Ende Maerz 2012 starb ueberraschend ein Kollege von mir. Verdammt, gegen viele Krankheiten ist heute immer noch kein Kraut gewachsen. Und das wird wohl auch noch eine ganze Weile so bleiben.
Der Kollege war beruflich wie privat technisch sehr versiert und online weitreichend vernetzt - sei es mit einem schnoeden XING-Account, dem eigenen Webserver, der Mailaccount bei einem Freemailer oder der eigene Handyvertrag. Und da gingen die Probleme auch schon los. Waehrend es fuer die weltlichen Dinge meist eine Regelung gibt wie Sterbeurkunde, Kontoaufloesung, Vertragsaufloesung mit Firma xyz, bleibt das Internet ein rechtsfreier Raum und fuer die Hinterbliebenen keine Moeglichkeiten, den Onlineaccount in Communities und Freemailern zu terminieren. Zum einen haben sie vielleicht technisch jetzt gar nicht die Ahnung, wie das alles funktioniert. Und selbst wenn wissen sie ja nicht, um welche Accounts es sich alles handelt. Und selbst wenn sie die Anbieter kennen, scheitert es zum Schluss an den Logindaten, die natuerlich nicht bekannt sind. Das Resultat ist: das physische Leben ist zu Ende, im Internet lebt es sich froehlich weiter. Das Makaberste an diese Stelle ist ein idlender Nick im IRC, der ueber einen Bouncer in SCREEN auf einen vServer connected ist. Wenn die Verbindung stabil und der vServer auf einem Jahr im voraus bezahlt ist (was heutzutage nicht so unueblich ist), duerfte dieser Zustand des Onlinedaseins also noch eine ganze Weile anhalten. Auch Freemailer terminieren irgendwann mal nichtaktive Accounts. Aber auch da geht man eher behutsam vor, um vielleicht nicht doch noch einen potentiellen Kunden zu verlieren. Man kann sagen, dass kein Anbieter bis jetzt diesen Letzten Fall vorgesehen hat.
Also muss man wie so oft selber Vorkehrungen fuer sein Ableben schaffen, wenn man einen geordneten Rueckzug antreten will. Bei der Recherche im Internet bin ich zum Beispiel auf den Dienst http://www.mywebwill.com gestossen. Ein Anklicken des Links lohnt sich nicht mehr, denn den Dienst gibt es seit 2 Jahren nicht mehr. Man findet nur noch Hinweise auf seine Existenz in Newsartikeln. Im Prinzip konnte man dort all seine Twitter- und Facebook-Accounts hinterlegen und wenn der Anbieter in Schweden behoerdliche Nachricht vom Tod seines Users bekommen hat, wurde bei den jeweiligen Anbietern, die man in seinem Account konfiguriert hat, eine Aktion ausgefuehrt. Die lustigste war zum Beispiel der letzte Tweet: "Ich bin dann mal weg". Aber der Dienst konnte auch die Accounts loeschen, wenn man es denn vorher gewollt hat. Prima Sache. Leider tut sich gleich mehrere Probleme auf: 1. Den Dienst gibt es nicht mehr, 2. Der Server duerfte ein gutes Ziel fuer Hacker sein, um verifizierte Accounts verschiedener Dienste zu erbeuten, 3. Wie kriege ich eine behoerdliche Sterbenachricht nach Schweden? Bei 4. bin ich mir nicht ganz sicher, aber was ist mit Accounts, die dort nicht konfigurierbar sind?
Der naechste Anbieter ist CloudSafe. Dort kann ich online Daten verschluesselt in der Cloud ablegen, so der Tenor des Anbieters, der aber in diversen Blogs kritisiert wird, weil die Datenuebertragung jetzt doch nicht so sicher ist und der Anbieter sein Verschluesselungsverfahren nicht offenlegt. Die verschluesselten Daten kann ich anderen Personen freigeben oder jemanden beauftragen, anderen den Zugang zu den Daten zu ermoeglichen. Das kommt dem Onlinetestament schon ziemlich nahe. Das Problem sehe ich leider an einer anderen Stelle: Sind die Daten denn wirklich sicher abgelegt? Und wird es den Anbieter in 10 oder 40 Jahren noch geben? Da habe ich so meine Zweifel. Datenverlust der uncoolen Art erlebte ich uebrigens diese Woche mit der Android-App "Password-Safe". Theoretisch kann man mit dieser App im Handy auch geheime Daten hinterlegen und diese mit einem Master-Passwort sichern. Super Sache, jedoch begruesste mich die App jetzt mit dem Bildschirm "Bitte neues Master-Passwort eingeben". Man kann es sich schon denken: Alle hinterlegten Daten waren natuerlich unwiderbringlich fort. Die App vergass auch nicht noch einmal abzustuerzen, ehe ich sie deinstalliert habe.
Meine Recherche fuehrte mich weiter zu symetrischen und asymetrischen Verschluesselungsverfahren. ZeroBin nennt sich ein Onlinetool, mit dem ich in einem Onlinestorage Daten hinterlegen kann. Im Gegensatz zu Pastebin werden bei ZeroBin die Daten auf dem Dateisystem verschluesselt abgelegt. Der Schluessel zur Aufloesung ist Teil der Browser-URL. Das ist ziemlich beachtlich, wenn man mal genauer drueber nachdenkt. Wer die URL kennt, hat Zugriff auf die verschluesselten Inhalte, die sich in seinem Browserfenster entschluesseln. Ein beliebig gesharetes Geheimnis.
Will man dies weiter eingrenzen, ist man bald beim guten alten Pretty Good Privacy angekommen. PGP ist uebrigens von Symantec aufgekauft worden, wer es die letzten 10 Jahre nicht mitgekriegt hat.Zum Glueck gibt es den freien Ableger GnuPG. Wer das Verfahren nicht kennt, ein kurzer Abriss: Ich habe einen private und einen public Key. Den public Key kann ich verteilen oder auf sogenannte Key-Server hochladen. Dort werden sie nach vielen vielen Jahren noch gefunden ;-) Wer Dateien (oder Emails) verschluesseln will, setzt einfach die IDs ein, deren Inhaber die Berechtigung bekommen sollen und schon haben wir das Geheimnis eingegrenzt. Eigentlich eine super Sache. Aber wir haben natuerlich wieder 2 kleine Problemchen: 1. Wie verhindere ich, dass zu Lebzeiten jemand auf diese Daten zugreift. 2. Wo speichere ich die Daten krisensicher ab? Ein kommerzieller Anbieter kommt wohl nicht in Frage, denn seine Lebzeit ist mehr oder weniger stark begrenzt und haengt von seinem eigenen Erfolg ab. Mir ist noch unser Verein GNUU e.V eingefallen, der keine kommerziellen Interessen verfolgt und eine passende Infrastruktur schon vorhaelt. Man koennte sogar per uucp die Daten permanent hochladen. Damit duerfte auch UUCP in der Cloud angekommen sein.
Bleibt bloss noch Frage 1 uebrig: Wie verhindere ich den fremden Zugriff zu Lebzeiten? Da habe ich mir auch schon etwas gedacht. Es gibt bei pgp-Keys und auch bei SSL-Zertifikaten Laufzeiten, wie lange der Schluessel gueltig ist. Setzt man zum Beispiel die Laufzeit auf 2 Wochen, wird der eigene Key danach ungueltig. Wenn dieser Key ungueltig ist, koennen die anderen mit ihrem Key auf die Daten zugreifen. Verlaengert man vorher die Laufzeit (quasi ein Ping, ich lebe noch), aendert sich am Status Quo nichts und die Daten bleiben gesperrt. Mhm, das so weit in der Theorie. Die genaue technische Umsetzung habe ich dazu auch noch nicht. Man sollte es tunlichst vermeiden, den Key per Cron zu verlaengern ;-) Aber hier noch zwei Links, wie man GnuPG in PHP einbindet:
http://it-republik.de/php/artikel/Ziemlich-gute-Privatsphaere-4305.html
http://www.phpgangsta.de/pgp-und-gpg-wie-arbeite-ich-mit-asynchroner-verschlusselung