Jahr1nachSnowden-Ideenkatalog: Unterschied zwischen den Versionen

Informeller Ideenkatalog zum Umgang mit der globalen Überwachungsaffäre

Ideen, Vorschläge und Empfehlungen zur Umsetzung für die HU-Berlin, initiiert durch die stud. Initiative "Jahr 1 nach Snowden".

Initiator: Roland Hummel (Student, Theol. Fak., HU-Berlin)

Der Wunsch nach einem "Ideenkatalog" und den daraus entwickelten, hier vorgestellten Ideen entstand im Verlauf der stud. Initiative „Jahr 1 nach Snowden“ durch die studentischen Initiatoren der Initiative im Verlauf und durch Erfahrungen in derselben ohne Auftrag durch die HU-Berlin.

Die Ideen sollen als informeller Impulsgeber für eine langfristige Abwehr der Überwachung staatlicher wie auch wirtschaftlicher Institutionen zum Schutz der HU-Berlin dienen, um einerseits erneute Fälle konkreter Überwachung wissenschaftlicher Mitarbeiter_innen wie Andrej Holm im Jahr 2007 zu verhindern und andererseits das verdachtsunabhängige Sammeln von E-Maildaten, Daten zum Surfverhalten, Daten von Forschungsprojekten sowie personenbezogene Verwaltungsdaten präventiv abzuwenden.

Das Anliegen verfolgend, den Ideenkatalog nicht an der Realität vorbei und als möglichst gemeinschaftliches Projekt zu erstellen, luden die stud. Initiatoren am 28. Okt. 2015 die HU-DV-Beauftragen, die HU-Datenschutzbeauftragten sowie die Vertreter_innen des HU-ReferentInnenrates (Politisches Mandat und Datenschutz) zu einem persönlichen Treffen ein, um den Entwurf des Ideenkataloges zu diskutieren. Der Einladung folgten elf der DV-Beauftragen. Die HU-Datenschutzbeauftragten und die studentischen Vertreter_innen für „Politisches Mandat und Datenschutz“ teilten entschuldigend mit, aus zeitlichen Gründen leider nicht teilnehmen zu können.

Durch die engagierte Mitarbeiter der anwesenden DV-Beauftragten, für die an dieser Stelle noch einmal herzlich gedankt sein soll, wurde der Ideenkatalog auf einen Stand gebracht, der als nach wie vor informeller, aber fundierterer Impulsgeber die verantworltichen Instanzen der HU-Berlin darin unterstützen möchte, der Problematik von staatlicher und wirtschaftlicher Überwachung adäquat zu begegnen.

Der Sammelband zur Stud. Initiative "Jahr 1 nach Snowden" wird den Stand vom 28. Okt. 2015 enthalten, der aktuelle Stand findet sich auf dieser Wiki-Seite.

Motivation

Verantwortung in der IT

Die IT als „5. Macht im Staat“ trägt Verantwortung für die Verwendung der von ihr bereitgestellten Infrastrukturen, nachdem die Snowden-Enthüllungen den Missbrauch derselben verdeutlichten (Michael Hayden: „We kill people based on metadata.“).

Einfluss der IT

Die IT hat durch Konzeption von IT-Infrastrukturen einen maßgeblichen Einfluss auf den Datenschutz der Nutzer_innen und sollte entsprechend den mündigen Umgang mit dem digitalen Raum nicht nur fordern, sondern unter den besonderen Gegebenheiten der Überwachung über etablierte Standards hinaus ermöglichen und fördern.

Vermittlung von Kompetenzen

Regelmäßige CMS-Workshops

Regelmäßige CMS-Workshops zur Schulung von praktischer Kompetenz zum Umgang mit Überwachung: Die Praxisveranstaltungen der Jahr 1 nach Snowden-Initiative zeigten eine dauerhaft hohe Teilnahme an den Veranstaltungen "Rollentausch: (sich) selbst überwachen!", "Einführung in verschlüsselte Kommunikation" sowie "Datenhoheit und Datenkontrolle ohne Verschlüsselungstechniken" (http://jahr1nachsnowden.de/veranstaltungen). Die Initiative hat Veranstaltungskonzepte erarbeitet, die als Grundlage für zukünftige Veranstaltungen dieser Art dienen können (abrufbar unter oben genanntem Link).

Zielführend für das Vorhaben wäre die Kooperation mit den Kryptographie-Workshops der jur. Fakultät sowie die regelmäßige Forführung von CMS-Workshops zur E-Mailverschlüsselung mittels der vom CMS bereitgestellten S/MIME-Zertifikate. Koordinator_in: Weitere Ansprechpartner_innen:

Absicherung der IT

Öffentliche Computerarbeitsplätze (Client-Hardening)

Bereits erfolgte Überwachungsskandale eines Mitarbeiters der HU (Andrej Holm, 2007) zeigen den Bedarf an Schutzmaßnahmen für eine überwachungsfreie(re) Forschung. Dienlich wären diesem Anliegen: Dienlich wären diesem Anliegen:

HU-Installer

1. Existierende Installer
   1. VPN-Clients
      1. OpenVPN
      2. Juniper Network Connect
2. NICHT existerende Installer
   1. STORAGE-Clients
      1. Storage-services
         1. Netzlaufwerke (HU-Fileservices)
            1. Linux
            2. OSx
            3. Windows
   2. WWW-Clients (Browser)
      1. Firefox
         1. Firefox Deployment
            1. Anleitungen/ Ueberblicke
               1. mozilla.org
               2. stealthpuppy.com
               3. Kaply.com (Anleitungen, Beispiele) = EMPFEHLUNG!
                  1. Anleitungen
                     1. Firefox (Installer) RE-building / Deployment
            2. Addons (Erweiterungen)
               1. Kaply.com (Addons) = EMPFEHLUNG!
                  1. 1. Client Customization Kit 2 (cck2 Wizard) Addon: Firefox Konfiguration
                     2. Rebrand Addon: Firefox Branding
         2. ACTIVE TESTING
            1. Download
               1. LINK: https://box.hu-berlin.de/d/6e961e36ed/
               2. PASS: Firefox-fuer-alle!
            2. Version Changes
               1. GAMMA
                  1. Firefox update: v41 > v42 (GERMAN)
                  2. Deployments
                  3. languages
                     1. arabic
                     2. hindi
                     3. chinese
                     4. japanese
                     5. english
                     6. italian
                     7. french
                     8. spanisch
                     9. hungarian
                  4. addons
                     1. HTTPS everywhere
                     2. ublock origin
                     3. i dont care about cockies
                     4. clean links
                     5. persona plus
                     6. language manager
                  5. search
                     1. Ixquick
                     2. MetaGer
                     3. HU-Primus
                     4. Archive.org
                     5. Library Genesis
                     6. DuckDuckGo
                     7. Google
                     8. .. (standard search-engines, so far no method found to disable them)
                  6. bookmarks
                     1. WWW.hu
                     2. FIND.hu
                     3. AGNES.hu
                     4. MOODLE.hu
                     5. BOX.hu
                     6. MAIL.hu
                     7. PRIMUS.hu
                     8. ARCHIVE.org
                     9. Library Genesis
                  7. startpage
                     1. about:newtab
                  8. Known Bugs
                     1. Primus hu-search was reported buggy
                     2. Firefox re-starts at first-start
                     3. Search engine ORDER cant be set automatically
                     4. Standard search engines cant be removed
                     5. Some addon-icon remain in the toolbar (HTTPs everywhere)
                  9. New design
                     1. Header (final)
                  10. Payload:
                      1. offline > online. Most addons are not distributed but downloaded at first-start.
                  11. Comments
                      1. Additive/ non destructive deployment (all changes will be added to the existing settings)
                      2. fresh-install recommended
      2. Chrome?
   3. MAIL-Clients
      1. Thunderbird
   4. SEARCH-Clients
      1. HU eigene META-Suche
         1. FIND.hu
         2. searx

Tor-Unterstützung

Tor-Unterstützung durch die HU-Berlin zum Schutz wissenschaftlicher Recherchen sowie der Ermöglichung eines anonymen Zugangs zu Wissen auch über Zensurgrenzen hinweg (https://www.torproject.org/). Aktuelle Einsatzszenarien zur Nutzung von Tor sind:

1. Client (ein wenig overhead traffic, simpelste Lösung ohne akt. Beitrag zum Tor-Netzwerk)
2. Relay (konfigurierbarer overhead traffic, juristisch irrelevant)
3. Relay+Directory (konfigurierbarer overhead traffic, juristisch irrelevant)
4. Exit relay (konfigurierbarer overhead traffic, juristisch relevant)
5. Exit relay+Directory (konfigurierbarer overhead traffic, juristisch relevant)

Förderlich für dieses Unterfangen ist zum einen die realistische Abschätzung der aktuellen Situation des Tor-Netzwerkes (Anzahl kompromittierter Tor relays) sowie zum anderen eine Konzeption von Projekten, die eine Installation von Tor unter den Schutz der Forschungsfreiheit stellt.
Koordinator_in:
Weitere Ansprechpartner_innen:
Aufgabenzuweisung "Fragen zur Sicherheit des Tor-Netzwerkes": Roland Hummel (roland.hummel@student.hu-berlin.de, Mit-Initiator "Jahr 1 nach Snowden")

2.2 Absicherung/Erweiterung von Browsern mit Add-ons und alternativen Suchmaschinen
2.2.1.1 Suchmaschinenersatz zu Google&Co, bspw. durch Angebot einer eigenen Sichmaschine betrieben durch die HU, mögliche Varianten: https://searx.me/about eher als http://yacy.de/, diesbzgl. Idee eines Portals find.cms.hu-berlin.de.
Koordinator_in:
Weitere Ansprechpartner_innen:

2.2.1.2 Voreinstellung einer anonymisierenden Metasuchmaschine in den installierten Browsern bei allen neu einzurichtenden HU-Computerarbeitsplätzen, Server-Profilen der öffentlichen Computerarbeitsplätze und Empfehlungen für die Nutzer_innen bestehende Arbeitsplätze, https://ixquick.com/, https://startpage.com/, https://duckduckgo.com/ anstelle der voreingestellten Suchmaschine Google bzw. Bing ("opt-in" in Bezug auf Google&Co statt wie aktuell "opt-out").
2.2.2 Absicherung der Browser mit vorinstallierten Add-ons, die Nutzer_innen möglichst wenig einschränken, jedoch sicherheitsrelevante Einblicke „hinter die Kulissen“ des WWW ermöglichen, Beispiele:

2.2.2.1 Ghostery („passiv“) in Bezug auf Usability eher als NoScript (ev. nach Aufklärung über Funktionsweise, da hier aktives Eingreifen erforderlich); zu beachten sei jedoch die Problematik: https://de.wikipedia.org/wiki/Ghostery#Kritik
2.2.2.2 HTTPS Everywhere der Electronic Frontier Foundation (fordert https wann immer möglich)
2.2.2.3 Flagfox (in welchem Land/Datenschutzrecht wird die aufgerufene Seite gehostet)
2.2.2.4 Self-Desctructing Cookies (Cookies löschen beim Verlassen der Seite)
Koordinator_in:
Weitere Ansprechpartner_innen:

2.3 Fokus Open Source Software
2.3.1 Obgleich Open Source Software nicht prinzipiell sicherer ist als Closed Source Software, bietet doch Open Source gegenüber Closed Source eine weitaus bessere Möglichkeit der Prüfung auf Backdoors und Sicherheitslücken. Aus diesem Grund sollte Open Source zumindest in gleichrangiger Art und Weise für Endanwender_innen angeboten werden, wo entsprechende Open Source Pendants zu Closed Source Software existieren (bspw. LibreOffice neben Microsoft Office, Thunderbird neben Outlook).
2.3.2 Templates/Vorlagen der HU sollten entsprechend ebenso für Open Source Formate bereitgestellt werden (bspw. Briefköpfe im ODT-Format). Die Entkoppelung von proprietären Formaten hin zu quelloffenen Standards sichert zudem die langfristige Nutzbarkeit von digitalen Erzeugnissen aller Art, was in höchstem Interesse wissenschaftlicher Arbeit steht.
2.3.3 Der Punkt „Linux als Alternative für Computerarbeitsplätze“ steht in diesem Zusammenhang, erfordert aber eine gesonderte Auseinandersetzung. Die ursprüngliche Bitte der „Jahr 1 nach Snowden“-Initiatoren bestand darin, zumindest an öffentlichen Computerarbeitsplätze Linux als alternative zur Windows-Anmeldung anzubieten, unabhängig von einer Bedarfsermittlung. Das Anliegen wurde von den DV-Beautragen freundlich zur Kenntniss genommen, überfordert aktuelle Kapazitäten allerdings in besonderem Maße und muss daher gesondert behandelt werden.
Koordinator_in:
Weitere Ansprechpartner_innen:

2.4 Empfehlung zur Nutzung des HU-eigenen DatenCloud-Dienstes https://box.hu-berlin.de/, sobald dessen Testphase abgeschlossen ist. Falls personenbezogene Daten bzw. sensible Forschungsdaten in einer Cloud gespeichert werden müssen, wäre ein Präsidiumsbeschluss wünschenswert, der zur Nutzung der HU-DatenCloud in diesem Zusammenhang verpflichtet.
Koordinator_in:
Weitere Ansprechpartner_innen: Alexander.Struck@hu-berlin.de

3. Handhabung sozialer Netzwerke

Allg. Regelung an die Abteilungen der HU, bei Verwendung kommerzieller sozialer Netzwerke, deren Geschäftsmodell auf der Verwertung von Nutzer_innendaten liegen, nicht aktiv zu bewerben (bspw. „Facebook-Buttons“ auf den Seiten der HU) und von entsprechenden Seiten besagter sozialer Netzwerke nur heraus zu verweisen, nicht aber von den Seiten der HU hin zu diesen Netzwerken.
Koordinator_in:
Weitere Ansprechpartner_innen:

4. E-Mailverschlüsselung

4.1 Automatische Ausstellung von S/MIME-Zertifikaten für bereits vorhandenes, gut funktionierendes, aber kaum genutztes System zur E-Mailverschlüsselung (https://www.cms.hu-berlin.de/de/dl/zertifizierung) für alle Neuanstellungen an der HU (Idee eines langfristigen Schneeballeffektes zur Nutzung dieses Systems + „opt-out“ statt wie aktuell „opt-in“). Zu diesem Zweck soll die Erstellung von Softwarezertifikaten automatisch im Antrag eines CMS-Accounts inbegriffen sein (akt. muss dies gesondert beantragt werden, die CMS-Seite überfordert mit einer Vielzahl an „Technizismen“, deren Zusammenhang sich Endanweder_innen schwer erschließt und daher die Eigeniinitiative für einen entsprechenden Antrag hemmt). Ein Hinweis in Begrüßungsformularen soll darüber informieren, dass darüber hinaus die Erstellung einer Smartcard als „Hardwarezertifikat“ möglich ist (erfordert ev. nicht überall vorhandene Chipkartenleser). DV-Beauftragte helfen entsprechend bei der Einführung in die Nutzung des Verfahrens und klären über den unsicheren E-Mailstandard auf.
4.2 Ein Präsidiumsbeschluss möge die obligatorische Verschlüsselung von E-Mails mit personenbezogenen Daten beschließen, da sich sonst die Verwendung eines sicheren E-Mailtransportes nicht durchsetzt.
Koordinator_in:
Weitere Ansprechpartner_innen:

5. Würdigung von Edward Snowden

5. Würdigung von Edward Snowden für seine beispiellose Aufklärungsarbeit als einen Dienst an der gesamten Menschheit. Erste Ideen: „Edward Snowden-Hörsaal“, „Edward Snowden-Computerpool“, „Treppenstufen-Kunstprojekt“ zu Überwachungsprogrammen Prism / Tempora / Fashiocleft / XkeyScore etc (analog „Vorsicht Stufe“ im HU-Hauptgebäude).
Koordinator_in:
Weitere Ansprechpartner_innen:

6. „Lobbyarbeit“

(Mit den Anwesenden aus Zeitmangel nicht diskutiert:) Keine weitere Unterstützung der „Lobbyarbeit“ datenschutzproblematischer Firmen für Initiativen wie "Get Office free from your school" durch die HU.
Koordinator_in:
Weitere Ansprechpartner_innen:

7. Langfristige Umsetzung des Ideenkatalogs

7.1 Da die Umsetzung und Koordination zum Ausbau der IT-Sicherheit sich über einen langen Zeitraum erstrecken wird, zeichnet sich ab, dass eine sinnvolle Umsetzung nur durch Schaffung zusätzlicher personeller Kapazitäten zu erreichen ist. Konkret sollte die Position einer/s IT-Sicherheitsbeauftragten eingerichtet werden.
7.2 Das Thema „IT-Sicherheit“ und „Überwachungsschutz“ sollte, sofern noch nicht vorhanden, fester Bestandteil von DV-Konzeptionen sein, um langfristig die Sensibilisierung für das Thema auch innerhalb des CMS aufrecht zu erhalten.
Koordinator_in:
Weitere Ansprechpartner_innen: