Privacy & freie Software

Warum ist Privacy wichtig?

Als Informatik-Studierende haben wir eine gesellschaftliche Verantwortung uns für einen ethischen Umgang mit Informationen einzusetzen, denn Privatsphäre ist ein Menschenrecht. Warum es sich um dieses Menschenrecht zu kümmern gilt, wurde von Edward Snowden gut auf den Punkt gebracht:

Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.

Als Studienvertretung bemühen wir uns daher unsere Services möglichst datenschützend zu gestalten.

Warum hosten wir selber?

Heutzutage gibt es für jeden Bedarf einen kostenlosen Online-Service von einem kommerziellen Unternehmen … könnte man meinen, tatsächlich ist kostenlos eine Lüge, denn mit diesen Services bist du nicht Kunde, sondern das Produkt, weil deine Daten verkauft werden.

Selbst wenn du wirklich mit der Privacy Policy eines solchen Unternehmens einverstanden bist, besteht die Gefahr, dass es nicht genug Profit macht und den Service einstellen muss oder es entscheided sich notgedrungen doch für den Verkauf deiner Daten. Zusätzlich besteht die Gefahr, dass das Unternehmen samt deiner Daten von einem größeren Unternehmen aufgekauft wird, eine durchaus übliche Praxis. Letztlich wird das Umsteigen auf andere Services meist absichtlich erschwert.

Wir scheren uns um die Daten unserer Studierenden und werfen sie desshalb keinen Datenmonstern in den Rachen. Stattdessen hosten wir alle unsere Services selber, auf eigener Hardware, deine Daten sind also in guten Händen ;) Als Fachschaft Informatik sind wir in der glücklichen Position, dass wir Menschen haben die einerseits das notwendige technische Know-How dafür haben und andererseits bereit sind dafür ihre Zeit zu opfern.

Warum freie Software?

Freie Software darf man uneingeschränkt ausführen, untersuchen, ändern, verbreiten und verbessern. Von diesen Freiheiten profitieren alle Benutzenden, aber wir Informatik-Studierende insbesondere weil wir programmieren können. Freie Software eignet sich perfekt zum selber hosten, bei unseren Services setzten wir daher auch hauptsächlich auf freie Software:

  • Mattermost ist open core (unsere Enterprise Edition ist allerdings eine proprietäre Erweiterung)
  • das VorlesungsWiki ist powered by MediaWiki
  • unsere Email-Infrastruktur hosten wir selber und unsere Beratung per Email koordinieren wir mit Zammad

Was tun wir außerdem für Privacy?

Wenn man freie Software selber hosted, kann man zwar einfach sicherstellen, dass die Daten nicht missbraucht werden, man trägt allerdings auch die Verantwortung für die Daten und sollte daher folgendes untersuchen:

  • Wer kann die Daten einsehen?
  • Kann man die anfallenden Daten verringern?
  • Werden Daten tatsächlich gelöscht, wenn man etwas über das UI löscht?

Für unsere Services heißt das:

  • Wir haben in Mattermost eingestellt, dass man nicht die E-Mail-Adressen von anderen Nutzenden einsehen kann. Mattermost ist HIPAA und FINRA konform und löscht daher standardmäßig nicht wirklich (wegen audit trails). Data Retention kann man erst mit Mattermost E20 einstellen, wir verwenden allerdings E10. Um gelöschte Inhalte trotzdem endgültig zu entfernen, hat Jan einen Database Cleaner geschrieben, der alle 24h aufräumt.

  • Wenn man bei MediaWiki ohne Account bearbeitet, bleibt die verwendete IP-Adresse für immer in der Historie sichtbar. Wir ersetzten daher in der NGINX reverse proxy vor MediaWiki alle IP-Adressen durch 0.0.0.0. Für Captchas verwenden wir bewusst kein Google Captcha, sondern QuestyCaptcha.

  • Bei Zammad haben wir einen Scheduler eingestellt, der 7 Jahre alte Tickets löscht. Wir speichern die E-Mails so lange um unsere Studierenden bestmöglich beraten zu können (z.B. als Referenz in Präzedenzfällen).

Siehe auch unsere Privacy Policy. Auch abseits unserer Services sind wir engagiert: Der Cryptoparty stellen wir Räumlichkeiten und Mailingliste zur Verfügung. Jedes Jahr vergeben wir wenn möglich Tickets zur Privacy Week vom C3W.

Mach mit!

Du möchtest auch einmal etwas zu einer freien Software beitragen? Wir verwalten selber folgende GitHub-Projekte:

  • userscripts – kleine JavaScripte die TUWEL, TISS & co. aufwerten

Beiträge sind willkommen! Fragen zu Git werden dir bestimmt gerne auf Mattermost beantwortet.

Du verwendest Linux oder möchtest es einmal ausprobieren? Schau doch mal in die Linux Lounge auf Mattermost.

Du interessierst dich mehr für Hardware? Das Hardware Hub wartet auf dich.

Shoutouts

Hier ein paar Projeke, die wir besonders cool finden: Tor, Signal, LineageOS, uBlock Origin, Coreboot, Libreboot

Alle unsere Server verwenden die Linux-Distribution Debian. Für unsere Mail-Infrastruktur verwenden wir Postfix, Dovecot, Mailman und RoundCube. Als Web-Server verwenden wir NGINX. Für Web-Server-Statistiken verwenden wir Awstats. TLS-Zertifikate beziehen wir gratis von Let’s Encrypt. Für Datenbanken setzten wir am liebsten PostgreSQL ein. Für unsere interne Organisation setzten wir CodiMD, GitLab und NextCloud ein. Für Umfragen verwenden wir LimeSurvey.