Konstantin Klein

Dunkle Gestalten…

von

Guten Morgen, und schön, dass Sie da sind und hier mitlesen. Oder dass Ihr da seid und hier mitlest – WordPress, die Plugins und ich können uns einfach nicht zwischen Siezen und Duzen entscheiden. Wie auch immer: Stören Sie sich nicht an den Düstermännern und -frauen, die sich in der Nachbarschaft herumdrücken, wenn Sie hier sind.

Seit sechs Tagen läuft an dieser Stelle nach mehrmonatiger Pause wieder eine WordPress-Installation, zum ersten Mal erfolgreich mit dem Fediverse verknüpft. Neue Posts werden im Fediverse verbreitet, Reaktionen und Reposts dort erscheinen wieder hier im Blog, und auch Kommentare aus dem Fediverse (konkret: aus Mastodon) erscheinen hier, wenn auch in ungewohntem Format, mit @-Erwähnungen und so. Das ist die schöne Seite des WordPress-Bloggens im Jahr 2025. Yay!

Weniger schön ist, dass WordPress immer noch mit Plugins und Einstellungen abgesichert werden muss. Heute morgen fand ich zwei Spam-Mails in meinem Postfach und zwei weitere im Spamordner vor. Und im Control Panel wurde mir angezeigt, dass zwischen Mitternacht und (meinem) Frühstück einer am Login gescheitert war und 45 (!) weitere Versuche bei einer Vorabprüfung der IP-Adresse ausgebremst wurden. Und das bei einer WordPress-Instanz von sehr kleiner Reichweite.

Das ist – leider – WordPress: Es ist weit verbreitet, leicht – zu leicht? – installierbar und bedienbar und bietet immer wieder Sicherheitslücken, so dass die Übelmänner und -frauen Party machen, wenn sie wieder auf eine mit WordPress betriebene Seite stoßen. Dabei sind die Sicherheitslücken oft technischer Natur, sitzen aber auch viel zu oft vor dem Bildschirm.

Deshalb aus gegebenem Anlass (= meinem Neustart mit WordPress) eine kurze Checkliste:

  • WordPress, wenn irgend möglich, zuerst auf einer staging domain (19853239xyz.test-host.de oder so) installieren und einrichten und erst dann freischalten. Selbst Massenhoster bieten das an.
  • „admin“ ist kein guter Username für einen Account mit Administrator-Rechten – wird aber von WordPress inzwischen auch nicht mehr vorgegeben.
  • Neben dem Administrator noch mindestens einen Autoren-Account mit eingeschränkten Rechten einrichten und nur den zum Schreiben benutzen. Beim Einrichten prüfen, ob nicht schon Seiten oder Demo-Beiträge mit dem Admin-Account eingerichtet wurden; der ist dann nämlich zumindest im Quelltext nach außen sichtbar und dann nicht mehr so geheim, wie er sein sollte.
  • Login schwieriger machen: mit 2-Faktor-Authentifizierung! Sollte man sowieso möglichst überall machen…
  • Kontakt- und Kommentarformulare mit Honeypot und/oder Captcha absichern – oder Kommentare grundsätzlich erst nach eigener Prüfung freigeben.

Vroom-vroom

von

Ich heiße Erwin, bin 500.000 Jahre alt und – nein. Ich heiße nicht Erwin, hatte aber mal einen Kater mit diesem Namen; ich bin wie Erwin Lindemann 66 Jahre alt, und an dem Lottogewinn arbeite ich noch.

Worauf ich hinaus will: Vor bald 49 Jahren, im August, wurde ich 18, zwei Tage später bekam ich meinen Führerschein, was für mich wie für alle anderen damals ein Symbol der Freiheit war, und meldete mein erstes Auto an, einen gebrauchten Opel Kadett. Zehn Wochen später lag der neben einer Straße im Schwarzwald auf dem Dach, und damit begann eine lange Reihe von fünf Gebraucht-, zwei Vorführ- und sieben Neuwagen, daneben noch ein sehr gebrauchtes und ein neues Motorrad. Von 1976 bis 2012 war ich eigenmotorisiert, bis bei einer Trennung der letzte Wagen (im Bild zu Beginn der letzten gemeinsamen Urlaubsreise) bei ihr blieb und ich merkte (nach all den Jahren!), dass ich als Single eigentlich gar kein Auto brauchte.

Ein SUV mit Berliner Kennzeichen wird auf einer nächtlichen Straße in München auf einen Abschleppwagen des ADAC gehoben.
Land Rover wird Air Rover: Auto in der Schwebe

Zum Glück habe ich vergessen/verdrängt, wieviel ich in diesen 36 Jahren für den Erwerb dieses mittleren Fuhrparks, für die Versicherungen, den Service und sonstige Reparaturen ausgegeben habe. Eine (niedrige) sechsstellige Eurosumme wird es schon gewesen sein. Seit 2013 fahre ich mit dem ÖPNV oder auch, soweit nötig, mit Miet- oder Carsharing-Autos – und bin für erheblich weniger Geld immer noch (fast) so mobil, wie ich es brauche.

Meine Tochter – auch schon 28 Jahre alt – und viele ihrer Altersgenossen haben ein anderes Verhältnis zur Mobilität. Als ich ihr nach dem Abitur anbot, einen Zuschuss zum Führerschein zu leisten, guckte sie mich mitleidig an und lehnte ab. Einen Führerschein brauche sie nicht – und hat bis heute keinen. Es kann sein, dass sie das, im Nordosten Berlins wohnend und tief im Süden der Stadt arbeitend, anläßlich des einen oder anderen ver.di-Warnstreiks heimlich bereut – aber was sind schon so ein paar Warnstreiks in zehn Jahren?

Vielleicht ist es ja der neidvolle Blick auf eine nachfolgende Generation, die lieber im Bus aufs Smartphone guckt, als sich Sorgen um das Fortkommen in benzin- oder dieselgeschwängerter Eigenverantwortung zu machen, die es den Dieseldieters und Porschechristians so schwer macht, sich auf die Verkehrswende einzulassen? Vielleicht wollen sie sich partout nicht eingestehen, jahre- oder jahrzehntelang viel zu viel Geld ausgegeben zu haben, nur weil das alle so gemacht haben, weil nur das wahre Freiheit bedeutet? Vielleicht bestehen sie auf ihren Dieselprivilegien, weil auch das Elektrofahren Geld kostet, und angesichts der Preispolitik der Hersteller sogar mehr? Oder sind sie einfach nur vernagelt, die Dieseldieters und Porschechristians?

Fukengrüven.

Falsches Signal

von

Bekomme ich doch heute morgen eine Mail von GMX, dem Mailzuhause von Millionen meiner Landsleute. GMX ist das, was man jenseits des Atlantik eine „mixed bag“ nennen würde, also eine Mischung aus positiven und nicht ganz so positiven Aspekten. Zu den positiven Seiten gehört(e), dass GMX sich einerseits an die ungewaschenen Massen breite Mehrheit der Nutzer richtet, andererseits aber auch Verschlüsselung in der Mail (mit PGP und Mailvelope, in den mobilen Apps sogar nativ) und der Cloud (mit einer in die Apps integrierte Lösung auf der Basis von Cryptomator) anbot. Das ganze wurde nicht gerade exzessiv beworben, war aber da.

Bis demnächst. In der o.a. Mail steht nämlich, dass der sog. „GMX Tresor“, also die Cryptomator-Verschlüsselung in der GMX-Cloud, in zwei Monaten, zum 6. Mai 2025, abgeschaltet wird.

Das ist angesichts der vielen, auch hier erwähnten Alternativen, keine Katastrophe. Ein falsches Signal ist es aber in jedem Fall.

Durch die Hintertür

von

Man fragt sich, nein: Ich frage mich, ob es Dummheit ist, Dreistigkeit oder schierer böser Wille, wenn Politiker allerlei Geschlechts auf allen denkbaren Ebenen immer wieder verlangen, die verschlüsselte Kommunikation ihrer Mitbürger lesen zu können (aktuelle Beispiele: Schweden, Frankreich und Großbritannien und leider auch immer wieder die von uns eigentlich zu Recht geliebte EU). Es ist inzwischen hinreichend bekannt, auch in den Kreisen derer, die sowas immer wieder fordern (laut genug haben Aktivist/innen es ihnen ja mitgeteilt), dass es eine „sichere“, nur den Guten™ zur Verfügung stehende Hintertür in verschlüsselter Kommunikation nicht gibt. Nein. Es gibt sie einfach nicht.

Wo immer eine Hintertür ist, wird sie auch von den Unguten gefunden und ausgenutzt, im Zweifelsfall viel schneller und intensiver als von den braven Strafverfolgungsbehörden. Die allgemeine Lebenserfahrung der Menschen in der Datengesellschaft (zu denen auch unsere Politicos und Politicas gehören) sagt uns: Mit genügend Grips, social engineering oder auch brutaler Rechenpower lassen sich alle Passwörter umgehen, mit denen eine solche Hintertür gesichert ist (oder auch nicht).

Die wiederholten Versuche, auch auf EU-Ebene, eine backdoor auf gesetzlichem Wege durchzudrücken, kann nur mit dem Pippi-Langstrumpf-Prinzip („Widde-wie sie mir gefällt“) in den Köpfen der Durchdrücker erklärt werden. Sie verlangen einfach, dass es eine sichere Hintertür nur für die Guten™ geben soll; herauszufinden, wie das umzusetzen ist, ist gefälligst Aufgabe der Eierköpfe, die uns diese Verschlüsselung eingebrockt haben.

Das oben verlinkte Beispiel Schweden zeigt eine mögliche Folge dieser Denk- und Handlungsweise: Signal droht mit dem Rückzug aus Schweden (OK, zur Sicherheit nochmal verlinkt). Und so gern wir uns das vorstellen: Signal tut das nicht, weil es den weißen Ritter in glänzender Rüstung spielen will; es tut es, weil es die Gefahr sieht, bei Befolgung des Gesetzes das gesamte Produkt namens „Sichere Kommunikation“ kaputtzumachen.

Was heißt das für uns alle? Klar, unseren Volksvertretern mit Briefen und Mails auf den Zeiger gehen, so etwas auf keinen Fall zuzulassen. Das hat sicher Erfolg. Weil es die Versuche, eine Hintertür durch- und dann einzudrücken, immer wieder und immer häufiger gibt, ist es aber auch an der Zeit, sich eingehender mit Verschlüsselung zu beschäftigen – über das Bewusstsein hinaus: „Mein Messenger ist verschlüsselt und damit sicher.“ Das heißt nicht, dass jede/r von uns jetzt die neuesten Verschlüsselungsalgorithmen auswendig lernen muss. Aber mehr als eine Möglichkeit, die eigenen Daten zu schützen, sollte der Mensch schon kennen und anwenden.

Denn solange Mitmenschen ihr Bankpasswort noch nach den Namen ihrer Kanarienvögel auswählen und Nazigram Telegram für einen sicheren Messenger halten, ist mir das Prinzip „Es wird schon alles gutgehen.“ einfach zu wenig.

Alpha, beta, gamma, Delta Chat

von

Wie sieht es aus, wenn ich vor dem Schlafengehen noch schnell einen Screenshot eines Toots mache? Na, so:

Screenshot eines Toots von mir selbst: "Es hat ungefähr drei Jahre gedauert, alle mir wichtigen Kontakte von WhatsApp auf #signalapp rüberzuquatschen. Wie lange wird es dauern, sie von #deltachat zu überzeugen?"
A screenshot in the dark

Diese Frage habe ich der Mastodon-Gemeinde in Bonn und Umgebung (also auf der ganzen Welt) gestellt und drei Antworten bekommen. Eine davon möchte ich hier auszugsweise zitieren:

The joke is on moving from #WhatsApp to yet another centralized US-based server, „what could possible go wrong? History will not repeat, right? right?“

https://bonn.social/@adbenitez@mastodon.social/114075469108921609

Damit macht sich adbenitez ganz dezent ein wenig lustig über meinen kleinen Erfolg, Menschen von WhatsApp, einem zentral gesteuerten Messenger im US-Besitz, genauer: im Zuckerberg-Besitz, zu Signal, einem zentral funktionierenden Messenger mit Sitz in den USA, gebracht zu haben. Verschlüsselt sind beide, sogar mit der gleichen, von Signal entwickelten Technik, aber Signal „gehört“ einer Stiftung, ist non-profit und open source und gehört damit zu den Guten™.

Aber sitzt in den USA, also, ganz vorbehaltlos festgestellt, nicht in der EU.

Dabei gibt es durchaus europäische Alternativen. Threema ist eine davon („…in der Schweiz, in der Schweiz, in der Schweiz!“), ist ebenfalls Ende-zu-Ende-verschlüsselt, ist ebenfalls open source, besteht wie Signal Überprüfungen durch unabhängige Experten und verlangt darüber hinaus bei der Registrierung – anders als Signal – nicht einmal meine Mobilfunknummer. Man ist also ein wenig anonymer. Was aber offenbar für viele ein Grund ist, nicht zu Threema zu wechseln: Einerseits habe ich sie gerade erst zu Signal gequatscht, und andererseits kostet Threema auch für Privatnutzer Geld – Schkandal! Ganze 5 Euro musste ich einmalig abdrücken! Das ist offensichtlich zu viel.

Also gut. Die andere Alternative, schon in dem Toot ganz oben angesprochen, ist Delta Chat, ein „dezentralisierter und sicherer Messenger“ mit europäischen Wurzeln. Dezentralisiert ist aus meiner Sicht ein großer Vorteil – schließlich ist ohne Zentrale kein zentraler Ausfall möglich und auch keine zentrale Blockade. Aus der Sicht vieler anderer ist das aber ein Nachteil: Wo soll der Mensch sich denn anmelden?

Wer so fragt, hat keinen Fediverse-Account (weil das ja so furchtbar kompliziert ist) und kann sich nicht daran erinnern, wie er/sie zu einem Mailaccount gekommen ist.

„Mail“ ist übrigens das Stichwort: Delta Chat sieht zwar aus wie ein Messenger, arbeitet aber unter der Haube wie ein Mailclient mit eingebauter Verschlüsselung. Und man kann den neuen, schicken Delta Chat-Account entweder bei einem von mehreren Chatservern einrichten – oder bei jedem Mailanbieter. Es ist sogar möglich, den eigenen Mailaccount zu benutzen. Der Delta-Client sortiert die Chat-Nachrichten aus dem Mailaufkommen aus, und auf dem Mailserver landen die Nachrichten in einem eigenen Ordner.

Und gerade gestern abend kam noch eine Antwort von User microbloggertom auf meinen Toot, eine Antwort, die eine Frage enthält:

Die neuen #Signal-User könnten sich fragen, wie die liebgewonnene Ende-zu-Endeverschlüsselung in #deltachat funktioniert und ob es cool ist, wenn Chatpartner ihre Mails bei #gmail hosten.

https://bonn.social/@microbloggertom@mastodon.social/114100505855090759

Also ehrlich gesagt: Natürlich ist es nicht besonders cool. Aber mir sind verschlüsselte Nachrichten auf GMail hundertmal lieber als die ganzen unverschlüsselten Mails, die meine lieben Freundinnen und Freunde mir von dort schicken (und meine Nachrichten dort speichern). Und was die Verschlüsselung angeht: Delta Chat umgeht das Problem, das viele (also eigentlich alle) davon abhält, ihre Mail zu verschlüsseln: Der Mensch muss eben nicht wissen, wie man das einrichtet; der Austausch von Links oder QR-Codes reicht, und die beiden beteiligten Clients machen das unter sich aus.

Eigentlich ganz einfach, oder? Jedenfalls einfacher, als die Menschheit davon zu überzeugen…

Nachtrag: Der von mir weiter oben zitierte Asiel Diaz Benitez hat ein persönliches Interesse daran, dass ich andere vom Delta Chat-Prinzip überzeuge: Er arbeitet an Delta Chat mit und ist der Entwickler von ArcaneChat, einem alternativen Messenger für Delta Chat.

2. Nachtrag: Everything You Think You Know About DeltaChat Is Wrong.