Was uns wirklich gefährdet

Habe ich mich in den letzten Wochen ausführlich – geradehin in epischer Breite – über die Versprechungen der Schlangenölbranche ausgelassen.
Schimpfte ich wie ein Rohrspatz über die Risiken, denen wir uns durch den Einsatz von AV-Software aussetzen.
Führte nachgerade schonungslos aus, wer das wahre und größte Risiko der Preisgabe unserer digitalen Identität sind:
Wir selbst.
So schließe ich heute meine Reihe über Schlangenöl und die Bedrohungen, denen wir uns dadurch aussetzen, ab.
Und zwar mit einem warnenden Paukenschlag:
Was uns wirklich gefährdet

TL;DR

  • Was Schlangenöl nicht kennt, kann dir trotzdem schaden: Vor einem Zero-Day kann dich keine Software schützen
  • Ransomware: Verschlüsselt und verraten
  • Updates: Wer nicht up-to-date ist handelt fahrlässig
  • Trügerische Verweise: Links, zwo-drei-vier!
  • Der Anhang, das gefährliche Wesen: Nicht öffnen!
  • Es ist nicht alles Chef, was danach aussieht: Obrigkeitshörigkeit kostet Millionen
  • Wir sind unser größter Schutz: Unsere Handlungen bestimmen unsere Privatsphäre
  • Ending on a positive Note: Was also können wir tun, Lone Ranger?

Vor einem Zero-Day kann dich keine Software schützen

Zero-Days, also Bedrohungen, die noch niemand entdeckt bzw. als Gefahr kategorisiert hat, sind die panzerbrechende, uranangereicherte Munition, mit der u.a. Cyberkriminelle uns bedrohen.
Und damit meine ich staatliche Dienste, die in vollkommen verantwortunsloser Weise solche Zero-Day-Exploits horten.
Zum einen ist das eine Gefahr für uns alle, da diese Dienste ihre gesammelten Zero-Days gegen uns, unsere Privatsphäre und damit gegen unsere Freiheit einsetzen können – ich sage an dieser Stelle nur Staatstrojaner.
Zum anderen gefährden uns Dienste, da dieser Hort toxischer Lücken in Software durchaus in die (noch) falsch(eren) Hände von Kriminellen anderer Art gelangen können – hier sage ich nur CIA-Leaks.
Durch einen Zero-Day-Exploit haben Angreifer die Möglichkeit, Schadsoftware auf einem Zielsystem zu deponieren, ohne dass eine vorhandene Schlangenöllösung auch nur den Hauch einer Ahnung hat, dass das vermeintlich geschützte System kompromittiert wurde.
Klassisch unter dem Radar durch.
Zero-Day-Exploits sind quasi die Stealth-Bomber der Informationstechnologie.
Erst wenn der Einschlag kommt, weiß der Anwender, dass er angegriffen wurde.
Oder erst viel später, meistens sogar sehr viel später (und auf jeden Fall zu spät).
Das hängt natürlich ganz von den Zielen der Schadsoftware ab.
Ein Beispiel für den erfolgreichen Einsatz eines Zero-Day-Exploits ist die WannaCry-Ransomware, die es auch aufgrund ihrer publikumswirksamen Auswirkungen in die allgemeinen und klassische Medien geschafft hat.
Daher meine Handlungsanweisung für diesen Fall:
Ganz frei nach Kant:
Klicke so, dass du ständig die Verantwortung für deine Klicks übernehmen kannst.
Wisse, wohin der besuchte Link dich führt.

Verschlüsselt und verraten

Ransomware ist aktuell nicht nur die Schadsoftware mit der höchsten Verbreitung, sie ist auch eine der Formen von Malware, die Schlangenöl nicht erkennt.
Die große Verbreitung von Ransomware liegt nicht daran, dass die betroffenen Systeme etwa kein Schlangenöl eingesetzt hätten, sondern daran, dass die meisten dieser Systeme keine aktuellen Systemupdates eingespielt hatten.
Die meisten dieser betroffenen Systeme – so ist meine feste Überzeugung – waren sehr wohl durch AV-Software geschützt.
Gleichwohl, es hat nichts genützt.
Denn – und auch an dieser Stelle verweise ich wieder auf WannaCry – Ransomware nutzt ungepatche Lücken in Computersystemen durch Zero-Day-Exploits.
Und diese können von AV-Lösungen einfach nicht erkannt werden.
Ransomware ist ein mittlerweile ein riesiger Markt – und es sind schon längst keine Script-Kiddies mehr, denen wir uns als Gegner gegenüber sehen.
Sondern es ist ein hoch professionalisierter krimineller Wirtschaftszweig, der sich inzwischen sogar die Bewertungssystematik des klassischen Online-Handels zueigen gemacht hat.
Ableitung aus diesen Erkenntnisse:
Habe stets ein aktuelles Backup deiner Daten verfügbar.

Wer nicht up-to-date ist, handelt fahrlässig

„Kein Backup, kein Mitleid!“
Dieses Bonmot der Sys-Admin-Community bringt es treffend auf den Punkt.
Ich formuliere es – passend für diesen Abschnitt – um:
„Kein aktuelles System, kein Mitleid.“
Der technisch wichtigste Schutz vor unbekannten Gefahren ist schlicht und einfach ein aktuelles System.
Das zu bewerkstelligen ist auch wirklich keine Raketenwissenschaft.
Mittlerweile unterstützen uns alle Betriebssysteme dabei, die entsprechenden Geräte aktuell zu halten.
Es ist eben so ähnlich wie bei des Deutschen liebstem Kind:
Dem heiligen Blechle.
Das Auto unserer Wahl nörgelt, warnt und blinkt ja auch in aller Regelmäßigkeit, will unsere Aufmerksamkeit und äussert den Wunsch nach Inspektion, Wischwasser und sonstwas. (Erinnert uns doch irgendwie an die Tamagotchis – wisst Ihr noch?)
Und dem kommen wir doch gerne nach.
Und genauso verhält es sich mit unseren Computersystemen.
Die machen uns ganz selbsttätig darauf aufmerksam, dass sie umsorgt und aktualisiert sein wollen.
Kommen wir diesem doch bitte auch gleich nach.
Es ist kein Aufwand, weder zeitlich noch mental.
Verschieben wir es nicht.
Sobald wir den Wunsch des Betriebssystems nach Update bekommen leisten wir dem Folge.
Ohne Aufschub.
Sofort.
Dieser einfache Klick kann uns eine sehr große Menge Ärger und Ungemach sparen.
Daher mein Aufruf:
Brüder zur Sonne, zum Update!
Daten wir up, sobald es etwas zum updaten gibt.

Links, zwo-drei-vier!

Jetzt ist aber auch wieder genug des unreflektierten Folgeleistens bei computergenerierten Anweisungen.
Ein weiteres, großes Risiko ist das reflexhafte Klicken auf jeden Link, der uns in einer E-Mail entgegenspringt.
Wir klicken einfach nicht auf jeden Link, der uns in einer E-Mail erreicht – möglicherweise sogar noch vollkommen unkommentiert.
Das tun wir einfach nicht.
Wir wurden doch alle als Kinder umfangreich auf die Gefahren hingewiesen, die von fremden Menschen ausgehen, die uns entweder etwas schenken wollen, oder uns einfach „das süße Kaninchen in ihrem Garten“ zeigen wollen.
Sind wir doch alle, oder?
Haben wir etwas angenommen? Nein!
Sind wir mitgegangen? Nein!!
Also.
Ist doch genau das gleiche hier.
Ein Link ist nichts anderes als das Angebot, etwas geschenkt zu bekommen oder ein süßes Kaninchen in dem unheimlichen, überwucherten Garten vor oder hinter der heruntergekommenen und halb verfallenen Villa am Stadtrand gezeigt zu bekommen.
Das nehmen wir nicht an, dieses Angebot.
Zumindest prüfen wir sehr kritisch, ob der entsprechende Link dahin führt, wo er vorgibt hinzuführen.
Das ist bei Plain-Text-Mails einfacher als bei HTML-Mails – aber es geht in allen Fällen.
Wir müssen schlicht und ergreifend unseren gesunden Menschenverstand wieder stärker schulen und ein gerüttelt Maß an Mißtrauen kultivieren.
Deshalb an dieser Stelle alle im Chor:
Wir klicken nicht reflexartig auf alle Links, die uns unter den Mauszeiger kommen.

Nicht öffnen!

Wenn es tickt, ölig riecht und eine ungleichmäßige Gewichtsverteilung hat – dann machen wir ein Paket doch auch nicht auf!
Warum sollte dies bei Anhängen von E-Mails anders sein?
Gut, die riechen eher nicht ölig (die olfaktorische E-Mail ist uns bisher zum Glück erspart geblieben), aber ein unerwarteter Anhang ist die digitale Analogie dazu.
Wenn wir den Absender nicht kennen, können wir die E-Mail mit Anhang schon gleich unbesehen und unbesorgt löschen.
Wenn es etwas wichtiges ist dann kommt es wieder.
Und selbst wenn wir den Absender kennen, muss schon ein triftiger Grund vorliegen, um den Anhang öffnen.
Und dieser triftige Grund ist die Ankündigung des Anhangs (aus einer früheren Mail oder einem persönlichen Gespräch).
Fragen wir lieber nach – auf einem anderen Kanal bitte! – ob der Anhang wirklich authentisch ist.
Denn insbesondere unaufgefordert zugesandte Anhänge – wie z.B. Bewerbungsunterlagen – waren in der Vergangenheit (und sind es aktuell immer noch) tickende Briefbomben. Sie wirken zumeist wahnsinnig echt und verleiten die ansprochenen Personen in aller Regel zum Öffnen.
Darum:
Nichts öffnen, was wir nicht angefordert haben – es könnte ein Drache in dem Paket hocken.

Obrigkeitshörigkeit kostet Millionen

Unkritisches Verhalten – gepaart mit einer restriktiven und rigiden Hierarchie – sind ein ideales Ökosystem für ein weiteres virtuelles Angriffsszenario, bei dem Schlangenöl keinerlei Schutz bietet.
In einem derartigen von Angst, Gleichgültigkeit, Obrigkeitshörigkeit und Unkenntnis verseuchten Umfeld können Angriffe wie der CEO-Fraud aufblühen und ihre kriminellen Blüten treiben.
Bei dieser Form des Internetbetrugs wird eine gefälschte E-Mail – vermeintlich vom Geschäftsführer (eben dem CEO) – an einen zumeist hochrangigen Mitarbeiter mit Finanzkompetenz geschickt.
Diese Mail formuliert die Anweisung, ganz kurzfristig und unter Umgehung sämtlicher gängiger Prozesse, unauffällig eine größere Menge Geldes an eines der unauffälligen Konten in einem ganz vertrauenswürdigen Land zu überweisen.
Dringend, weil das Wohl der Firma, der freien Welt und ganz besonders die Sicherheit des Jobs des Mail-Empfängers davon abhängen.
Und, ach ja, noch nebenbei, natürlich bleibt die ganze Transaktion vertraulich zwischen den Mail-Parteien.
Geht ja üblicherweise nur um ein paar Millionen Dollar.
Und da dies eben in einem Umfeld von Befehl und Gehorsam stattfindet und die Mails wirklich authentisch wirken – bis auf die klare Aushebelung jeglicher Vernunft und Ordnung – sind diese CEO Frauds sehr erfolgreich.
Was bleibt mir da zu empfehlen?
Stärken wir unser Rückgrat.
Fragen wir lieber einmal mehr nach als später den Schaden zu haben.
Wird uns für eine solche – durchaus berechtigte – Rückfrage der Kopf abgerissen, wäre für mich zumindest eines klargestellt:
Das ist sicherlich keine Umgebung, in der ich weiterhin freiwillig arbeiten will.

„If you don’t like how things are, change it! You’re not a tree.“

Unsere Handlungen bestimmen unsere Privatsphäre

Das größte Risiko sind aber letztlich wir selbst.
Es hilft alles nichts, wir sind schlussendlich selbst für unser Wohl und Wehe verantwortlich.
Wir können alles auf externe Faktoren schieben:
die schlechte Schutzsoftware
die bösen Cyber-Kriminellen
das schlechte Betriebssystem
die gemeinen Geheimdienste
* und, und, und…

Wenn wir eine Ausrede finden wollen – finden wir sie.
Wenn wir eine Lösung finden wollen – finden wir auch einen Weg.
Wir sollten bei unserem eigenen Verhalten beginnen.
Wir können immer entscheiden, wie wir handeln wollen.
Und sobald wir dies erkennen und entsprechend Verantwortung für unser Handeln übernehmen, ist das der erste Schritt zurück zur Souveränität über unsere Daten und unsere Privatsphäre.
Deshalb:
Beginnen wir damit, Verantwortung für unser eigenes Handeln zu übernehmen.

Was also können wir tun, Lone Ranger?

Zunächst – Optimistisch bleiben.
Denken wir uns erst einmal:

„This too will pass.“
Echt, die Welt geht davon (noch) nicht unter.
Es klingt alles furchtbar dramatisch, aber wir haben schon anderes überstanden.
Modern Talking zum Beispiel.
Ne, Ernst beiseite – hier nochmal kurz zusammengefasst, was wir tun können, um nicht in die Cyber-Cyber-Falle zu tappen:
Backups haben – und den Restore-Fall testen!
das System aktuell halten
erst denken, dann klicken
keine suspekten Anhänge öffnen (und rückversichere dich im Zweifel beim Absender)
hab ein Rückgrat, sei kritisch und frag lieber einmal mehr nach als einmal zu wenig
übernimm Verantwortung für deine eigenen Handlungen

Das Ende einer langen Reise:
Schlangenöl in epischer Breite – mit hilfreichen Tipps und Handreichungen.

Gefühlte Sicherheit ist ein echtes Risiko

Heute sammle ich meine Gedanken zum größten Risiko, welches Schlangenöl für uns Nutzer darstellt:
Unser falsches Gefühl von Sicherheit, wenn wir eine AV-Lösung als Teil (oder noch schlimmer – als einziges Element) unserer Sicherheitsstrategie einsetzen.
Habe ich in meinem letzten Artikel die technischen Unzulänglichkeiten von Schlangenöl dargestellt, konzentriere ich mich heute auf das mit Abstand schwächste Glied der Sicherheitskette beim Schutz unserer digitalen Habseligkeiten.
Uns.
Den Nutzer, das nicht zu kontrollierende Element zwischen Tastatur und Schreibtischstuhl.

TL;DR

  • Der Mensch steht im Mittelpunkt – und damit der Technik im Weg: Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette
  • Sicherheit ist ein Gefühl: Gefühlte Sicherheit ist ein echtes Risiko
  • Hommage ans Lutherjahr: AV-Software als moderner Ablassbrief
  • Es geht hier um Wissen – nicht um bloßes Vertrauen: Blindes Vertrauen in Technik macht uns blind im Handeln
  • Analogie im Alltag: Straßenverkehr und Führerschein
  • Some Good Things: Was also kann ich tun?
  • Ending on a positive note: Was also kann ich tun?

Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette

Wir können noch so viel technische Schutzmaßnahmen, politische Regelungen und gesellschaftliche Vereinbarungen einsetzen, dass wir uns im technisch-regulatorischen Dickicht verlieren – wenn der Mensch nicht vermag, nicht versteht oder schlicht nicht will, werden all diese Maßnahmen nicht wirken.
Oder noch schlimmer, sie werden die Situation seiner Daten schlicht verschlimmern.
Der Mensch ist letztendlich der alles entscheidende Faktor beim Schutz (oder eben beim Verlust) seiner Daten.
Wir können versuchen, mit technischen Mitteln ein Korsett von Sicherheitsmaßnahmen um unser digitales Handeln zu schnüren.
Aber wir werden es niemals schaffen, alle menschlich-irrationalen Handlungen automatisiert abzufangen.
Wenn der Mensch aus Unkenntnis, Unwissenheit oder Unwillen diese technischen Maßnahmen umgehen will, wird ihm das gelingen.
Ob an dieser Stelle jetzt die tatsächliche (oder auch nur die gefühlte) Unbequemlichkeit – oder der reine Wille, gegen eine technische Bevormundung zu rebellieren – steht, ist vollkommen belanglos.
Mir ist wichtig, hier klar zu vermitteln, dass wir als Mensch sowohl das Vermögen als auch die Pflicht haben, unsere digitale Identität zu schützen.
Werkzeuge, auf die wir vertrauen und die wir zum Schutz unserer Daten einsetzen, sind nur so gut wie das Wissen des Nutzers um dieses Werkzeug.
Ein Hammer ist ein fantastisches Werkzeug.
Allerdings nur für jemanden, der weiß wie man mit einem Hammer umgehen muss.
Für jemanden, der sich nicht mit der – zumindest grundlegenden – Funktionsweise eines Hammers auskennt, ist ein Hammer bestenfalls nutzlos.
Schlimmstenfalls ist ein Hammer eine sehr gefährliche Waffe – sowohl gegen den Anwender eines Hammers als auch alle anderen Umstehenden.
Was können wir nun – schlussfolgernd aus diesen Zeilen – tun, damit wir uns nicht ständig den digitalen Hammer beim Versuch, unsere Daten diebstahlgeschützt an unsere sichere Zimmerwand zu nageln, auf den virtuellen Daumen hauen?
Wir können uns weiterbilden.
Wir können lernen, wie wir selbstverantwortlich mit unseren Daten umgehen.
Oder wir können Verzicht üben.
Wir legen den digitalen Hammer beiseite, nageln unsere Daten nicht mehr an alle möglichen öffentlichen Wände und beschränken uns darauf, einfach weniger zu tun.
Das ist ein legitimes Vorgehen.
Niemand zwingt uns, auf jeden durch den Bahnhof des digitalen Weltdorfes rasenden Hype-Zug aufzuspringen.
Wir müssen nicht jede neue technische Möglichkeit ausschöpfen, um mit den Menschen, die uns wichtig sind in Kontakt zu bleiben.
Wir haben die Wahl.
Aber wenn wir uns dazu entscheiden, technisch modern und digital hochgerüstet zu agieren – dann haben wir auch die Pflicht und Schuldigkeit, zu verstehen, was wir tun.
Deswegen mein Aufruf an dieser Stelle:
Bilden wir uns weiter.

Gefühlte Sicherheit ist ein echtes Risiko

Der Hauptaspekt, den ich in diesem Artikel beleuchten will, ist das Risiko, welchem wir uns aussetzen, wenn wir vermeintliche Sicherheitstechnologien wie AV-Software unreflektiert einsetzen.
Wenn wir uns als Nutzer einer solchen Sicherheitssuite auf die Werbeversprechen der Schlangenölhersteller blind verlassen, lassen wir uns auf einen Tanz im Minenfeld ein.
Mit verbundenen Augen.
Und mit Kopfhörern auf den Ohren.
Und mit Schneeschuhen an den Füßen.
Es ist eine tödliche Illusion von Sicherheit, der wir uns digitaltechnisch hingeben.
In dem Gefühl vermeintlicher Sicherheit erliegen wir allzu leicht der Tendenz, gänzlich unsicheres Verhalten zu etablieren.
Wenn wir allzu unreflektiert einem System, einer Technologie vertrauen, dann ist dieses Verhalten stets zu unserem Schaden.
Wir sollten immer hinterfragen, was der Lieferant des Systems (oder der Technologie) davon hat, uns dieses System zur Verfügung zu stellen.
Ausser Geld damit zu verdienen.
Weiterhin tun wir gut daran, wenn wir etwas über die Wirkungsweise dieses Systems lernen und damit besser verstehen, wie – und ob überhaupt – dieses System für uns zuträglich ist.
In unserem konkreten Fall geht es hier um die Wirkweise von AV-Systemen – deren Schwächen habe ich in meinem letzten Artikel dargestellt.
Wenn wir nun Kenntnis darüber haben, wie AV unsere Systeme schützt und welche Lücken es hat, dann sind wir in der Lage, eine fundierte Entscheidung darüber zu treffen, wie sehr wir dieser Technologie trauen und ob wir einem solchen System unsere Daten anvertrauen wollen.
Hinterfragen wir nicht und vertrauen wir lediglich den Werbeaussagen der Hersteller, dann sind wir nicht weiter als unsere altehrwürdigen Vorfahren, die Blitz und Donner auf den Zorn der Götter zurück führten.
Mir ist klar, dass die Sichtweise, alles kritisch zu hinterfragen, was wir nutzen, deutlich mehr Zeit in Anspruch nimmt, als Aussagen von Werbung und Politik unkritisch anzunehmen.
Aber wenn wir beginnen, uns mit den Aktivitäten und Anwendungen unseres täglichen Lebens bewusst auseinander zu setzen, dann gewinnen wir mehr, als es uns an Zeit kostet:

Wir gewinnen Freiheit, Erkenntnis und die Selbstbestimmung über unser Leben.

AV-Software als moderner Ablassbrief

Gerade jetzt aktuell im Lutherjahr – da drängt sich der Vergleich von Schlangenöl zu den Ablassbriefen der vorreformatorischen Kirchengeschichte förmlich auf.
Mir erscheint das Verhalten der Nutzer von AV-Software vergleichbar zu sein mit dem Lebenswandel von solventen Kirchgängern der vorlutherischen Zeit:
Mächtig die Sau rauslassen, anschließend einen Ablassbrief kaufen und damit die Seele wieder freikaufen – Verzeihung, reinwaschen.
Die erklecklichen Lizenzgebühren für Schlangenöl scheinen mir an dieser Stelle das analoge Verhalten bei den Nutzern auszulösen:
Zahle ich schon Jahr für Jahr meine Ablassgebühren an die Schlangenölhersteller dann kann ich ja wohl auch unbesorgt im Internet herumsudeln – ich bin ja geschützt und meine Seele – respektive meine Daten – bleiben rein.
Beides – Ablassbrief und AV-Software – gehen auf ein verschobenes Verständnis hinsichtlich unseres Verhaltens zurück.
Wir können uns nicht von Schuld freikaufen – wir müssen zu dem stehen, was wir tun.
Verhalten wir uns unmoralisch, dann müssen wir mit den Konsequenzen leben – wir können unsere Seele nicht von Schuld freikaufen.
Martin Luther hat das folgerichtig erkannt und den Ablasshandel angeprangert – ganz wortwörtlich.
Verhalten wir uns im Internet datenunmoralisch, dann müssen wir lernen, mit den Folgen umzugehen.
Auch hier schützt uns kein moderner Ablassbrief in Form von Lizenzgebühren an Schlangenölverkäufer.
Das müssen wir – 500 Jahre nach Martin Luther – wohl erst erneut schmerzhaft lernen.
Wir können uns nicht freikaufen von unserem Fehlverhalten.
Aber wir können lernen, Fehlverhalten zu vermeiden und uns statt dessen datenmoralisch gut zu verhalten.

Blindes Vertrauen auf Technik macht uns blind im Handeln

Wenn wir blind darauf vertrauen, dass die Technik uns schützt, führt dies zu blindem und unvorsichtigem Handeln.
Es kann sein, dass wir ungestreift durch das virtuelle Minenfeld navigieren – schließlich findet ja auch das blinde Huhn seinen Korn und höhere Fügung mag uns auch leiten – gleichwohl, ich glaube nicht daran.
Blindes Vertrauen in dieser virtuellen Welt ist offenen Auges ins Verderben zu wanken.
Wir müssen wachsam sein – das ist der Preis für unsere Privatsphäre.
Technikgläubigkeit ist Verantwortungslosigkeit.
Wir können natürlich so handeln – aber dann dürfen wir nicht jammern, wenn unsere Privatsphäre geraubt wird und wir unsere Freiheit verlieren.
Wenn wir im Auto einen Sicherheitsgurt anlegen, heißt das auch nicht, dass wir immer mit 180 km/h über die Straßen rasen können.
Vertraut nicht blind auf die Technik – seid achtsamer im digitalen Miteinander.
Weil alles schnell gehen kann, heißt das nicht, dass wir alle Vorsicht außer acht lassen sollen.

Straßenverkehr und Führerschein

Was hat das mit Schlangenöl und echtem virtuellem Risiko zu tun?
Für den einen Bereich benötigen wir eine Fahrerlaubnis, vorherigen Unterricht und eine bestandene Prüfung – für den anderen Bereich können wir ohne jede Ahnung, Ausbildung und Information einfach mal loslegen – und uns dabei schlimmstenfalls vollkommen nackt machen.
Mir ist es schleierhaft, warum wir eine Technologie, die unsere gesamte Identität und unsere Zukunft beeinflussen, verändern und sogar massiv schädigen kann, vollkommen ohne den Nachweis von Grundkenntnissen einsetzen (dürfen).
Aktuell fordert die Gesellschaft einen derartigen Privatsphären-Führerschein nicht.
Aber wir können uns selbständig weiterbilden – oder bei mir etwas Analoges erlernen.
Das heißt nicht, dass wir jetzt alles allein lernen müssen – wir können jemanden fragen.

Was also kann ich tun?

Eines von zwei Versprechen aus meinem letzten Artikel halte ich ein:
Ich ende auf einer positiven Note!
Wer es bis hierher geschafft hat, der hat ein geistig-moralisches Gutsele in Form von Empfehlungen verdient. Was also können wir tun, um sicher im Internet unterwegs zu sein, ohne uns auf die Technik-verliebte Schlangenöllösung zu verlassen.
Nachdenken:
Innehalten und Gehirn einschalten – anstatt jeder Verlockung im Internet unreflektiert zu folgen.
Nachprüfen:
Stellen wir uns die folgenden Fragen, bevor wir auf einen Link klicken oder den Anhang öffnen.
1. Kenne ich den Absender?
2. Passt der Anhang?
3. Zeigt der Link auf die Seite, die ich erwarte?
* Nachfragen
Und wenn etwas unklar ist, einfach nachfragen.
Ein kurzer Anruf beim Absender genügt, um zu prüfen, ob die E-Mail mit dem unerwarteten Anhang wirklich von diesem Absender kommt.
Wenn etwas unklar ist – schickt mir eine Mail: anmerkungen(at)blog.data-detox.de.

Wir können nicht alles wissen – und selbst wenn wir einen Führerschein gemacht haben – wissen wir immer noch nicht alles über Autos und den Straßenverkehr.
Auch hier haben wir die Möglichkeit, einfach nachzufragen – warum sollten wir dies im Bereich Informationsverarbeitung nicht in dieser Form praktizieren?
Der IT-Bereich ist schließlich viel komplexer – und betrifft darüber hinaus auch deutlich mehr Gesellschaftsbereiche als der Straßenverkehr.

Und wieder mein Aufruf:
Erhebt euch aus eurer selbstverschuldeten Unwissenheit.
Macht euch Gedanken, bildet euch weiter.
Ihr seid eurer bester Schutz vor Identitätsdiebstahl und Freiheitsverlust.

Warum AV nicht funktioniert

Heute sammle ich einige Gedanken hinsichtlich Schlangenöl (und stelle diese auch vor – heute mal wirklich ausführlich…).
Meine These:
Antiviren-Software taugt nicht als System zum Schutz unserer IT-Systeme und damit unserer Daten.

TL;DR

  • Wunderbare Werbewelt: Was Schlangenöl alles kann – nicht!
  • Nicht deine Baustelle: Was Schlangenöl anderen überlassen sollte
  • Systematically broken: Das System ist kaputt – vergiss das System
  • Was tun? Was tun? Was lassen?: Was hilft – was nützt – was wirklich schützt

Was Schlangenöl kann… nicht!

Zunächst einmal betrachten wir kurz, was AV – besser deren Hersteller – uns versprechen zu tun; vor welchen Gefahren sie uns bewahren wollen.
Dieser Leistungsumfang – so ist mein Eindruck – geht mittlerweile weit über das klassische Virenscannen hinaus.
Ich schwanke an dieser Stelle schon zwischen den Gedanken
Schuster, bleib bei deinen Leisten.“ und
Aha, ham se jetzt doch erkannt, dass AV nicht mehr der cybertechnischen Weisheit letzter Schluss ist?

Also, hier meine unvollständige Liste der vollmundigen Versprechungen, die uns die Schlangenölhersteller offerieren:
Schutz vor Ransomware
Schutz vor Zero-Second (es reicht hier augenscheinlich nicht mehr, von Zero-Day zu sprechen – es muss hier in Ich-hab-aber-den-Längeren-Manier noch einer draufgelegt werden) Angriffen
Auto-Updater
Daten-Shredder
Sichere Zahlungen
Passwort-Manager
Anti-Spam
Firewall
Verhaltensschutz
Blocking microfone and webcam access (Kaspersky): same shit as Samsung-TVs – wenn du den Bösen blocken willst, musst du immer überwachen
* Regulate the use of apps and check your childs location (überwachung pur!)

Na, da bieten die Schlangenölverkäufer doch fast die eierlegende Wollmilchsau an – es fehlt eigentlich nur noch, dass es auch das Auto waschen und die Hausaufgaben der Kinder kontrollieren kann.
Aber was nicht ist kann ja noch werden.
Wenn ich mir diesen Wust an versprochenen Funktionalitäten und dysfunktionalen Versprechungen betrachte, fühle ich mich an Smartphones erinnert:
Die versuchen sich auch an jeder möglichen und unmöglichen Funktion – und scheitern grundsätzlich an allem.
Ganz besonders an ihrer Grundfunktionalität:
der Telefonie.
Wenn man alles tun will, erreicht man im Endeffekt – gar nichts.
Ich will hier jedoch kein Marketing-Bashing betreiben – Werbung ist immer übertrieben.
Aber für mich ist die Grenze erreicht, wo es von schlichter Übertreibung zur Gefährdung der Anwender eines Produktes kippt.
Und ich sehe bei Schlangenöl diese Grenze als überschritten an.
Schlangenöl übertreibt nicht einfach nur, was es alles an Leistungen bietet – nein, der Einsatz von AV auf einem Computersystem schwächt dieses System und gefährdet damit den Anwender.

Was Schlangenöl anderen überlassen sollte

Ausgehend von der Liste der mannigfaltigen Versprechungen der Schlangenölbranche liefere ich jetzt sinnvolle und bessere Alternativen zu den einzelnen großspurigen Versprechungen der Alles-aus-einer-Hand-Lösungen.
Daten-Shredder:
Um Daten sicher – und unwiderbringlich – zu löschen, brauchen wir uns nicht in die Hände der Schlangenölbranche zu werfen.
Es gibt für diesen Anwendungsfall dedizierte Lösungen, die diese Aufgabe schnell, effektiv und ohne den unnötigen Overhead einer Alles-in-Einem-Anwendung erledigen.
Unter Windows empfehle ich hier DBAN (Darik’s Boot and Nuke)
Für macOS und Linux können wir
shred und wipe einsetzen.
Sichere Zahlungen:
Was wollen die Schlangenöler hier eigentlich anbieten?
Das ist auch ein weiterer Punkt, der mich ungemein ärgert:
Der Nutzer einer AV-Suite wird dumm gehalten.
Anstatt zu erklären, worauf es denn bei sicheren Zahlungen im Internet ankommt – nämlich eine geschützte HTTPS-Verbindung mit einem gültigen und vertrauenswürdigem Zertifikat – verschleiert die AV-Lösung dieses Wissen vor dem Anwender und spiegelt dem unbedarften Nutzer vor, die Sicherheit käme durch das Schlangenöl.
Das ist aber nicht so.
Für die Sicherheit sind die Shop-Betreiber bzw. die entsprechenden Banken und Finanzdienstleister verantwortlich.
Passwort-Manager:
Das ist ein Anwendungsfall, den wir auf gar keinen Fall dem Schlangenölhersteller als Aufgabe übertragen wollen.
Das wäre so, als würden wir einem dubiosen Sicherheitsdienst die Schlüssel zu unserem Haus, unsere Autoschlüssel, die Kreditkarten und unsere EC-Karte inklusive PIN überlassen.
Ein Passwort-Manager ist eine derart sensible Angelegenheit, die vertrauen wir maximal einer eigenständigen, vollständig offenen und definitiv offline arbeitenden Anwendung wie KeePass/KeePassX an.
Wenn wir unsere Passwörter einer „Rundum-Glücklich“-Lösung wie Schlangenöl anvertrauen, dann wissen wir schlicht und ergreifend nicht, was mit den Daten passiert.
Schlangenöl ist Closed Source – wir können die Quelltexte nicht einsehen – und wir haben dadurch einfach keinen Einblick in das, was im Hintergrund mit unseren Daten geschieht.
Darüber hinaus ist eine AV-Lösung dauerhaft mit dem Internet verbunden (ansonsten funktioniert das ganze Spiel nämlich nicht) und wir haben keine Kontrolle darüber, welche Daten wohin gesendet werden.
Vertraue niemandem!
Agent Mulder hat damit ja so recht.
Firewall:
Eins haben inzwischen alle Hersteller von Betriebssystemen verstanden, nämlich die Notwendigkeit, dass eine Firewall Bestandteil des Betriebssystems sein sollte – und generell bereits ist.
Ist es das nicht, lässt es sich einfach als eigenständige Lösung nachträglich installieren.
Das ist einfach keine der Aufgaben, die von einer Schlangenöllösung übernommen werden sollte.
Nehmen wir einmal den folgenden – gar nicht so weit hergeholten – Fall an:
Ein System wird von AV (inklusive Firewall) „geschützt“.
Ein Angreifer schafft es, diese AV ausser Kraft zu setzen (was oft einer der ersten Schritte ist, die ein Angreifer ausführt).
Dadurch setzt der Angreifer die (quasi „integrierte“) Firewall ebenfalls ausser Kraft.
Schade.
Wäre die Firewall eine eigenständige Anwendung, hätte es der Angreifer bedeutend schwerer, diesen echten Schutzfaktor auszuschalten.
Wenn der Angreifer die AV ausschaltet, ist die Firewall grundsätzlich mal nicht automatisch mit betroffen (es sei denn, es handelt sich eben nicht um eine eigenständige Lösung).
Anti-Spam:
Der Schutz vor Spam-Mails ist ein weiteres Beispiel dafür, dass die Schlangenölhersteller (wie so viele andere auch) mittlerweile im Revier anderer Software-Hersteller wildern.
Anti-Spam wird dort eingesetzt, wo Spam auftritt:
Im Mailclient – oder besser noch: im Mailserver.
Und dieser kümmert sich bestenfalls auch genau darum.
Jeder Mailclient – sei es Outlook, Thunderbird oder welcher Mailclient auch immer den Postdienst versieht – er hat bereits die eine oder andere Anti-Spam-Implementierung eingebaut.
Dafür brauchen wir keine Schlangenöl-Suite.
Brauchen wir einfach nicht.
Verhaltensschutz:
Achja, bei Verhaltensschutz muss ich irgendwie an die „No loitering„-Schilder denken.
Verhaltensschutz wird zunehmend auch im Bereich Video-Überwachung getestet – und funktioniert dort ebenso schlecht wie beim Schlangenöl.
Beim „Verhalten“ ist eines der Hauptprobleme, dass „normgerechtes“ Verhalten erst mal definiert und programmiert sein muss, um Auffälligkeiten im Verhalten zu erkennen.
Und da fängt das Problem schon an.
Was ist denn „normgerechtes“ Verhalten (Bereich Video-Überwachung) eigentlich genau?
Wenn jemand humpelt (sich also möglicherweise außerhalb der „Bewegungs-Norm“ bewegt), gibt es dann Grund zur Sorge?
Ist derjenige dann potenziell gefährlich?
Vielleicht weil er schwer an seinem Bombenrucksack trägt, oder weil er ein Steinchen im Schuh hat?
Oder doch, weil er (oder sie) sich im engen Schuhwerk Blasen gelaufen hat?
Wenn jemand auf dem Boden sitzt, „loitert“ er dann gerade (rechtswidrig) oder ruht er sich vielleicht nur aus?
Und genauso verhält es sich mit Software.
Was ist denn hier schon verhaltensauffällig, was ist noch normales Verhalten?
Ich finde ja den Datenhunger von Anwendungen wie WhatsApp extrem verhaltensauffällig – dies sieht Schlangenöl jedoch anders.Und auch an anderer Stelle können wir etwas über „Verhaltensprüfung“ lernen – Dieselgate.
Die Softwaresteuerung von Dieselmotoren erkannte ganz zuverlässig, wenn diese sich im Prüfungsmodus befanden – und haben sich dann ganz unauffällig verhalten.
Und wir können wohl annehmen, dass dies den Herstellern von Schadsoftware auch gelingt – und der Prüfung durch Schlangenöl ganz normgerechtes Verhalten präsentiert.
Webcam- und Microphone-blocking:
Ja, jetzt wird’s ja ganz gruselig – nun will das Schlangenöl also das überwachen, was ich möglicherweise komplett verhindern will:
Das ungewollte Ausnutzen von Webcam und Mikrofon.
Das ist keine Funktion, die wir – ich wiederhole mich – einer Software überlassen, die Closed Source ist und dauerhaft am Internet hängt und wir nicht wissen, wann diese Daten überträgt und wohin.
Bei SmartTVs klemmen wir diese Funktion ja auch vollständig ab – weil wir nicht wollen, dass wir rund um die Uhr abgehört oder beobachtet werden – und jetzt sollen wir diese Kontrolle einer Software überlassen, von der wir nicht wissen, was sie im Hintergrund so alles macht?
Niemals! sage ich.Nochmals zur Erklärung:
Damit eine Software mitbekommt, wann jemand – unberechtigt – Zugriff auf Funktionen meines Computers hat, muss diese Software die Funktion (in diesem Fall Webcam und Mikrofon) dauerhaft selbst überwachen.
Das will ich nicht.
Der beste Schutz vor Beobachtung durch meine Webcam ist es, diese einfach abzukleben.
Ganz analog.
Kinder überwachen:
Also, wenn ich damit anfange, die Anwendungen und Geräte meiner Kinder zu überwachen, warum dann nicht gleich so weit gehen und ihnen einen Chip implantieren?
Das hat nichts mit Sicherheit zu tun – das ist neurotischer Überwachungswahn, erwachsen aus einem falsch verstandenen Wunsch, unsere Kinder vor Schaden zu bewahren.Aber so funktioniert das nicht.
Mit diesem eklatanten Verstoß gegen die Privatsphäre unserer Kinder und einem kaum wieder gut zu machenden Vertrauensbruch treiben wir unsere Kinder mit einem derartigen Verhalten nur noch weiter von uns fort.
Wir müssen Kinder begleiten und durch das Vorleben von beispielhaftem Verhalten zu selbstbewussten Nutzern digitaler Kommunikationsmittel erziehen.
Wir dürfen sie nicht durch Angst und Misstrauen zu obrigkeitshörigen Sicherheitsfanatikern verbiegen.
Sandboxing
Unter Sandboxing verstehen wir das Ausführen verdächtiger Dateien in einem geschützten Bereich – eben einer Sandkiste.
Wir denken dabei nicht an eine Sandkiste im Kontext von Förmchen und Sandkuchen (auch nicht den Sandkuchen – verfressene Bande!).
Sondern wir stellen uns dabei eine Sandkiste im Hinblick auf Blindgänger und Entschärfung von illegalen Feuerwerkskörpern vor.
Kra-Wumm! eben.
So eine Sandkiste haben wir im Hinterkopf, wenn wir von „Sandboxing“ reden.
Das Sandboxing ist aktuell der neueste „heiße Scheiß“ der Schlangenölbranche – und war ursprünglich als der Heilsbringer beim Schutz gegen Schadsoftware gedacht – und wurde dann in der Branche rumgereicht wie der heilige Gral.
Dummerweise eben der schön verzierte, golden glänzende.
Und wir wissen ja, was mit Walter Donovan passierte, als er vor Indiana Jones aus diesem Becher getrunken hat…
Der heilige Gral der Schlangenölbranche – äh, moment, die Sandkastenspiele – haben vier Probleme.Raum, Zeit, interdimensionale Wurmlöcher und schlechte Laune.
Nee, das jetzt nicht – also ist das zumindest noch niemandem auf die Füße gefallen.
Das erste Problem von Sandboxing ist die Erkennung von Malware, die ich in der Sandbox detonieren will (das heißt wirklich so – kein Spaß).
Wir können ja schließlich nicht alles erst in der Sandbox ausführen, um bei 95% der Dateien festzustellen, ah ja, alles in Ordnung.
Pack deine Förmchen zusammen, raus aus der Sandkiste, genug gespielt – die nächste Datei bitte.
Also brauchen wir hier wieder – ja, richtig – eine Verhaltenserkennung.
Und die ist nachgewiesener Maßen miserabel.
Was zur Folge hat, dass wir entweder mehr Dateien prüfen müssen (kostet Zeit) oder uns Schadsoftware durchrutscht (kostet auch Zeit – nur eben etwas später – und unsere Daten).
Beides blöd.
Das zweite Problem dabei ist, dass Schadsoftware erkennt, dass es in einer Sandkiste spielen soll.
Und was macht die Schadsoftware?
Ist ja nicht blöd, hat sich vorher mit seinen Kumpels über Dieselgate unterhalten und versteckt sein schadhaftes Verhalten (und grinst dabei schändlich).
Ergo, Sandkiste bringt wieder nix.
Und das dritte Problem – so eine Sandkiste ist eben auch nicht vollkommen sicher.
Da fliegen beim Bomben entschärfen schon mal Splitter aus der Sandkiste raus – da will man am liebsten möglichst weit entfernt sein, sonst kann das böse ins Auge gehen.
Und solches Verhalten (Ausbüchsen aus der Sandkiste, „Splitterwirkung“ und ähnliches) kann Schadsoftware mittlerweile auch.
Und nicht nur Splitterregen.
Sicherheitsforscher haben mittlerweile erfolgreich den Ausbruch von Schadsoftware aus einer Sandbox nachgewiesen.
Und dann ist die Schadsoftware halt mal ganz eifrig in unserem ganzen System zugange.
Das verheerendste Problem von Sandboxing sitzt jedoch vor dem Computer.
Der Anwender.
Dieser lässt sich nämlich gestützt von der Fehlannahme, er sei jetzt durch eine Sandbox vor den schadhaften Auswirkungen von Malware geschützt, zu unsicherem und nachlässigen Verhalten verführen.
Auto-Updater
Ach, seufz.
Was für eine hanebüchene Idee (vermutlich mal wieder der Bequemlichkeit wegen).
Ein Autoupdater.
Für alle Programme.
Da kann ich mir gar nicht vorstellen, was da schief gehen soll.
Zum einen legt dieses Vorgehen wieder zuviel Macht in eine Hand.
Warum soll jetzt meine AV-Suite entscheiden, wann die Software auf meinem System aktualisiert wird?
Das sollen die Programme selbst erledigen – die wissen am Besten, wann eine neue Version erschienen ist.
Zu behaupten, AV könne dies schneller erledigen als die Hersteller der jeweiligen Programme, muss zwangsläufig gelogen sein, wer könnte dies wohl besser als der Hersteller ???

Mit dem automatischen Software Updater sind Sie den neuesten Updates Ihrer anderen Apps voraus.“ – Avast- das ist einfach eine vollkommen lächerliche und haltlose Werbelüge.
Was ist, wenn die AV plötzlich einfach böse wird und schlicht behauptet, es gibt keine Updates für meine Programme?
Oder plötzlich gefälschte Updates verteilt?
Man würde dies als Anwender spät – oder gar nicht bemerken.

Ich habe mehrfach als Alternative zu einigen Ideen der Schlangenölbranche dedizierte Lösungen empfohlen.
Dies hat natürlich zur Folge, dass wir Bequemlichkeit einbüßen – aber wir gewinnen viel mehr dafür.
Wissen und Kenntnis.
Und das sind die wahren Waffen, die uns im Kampf gegen Schadsoftware helfen.

Das System ist kaputt – vergiss das System

Was aber sind die grundlegenden Probleme, weshalb Antiviren-Software nicht funktioniert?
Ich breche es auf die folgenden sieben Punkte herunter – die sieben Systemschäden.
1. Signaturbasiert erkennt nur Bekanntes
Klassischerweise erkennt Schlangenöl Schadcode dadurch, dass diese Schadsoftware von AV-Herstellern entdeckt wurde.
Daraufhin bekommt dieser Schadcode eine Signatur – einen eindeutigen Identifikator.
Diese Signatur wird an die Anwender des Antivirenprogramms per online-update verteilt, etwa zwei- bis viermal täglich.
Damit sind die AV-Programme in der Lage, neu entdeckte Schadprogramme zu erkennen.
Und das ist das Problem.
AV erkennt nur Bekanntes.
Eine Schadsoftware muss als solche erkannt und katalogisiert werden – alle anderen Verfahren (Verhaltensbasiert und Heuristiken – also Berechnungen von möglicher Schadhaftigkeit) sind einfach zu ungenau und führen entweder zu Fehlalarmen oder lassen Schadcode unerkannt passieren.
2. Signatur-Updates sind zu langsam
Dieses Problem hängt mit dem ersten Problem von AV zusammen.
Die Zeitspanne zwischen Entdeckung einer neuen Schadsoftware und der Verteilung neuer Signaturen ist viel zu groß.
Selbst im theoretischen kurzen Update-Intervall von zwei Stunden ist diese Zeitspanne lang genug, um selbst vermeintlich AV-geschützte Systeme mit dieser neuen Schadsoftware zu infizieren.
Wir müssen im Hinterkopf behalten, wir bewegen uns im Internet.
Ein weltumspannendes Netzwerk von Computernetzwerken, in welchem Daten in Sekunden übertragen werden können.
Und dies nutzen die Hersteller von Schadsoftware aus.
Erkannt wird ihr Schadcode (früher oder später).
Aber der kurze Zeitraum zwischen Erkennen der Schadsoftware, Erstellen der Signatur und Update reicht aus für eine Infektion.
3. Codesigning ist auch keine Lösung
Codesigning – das „Unterschreiben“ von Software – ist eine weitere angebliche Wunderwaffe der Software-Hersteller.
Dabei soll sichergestellt werden, dass geprüfter und schadsoftwarefreier Code durch eine „Unterschrift“ im Quelltext als sicher eingestuft wird.
So eine im Quelltext signierte Software wird von AV besonders wohlwollend betrachtet und nahezu ungeprüft durchgewunken.
Leider wurde das System Codesigning schon erfolgreich gebrochen.
Dabei wurde unter einer gültigen Signatur Schadsoftware verteilt.
Und damit hebelt man das System AV vollständig aus.
4. Schlangenöl ist Software
Und Software schwächt das System.
Klingt fies, ist es auch.
Aber wir müssen immer im Auge behalten, dass jede Software Fehler hat.
Und Fehler werden von Angreifern ausgenutzt, um Schadsoftware in das angegriffene System zu bringen.
Je mehr Software wir auf unserem System haben, desto mehr Angriffspunkte geben wir preis.
Und AV ist ein Softwareprodukt.
Und dieses enthält eben auch Fehler.
Und AV hängt dauerhaft im Internet und bietet dadurch noch mehr Angriffspunkte.
Und je umfangreicher die Funktionalität der AV-Suite wird, desto mehr Fehler enthält sie und desto größer ist die Angriffsfläche.
5. Systematischer Fehler „always on“
Die notwendige dauerhafte Verbindung ins Internet, um stets die aktuellsten Signatur-Updates zu bekommen, ist ein systematischer Fehler bei AV-Programmen.
Diese dauerhafte Verbindung führt selbst bei (gerade aufgrund von hohen Sicherheitsanforderungen explizit vom Internet getrennten) Systemen zu Angriffsszenarien.
Denn selbst bei solchen „airgapped“ genannten Systemen gibt es oftmals – in Hinblick auf die erhöhten Sicherheitsanforderungen – Ausnahmen für Schlangenöl.
Denn Schlangenöl bringt gar nichts mehr – das wissen die Anwender – wenn die Signaturen veraltet sind.
Also darf – selbst bei airgapped Systemen – AV dauerhaft am Internet nuckeln.
Und dieses Schlupfloch wird ausgenutzt – nicht etwa, um Schadsoftware in das System zu bringen, sondern um vertrauliche Daten aus dem System zu stehlen.
Herzlichen Glückwunsch, Schlangenölhersteller, da habt ihr die Sicherheit ja phänomenal erhöht.
6. Wer online prüft, verliert – Daten
Das jüngst bei dem Schlangenölhersteller Carbon Black aufgetretene Datenleck zeigt eine weitere Lücke im System AV.
Carbon Black – und auch andere AV-Hersteller – laden verdächtige Dateien zur weiteren Prüfung in die große Datenwolke hoch.
Solche cloudbasierten Prüfungen haben den immensen Vorteil, dass angemietete Rechenkraft die Prüfung deutlich beschleunigt.Und sie haben den irrsinnigen Nachteil, dass es einfach Rechner anderer Leute sind, die hierzu eingesetzt werden.Jetzt müssen wir nur noch in unserem vermeintlich hochsicheren System dafür sorgen, dass eine vertrauliche Datei, die ich stehlen will, als verdächtig eingestuft wird.
Schon wird mir diese Datei quasi auf meinem Wolkenteller präsentiert, weil sie ja zur cloudbasierten Prüfung hochgeladen wird.
Dort muss ich mir diese Datei nur noch abholen.
Vielen Dank, liebe Schlangenölhersteller, jetzt muss ich bei meinen Zielpersonen gar nicht mehr in ihr System einbrechen – ihr liefert mir die Daten frei Haus.
7. Es ist der Schlangenölbranche einfach egal
Wie sagt es Quark bei Deep Space Nine so treffend:

„Krieg ist gut fürs Geschäft.“

Warum sollte die Schlangenölbranche denn an einer Lösung des Problems interessiert sein?
Solange das Problem Schadsoftware existiert, verdient die Schlangenölbranche mit.
Je mehr Schadsoftware, desto besser.
Und vielleicht stecken ja wirklich die Ferengi hinter der Schlangenölbranche.
Mit Angst lassen sich noch am besten Waffen verkaufen.

Was hilft – was nützt – was wirklich schützt

Ich gebe meinen Vorsatz, meine Artikel auf einer positiven Note enden zu lassen, nicht auf.
Heute wird es klappen; hier kommen einige Ideen, was uns wirklich schützen kann – ganz ohne Schlangenöl.
Weniger (Software) ist mehr (Sicherheit)
Weniger Programme bedeuten eine geringere Angriffsfläche und dadurch eine erhöhte Sicherheit.
Deswege empfehle ich programmatischen Minimalismus.
Beschränk dich auf das Notwendigste, sicherheitsaffiner Leser!
Digitale Hygiene
Accounts, die wir nicht benutzen, löschen wir.
Was wir nicht haben … kann uns nicht schaden
(Es reimt sich. Und alles, was sich reimt, ist gut!)
* Uffpasse!
Augen auf im Datenverkehr – und Hirn einschalten.
Erst nachdenken, dann klicken.
Unsere digitale Achtsamkeit ist der allerbeste Schutz unserer Daten und unserer digitalen Identität.
Weiterbilden, lernen, nachfragen und verstehen – dies sind die wirksamsten Schutzschilde für uns.

Wer sich bis hierher durchgekämpft hat – Glückwunsch!
Meinem Versprechen, auf einer positiven Note zu enden, füge ich an dieser Stelle auch das Versprechen hinzu, mich künftig kürzer zu fassen.
(wers glaubt…)

Und heute zum Abschluss mein klarer Aufruf:
Gehet hin und löschet euer Schlangenöl von euren Systemen!
Hinfort! Vade retro, satanas!

95% Erkennungsrate sind 100% verantwortungslos

In den kommenden vier Artikeln machen wir einen Ausritt in den Wilden Westen – dahin wo Versprechungen noch Versprechungen sind und wo echte Männer noch ihr Geld mit Lug und Trug verdient haben:
mit dem Verkauf von Schlangenöl.
Für unseren Ausflug brauchen wir weder eine Zeitmaschine noch ein ESTA-Formular.
Wir bekommen unser modernes Schlangenöl hier:
Im Wilden virtuellen Westen (und Osten) des digitalen Raumes.
Schlangenöl wurde ursprünglich während der Landnahme durch die Siedler im Nordamerika des späten 19. Jahrhunderts als Wundermittel gegen jedwede Krankheit verkauft, die den aspirierenden Pionier auf seinem Weg zum Glück ereilen konnte.
Und in eben dieser Tradition wird heutigen Tags digitales Schlangenöl in Form von Antiviren-Software dem digitalen Pionier als Allheilmittel gegen Schadsoftware in jeglicher Form angepriesen.
In dieser Reihe stelle ich vor, warum AV-Produkte eben Schlangenöl sind.
Ich werfe zunächst einen Blick auf die wohlklingenden Statistiken der Schlangenölbranche.
Im zweiten Teil betrachte ich einige Gründe, warum Schlangenöl nicht funktioniert.
Den dritten Teil widme ich dem grundlegenden Problem einer Vireninfektion: dem Menschen.
Und im abschließenden Teil gebe ich einen Ausblick darauf, was uns wirklich gefährdet – nämlich fliegende Robotersaurier aus der Zukunft!
Nein, nur Spaß.
Wir schauen uns an, wie unser Verhalten zu unserer Gefährdung beiträgt.
Die fliegenden Robotersaurier aus der Zukunft sind nur schmückendes Beiwerk.
So, jetzt holt sich jeder noch ein Eis und dann reiten wir los in den Wilden Westen und schauen uns diese Schlangenölsache näher an.

TL;DR

  • Homöopathie für Rechner: Gesundbeten und Handauflegen hilft mehr
  • Numberfucking: Wir erkennen, was wir kennen
  • Es gibt Hoffnung: Was tun – statt Schlangenöl?

Gesundbeten und Handauflegen hilft mehr

Würden wir unsere Lebensmittel in dem Maße reinigen, wie Schlangenöl unsere Computer vor Viren schützen, dann hätten wir ein mächtiges Problem.
Denn Erkennungsraten von 95% bedeuten im Umkehrschluss, dass mindestens 5% aller Viren nicht erkannt werden.
Ich komme später auf diese Zahlen zurück.
Werfen wir inzwischen nochmals einen Blick auf unsere Lebensmittel.
Damit eine Kakaobohne als keimfrei anerkannt wird, muss sie eine Keimfreiheit von 99,9% aufweisen.
Bei pasteurisierter Milch wird die Keimfreiheit erst bei 99,999% angenommen – und selbst die hält nicht ewig, Milch wird schon nach einigen Tagen sauer.
Aber Erkennungsraten von nur 95%?
Und das sind, laut VirusBulletin, die Spitzenergebnisse der Schlangenöl-Branche.
Damit würde unsere Milch quasi direkt aus dem Euter heraus bereits sauer gemolken werden.
Betrachten wir die Zahlen mal aus der Nähe.
Die 95% Erkennungsrate sichert uns nicht zu, dass wir zu 95% unserer Zeit am Computer 100-prozentigen Schutz vor allem genießen, sondern dass von 100 Schadsoftware-Programmen, die uns angreifen, 95 entdeckt werden.
Fünf kommen durch.
Fünf infizieren unseren Rechner.
Einer reicht, um Schaden für uns anzurichten.
Ob wir uns jetzt dabei einen Banking-Trojaner, zwei Keylogger, eine Ransomware und eine Malware, die Bitcoins schürft, eingefangen haben, ist dabei zunächst egal.
Wenn wir die Infektion feststellen – was in dem einen Fall (Ransomware) schneller gehen kann als in dem anderen (Bitcoin-Mining-Malware) – ist die daraufhin folgende Aktion identisch:
Tabula rasa.
Neues Spiel – neues Glück.
Und diesmal vielleicht besser aufpassen.
Hatte ich von Anfang an kein Schlangenöl auf meinem Rechner, erwischt mich – weil ich halt doch einmal unvorsichtig war – auch ein Trojaner.
Gleiches Spiel:
System neu aufsetzen.
Von daher erkaufen wir uns für teures Geld – ja, Schlangenöl kostet Geld! – ein wenig „gefühlten“ Schutz.
Ich rede hier nicht von den kostenlosen Lockangeboten, bei denen mir immer wieder Albert Einstein einfällt:

„Was nichts kostet, ist nichts wert.“
Also zurück zu meiner Argumentationslinie.
Wir erkaufen uns für teures Geld die reine Illusion von Sicherheit.
Wenn wir uns Sicherheit im Wirkbereich des Schlangenöls kaufen wollen und uns nicht dem zusätzlichen Risiko, den wir durch den Einsatz von Virenscannern eingehen, aussetzen wollen, dann können wir auch einen Schamanen engagieren, der regelmäßig unsere Rechner gesund betet und seine Hand auflegt.
Das hat eine vergleichbare Wirkweise und ist sogar noch besser, da es die Angriffsfläche auf unseren Computer nicht zusätzlich erhöht.
Außerdem fördern wir möglicherweise noch die Akzeptanz von handauflegenden Schamanen.

Wir erkennen, was wir kennen

Wovon sprechen die modernen Quacksalber überhaupt, um uns in Angst zu hüllen und daraufhin unser Geld im Tausch gegen digitale Heilsversprechen entgegen zu nehmen?
Zum einen werden irrsinnig hohe Zahlen für alles mögliche geliefert:

„Im Schnitt verzeichnen die Experten der G DATA SecurityLabs alle 4.2 Sekunden eine neue Signaturvariante.“ – G DATA
(Die Signatur ist quasi der Fingerabdruck eines Computerviruses)
Aber was hilft mir das – mein Virenscanner aktualisiert sich halt nur alle 12 Stunden mit neuen Virendefinitionen.
„61 % der Befragten haben Angst vor dem Verlust von Fotos und Videos.“ – Umfrage Acronis
Ja und was hat das Bitte mit einem Virenscanner zu tun?
Liebe Schlangenöl-Verkäufer, ihr spielt hier mit den Ängsten von Anwendern, das ist nur in einer Richtung zielführend:
Nämlich euren Umsatz zu steigern.
„Fast 106 Mio. Spam-Mails pro Tag haben die Deutschen in 2015 empfangen.“ – Statista 2016
Hmm, tragisch, das sind knapp 1,3 Spam-Mails pro Tag für jeden Deutschen.
Jeder WhatsApp-Nutzer verbreitet im Schnitt geistigen Spam im Umfang von bis zu 600 Nachrichten pro Tag.
Stört auch keinen.
Ist das jetzt schlimmer?
Und auch hier wieder meine Frage:
Was hat das mit Virenscannern zu tun?
Nicht jede Spam-Mail ist per se virulent.
Salbungsvoll werden bei den Schlangenöllieferanten Erkennungsraten von 100% (und mehr!) suggeriert.
Ja – bei bereits bekannten Computerviren.
Etwas zu erkennen, dass ich bereits kenne, ist keine große Kunst.
Die Erkennungsrate von 100% bei bekannten Viren wird als Prognose auf die Zukunft gewertet.
Dies ist jedoch ein Trugschluss, denn – ähnlich wie Bakterien als Krankheitsauslöser – mutieren Computerviren; nur eben viel schneller.
Und jede neue Mutation muss neu erfasst werden – so kommen wir zu der hohen Frequenz bei der Erfassung neuer Signaturvarianten.
Allerdings schützt uns dies nicht – die Zeit zwischen der Erfassung einer neuen Virensignatur und der Aktualisierung des Virenscanners ist viel zu groß.
Die Infektion durch den neuen Virus kann in dieser Zeit nicht durch die vermeintliche Schutzsoftware verhindert werden.
Wir erkaufen uns mit Schlangenöl – für einen hohen Preis – ein Stück Bequemlichkeit und die Illusion von Sicherheit.
Bequemlichkeit, denn wir legen den Schutz unserer Daten und unserer digitalen Identität in die Hände einer vermeintlich sicheren Software.
Illusion von Sicherheit, denn wir neigen dazu, unser gesundes Mißtrauen zugunsten eben dieser vermeintlich sicheren Software aufzugeben.
Wähnen wir uns geschützt, so verhalten wir uns risikobereiter.
Wir beginnen, auf dem Drahtseil zu tanzen, die Tatsache ignorierend, dass das Netz darunter nur aus leeren Versprechungen besteht.

Was tun – statt Schlangenöl?

Wieder ist mein Plan, mit Hilfe und Rat zu enden anstatt mit Heulen und Zähneknirschen.
Also, was können wir tun?
Zunächst einmal, kritisch die Beweggründe der Schlangenölverkäufer hinterfragen.
Diese verdienen Geld mit unserem Sicherheitsbedürfnis.
Je mehr Gefahren sie uns aufzeigen können, desto einfacher können sie uns davon überzeugen, Geld für unsere gefühlte Sicherheit auszugeben.
Was hilft uns weiterhin?
Backup hilft uns
Wenn uns ein Computervirus erwischt, dann müssen wir unser System neu aufsetzen.
Die offensichtlichste Notwendig dazu besteht, wenn ein Erpressungstrojaner unsere Daten verschlüsselt hat.
Dann ist es ganz klar, dass wir unser System neu einrichten müssen.
Und an dieser Stelle hilft es ganz deutlich, wenn wir ein Backup unserer Daten haben.
Bei jedem anderen Virus sollten wir analog vorgehen – auch wenn die Auswirkung der Schadsoftware nicht so direkt und eindrücklich ist.
Haben wir einen Virus im System gefunden, dann wollen wir diesen los werden.
Endgültig.
Und das schaffen wir mit den Neuaufsetzen unseres Systems.
Nachdenken
Erst denken – dann klicken.
Dieser einfach Zwischenschritt vor dem unbedachten Klick auf einen Link in einer E-Mail bewahrt uns weitgehend vor unerwünschten digitalen Bewohnern unseres Computersystems.
Die meisten Viren verbreiten sich immer noch per E-Mail – entweder als Link auf eine mit Schadsoftware präparierte Website oder über einen mit Malware verseuchten Anhang.
Wenn wir immer zuerst prüfen, von wem die E-Mail kommt und uns im Zweifel einfach beim Absender rückversichern, ob dieser wirklich einen Link oder einen Anhang verschickt hat, so bewahrt uns dies vor einigem Ungemach.
* Achtsam handeln
Hilft nicht nur für gutes Karma und einen 1-A-Platz direkt an der Softeismaschine im Paradies, sondern schützt uns auch vor der ein oder anderen unachtsam eingefangenen Schadsoftware.
Vieles lässt sich vermeiden, wenn wir einfach achtsamer durch unser digitales Leben gehen.
Es sind oft nur Kleinigkeiten, die den Unterschied zwischen der gesuchten Bank-Seite und einer bösartigen Phishing-Seite ausmachen.
Bei Links erweist sich dieses – zugegeben – unbequeme, aber sichere Vorgehen als guter Schutz:
Lieber einen Link händisch in den Browser eintippen, als ungeprüft einen Link klicken.

Ein Zitat von G DATA will ich hier noch nennen – und korrigieren:

„Heutzutage kommt kein Top-Antivirus-Produkt mehr ohne proaktive Technologien aus.“ – G DATA PC Malware Report H2/2015
Meiner Meinung kommt heute kein Anwender mehr ohne proaktives Handeln aus.
Das differenzierte Vorgehen und das zielgerichtete Handeln – was Proaktivität definiert – schützt uns weit besser vor Schadsoftware als dies jede Software könnte.

Lassen wir die Schlangenölhändler auf den Jahrmärkten des ausgehenden 19. Jahrhunderts zurück und nehmen den Schutz unser Privatsphäre und unserer digitalen Identität in die eigene Hand.
Digitale Selbstverteidigung schützt uns – auch vor Schlangenöl.

Ein paar unbequeme Gedanken zur Bequemlichkeit

Als bequemen Abschluss meiner Reihe über den Widerspruch, den uns der Drang nach Bequemlichkeit und die Notwendigkeit von Privatsphäre auferlegen, mache ich mir heute noch einige unbequeme Gedanken zur Bequemlichkeit.
Ich will noch einmal eindrücklich darauf hinweisen, dass wir stets in einem Spannungsfeld zwischen Bequemlichkeit und Privatsphäre leben.
Wenn wir mehr von dem Einen haben, geben wir zwangsläufig etwas von dem Anderen auf.
So ist das im Leben – wir können nicht alles haben.
Und ich bin überzeugt davon, dass dies auch gut ist.
Wir werden uns bewusster, dass wir uns gezielt für etwas – und auch am besten gezielt gegen etwas – entscheiden.
Einen guten ersten Schritt haben wir schon getan, wenn wir uns bewusst machen, wofür wir uns entscheiden.
Wenn wir bewusst sagen, ja ich gebe einen Teil meiner Privatsphäre auf, um dafür etwas mehr Bequemlichkeit zu erhalten.
Und die Erkenntnis, dass wir uns bewusst für die eine Seite und damit ebenfalls bewusst gegen die andere Seite entscheiden, ist entscheidend.
Erst dann sind wir nicht mehr von außen gesteuert.
Erst dann haben wir die Möglichkeit, eine echte Entscheidung zu treffen.
Bewusst für eine Stärkung unserer Privatsphäre einzutreten.

TL;DR

  • Resistance is futile: Bequemlichkeit schafft Trägheit
  • In der Hölle gibt es keine Regenbögen: Am anderen Ende der Bequemlichkeit
  • Wenn ich mir etwas wünschen dürfte: Es könnte aber auch anders funktionieren…

Bequemlichkeit schafft Trägheit

Ich hatte bereits im ersten Teil meiner Bequemlichkeitsserrie geschrieben, dass wir aktiv gar nichts tun müssen, um eine höhere Ebene der Beuquemlichkeit zu erreichen.
Dorthin werden wir automatisch von Bequemlichkeit schaffenden Errungenschaften befördert.
Die damit einhergehende Aufgabe der Privatsphäre (wobei es paradoxerweise die Aufgabe der Privatsphäre ist, diese Aufgabe zu verhindern) nehmen wir im Rahmen der bequemen trägheitssteigernden Bequemlichkeitszunahme gern in Kauf.
Andererseits erfordert es von uns Aktivität und Bereitschaft, sich dem von außen verordneteten Zuwachs an Bequemlichkeit zu widersetzen.
Mir kommen die Borg in den Sinn, wenn ich hier über den konstanten und von externen Seiten verordneten Zuwachs von Bequemlichkeit in unserer Gesellschaft nachdenke:

„Widerstand ist zwecklos!“
Was im übrigen überhaupt nicht stimmt.
Widerstand ist selten zwecklos (also nur, wenn man den Widerstand beispielsweise überbrücken kann).
Widerstand ist erstmal das Verhältnis zwischen elektrischer Spannung und der Stärke des durchfließenden Stroms:
R = U/I
Also – um es für uns und unsere Betrachtung des Verhältnisses von Bequemlichkeit und Privatsphäre zu verdeutlichen, müssen wir anerkennen, dass es Kraft kostet, aktiv zu werden.
Aufwand, Bewusstheit oder was auch immer ist der Preis, den wir bezahlen müssen, wenn wir uns der zunehmenden Bequemlichkeit widersetzen wollen.
Es ist also gewissermassen ein Luxus, Privatsphäre zu hegen und zu pflegen.
Nur die wenigsten leisten ihn sich.
Aber der Aufwand lohnt sich!
Ehrlich.
Stellen wir uns vor, wir sind ein Widerstand.
Einer von den ganz großen.
Und von außen strömt immer mehr Bequemlichkeitsgedränge auf unsere Privatsphäre ein.
Also müssen wir dem unseren inneren Widerstand dagegenhalten.
Ansonsten wird unsere Privatsphäre immer weiter vom Bequemlichkeitsstrom zurückgedrängt.
Und das wollen wir nicht.

Am anderen Ende der Bequemlichkeit

Richten wir unsere Gedanken auf das andere Ende der Bequemlichkeit.
Was ist dort, auf der jenseitigen Seite eines bequemen Lebens.
Also dort, wo wir uns gänzlich der Bequemlichkeit anheim geworfen haben und jegliche Privatsphäre einem mehr und immer mehr an Bequemlichkeit geopfert haben.
Dort, im Schlaraffenland der Trägheit – manche würden es wohl Hölle nennen – wird etwas Neues aus unserer Bequemlichkeit.
Nämlich Notwendigkeit.
Es ist nicht mehr reine Bequemlichkeit, die uns drängt und zieht, immer bequemer zu werden.
Der Drang zur Bequemlichkeit wird zur Notwendigkeit.
Wir werden alles tun, jeglichen Rest unserer Persönlichkeit aufgeben, um der Notwendigkeit zu immer mehr Bequemlichkeit nachzukommen.
Wenn wir schon jetzt für ein kleines bisschen mehr Streaming, für ein wenig mehr Kaufempfehlungen oder ein bisschen weniger Tipparbeit beim Ausfüllen eines Formulars bereit sind, Teile unserer Privatsphäre zu opfern … wie weit sind wir dann noch davon entfernt, etwas mehr Privates, Intimes für das bisschen mehr Bequemlichkeit herzugeben?
Je mehr wir uns der wachsenden Bequemlichkeit in den gierigen Schlund werfen, desto schwieriger wird der Weg zurück zu einer starken Privatsphäre.
Er wird schwieriger – aber nicht unmöglich.
Darum an dieser Stelle mein dringender Aufruf:
Niemals aufgeben.
Oder wie Gordon Shumway es paraphrasiert:

„Es ist selten zu früh und niemals zu spät.“

Es könnte aber auch anders funktionieren…

Ein hehres Ziel beim Schreiben meiner Artikel ist es, auf einer positiven Note zu enden.
Andernfalls beschleicht mich das Gefühl, wie ein Weltuntergangsverschwörungstheoretiker zu klingen.
Und das will ich ja auch nicht.
So klingen.
Nein, ganz ohne Ernst.
Ich bin auch ein Mensch und ich hab es gerne bequem.
Schließlich meißle ich diese Artikel nicht auf Steintafeln, sondern nutze bequeme Onlinedienste, um meine Gedanken in alle Welt zu verteilen.
Von diesem Standpunkt ausgehend habe ich einige Ideen gesammelt, wie Bequemlichkeit und Privatsphäre vielleicht an der einen oder anderen Stelle zusammenkommen können.
Ein Intranet der Dinge
Also, gerne die ganze Heimautomatisierung, aber eben nur lokal.
Wenn man denn
unbedingt das Licht in der Speisekammer direkt aus dem Fernsehzimmer drei Etagen weiter oben dimmen will.
Oder eben zentral alle Rolläden gleichzeitig runterlassen will – das wirkt dann wirklich ein bissel wie Zombie-Apokalypse (oder wenn die krummbucklige Verwandtschaft anrückt…).
Ist alles prima bequem – und muss definitiv nicht im Internet hängen.
Es ist wirklich kein sinnvoller Anwendungsfall, das Licht im Gästeklo per Smartphone vom Strand auf Ko Samui aus zu steuern.
Isses nicht.
Egal, was euch die Werbung einzuimpfen versucht.
Ein Fitness-Tracker, der nur meine Fitness trackt und nicht meine Privatsphäre
Es ist doch erstmal technologisch gesehen das einfachste Ding, die Daten nur dort zu erfassen und zu verarbeiten, wo sie entstehen.
Der ganze Müll mit der Auswertung auf den Servern der Hersteller – und der Korrelation auf den Servern der 23 weiteren Datenkraken – trägt für den Nutzer nicht zur Verbesserung des ursprünglichen Zweckes des Fitness-Trackers bei.
Jajaja, Wettkampf als Motivation und globale Vergleichswerte zur besseren Erfolgskontrolle, bla, bla, bla … und weitere Hohlphrasen der Marketingabteilungen der Datenkraken.
Ist alles nur leeres Gewäsch.
Das Einzige, was wir aus diesen geschliffenen pseudo-wissenschaftlichen Behauptungen für uns herausziehen können ist die Erkenntnis, dass wir nicht der Kunde sind – sondern das Produkt.
Und somit den Datenkraken als Datenmine, die geschürft wird, dienen sollen.
Ein trauriges Beispiel dafür hat letztes Jahr der Kauf von Pebble durch fitbit gezeigt.
Ich bin davon überzeugt, dass Pebble nicht aufgrund seiner innovativen Fitness-Trackern gekauft wurde, sondern um einen privatsphären-affinen Konkurrenten aus dem Rennen zu grätschen.
Traurig, denn Pebble kam schon recht nah an die Idee vom lokalen Fitness-Tracker heran.

Was in diesem Kontext gar nicht geht, sind die „Wir lernen von den Verhaltensweisen der anderen Nutzer“ Dystopien.
Ich kann dann meine Deep-Learning-Wanze Alexa nicht um Rat fragen und erwarten, eine Antwort zu bekommen, die für mein Profil (basierend auf 7385 ähnlichen Anfragen aus meinem Freundeskreis) eine Eintrittswahrscheinlichkeit von 87,34 % hat.
Aber auch an dieser Stelle frage ich wieder:
Wer braucht das schon?
Ich konnte mich auch früher ganz ohne Fashion-Tipps einer künstlichen Unintelligenz für die Klamotten entscheiden, die mir gefallen haben – und sonst keinem.
Schade, mein hehres Ziel wieder verfehlt…

Darum, liebe Leser, gebt euren Widerstand nicht auf – oder beginnt damit, ihn zu entwickeln.
Es gibt etwas da draußen, für das es sich lohnt, die Bequemlichkeit einzuschränken.
Wir wollen doch nicht alle aussehen und handeln wie die traurig daherschlurfenden und zentral gesteuerten Borg.

Resistance is not futile!
Wehren wir uns.

Worauf sollte ich achten

Nachdem wir jetzt unsere Flotte zum Surfen im digitalen Weltmeer zusammengestellt haben, heißt es nun, die Ausrüstung zu überprüfen und zu verbessern.
Darum wollen wir uns heute mit den Details der zusätzlichen Ausrüstung unserer Browser beschäftigen, den Add-ons, die uns das Leben auf hoher digitaler See erleichtern – oder sogar das Überleben im virtuellen Ozean erst ermöglichen.

TL;DR

  • Ab in die Werft: Unser Browser – hochseetauglich
  • Ein Browser ist kein Supertanker: Nicht überfrachten – sonst sinken wir
  • Lass den Schwaben in dir raus: Spare in der Zeit
  • Verhaltensmäßig gut: Unser Tun entscheidet – nicht die Technik

Unser Browser – hochseetauglich

Damit wir, auch wenn wir nicht mit unserer Tarnkappen-Fregatte unterwegs sind, möglichst sicher durch die unsicheren Gewässer des digitalen Ozeans schippern können, sollten wir unseren Brot-und-Butter-Browser (den Firefox) noch hochseetauglich machen.
Also raus mit dem Teer und die undichten Stellen kalfatern!
Oder so ähnlich…
Verlassen wir uns lieber auf die Möglichkeiten der Software und erweitern die defensiven Maßnahmen unseres Browsers durch einige (wenige!) Add-ons.
Kümmern wir uns zunächst um unsere Cookies.
Wenn wir nichts dagegen tun, werden wir getracked, manipuliert und in Profile-Schachteln gepresst, bis wir kein Quäntchen Privatsphäre und keine Freiheit mehr haben.
Daher: Fresst digitalen Staub, elende Cookies!
Verschwindet! Explodiert am besten!
Gute Idee – daher nutzen wir Cookie AutoDelete.
Dieses Add-on kümmert sich in der Standardeinstellung ganz selbsttätig um die kleinen anhänglichen Datenbrocken.
Sobald wir einen Browser-Tab schließen, werden alle damit zusammenhängenden Cookies gelöscht.
Das funktioniert wie in jedem Teil von Mission: Impossible, nachdem Ethan Hunt den nächsten unmöglichen Auftrag erhalten hat:
Tab schließen, 10-9-8-7-6-5-4-3-2-1-puff.
Die nächste Stufe der sicherheitstechnischen Aufrüstung unserer Kraweel ist das Add-on HTTPS Everywhere.
Dieses Add-on der Electronic Frontier Foundation (EFF), einer Organisation für den Schutz der Privatsphäre im Internet, stellt sicher, dass möglichst jede Kommunikation im Internet über unseren Browser verschlüsselt durchgeführt wird.
Dadurch erhöhen wir wesentlich die Sicherheit unserer Online-Aktivitäten.
Als weiteres Mittel der Förderung der Seetüchtigkeit unserer digitalen Dschunke ist der Schutz vor unerwünschter Werbung.
Wir stellen uns einmal vor, wir müssten uns bei unserem Segeltörn alle naslang die vermeintlich für uns interessantesten Wellen anschauen – und auch durchsegeln.
Das würde unser gewähltes Segelvergnügen deutlich trüben.
Wollten wir doch lieber bei ruhiger See dahindümpeln.
Statt dessen werden wir von einer „relevanten“ Welle zur nächsten geschubst.
Da wird uns von dem ganzen ungewollten Geschaukel erstmal schlecht – und zweitens kommen wir wegen der ganzen Ablenkung niemals dort an, wo wir eigentlich hinwollten.
Dagegen hilft uns ein Add-on wie uBlock Origin oder AdNauseam.
Da AdNauseam die Funktionalität von uBlock Origin beinhaltet und es sowieso von der Wortbedeutung so wundervoll in meine nautische Analogie passt, bleibe ich bei meiner Empfehlung dabei.
Also: bis zur Seekrankheit.
Jedoch diesmal nicht zu unserer, sondern der unserer Antagonisten – der Manipulatoren und Werbeverbrecher.
AdNauseam blockiert im ersten Schritt die unerwünschte Werbung auf den Webseiten, die wir besuchen.
Dies hat gleich drei Vorteile für uns:
1. Wir sind geschützt vor Manipulation durch Werbung die angeblich „relevant“ für unsere Interessen ist.
Nun, ich behaupte, dass diese Relevanz eher auf Seiten der Werbeanbieter liegt.
2. Wir sind geschützt vor Schadsoftware, die sich gerne der aktiven und dynamischen Formate bedient, auf denen personalisierte Werbung auf Webseiten aufbaut.
Wenn keine Werbefläche auf der besuchten Seite vorhanden ist, bedeutet dies für uns, dass keine Gefahr von Malware auf dieser Seite droht.
Denn wo nichts Aktives angezeigt wird da kann auch nichts Aktives ausgeführt werden.
Is‘ klar, ne?
3. Wir kommen einfach schneller durchs Netz.
Da diese aktiv gestalteten personalisierten Inhalte immer dynamisch erzeugt werden müssen, bedeutet dies auch eine Geschwindigkeitseinbuße beim Surfen.
Denn all dieser aktive und unerwünschte Werbemüll muss erstmal nachgeladen werden.
Wenn jetzt allerdings gar nix nachgeladen werden muss, weil es schlicht blockiert wird, wird unser gewolltes Surfen schneller.
Auch verstanden, oder?

Die hohe Schule des sicheren Surfens.
Um uns jetzt wirklich für schwere Wetter zu rüsten und quasi den Schritt vom Seepferdchen zum Rettungsschwimmer in Bronze zu gehen, sollten wir noch ein weiteres Add-on installieren:
Noscript.
Noscript ist ungefähr der Eisbrecher unter den gepanzerten Schiffen, das Minenräumboot, der großer Aufräumer.
Danach sieht das Internet nicht mehr so aus, wie wir es erwartet haben…
Tja, das ist auch leider der klitzekleine Nachteil an dieser wirklich essenziellen Erweiterung für den Firefox.
Noscript blendet standardmäßig alle aktiven Inhalte einer besuchten Website aus.
Das schützt uns umfänglich vor allen Bedrohungen, die sich technisch hinter aktiven Inhalten verstecken.
Das ist das Gute.
Die Schwierigkeit lauert eben auch darin:
Wir müssen alles, was wir an aktiven Inhalten wollen oder brauchen, manuell aktivieren.
Was wieder das Gute daran ist.
Wir müssen überlegen, was wir wirklich an aktiven Inhalten brauchen.
Diese überlegte Handeln macht uns zu überlegenen Surfern.
Wir haben es im Griff, was wir sehen wollen – und was wir wirklich-wirklich (Hallo Veit!) hier auf dieser Seite brauchen.
Es bedarf ein wenig Übung, mit Noscript und der neuen Leere im Internet zurechtzukommen, aber es lohnt sich!
Zum einen ist andauerndes Lernen sowieso von unschätzbarem Vorteil.
Zum anderen schützt es uns einfach vor unachtsamem In-die-digitale-Falle-tappen.

Nicht überfrachten – sonst sinken wir

Diese Add-ons sind die notwendige zusätzliche Grundausstattung unserer virtuellen Seereise.
Es gibt für den Firefox allerdings noch zahlreiche weitere Add-ons – mehr oder minder sinnvoll oder hilfreich.
Ein Wort zur Warnung an dieser Stelle.
Eine grundlegende Überlegung bei der Arbeit mit Software – ach, überhaupt im Leben! – ist die Frage:
Brauche ich das?
Wir sind schneller, flexibler und gelassener, wenn wir mit weniger Gepäck reisen.
Das trifft für Software in ganz besonderem Maße zu, da wir uns mit jeder zusätzlichen Software auch ein Stück zusätzliche Angriffsfläche in den Rechner holen.
Jede Software hat Fehler und jede Lücke kann (und wird!) für Angriffe auf unsere Privatsphäre und damit auf unsere Freiheit ausgenutzt werden.
Deswegen sollten wir bei jeder zusätzlichen Software, auch wenn es sich nur um ein Add-on für den Firefox handelt, überlegen, ob wir das wirklich brauchen.
Je weniger, desto besser.
Ich wiederhole mich hier bewusst, weil es einfach so eine wichtige Lektion ist.

Spare in der Zeit

…nene, in der Not brauchen wir unsere Daten nicht unbedingt.
Aber wenn wir mit unseren Daten sparsam umgehen, können diese – nicht veröffentlichten – Daten uns nicht gestohlen oder gegen uns verwendet werden.
Datensparsamkeit ist schlicht eines der effektivsten Mittel, die wir zum Schutz unserer Privatsphäre haben.
Um ehrlich zu sein:
Es ist so einfach, etwas nicht herzugeben.
Lassen wir an dieser Datenstelle doch mal den Schwaben in uns das Zepter in die Hand nehmen – und geben wir einfach mal nicht alles über uns preis.

Unser Tun entscheidet – nicht die Technik

Die erste Verteidigungslinie unserer Freiheit ist unser Verhalten – nicht die Technik, mit der wir im digitalen Ozean unterwegs sind.
Wenn ein Seemann nicht weiß, wie er sich zu verhalten hat bei Sturm oder rauer See, dann wird er darin umkommen, egal wie technisch hochgerüstet sein Schiff auch sein mag.
Genauso ergeht es auch uns im virtuellen Weltmeer.
Wir müssen, noch vor den Schutztechnologien, die wir jetzt kennengelernt haben, lernen, wie wir uns verhalten müssen.
Und dazu gehörern zwei wesentliche Grundsätze
Erst denken, dann klicken
Wir klicken nicht auf jeden Link, der uns vor den Mauszeiger springt.
Wir prüfen diesen, schließlich hat der Browserentwickler für diesen Fall die Anzeige der URL eingebaut.
Und wenn diese halt nicht zu dem passt, was wir erwarten, oder wenn diese irgendwie nicht ganz koscher wirkt, dann klicken wir nicht auf diesen Link.
Eine gute Maßnahme an dieser Stelle ist es, die URL händisch in die Addresszeile einzugeben.
Dann wissen wir, wo wir hinkommen.
Erst denken, dann posten
Bevor wir unseren Senf zu etwas abgeben – sei es berechtigt oder nicht – sollten wir wirklich überlegen, ob wir in fünfzig Jahren noch dazu stehen, was wir sagen wollen.
Wir haben möglicherweise in zwei Tagen bereits vergessen, was wir geistreiches zu dem Bild vom ersten Eisbecher des Jahres in der Timeline kommentiert haben.
Das Internet vergisst es nicht.
Niemals.
Deswegen: Erst denken, dann posten.
Halten wir uns an die gute Flame-Schutzregel für E-Mail:
Erst eine Nacht darüber schlafen – dann antworten.
Dann kann man entweder sicher sein, dass der Ärger (Verwunderung/Zorn/Lacher) verraucht ist – oder die Antwort wird noch schärfer und damit womöglich verdient.

So, ahoi Seebär.
Wir kommen unserem Offizierspatent Schritt für Schritt näher.
Und mit jedem Schritt – das ist mein Versprecher für heute – werden wir erfahrener im digitalen Untergrund und wir werden mehr Spaß online haben – ganz ohne Manipulation und Verfolgung.

Was kann ich tun, innerer Schweinehund?

„The End is Nigh!“
Nachdem ich in den letzten beiden Folgen wie ein wütender Prophet des drohenden kulturellen und sozialen Untergangs auf die Bevormundung durch Bequemlichkeit fördernde Technologien und Verhaltensweisen eingeschimpft habe, will ich heute konstruktiver an die Kontroverse Bequemlichkeit vs. Privatsphäre herangehen.
Hier will ich einige Hinweise darauf geben, wie wir uns aus der einlullend-gemütlichen Umarmung der Bequemlichkeit lösen können und stattdessen frei und selbstverantwortlich unsere Privatheit fördern können.
Also anschnallen und los gehts.

TL;DR

  • Lieber hier und gleich als überall und immer: Lokal ist das neue immer und überall
  • Bequemlichkeit ist grenzenlos: Dein Staubsauger muss keinen Plan haben
  • Kochen ist können – nicht automatisieren: Selbst kochen macht glücklich
  • Unendliche Auswahl ist ein Fluch: Streaming spart weder Zeit noch Nerven
  • Übung schafft Meisterschaft: Kontinuität glättet das Unbequeme
  • Dogmatisch sein macht einsam: Askese ist keine Lösung

Lokal ist das neue immer und überall

Bequem ist in erster Linie eine persönliche Entscheidung die wir treffen.
Es ist bequem, den neuesten Perry Rhodan Silberband online zu ordern und am nächsten Tag von fleißigen Paketboten geliefert zu bekommen.
Aber wir haben doch alle eine Buchhandlung in mittelbarer oder sogar unmittelbarer Umgebung.
Was vergeben wir uns, wenn wir den lokalen Buchhandlung unterstützen?
Nichts, will ich meinen.
Im Gegenteil – wir gewinnen sogar einiges:
es gibt weiterhin einen lokalen Buchhandel – und nicht noch einen weiteren 1-Euro-Shop
wir können tatsächlich sozial interagieren, indem wir mit dem Buchhändler unseres Vertrauens sprechen
* wir reduzieren aktiv die Verstopfung unserer Innenstädte durch Paketdienste

Und obendrein bekommen wir unser neues Buch genauso schnell auf diesem Weg.
Also, nichts verloren, nur gewonnen durch Verzicht auf etwas Bequemlichkeit.
Wir gegen unseren inneren Schweinehund: 1 – 0

Dein Staubsauger muss keinen Plan haben

Ist es nicht schon ausreichend, wenn dein automatischer Putzteufel ohne dein Zutun deine heiligen Hallen saugt?
Es ist nicht notwendig, dass er dabei auch noch einen detaillierten Plan derselben erstellt – und an seine Kollegen von der industriellen Hausüberwachung, äh… -automatisierung, verkauft.
Es ist gut genug, wenn das Ding seine stupiden Bahnen zieht.
Es muss dabei nicht einem algorithmisch hochoptimierten Plan folgen, der den Parkettboden gleichmäßig abnutzt.
Das ist ein Holzboden.
Der hält, wenn es gut läuft, die nächsten tausend Jahre.
Da verursachen die 500 Gramm Roboter, die regelmäßig darüber hinweg saugen, keinen wesentlichen Abrieb.
Und falls wir uns Sorgen darüber machen, was der Saug-Robbie mit unserer Sammlung Ming-Vasen macht, dann ist so ein Ding sowieso die falsche Anschaffung – dann sollten wir uns lieber eine menschliche Reinigungskraft engagieren.
Damit tun wir dann auch noch etwas Gutes für den darbenden Arbeitsmarkt.

Selbst kochen macht glücklich

Der konstante Weg zu einer immer höheren Ebene der Bequemlichkeit macht auch vor der Küche nicht halt.
Convenience-Produkte waren hier nur der Anfang des bequemen Elends.
Küchenautomatisierungsassistenten, die uns auf unseren Smartphones darüber auf dem Laufenden halten, wie wohl sich unser Niedertemperatur-gegarter Dry-Aged Rinderwahnsinn fühlt.
Oder auch der Kühlschrank, der sich bitterlich beklagt, dass demnächst die Milch alle ist.
Bequem – sicherlich.
Hilfreich – fraglich.
Bevormundend – ganz sicher.
Kochen ist eine Kunst – keine Wissenschaft.
Ein Tee ist fertig, wenn Farbe und Aroma stimmen – nicht wenn der ans Internet der Undinge angeschlossene, vollkommen überteuerte high-sophisticated Tea-Dispenser in Abstimmung mit der Online-Community dies sagt.
Und gleiches gilt für den Rinderschmorbraten, die Spätzle und sogar für die Wald- und Wiesentiefkühlpizza.
Bei steigendem Einsatz von bequemlichkeitsfördernden Spielzeugen und Technologien setzen wir uns der Gefahr aus, unser natürliches Gespür dafür zu verlieren, wann etwas fertig und bereit ist.

Streaming spart weder Zeit noch Nerven

Bequemlichkeit hält gern in Bereichen der Luxusversorgung Einzug.
Ich vermute, dies liegt daran, dass wir gerade beim Luxus gern bereit sind, mehr Bequemlichkeit im Tausch gegen unsere Daten anzunehmen.
Diese Bequemlichkeit erkaufen wir uns jedoch nicht nur mit unseren Daten und Profilen, die wir hierfür herausgeben.
Nein, wir geben auch die freie Wahl auf.
Denn es ist doch gerade bei Streaming-Diensten so unglaublich bequem, dass wir immer etwas „passendes“ vorgeschlagen bekommen.
Wir brauchen uns gar nicht selbst entscheiden, was wir als nächstes sehen oder hören wollen – der Vorschlag-Algorithmus nimmt uns diese schwierige Entscheidung willfährig ab.
Vielleicht sollten wir diese Form von Bequemlichkeit auch in der Politik zum Einsatz bringen:
* Wenn du diesem Hohlphrasendrescher glaubst, dann wähle silber-türkis-gepunktet.

Ach, welche Wohltat – endlich nicht mehr aktiv entscheiden müssen…
Ich schweife ab.
Wollte ich doch konstruktiv schreiben heute.
Daher meine Empfehlung:
Greifen wir wieder zu offline verfügbaren Medien.
Wir können gezielt einen Film (oder auch – Wunder der Informationstechnik – ganze Serien) von Datenträgern schauen.
Ich rufe hier nicht zum Totalverzicht auf Filme, Serien, Musik und sonstige Lustbarkeiten auf.
Ich rufe zur bewussten und gezielten Auswahl auf.
Die Tyrannei der Auswahl – ich habe es hier bereits angesprochen, ist ein Faktor, der deutlich zur Unzufriedenheit beiträgt – ganz im Gegenteil zu dem, was uns die Streaming-Industrie wohlklingend in ihren Werbeversprechen anpreist.

Kontinuität glättet das Unbequeme

Bequemlichkeit gewinnt so immens an Charme, da es viele Schritte schlicht vor uns verbirgt.
Wenn wir hingegen die minder bequeme Variante wählen, sehen wir zum einen die bisher vor uns verborgenen Einzelschritte – und zum anderen wird uns die vermeintlich unbequeme Variante durch regelmäßigen und kontinuierlichen Einsatz als gar nicht so unbequem in Fleisch und Blut übergehen.
Unbequem sind letztlich nur Tätigkeiten, die wir ungern tun.
Beginnen wir doch, die kleinen Einzelschritte als Teil des Zieles zu betrachten und zelebrieren diese, anstatt sie als notwendiges Übel zu verdammen.

Askese ist keine Lösung

…und Selbstkasteiung tut auch bloß weh.
Wir sollten daher nicht zu hart zu uns (und vor allem zu anderen) sein.
Bequemlichkeit ist halt – bequem.
Ein furchtbarer Zirkelschluß – und so schlüssig in sich selbst.
Aber treten wir einen Schritt zurück und betrachten kurz die Auswirkungen von Bequemlichlichkeit.
Bequemlichkeit reduziert die Komplexität von Tätigkeiten.
Dies geht zugunsten der Zeit, die wir vermeintlich gewinnen.
Bequemlichkeit raubt uns auf der anderen Seite jedoch auch den Einblick in die Dinge, die wir durchführen.
Wir verlieren den Bezug zu dem, was wir tun.
Und wir geben auch stets einen Teil unserer Freiheit auf.
Sei es die Freiheit der freien Auswahl.
Oder sei es der Schutz unserer Privatsphäre, weil wir dem Bequemlichkeitsanbieter Einblicke in unserer Innerstes gewähren.
Und dennoch, wir sollten im Kampf um unser Selbst, unsere Privatsphäre, nicht dogmatisch werden.
Wir haben die Wahl – gerade darum geht es mir.
Und wir haben auch die Wahl, uns bewusst für Bequemlichkeit zu entscheiden.
Wir sollten lernen, dass wir immer zwischen Bequemlichkeit und Privatsphäre abwägen müssen.
Wir bekommen nicht beides in gleichem Maße.
Wollen wir mehr von dem einen, erhalten wir von dem anderen weniger.
Es ist ein Balanceakt und wir können – und sollten – frei entscheiden, was wir wollen.
Nur eines sollten wir vermeiden:
Uns diese Entscheidung aus den Händen nehmen lassen, indem wir kritiklos jede Bequemlichkeit versprechende Neuerung akzeptieren.

So, innerer Schweinehund, hier ist der Plan – am Wochenende bekommst du die Leine, Wochentags bin ich am Ruder.

Der Microblog – das neue Format aus der Manufaktur

Ah, es gibt so viel zu lesen – und so wenig Zeit.
In unserer informationsüberflutenden Zeit – das sieht Eric Schmidt ja ganz anders:

„Mobile is the future, and there’s no such thing as communication overload.“
– fühlen wir uns oft durch lange Texte überfordert.
Leider.
Und meine Blogs haben eine Tendenz zu mehr Länge.
Zum Glück.
Aber auch ich will meine warnende Botschaft, den rügend erhobenen Zeigefinger und die gute – wenngleich seltene – positive Neuigkeit an meine informationsüberfluteten Leser bringen.
Daher habe ich jetzt mein neues Format gestartet:
Die Gedankenblitze aus der Manufaktur – Der Microblog.
Hier stelle ich in kürzerer Form und in schnellerer Folge Neuigkeiten für den interessierten Leser bereit.
Viel Spaß bei der Lektüre und – ich bin auf eure Rückmeldungen gespannt.

Welchen Browser soll ich wählen

Das grundlegende Werkzeug um sicher surfen zu können, ist der Browser.
Ich bleibe bei der nautischen Analogie – die bietet sich ja geradezu für das Thema surfen an.
Genauso wie wir bei unserem Strandurlaub überlegen können, ober wir schwimmen wollen – wahlweise mit oder ohne Schwimmflügel.
Oder ob wir ein Gummiboot (mit Rudern oder lieber mit Außenbordmotor) nehmen wollen.
Oder halt ein Surfboard (aber ohje, welche Marke bloß?).
Schon diese Auswahl hat großen Einfluß auf unser Seevergnügen (und sicher auch auf unser Sehvermögen – haha).
Das eine ist schneller – aber nicht ganz so komfortabel.
Bei dem anderen haben wir mehr Kontrolle – aber nicht so die Reichweite.
* Und das dritte ist gemütlich – aber eben nicht so schnell.

Nun ja, wir werden wohl nie die eierlegende Wollmilchsau bekommen – meiner Meinung nach ist das auch besser so:
Wir sehen ja, welchen Unfug Menschen mit SmartX-Dingen anstellen – und die kommen halt ganz schön nah ran an die arme Wollmilchsau.
Also überlegen wir uns am besten erst einmal, was wir denn brauchen.
Und bleiben wir locker:
Wir müssen uns ja nicht auf ein Ding festlegen!

TL;DR

  • warum nur einen, wenn ich alle haben kann: Drei Browser für ein Hallelujah
  • Das Hohe Lied auf Open Source: Warum denn nur den Firefox?
  • Mobil ist das neue Default: Und was mach ich unterwegs?
  • Du bist verantwortlich für deine Taten: Vigilance is the price of freedom
  • So, alles getan: Was noch?

Drei Browser für ein Hallelujah

Ja, warum denn nur das Surfboard an den Strand mitnehmen?
Warum nicht auch das Ruderboot und das Tarnkappenschiff?
Es ist ja nicht so, als müssten wir dies alles immer mit uns herum“schleppen“.
Ist ja nur eine Analogie – und in der echten virtuellen Welt ist alles nur Software.
Für welchen Browser wir uns entscheiden ist einerseits keine Entscheidung für die Ewigkeit – Neues auszuprobieren hält uns geistig rege (nur zur Erinnerung:
Hier plädiere ich dafür.)
Und wir haben – gerade in softwarebasierten Systemen – die Möglichkeit, mehreres parallel zu betreiben.
Denken wir nicht eingleisig – denken wir multidimensional!
Wenn wir mehrere spezialisierte Anwendungen für unsere unterschiedlichen Anforderungen einsetzen, können wir jede einzelne dieser Anforderungen besser erfüllen, als wenn wir für alle Szenarien nur eine einzige Anwendung nutzen würden.
Darum ist es sinnvoll, für reine Recherche-Tätigkeiten den Tor Browser zu nutzen.
Damit bekommen wir schon ganz automatisch neutrale Ergebnisse und sind aufgrund des Schwarmverhaltens des Tor Netzwerkes ausreichend anonym unterwegs.
Dadurch – und wenn wir uns an die Verhaltensregeln für die Arbeit mit dem Tor Browser halten – sind wir vor Profilbildung, Tracking und Manipulation umfangreich geschützt.
Ganz so, als würden wir in unserer schicken Stealth-Korvette durch die Nordsee kreuzen.
Unser gemütliches Ruderboot für die Brot-und-Butter-Angeltour im virtuellen Weltmeer soll uns der Firefox sein.
Diesen statten wir noch mit einem krassen Außenborder, einer Nebelwurfanlage und einem Becherhalter aus.
Also, analog gesprochen eben.
Wir rüsten unseren Firefox noch mit den folgenen Add-ons aus:
Noscript
Schützt uns vor ekliger Malware, nervenden aktiven Inhalten oder beidem.
HTTPS Everywhere
Sorgt dafür, dass grundsätzlich jede Verbindung, die wir aufbauen, über HTTPS verschlüsselt aufgebaut wird.
uBlock Origin
Blendet nervige Werbung aus – und schützt uns dadurch auch vor ekliger Malware
Cookie AutoDelete
Bändigt Cookies – meistens auch eklig und klebrig.

…den Becherhalter montieren wir obenrein.
Und für den Fall, dass mal gar nix geht, also der Außenborder ausgefallen ist, die Fische nicht beißen und wir auch sonst in keinen Hafen eingelassen werden:
Dann nehmen wir uns noch einen ganz unmodifizierten Browser.
Vielleicht einen Vivaldi oder vielleicht mal einen Lynx – oder einen Safari, wenn wir grad unter macOS unterwegs sind.
Hauptsache keinen Internet Explorer oder einen Edge.
Diesen Fall-Back Browser brauchen wir nur, wenn die beiden anderen gar keine Alternative sind.
Es gibt leider immer noch ein paar Anbieter, die sich beharrlich weigern, zu funktionieren, wenn man Adblocker und ähnliches schützendes Browser-Bollwerk installiert hat.

Warum denn nur den Firefox?

Wieso singe ich hier das Hohe Lied auf den Firefox als Standard-Browser?
Nun, zunächst einmal singe das Hohe Lied auf den Firefox nicht nur in seiner Funktion als Standard-Browser:
Auch der Tor Browser basiert auf dem Firefox von Mozilla.
Und der Tor Browser nutzt den Firefox als Basis aus dem selben Grund, aus dem ich das Hohe Lied auf diesen Browser singe:
Der Firefox ist Open Source.
Da ich Open Source als absolut notwendige Grundlage für sicherheitskritische Software ansehe, trifft dies eben auch auf den Browser zu.
Mittels unseres Browsers werden etliche Anwendungen ausgeführt, die absolut sicher und vertraulich verlaufen sollten:
Bankgeschäfte
Online-Käufe
* vertrauliche Informationsbeschaffung

Dies alles sind Vorgänge, die unbedingt ohne die geheime Teilnahme von dritten – wie z.B. Geheimdiensten – stattfinden sollen.
Und was schützt uns vor der Nutzung von willentlich eingerichteten Hintertüren?
Open Source.
Zugegeben, die meisten Hintertüren entstehen durch unwillentlich eingebaute Fehler – aber auch die werden bei einem Open Source Projekt wie Firefox schneller gefunden und korrigiert als bei einer Anwendung aus dem Closed Source Bereich.

Und was mach ich unterwegs?

Ich bin ja net auf der Mehlsupp‘ dahergeschwommen, daher ist mir mittlerweile klar, dass mobiles Surfen eine der meistgenutzten – wenngleich unedelsten – Anwendungen eines SmartX-Geräts ist.
Daher gebe ich auch eine Empfehlung in dieser Richtung ab – zumindest für Android.
Da hier das Softwarefeld noch deutlich fragmentierter ist als auf dem klassischen Desktop, wird eine Empfehlung deutlich schwieriger.
Grundsätzlich gilt natürlich auch hier, was ich für den Desktop empfehle:
Mehrere Browser für unterschiedliche Anwendungsfälle.
Als Entsprechung des Tor Browsers bietet sich unter Android der Orfox an.
Dieser basiert auf dem mobilen Firefox und nutzt über Orbot auch das Tor-Netzwerk.
Als Standard-Browser bietet sich dann entsprechend der Firefox an.
Diesen besorgen wir uns aus F-Droid – dem App-Store für freie Software – mittels des FFUpdaters.
Über den FFUpdater bekommen wir immer automatisch die aktuellste Version des Firefox geliefert.
Hier können wir auch die oben genannten Add-ons installieren, um den Schutz unserer Privatsphäre zu erhöhen und unerwünschte, nervige Werbung zu reduzieren.
Als Fall-Back Variante können wir dann jeden Browser nutzen, der im Standardpaket der installierten Android-Version mitgeliefert wird.
Das ist gut genug.

Vigilance is the price of freedom

Wieder passt das Zitat von John Philpot Curran, welches er in Hinblick auf freie Wahlen gemünzt hat.
Dennoch passt es auch auf die weitere sichere Nutzung von Browsern.
Wir müssen wachsam sein und unsere Browser aktuell halten.
Egal ob wir einen, zwei, fünf oder zehn nutzen.
Wenn ein Update für den (oder die) Browser unserer Wahl zur Verfügung steht, dann installieren wir es.
Sofort.
Nicht nach dem nächsten Level Bubble Witch Saga, nicht nach dem nächsten Katzenvideo, nicht nach dem nächsten Kaffee.
Sofort.
Eine Sicherheitslücke, die bekannt wird, wird ausgenutzt.
Bereits seit gestern.
Wenn wir etwas in unser Leben aufnehmen, dann haben wir auch die Pflicht und Schuldigkeit, uns darum zu kümmern und es zu pflegen.
Dabei ist es egal, ob es eine Topfpflanze, ein Pferd, ein Lebensgefährte oder eben ein Stück Software ist.
Wenn wir es nutzen, dann sind wir verantwortlich dafür.
Ganz einfach.

Was noch?

Kein Flash.
Wieder ganz einfach.
Flash ist so eine ranzige Technologie, die kann man gar nicht so schnell patchen, wie dort Sicherheitslücken auftauchen, die natürlich auch gleich ausgenutzt werden.
Es gibt auch keinen wirklichen Grund, Flash zu nutzen.
HTML5 bietet mittlerweile technisch ausgereiftere Möglichkeiten, um die Funktionalitäten von Flash viel besser und sicherer abzubilden.
Und indem wir die zwei oder drei flash-basierten Angebote, die wir unbedingt benötigen, konsequent boykottieren, bringen wir die Anbieter dieser Seiten auch noch dazu, auf eine zeitgemäße Technologie umzusteigen.

Und jetzt, ab an den Strand.
Mit Schwimmflügeln, Ruderboot und Tarnkappen-Korvette in die virtuelle See stechen, ahoi.

Geislinger rät zur digitalen Selbstverteidigung

Heute hat die Geislinger Zeitung einen Artikel von Ruben Wolff über meine Arbeit als Data Detox Berater und die hier beheimatete Manufaktur für digitale Selbstverteidigung veröffentlicht.
Dieser Artikel war das Ergebnis eines einstündigen, sehr spannenden Gesprächs mit Ruben Wolff über Themen wie Digitalisierung sich auf die Entwicklung der Arbeitswelt auswirkt und welchen Einfluss die Daten, die wir von uns preisgeben, haben.