============== Page 1/1 ============== die datenschleuder. das wissenschaftliche fachblatt für datenreisende ein organ des chaos computer club ISSN 0930-1054 • 2020 2,50 Blatt Klopapier oder Euro #102 Das große Datenschleuder-Leser-Bilderrätsel (Seite 0x07) Geleitwort Als Redaktion planen wir den organisatorischen Ablauf der nächsten DatenschleuderAusgabe bis zu einem halben Jahr im Voraus. Als wir auf dem Congress zusammen saßen war noch nicht zu ahnen, dass das CoronaVirus uns mitten in unserer Arbeitsphase für diese Ausgabe treffen würde. Als dezentrale, fast ausschließlich online arbeitende Redaktion treffen die Maßnahmen zur Eindämmung der Pandemie unsere Redaktionsarbeit nur indirekt. Mitglieder der Redaktion haben zum Beispiel nicht wie üblich Zeit, da sie mit ihren Kindern zu Hause sind und sich um diese kümmern müssen. Auch ist die Förderschule, die üblicherweise mit Freude die Datenschleudern für den Versand eintütet, geschlossen. Passenderweise gibt es in dieser Ausgabe ein spannendes Bastelprojekt, das den daheim festsitzenden Kindern allen Alters viel Spaß machen könnte: Das tiptoi-Projekt. Der tiptoiStift ist ein elektronischer Sensor und seit vielen Jahren Bestandteil von RavensburgerSpielen, der kreativ umfunktioniert werden kann. In Zeiten, in denen sich Menschen intensiver als gewohnt mit ihren Kindern auseinandersetzen und gleichzeitig immer mehr soziale Interaktionen online ausgeführt werden, kommt der Artikel Angemessener Umgang mit Kinderfotos sicherlich auch sehr gelegen, um den Umgang mit persönlichen Daten etwas zu üben. Doch nicht nur im Privaten führen die Umstände zu neuen Lebens- und Umgangsweisen, auch in der Politik gibt es viele Entwicklungen. Offensichtlich ist eine Krise eine Situation, in der viele Menschen der Meinung sind, es sei okay grundsätzliche Bürgerrechte komplett und vorbehaltslos über Bord zu werfen. Das betrifft natürlich auch Themen, Datenschleuder 102 / 2020 die der CCC schon lange bearbeitet, wie Überwachung durch Standortdaten von Mobilfunkanbietern. Was sind Schutzrechte wert, wenn sie in Krisensituationen nicht gelten? Insofern ist diese Krise ein Test für unsere demokratischen Werte und stellt oft einen schwierigen Diskussionsstandpunkt für den CCC dar. Andere Länder gehen mit Technologie und deren gesellschaftlichen Folgen und Möglichkeiten ganz anders um und betrachten staatliche Überwachung in Krisensituationen mit ganz anderer Perspektive. Der Artikel Vertrauen by default gibt uns einen Einblick in die japanische Technikkultur und könnte uns helfen, eine neue Perspektive zu gewinnen. Währenddessen gibt es natürlich viele Projekte, die den verantwortungsvollen Umgang mit Technik lehren und mehren möchten. Im Artikel chaos.jetzt stellt sich eine neue Junghacker*innen-Initiative im Chaos vor. Aber auch im Privaten lässt sich oft noch einiges optimieren. Dafür gibt es in dieser Ausgabe als Reaktion auf Leser*innen-Feedback ein eher praktisch orientiertes Howto: Auswahl eines E-Mail-Anbieters Seit längerer Zeit ist eine größere Aktion im Gange, das Archiv der Datenschleuder auf Vordermann zu bringen. In Berlin wurde ein kleiner Lagerraum angemietet und aus der ganzen Bundesrepublik verschiedene Bestände der Datenschleuder zusammengezogen, um einen Überblick zu bekommen, was noch vorhanden ist. Aus dem Archivbestand wurden auch ein paar vollständige Sätze aller Ausgaben zusammengestellt und im Sinne der Dezentralisierung an interessierte Erfa-Kreise und Chaostreffs übergeben. Eine Art Nebenprodukt des Archivs ist auch der Datenschleuder-Verkaufsstand, der sich seit den letzten zwei Congresse und auf dem 0x01 Geleitwort Camp 2019 neben dem Infostand befindet. anderes Feedback. Zum Beispiel in Form eines Dort haben wir alle noch vorhandenen Aus- Leserbriefes an . gaben vorliegen und geben diese bei einer Preisempfehlung von 2,50 € je Ausgabe heraus. Auch abseits der Veranstaltungen ist es Inhalt ganzjährig möglich, alte Ausgaben zu bestelGeleitwort 0x01 len: https://ds.ccc.de/order.html. Neu in dieser Ausgabe ist das Archivrätsel Leser:innenbriefe 0x04 auf der hinteren Umschlaginnenseite. Um genau zu sein ist es kein Rätsel, sondern eine Chaos Lokal 0x08 Bitte zur Mithilfe: Es handelt sich um eine Sei0x0a te aus der Ausgabe 22, die gerade digitalisiert chaos.jetzt wird, um das Online-Archiv der Datenschleu0x0c der unter https://ds.ccc.de/download.html zu Tastaturen selber bauen vervollständigen. Dafür werden die Texte mit 0x11 OCR eingelesen, damit sie markierbar und ko- Umgang mit Kinderfotos pierbar sind, aber auch von Screenreadern geVertrauen by default 0x15 lesen werden können. Ziel ist es, möglichst nah an den Originaltexten dranzubleiben. Da- Regionale Öffentlichkeitsarbeit 0x1a her suchen wir Leser*innen, die die mittiglinks abgebildete Anzeige lesen und abtippen Datenspuren 2020 0x1d können. Wir suchen keine Übersetzung, son0x1e dern den Originaltext. Wir freuen uns über Das tiptoi-Projekt Rückmeldungen an unsere untenstehende ReAuswahl eines E-Mail-Providers 0x24 daktionsadresse. Viel Spaß beim Lesen. Und wie üblich freu0x28 en wir uns über abweichende Meinungen oder Chaos auf die Ohren Das Datenschleuder-Archiv in Berlin 0x02 Datenschleuder 102 / 2020 Geleitwort (Leah Oswald, CC BY 2.0) Die Datenschleuder Nr. 102 Herausgeber Umschlaggestaltung (Abos, Adressen, Verwaltungstechnisches etc.) Chaos Computer Club e. V. Zeiseweg 9 22765 Hamburg PGP: CAEE E257 594B A8C0 E1DD 87EE 84A4 FA72 009E D7A1 Titelbild: Courtesy AT&T Archives and History Center Rückseite: Rasterelektronenmikroskopaufnahme von SARS-CoV-2, National Institute of Allergy and Infectious Diseases (NIAID), CC BY 2.0 Kontaktadresse (Artikel, Leser:innenbriefe, Inhaltliches) Redaktion Datenschleuder Chaos Computer Club e. V. Zeiseweg 9 22765 Hamburg PGP: 2A75 2EB3 D0A0 5FA9 2726 2B8A A917 2CC7 B794 A17A https://ds.ccc.de/ Druck Texdat-Service gGmbH, gemeinnützige Inklusionsfirma nach § 215 ff. SGB IX https://www.texdat.de/ Nachdruck Abdruck für nicht-gewerbliche Zwecke bei Quellenangabe erlaubt Eigentumsvorbehalt Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem Gefangenen persönlich ausgehändigt worden ist. Zurhabenahme ist keine persönliche Aushändigung im Sinne des Vorbehaltes. Wird die Zeitschrift Redaktion dieser Ausgabe dem Gefangenen nicht ausgehändigt, so ist sie dem dome, Jan „vollkorn“ Girlich, Philipp „fiveop“ Schäfer, Absender mit dem Grund der Nicht-Aushändigung in TVLuke Form eines rechtsmittelfähigen Bescheides zurückzusenden. Bearbeitungsschluss der Druckversion 04.06.2020 V. i. S. d. P. Liste der Referenzen Hanno „Rince“ Wagner https://ds.ccc.de/references/ds102.html Datenschleuder 102 / 2020 0x03 Leser:innenbriefe Besten Dank Datenschleuder Ausgabe #100 heute im Postkasten vorgefunden. Hallo, Die von Dir aufgeworfene Frage finden wir sehr spannend. Die Standortüberwachung und der Einsatz von Trojanern geschieht vermutlich in viel breiterem Umfang als nötig und Hallo Walter! Uns freut, dass dich das Heft ohne die Kontrolle, die bei solchen tiefen Einerreicht hat. Da ich nicht weiß wie es dazu griffen in elementare Bürgerrechte eigentlich kam und für alle anderen, die etwa zufällig vorgesehen ist. Der CCC setzt sich mit seinen oder außer der Reihe an unser kleines Fach- Mitteln schon lange gegen den Missbrauch solblatt geraten, hier der Hinweis auf ein paar cher geheimdienstlichen Techniken ein. DeiMöglichkeiten immer wieder eine neue Aus- ne rechtliche Argumentation wirkt zunächst gaben zu erhalten: ziemlich verwegen – aber manchmal ist das • Mitglied im CCC werden: https://www.cc ja genau der richtige Ansatz. Gibt es vielleicht c.de/membership unter unseren Lesern einen Verfassungsrecht• Ein Abo der Datenschleuder abschließen: ler, der dazu Stellung nehmen kann? https://ds.ccc.de/order.html • Regelmäßig das regionale Chaos besuchen: https://www.ccc.de/regional Liebe Grüße Moin auch, In der aktuellen App zur Modellbahn-Steuerung Z21 der Firma Roco gibt es eine Sache, die ich sehr fragwürdig finde. In dieser Steuerungs-App zu der DigitalLiebe Leute von der Redaktion der Daten- zentrale gibt es eine Möglichkeit, ‚Fehler‘ zu schleuder, Staatliche Stellen verschicken in melden. Wenn man das tut, wird automatisch großem Umfang und mit stark steigender Ten- eine sogenannte „Anlage“ an den Anbieter mitdenz stille SMS zur Standortüberwachung. Sie geschickt. installieren auch sogenannte Bundestrojaner, Erst auf Nachfrage erfuhr ich, dass das dies die dann auf Rechnern von Privatpersonen, Fir- bedeutet, dass die gesamte Liste einprogrammen etc. laufen. Jeglicher Widerstand gegen mierter Lokomotiven inklusive sämtlicher perdiese Praxis lief nach meiner Kenntnis bisher sönlich dazu eingegebener Daten an die Firma ins Leere. Bei dieser Praxis werden Aktionen Modelleisenbahn GmbH gesandt werden. Ohauf den fremden Geräten ausgeführt, die zu- ne, dass das so explizit ausgedrückt wird. Und mindest zusätzlichen Strom verbrauchen und natürlich speichern die diese Listen. eine Abnutzung der Geräte darstellen. Ist dies Ich finde das unerhört. Schließlich geht es nicht als Diebstahl anzusehen? Ist es nicht ein den Hersteller nullstens was an, was ich für Verstoß gegen Artikel 14 Grundgesetz, da kei- Loks habe, wenn seine App oder die Zentrale ne Entschädigung (vgl. GG 14(3)) in den dazu spinnt. Und wenn Sony nicht datendicht ist, gemachten Gesetzen vorgesehen ist? wie ergeht es wohl einem kleinen ModellbahnMit besten Grüßen Hersteller aus Österreich, der einer Bank ge hört…? 0x04 Datenschleuder 102 / 2020 Leser:innenbriefe Mit besten Grüßen Moin, Das klingt nach einem Verstoß des Datenschutz, denn persönliche Daten dürfen nur nach Erklärung und Einverständnis übertragen werden. Das solltest du an den für deinen Wohnort zuständigen Datenschutzbeauftragten melden. Hier gibt es eine Übersicht der Datenschutzbeauftragten aller Bundesländer: https://www. datenschutz-wiki.de/Aufsichtsbeh%C3%B6r den_und_Landesdatenschutzbeauftragte Viel Erfolg Sehr geehrte Damen und Herren, in Microsoft Teams gibt es seit einiger Zeit die Funktion, sich bei Live-Events und auch bei normalen Audio- bzw. Video-Besprechungen automatisch Untertitel generieren zu lassen. Wo werden diese Untertitel generiert? Lokal auf dem Rechner oder bei Microsoft? Kann Microsoft somit sämtliche Gespräche „ausspionieren“ und mitschreiben? Wird der generierte Text auf MS-Servern gespeichert oder ggfs. sogar ausgewertet? Wie sicher ist diese Funktion für die Nutzung von dienstlichen und vertraulichen Gesprächen? Vielen Dank im Voraus! Moin, um deine Fragen abschließend zu klären müsste Microsoft in einer groß angelegten Untersuchung kooperieren oder in einer illegalen Untersuchung in deren Systeme eingedrungen werden oder ähnliches. Daher hier nur ein paar allgemeine Überlegungen und Parallelen zu anderen Fällen. Datenschleuder 102 / 2020 Die Untertitel können entweder auf den Rechnern der Teilnehmer:innen oder zentral auf dem Server generiert werden. Das hat alles seine Vor- und Nachteile. Zum Beispiel kann Microsoft seinen Code zur Generierung der Untertitel nur schlecht schützen und updaten, weshalb die meisten Unternehmen solche Funktionalität nur auf Ihren Servern implementieren. Ja, Microsoft kann alle Gespräche einsehen. Das ist grundlegend, unabhängig von Microsoft und Untertiteln, bei allen Diensten so, die keine Ende-zu-Ende-Verschlüsselung (E2E), also von Teilnehmer:in zu Teilnehmer:in, anbieten. Da muss man dem Anbieter vertrauen. Deshalb setzt sich der Club auch konstant für E2E-Verschlüsselung ein. Aus Erfahrungen mit Diensten wie Siri und Alexa ist bekannt – und das ist auch wenig verwunderlich – dass die nicht automatisch erkannten Sprachaufnahmen an Menschen zur manuellen Auswertung weitergeleitet werden. Diese Menschen bearbeiten diese Sprachdateien manuell und füttern das Ergebnis zurück in das Neuronale Netzwerk um es zu verbessern. Dazu kommt, dass dies oft schlecht bezahlte Menschen in Ländern mit günstigen Lohnkosten sind, die das teilweise auf ihren Privatgeräten von zu Hause machen. Ist halt günstiger. Ich sehe keinen Grund davon auszugehen, dass dies bei dem Untertitel-Service von Microsoft viel besser ist. Kein Dienst, der nicht E2E-Verschlüsselung anbietet, ist vertrauenswürdig. Das ist das Merkmal, auf das ich achte, wenn ich mir einen vertrauenswürdigen Service suche. Leider gibt es da im Bereich von Videokonferenz-Software noch nicht so viel. Das liegt auch daran, dass die Webbrowser das noch nicht richtig unterstützen. Doch Jitsi und Chrome arbeiten gemeinsam daran die nötigen Schnittstellen für 0x05 Leser:innenbriefe E2E-Videokonferenzen in Browsern zu entwickeln: https://jitsi.org/blog/e2ee/ Für vertrauliche Inhalte würde ich dann doch eher auf mit PGP verschlüsselte Mails oder Messenger wie Signal setzen. Vertrauliche Grüße Liebes CCC u DS-Team, Ich wäre unendlich dankbar, wenn mir mal jemand einen wirklich guten Virenschutz empfehlen könnte, der noch im bezahlbaren Rahmen liegt. Und vor allem keinen Staatstrojaner beinhaltet, wie man das gerüchteweise von sämtlichen geläufigen liest oder hört. Ich danke schon mal im Vorraus für euer Bemühen. Sonnige Grüsse Moin Lila, Es gibt keinen richtig guten Virenschutz. Das liegt an mehreren Dingen: 1. Ist jeder Virenschutz immer nur reaktiv. Erst wenn der Virus bekannt ist, kann er abgewehrt werden. Das heißt Virenscanner sind immer etwas hinterher. 2. Sie werden erst aktiv, wenn der Virus schon auf deinem Rechner ist, wo schon oft die Hälfte des Angriffs gelaufen ist. 3. Virenscanner selbst sind sehr große Einfallstore für Viren, da sie groß und komplex sind und jede Datei scannen. Beim Scannen laufen sie Gefahr selbst angegriffen zu werden. Außerdem brauchen Virenscanner Administrator-Rechte um ihre intrusiven Maßnahmen umsetzen zu können. Ein erfolgreicher Angriff führt dann also zur vollen Kontrolle mit AdminRechten. Es gibt immer wieder Sicherheitslücken in Virenscannern selbst, die 0x06 ausgenutzt werden können überhaupt erst den Rechner zu kontrollieren. Gerade diesen Monat gab es wieder zwei Meldungen über Sicherheitslücken in Virenscannern als Beispiele: https://www.he ise.de/security/meldung/Angreifer-koennt en-Symantec-Endpoint-Protection-als-Sp rungbrett-nutzen-4720697.html und https: //d4stiny.github.io/How-to-use-Trend-Mi cro-Rootkit-Remover-to-Install-a-Rootkit/ Aber was kann man denn jetzt tun? Früher wurde immer davon gesprochen, dass der beste Virenscanner „Brain.exe“ sei. Also sein Hirn einzuschalten. Und ich glaube das ist noch immer so. Ich selbst nutze keinen Virenscanner auf meinem Linux. Wie die meisten Linux- und Mac-User. Ganz konkret empfehle ich für ein sichereres Online-Leben: • Immer sofort alle Updates für Windows und andere Software einspielen. Das schließt Einfallstore für Malware. • Einen Adblocker im Webbrowser installieren, der die ganze Werbung wegblockt. Das ist ein großes Einfallstor für Malware. uBlock ist sehr beliebt. • Überall unterschiedliche, lange Passwörter benutzen und diese in einem PasswortManager verwalten. In letzter Zeit zieht Bitwarden viel Aufmerksamkeit auf sich. • Keine „komische“ Software von irgendwelchen Webseiten zu installieren. Suche dir deine Software nur von vertrauenswürdigen Webseiten. Ein beliebter Anlaufpunkt ist https://prism-break.org/ • Das eingebaute Malware-Tool von Windows ganz normal laufen lassen und keinen zusätzlichen Virenscanner installieren. Sicheres Online-Browsen wünscht Datenschleuder 102 / 2020 Bilderrätsel Bilderrätsel dieser Ausgabe Auch dieses Mal geht es wieder darum, herauszufinden um welchen Apparat es sich handelt, der ausschnittsweise auf der vorderen Umschlaginnenseite abgebildet ist. Und wie üblich ist es ein Stück älterer Technik, das früher eine wichtige gesellschaftliche Rolle spielte, aber heute längst überholt ist und von anderer Technologie abgelöst wurde. Doch im Gegensatz zu den Rätseln, die wir in den letzten paar Ausgaben hatten, könnten viele unserer Leser:innen dieses Stück analoge Technik tatsächlich schon mal gesehen haben. Oder sogar benutzt haben, denn sie ist auf verschiedenen Veranstaltungen des Clubs vertreten. Eine Idee, was das sein könnte? Schreibe uns deine Vermutung an . An dieser Stelle auch ein Aufruf an alle, die eine Idee für ein Bilderrätsel haben: Wir freuen uns immer über Vorschläge, die ein hochauflösendes Foto und eine Beschreibung des abgebildeten Apparats enthalten. Einfach an die gleiche Adresse senden. Viel Spaß beim Raten! Tastatur der RAFI Der Rest des Geräts entspricht den typischen Computern der 80er und 90er Jahre. Allenfalls die Knöpfe am Bildschirmrand sind noch auffällig. Re: Bilderrätsel #101 Oha, das letzte Bilderrätsel war dann doch deutlich zu schwierig. Es gab keine richtige Einreichung. Dabei hielten wir die Tastatur für sehr markant. Es handelt sich um die Tastatur einer „RAFI“. Dieser Computer wurde dazu genutzt Videotext-Seiten zu erstellen. Da Videotext sehr eng verwandt ist mit Bildschirmtext (BTX), dachten wir das Gerät pass ganz gut. Besonders markant ist die Tastatur, welche dafür benutzt wurde einige der Steuerzeichen, welche im BTX-Artikel aus der letzten Ausgabe Bildschirm der RAFI erläutert werden, einzugeben. Datenschleuder 102 / 2020 0x07 Erfahrungsaustauschkreise Aachen :: CCCAC :: Chaos Computer Club Aachen e. V. https://aachen.ccc.de/ Schützenstrasse 11, 52062 Aachen Bamberg :: backspace e. V. https://www.hackerspace-bamberg.de/ Di 19 Uhr :: backspace, Spiegelgraben 41, 96052 Bamberg Basel :: CCC Basel :: Chaos Computer Club Basel https://www.ccc-basel.ch/ Di 19:30 Uhr :: Birsfelderstrasse 6, 4132 Muttenz Berlin :: CCCB :: Chaos Computer Club Berlin e. V. https://berlin.ccc.de/ Di u. Do 19 Uhr :: Club Discordia, Marienstraße 11, 10117 Berlin Bremen :: CCCHB :: Chaos Computer Club Bremen e. V. https://ccchb.de/ Di 20 Uhr :: FabLab Bremen, An der Weide 50 a, 28195 Bremen Darmstadt :: Chaos Computer Club Darmstadt e. V. https://www.chaos-darmstadt.de/ Di 19 Uhr u. Fr 18 Uhr :: W17, Wilhelminenstraße 17, 64283 Darmstadt Dortmund :: Chaostreff Dortmund e. V. https://www.chaostreff-dortmund.de/ Di u. Do 19 Uhr :: Langer August, Braunschweiger Straße 22, 44145 Dortmund Dresden :: C3D2 :: Netzbiotop Dresden e. V. https://c3d2.de/ Di u. Do 19 Uhr :: HQ, Riesaer Straße 32, 1127 Dresden Düsseldorf :: Chaosdorf :: Chaosdorf e. V. https://chaosdorf.de/ Fr 18 Uhr :: Chaosdorf, Hüttenstraße 25, 40215 Düsseldorf Erlangen :: Bits’n’Bugs e. V. https://erlangen.ccc.de/ Di 19:30 Uhr :: E-Werk Erlangen, Fuchsenwiese 1, 91054 Erlangen Essen :: Chaospott :: foobar e. V. https://chaospott.de/ Mi 19 Uhr u. So 16 Uhr :: foobar, Sibyllastraße 9, 45136 Essen Frankfurt am Main :: CCCFFM :: CCCFFM e. V. https://ccc-ffm.de/ Di u. Do 19 Uhr :: Hackquarter ccc-ffm, Häuser Gasse 2, 60487 Frankfurt am Main Freiburg :: CCCFr :: Chaos Computer Club Freiburg e. V. https://cccfr.de/ Mo u. Di 19 Uhr :: Hackspace, Adlerstraße 12 a, 79098 Freiburg im Breisgau Göttingen :: CCCGoe :: CCC Göttingen e. V. https://cccgoe.de/ 2. Di 20 Uhr :: Neotopia, Von-Bar-Straße 2–4, 37075 Göttingen Hamburg :: CCCHH :: CCC Hansestadt Hamburg e. V. https://hamburg.ccc.de/ letzter Di 20 Uhr :: CCCHH, Zeiseweg 9, 22765 Hamburg Hannover :: C3H :: Leitstelle 511 - Chaos Computer Club Hannover e. V. https://hannover.ccc.de/ Mi 19 Uhr u. letzter So 16 Uhr :: Leitstelle 511, Klaus-Müller-Kilian-Weg 2, 30167 Hannover Kaiserslautern :: Chaos inKL. e. V. http://www.chaos-inkl.de Sa 19 Uhr :: Klubraum, Rudolf-Breitscheid-Straße 65, 67655 Kaiserslautern Karlsruhe :: Entropia :: Entropia e. V. https://entropia.de/ Sa 19:30 Uhr :: Entropia, Steinstraße 23, 76133 Karlsruhe Kassel :: CCC Kassel :: flipdot e. V. https://flipdot.org/ Di 19 Uhr :: flipdot, Franz-Ulrich-Straße 18, 34117 Kassel Köln :: C4 :: Chaos Computer Club Cologne e. V. https://koeln.ccc.de/ Do 20 Uhr :: Chaoslabor, Heliosstraße 6 a, 50825 Köln 0x08 Datenschleuder 102 / 2020 Chaos Lokal Mannheim :: C3MA :: Chaos Computer Club Mannheim e. V. https://www.ccc-mannheim.de/ Fr 19 Uhr :: Neckarauer Straße 106–116, 68163 Mannheim München :: muCCC :: Chaos Computer Club München e. V. https://www.muc.ccc.de/ 2. Di 20 Uhr :: muc, Schleißheimerstraße 39, 80797 München Paderborn :: C3PB :: C3PB e. V. https://c3pb.de/ Mi 19 Uhr, 1. So ab 12 Uhr :: Westernmauer 12–16, 33098 Paderborn Salzburg :: Chaostreff Salzburg https://sbg.chaostreff.at/ Fr 20 Uhr :: Ulrike-Gschwandtner-Straße 5, 5020 Salzburg Siegen :: Chaos Siegen oder HerzSi :: Chaos Siegen e. V. https://chaos-siegen.de/ Do 19:30 :: Hackspace Siegen, Effertsufer 104, 57072 Siegen Stuttgart :: CCCS :: Chaos Computer Club Stuttgart e. V. https://cccs.de/ 1. Di 18 Uhr (Lichtblick), 3. Mi (shackspace) :: Stuttgart Ulm :: CCCU :: Hackerspace Ulm e. V. https://ulm.ccc.de/ oft :: Freiraum, Platzgasse 18, 89073 Ulm Wien :: C3W :: Chaos Computer Club Wien https://c3w.at/ 3. Di 19 Uhr :: Metalab, Rathausstraße 6, 1010 Wien Wiesbaden :: CCCWI :: Chaos Computer Club Wiesbaden e. V. https://cccwi.de/ Di 19 Uhr :: Sedanplatz 7, 65183 Wiesbaden Würzburg :: N2N :: Nerd2Nerd e. V. https://nerd2nerd.org/ Do 18:30 Uhr :: FabLab Würzburg, Veitshöchheimer Straße 14, 97080 Würzburg Zürich :: CCCZH :: Chaos Computer Club Zürich https://www.ccczh.ch/ Mi 19 Uhr :: Röschibachstrasse 26, 8037 Zürich Es gibt in den folgenden Städten Chaostreffs: Alzey, Amsterdam, Augsburg, Aschaffenburg, Backnang, Bayreuth, Bern, Bielefeld, Bingen, Bonn, Budapest, Chemnitz, Coburg, Erfurt, Flensburg, Fulda, Gießen, Graz, Gunzenhausen, Halle (Saale), Heidelberg, Hildesheim, Hilpoltstein, Ingolstadt, Innsbruck, Iserlohn, Itzehoe, Jena, Kiel, Konstanz, Leipzig, Lörrach, Lübeck, Ludwigsburg, Luxemburg, Marburg, Markdorf, Münster, Neuss, Nürnberg, Offenburg, Osnabrück, Potsdam, Rapperswil-Jona, Recklinghausen, Regensburg, Rotterdam, Saarbrücken, Schwerin, Trier, Unna, Villingen-Schwenningen, Westerwald, Winterthur, Wuppertal, Zwickau Nichts in Deiner Gegend gefunden? Schau’ mal bei den Aliens vorbei: https://aliens.ccc.de/ Detailinformationen siehe https://www.ccc.de/regional Datenschleuder 102 / 2020 0x09 chaos.jetzt von dc7ia , ruru4143 , raketenlurch und L12C Gibt es viele Jugendliche im Chaos? Wer auf den verschiedenen Veranstaltungen den Blick schweifen lässt, wird zu dem Ergebnis gekommen sein: Naja, es gibt schon einige. Und dennoch findet man kaum kaum Zusammenschlüsse und in den meisten Räumen sind die Jugendlichen weit in der Unterzahl. Diese Beobachtung teilten Teilnehmer:innen des Regiowochenende 2019 und machten sich daran etwas ändern… Auf dem CCCamp19 haben wir eine Session mit dem Namen „Junges Chaos bildet Banden“ organisiert, um mit am Austausch interessierten jungen Leuten zu überlegen, welche Strukturen wir uns wünschen. Das Treffen hatte einigen Zulauf, was sicher nicht nur an den poolgekühlten Getränken lag, und brachte junge Chaot:innen mit Ideen und Tatendrang zusammen. Wir fackelten nicht lange, legten uns Domain und Server zu und begannen mit dem Aufbau. Das Ergebnis ist die Gruppe chaos.jetzt. chaos.jetzt richtet sich in erster Linie an technische interessierte 14- bis 18-Jährige, die nicht weiter alleine vor sich hin basteln möchten und eine Community in ihrer Altersgruppe suchen. Unser Ziel ist: junge Leute im Chaosumfeld gezielt zusammen bringen und vernetzen. Wir wollen Projektideen realisieren, die eventuell allein nicht umsetzbar wären, und den Austausch über diese Projekte und weitere Ideen ermöglichen. So wollen wir dafür sorgen, dass sich Jugendliche im Chaos insgesamt willkommener fühlen und schneller Anschluss an Gleichaltrige finden. Unsere Kommunikation läuft dabei hauptsächlich über einen Matrix-Chat. Dort heißen wir natürlich auch Ältere willkommen, die sich für chaos.jetzt interessieren, Kontakte zu jüngeren Generationen suchen und diese unterstützen wollen. 0x0a Auf dem 36c3 sind wir dann als Gruppe das erste Mal auf einer Veranstaltung aufgetreten. Wir organisierten in der WikipakaWG zusammen mit Jugend hackt eine Assembly mit eigenem Dome. Zu fast jeder Tages- und Nachtzeit machten es sich einige von uns auf den Sitzsäcken bequem und nutzten die Gelegenheit für Vernetzungs- und Diskussionsrunden sowie Workshops von und mit Jugendlichen. Ende Februar 2020 hat unser erstes, selbstorganisierten Geekend stattgefunden. Wir waren in Göttingen im Neotopia zu Gast und haben uns in kleineren und größeren Gruppen über verschiedene Themen ausgetauscht. Da es das erste Treffen war, ging es inhaltlich mehr um Meta-Themen, wie zum Beispiel „Wie wollen wir Entscheidungen treffen und Menschen mandatieren?“, „Was wollen wir inhaltlich machen?“ und „Welche Tools wollen wir benutzen?“. In längeren Plenen, die erstaunlich kurzweilig blieben, kamen wir zu ersten Ergebnissen. Dies bot eine gute Grundlage für weitere Diskussionen. Im Laufe des Wochenendes wurde „Wir wollen kaputte Strukturen im CCC reparieren – mit und ohne Lötkolben“ zum neuen, inoffiziellen Motto. Neben der Arbeit sind natürlich auch gemütliches Zusammensitzen und mehrere Flauschhaufen mit Menschen und einer größeren Menge Plüschtieren (hauptsächlich Einhörner und Blåhajs) nicht zu kurz gekommen. Am Ende war es Datenschleuder 102 / 2020 chaos.jetzt so schön, dass zur Abmilderung der allseits bekannten Post-Chaos-Event-Depression diReferenzen rekt angefangen wurde das nächste Treffen zu [1] Chaos.jetzt Kontaktmöglichkeiten: planen. Matrix: https://matrix.to/#/+chaos.jetzt: chaos.jetzt Wenn ihr mitmachen wollt und/oder Infos Website: https://chaos.jetzt/ zu uns, unserem Matrix-Server und unseMastodon: https://chaos.social/@jetzt ren Events sucht, schaut mal unter Twitter: https://twitter.com/chaos_jetzt https://chaos.jetzt/ [1]. https://twitter.com/vecirex/status/1164816739244228609 Datenschleuder 102 / 2020 0x0b Click! Clack! Hack! von PHØ Jeder kennt sie und jeder benutzt sie, aber die Meisten kaufen sie einfach nur: Die Tastatur. Da der geneigte Hacker aber gerne versteht, wie Sachen funktionieren, muss eine andere Lösung her: Das Keyboard im Eigenbau. In Zeiten des Social-Distancing und der Quarantäne ein nettes kleines Projekt, das einen auch danach noch tief im Rabbithole gefangen hält. Wenn man geraume Zeit mit Tastaturen ar- ben möchte. Keyboardgrößen gibt es wie Sand beitet von denen versprochen wird, dass sie am Meer. Hier die, die sich durchgesetzt haschneller und effektiver sind als jede andere ben: Tastatur, diese aber einfach nur viel zu flach • Fullsize: Die Standarttastatur in jedem Versind oder gar eine ESC-Taste vermissen lassen, sicherungsbüro. 100–104 Tasten, grauweiß, wird der Wunsch nach einer „richtigen“ Tastaklobig. tur größer und größer. Was ist die Alternative? • Compact Fullsize: Im Wesentlichen das Mechanische Tastaturen! Klar kann man diegleiche wie die Fullsize, nur dass die Abse auch für teilweise horrende Preise kaufen, stände zwischen den Tasten hier minimiert aber das macht nur halb soviel Spaß und die wurden. Lernkurve fällt deutlich flacher aus. Also heißt • 80 % (TKL/Tenkeyless): Gleiche Tastenanes selbst löten! ordnung wie die Fullsize, nur ohne Ziffernblock. • 75 %: Ähnliches Layout, nur die CursortasGröße ten sind weiter nach links gewandert. FBevor man den Lötkolben schwingt, sollte man Tasten sind vorhanden, befinden sich aber sich überlegen, welche Art Tastatur man hameistens rechts am Rand. 0x0c Datenschleuder 102 / 2020 Tastaturen selber bauen • 65 %: Hier werden zusätzlich die F-Tasten sagen welche Taste wir drücken. Da die Switgespart. ches sich aktiv auf das spätere Tippverhalten • 60 %: Was kann noch weg? Richtig – auswirken, sollte man sich hier tiefer in die Cursor-Tasten! Materie graben. Switches gibt es in vielen ver• 40 %: Hier sind nahezu alle Sondertasten schiedenen Bauformen. Mit oder ohne LEDs, weggelassen. Vorhanden sind noch die von hartem Anschlag bis weich, mit „Click“ Alpha-Keys (Buchstaben) und ein paar oder ohne. Für den Anfang reichen – denke ich Modkeys wie Ctrl, Alt und Shift. – Standart-MX Switches. Leicht zu bekommen, günstig, stabil und weitestgehend kompatibel mit allen Variationen von Keyboards. Layout Die nächste Überlegung ist das Layout der Tasten. Jeder kennt das Standart-Layout für Tastaturen. Leicht versetzte Tasten um angenehmer tippen zu können; Langweilig. Spannender (und ergonomischer) wird es bei den Sonderformen. Die ortholineare Tastatur ordnet die Tasten in klar abgegrenzten Spalten und Zeilen an. Die Tasten sind meistens alle gleich groß, also keine große Leertaste, Shift oder ähnliches. Beim „Staggerd Column“-Layout werden die einzelnen Spalten in der Höhe versetzt, angepasst an die Fingerlänge. Auf den Versatz in den Zeilen wird größtenteils verzichtet. Zu guter Letzt gibt es noch die Split-Keyboards. Um die Ergonomie weiter in den Mittelpunkt zu rücken wird das Keyboard einfach in der Mitte geteilt, so das jede Hand ihr eigenes hat. Wem das alles noch zu Mainstream ist, der kann sich sein Layout mit diversen OnlineEditoren [1] selber zusammenklicken. Switch unterhalb einer Taste Plate Die Switches werden bei unserer DIY-Variante (auch bei vielen kommerziellen Modellen) in eine Platte gesteckt – die Plate. Hier können alle, die schonmal „irgendwas mit Holz“ machen wollten, ihre Fertigkeiten unter Beweis Switches stellen. Welches Material genommen wird ist Eine Tastatur ohne Tasten wäre denkbar sinn- im Grunde egal. Man sollte nur darauf achlos. Damit man auf der Tastatur rumhacken ten, dass es nicht breiter als die Switches ist, kann, braucht es Tasten. Unter den Tasten be- sonst hat man später Probleme beim Löten. Die finden sich die Switches. Switches sind die meisten Online-Layout-Editoren [2] spucken Bauteile, die später unserem Microcontroller eine JSON-Datei aus, die wiederum direkt per Datenschleuder 102 / 2020 0x0d Tastaturen selber bauen Onlinetool zum Erstellen der Vorlage benutzt werden kann. Soweit die Planung. Wiring Microcontroller Wir haben die Plate, unsere Switches und einen Microcontroller. Wenn die Plate nun mit den Switches bestückt ist – das ganze am besten im Lieblingslayout – geht es an die Lötkolben. Pro Switch gibt es zwei Kontakte (bei LED-Switches drei Stück). Die Verkabelung ist recht simpel. Die Switches werden reihenweise und spaltenweise immer am gleichen Pin verbunden (Beispiel: Linker Pin ist immer vertikale Verbindung – rechter Pin immer horizontale Verbindung). Damit die Tastatur allerdings auch erkennt wenn mehrere Tasten gleichzeitig gedrückt werden, brauchen wir noch Dioden an einem der beiden Pins. Standardmäßig an der horizontalen Verbindung. Mit 1N4148-Dioden funktioniert das ganz gut. Damit die Tastatur auch das tut was sie soll – Zeichen, die wir tippen, an unseren Rechner weitergeben – braucht es eine Schnittstelle zwischen Keyboard und Rechner. Hier bieten sich gängige Microcontroller an. Empfehlenswert sind ATmega32u4, STM32F303xC und AT90USB1286. Alle sehr gut dokumentiert und leicht verständlich. Der Vorteil der Boards inkl. Microcontroller ist, dass die Kommunikation zwischen Tastatur und Rechner via USB einfach umsetzbar und realisierbar ist. Zur Firmware der Microcontroller komme ich später noch. Die gängisten Boards, die diese Microcontroller haben sind folgende: • Pro Micro • Elite C • Teensy 2.0 • Teensy++ 2.0 • QMK Proton C Für Einsteiger eignet sich hier wohl der am besten dokumentierte und unterstützte, der Teensy 2.0 oder Teensy++ 2.0. Die beiden unterscheiden sich hauptsächlich im Controller, der verbaut ist (beide werden allerdings von der Firmware unterstützt), der Größe (der Teensy++ 2.0 ist länger) und der Anzahl der Pins (Teensy++ hat 48 Pins, Teensy 2.0 hat 24 Pins). Die Anzahl der Pins ist ein nicht zu unterschätzendes Kaufkriterium. Sie bestimmt das Maximum an Tasten, die das Keyboard haben kann. Der Einzige, der momentan noch Probleme macht, ist der Elite C (mit USB C Port). Der Vollständigkeit halber, habe ich ihn trotzdem hier aufgeführt. Preislich liegen die Boards im Bereich zwischen 20 und 30 Euro. 0x0e 1N4148-Dioden Die Verbindung zum Microcontroller ist ebenfalls schnell gemacht. Jede Spalte und jede Zeile bekommt jeweils einen Pin am Board. Dioden Durch die vertikale und horizontale Verdrahtung entsteht ein Raster. Dank diesem Raster kann der Microcontroller exakt feststellen welche Taste gerade gedrückt wird. Das Raster funktioniert als eine Art Koordinatensystem. Mit diesem allein würde man nun einzelne Tasten drücken können und auch deren Ausga- Datenschleuder 102 / 2020 Tastaturen selber bauen be an den Rechner weitergeben können. Nun gibt es auf Tastaturen aber auch Kombinationen aus zwei oder mehr Tasten (Copy & Paste kennt ihr vielleicht). Dafür muss gewährleistet sein, dass das Signal in die richtige Richtung fließt. Dazu dienen die Dioden. Die Dioden verhindern außerdem den sogenannten n-Key Rollover oder NKRO. [3] Kurz gesagt: Ohne Dioden kann es sein, dass andere Buchstaben ausgegeben werden als gedrückt wurden oder Tastenkombinationen nicht funktionieren. bel. Schnappt euch das passende Kabel (abhängig davon welches Board ihr gewählt habt und welchen Port euer Rechner bereit hält), anstöpseln – ferig. Die Kommunikation zwischen Rechner und Keyboard übernimmt der Microcontroller und der Rechner sollte die Tastatur als solche erkennen. Community Dass man sich hervorragend in diesem Thema verlieren kann, zeigt das Niedergeschriebene hier – denke ich – recht deutlich. Es gibt viele Firmware Parameter, die verändert, angepasst und optiTheoretisch wäre das Keyboard jetzt einsatzbe- miert werden können. Durch das hohe Maß reit. Was noch fehlt ist die Firmware. Ich denke, an Komplexität, die eine Tastatur erreichen viele sind durchaus in der Lage, die Firmware kann, gibt es im Netz auch viele gute Anlaufselbst zu schreiben. Bei der ersten Tastatur stellen und Communities in denen sich der senkt es die Frustrationsgrenze deutlich, sich geneigte Keyboardnerd mit Gleichgesinnten die Firmware einfach erstellen zu lassen. Zum austauschen und/oder Inspiration holen kann. Glück gibt es auch hier Onlinetools, die das für Zwei der, meiner Meinung nach, besten sind einen übernehmen. [4] Die Überlegungen, wel- keebtalk [6] und geekhack. [7] che und wie viele Layer euer Keyboard haben Also – Lieblingseditor öffnen und viel Spaß soll, überlasse ich euch. am (selbst gebautem) Gerät! Bei selber gebauten Keyboards empfiehlt Viel Spaß am Gerät! sich die QMK Firmware. [5] Die QMK Firmware stellt ein breites Sortiment an Tools zur Referenzen Verfügung, die beim flashen der passenden Firmware für das eigene Layout auf den Micro- [1] Layout-Editor im Netz: http://www.keyb oard-layout-editor.com/ controller helfen. Das QMK Toolkit gibt es für MacOS, Linux und Windows. Durch das Tool- [2] Vorlagen für die Plate erstellen (Plate Generator): https://kbplate.ai03.me/ kit wird das flashen sogar für Laien einfach möglich sein. Das Tool bringt eine übersicht- [3] n-Key Rollover/Ghosting/Blocking: https://www.deskthority.net/wiki/R liche GUI mit. Was der User noch tun muss, ollover,_blocking_and_ghosting ist: sein Microcontrollerboard per USB-Kabel an den Rechner anschließen, die vorher per [4] Firmware aus der Retorte (Firmware Builder): https://kbfirmware.com/ Online-Generator erstellte Firmware auswäh[5] QMK Firmware: https://qmk.fm/ len und „Flash“ klicken. [6] Keyboard Community: https://www.keeb talk.com/ Connection [7] Keyboard Community: https://www.geek Nun sollte die Tastatur natürlich noch an euhack.org/ ren Rechner kommen. Am einfachsten per KaDatenschleuder 102 / 2020 0x0f Tastaturen selber bauen (Phil Hagelberg, CC BY-SA 2.0) 0x10 Datenschleuder 102 / 2020 Angemessener Umgang mit Kinderfotos oder: Privacyaktivismus erleidet Realitätscheck von Felix Schulthess Unsere Prinzipien beim Umgang mit Fotos mögen im Alltag für uns persönlich gut funktionieren. Wenn jedoch unsere Kinder mit ins Spiel kommen, kann dies auch schnell anders aussehen. Der datenschützende Prinzipienreiter kommt hier an seine Grenzen und muss zwischen Datenschutz und Problemen wie Ausgrenzung abwägen. Wo diese auftreten können, wie man ihnen vorbeugen kann und wie ein Kompromissvorschlag aussehen könnte, beschreibt dieser Artikel. Stellen wir uns folgende Situation vor: In der Schule im Fach Gemeinschaftskunde kommt eine achte Klasse auf das Recht am eigenen Bild zu sprechen. Ab wie vielen Jahren das denn gelte, fragt ein Schüler aus den hinteren Reihen. Das sei nicht so leicht zu beantworten, entgegnet der Lehrer. Das „Recht auf informationelle Selbstbestimmung“ gelte auch für Kinder und Jugendliche. Auch sie dürften grundsätzlich bestimmen, welche Daten von ihnen verarbeitet würden. Siehe hierzu auch die Datenschutzgrundverordnung [1]. Das hilft dem Fragenden nur wenig. Einerseits klingt es kompliziert, andererseits ist in seinem Fall der Schaden schon angerichtet. Beim Kinderfasching vor sechs Jahren fand er es noch lustig, sich als Mozart zu verkleiden. Doch jetzt bereut er es. Die Fotos von damals waren über Umwege in den sozialen Netzwerken gelandet. Erst kürzlich hatte irgendein Vollidiot sie tatsächlich wieder ausgraben müssen. Der Schüler hatte schon vorher nicht das beste Standing in der Klasse gehabt. Nun gab es noch mehr Spott und Häme. Den Lesern der Datenschleuder muss ich nicht erklären, dass heute viele Menschen achtlos mit den personenbezogenen Daten anderer umgehen. Das betrifft auch Kinderfotos und damit Eltern, Großeltern, Freunde, Erzieher.innen, Lehrer.innen und viele weitere. Lü- Datenschleuder 102 / 2020 ckenlos wird das Heranwachsen der Kleinen dokumentiert, empfindet man sie doch als so niedlich (sind sie ja auch!). Einigermaßen neu ist aber, dass die Dokumentationsergebnisse immer mit anderen geteilt werden. Die Kinderfotos und -Videos werden Gegenstand von Beiträgen in den sozialen Medien oder landen in den quasi-öffentlichen Chatgruppen von Krabbelgruppe, Kindergarten oder Schule. Zu einem späteren Zeitpunkt kann das zu kaum lösbaren Problemen führen. Ein fiktives Beispiel ist oben umrissen. Andere Fälle, in denen die unkontrollierte Verbreitung solcher Daten schlimme Folgen hatte, finden sich im Internet. Dieser Artikel bietet keine fertige Lösung für diese Probleme. Tatsächlich ist eben das auch der Grund fürs Schreiben dieses Textes. Ich hoffe, er ist Anlass für die ein oder andere Diskussion und fördert eine differenziertere Sicht auf das Thema. An dieser Stelle möchte ich nochmal etwas ausholen. Der eigentliche Grund für den vorliegenden Text ist mittlerweile anderthalb Jahre alt und meine Tochter. Seit etwa dieser Zeit überlegen wir als Eltern uns kritisch, wie man am Besten mit den zahlreichen Fotos und Videos umgeht, die laufend entstehen. Ein paar meiner Gedanken dazu möchte ich hier festhalten. 0x11 Angemessener Umgang mit Kinderfotos Es gibt keine einfache Lösung ohnehin so schnell verändern. Dass es da doch gar nicht so schlimm wäre, wenn man sie fotografiert, denn in ein paar Monaten sähen sie wieder ganz anders aus. Der Grund: Ein späteres Fotoverbot ab einem Zeitpunkt X wird nicht funktionieren. Zu sehr hat man sich an das Knipsen gewöhnt, als dass man jetzt „ohne erkennbaren Grund“ am (sagen wir mal) zweiten Geburtstag damit aufhören würde. Für mich selber als Privacyaktivist ist es vergleichsweise einfach. Versucht jemand, ein Foto von mir zu machen, ohne mich vorher zu fragen, reagiere ich direkt. Auch bei anderen, verwandten Themen habe ich meine Prinzipien. Ich nutze nahezu keine sozialen Netzwerke. E-Mails versende ich nach Möglichkeit verschlüsselt. Um Webseiten und Webplattformen mit einem mir unsympathischen Geschäftsmodell mache ich einen Bogen. Kommt aber ein Kind ins Spiel, bringt das viele andere Leute mit sich – und mir ein ganz neues Maß an Verantwortung. Den Personenkreis habe ich oben schon umrissen. Auch die haben mit unserer Familie Kontakt. Aber ich kann weder allen meine Prinzipien aufzwängen noch laufend auf das Grundgesetz verweisen. Ich möchte schließlich auch nicht stets als der Pessimist oder der Prinzipienreiter wahrgenommen werden. Dennoch bestehe ich auf Vorstellung der Schule der Zukunft aus einer einen sinnvollen, achtsamen Umgang mit Fo- japanischen Zeitschrift in 1969 tos. Ein Kompromiss muss her und zwar einer, der im Alltag auch funktioniert. Früh die Grenze abstecken Eine Strategie, die meines Erachtens nicht funktionieren wird, ist einfach mal anzufangen und dann nachzujustieren. Wenn die Regeln im Laufe der Zeit verschärft werden, dann stößt man gewiss auf große Widerstände bei den „Betroffenen“. Menschen ändern zu ungern ihre Gewohnheiten und sie mögen es auch nicht, wenn ihnen etwas verboten wird, das vormals erlaubt war. Die Regeln sollten also von Anfang an „passen“ und klar kommuniziert werden. Hier zählt dann auch nicht das Argument, dass Kleinkinder sich am Anfang des Lebens doch 0x12 Ausgrenzung vorbeugen Eltern wollen bekanntlich immer nur das Beste für ihr Kind. Ausgrenzung ist das krasse Gegenteil davon. Genau das kann aber passieren, wenn die Regeln des Kompromisses nicht akzeptiert, sondern gerade mal toleriert werden. Ich selbst kann gut damit umgehen, wenn der eine oder andere meint, ich sei etwas überempfindlich oder gar paranoid, wenn es um meine persönlichen Daten geht. Oft sind solche Bemerkungen auch ein guter Anlass zur Diskussion. Anders verhält es sich, wenn diese ablehnende Haltung nicht mehr mich direkt trifft. Datenschleuder 102 / 2020 Angemessener Umgang mit Kinderfotos Wenn durch meine Ansichten aber meine Tochter Nachteile im Alltag erfahren würde, dann sähe ich ein großes Problem. Was wäre denn, wenn sie nicht zum Kindergeburtstag oder zur Faschingsparty eingeladen würde, weil „das mit den Fotos dann immer so kompliziert wird“? Was wäre, wenn sie bei den anderen Eltern und Kindern als Außenseiter abgestempelt wird, einfach weil sie einen Vater mit derart sonderbaren Ansichten hat? Ist es denkbar, dass Erziehende und Lehrpersonen schlicht genervt reagieren und im Umgang mit meiner Tochter dadurch voreingenommen sind? In solchen Situation würden sich wohl auch die datensparsamsten Eltern umentscheiden. Der mögliche Schaden einer Ausgrenzung wöge schnell viel schwerer als die Fotos ohne elterliche Einverständniserklärung. Aufklärungsarbeit leisten Dass solche Entwicklungen nicht weit hergeholt erscheinen, ist ernüchternd. Umso wichtiger ist es jedoch, hier aktiv zu werden. Ich bin der Meinung, die (kinderumsorgende) Gesellschaft muss hier stärker sensibilisiert werden. Chaos macht Schule [2] leistet hier schon Großartiges. Auch mein festes Vorhaben ist es, bei Bedarf in Kindergärten und Schulen zu gehen und dort für einen achtsamen Umgang mit Datenschleuder 102 / 2020 personenbezogenen Daten zu werben. Ich bin bereit für lange Elternabende! Nimmt man dazu noch eine ordentliche Portion Bastel- und Programmierworkshops im Stile von Jugend Hackt [3], lässt sich sicher ein noch wertvollerer Beitrag leisten. Ein praktischer Nebeneffekt ist, dass man dadurch auch eine höhere Glaubwürdigkeit erlangen kann und nicht als paranoider Aluhut abgestempelt wird. Kompromissvorschlag Zuletzt möchte ich einen Kompromissvorschlag machen. Wie wäre es, wenn wir folgende Regeln für den Umgang mit den Bildern unserer Kinder vereinbarten? 1. Die Bilder werden nur über einen ende-zuende-verschlüsselten Kanal übertragen. 2. Dienste, deren Geschäftsmodell das Sammeln von Daten ist, werden gemieden. 3. Bevor Fotos gemacht werden, müssen die Eltern oder das Kind einmal ihr Einverständnis gegeben haben. Regel 1 ist sicher stets sinnvoll, wenn es um die Verarbeitung personenbezogener Daten im Allgemeinen geht. Dies bedeutet aber, dass Experten eine Vorauswahl möglicher Kommunikationswege treffen müssen. Zudem ist es notwendig, allen Beteiligten die Sinnhaftigkeit dieser Regel auf einfache Weise zu erklären. Glücklicherweise gibt es hierfür gute Quellen im Netz [4]. Regel 2 dient dazu einen gewissen Schutz vor dem Sammeln von Metadaten zu bieten. Dadurch wird es den Datensammlern erschwert Schattenprofile auf Basis von Metadaten zu erstellen. Ein Problem ist jedoch, dass sich oftmals nicht genau sagen lässt, ob ein Dienst ein entsprechendes Geschäftsmodell hat oder nicht. Häufig liegt dies auch im Auge des Betrachters. 0x13 Angemessener Umgang mit Kinderfotos Regel 3 schafft ein Bewusstsein für die nötige Vorsicht im Alltag. Es geht hier nicht automatisch um eine aufwändige, schriftliche Einverständniserklärung. Oft ist es erledigt mit der kurzen Frage „Wäre es in Ordnung, wenn ich ein Foto mache?“. Wenn so ein respektvoller Umgang mit den Daten anderer im Alltag wieder zum Normalfall wird, wäre sehr viel erreicht. Was möchte ich mit diesem Artikel erreichen? Zum einen ist es ein Hilferuf an andere Eltern. Wie geht ihr mit diesem Thema um? Zweitens hoffe ich, dass obige Gedanken anderen eine Hilfe sein können. Zuletzt möchte ich auch eine Diskussionsrunde starten. Allen, die an einem Austausch interessiert sind, möchte ich eine Anmeldung auf der schweizer Chaosmacht-Schule-Mailingliste [5] nahelegen. Ich freue mich auf eure Beiträge. Referenzen [1] BDSG und DSGVO als Fundament für das „Recht auf informationelle Selbstbestimmung“: https://www.bfdi.bund.de/DE/Da tenschutz/Ueberblick/Was_ist_Datensc hutz/Artikel/DasBundesdatenschutzges etzSichertPers%C3%B6nlichkeitsrechte. html [2] Chaos macht Schule: https://schule.ccc.d e/ Darüber reden [3] Jugend Hackt – Mit Code die Welt verWie der Kompromiss schlussendlich aussieht, bessern: https://jugendhackt.org/ müssen wohl die Eltern jeweils für sich selbst [4] Cryptopartys sind beispielsweise entscheiden. Den einen, goldenen Weg gibt es ein guter Anlaufpunkt um über vernicht. Klar ist, dass es zahlreiche, alltägliche schlüsselte Kommunikation zu lernen: Probleme zu lösen gibt, wenn die Überzeugunhttps://www.cryptoparty.in/ gen des Privacyaktivisten auf die Realität der [5] Anmeldung auf der Mailingliste Erziehung treffen. cms@mail.ccc-ch.ch über: https://ma il.ccc-ch.ch/cgi-bin/mailman/listinfo/cms 0x14 Datenschleuder 102 / 2020 Vertrauen by default von Christian Horn Als ich klein war und meine Oma fragte, wo denn auf der Welt die Technik am weitesten entwickelt sei, antwortete sie: „In Japan!“. Seit einigen Jahren lebe ich hier und bin immer noch von der Kultur des Landes, der Mentalität der Menschen und vor allem vom Umgang der Japaner mit Technik fasziniert. Diese Faszination hat bei mir dazu geführt, auch das eigene Verhalten und meine kulturelle Prägung zu hinterfragen. Japanern und Deutschen wird ein Hang zum Perfektionismus zugeschrieben, aber ich habe die Erfahrung gemacht, dass Japaner dabei noch deutlich weiter gehen. Wenn man etwas anpackt, dann versucht man es perfekt zu machen. Das sehe ich täglich bei meiner Arbeit in der IT: Früher hatte ich mit deutschen Kunden zu tun, nun vor allem mit japanischen Kunden. Diese haben den Anspruch, alles bis ins Kleinste zu ergründen. Der Wunsch, Techniken und technologische Systeme bis in die Wurzeln zu verstehen, erinnert mich an die typischen Eigenschaften von Hackern und macht einen Teil meiner Faszination für Japan aus. Ganz besonders faszinierend finde ich in Japan auch die Kombination von Tradition und Technik, zum Beispiel in Form eines Roboters, der ein Katana, ein japanisches Schwert, mit großer Präzision benutzen kann. [1] nießen Computerspiele ein so hohes Ansehen, dass der japanische Premierminister in einem Olympia-Werbespot als Mario der Klempner auftrat. Aber auch im Alltag macht sich dies bemerkbar, wie zum Beispiel ConvenienceStores, die im Stile von Computerspielen gestaltet werden. Viele technische Lösungen in Japan sehen von außen betrachtet aus wie überflüssige Gimmicks, ergeben aber mit Wissen über die näheren Umstände und typische gesellschaftliche Eigenheiten plötzlich Sinn. Zum Beispiel der beheizte Toilettensitz. Die meisten Europäer hören davon und fragen sich „Macht das Sinn?!“. Ich weiß mittlerweile: Ja, das macht sehr viel Sinn :) Ich schreibe diesen Artikel im Januar in einem Apartment in Tokyo, mit Pulli, zwei Jacken und Mütze. In den meisten Gegenden Japans ist es im Durchschnitt wärmer als in Deutschland. Bei Gebäuden ist Erdbebensicherheit wichtiger als gute Isolation. Wohnhäuser sind auf 30 Jahre Nutzungsdauer ausgelegt. Zentralheizungen sind kaum verbreitet, meist wird mit der elektrischen Klimaanlage geheizt. Bad und Toilette sind meist unbeheizt, und wer sich schon mal bei 5 °C auf eine ToiConvenience-Store im Dragon Quest-Design lette gesetzt hat, kann nun sicher mehr Verständnis für die beheizten Toilettensitze aufDoch auch die Technologie-Geschichte Ja- bringen. Durch diese Gegebenheiten ist auch pans hat bereits eigene, neue Traditionen ge- der Kotatsu entstanden: Ein niedriger Tisch, schaffen: Im Land von Nintendo und Sega ge- an dem man sitzt und unter den man seine Datenschleuder 102 / 2020 0x15 Vertrauen by default Beine steckt. Eine elektrische Heizung unter der Tischplatte strahlt nach unten Wärme ab, eine Decke hält die Wärme unterm Tisch. Beheizbare Toilettensitze Es gab und gibt in Japan immer wieder technologische Erfindungen, die sich nur dort durchgesetzt haben – vielleicht macht es sogar Sinn, hier von „Insellösungen“ zu sprechen: Massagesessel, um sich nach der Arbeit zu entspannen, extrem kleine Notebooks, solarbetriebene Gadgets an Straßenkreuzungen, um Fahrzeuge zu warnen [2] oder Autos, die mit lauter Stimme verkünden in welche Richtung sie abbiegen. Insgesamt sind in Japan im alltäglichen Leben bereits viel mehr Roboter im Einsatz als in anderen Teilen der Welt. [3] Einen besonders markanten Unterschied zwischen Japan und Deutschland habe ich auch darin beobachtet wie vertrauensvoll technologische Systeme gemeinsam genutzt werden. Die Kriminalität ist in Japan recht niedrig. In einem größeren Restaurant reserviert man typischerweise einen Platz indem man dort seine Tasche abstellt und dann zum Bestellen und Bezahlen an die Theke geht. Dieses Vertrauen sieht man an verschiedenen Stellen: Wenn in Europa jemand ein Passwort eingibt und man gemeinsam vor einem Bildschirm sitzt, dann schaut der Andere explizit von Bildschirm und Tastatur weg: Bloß nicht unter Verdacht kommen, dass man das Passwort ausspionieren will. In Japan gibt es dieses Misstrauen nicht. 0x16 Daher schaut man eher nicht weg. Auch sperren Japaner in einem Großraumbüro selten ihre Bildschirme, wenn sie den Arbeitsplatz verlassen. An extrem kleinen Bahnhöfen muss man beim Einsteigen in die Bahn ein Ticket ziehen, beim Aussteigen wird damit ermittelt wie weit man gefahren ist. Wenn man das Ticket beim Einsteigen vergisst, dann wird man beim Aussteigen gefragt, wo man eingestiegen ist – und dann der Preis bestimmt. In Deutschland würde hier wohl automatisch der Maximalpreis angesetzt. Vertrauen by default. Als zugereister Deutscher habe ich manchmal Probleme damit, so einen Vertrauensvorschuss zu gewähren. Zum Beispiel konnten im ersten Apartment, in dem ich wohnte, alle Bewohner sämtliche Briefkästen öffnen: Es gab keine Schlösser oder ähnliches. In manchen Gegenden steht ausschließlich die Wohnungsnummer am Briefkasten, keine Namen. Um Post zu adressieren reicht das. Haustürvertreter wiederum kennen dadurch den Namen der Bewohner nicht – sehr angenehm. Beim Umgang mit Geld gibt es viele Gemeinsamkeiten von Japanern und Deutschen. Japaner hängen sehr am Bargeld. Im Bereich Nahverkehr haben sich NFC-Karten verbreitet, die Suica. Diese sind per default nicht mit einem Namen verknüpft: Am Automaten kauft man anonym eine Karte und kann Geld aufladen. Vor dem Einstieg und nach dem Ausstieg aus der Bahn hält man die Karte an einen Reader, der Betrag wird dann abgebucht. Bei Bedarf kann man sich die Suica auch auf seinen Namen registrieren und für flatrate-Fahrten zwischen zwei Bahnhöfen freischalten lassen. Das machen viele Berufspendler. Fast alle Arbeitgeber erstatten die Kosten fürs Pendeln zwischen Arbeit und Wohnort. Datenschleuder 102 / 2020 Vertrauen by default Unabgeschlossene japanische Briefkästen Sowohl die japanische Regierung als auch die Unternehmen versuchen mehr bargeldlose Zahlung durchzusetzen. Letztes Jahr wurde die Mehrwertsteuer von 8 % auf 10 % erhöht. Einen Teil dieser Erhöhung kann man sich jedoch gegen persönliche Daten zurückholen, wenn man sich für bestimmte Payback- und Punktesysteme in Kombination mit CashlessKarten registriert. Während viele technologische Systeme in Japan auf Vertrauen basieren, kann man dieses Prinzip nicht problemlos auf alle Bereiche und vor allem nicht auf alle Anwendungsmöglichkeiten des bargeldlosen Bezahlen übertragen. Einer der drei großen Betreiber von Convenience-Stores stellte Mitte 2019 ein bargeldloses Bezahlsystem vor und beendete es nach drei Monaten wegen zu viel Missbrauch. 2-Faktor-Authentifizierung und andere Ansätze waren nicht ins Konzept einbezogen worden, sind aber scheinbar für das Gelingen von bargeldlosen Bezahlsystemen auch in Japan ein kritischer Faktor. Bei der Beantragung von Girokonto oder Kreditkarte kann man sich wiederum seine PIN aussuchen. Beim Onlinebanking läuft noch viel mit TAN-Listen. Das liegt auch dar- Datenschleuder 102 / 2020 an, dass es in Japan nicht selbstverständlich ist, dass Banken Transaktionen miteinander durchführen können. Das bedeutet zum Beispiel, dass bei einem Wechsel des Arbeitgebers der Lohn vielleicht nicht an das schon vorhandene Konto überwiesen werden kann und man dann extra ein neues Konto eröffnen muss. Auch der Vermieter einer Wohnung gibt vor auf welches Konto man die Miete einzuzahlen hat – und manche müssen dann dafür ein weiteres Konto eröffnen. Bei meiner ersten Wohnung waren von meiner Bank aus keine Überweisungen möglich und ich habe monatlich bar bezahlt. Überweisungen aus anderen Ländern sind eher selten. Bei einer Überweisung von einem deutschen Konto erhielt ich von meiner Bank einen Brief mit den Überweisungsdetails. In Japan lebende Personen bekommen eine nationale ID-Nummer zugeteilt. Diese sogenannte my number wird zum Beispiel zur Identifikation beim Zahlen der Steuern benutzt. Auch Banken lassen keine Überweisungen vom/ins Ausland zu, ohne die my number des Kunden zu kennen. Anstelle von Unterschriften sind in Japan Hanko gebräuchlich, eine Art Stempel. Im Rathaus registrierte Hanko werden dann so benutzt wie in Europa Unterschriften. Bei Japanern enthält der Abdruck des Hanko die Kanji des Namens, mein Hanko enthält meinen Namen im normalen lateinischen Alphabet. Um nicht ein angeliefertes Paket mit dem gleichen Hanko zu quittieren wie den Mietvertrag, benutzen die meisten Japaner mehrere Hankos, die jeweils einzeln registriert sind und für verschiedene Vorgänge benutzt werden. Und während in Deutschland noch an der elektronischen Patientenakte gewerkelt wird, gibt es in Japan schon lange das medicine book aus Papier, das man in die Apotheke und zum Arzt mitnimmt. Darauf sind die eingenom- 0x17 Vertrauen by default Hankos menen Medikamente verzeichnet, was eine Kontrolle auf mögliche Unverträglichkeiten ermöglicht. Schön offline, mit den Daten direkt beim Patienten. SIM-Karten für Handys sind in Japan fast nie mit einer PIN gesichert. Die Bequemlichkeit ist also wichtiger als Absicherung gegen Diebstahl. Handys sind zudem meist auf einen Anbieter gelocked und das wird kaum als Einschränkung aufgefasst. Im Gegensatz zu Deutschland gibt es viele extreme Situationen wie Erdbeben oder Taifune. In diesen Situationen werden über Handys Emergency Alerts als SMS-Broadcast verschickt. Zum Beispiel wenn Flüsse in Folge eines Taifuns hohe Pegelstände aufweisen oder per SMS zur Evakuierung aufgerufen wird – wie vor kurzem auch in dem Stadtteil von Tokyo, in dem ich wohne. Japan ist bekannt für seine gut ausgebaute Internet-Infrastruktur. Bei meinem Zugang sind physikalisches Medium (Glasfaserkabel) 0x18 und Contentprovider zwei unterschiedliche Unternehmen, mit denen ich je eigene Verträge habe. Mein Contentprovider bietet auch IPv6 per Opt-In, das ich einfach online per Formular freischalten kann. Die Mobilnetzabdeckung in Japan ist sehr gut, selbst bei Benutzung des Shinkansen, des japanischen ICE. Die vielzitierte Pünktlichkeit der japanischen Züge stellte sich interessanterweise erst nach der Privatisierung der Bahnen ein. Die Dienste von Yahoo Japan werden gefühlt öfter benutzt als die von Google: Yahoo Maps kam lange besser mit den Eigenheiten der japanischen Hausadressierung klar. Yahoo Japan bietet viele landestypische Overlaykarten: Vorhersagen zur Geschwindigkeit von Taifunen, Maps mit den besten Plätzen um die Kirschblüte zu sehen, der aktuellen Auslastung von Bahnhofstoiletten oder von Zügen. Fast alle Japaner fahren mit der Bahn zur Arbeit, meist mit dem Smartphone in der Hand. Datenschleuder 102 / 2020 Vertrauen by default Viele Webseiten sind für Smartphones optimiert. Zum Beispiel werden Trailer von neuen Filmen mit einzelnen Screenshots auf einer langen Webseite gezeigt und beschrieben. Gigazine hat zum Beispiel 36c3-Videoinhalte entsprechend aufbereitet. [4] Ich mache jeden Tag neue Entdeckungen, die die bisherigen Erklärungen wieder in Frage stellen. Was jedoch geblieben ist, ist meine Faszination dafür, wie unterschiedlich Menschen für teilweise gleiche Zwecke unterschiedliche technologische Lösungen entwickeln und nutzen. In diesem Artikel habe ich mich auf technikrelevantes beschränkt, über die Gesellschaft und das Leben hier gibt es aber noch viel mehr zu entdecken. Meine Gedanken dazu sind auf meinem Blog [5] zu finden. Referenzen [1] Werbevideo eines Roboterherstellers in dem ein Roboter mit einem Katana verschiedene Aufgaben erfüllt: https://www. youtube.com/watch?v=O3XyDLbaUmU [2] Solarbetriebene LEDs mit Näherungssensor im Straßenbelag einer japanischen Kreuzung: https://chaos.social/@globalc/ 101511425685392693 [3] Ein kleiner Roboter entschwindet auf Geschäftsreise: https://chaos.social/@gl obalc/102857047318655242 [4] Gigazine hat 36c3-Videos für japanische Konsumenten aufbereitet: https://gigazine.net/news/20200108inside-the-fake-like-factories/ [5] Das Blog des Autors mit weiteren Eindrücken aus Japan: https://fluxcoil.net/jpblog (squeuei via flickr CC BY 2.0) Datenschleuder 102 / 2020 0x19 Regionale Öffentlichkeitsarbeit von nanooq Im November fand das RegioPR-Geekend in Wien statt, um sich Wissen und Fähigkeiten zum Thema lokale Öffentlichkeitsarbeit anzueignen. Im Fokus stand der Kommunikationsprozess um das Chaos in der lokalen Öffentlichkeit zu verankern. Ein Workshop um unsere Öffentlichkeitsarbeit zu verbessern Vom Freitag, den 15. bis Sonntag, den 17. November 2019 trafen sich 17 Personen aus dem Chaos im Wiener Künstlerhotel „Am Brillantengrund“. Das Treffen, ein vom CCC e. V. unterstütztes Geekend, hatte zum zentralen Thema, die lokale Öffentlichkeitsarbeit der Teilnehmenden um die CCC-Standpunkte und (lokale) Chaosveranstaltungen weiter auszubauen. Sie betrachteten dabei verschiedene Ebenen und Medien der gesamte Prozesskette der Öffentlichkeitsarbeit, von der persönliche Vorbereitung über die konstruktive Durchführung bis hin zur Nachbereitung. Lernen von Szeneexperten Inhaltlich profitierten die Teilnehmenden von den Beiträgen der eingeladenen Expertinnen und Experten: Den Anfang machte Linus aus dem Team der Sprecher des CCC über deren Arbeit, seine Erfahrungen und Lehren, wie Vorbereitung den guten Ruf des CCC schützt und pflegt. Danach stellte André vom c3w die theoretischen Grundlagen der Öffentlichkeitsarbeit vor, die in seinem Beruf als Journalist und PR-Berater gelten: Das Habermas’sche Modell und seine Geltungsansprüche Verständlichkeit, Wahrheit, Richtigkeit und Wahrhaftigkeit. 0x1a Der lustvolle Innenhof des charmanten Hotels (CC0 Chaos Siegen) Daraufhin ermutigte Werquer zur Guerillakommunikation mit anschaulichen Beispielen und Einblicke in Aktionen aus seiner Zeit Datenschleuder 102 / 2020 Workshop Regionale Öffentlichkeitsarbeit als Verantwortlicher für Öffentlichkeitsarbeit bei der Wiener NGO epicenter.works. Der anschließende Vortrag von Eest9 veranschaulichte Formen des Framings mit Analysebeispielen und -übungen für die Teilnehmenden. Darauf aufbauend stellte vollkorn, ebenfalls einer der Sprecher des CCC, den Teilnehmenden drei schwierige, selbst erlebte Fallstudien und sein jeweiliges Auflösen der Situationen vor. Seine Lehren wurden gemeinsam diskutiert und reflektiert. Ein Medientraining rundete das Wochenende mit praktischen Tipps, Einblicke in die Abenteuer des freien Journalismus und Verhalten in verschiedenen Interviewsituationen ab. Die immer mehr mit dem Thema und miteinander vertraute Gruppe befragte die Beitragenden neugierig und interessiert. Die anschließenden Diskussionen enthielten sodann auch persönliche Berichte, schöne Anekdoten und spannende Einblicke. „Spannend war zu erfahren, wie trickreich Journalisten versuchen, aus ihren Interviewpartnern ihre Geschichte herauszuholen“, meinte Fabos vom Chaostreff Gießen, mit zuständig für die dortige lokale Öffentlichkeitsarbeit. „Dieses Wochenende hat meine Sicht auf das Thema erweitert, mir ist die Struktur von Pressearbeit klar geworden“ freut sich Keytamer, in Siegen zuständig für die Öffentlichkeitsarbeit von verschiedenen chaosnahen Gruppen. Die Ergebnisse des Geekends und weitere Unterlagen wie Vortragsfolien, Handouts, Notizen und Protokolle befinden sich in unserem Wiki. zu gehörte auch ein schlichter und anfangs kalter Workshopraum mit „Heizschwammerl“. Neben dem Angebot an Tee und Kaffee teilten die Teilnehmenden auch eine Menge an Süßigkeiten und Floramate. Wien bot zur ausgezeichneten persischen und philippinischen Küche auch eine ansprechende Technoszene und Kneipenkultur. Dieser Workshop ist ein wichtiger Meilenstein für die RegioPR-Gruppe, die zum Ziel hat, dezentrale Öffentlichkeitsarbeit zu vernetzen und auszubauen. CCC-Standpunkte, tuwat.txt und die Hackerethik sollen öffentlich in den Orten der Chaosentitäten platziert und wiederholt werden. Die Pressemitteilungen sollen den lokalen Medien bekannt gemacht und eigene, benachbarte und relevante Chaosveranstaltungen beworben werden. Deshalb soll der Workshop nun jährlich stattfinden. Wie arbeitet die RegioPR eigentlich? Diese Kommunikation, Vernetzung und Koordination findet über die Mailingliste regio-pr@chaos-siegen.de der Gruppe statt. Daneben gibt es das „Erste-Montagim-Monat“-Mumble, welches seit dem CCCRegiowochenende 2018 regelmäßig stattfindet und protokolliert wird. Bisher halfen wir uns gegenseitig bei der Formulierung von Pressemitteilungen und bei der Bewerbung von Chaosveranstaltungen. Außerdem haben wir uns über Termine und Themen informiert. Außerdem werden regelmäßig persönliche Treffen und Workshops gefordert. Die persönlichen Treffen finden meist als „self-organized Kontext zum Workshop sessions“ auf Chaosveranstaltungen statt. Das Federführend organisiert wurde das Geekend Geekend im November 2019 war der erste von André, Mitbegründer der Gruppe „Regio- Workshop. nale Public Relations“ mit Unterstützung von qch3n, beide sind auch Mitglied im c3w. Da- Datenschleuder 102 / 2020 0x1b Workshop Regionale Öffentlichkeitsarbeit Rückblick, 36c3 und Kontakt Vor einem Jahr lernten sich André (c3w), fabos (Chaostreff Gießen) und nanooq (Chaos Siegen) auf dem CCC-Regiowochenende 2018 kennen und arbeiteten zum Thema „Dezentrale Öffentlichkeitsarbeit“ zusammen. Zuerst wurde das Thema auf dezentrale Öffentlichkeitsarbeit eingegrenzt, um CCC-Standpunkte und Chaosveranstaltungen lokal zu verankern. Seither machen viele, verschiedene Personen aus unterschiedlichen Regionen des Chaos mit und tragen zur Weiterentwicklung der regionalen Öffentlichkeitsarbeit bei. Die ersten Meilensteine sind, wie oben berichtet, erreicht und dennoch liegen noch etliche vor uns. Wenn du Lust bekommen hast, mitzumachen, bist du herzlich eingeladen. Mehr Informationen gibt es bei den Teilnehmenden: • André (c3w) • Aziroshin (Chaos Bern) • eest (c3w) • fabos (Chaostreff Gießen) • Jana (CCC Schweiz) • Jali (CCC HB - Bremen) • jinxx (CCC Wien) • KeyTamer (Chaos Siegen) • Linus (Sprecherteam) • mapc (Hannover) • nanooq (Chaos Siegen) • Piko (Haecksen) • qch3n (c3w) • Stean (CCC Mannheim) • Susi (CCC Salzburg) • vollkorn (Hamburg, Sprecherteam) • werquer • Zack (Chaos Siegen) Für die touristischen Seiten Wiens blieb vor lauter Programm gar keine Zeit 0x1c (vollkorn) Datenschleuder 102 / 2020 17. Datenspuren im September in Dresden von Xyrill Seit es schriftliche Aufzeichnungen gibt, wissen wir von Autoren, die zu träumen wagen und ihre Utopien der Nachwelt überliefern. So wie Platon in Politeia (griechisch „Der Staat“). Für ihn ist das Ideal die Aristokratie. Heute würde man es wohl eher Technokratie nennen: Eine Expertenregierung, deren Mitglieder nach ihrer Tugendhaftigkeit und Kompetenz ausgewählt werden. Das sehen wir als gefestigte Demokraten heute wahrscheinlich anders. Auch die laserscharfe Fokussierung aller Anstrengungen auf die Förderung eines starken Gemeinwesens bringen wir heute wohl eher mit China als mit der Wiege der westlichen Zivilisation in Verbindung. Wir müssen wohl woanders nach Utopien suchen. Wie wäre es vielleicht mit einer Utopie, mit der viele von uns aufgewachsen sind? In Star Trek wird eine ferne Zukunft präsentiert, in der wir die Grenzen von Nationalstaaten und die Zwänge einer geldbasierten Wirtschaft überwinden und eine Gemeinschaft mit Außerirdischen verschiedenster Couleur bilden, die auf die maximale Entfaltung des Individuums ausgerichtet ist. Aber auch diese Utopie ist nicht so gut gealtert: „Computer, wo befindet sich Lieutenant Paris?“ — „Lieutenant Paris ist auf der Krankenstation. Deck vier, Sektion 24.“ Offenbar wurden mit Kapitalismus und Nationalismus auch Privatsphäre und Datenschutz über Bord geworfen. Aber dafür müssen wir nicht erst ins 24. Jahrhundert reisen. Denn schon heute ist die Utopie so nah! Sagen zumindest TechKonzerne und Startups allerorts. Alles, was noch fehlt, sind unsere persönlichen Daten in einem Rechenzentrum im Silicon Valley. Dann Datenschleuder 102 / 2020 kann Siri uns endlich unsere Lieblingsmusik vorspielen, während Alexa den Kühlschrank wieder auffüllt und Cortana die E-Mails sortiert. Besteht unsere Vorstellung eines besseren Morgen also nur aus noch mehr Sprachassistenten? Hoffentlich nicht, denn als technikinteressierte Datenreisende haben wir die Werkzeuge, um die Zukunft der Gesellschaft mitzugestalten. Erlauben wir uns, zu träumen, und suchen wir einen Weg, wie wir aus dem Traum Wirklichkeit werden lassen. Was glaubt Ihr, wie sieht unser Leben in 5, 10 oder 50 Jahren aus? • Gehen wir in der Freizeit aufs Holodeck? Oder findet das echte Leben immer noch im realen Leben statt? • Werden die Städte autofrei? Oder kommen wir mit dem autonomen Flugtaxi ans Ziel? • Ist Google endlich datensparsam? Oder finden wir das, was wir suchen, auf ganz neuen Wegen? Datenspuren 2020 – Mehr Utopie wagen – Eintritt frei: 18.–20. September im Zentralwerk, Riesaer Straße 32, Dresden https://datenspuren.de/2020/ Wir freuen uns auf Eure Einreichungen, egal ob als Vortrag, Podiumsdiskussion, Workshop oder Kunstinstallation. Zusammen wollen wir auf den 17. Datenspuren „Mehr Utopie wagen“. 0x1d Das tiptoi-Projekt von Joachim Breitner Mit dem tiptoi-Stift bespaßt Ravensburger seit einem Jahrzehnt erfolgreich Kinder im Alter von vier bis zehn Jahren, ganz wie geplant. Dass sie damit aber auch erfolgreich ausgewachsene Hacker bespaßen würden, die lieber eigene tiptoi-Werke kreieren, war vermutlich nicht vorgesehen. Wie kam es eigentlich dazu? Der tiptoi-Stift ist ein grell-orangenes, leicht klobiges Gerät, mit dem man die vielen speziell dafür veröffentlichten Bücher, Spiele, Figuren etc. erkundet. Tippt man zum Beispiel die Kuh im Stall an, so hört man ein Muhen oder erfährt etwas Wissenswertes über die Kuh. Auch komplexere Interaktionen, bis hin zu kompletten Brettspielmechaniken, sind dabei möglich. Schnell stellt sich die Frage: Wie funktioniert das? Und dann natürlich auch: Kann ich das selber machen? keln und Videos beschrieben (siehe Kasten: Selber basteln!). In diesem Artikel hier erzähle ich – aus meiner persönlichen Perspektive – wie dieses Projekt zu Stande kam, welche Hürden es zu nehmen gab und wo wir heute stehen. Lust auf eigene Basteleien? Auf https://tttool.entropia.de/findest du die Galerie mit existierenden Projekten, das tttool zum Herunterladen, das „tttoolHandbuch“ sowie Links zu Videos und Magazinartikeln. Auf der tiptoi-Mailingliste helfen wir gerne weiter und freuen uns über Erfolgsberichte. Was davor geschah Im Frühling 2013, mein Neffe ist gerade voll im tiptoi-Fieber, gehe ich auf erste Recherchen. Einiges über die Funktionsweise des Stiftes kann man sich selber erschließen: Die Bücher selbst (Carsten Podszun) enthalten keine Elektronik (auch keine RFIDChips, wie manche erstmal vermuten), sonGetrieben von dieser Frage haben sich ein dern sind mit einem feinen schwarzen Punktpaar technisch Interessierte gefunden um muster, dem sogenannten OID-Muster, überdie Funktionsweise des Stiftes zu reverse- zogen, was man mit Lupe oder guten Augen engineeren und so die Werkzeuge zu schaffen, erkennen kann, und das der Stift mit einer Kamit der jeder die Produkte von Ravensburger mera in der Spitze einliest. Zu jedem Produkt, neu vertonen oder komplett neue Werke für das man kauft, lädt man eine .gme-Datei, etden tiptoi erstellen kann. Wie man das selber wa 10–100 MB groß, auf den Stift, der sich als macht ist in Handbüchern, Zeitschriftenarti- USB-Massenmedium ausgibt. Dies legt nahe, 0x1e Datenschleuder 102 / 2020 tiptoi-Projekt OggS. Diese Bytefolge müssten ja demnach oft in der GME-Datei zu finden sein …war sie aber nicht. Zumindest nicht direkt, denn die ganze Datei ist „verschlüsselt“. Verschlüsselt nur in Anführungszeichen, denn es schien als ob jedes Byte der Audio-Dateien mit einem festen Wert ge-XOR-t wird (z.B. mit 0xAD der Wert unterscheidet sich von GME-Datei zu GME-Datei). Diesen „Schlüssel“ kann man einfach durch Ausprobieren aller 256 möglichen Werte herausfinden: Der, der die meisten „OggS“-Strings in der Datei produziert, ist wohl der richtige. Nun wusste man, wo die Audio-Dateien liegen. Und man fand auch eine einfach gestrickte Tabelle in der Datei, in der alle Audio(Schwesterschlumpf CC BY-SA 3.0) Dateien mit Offset und Länge aufgeführt werden, so dass man sie gut einzeln extrahieren Ich war natürlich nicht der erste, der sich kann. Doch die Dateien waren irgendwie korso mit dem tiptoi-Stift beschäftigt hat, und rupt. Viktor fand noch heraus, dass wohl Nullfand weitere Informationen auf dem Blog bytes (0x00) nicht ge-XOR-t werden, und ich Geeky Thinking [2] und im Mikrocontroller- folgerte daraus, dass auch das Magic-Bytes Forum [3]. Die erste Frage, die sich stellt, ist: selbst in Ruhe gelassen wird. Aber auch damit kann man die Audio-Snippets in den GME- funktionierten die Audio-Dateien nicht, und Dateien finden, um sie zu extrahieren oder gar für den Rest des Jahres passierte nichts mehr. zu ersetzen? Ich hatte für meine Experimente ein bissSo hat Martin Oberhuber einfach mal dreist chen Haskell-Code geschrieben, den ich auf Ravensburger gefragt und erfahren: dem GitHub-Bereich des Karlsruher Entropia veröffentlichte [4]. Wir verwenden für die GME-Dateien ein proprietäres Format. Mir ist nicht bekannt, dass Der Hahn macht Kuckuck es möglich ist die eigentlichen Audiodaten (OGG Vorbis Komprimierung) daraus zu ex- Das Projekt ruhte – bis kurz nach Weihnachten 2013. Jedes Jahr ist das eine spannende Zeit: trahieren. Ein neuer Schwung tiptoi-Stifte schwappt in Auch wenn Ravensburger sicherlich nicht die Kinderzimmer, und die zugehörigen techvorhatte, der Entschlüsselung des Formates nikinteressierten Eltern haben ein paar TaVorschub zu leisten, war das tatsächlich sehr ge Zeit. Diese stießen nun auf mein GitHubhilfreich: Wie auch andere Binärformate be- Projekt, fragten ob ich inzwischen weiter geginnen OGG-Dateien immer mit den gleichen kommen sei und schauten sich selber nochmal vier Bytes, den sogenannten magic bytes, hier die Dateien an. Und endlich fand Matthias Weber den fehlenden Puzzlestein: Auch das Byte dass diese GME-Datei die Audiodateien und Spiellogik enthält. Bei jedem Produkt muss man erst ein dediziertes Anschaltfeld antippen; vermutlich lässt das den Stift wissen, welche Datei er laden muss. Datenschleuder 102 / 2020 0x1f tiptoi-Projekt 0xFF sowie das Komplement des Schlüssels werden von der „Verschlüsselung“ in Ruhe gelassen! Damit ließen sich erstmals erfolgreich die Audio-Samples aus den GME-Dateien extrahieren und abspielen. Die nächsten Tage waren spannend: Fünf Bastler, die sich nicht kannten, tauschten per E-Mail immer weitere Funde aus: Wir entdecken eine Art Tabelle, in der – gemischt mit noch nicht verstandenen Steuerbefehlen – die Audiodateien referenziert werden. Da wir nun die Audio-Dateien anhören konnten, konnten wir abschätzen, zu welcher Stelle im tiptoiBuch die entsprechende Befehle gehören, und es entstanden erste Theorien, was die Steuerbefehle bedeuten (Audio abspielen, Arithmetik, Sprünge) und wie sie aufgebaut sind – insbesondere Ulrich Sibiller ist hier viel zu verdanken. Ich selbst hatte zu der Zeit keine tiptoi-Hardware zur Hand und arbeitete bloß mit dem Hexeditor und den Beobachtungen der anderen. Die neusten Theorien baute ich stets in den Haskell-Code ein. Bisweilen nahmen diese Theorien absurde Züge an, die mit allerlei Sonderfällen und -regeln versuchten, sich den Beobachtungen anzupassen. Analogien zu den Epizykel der Astronomie vor der heliozentrischen Wende dürfen gezogen werden. Aber bald gab es Erfolge zu vermelden. Am 5.1.2014 meldete Björn Grothkast, dass er erfolgreich eine Audio-Datei austauschen konnte, so dass der Hahn nun Kuckuck krähte. Eine Woche später war das Befehlsformat fast vollständig verstanden. Am 24.1. konnten wir erstmals eine funktionierende GME-Datei erzeugen und Anfang Februar habe ich meinem Neffen den tiptoi-Weltatlas mit Familiengeschichten neu vertont! 0x20 Muster gültig? Die tiptoi-Produkte umzuprogrammieren macht schon Spaß, aber das nächste Ziel war natürlich, auch eigene Produkte zu gestalten. An sich klingt das einfach: Man gestaltet sein Buch, legt das OID-Muster aus feinen schwarzen Punkten darüber, druckt es aus, und erstellt eine dazu gehörigen GME-Datei. Die Muster selbst sind nicht sehr kompliziert: alle Millimeter wiederholt sich ein Quadrat bestehend aus 4×4 Punkten. Sieben dieser 16 Punkte benutzt der Stift um sich zu orientieren, die anderen 9 sind jeweils in eine der vier Diagonalen verschoben, was somit – abzüglich 2 Bit für eine Checksumme – eine 16-Bit-Zahl kodiert. Bereits im Januar steuerte Tobias Bäumer ein in JavaScript geschriebenes Werkzeug bei, das diese Muster dekodiert und auch entsprechende Bilddateien erzeugen kann. Diese werden sogar vom Stift erkannt, wenn man sie auf einem guten Laserdrucker ausdruckt! Allerdings liest der Stift eine andere Zahl aus als das Muster selbst kodiert. Der Stift unterstützt dankenswerterweise eine Art Datenschleuder 102 / 2020 tiptoi-Projekt Debug-Modus, in dem er stets den eingelesenen Code – auf Chinesisch – vorliest. In mühsamer Kleinarbeit begannen nun @Ol-li, Patrick Spendrin und andere die OID-Muster unter der Lupe zu dekodieren, sich vom Stift die tatsächlich gelesene Zahl vorlesen zu lassen, und das in einer Tabelle zu sammeln. Leider ohne eine Regelmäßigkeit dahinter zu erkennen. üblich auch online gestellt, und inzwischen allein auf YouTube über 280.000 mal angeschaut. Wenn sich auch nur 1% davon inspirieren ließ, etwas mit dem tttool zu basteln, sind das 2800 Kinder, denen meine Bastelei Freude bereitet hat. Das ist ein sehr schöner und motivierender Gedanke. Massenmedien Sehr hilfreich war auch dass Patrick Frey den OidProducer fand, ein chinesisches Programm, das OID-Muster für verschiedene Systeme erstellt. Darin fand er die vollständige Tabelle, die der im Muster kodierten Zahl den vom Stift erkannten Wert zuordnet. So müssen sich die Bastler mit dieser Komplikation nun nicht mehr herumschlagen. Auch sonst wurde das Bastlen mit dem tttool immer komfortabler: Um die Entwicklung zu beschleunigen, lernte das tttool die benötigten Audiodateien auch erstmal selbst per Text-to-Speech zu erzeugen und einen übersichtlichen Bogen mit allen OID-Mustern eines Projekts zu erstellen. Mit ttaudio von Andreas Grimme [8] und ttmp32gme von @thawn [9] entstanden grafische Anwendungen, die auf das tttool aufbauen. Wir richteten eine Mailingliste ein [10], auf der sich über Tricks, Probleme und Projekte ausgetauscht wird. Eine stetig wachsende Galerie mit Erfolgsgeschichten schmückt die tttool-Webseite [11], und ein umfassendes Handbuch entstand. Davon ließ Carsten Podszun sich nicht abschrecken und veröffentlichte im September 2014 ein Video-Tutorial auf YouTube [5], in dem er beschrieb, wie er eine Seite eines eigenen tiptoi-Buches komplett selber gestaltet hatte: von der Bildbearbeitung (Sättigung raus!), der Mustergenerierung (10×10 Pixel pro Muster), dem Druck (Farben und Muster getrennt drucken) bis zur Programmierung mittels meines tttool. So kam wieder neuer Schwung ins Projekt. Das tttool lernte die Muster als PNG- oder SVG-Datei auszugeben und dabei – zumindest für die uns bekannten Codes – zwischen den vom tiptoi-Stift und den im Muster kodierten Zahlen umzurechnen. Inspiriert durch eine Anfrage vom Fablab Karlsruhe, ob Carsten und ich nicht dort einen Workshop anbieten wollten, spielten wir mit der Idee, einen Artikel über das tiptoi-Basteln zu schreiben. Wir erwägten damals tatsächlich die Datenschleuder, zielten dann aber doch nicht ganz so hoch und schrieben einen Text für die c’t [6]. Weitere Publicity bekam das Projekt auf der Gulaschprogrammiernacht 2015 in Karlsruhe, auf der ich einen Vortrag gehalten und ein Workshop angeboten habe [7]. Der Vortrag – eigentlich für die etwa 40 Technikaffinen im Publikum gedacht – wurde wie beim CCC Datenschleuder 102 / 2020 Reifeprozess Haskell? Die Wahl von Haskell als Programmiersprache war eher dem Zufall geschuldet – es war einfach das Geschickteste für meine ersten Experimente. Anfangs war ich selbst noch positiv überrascht, wie gut man mit Haskell auch binäre Daten verarbeiten kann und wie schnell 0x21 tiptoi-Projekt ich neue Erkenntnisse meiner Mitstreiter umsetzen konnte. Inzwischen bin ich positiv überrascht, wie zuverlässig das Programm jetzt schon mehrere Jahre arbeitet, und es werden fast keine Bugs gemeldet, die an Programmierfehlern liegen. Auch die Plattformunabhängigkeit ist hervorragend: Selbst nur auf Linux unterwegs, konnte ich trotzdem auch WindowsBenutzer versorgen (anfangs per WINE, inzwischen per Cross-Compilation unter Nix). Inzwischen bestehen die tttool-Releases aus einer einzelnen ZIP-Datei, die unter Windows, OSX und (statisch gelinkt) allen Linuxen funktioniert – und das mit eingebautem Support für die Erzeugung von PNG, SVG und PDF. Andererseits bedeutete die Wahl von Haskell sicherlich auch, dass ich weniger CodeContributions bekommen habe und manches selber machen musste (oder durfte). Insgesamt habe ich es nie bereut, hier Haskell benutzt zu haben. messe ein. Für einen Brettspieler wie mich ist es natürlich ein schönes Schmankerl, diese für die Öffentlichkeit nicht zugängliche Fachmesse zu besuchen. Dort traf ich mich mit zwei Redakteuren (nicht Anwälten!), die sich sehr dafür interessierten, was wir da so machen. Sie wollten wohl prüfen, ob Ravensburgers Interessen irgendwie berührt werden. Dies scheint nicht der Fall zu sein, und ich verließ das Treffen mit dem guten Gefühl, dass wir wohl ruhig so weiter machen können, solange nichts rufoder geschäftsschädigendes damit angestellt wird. Tatkräftige Hilfe, etwa mehr technische Information, ist von Ravensburger allerdings auch nicht zu erwarten. Carston Podszun hatte mit seinen Basteleien ebenfalls die Aufmerksamkeit von Ravensburger geweckt und berichtet auch von stets wohlwollendem Interesse. Ich hoffe diese Erfahrungen nehmen einigen Bastlern ihre Sorge. Um auch die letzten Sorgen zu nehmen, wäre eine Einschätzung von jemand mit entspreDarf man das denn? chender Ahnung und Ausbildung sehr interDie wahrscheinlich häufigste Frage zu dem essant. Kommentare bitte als Leserbrief an die Projekt ist sicherlich: Darf ich das? Ist das le- Datenschleuder-Redaktion! gal? Bekomme ich Ärger von Ravensburger? Gibt es da Patente? Teilweise berichteten mir Leute nur in privaten Mails von ihren Projek- Ausblick ten, statt sie auf der Mailingliste mit allen zu Die letzten Jahre ist es etwas ruhiger um das teilen. Projekt geworden. Das Dateiformat ist soweit Natürlich bin ich kein Anwalt und habe entschlüsselt, dass auch komplexe Projekte mich auch nur auf mein Bauchgefühl verlas- umgesetzt werden können, etwa ein Taschensen, aber meine Devise dabei war immer: wenn rechner, Geburtags-Schnitzeljagden oder ein man niemanden stört, bekommt man auch Monkey-Island-Spiel zum Ausschneiden und kein Ärger. Welche Motivation sollte Ravens- Antippen, und die Software wird immer wieburger denn haben, Hobbyisten zu belangen? der mal leicht verbessert. Das macht doch schon aus Publicity-Gründen Doch es gibt noch offene Baustellen: Mankeinen Sinn. che GME-Dateien von Ravensburger enthalTatsächlich wurden Mitarbeiter von Ravens- ten ARM-Binärcode, der auf dem Stift direkt burger auf das Projekt aufmerksam, und luden ausgeführt wird. Wenn wir verstehen würden, mich Anfang 2015 auf die Nürnberger Spiele- wie man solchen korrekt erzeugt und die Hard- 0x22 Datenschleuder 102 / 2020 tiptoi-Projekt ware anspricht, könnte man deutlich aufwen- [5] Podszun, Carsten: „TUTORIAL - tiptoi / digere Logiken umsetzen. Oder vielleicht kann TING eigenes Spiel selbst drucken - print man auch die komplette Firmware des Stiftes own audible book - OIDs drucken“ (Youdurch eine eigene ersetzen – erste Erfolge, den tube 2014), https://www.youtube.com/wa tiptoi-Stift zu Flashen und eigenen ARM-Code tch?v=4AjvjFM8GzM auszuführen, sind vielversprechend und wer- [6] Podszun, Carsten und Breitner, Joachim: den von Matthias Weber im snowbirdopter„Stiftzauber - Eigene Bücher und Spiele Projekt vorangetrieben [13]. Wem es nach diefür den Tiptoi vertonen“ (c’t 08/2015), sem Text unter den Nägeln juckt, mal wieder https://www.heise.de/ct/ausgabe/2015-8ein bisschen Reverse-Engineering zu betreiEigene-Buecher-und-Spiele-fuer-den-Tip ben, darf uns hier gerne unter die Arme greitoi-vertonen-2578001.html fen. [7] Breitner, Joachim: „Der Tiptoi-Stift“ Vortrag GPN2015, https://media.ccc.de/v/g pn15-6687-der_tiptoi-stift Referenzen [8] Grimme, Andreas: „ttaudio Repository“, [1] „tip-toi-reveng Wiki - Links and Resourhttps://github.com/sidiandi/ttaudio ces“, https://github.com/entropia/tip-toi- [9] Korten, Till: „ttmp32gme Repository“, reveng/wiki/Links-and-Resources https://github.com/thawn/ttmp32gme [2] „TipToi - Geeky Thining“, https://web. [10] „tiptoi-Mailingliste“, https://lists.nomeat archive.org/web/20170815192639/http: a.de/mailman/listinfo/tiptoi //www.quadrierer.de/geekythinking/blog [11] tttool, das Schweizer Taschenmesser für /?itemid=368 den Tiptoi-Bastler, https://tttool.entropia. [3] „Wie funktioniert die Erkennung beim de/ Hörstift TING? - mikrocontroller.net“, [12] Das tttool-Buch, https://tttool.readthedo https://www.mikrocontroller.net/topic/ cs.io/ 214479 [13] snowbirdopter – dynamic reverse enginee[4] „tip-toi-reveng Repository“, https: ring tool for the tiptoi pen’s processor, http //github.com/entropia/tip-toi-reveng s://github.com/maehw/snowbirdopter Datenschleuder 102 / 2020 0x23 Auswahl eines E-Mail-Providers von Robert M. Albrecht (romal) In der letzten Datenschleuder wurden wir nach Hinweisen zum Datenschutz bei E-Mail gefragt. Das ist ein spannendes Thema. Sucht man nach diesem Thema finden sich lange Screenshotund Klick-Strecken für bestimmte Mail-Apps. Aber eine E-Mail-App und deren sinnvolle Konfiguration kann nicht heilen, was schon weiter vorne kaputt gegangen ist; oder verhindern, dass der E-Mail-Server komische Dinge macht. Daher müssen wir dieses Thema etwas grundlegender angehen und haben für diesen Artikel einen anderen Fokus: Wie wähle ich mir einen für mich passenden E-Mail-Anbieter aus? Diese Frage stellt sich natürlich nur, wenn man seinen E-Mail-Dienst nicht selber betreiben möchte. Wer sich das zutraut, hat dann natürlich die totale Kontrolle über seine E-Mails. Aber er erbt leider auch alle die Aufgaben, die mit dem Betreiben eines E-Mail-Dienstes zusammenhängen. Klassische Betriebsaufgaben wie Patches einspielen sind da noch die harmlosen Dinge. Die anspruchsvollen Dinge sind heute Spam- und Malware-Filterung, verhindern, dass die eigenen Mails in anderen SpamFiltern hängen bleiben, Mobile-Sync-Dienste betreiben, TLS-Zertifikate managen, Gesetze einhalten, …Das erfordert viel Knowhow und viel Zeit. Wer E-Mail einfach nur benutzen will, sucht sich daher jemanden, der alle diese Dinge für ihn macht. Wohltätigkeitsorganisation sind, müssen diese Kosten irgendwie gedeckt werden. Dazu haben Anbieter im Kern drei unterschiedliche Geschäftsmodelle: Er zahlt, der Kunde zahlt, oder wer anders zahlt. • Der Fall „Kunde zahlt“ ist einfach. Der Kunde nutzt den Dienst und bezahlt dafür. • Der Fall „Der Provider zahlt“ ist auch einfach. Eigentlich möchte der Provider was verkaufen (zum Beispiel eine DSL-Leitung) und bietet daher eine Art Demo an. Diese Zugänge sind üblicherweise beschränkt; Meistens fehlen Features, Protokolle oder der Speicherplatz ist sehr gering. • Wenn der Kunde nicht zahlt, zahlt wer anders. Aber warum sollte wer anders für Deinen E-Mail-Dienst zahlen? Was hat er davon? Was verspricht er sich davon? Die üblichen Antworten auf die Fragen Geschäftsmodell des letzten Punktes sind Werbung, MarktforDie grundsätzliche Frage bei der Auswahl ei- schung oder ähnliches. Wenn sich zwei Junes E-Mail-Providers ist: Wie sieht dessen gendliche unterhalten, braucht man diesen keiGeschäftsmodell aus? Denn die Maus beißt ne Werbung für Rollatoren zu zeigen. Das wird keinen Faden ab: Dienste anbieten kostet zu keinem Umsatz führen. Also muss der AnGeld. Die Mitarbeiter müssen bezahlt werden, bieter die E-Mails verarbeiten und die User Server müssen bezahlt werden, Connectivity segmentieren: Geschlecht, Alter, Interessen, muss bezahlt werden, Support muss geleistet Sprache, …Dazu kann man teilweise die Mewerden, Software muss installiert und gepflegt tadaten (wer redet wann mit wem) benutzen. werden, …Das alles muss bezahlt werden. Wo- Viel aussagekräftiger sind aber natürlich die her kommt dieses Geld? Da Provider keine Inhalte der E-Mail. Die werden aufgrund der 0x24 Datenschleuder 102 / 2020 E-Mail-Provider Menge nicht von Menschen, aber von Maschinen gelesen. Diese reagieren auf bestimmte Stichworte und Metadaten und sortieren die Kommunikationspartner in diese Zielgruppen ein, worüber dann die zielgruppengerechte Werbung verteilt wird. Stellen Sie sich die Frage: Bin ich bereit für meinen E-Mail-Dienst zu bezahlen? Wie viele Euro ist es mir wert, dass niemand in meine Kommunikation reinguckt? Und, kenne ich das Geschäftsmodell meines Anbieters überhaupt? Sitz hat, können Sie ihn aus praktischen Erwägungen nicht vor Gericht vorladen. Der Server-Standort ist wichtig, denn er hilft bei der Bestimmung des Rechtsraums. Ein Paradebeispiel für dieses Problem können Sie sich bei einem der beliebten VPN-Anbieter ansehen. Dessen offizieller Firmensitz ist Panama, der Sitz der Firmenmutter ist Litauen, die Server stehen (gemietet bei verschiedenen Rechenzentrumsanbietern) zum Beispiel in den Niederlanden, Ukraine, USA, …Welche Datenschutzgesetze gelten denn jetzt hier? Und was sagen andere über den Anbieter? Die Stiftung Warentest, zum Beispiel, guckt Wer ist der Anbieter? sich nicht nur Staubsauger und Toaster an. Was wissen Sie über den Anbieter? Oder gibt es Aussagen von anderen Prüforgani• Hat er ein Impressum? sationen wie zum Beispiel dem TÜV? Oder hat • Was steht in seinen AGBs drin? jemand mal eine Prüfung nach BSI, ISO 20000 • Macht er Angaben zu Kontaktmöglichkei- (IT-Betrieb), ISO 27000 (IT-Sicherheit) oder ten? ISO 14000 (Umweltschutz) vorgenommen? • Hat er einen Datenschutzbeauftragen ernannt? • Macht er Angaben welchem Rechtsraum Land er unterliegt? Verschiedene Länder haben verschiedene Ge• Macht er Angaben wo seine Server und setze, welche der Diensteanbieter berücksichMitarbeiter sind? tigen muss. Internationalität ist aber ein zwei• Wie lange gibt es ihn schon? schneidiges Schwert. Die Verteilung über ver• Was sagen andere über ihn? schiedene Rechtsräume hinweg macht es für Diese Fragen geben Ihnen einen Eindruck, Strafverfolgungsbehörden mühsam und langwie professionell und seriös der Anbieter ist. wierig zu ermitteln. Wenn Sie selber GeschäWenn er zum Beispiel einen Datenschutzbe- digter sind, kann das für Sie von Nachteil sein. auftragten ernannt hat, können wir vermu- Sie können sich selber aber auch dahinter verten, dass er sich mit der Datenschutzgrundver- stecken. Wenn Sie sich aus Deutschland herordnung (die dieses verlangt) beschäftigt hat. aus einen vietnamesischen (ist nur ein BeiWenn er AGBs hat, hat er sich mit dem deut- spiel) E-Mail-Anbieter suchen und mit dieser schen Recht beschäftigt (US-Firmen kennen Adresse verwerfliche Dinge machen, wird die üblicherweise keine AGBs). Kontaktmöglich- deutsche Polizei da vermutlich im Zweifelsfall keiten und Impressum ermöglichen Ihnen eine nicht viel erreichen. Oder es dauert sehr lange. Kontaktaufnahme, wenn mal was nicht in Ord- Genauso wenig werden Sie aber was erreichen, nung ist. Wenn Sie nicht wissen wer eigentlich wenn der Anbieter Ihre Daten verkauft oder Ihr Geschäftspartner ist und wo dieser seinen verliert. Datenschleuder 102 / 2020 0x25 E-Mail-Provider Features Bezahlen Machen Sie sich klar, was Sie eigentlich brau- Welche Bezahlmöglichkeiten bietet der Prochen: vider an? Denken Sie daran, dass das Bezah• Wie viel Speicherplatz? len Spuren hinterlässt. Natürlich kann Pay• Wollen Sie eine lokale Mail-App benutzen Pal oder Ihre Kreditkartenfirma sehen, an wen oder eher ein Web-Interface? Sie Geld überweisen. Und meistens steht in • Benutzen Sie Ende-zu-Ende-Verschlüsselung?der Überweisung auch noch eine KundennumMit PGP oder S/MIME? mer drin, sodass der Zahlungsanbieter (oder • Brauchen Sie einen MobileSync-Dienst wer auch immer Zugriff auf dessen Daten hat) wie ActiveSync? Sie einem Kundenkonto sprich einer E-Mail• Unterliegen Sie Aufbewahrungspflichten Adresse zuordnen kann. Können Sie bar zah(ordnungsgemäße Buchhaltung)? len? Per Banküberweisung ohne Kundennum• Können Sie bei dem Anbieter Ihre eigene mer (der Anbieter erzeugt dann meistens eine Domain mitbringen? Transaktionsnummer, damit er die Buchung • Brauchen Sie nur E-Mail oder auch Kalen- zuordnen kann)? der und Kontakte? • Bietet der Anbieter alle Features auch verNachhaltigkeit schlüsselt (TLS) an? • Welche Anforderungen haben Sie an das • Brauchen Sie auch Anwendungen wie Umwelt- und soziale Verhalten? Textverarbeitung und Tabellenkalkulati• Woher kommt der Strom, mit dem der Proon? vider die Server betreibt? • Welche Protokolle brauchen Sie? IMAP • Bezahlt der Anbieter seine Mitarbeiter sollte heute der Standard sein, brauchen nach einem gültigen Tarifvertrag? Sie noch POP3? Gerade bei kleinen Firmen ist es quasi un• Unterliegen Sie bei kostenfreien Accounts möglich herauszubekommen, wie deren Geirgendwelchen Einschränkungen? Einige Anbieter stellen ohne Bezahlung nur haltsstruktur (Tarifvertrag, Gleichbezahlung wenig Speicherplatz zur Verfügung, reduzie- Männer-Frauen) aussieht. Zumal Gehalt ja in ren den Viren- oder Spamfilter auf ein Mini- Deutschland ohnehin ein Thema ist, über welmum oder beschränken, wie häufig Sie Ihre ches gerne geschwiegen wird. Bei große KonE-Mails abfragen dürfen (zum Beispiel nur alle zernen sind solche Informationen üblicherweise bei den Gewerkschaften (verdi) zu bekom15 Minuten). Einige dieser Angaben sind schwierig zu men. Fragen Sie doch den Anbieter einfach prüfen, wenn der Anbieter selber keine Anga- mal. Der Auskunftsanspruch des Entgelttransben macht. Einige technische Aspekte können parenzgesetzes [2] gilt zwar eigentlich nur für Sie mit Webdiensten wie CheckTLS [1] prüfen, Mitarbeiter, aber fragen darf man ja mal. das ist aber natürlich immer nur eine Momentaufnahme. Verschlüsselung Einige Provider bieten eingebaute Verschlüsselungsfunktionen an. E-Mail-Verschlüsselung 0x26 Datenschleuder 102 / 2020 E-Mail-Provider ist leider eines der kaputtesten Themen der begehen. Dann würde ich mich zu folgenden letzten Jahrzehnte. Es gab unzählige Anläufe Empfehlungen hinreißen lassen: das zur reparieren. Übrig geblieben sind heute • Suchen Sie sich einen deutschen Provider. zwei: PGP und S/MIME. In den meisten Firmen Dieser unterliegt dem Briefgeheimnis und wird S/MIME eingesetzt. Außerhalb dieser Firder DSGVO. men wird meistens PGP eingesetzt. S/MIME • Suchen Sie sich entweder einen Anbieter können die meisten E-Mail-Apps von Haus der E-Mail-Dienste gegen Bezahlung eraus, PGP nur die wenigsten. Die Webmailbringt oder einen, der E-Mail als DemoInterfaces unterstützen bei den meisten AnService erbringt. bieter weder noch. Einige Anbieter bieten im• Große Konzern sind manchmal etwas langmerhin eine PGP-Unterstützung an. Bei beiden samer und bieten weniger Features. Dafür Varianten müssen Sie die Schlüssel irgendwo fallen diese meistens unter die Regularien lassen. Entweder auf Ihrem Endgerät (PC, Hanzum Schutz kritischer Infrastrukturen. Diedy) oder bei Ihrem Anbieter. Wenn Sie die lose stehen unter Aufsicht des Bundesamtes kal auf Ihrem Endgerät speichern, müssen Sie für Sicherheit in der Informationstechnik sich Gedanken über Datensicherung machen. (BSI) und des Bundesamtes für BevölkeDenn wenn der Schlüssel weg ist, kommen Sie rungsschutz und Katastrophenhilfe (BBK). an Ihre E-Mails nicht mehr ran. Ebenso könnte Das heißt, dass bei diesen Anbietern relativ eine Malware diese Schlüssel von Ihrem Geviele Leute mit Datenschutz, Business Conrät abgreifen und bekanntmachen. Wenn Sie tinuity und IT-Sicherheit beschäftigt sind diese Schlüssel bei Ihrem Provider speichern und diese dann auch den E-Mail-Dienst (bieten einige an), kümmert er sich um diese beaufsichtigen. Gerade in Corona-Zeiten Probleme. Dafür müssen Sie ihm vertrauen. stehen so langweilige Themen wie BusiDas Verschlüsseln von Kalendern und Kontakness Continuity plötzlich ganz oben auf ten ist nicht mal vorgesehen. Es gibt einige der Tagesordnung. Provider, die sowas gebaut haben. Das ist aber alles Marke Eigenbau. Unter Umständen verReferenzen trägt sich das nicht mit allen Endgeräten oder Apps. Oder Features wie zum Beispiel das Frei- [1] Webdienst um die Verschlüsselung eines E-Mail-Anbieters zu prüfen: geben oder Abonnieren von Kalendern gehen https://www.checktls.com/ danach nicht mehr. [2] Broschüre des Bundesministeriums für Familie, Senioren, Frauen und Jugend Fazit (BAMFSFJ), „Das neue EntgelttranspaIch möchte hier keine Produktempfehlungen renzgesetz“: https://www.bmfsfj.de/blob geben. Aber unterstellen wir mal, dass die /118146/725be947dfd1eafe0fe81768efaca meisten der Datenschleuder-Leser nicht bec72/das-neue-entgelttransparenzgesetzabsichtigen größere kriminelle Vergehen zu mehr-chancen-fuer-beschaeftigte-data.p df Datenschleuder 102 / 2020 0x27 Chaos auf die Ohren Ihr habt noch nicht genug Podcast-Abonnements in eurem Podcatcher? Wir haben redaktionsintern unsere Listen abgeglichen und uns auch im Chaos-Umfeld umgeschaut. C-RaDaR https://www.c-radar.de/ CCC Darmstadt Chaos Siegen https://podcast.chaos-siegen.de/ CCC Siegen Chaosradio https://chaosradio.ccc.de/ cccb Chaosradio Freiburg https://rdl.de/sendung/chaosradio-freiburg cccfr Chaos im Radio https://radio.ccc-p.org/ ChaosTreff Potsdam damals (tm) https://damals-tm-podcast.de/ ajuvo Datenkanal https://datenkanal.org/ Offener Kanal Jena Desperate Househackers https://desperatehousehackers.net/ jinxx Fairydust FM https://www.fairydustfm.cc/ c/o Radio Blau Hackerfunk https://www.hackerfunk.ch/ ccczh Let’s netz https://cba.fro.at/series/lets-netz-der-chaostalk-technik-web-politik Chaostreff Salzburg Logbuch Netzpolitik https://logbuch-netzpolitik.de/ Linus Neumann, Tim Pritlove Netzpolitik.org https://netzpolitik.org/category/netzpolitik-podcast/ pentaradio https://www.c3d2.de/radio.html c3d2 Radio (In)Security https://insecurity.radio.fm/ Jena, Jens und Tobias Radio Tux https://radiotux.de/ Linux, OS, Netzkultur Sibyllinische Neuigkeiten https://podcast.chaospott.de/ Chaospott Haben wir einen Podcast übersehen, der auf keinen Fall in dieser Liste fehlen sollte? Schreib uns an ! 0x28 Datenschleuder 102 / 2020