1. Advent, Advent,
ein Lichtlein brennt. In diesem Beitrag werfen wir gemeinsam einen Blick auf das ausklingende Jahr 2023 und lassen die Entwicklung des Kuketz-Blogs Revue passieren. Bevor wir uns auf den Weg machen, möchte ich mich ganz herzlich bei allen treuen Leserinnen und Lesern bedanken. Ohne eure Hilfe wäre es nicht möglich, den Kuketz-Blog in gleichbleibender Qualität zu betreiben und weiterzuentwickeln.
Nun blicken wir gemeinsam auf das Jahr 2023 und was euch im kommenden Jahr 2024 erwartet.
2. Crowdfunding
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Aktuelle Zahlen
Lasst uns gemeinsam einen Blick auf die aktuellen Zahlen aus dem Monat November werfen. Wie viele Spender mit Dauerauftrag sind dabei? Wie hoch ist die monatliche Crowdfunding-Summe? Ein Blick auf die Zahlen am 01.12.2023:
- Spender mit Dauerauftrag: ca. 705
- Monatliches Spendenaufkommen: ca. 3015,- €
- Höchste monatliche Spende mit Dauerauftrag: 50,- €
- Häufigste monatliche Spendensumme: 5,- €
- Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 200,- €
Ein herzliches Dankeschön an die immer größer werdende Zahl der Unterstützerinnen und Unterstützer. Dies macht sich ebenfalls im Fediverse bzw. anderen Plattformen bemerkbar:
- Mastodon: 29.670 Follower
- Chat-Teilnehmer: ca. 1261
- Newsletter-Abonnenten: 1437
2.2 Spendenaufruf
Die vergangenen Jahre haben gezeigt: Wenn viele mitmachen und den Blog durch Micropayment unterstützen, dann ist der Fortbestand des Kuketz-Blogs gesichert. Schon mit einer kleinen monatlichen Spende in Höhe von 10 €, 15 €, 25 € oder mehr könnt ihr helfen, weitere Crowdfunding-Ziele zu erreichen, die es mir wiederum ermöglichen, mehr Zeit in den Blog und das begleitende Forum & Chatraum, sowie Projekte/Dienste wie die Messenger-Matrix zu investieren.
Wer den Blog inkl. Forum & Chatraum also gerne verfolgt, meine Arbeit als wichtig und wertvoll erachtet, den bitte ich, einen Dauerauftrag auf das untenstehende Konto einzurichten – es steht dir natürlich frei, ob du meine Arbeit mit deinem Engagement unterstützen möchtest:
Inhaber: Mike Kuketz IBAN: DE07500310001039606000 BIC: TRODDEF1 Bank: Triodos Bank
Derzeit haben ca. 705 Leser einen Dauerauftrag eingerichtet – ich hoffe, dass es 2024 noch mehr werden. Der Kuketz-Blog und das begleitende Forum & Chatraum sollen auch in Zukunft unabhängig bleiben. Dafür benötige ich deine Unterstützung, denn ich verzichte bewusst auf kommerzielle Angebote (Paywalls, Werbebanner etc.) und User-Tracking. Diese Unabhängigkeit hat ihren Preis. Daher bin ich auf dein Engagement angewiesen, um dich mit Informationen versorgen zu können, die niemand sonst zur Verfügung stellt und ich Zeit für aufwendige Recherchen / Analysen / Sicherheitsforschung habe.
Und auch wenn man nicht spenden kann/will, bleiben alle Informationen auf dem Kuketz-Blog für alle frei zugänglich. Das ist mein persönlicher Beitrag an die Gesellschaft.
3. Jahresrückblick
Beim Jahresrückblick beschränke ich mich auf den Kuketz-Blog. Nur soviel: Analog zur Klimakrise, die von immer neuen Rekorden geprägt ist, verzeichnen wir eine stetig steigende Zahl von IT-Sicherheitsvorfällen und Datenschutzverletzungen. Eine Besserung ist nicht in Sicht und die Jagd nach neuen Rekorden dürfte auch 2024 weitergehen. Gesellschaftlich wird diese Entwicklung zunehmend mit Gleichgültigkeit hingenommen – erst wenn sich spürbare Auswirkungen auf das persönliche Leben zeigen, findet bei dem ein oder anderen ein Umdenken statt. Ähnlich naiv agieren Verantwortliche in Unternehmen und Institutionen. Das Mantra
Uns wird schon nichts passieren…
führt dazu, dass dringend notwendige Investitionen in IT-Sicherheit und Datenschutz vernachlässigt werden. Dabei wird oft übersehen, dass die Folgen im Falle von Ereignissen wie Ransomware oder Hacking ungleich teurer sind, als wenn man bereits im Vorfeld über Maßnahmen nachgedacht und diese ergriffen hätte. Ich bezeichne das als »Lernen durch Schmerzen« – ganz ähnlich, wie es bei kleinen Kindern der Fall ist, wenn sie bspw. an die heiße Herdplatte fassen.
Werfen wir nun gemeinsam einen Blick auf das Jahr 2023 und was der Kuketz-Blog zur »digitalen Sicherheit« beigetragen hat.
3.1 Klage gegen die Deutsche Bahn
Die juristische Auseinandersetzung mit der Deutschen Bahn ist geprägt von der Unnachgiebigkeit und dem Unwillen des Unternehmens, eigenes Fehlverhalten einzugestehen. Zur Erinnerung: Im Oktober 2022 haben wir eine Klage gegen die App DB Navigator eingereicht, weil sie personenbezogene Daten ohne Widerspruchsmöglichkeit der Nutzer weitergibt. Die Bahn hat auf unsere Klage eine ausführliche Klageerwiderung von 148 Seiten verfasst, die allerdings viele nichtssagende Anhänge enthält. Darin gibt die Bahn zwar detaillierte Einblicke in ihre konzerninterne Organisation und Abläufe, aber keine weiteren Informationen zur Datenverarbeitung in der App. Zusammenfassend lässt sich sagen, dass die Bahn in ihrem Schriftsatz darauf hinweist, dass sie so weitermachen möchte wie bisher und ihre Nutzer weiterhin ohne Widerspruchsmöglichkeit verfolgen möchte.
Es gibt noch einige bemerkenswerte Argumente der Bahn. Unter anderem behauptet das Unternehmen, dass unsere Klage unzulässig sei. Der Grund dafür sei, dass wir einerseits gegen die Verwendung von Cookies klagten, andererseits aber die Verwendung von Cookies auf dem Smartphone des Klägers bewusst zugelassen hätten. Man wirft uns also vor, die App geöffnet zu haben, um Beweise dafür zu sammeln, welche Funktionen die App tatsächlich ausführt. In den Augen der Bahn ist es offensichtlich nicht legitim, die App nicht nur zum Ticketkauf und zur Fahrplanauskunft zu nutzen, sondern auch ein Interesse daran zu haben, die dahinter stehende Technologie besser zu verstehen. 🤦
Wir haben dem Gericht bereits unsere Klageerwiderung zugestellt und noch einmal dargelegt, warum die Bahn nicht einfach so weitermachen kann wie bisher. Die höchstrichterliche Rechtsprechung sowie die Handlungsempfehlungen und die Sanktionspraxis der europäischen und deutschen Datenschutzaufsichtsbehörden haben bereits deutlich gemacht: Tracker, die nicht abgewählt werden können, dürfen nur eingesetzt werden, wenn sie objektiv zwingend erforderlich sind. Es reicht nicht aus, wenn ein Anbieter diese Tracker nur dringend einsetzen will, weil sie irgendwie zum Geschäftsmodell gehören.
Weitere Schriftsätze der Deutschen Bahn vor Gericht tragen nicht zur Aufklärung bei. Statt neue Argumente vorzubringen, versucht die Bahn, die Klageinitiatoren persönlich anzugreifen. Wenn einem die Argumente ausgehen, versucht man eben, die Diskussion auf Nebenschauplätze zu lenken. Der nächste Schritt in unserer juristischen Auseinandersetzung wird die mündliche Verhandlung sein. Ein Termin steht noch nicht fest.
Unterstützen
Wer die Klage finanziell unterstützen möchte, den bitten wir um eine direkte Unterstützung von Digitalcourage: Mitmachen.Unabhängig davon freut sich natürlich auch der Kuketz-Blog bzw. ich über eine Unterstützung.
3.2 Artikelserien und Beiträge
Die Artikelserie »Custom-ROMs«, in der einige alternative Android-Systeme näher beleuchtet werden, erfreut sich in diesem Jahr großer Beliebtheit. Darin wird untersucht, wohin die Custom-ROMs Verbindungen aufbauen und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Custom-ROM in der Standardkonfiguration ist und daraus Tipps ableiten, wie man das »Nach-Hause-Telefonieren« einschränken oder sogar ganz abschalten kann.
In der Custom-ROM-Szene haben die bisherigen Analysen zu einem regen Betrieb und der Integration neuer Funktionen geführt. So hat GrapheneOS beispielsweise einen SUPL-Proxy-Server eingerichtet, um sicherzustellen, dass SUPL-Anfragen nicht über Google-Server abgewickelt werden. Zusätzlich hostet GrapheneOS die PSDS-Hilfedateien selbst und leitet auch das Attention Key Provisioning über einen Proxy. Andere Custom-ROMs wie CalyxOS haben Patches implementiert, die zumindest dafür sorgen, dass die IMSI-Nummer bei einer SUPL-Anfrage nicht mehr an Google übermittelt wird.
Die Artikelserie ist noch nicht abgeschlossen, die Analyse von /e/ und GrapheneOS steht noch aus.
Neben dieser zeitaufwendigen Serie habe ich noch einige Deutschland-Ticket-Apps analysiert und diverse Beiträge veröffentlicht. Anbei eine kleine Auswahl:
- Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1
- 31 Tipps für mehr Sicherheit und Datenschutz im Internet
- addy.io: Anonyme E-Mail-Weiterleitungen zum Schutz der Privatsphäre/Identität
- Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
- AdAway: Werbe- und trackingfrei im Android-Universum
3.3 Empfehlungsecke | Projekte und Dienste
Die Empfehlungsecke steht seit diesem Jahr unter der CC BY-SA 4.0-Lizenz. Verbesserungsvorschläge, Korrekturen oder Anmerkungen, können per Issue/Pull-Request über Codeberg eingereicht werden. Alle Änderungen an der Empfehlungsecke sind transparent in einem Changelog nachvollziehbar.
Mein Ziel ist es, die Empfehlungsecke so aktuell wie möglich zu halten und natürlich um weitere Themen zu ergänzen. Sollten veraltete Informationen vorhanden sein, bitte ich um einen Hinweis per E-Mail oder Codeberg.
Zusätzlich zur Empfehlungsecke wird die Messenger-Matrix regelmäßig aktualisiert. Die Matrix gibt einen Überblick über die unterschiedlichen (technischen) Eigenschaften der verschiedenen Messenger. Die Diskussionen über die Messenger-Matrix sind in der Regel spannend, manchmal aber auch herausfordernd/anstrengend. Wir haben nicht nur ca. 84 Millionen Bundestrainer, sondern auch Messenger-Experten. ;-)
3.4 Kuketz-Forum
Das (neue) Kuketz-Forum wächst und gedeiht. An dieser Stelle ein herzliches Dankeschön an das Moderatorenteam, das tatkräftig mitgeholfen hat, das Forum für die Community vorzubereiten und nun zu betreuen. Ohne euch wäre der Betrieb des Forums nicht möglich. Ich weiß eure Hilfe sehr zu schätzen!
Mitmachen
Ein solches Forum lebt natürlich vom konstruktiven Austausch seiner Mitglieder. Alle, die sich kritisch mit den Themen »IT-Sicherheit« und »Datenschutz(recht)« auseinandersetzen wollen, lade ich herzlich zu spannenden Diskussionen ein.3.5 Chatraum
Auch der Chatraum erfreut sich wachsender Beliebtheit und reger Aktivität. An dieser Stelle möchte ich mich ganz herzlich bei dem Moderatorenteam bedanken, das maßgeblich zum reibungslosen Betrieb des Chatraums beiträgt. Vielen Dank!
3.6 Mitwirkende
Die aktuelle Zusammensetzung des Teams kann jederzeit auf der Mitwirkenden-Seite eingesehen werden. Dort sind alle Moderatoren des Forums sowie des Chatraums aufgelistet. Ein besonderer Dank geht an unseren Community-Manager o0ps, der das Forum als Hauptansprechpartner betreut und als Schnittstelle zur Community fungiert.
Mein besonderer Dank gilt Matthias Eberl (@rufposten), der den Blog mit seinen Beiträgen sehr bereichert. Hier eine kleine Auswahl aus diesem Jahr:
- Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
- 5 Jahre DSGVO: Mangelhafte Durchsetzung auch in Deutschland
- Fünfteilige Serie: Wissen ist Macht: Das große Wissensdossier zu §25 TTDSG
Aber auch die Gastautoren lacrosse und FrauTux sollen selbstverständlich nicht unerwähnt bleiben. Lacrosse hat erst kürzlich in einem lesenswerten Beitrag aufzeigt, welche unsichtbaren digitalen Spuren die Metadaten hinterlassen, die während unserer Online-Aktivitäten entstehen und viel über unser Leben, unsere Gewohnheiten und Interessen verraten. FrauTux hat sogar einen eigenen Bereich im Forum, in dem sie regelmäßig Beiträge veröffentlicht und den Dialog mit der Community sucht. Auch dafür ein herzliches Dankeschön!
3.7 Medien
Der Kuketz-Blog bzw. meine Person wird regelmäßig in den Medien erwähnt oder zitiert. Anbei eine kleine Auswahl aus dem Jahr 2023:
- Der DB ist es egal, dass Menschen ihre App nur mit Google oder Apple nutzen können (mobilsicher.de, Juli 2023)
- So fälschte eine Hackerin Jens Spahns Mietauskunft (golem, Juli 2023)
- Browser-Riese Mozilla startet bei Mastodon durch (netzpolitik.org, Mai 2023)
- BigBrotherAward 2023 Verbraucherschutz: Deutsche Post DHL Group (Digitalcourage, April 2023)
- Die Big Brother Awards 2023: Digitalzwang allerorten (heise, April 2023)
- Wie der Umstieg auf ein alternatives Android gelingt (golem, Januar 2023)
4. Ausblick 2024
Das Jahr 2023 neigt sich langsam dem Ende zu. Im Monat Dezember erwartet euch noch Folgendes:
- Eine Analyse der Custom-ROMs /e/ und GrapheneOS
- Diverse Microblog-Beiträge
- Tipps, Infos und mehr über den Mastodon-Kanal
- Überarbeitung der Empfehlungsecke
Wagen wir nun gemeinsam einen Ausblick auf das Jahr 2024.
4.1 Artikelserie(n)
Zum jetzigen Zeitpunkt habe ich noch keine Idee, welche (Haupt-)Artikelserie das Jahr 2024 begleiten wird. Die folgenden Serien werden jedoch im nächsten Jahr fortgesetzt:
- AdBlocker-Serie (Pi-hole, AdGuard Home, eBlocker)
- App-Check gemeinsam mit Peter Hense von Spirit Legal
4.2 Forum & Chatraum
Für das begleitende Forum sowie den Chatraum sind im kommenden Jahr keine Veränderungen geplant. Sowohl Discourse (Forum) als auch Matrix (Chat) erweisen sich als zuverlässige Plattformen.
4.3 Weitere Ausrichtung
Auch im kommenden Jahr wird der inhaltliche Fokus beibehalten, und es wird weiterhin eine Mischung aus Beiträgen geben, die größtenteils an ein breites Publikum gerichtet sind. Gleichzeitig wird auch Raum für spezifischere Themen und nerdige Inhalte geschaffen.
Möglicherweise erreichen wir ein weiteres Spendenziel, das mit der Einführung eines App-Voting-Verfahrens verknüpft ist. In diesem Fall wird eine Abstimmungsmöglichkeit darüber eingeführt, welche Apps hinsichtlich ihres Datensendeverhaltens überprüft werden sollen. Mit diesem Schritt möchte ich der Community mehr Einflussmöglichkeiten geben, um zu entscheiden, welche Android und/oder iOS Apps überprüft werden sollen.
5. Feedback
Feedback ist immer willkommen. Sei es in Form von positivem, aber auch negativem Feedback. Für sachliche Kritik habe ich immer ein offenes Ohr. In diesem Sinne: Traut euch, mich zu kontaktieren – insbesondere auch, wenn ihr Verbesserungsvorschläge für den Blog oder das Forum habt. Ich habe schon einige Anregungen von Lesern umgesetzt und werde das auch in Zukunft tun.
6. Spenden an Projekte
In diesem Jahr möchte ich neben lokalen Projekten auch wieder IT-Projekte mit jeweils 250,- € unterstützen:
- Frauenberatungsstelle & Frauenhaus Karlsruhe (lokal)
- Tierschutzverein Karlsruhe und Umgebung e.V. (lokal)
- DRK-Kältebus (lokal)
- Kinderschutzbund Karlsruhe (lokal)
- RethinkDNS (Android DNS-Filter/Firewall)
Abgesehen von diesen einmaligen Spenden habe ich für folgende Projekte einen Dauerauftrag eingerichtet:
- tchncs.de (Mastodon-Server und Matrix-Chat)
- GrapheneOS (Android Custom-ROM)
Die Spenden sollen die Projekte nicht nur dazu ermutigen, die Dienste/Software weiter anzubieten bzw. weiterzuentwickeln, sondern ich möchte mit der Spende auch meine Wertschätzung zum Ausdruck bringen. Meinen Dank und Respekt für eure Arbeit!
7. Fazit
Ich wünsche allen Leserinnen und Lesern eine ruhige und besinnliche Vorweihnachtszeit. Im neuen Jahr 2024 erwarten euch wieder spannende Themen, durchdachte Artikelserien und anregende Diskussionen im Forum sowie im Matrix-Chat.
Wenn euch meine Arbeit gefällt, würde ich mich natürlich freuen, wenn ihr euch in der (Vor-)Weihnachtszeit einen Moment Zeit nehmt, um einen Dauerauftrag für den Blog einzurichten. Denn der Kuketz-Blog sowie das dazugehörige Forum und der Chatraum sollen weiterhin unabhängig bleiben.
Wer den Kuketz-Blog schon länger verfolgt, weiß:
Ich spreche Themen an, die andere nicht auszusprechen wagen und setze mich entschlossen für IT-Sicherheit und Datenschutz ein.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Kuketz-Blog: Jahresrückblick 2022 und Ausblick
Element: Messaging über die Matrix – Messenger Teil7
Kuketz-Chatraum: Austauschmöglichkeit via Matrix
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.