Corona Soforthilfe – All in all, you’re just another brick in the wall

Die sogenannte Corona-Soforthilfe für Selbstständige und kleine Unternehmen ist nichts weiter als eine Umverteilung gesellschaftlichen Reichtums nach oben.


Die Corona-Krise rief bei vielen von uns, prekär lebenden Menschen, Ängste hervor, die wenig mit den Symptomen der Covid-Erkrankung gemein haben. Ohnehin reichte das Geld oft gerade so für diesen Monat und den kommenden, vielleicht ist da dann noch das Ersparte von Oma, die eins aber wirklich eigentlich nicht fragen möchte und die Eltern schon gar nicht, die einem immer schon gesagt haben, dass… Bei jeder*em von uns sieht es etwas anders aus, aber seit dem Corona-Lockdown finden wir uns mehr oder weniger im selben Boot wieder, das doch sehr sichtbar in eine andere Richtung segelt, als der Luxuskreuzer unserer Vermieter, der Politker, usw.


Der Lockdown bedeutet das wirtschaftliche Ende für die meisten aus dem Kulturbetrieb, für alle, die auf Stundenbasis vergütet worden sind, sowie für Selbstständige und kleine Unternehmen, deren Projekte als erstes wegbrechen. Auf dieser Grundlage erweist sich das zu Hause bleiben als sehr unangenehm. Als die Bundesregierung PR-wirksam Corona-Soforthilfen auch für die Kleinen ankündigte, war die Hoffnung natürlich riesig. Würde zumindest ein Mindestmaß an gesellschaftlicher Solidarität nun Wirklichkeit? Heute wissen wir, dass es für unsereins gar nichts gibt außer Hartz4.


Hilfen für Selbstständige und kleine Unternehmen hätten bedeutet, diesen in Form der dort arbeitenden Menschen zu helfen. Nach Veröffentlichung der Soforthilfe hat sich herausgestellt, dass genau diese Unterstützung explizit ausgeklammert wird. Weder darf die Selbständige ihren Lebensunterhalt damit decken, noch ein kleines Unternehmen die Personalkosten.

Allein für Mieten und andere Verbindlichkeiten darf das Geld eingesetzt werden. Nicht nur reduziert diese Regelung den Kreis der Empfangsberechtigten erheblich, sondern offenbart auch, wer gegenüber dem Staat welche Wertschätzung erfährt. Während der arbeitende Mensch in der Krise keinerlei Unterstützung bekommt, werden Kapitalerträge nach Kräften aus öffentlichen Mitteln gesichert. Die Miete soll weiter fließen. Der Arbeitslohn explizit nicht.


Bei der Soforthilfe werden die Betroffenen stattdessen auf andere Formen der Unterstützung verwiesen. Deshalb sollen diese hier nicht unerwähnt bleiben.

Einmal führen Mietrückstände bis Ende Juni 2020 nicht zur Möglichkeit von Kündigungen. Allerdings müssen die Zahlungsunfähigen diese Rückstände später abzahlen und das auf einem durch Immobilienspekulation ohnehin überhitzten Mietmarkt. Es fragt sich auch aus welchen Einkünften dies geschehen soll, hat doch die Rezession gerade erst begonnen. Auch hier tragen die tendenziell wirtschaftlich schlechter gestellten Mieter*innen die Last der Corona-Krise während den Immobilienunternehmen die Einnahmen im Wesentlichen garantiert bleiben. Durch diese Maßnahme sorgt die Regierung einzig für sozialen Frieden und nimmt uns spätere Handlungsräume, indem wir beginnen uns zu überschulden.

Kleinen Unternehmen wiederum wird Kurzarbeit für ihre Beschäftigten nahegelegt. Diese Möglichkeit besteht immer und stellt keine besondere Maßnahme innerhalb der Krise da. Für viele Branchen etwa im Kulturbereich hat der Lockdown aber zu einem kompletten Erliegen des Geschäftsbetriebs geführt und ein Ende des Ganzen ist kaum planbar. Eine Welle an Kündigungen lässt sich dadurch also kaum stoppen. Dies gilt insbesondere für den Niedriglohn-Bereich.

Besonders zynisch zeigt sich der permanente Verweis auf Hartz4, wenn auch der Zugang etwas erleichtert wurde. Nach allen Protesten seit dessen Einführung erübrigt sich hier eine Kritik zu formulieren. Der Verweis auf Hartz4 offizieller Stellen bedeutet nur eines: Eure Not und eure Sorgen gehen uns am Arsch vorbei.


Bei Allem ist von einer Welle der Entrüstung über die Nicht-Hilfen nichts zu spüren. Woran liegt das? Immerhin umfasst der Kreis der Betroffenen viele Menschen mit öffentlicher Reichweite und allgemein vielfältigen Fähigkeiten. Allerdings wird die eigene materielle Lage und die darin liegende Verbundenheit mit anderen kaum wahrgenommen. Selbstoptimierung und Konkurrenzprinzip sind verinnerlicht, Burn-Out und Zusammenbrüche gehören in der Kultur- oder Start-up-Szene zum Lebensentwurf. Wir lächeln immer und beschweren uns nie oder wenn nur für andere, denen es wirklich schlechter geht. Dass wir uns kaum eine Abstellkammer leisten können und der Wasserrohrbruch im Bad sind nur temporäres Hintergrundrauschen. Hinter dem Glitzer unserer Visionen und Kongresse verschwinden die Widersprüche. Und haben wir auch nichts, so zumindest das Privileg, dessen wir uns bewusst sind.

Digital auf die Pelle gerückt.

Eine erste Bilanz aus unserem Engagement gegen das Rauschen und Knacken in der Leitung.

Für uns alle war sehr schnell klar, dass eine Zeit angebrochen ist, in der wir unsere Erfahrungen weitergeben und Menschen technisch unterstützen müssen. Denn für uns als Kollektiv + Netzwerk ist das „Sozial Distancing“ schon immer selbst gewählt und erprobt. Dabei haben wir viele frustrierende Erfahrungen mit Tools und technischen Abgründen gemacht und sind auch unserem Anspruch FOSS-Software selbst oder von Freund*innen gehostet zu nutzen, nicht immer komplett treu geblieben.

Im Gegensatz zu Projekten wie Systemli sind wir kein Community-Hoster, sondern sowas wie ein „IT-Dienstleister“ hüstl. Zum einen betreiben wir normalerweise keine Dienste für eine breitere Öffentlichkeit, sondern unterstützen Netzwerke, Firmen, Vereine,… bei ihren IT-Systemen oder entwickeln Software. Zum anderen sind wir trotz aller Soli-Dinge, die wir tun (wir sind deshalb chronisch Pleite, wie alle coolen kidz), auf Entlohnung für unsere Arbeiten angewiesen. Wir können immer nur so viel unserer Bewegung zurückgeben, wie wir auf der anderen Seite ein Einkommen generieren können. Die Rezession, das Weiterzahlen der Mieten, der Mangel an körperlicher Nähe zu unseren Gefährt*innen usw. treffen uns genauso wie so viele andere.

1st-Level-Support Nightmares

Als Kollektiv und als Einzelpersonen sind wir von Fragen überhäuft worden. Das war sehr anstrengend und es ist scheinbar dringend nötig, eine verlässliche, verständliche Wissensquelle für unser Umfeld zu schaffen. Natürlich fühlt es sich auch gut an, helfen zu können und wir tun das meist gerne. Im Laufe des Artikels soll aus den Fragen, an die wir uns erinnern, etwas Wissen zu Online-Kommunikation für politische Gruppen zusammengefasst werden.

Wir freuen uns sehr über viel positives Feedback. Das gibt uns Energie, trotz allem eine schönere Welt nicht aus den Augen zu verlieren. Manchmal wurde auch Frust bei uns abgeladen und wir hatten den Eindruck, als wären wir Schuld am Headset, dass die ganze Zeit die Verbindung verliert, der schlechten User-Experience (UX) vieler OSS(Open-Source-Software)-Lösungen und Ähnlichem. Wir wollen niemanden zwingen, die wunderbare Warenwelt an Apps und Services zu verlassen. Aber wir wollen allen helfen, die noch frei und ohne Angst sprechen möchten – und vor allem denen, die sich organisieren wollen. Das Organisieren verstehen wir dabei in einem radikalen Sinne, nicht vorangig gegen die Symptome dieser Epedemie, sondern gegen das, was diese Epidemie so schrecklich macht. Vor allem, was sie für die einen deutlich schrecklicher macht als für die anderen. Da wären zu nennen der Ausbau einer autoritären Kultur und Praxis, die Privatisierung und Profitorientierung des Gesundheitswesens, die ausbeuterischen Arbeitswelten (besonders von Menschen ohne Homeoffice-Möglichkeit), Mieter*innen, Leute ohne „Zuhause“ und Migrant*innen. Kurz: Eine Organisierung gegen ein System, das gerade seine Fäule in besonderem Maße zu erkennen gibt. Bei allem ist es auch endlich eine Zeit mit Potential zur Veränderung.

Das Online-Plenum

Ein Plenum online abzuhalten ist am Anfang sehr frustrierend und es ist wichtig euch vor Augen zu führen, dass das nicht so bleiben muss. Frustfaktoren sind schlechtes Internet bei einzelnen, fehlendes Wissen im Umgang mit den Tools, fehlende oder schlechte Headsets (Die von Jabra z.B. sind gut. Keine Bluetooth-Headsets bei sehr sensiblen Gesprächen.) und eine Audiolatenz, die den Eindruck erwecken kann als würden sich Leute absichtlich ins Wort fallen. Wichtiger als alle tollen Features, die viele Tools bereitstellen, ist eine stabile Sprachübertragung.

Wir kennen kein stabileres und in Sachen Audio-Qualität hochwertigeres Tool als Mumble (auch im Vergleich mit kommerziellen Lösungen). Mumble (https://www.mumble.info) ist FOSS und kommt aus dem Online-Gameing Umfeld. Diese Features sprechen für den Gebrauch von Mumble:

  • Schluss mit Hintergrundgeräuschen: Sprachaktivierung und Push-to-Talk
  • Stabil mit hunderten Teilnehmenden
  • Sehr hohe Audioqualität
  • Stabil mit minimaler Internetbandbreite
  • Geringer Datenverbrauch für Leute mit Handytarifen
  • Audioassistent um das eigenen Headset perfekt einzustellen
  • Möglichkeit sich transparent in Unterräume zurück zu ziehen (Arbeitsgruppen)
  • Dauerhafte Räume
  • Langes zusammen „rumhängen“ möglich
  • Verschlüsselte Übertragung des Tons
  • Audiomitschnitte möglich etwa bei einem Vortrag
  • läuft auf allen üblichen Betriebssystemen, auch auf Smartphones
  • einfaches Hosting eines eigenen Servers möglich (mit geringen Hardware-Anforderungen)

Falls ihr euch dauerhaft organisiert und ihr eine gute Praxis für das Online-Plenum sucht, solltet ihr versuchen, bei Mumble zu landen. Die Schwelle Mumble zu nutzen ist höher als bei den HTML5-Lösungen des modernen Internets. So stabil und erprobt Mumble ist, so merkt eins ihr auch an, dass es schon einige Jahre früher entstanden ist und entsprechend aussieht. Folgende Punkte erschweren den Einstieg:

  • Installation eines Clients
  • Etwas seltsame UI/UX (Vielleicht nicht für Gamer ^^. Es gibt aber sehr viel Dokumentation im Internet.)
  • Notwendigkeit einen Server aufzutreiben. Selber hosten oder ein Technik-Kollektiv eures Vertrauens fragen 😉

Um überhaupt ersteinmal ins Gespräch zu kommen, bietet sich ein Service wie Jitsi-Meet (https://jitsi.org/jitsi-meet) an. Ihr müsst einfach nur einen Link rumschicken, draufklicken und findet euch in einer Online-Konferenz wieder. Unter Laborbedingungen läuft die Konferenz stabil, in der Realität sieht es anders aus. Bei großen Plena über 10 Teilnehmenden würde ich es (für stabiles Audio) vermeiden. Neben dem Umstand, dass niemand irgendetwas installieren/konfigurieren muss, wird hier auch Video und Screen-Sharing unterstützt, so dass jemand zum Beispiel eine Präsentation halten kann. Jitsi-Meet ist ebenfalls FOSS und man findet es unter (https://meet.jit.si häufig überlastet) oder bei einem Technik-Kollektiv des eigenen Vertrauens. Am Besten verwendet ihr alle den Browser Chrome/Chromium.

Als Best-Practice hat sich etabliert über Mumble zu sprechen und Jitsi-Meet zusätzlich für Video oder Screen-Sharing zu verwenden. Wenn es dann mal hakt oder Leute nicht genügend Internetbandbreite für das Video der Anderen haben, stört es nicht das ganze Treffen.

Zusätzlich kann das Plenum durch andere kooperative Tools unterstützt werden. Allgemein verbreitet sind Pads für kollaboratives Schreiben von Texten, Bearbeiten von Tabellen oder gemeinsames Malen (Etherpad oder Cryptpad). Wer etwas weiter gehen möchte, kann sich eine Nextcloud zum privaten Teilen von Dateien und gemeinsamen Bearbeiten von Office Dokumenten besorgen. Auch hier bieten die Technik-Kollektive eures Vertrauens Lösungen.

Die letzten Wochen haben uns gezeigt, dass Organisator*innen oft gedrängt werden kommerzielle Cloud-Dienste zu verwenden. Es offenbart sich eine Dynamik, dass jegliche Probleme, die manche User*innen haben, in der Server-Software gesucht werden. Erst wenn Dinge trotz kommerziellen Dients noch immer noch nicht funktionieren, realisieren manche, dass es doch eher an ihrem Internet, Headset, Computer… liegen könnte. Leider stellen sich Geräte und Einstellungen, die für eine Unterhaltung zwischen zwei Leuten gerade so noch zum kommunizieren reichen, bei einem Plenum als unerträglich heraus.

Wir haben beispielsweise eine Gruppe unterstützt, Mumble zu nutzen. Leider konnten sie es nicht erfolgreich einsetzen und Probleme wie Feedback wurden der Software zugeschrieben. Daraufhin sind sie zu einem kommerziellen Cloud-Dienst gewechselt. Die Probleme blieben aber bestehen. Erst danach haben sich die Einzelnen darauf eingelassen z.T. neue Headsets zu besorgen und ihren Computer mit einer helfenden Person richtig zu konfigurieren. Mittlerweile nutzen sie Mumble erfolgreich.

Um sich als Organisator*in solchen Ärger zu ersparen kann es eine sinnvolle Entscheidung sein, kostenlose kommerzielle Cloud-Dienste einzusetzen. Allerdings darf diese Entscheidung nur für offene, unsensible Zusammenhänge getroffen werden. Auch wenn diese Anbieter „Verschlüsselung“ anpreisen, bedeutet dies (außer eventuell bei Zwei-Personen-Gesprächen) nur eine verschlüsselte Übertragung. Der Anbieter selbst kann alles mitschneiden/zuhören. Das ist also z.B. genauso wie bei einem Handy-Telefonat. Gerade auch Zusammenhängen, die Rechtsberatungen oder Ähnliches anbieten, sollte das bewusst sein. Hinter jedem kostenlosen kommerziellen Angebot im Internet steht ein Geschäftsmodell. Entweder wird es kostenpflichtig, wenn ihr euch dran gewöhnt habt, ihr müsst Werbung ertragen oder ihr werdet ausspioniert.

Zusammenarbeit außerhalb des Plenums

Die meisten Gruppen pflegen seit langem eine digitale Zusammenarbeit jenseits der Treffen. Bei vielen besteht aktuell das Bedürfnis sie zu intensivieren. Oft wird immer noch mit unverschlüsselten Mailing-Listen gearbeitet. Diese Praxis halten wir für etwas überholt bzw. nur für sehr spezielle Anforderungen für geeignet. Mit verschlüsselten Mails zu arbeiten ist löblich, aber aufgrund des Komplexität der Einrichtung vielen Menschen kaum zuzumuten.

Für unkomplizierten Austausch ohne eigene Infrastruktur bieten sich Messenger-Apps an. Das Thema wird mittlerweile von den Meisten als anstrengend empfunden, weil es gefühlt jeden Monat eine neue tolle App gibt und wir zig Apps brauchen um mit Leuten in Kontakt zu bleiben. Ich halte es deshalb ganz kurz:

  • Ja Whatsapp Nachrichten sind Ende-zu-Ende verschlüsselt, aber du weißt nicht was der proprietäre Client und Server tut. Die Metadaten sind nicht anonym. Die E2E-Verschlüsselung gibt es nur, wegen der Konkurenz zu anderen Messengern, wie Signal, und dem Druck nach den Prism-Enthüllungen.
  • Nein wir finden Signal (https://signal.org) nicht cool, aber ihr könnt es benutzen. Signal ist besser als Telegram (https://telegram.org). Telegram nur für große quasi öffentliche Gruppen geeignet.
  • Wenn ihr mit sehr sensiblen Inhalten zu tun habt, lasst die Handys besser außen vor.
  • Wie Systemli letztens sagte: Old but gold. Das XMPP Protokoll (https://xmpp.org) ist alt, aber dezentral und gut und es entwickelt sich weiter. Installiert euch Conversations (https://conversations.im), macht euch einen anonymen Account z.B. bei jabber.ccc oder Systemli und genießt verschlüsselte Kommunikation mit Voice-Messages, Bildern… Und das auch parallel synchronisiert auf Computer und Handy. Das alles geht genauso als Gruppenchat. Also… dezentral, föderiert, community-organisiert, anonym… großartig. Und es funktioniert wirklich ;). Auf Sticker müsst ihr allerdings verzichten :(.
  • Mit Delta-Chat (https://delta.chat) könnt ihr Email-Protokoll und Messenger kombinieren. Die Oberfläche sieht genau aus wie bei Signal und genauso unsichtbar aber sicher ist die Verschlüsselung. Im Hintergrund wird alles per Mail gesendet. Der Vorteil: Ihr könnt mit allen Email-Kontakten (wenn auch dann unverschlüsselt) schreiben. Auch hier wird ein dezentrales, föderiertes Protokoll verwendet. Also mögen wir es ebenfalls.
  • Matrix (https://matrix.org) versucht in etwa das moderne XMPP zu sein. Leider hat es uns in der Praxis, insbesondere mit aktivierter Verschlüsselung, eher Schmerzen bereitet. Die Apps sehen chick aus, aber laufen plump und brauchen viele Ressourcen.

Wenn eure Organisierung etwas größer, enger und längerfristiger ist, kann es sich lohnen, wenn ihr eure eigene IT-Infrastruktur betreibt oder betreiben lasst. Dann könnt ihr zum Beispiel eine Datei-Cloud wie Nextcloud (https://nextcloud.com) nutzen und darüber auch Kalender und Aufgaben teilen oder Office Dokumente (https://www.libreoffice.org/download/libreoffice-online) gemeinsam bearbeiten. Auch könnt ihr dann einen Team-Chat-Dienst wie Mattermost (https://mattermost.com) oder Rocket-Chat (https://rocket.chat) nutzen, der im Komfort ein Stück über die Messenger-Räume hinaus geht.

Wie oben schon geschrieben kann auch außerhalb der Treffen im Mumble rumgehangen und sich sprechend ausgetauscht werden.

Wenn ihr mit sehr sensiblen Daten agiert, solltet ihr für jegliche Kommunikation USB-Sticks mit dem Tails-Betriebssystem (https://tails.boum.org) nutzen. Der größte Schwachpunkt eurer Kommunikation ist nämlich nicht die Verschlüsselung, sondern euer im Zweifel relativ verbasteltes Gerät.

Eine Konferenz online organisieren

Vielleicht habt ihr jetzt schon viele Veranstaltungs-Termine absagen müssen. Und es gibt keine technische Lösung, die eine räumlich Veranstaltung wirklich ersetzen könnte. Dennoch gibt es Möglichkeiten, dass ihr nicht alles ins Wasser fallen lassen müsst. Allerdings kommt ihr hier, genauso wie sonst auch, nicht umhin etwas Geld für Infrastruktur zu investieren.

Einen kleinen Kneipenabend oder Vortrag könnt ihr wie beim Online-Plenum durch Mumble + Jitsi ersetzen. Im Mumble könnt ihr auch Unterräume für Kleingruppengespräche einrichten (z.B. Bar, Tisch am Ofen…).

Für größere Events könnt ihr euch einen Server mit der Software BigBlueButton (https://bigbluebutton.org) einrichten lassen. Das System ist extra für E-Learning entwickelt, hat viel mehr Funktionalität als Jitsi und läuft stabil. Auch eine Einwahl per Telefon ist möglich. Vorträge können direkt mit Bild und Präsentation aufgezeichnet werden. Allerdings benötigt das Ganze einen physikalischen Server und ihr solltet es umbedingt von Profis einrichten lassen.

Bei den Kongressen des CCC wird für die großen Vorträge ein Streaming-Server eingesetzt. Die Software dafür ist FOSS. Also auch von euch einsetzbar, genauso wie die Medien-Bibliothek. Hier finden wir aber PeerTube (siehe unten) noch etwa schöner.

Öffentlichkeit generieren

Um Leute zu erreichen, kommen wir leider alle nicht um die großen Internetplattformen wie Facebook und Twitter herum. Allerdings ist es wichtig, die Tür zu einer besseren Internet-Community offen zu halten.

Als dezentrale Twitter-Alternative existiert Mastodon (https://joinmastodon.org). Auf einer Vielzahl von aktivistischen Community-Servern könnt ihr euch einen Account erstellen. Lange schon wird der Dienst nicht mehr nur von Geeks benutzt. Insbesondere seit der Twitter-Zensurwelle sind maßenhaft User*innen übergewechselt – besonders in Spanien und Indien. Alle föderierten Server müssen einen Mindeststandart bzgl. gruppenbezogener Menschenfeindlichkeit erfüllen. Mastodon ist damit quasi nazifreie Zone. Ihr könnt z.B. auch eure neuen WordPress-Blogartikel automatisch über Mastodon verbreiten.

Ein ganz frisches Projekt, dass sich aktuell in der Beta-Phase befindet ist Mobilizon (https://joinmobilizon.org) Es sagt dem Facebook-Event-Monopol den Kampf an und schafft auch hier eine dezentrale Alternative. Das solltet ihr in den nächsten Monaten unbedingt in eurer Stadt einführen und damit eventuell eure verstaubten, lokalen unvernetzten Veranstaltungsseiten ersetzen.

Als YouTube/Vimeo-Alternative existiert PeerTube (https://joinpeertube.org). Die Server laufen dezentral vernetzt. Ihr könnt einen bestehenden nutzen oder einen für euer Medienprojekt aufsetzen. Leute können sich eurer Videos genauso einfach anschauen wie bei YouTube, wenn ihr z.B. den Link in sozialen Netzwerken verteilt. Eine technische Raffinesse: Wenn viele Leute ein Video von euch ansehen, überlasten sie nicht euren Server sondern verteilen die Daten untereinander.

Da sich gerade viele Personen zu Hause langweilen, gewinnt auch Radio wieder an Bedeutung. Mit der Software Icecast (http://icecast.org) könnt ihr euch ein Live-Internet-Radio bauen. Vielleicht sucht aber euer lokales Community-Radio auch gerade noch Unterstützung.

Wie war das noch gleich mit Smartphones?

Ein Hintergrundartikel zur (Un-)Sicherheit
von Mobiltelefonen

Dieser Artikel ist Teil einer Serie zum Thema Kommunikationssicherheit in antiautoritären politischen Zusammenhängen. Wir veröffentlichen die Beiträge jeweils in der Zeitschrift Gaidao und auf unserem Blog.

Das IT-Kollektiv ist föderiertes Mitglied der FDA und Teil des Community-Projektes „IT-Kollektiv-Netzwerk“, das Kollektivbetrieben und Einzelpersonen aus dem IT-Bereich eine Plattform zur wirtschaftlichen und politischen Selbstorganisation bietet.

Es mangelt auch in diesem Themengebiet nicht an Quellen. Es gibt z.B. dutzende Anleitungen, die das Installieren eines frei(er)en Betriebssystem auf Smartphones beschreiben. Woran es mangelt ist eine kritische Auseinandersetzung mit dem Endgerät und seinem Komponenten. Daraus folgen die Fragen: „Was können wir durch das Modifizieren des Betriebssystems oder anderer Software erreichen und was nicht?“, also „Wovor können wir uns wie schützen und wovor nicht?“. Und vor allem die Sensibilisierung im Umgang auf Benutzer*innenebene ist wichtig. Alleine die technische Sicherung eines Gegenstands reicht in den meisten Fällen nicht aus, wenn sich die Anwender*innen im Umgang fahrlässig verhalten.

Zunächst ist es wichtig, sich mit dem Gerät selbst auseinanderzusetzen, um eine fundierte Beurteilung der Kriterien einer emanzipatorischen Sicherheitskultur aufstellen zu können. Dabei versuchen wir anhand der Analyse Möglichkeiten für eine sinnvolle Nutzung und Gegenmaßnahmen für unerwünschte Kriterien aufzuzeigen. Daraufhin folgt noch eine abschließende Bewertung des Gegenstandes als Ganzen.

Hardware

Zuerst verschaffen wir uns einen groben Überblick über die Komponenten eines Mobiltelefons. Dabei müssen wir Tastenhandys, auch Dumbphones genannt, von Smartphones abgrenzen, die von der Ausstattung schon eher einem kleinem Computer gleichen. Alle Telefone bestehen üblicherweise aus

  • Lautsprecher, Mikrofon
  • Bedienungsschnittstelle: Tastatur (oder Touch), Display
  • einem Modem: Dieser proprietäre* Chip, der auch Baseband-Prozessor genannt wird ist für die Echtzeitkommunikation mit den Mobilfunkstationen verantwortlich. Ohne ihn ist es nicht möglich zu telefonieren.
  • meist zusätzlich einem Hardware Prozessor
  • Speicher: dabei ist der Arbeitsspeicher, in dem das Betriebssystem und die Anwendungen ausgeführt werden nicht mit den Massenspeicher, wie SD- oder MMC-Karten zu verwechseln.
  • Akku
  • dem SIM – ‚Subscriber Identification Modul‘: ein Prozessor, der zusammen mit der SIM-Karte, zur Identifikation der Nutzer*innen im Mobilfunknetz dient. Auf ihm ist auch die IMSI gespeichert.

Smartphones können u.a. noch zusätzliche Elemente und Schnittstellen beinhalten, wie:

  • einer CPU für das Benutzer*innen Betriebssystem und Anwendungen
  • Kamera
  • WIFI
  • USB
  • Bluetooth
  • Nahfeldkommunikation (NFC)
  • Positionsbestimmung: GPS, A-GPS, GLONASS

*Proprietär bedeutet, dass es sich um geschlossene, also nicht-freie Soft- oder Hardware handelt. Der Quellcode und die Funktionsweise der Elemente ist unbekannt und kann somit nicht auf Korrektheit geprüft werden. Wir wissen nicht, ob das Programm ausschließlich das tut, was es soll.

Der Baseband-Prozessor

Da es sich bei dem Baseband um einen solchen Prozessor handelt, sollten wir dessen Rolle etwas genauer untersuchen: Das Real-Time Betriebssystem (ebenfalls Closed Source), das auf dem Baseband läuft, übernimmt alle Aufgaben, die direkt mit der Datenübertragung zusammenhängen. Dafür erhält der Chip Zugriff auf CPU, RAM und ROM des Handys. Unabhängig vom Betriebssystem und den Anwendungen, die auf dem Gerät laufen, hat also ein Prozessor von dem wir nicht wissen, was er tut, unter Umständen freien Zugriff auf die Daten im Gerät und weiteren Schnittstellen, wie Mikrofon, Lautsprecher und Kamera.

In den alten Handys wurde zum Beispiel ein externer Zugriff auf den Baseband Chip genutzt, um Betriebssystem-Updates auf dem Gerät zu installieren. Der Hersteller (meist Qualcomm) verspricht uns zwar das Deaktivieren des Basebands durch den Flugzeug-Modus, verifizieren können wir das aber nicht.

Interessant ist jedoch, dass es bei Smartphones auf das Hardware Layout ankommt, ob der Chip ‚wahlfreien‘ Zugriff auf die Komponenten hat (bad baseband isolation) oder den Zugriff über Befehle an den Hauptprozessor erhält. Im zweiten Fall wäre es möglich, den Zugriff mit Hilfe des Anwendungs-Betriebssystems zu verhindern. Das Löschen der Firmware im OS (Betriebssystem) verhindert, dass der Prozessor die Befehle des Basebands akzeptiert.
Ein weiteres Problem mit dem Betriebssystem des Basebands ist, dass die implementierten Sicherheitsstandards uralt und unsicher sind. Es gibt mehrere Veröffentlichungen, bei denen es begabten Hackern gelungen ist, die Sicherheitsmechanismen des Baseband Protokolls auszuhebeln und sich Zugriff auf das Gerät zu verschaffen:

  • Ralf Philipp Weinmann stellte auf der DeepSec 2010 einen Angriff auf Androids und iPhones vor, der mit einem nur 73 Byte Remote Code Execution Exploit eine Backdoor öffnete und das Smartphone in eine Abhörwanze verwandelte: All Your Baseband Are Belong To Us.
  • Mit den Hexagon Challenges wurde auf der PacSec 2013 ein verbesserter Angriff auf das Baseband OS von Weinmann vorgestellt.
  • Forscher der TU Berlin demonstrierten auf dem 22nd USENIX Security Symposium einen Angriff auf das Baseband OS, der nur geringe Ressourcen erforderte. Mit einigen manipulierten Smartphones wurden andere Smartphones in der Umgebung kompromittiert und der Empfang von Anrufen und SMS blockiert.

Wir müssen uns zu diesem Zeitpunkt damit Abfinden, dass alle unsere Sicherheitsmechanismen auf dem Handy also dem Vertrauen in den Hersteller des Baseband-Prozessors unterliegen. Bezüglich unserer Anforderungen an Sicherheit ist das schonmal eine äußerst unbefriedigende Tatsache. Wünschenswert ist eine freie Version des Prozessors mit einem OpenSource Betriebssystem. Das Projekt Osmocom befasst sich mit der Entwicklung eines freien Modems.

Systeme

Die Systeme, die auf einem Handy präsent sind, wurden alle schon erwähnt. Es handelt sich um das Betriebssystem des Basebands, dem SIM und dem Nutzer*Innen-Betriebssystem.

Das SIM ist der Prozessor auf der SIM-Karte und kann durch eine 4-8 stellige PIN geschützt werden. Mit der IMSI (eine Zahlenfolge des SIM zur eindeutigen Identifikation des Netzteilnehmers) registriert und authentifiziert sich das Gerät in einem Netz. Das Handy selbst besitzt ebenfalls eine global eindeutige IMEI, die bei der Netzsuche und Einwahl ins Netz übertragen wird. Die Übertragung findet unverschlüsselt statt und ermöglicht ein Mithören von Mobilfunk-Telefonaten und die örtliche Eingrenzung des Gerätes innerhalb der Funkzelle, z.b. durch IMSI-Catcher.

Somit ist auch das SIM ein eindeutig unerwünschter Bestandteil für eine sichere Kommunikation und einen selbstbestimmten Umgang mit dem Gerät.

Tastenhandys

In den älteren Handys übernimmt das Benutzer*innen-Betriebssystem alle Aufgaben. Es läuft vollständig auf dem Baseband Prozessor, weswegen diese Telefone kein zusätzliches Baseband OS benötigen. Dieses intransparente proprietäre Betriebssystem zu modifizieren oder gar zu kontrollieren ist (ohne weiteres) nicht möglich.

Smartphones: LineageOS & ReplicantOS

Smartphones haben zu dem OS auf dem Baseband-Prozessor ein zusätzliches Betriebssystem, das auf dem Hauptprozessor des Handys läuft. Dies ist notwendig, da natürlich viel mehr Anwendungen als nur ein Telefonbuch, Textmitteilungen oder 8-Bit Spiele zur Verfügung stehen. Webbrowser, Emailanwendungen, Kalender, Messenger, Videoübertragung und Games auf Smartphones benötigen natürlich viel mehr Rechenleistung. Auch der Speicherbedarf, also generell die vorhandenen Daten erhöhen sich hier.

Bei Smartphones ist es möglich die Kontrolle über dieses Betriebssystem zu erlangen, indem man root-Privilegien erhält. Das entspricht dem Konzept eines root oder auch admin-Kontos auf einem PC. Das Erhalten der root-Priviligien ist notwendig, um weitere Systemanpassungen, wie das Einrichten einer Firewall vornehmen zu können. Ohne diese Maßnahmen hätten wir keine Kontrolle darüber, was die Apps auf unserem Handy tun und welche Daten sie versenden.

Die bessere Alternative ist es, ein freies Betriebssystem auf das Gerät zu flashen. Dabei wird das ausgelieferte Betriebssystem des Herstellers vollständig vom Gerät gelöscht und durch ein freies Betriebssystem, wie zum Beispiel LineageOS oder ReplicantOS ersetzt. Das sind modifizierte Android-Systeme, die u.a. auf die Anwendungen von Überwachungskonzernen wie Google verzichten, einen alternativen AppStore mit OpenSource Anwendungen anbieten und generell mehr Wert auf Privatsphäre legen.

ReplicantOS verwendet im Gegensatz zu LineageOS ausschließlich freie Software und verzichtet vollständig auf Google und Co. LineageOS verwendet dagegen immer noch Google Server, z.B. um festzustellen, ob das Gerät mit dem Internet verbunden ist, nachdem es sich erfolgreich mit einem WIFI-Accesspoint verbunden hat (Captive Portal Check).

Kleiner Abriss zur Firewall

Eine Firewall ist ein Schutzmechanismus, der ein System vor potentiellen Gefahren schützen soll. Die Firewall überwacht den Netzwerkverkehr und bestimmt anhand vordefinierter Regeln, ob Datenpakete die Firewall passieren dürfen. Üblicherweise werden Regeln definiert, die bestimmen, welche Pakete in das System dürfen. Der Wunsch ist also, sich vor Gefahren außerhalb des eigenen Systems bzw. des eigenen Netzwerks zu schützen.

Bei Smartphones ist das etwas anders. Sowohl Android-Apps als auch Systemdienste sind in der Regel äußert „telefonierfreudig“ und haben häufig das Bedürfnis „nach Hause“ zu telefonieren. Die Daten werden an den Hersteller bzw. Dritte übermittelt, um beispielsweise personalisierte Werbeprofile zu erstellen. Die meisten Apps aus dem AppStore sind intransparent bezüglich ihrer Datenverarbeitung, weswegen eine Firewall zwingend notwendig ist. Für die Installation und Konfiguration der Firewall brauchen wir den oben erwähnten root-Zugriff auf das Gerät.

Dabei müssen wir hier die Sicherheitsvorkehrung einer Firewall umkehren, indem wir unseren Apps und dem System verbieten, unerwünscht in die Außenwelt zu kommunizieren: In der Regel braucht die Kamera-App keinen Zugriff auf das Internet, deswegen sollte er ihr auch verwehrt werden. So sollten alle Anwendungen geblockt werden, die keinen Zugriff auf das Internet benötigen.

Anwendungsebene und Nutzung

Oberhalb von LineageOS oder ReplicantOS lassen sich noch diverse Anwendungen installieren, die den Schutz der Privatsphäre erhöhen sollen, wie z.B. Ende-zu-Ende verschlüsselte Messenger oder VOIP-Dienste, Anonymisierungsdienste wie Tor und vieles mehr.

Allerdings ist die Installation und Konfiguration eines solchen OS recht aufwändig und es ist für Menschen, die mit Technik nicht allzu vertraut sind, schwer möglich diese Ziele umzusetzen. Erfreulicherweise bieten immer mehr lokale Gruppen Workshops an, die sich diesem Thema zuwenden. An diesem Punkt erinnern wir uns nochmal, dass diese Mechanismen in Abhängigkeit der zugrunde liegenden Hardware zu betrachten sind! Ein sicheres OS hilft euch nicht viel gegen Geheimdienste und/oder Hacker, wenn die Hardware unsicher ist.

Deswegen sollten Secrets, wie private Schlüssel (z.B. der private PGP Schlüssel einer Email-Adresse) nicht auf dem Telefon selbst gespeichert werden. Durch gravierende Sicherheitslücken in der Hardware oder dem Betriebssystem kann dieses Geheimnis dem Gerät entzogen und alle Nachrichten entschlüsselt werden. Eine Abhilfe in diesem Fall wäre die Auslagerung der Secrets auf sogenannte SmartCards oder Yubikeys. Dabei speichern wir das Geheimnis auf einem externen Gerät (z.B. einer Karte im Fall von SmartCards) und lesen den Schlüssel nur zum entschlüsseln der Nachrichten ein. Das Geheimnis bleibt auf dem externen Gerät und verlässt dieses niemals.

Sandboxing ermöglicht es, Anwendungen mit Hilfe des Betriebssystems virtuell voneinander zu isolieren. Jede App in einer Sanbox läuft in einer gesicherten virtuellen Umgebung und denkt sie ist alleine auf dem Gerät. Sie hat nur Zugriff auf die nötigsten Ressourcen. Vereinfacht sieht das am Beispiel eines Browsers in etwa so aus: „Der Webbrowser denkt, er ist das einzige Programm auf dem Gerät. Er kennt nur die Ordner ‚Downloads‘, um Dateien abzulegen und ein paar Verzeichnisse des Betriebssystems, um im Internet auf Webseiten zugreifen zu können. Die Systemverzeichnisse können nur gelesen werden – der Browser kann keine Dateien innerhalb dieser Ordner verändern oder hinzufügen.“ Durch Sandboxing wird das Risiko weiter minimiert, dass sich Apps gegenseitig überwachen oder versuchen das Betriebssystem zu übernehmen.

Sowohl interner, sowie externer Speicher (SD-Karten) lassen sich bei den meisten Smartphones und Betriebssystemen relativ einfach über die Systemeinstellungen verschlüsseln. Dadurch verhindern wir unautorisierte Nutzung des Geräts und erhoffen uns den Schutz des Betriebssystems und der eigenen Daten vor Veränderung und Diebstahl.

Zur Konfiguration auf Anwendungsebene ließen sich viele diverse Apps auflisten und noch viel mehr über einzelne Systemeinstellungen schreiben. Hierbei verweisen wir allerdings auf die unten stehenden Quellen und Cryptoparties, da dies nicht der Fokus des Artikels ist.

Auf Messenger mit kryptografischen Protokollen zur Verschlüsselung der Kommunikation werden wir in einem eigenen Artikel eingehen.

Fazit

Was können wir jetzt mit einem freien Betriebssystem auf einem Smartphone erreichen? Es ermöglicht uns:

  • die vollständige Kontrolle über die eigenen Daten
  • unabhängige und selbstbestimmte Nutzung des Geräts
  • Verzicht auf das Ökosystem von Googles
  • Ausstieg aus der Werbemaschinerie der Hersteller
  • Schutz gegen Werbe-Profiling

Wovor schützt ein (gerootetes) Smartphone mit freiem Betriebssystem nicht?

  • Staatstrojaner: beim Baseband Prozessor haben wir gesehen, dass es möglich ist, sich durch Fernzugriff Zugang zu den Daten auf dem Gerät zu verschaffen oder Software zu installieren. Solch Zugriffe sind natürlich insbesondere für Geheimdienste interessant. Durch die gegebene fremdartige Soft- und Hardware müssen wir davon ausgehen, dass die Behörden versuchen sich entweder selbst Zugriff auf diese Komponenten zu erlangen oder den Hersteller auffordern ihnen den Zugriff darauf zu gewähren. Die Hersteller nennen den remote access (Fernzugriff auf das Gerät) ein „Feature“. Wir nennen das einen Einbruch in die Privatsphäre!
  • Tracking durch und Angriffe auf Kommunikationsschnittstellen
    • WIFI, z. B. die Lokalisierung des Geräts. Ist die WIFI Schnittstelle des Gerätes aktiviert, sucht das Gerät permanent nach bekannten WIFI-AccessPoints, um sich damit zu verbinden. Dabei wird der Name des gesuchten WIFI-APs und die eindeutige MAC Adresse des Gerätes versandt. Diese Signale können ausgewertet anhand ihrer Signalstärke (Entfernung) ausgewertet und getrackt werden.
    • Bluetooth: Stichworte sind Bluejacking und BlueBorn
    • Micro-Beacons (uBeacons): werden in der Werbeindustrie gerne eingesetzt und sind nicht wahrnehmbare Ultraschall Signale, die über gängige Lautsprecher von Computern oder Smart-TVs versendet und von Mikrofonen in Smartphones eingefangen werden. Das Smartphone fügt diesem uBeacon noch einige Metadaten, wie Zeitstempel, GPS-Daten, IP-Adresse, Telefonnummer, usw. hinzu und sendet ihn an den Anbieter zurück. Der Absender kann damit das zugehörige Profil verfeinern und angepasste Werbung ausliefern. Viele Apps interagieren mit solchen uBeacons.
  • GSM-Tracking durch trianguläres Routing. Die ausgehenden Signale des Baseband Chips, zwischen mehrerer Funkzellen werden ausgewertet und anhand der Signalstärke die Position des Gerätes errechnet. Die Signale werden ausgesandt, um sich ins Telefonnetz einzuwählen und enthalten wie oben beschrieben die eindeute IMSI des SIM und die eindeutige IMEI des Handys.
  • Stille SMS
  • Nutzerverhalten: Der wichtigste Punkt ist immer noch das Verhalten, der User. Es bringt offensichtlich wenig, alle Google-Dienste vom Handy zu entfernen, wenn im Browser dann weiterhin die Suchmaschine benutzt wird. Analog lässt sich das Beispiel auf viele Verhaltensmuster und Anwendungen/Sicherheitsvorkehrungen übertragen.

Wenn wir den direkten Vergleich zwischen Dumb- und Smartphones ziehen, sehen wir, dass uns ein Smartphone einerseits bessere Möglichkeiten bietet die Kontrolle über das Gerät zu erlangen, dafür aber wesentlich mehr persönliche Daten speichert. Erst durch Nutzung von Anwendungen wie einem Webbrowser auf dem Gerät wird man selbst zur Zielscheibe von Werbeunternehmen. Auf einem Dumbphone ohne Internet gibt es natürlich keinen Browserverlauf und keine Emails, die ausgespäht werden können. Allerdings haben aber wir keine Möglichkeit eine Ende-zu-Ende verschlüsselte Kommunikation aufzubauen oder die Daten auf dem Gerät physisch zu verschlüsseln. Wird das Handy geklaut oder geht es mal verloren, ist ein verschlüsseltes Smartphone durchaus vorteilhaft, um beispielsweise nicht direkt alle Kontakte zu offenbaren.

Ein Smartphone bietet also mehr Möglichkeiten, bringt aber auch dementsprechend viel Konfigurations- und Verwaltungsaufwand mit sich. Durch die erhöhte Anzahl der Anwendungen und Kommunikationsschnittstellen steigt auch die Zahl der potentiellen Sicherheitslücken und Angriffsvektoren und dementsprechend der Gesamtaufwand für die entsprechenden Gegenmaßnahmen.

Somit bleibt eigentlich nur zu sagen, dass es eine „Best Practice“ in diesem Kapitel nicht wirklich gibt. Wichtig ist es, für sich selbst einen Kompromiss zwischen Bedienungskomfort und gewünschten Sicherheitslevel zu finden.

Eine Vorschlag wäre: ein Smartphone mit gerootetem, freiem Betriebssystem zu nutzen und das Telefon ohne Simkarte zu betreiben. Das Handy ist permanent im Flugzeugmodus (und im besten Fall den Baseband Chip physisch entfernen oder die zumindest die Firmware löschen), der Baseband Chip verliert seine Bedeutung. Alle Speicher des Geräts sind vollverschlüsselt und eine App überwacht die Anzahl der falsch eingebenen Entsperrmuster. Bei Überschreitung wird das Handy ausgeschaltet (App ‚PrivacyLock‘). Eine Firewall überwacht den Datenverkehr aller Apps und eine Sandbox isoliert kritische Anwendungen vom restlichen System. Die Internetverbindung findet nur über das Tor-Netz statt. Telefonate und Nachrichten werden nur über verschlüsselte Internetverbindungen (VOIP) geführt. Verwende keine Dienste, die nicht vertrauenswürdig sind (nur geprüfte OpenSource Apps, z.B. aus dem App-Store FDroid), benutze Ende-zu-Ende Verschlüsselung bei den Diensten und versuche konventionelle Telefonie und SMS weitestgehend zu vermeiden.

Sei dir vor allem deiner Benutzung des Gerätes bewusst. Aktiviere nur die Schnittstellen, die du auch wirklich brauchst (WIFI, GPS, Bluetooth und andere Schnittstellen einfach ausschalten, wenn nicht benötigt!). Der Artikel soll dazu anregen, sich nicht auf Anwendung „On the top“ zu verlassen, nur weil sie eine verschlüsselte Verbindung garantieren oder Anonymität versprechen. Es gilt immer den zu sichernden Gegenstand als Ganzes und den eigenen Umgang damit zu betrachten!

Links zu lokalen Gruppen / Cryptopartys

Links zu Tutorials

Freie Betriebssysteme

Coops for future? Warum und wie wir am Klimastreik teilnehmen

Vom 20. bis zum 27. September ruft ein globales Bündnis zu einem globalen Klimastreik auf. In Deutschland wird vor allem für den 20. September mobilisiert.

Warum wir als Kollektivbetrieb am Klimastreik am 20. September teilnehmen und ihr das auch tun solltet.

Klimakrise

Seit Jahren warnen Wissenschaftlerinnen und Aktivistinnen bereits vor einer ökologischen Katastrophe auf der wir uns immer weiter zu bewegen. Mittlerweile ist der „Point of no return“ wahrscheinlich schon überschritten, eine globale Klimaerwärmung von min. 1,5 Grad scheint schon nicht mehr aufzuhalten zu sein.

Es braucht eine weltweite und gesamtgesellschaftliche Anstrengung, um eine permanente Zerstörung des Ökosystems zu verhindern. Individuelle Lösungsansätze, wie der Verzicht auf das Auto oder Flugreisen, reichen dabei aber nicht. Wir müssen gerade auch das große Ganze in Frage stellen und dies mit Druck auf der Straße untermauern. Daher beteiligen wir uns am Klimastreik am 20. September.

Streiken im Kollektiv?

Streiken im engeren Sinne können wir als Mitglieder eines Kollektivbetriebes natürlich nicht. Dennoch finden wir es wichtig, uns am Klimastreik zu beteiligen.

Wie kann eine Beteiligung als Kollektivbetrieb aussehen?

  • (Gemeinsame) Teilnahme an Demonstrationen
  • Tatsächlich am 20. September den Betrieb einstellen und Kund*innen darüber informieren. So macht es z.B. die GLS Bank.
  • Als Kollektivbetriebe können wir unsere Arbeit auch der Klimabewegung spenden, z.B. beim Aufsetzen von IT-Infrastruktur helfen. Dies könnten wir auch über die gesamte Zeit des Streiks machen.

Coops for future?

Wir denken, Kollektivbetriebe können auch im Bezug auf die ökologische Krise einen allgemeinen Beitrag leisten. Horizontale und nicht an Wachstumslogik orientierte Betriebe können schon jetzt zeigen wie ein ökologisches und bedarfsorientiertes Wirtschaftssystem aussehen könnte.

Kapitalistische Unternehmen grün anzustreichen wird nicht reichen, denn letztendlich ist die ökologische Krise ein Resultat der kapitalistisch-patriarchalen Umgangs mit unserer Erde und Umgebung.

Daher: Unterstützt solidarische Ökonomien, baut Kollektivbetriebe auf, organisiert euch und streikt am 20. September!

Tor: Regierung will die Zwiebel schälen

Zuerst erschienen im Lower Class Magazine (17.07.2019)

In der Law-and-Order Fraktion der Bundesregierung wird seit Jahren immer wieder über die Legalität und die Hintertüren von Hard- und Software diskutiert.  Ein neuer Anstoß kam dieses Jahr auf dem europäischen Polizeikongress im Februar durch Günter Krings, Staatssekretär im Bundesinnenministerium. Krings schwadronierte, dass das sogenannte Darknet „keinen legitimen Nutzen“ in „einer freien, offenen Demokratie“ hätte und wer es nutzen würde, führe „in der Regel nichts Gutes im Schilde. Diese einfache Erkenntnis sollte sich auch in unserer Rechtsordnung widerspiegeln.”

Nach seinem Gefasel ging es dann aber auch ziemlich flott: keine vier Wochen nach dem Polizeikongress beschloss der Bundesrat einen umfassenden Gesetzesentwurf, das „IT Sicherheitsgesetz 2.0“. Wir haben mit Mike vom IT-Kollektiv darüber gesprochen, was das Gesetz genau beinhaltet, welche Konsequenzen es hätte und ob eine praktische Umsetzung überhaupt möglich ist.

Das neue IT Sicherheitsgesetz 2.0. sieht eine ganze Reihe neuer Straftaten, Strafverschärfungen und auch Befugnisse für die Polizei vor – könnt ihr einen Abriss darüber geben, welche Veränderungen neu sind?

Von dem Gesetz würden vor allem Leute mit IT-Kenntnissen betroffen sein – in erster Linie Administratorinnen und Aktivisten, die jeden Tag am freien Internet arbeiten. Die “Zielgruppe” des Gesetzes hat mit Drogenhandel, Kinderpornographie, oder Terrorismus in der Regel nichts am Hut. Das Gesetz richtet sich gegen eine Technologie und ihre Betreiberinnen, in erster Linie gegen das Tor-Netzwerk.

Das Tor-Netzwerk dient zur Anonymisierung, es schützt Whistleblower und Dissidentinnen genauso wie Gesetzesbrecher, indem es ihre IP-Adresse verschleiert. Wer sich gegen die Datensammelwut der Surveillance-Capitalism-Konzerne wie Google, Facebook und Amazon schützen will, für die ist der Tor-Browser auch die beste Wahl. Außerdem ermöglicht es den Zugang zum bekanntesten Teil des Darknets, den Onion-Services oder auch Hidden Services. Dort werden Marktplätze betrieben, auf denen man Drogen, Waffen, gefälschte Ausweise und Kinderpornographie erwerben kann.

Aber auch andere Anonymisierungs-Dienste wie VPNs und Freifunk-Netze könnten davon betroffen sein. Alle diese Dienste haben eins gemeinsam: sie laufen nicht von selbst, sondern werden von Adminstratorinnen am Laufen gehalten. Das Tor-Netzwerk besteht aus Servern von NGOs, Einzelpersonen, und vor allem konkurrierenden Geheimdiensten; kommerzielle VPN-Anbieter verdienen an der Anonymisierung; und Freifunk ist ein ehrenamtliches Bürgerinnennetzwerk, das durch seine Dezentralität schwerer kontrollierbar ist als das Internet der kommerziellen Internetprovidern, und die teilweise auch Tor-Knoten betreiben.

Das Muster ist: der Staat ist frustriert, weil Tor so viele Gesetzesbrecherinnen vor der Strafverfolgung schützt. Da er an die nicht mehr herankommt, richtet er sich stattdessen gegen die Betreiber. So werden größtenteils ehrenamtliche Helferinnen kriminalisiert, die durch ihren Einsatz niemanden schaden, sondern das Recht auf Anonymität und Meinungsfreiheit schützen. Denn nachdem der Gesetzesentwurf im Bundesrat verschärft wurde, betrifft er nicht mehr nur Darknet-Marktplätze – auch das Betreiben von Relay- und Exit-Knoten, die das Tor-Netzwerk ausmachen, lässt sich künftig als Straftat auslegen.

Das ist vor allem wegen den neuen polizeilichen Befugnissen relevant; sowohl Telekommunikationsüberwachung, Vorratsdatenspeicherung, als auch die sogenannte Online-Durchsuchung, also Staatstrojaner, dürfen gegen Leute eingesetzt werden, die beschuldigt werden, solche Dienste zu betreiben.

Die Motivation für die Gesetzesänderung ist also die Frustration des Staates, nicht die totale Kontrolle über das, was im Internet passiert, zu haben. Kann die Gesetzesveränderung als ein weiterer Schritt zum autoritären Staat angesehen werden?

Absolut. Der Rechtsstaat wurde mal erfunden, um die Bürgerinnen vor dem Staat zu schützen – Herrschaft sollte keine Einbahnstraße mehr sein, sondern die Autorität musste sich plötzlich an ihren eigenen Maßstäben messen. Daran gibt es viel zu kritisieren, zum Beispiel den Umgang mit Nichtbürgern und die tatsächliche Umsetzung, die in Deutschland vor allem an unvollständiger Gewaltenteilung und unmündigen Bürgerinnen krankt.

Ein untrügliches Zeichen, dass man sich vor dem Rechtsstaat mehr fürchten muss als sich auf ihn verlassen zu können, ist immer, wenn die Obrigkeit selbst besonders viel vom Rechtsstaat redet. Das würde sie nicht, wenn der Rechtsstaat auf unserer Seite wäre. Ein besonderes Exemplar ist hier Armin Laschet, der Ministerpräsident von NRW, dessen Name unter dem Gesetzesentwurf steht – wer ihn aus dem Hambacher Forst kennt, weiß, dass er und sein Innenminister nichts so sehr hassen wie rechtsfreie Räume.

Rechtsfreie Räume sind aber wichtig – weil Rechte eben immer nur gegen die Institutionen des Rechtsstaats durchgesetzt werden. Sich der Kontrolle zu entziehen ist ein rebellischer Akt, der einem Raum gibt, um an einem Danach oder Daneben zu arbeiten.

Und welche Konsequenzen hätten die Veränderungen des Gesetzes für Betreiber*innen und Nutzer*innen?

Für VPN-User wird sich nicht viel ändern – VPN-Dienste, die für Anonymisierung optimiert wurden, werden in der Regel in Panama betrieben. Die müssen sich jetzt schon nicht am deutschen Recht messen. Freifunk-Initiativen werden sich wahrscheinlich auch nicht davon beirren lassen, sondern ihren Datenverkehr wieder über einen VPN ins Ausland routen. Das sind die aus Zeiten der Störerhaftung noch gewohnt.
Tor funktioniert aber leider so, dass die Knoten-Anbieter eben nicht anonym sind. Wer einen solchen Knoten in Deutschland betreibt, muss sich auf Totalüberwachung und eventuell Strafe einstellen, wenn dieser Gesetzesentwurf so durchkommt. Die Höchststrafe liegt bei fünf Jahren Haft, wobei die Höchststrafe im Strafrecht selten angewandt wird. Betreiberinnen von Tor-Knoten ist ihre Privatsphäre jedoch in der Regel sehr wichtig, weswegen allein schon die Überwachungsbefugnisse viele abschrecken dürften.

Das gesamte Tor-Netzwerk wird darunter leiden, vor allem die Sicherheit, und die Geschwindigkeit, die in den letzten Jahren ja stark gestiegen ist. Viele Tor-Knoten stehen in Deutschland, weil die digitale Zivilgesellschaft hier im internationalen Vergleich recht stark ist.

Wir erinnern uns an Merkels „Das Internet ist für uns alle Neuland“ und “in gewisser Weise noch nicht durchschrittenes Terrain“. Weiß die Regierung überhaupt, wovon sie spricht, wenn sie das “Darknet” verbieten will?

Die größte Bedrohung ist wohl die Vorbildfunktion des Gesetzes, ohne die es auch einfach nicht besonders viel bringt. Deutschland alleine wird das Darknet nicht austrocknen können. Für sich genommen ist das Gesetz zwar für deutsche Internet-Aktivistinnen sehr ärgerlich, aber für den Rechtsstaat ziemlich nutzlos. Nicht nur das, auch Geheimdienste betreiben viele Tor-Knoten, alleine schon um ihre Agenten vor den Geheimdiensten anderer Staaten zu schützen.

Auch deswegen glaube ich nicht, dass es hier wirklich um die Aufklärung von Gesetzesbrüchen geht, oder darum, die Opfer zu schützen. “Neuland” heißt zwar nicht, dass Laschet und Konsorten das Internet nicht verstanden hätten, oder dass sie keine Ratgeberinnen hätten, die es besser wüssten. Aber es spricht eine Angst daraus, weil es ihnen ihre Grenzen aufzeigt – weil das Tor-Netzwerk wie das Internet eben nicht an Landesgrenzen aufhört.

Das sieht man auch daran, dass der neue Paragraph zu den Auslandstaten mit Inlandsbezug nach §5 StGB gezählt werden soll. Ich bezweifle, dass die das außerhalb Deutschlands verfolgen können – Telefone abhören können sie dort nicht so leicht. Und es wird schwer sein, einen Bezug zu Straftaten nachzuweisen, die in Deutschland begangen worden sind. Aber sie sind eben sauer, dass das Internet jetzt plötzlich kommt und ein rechtsfreier Raum ist. Und weil sie mit dem Spielzeug nichts anfangen können, versuchen sie, anderen ihr Spielzeug kaputtzumachen.

Weit kommen werden sie damit nicht. Solange es Rechenzentren in Panama oder auf den Cayman-Inseln gibt, und solange Geheimdienste das Tor-Netzwerk nutzen wollen, werden Gesetzesbrecherinnen das Tor-Netzwerk nutzen können.

#Interview mit Mike vom IT-Kollektiv

Eine emanzipatorische Sicherheitskultur

Dies ist der Einleitungsartikel einer Artikelserie zum Thema Kommunikationssicherheit in antiautoritären politischen Zusammenhängen. Wir veröffentlichen die Beiträge jeweils in der Zeitschrift Gaidao und auf unserem Blog.

Das IT-Kollektiv ist föderiertes Mitglied der FDA und Teil des Community-Projektes „IT-Kollektiv-Netzwerk“, das Kollektivbetrieben und Einzelpersonen aus dem IT-Bereich eine Plattform zur wirtschaftlichen und politischen Selbstorganisation bietet.

In den vergangenen Jahren ist IT-Sicherheit zu einem recht prominenten Thema im Diskurs des öffentlichen Mainstreams geworden. Zum Einen wird journalistisch über Sicherheitslücken in Software, spektakuläre Hackerangriffe und Geheimdienstaktivitäten berichtet. Zum Anderen treten zahlreiche NGOs und IT-Konzerne mit Ratgebern und Ähnlichem in Erscheinung. Offenbar fehlt es nicht an Inhalten zu diesem Thema. Warum also weitere Texte schreiben?

Trotz der Präsenz des Themas, konnte sich weder im persönlichen Technikgebrauch (#medienkompetenz) noch im aktivistischen Umfeld eine „Good Practice“ etablieren. Scheinbar haben die zum Teil konträren Beiträge nicht zur Aufklärung, sondern eher zu einer Abwendung vom Diskurs geführt. Eine Abwendung, die sich einerseits im „alles Egal“ der Post-Privacy-Gefärbten manifestiert, die spät Facebook und Co. für sich entdeckt haben und andererseits in Zusammenhängen, die die neuen Technologien komplett verdammen und sich in eigene Kommunikationsblasen zurückziehen.

Der permanente Nachrichtenstrom über Schwachstellen und neue Tools scheint den Blick auf etwas verbaut zu haben, das uns allen als Community einen Zugang zum Diskurs und eine Praxis liefern kann: Eine umfassende Sicherheitskultur. Bevor also technische Bausteine verschiedener Zielgruppen eine Rolle spielen können, gilt es, einen kulturellen Raum abzustecken. Dieser Ansatz entspricht unser horizontalen, antiautoritären Organisation und steht im Kontrast zu konventionellen Konzepten von Kontrolle, Überwachung, standardisierten Prozessen und Entscheidungswegen.

 

Zunächst stellt sich die Frage, was eine Sicherheitskultur leisten muss:

1. Sie soll uns vor Repression und Angriffen politischer Gegner*innen und wirtschaftlicher Ausbeuter*innen schützen.

2. Sie soll uns vor einer Steuerung unseres Denkens und Handelns durch Algorithmen und sogenannte „KIs“ schützen

3. Sie darf nicht zu einer Hierarchisierung unserer Strukturen führen.

4. Sie darf unsere Organisation nicht intransparent und unzugänglich machen.

5. Sie darf uns nicht aus politischen Prozessen isolieren.

6. Sie darf Beteiligte nicht anhand ihres technischen Know-Hows selektieren.

 

Für einen anarchistischen Zusammenhang erklären sich diese Anforderungen von selbst, eventuell ließen sie sich noch erweitern. Bei näherer Betrachtung oder spätestens bei der praktischen Umsetzung fällt auf, dass die Punkte 1+2 den Punkten 3-6 zuwider laufen. Dies liegt zum Einen im grundsätzlichen Widerspruch zwischen Transparenz und Teilhabe auf der einen und der Beschränkung des Kreises der Mitwissenden auf der anderen Seite. Zum Glück unterscheidet sich das für politische Teilhabe benötigte Wissen von jenem für Repression relevanten. Wenn Beispielsweise in einem Protest ein Baugerät besetzt wurde, ist es wichtig den Raum zu schaffen Sinn und Durchführung dieser Aktion zu reflektieren. Das Wissen darüber, wer das Ganze wie durchgeführt hat, ist dagegen für die politische Teilhabe unerheblich.

Zum Anderen tragen eine Vielzahl existierender technischer Sicherheitsmaßnahmen eine autoritäre oder auch kapitalistische Ideologie in sich. Dies zeigt sich in der Vielzahl zentraler Sicherheits- und Genehmigungssysteme organisatorischer wie technischer Natur. Das kapitalistische Element manifestiert sich im Konkurrenzkampf um den Markt des Sicherheitsbedürfnisses. Abwechselnd wird Hysterie vor „Cybercrime“ verbreitet und zahlreiche meist zweifelhafte Produkte angeboten. Wir sollen etwa auf unseren Geräten allerhand Software installieren oder unsere Passwörter in eine „sichere“ Cloud laden, damit IT-Konzerne uns „schützen“ können.

Erst in den letzten Jahren wurde der Punkt 2 relevant. Traditionell stützte sich staatliche Herrschaft und die Sicherung privatwirtschaftlicher Privilegien auf eine Kontrolle wichtiger Großmedien. Dies gilt für autoritäre Regime ebenso wie für Demokratien und lässt sich gerade in den Großwetterlagen der Außenpolitik beeindruckend mitverfolgen, liegt aber außerhalb des Fokus dieses Artikels. Durch die Entwicklung der sozialen Netzwerke sind die Prozesse der Meinungsbildung zeitweise entglitten. Seither wird die Kontrolle durch automatisierte Systeme in diesem Bereich wieder stärker ausgebaut. Dabei geht es nicht wie früher in erster Linie um Zensur und Veröffentlichungsverbote, sondern Algorithmen, die Informationen über Timelines, Vorschläge, verwandte Inhalte etc. verbreiten oder eben filtern. Die Funktionsweise dieser Algorithmen ist selten transparent. Dem*der Benutzer*in wird der Vorteil suggeriert genau die Inhalte zu bekommen, die sie interessieren. Unternehmen nutzen von Benutzer*innen erstellte Profile für Marketingzwecke und Dritte können öffentliche Sichtbarkeit erkaufen. Für die Steuerung unseres Denkens mittels Algorithmen müssen diese einerseits Kenntnis über unsere verschiedensten Daten erlangen und andererseits müssen wir deren Angebote nutzen.

Um sich den genannten Anforderungen zu nähern, will ich einige Thesen aufstellen und erläutern. Diese wären ein erster Vorschlag, der sich über die Artikelserie und eure Diskussionen vor Ort und Rückmeldungen weiter ausbauen ließe.

Thesen:

1. Es gibt keine absolute Sicherheit

Empfehlungen zu Sicherheit sind oft schon deshalb problematisch, weil sie nicht berücksichtigen vor welchen Angriffsszenarien sie eigentlich schützen sollen und den Schutzbedarf des zu sichernden Gegenstandes nicht bewerten. Daher gibt es keine absolute Sicherheit, sondern lediglich einer angemessenen Risikobewertung folgende Schutzmaßnahmen. Eine auf absolute Sicherheit zielende Vorgehensweise stellt letztendlich den zu sichernden Gegenstand als verbleibendes Risiko selbst in Frage. Absolute Sicherheit in der IT ist Funkstille.

 

2. Wer Sicherheit will, muss sich fragen wovor

Die Schutzmaßnahmen sehen im Allgemeinen grundsätzlich, je nach Angreifer*in und Angriffsszenario, verschieden aus. Wird bevorzugt Schutz vor unabhängigen Hacker*innen, anderen politischen Gruppen oder „Schurkenstaaten“ im Sinne der westlichen Auffassung gesucht, sind unter Umständen die großen IT-Konzerne und deren Angebote eine gute Grundlage für Sicherheit. Geht es allerdings darum, sich vor deren Datenhunger oder staatlichen Angriffen zu schützen, ist die Nutzung dieser Angebote ein großes Risiko. Da hilft dann auch kein 100-stelliges Passwort und Zwei-Faktor-Authentifizierung am Google-Konto.

Weiterhin besitzt jede*r Akteur*in eine Vielzahl verschiedener Angriffstechniken, die je einzeln zu erkennen und zu untersuchen sind.

 

3. Es geht immer um Vertrauen

Das Leben in Gemeinschaft genau wie politische Arbeit funktioniert nicht ohne Vertrauen und es gibt keine Sicherheitskultur, die ohne Vertrauen leben kann. Um so wichtiger ist es, offen zu legen, wem wir in Bezug auf was Vertrauen entgegenbringen. Bei IT wird diese Fragestellung leider sehr komplex. Da in unseren Zusammenhängen nur einige über das Know-How verfügen technische Systeme zu pflegen, vertrauen wir ihnen zumindest Meta-Daten und Verfügbarkeit von Infrastruktur an. Bei den heute gebräuchlichen Technologien allerdings meist auch Einsicht und Veränderbarkeit der Inhalte. Wenn wir diese Tätigkeiten Menschen, die wir kennen, anvertrauen ist dies an sich kein Problem. Zum Schutz von uns und eben auch diesen Administrator*innen müssen wir uns dies aber vor Augen führen und entsprechend handeln.

In der IT Praxis ist leider der Kreis der „Vertrauten“ kaum mehr überschaubar (weshalb sich für manche Dinge allgemein die IT-Nutzung nicht empfiehlt). Durch Nutzung von Cloud-Diensten vertrauen wir ggf. IT-Großkonzernen und deren Mitarbeiter*innen die Kontrolle über unsere Daten an. Diese Nutzung ist bei Smartphones ab Werk überhaupt nicht mehr abstellbar. Wir vertrauen den Programmierer*innen von Software (bei Open Source Software und Freier Software zumindest kontrolliert durch eine Tech-Community). Wir vertrauen den Paket-Betreuer*innen, die aus Quellcode Maschinencode generieren. Wir vertrauen der hierarchischen Struktur der SSL-Zertifizierungs-Autoritäten und dem System der Namensauflösung des Internets. Die Liste lässt sich fortführen. Je nach Schutzbedarf lässt sich der Kreis der Vertrauten zumindest eindämmen und gezielt selektieren. Häufig vergessen wird dabei, dass zusätzlich zu den technischen auch organisatorische Maßnahmen gehören. Etwa die breite Wissensweitergabe an Gefährt*innen zur Nutzung ihrer Endgeräte im politischen und persönlichen Kontext.

 

4. Direkt vor vermittelt; föderiert vor zentralisiert

In unserer Sicherheitskultur gilt der alte Grundsatz die Zahl der Beteiligten auf das nötige Maß beschränkt zu halten. Das hat Konsequenzen für die Nutzung von IT-Lösungen. Idealerweise interagieren unsere Endgeräte direkt miteinander (Peer-2-Peer) ohne Beteiligung Dritter zur Datenvermittlung und Zertifizierung. Wir brauchen keine Server und keine „allmächtigen“ Administrator*innen. Dieser Ansatz ist jedoch nicht immer der Ideale, da er Probleme mit sich bringt. Einmal wird die Mandatierung von technischen „Expert*innen“ dadurch nicht überflüssig (was riskant wäre), weil die Absicherung der Endgeräte eher noch wichtiger wird und mehr Software auf den Clients installiert, gepflegt und aktuell gehalten werden muss. Technisch besteht bei Peer-2-Peer Netzwerken das Problem der Datenintegrität. Durch die nicht dauerhaft verfügbaren Einzelknoten bestehen Synchronisationsprobleme, d.h. der Verbindungsaufbau zwischen den Knoten scheitert und es kann keine Kommunikation stattfinden.

Wenn wir uns daher für einen vermittelten Ansatz entscheiden, sollten wir dezentralen (ggf. föderierten) Systemen den Vorzug geben. Dadurch können wir die Administration Vertrauten unserer Wahl überlassen und diesen ggf. auch das Mandat entziehen. Außerdem sind dezentrale Systeme weniger Angriffen ausgesetzt und potentiell verfügbarer. So kann beispielsweise der Staat den Server eines zentralisierten Messengers wie Signal oder einer Plattform wie linksunten Indymedia problemlos offline nehmen¹. Würde er jedoch einen Mail-Anbieter wie Posteo plötzlich verbieten, könnten wir (wenn auch nicht über Posteo) weiterhin Emails versenden.

 

5. Sicherheit ist ganzheitlich und so stark wie ihr schwächstes Element

Zum einen tritt IT-Sicherheit oft so sehr in den Vordergrund, dass klassisches Sicherheitsdenken vernachlässigt wird. Nach wie vor werden Informant*innen eingesetzt, Räume abgehört, observiert und herumliegende Zettel gelesen. Zum Anderen wird beim Fokus auf eine Maßnahme vergessen, dass diese eventuell anders leicht umgangen werden kann. So kann sich leichtfertig etwa auf die starke Kryptografie eines Messengers verlassen werden ohne sich bewusst zu sein, dass das Endgerät eines*einer Nutzer*in leicht angreifbar ist oder deren Identität nicht gesichert ist.

 

6. Die Sicherheitskultur umfasst unser ganzes Leben

Sicherheitskultur hat nicht nur mit Computern zu tun. Sie dreht sich auch nicht nur um politische Aktivitäten, sondern umfasst unser ganzes Leben und entsprechend muss es sich mit ihr auch leben lassen. Natürlich will manche*r allerhand Spaß mit Technik haben, aber dabei ist dann eben auf die Nutzung verschiedener Geräte oder virtueller Umgebungen und Identitäten zu achten. Auch sollte das persönliche Leben der Einzelnen eine Rolle in politischen Organisationen spielen und der Umgang sozialen Konformitätsdruck und Tabus reduzieren. Bekanntlich wird die Vereinzelung von uns immer wieder als Druckmittel verwendet. Psychische und finanzielle Notlagen können ausgenutzt werden oder wir können mit evtl. Suchtproblemen oder sexuell nicht normativem Verhalten erpresst werden.

 

7. Sicherheit ist nicht nur Geheimhaltung

Oft wird Sicherheit mit Geheimhaltung von Informationen gleichgesetzt. Allerdings besteht der Wert des zu schützenden Gegenstandes eben nicht nur aus deren informativem Gehalt, sondern auch aus dessen Nutz- und damit Verfügbarkeit. Er muss daher nicht nur vor Zugriffen geschützt werden sondern im Gegenteil muss die legitime Zugreif- und Nutzbarkeit sichergestellt werden. Verschiedene Angriffe zielen genau hierauf. Etwa Denial-of-Service-Attacken, das behördliche Sperren von Diensten oder ganz klassisch das Verbot von Versammlungen oder Veröffentlichungen.

 

8. Unsere Entscheidungen zu Sicherheitskultur sollen nicht anderen verunmöglichen, ihre Sicherheitskultur zu leben

Wir können uns entscheiden, unsere Termine auf Facebook zu veröffentlichen, um viele Menschen zu erreichen, obwohl es potentiell offenlegt, wer unsere Veranstaltungen besucht. Oder wir können Twitter benutzen, um über unsere Aktion zu informieren. Falls wir aber nicht gleichzeitig andere mögliche Kanäle nutzen, wie die Stadtteilzeitung, einen online Terminkalender einer netten Gruppe oder ein freies Microbloggingmedium, dann zwingen wir Andere, Technologien zu nutzen, die wir (sicherheits-)politisch eigentlich ablehnen.

 

9. Sicherheit ist das Gegenteil von Paranoia

Paranoia ist ein Zustand der Lähmung Einzelner oder ganzer Zusammenhänge. Sie könnte als ein erfolgreicher Angriff auf unsere Strukturen bewertet werden. In der Paranoia fokussieren wir uns nicht mehr auf politische Ziele, sondern auf Geheimhaltung. Angst und Misstrauen verunmöglichen gemeinsame Organisierung oder eine sachliche Einschätzung unseres Handelns.

 

¹ Dies kann auf technischem Wege erfolgen wie im Falle Telegram im Iran oder mittels rechtlicher Repressionsandrohungen wie im Falle Linksunten. Quelle: https://www.theverge.com/2018/1/2/16841292/iran-telegram-block-encryption-protest-google-signal

Tech-Coops at 35c3: Report and talk

Building on the first tech-coops meetup in 2017 at the 34c3 and the connections made there, even more activity around tech-coops took place at the 35c3, the annual conference of the German Chaos Computer Club which took place in Leipzig, Germany from the 27th to the 30th December 2018.

IT Kollektiv from Germany organized a tech-coops assembly inside the Komona space, that brought together a broad range of people from different places and projects.

With two meetups and a talk on tech-coops we had the chance to spread the idea of tech-coops and build new connections.

Meetups

Two tech-coops meetups took place. The first one at the 27th December and the second one at the 29th December. The second meetup was split into two groups: One discussion further international relations and exchange and a group for persons that were interested in the idea of tech coops.

Some questions that were discussed:

  • What is a tech-coop? Progressive coops vs. traditional coops.
  • How to work together internationally in the future? How to stay in contact.
  • Pros and Cons of working for NGOs.
  • How to get a coop started.
  • How to find clients?
  • Unions and political alignment.
  • Selection of software and refusal of clients for ethical reasons.

Talk: Tech-Coops: No masters, no slave

On third day we held a talk on tech-coops and the history and development of IT-Kollektiv. The talk was held inside the Komona space. Around 40 people attended and we had a good and inspiring discussion after the talk.

You can see and download the slides of the talk here.

[pdf-embedder url=“https://it-kollektiv.com/wp-content/uploads/2019/01/35c3-talk-tech-coops.pdf“ title=“35c3 talk tech coops“ toolbarfixed=“on“]

Download

Future

The tech-coops assembly and our participation at 35c3 was another big step forward for furthering connections on an international level and bringing the idea of tech-coops into more communities. Building on this we want to be back at the 36c3 and if possible this years camp with a tech-coops assembly with a stronger shared ownership of the different coops and networks.

Next steps discussed for staying in touch and working on international connections:

  • Create a digital zine about tech-coops that can be used as a place to exchange ideas and experiences.
  • Use the CoTech community disource “International Solidarity” section for communication.
  • Organize a video call

We want to thank our friends from CoTech and everyone involved with Komona for making all of this possible.

https://wiki.coops.tech/wiki/Tech_Co-ops_Assembly_35C3
https://events.ccc.de/congress/2018/wiki/index.php/Session:Tech-Coops_Meetup
https://events.ccc.de/congress/2018/wiki/index.php/Assembly:IT-Kollektiv
https://talks.komona.org/35c3/talk/FZVFSF/

 

Tech-Coops/IT-Kollektiv Assembly at 35c3

At the 35C3 we (IT-Kollektiv and friends) will again organize a tech-coops assembly inside the Komona cluster. We have our own dome with enough space for hacking and socializing, just come around.
Where to find us: Hall 2, Level 0, Komona, to the right of the Komona Workshop 4 area (c3nav)
How to contact us: The best way to contact us (besides just coming to our assembly) is via Twitter

Events

  • 27th, 20h: Tech-Coops Meetup @IT-Kollektiv/tech-coops assembly. A space for tech-coops and people that are interested in tech-coops to get to know each other and socialize. Last years meetup was a big success and we hope you can make it.
  • 29th, 17h: Talk: „Tech-Coops: No masters, no slaves“  @ Komona Zelt #workshops #handson. We talk about the how and why of worker owned tech co-ops and how IT-Kollektiv connects various collectives to create a more resilient and more resourceful network. After the talk there’ll be QA and an open discussion.
  • 29th, 18:30h: Tech-Coops Meetup: We want to meet again to discuss next steps and plans for after congress. You are also welcome to join if you haven’t been to the first meetup.

Interaktive Karte zur bundesdeutschen Flüchtlingspolitik online

In den letzten Tagen war es endlich soweit. Die neue Website der Antirassistischen Initiative Berlin/ Dokumentationsstelle ist online gegangen und mit ihr eine interaktive Karte, die die rassistische Dimension bundesdeutscher Flüchtlingspolitik anhand von Einzelvorfällen seit 1993 dokumentiert. Damit ist das Ergebnis langer gemeinsamer Projektarbeit zwischen uns und der ARI erstmals für die Öffentlichkeit einsehbar und nutzbar.

In ihrer Datendichte und Qualität, aber auch in ihrer Ausrichtung ist die Datenbasis einzigartig. Im Gegensatz zu anderen zivilgesellschaftlichen Projekten, die aufgrund der Abhängigkeit von Fördermitteln und der staatlichen Extremismus-Ideologie sich lediglich auf den „Rechtsextremismus“ fokussieren können, liegt hier eine Datenbank vor, die die Systematik staatlicher Gewalt und ihr Zusammenspiel mit den Aktivitäten rechter Gruppen offenbart. Die Karte macht diese Datenbasis durch präzise Suchabfragen nutzbar und visualisiert die Ergebnisse. Sowohl der Einzelfall kann hier aus der Menge hervorgehoben, als auch statistische Auswertungen generiert werden.

Bis zur Veröffentlichung lag eine weiter Weg vor uns: Zunächst schufen wir eine einheitliche Taxonomie der dokumentierten Ereignisse. Diese implementierten wir dann in einer relationalen Datenbank und schufen ein barrierearmes Administrationsportal zur Datenpflege. Dann galt es die mit Geoinformationen angereicherten Datensätze nach Möglichkeit automatisch zu importieren. Immer neue Probleme ergaben sich, Fälle an die wir nicht gedacht hatten. Die Daten wurden über eine API erreichbar gemacht und Suchabfragen entwickelt. Dann kam das Frontend hinzu und seine Dokumentation. Immer wieder wurden neue Features eingebaut und Nachbesserungen erarbeitet. Gegen Ende stellte sich heraus, dass aufgrund der Datenfülle die Performance bei Suchabfragen weiter optimiert werden musste. Um die Karte herum entstand nebenbei auch die neue Website der ARI Dokumentationsstelle.

Nils hat Backend und Migration im Projekt betreut und berichtet:
Das Projekt mit ARI Dokumentationsstelle war kein Gewöhnliches. Üblicherweise unterfüttert man ja irgendwelche Webtrends technisch. Es geht um Hochglanzfrontends und immer um den Verkauf von irgendetwas. Hier stand der Inhalt gegenüber der Darstellung wirklich im Vordergrund. Wir haben zwar versucht so Dinge wie Responsive Design für mobile Geräte oder eine Ein-Feld-Suche zu thematisieren, aber das fiel letztendlich hinten runter. Wir haben also eine komplizierte Suche mit Dokumentation jedes Feldes gebaut. Da gibt es keine Zweifel über die Aussagekraft der Ergebnisse. Allerdings richtet sie sich dann auch vor allem an eine wissenschaftliche oder journalistische Zielgruppe, die sich wirklich mit der Materie beschäftigt und nicht bloß einmal vorbei surft.
Ich muss sagen, dass mir die Datenmigration sehr nahe gegangen ist. Man kämpft die ganze Zeit mit technischen Problemen. Irgendwo stimmt das Encoding nicht, sind Felder falsch belegt, man kann Relationen nicht auflösen oder weiß bei einzelnen Fällen nicht, wie man sie geografisch am besten zuordnet. Dabei wird man aus der Masse an Daten dann immer mit zufälligen Einzelfällen konfrontiert, die einen einfach so wütend und traurig machen. Und dann muss man eben trotzdem immer weiter diese technischen Punkte lösen.

Zum Zeitpunkt der Veröffentlichung besitzt die Seite noch viele Weiterentwicklungspotentiale. So könnte die jährliche Print-Dokumentation automatisch aus der Datenbank generiert werden. Es könnte ein Responsive Design, eine einfachere Suche oder Mehrsprachigkeit entwickelt werden oder auch ein Formular zum Melden von Ereignissen. Wie leider üblich ist die Zukunft hier auch vom Budget abhängig.

Schaut doch einmal auf der Karte, was in den vergangenen Jahrzehnten im Umkreis eurer Stadt vorgefallen ist und teilt den Link in euren Zusammenhängen und Freundeskreisen. Vielleicht könnt ihr die Daten auch für eine wissenschaftliche Arbeit oder einen Artikel gebrauchen. Über weitere Anregungen freuen wir und die ARI Dokumentationsstelle uns sehr.

Link: https://www.ari-dok.org/webdokumentation/

Tech-Coops Assembly am 34c3

Am 34c3 organisierten wir im Rahmen des Tech-Coops Assembly ein Meetup für alle, die in einem Tech-Kollektiv organisiert sind oder an dieser Organisationsform interessiert sind. Die Genossen vom Autonomic Co-Operative nahmen daran teil und veröffentlichten danach auf ihrem Wiki einen Bericht, der in der Folge übersetzt ist. Ausserdem fand noch ein Treffen mit an unserem Netzwerk Interessierten statt.

Diskussion

Die Gruppe bestand aus ungefähr 20 Personen, darunter drei aus den CoTech Kollektiven Aptivate und Autonomic, und vier aus dem IT-Kollektiv. Wir diskutierten darüber, was ein Kollektiv ist, und machten auch eine Vorstellungsrunde, damit die Leute etwas über ihr Interesse an kollektiver und kooperativer Arbeit sagen konnten. Wir gaben eine kurze Einführung in das CoTech Netzwerk.

Wir stellten fest, dass es keine ideale Rechtsform für Kollektive in Deutschland gibt, weswegen viele sich entescheiden, eine GmbH zu gründen, in der Praxis aber als Kollektiv zu funktionieren. Die Mitglieder des IT-Kollektivs sprachen davon, wie sie ein Netzwerk von befreundeten Kollektiven und Freelancern ins Leben gerufen hatten, ganz ähnlich dem CoTech Netzwerks. Wir diskutierten danach über Bedenken zu Fragen wie dem Entstehen von informellen Hierarchien innerhalb föderierter Strukturen (z.B. dass grössere Kollektive unverhältnismässig mehr beitragen), sowie potenzielle Uneinigkeit bei strategischen oder finanziellen Fragen.

Die Wichtigkeit, dass Kollektive sich gewerkschaftlich organisieren wurde diskutiert, mit klarer Präferenz für radikale Gewerkschaften wie der IWW und FAU, die als Gegengewicht und zur Wahrung der Interessen der Arbeiter agieren. Dabei berührten wir auch die Beziehung zwischen Arbeit und Wohnraum, da viele der Teilnehmenden dieses Assemblys auch in Hausprojekten in ganz Europa involviert waren.

Es war insgesamt ein sehr anregendes Treffen der beiden Netzwerke, und wie wir hoffen, ein informatives für Menschen, die selber ein Kollektiv gründen möchten oder einfach neugierign sind. Es liess uns auch darüber nachdenken, wie wir die Aktivitäten des CoTech Netzwerks so dokumentieren, dass Aussenstehenden unsere Erfahrung und unser Wissen auf nützliche Art zugänglich werden.

Klar ist, dass Kollektive eine sehr spannende Überschneidung radikaler Ideen darstellen, die jene ansprechen, die technische Mittel einsetzen wollen, um die Welt zu verbessern. Nicht zuletzt können Kollektive auch andere radikale Kämpfe unterstützen, und sie schaffen neben dem Kapitalismus Freiraum für ihre Arbeitenden.

Aktionen

  • Email Adressen wurden ausgetauscht, damit wir in Kontakt bleiben können. Tom von Aptivate wird die Liste versnden.
  • Eine Kategorie namens International Solidarity wurde im CoTech Forum eingerichtet. Ihr Zweck ist die Koordination weiterführender Kommunikation mit internationalen Kollektiven. Wir können alle, die auf der obengenannten Mail-Liste stehen, einladen.
  • Unsere Dokumentation sollte auch ausserhalb des Netzwerks Interessierten zugänglich sein.
  • Events wie der Chaos Communication Congress sind ganz klar einen Besuch wert, um CoTech und andere Gedanken zur Kooperation zu voranzubringen 🙂
  • Wir brauchen coole Sticker und Flyer!
  • „Hacking the Planet Together“ ist die Zukunft!

Interessierten-Treffen

Im Anschluss fand ein Treffen des IT-Kollektivs mit Interessierten statt. Nach einer Vorstellungsrunde (nicht alle waren am vorangegangenen Coops-Meetup gewesen) wurde die Tools und die Struktur des Netzwerks und des Kollektivs besprochen, und über die Auftragslage und die Perspektiven für das Jahr 2018 diskutiert. Wir freuen uns über den Zuwachs zu unserem Netzwerk!