[LE] Ein Fazit zu den letzten Sponti- Versuchen, die über Signal mobilisiert wurden!
Wir können noch verstehen, wenn Signal im Privaten genutzt wird. Darüber für Spontis zu mobilisieren halten wir für falsch und gefährlich.
[LE] Ein Fazit zu den letzten Sponti- Versuchen, die über Signal mobilisiert wurden!
Dieser Text ist aus Leipziger Perspektive geschrieben, bezieht sich auf vergangene Spontis in der Stadt und die Einladungspolitik zu diesen per Smartphone-Messengerdienst Signal. Vieles lässt sich auch auf andere Städte übertragen und darf dort auch gerne verbreitet werden!
Smartphones und Messengerdienste/Signal
Wird Signal komplett richtig gebraucht, ist die technische Sicherheit des Messengers aktuell vielleicht gegeben. Wir wissen es nicht und vermutlich wissen es die meisten Nutzer_innen auch nicht. Wer von uns versteht schon diese Quellcodesachen bzw. den Stand der Gegenseite? War nicht Telegram auch lange en vogue bis sich im Nachhinein die Unsicherheit herausstellte? Können wir wirklich einfach zum nächsten „sicheren“ Messenger wechseln und darauf warten, in welchem kommenden Verfahren uns oder anderen auch dieser um die Ohren fliegen wird?
Noch entscheidender als die (Un-)Sicherheit des Messengers an sich ist die dauerhaft richtige Anwendung der Smartphones mit dem die meisten Nutzer_innen Signal nutzen. Erst dann kann die technische Sicherheit überhaupt greifen. Ständige Updates, Verschlüsselung, Trennung von Politisch und Privat, das Smartphone jeden Abend ausschalten, nicht mit sich herumtragen… Verhalten sich viele Leute so? Keineswegs.Abgesehen davon, dass all dies Vielen nicht alltagstauglich erscheint, wird die Thematisierung von Sicherheit und Antirepressionsmaßnahmen präventiver Art sich zu oft gespart. Der Aufwand dafür ist groß, auch wenn eine_n die meistmännlichen Techno-Spezialisten stets versichern, "dass das alles ganz einfach" sei. Einfach ist das nicht, muss aber trotzdem gemacht werden. Die Antirepressionsarbeit danach - wenn die Bullen erstmal mitlesen - ist um ein Vielfaches größer. Bullen und Schlapphüte haben Spezialist_innen, die für sie Trojaner, Onlinedurchsuchungen, Telekommunikationsüberwachung, Hacking, Metadatenauswertung und all die ganzen Sachen machen. Wir sind nicht schlauer als diese!
Die technische und auch die menschliche Sicherheit eines Smartphones sind also nicht gegeben. Es gibt genug Einfallstore ein Smartphone mitzulesen, abzuhören etc.. Die Zugänglichkeit erleichtert sich mit der Nutzung von Google-Konten, keiner oder nur schlechter Verschlüsselung, Sim-Karten und IMEI-Nummern (Hardwarenummer des Mobiltelefons, die stets mitgesendet wird), die auf existierende Personen laufen, usw.. Die Liste an Problemen ist lang, sehr lang! Und selbst wenn das individuell beachtet wird, all die Sicherheitsstandards eingehalten und Vorsichtsmaßnahmen getroffen sind, kann sich nicht in Sicherheit gewogen werden.
Es reicht EIN "unsicheres" Smartphone in Euren Signal-Netzwerken und die Kommunikation liegt offen! Die gesamte Kommunikation. Alle beteiligten Nummern, alle versendeten Nachrichten. Denken wir zusätzlich an all die Hausdurchsuchungen der letzten Jahre und an all die dabei eingesackten Endgeräte.Noch eingeschaltete Smartphones wurden und werden sofort an Energiequellen angeschlossen, um sie später noch knacken bzw. einfach Kommunikation mitlesen zu können. Das Knacken eines Apple-Smartphones durch eine in München ansässige Firma kostet aktuell 1400 Euro. Ob nicht auch all die andern (Betriebssysteme auf) Smartphones bereits gehackt werden können und die Bullen auch diesen Service einkaufen, wissen wir nicht. Wir sollten aber zumindest von der Möglichkeit ausgehen.
Zu den Spontis
Die Cops
Auf einer der letzten Spontis in der Stadt (und auch schon auf mindestens einer davor) waren Bullen vor uns am Startpunkt, ein Sammeln war nicht mehr möglich. Wir gehen davon aus, dass die "Signal-Struktur" auf irgendeine Art und Weise infiltriert ist. Ob technisch oder personell, vermutlich werden wir es, wenn überhaupt, erst in ein paar Jahren durch irgendeinen Aktenvermerk wirklich nachvollziehen können.
Wir können noch verstehen, wenn Signal im Privaten genutzt wird. Darüber für Spontis zu mobilisieren halten wir für falsch und gefährlich. Ja, eine Spontandemonstration ist per se erstmal nicht verboten und mag als nicht so relevant gesehen werden. So wie wir die Spontis hier in der Stadt verfolgen - und wie wir sie uns auch wünschen - soll meist keine angemeldete Demo folgen, sondern ein empowernder Mob die vorhandenen Spielräume nutzen, um auch in Konfrontation (z.B. mit den Cops) zu gehen. Es kommt doch hoffentlich auch niemand auf die Idee eine nächtliche militante Kleingruppen-Aktion über Signal zu koordinieren. Warum dann Spontis?
Machen wir uns nichts vor. Die Zeiten in denen es funktionierte, sich vorher zu überlegen, welches Strafmaß oder welche Folgen Eine_n im dümmsten Falle so blühen könnte, sind in dieser Stadt vorbei. Auch wenn es um die Abgabe von DNA geht, braucht es dafür schon lange keine brennenden Karren oder schwerverletzten Nazis mehr. Die Teilnahme an einer solchen Sponti und schon geringeres sind ausreichend, um schwerwiegende Repressionsmaßnahmen auszulösen. Dies steht im Widerspruch dazu, dass die Sicherheitsstandards der Szene (z.B. durch Smartphones) gesenkt werden.
Die Presse
Nicht nur die Cops waren zu oft schon erstaunlich früh dabei. Bei den letzten Spontis ist uns aufgefallen, dass stets L-IZ-Journalist_innen von Anfang an anwesend waren. Zum Einen ist die L-IZ ein liberales Drecksblatt, das sind keine Genoss_innen oder Freunde_innen, denen wir vertrauen. Zudem gab es in der Vergangenheit L-IZ Journalist_innen, die drohten Bilder von Demo-Teilnehmern_innen zu veröffentlichen. Die Presse ist nicht unsere Verbündete. Die Journalist_innen (auch der L-IZ) werden immer zuerst sich selbst schützen und ihr Material an die Schweine weitergeben, bevor sie ihren Lebensunterhalt riskieren. Entweder gibt es einen Kreis, der die Jornalist_innen einlädt oder wir könnten auch hier davon ausgehen, dass eben diese Jornalist_innen mit in den Signal-Netzwerken hängen.
(Un-)Sicherheit
Angesichts der oben genannten Punkte halten wir die Signal-Spontis für sehr unsicher. Daher haben wir entschieden, nicht mehr an Spontis teilzunehmen, die über Signal mobilisiert wurden. Auch wir gehören zur Krawall- und Remmidemmi-Fraktion und freuen uns über jeden größeren Haufen. Unsere Haut ist uns zu schade, als das wir auf alle Sicherheitsstandards scheißen für schlecht vorbereitete Spontis mit ungewissen Ausgang ohne politisch durchdachte Wirkung. Auch so eine Sache, die sich erst richtig entfaltet, wenn sich von Angesicht zu Angesicht organisiert wird.
Das oft gehörte und einzige Argument für die Nutzung von Signal ist die potentielle Reichweite. Eine Signalnachricht ist schnell weiterverbreitet, das Smartphone lädt dazu ein, schnell und nebenbei Nachrichten (z.B. Spontimobilisierungen) weiterzuleiten. In solche Aktionen werden dann aber Personen hineingezogen, die nicht wissen, was für Sachen wie vorbereitet werden, die nicht wissen, was für ein Strafmaß das Ganze mit sich bringt, da die Einladung nicht mehr auf Vertrauensnetzwerken basiert.
Smartphones und ihre Software sind sowohl zum Weiterleiten und Teilen, als auch zum Aushorchen und zum Überwachen gebaut worden. Und so sind sensible Nachrichten schnell bei irgendwem, der es an irgendjemanden weiterleitet. Zur Erinnerung: EIN unsicheres Smartphone reicht! Und alle müssen mit den Konsequenzen leben. Vertrauensnetzwerke, die sich gemeinsam über präventive Abwehr und Antirepressionsarbeit Gedanken machen, sind das nicht mehr. Ankündigungen für gemeinsam begangene Straftaten werden auf offensichtlich viel zu viele Smartphones in der Stadt gesendet.
Das geschieht unserer Ansicht nach unbeabsichtigt, aber in voller politischer Ignoranz dessen, was das für Folgen hat und haben könnte (Repression, Repression, Repression, sozialer Abstand, Abstand, Abstand). Parallel dazu sehen wir, wie mit zunehmender Repression die Antirepressionsarbeit vernachlässigt wird bzw. sie nicht Schritt hält. Schnelle Mobilisierung bedeutet in den meisten Fällen auch mangelnde Antireparbeit, weil die menschliche, soziale Struktur, aus der sich die solidarischen Antirepressionsgruppen bilden, gar nicht erst entsteht, weil zwischen den Menschen ein Smartphone hockt. Daher halten wir das Reichweiten-Argument für unverantwortlich und kontraproduktiv. Gerade angesichts der Tonnen an Repression und dem Mangel an solidarischen Strukturen in dieser Stadt.
An dieser Stelle Danke an alle, die bei den Hausdurchsuchungen vor Ort sind, denjenigen die nachts Stunden vor der GeSa warten, die alle möglichen Arbeiten für Repressierte übernehmen und sie emotional, sozial und ökonomisch stützen, damit sie bald wieder Seite an Seite mit uns kämpfen können.
Schluss
Wir halten es dennoch für legitim auf Reichweite von Informationen und auf "Masse" zu setzen. Auf uns müsst ihr aber verzichten, wenn ihr den Weg des arbeitssparenden Technologieeinsatzes wählt, der die Anwendung und ihre Folgen nicht wirklich mitdenkt, geschweige denn sich zu diesen verhält. Lieber würden wir in Euch Vertrauen setzen und in Zukunft gemeinsam mit Euch kämpferisch durch die Straßen ziehen. Dafür benötigt es aber gute reale Beziehungen untereinander. Die wachsen langsamer als eure Signal-Kontaktlisten, überstehen dafür aber auch die schweren Schläge der Repression und des Lebens.
Bildet Banden und vernetzt euch im Real-Life, dann könnt ihr auch auf Signal im politischen Gebrauch verzichten!
Solidarische Grüße
die Freund_innen von Tails und Jabber
P.S.: Wir sind nicht nur ein paar Unzufriedene, sondern mehr als 30 Leute, die sich über die Themen dieses Textes lange Gedanken gemacht haben. Wir haben in echt und von Angesicht zu Angesicht diskutiert und analysiert und sind zu diesem politischen Schritt gemeinsam gelangt.
Wir halten die aufgeklärte und disziplinierte Nutzung eines Tails-Computer ohne Festplatte etc. und die Nutzung von Jabber über einen Tails-Computer für weiterhin einigermaßen sicher. Unter: https://capulcu.blackblogs.org/ findet ihr alles, was ihr dafür braucht. Es gilt aber auch hier: Die ganz spannenden Sachen nur von Angesicht zu Angesicht! Updates! Immer schön ausschalten! Und so wenig wie möglich, besser gar nichts, speichern! Keine Namen, keine Strukturen! Verifikationsmethoden und Vertrauensnetzwerke nutzen!
Creative Commons by-sa: Weitergabe unter gleichen Bedingungen
Ergänzungen
Sponti zu 30igst
Euer Anliegen ist mir schleierhaft, weil eure Argumente sich widersprechen.
Ihr wohlt eine spontane Mobilisierung, die aber nur auf einen engen Kreis beschränkt ist. Während der Sponti wollt ihr so richtig radikales Zeug machen, aber natürlich mit der richtigen Masse dahinter.
Weil der Verteilerkreis für die Sponti aber offerbar immer wieder Informationen nach außen gibt und dann wirklich eine Mobi damit stattfindet und evtl. doch mal die:en ein:e oder andere:n falsche:n Empfänger:in trifft, ist Signal primär Schuld. Jabber - was aus diversen Gründen von IT-Sicherheitsmenschen heute kaum noch empfohlen wird - schafft es dann plötzlich immun zu sein, in einer Welt wo die Polizei alles mitlesen kann.
Hab ihr vlt. mal grundsätzlich überlegt, dass es noch was anderes als eine Sponti gibt? Leute bauen ja viel Blödsinn auch ohne eine Sponti-Mobi vorher zu machen. Kleingruppentaktik und so.
Vlt. verratet ihr euch durch euer Verhalten selbst. So manche Sponti erkennt das geübte Auge schon vorher, besonders bei bekannten Startpunkten.
Kann auch sein, dass ihr kein Bock habt für angerichteten Mist anschließend eventuell in Knast zu gehen, dann könnt ihr es aber auch einfach lassen statt hier die Mega-Radikalen-Maker:innen raushängen zu lassen.
Nachfrage Handyentschlüsslung
Ich habe eine Nachfrage zu dem Satz "Das Knacken eines Apple-Smartphones durch eine in München ansässige Firma kostet aktuell 1400 Euro."
Eigentlich wird immer differenziert, veraltete Geräte (bis 6, ohne aktuellem iOS, vermutlich auch noch ohne security enclave) lassen sich knacken, aktuellere konnten nur von Cellebrite (in oder rmit deren Geräten aus Israel) geknackt werden und das nach manchen Updates auch nichtmehr und die aktuellsten Modelle sind garkeine Entschlüsslungen bekannt. Was ist also eure Quelle für diese Neuigkeit? Ich bin sehr verwundert wieso es nach einer Million € Kosten (für ein gerät, in einem US-Fall) jetzt wo die Geräte technisch gegen Cellebrite und Co abgesichterter sind (auch wenn sie an sind) plötzlich so einfach sein soll.
Im übrigen gege ich davon aus, dass auch aktuellere Android-Handys sicher sind, so sie denn aus sind/es waren.
Nachtrag Handyentschlüsslungen
Sollten in irgendwelchen Verfahren Handys aktuellerer Baufjahre erfolgreich entschlüsselt worden sein, und damit meine ich nicht die SIM-PIN-Sperre, sondern die Geräteverschlüsslung, oder bei iPhones auch die Tastensperre, bitte ich um Öffentlichmachung dessen. Die Fachpresse (Netzpolitik, Heise, ..) könnte auch Interesse haben. Dies würde ja heißen, dass die Vollverschlüsslungen falsch implementiert wären und wäre ein ziemlich großes Ding, denke ich.
Technik und so
Hier mal ein paar Punkte aus meiner Sicht, die hauptsächlich auf die Technik eingehen.
Zum ersten Absatz:
Quelltext lesen sehr viele schlaue Menschen und bewerten diesen. Hier werden auch regelmäßig Fehler gefunden.
Nach eurer Aussage dürfte allerdings keine Technik verwendet werden. Also auch kein PGP, Veracrypt oder Tails, da ihr den Quelltext nicht gelesen habt.
Telegram war nie vogue oder sicher. Das Problem bei Telegram ist vorallem die unverschlüsselten Gruppen-Chats, die fälschlicherweise genutzt werden. Weiterhin ist der Crypto Algorythmus selbst geschrieben. Da sist quasi ein "Regelbruch" unter Crypto-Menschen und gilt perse als unsicher. Weiterhin konnten Behörden über einen Bug im Mobilfunknetz (SS7) bereits Authentifizierungsnachrichten von Telegram abgreifen. Hier konnten allerdings nur unverschlüsselte Gruppen-Nachrichten gelesen und neue Konverstationen gestartet werden. Dies erkennt man allerdings am sich ändernden Fingerprint.
Im nächsten Absatz wird auf die richtige Nutzung eingegangen. Hier liegt denke ich ein großes Problem. Vorallem die regelmäßige Nutzung macht es denke ich einfacher, aber muss natürlich auch gemacht und gewollt sein.
Bei der privaten Nutzung sehe ich auch viel potential für Fehler. Hier hilft nur eine klare Trennung wie z.B. mit Tails möglich ist. (Der genutzt Rechner sollte trozdem verschlüsselt sein!)
Das ganze beschränkt sich allerdings nicht nur auf Messenger und Mobilgeräte.
Wie häufig werden Fingerprints von PGP Keys oder Jabber geprüft? Wie häufig werden diese auch erneuert und verteilt?
Der Ansatz mit Google-Konten sehe ich auch kritisch. Es ist nicht ganz klar wie viel Zugriff hier durch Behörden möglich ist. Dies betrifft allerdings auch Microsoft und (Apple) Konten auf Rechnern. Die "sicherheit" bei Tails oder anderen Open-Source Software kommt allerdings auch nur durch das Lesen von Source-Code.
"Ein "unsicheres" Smartphone": Das ist mit jeglicher Kommunikation so. Ob das ganze über E-Mail und PGP geht oder Jabber.
Die Info über das Knacken Apple Smartphoes für 1400 Euro halte ich für etwas wage und wurde bereits drauf eingegangen. Je nach Modell, können das Leute auch gratis machen, aber wenn interessiert hier noch ein IPhone erster Generation.
Veraltete/ungepatchte Geräte werden von Jahr zu Jahr mehr Sicherheitslücken aufweisen. Das muss man im Hinterkopf behalten. Auch der verstaubte Tails Stick möchte seine updates bekommen ;)
Zur Online Durchsuchung bzw verdeckten Hausdurchsuchung:
Hier wird es wirklich schwierig, da auch der Verschlüsslete Laptops unsicher werden. Wer mehr hierzu wissen möchte, kann nach Evil Maid Attacken suchen. Am Ende hilft es nur noch den Laptop (genauer Boot-Loader) ständig mit zu haben :D
Aber demnach kann man auch persönlich nicht mehr miteinander reden, da ja Micros versteckt sein könnten. Also nur noch mit Zettel unter einer Decke.
Noch ein paar Sätze zur Verschlüsselung: Verschlüsselung, ob Datenträger oder Kommunikation, ist nach einer gewissen Zeit immer unsicher. Es geht nicht darum, dass die Daten nie gelesen werden können. Es geht darum die Daten so lange zu schützen, wie sie relevant sind. Behörden speichern beschlagnahmte Datenträger, um sie in Zukunft auswerten zu können. Das sollte demnach erst passieren, wenn die Daten nicht weiter weiter für Represalien verwendet werden können.
Mich würde interessieren, wie ihr die Thematik generell um Kommunikation handhabt. Da nach vielen euere (richtig) genannten Punkte auch PGP, Jabber und sogar stille Post betreffen. EIN unsichere*r Teilnehmer*in reicht, um die Kommunikation offenzulegen.
"Freunde von Tails und Jabber": Tails halte ich auch für eine gute Lösung, bedarf allerdings auch viele Wissen zur richtigen Nutzung. Jabber dagegen ist einfach ein völlig veraltetes Tool, welches keinerlei Features bietet. Nach meinem Wissenstand ist immernoch nicht das Verschlüsseln von Anhängen möglich, ganz zu schweigen von Gruppen-Chats.
P.S.: Tut mir leid für die teils etwas polemischen Aussagen, ist nicht böse gemeint. Finde die Diskussion auf jedenfall wichtig.