Flutschkopfblubber

Verwende für Registrierungen im Internet niemals deine dauerhaft genutzte Email-Adresse. Adressen zum Wegwerfen gibt es z.B. bei 10minutemail.com.

Benutze niemals Kundenkarten. Gib niemals eine Adresse an, wenn sie nicht notwendig ist.

Zahle alles bar. Auch auf fremde Konten kann man Bargeld einzahlen. Benutze unterschiedliche Banken dafür.

How many girls are on Tor hidden services?

1

2

3

4

5

6

7

8

Dem Bund Deutscher Kriminalbeamter ist das Angebot des vermeintlich anonymen Prepaid-Anbieter anonyphone ein Dorn im Auge. Mit einer nicht ordnungsgemäß auf die eigene Identität registrierten Teilnehmerberechtigung könne man schließlich allen erdenklichen und noch etlich schlimmeren Blödsinn veranstalten, wenn nicht gar Gesetze beugen oder brechen oder so was. (heise newsticker) Dieses Karten-in-die-Gegend-Streuen ist aber gar nicht so anonym, wie propagiert. Einerseits besteht immer eine Datenspur zum ursprünglichen Erwerber (heise newsticker), andererseits ist bei den angebotenen Zahlungsmethoden von anonyphone ein anonymer Erwerb gar nicht möglich^* (anonyphone). Bleibt also nur ein intelligentes selbstgestricktes "Web-of-Trust".

* Zumindest wird ein weiterer Datensatz bei micropayment.de und einer bei anonyphone erzeugt, die Daten müßen zwangsläufig irgendwie dem zustellenden Paketliefermenschen erklärbar sein. Wenn der hochoffiziöse Inhaber der Lieferadresse nicht mit dem hochoffiziösen Inhaber der zur jeweiligen Zahlungsmethode registrierten Adresse übereinsteimmt... Weia, das riecht dann schon stark nach mg, al-qaida, -qaeda, -qasonstwie. Anonym? Das ist irgendwie anders^**.

** Jungs, wenn ihr das wirklich anonym machen wollt: Bar-Nachnahme. Und nutzt diskrete Umschläge. Fragt mal Beate Uhse oder Orion, die können euch erzählen, wie das geht***.

*** Hab ich mal gehört.

Frisch durch den US-amerikanischen Kongress: Der "Global Online Freedom Act of 2007". Und wird gehypet, als wäre es die messianische Befreiung von Zensur, Datensammelwut und Repression. Die Grundidee ist eigentlich ganz gut. Firmen, die mit netzzensierenden Regimes zusammenarbeiten dürfen danach keine Identifikationsdaten mehr herausgeben. Technologien, die zur Zensur geeignet sind, sollen Exportbeschränkungen unterliegen. Eine persönliche Haftung steht auch im Entwurf. Sollte dieser Entwurf in Kraft treten, gäbe es für Betroffene sogar ein Klagerecht.

Da fragt man sich: Was ist denn da mit den Amis los? Entdecken die ihr Gewissen? Mitnichten. Wie bei jedem Gesetz kommt es auf die genaue Wortwahl an. Und da liest man:

Prohibits US companies from disclosing to foreign officials of an “Internet Restricting Country” information that personally identifies a particular user except for “legitimate foreign law enforcement purposes;”

Zuerst gilt das Gesetz nur für Länder, die den Internetzugang einschränken. Ich hab so den Verdacht, das die zensorische YouPorn-Sperrung von Arcor nicht dazu zählt. (Ja, obwohl es bei Arcor um Pornografie geht, ist das Zensur.) Die legitimen Strafverfolgungsinteressen Chinas umfassen selbstverständlich die Verhaftung sogenannter Dissidenten.

Mit diesem Gesetz wird gleichzeitig US-amerikanischen Zugangsanbietern verboten, Inhalte von US-amerikanischen Regierungsseiten oder von Seiten, die von der US-Regierung finanziert werden, zu blockieren. Oder anders ausgedrückt: Die eigene Propaganda darf auf keinen Fall gefiltert werden. Dazu soll flugs eine neue Behörde geschaffen werden, die neben der Einhaltung der Bestimmungen auch generell die Zensur im Internet beobachten soll. Und die soll dann zusammen mit den Firmen einen gemeinsamen, unverbindlichen "code of minimum corporate standards", also eine form- und inhaltslose Erklärung entwickeln.

Und die Sanktionen? Bis zu zwei Millionen Dollar für Firmen und bis zu 100.000 Dollar für Personen. Mal ganz ehrlich, wir reden hier über Cisco, Yahoo, Microsoft, Google,... Zwei Millionen?

Alles in allem also eher eine Mogelpackung ohne tatsächliche Anwendbarkeit. Soviel ist dem "land of the free" der "freedom" also wirklich wert.

Ich bin gerade eben auf das Programm "GhostSurf" zum Anonymisieren der Netzverbindung angesprochen worden. Dazu habe ich grundsätzlich erst mal eins zu sagen: Das ist Closed Source. Zum Ersten bedeutet das, dass ich ohne ausführliches Sniffen und Disassemblieren nicht einschätzen kann, was das Ding überhaupt tut. Zum Zweiten bedeutet es, dass Behörden jederzeit über diese Firma Daten einholen können. Neben den völlig unkritischen Bewertungen bei diversen Software-Verzeichnissen (deren Texte anscheinend direkt aus Pressemitteilungen und Werbeprospekten des Herstellers stammen) gibt es Anhaltspunkte, das die Anonymität dieser Software reines Schlangenöl ist. Auf die Frage "Warum benutzt du nicht Tor?" gab es dann die Antwort "Naja, ich kenne mich nicht so gut damit aus." War also doch eine gute Idee, dazu Anleitungen zu schreiben.

So oder ähnlich wird irgendwann die Diskussion abgewürgt. "Die da oben" machen ja sowieso, was sie wollen, da kann man gar nichts dagegen tun. Abwarten und das Beste draus machen. Hinterher sagen, man hätte nichts gewußt. Befehlsnotstand, man kennt das.

Was kann man also gegen die überall drohende und fast überall schon existierende Überwachung und Datensammelei tun?

Der erste Schritt ist Datenvermeidung. Es geht niemanden etwas an, wo und wie ich wohne, wie meine Telefonnummer lautet oder wann ich wohl am Besten erreichbar wäre. Hier in der Nähe gibt es eine Filiale eines bundesweit agierenden Möbelhauses. Bei Reklamationen wird man vom Personal grundsätzlich nach Adresse und Telefonnummer gefragt, selbst dann, wenn die reklamierte Ware direkt getauscht wird. Warum will dieses Unternehmen wohl diese Daten? Was passiert, wenn ein Kunde diese Daten nicht geben will?

Manchmal geht es nicht ohne persönliche Daten. Manchmal ist es dann sogar notwendig, tatsächlich die reellen, eigenen Daten anzugeben. Wer einen Mobilfunkvertrag will, dem bleibt kaum eine Wahl. Mobiltelefone sind allerdings auch eine Datenquelle par excellence. Schon die Wahl des Tarifs und des Telefonmodells geben Hinweise auf die Zielperson. Im laufenden Betrieb liefert das Telefon dann

• Bewegungsdaten, oft bis auf wenige Meter genau^1,2
• Nutzungsdaten, sekundengenau
• verknüpfte Personen über die Verbindungsdaten
• bei Bedarf Live-Ton, unbemerkt vom Benutzer³

Das sämtliche Verkehrsdaten, also auch Gespräche und Kurznachrichten, gespeichert werden können versteht sich von selbst. Die meisten dieser Daten lassen sich nicht vermeiden, ohne auf das Mobiltelefon vollständig zu verzichten. Wer das nicht kann oder will⁴, dem bleibt nur, diese Daten soweit wie möglich zu verrauschen. Mit einem festen Vertrag, gekoppelt an eine Laufzeit wird dies nicht gelingen. Bei den Prepaid-Angeboten gab es nur kurz eine Möglichkeit, ohne Angabe persönlicher Daten eine SIM-Karte zu bekommen. Nachdem im Oktober 2003 die übliche Praxis, auch bei Prepaid-Angeboten Daten zu erheben vom Bundesverwaltungsgericht untersagt wurde⁵ ist sie mit dem Telekommunikationsdienstegesetz im Juni 2004 zur Pflicht geworden.

Das Prinzip "Prepaid" kommt, außer in diesem Moment, ganz ohne persönliche Daten aus. Allerdings dürfte es keine allzu schwere Aufgabe sein, im Bekanntenkreis jemanden zu finden, der beim gewünschten Anbieter bereits Kunde ist. Dessen Daten sind also bereits vorhanden. Was spricht also dagegen, die Freischaltung der Karte über diese Person abzuwickeln? Der Datenspender profitiert letztendlich auch von der Verrauschung seiner Beweguns- und Nutzungsprofile. Das Guthaben der Karte sollte man allerdings nur mit Bargeld aufladen, schon eine einzige Buchung per EC- oder Kreditkarte macht die Verschleierung hinfällig.

Gegen Verbindungs-, Nutzungs- und Bewegungsdaten kann man nichts ausrichten. Um das Telefon benutzen zu können muß es angemeldet sein. Also gilt es, diese Daten zu minimieren. Das erfordert ein wenig Selbstdisziplin. Muß das Telefon 24 Stunden täglich eingeschaltet sein? Ist die Erreichbarkeit so wichtig, um das Gerät ständig bei sich zu tragen? Öfter mal abschalten hilft, Spuren zu vermeiden. Dabei sollte man aber daran denken, den Akku zu entfernen.

Quellen:

1. Track Your Kid
2. corscience - Ortungssysteme
3. heise news: Polizei nutzt Handys als Wanzen
4. heise news: Mehr Mobilfunkanschlüsse als Einwohner in Deutschland
5. heise news: Mobilfunkanbieter müssen Daten von Handynutzern nicht speichern

Auch unter Mac OSX läßt sich Tor benutzen, die Installation ist Mac-typisch einfach.

1. Tor, Privoxy und Vidalia installieren
Für Mac OSX 10.3 und 10.4 stellt die Electronic Frontier Foundation hier ein Disk Image zur Verfügung. Die Signaturprüfung erledigt Gpg Tools. Mit einem Doppelklick aktiviert man das Disk-Image. Ein weiterer Doppelklick auf das Installationspaket vidalia-bundle-0.1.2.14-0.0.11-tiger.mpkg startet die Installation.

2. Tor starten
Nach der Installation liegt im Ordner "Programme" Vidalia, die grafische Steuerungsoberfläche für Tor und Privoxy. Über die Farbe des Dockicons zeigt Vidalia an, ob Tor läuft.

3. Applikationen konfigurieren
Die Konfiguration für Firefox ist auf dem Mac nicht anders unter Linux, daher spare ich mir mal, die hier zu wiederholen. Safari richtet sich nach den Netzwerk-Einstellungen, die man in den Systemeinstellungen findet. Unter Systemeinstellungen -> Netzwerk wählt man die Netzwerkschnittstelle, über die ins Internet verbunden wird aus und klickt auf Konfigurieren. Es bietet sich an, eine neue Umgebung dafür anzulegen, um bei Bedarf schnell umschalten zu können.Unter Proxies aktiviert man FTP, HTTP und HTTPS Proxy und trägt bei allen 127.0.0.1 als Serveradresse und 8118 als Port ein.

4. Funktionstest
Wenn alle Einstellungen gemacht sind und sich im Browser Webseiten aufrufen lassen sollte alles funktionieren. Um sicher zu gehen kann man sich hier anzeigen lassen, ob Tor funktioniert.

Es gibt E-Mail-Adressen, die möchte man am liebsten lebenslang behalten. Oder zumindest ein paar Jahre, was in Netzzeit gemessen sogar länger ist. Das Problem: Egal, wie sehr man aufpasst, irgendwann quillt die Mailbox vor Spam über. Für jede Registrierung, die eine Adresse vorraussetzt, eine neue anzulegen ist übertrieben und irgendwann nicht mehr praktikabel. Zumal man bei vielen Anbietern zusätzliche Daten angeben muß, die man manchmal gerne vermeiden möchte.

Wenn zehn Minuten reichen, um eine Bestätigungsmail zu beantworten hilft 10 Minute Mail weiter, hier bekommt man eine nur zehn Minuten gültige Adresse, die ankommenden Mails kann man sich auf der Webseite ansehen. Eigene Daten muß man dafür keine angeben, wer Spuren im Server-Log des Anbieters vermeiden will sollte zusätzlich noch Tor oder einen ähnlichen Anonymisierungs-Proxy verwenden.