Meine erste kleine, aber feine Talkrunde. Eine, in der ich mich sehr wohl gefühlt habe. Mit dem unfassbar belesenen Philipp Albers und dem furchtbar eloquenten Volker Tripp, moderiert durch die nicht nur technik- kritische Journalistin Vera Linß, unterhielten wir uns über das Verhältnis Mensch und Technik.

Ausgehend von der Debatte um den von mir wenig geschätzten Jaron Lanier, haben wir es dennoch geschafft ein interessantes und hoffentlich informatives Gespräch zu führen.

Auch hier zeigte es sich, dass ich mal dringend mein Menschenbild ausformulieren muss, um die Prämissen meiner Thesen einmal klar zu machen. Denn natürlich steht und fällt vieles in Sachen Zukunftsbeurteilung, wenn man unterschiedliche Vorstellungen vom Menschen anlegt.

Hier habe ich eine meiner grundlegenden Prämissen zugespitzt („Mensch – Technik = Fleischklumpen“), die ich bereits in einem Text schon mal dargelegt habe: Der Mensch ist per se ein technikverschaltetes Wesen. Es gibt keinen Menschenbegriff, den man gegen eine Technik stellen oder verrechnen könnte. Der Mensch beginnt mit der Benutzung von Technik (Technik sowohl etymologisch konkret („techné“), als auch weit gefasst, also auch Sprache und Notationssysteme verwendend).

Die Kulturpessimisten zu allen Tagen machten immer den Fehler, den Menschen und seine jeweilige Entwicklungsstufe als statische Benchmark der Menschlichkeit schlechthin zu verwechseln. Und natürlich findet sich dann in jeder neuen technologischen Weiterentwicklung eine grundlegende Veränderung des derzeitigen Menschen und damit das Ende des Menschen, wie man ihn kannte. Es ist völlig falsch, die Veränderung zu verneinen. Ein Mensch des Mittelalters hat nur wenig gemeinsam mit dem Menschen von heute.

Andererseits reden Technikutopisten gern vom Trans- oder Posthumanismus in der völligen Verkennung der Tatsache, dass wir schon seit immer den Menschen überwinden. Jede Entwicklung in der Technik überwindet den Menschen und stellt ihn völlig neu auf. Jeder Mensch, ein Übermensch.

Das passiert gerade auch mit dem Internet. Und so will ich gar nicht den Laniers, Schirrmachern und Alphonsienen so wehement widersprechen, sondern ihnen nur beruhigend auf die Schulter klopfen, dass mit dem Untergang ihres Humanismus, der nächste längst vor der Tür steht. Der mag sich derzeit noch noch post- trans- oder gar apokalyptisch anfühlen, wird aber bald ebenso eine Normalität darstellen, wie auf einem Stuhl zu sitzen. Im Himmel.

Schade. Der 27c3 wollte meinen Vortrag nicht haben. Ich wollte im Grunde eine erweiterte und veränderte Version meines OM10 Vortrags halten. Dann muss das Paper eben als Blogcontent herhalten:

Von der Polis zum Anderen
Die Genese der neuen Öffentlichkeit

Der Grundsatz „öffentliche Daten nützen, private Daten schützen“ stößt an die Grenzen seiner Tragfähigkeit. Er stößt, um genau zu sein, an eben die Grenze, auf der diese Unterscheidung beruht. Und das nicht nur, weil Daten sich nicht so sehr dafür zu interessieren scheinen, auf welcher der beiden Seiten wir sie zuordnen. Auch uns fehlen immer öfter die Kriterien, um zu beurteilen, was „Öffentlichkeit“ im Internet überhaupt bedeutet. Ein Umstand, den man anhand der Sprachlosigkeit des CCC während der Street-View-Debatte gut beobachten konnte.

Der netzpolitische Diskurs ist in eine Unwegsamkeit geraten. Er kann zwar weiterhin Datenschutz für die Bürger und Transparenz für die Politik fordern, aber nicht zugleich die Potentiale der Abschaffung eben dieser Grenze ausloten. Das merkte man nicht zu letzt an der Diskussion um Liquid Feedback in der Piratenpartei.

Jeder Facebook-Nutzer weiß mittlerweile, wie komplex die Grenze zwischen Öffentlichkeit und Privatheit im konkreten Fall ist, dass tatsächlich viele Öffentlichkeiten vielen Privatheiten gegenüberstehen können. Die Öffentlichkeit der Arbeitskollegen, den Privatheiten des Kegelklubs und denen der Familie und andersherum. Eine homogene Privatheit, die einer monolithischen Öffentlichkeit gegenübersteht, gibt es nicht mehr.

Der Öffentlichkeitsbegriff ist in vielfacher Hinsicht in der Krise und das ausgerechnet jetzt, wo wir ihn so dringend brauchen. Egal ob im Kampf um Netzneutralität oder bei der Selbstverteidigung des Netzes gegen die Verwertungsrechtelobby: überall braucht es einen glaubhaften Verweis auf das „öffentliche Interesse“, das der Politik gegenüber stark gemacht werden muss.

Wir haben es verpasst, einen neuen, kohärenten Öffentlichkeitsbegriff zu entwickeln, der in die Zeit des Digitalen passt und der die Formulierung einer positiven Vision für die Zukunft ermöglicht.

In meinem Vortrag möchte ich zeigen, dass es dafür aber nicht reicht, ein paar Kriterien zu verschieben, um die schwammig gewordene Grenze mit spitzem Stift neu zu ziehen. Viel mehr wird es nötig sein, die Grenze an sich in Frage zu stellen und den Anderen, anstatt ihn erneut auszusperren, in das Zentrum der Überlegung zu rücken. Öffentlichkeit im Internet muss vom Anderen ausgehend gedacht werden.

———————–

Jetzt bleibt nur die Frage: wie komme ich auf den Kongress? Karten sollen ja jetzt ausverkauft sein.

Wer hatte davon noch nicht gehört? Firesheep. Ein BrowserplugIn für Firefox, das aus unverschlüsselten Netzwerken SessionIds fischt und mit den zugehörigen URLs Http-Requests eingeloggter Nutzer nachbaut. In einer Seitenleiste hat man dann schön die Twitter- und Facebook-Accounts aufgelistet, die so im Netz herumschwirren. Ein Klick und man befindet sich in der Innenansicht und kann schalten und walten, wie der Besitzer. (Ja, ich weiß, die Sicherheitslücke ist eigentlich uralt, Firesheep hat sie nur komfortabel geinterfacet. Aber damit auch allgegenwärtig gemacht.)

Heute klappte ich mal nach langer Zeit wieder meinen Laptop im Oberholz auf, die ein unverschlüsseltes W-Lan betreiben – erinnerte mich an die Existenz von Firesheep und schloss vorsichtshalber das Facebook-Tab. Erster Shock: zu spät. Im Firesheep erschien nach einem Firesheep-Scan mein Facebookprofil. Hatte das jemand schon auf einem anderen Rechner geöffnet? (Facebook war bei mir immerhin wenige Minuten offen)

Egal. Facebook ausgeloggt. Danach war die Session in Firesheep ungültig.

Exkurs: Eine Session ist eine Identifizierung eines Nutzers, die Serverseitig verwaltet wird. Durch URL-Bestandteile, POST-Parameter oder eben immer häufiger Cookies (bei Twitter und Facebook zb.) wird der Browser des Nutzers vom Server erkannt und ein bereits erfolgter LogIn wird zugeordnet. So braucht man sich nicht immer neu anmelden.

Nach dem expliziten LogOut bei Facebook wurde also die in Firesheep angezeigte Session auf dem Facebookserver für ungültig erklärt und man konnte sie nicht mehr benutzen. So weit, so unspektakulär.

Einige Minuten später erschien auf einmal mein Twitterprofil in Firesheep. Ich habe keine Ahnung, wie es da hinkam, denn ich hatte Twitter eigentlich nicht im Browser offen, ich benutze beinahe ausschließlich Clients. Ich bin aber ständig per Browser eingeloggt, auch wenn die Session nicht aktiv ist, wenn ich die Seite nicht offen habe.

Allerdings gibt es noch die Tweetbuttons von Twitter auf vielen externen Websites, die mich ebenfalls anhand der TwitterSession identifizieren. Auf diese Weise kann es sein, dass die eigene SessionId im Netz herumfliegt, ohne, dass man dafür Twitter aufrufen muss.

Jedenfalls dachte ich mir: kein Problem! Ich logge mich auch einfach bei Twitter aus. Zack. Aber was musste ich da feststellen? Trotz des Ausgeloggtseins funktionierte die von Firesheep angezeigte Session immer noch! Mehrere Ausloggversuche scheiterten, jedesmal kam ich per firesheep zurück auf meine Timeline, als hätte ich mich nie ausgeloggt.

Ich hab das Problem gleich auf Twitter gepostet, worauf hin ich erstmal einen ganzen Haufen überflüssiger „Lösch doch deine Cookies„-Antworten zurück bekam. Aber nach einigem hin und her auch die Lösung.

Man muss auf Twitter einfach sein Passwort ändern (keine Angst, geht eh nur per https, also SSL-verschlüsselt) und dann werden alle Sessions ungültig. Puh!

Zwischendrin hat das Oberholz dankenswerter Weise wieder auf Verschlüsselung umgestellt (mit WPA-II hat wohl jeder seine eigene Verschlüsselung).

Es ist nichts passiert, aber es war eine ziemlich creepy Erfahrung, seine Session öffentlich zu sehen, ohne daran etwas ändern zu können.

Was ich persönlich für Lehren aus dem Erlebnis ziehen werde, weiß ich noch nicht. Ich weiß auch nicht, was das für die offene W-Lankultur bedeutet, die ich eigentlich unterstütze. Aber eines steht fest:

Dass die Session nach dem Ausloggen bei Twitter nicht ungültig wird, ist eine Riesenschweinerei! Ich bin wirklich nicht der Sicherheitsfanatiker aber sowas geht gar nicht! Das ist eine Sicherheitslücke schlimmen Ausmaßes. (Vielleicht hab ich ja was übersehen, konnte das Verhalten aber reproduzieren. Kann das vielleicht jemand noch mal verifizieren?)

Allgemein würde ich sogar sagen, dass das Ende von Http für Nutzerprofile gekommen ist. Firesheep hat deutlich gemacht, dass man eigentlich nicht mehr irgendwo ohne SSL (also https) eingeloggt rumsurfen möchte. Insbesondere im Zusammenhang mit der Kolonialisierung des Netzes mit den Like- und Tweet-Buttons muss man da dringend umdenken.

Für weiteren Spott und Häme („HÖHÖ, Kontrollverlust und so, HÖHÖ!“) können gerne die Kommentare verwendet werden.

UPDATE: Die beschriebene Sicherheitslücke war wohl auch schon bekannt. Habe ich mir beinahe gedacht, kannte sie aber nicht (Danke @xbg). Jedenfalls bekommt sie mit Firesheep eine ganz neue Dimension und erhöht den Druck auf Twitter, diese zu schließen. Hoffentlich.