Der Marius, der will uns etwas über Datenschutz und IMSI-Catcher erzählen. Ich danke dir, Marius. Dankeschön.

Datenschutz für Aktivisten und Aktivistinnen ist mein Vortrag heute. Inhaltlich ist das ein Einsteigervortrag. Das heißt, wer vielleicht schon mal gehört hat, was ein IMSI-Catcher ist, oder wer schon mal was von Ende zu Endeverschüssung gehört hat, der weiß wahrscheinlich schon die meisten Sachen, die einfach in diesem Vortrag sind.

Aber ich denke, es gibt halt viele Leute, die irgendwie im Aktivismusbereich sind, die vielleicht nicht das tiefe technische Wissen dahinter haben und für die ist dieser Vortrag gedacht. Politisch gesehen richtet sich der Vortrag irgendwie an Leute,

die mit Aktivismus die Welt ein bisschen besser machen wollen, an Leute, die eine sozialere oder eine gerechtere Gesellschaft wollen, vielleicht an Leute, die das mit der Demokratie eine gute Idee finden und an Leute, die denken, dass man allen Leuten erst mal per se mit Respekt begegnen sollte und mit Wohlwollen, egal welcher Weltanschauung oder Herkunft man ist.

Datenschutz wirkt erst mal wie ein dröges Thema, ist aber meiner Meinung nach trotzdem sehr wichtig. Das muss man Leuten im CAS-Umfeld nicht unbedingt erzählen, aber manchmal ist es vielleicht auch wichtig, sich noch mal daran zu erinnern, worum es eigentlich geht.

Und ich glaube, irgendwie einen großen Anteil daran hatte das Noden, weil wir da gesehen haben, dass zumindest staatliche Überwachung sehr viel weiter reicht, als das vorher von den meisten angenommen wurde. Wir wissen, dass es bis hin mit diesem Prison-Programm in die eigentlichen Dienste hineingeht,

wo staatliche Stellen Zugriff haben. Es wird an Infrastruktur, das haben wir an diesem Temporaprogramm gesehen, abgehört und teilweise zumindest auf der Ebene der Geheimdienste.

Es ist so, dass selbst vor dem Heck von Netzwerken und Organisationen wie der EU nicht zurückgeschreckt wurde. Auf der Ebene der Geheimdienste bleiben wir jetzt noch mal kurz, auch wenn es natürlich nicht nur diese Ebene gibt.

Konkret, wenn ich mich jetzt mit Aktivismus befasse, ist vielleicht eine Gefahr von anderen aktivistischen Gruppen da oder vielleicht von der Polizei, weil die, das sehen wir auch später noch, bei manchen Überwachungsmaßnahmen manchmal zu weit greift.

Ein gutes Beispiel, wie ich finde, um sich das mal zu verdeutlichen, über was für Dimensionen wir bei so Massenüberwachung eigentlich reden, ist ein Beispiel, was direkt auf die Snowden Veröffentlichung folgte. Damals war Herr Gauck der Bundespräsident und der hat irgendwie gesagt,

naja, aber das ist ja jetzt alles digital und das ist ja gar nicht so schlimm, wie bei der Stasi früher, als Leute, was irgendwie einen Ordner gepackt haben. Und das ist auch ein kleines bisschen das Problem, glaube ich, dass bei digitale Überwachung einem die eigentliche Problematik,

die Größe der Problematik vielleicht auch gar nicht bewusst ist. Und wie in diesem Fall, dass da gedacht wurde, naja, wenn ich jetzt Daten aufschreibe, irgendwie in einen Aktenordner, dann ist das schlimmer, als wenn ich die auf einer Festplatte speichere. Und das ist nun mal nicht der Fall. Da gibt es eine schöne Visualisierung im Internet.

Da habe ich nun mal zwei Screenshots gemacht. Das ist eigentlich eine schöne Animation. Und dieses kleine Quadrat hier ist die Fläche, die die Stasi-Akten einnehmen würden, wenn man sie auf den Boden auslegen würde. Und dann gibt es noch ein größeres Quadrat. Also zum Vergleich, das hier ist Berlin, die Museumsinsel.

Dann gibt es noch ein größeres Quadrat. Und das wäre, wenn man zu diesem Zeitpunkt, ich weiß nicht, ob das vielleicht 2013 auch war, die Daten nehmen würde, die die NSA ungefähr speichern kann, in ihren Rechenzentren. Und wenn man die auf Akten ausdrucken würde und auf den Boden auslegen würde,

wie groß dieses Quadrat wäre. Jetzt kann kurz jeder mal für sich überlegen, wie groß dieses Quadrat wäre. Manche mögen es vielleicht auch wissen. Und was wir dann sehen, ist, dass es einfach um viele Dimensionen größer ist.

Und dass wir mittlerweile von irgendwie einer Skalierung, von Überwachung reden, die so nie zuvor möglich war. Und das natürlich nicht nur bei Geheimdiensten der Fall, auch auf der Ebene der Polizei ist es so, dass mittlerweile es sehr viel einfacher ist,

Daten zu speichern und zu verarbeiten. Gucken wir uns doch mal an, was wir so im Einzelnen dagegen tun können. Und die eine Antwort ist, wir können Sachen verschlüsseln. Wenn wir miteinander kommunizieren, dann sollten wir irgendwie Verschlüsselungen nutzen.

Und da gibt es zwei Verschlüsselungen, die man vielleicht mal gehört haben sollte. Das eine ist die Wegverschlüsselung, die Transportwegverschlüsselung. Heißt manchmal SSL oder TLS. Im Browser kann man sich das angucken, wenn da dieses HTTPS am Anfang steht.

Also dieses S steht für SSL oder Secure. Und was wir da haben ist eine Verschlüsselung, die von meinem Gerät ausgeht, wenn ich da irgendwie eine App habe, die im Internet irgendwas macht, die mit irgendeinem Dienst kommuniziert, mit einem Server im Internet. Oder einen Browser, wo ich eine Website aufmache.

Und dann ist meine Anfrage oder Nachricht, die ich verschicke, ist auf dem gesamten Weg im Internet, also über die einzelnen Knoten. Es gibt einen großen Knotenpunkt in Frankfurt zum Beispiel. Das ist verschlüsselt bis zu meinem Dienst. Und da ist es erstmal wieder entschlüsselt.

Und das soll dieser rote kleine Teil in der Kommunikation, wenn ich jetzt zwischen zwei Nutzern kommuniziere, anzeigen, dass da irgendwie der Dienstprovider trotzdem noch Zugriff hat, wenn ich irgendwie TLS benutze. Es gibt ein Plugin für die unterschiedlichen Browser, was HTTPS Everywhere heißt, was immer wenn es eine verschüsselte

und eine unverschlüsselte Variante von der Website gibt, dann die Verschlüsselte wählt. Aber glücklicherweise gibt es mittlerweile fast nur noch die verschüsselten Varianten. Bisschen cooler, wenn ich jetzt irgendwie mit einer eigentlichen Person kommuniziere.

Also das heißt, wenn der Empfänger meiner Nachricht oder meiner Anfrage vielleicht jemand mit einem Telefon oder einem Laptop ist, dann kann ich Ende-zu-Ende-Verschlüsselung benutzen. Und Ende-zu-Ende-Verschlüsselung bedeutet, auf meinem Gerät wird verschlüsselt

und dann ist die über den ganzen Weg hinweg. Selbst wenn das noch irgendwie bei einem Dienst vorbei geht, ist das auf dem ganzen Weg verschlüsselt und erst auf dem Gerät von dem Empfänger, der meine Nachricht dann bekommt, der kann sie wieder entschlüsseln.

Es gibt sozusagen zwei große Protokolle oder Prinzipien oder Tools vielleicht, die man kennen sollte. Das eine ist PGP oder die konkrete Open-Source-Implementierung GPG, GnuPG. Die wird hauptsächlich für E-Mail-Verschlüsselung genutzt

und noch für viele andere Sachen, die irgendwie so ein bisschen im Hintergrund stattfinden, aber das ist jetzt für mich als Endnutzer erstmal vorrangig nicht relevant. Und es gibt Integrationen davon, unterschiedlichste E-Mail-Clients. Und das Gute ist, würde ich sagen, das Ganze gilt seit Jahrzehnten als grob sicher.

Und der Nachteil ist, dass es relativ schwer benutzbar ist, aber das verändert sich gerade ein kleines bisschen. Gerade irgendwie die PEP-Leute, Pretty Easy Privacy heißt das,

arbeiten da an Plugins, die GPG ein bisschen einfacher benutzbar machen. Es gibt Standards wie den AutoCrypt-Standard, der ein kleines bisschen dieses ganze Prozedere, was man durchgehen muss, etwas vereinfacht, würde ich sagen. Es gibt ein gutes Tutorial für GPG bei der Free Software Foundation, habe ich hier verlinkt.

Und neben GPG gibt es aber auch noch das Signal-Protokoll, vielleicht technisch der Double-Ratchet-Algorithmus. Das wurde eingeführt von den Leuten, die den Signal-Messenger gemacht haben.

Und das wird aber mittlerweile, dieses Prinzip, wieder verschlüsselt wird, wird mittlerweile auch verwendet von WhatsApp, von Wire, von Element, der neue Name von Riot beziehungsweise Matrix. Das heißt, sie haben mittlerweile drei Namen durch und haben sich jetzt auf Element geeinigt oder XMPP zum Beispiel.

Genau, und auch in anderen Plattformen oder in anderen Apps wird das benutzt. Einer der Vorteile ist, dass man Forward Secrecy hat. Das heißt, wenn an irgendeinem Punkt mal mir mein Handy zum Beispiel in die Finger von jemand anderem kommt

und ich jetzt aber die Nachrichten da nicht mehr in der App drin habe, der die aber mitgeschnitten hat, dann kann er nur, weil er jetzt sozusagen mein Passwort oder mein Key hat, im Nachhinein nicht die Nachrichten entschlüsseln,

wenn er die verschlüsselten Nachrichten gesammelt hat im Vorhinein. Genau, hier nochmal zwei Messenger irgendwie vielleicht ein bisschen herausgehoben.

Das Element ist Open Source, das kann man selbst betreiben, wenn man das möchte. Das heißt, wenn man irgendwie einen eigenen Server hat oder irgendwo einen Anbieter sich wählt, der irgendwie Element zur Verfügung stellt, kann ich im Endeffekt eins zu eins so verwenden wie irgendwie

auf der einen Seite ein Messenger auf meinem Telefon, aber auf der anderen Seite auch sowas wie IRC oder Slack oder sowas. Da gibt es viele Projekte, die einfach zu Element wechseln. Was cool ist, dass es einfach ein modernes Open Source Tool ist, was Ende zu Ende verschlüsseln kann.

Signal ist vielleicht auch sehr bekannt, das wiederum nicht dezentral. Es gibt einen zentralen Anbieter, der aber immerhin eine Stiftung ist, die halt in ihren Statuten hat, dass sie bestimmte Daten nur speichern und das sind sehr wenige.

Und zumindest könnte man argumentieren, dass sie technisch alles möglich machen, um Transparenz herzustellen. Und unter anderem auch der Server-Algorithmus oder der Server-Programmcode des Open Source. Und ich würde sagen in puncto Benutzbarkeit versus oder Einfachheit versus

ich möchte irgendwie eine offene Plattform, die mich schützt, ist Signal auf jeden Fall sehr gut. Was man bei Ende zu Ende Verschlüsselung so ein bisschen noch irgendwie mit bedenken muss,

dass ich zwar irgendwie dann da so ein Zeichen habe, dass ich verschüsselt mit jemandem kommuniziere, aber im allerschlimmsten Fall kommuniziere ich verschüsselt mit dem Falschen. Das heißt, in den Fällen, wo es mir sehr wichtig ist, dass ich exakt weiß, dass ich mit der richtigen Person auch noch da chatte,

in denen sollte man so eine Identitätsüberprüfung machen. Und jeder Ende zu Ende verschüsselt Messenger oder fast jeder, würde ich sagen, hat diese Funktion. Die heißt manchmal irgendwie unterschiedlich irgendwie Überprüfung des Fingerprints oder Identitätsüberprüfung oder Ähnliches.

Aber im Endeffekt ist immer das Gleiche. Man liest sich gegenseitig irgendwie eine Zahlenfolge vor oder man scannt einen Barcode ab und dann ändert sich mit dieser einen Person in dem Chat irgendwie das Aussehen.

Man sieht dann, dass man mit einer verifizierten Person spricht und weiß dann ganz genau, mit wem man spricht. Und nicht nur das Zufall zu zeigen. Das ist sehr subjektiv, würde ich sagen, aber ich habe es alles mal irgendwie in einer Tabelle zusammengefasst. Bei WhatsApp ist zwar die Verschlüsselung ganz cool mit diesem Signalprotokoll, aber alles andere ist halt irgendwie blöd.

Es ist weder ein vertrauenswürdiger Anbieter, noch ist die App open source. Das heißt, die App könnte alles machen. Die können so viel sagen, dass die Verschlüsselungen gut machen. Solange man da nicht reingucken kann, ist das irgendwie für die Katze.

Und auch Telegram wird irgendwie häufig als irgendwie so ein positives Beispiel angesehen, weil zumindest die App irgendwie open source ist. Aber das Problem ist, dass an diversen Stellen irgendwie die Verschlüsselung bereits angezweifelt wurde,

dass sie ihre eigene Art und Weise gefunden haben, wie sie verschlüsseln. Es gibt auch Standards für Verschlüsselungen, wieso muss man was eigenes machen. Das ist meistens eher schlecht, wenn man das macht.

Und das wird ja von einem unter anderem Betrieben, der dieses russische Facebook ursprünglich mal kreiert hat, dieses VKontakt. Und klar, die sind irgendwie aus Russland weggegangen, um sich vielleicht vor russischem Einfluss zu schützen.

Aber grundsätzlich bin ich mir nicht ganz sicher, wie vertrauenswürdig jetzt der Anbieter ist. Das kann man bei Signal genauer sagen, weil es eben eine Stiftung ist und weil sie klare Statute haben und klar ansagen, was gespeichert wird. Bei Element und XMPP würde ich sagen, so ein bisschen in die gleiche Nische gehen,

nämlich Dezentraldienste, die ich auch selbst betreiben kann, wenn ich das kann und möchte. Sieht das Ganze ein bisschen besser aus. Und dann gibt es noch Bria, der ist vielleicht ein kleines bisschen schwieriger zu benutzen. Aber wenn ich sehr besorgt bin um meine Privatsphäre, dann ist Bria auf jeden Fall der Messenger, den ich nutzen sollte.

Der hat erst mal per se, wenn ich den aufmache, nutzt er keine meiner Kontaktdaten und nichts, um irgendwie zu gucken, ob andere das haben, sondern ich muss mich explizit mit jemandem verbinden und der benutzt auch keinen einzigen Dienst im Endeffekt,

sondern er macht sich seinen eigenen Dienst auf über Tor. Das werden wir dann später noch hören, wie Tor funktioniert. Aber wenn ich sehr besorgt bin um meine Privatsphäre, dann würde ich, glaube ich, Bria nutzen.

Und wenn ich eher so mittelbesorgt bin, dann würde ich irgendwo mir Signal oder Element angucken. Momentan ist ja irgendwie mit den ganzen Corona-Situationen, sind Videochatsoftwares auch irgendwie ein Ding, das viele Leute benutzen.

Und da gibt es irgendwie auf der einen Seite große proprietäre Plattformen, wo man überhaupt nicht weiß, welche Daten gesammelt werden und wo die landen. Dieses Beispiel ist jetzt hier auf der linken Seite mit Zoom und Microsoft Teams. Ich würde vorschlagen, eher eine Open-Source-Software zu verwenden.

Die bekannten sind, denke ich, Jitsi Meet oder Big Blue Button. Ich selbst habe noch mit ein paar Freunden eine Videochat-Plattform kreiert, die Palava .tv heißt, die ebenfalls Open Source ist und noch zusätzlich Ende-zu-Ende-Verschlüsselung ist. Das ist eine Sache, wo Jitsi gerade daran arbeitet, aber meines Wissens noch nicht da angekommen sind.

Gucken wir uns an, wenn wir jetzt schon verschüsseln, dann ist der nächste Schritt, dass wir uns angucken müssen, welche Daten sind trotzdem noch von mir auffindbar oder von mir speicherbar,

wenn jetzt meine Inhaltsdaten schon geschützt sind. Das heißt, wenn ich jetzt verschüsselt mit jemandem kommuniziere, dann gibt es trotzdem Daten, die jemand sammeln kann, einen Dienstanbieter zum Beispiel oder jemand, der mein Netzwerk beobachten kann. Und das sind die Metadaten. Metadaten sind alle Wehfragen außer das Was, würde ich sagen.

Also wer hat mit wem, wann, wie kommuniziert und wo. Wo ist tatsächlich ein ziemlich wichtiger Punkt. Bei Google gibt es irgendwie, wenn man nicht an zehn Stellen ungefähr sagt, dass man nicht möchte, dass seine Standortdaten aufgenommen werden,

wenn man ein Android-Telefon hat, dann werden seine Standortdaten die ganze Zeit an Google gesendet. Und wenn man die da mal sich rausgeben lässt, gibt es dann so eine Option online, dass man sagen kann,

ich möchte irgendwie alle Daten, die Google über mich gespeichert hat, mir mal angucken. Das hat hier mal jemand gemacht aus dem Chaos-Umfeld. Und da kann man dann ziemlich genau sehen, wo jemand zu einem bestimmten Zeitpunkt war. Ja, und wenn man dann solche Heatmaps hier macht, dann kann man unter anderem auch sich angucken,

was irgendwie so Orte sind, wo ich mich regelmäßig aufhalte. Wenn das jetzt irgendwie wie da oben eine Kirche ist, könnte man irgendwie auf meine Religion entschließen. Wenn das ein Haus ist, vielleicht wo ein ganz spezieller Arzt drin ist, könnte man auf Krankheiten entschließen, die ich habe. Aber auch interessant ist immer, wenn sich irgendwelche Muster, die ich habe, irgendwelche Bewegungsmuster, wenn die sich verändern.

Man kann sehen, was mein Arbeitgeber ist. Man kann sehen, ob ich vielleicht eine Affäre habe. Es gibt ganz viele Sachen, die ich aus den Standortdaten herauslesen kann. Aber nicht nur die Standortdaten sind interessant. Selbst so einfache Dinge wie Zeitdaten können interessant sein.

Wir haben hier mal aus unserem bekannten Umfeld vor langer Zeit schon von Microblogging-Diensten, so Twitter und andere aus dem Fediverse, die es damals noch gab, haben wir mal visualisiert, wer wann etwas gepostet hat online.

Und hier kann man zum Beispiel sehen, die Namen sind anonymisiert, dass es hier eine Person gibt, die einfach in der üblichen Arbeitszeit vielleicht so 9 to 5 und nur an den Wochentagen, also die 0 bis 4 auf der Seite sind die Tag im Montag bis Freitag in seinem Dienst benutzt.

Und das ist schon interessant. Da sieht man auf jeden Fall, dass er das wahrscheinlich in der Arbeitszeit macht oder dass er da wach ist, dass er da ist vielleicht auch.

Hier gibt es jemanden, der ein ganz anderes Leben hat, würde ich sagen. Vielleicht eher jemand, der noch studiert oder so. Meistens fängt die Aktivität erst so gegen 15 Uhr an, geht dann aber bis zwei oder drei in die Nacht hinein.

Genau, und hier gibt es noch jemand, der am Anfang der Woche eher wenig im Internet macht, vielleicht sich das auch vornimmt und dann so gegen Ende der Woche bricht es dann ein. Metadaten werden unter anderem auch gesammelt bei der Vorratsdatenspeicherung.

Das ist leider ein Thema, über das man immer noch reden muss. Seit mittlerweile Jahrzehnten wird das vor jedem Verfassungsgericht und Europäischen Gerichtshof, bevor das kommt, wird das als unverhältnismäßig und nicht verfassungsgemäß zurückgewiesen.

Und trotzdem gibt es leider immer noch bei jedem Anschlag, der irgendwie passiert oder bei jeder größeren kriminellen Tat, gibt es die immer wieder gleichen Leute aus der CDU und teilweise leider auch aus der SPD,

die dann wieder mit der Vorratsdatenspeicherung ankommen. Selbst wenn diese überhaupt nicht zur Aufklärung des Verbrechens beigetragen hätte. Die Vorratsdatenspeicherung soll die Anbieter verpflichten,

also die Mobilfunkanbieter und die Internetanbieter, meine Verkehrsdaten aufzubewahren. Und zwar für sechs Monate oder mehr üblicherweise. Und das sind sowas wie Anrufe, das ist sowas, wo ich mich befunden habe, das ist sowas, mit wem kommuniziere ich.

Also all diese Daten, die da aufkommen. Und als es die Vorratsdatenspeicherung mal ein Jahr gab, hat sich Malte Spitz von den Grünen und mittlerweile von der Gesellschaft für Freiheitsrechte, sich mal seine Daten rausgeklagt bei der Telekom, glaube ich, war das. Und da kann man ziemlich genau sehen, dass über einen längeren Zeitraum einfach sein komplettes Leben nachvollziehbar ist.

Natürlich ist das an vielen Stellen geschwärzt und seine Kommunikationspartner sind aus Datenschutzsicht eben nicht mit online. Aber es gibt von der Zeit online eine schöne Visualisierung, die man mal durchklicken kann,

wo man genau sieht, wie detailliert diese Daten dann auch sind. Wenn ich jetzt zum Beispiel regelmäßig auf Demos gehe, dann könnte ich mir auch Gedanken machen, soll ich jetzt mein Handy mitnehmen oder nicht zum Beispiel, das habe ich schon häufiger mal gehört.

Handynetz funktioniert über Funkmasten, die sehen zum Beispiel so aus, gibt es in klein und groß, manchmal auf Häusern drauf, manchmal in der Landschaft. Und wenn wir mal bei der Bundesnetzagentur auf der Website sehen, können wir sehen, wo diese Funkzellen jetzt zum Beispiel hier in Dresden installiert sind.

Es gibt ein Überwachungsinstrument, das nennt sich Funkzellenabfrage. Ich habe hier mal so eine Art Steckbrief gemacht. Das kann nur unter Richtervorwahrheit geschehen. Aber wie häufig das jetzt genau ist, darüber gibt es leider keine große Transparenz.

Das ist, würde ich sagen, der erste große Kritikpunkt daran. Nur in Berlin gibt es zumindest einen Dienst, da kann ich mich anmelden mit meiner Telefonnummer bei der Polizei oder beziehungsweise bei der Staatsanwaltschaft wahrscheinlich.

Wenn ich informiert werden möchte, wenn ich mal in eine Funkzellenabfrage vielleicht wahrscheinlich unschuldig reingeraten bin. So eine Funkzellenabfrage betrifft immer eine oder mehrere Funkzellen.

Die decken einen Raum von üblicherweise einem Häuserblock ab. Das heißt, dass alle, die sich in dieser Zeit befunden haben, von denen werden die Verkehrsdaten aufgenommen. Das passiert in Berlin ungefähr 1,7 Mal pro Tag, in Sachsen ungefähr 1,2 Mal pro Tag.

Diese Daten haben wir nur, weil es in Sachsen von den Grünen, Berlin weiß ich es nicht genau, kleine Anfragen gab. Das heißt, es gibt leider keinen Automatismus, es gibt keinen Bericht oder Report irgendwo, wo ich nachschlagen kann, wie viele Funkzellenabfragen wurden denn getätigt.

Und ich habe zumindest jetzt hier als Interessenthebender keine Möglichkeit zu erfahren, wenn ich da mal reingerannt bin. Und das wird wahrscheinlich sehr regelmäßig schon gewesen sein. Die Taz hat da eine Rechnung angestellt und das 2015 schon,

als die noch nicht ganz so weit verbreitet war wie jetzt, zu der Aussage gekommen, dass jeder pro Jahr ungefähr 10 Mal in so eine Funkzellenabfrage gerät. Und somit meine Daten von diesem Zeitraum, in dem ich mich da zufällig drin befunden habe,

irgendwo jetzt bei der Polizei liegen. Was damit genau geschieht, kann man nicht sagen. Und leider ist es auch so, dass es sehr wenig überprüft wird, was dann damit eigentlich geschieht. Gesetzlich geregelt ist das seit 2015, wurde aber auch vorher schon angewandt.

Das ist eine Flächenüberwachung. Das heißt, es ist eben nichts ganz konkret gezieltes. Und manchmal wird es für eine Art gezielte Abfrage verwendet. Aber häufig ist es auch einfach, gibt mir mal alles, alle Leute, die irgendwas gemacht haben in dieser Zeit, in dieser Funkzelle.

Und das sind die Metadaten von Anrufen. Also wer hat wen angerufen, wer hat wem eine SMS geschrieben, wer hat welche Dienste aufgerufen im Internet und so weiter und so fort. In Dresden ist das auch mal bei einem Demo geschehen.

Das ist wahrscheinlich der einzige Vorfall, wo das mal geschehen ist. Aber es ist zumindest bisher der einzige Vorfall, der bekannt und vor Gericht gelandet ist. Und das wurde auch als illegal damals 2011. Das war hier so eine Nazi- und Gegendemo zum 13. Februar in Dresden, zu der das geschehen ist.

Und da wurden, glaube ich, 40.000 Bestandsdaten. Bestandsdaten sind immer einzelne Nummern oder einzelne Handys oder einzelne Laptops zum Beispiel,

sofern die Zugriff aufs Mobilfunknetz haben. Und ich glaube, mehrere Millionen Verkehrsdaten damals aufgenommen. Zur Funkzellenabfrage gibt es einen richtig guten Vortrag auf media.ccc.de von Ulf Burmeier und André Meister. Der ist zwar schon ein paar Jahre alt, glaube ich.

Na, wobei gar nicht so alt. Und den kann man sich auf jeden Fall sehr gut ansehen, wenn man noch sehr viel mehr Infos dazu haben möchte. Ein bisschen weiter gehen im Imseacatcher. Die sind auch unter Richtervorbehalt. Wie häufig die eingesetzt werden, habe ich leider nicht gefunden.

Und gesetzlich geregelt ist das seit 2002. Was hier gemacht wird, ist, dass nicht im Nachhinein bei dem Internetanbieter angefragt wird, sag mal, habt ihr hier irgendwie noch Daten gespeichert, sondern es wird eine Funkzelle, wie wir sie am Anfang gesehen haben,

ersetzt durch einen Überwachungswagen, manchmal ist es auch nur so ein kleines Gerät, was alle Handys in der Nähe dazu zwingt, sich zu diesem Gerät zu verbinden, statt zu der nächstgelegenen Funkzelle. Und was man dann damit machen kann, ist, dass man, zumindest in der Theorie,

nicht nur die Verkehrsdaten mitschneiden kann, also die Metadaten, wer mit wem irgendwie kommuniziert hat oder was im Internet aufgerufen wurde, sondern dass man auch Anrufe und SMS damit abhören kann, mithören. In den meisten Fällen live. Zwar sind Anrufe theoretisch erst mal verschüsselt,

praktisch gibt es genug Angriffe auf verschüsselte Telefonate, also normale Handy-Telefonate, dass das in fast jedem Fall funktioniert, solche Sachen live mitzuhören. Imseacatcher wurden auch schon bei Demos eingesetzt, und zwar auch bei G20,

wo im Vorfeld gesagt, solche Überwachungsmaßnahmen, die schon sehr tief eingreifen in die Privatsphäre, nicht benutzt werden. Das ist nicht geschehen. Insgesamt sind beides Flächenüberwachungsinstrumente,

und beides ist, zumindest meiner Meinung nach, als eine ungezielte Massenüberwachung, ähnlich verfassungswidrig, wie das die Vorratsdatenspeicherung ist, weil es ja dem gleichen Prinzip folgt, dass wir kollektiv Daten sammeln

und nur ein Bruchteil dieser Daten wahrscheinlich die sind, die eigentlich interessant sein könnten. Imseacatcher werden auch zu anderen Sachen eingesetzt, also unter anderem hat mal die schwedische Zeitung, norwegische Zeitung, Aftenposten, in Oslo mal rumgeguckt,

also man kann diese Imseacatcher relativ einfach finden, und die haben in ihrem Regierungsviertel eine größere Anzahl gefunden, wo einfach bisher unbekannte Leute da mitschneiden. Und wer das ist, weiß man nicht.

Das ist einfach nur eine Sache, die wahrscheinlich nicht nur die Polizei benutzt und die aber gleichzeitig selbst nicht staatliche Stellen auch benutzen können. Und dementsprechend ist es sehr schade, dass es keinerlei Möglichkeit gibt, für mich als Verbraucher, mich dafür zu wehren,

dass ich mein Handy mit einer fremden mir nicht wohlgesinnten Funkzelle verbindet. Gegenmaßnahmen Handy aus ist zumindest die effektivste, zumindest bei Demonstrationen vielleicht eine Variante,

wenn man nicht möchte, dass irgendwo gesammelt wird, dass ich da war, was schließlich mein demokratisches Recht ist, dass niemand massenweise sammelt, wer auf einer Demonstration sich aufgehalten hat. Man kann unterschiedliche SIM-Karten für unterschiedliche Sachen verwenden.

Ich könnte zum Beispiel eine haben, die ich nur irgendwie mit meinem in meinem Aktivismusumfeld verwende und eine andere oder je nachdem. Ich könnte auch außerdem eine anonyme SIM-Karte verwenden. Die eine Variante ist, weil es in Deutschland nicht mehr möglich ist,

eine nicht registrierte, also nicht auf meine Adresse registrierte SIM-Karte zu bekommen, dass die einfach im europäischen Ausland zu kaufen. Oder es gibt Tauschdienste, wo ich meine SIM-Karte tauschen kann gegen eine andere, die vielleicht einen ähnlichen Vertrag hat oder so was.

Genau, aber das muss man schon wieder gucken, ob man das möchte, dass jemand anderes dann in seinem Namen eben auch surfen kann. Und vielleicht eine Sache, die am einfachsten ist, dass man Anrufe und SMS nicht über das normale Mobilfunknetz macht,

sondern dass man dafür irgendwie die Messenger nutzt. Die haben Signal zum Beispiel oder Element, haben die Möglichkeit, einen verschlüsselten Anruf zu tätigen und e-Nachrichten zu verwenden. Und da kann ich wenigstens sicher sein, dass man die Inhalte, die ich schreibe, dass die nicht irgendwo aufgenommen werden.

Gibt es ebenfalls hier zu IMSI-Catchern einen sehr technischen Vortrag vom Camp 2019. Da ging es darum, wie kann ich denn so IMSI-Catcher finden. Und das ist mit dem richtigen technischen Equipment gar nicht so schwer, weil die nämlich die Handys in ihrer Umgebung nicht nur zwingen,

sich zu dieser falschen Zelle zu verbinden, sondern denen dann auch noch die Anweisung geben, sich regelmäßig bei dieser Zelle zu melden. Und zwar sehr viel regelmäßiger, als das irgendeine normale Funkzelle machen würde. Dadurch kann man IMSI-Catcher relativ gut herausfiltern.

Gesichtserkennung ist zum Glück noch nichts, womit wir uns hier irgendwie auf Demonstrationen befassen mussten. In Hongkong sah das anders aus. Da wurde Gesichtserkennung auf Demonstrationen angewandt, um zu gucken, welche Leute sind bei dieser Demonstration vor Ort.

Und ich finde, da haben sich coole Protestformen entwickelt. Unter anderem haben dann alle Demonstranten oder viele Demonstrierende Laserpointer mitgebracht, die zumindest in der aktuellen Form

die Gesichtserkennung unschädlich oder unbrauchbar gemacht haben. Das ist natürlich irgendwie eine coole Protestform, würde ich sagen. Aber ich würde mich nicht darauf verlassen, dass da die Technologie sich in Zukunft auch weiterhin von Laserpointern

wird austricksen lassen. Und eigentlich braucht es zu solchen Sachen eine ganz klare Ächtung aus der Gesellschaft heraus, dass wir sowas nicht wollen. Wenn ich mich jetzt als Aktivismusgruppe zusammenfinde, finde ich es auch sehr wichtig, nochmal zu erwähnen,

dass wir irgendwie Dienste nutzen sollten, die wir entweder selbst betreiben können oder die zumindest eine datenschutzärmere oder freundlichere Alternative sind als die üblichen Standarddienste, die wir benutzen.

Das bei Suchmaschinen kann man zum Beispiel Startpage und DuckDuckGo empfehlen. Wir haben Alternativen zu Google Maps zum Beispiel, nämlich die OpenStreetMap und den damit verbundenen Open Root Service oder die damit verbundene OpenStreetMap for Android App.

Es gibt eine ganze Reihe von Diensten, die man selbst betreiben kann, über die man sich kollektiv organisieren kann. Und wenn ich die selbst betreibe oder wenn ich jemanden frage, der das kann, dass die das für mich betreiben, dann spielen auch die Metadaten gar nicht mehr so eine Rolle,

weil die schließlich zumindest auf einem Server landen, den ich selbst unter Kontrolle habe. Zu diesen Sachen gehören zum Beispiel XMPP oder Element, was vorhin schon mal angesprochen wurde. Da gehört aber auch so etwas wie eine Next Cloud dazu, die von dem Speichern von Dateien über gemeinsame Kalender und Kontakte,

über Chats eigentlich ein gesamtes digitales Leben mittlerweile abbilden kann. Und wenn ich dann doch mal irgendwie Dienste nutzen muss, denen ich nicht so sehr vertraue, dann kann ich das zum Beispiel bei Tor tun.

Dazu muss man sagen, Tor anonymisiert einen zwar, aber natürlich, sobald ich mich irgendwo anmelde bei einem Dienst mit im schlimmsten Fall noch Name und Adresse oder sowas, dann habe ich natürlich wieder meine Anonymität aufgehoben.

Das heißt, wenn ich Tor zum Beispiel für Anonymität verwende, muss das immer irgendwie mit einer Art Pseudonymität zum Beispiel verbunden sein, dass ich mich nicht mit meinen realen Daten irgendwo anmelde. Gibt es auch auf dem Telefon.

Vielleicht noch ein paar abschließende allgemeine Tipps zu Datensparsamkeit. Das eine ist, viele Daten zusammen ergeben Profile. Das heißt, sie sollte ich auf keinen Fall immer irgendwie einem Anbieter zukommen lassen,

es sei denn, ich bin derjenige, der diesen Dienst betreibt, natürlich. Nutzung ihrer Dienste, Verteilen der Daten. Dann sollte ich mich immer irgendwie fragen, werden die Daten eigentlich gebraucht? Also muss ich mich irgendwo Daten von mir angeben und auch werden echte Daten gebraucht? Kann ich nicht einfach irgendwo ein falsches Geburtsdatum angeben

oder einen anderen Namen oder solche Dinge? Da kommt Pseudonymität mit rein, aber da kommen auch so Sachen mit rein, dass ich statt meiner eigenen E-Mail-Adresse zum Beispiel eine Wegwerf-E-Mail-Adresse verwenden kann, wenn ich genau weiß, dass das jetzt irgendwie ein Login ist,

wo ich mir mein Passwort merke und das nie zurücksetzen muss. Es gibt sogar Wegwerf-Telefonnummern. Frank geht ran, kann man sogar anrufen, da geht Frank ran. Kann man auch angeben, wenn irgendwo eine Telefonnummer irgendwie notwendig erfragt wird. Man kann auch schon fertige Fake-Accounts sich angucken unter bugminot.com,

kann man auch eigene eintragen. Das sind alles so Sachen, wenn ich irgendwo meine Daten nicht angeben muss, dann sollte ich es vielleicht auch nicht tun. Vielleicht auch interessant im Zusammenhang mit Passwörtern ist,

das ist die großen Plattformen irgendwie. Bei fast allen gab es schon mal irgendwie den Fall, dass irgendwie die Passwort-Hashes, also die gespeicherten Passwörter in einer umgewandelten Version mal durch irgendeinen Hack oder sowas in die Öffentlichkeit gelangt sind.

Ob mein Login dabei war, da gibt es die Seite haveabane.pond. Wenn man jetzt da Probleme hat, seine E-Mail-Adresse da anzugeben, dann gibt es da sogar noch Varianten, wie ich das rauskriegen kann über diese Seite, ohne dass ich das muss.

Und vielleicht das traurigste, dass man das im Jahr 2020 vielleicht immer noch irgendwie sagen muss, aber wenn ich nicht die allermeisten Probleme, die Leute haben mit IT-Sicherheit, sind nicht, dass ihr Computer gehackt wurde, sondern dass jemand das Passwort von ihrem E-Mail-Account erraten hat oder sowas.

Das heißt, wenn ich irgendwie einen Wert darauf lege, dass meine digital gespeicherten Sachen, dass da niemand rankommt,

dann sollte ich auf jeden Fall ein sinnvolles Passwort wählen. Das heißt, keine einfachen Wörter, am besten irgendwie Groß-Kleinbuchstaben, Ziffern, Sonderzeichen, aber das Allerwichtigste ist eigentlich, dass es möglichst lang genug ist. Ein paar Beispiele hier gewählt, das ist ein einfaches Wort, das ist blöd,

das ist vielleicht nicht ganz lang genug, aber ansonsten schon ganz gut. Auch wenn man die Wörter zusammenfügt, das ist nicht gut. Auch wenn man nur eine Form wählt, in diesem Fall nur Sonderzeichen ist nicht gut, eh viel zu kurz. Auch Muster auf der Tastatur sind nicht gut.

In diesem Fall ist das auf jeden Fall ein sicheres Passwort und man kann sich sogar ganz gut merken, wenn man versucht, sich einfach einen Satz zu merken und den umwandelt in irgendwie so eine Zahlenreihenfolge. Hinter dem Passwort hier steht der Satz, man kann sich fragen, ob durch Punkt und Komma ein Passwort sicherer wird.

Und wenn man das zweimal getippt hat, dann hat man sich es gemerkt und er hat schon ein ziemlich gutes Passwort. Genau, und verschiedene Passwörter, möglichst mindestens für E-Mail und andere Dienste oder einen Passwortmanager verwenden. Genau, das war jetzt eine kleine Rundumreise mit ein paar kleinen Teilen, die irgendwie auf Aktivismus fokussiert haben.

Ich hoffe, das interessant war und wäre bereit für Fragen. So, ich danke dir Marius. Wir.

Danke. Das erste Mal, dass wir Applaus aus dem Publikum haben. Du hast gerockt bei den Datenspuren. Wir haben zwei Fragen aus dem Internet und zwar die erste wäre, wie genau ist der Aufenthaltsort bei IMSI-Catchern und in der Funkzellenabfragen?

Also bei beidem kann man den Aufenthaltsort herausfinden. Und es gab auf jeden Fall bei diesem Vortrag über die IMSI-Catcher beim Camp, das ist ein bisschen technischer erläutert, wie das bei den IMSI-Catchern funktioniert.

Und bei den neueren Netzen, zum Beispiel, ich glaube ab 3G, kann man einfach dem Handy sagen, es soll eine Ortung von sich selbst machen. Einfach über das Mobilfunknetz, also Triangulation über die Mobilfunkmasten.

Und dann wird das Handy einfach dem IMSI-Catcher, der dann die Funkzelle ist, das Freihaus liefern.

Und bei der Funkzellenabfrage bin ich mir nicht zu 100% sicher, wie es da genau steht. Ob da einfach sozusagen in regelmäßigen Abständen das Telefon nicht eh seine Position verrät und das dann aufgenommen wird.

Aber da bin ich mir gerade unsicher. Gut. Und die nächste Frage war, kann man Handys auch urten, wenn die ausgeschaltet sind? Ich gehe davon aus, dass nein. Aber eine gute Antwort darauf habe ich nicht. Ich würde schätzen, wenn der Strom weg ist, dann ist der Strom weg.

Aber es ist natürlich so, in der Theorie könnte ich Hardware bauen, die mir nur anzeigt, dass es aus ist, ohne dass es aus ist. Aber ich gehe davon aus, wenn ich mein Handy ausmache, dass es auch aus ist.

Wer sich wirklich ganz sicher sein möchte, macht halt die Batterie raus. Okay, viel Spaß beim Next-Bike-Urtern damit. Ich gehe davon aus, dass hier vor Ort keine Fragen mehr sind und danke dir dann für den Talk. Vielen Dank.