A - I n f o s

ein mehrsprachiger Informationsdienst von, fr und ber Anarchisten **
Nachrichten in allen Sprachen
Die letzten 40 Artikel (Homepage) Artikel der letzten 2 Wochen Unsere Archive der alten Artikel

Die letzten 100 Artikel, entsprechend der Sprache
Greek_ Castellano_ Català_ Deutsch_ Nederlands_ English_ Français_ Italiano_ Português_ Russkyi_ Suomi_ Svenska_ Türkçe_ The.Supplement

Die ersten paar Zeilen der letzten 100 Artikel auf:
Greek_ 中文 Chinese_ Castellano_ Català_ Deutsch_ Nederlands_ English_ Français_ Italiano_ Polski_ Português_ Russkyi_ Suomi_ Svenska_ Türkçe
Die ersten paar Zeilen aller Artikel der letzten 24 Stunden

Links zu den Listen der ersten paar Zeilen aller Artikel der letzen 30 Tage | von 2002 | von 2003
| von 2004 | of 2005 | of 2006 | of 2007 | of 2008 | of 2009 | of 2010 | of 2011 | of 2012 | of 2013 | of 2014 | of 2015 | of 2016 | of 2017 | of 2018 | of 2019

(de) FDA-IFA, Gai Dao #103: Eine emanzipatorische Sicherheitskultur Von: IT-Kollektiv

Date Sat, 24 Aug 2019 09:40:42 +0300


Dies ist der Einleitungsartikel einer Artikelserie zum Thema Kommunikationssicherheit in antiautoritären politischen Zusammenhängen. Wir veröffentlichen die Beiträge jeweils in der Zeitschrift Gai Dao und auf unserem Blog www.it-kollektiv.com. ---- Das IT-Kollektiv ist föderiertes Mitglied der FdA und Teil des Community-Projektes "IT-Kollektiv-Netzwerk", das Kollektivbetrieben und Einzelpersonen aus dem IT-Bereich eine Plattform zur wirtschaftlichen und politischen Selbstorganisation bietet. ---- In den vergangenen Jahren ist IT-Sicherheit zu einem recht prominenten Thema im Diskurs des öffentlichen Mainstreams geworden. Zum Einen wird journalistisch über Sicherheitslücken in Software, spektakuläre Hackerangriffe und Geheimdienstaktivitäten berichtet. Zum Anderen treten zahlreiche NGOs und IT-Konzerne mit Ratgebern und Ähnlichem in Erscheinung. Offenbar fehlt es nicht an Inhalten zu diesem Thema. Warum also weitere Texte schreiben?

Trotz der Präsenz des Themas,
konnte sich weder im persönli-
chen Technikgebrauch (#medien-
kompetenz) noch im aktivistischen Umfeld eine "Good
Practice" etablieren. Scheinbar haben die zum Teil
konträren Beiträge nicht zur Aufklärung, sondern eher
zu einer Abwendung vom Diskurs geführt. Eine Ab-
wendung, die sich einerseits im "alles Egal" der Post-
Privacy-Gefärbten manifestiert, die spät Facebook und
Co. für sich entdeckt haben und andererseits in Zu-
sammenhängen, die die neuen Technologien komplett
verdammen und sich in eigene Kommunikationsbla-
sen zurückziehen.

Der permanente Nachrichtenstrom über Schwachstel-
len und neue Tools scheint den Blick auf etwas ver-
baut zu haben, das uns allen als Community einen
Zugang zum Diskurs und eine Praxis liefern kann: Ei-
ne umfassende Sicherheitskultur. Bevor also techni-
sche Bausteine verschiedener Zielgruppen eine Rolle
spielen können, gilt es, einen kulturellen Raum abzu-
stecken. Dieser Ansatz entspricht unser horizontalen,
antiautoritären Organisation und steht im Kontrast zu
konventionellen Konzepten von Kontrolle, Überwa-
chung, standardisierten Prozessen und Entscheidungs-
wegen.

Zunächst stellt sich die Frage, was
eine Sicherheitskultur leisten
muss:
1. Sie soll uns vor Repression und
Angriffen politischer Gegner*in-
nen und wirtschaftlicher Ausbeu-
ter*innen schützen.
2. Sie soll uns vor einer Steuerung
unseres Denkens und Handelns
durch Algorithmen und soge-
nannte "KIs" schützen
3. Sie darf nicht zu einer Hierar-
chisierung unserer Strukturen führen.
4. Sie darf unsere Organisation nicht intranspa-
rent und unzugänglich machen.
5. Sie darf uns nicht aus politischen Prozessen
isolieren.
6. Sie darf Beteiligte nicht anhand ihres techni-
schen Know-Hows selektieren.

Für einen anarchistischen Zusammenhang erklären
sich diese Anforderungen von selbst, eventuell ließen
sie sich noch erweitern. Bei näherer Betrachtung oder
spätestens bei der praktischen Umsetzung fällt auf,
dass die Punkte 1+2 den Punkten 3-6 zuwider laufen.
Dies liegt zum Einen im grundsätzlichen Widerspruch
zwischen Transparenz und Teilhabe auf der einen und
der Beschränkung des Kreises der Mitwissenden auf
der anderen Seite. Zum Glück unterscheidet sich das
für politische Teilhabe benötigte Wissen von jenem für
Repression relevanten. Wenn Beispielsweise in einem
Protest ein Baugerät besetzt wurde, ist es wichtig den
Raum zu schaffen Sinn und Durchführung dieser Ak-
tion zu reflektieren. Das Wissen darüber, wer das
Ganze wie durchgeführt hat, ist dagegen für die politi-
sche Teilhabe unerheblich.

Zum Anderen tragen eine Vielzahl existierender tech-
nischer Sicherheitsmaßnahmen eine autoritäre oder
auch kapitalistische Ideologie in sich. Dies zeigt sich
in der Vielzahl zentraler Sicherheits- und Genehmi-
gungssysteme organisatorischer wie technischer Na-
tur. Das kapitalistische Element manifestiert sich im
Konkurrenzkampf um den Markt des Sicherheitsbe-
dürfnisses. Abwechselnd wird Hysterie vor "Cybercri-
me" verbreitet und zahlreiche meist zweifelhafte
Produkte angeboten. Wir sollen etwa auf unseren Ge-
räten allerhand Software installieren oder unsere Pass-
wörter in eine "sichere" Cloud laden, damit
IT-Konzerne uns "schützen" können.

Erst in den letzten Jahren wurde der Punkt 2 relevant.
Traditionell stützte sich staatliche Herrschaft und die
Sicherung privatwirtschaftlicher Privilegien auf eine
Kontrolle wichtiger Großmedien. Dies gilt für autori-
täre Regime ebenso wie für Demokratien und lässt
sich gerade in den Großwetterlagen der Außenpolitik
beeindruckend mitverfolgen, liegt aber außerhalb des
Fokus dieses Artikels. Durch die Entwicklung der so-
zialen Netzwerke sind die Prozesse der Meinungsbil-
dung zeitweise entglitten. Seither wird die Kontrolle
durch automatisierte Systeme in diesem Bereich wie-
der stärker ausgebaut. Dabei geht es nicht wie früher
in erster Linie um Zensur und Veröffentlichungsver-
bote, sondern Algorithmen, die Informationen über
Timelines, Vorschläge, verwandte Inhalte etc. verbrei-
ten oder eben filtern. Die Funktionsweise dieser Algo-
rithmen ist selten transparent. Dem*der Benutzer*in
wird der Vorteil suggeriert genau die Inhalte zu be-
kommen, die sie interessieren. Unternehmen nutzen
von Benutzer*innen erstellte Profile für Marketing-
zwecke und Dritte können öffentliche Sichtbarkeit er-
kaufen. Für die Steuerung unseres Denkens mittels
Algorithmen müssen diese einerseits Kenntnis über
unsere verschiedensten Daten erlangen und anderer-
seits müssen wir deren Angebote nutzen.

Um sich den genannten Anforderungen zu nähern,
will ich einige Thesen aufstellen und erläutern. Diese
wären ein erster Vorschlag, der sich über die Artikel-
serie und eure Diskussionen vor Ort und Rückmel-
dungen weiter ausbauen ließe.

Thesen:
1. Es gibt keine absolute Sicherheit
Empfehlungen zu Sicherheit sind oft schon deshalb
problematisch, weil sie nicht berücksichtigen vor wel-
chen Angriffsszenarien sie eigentlich schützen sollen
und den Schutzbedarf des zu sichernden Gegenstandes
nicht bewerten. Daher gibt es keine absolute Sicher-
heit, sondern lediglich einer angemessenen Risikobe-
wertung folgende Schutzmaßnahmen. Eine auf
absolute Sicherheit zielende Vorgehensweise stellt
letztendlich den zu sichernden Gegenstand als ver-
bleibendes Risiko selbst in Frage. Absolute Sicherheit
in der IT ist Funkstille.

2. Wer Sicherheit will, muss sich fragen wovor
Die Schutzmaßnahmen sehen im Allgemeinen grund-
sätzlich, je nach Angreifer*in und Angriffsszenario,
verschieden aus. Wird bevorzugt Schutz vor unabhän-
gigen Hacker*innen, anderen politischen Gruppen
oder "Schurkenstaaten" im Sinne der westlichen Auf-
fassung gesucht, sind unter Umständen die großen IT-
Konzerne und deren Angebote eine gute Grundlage
für Sicherheit. Geht es allerdings darum, sich vor de-
ren Datenhunger oder staatlichen Angriffen zu schüt-
zen, ist die Nutzung dieser Angebote ein großes
Risiko. Da hilft dann auch kein 100-stelliges Passwort
und Zwei-Faktor-Authentifizierung am Google-Konto.
Weiterhin besitzt jede*r Akteur*in eine Vielzahl ver-
schiedener Angriffstechniken, die je einzeln zu erken-
nen und zu untersuchen sind.

3. Es geht immer um Vertrauen
Das Leben in Gemeinschaft genau wie politische Ar-
beit funktioniert nicht ohne Vertrauen und es gibt kei-
ne Sicherheitskultur, die ohne Vertrauen leben kann.
Um so wichtiger ist es, offen zu legen, wem wir in Be-
zug auf was Vertrauen entgegenbringen. Bei IT wird
diese Fragestellung leider sehr komplex. Da in unseren
Zusammenhängen nur einige über das Know-How
verfügen technische Systeme zu pflegen, vertrauen
wir ihnen zumindest Meta-Daten und Verfügbarkeit
von Infrastruktur an. Bei den heute gebräuchlichen
Technologien allerdings meist auch Einsicht und Ver-
änderbarkeit der Inhalte. Wenn wir diese Tätigkeiten
Menschen, die wir kennen, anvertrauen ist dies an
sich kein Problem. Zum Schutz von uns und eben
auch diesen Administrator*innen müssen wir uns dies
aber vor Augen führen und entsprechend handeln.
In der IT Praxis ist leider der Kreis der "Vertrauten"
kaum mehr überschaubar (weshalb sich für manche
Dinge allgemein die IT-Nutzung nicht empfiehlt).
Durch Nutzung von Cloud-Diensten vertrauen wir
ggf. IT-Großkonzernen und deren Mitarbeiter*innen
die Kontrolle über unsere Daten an. Diese Nutzung ist
bei Smartphones ab Werk überhaupt nicht mehr ab-
stellbar. Wir vertrauen den Programmierer*innen von
Software (bei Open Source Software und Freier Soft-
ware zumindest kontrolliert durch eine Tech-Commu-
nity). Wir vertrauen den Paket-Betreuer*innen, die aus
Quellcode Maschinencode generieren. Wir vertrauen
der hierarchischen Struktur der SSL-Zertifizierungs-
Autoritäten und dem System der Namensauflösung
des Internets. Die Liste lässt sich fortführen. Je nach
Schutzbedarf lässt sich der Kreis der Vertrauten zu-
mindest eindämmen und gezielt selektieren. Häufig
vergessen wird dabei, dass zusätzlich zu den techni-
schen auch organisatorische Maßnahmen gehören. Et-
wa die breite Wissensweitergabe an Gefährt*innen zur
Nutzung ihrer Endgeräte im politischen und persönli-
chen Kontext.

4. Direkt vor vermittelt; föderiert vor zentralisiert
In unserer Sicherheitskultur gilt der alte Grundsatz die
Zahl der Beteiligten auf das nötige Maß beschränkt zu
halten. Das hat Konsequenzen für die Nutzung von
IT-Lösungen. Idealerweise interagieren unsere Endge-
räte direkt miteinander (Peer-2-Peer) ohne Beteiligung
Dritter zur Datenvermittlung und Zertifizierung. Wir
brauchen keine Server und keine "allmächtigen" Ad-
ministrator*innen. Dieser Ansatz ist jedoch nicht im-
mer der Ideale, da er Probleme mit sich bringt. Einmal
wird die Mandatierung von technischen "Expert*in-
nen" dadurch nicht überflüssig (was riskant wäre),
weil die Absicherung der Endgeräte eher noch wichti-
ger wird und mehr Software auf den Clients instal-
liert, gepflegt und aktuell gehalten werden muss.
Technisch besteht bei Peer-2-Peer Netzwerken das
Problem der Datenintegrität. Durch die nicht dauer-
haft verfügbaren Einzelknoten bestehen Synchronisa-
tionsprobleme, d.h. der Verbindungsaufbau zwischen
den Knoten scheitert und es kann keine Kommunika-
tion stattfinden.

Wenn wir uns daher für einen vermittelten Ansatz
entscheiden, sollten wir dezentralen (ggf. föderierten)
Systemen den Vorzug geben. Dadurch können wir die
Administration Vertrauten unserer Wahl überlassen
und diesen ggf. auch das Mandat entziehen. Außer-
dem sind dezentrale Systeme weniger Angriffen aus-
gesetzt und potentiell verfügbarer. So kann
beispielsweise der Staat den Server eines zentralisier-
ten Messengers wie Signal oder einer Plattform wie
linksunten Indymedia problemlos offline nehmen1.
Würde er jedoch einen Mail-Anbieter wie Posteo
plötzlich verbieten, könnten wir (wenn auch nicht
über Posteo) weiterhin Emails versenden.

5. Sicherheit ist ganzheitlich und so stark wie ihr
schwächstes Element

Zum einen tritt IT-Sicherheit oft so sehr in den Vor-
dergrund, dass klassisches Sicherheitsdenken vernach-
lässigt wird. Nach wie vor werden Informant*innen
eingesetzt, Räume abgehört, observiert und herumlie-
gende Zettel gelesen. Zum Anderen wird beim Fokus
auf eine Maßnahme vergessen, dass diese eventuell
anders leicht umgangen werden kann. So kann sich
leichtfertig etwa auf die starke Kryptografie eines
Messengers verlassen werden ohne sich bewusst zu
sein, dass das Endgerät eines*einer Nutzer*in leicht
angreifbar ist oder deren Identität nicht gesichert ist.

6. Die Sicherheitskultur umfasst unser ganzes Le-
ben

Sicherheitskultur hat nicht nur mit Computern zu tun.
Sie dreht sich auch nicht nur um politische Aktivitä-
ten, sondern umfasst unser ganzes Leben und entspre-
chend muss es sich mit ihr auch leben lassen.
Natürlich will manche*r allerhand Spaß mit Technik
haben, aber dabei ist dann eben auf die Nutzung ver-
schiedener Geräte oder virtueller Umgebungen und
Identitäten zu achten. Auch sollte das persönliche Le-
ben der Einzelnen eine Rolle in politischen Organisa-
tionen spielen und der Umgang sozialen
Konformitätsdruck und Tabus reduzieren. Bekanntlich
wird die Vereinzelung von uns immer wieder als
Druckmittel verwendet. Psychische und finanzielle
Notlagen können ausgenutzt werden oder wir können
mit evtl. Suchtproblemen oder sexuell nicht normati-
vem Verhalten erpresst werden.

7. Sicherheit ist nicht nur Geheimhaltung
Oft wird Sicherheit mit Geheimhaltung von Informa-
tionen gleichgesetzt. Allerdings besteht der Wert des
zu schützenden Gegenstandes eben nicht nur aus de-
ren informativem Gehalt, sondern auch aus dessen Nutz-
und damit Verfügbarkeit. Er muss daher nicht
nur vor Zugriffen geschützt werden sondern im Ge-
genteil muss die legitime Zugreif- und Nutzbarkeit si-
chergestellt werden. Verschiedene Angriffe zielen genau
hierauf. Etwa Denial-of-Service-Attacken, das behördli-
che Sperren von Diensten oder ganz klassisch das Verbot
von Versammlungen oder Veröffentlichungen.

8. Unsere Entscheidungen zu Sicherheitskultur
sollen nicht anderen verunmöglichen, ihre Si-
cherheitskultur zu leben

Wir können uns entscheiden, unsere Termine auf Fa-
cebook zu veröffentlichen, um viele Menschen zu er-
reichen, obwohl es potentiell offenlegt, wer unsere
Veranstaltungen besucht. Oder wir können Twitter be-
nutzen, um über unsere Aktion zu informieren. Falls
wir aber nicht gleichzeitig andere mögliche Kanäle
nutzen, wie die Stadtteilzeitung, einen online Termin-
kalender einer netten Gruppe oder ein freies Micro-
bloggingmedium, dann zwingen wir Andere,
Technologien zu nutzen, die wir (sicherheits-)politisch
eigentlich ablehnen.

9. Sicherheit ist das Gegenteil von Paranoia

Paranoia ist ein Zustand der Lähmung Einzelner oder
ganzer Zusammenhänge. Sie könnte als ein erfolgrei-
cher Angriff auf unsere Strukturen bewertet werden.
In der Paranoia fokussieren wir uns nicht mehr auf
politische Ziele, sondern auf Geheimhaltung. Angst
und Misstrauen verunmöglichen gemeinsame Organi-
sierung oder eine sachliche Einschätzung unseres
Handelns.

Endnote:
1 Dies kann auf technischem Wege erfolgen wie im Falle Te-
legram im Iran oder mittels rechtlicher Repressionsandro-
hungen wie im Falle Linksunten.
Quelle:
https://www.theverge.com/2018/1/2/16841292/iran-
telegram-block-encryption-protest-google-signal
_________________________________________
A - I n f o s Informationsdienst
Von, Fr, und Ber Anarchisten
Send news reports to A-infos-de mailing list
A-infos-de@ainfos.ca
Subscribe/Unsubscribe http://ainfos.ca/mailman/listinfo/a-infos-de
Archive: http://www.ainfos.ca/de