21. Februar 2008
Ist das Bundesdatenschutzgesetz bzw. die vergleichbaren Regelungen der Bundesländer in den jeweiligen Landesdatenschutzgesetzen eigentlich noch ein richtiges, relevantes und zu befolgendes Gesetz oder längst zur reinen Verarsche verkommen? Sozusagen ein Feigenblatt der Scham zur Beruhigung besorgter Bürger über dem hemmungslosen Missbrauch der Daten durch die Unternehmen?
Aktueller Anlass: der Fall der Stuttgarter Volksbank
Die baden-württemberger Datenschützer wollten sich den Fall ja genauer anschauen. Dazu schreibt Heise heute, die Datenschützer attestieren tatsächlich ein Fehlverhalten. Und die Konsequenz:
„Obwohl die Datenschützer der Bank damit ein klares Fehlverhalten bescheinigen, hat der Vorgang keine weiterreichenden Konsequenzen für das Geldinstitut: Die unzulässige Nutzung von Videoaufzeichnungen und Kontodaten erfülle keinen Bußgeldtatbestand“
Keine. Wenn der normale Bundesbürger auch nur 10 km/h zu schnell auf der Straße unterwegs ist, dann gibt es einen ausgefeilten Bußgeldkatalog. Wenn die Unternehmen private Daten verschludern, passiert nichts. Ich habe noch mehr Beispiele:
Peter Huth ist auch so ein Fall. Das ist der angebliche „Sicherheitsexperte“ von Sat.1 und Pro7. In dessen Webseite wurde wegen eines schlampig programmierten PHP-Skripts eingebrochen und Kunden- sowie Kreditkartendaten geklaut. Was passiert? Nichts. Die Staatsanwaltschaft Berlin hat das Verfahren eingestellt, weil die Daten nicht gemäß den Anforderungen des § 202a StGB gesichert waren. Also ein klarer Verstoß gegen das Bundesdatenschutzgesetz. Und dazu sagt die Staatsanwaltschaft:
„Es gebe zudem keine strafrechtlichen Ermittlungen gegen Huth: Wie dieser mit seinen Kunden umgeht beziehungsweise diese über die Problematik unterrichtet, bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis.“
Gut zu wissen … wenn das nächste mal die Datenschutzbehörde prüft, ob wir den vorgeschriebenen Datenschutzbeauftragten im Unternehmen haben, kann ich denen ganz trocken mitteilen, das bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis und geht die gar nichts an. Aber in Bayern haben die eh andere Probleme. Ich kenne keine einzige Firma aus meinem Umfeld bei der sich schon jemals eine Datenschutzbehörde gemeldet hätte.
In der Praxis hält sich nicht einmal das Bundesjustizministerium an seine eigenen Gesetze. Das Amtsgericht Berlin hat dem Budesjustizminsterium in Person von Frau „ich habe gar keine Ahnung“ Zypries inzwischen eine Geldstrafe von 250.000 Euro, alternativ bis zu 6 Monate Ordnungshaft angedroht, wenn die illegale Sammlung von Webserver-Logfiles nicht aufhört.
Weitere Fälle gewünscht (gerne auch Ergänzungen in den Kommentaren)?
- Das BKA sammelt auch gerne IP-Adressen harmloser Besucher
- Der Bundesbeauftragte für den Datenschutz Peter Schaar hält das Sammeln von Daten bei Flatrates für legal (im Gegensatz zu den Gerichten übrigens). Eigentlich können wir den Schaar auch abschaffen, der blubbert eh nur.
- Bei Swift wird von der Politik auch lieber beschwichtigt anstatt geklärt.
- Was das Postgeheimnis noch Wert ist, erklärt uns gerade die Deutsche Post.
Eigentlich kann man das Datenschutzgesetz auch gleich ganz abschaffen.
18. Februar 2008
Ach nee, falsch. Der bayrische Innenminister warnt vor wachsender Internet-Kriminalität.
Aber man kann die feine Ironie zwischen den Zeilen lesen:
„Eine Etage höher werden Steuern in Milliardenhöhe durch geschicktes Umleiten von Gelddatenströmen in kleine Alpen- oder Karibikstaaten hinterzogen […] im Museum für Kommunikation in Nürnberg, das unter anderem von der Deutschen Post finanziert wird.“
Herr Zumwinkel lässt grüßen.
„Allein im Jahr 2006 seien in Bayern 670 Fälle des sogenannten Phishings bei der Polizei angezeigt worden.“
Das wird noch viel krasser, wenn die Vorratsdatenspeicherung erst richtig greift. Dann brauchen die Betrüger nicht mehr viele kleine Rechner angreifen, es reichen die dicken Datenbanken der großen Provider.
Das traurige ist, entweder ist Herr Herrmann komplett ahnungslos (übrigens ein sehr schönes XSS der CSU Landtagsfraktion) und damit ungeeignet für sein Amt oder er unterstützt wider besseres Wissen die Politik seines Vorgängers und gehört dann auch nicht in sein Amt.
15. Februar 2008
Bruce Schneier hat einen sehr lesenswerten Artikel über die wirtschaftliche Bedeutung von Vendor Lock-Ins geschrieben.
„Wenn 100 Leute im Unternehmen Microsoft Office einsetzen, das pro Benutzer 500 USD kostet, dann wird das Unternehmen auf OpenOffice wechseln, wenn der Wechsel günstiger als 50.000 USD ist. Wenn der Wechsel teurer als 50.000 USD ist, kann Microsoft die Preise erhöhen.“
Der komplette Text findet sich im Blog von Bruce und bei Wired.
Sein Fazit ist, dass mehr und mehr Sicherheitsfunktionen nicht mehr zum Schutz von Daten und Systemen sondern zum Schutz der wirtschaftlichen Abhängigkeit eingesetzt werden. Digitales Restriktionsmanagement (DRM) ist nur der Anfang.
8. Februar 2008
Wo Rauch ist, ist auch Feuer, heißt es im Volksmund. Manchmal dient viel Rauch aber möglicherweise auch dazu, vom eigentlichen Feuer abzulenken. Bei den zerstörten Seekabel im Nahen Osten wäre das zumindest theoretisch denkbar.
Inzwischen sind anscheinend schon sechs Kabel beschädigt:
- Das SeaMeWe-4 South East Asia-Middle East-Western Europe-4 nahe Penang Malaysia
- Das FLAG Europe-Asia bei Alexandria
- Das FLAG ab der Küste von Dubai
- Das FALCON bei Bandar Abbas Iran
- Das SeaMeWe-4 ebenfalls Alexandria
- Das Kabel zwischen Qatar und United Arab Emirates von Qtel
Die Ägyptische Regierung hat zumindest in einem Fall behauptet, das könnte nicht durch ein Schiff passiert sein, in einem anderen Fall wurde ein tonnenschwerer Anker geborgen, der direkt auf dem Kabel lag und es durchtrennt hat. Nur, wie leicht und oft verliert ein Schiff so einen Anker?
Nehmen wir einmal an, ich wäre daran interessiert, den kompletten Datenverkehr abzuhören, der über diese Kabel übertragen wird. Und nehmen wir einmal an, ich würde auch über geeignete Technologien (wie z.B. ein U-Boot) verfügen, um an die Kabel heranzukommen. Dann wäre es doch sicher interessant, in so ein Glasfaserkabel eine Abhöreinrichtung einzubauen.
Leider werden solche wichtigen Datenleitungen gut überwacht. Das Auftrennen einer solchen Faser mit Einbringen eines Spleiß und anschließendem wieder Verkleben führt naturgemäß zu einer Unterbrechung die sofort vom Betreiber bemerkt wird. Mit verschiedenen Techniken kann man die Entfernung zum Kabelbruch bestimmen und weiß, wo man nachsehen muss.
Was aber, wenn das Kabel sowieso schon defekt ist und man auch weiß, wo die defekte Stelle ist? Niemand überwacht dann noch das Kabel. Nichts einfacher also, als an einer Stelle das Unterseekabel bewusst mit einem Anker den man „zufällig“ verliert zu zerstören und dann an einer ganz anderen Stelle mit einem U-Boot geschickt die Abhöreinrichtungen einzubringen. Das wäre nichts neues, die Engländer haben vergleichbares bereits im 1. Weltkrieg gebracht. Die USA verfügen mit der Jimmy Carter, einem Spezial-U-Boot, sogar über die benötigten Schiffe, eine Trockenkammer auf dem Meeresgrund abzusetzen um an einem Unterseekabel zu arbeiten.
Wenn die USA also demnächst mit ganz neuen Erkenntnissen über den Iran oder Saudi Arabien oder Bin Laden auftrumpfen und sich niemand erklären kann, wie sie an diese Informationen gekommen sind … dann denkt an diesen Artikel 🙂
Quellen und Ideen:
Bildnachweis: Wikipedia
Nachtrag:
Ich vergaß zu erwähnen: Bielefeld gibt es nicht.
2. Februar 2008
Soso, böööööööse Hacker Einbrecher haben Brigitte „Ich hab sowieso von gar nichts Ahnung“ Zypries zwei Laptops geklaut. Vermutlich vielleicht um darauf den Bürgertrojaner zu installieren. Aber da kann ja nichts passieren:
- hat die Zypries sowieso keine wichtigen Daten auf ihren Rechner, denn dafür müsste man in erster Linie erstmal wichtige Daten haben
- ist der Laptop garantiert super gesichert, vermutlich mit einem Windows-Passwort das wie die Katze der Justizministerin heißt
- war Ernst & Young nicht in der Nähe
Also alles ganz harmlos. Es gibt nichts zu sehen. Bitte gehen Sie weiter.
Nachtrag:
Heise betitelt mit „Heimliche Offline-Durchsuchung bei der Justizministerin„. Die Polizei hat bisher keine offizielle Erklärung herausgegeben. Gerüchteweise konnten Spuren eines Rollstuhlfahrers am Tatort gesichert werden. Man hört auch, das Berliner LKA soll zur Überprüfung eines gewissen Herrn Wolfgang S. um den vom CCC gesicherten Fingerabdruck gebeten haben.
31. Januar 2008
Wie Fefe schon Anfang des Monats bemerkte, das das Bundesinnenministerium eine FAQ zum Bundestrojaner veröffentlicht. Natürlich ist für jeden Informatiker leicht erkennbar, dass die Antworten des Bundesinnenministeriums großer Quatsch sind. Leider gibt es bisher keine korrigierte Fassung, daher habe ich mich des Problems einmal angenommen.
Frage: Wird bei der geplanten Online-Durchsuchung der Datenschutz genügend berücksichtigt? Wird meine Privatsphäre ausreichend geschützt? Wie bleiben meine privaten Dokumente geschützt? Wie bleiben gewerbliche und berufliche Unterlagen geschützt?
Antwort: Natürlich nicht. Es gibt schlichtweg keine Möglichkeit für ein Stück Software, zwischen sprachlich kodierten Texten eines Terroristen und harmlosen Texten eines Schülers zu unterscheiden. Kai Raven hat das Problem der Analyse von Schlüsselwörtern schön dargestellt und selbst der BKA-Präsident warnt ja davor, den privaten Lebensbereich vom Bundestrojaner auszunehmen, da die mutmaßlichen Terroristen ihre Anschlagspläne sonst ja einfach in einer Datei „privates tagebuch.doc“ verstecken könnten. Der geplante Richtervorbehalt ist leider auch nur ein Feigenblatt, wie die regelmäßigen verfassungswidrigen Hausdurchsuchungen zeigen.
Frage: Werden die Betroffenen von einer erfolgten Online-Durchsuchung informiert?
Antwort: Die Betroffenen werden praktisch nie informiert, auch wenn das gesetzlich vorgeschrieben wird. Diese Erfahrung mit dem großen Lauschangriff zeigt, dass Polizisten und Staatsanwälte sehr kreativ werden, sich um diese gesetzliche Verpflichtung zu drücken.
Frage: Ist sichergestellt, dass durch die Installierung der Ermittlungssoftware die auf dem betroffenen Rechner installierte Sicherheitssoftware nicht beeinträchtigt wird und dadurch Unbefugte zu anderen, zum Beispiel kriminellen Zwecken in die Rechner von Bürgern eindringen können?
Antwort: Nein, das ist technisch auch kaum möglich. Jede Software enthält Fehler, Standardsoftware hat sogar bis zu 25 Bugs pro 1000 Zeilen Programmcode und Software die über das Netzwerk kommuniziert ist immer auch über das Netzwerk angreifbar. So enthielt beispielsweise der Sasser-Wurm einen Programmierfehler über den weitere Schadprogramme in den Rechner eindringen konnten.
Frage: Könnte die Ermittlungssoftware entdeckt und dann zu eigenen Zwecken missbraucht werden?
Antwort: Das ist natürlich möglich und sogar sehr wahrscheinlich. Alle Viren und Schadprogramme die von Virenscannern erkannt werden sind schließlich irgendwann
entdeckt und analysiert worden. Bekanntes Beispiel ist das Sony BMG Rootkit, das von Mark Russinovitch entdeckt wurde. Auch speziell entwickelte Schadprogramme können (manchmal zufällig) entdeckt werden. Und natürlich werden einmal entdeckte Schadprogramme auch missbraucht.
Frage: Wie werden Dienstleister geschützt, welche vertraglich zum Schutz der ihnen anvertrauten und bei ihnen zur Auftragserfüllung gespeicherten Kundendaten verpflichtet sind?
Antwort: Vermutlich wird tatsächlich kein Dienstleister oder Provider zur aktiven Mithilfe verpflichtet. Das wird in der Praxis aber auch gar nicht nötig sein, notfalls werden einfach die Server des Providers beschlagnahmt. Der Richtervorbehalt ist wie oben gezeigt sowieso nutzlos und beschlagnahmt wurden sogar schon die AN.ON-Server des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Wenn Behörden sich gegenseitig die Server wegnehmen hat vor der Privatwirtschaft sowieso keiner mehr Respekt.
Frage: Es wird behauptet, dass die Online-Durchsuchung Bürgerinnen und Bürger unzulässig unter einen Generalverdacht stellen würde – stimmt das und wie verhält sich dies zu der rechtsstaatlichen Unschuldsvermutung?
Antwort: Mit der Online-Durchsuchung wird es sich wie mit dem Abhören von Telefonen verhalten. Ursprünglich auch nur zur Aufklärung schwerer Straftaten eingeführt, wird inzwischen sogar wegen Bagatelldelikten abgehört. Abhören ist inzwischen Massengeschäft und nur in wenigen Ländern wird mehr abgehört als in Deutschland. Wenn es um vermeintliche Terroristen oder Kinderschänder geht, stehen inzwischen ja sämtliche Grundrechte zur Disposition. Noch problematischer halte ich jedoch die Heimlichkeit der Online-Durchsuchung. Die Väter des Grundgesetzes der Bundesrepublik Deutschland haben nicht umsonst aus den Erfahrungen der Nazizeit verlangt, das Hausdurchsuchungen öffentlich sein müssen und ein Zeuge hinzugezogen werden kann. Heimliche Durchsuchungen kennen die nach 45 geborenen nur aus Unrechtsregimen (Gestapo, Stasi).
Frage: Wie sollen die bei den Online-Durchsuchungen anfallenden Datenmengen durch die Sicherheitsbehörden bewältigt werden?
Antwort: Bei der Vielzahl der erwarteten Online-Durchsuchungen wird es ein paar private Unternehmen geben, die Hilfsdienste übernehmen. Das gleiche kennen wir von der Festplattenanalyse bei Kinderpornographie sowie aus dem Urheberrecht. In wieweit dann jedoch die Privatsphäre erhalten bleibt kann niemand garantieren.
Frage: Welche Rechtsmittel werden gegen Online-Durchsuchungen zugelassen?
Antwort: Da keine Benachrichtigung der Betroffenen (siehe oben) stattfindet, sind Rechtsmittel praktisch nicht notwendig.
Ich frage mich ja schon manchmal: sind die Beamten um Schäuble im Bundesinnenministerium wirklich so inkompetent wie sie sich hier geben oder ist das eine bewusste Täuschung und vorsätzliches Belügen der eigenen Bevölkerung?
Weitere Hinweise:
Es wird höchste Zeit, dass Schäuble, Zypries und Konsorten abgewählt werden!
25. Januar 2008
19. Januar 2008
Wochenende ist Lesezeit und ich habe endlich in der kes vom Dezember geblättert. Thomas Feil hat dort einen sehr lesenswerten Artikel zum § 202c geschrieben. Der Widersinn dieses Gesetzes lässt sich von ihm durch selektives Lesen der Tatvarianten in folgenden Satz kumuliert:
„Wer eine Straftat … vorbereitet, indem er … Passwörter … herstellt, … wird … bestraft.“
In Fachkreisen wird ja auch schon diskutiert, ob die Nutzung von Google möglicherweise nach § 202c strafbar sein könnte, da man mittels Googledorks Passwörter oder vertrauliche Daten ausfindig machen kann.
Sehr geehrte Frau Zypries, es gab noch nie in der Geschichte der Bundesrepublik Deutschland eine derart inkompetente Justizministerin. Sie können stolz auf sich sein. Vielen Dank.
11. Januar 2008
sehr interessant zu lesen
(via The Register)
9. Januar 2008
In diesem Zusammenhang verweise ich auf Privacy International, dort sind die USA, Russland, Großbritannien und China als führende Überwachungsstaaten aufgeführt, Deutschland hat in den letzten 12 Monaten dafür den größten Schritt „nach vorne“ gemacht.
