BLOG

Einladung zu digitaler Selbstverteidigung



Die Idee selbst eine Online-Plattform zu bauen, war von Anfang an eine Sicherheitsüberlegung. Studierende sollten an unseren Kursen teilnehmen können, ohne ihre Identität preisgeben zu müssen. Dieser Grundsatz steht den meisten E-Learning Plattformen paradigmatisch entgegen. Hier geht es darum, jede kleinste digitale Bewegung der Nutzer*innen aufzuzeichnen und sicherzustellen, dass die Nutzer*in auch wirklich “sie selbst” ist. Im Bereich des Online-Studiums Daten zu sammeln, wird durch die Illusion gerechtfertigt, digitalem Betrug bei der Ausgabe von Hochschulabschlüssen zuvorkommen zu können. Gleichzeitig entstehen dadurch aber Ansatzpunkte für Digital Tracking, sowie die Nutzung und Überwachung von Daten durch Unternehmen(1). Anders als bei konventionellen E-Learning Plattformen geht es bei Off-University jedoch nicht darum, Abschlüsse zu verleihen. Hinter unserer Plattform steht das Anliegen, uns für die Verbreitung von Wissen einzusetzen, dass von autoritären und rechts-populistischen Regimen politisch verfolgt wird. Außerdem ist uns wichtig, einen digitalen Raum zu schaffen, der es Menschen ermöglicht, sich in digitaler Selbstverteidigung zu übern.

 

Unsere Sicherheitsstrategie basiert darauf, so wenig wie möglich Informationen von den Kursteilnehmenden zu sammeln. Um über Nationalismus zu diskutieren, müssen wir nicht wissen wo Du wohnst oder welcher Name in deinem Pass steht. Damit du deine Hausarbeit in einem Kurs abgeben kannst, spielt es keine Rolle, ob du dich als männlich, weiblich, divers, oder ganz anders identifizierst. In einem digitalen Seminarraum gibt es andere Möglichkeiten, eine verbundene Atmosphäre zu erzeugen, als persönliche Informationen zu teilen. Wenn wir diese Informationen nicht haben, gibt es auch bei einem sehr unwahrscheinlichen erfolgreichen Hack unseres Servers keine interessanten Daten für Regierungen oder andere Angreifer.

 

First things first: Unser Server steht in Deutschland. Momentan müssen wir nicht davon ausgehen, dass Daten an andere Regierungen weitergegeben werden. Doch dies muss natürlich immer auf dem Prüfstand stehen.

 

Sicherheit beginnt schon bei dem Besuch unserer Webseite www.off-university.de. Wie ihr hier nachlesen könnt, speichern wir keine IP-Adresse (das, verwenden keine Cookies und wollen von euren Metadaten möglichst nichts wissen Standardmäßig werden zum Beispiel das Datum und Uhrzeit der Anfrage, die Zeitzonendifferenz zu GMT, der Akkustatus, Bildschirmgröße, Hardware, Inhalt der Webseite, Zugriffsstatus (HTTP-Status), die übertragene Datenmenge, die Website, von der Ihr auf die Website gelangt seid, der Webbrowser und alle installierten Plug-ins, das Betriebssystem, die Sprache und Version des Browsers gespeichert. Die Summe dieser Daten erzeugt einen digitalen Fingerabdruck, durch den deine individuelle Identität erkennbar bist. Daher haben wir kein Interesse daran, jegliche dieser Informationen zu sammeln.

 

All diese Grundsätze gelten auch für unser Lern-Management-System Coworkingsquares. Sich als Nutzer*in zu registrieren, ist möglich ohne eine Identifizierung. Wir fordern Nutzer*innen dazu auf sich selbst ein Pseudonym zu geben, der nichts mit ihrem Klarnamen zu tun hat. Auch die E-Mailadresse wird nicht verifiziert. Zugriff auf die E-Mailadresse ist aber nötig, um das Passwort zurückzusetzen. Wir möchten Bewusstsein dafür erzeugen, wie Internetnutzer*innen ihre Daten schützen und digitale Selbstverteidigung üben können. Das wichtigste für uns ist es, die Wahl zu haben, ob du sichtbar sein möchtest (für die Öffentlichkeit, die Polizei, andere Nutzer*innen, oder uns), oder es – aus welchen Gründen auch immer – vorziehst, anonym zu bleiben.

 

So gehen unterschiedliche Videokonferenzsysteme mit Datenschutz um:



Zoom (2)


Adobe Connect (3)


jit.si meet (4)


Google hangouts (5)


Coworkingsquares (6)


Daten, die bei der Registrierung durch die Nutzer*in geteilt werden


Nur für Gastgeber*in der Meetings: Name, Benutzername, verifizierte E-Mail Adresse, Telefonnummer


Name, E-mail Adresse, Benutzername, Passwort, Telefonnummer

 x


Verifizierte E-Mail Adresse, Name, Telefonnummer


Pseudonym, E-mail Adresse (Verifizierung nur nötig, um das Passwort zurückzusetzen)


Nutzungsdaten


Einstellungen und Präferenzen der Nutzer*in, Name des Treffens, Dauer des Treffens, Ankunfts- und Beendigungszeit der Teilnehmenden, Informationen die während der Nutzung des Dienstes geteilt werden  


Information, die während der Nutzung des Dienstes geteilt werden (nicht alles als persönliche Information identifizierbar)

Keine personalisierten Nutzungsdaten, Informationen die während der Nutzung des Dienstes geteilt werden, während des Meetings im Chat geteilte Informationen werden für die Dauer des Meetings gespeichert


Gesuchte Begriffe, angesehene Videos, Interaktionen mit Inhalten und Werbung, Sprach- und Audioinformation wenn Audiodienste genutzt werden, Kaufaktivität, Personen mit denen du kommunizierst oder Inhalte teilst, Aktivität auf den Seiten und Apps Dritter die Googledienste nutzen, Chrome-Browser-Verlauf, wenn sie mit deinem Google Account synchronisiert ist, Telefon-Protokolldaten wie Telefonnummer, Anrufnummer, angerufene Nummer, Zeit und Datum von Anruf und Nachrichten, Routing-Informationen, Art des Anrufs


Keine personalisierten Nutzungsdaten, Informationen die während der Nutzung des Dienstes geteilt werden, Audio- und Kameradaten werden nur gespeichert, wenn das Meeting aufgezeichnet wird


Technische Daten


IP Adresse, MAC Adresse, andere Geräteinformationen (UDID), Cookies, Art des Geräts, Betriebssystem und Version, Nutzerversion, Art der Kamera, Mikrofon und Lautsprecher, Art der Verbindung, ungefährer Standort (zur nächsten Stadt)
IP Adresse, Name des Gastgebers, eindeutige Kennzeichner (oder Benutzeragent-String wie Art des Browsers und Einstellungen, Art des Geräts und Einstellungen, Betriebssystem, Cookies (nur Meeting Informationen)

IP Adresse, Nutzer*innen spezifische URL wird genutzt um das Meeting zu erstellen (wird nach dem Meeting gelöscht)


Interaktionen von Apps, Browsern und Geräten, IP Adresse, Absturzbericht, Systemaktivität, Datum, Zeit und angefragte Verweis-URL, eindeutige Kennzeichner (Browserart und -einstellungen, Gerätetyp und -einstellungen, Betriebssystem, Mobilsysteminformation wie Anbietername und Telefonnummer)


 Keine


Encryption


Nein (6)


Sowohl unverschlüsselte (http und rtmp Protokolle) wie verschlüsselte Verbindungen (https und rtmps) werden unterstützt.


End-zu-End Verschlüsselung


Verschlüsselung des Anrufs nur “auf dem Weg”, keine Verschlüsselung von Bilder, Anruf ist für Google auf seinen Servern verfügbar


End-zu-End-Verschlüsselung


Download von Software auf den PC oder Mobilgerät notwendig


Ja


Ja (für Meeting Gastgeber*in)

Nein (für Meeting Teilnehmende)


Ja (bei Nutzung auf Mobilgerät)

Nein (für Nutzung am PC)


Nein


Nein


Konto nötig, um am Meeting teilzunehmen


Nein


Ja


Nein


Google-Konto nötig


Ja


Fußnoten


(1) Für mehr Informationen zu Digital Tracking und Corporate Surveillance empfehlen wir Wolfie Christl’s Vortrag “Corporate surveillance, digital tracking, big data & privacy” auf dem 33C3

(2) Quelle: https://zoom.us/privacy

(3) Quelle: https://www.adobe.com/content/dam/acom/en/security/pdfs/Adobe-Connect-hosted-security.pdf https://helpx.adobe.com/adobe-connect/adobe-connect-gdpr.html

(4) Quelle: https://jitsi.org/meet-jit-si-privacy/ https://community.jitsi.org/privacy https://jitsi.org/blog/security/ https://meet.jit.si/

(5) Quelle: https://support.google.com/hangouts/answer/9334169?hl=de https://policies.google.com/privacy?hl=en-US#infocollect

(6) Quelle: https://off-university.com/en-US/page/datenschutzerklarung

(7) “Um es kurz zu machen: Obwohl Zoom Nutzer*innen vielleicht ihrer Verbindungen verschlüsseln, ist es Zoom, die – teilweise im Ausland – die Schlüssel für die Kommunikation erstellen und an Nutzer*innen verteilt. Dadurch ist es für Zoom einfach, Teilnehmende und andere Dienste zu einer Unterhaltung hinzuzufügen, ohne dass es einer Aktion von Seiten der Nutzer*innen bedarf. Leider ist es dadurch aber auch einfacher für Hacker und Geheimdienste von Regierungen, Zugang zu diesen Schlüsseln zu erhalten.“ (aus dem Englischen übersetzt von Off University Digital Self Defence Collective)  Quelle: https://blog.cryptographyengineering.com/2020/04/03/does-zoom-use-end-to-end-encryption/


By: Off-University Digital Self Defense Collective