Verwischung digitaler Fußabdrücke bei Protesten

Protest ist ein integraler Bestandteil von Demokratien und ein wesentliches Recht der Bürger:innen in solchen funktionierenden Demokratien. Findet der Protest in weniger liberalen Regimen statt, kann er für die Teilnehmenden schnell gefährlich werden, wie die Antikriegsproteste in Russland, die Demonstrationen gegen die Regierung in Belarus, die Pro-Demokratie-Proteste in Hongkong oder der feministischen Aufstände im Iran zeigen.

Eine Geimeinsamkeit aller Proteste in totalitären Regime der letzten zwei Jahrzehnten (und darüber hinaus) sind physische und zunehmend digitale Überwachung, Zensur und Unterdrückung. Im Zeitalter der ständigen Orwell’schen Überwachung durch digitaleVerfolgung, Gesichtserkennung und Massenüberwachung wird die Nichteinhaltung von Vorschriften oft mit harten Strafen geahndet, selbst Tage oder Wochen nach dem Protest.

Aber selbst in den liberalen Demokratien der westlichen Welt kann der Schutz der eigenen Identität während eines Protests wichtig sein, um sich selbst und andere vor manchmal erst im Nachhinein als ungerecht eingestufte Konsequenzen zu schützen, so auch in Deutschland.

Digitale Fußabdrücke können die legitime Meinungsäußerung bereits im Vorfeld von Protesten gefährden. Die Organisation von Demonstrationen, die Recherche zu angrenzenden Themen und der Austausch von Nachrichten mit anderen Personen hinterlässt eine Datenspur, die später gegen die Teilnehmenden verwendet werden könnte. Wo auch immer man sich im Internet bewegt, werden Informationen hinterlassen, oft in Form von Metadaten wie der IP-Adresse, dem User-Agent des Webbrowsers oder anderen Formen des digitalen Fingerabdrucks.

Recherche

Bei der Recherche im Vorfeld des Protests, beim allgemeinen Surfen während des Protests oder bei Online-Aktionen ist die Verwendung von sicheren, vertrauenswürdigen und Freien Open Source Software Lösungen essenziell. Kommerzielle, quelloffene Programme haben oft nicht das Beste für die Nutzenden im Sinn, insbesondere wenn es um den Datenschutz geht.

Hierbei sollten Open-Source-Webbrowser wie zum Beispiel Mozilla Firefox genutzt werden, deren fortschrittliche Schutzmaßnahmen auch das Tracking durch Dritte bis zu einem gewissen Grad einschränken können. Das Online-Tracking durch Werbetreibende und kommerzielle Interessenvertreter:innen kann durch Werbeblocker wie uBlock Origin und das Privacy Badger Add-on der Electronic Frontier Foundation weiter eingeschränkt werden. [1]

Noch besser ist die Verwendung des Tor-Browsers, eine gehärtete und erweiterte Version von Firefox, welche die Privatsphäreeinstellungen auf die Spitze treibt und ausschließlich über das Tor-Netzwerk kommuniziert. Gerade in kritischen Szenarien, zum Beispiel in einem totalitären Staat, in dem Protest mit harter Unterdrückung begegnet wird und das Internet generell zensiert wird, ist die ausschließliche Nutzung des Tor-Netzwerks ein wichtiges Werkzeug, aber natürlich funktioniert es weltweit auch in liberalen westlichen Demokratien. [2, 3]

Auch die Websuche ist ein wichtiger Faktor. Suchmaschinen der Überwachungskaptialist:innen wie Bing oder Google sollten vermieden werden. Stattdessen stehen datenschutzfreundliche Suchmaschinen ohne Profiling zur Verfügung wie Mojeek, Qwant oder Metasuchmaschinen wie Metager und Searxng.

Die Speicherung von Dateien und die gemeinsame Nutzung von Daten ist ein weiterer wichtiger Punkt. Wann immer möglich sollten kritische Informationen am besten offline auf einem sicheren und hoffentlich verschlüsselten Dateispeicher aufbewahrt werden. Insbesondere bei der gemeinsamen Nutzung von Daten mit anderen sollten sich involvierte Personen der potenziellen Risiken bewusst sein und einen sicheren und verschlüsselten Cloud-Speicher-Host wählen, der Daten nicht verkauft und die Dateispeicherung stets verschlüsselt hält: zum Beispiel ViOffice!

Besonders sensible und kritische Informationen, die mit anderen geteilt werden müssen, können auch „Peer to Peer“ zwischen den beteiligten Personen geteilt werden, ohne dass Dritte oder ein zentraler Server (der angegriffen werden kann) dazwischen stehen. Zum Beispiel OnionShare des Tor-Projekts oder die freie und quelloffene Software Syncthing. [1]

Kommunikation

Bei der Organisation, sei es im Vorfeld oder während einer Demonstration, sollte wie bei jeder alltäglichen Kommunikation grundsätzlich eine Ende-zu-Ende-verschlüsselte Kommunikation verwendet werden. Aber auch über die Verschlüsselung des Inhalts von Nachrichten hinaus sind Metadaten ein wichtiger Faktor. Die Offenlegung von Metadaten könnte beispielsweise Aufschluss darüber geben, wer wen zu welchem Zeitpunkt kontaktiert hat und welche Art von Informationen ausgetauscht wurden, auch wenn der konkrete Inhalt nicht bekannt ist. [1, 2, 3]

E-Mail ist grundsätzlich ein gutes Kommunikationsmittel, allerdings nur, wenn die Kommunikation z.B. über OpenPGP verschlüsselt wird. Gerade im Hinblick auf Metadaten ist auch die Wahl eines vertrauenswürdigen E-Mail-Anbieters wie ProtonMail, Tuta, Posteo und viele mehr entscheidend. Überwachungskapitalits:innen wie Google Mail, Hotmail und Yahoo sind in diesem Zusammenhang nicht als vertrauenswürdig anzusehen. Bei der Kommunikation muss klar sein, dass dies auch für die Empfänger:innen der E-Mails gilt. Das eigene E-Mail-Konto mag noch so sicher sein. Der Aufwand ist nahezu irrelevant, wenn die Metadaten der Kommunikation auf der Gegenseite durchsickern oder unverschlüsselt gespeichert sind. [1, 2, 3]

Für Instant Messaging vor oder während einer Demonstration sind ähnliche Überlegungen erforderlich. Natürlich müssen die Nachrichteninhalte – insbesondere Mediendateien – verschlüsselt übertragen (und gespeichert) werden. Aber auch die Metadaten sollten so weit wie möglich eingeschränkt werden. In Situationen, in denen das Risiko für die beteiligten Personen relativ gering ist, sind sichere Instant-Messaging-Anwendungen mit einer Open-Source-Implementierung der End-zu-End-Verschlüsselung wie Signal oder Nextcloud Talk (auch in der ViOffice Cloud verwendet) mehr als ausreichend. Diese Chats sind in der Regel mit digitalen Identitäten (einer E-Mail-Adresse, einer Telefonnummer oder ähnlichem) verknüpft, welche wiederum mit Personen verknüpft werden können. Darüber hinaus sind beide Lösungen mit einem zentralen Server zwischen Einzelpersonen verbunden und daher leichter zu blockieren oder zu zensieren. Daher sollten diese Chat-Lösungen in Hochrisikoszenarien durch eine Lösung ersetzt werden, die sowohl hochgradig sicher (wie die oben genannten) als auch völlig anonym und idealerweise dezentralisiert in einer Peer-to-Peer-Methode ist wie beispielsweise Briar. [4]

Smartphones

Je nach Situation können Smartphones sowohl besonders nützlich sein, um beispielsweise die Brutalität von Sicherheitskräften zu dokumentieren, als auch sehr riskant, wenn es um das Verfolgen, Abhören und Abfangen von Kommunikation geht. [5]

In solchen Risikosituationen ist es in der Regel besser, das Smartphone zu Hause zu lassen, ein Wegwerfhandy zu benutzen oder zumindest das Smartphone auszuschalten. Viele Smartphones, insbesondere mit nicht aktueller Software, sind leicht zu infiltrieren. [5]

In jedem Fall sollten Aktivisti immer bedenken, welche Daten und Kommunikationskanäle auf einem Gerät gespeichert sind, das sie zu einer solchen Demonstration mitnehmen. Biometrische Logins (wie Finger- oder Gesichtserkennung) sind in der Regel leichter zu umgehen als lange alphanumerische Passphrasen. [5, 6, 7]

Die automatische Sperre sollte auf einen sehr kurzen Zeitraum eingestellt und die Benachrichtigungen auf dem Sperrbildschirm ausgeschaltet werden. Standortdienste, einschließlich GPS, aber bis zu einem gewissen Grad auch WiFi, können ebenfalls ein überwachungsrelevanter Faktor sein und sollten nach Möglichkeit ausgeschaltet werden (Flugzeugmodus). Die gleichen Richtlinien können auch auf andere Geräte wie Smartwatches angewandt werden, die im Allgemeinen zu Hause bleiben sollten. [5, 6, 7]

Fotos und Videos

Fotos und Videos sind ein wesentlicher Bestandteil von Protesten und für Journalist:innen wichtig, um über aktuelle Situationen zu berichten. Allerdings sollten sowohl Aktivisti als auch Journalist:innen in Situationen, in denen die Teilnahme eines Protests nachteilige Folgen für Einzelpersonen oder Gruppen nach sich ziehen könnten, Vorsicht mit Bildmaterial walten lassen. In solchen Szenarien sollten Fotos und Videos die Teilnehmenden nicht identifizierbar machen. Gesichter und auffällige Kleidung sollten ausgeblendet werden. Es gibt künstliche Intelligenz, die in der Lage ist, Gesichter auf schwach behandelten Bildern wieder kenntlich zu machen. Das Ausblenden von Gesichtern mit schwarzen Boxen in vielen Fällen sicherer sein. [1, 2, 3, 5, 6, 7]

Die in den Mediendateien enthaltenen Metadaten können ebenfalls gefährlich sein, da sie Informationen darüber enthalten können, wer das Bild aufgenommen hat, welches Gerät verwendet wurde, die Koordinaten der Kamera bei der Aufnahme des Bildes und viele weitere Informationen. Diese können oft in den Kameraeinstellungen ausgeschaltet oder mit vielen Anwendungen nachträglich entfernt werden. [1]

Eine einfach zu bedienende plattformübergreifende Anwendung, die Teile von Bildern blockieren und alle Metadaten daraus entfernen kann, ist Image-Scrubber. Andere Anwendungen wie ObscuraCam des Guardian Project sind ebenfalls eine gute Wahl. [1]

Quellen

1. Everest Pipkin (2020): Anonymize your online footprint. URL: https://web.archive.org/web/20231128122012/https://pastebin.com/TPgtvmVB
2. EFF (2023): Surveillance Selfdefence – Attenting Protest. URL: https://ssd.eff.org/module/attending-protest
3. Budington, B. (2016): Digital Security Tips for Protesters. URL: https://www.eff.org/deeplinks/2016/11/digital-security-tips-for-protesters
4. It’s Going Down (2022): The Guide to Peer-to-Peer, Encryption, and Tor. URL: https://itsgoingdown.org/the-guide-to-peer-to-peer-encryption-and-tor-new-communication-infrastructure-for-anarchists/
5. No Trace Project (2023): Turn Off Your Phone. URL: https://www.notrace.how/resources/download/turn-off-your-phone/turn-off-your-phone-read.pdf
6. No Trace Project (2023): How To Have A Fun Night To Forget. URL: https://www.notrace.how/resources/read/how-to-have-a-fun-night-to-forget.html
7. No Trace Project (2011): Measures Against Surveillance. URL: https://www.notrace.how/resources/read/measures-against-surveillance.html

Jan Weymeirsch

Website | + posts

Jan ist Mitgründer von ViOffice. Er kümmert sich insbesondere um die technische Umsetzung und Wartung der Software. Seine Interessen liegen insbesondere in den Themengebieten Sicherheit, Datenschutz und Verschlüsselung.

Neben seinem Studium der Volkswirtschaftslehre, später der angewandten Statistik und seiner daran anknüpfenden Promotion, hat er jahrelange Erfahrung im Bereich Softwareentwicklung, Opensource und Serveradministration.

• Jan Weymeirsch

  https://www.vioffice.de/de/blog/author/jan-weymeirsch/

  Die Abwärtsspirale: Das Verständnis von Enshittification in Online-Plattformen
• Jan Weymeirsch

  https://www.vioffice.de/de/blog/author/jan-weymeirsch/

  Kommerzialisierung von Privatsphäre
• Jan Weymeirsch

  https://www.vioffice.de/de/blog/author/jan-weymeirsch/

  Schlaue Maschinen: Update der ViOffice Cloud
• Jan Weymeirsch

  https://www.vioffice.de/de/blog/author/jan-weymeirsch/

  Datenmigration und der Lock-In Effekt