Die Mozilla Foundation hat angekündigt, dass Firefox 22.0 standardmäßig Cookies von Drittseiten blockieren wird, die bisher noch keine Cookies im Browser gesetzt haben (siehe: The New Firefox Cookie Policy). Damit sollen Tracking Cookies blockiert werden, mit denen das Surfverhalten der Nutzer website-übergreifend verfolgt werden kann. (Google als Hauptsponsor der Mozilla Foundation ist von dieser Einschränkung davon nicht betroffen, da der Browser üblicherweise beim ersten Start durch ein Google Cookie personalisiert wird.)

Ist das Blockieren der Cookies von Drittseiten ein geeignetes Mittel, um Tracking durch Third-Parties mit Cookies zu verhindern? Für einen kleinen Test haben wir einen Firefox frisch installiert, in der Konfiguration die Annahme der Cookies von Drittseiten blockiert und drei Webseiten aufgerufen. Diese Einstellung ist etwas restriktiver, als die neue Firefox Cookie Policy, aber für diese Demonstration trotzdem geeignet.

1. Zeit.de (Online-Portal der Zeitschrift Zeit)

   

   Alle Cookies sind von Firefox als First-Party Content klassifiziert worden. Folgende Cookies dienen dabei der Übertragung von Informationen an Dritte:

   • Das Cookie "rsi_segs" wird von www.audiencescience.com zur Verfolgung des Surfverhaltens auf der Webseite genutzt, um geeigente Werbung einzublenden.
   • "wt3_eid" und "wt3_sid" sind Tracking Cookies von WebTrekk.
   • Die Cookies "__umta" ..."__umtz" werden von Google Analytics ausgewertet.
   • Das Cookie "_chartbeat2" wird von www.chartbeat.com für die real-time Anlayse der Besucher genutzt.

   Die Cookies werden auf der Webseite von von Zeit.de mittels Javascript im Context der Seite generiert, ausgewertet und an die Tracking­server gesendet. Damit unterlaufen sie die Wünsche des Surfers, der keine Informationen in Form von Cookies an Drittseiten senden wollte.

2. Zalando.de (kommerzieller Webshop)

   

   Neben den bereits oben genannten Javascript generierten Cookies von Google Analytics usw. findet man bei Zalando.de einen anderen Trick, um die Blockade der Cookies von Drittseiten zu umgehen. Die Tracking Cookies "wteid_xxxxx" und "wtsid_xxxxx" von WebTrekk werden von einer unsichtbaren 1x1 Pixel großen HTML-Wanze gesetzt, die von der Subdomain "track.zalando.de" geladen und damit als First-Party Content behandelt wurde. Diese Subdomain ist ein DNS-Alias für "zalando-de01.webtrekk.net". Diese beiden Cookies werden also von einer Drittseite gesetzt und ausgewertet. Sie unterlaufen damit ebenfalls die Präferenzen des Nutzers.

3. Heise.de (IT-News Portal)

   

   Heise.de nutzt ebenfalls den Tracking Service WebTrekk. Es werden die Methoden von Zeit.de (1.) und Zalando.de (2.) kombiniert:

   • Wenn Javascript aktiviert ist, dann werden die Cookies "wt3_eid" und "wt3_sid" mit Javascript erstellt und analysiert.

   • Ist Javascript deaktiviert, dann wird eine 1x1 Pixel große, unsichtbare HTML-Wanze von der Domain "prophet.heise.de" geladen. Da die Sub-Domain First-Party Status hat, können die beiden Cookies "wteid_xxxxx" und "wtsid_xxxxx" gesetzt werden. Die Domain "prophet.heise.de" ist ein DNS-Alias für "heise02.webtrekk.net". Der whois-Eintrag für den Server (IP-Adresse: 80.190.166.27) liefert nicht "Heise Zeitschriften Verlag GmbH & Co. KG" sondern:

     inetnum: 80.190.166.0 - 80.190.166.255
     netname: WEBTREKK-GMBH-IPX-NET-DE
     descr: Webtrekk GmbH
     descr: 10245 Berlin
     country: DE

   Aufgrund der Verwendung eines DNS-Alias ist nur schwer erkennbar, dass Daten an Dritte übertragen und Cookies von Dritten gesetzt werden. In der Datenschutz Policy von Heise.de fehlt der Hinweis auf die Daten­weitergabe an WebTrekk. Die Firma WebTrekk weist gemäß deutschem Daten­schutz­recht ihre Kunden auf die notwendige Veröffentlichung der Daten­übertragung hin und stellt dafür ein Musterformular (PDF) bereit. Heise.de sollte die Daten­schutz­hinweise über­arbeiten und die an WebTrekk gesendeten Daten ergänzen.

Schlussfolgerung

Die Trackingdienste haben bereits Methoden entwickelt, um Cookies als First-Party Content in Webseiten einzubetten. Neben den hier vorge­stellten Firmen gibt es viele weitere Anbieter, die ähnliche Methoden nutzen. So wirbt Yahoo! Web Analytics auf der eigenen Webseite damit, Tracking Cookies als First-Party Content auf vielen Webseiten zu nutzen und damit 99,9% der Surfer verfolgen zu können.

Diese First-Party Cookies sind nur im Context der Webseite gültig und können ohne weitere Maßnahmen nicht zur Verfolgung von Surfern über mehrere Webseiten genutzt werden. Es werden jedoch zusätzlich weitere Methoden eingesetzt, die eine Verknüpfung der gesammelten Daten über mehrere Webseiten hinweg ermöglichen. WebTrekk sammelt z.B. folgende Daten: Geolocation anhand der IP-Adresse, die Bildschirm­größe und Farb­tiefe des Monitors, innere Größe des Browser­fensters, bevorzugte Sprache, User-Agent des Browsers, Version des Betriebs­systems sowie Einstellungen für Java (AN/AUS), Javascript (AN/AUS) und Cookies (AN/AUS). Damit ist es möglich, einen Fingerprint des Browsers zu berechnen, der für die meisten Surfer eindeutig ist. Mit diesem Finger­print ist es prinzipiell möglich, die mit First-Party Cookies gesammelten Tracking Daten von mehreren Webseiten zu verknüpfen.

Um das Tracking des Surfverhaltens durch Dritte zu verhindern, ist es notwendig, Cookies und Javascript komplett zu deaktivieren und nur bei Notwendigkeit für einzelne Webseiten freizugeben. Nach dem Verlassen der Website oder spätestens beim Beenden der Browser­sitzung sollten die Spuren gelöscht werden. Der JonDoFox und JonDoBrowser sind entsprechend vorkonfiguriert. Außerdem werden durch das Add-on AdBlock Plus die Tracking-Domains wie "prophet.heise.de" gesperrt. Während der Sitzung können Sie evtl. gespeicherte Cookies mit dem Menüpunkt "Extras - Neueste Chronik löschen" oder der Tastenkombination Strg-Alt-Entf entfernen.

SpeedPartner GmbH will perform unscheduled maintenance on the hardware running mix servers lilie/nelke/tulpe today. Please expect a downtime of about 15 minutes and reduced performance while raid disks are rebuilding afterwards.

Sorry for any inconveniences caused.

Seit einigen Wochen läuft auf den kostenfreien Mix-Kaskaden der Rollout einer neuen Server-Software, die unter anderem durch einen zusätzlichen Integritätscheck den Anwendern mehr Sicherheit bieten soll. Die aktuelle Version enthält leider noch einen Bug, der vor allem in Überlast­situationen folgende Fehler­meldung unabsichtlich auslöst:

Solche Situationen sind in den letzten beiden Wochen einerseits durch einen wegen Wartungs­arbeiten bedingten Ausfall des Dresden-Mixes, als auch wegen zeitweise sehr hohen Daten­aufkommens auf den kosten­freien Mixen verursacht worden. Im letzteren Fall hatten mögliche­rweise unbekannte Dritte das Ziel, die Verbindung zu den Anonymisierungs­diensten zu stören.

Wir arbeiten zusammen mit der TU Dresden an einer Beseitigung der Probleme sowie zusammen mit den Mix-Betreibern an einer Verbesserung der Robustheit gegen Überlast. Die Unannehmlichkeiten bitten wir zu entschuldigen.

Aufgrund technischer Probleme an der TU Dresden sind sämtliche Dienste ausgefallen, die das AN.ON Projekt für JonDonym bereitstellt. Das wird zeitweise zu Engpässen bei der Nutzbarkeit kostenfreier Mix-Kasakden führen. Wir bitten um Verständnis.

Obwohl nach repräsentiven Studien mehr als 80% der Internutzer die Verfolgung ihres Surfverhaltens ablehnen, wird es kontinuierlich weiter aus­gebaut. Dabei sind folgende Tendenzen erkennbar:

Mehr Trackingelemente auf populären Webseiten

Das Projekt Web Privacy Census der University of California verfolgt seit mehreren Jahren die Entwicklung und dokumentiert einen stetigen Anstieg von Tracking­elementen bei den meist­besuchten Webseiten (Top-100, Top-1000 und Top-25.000). Die Anzahl der gesetzten Cookies beim Besuch der Top100 Web­seiten soll als Beispiel diese Entwicklung veranschaulichen:

In den letzten zwei Jahren registrierte das Projekt außerdem eine über­proportionale Zunahme bei der Nutzung moderner HTML5-Elemente für das Tracking. Diese Tracking­elemente werden auch als EverCookies bezeichnet, da sie schwer zu kontrollieren und zu löschen sind. 38% der Top100 Webseiten setzen bereits EverCookie Techniken ein.

Da aktuelle Browser Inhalte von Drittseiten einfach blockieren können, werden die Tracking­elemente häufiger direkt in die Web­seiten einge­bettet und nicht mehr von externen Servern geladen. Das erschwert die Blockierung. Die Firma Webtrekk bietet beispiels­weise Plug-ins für gängige Blogs, Content Management und eCommerce Systeme, mit denen auch unbedarfte Webmaster den Tracking­code direkt ihr Web­angebot integrieren können.

Einige Trackingdienste verzichten auf die Markierung der Surfer mit Cookies oder Eve­rCookies und nutzen ausschließlich Browser Finger­printing für die Wieder­erkennung. Das Demonstrations­projekt Panopticlick der EFF.org zeigte, dass mehr als 80% der Browser einen ein­deutigen Finger­abdruck haben. Die Erkennungsrate stieg auf 94%, wenn Flash oder Java Plug-ins aktiviert waren. (How Unique Is Your Web Browser, PDF). Die Tracking­dienste nutzen ausgefeiltere Methoden als Panopticlick und protzen mit 30% höherer Erkennungsrate als Cookie basiertes Tracking. Andere Services nutzen Informationen des Browsers, Bildschirm­größe usw. zusätzlich, um die Erkennungs­rate zu verbessern.

Außerdem setzen viele Webseiten mehrere Trackingdienste gleichzeitig ein. Auf der Webseite des Online-Händler Zalando findet man beispiels­weise Elemente folgender Trackingdienste bzw. Werbevermarkter: 36YIELD, ADSCALE, APPNEXUS, ATDMT, ATEMDA, CRITED, DEMDEX, DOUBLECLICK, FACEBOOK, METRIGO, OPENX, PUBMATIC, ADSERVER, SOCIOMANTIC, YIELDLAB und YIELDMANAGER.

Konzentration des Marktes auf wenige unabhängige Dienstleister

Im Zuge einer "Marktbereinigung" kaufen die ganz Großen der Branche die großen und mittleren Werbe­vermarkter bzw. Tracking­firmen auf. Es entstehen sogenannte Tracking Familien, die ihren Daten unte­reinandner austauschen und zusammen eine große Reich­weite im Netz erzielen.

Die größte Tracking Familie ist das Google Imperium. 44% der weltweiten Ausgaben für Online Werbung gehen an Google oder assozierte Firmen. In den letzten Jahren hat Google unter anderem folgene Konkurenten auf dem Werbe­markt aufgekauft:

Damit konnte das Google Imperium seine Reichweite auf den populären Webseiten kontinuierlich steigern:

Weitere nennenswerte Tracking Familien bilden das Overture Netzwerk sowie die Microsoft Gruppe und die Yahoo! Familie mit einem Anteil von jeweils 3-8% auf dem Markt für Online Werbung. Mit der neu vereinbarten Kooperation zwischen Facebook und den bisher eigen­ständigen Tracking­diensten BlueKai und Epsilon entsteht der Kern einer neuen Tracking Familie, die bisher in den Metriken noch nicht erfasst ist.

Einbeziehung von Daten aus der realen Welt

Die Beobachtung des Surfverhaltens und der Online-Einkäufe liefert nur ein unvollständiges Bild unserer Interessen. Es sind erste Ansätze erkennbar, dass Daten aus dem realen Leben in die Profil­bildung einbezogen werden.

• Im Februar 2013 hat Facebook eine Kooperation mit den Datenhändlern Axciom und Datalogix bekannt gegeben. Diese Firmen werten umfangreiche Daten aus der realen Welt aus (Kredit­kartenzahlungen, Rabatt­karten usw.) Diese Daten sollen die gezielte Werbe­einblendung bei Facebook verbessern.
• Nach einem Bericht von Spiegel Online will die Deutsche Bahn Reiseinformationen aus dem Bonus-Programm versilbern. Die Bahn dementierte, gibt aber gleich­zeitig zu, dass die Daten für die Auswahl passender Werbung genutzt werden sollen.
• PayPal.com will sein Bezahlsystem auch offline in der realen Welt anbieten und verspricht den teil­nehmenden Geschäften, dass sie mehr über die Vorlieben ihrer Kunden erfahren werden. Natürlich wird auch PayPal.com mehr über die Interessen der Kunden erfahren.

Wenn der Informationsfluss in beide Richtungen ausgebaut wird, können unsere Online Aktivitäten mehr Einfluss auf das reale Leben gewinnen. Sarah Downey warnte bereits vor einem Jahr vor den negativen Folgen der Datensammlungen.

The harms of online tracking are real and growing. This isn't about targeted advertising, like the ad industry wants everyone to believe. This is about the collection and use of your personal information in ways you can't even imagine.

Bereits heute können private Online Aktivitäten darüber entscheiden, ob wir einen Job bekommen oder nicht. Ich kenne persönlich drei Fälle, in denen diese Daten bei der Auswahl der Bewerber berücksichtigt wurden. In einem Fall war das Ergebnis positiv, in den beiden anderen Fällen waren diese Daten wesentlich für Ablehnung der Bewerber.

Die Webserver von JonDonym haben neue SSL-Zertifikate für die HTTPS-Verschlüsselung erhalten.

• Für die Haupt-Domains anonymous-proxy-servers.net und www.anonym-surfen.de ist das Zertifikat mit dem folgenden SHA1-Fingerabdruck gültig:

  89:33:DD:4C:45:AA:33:CD:21:38:5E:79:8B:7A:38:FE:11:A8:10:A3

• Für alle Subdomains *.anonymous-proxy-servers.net (shop.anonymous-proxy-servers.net, storage.anonymous-proxy-servers.net usw.) ist das Zertifikat mit dem folgenden SHA1-Fingerabdruck gültig:

  6B:99:C0:75:B5:8D:AF:E0:72:)E:BF:0B:DA:26:CD:18:36:9C:65:63

Auf einem Polizeikongress finden die Teilnehmer ein dankbares Forum, um neue Überwachungsbefugnisse zu fordern. Zentrales Thema auf dem 16. Europäischen Polizei­kongress war die Wiedereinführung der Vorrats­daten­speicherung (neudeutsch: Mindest­speicher­dauer). Heraus­ragende Gedanken äußerte BKA Vize­präsident J. Maurer: Jeder Bürger müsse eine neue Sicht auf das Internet verinnerlichen und eine Speicherung von IP-Adressen sei nicht problematisch, weil:

Wer im Internet ist, hat die Privatheit verlassen.

Diese pauschale Sichtweise würde eine Aufhebung des Post- und Fern­melde­geheimnis für E-Mails und sonstige private Kommunikation im Internet bedeuten. Das Post- und Fern­melde­geheimnis wurde nach den Erfahrungen mit der faschistischen Dikatur Mitte des letzten Jahr­hunderts als Grund­recht in allen über­geordneten Normen­katalogen verankert (UN-Menschen­rechts­konvention, EU-Grund­rechte­charta, Grund­gesetz), als Schutz­recht für Bürger gegen einen über­mächtigen (Polizei-) Staat. Für mich stellt sich die Frage, ob Herr Maurer die geeignete Einstellung hat, um verantwortungsvoll die Führung einer Polizei­behörde mit weit­reichenden geheim­dienstlichen Kompetenzen zu übernehmen.

Ein weiteres Beispiel für den Geist des Kongresses war der starke Beifall für den nordrhein-west­fälische Innenminister R. Jäger, als er die Haltung von Bundes­justiz­ministerin Leutheusser-Schnarren­berger als "nah an einer Straf­vereitelung" bezeichnete. Die Bundes­justiz­ministerin hält eine Mindest­speicher­dauer von sieben Tagen für IP-Adressen und Quick Freeze für Verbindungs­daten für ausreichend (siehe Eckpunkte­papier des BJM zur VDS, PDF). Außerdem ist für Frau Leutheusser-Schnarren­berger Anonymität ein Grund­prinzip des freien Internets.

Medial begleitet wurde der Polizeikongress mit Horror­geschichten über drohende Terror­anschläge per E-Mail oder die schlimmen Folgen fehlender Vorrats­daten­speicherung für die Aufklärung von Mord­fällen (FAZ). Der Bundes­daten­schutz­beauftragte bezeichnete den FAZ-Artikel als unredlich.

Kein Sprecher auf dem Polizeikongress konnte neue Fakten oder Studien präsentieren, welche die Notwendigkeit der Vorrats­daten­speicherung wissenschaftlich belegen. Zur Erinnerung:

• Das wissenschaftlichen Gutachten des Max-Planck-Instituts (MPI) für ausländisches und internationales Straf­recht kam zu dem Schluss, dass die Aufzählung spektakulärer Einzel­fälle nicht als Nach­weis der Notwendigkeit für eine 6-monatige Mindest­speicher­dauer genügt. Die Straf­verfolgungs­behörden haben nach Ansicht der Autoren bisher keine belastbaren Begründungen für eine Schutz­lücke im Internet liefern können.
• Die Zahlen der jährlichen Kriminalstatistiken des BKA zeigen, dass die Vorrats­daten­speicherung 2009 keinen Einfluss auf die Aufklärungs­rate und die allgemeine Entwicklung der Straf­taten im Internet hatte. Es gibt von Jahr zu Jahr mehr Straf­taten im Internet bei abnehmender Aufklärungsrate.

  	2007 (ohne VDS)	2008 (ohne VDS)	2009 (mit VDS)	2010 (ohne VDS)
  Straftaten im Internet	179.026	167.451	206.909	223.642
  Aufklärungsrate im Internet	82.9%	79.8%	75.7%	72,3%

Sicherheitspolitiker aller Ebenen sollten mehr Respekt vor Grund­prinzipien unserer Gesellschaft zeigen, statt nicht-diskussions­fähige Maximal­forderungen zu präsentieren.

Hushmail.com hat seit Jahren den Ruf, ein privacy-freundlicher E-Mail Provider zu sein. Die EFF.org nannte Hushmail.com als einzigen E-Mail Provider in ihrem Tutorial über anonyme E-Mail Accounts (Don't be a Petraeus) und der Journalist P. Beuth möchte in den nächsten Tagen ein Tutorial zur Nutzung anonymer E-Mail Accounts mit Hushmail.com bei ZEIT.de publizieren.

Die JonDos GmbH empfiehlt Hushmail.com NICHT

Die Inhalte aller E-Mails werden bei Hushmail.com gescannt und in einer freiwilligen erweiterten Vorrats­daten­speicherung werden folgende Daten für 18 Monate gespeicherte (siehe Privacy Policy):

• alle Sender- und Empfänger E-Mail Adressen (VDS-Logging)
• alle Dateinamen der empfangenen und gesendeten Attachements
• die Betreffzeilen aller E-Mails (nicht verschlüsselbar)
• die URLs aus dem Text unverschlüsselter E-Mails
• ... "and any other information that we deem necessary..." (Zitat)

Mit Kündigung eines Account werden die gespeicherten Daten nicht gelöscht.

Bei der Bezahlung eines Premium-Account werden die IP-Adresse des Kunden sowie das Land, den Ort und Post­leitzahl des Kunden an mehrere PCI Compliant Services gesendet. Für die Datenschutz­richt­linien dieser Services übernimmt Hushmail.com keine Verantwortung. Die Nutzung von PCI Compliant Services mag für einen Bezahl­dienstleister wie PayPal.com sinnvoll sein. Für einen Telekommunikations­anbieter ist es nicht nötig. Die JonDos GmbH arbeitet seit Jahren bei der Abwicklung der Bezahlungen für Premium­dienste problemlos ohne die Nutzung dieser Dienste.

Die Webseite von Hushmail.com bindet mehrere Drittseiten ein. Nach dem Login im Webmail Interface wird die Hushmail-ID und der Name des Kunden bewusst (nicht versehentlich!) an diese Drittseiten übertragen. Für die Datenschutz­richt­linien dieser Drittseiten übernimmt Hushmail.com keine Verantwortung.

Wir können den politischen Widerstand gegen eine 6-monatige Vorratsdaten­speicherung (neusprech: Mindest­speicher­dauer) aufgeben, wenn zukünftig solche E-Mail Provider als privacy-freundlich gelten.

Empfohlene E-Mail Provider

Eine kleine Liste empfohlener E-Mail können Sie in unserer Anleitung Anonyme E-Mail Accounts mit Mozilla Thunderbird finden. Wir würden uns freuen, wenn Sie uns positive Erfahrungen mit anderen E-Mail Providern via Kontaktformular mitteilen. Nach einer Prüfung werden wie die Liste gern erweitern.

Im April 2012 veröffentlichte der Sicherheitsforscher Pete Swire ein wiss. Paper, in dem er internationale Tendenzen in der Überwachung untersucht. Geheimdienste und Strafverfolgung greifen verstärkt nach den "Daten in der Cloud" und setzen "Trojaner Federal" ein. Das "Lauschen am Draht" wird als ineffektiv angesehen.

Mit dem Gesetzentwurf zum Zugriff auf Bestandsdaten der Telekommunikation (GesE Bestandsdaten, BR-Drs. 664/12) vom 24.10.2012 übernimmt die Bundesregierung eine Führungsrolle in dieser Entwicklung. Zukünftig sollen Geheimdiensten wie der Verfassungs­schutz und Strafverfolger ohne richterliche Prüfung auf Bestands­daten der Telekommunikation zugreifen können. Der Begriff der Bestands­daten wird sehr weit definiert und umfasst auch PINs zum Entsperren von Smartphones, Passwörter für den Zugriff auf E-Mail Accounts und Cloud-Speicher sowie die Zugangs­daten für Endgeräte beim Kunden (Router mit TR-069 Schnittstelle). Eine Information von Betroffenen über die Daten­weiter­gabe ist untersagt. Außerdem sollen Provider zukünftig Straffreiheit bei unberechtigter Weitergabe von Daten zum Nachteil ihrer Kunden genießen.

Die Neue Richtervereinigung und die Fraktionen der PiratenPartei in den Landesparlamenten kommentieren den Entwurf kurz und bündig:

"Der Gesetzentwurf der Bundesregierung ist schlicht verfassungswidrig." (Patrick Breyer, MDL)

Auf Initiative der PiratenPartei hat das Bundesland Schleswig-Holstein folgende Änderungsvorschläge im Bundesrat eingebracht:

1. Auskunft über dynamische IP-Adressen muss den gleichen Hürden unterliegen, wie der Zugriff auf Verkehrs­daten der Telekommunikation.
2. Für die Übermittlung von Passwörtern und Zugangscodes müssen wesentlich strengere Regeln gelten als vorgesehen, da sie erheblich in die Freiheits­rechte eingreifen.
3. Betroffene sind über die Datenweitergabe zu informieren.
4. Die Bußgeldbewehrung wegen einer Herausgabe von Zugangssicherungs­codes an unberechtigte Behörden oder Dritte muss erhalten bleiben.

Nachdem am 10.12.2012 eine nicht funktionierende Bombe auf dem Bonner Haupt­bahnhof gefunden wurde, angeblich nach Anleitungen von al-Qaida aus dem Internet gebaut, sieht Innenminister Friedrich "Deutschland im Fadenkreuz des dschihadistischen Terrorismus". Der Bundesrat hat die Kritik­punkte aus Schleswig-Holstein gestrichen und sieht lediglich Klärungs­bedarf bei den Kosten für die Schnitt­stellen zum automatisierten Abruf der Daten und in der Prüfung der Recht­mäßigkeit der Auskunfts­ersuchen durch die Provider.

Die Tasche mit der "Bombe"

JonDonym Storage Grid

Wir bemühen uns im Rahmen unserer Möglichkeiten, auf diese Entwicklung zu reagieren und neue Produkte anzubieten. Für Premium-Kunden von JonDonym steht seit einigen Monaten ein Datenspeicher zur Verfügung, der im Moment nur via Webinterface nutzbar ist und (noch) nicht die Komfortfeatures einer DropBox bietet. Es werden statt dessen folgende Sicherheitskonzepte umgesetzt:

• Die Daten werden verschlüsselt und zufällig verteilt auf den Storage-Nodes gespeichert, die von vertrauenswürdigen Mix-Betreibern betrieben werden.
• Es ist kein Account nötig, um den Datenspeicher zu nutzen. Im Gegensatz zu anderen Cloud-Providern werden keine persönlichen Daten von den Nutzern erhoben wie z.B. E-Mail Adressen o.ä.
• Die kryptografischen Schlüssel für den schreibenden oder nur-lesenden Zugriff werden in der URI codiert und können keiner realen Person zugeordnet werden.
• Der Zugriff auf den Datenspeicher wird durch einen der besten Anonymisierungsdienste geschützt.

Eine empirische Studien zur Sicherheit von HTTPS zeigt, dass nur 10% der Webserver eine sicher SSL-Verschlüsselung gemäß dem Stand der Technik bieten.

Wir möchten mit diesem Artikel am Beispiel des populären Webservers Apache kurz zusammenfassen, was bei der Konfiguration zu beachten ist und wie man Fehler vermeidet.

SSL-Zertifikat erstellen

Als erstes benötigt man ein SSL-Zertifikat, das von einer Certification Authority (CA) signiert wurde. Checkdomain bietet diesen Service als Dienstleistung an: Mehr Sicherheit durch ein SSL Zertifikat.

Dafür sind folgende Schritte nötig:

1. Erstellen eines privaten Schlüssels und eines Certificate Signing Request (CSR)
2. Der CSR mit dem öffentlichen Schlüssel ist an die CA zu senden.
3. Als Antwort erhält man von der CA ein signiertes Zertifikat (CRT).

Um den privaten Schlüssel und den Certificate Signing Request zu erstellen, bieten einige CAs ein komfortables Webinterface, welches dem Webmaster alle Schritte inklusive der Erzeugung des privaten Schlüssels abnehmen möchte. Da Sie dabei nicht die vollständige Kontrolle über die Erzeugung des privaten Schlüssels haben, raten wir davon ab, diese Assistenten zu nutzen. Die OpenSSL-Bibliothek bietet alles nötige, um den privaten Schlüssel und den CSR auf dem eigenen Rechner zu erstellen.

Server-Konfiguration

Auf dem Webserver ist die SSL-Verschlüsselung zu aktivieren und die Dateien mit dem privaten Schlüssel und dem Zertifikat sind in der Konfiguration bekannt zu machen sowie das Modul "ssl" zu laden. Bei einigen CAs werden intermediate Zertifikate genutzt, die von der Webseite der CA als herunter geladen werden können und als Chainfile in die Konfiguration aufzunehmen sind.

SSL ist ein komplexer Standard zur Verschlüsselung, der ständig weiterentwickelt und auf Schwächen untersucht wird. Um eine sichere Verschlüsselung anzubieten sind weitere Konfigurationsschritte nötig:

• Unsichere Protokolle deaktivieren

  Das Protokoll SSL v.2.0 ist "broken by design" und auch SSL v.3.0 ist unsicher. Diese beiden Protokolle sind zu deaktivieren. Lediglich TLS 1.0 - TLS 1.2 sind als sicher nach dem Stand der zivilen Forschung einzuschätzen. Die folgende Option in der Konfigurationsdatei "ssl.conf" des Webservers deaktiviert unsichere Protokolle.

  SSLProtocol TLSv1

• Unsichere Ciphersuiten deaktivieren

  Einige Ciphersuiten sind unsicher. Außerdem kann ist die Verwendung schwacher Schlüsellängen zu deaktivieren. Vor einem Jahr wurde der Angriff BEAST (Browser Exploit Against SSL/TLS) vorgestellt. Aktuelle Browser sind davon nicht mehr betroffen, sie sind gegen BEAST immun. Warnungen zur Angreifbarkeit mit BEAST können Sie ignorieren. Sicher Einstellungen in der Datei "ssl.conf" sind:

  SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!EDH:!3DES:!ADH

• TLS-Kompression deaktivieren

  Im September wurde mit CRIME (Compression and Information Leakage of Plaintext) ein weiterer Angriff auf die SSL-Verschlüsselung vorgestellt. Diesen Angriff können Sie durch Deaktivierung der TLS-Kompression verhindern. Außerdem sollten Sie das Modul SPDY nicht nutzen. Seit Oktober ist ein Patch für den Webserver Apache verfügbar, der TLS-Kompression standardmäßig deaktiviert.

• HTTP Strict Transport Security aktivieren

  Durch HTTP Strict Transport Security wird ein Angriff erschwert, der erstmals 2009 von Moxie Marlinspike vorgestellt wurde. Durch setzen eines HTTP Header Attributes wird der Webbrowser des Surfers aufgefordert, zukünftig stets HTTPS für den Aufruf der Webseite zu nutzen. Im Apache2 ist zur Aktivierung dieses Features das Modul "headers" zu laden und folgende Zeile in der Konfiguration der Website einzufügen:

  Header always set Strict-Transport-Security "max-age=31536000"

Sicherheit ist ein Prozess und nicht mit einer einmaligen Aktion dauerhaft herstellbar. Prüfen Sie ihre Webseite regelmäßig mit SSL Server Test und beseitigen Sie neue Lücken so schnell als möglich.

Die EFF.org hat die Ermittlungen des FBI in der Petraeus-Affäre ausgewertet und daraus Empfehlungen für anonyme E-Mail Nutzung abgeleitet: Don't be a Petraeus: A Tutorial on Anonymous Email Accounts.

1. Verwenden Sie für das Anlegen eines anonymen E-Mail Accounts und für JEDEN Zugriff auf den Account einen Anonymisierungsdienst. (Die EFF.org empfiehlt Tor. JonDonym ist natürlich auch geeignet.)
2. Nutzen Sie einen privacy-freundlichen E-Mail Provider mit sicherer SSL-Verschlüsselung. GoogleMail oder Yahoo! sind nicht geeignet, aber Hushmail ist auch nicht der einzige gute Mailprovider. Einige weitere Empfehlungen finden Sie in unserer Online Hilfe.
3. Wenn bei der Registrierung des Account eine bereits vorhandene E-Mail Adresse verlangt wird, können Sie temporäre E-Mail Adressen verwenden. Auf keinen Fall sollten Sie eine E-Mail Adresse angeben, die auf Ihre reale Identität zurück verfolgt werden kann.
4. Verschlüsseln Sie die E-Mail Kommunikation. Am besten ist dafür OpenPGP geeignet. Anhand persönlicher Informationen aus den Inhalten der E-Mails ist eine Deanonymisierung möglich.
5. Zusätzlich möchten wir einen fünften Punkt hinzufügen. Speichern Sie gelesene und gesendete E-Mails oder Entwürfe nicht auf den Servern des Providers. Nutzen Sie einen POP3-Account statt IMAP. Die gelesenen E-Mails unterliegen nicht mehr dem Post- und Fernmeldegeheimnis, wenn der Empfänger Gelegeheit hatte, sie zu löschen.

Die JonDos GmbH eröffnet heute einen Bitcoin Shop. Dort können Sie Bitcoins anonym ohne Angabe persönlicher Informationen kaufen und mit Paysafecard bezahlen. Es werden Paysafecard Vouchers in den Währungen Euro und Dollar akzeptiert.

Seit September 2012 ist es nicht mehr möglich, mehrere Paysafecard Codes für einen Zahlungsvorgang zu verknüpfen. Die als Ausgleich von Paysafecard angebotene Auszahlung der Restbeträgen kompromittiert jedoch die Anonymität des Zahlungsmittels. Mit der Umwandlung der Restbeträge in Bitcoin können Sie weiterhin anonym und schnell im Internet bezahlen.

Bitcoin ist eine digitale Peer-2-Peer Währung ohne zentrale Instanz. Es ist unabhängig von der Geldpolitik einer Zentralbank und entwickelt sich ausschließlich marktgetrieben durch Teilnehmer, die Bitcoin als Zahlungsmittel akzeptieren und als Kunden verwenden.

Die ökonomische Theorie des Projektes basiert auf der Austrian school of economics, die führend von den Ökonomen Eugen v. Böhm-Bawerk, Ludwig Mises und Friedrich A. Hayek entwickelt wurde. Die Ökonomen kritisierten das gegenwärtige System des Fiatgeldes der Zentralbanken. Sie sehen in den massiven, politisch motivierten Interventionen der Zentralbanken in den Geldumlauf eine wesentliche Ursache für den Krisenzyklus, plädieren für eine Internationalisierung des Geldes und die Rückkehr zum Goldstandard für Währungen. (Denationalisation of Money, Hayek, 1976 PDF)

Bitcoin ist gegenwärtig die populärste Umsetzung einer digitalen Währung in Anlehnung an die Konzepte der Austrian school of economics. Im wesentlichen bietet das System eine Lösung, um mit kryptografischen Methoden double spending zu verhindern (die mehrfache Verwendung der Bits und Bytes, welche die Bitcoins repräsentieren) und die Gesamtmenge der verfügbaren Coins zu begrenzen. Darauf aufbauend können verschiedene Bezahldienstleistungen entwickelt werden.

Bitcoin ist nicht perfekt und wird kontrovers diskutiert. Trotzdem haben wir uns entschlossen, das Projekt zu unterstützen. Seit Juli 2011 wird Bitcoin als Zahlungsmittel für Premium Accounts von der JonDos GmbH akzeptiert. Mit dem Bitcoin Shop wollen wir Nutzern eine einfache, anonyme Möglichkeit zum Kauf von Bitcoin und zur sinnvollen Nutzung von Paysafecard Restbeträgen bieten. Hinweise zur anonymen Verwaltung ihrer Bitcoin Brieftaschen (eWallet) finden Sie in der Online Hilfe.

Update 1: Aufgrund von Auflagen der BaFIN dürfen wir den Bitcoin Shop nur unseren Kunden (also den Nutzern von JonDonym) zur Verfügung stellen. Bitte nutzen Sie unseren Anonymisierungsdienst (kostenfreie Mix-Kaskaden oder Premium-Dienste), wenn Sie Bitcoins in unserem Shop kaufen wollen.

Update 2: Aufgrund der überraschend hohen Nachfrage ist der Bitcoin Vorrat derzeit schneller ausverkauft, als wir Nachschub besorgen können. Wir bemühen uns, ein kontinuierliches Auffüllen des Bestandes zu organisieren, das wird aber noch einige Tage in Anspruch nehmen.