Situation ähnlich. Teilweise wurde in der Vergangenheit auch vergeblich auf weitere Teilnehmer gewartet.

Als Lösung bieten sich folgende Möglichkeiten an:

1. Pünktlich um 19:30 Uhr anfangen. unabhänging davon, wer (schon) erschienen ist und wer eventuell noch erwartet wird.
2. Den regelmäßigen Beginn der Treffen auf einen späteren, noch zu bestimmenden Zeitpunkt verlegen.
3. Den Beginn der Treffen bei dem bisherigen Zeitpunkt belassen, aber mit dem “offiziellen Teil” erst später, beispielsweise um 20:00 Uhr beginnen. Und die Referenten diesbezüglich von vornherein entsprechend informieren.

Ich neige zu der letztgenannten Lösung, möchte die Frage aber mit den Teilnehmern auf einem der nächsten Treffen erörtern.

Stefan “Penny” Harmuth, ein Düsseldorfer Fellow und ehemaliger Mitarbeiter in der Düsseldorfer Geschäftsstelle der FSFE, kandidiert für die Wahl zum Fellowshipvertreter in der Mitgliederversammlung der FSFE. Er hat sich vorgestellt und seine Ambitionen erläutert. Den anwesenden Fellows wurde eine Beteiligung an dieser Wahl und die Unterstützung des einzigen Kandidaten nahegelegt.

Sodann sprach der Chronist die Frage an, ob sich jemand findet, der als sein Stellvertreter oder seine Stellvertreterin zu fungieren bereit ist. Die weitere Erörterung dieser Frage wurde jedoch auf ein späteres Treffen vertagt.

Vertagt werden musste auch die Sammlung weiterer Vorschläge für Vorträge auf den Treffen in diesem Jahr. Allerdings gab es interessante Vorschläge für Workshops, die allerdings mehr als abendfüllend sind und daher wohl besser an Samstagnachmittagen (in Zusammenwirken mit dem Chaosdorf) realisiert werden.

Bisher sind folgende Vorträge “festgezurrt”:

Die Menschen, die hinter der “premium”-Cola stehen, wollen sich als Genossenschaft organisieren. Einer von ihnen berichtet am 26.02.2013 von der Vergangenheit, Gegenwart und Zukunft dieses interessanten Projektes.

Thema des Vortrages des Treffens im März am 26.03.2013 ist Kivitendo. Kivitendo ist eine betriebswirtschaftliche Freie-Software-Anwendung für die Bereiche Warenwirtschaft und Finanzbuchhaltung. Der Name Kivitendo kommt aus dem Suaheli und bedeutet “praktisch”. Bekannt ist diese Freie Software auch unter ihrem früheren Namen “Lx-Office”. Der eingeladene Referent kann uns nicht nur dieses Programmpaket vorstellen, sondern auch beispielhaft erläutern, wie ein Unternehmen mit Freier Software Geld verdient.

Am 30.04.2013 wird Jochim über die CryptoParty-Bewegung referieren. Aus dem Umstand, dass IT-Sicherheit ohne Freie Software kaum vorstellbar ist, ergibt sich eine Nähe dieser Bewegung zu unseren Aktivitäten und Zielen.

Am 14.02.2014 feiern wir den “I love Free Software Day 2014″. Eine gute Gelegenheit, einmal Freunde zu besuchen und unsere Liebe zu Freier Software zu zeigen.

Am 14.02.2014 feiert die Cultural Commons Collecting Society (C3S) die Einweihungsparty für ihr eigenes Büro. im Gerresheimer Bahnhof (Heyestr. 194, 40625 Düsseldorf). Da wäre eine eigene “konkurrierende” Party unangemessen. Also sollten wir unsere Freunde, die zurecht feiern, einen wichtigen Meilenstein auf dem Weg zur Verwertungsgenossenschaft zu passieren, besuchen und gemeinsam feiern.

Los geht es um 17:30 Uhr mit einer Führung durch die neuen C3S-Büroräume. Ab 18:30 Uhr erfolgt der Einlass in den Saal. Und dann gibt es Freie Livemusik.

Tag des Datenschutzes

stehmann's blog | 13:30, Sunday, 09 February 2014

Am 28.01.2014 wurde der europäische Tag des Datenschutzes begangen. Zu diesem Anlass lud das Kulturreferat des Allgemeinen Studierendenausschusses der RWTH Aachen zu einem Vortragsabend in diese exzellente Universität ein.

Die Veranstaltung war recht gut besucht.

Den ersten Vortrag hielt Priv.-Doz. Dr. Walter Unger vom Lehrstuhl i1 der RWTH zum Thema “Kryptografie in einfach – ein Informatiker erklärt”. Der lebhafte Vortragsstil dieses Dozenten der theoretischen Informatik beeindruckte. Inhaltlich war sein Vortrag historisch angelegt und begann in ferner Vergangenheit. Zeitlos ist wohl seine Betrachtung, dass kryptographische Fehler meist nicht auf dem verwendeteten Algorithmus beruhen, sondern häufig auf einer fehlerhaften Implementation desselben, wofür er prominente Bespiele anführen konnte. Man kann dies als Plädoyer für quelloffene Software verstehen.

Danach erläuterte der zuständige Manager des IT-Centers der RWTH, Dipl.-Inform. Guido Bunsen, wie es um die Informationssicherheit an der RWTH Aachen bestellt ist. Er führte dabei deutlich vor Augen, dass diese Aufgabe notwendigerweise der Strafarbeit des Sisyphos durchaus vergleichbar ist. Wer sich die IT-Sicherheit zum Beruf macht, muss also nicht befürchten, mit seiner Arbeit irgendwann einmal am Ende zu sein.

Der Chronist hatte die Ehre, als einziger “auswärtiger” von vier Referenten einen Vortrag mit dem Titel “Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser” halten zu dürfen, in welchem er die Bedeutung Freier Software für die IT-Sicherheit hervorheben konnte. Da er als Fellow der FSFE eingeladen war und auch vom Organisator entsprechend angekündigt wurde, konnte er die Zuhörerinnen und Zuhörer zugleich auf die FSFE und ihr Fellowship aufmerksam machen.

Bemerkenswert war auch, dass der Referent Marius Politze, M. Sc., aus dem Entwicklungsteam RWTH-App, der zu “Smartphones und Apps – Die Spione in der Hosentasche” sprach, sowohl die Free-Your-Android-Aktion der FSFE ausführlich und lobend erwähnte, als auch den F-droid-AppStore geradezu als Offenbarung pries.

Die anschließende lebhafte “Podiumsdiskussion”, die auch politische und gesellschaftliche Fragen thematisierte, hätte wohl kein baldiges Ende gefunden, wenn nicht der freundliche Facility-Manager den Sauseschritt der Zeit dezent in Erinnerung gebracht hätte.

Angenehm war die professionelle und engagierte Organisation dieser Veranstaltung. Die Vortragsfolien wurden von der Vortragenden zur Veröffentlichung freigegeben.

Der Abend endete akademischer Tradition folgend in einem leider nur kurzen Kneipenbesuch.

Die Vorträge finden sich hier:

Kryptographie – aus Theoretikersicht,

Informationssicherheit an der RWTH,

Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser und

Smartphones und Apps – Spione in der Hosentasche

Free Your Android!

stehmann's blog | 19:52, Saturday, 08 February 2014

hieß es am 18.01.2014 im Chaosdorf.

Mehr und mehr wird unsere alltägliche Kommunikation und Organisation von kleinen Computer, sogenannten ‘Smartphones’ und ‘Tablets’ erleichtert.

Hieraus ergibt sich jedoch auch eine zunehmende Gefahr für unsere Privatsphäre. Diese Geräte speichern immer mehr persönliche Daten, z.B. Kalender, Emails, Kontaktdaten, Bilder, Videos oder Chat-Inhalte. Außerdem sind sie mit Mikrofon, Ortsbestimmung und Kamera ausgestattet und sind ständig mit dem Netz verbunden. Die Medien berichten, dass Besitzer über diese kleinen Computer ausgespäht werden.

Freie Software hilft, die Kontrolle über die eigenen Technik und die eigenen Daten zu behalten.

Um den Nutzern von Android-Systemen ihre Freiheit zurückzugeben, hat die Free Software Foundation Europe (FSFE) deshalb die “Free Your Android”-Kampagne gestartet. Ziel ist es die Kontrolle über Technik und Daten denjenigen (zurück) zu geben, denen sie eigentlich gebührt: den Nutzern.

Die zweite Veranstaltung der Düsseldorfer Fellowshipgruppe im neuen Jahr war in Zusammenarbeit mit Mitgliedern des Chaosdorfes an diesem Samstagnachmittag daher der schon länger geplante FreeYourAndroid-Workshop. Vorbereitet worden war dieser Workshop im Wiki des Chaosdorfes.

Als Moderator konnten wir Erik Albers, den Fellowship-Koordinator der FSFE, gewinnen, der eine einleitende Präsentation über Hintergründe zu Freier Software und Android hielt und danach den Workshop leitete.

Trotz unseres Warnhinweises über die Risiken des Versuchs, das Betriebssystem der Mobilgeräte zu wechseln, fanden sich etwa dreißig Interessierte ein. Viele waren zum ersten Male im Chaosdorf. Sie erhielten dann zunächst Führungen durch die Räume des Hackspaces. Manche wunderten sich wohl über die offene Art, mit der ihnen alles gezeigt wurde. Es bleibt zu hoffen, dass einige von ihnen bei nächster Gelegenheit wieder den Weg ins Chaosdorf finden.

Sogar aus Belgien, allerdings aus der Nähe von Aachen, war eine interessierte Familie angereist.

Nach dem Vortrag begann der praktische Teil des Workshops. Es wurden zwei Tische gebildet, Einen mit Besitzern von Geräten eines Herstellers, und der andere mit den Besitzern von Geräten aller übrigen Hersteller. Erfahrene Nutzer halfen Neulingen auf dem Weg in die Freiheit. Diejenigen, die schon Erfahrung in der Befreiung von Telefonen hatten, leiteten die an, die ihr Telefon befreien wollten.

Lediglich bei einem Gerät gelang dies nicht, Ein weiteres bedurfte der häuslichen Nachbearbeitung. Kein Gerät wurde in einen Briefbeschwerer verwandelt. Eine gute Bilanz!

F-droid ist ein Free-Software-App-Repository und ermöglicht es, alle alltäglichen Anwendungen mit Freien-Software-Apps zu gestalten, anstatt insoweit weiterhin von unfreien Apps abhängig zu sein. Auch hierüber wurde nicht nur gesprochen, sondern F-droid und die Freien Apps wurden auch praktisch erprobt.

Mein Dank gilt insbesondere marudor und hillbicks, die mit großem Eifer erfolgreich ihre Erfahrungen weitergaben.

Insgesamt war es nicht nur wegen der überraschend hohen Teilnehmerzahl eine gelunge Veranstaltung, bei der in gegenseitiger Hilfe und gemütlicher Atmosphäre Freiheit auf Mobilgeräten verbreitet werden konnte. Eine gute Werbung für Freie Software und das Chaosdorf!

Im Chaosdorf klang dann auch der Abend aus, bis man zu den letzten Bahnen und Bussen eilen musste. Erik, dem zu danken ist, dass er für diese Veranstaltung von Berlin an den Rhein gekommen war, wird hoffentlich einen günstigen Eindruck von den Freunden Freier Software im Rheinland mit an die Spree genommen haben.

Außerordentliches Fellowshiptreffen mit Freunden aus Wien

stehmann's blog | 19:32, Saturday, 08 February 2014

Das erste Fellowshiptreffen im neuen Jahr war ein außerordentliches.

Anlässlich des Besuchs zweier FSFE-Freunde aus Wien fand bereits am 14.01.2014 ein außerordentliches Fellowshiptreffen im Schwesterherz auf der Bilker Allee statt. Der Besuch von FSFElern in Düsseldorf ist uns nämlich häufig ein Anlass, zu einem außerordentliches Treffen einzuladen. Dieses Mal war die Einladung allerdings auch außerordentlich kurzfristig.

Den Vorabend hatten Albert und Martin im Chaosdorf verbracht, wo es ihnen gut gefiel. Martin kannte das Chaosdorf bereits, Albert erhielt eine Führung.

Angesichts der Kurzfristigkeit der Einladung war das Treffen recht gut besucht. Zunächst nahmen fünf Düsseldorfer Fellows daran teil, dann erschien m.eik von der C3S (die eindeutig relevant ist) und schließlich noch einige Freunde aus dem Chaosdorf.

Das “cloudige” Bierfass (statt eines “richtigen” Bierfasses gab es die entsprechende Menge aus der allgemeinen Leitung) wurde geleert und bis tief in die Nacht zogen sich die Gespräche hin über Freie Software, die FSFE, ihr Fellowship, die kommende FOSDEM in Brüssel und vieles mehr.

Insgesamt ein gelungener Abend unter Freunden.

Reguläres Treffen der Community “FreieSoftwareOG”

Infos der Community "FreieSoftwareOG" | 15:23, Thursday, 06 February 2014

Am gestrigen Mittwoch fanden sich wieder einmal die Communities “FreieSoftwareOG” und “LugOG” beim regulären Treffen zu einem interessanten Thema zusammen.
Es ging um die Information, Bekämpfung und Vorbeugung von Schadprogrammen unter Windows und Linux.

Es wurde geklärt, welche Sicherheitskonzepte hinter Windows bzw. GNU/Linux greifen und auch deren Unterschiede.
Dabei kam man zur Feststellung, daß es keinen vernünftigen Grund dafür gibt, warum Computer zunächst unsicher konzipiert und dann vom Benutzer abgedichtet werden müussen.
Auch die Frage, ob Linux vollkommen sicher ist beantwortete ein Zitat:
“Nein. es ist weit davon entfernt, wenn auch nicht so weit wie andere…”
Es gibt immer mal wieder Sicherheitslücken in Linux, manche davon schwerwiegend.
Sie werden allerdings üblicherweise innerhalb kürzester Zeit behoben Außerdem sind die möglichen praktischen Auswirkungen von Sicherheitslücken aufgrund des konsequent eingehaltenen Sicherheitskonzeptes vergleichsweise gering, insbesondere auf Desktop-Rechnern.

Danach folgten Erläuterungen zu den verbreitetsten Schadprogrammen wie Viren, Würmer, Trojaner, Scareware, Spyware/Adware oder Ransomware.

Daß GNU/Linux generell das Sicherere Betriebssystem ist, lässt sich nicht leugnen.
Ich hatte in meinem Vortrag allerdings auch noch die Frage gestellt:
“Können sich Linux-Nutzer generell sicher fühlen?”
Und mit einem Zitat von Jewgeni Kasperski geantwortet:
“Nur, weil sie von den Cyber-Kriminellen bisher kaum beachtet wurden. Aber das kann sich ändern.”

Unter diesem Aspekt wurden verschiedene Antiviren-Lösungen von diversen Anbietern genannt, welche für Linux angeboten werden.
Ausserdem die Möglichkeit, Windows-Systeme mittels Antiviren Live-CDs zu “entwanzen”.

Ein kleines Fazit fehlte natürlich auch nicht:

Die größte Gefahr sitzt in der Praxis vor dem Bildschirm:
auch das beste Betriebssystem kann nicht verhindern, dass ein unvorsichtiger Anwender seine Bankdaten per unverschlüsselter E-Mail versendet oder gar an einen Phisher verrät.
Auch die Installation von Programmen, die nicht aus den geprüften, offiziellen Paketquellen stammen, kann böse enden.

• 100% Sicherheit gibt es nicht!
• Sicherheit ist ein Konzept, keine Hard- oder Softwarelösung
• Sicherheit ist immer auch ein stückweit unbequem
• ein Computer ist so sicher wie ein Benutzer im Umgang mit demselben

Zum Schluss erläuterte ein kleiner Exkurs noch die immer wieder auftretende kontrovers diskutierte Frage: “Brauche ich eine Personal Firewall?”.

Ein wenig Hilfe für ratsuchende Anwender wurde auch wieder geleistet, indem bei einem mitgebrachten Notebook eine obskure Mail, welche Evolution beim Anklicken
zum Absturz brachte, erfolgreich gelöscht wurde.

VHS-Kurse zu Freier Software

Infos der Community "FreieSoftwareOG" | 13:59, Tuesday, 14 January 2014

Aufgrund meiner “Beschwerde” bei der hiesigen Volkshochschule Ende letzten Jahres, daß es seit Jahren keinen einzigen Kurs zu irgendeiner Freien Software gegeben hat, habe ich nun die Quittung bekommen…

Ich muss sie selber halten…

Nein, im Ernst. Der zuständige Bereichsleiter hat sehr schnell und freundlich geantwortet und mir durchaus Recht gegeben.

Er führte den Mangel einerseits auf fehlende Nachfrage, andererseits auch auf fehlende bzw desinteressierte Dozenten zurück.

Und ob wir nicht mal dieses Jahr einen kleinen Anlauf-Versuch wagen sollten. Das hab’ ich natürlich gerne aufgenommen, wenn auch (zumindest was LibreOffice angeht) mit einem etwas mulmigen Gefühl. Er hat mir aber Mut zugesprochen und somit gibt es im Frühjahrsprogramm der Offenburger VHS nun einen Tageskurs zu GNU/Linux und einen 5 tägigen Einsteigerkurs zu LibreOffice.

Selbstverständlich werde ich versuchen, den Teilnehmern möglichst viel über die Freie Software Philosophie nahezubringen, wenn ich mir das aber auch recht schwierig vorstelle.

Das kenne ich ja auch von meinen Infoständen. Ein solches Thema ist nicht “einfach mal so” abgehandelt und für viele “normale” Menschen einfach auch viel zu abstrakt…

Aber: Einsam sind die Tapferen…

In diesem Sinne hoffe ich natürlich auf viele/genug Anmeldungen, damit man das evtl. mit anderer Freier Software weitertreiben kann.

Reguläres Treffen der Community “FreieSoftwareOG”

Infos der Community "FreieSoftwareOG" | 15:00, Sunday, 12 January 2014

Diese Woche hatten wir das traditionelle “Jahresplanungs-Treffen”. Ebenso traditionell waren nicht ganz so viele Interessenten anwesend, ich war jedoch mit 8 zufrieden.

Da stelle ich die Events und Community-Vorhaben des angefangenen Jahres kurz vor (und hoffe auf rege Teilnahme/Hilfe daran).

Für dieses Jahr wären das:

• Linux-Kurs an der VHS (Samstag, 15. März)
• Document Freedom Day (Mittwoch, 26. März)
• LibreOffice Kurs an der VHS (02. April – 14. Mai)
• Verkaufsoffener Sonntag OG (04. April, 19.Oktober)
• LinuxTag (Mittwoch, 08. – Samstag, 10. Mai)
• Software Freedom Day (Samstag, 20. September)
• Vorträge an Schulen

Ausserdem kamen noch zwei weitere Events hinzu, der Education Freedom Day (18. Januar) und der Culture Freedom Day (17. Mai).

Da der 18. Januar schon sehr nah ist, werde ich erst für nächstes Jahr versuchen mit ansässigen Kulturvereinen und/oder Schulen in Kontakt zu kommen.

Das ist ebenfalls wieder ein Thema für dieses Jahr: Vorträge an Schulen. Mal sehen, ob sich dieses Jahr etwas ergibt.

Ein bischen stolz bin ich auf die beiden VHS-Kurse, welche sich aufgrund meiner letztjähringen Anfrage ergeben haben.

Linux auf dem Stick und LibreOffice

(beim LibreOffice-Link haben sie vergessen, meinen Beschreibungstext einzufügen. Im Printprogramm ist er glücklicherweise drin…)

Ich hoffe, daß sich genug Interessenten anmelden, sodaß die Kurse auch stattfinden können. Die Vergütung des Linux-Kurses geht übrigens nach Eingang direkt an die FSFE…

Wie bereits angekündigt, möchte ich für den diesjährigen Software Freedom Day wieder etwas “größeres” veranstalten. Die Lokalität ist bereits gesetzt (ein Familienzentrum hier am Ort), jetzt müssen wir nur noch das Programm zusammenstellen und, ganz wichtig, ab spätestens Mitte August mit der Werbung anfangen.

Nach der “offiziellen” Besprechung ging es wieder mal um die vielen Möglichkeiten der Überwachung (durch Soft- und Hardware).

Als Beispiel sei nur dieser Vortrag vom 30C3 genannt: To protect and infect

Bericht vom Fellowship Meeting Berlin am 12.12.13

Don't Panic » deutscher planet | 15:36, Friday, 14 February 2014

Debian-Paketieren bei tarent

stehmann's blog | 18:39, Saturday, 14 December 2013

Am 14.12.2019 trafen sich ab 10:00 Uhr in den Räumen von tarent in Bonn etwa ein Dutzend Menschen, um unter Anleitung zweier Debian-Developer und einiger Maintainer sich dem Paketieren von Software für Debian “Das universale Betriebssystem” zu widmen.

Noch am Morgen gab es einen Vortrag, der anhand zweier exemplarischer Pakete in die Feinheiten des Paketierens nach Debian-Regeln einführte.

Dann begann ein konzentrierter Hackathon, bei welchem verschiedene Projekte vorangetrieben wurden.

Gespeist wurde am Mittag in einem nahegelegenen türkischen Imbiss.

Danach ging der Hackathon forciert weiter. Fortschrittsfördernd war es, dass es bei auftretenden Fragen, die im “einsamen Kämmerlein” viel Zeit gekostet hätten, immer jemand gab, der eine weiterführende Antwort wusste.

Der Firma “tarent” ist für ihre Gastfreundschft zu danken. Beim nächsten Mal soll vorab noch etwas mehr kommuniziert werden, denn nach dieser gelungenen “Generalprobe” soll es mit noch mehr Teilnehmern eine Fortsetzung geben.

Think global – act local!

stehmann's blog | 19:19, Friday, 13 December 2013

Wenige Wochen nach dem “großen” Treffen der Fellowshipkoordinatoren der FSFE in Berlin fand in Düsseldorf am 29. und 30. November 2013 ein “lokales” Koordinatorentreffen statt.

Unermüdlich hatte Rainer auf ein solches Treffen hingearbeitet; dann war es endlich so weit. Mauricio, der aus Brasilien stammende belgische Koordinator wollte seine Visitenkarten persönlich abholen und dabei dem Düsseldorfer Büro einen Besuch abstatten: die Gelegenheit für das schon lange beabsichtigte belgisch-niederländisch-rheinische Koordinatorentreffen.

Und so traf Mauricio am Mittag des 29.11.2013 in der Düsseldorfer Geschäftsstelle ein und fand dort zwei Fellows und den Chronisten, als Düsseldorfer Koordinator, vor. Man unterhielt sich lange über das Fellowship, die Lage in Belgien, die bevorstehende FOSDEM in Brüssel, mögliche gemeinsame Aktionen und vieles mehr. Auch das Büro wurde besichtigt. Mauricio befand es für Treffen dieser Art als gut geeignet.

Dann besuchten wir gemeinsam das Chaosdorf, wo Chaosdorfmitglieder schon ein typisch rheinisches Gericht, nämlich Himmel un Ääd mit gebratener Flönz oder veganer Beilage, die ebenfalls hervorragend mundete, vorbereitet hatten. Selbstverständlich verkostete unser Gast auch das selbstgebraute Bier.

Der Braumeister konnte bei dieser Gelegenheit auch als Referent auf einem belgischen Fellowshiptreffen gewonnen werden.

Schließlich nahm man Abschied vom Chaosdorf, in dem sich Mauricio sichtlich wohlgefühlt hatte, um eine Exkursion in die Bilker Kneipenwelt zu starten, die erst am frühen Morgen endete

Am Sonntag traf man sich dann im Schwesterherz zum Brunch. Hier stieß Maurice, der niederländische Fellowship-Koordinator, zu uns.

Bei diesem Arbeitsessen wurden dann auch einige Beschlüsse für die Zukunft gefasst.

* Im Sommer (in der hiesigen Gegend ein dehnbarer Begriff) soll ein belgisch-niederländisch-rheinisches Treffen am Dreiländereck stattfinden mit Grillen, Bier und möglichst vielen Fellows.

* Treffen der belgisch-niederländisch-rheinischen Koordinatoren sollen künftig möglichst mindestens zweimal jährlich unter Einbeziehung der Bonner Koordinatoren stattfinden.

* Es soll ein Referentenaustausch stattfinden.

* Die Planung gemeinsamer Aktionen wurde ins Auge gefasst.

Der Chronist nahm die Gelegenheit war, das neugestaltete Sälchen im Keller des Schwesterherz zu besichtigen. Dieses wirkt nun viel größer und freundlicher.

Am frühen Nachmittag wurde es dann Zeit Abschied zu nehmen – man sieht sich zur FOSDEM in Brüssel.

Dies ist wohl mein letzter Bericht für dieses Jahr. Der Chronist wünscht allen Lesern ein frohes Weihnachtsfest, einen erlebnisreichen Kongress und einen guten Rutsch ins neue Jahr.

Wie selbstlos sind wir?

stehmann's blog | 19:13, Wednesday, 11 December 2013

“Wie selbstlos sind wir? – Teilen und Allmende im digitalen Zeitalter.” lautete der Titel des Vortrages auf dem Düsseldorfer Fellowshiptreffen am 27.11.2013.

Nach einigen Ankündigungen und der Vorstellungsrunde stellte Christina Herlitschka alias @SuddenGrey ihre Diplomtheorie zum Thema Teilen und Allmende im digitalen Zeitalter vor. Zu diesen Vortrag waren Teilnehmer aus Berlin und Saarbrücken angereist.

Christina ging in ihrem interessanten Vortrag den Ursachen und Bedingungen altruistischen Handelns nach. Begleitet wurde sie dabei von einem sachkundigen Publikum, das in der Diskussion Beispiele aus dem eigenen Erleben beisteuern konnte.

Ihr Vortrag vermittelte einige interessante Erkenntnisse u.a. zur wichtigen Rolle von Sanktionsmöglichkeiten und Sanktionen bei unfairem Verhalten zur Meidung der Tragik der Allmende.

Ihre Folien hat Christina freundlicherweise zur Verfügung gestellt.

Ein interessanter Abend mit großer Beteiligung und lebhafter Diskussion klang dann im obligatorischen gemütlichen Teil aus.

Nächste Termine

Das nächste Fellowshiptreffen ist erst wieder im Januar 2014.

Zuvor allerdings findet am 18.Januar 2014 ab 14:00 Uhr im Chaosdorf ein “Free Your Android – Workshop” statt. Als Moderatoren dürfen wir Erik Albers, den Fellowship-Koordinator der FSFE begrüßen, der eine einleitende Präsentation über Hintergründe zu Freier Software und Android halten wird und danach den Workshop leitet.

Weitere Einzelheiten finden sich hier.

Das nächste Fellowshiptreffen in Düsseldorf findet erst im nächsten Jahr am 29.01.2013 ab 19:30 Uhr im Chaosdorf, Hüttenstr. 25, 40215 Düsseldorf, statt. Auf diesem Treffen wollen wir das vergangene Jahr Revue passieren lassen und unsere Aktivitäten im Jahre 2014 planen.

Gäste sind wie immer herzlich willkommen.

Auch im Jahre 2014 fährt wieder unser Bus zu den Chemnitzer Linux-Tagen am 15. und 16.03.2014. Wie üblich geht es bereits Freitagmittag auf dem Staufenplatz los.

Jeder sollte einmal in Chemnitz zu den Linux-Tagen gewesen sein (wer einmal da war, kommt eh’ wieder ) und der beste Weg dorthin ist der Freedom-Tours-Bus, der auch dieses Jahr wieder mit der freundlichen Empfehlung der Düsseldorfer Fellowship-Gruppe der FSFE auf die Reise geht.

Birgit, die dankenswerterweise auch dieses Jahr wieder die Planung und Organisation übernommen hat, konnte erfreulicherweise bereits auf dem Fellowshiptreffen, über welches hier berichtet wird, einen Anmelderekord vermelden.

Alice, Bob und der geöffnete Tresor: Ein Plädoyer für E-Mail-Verschlüsselung mit GnuPG

Jens Lechtenbörger » Deutsch | 15:31, Wednesday, 11 December 2013

Einleitung

Kennen Sie Alice und Bob?

Im Folgenden stelle ich die beiden und ihre Widersacher, Eve und Mallory, zunächst vor. Wenn Sie es eilig haben, können Sie auch direkt im nächsten Abschnitt weiterlesen, wo es mit E-Mail-Verschlüsselung zur Sache geht.

Alice und Bob sind Personen wie du und ich. Beinahe jedenfalls. Sie sind berühmt, mindestens B-Promis in der Wissenschaft. Sie probieren seit langem immer wieder neue kryptographische Techniken, Verschlüsselungswerkzeuge und Anonymisierungsdienste aus, wie in zahlreichen wissenschaftlichen Publikationen beschrieben wird.

Alice und Bob stehen stellvertretend für alle möglichen Kommunikationspartner: Freunde, Verwandte, Bekannte, Kollegen, Geschäftspartner, Rat suchende und Rat gebende (beruflich, ethisch, familiär, finanziell, juristisch, medizinisch, politisch, privat, religiös …). Sie schätzen persönliche Gespräche sowohl unter vier Augen als auch in größeren Runden, und sie sind sich dabei bewusst, welchen Gesprächspartnern sie wann was und was nicht anvertrauen. Alice und Bob halten die Möglichkeit persönlicher Gespräche mit selbstgewähltem Zuhörerkreis für ein nicht verhandelbares, unveräußerliches Grundrecht.

Alice und Bob nehmen an, sie hätten ein Recht auf private, vertrauliche Kommunikation und Gedanken- und Meinungsfreiheit unter der Unschuldsvermutung. Wie genau Alice und Bob zu dieser früher selbstverständlichen und heute vielleicht naïv oder irrwitzig anmutenden Annahme gekommen sind, spielt hier keine Rolle. Wichtig ist aber, dass Alice und Bob wissen, dass sie ihre Rechte aktiv wahrnehmen müssen, ohne Hilfe durch Dritte erwarten zu können. Während Alice und Bob früher allgemein als paranoide Spinner oder subversive Elemente wahrgenommen wurden, werden ihre Bemühungen um den Schutz persönlicher Kommunikation seit der von Edward Snowden ins Rollen gebrachten Überwachungs- und Spionageaffäre eher verstanden.

Heute weiß jedes Kind, dass jede elektronische Kommunikation ausspioniert, abgehört und überwacht wird. Bis vor Kurzem hätten wir dies nur in totalitären oder faschistischen Gesellschaften für möglich gehalten. Heute ist weltweit politische, juristische und technische Gegenwehr erforderlich. Und ethische Bildung.

Die Herausforderung ist um so größer, als unser Leben mit elektronischer Kommunikation verschmilzt. Unsere PCs, Tablets, Smartphones, Spielekonsolen, Fernseher, Armbanduhren, Brillen, Autos, Stromzähler, E-Books und was-weiß-ich werden zu Augen, Ohren, Positions- und Gesinnungsmeldern für und gegen uns und andere. Eben Moglen hat das resultierende verworrene Netz besser beschrieben, als ich es kann. In seiner vierteiligen Vortragsreihe diskutiert er die Zukunft nach Snowden ausführlich. Hervorheben möchte ich den von ihm betonten ökologischen Aspekt der Privatsphäre.

Ökologische Herausforderungen können nur durch koordiniertes Handeln vieler Akteure überwunden werden, im Großen wie im Kleinen. Ähnlich ist es mit Privatsphäre. Vordergründig hat jede Einzelne die Wahl, ihr E-Mail-Konto (oder ihr Fotoalbum oder ihr Tagebuch) bei einer Datenkrake zu eröffnen oder auch nicht. Sie unterschreibt dazu eine in der Regel ungelesene und unverständliche Datenschatzvereinbarung, die der Datenkrake weitestgehende Rechte an persönlichen Daten einräumt. Die Datenschatzvereinbarung betrifft jedoch nicht nur die Einzelne. In dem Moment, wo Sie sich für die Datenkrake entscheiden, sind auch Ihre Gesprächspartner gezwungen, persönliche Nachrichten, die für Sie gedacht sind, der Datenkrake anzuvertrauen, ohne die Datenschatzvereinbarung überhaupt zu kennen. Anstatt Ihre Gesprächspartner der Datenkrake in die Saugnäpfe zu treiben, könnten Sie sich allerdings auch entscheiden, für an Sie adressierte Nachrichten einen heimischen Briefkasten oder Tresor aufzustellen, zu dem nur Sie den Schlüssel besitzen.

Seit Alice’ und Bobs ersten Experimenten mit Verschlüsselungstechniken sind die verfügbaren Werkzeuge stetig verbessert worden. Das Aufstellen eines heimischen Tresors durch Verschlüsselung ist heute so einfach wie nie zuvor. Verschlüsselung ist so einfach, dass es keinen guten Grund mehr gibt, private Kommunikation nicht zu verschlüsseln. Alice und Bob schützen sich durch Verschlüsselungstechniken vor Angreifern, die typischerweise Eve (von engl. eavesdropper, Lauscherin) und Mallory (von engl. malicious attacker, hinterhältiger Angreifer) heißen.

Eve und Mallory halten Grundrechte und Menschenwürde nicht für besonders wichtig, jedenfalls solange es um Rechte und Würde anderer geht. Sie versuchen, so viel Kommunikation wie möglich zu belauschen, um die gewonnenen Erkenntnisse für unterschiedlichste Zwecke einzusetzen. So ist Eve die neugierige Bekannte, Freundin, Verwandte oder Kollegin, die ihre Nase in alles hineinsteckt, was sie nichts angeht. Früher war sie auf herumliegende geöffnete Briefe oder „zufällig“ mitgehörte Gespräche angewiesen. Heute arbeitet sie für den Internet- oder E-Mail-Provider von Bob oder im Rechenzentrum von Alice’ sozialem Netzwerk oder bei einem in- oder ausländischen Nachrichtendienst. In jedem Fall kommen heute alle E-Mails, Telefonate und sonstige Nachrichten als offene Postkarten bei ihr vorbei. Da kann sie einfach nicht widerstehen …

Mallory ist schlimmer als Eve. Er ist nicht nur neugierig, sondern auch bösartig. Er manipuliert Telefone, Computer, Datenleitungen, Software, Protokolle und Nachrichten, um Informationen zu sammeln und um andere in die Irre zu führen. Mallory könnte der Ex-Freund von Alice sein, der ihr von Herzen alles Schlechte wünscht und unbedingt verhindern will, dass sie mit diesem Nerd Bob glücklich wird. Dann verschickt Mallory E-Mails mit gefälschtem Absender an Alice, sagen wir im Namen von Alice’ Freundin Carol. „Carol“ erkundigt sich dort beiläufig, seit wann Alice denn nicht mehr mit Bob zusammen sei und was sie von seiner gut aussehenden neuen Freundin halte, mit der sie ihn kürzlich eng umschlungen gesehen habe …

Andere Mallorys sind gewöhnliche oder ungewöhnliche Kriminelle, die mit Online-Banking- oder Bundes-Trojanern in die Rechner von Alice und Bob einbrechen wollen. Weitere Mallorys sind mit praktisch unbeschränkten finanziellen Mitteln ausgestattete Nachrichtendienste, die sich das Unrecht herausnehmen, weltweit jegliche Kommunikation in ihre Rechenzentren umzuleiten und dort unter dem Vorwand der Terrorabwehr für Kontrolle, Unterdrückung, Abschreckung, Erpressung, Inlands-, Auslands- und Industriespionage auszuwerten.

Alice und Bob können heute sicher sein, dass ihre elektronische Kommunikation als Kopie in von Eve und Mallory kontrollierten Rechnern landet. Außerdem können sie sicher sein, dass sie von ihren eigenen, Spionage betreibenden Regierungen weder Schutz noch Hilfe erwarten dürfen. In dieser Ausgangssituation sollten Alice und Bob nicht hoffen, sich wirksam vor jeder Eve und jedem Mallory schützen zu können. Alice und Bob sorgen aber dafür, dass sie nicht jede ihrer Nachrichten jeder Eve und jedem Mallory auf dem Silbertablett servieren. Dazu werden sie selbst aktiv, informieren sich und setzen verschiedene Maßnahmen zur Informationssicherheit ein, von denen im Folgenden die E-Mail-Verschlüsselung als Tresor für persönliche Nachrichten thematisiert wird.

E-Mail-Verschlüsselung

Da Alice und Bob nicht möchten, dass Eve ihre E-Mails lesen und Mallory sie beliebig fälschen kann, müssen sie diese verschlüsseln und durch sogenannte digitale Unterschriften gegen Manipulationen sichern. Aus dem Text einer E-Mail wird dann eine unverständliche, zufällig aussehende Zeichenfolge, mit der Eve und Mallory nichts anfangen können.

Haben Sie keine Angst: Verschlüsseln ist nicht so kompliziert, wie oft behauptet wird. Die im Zusammenhang mit Verschlüsselung verwendeten Begriffe mögen ungewohnt sein, kompliziert ist das aber nicht.

Im folgenden Abschnitt erkläre ich E-Mail-Verschlüsselung zunächst durch die Analogie eines geöffneten Tresors. Diese Erklärung endet mit der Aufforderung, eine E-Mail anhand einer Anleitung mit Bildschirmfotos zu verschlüsseln. Nachdem Sie das gemacht haben, möchten Sie vielleicht mehr Details wissen, denen sich der Rest des Textes widmet.

Der geöffnete Tresor

Wenn Alice vertrauliche Nachrichten empfangen möchte, muss sie einen geöffneten Tresor bereitstellen. Das ist alles.

Bob kann seine Nachricht dann in den Tresor von Alice legen. Wenn er den Treser schließt, schnappt das Schloss zu, und niemand außer Alice – weder Eve noch Mallory noch Bob selbst – kann auf die Nachricht zugreifen. Nur Alice, die die öffnende Zahlenkombination (oder den öffnenden Schlüssel) zum Tresor besitzt, ist jetzt noch in der Lage, an Bobs Nachricht zu gelangen und diese zu lesen.

So einfach ist das. Alice benötigt nur einen Tresor, zu dem niemand außer ihr die öffnende Kombination besitzt.

Im Rahmen der E-Mail-Verschlüsselung werden der Tresor und die öffnende Zahlenkombination durch ein sogenanntes Schlüsselpaar verkörpert. So ein Schlüsselpaar besteht aus zwei Schlüsseln, einem öffentlichen und einem geheimen (oder privaten) Schlüssel. Der Tresor entspricht dem öffentlichen Schlüssel. Entsprechend verschlüsselt Bob seine Nachrichten an Alice mit ihrem öffentlichen Schlüssel. Die den Tresor öffnende Zahlenkombination entspricht dem geheimen Schlüssel, mit dem Alice die an sie verschlüsselten Nachrichten entschlüsselt. Wie die Begriffe „geheim“ und „öffentlich“ schon andeuten, muss Alice gut auf ihren geheimen Schlüssel aufpassen, so dass dieser nie in fremde Hände gerät, während sie ihren öffentlichen Schlüssel weitergibt.

Am Computer werden Tresor und öffnende Zahlenkombination durch Zahlen dargestellt, und die Nachricht im geschlossenen Tresor ist unverständlicher Kauderwelsch. Wie diese Zahlen genau aussehen, ist Thema moderner Magie, der sogenannten asymmetrischen (genauer der hybriden) Verschlüsselung, deren Details in zahlreichen Lehrbüchern dargestellt werden. Alice und Bob erstellen und verwenden die notwendigen Zahlen mit geeigneter Software; Bob macht das, ohne diese Magie zu verstehen. (Alice und Bob können auch nicht erklären, wie die Magie eines Fernsehers funktioniert, sie verwenden ihn trotzdem.)

GnuPG (GNU Privacy Guard, gpg, deutsch etwa „Privatsphäre-Wächter“) ist bewährte freie Software, die diese Magie nutzbar macht. Mit GnuPG stellt Alice ihren persönlichen, an ihre E-Mail-Adresse gebundenen Tresor mit öffnender Zahlenkombination her. Dann erzählt sie Familie, Freunden und Bekannten, dass diese ihre Nachrichten von nun an in ihren Tresor legen sollen. Dafür müssen auch diese GnuPG verwenden.

Das ist die zentrale Herausforderung.

Alice muss einen Tresor aufstellen, und ihre Gesprächspartner müssen den Willen aufbringen, den Tresor zu benutzen (und eigene Tresore für die an sie adressierten E-Mails aufstellen).

Eine Anleitung mit Bildschirmfotos zur Nutzung von GnuPG mit dem E-Mail-Programm Thunderbird und der GnuPG-Erweiterung Enigmail finden Sie bei „Verbraucher sicher online“. Sie werden dort schrittweise von der Installation über die Erzeugung eines Schlüsselpaares und den Austausch öffentlicher Schlüssel bis zu Ver- und Entschlüsselung geleitet. Probieren Sie das unbedingt aus. Verschlüsseln ist nicht so kompliziert, wie oft behauptet wird. Für erste Tests mit verschlüsselten Nachrichten bietet sich der freundliche E-Mail-Roboter Adele an.

Wichtiger als die Lektüre des Rests dieses Textes wäre jetzt, dass Sie ein erstes Schlüsselpaar erstellen und sich eine verschlüsselte E-Mail von Adele schicken lassen, die Ihnen garantiert antwortet.

Ich warte hier so lange.

Einige Details

Alice und Bob setzen mit geöffnetem Tresor und öffnender Zahlenkombination sogenannte asymmetrische Verschlüsselungsverfahren ein, die auch als Public-Key-Verfahren bekannt sind. Nach heutigem Kenntnisstand sind die zugrunde liegenden Verschlüsselungstechniken selbst gegenüber Geheimdiensten wie der NSA sicher. (Mallory würde eher versuchen, einen Trojaner in Bobs Rechner einzuschleusen. Dieser Trojaner fängt dann die E-Mails im Klartext ab, nachdem Bob sie zum Lesen entschlüsselt hat oder noch bevor er sie nach dem Schreiben verschlüsselt hat.)

Alice und Bob benutzen die freie Software GnuPG, die dem Internet-Standard OpenPGP zur E-Mail-Verschlüsselung folgt. Sie befinden sich damit in guter Gesellschaft namhafter Sicherheitsexperten wie Bruce Schneier. (Im Unternehmenskontext wird oftmals auf S/MIME anstelle von OpenPGP gesetzt. Für Privatanwender ist das nicht zu empfehlen, weil (a) die Einrichtung und sichere Erstellung eines Schlüsselpaares deutlich komplizierter ist und (b) sie gezwungen sind, in der Regel nicht vertrauenswürdigen Zertifizierungsstellen zu vertrauen. Ferner halten Alice und Bob De-Mail für Quatsch, und auch das Sommermärchen 2013 von mehr Sicherheit durch Umstellung auf verschlüsselten E-Mail-Versand bei deutschen Providern ersetzt keine eigene E-Mail-Verschlüsselung.)

Wie oben beschrieben benötigen Alice und Bob zunächst beide jeweils ein Schlüsselpaar, bestehend aus einem öffentlichen und einem geheimen Schlüssel. Diese Schlüsselpaare erstellen sie auf ihren eigenen Rechnern und händigen sich gegenseitig ihre öffentlichen Schlüssel aus. Sämtliche Schlüssel (eigene und fremde) legen sie in ihrem sogenannten Schlüsselbund ihrer Software ab. Dann verschlüsselt Bob E-Mails an Alice mit ihrem öffentlichen Schlüssel; sie entschlüsselt diese mit ihrem geheimen Schlüssel. Umgekehrt verschlüsselt Alice E-Mails an Bob mit seinem öffentlichen Schlüssel; er entschlüsselt mit seinem geheimen Schlüssel.

Wenn Bob seinen geheimen Schlüssel verliert (z. B. weil seine Festplatte den Geist aufgibt und er kein Backup besitzt oder weil er die im Rahmen der Schlüsselerzeugung gewählte Passphrase vergessen hat), sind die verschlüsselten Daten verloren. Vermutlich könnte nicht einmal die NSA ihm weiterhelfen.

Falls Sie sich wundern: Wenn Bob eine E-Mail an Alice verschlüsselt, kann er den Text selbst nicht mehr lesen, weil er Alice’ geheimen Schlüssel nicht besitzt (er kann Alice’ geöffneten Tresor schließen, kennt aber die öffnende Kombination nicht). Daher verschlüsselt er E-Mails immer auch mit seinem eigenen öffentlichen Schlüssel an sich selbst. Der dadurch entstehende Tresor besitzt dann zwei Türen: eine für Alice’ geheime Kombination und eine für seine eigene.

Bevor verschlüsselt werden kann, müssen also öffentliche Schlüssel ausgetauscht und im Schlüsselbund abgelegt werden. Dies kann auf verschiedene Arten geschehen: Persönlich z. B. per USB-Stick, per E-Mail, durch Veröffentlichung auf einem Web-Server oder durch Veröffentlichung auf einem Key-Server. Eine Herausforderung besteht noch darin sicherzustellen, dass ein öffentlicher Schlüssel dem „richtigen“ Empfänger gehört. Andernfalls könnte Bob seine Nachrichten in einen Tresor legen, der zwar mit „Alice“ beschriftet ist, der aber von ihrem Ex Mallory aufgestellt worden ist …

Ob Mallory durch so einen gefälschten Tresor wirklich an die Nachrichten von Bob kommen würde, hängt von einigen Details ab. Stellen Sie sich folgendes Szenario vor: Mallory legt sich eine E-Mail-Adresse in Alice’ Namen zu. Das ist in der Regel einfach. Sagen wir, er wählt alice@example.com. Dann erstellt er auf seinem Rechner ein Schlüsselpaar zu dieser E-Mail-Adresse und schreibt Bob eine E-Mail mit Absender alice@example.com. Ob er diese mit Bobs öffentlichem Schlüssel verschlüsselt und ob er sie mit seinem geheimen Schlüssel signiert, spielt keine große Rolle; vermutlich macht er beides, weil er hofft, das sähe vertrauenerweckender aus. Er schreibt: „Lieber Bob, ich habe mir eine neue E-Mail-Adresse zugelegt, die ich nur für verschlüsselte E-Mails nutzen möchte. Dazu habe ich ein GnuPG-Schlüsselpaar erstellt. Füge den im Anhang enthaltenen öffentlichen Schlüssel doch bitte deinem Schlüsselbund hinzu. LG Alice.“ Wenn Bob diesen Schlüssel verwendet, legt er seine E-Mails in einen Tresor von Mallory. Mallory kann sie natürlich entschlüsseln und den Text an die echte E-Mail-Adresse von Alice weiterleiten (zumindest mit zu „Bob“ gefälschter Absenderadresse, eventuell auch weiteren gefälschten Details). Alice erfährt dabei nie, dass es die Adresse alice@example.com überhaupt gibt, und weder Alice noch Bob merken, dass Mallory sie in der Rolle eines sogenannten Man-in-the-middle hintergeht.

Damit Alice und Bob nicht Opfer so eines Man-in-the-middle-Angriffs werden, sondern sicher sind, dass sie die richtigen Tresore verwenden, vergleichen sie sogenannte Schlüssel-Fingerabdrücke, die sie sich separat mitteilen. Der Fingerabdruck eines Schlüssels ist eine Zeichenkette wie 7482 02DB 2697 708B 9C0C 4FA4 7D5C 06FE A142 FD84, die den Schlüssel eindeutig identifiziert, etwa so wie eine fälschungssichere Seriennummer einen Tresor identifizieren würde. Mit dem in obiger Anleitung beschriebenen Enigmail kann der Fingerabdruck eines Schlüssels durch die Menüfolge „OpenPGP“ / „Schlüssel verwalten …“ / Rechtsklick auf E-Mail-Adresse und „Schlüsseleigenschaften“ angezeigt werden. Wenn Alice und Bob ihre öffentlichen Schlüssel nicht persönlich ausgetauscht haben, teilen sie sich die Fingerabdrücke ihrer öffentlichen Schlüssel mit (nicht per E-Mail, sondern z. B. per Telefon) und vergleichen diese mit den Fingerabdrücken im Schlüsselbund.

Wie Erzeugung, Veröffentlichung und Verwendung von GnuPG-Schlüsseln im Detail funktionieren, können Sie im „GNU-Handbuch zum Schutze der Privatsphäre“ oder auch bei „Gpg4win für Einsteiger“ nachlesen, das Gpg4win behandelt, eine kinderleicht einzusetzende, freie GnuPG-Variante für ein unfreies, aber verbreitetes Betriebssystem. Umfassende deutschsprachige Darstellungen mit vielfältigen technischen Details finden Sie zudem bei Hauke Laging und im Raven Wiki.

Software

Alice und Bob benötigen ein E-Mail-Programm, das einfache Unterstützung für OpenPGP mitbringt; unter anderem verweist das GnuPG-Projekt auf Enigmail in Kombination mit dem freien E-Mail-Programm Thunderbird. Diese Kombination haben Sie bereits ausprobiert, als Sie der oben genannten Anleitung bei „Verbraucher sicher online“ gefolgt sind, oder? Falls Sie das nicht getan haben, sollten Sie das nachholen. Andernfalls lesen Sie diesen Artikel vermutlich mit wenig Gewinn.

Bob musste sich umgewöhnen, weil er E-Mails zuvor im Web-Browser gelesen hat, was für verschlüsselte E-Mails wenig geeignet ist. (Es gibt GnuPG-Browser-Erweiterungen wie WebPG für den Firefox. Ein E-Mail-Programm wird dadurch nach Bobs Meinung aber nicht ersetzt.)

Bob hat sich für Thunderbird entschieden, wo er beim ersten Start einfach seine bisherige E-Mail-Adresse angegeben hat; Thunderbird ruft die E-Mails direkt von seinem E-Mail-Provider ab bzw. sendet neue E-Mails über diesen zum Empfänger. Um Thunderbird das Verschlüsseln mit GnuPG beizubringen, hat er (neben GnuPG oder gpg4win) die Thunderbird-Erweiterung Enigmail installiert (im Thunderbird über die Menü- und Befehlsfolge „Extras“ / „Add-ons“ / Suchfeld: „Enigmail“ / „Installieren“). Die Installation dieser Software ist Teil der mehrfach angesprochenen Anleitung.

Alice und Bob sind sich im Klaren, dass Ver- und Entschlüsselung unterwegs nur eingeschränkt möglich sein können. Sie benötigen dazu Zugriff auf ihren Schlüsselbund und geeignete Software – mal eben im Internet-Café geht das nicht. So schlimm ist das aber auch wieder nicht, weil für beide das Eingeben ihres E-Mail-Passwortes an einem öffentlich zugänglichen Rechner eh nicht in Frage kommt: Wer weiß schon, welcher Mallory dort die Kontrolle ausübt.

Auch für Smartphones gibt es E-Mail-Programme mit OpenPGP”=Unterstützung. Wer seine verschlüsselten E-Mails normalerweise am PC liest und schreibt, sollte allerdings überlegen, ob der geheime Schlüssel auf dem Smartphone ebenso sicher ist wie auf dem PC: Das Smartphone geht leichter verloren, und oftmals mangelt es an Updates, die kritische Sicherheitslücken schließen. Alice und Bob übertragen ihre am PC erzeugten Schlüssel jedenfalls nicht auf Telefone; für auf Smartcards gespeicherte Schlüssel stellt sich diese Frage noch nicht einmal. Wer allerdings E-Mail bevorzugt über das Smartphone abwickelt, erhöht natürlich auch hier die Sicherheit durch den Einsatz von OpenPGP. Für Android kommt K-9 Mail mit APG in Frage. Beide gibt’s bei F-Droid und im Play Store.

Digitale Signaturen

Oben habe ich kurz erwähnt, dass Alice und Bob ihre Nachrichten nicht nur verschlüsseln, sondern auch digital unterschreiben. Eine digitale Unterschrift oder Signatur dient dem Nachweis, dass eine Nachricht zum einen wirklich vom vorgeblichen Absender stammt, und nicht von Mallory, der sich als dieser ausgibt, und zum anderen auf dem Weg von Mallory nicht verändert wurde. Ob Alice und Bob zusätzlich zur Verschlüsselung auch noch signieren oder ob sie auf die Signatur verzichten, können sie von Nachricht zu Nachricht entscheiden; sie können auch unverschlüsselte Nachrichten signieren und dadurch anzeigen, dass sie GnuPG verwenden und offen für verschlüsselte E-Mails sind. Im E-Mail-Programm werden Signaturen auf Knopfdruck oder automatisiert per Einstellung erzeugt. In jedem Fall wird der geheime Schlüssel benutzt, um eine digitale Signatur zu erstellen. Mit Hilfe des zugehörigen öffentlichen Schlüssels kann geprüft werden, ob die Signatur echt ist. (Da Mallory den geheimen Schlüssel von Alice nicht kennt, kann er keine Signaturen in ihrem Namen erzeugen.)

Nebenbei sei darauf hingewiesen, dass Alice und Bob meistens eine ungenutzte Signaturkarte mit sich herumtragen, nämlich ihren Personalausweis. Dieser erlaubt es, digitale Signaturen (unabhängig von E-Mail) zu erstellen. Insofern ist es für jede/n Deutschen sowieso sinnvoll, sich mit den Grundlagen asymmetrischer Kryptographie zu beschäftigen. Leider hat der Gesetzgeber es versäumt, dem Ausweis auch eine Verschlüsselungsfunktion mitzugeben. Der Ausweis führt daher nur zu mehr Kontrolle durch digitale Signaturen ohne die Freiheit der Verschlüsselung.

Alice und Bob verwenden nach einiger Eingewöhnungszeit mit GnuPG übrigens eine OpenPGP-Smartcard als sicheren Schlüsselspeicher. Einige Details dazu habe ich anderswo beschrieben. Dieser Schlüsselspeicher ist immun gegen Trojanerschützt vor dem Diebstahl des Schlüssels durch Trojaner, lässt sich mit Lesegerät auch in den Urlaub mitnehmen, um überall E-Mails entschlüsseln zu können, und wäre sinnvollerweise direkt im Personalausweis enthalten.

Zu guter Letzt

Es gibt für Alice und Bob noch viel zu lernen. So habe ich das Signieren bzw. Zertifizieren von Schlüsseln und das übergeordnete Thema Web of Trust gar nicht angesprochen. Schauen Sie sich mit ausreichend Zeit die „Einführung“ von Hauke Laging an.

Außerdem habe ich einen wichtigen Aspekt bisher nicht betont: Wenn Alice und Bob GnuPG zum Schutz ihrer E-Mails verwenden, können Eve und Mallory die Nachrichteninhalte weder lesen noch unbemerkt verändern. Eve und Mallory können aber immer noch sehen, wann, wo und unter welchem Betreff Alice und Bob verschlüsselte E-Mails versenden und abrufen; die sogenannten Verbindungs- oder Verkehrsdaten werden von der Verschlüsselung nicht geschützt. Evtl. möchten Alice und Bob aber gar nicht, dass überhaupt jemand von ihrer Kommunikation weiß.

Warum auch?

Dann müssen Alice und Bob weitergehende Maßnahmen ergreifen, die auch die Verkehrsdaten schützen. Sie können dazu Remailer verwenden, die E-Mails mehrfach verschlüsselt über Zwischenstationen weiterleiten und dabei identifizierende Daten entfernen.

Zudem behalten Alice und Bob die vielversprechenden Projekte Dark Mail und Pond im Auge. Dark Mail entwickelt ein alternatives E-Mail-Protokoll, bei dem Verschlüsselung eingebaut sein wird, während Pond die Ziele von Off-The-Record-Kommunikation anstrebt. Off-The-Record (abgekürzt mit „OTR“) bezeichnet die natürliche, nicht aufgezeichnete, vertrauliche Kommunikation unter vier Augen, die z. B. dann stattfindet, wenn Alice und Bob sich auf der Parkbank unterhalten: Erstens können sie sicherstellen, dass sie nicht von Eve belauscht werden. Zweitens wissen sie, dass sie nicht versehentlich mit einem verkleideten Mallory sprechen, der sich als einer von ihnen ausgibt. Drittens können sie hinterher alles abstreiten, was sie zuvor gesagt haben. Viertens bleiben keine Spuren ihres Gesprächs zurück, was technisch in etwa durch Perfect Forward Secrecy angenähert werden kann.

Während es für Internet-Chat zahlreiche OTR-Chat-Anwendungen gibt, verletzt E-Mail-Verschlüsselung die Eigenschaft Perfect Forward Secrecy, und bei Verwendung digitaler Signaturen ist auch Abstreitbarkeit nicht gegeben. Um hier Abhilfe zu schaffen, zielt Pond auf den vertraulichen Austausch von Nachrichten – einschließlich der Verkehrsdaten! – mit Perfect Forward Secrecy, erfordert dazu aber separate Pond-Server und setzt auf dem Anonymisierungsnetzwerk Tor auf. Alice und Bob werden das ausprobieren.

Im Übrigen bin ich der Meinung, dass Sie einen geöffneten Tresor aufstellen sollten. Ich empfehle dazu die Anleitung zur E-Mail-Verschlüsselung bei „Verbraucher sicher online“ sowie den freundlichen E-Mail-Roboter Adele.

Das hatte ich bereits erwähnt, oder?

Free Your Android – Workshop

stehmann's blog | 19:27, Tuesday, 10 December 2013

am 18.Januar 2014 im Chaosdorf ab 14:00 Uhr.

Mehr und mehr wird unsere alltägliche Kommunikation und Organisation von kleinen Computer, sogenannten ‘Smartphones’ und ‘Tablets’ erleichtert.

Hieraus ergibt sich jedoch auch eine zunehmende Gefahr für unsere Privatsphäre. Diese Geräte speichern immer mehr persönliche Daten, z.B. Kalender, Emails, Kontaktdaten, Bilder, Videos oder Chat-Inhalte. Außerdem sind sie mit Mikrofon, Ortsbestimmung und Kamera ausgestattet und sind ständig mit dem Netz verbunden. Die Medien berichten, dass Besitzer über diese kleinen Computer ausgespäht werden.

Freie Software hilft, die Kontrolle über die eigenen Technik und die eigenen Daten zu behalten.

Von den verbreiteten Tablet- und Smartphonebetriebssystemen ist lediglich Android unter einer Freien-Software-Lizenz veröffentlicht worden. Und obwohl Android Freie Software ist, versuchen Google und die Android nutzenden Hardwarehersteller, Nutzerfreiheiten zu beschränken. Vorinstallierte proprietäre Software (Apps) lässt sich nicht entfernen.

Um den Nutzern von Android-Systemen ihre Freiheit zurückzugeben, hat die Free Software Foundation Europe (FSFE) deshalb die “Free Your Android”-Kampagne gestartet. Ziel ist es die Kontrolle über Technik und Daten denjenigen (zurück) zu geben, denen sie eigentlich gebührt: den Nutzern.

Die Düsseldorfer Fellowshipgruppe der FSFE lädt zu einem “Free Your Android”-Workshop ins Chaosdorf. Erfahrene Nutzer helfen Neulingen auf dem Weg in die Freiheit. In diesen Workshops kommen diejenigen, die schon Erfahrung in der Befreiung von Telefonen haben, mit denen zusammen, die ihr Telefon noch befreien möchten.

Als Moderator dürfen wir Erik Albers, den Fellowship-Koordinator der FSFE begrüßen, der eine einleitende Präsentation über Hintergründe zu Freier Software und Android halten wird und danach den Workshop leitet.

Wann ?

Der Workshop findet am 18.Januar 2014 im Chaosdorf, Hüttenstr. 25, 40215 Düsseldorf, ab 14:00 Uhr statt. Dauer: etwa 4 Stunden.

Wer soll kommen?

1. Jeder, der Android-Telefone oder -Tablets bereits befreit hat und anderen dabei helfen möchte.

2. Jeder, der gerne sein Android-Telefon oder -Tablet “befreien” möchte.

Zusammen werden wir dann in gegenseitiger Hilfe und gemütlicher Atmosphäre Freiheit auf Mobilgeräten verbreiten.

Was gibt es zu beachten?

Wenn Du planst, Dein Betriebssystem gegen ein Custom-ROM auszutauschen, dann solltest du unbedingt vorher ein Backup machen. Außerdem solltest Du Dich in diesem Fall bereits vorher informieren, ob Du den Bootloader Deines Gerätes entsperren kannst und ob es überhaupt eine Custom-ROM für dein Gerät gibt (das Wiki von Cyanogenmod ist für beide Fragen eine erste Hilfe). Schließlich solltest du einen Laptop mitbringen. Eine besondere Freude machst Du uns außerdem, wenn Du uns vorher wissen lässt welches Gerät Du befreien willst (Mail an anwalt@rechtsanwalt-stehmann.de).

Möglicherweise ist Dein Gerät nach einem solchen Versuch allerdings dauerhaft unbrauchbar.

Wenn Du “nur” planst, Dein Android-System zu belassen, aber F-Droid installieren und weitere Freie Software Apps ausprobieren möchtest, dann ist ein Backup nicht notwendig. F-droid ist ein Free-Software-App-Repository und ermöglicht es, alle alltäglichen Anwendungen mit Freien-Software-Apps zu gestalten, anstatt insoweit weiterhin von unfreien Apps abhängig zu sein.

Bitte beachte, dass Dir keiner eine Garantie für das Funktionieren bieten kann, und Du selbst für Deine Hardware verantwortlich bist.

Update: Die Planung erfolgt im Chaosdorf-Wiki.

Reguläres Treffen der Community “FreieSoftwareOG”

Infos der Community "FreieSoftwareOG" | 10:50, Thursday, 05 December 2013

Am gestrigen Mittwoch trafen sich wieder die Communities “FreieSoftwareOG” und “LugOG” zum regulären Treffen.

Das hochinteressante Thema war dieses mal “ownCloud im Echtbetrieb – Berichte von der Front”.

Wie erwartet kamen recht viele Interessenten. Mit 17 Teilnehmern platzte der Raum schier aus allen Nähten. Trotz der “Kuschel”-Atmosphäre verfolgten die Anwesenden zunächst den Vortrag, in dem es um die Grundlagen der “Cloud” ging und was das eigentlich bedeutet. Dann wurde nochmals der Scheckkarten-PC “RaspberryPi” vorgestellt, der sich natürlich als extrem geeignet für das folgende Hauptthema des Abends eignet.

Die letzten Folien behandelten dann noch einige theoretische Informationen zur freien Lösung “ownCloud”, wie beispielsweise die Installation, Möglichkeiten der Synchronisation mit den verschiedensten Geräten (Android, Windows, iOS) und der Techniken, welche dazu verwendet bzw. gebraucht werden.

Im anschliessenden Hands-On zeigte Eugen anhand zweier mitgebrachter RasperryPi’s sehr eindrucksvoll, wie einfach sich das System bedienen lässt.

An einem der beiden Systeme, die mit einem Raspbian ausgestattet waren, hatte er sogar die Kamera angeschlossen, um so eine kleine “Überwachungs-Lösung” zu zeigen.

Selbstverständlich gab es einige Fragen zum Handling, der möglichen Verschlüsselung der Daten und viele mehr, welche dann von den Vortragenden und/oder Anwesenden Experten beantwortet wurden.

Als zusätzliches Informationsmaterial gab es die beiden Handbücher zur ownCloud (User und Admin) sowie ein HowTo der Community (verfasst von Eugen und Fast Edi), welches Schritt-für-Schritt durch die komplette Installation eines RaspberryPi mit der ownCloud führt. Dieses gibt es auch auf unserer Website im Download-Bereich als PDF.

Sehr schön fand ich die Anwesenheit dreier ausländischer Studenten unserer Hoschschule, die mich nach dem Vortrag noch auf Latex und Impressive angesprochen haben.

Die Frage: “Vertraust du der Hardware?” sorgte im Anschluss noch für rege Diskussionen, da man ja tatsächlich zwar zumindest aus Software-Sicht mit Debian und der ownCloud “Herr über seine Daten” ist, auf die Hardware, welche von einem englischen Hersteller stammt, jedoch nicht. Die These stützte sich auf die Annahme, daß die (sehr wahrscheinliche) Möglichkeit besteht, daß Geheimdienste und/oder Konzerne die Hersteller angehen und mit mehr oder weniger “Druck” gezielt Backdoors in solche Systeme einbauen lassen.

Als nettes Beispiel aus der Wirklichkeit wurde der “Zufallszahlengenerator” in Intel-Prozessoren genannt.

Ach ja, neben all den deprimierenden Gesprächen über Überwachung, Gängelung von Usern und der Einsicht, daß all die “paranioden” Ahnungen der letzten Jahre sich bewahrheitet haben, gab’s wie letztes Jahr beim Dezember-Treffen noch den traditionellen “Niko-Tux”.

Hier neben dem Pi mit angebauter Kamera und einigen weiteren Infos zum Cloudthema…

Und hier noch die Mindmap, welche als Grundlage für die Vortragsfolien erstellt wurde.

Fellowship Berlin Bericht – 14.11.2013

Don't Panic » deutscher planet | 15:36, Friday, 14 February 2014

Gesucht: Nutzer, denen die Gewährleistung eines gerooteten Gerätes versagt wurde

Don't Panic » deutscher planet | 15:36, Friday, 14 February 2014

OpenRheinRuhr 2013

stehmann's blog | 15:22, Sunday, 24 November 2013

Letztes Jahr fiel die OpenRheinRuhr wegen einer vorrangigen Belegung der Halle des Rheinischen Industriemuseums in Oberhausen leider aus.

In diesem Jahr fand die OpenRheinRuhr am 9. und 10. November wieder an gewohnter Stelle statt. Auf diesem Event sind die Fellows der FSFE mit Vorträgen und Workshops, in der Organisation, an vielen anderen Ständen als Standpersonal – also praktisch überall – aktiv. Deshalb war es gut, dass der Apache-OpenOffice-Stand sich genau neben dem Stand der Free Software Foundation Europe befand, sodass wir Rainer, der den Stand der FSFE praktisch allein betreute, “aushelfen” konnten, wenn dieser sich im Auftrage der Kommunikation über Freie Software im “Außendienst” befand.

Auf der anderen Seite des Apache-OpenOffice-Standes befand sich wieder der LibreOffice-Stand, der von Jacqueline und Andreas, sowie zwei “Neuen” betreut wurde. Wir, Mechtilde und ich, wurden in diesem Jahr von Dodo unterstützt, der seine Aufgabe hervorragend meisterte.

Wieder waren es die Sidebar und Loook, mit denen wir die Aufmerksamkeit des Publikums gewinnen konnten. Erfreulich war auch, dass ein Mensch vom DANTE-Stand die Qualität des LaTeX-Exports durch die Writer2LaTeX-Extension lobte.

Auch Arthur aus den Niederlanden, den wir auf der T-DOSE kennengelernt hatten, besuchte uns und die ORR; auch der niederländische Fellowship-Koordinator Maurice stattete einen Besuch ab.

Auch die Free – Office – eXperts hatten ganz in unsere Nähe einen Stand, der am Samstag von Georg und Mitarbeitern der Firma SCAI Systemberatung & Software-Entwicklung GmbH, Leverkusen, und am Sonntag von Lothar und seiner Ehefrau für die Firma .riess applications gmbh, Karlsbad, betreut wurde. Mit Lothar hatten wir dann noch ein längeres Gespräch.

Auch wenn die nachfolgenden Bilder einen anderen Eindruck vermittelten; am FSFE-Stand war an beiden Tagen viel los.

Am Samstag musste ich für den leider erkrankten Matthias in Absprache mit der Organisation zwei Vorträge übernehmen: “7 Missverständnisse über Freie Software (Oder sind es Lügen?)” und “Vom Aussterben bedroht: Die Universalmaschine Computer”. Beide Vorträge waren gut besucht. Das Publikum war durchaus fachkundig. Und was kann es schöneres für einen Vortragenden geben, als wenn nach dem zweiten Vortrag ein Teilnehmer behauptet, ich hätte seinen “‘Kampfeswillen’ wieder etwas entfacht”? Bemerkenswert war das große Interesse des Publikums in der Diskussion nach dem ersten Vortrag an rechtlichen Fragen, vor allem hinsichtlich der GPL und Lizenz(in)kompatibilitäten.

Am Samstagabend beim Sozialevent fanden im Wege der Verlosung auch drei Tuxe ein neues Zuhause und zwar in der Schweiz.

Der Standabbau am Sonntagabend ging recht zügig vonstatten. Herzlich war der Abschied von den Freunden, die von weiter her angereist waren. Aber man sieht sich ja spätestens auf der FOSDEM 2014 in Brüssel wieder.

Fazit: Wieder einmal ein gelungenes Event – trotz der Zwangspause -, welches für uns einen guten Abschluss der Veranstaltungen des Jahres 2013 bot.

Übrigens habe ich sofort am nächsten Tag schon den Stand für Apache OpenOffice für die ORR 2014 angemeldet mit der Bitte an die Orga, ihn ebenso günstig wie in diesem Jahr zu platzieren.