Qbi's Weblog

In der aktuellen Ausgabe der Lage der Nation (LdN365) sprechen Ulf und Philipp darüber, dass es sinnvoll wäre, Politiker:innen Briefe zu schreiben und darin die Anliegen zu formulieren. Briefe würden besser funktionieren als E-Mails, da diejenigen viele E-Mails erhalten und weniger darauf antworten.

Ich habe im Laufe der letzten Jahre recht häufig Briefe, E-Mails und sogar Faxe geschrieben und kann den Eindruck so nicht teilen. Nach meiner Erinnerung erhielt ich auf alle E-Mails eine sinnvolle Antwort. Die Ausnahme bildet hier eine Partei, die sich mittlerweile so weit aus dem demokratischen Spektrum entfernt hat, dass ich aufgehört habe, denen etwas zu schreiben.

Allerdings geht es in der Lage wohl eher um die Bundespolitik und ich richte meine Anliegen häufiger an die Landes- oder Kommunalpolitik. So muss sich jemand im Bundestag rein rechnerisch um etwa 115.000 Bürger:innen kümmern. Im Thüringer Landtag sind es nur 24.000 Menschen. Das heißt, es ist damit zu rechnen, dass die Menschen im Bundestag viel häufiger kontaktiert werden als in den Landtagen oder in anderen Einrichtungen. Daher ist vielleicht auch mein Eindruck “verschoben”.

Nichtsdestotrotz finde ich es eine sehr gute Idee, die Ansprechpartner:innen zu kontaktieren und sein Anliegen vorzutragen. Auf einer Demonstration gegen Rechtsextremismus meinte der Landrat von Freiberg, Dirk Neubauer, sinngemäß, dass er nicht derjenige sei, der jeden Wunsch der Bevölkerung erfülle. Vielmehr möchte er sich für alle einsetzen, die selbst etwas umsetzen wollen. Die Demokratie ist ein “Mitmachladen”. Der erste Schritt dahin, kann es eben sein, die Vertreter auf Wünsche und Anliegen aufmerksam zu machen.

Doch wie geht man solch ein Schreiben nun an?

1. Worum geht es? Zuerst solltet ihr euch im Klaren sein, um was es euch geht. Versucht mit einem Schreiben ein Anliegen zu adressieren. Oftmals ist klar, was ihr wollt. Dann ist dieser Schritt einfach. Manchmal schweben jedoch diffuse Ideen im Kopf und dann tendieren diese Schreiben zu Romanen zu werden. Schreibt euch daher die Grundidee als Schlagwort auf einen Zettel und entwickelt das Schreiben um diese Idee.
2. An wen soll das Schreiben gehen? Es kann den Fall geben, dass ihr eine konkrete Person anschreiben wollt. Hier hilft schon eine Suche im Web und auf der persönlichen Webseite stehen die Kontaktdaten. Wenn ihr mehrere Personen anschreiben wollt, hilft die Suche bei Abgeordnetenwatch (Beispiel: PLZ 07743), beim Bundestag oder bei den Landkreisen.

3. Wie setze ich das Schreiben auf? Das Schreiben besteht aus Adresse, Anrede, Betreff, dem Text und dem Abschluss. Die Adresse wurde oben ermittelt. Bei der Anrede emfiehlt es sich, klassisch “Sehr geehrt…” zu verwenden und der Betreff sollte möglichst einfach und klar sein. Also etwas in der Art “Ihre Einschätzung zu XY”, “Verbesserungsvorschlag zu Gesetz XY” usw.

   Der eigentliche Text sollte anfangs kurz zusammenfassen, worum es geht. Denn ihr solltet immer daran denken, dass ihr nicht die einzigen seid, die E-Mails oder Briefe schreiben. Wenn sich 1% der Menschen entscheiden, die Abgeordneten zu kontaktieren, bekämen diejenigen im Bundestag 1150 Nachrichten und die im Landtag Thüringen immerhin noch 240 pro Jahr. Geht man davon aus, dass das Lesen und Beantworten 10 Minuten dauert, wären das etwa 24 Arbeitstage im Bundestag und 5 im Landtag, die nur dafür investiert werden müssten.

   Schreibt daher am Anfang eine kurze Einleitung von wenigen Sätzen. Daraus sollte hervorgehen, worum es euch geht.

   Dann finde ich es immer auch schön, mit etwas Positivem einzusteigen. Also ein kleines Lob für eine Aktion oder eie Gemeinsamkeit, die man mit der Person hat. Ich finde, dies erhöht, die Bereitschaft eine solche Nachricht zu lesen und zu bearbeiten.

   Im Text sollten dann einige klare Fakten und Aussagen gemacht werden und es empfiehlt sich, eine Frage an die Person zu stellen. Das macht klar, dass ihr an einer Antwort interessiert seid und könnte die Chance auf ebendiese erhöhen.

   Wenn ihr absolut keine Idee für ein solches Schreiben habt, dann versucht mal, ChatGPT oder eine andere texterzeugende KI zu verwenden. Ich nutze das gern, um mir eine initiale Idee geben zu lassen und aufbauend darauf Dokumente zu verfassen. Aber nutzt das bitte nur als Ideengeber und kopiert nicht einfach den Text in eure Nachricht!

4. Damit wäre der Brief oder die E-Mail fertig und kann verschickt werden.
5. Viel Erfolg!

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige.

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so!

Der macht eine Meldung über die LogJam-Schwachstelle die Runde. Ein Besuch der Webseite WeakDH.org offenbarte auch bei meinen Browser-Einstellungen Schwächen. Doch wie sichere ich den gegen die Attacke?

Im Firefox ist das recht einfach: In die Adresszeile einfach about:config eingeben und dann in den Konfigurationseinstellungen nach dem Wert .dhe suchen. Der Punkt vor dhe ist wichtig, dass nur die relevanten Algorithmen gefunden werden. Alle Werte (je nach Version sind das zwei oder mehr) werden auf false gesetzt. WeakDH.org sollte nun keine Warnung mehr anzeigen.

Im Chrome oder Chromium gibt es keine Möglichkeit, die Einstellung über ein Menü zu machen. Der beste Weg, den ich fand, ist, zunächst die Cipher-Suite-Detail-Seite zu besuchen. Dort findet ihr eine Tabelle mit Algorithmen, die euer Browser unterstützt. In der Spalte Spec stehen Zahlen-/Buchstaben-Kombinationen. So findet sich bei mir beispielsweise der Eintrag: (00,0a). Sucht nun nach allen Einträgen, bei denen der Cipher-Suite-Name mit DHE (nicht ECHDE) beginnt und entfernt die Klammern und das Komma von der Spec. Nun fügt ihr noch ein 0x an den Anfang. Im obigen Beispiel wird also aus (00,0a) ein 0x000a. Diese unerwünschten Algorithmen werden als Option dem Chrome oder Chromium übergeben: google-chrome --cipher-suite-blacklist=0x009e,0x0033,0x0032,0x0039,0x0004,0x0005 ist das bei meinem Browser.

Wie sieht es bei anderen Browsern aus? Meines Wissens kann man den Internet Explorer nicht so detailliert steuern. Ich freue mich über Hinweise und nehme die gern mit in den Beitrag auf. Schließlich sollte das Ergebnis der Webseite dann wie unten aussehen.

Im letzten Jahr hatte ich die Abgeordneten des Thüringer Landtages befragt, ob diese denn PGP und SSL/TLS nutzen. Neben der Fraktion der Linken waren es Katharina König und Dirk Adams, die PGP einsetzten. Nun ist die neue Regierung mehr als 100 Tage im Amt. Also wollte ich einen zweiten Rundruf starten. Nach einem ersten Zwischenergebnis hat sich die Zahl der Abgeordneten wie auch die Zahl der Fraktionen mit einem PGP-Schlüssel verdoppelt. Die SPD-Fraktion und Dorothea Marx (SPD) sowie Steffen Dittes (Linke) kamen hinzu. Aber das sind Vorergebnisse.

Nun fragte ich mich, wie das wohl in anderen Landtagen aussieht. Alexander Morlang gab den Hinweis, auf den Keyservern nach dem Wort Fraktion zu suchen. Also legte ich eine Google-Docs-Tabelle an und fragte um Hilfe.

Mittlerweile gibt es einige Einträge. Überraschend fand ich, dass es in Bayern ein CDU-Mitglied mit einem Schlüssel gibt. Ansonsten dominieren derzeit die Piraten in den Landtagen.

Sind eure Abgeordneten in der Liste enthalten? Falls nicht, so schreibt denen doch mal eine E-Mail und fragt, ob sie einen Schlüssel besitzen oder wer in der Fraktion einen Schlüssel besitzt. Ich würde mich freuen, wenn ihr mir das Ergebnis zuschickt, hier kommentiert oder direkt in die Tabelle schreibt.

Update: Ich habe jetzt alle Fraktionen in den diversen Landtagen und Bürgerschaften angeschrieben. Dort fragte ich, ob bekannt ist, wer PGP/SSL/TLS oder anderes nutzt. Ich aktualisiere die Tabelle, sobald ich Antworten erhalte.

Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist.

Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?

Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild:

Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen.

Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe.

Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen.

Die 5. Wahlperiode des Thüringer Landtages neigt sich dem Ende zu. Einer der letzten Beschlüsse ist die Drucksache 5/7583 mit dem Titel Verschlüsselte Kommunikation ermöglichen und befördern. In der Endfassung enthält der Beschluss die Bitte an die Landesregierung:

1. zukünftig Wege zu ermöglichen, welche die Vertraulichkeit des Inhalts elektronischer Kommunikation mit öffentlichen Stellen des Landes und der Nutzung ihrer elektronischen lnformationsdienste sowie des Inhalts elektronischer Kommunikation zwischen öffentlichen Stellen des Landes durch Angebote einer sicheren End-to-End-Verschlüsselung (Kryptografie) eröffnen,
2. die Bürger des Freistaats Thüringen in geeigneter Weise über die Möglichkeiten der Verschlüsselung elektronischer Kommunikation, insbesondere auf den Web-Seiten der Landesregierung, zu informieren.

Der Versuch

Darin steckt der Wunsch, TLS für Webseiten und Ende-zu-Ende-Verschlüsselung vielleicht mit OpenPGP zu machen.

Ich entschied mich, denselben Weg wie Anna Biselli zu gehen. Sie versuchte, verschlüsselt mit einem Abgeordneten zu kommunizieren. Ich besuchte die Webseiten der Fraktionen im Landtag und die der Abgeordneten. Dabei wollte ich jede Seite mit https öffnen und suchte nach einer Möglichkeit für verschlüsselte E-Mail-Kommunikation. Konnte ich beides nicht finden, so schrieb ich die Abgeordneten an. Was kam dabei heraus?

Fraktionen

Die CDU-Fraktion im Landtag bietet keinerlei Unterstützung für SSL/TLS an und es gibt auch keine Möglichkeit zur verschlüsselten E-Mail-Kommunikation.

Die Webseite der SPD-Fraktion begrüßt mich mit der Meldung SSL peer has no certificate for the requested DNS name. Eine verschlüsselte Verbindung zu der Seite ist damit nicht möglich und ich fand auch keinen OpenPGP-Schlüssel auf der Seite.

Die Webseite der FDP-Fraktion scheitert zunächst an den Einstellungen in meinem Browser und sagt Peer attempted old style (potentially vulnerable) handshake. Wenn ich die Einstellungen lockere, so präsentiert die Seite ein Zertifikat, was für die Domain web6.online-now.de ausgestellt ist. Wenn ich dann auch noch dieses akzeptiere, so erhalte ich von der resultierenden Seite die Meldung Die Domain “www.thl-fdp.de” ist nicht über https verfügbar. Die Unterstützung von OpenPGP ist wie bei den anderen Parteien.

Die Webseite der Fraktion der Grünen hat ein Zertifikat, welches seit Ende 2013 abgelaufen ist. Ich hatte den Fakt im Juli 2014 gemeldet. Zum Zeitpunkt des Blogeintrages hat sich an dem ungültigen Zertifikat nichts geändert. Wird dies akzeptiert, so werden die Inhalte der Webseite angezeigt. OpenPGP sucht man jedoch vergeblich.

Einzig die Fraktion der LINKEn unterstützt SSL/TLS vom Start weg und die Servereinstellungen sind sehr gut. Hier wäre nur zu wünschen, dass die Webseite alle Anfragen standardmäßig auf die verschlüsselte Seite umleitet. Die positiven Nachrichten reißen aber noch nicht ab. Denn die Kontaktseite bietet einen OpenPGP-Schlüssel zum Download an und weist den Fingerprint aus. Damit ist die LINKE eindeutig der Spitzenreiter, was verschlüsselte Kommunikation betrifft.

Abgeordnete

Von den knapp 90 Abgeordneten im Landtag gibt es nur zwei, die einen OpenPGP-Schlüssel anbieten:

• Dirk Adams (Grüne)
• Katharina König (LINKE)

Beider Webseiten sind auch per HTTPS zu erreichen. Jedoch verwendet die Seite von Dirk Adams ein falsches Zertifikat und die Seite von Katharina König bzw. der Provider blockieren Verbindungen über Tor. Falls ihr also die Seite mit Tor ansurft, kann es sein, dass sich diese nicht öffnet.

Uwe Barth (FDP) nutzt ein Wordpress-Blog als Webseite. Damit kann die Seite auch per HTTPS besucht werden. Die SPD-Abgeordneten David-Christian Eckardt, Uwe Höhn, Birgit Pelke und Claudia Scheerschmidt nutzen das Angebot von Sozinet. Das bietet ebenfalls HTTPS an.

Bei allen anderen Abgeordneten fand ich keine funktionierende Möglichkeit, per HTTPS auf die Seite zuzugreifen. Ebenfalls konnte ich keine Nennung von E-Mail-Verschlüsselung finden. Also schrieb ich E-Mails und fragte nach.

Die Abgeordneten der FDP haben das Wahlkampfmotto Wir sind dann mal weg wohl zu ernst genommen. Denn ich erhielt von keinem der angeschriebenen Abgeordneten eine Antwort.

Die CDU schien sich intern auf eine Antwort geeinigt zu haben. Alle Antworten hatten nahezu denselben Wortlaut und verwiesen darauf, dass der Beschluss eine Aufforderung an die Regierung enthält. Erst wenn diese eine Entscheidung getroffen hat, so werden die Abgeordneten diese umsetzen. Aus den Antworten wurde klar, dass vorher nichts zu erwarten ist.

Von der SPD antworteten einige wenige Abgeordnete. Allerdings treten diese nicht mehr zur Wahl an oder sind unsicher, ob sie wiedergewählt werden. Daher hatte das Thema keine Priorität.

Von den grünen Abgeordneten erhielt ich zwei Antworten. In einem Fall ist eine neue Webseite in Arbeit. Die neue Seite soll dann auch Verschlüsselung unterstützen. Im anderen Fall war die Meinung, dass Verschlüsselung nicht notwendig ist, da alle auf der Seite angebotenen Daten öffentlich sind.

Bei der Linken konnte ich einen interessanten Effekt beobachten. Anfangs erhielt ich von den Abgeordneten individuelle Antworten. Ab einem Zeitpunkt kamen eine Art Standardantworten mit ähnlichem Wortlaut. Ich vermute, dass sie sich intern auf eine Sprachregelung geeinigt haben. Bei den individuellen Antworten gab es Abgeordnete, die klar schrieben, dass sie sich mit dem Thema bisher noch nicht auseinandergesetzt haben und noch nicht wissen, wie sie damit umgehen. In einem Fall erhielt ich eine verschlüsselte E-Mail mit Schlüssel und hätte künftig verschlüsselt kommunizieren können.

Insgesamt gibt es bei den Abgeordneten noch viel zu tun. Natürlich verwiesen viele auf die bevorstehenden Sommerferien und Wahlen. Daher werde ich die Wahlen abwarten und später nochmal bei den Abgeordneten nachfragen. Vielleicht wird Thüringen der Verschlüsselungs-Standort Nr.1.