Skip to content

Bad Bank von Dirk Laabs

Bad BankVor kurzem stöberte ich durch die Regale des lokalen Buchhändlers. Dabei fiel mir u.a. das Buch Bad Bank von Dirk Laabs auf. Der Autor schrieb zusammen mit Stefan Aust vor einigen Jahren ein Buch zum NSU, Heimatschutz. Das gefiel mir damals inhaltlich und vom Stil her sehr gut und so überlegte ich kurz, ob ich auch dieses Buch kaufen solle. Zunächst entschied ich mich dagegen.

Später stolperte ich über die Ankündigung von Dirk Laabs auf Twitter. Er schrieb, dass sein Buch in zehn Tagen erscheinen würde. Ich warf einen Blick auf die Inhalte und entschied mich, das Buch zu kaufen. Sozusagen als Early Bird. ;-)

Die Finanzkrise jährt sich gerade zum zehnten Mal und das Buch wirft einen Blick auf die Rolle der Deutschen Bank. Der Startpunkt und Rahmen ist die Geschichte von Bill Broeksmit. Hiervon ausgehend erzählt Dirk Laabs die Geschichte verschiedener Probleme im Bankensektor. Der Zusammenbruch der Continental Illinois im Jahr 1984 hat bereits alle Zutaten der späteren Bankenkrisen. Aber auch die verschiedenen Krisen in den 1990er Jahren, die Insolvenz von Orange County, die Krise des Hedgefonds LTCM und anderen.

Daneben wird die Geschichte der Deutschen Bank erzählt. Mit der Übernahme der Morgan Grenfell wollte diese in das Investmentbanking einsteigen. Dies wurde später mit der Einstellung verschiedener wichtiger Personen sowie der Übernahme von Bankers Trust weiter ausgebaut. Ich hatte beim Lesen den Eindruck, dass diese Schritte halbwegs konzeptionslos durchgeführt wurden. Das heißt, es gab die Vorstellung, dass das Investmentbanking Gewinne abwerfen wird. Aber dem Vorstand der Bank schien unklar zu sein, wie das Geschäft genau integriert wird und wie damit umgegangen werden soll. Dies legte dann den Grundstein für die weiteren Fehlentwicklungen. Das Buch schildert sehr schön, wie sich die diversen Abteilungen verselbstständigten, Geschäfte machten und wie wenig auf die entstehenden Risiken geachtet wurde. Am Ende stand dann ein Konzern, dem wenig klar war, wie es genau um die Geschäfte bestellt ist. Und am Beispiel von Eric Ben-Artzi wird gezeigt, wie mit Leuten umgegangen wurde, die genauen auf die Risiken schauen wollten. Er endete als Whistleblower, nachdem er von der Bank kaltgestellt wurde. Das Buch schließt mit dem Tod von Bill Broeksmit und einem Ausblick auf den aktuellen Vorstand der Bank.

Wie schon Heimatschutz fand ich das Buch sehr gut zu lesen. Es erzählt die Vorgänge in Form einer spannenden Geschichte. Neben den eigentlichen Vorfällen bei der Deutschen Bank werden auch andere Vorfälle beleuchtet und so gewinnt man einen guten Überblick über den geschichtlichen Verlauf. Das Buch korrigiert auch den Eindruck, dass bei der Deutschen Bank immer alles glatt lief, nie staatliche Gelder entgegengenommen wurden usw. Insofern kann ich dies nur allen zur Lektüre empfehlen. Einzig eine Sache störte mich: Naturgemäß wird im Buch immer wieder von Derivaten, Swaps, CDOs, RMBS’ usw. gesprochen. Diese Instrumente werden aus meiner Sicht zu kurz erklärt. Hier würde ich mir eine bessere Erklärung wünschen. Dies könnte als Anhang oder auf einer speziellen Webseite passieren.

Insgesamt bietet das Buch einen erschreckenden und gut geschriebenen Einblick in die Finanzszene, speziell die Deutsche Bank. Ich kann das nur uneingeschränkt zur Lektüre empfehlen.

Aufruf: Schickt mir eine mit Minilock verschlüsselte Datei

Kürzlich rief ich euch auf, mir eine verschlüsselte Datei zuzusenden. Die Ergebnisse des Experiments waren recht durchmischt. Weniger als die Hälfte der Einsendungen hatte enthielt eine verschlüsselte Datei. Knapp die Hälfte dieser Dateien waren mit OpenPGP verschlüsselt. Insgesamt fand ich einige der Ergebnisse ziemlich unerwartet.

Unter anderem erwartete ich, dass auch Minilock für die Aufgabe genutzt werden würde. Dennoch nutzte niemand diese Möglichkeit. Aus meiner Sicht ist das eine recht einfache Möglichkeit, um eine Datei zu verschlüsseln. Daher will ich dies unten vorstellen und bitte euch, mir eine Datei mit Minilock zu verschlüsseln und zukommen zu lassen. Dabei interessiert mich natürlich, was euer Eindruck von der Software ist. Also schreibt ruhig ein paar bewertende Worte dazu.

Minilock-ID-Erzeugung
E-Mail-Adresse und Passwort angeben, um eine Minilock ID zu erzeugen

Minilock ist eine Erweiterung für den Google Chrome oder die freie Alternative Chromium. Bei anderen Lösungen ist meist das Betriebssystem die Einschränkung und hier ist es der Browser. Um die zu installieren, besucht ihr die Minilock-Seite im Web Store und klickt rechts oben auf den blauen Button (zu Chrome hinfügen, add to chrome). Wenn ihr die Anwendung zum Browser hinzugefügt habt, öffnet sich ein neuer Tab und ihr seht das Icon für die Anwendung. Jetzt kann es losgehen.

Zu Anfang erzeugt Minilock eine ID. Dieses Kennzeichen wird später benutzt, um Dateien für euch zu verschlüsseln bzw. könnt ihr die Minilock IDs anderer nutzen, um Dateien für diese Leute zu verschlüsseln. Gebt in das Feld eine E-Mail-Adresse sowie ein Passwort ein. Minilock prüft zunächst die Komplexität des Passworts. Sollte dies zu schwach sein, erscheint eine Warnung sowie eine Empfehlung für ein sichereres Passwort. Gebt hier als ein langes und komplexes Passwort ein. Merkt euch beide Merkmale. Ihr benötigt die später, um euch bei der Anwendung “einzuloggen”.

Meine Minilock ID für dieses Experiment ist

MkUrFQM6NDPpYgd813BZub5cLaW1K2Sk5zF3SnG5RBXKm
Dateiauswahl und Minilock ID
Ansicht mit Dateiauswahl und Minilock ID

Nun könnt ihr Dateien verschlüsseln. Wenn ihr auf dem Bild rechts, in die obere Hälfte klickt, öffnet sich eine Dateiauswahl. Sucht dort eine oder mehrere Dateien aus und bestätigt eure Auswahl. Danach müsst ihr die oben angesprochenen Minilock IDs als Empfänger eingeben und Minilock erzeugt eine Datei mit der Endung .minilock. Diese ladet ihr auf den Rechner (Klick auf Dateiname) und könnt diese anschließend versenden. Der Empfänger kann die dann wiederum in sein Minilock laden und hoffentlich entschlüsseln.

Versucht mal, die obige Anleitung umzusetzen und verschlüsselt mir an die obige ID eine Datei. Wie einfach oder schwierig fühlte sich das für euch an?

Mit minilock verschlüsselte Datei
Mit minilock verschlüsselte Datei

Ergebnis des Verschlüsselungsexperiments

Anfang Februar 2018 rief ich dazu auf, mir eine verschlüsselte Datei zukommen zu lassen. Ich bekam fast 50 Zusendungen und war überwältigt. Vielen Dank für eure Mitarbeit!

Viele reden heute in meiner Umgebung über Verschlüsselung. Es gibt Messenger, die verschlüsseln, Webseiten werden verschlüsselt übertragen und Festplatten können verschlüsselt werden. Eine der einfacheren Aufgaben sollte die Verschlüsselung einer Datei sein. Aus meiner Sicht ist dies eine grundlegende Aufgabe, die einfach zu bewältigen sein müsste. Meine Annahme war, dass dies in der Praxis nicht der Fall ist.

Zum Vergleich: Stellt euch vor, ihr fragt beliebige Personen euch einen Text zu schreiben und das Ergebnis zukommen zu lassen. Meine Annahme ist, dass ein Großteil der Menschen dieses Problem lösen können. So ähnlich sollte es sich auch mit der Verschlüsselung einer beliebigen Datei verhalten. Die Betonung liegt jedoch auf sollte.

Im Vorfeld hätte ich erwartet, dass die meisten Dateien als gezippte (oder sonstwie gepackte) und verschlüsselte Datei kommen, dicht gefolgt von Officedateien mit Passwort. Am Ende kamen drei gezippte Dateien (entspricht 6% aller Dateien und 14% der verschlüsselten Dateien) und  keine Oficedatei. Das war eine Überraschung.

Die überaus meisten Dateien etwa ein Drittel aller Dateien und 64% der verschlüsselten Dateien waren gegen meinen OpenPGP-Schlüssel verschlüsselt. Auch dies fand ich überraschend, denn ich hätte vermutlich ein symmetrisches Verfahren gewählt und das Passwort auf einem anderen Weg übertragen. Allerdings ist die hohe Zahl für mich ein eindeutiges Zeichen der Filterblase in der mein Aufruf gelandet ist. Denn kann mir schwer vorstellen, dass die breite Masse der Menschen so oft und viel OpenPGP auf- und einsetzt.

Leider bekam ich nahezu keine Rückmeldung über fehlgeschlagene Versuche oder von Leuten, die gar keine Idee hatten, wie sie das Problem angehen können. Jedoch würde ich mehr als die Hälfte der Versuche, die mich erreichen als gescheitert betrachten. Diese enthielten entweder eine Datei im Klartext oder gar keine Datei. Das ist für mich schon ein deutliches Zeichen, dass die Aufgabe schwierig ist.

Aber wie geht es einfacher? Eine Lösung sind die oben angesprochenen gezipten Dateien. Hier müsste man natürlich über die Art der Verschlüsselung und deren Sicherheit reden. Ein ebensolches Problem steht bei Office-Dateien. LibreOffice bietet in der letzten Version auch die Benutzung von OpenPGP an. Aber dies muss erstmal eingerichtet werden.

Eine recht einfache, wenn auch unbekannte Lösung ist Minilock. Dies ist eine Erweiterung für Google Chrome und Chromium. Damit lässt sich die Aufgabe aus meiner Sicht recht bequem erledigen. Ich werde später eine kleine Anleitung schreiben und mal zu einem Praxistest aufrufen.

Zahlen zum Verschlüsselungsexperiment

Ich hatte euch gebeten, mir eine verschlüsselte Datei zu schicken. Die An- und Vielzahl der Antworten war überwältigend. Vielen Dank an alle, die mitmachten! Doch was kam dabei heraus? Unten findet ihr eine Auswertung in Zahlen:

Insgesamt erhielt ich knapp 50 Dateien. Diese kamen überwiegend per E-Mail (37). Daneben schickten mir Leute Hinweise über Quitter (3), Twitter (2), Slack (1), XMPP (1), Wire (1) und als Kommentar (2) zum Blogbeitrag.

Jemand hatte sich den Spass erlaubt, einen PGP-Schlüssel für die betreffende E-Mail-Adresse zu erstellen. Ich erhielt drei E-Mails, die einen falschen Schlüssel nutzten. Ich hatte im Beitrag auf meinen Schlüssel verwiesen und gehofft, dieser würde benutzt werden. Aber einige arbeiten offensichtlich anders, als ich das erwartet habe. ;-)

Insgesamt 22 Dateien oder weniger als die Hälfte der Versuche waren verschlüsselt:

  • Die meisten davon (11) waren mit OpenPGP gegen meinen Schlüssel verschlüsselt.
  • Vier Dateien nutzten AES zur Verschlüsselung. Das Passwort lag der E-Mail bei.
  • Dreimal erhielt ich eine gepackte (Zip) Datei mit Passwort in der E-Mail.
  • Zwei Dateien nutzten das TLS-Zertifikat und waren gegen dieses verschlüsselt. Ich bin natürlich im Besitz des privaten Schlüssels und konnte diese entschlüsseln.
  • Ein Link führte auf einen Pastebin mit einer OpenPGP-verschlüsselten Nachricht.
  • Schließlich kam noch ein Veracrypt-Container.

Auf der anderen Seite heißt das eben auch, dass ein Großteil der Dateien nicht verschlüsselt war. Insgesamt kamen fünf E-Mails mit einem Klartext-Anhang an. Ebenso erhielt ich eine klartextliche Datei über Keybase, drei Dateien über send.firefox.com, eine über Tutanota. Die Dateien, die über XMPP und Wire kamen, waren ebenso unverschlüsselt. Allerdings war hier die Leitung selbst verschlüsselt.

Schließlich erhielt ich noch Nachrichten, die keine Datei enthielten. Eine Mail verwies auf Peersm. Dies konnte ich in keinem Browser zum Laufen bekommen. Ein Kommentar im Blog enthielt eine Base64-kodierte Datei. Dies ist keine Verschlüsselung, sondern kann immer dekodiert werden.

Alles in allem ist das Ergebnis etwas anders als ich im Vorfeld erwartet hatte. Zu meinen Erwartungen und meiner Bewertung werde ich einen separaten Beitrag verfassen.

Aufruf: Schick mir eine verschlüsselte Datei

tl;dr: Bitte verschlüsselt eine Datei und schickt mir diese zusammen mit einer (kurzen) Beschreibung, wie ich die lesbar mache.

Alle Welt redet von Verschlüsselung und keiner macht es. So könnte man meine These kurz zusammenfassen. Habt ihr schonmal versucht, eine Datei zu verschlüsseln und diese jemand anderem zuzusenden? Wie habt ihr dies angestellt?

Aus meiner Sicht ist das eine einfache, grundlegende Aufgabe, die man in jedem Anfängerkurs stellen könnte:

Stelle dir vor, dein Gegenüber nutzt einen öffentlichen Computer (Internetcafe, Bibliothek etc.). Du möchtest mit diesem eine Datei austauschen, deren Inhalt nur ihr beide kennt. Verschlüssele eine Datei auf deinem Rechner und übermittle diese an dein Gegenüber.

Ich frage mich nun, wie ihr das machen würdet. Daher habe ich mich zu einem kleinen Experiment entschlossen: Liebe Leserinnen und Leser, bitte verschlüsselt eine (nicht allzugroße) Datei und schickt mir diese zu (per E-Mail an enc2018@kubieziel.de, hinterlasst einen Kommentar oder kontaktiert mich anderweitig) . Legt ein paar Informationen bei, wie ich die wieder entschlüsseln kann. Ihr wisst nicht, wie ihr das machen könnt? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ihr habt es probiert und seid daran gescheitert? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ich würde gern wissen, wie einfach oder schwierig dies für euch ist.

Ich plane, die Umfrage später anonymisiert auszuwerten und ggf. in weiteren Beiträgen verschiedene Werkzeuge vorzustellen.

 

Buch »Privacy on the line« kostenlos verfügbar

Vor vielen Jahren legte ich mir bei Amazon eine Wunschliste an. Diese war zum einen als Merkzettel für mich gedacht und zum anderen konnten andere darauf zugreifen, um mir einen Wunsch zu erfüllen.

Dort landete unter anderem auch das Buch »Privacy on the line« von Whitfield Diffie und Susan Landau (Sie ist u.a. auch Tor-Unterstützerin.). Die Beschreibung klang sehr interessant:

In Privacy on the Line, Whitfield Diffie and Susan Landau strip away the hype surrounding the policy debate over privacy to examine the national security, law enforcement, commercial, and civil liberties issues. They discuss the social function of privacy, how it underlies a democratic society, and what happens when it is lost. This updated and expanded edition revises their original—and prescient—discussions of both policy and technology in light of recent controversies over NSA spying and other government threats to communications privacy.

Aber weder kaufte ich das Buch noch kaufte es mir eine andere Person. Aber jetzt habe ich einen Grund, es zu lesen. Das Buch kann über die Webseite kostenlos heruntergeladen werden. Auf https://mitpress.mit.edu/books/privacy-line findet ihr einen Download-Link, der euch direkt zur PDF-Version bringt. Das Buch ist weiterhin im Handel erhältlich und vermutlich werde ich es nach einigem Schmökern, dann doch endlich kaufen. ;-)

Bemerkenswerte Bücher

Benjamin machte eine Fragerunde nach 10 Büchern, die ich und andere bemerkenswert fanden. Folgende Bücher kamen mir dabei in den Sinn:

  1. Angerichtet von Herman Koch
    Das gehört zu den Büchern, die mich sehr beeindruckt haben. Darin geht es um zwei Ehepaare, die sich zum Essen treffen und recht dramatische Geschichten zu besprechen haben. Das Buch endet bei der Nachspeise und ich brauchte damals einen längeren Verdauungsspaziergang. Ihr findet im Blog noch eine Einschätzung des Buches.
  2. Amon: Mein Großvater hätte mich erschossen von Jennifer Teege
    Die Autorin ist die Enkelin von Amon Göth. Viele kennen den KZ-Kommandanten vermutlich aus dem Film Schindlers Liste. Teege entdeckt durch Zufall ihre Verwandtschaft zu ihm und fällt in ein tiefes Loch. Das Buch handelt davon, wie sie damit umgeht und was sie auf ihrem Weg erlebt.
  3. Fourier Analysis: An Introduction (Princeton Lectures in Analysis) von Elias M. Stein und Rami Shakarchi
    Wie der Titel verrät, geht es darin um Fourier-Analysis. Das Buch selbst ist gut und verständlich geschrieben. Ich war damals der Meinung, einen Fehler in einem Beweis gefunden zu haben. Ich wandte mich an die beiden Autoren, beides hochrangige Mathematik-Professoren und war beeindruckt, dass sie mir freundlich antworteten und den Fehler bestätigten.
  4. This machine kills secrets von Andy GreenbergThis machine kills secrets
    Das Buch erzählt in sehr detaillierter und gut recherchierter Weise die Geschichte verschiedener Whistleblower. Ich habe damals einen längeren Blogartikel zu dem Buch geschrieben. Leider habe ich das verborgt und ich weiß nicht mehr an wen. Seit längerem überlege ich, das nochmal zu kaufen.
  5. Das kompetente Kind von Jesper Juul
    Als ich wusste, dass wir Eltern werden, machte ich das, was viele Neu-Eltern machen: Ratgeber lesen. Das Buch von Jesper Juul zeigte mir damals eine ganz andere Sicht auf die Kindererziehung auf und tat das in nachvollziehbarer Weise. Das hat sicher meinen Erziehungsstil sehr geprägt.
  6. Cryptonomicon von Neal Stephenson
    Neal Stephensons Bücher sind alle empfehlenswert. Nach meiner Erinnerung war das Cryptonomicon eines der ersten, die ich las. Darin geht es um zwei Helden, die in zwei Zeiten leben. Wie auch in anderen Stephenson-Büchern spielen sich beide Handlungsstränge parallel ab. Erst gegen Ende wird klar, wie die zusammenfließen. Die Bücher von ihm sind immer bis zum Ende spannend.
  7. Das Kollegenschwein von Hans L. Herder
    Vermutlich lässt sich das Buch am besten verstehen, wenn man, wie ich, mal in einer Bank gearbeitet hat. Denn darin geht es um die Intrigen innerhalb einer Bank. Ich fand das damals sehr witzig und spannend beschrieben.
  8. Daemon und Darknet von Daniel Suarez
    Beide Bücher gehören zusammen und sollten nicht einzeln gelesen werden. Suarez beschreibt darin, wie die Welt nach dem Tod eines Spieleprogrammierers von einem Computerprogramm übernommen wird. Im zweiten Teil wird dann klar, dass der Daemon vielleicht die Rettung sein kann. Das Buch regt auch stark zum Nachdenken über die Welt an.
  9. The art of computer programming von Donald E. Knuth
    Das Buch ist so ein Standardwerk aus der Informatik, dass noch nicht zu Ende geschrieben ist. Gleichzeitig finde ich das Buch zeitlos. Ich nutze das zumeist als Nachschlagewerk und finde darin immer wieder großartige Ideen.
  10. Manufacturing Consent: The Political Economy of the Mass Media
    Chomsky analysiert Geschichten der Medien und zeigt, dass viele davon interessengeleitet sind. Ein aktuelleres Beispiel ist Weiße finden, Schwarze klauen. Chomsky fand Presseberichte über Wahlen. Je nach Land war die legitim oder undemokratisch, obwohl die Wahlen unter ähnlichen Bedingungen stattfanden. Das Buch ist ein Augenöffner, was Presseberichte betrifft und kann gut auf heutigen Pressemeldungen angewendet werden.

Leider durfte ich nur zehn Bücher erwähnen. Beim Nachdenken fielen mir noch einige ein, die mich beeindruckten. Wenn der nächste fragt, nehme ich vielleicht zehn andere. :-)

tweetbackcheck