DigitalCourage berichtet heute von der Demo gegen das Polizeiaufgabengesetz in NRW. Dabei hat mich ein bestimmter Beitrag zu meinem Thema inspiriert:

Da wir vor Ort keine Möglichkeit zum Verpixeln von Gesichtern haben, werden wir von der Demo selbst keine Fotos twittern.


Ich musste spontan an eine App des Guardian Projects denken (auf die in den Kommentaren inzwischen auch hingewisen wurde), nämlich ObscuraCam.

ObscuraCam ist anders als der Name vermuten lässt keine Cam, sondern ein Bild-Anonymisierungs-Tool. Ich hatte es vor einiger Zeit mal kurz ausprobiert, aber hatte für mich als Privatmensch keinen großen Nutzen darin gesehen. Wenn man allerdings Bilder mit dem Handy aufnehmen und direkt ins Internet hochladen möchte, dann ist es schon cool. Denn es tut das da:

Bild/Foto

Das Bild habe ich mit meiner üblichen Cam-App aufgenommen und dann in ObscuraCam geöffnet. Die Gesichter werden größtenteils automatisch erkannt und ausgepixelt -- bei dem konkreten Foto hat es nur eines erkannt, aber ich hatte auch Fotos, wo mehrere Gesichter automatisch erkannt und ausgepixelt wurden. Nicht erkannte Gesichter (oder andere Bereiche, die man nicht zeigen möchte) kann man dann einfach durch antippen nachtragen.

Als freundlicher Nebeneffekt werden direkt die Metadaten entfernt -- zumindest stellt MAT fest, dass die Datei Clean ist. Das bearbeitete Bild kann also direkt aus ObscuraCam heraus (per Share-Funktion anderer Apps) mit dem Internet geteilt werden!

Egal, ob nun Berichterstattung von der Demo oder private Fotos für Facebook -- diese App ist sicherlich nützlicher als ich zunächst dachte.

Was hat das Guardian Project noch so zu bieten? Am bekanntesten ist vermutlich Orfox / Orweb und Orbot -- quasi das TOR Browser Bundle für's Handy. Orbot ist übrigens auch ein ziemlich nützliches Tool, weil es auch eine VPN-Modus bietet. Wenn er läuft kann er den Datenverkehr ausgewählter Apps über das Tor-Netzwerk senden. Ich verwende das beispielsweise für den Youtube-Wrapper NewPipe. Geht doch Google nichts an, ob ich das grade bin, der die neuesten Roboter-Videos guggd...

Eine weitere spannende App ist CameraV, das ist quasi das Gegenteil von ObscuraCam: als Journalist möchte ich ja vielleicht in manchen Situationen mein Foto nicht möglichst anonymisieren, sondern im Gegenteil, nachweisen, wann und wo es aufgenommen wurde. Genau das bietet CameraV: Bilder werden lokal verschlüsselt und mit Passwortschutz versehen und offenbar mit einem ganzen Haufen von Meta-Daten aus der ganzen Spannweite der Handy-Sensoren-Daten versehen. Kann ja durchaus mal sinnvoll sein.

Dass sich die Apps des Projekts vor allem an Journalisten und politische Aktivisten richtet wird spätestens mit der schönen App Ripple klar. Ripple kann ein Panic-Signal an andere Apps senden, wodurch diese sich dann tarnen, verstecken oder komplett entfernen können. Selbstverständlich unterstützen die Apps des Guardian Projects so ein Panic-Signal, aber z.B. auch Briar bietet das in den Optionen an. Aber bitte löscht nun nicht versehentlich Eure Briar-Datenbanken beim Herumspielen.

Eine letzte App möchte ich noch erwähnen, weil wir die schon einmal als Thema am Stammtisch hatten: Haven (auch im F-Droid-Store erhältlich, aber nicht in der Rubrik "Guardian Project"). Haven nutzt die dem Handy zur Verfügung stehenden Mittel (Cam, Mikrofon, Bewegungssensor), um zu erkennen, ob sich jemand in der Nähe aufhält und speichert diese "Detections" und / oder sendet eine SMS an ein anderes Handy. Ich kann damit also überwachen, ob meine privaten Räume wirklich privat sind, oder ob sich jemand unbemerkt Zutritt verschafft.

Der Hinweis, dass man mit der Verwendung dieser App schnell in juristisch fragwürdige Situationen kommen kann, erübrigt sich hoffentlich (heimliche Ton- und Video-Aufzeichungen sind in Deutschland verboten!) Allerdings zeigt diese App auch recht beeindruckend, wozu so ein Handy eingesetzt werden kann. Wie viele Apps greifen etwa heimlich auf Euer Mikrofon zu? Oder gar auf die Cam?

Fröhliche Paranoia!

- Thomas

  
Seit gestern ist sie nun also rechtskräftig, die neue DSGVO. Und die Welt ist überraschenderweise noch nicht untergegangen... hier ein Meinungsbild, dem ich größtenteils zustimmen kann, und das auch ähnlich pessimistisch ist wie meine üblichen Texte: Vor wem soll mich die DSGVO schützen? (von Marina Weisband)

Wo ich dem Artikel voll und ganz zustimme ist, dass die DSGVO sich leider hauptsächlich gegen Konzerne richtet und nicht die Datensammelwut des Staates / der Staaten thematisiert. Das ist schade -- wir müssen also fleißig weiter protestieren und sichere Technologien fordern und verwenden, z.B. Ende-zu-Ende-Verschlüsselte Messenger, Emails und Open-Source-Betriebssysteme, usw. Das soll uns aber nicht davon abhalten, die DSGVO als einen großartigen Schritt für den Datenschutz zu sehen. "Könnte mehr sein" ist nicht die schlimmste Kritik...

Was ich aber etwas anders sehe ist die Sache mit den dezentralen Netzwerken:
Das Schlimmste ist aber, dass soziale Netzwerke mit dezentraler Datenspeicherung, zum Beispiel Diaspora, rechtlich enorme Probleme mit der DSGVO und dem Recht auf Löschung bekommen, weil ihre Daten gar nicht von einer Instanz verwaltet werden.


Ich verstehe nicht, wo hier das juristische Problem sein soll. Jeder bei mir angemeldete User kann seine Daten auf meinem Server löschen. Jeder importierte Beitrag hat ohnehin ein Ablaufdatum (bei Hubzilla), die werden also ohnehin früher oder später gelöscht. Das ist kein Problem von dezentralen Netzwerken -- höchstens ein Problem von Diaspora, wenn dort endlos lange Speicherung vorgesehen ist. So oder so: jeder kann von mir verlangen, dass ich seine Daten bei mir lösche. Niemand kann verlangen, dass ich seine öffentlich geposteten Beiträge aus dem gesamten Internet entferne -- deswegen heißt es "öffentlich".

Davon abgesehen habe ich einige spöttisch-abfällige Beiträge über die DSGVO insgesamt gesehen, anscheinend ist der Haupt-Kritikpunkt, dass die doofe EU mal wieder doofe Gesetze macht, die alle ärgern und nur doof sind. Voll doof.

Leute!

Wie schon bei meinem Beitrag über die "flexibleren Arbeitszeitgesetze" festgestellt: schaut bitte erst, wem ein Gesetz nutzt und wem es schadet, bevor ihr kund tut, dass ihr es doof findet! Die DSGVO nutzt allen Verbrauchern in der EU, denn sie zwingt Unternehmen dazu:
- uns zu sagen welche Daten warum und wie lange gespeichert werden -- und zwar jetzt als "opt-in", wir müssen also jeder Nutzung explizit zustimmen
- das ganze ohne "Gesamtpakete" -- Kopplung von Vertragsabschlüssen an nicht unbedingt erforderliche Datenerhebungen sind unzulässig
- diese Daten vernünftig zu sichern -- Unternehmen müssen Datenverluste innerhalb von drei Tagen den Behörden melden, nicht mehr erst wenn jemand nachfragt halbherzig zugeben, dass vielleich ein, zwei oder 3.000.000 Userdatensätze gestolen wurden...
- uns unsere erfassten Daten auf Verlangen zurückzugeben und zu löschen -- und zwar in einer verwertbaren (maschinenlesbaren) Form; theoretisch / rechtlich sind damit die Voraussetzungen geschaffen, um sein Twitter- oder Facebook-Konto komplett herunterzuladen und in Mastodon oder Diaspora wieder hochzuladen! Bei Banken gibt es so einen Service seit einigen Wochen: wenn Du Dein Konto zu einer anderen Bank umziehen willst kannst Du alle Daueraufträge direkt mit übernehmen. Ich frage mich, warum die Banken plötzlich so kundenfreundlich sind, wenn es um einen Wechsel geht...? Hmmmm....

Ein tatsächlicher Kritikpunkt an der DSGVO ist allerdings, dass es keine Ausnahmen für kleine selbstständige und private Blogger, Forenbetreiber, usw. gibt. Das sind die Leute, die nun einiges zu tun hatten und zurecht ein wenig ins Schwitzen kamen -- aber alle, die nicht in diese Gruppe fallen lassen sich mal bitte nicht von der Panik anstecken: es ist hauptsächlich Papierkram zu erledigen, der dazu dient Eure Daten besser zu schützen -- auch in kleinen Foren! Auch das ist also prinzipiell eine gute Sache.

Ich hoffe nun (wie wir alle), dass es keine bösen Abmahnungen gegen Privatleute gibt. Andererseits hoffe ich einfach mal, dass es bei uns nicht so viel zu holen gibt ;) Also: keine Panik, Leute.

Jauchzet und frohlocket lieber, für die EU macht Ernst mit dem Datenschutz!

Thomas
 
Hier kann man's auch nochmal "schön" nachlesen - wobei es natürlich nach wie vor juristischer Text bleibt ...
https://dsgvo-gesetz.de/

  
Der Android-Messenger Briar für Paranoide (und Jorunalisten, politische Aktivisten, ...) ist endlich aus der Beta-Phase raus! Das heißt vor allem: Accounts haben nun kein Verfallsdatum mehr (und die Beta-Accounts wurden wie angekündigt deaktiviert).

Briar ist ein Ende-zu-Ende-Messenger, d.h. die Kommunikation findet ohne einen zentralen Zwischen-Server statt. Eure Kontakte und Nachrichten sind bei Euch auf dem Handy gespeichert (und natürlich auf den Handys der Kommunikationspartner), aber nirgendwo sonst.

Das hat natürlich den Nachteil, dass ihr die Daten nicht "aus der Cloud" wiederherstellen könnt. Es hat aber den großen Vorteil (für Paranoide, Jorunalisten, politische Aktivisten, ...), dass garantiert niemand per Durchsuchungsbefehl oder ein Datenleck an eure persönlichen Chat-Nachrichten kommt.

Darüber hinaus werden auch die Metadaten der Kommunikation geschützt. Metadaten sind diese unscheinbaren Informationen, wer wann mit wem wie intensiv Kontakt hatte. Aus diesen Daten lässt sich beispielsweise ableiten, wer in einer Gruppe von Aktivisten die zentrale Person ist, wo man wohnt, ob man Gesundheitsprobleme hat, usw. (Quelle). Briar schützt diese Daten, indem Nachrichten indirekt (über das Tor-Netzwerk) an den Kommunikationspartner gesendet werden. Somit ist nicht nachvollziehbar, wann und mit wem ihr kommuniziert!

Neben der Möglichkeit über das Internet (via Tor) zu kommunizieren gibt es auch die Möglichkeit, direkt mit Geräten in einem gemeinsamen WLAN oder sogar per Bluetooth zu kommunizieren. Das mag erstmal etwas albern anmuten, es gibt aber zumindest ein bisschen die Möglichkeit einer Kommunikation, falls "jemand das Internet kaputt macht" -- sei es eine Regierung, eine Naturkatastrophe oder ein simpler Stromausfall. Eine interessante Einstzmöglichkeit der Bluetooth-Kommunikation wäre die Verständigung auf einer Demo, ohne auf eine mobile Datenverbindung angewiesen zu sein.

Natürlich werden die Nachrichten verschlüsselt. Ein wichtiger Angriffspunkt bei Verschlüsselung ist allerdings immer der Schlüsseltausch. Bei Briar wird das einfach, aber etwas radikal gelöst: man fügt Kontakte bei einem persönlichen Treffen hinzu und verifiziert dabei die Schlüssel. Hat man erstmal Kontakte kann man diese auch untereinander vorstellen, es muss sich also nicht jeder mit jedem persönlich treffen.

Dennoch hat dieses System den riesen Vorteil, dass es keine "blind vertrauten" Schlüssel gibt -- und damit Men-in-the-Middle-Angriffe ausgeschlossen sind.

Was bietet nun Briar als Messenger? Die Features sind bisher relativ überschaubar:
* Zweier-Chats
* Gruppenchats
* Foren
* Blogs
* RSS-Import zum Nachrichten lesen

Gerade Foren und Blogs sind vielleicht auf den ersten Blick nicht ganz klar. Blogs sind einfach ("öffentliche") Meldungen an alle Kontakte, also so eine Art Darknet-Twitter... Foren sehen auf den ersten Blick wie Gruppenchats aus, allerdings "hängt" ein Gruppenchat immer am Ersteller: nur der Ersteller kann Kontakte einladen und wenn er die Gruppe verlässt wird sie geschlossen. Bei einem Forum kann jeder Teilnehmer weitere Kontakte hinzufügen und das Forum wird erst entfernt, wenn der letzte Teilnehmer rausgeht.

Was ich an Briar momentan am meisten vermisse ist die Möglichkeit, Bilder zu senden. Es ist also (noch) nicht möglich, auf diesem Weg schnell eine Impression mit einem Kontakt zu teilen. Der zweite Kritik-Punkt ist, dass der Messenger permanent online sein sollte, da man Ende-zu-Ende natürlich erstmal nur mit Online-Kontakten kommunizieren kann. Ansonsten macht der Messenger auf mich einen sehr sympatischen Eindruck.

Was ist geplant? Das Briar-Projekt hat einige Features in Aussicht gestellt: Bild-Übertragung, eine Desktop-Version und "Message-Repeater", mit denen die Kommunikation mit Offline-Kontakten möglich wäre. Alles tolle Features, mit denen sich Briar tatsächlich noch zu meinem Standard-Messenger und Top-Empfehlung mausern könnte.

Was es allerdings auf absehbare Zeit nicht geben wird ist eine iOS-Version.

Nutzt jemand schon Briar? Was sind eure ersten Eindrücke?

- Thomas
  
Falls jemand ein ähnliches Problem hat: ich habe in den Orbot-Einstellungen das "start on boot" deaktiviert (was mich eigentlich eh schon länger gestört hat), nach Neustart hat Briar wieder ein grünes Internet-Icon.

Kann es sein, dass sich die zwei Apps nicht sonderlich gut vertragen...?

Ich beobachte mal weiter.
 
Seit dem jüngsten Update (1.6.) scheint das mit dem Internet besser zu funktionieren. Allerdings ist seitdem keiner meiner Kontakte mehr online... *löl*
 
Mail vom Briar-Team:

In the latest release (1.0.8) we fixed a bug that was preventing Briar from connecting to the internet.


Na dann geben wir dem Guten mal noch eine Chance... :)