9. Januar 2008
Daten werden immer wichtiger. Insbesondere möglichst personalisierte Daten über die Nutzer eines Dienstes, egal ob Google, Facebook oder StudiVZ. Die Google Vizepräsidentin für Suchprodukte Marissa Mayer hat das jetzt gegenüber Tim O’Reilly zugegeben:
„When you type in „GM“ into Google, we know it’s „General Motors.“ If you type in „GM foods“ we answer with „genetically modified foods.“ Because we’re processing so much data, we have a lot of context around things like acronyms.“
Dabei bleibt der Datenschutz natürlich schnell mal auf der Strecke. Egal ob Facebook Beacon, bei dem alle Freunde automatisch mitgeteilt bekommen, welche Bücher ein Nutzer bei Amazon bestellt hat (was vielleicht noch egal wäre) oder welche sonstigen Artikel bei Dildoking.com (was vermutlich nicht mehr egal ist). Oder der Google RSS Reader, der alle abonnierten Feeds allen in der Google Kontaktliste mitteilt (in der sich vielleicht auch Geschäftspartner befinden die private Sachen nichts angehen). Und wir erinnern und auch daran, dass AOL ein paar Millionen Suchanfragen wissentlich und bewußt im Internet veröffentlicht hat, auch wenn die Spin-Doktoren heute gerne von einem „versehen“ reden. TechCrunch hat das schön zusammengefaßt:
„The most serious problem is the fact that many people often search on their own name, or those of their friends and family, to see what information is available about them on the net. Combine these ego searches with porn queries and you have a serious embarrassment.“
Google mag vielleicht nicht „evil“ sein, aber sobald die Daten existieren (siehe Vorratsdatenspeicherung) gibt es garantiert sofort einen neurotisch-paranoiden Schizophrenen im Rollstuhl (Ähnlichkeiten mit real existierenden Innenministern sind rein zufällig) der sich per Gesetzesänderung Zugriff auf die Daten sichern will.
Ich frage mich ja, was macht jemand der Zugriff auf alle diese Daten hat?
7. Januar 2008
TV-Browser.org muss die Sender von ProSiebenSat.1 und RTL aus dem kostenlosen Programmguide nehmen, weil die Sender für die Veröffentlichung ihrer Programmdaten neuerdings Geld wollen. Dazu haben die beiden Sender extra die VG Media (PDF) gegründet, an dem ProSiebenSat1 und RTL zu je 50% beteiligt sind.
So ist das eben mit der freien Marktwirtschaft dem Turbokapitalismus für den insbesondere Bertelsmann als Haupteigentümer von RTL und die Bertelsmann-Stiftung stehen. Die Stiftung steht oft in der Kritik, ähnlich umstritten ist wohl nur noch die INSM. Und im Kapitalismus hilft nur eines … die kompletten Programme von ProSiebenSat.1 und RTL aus dem Programmguide herausnehmen. Einfach die Sender komplett ignorieren. Statt dessen lieber die Highlights anderer Sender bewerben. Am besten mit Bild und Text auf der Startseite. Ich wette es dauert nicht lange bis die beiden Senderfamilien bereit sind Werbung zu kaufen, nur um auch wieder auf der Startseite aufzutauchen.
(via Basicthinking)
1. Januar 2008
Eine Polemik:
„Liebe Mithacker und Mithäcksen,
ein arbeitsreiches Jahr liegt hinter uns, ein Jahr in dem Deutschland alles in allem einen guten Schritt in den Überwachungsstaat getan hat.
Vorneweg beim Kampf gegen das Internet. Millionen von Internetnutzer werden durch die Vorratsdatenspeicherung überwacht, kriminalisiert und pauschal als potentielle Verbrecher eingeschätzt – wer hätte diese Entwicklung vor zwei Jahren für möglich gehalten?!
Auch der Ausbau des BKA zu einer Überwachungs- und Bespitzelungsbehörde schreitet voran. Erstmals seit der Wiedervereinigung ist eine Überwachungsbehörde wie das Ministerium für Staatssicherheit nicht mehr irgendein Wunschtraum eines paranoiden Innenministers; nein, es ist tatsächlich in Reichweite.
Und nicht zuletzt die Lage bei Forschung und Innovation, Bildung und Ausbildung – auch hier geht es rapide abwärts. So werden wir in diesem Jahr nicht mehr unbeschwert forschen und lernen können, der problematische § 202c schwebt über uns allen. Die Unternehmen im benachbarten Ausland werden alles daran setzen, die qualifizierten Köpfe abzuwerben, die in den vergangenen Jahren die letzten Chancen Deutschlands bewahrt hatten.
All dies sind nur ganz wenige Beispiele für die Lage unseres Landes heute. Aber sie alle haben eines gemeinsam. Sie zeigen: In Deutschland geht es spürbar und immer schneller abwärts. Unser Land setzt 75 Jahre lang nicht gekannte Kräfte frei. Und damit knüpft es an alte unsägliche Traditionen aus dem 3. Reich und der DDR an.
Über viele Jahrzehnte war Deutschland das Land der Lebenschancen für jeden – der Chance zum Aufstieg durch lernen, basteln und herausfinden, der Chance zur freien Teilhabe im Internet, der Chance, etwas zu erreichen. Das hat unser Land stark gemacht. Genau das wird durch inkompetente, unfähige und paranoide Politiker endgültig zunichte gemacht.
Heute sehen wir die ersten Ergebnisse. Noch nie nach 1945 ging es unserem Land und unserer Demokratie so schlecht wie heute. Noch nie stand der Überwachungsstaat so direkt vor der Tür. Noch nie haben sich Politiker so schamlos bei den Diäten bedient während Hartz4-Empfänger noch nicht einmal genug Geld bekommen, gesunde und natürliche Lebensmittel zu kaufen.
Andere Länder sehen übrigens sehr genau hin, was sich in Deutschland tut. Man sieht unsere Möglichkeiten bei der Kriminalisierung der Internetnutzer. Und man beobachtet genau, wie wir in Deutschland unsere wirtschaftlichen Möglichkeiten selbst beschränken. Beides zusammen hat Deutschlands Ansehen in den letzten zwei Jahren in der freien Welt massiv geschadet.
Und beides zusammen bringt für die Politiker in Deutschland eine größere Verantwortung mit sich, die sie leider nicht in der Lage sind wahrzunehmen. Statt dessen wird für das Gesetz zur Vorratsdatenspeicherung gestimmt um direkt im Anschluss das Bundesverfassungsgericht um Hilfe zu rufen. Oder in dem Schüler die auf dem Schulhof CDs und Musikdateien austauschen durch die widersinnige und unverständliche Verschärfung der Regelungen zum geistigen Eigentum kriminalisiert werden.
Und nicht zuletzt indem deutsche Soldaten im Inneren eingesetzt werden, Polizisten jeden verfolgen und kriminalisieren, der sich im Internet bewegt und sich der Innenminister KonzentrationsInternierungslager wie Guantanamo wünscht, angeblich um Frieden und Stabilität zu sichern.
Liebe Frau Merkel, dafür bedanke ich mich bei Ihnen.
Deutschland kann seine alte Kraft als das Land der Sozialen Marktwirtschaft nur wieder neu unter Beweis stellen, wenn die korrupte alte Garde der Minister jetzt abtritt. Die Minister Schäuble, Zypries, Jung und vor allem Bundeskanzlerin Merkel stehen für eine menschenverachtende Politik die in diesem Land niemand wünscht.
Deutschland kann seine alte Kraft als das Land der Ideen nur dann wieder neu unter Beweis stellen, wenn die Fehlentwicklungen insbesondere des letzten Jahres zurückgedreht werden. Nur braucht es dafür eine neue Politik mit neuen Köpfen.
Wir alle müssen unseren Teil zum Widerstand gegen die aktuelle Politik beitragen. Wir alle müssen unsere Stärken zum Schutz der Verfassung und des Landes einsetzen. Nur dann kann unsere Demokratie wieder gestärkt werden.
Lasst uns das neue Jahr in einem neuen Geist angehen.
Ich wünsche Euch allen ein erfülltes und gesegnetes neues Jahr 2008!“
PS:
Das Original unserer Bundeskanzlerin findet ihr hier (PDF).
Nachtrag:
Text freigegeben unter Creative Commons cc-by-sa-3.0. Namensnennung durch Link auf diese Seite oder diesen Beitrag. Kommerzielle Nutzung unter diesen Bedingungen gestattet.
25. Dezember 2007
Nur eine kurze Zusammenfassung:
- 3. November: Around 15,000 Standard Life customers could be at risk of fraud after their personal details were lost by HM Revenue & Customs (HMRC).
Die Daten enthalten u.a. Versicherungsnummern, Geburtsdaten und Pensionsansprüche und wurden von einer Regionalbehörde mit einem Kurier nach London geschickt.
- 21. November: The UK government has lost child benefit data on as many as 25 million people in its country, making it the largest loss of personal information ever reported.
Die Daten von fast allen Familien im Land sind betroffen, insgesamt etwa 40% der Gesamtbevölkerung. Die Daten befanden sich auf zwei Disks und wurden trotz 20.000 Pfund Belohnung nicht wieder aufgefunden. Besonders schlimm ist, dass die Daten auch Kontoverbindungen enthalten, eine Goldgrube für Identitätsdiebe.
- 18. Dezember: UK lost data on 3 million citizens, this time on drivers with the British equivalent of a learner’s permit.
Die Daten enthalten Namen, Adressen und andere persönliche Identifikationsmerkmale jedoch keine Bank- oder Kreditkartendaten. Die Daten befanden sich auf einer Festplatte, die von einem Vertragspartner in den USA aufbewahrt wurden. Ich vermute ja mal, die Daten wandern jetzt in die große FBI-Datenbank.
Ich will jetzt gar nicht auf unseren Freunden von Ernst & Young herum prügeln, mehr Sorgen macht mir die Sicherheit der Daten, die im Rahmen der Vorratsdatenspeicherung aufbewahrt werden. Wir reden hier von vielen tausend Einzeldatenbanken. Die werden garantiert nicht alle angemessen abgesichert. Man kann nur hoffen, dass es unsere unfähige Politikerkaste zuerst erwischt. Vielleicht kapiert Herr „Ich bin anständig“ größter Innenminister aller Zeiten (GröIaZ) Schäuble, dass ER die größte Gefahr für unsere Demokratie ist und nicht ein paar islamistische Attentäter.
22. Dezember 2007
… ich glaube noch an den Weihnachtsmann und den Osterhasen und die Gründung der geplanten Bundesabhörzentrale ist eine reine IT-Maßnahme bei der die Trennung von Polizei- und Geheimdienst erhalten bleibt.
Andererseits … endlich gibt es ein richtig cooles High Profile Hacking-Ziel hier bei uns in Deutschland. Da wird es garantiert nicht lange dauern, dann geht es uns wie 2006 den Italienern mit ihrem Abhörskandal oder wie in Griechenland, wo Vodafone den größten Abhörskandal in der Geschichte des Landes zu verantworten hatte weil das Netz nicht ausreichend gegen Hacker gesichert war. Vodafone wurde zur Rekordstrafe von 76 Millionen Euro verurteilt.
Interessanterweise wurden sowohl in Italien als auch in Griechenland überwiegend Politiker abgehört, in Griechenland z.B. die Mobiltelefone des Ministerpräsidenten Karamanlis sowie weiterer Mitglieder der Regierung. Das kann eigentlich nicht schlecht sein. Gut, Kanther ist bereits verurteilt worden aber ich denke so tauchen sicher noch Beweise gegen Schäuble (Verdacht auf Schwarze Koffer) und Schily (Verdacht auf illegale Nebenverdienste) auf.
21. Dezember 2007
IT-Security per Gesetz? Eine Polemik.
Ok, das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem Morphischen Feld, das verhindert einen klaren Bezug zur Realität herzustellen. Das es aber mit BSI-Präsident Dr. Udo Helmbrecht so rapide abwärts geht, war nicht abzusehen.
In einem Interview von Technology Review sagte er laut Heise in einem Interview:
„Wenn das im Wettbewerb und auf freiwilliger Basis funktioniert, brauchen wir keine gesetzlichen Regelungen. Wenn man allerdings sieht, dass man Themen wie Phishing oder Trojaner oder Bot-Netze kurzfristig nicht in den Griff bekommt, dann muss man sich andere Schritte überlegen“, sagte Helmbrecht. Ebenso stelle sich die Frage, ob das BSI eine Art Revisionsrecht bekommen sollte, „um nachzuschauen, ob das, was gemacht werden sollte, wirklich gemacht wird“.
Oder anders ausgedrückt, Helmbrecht hätte gerne eine gesetzliche Regelung die es Unternehmen in der freien Wirtschaft vorschreibt, welche IT-Sicherheitsmaßnahmen notwendig und zweckführend sind und das BSI würde dann zu einer Mammutbehörde ausgebaut, die das dann alles kontrollieren sollte.
Ich will mir das gar nicht weiter ausmalen. Alleine die weltfremde Sicht, dass eine „kleine Institution“ (PDF) mit drei Mitarbeitern ihre IT-Sicherheit nach BSI Grundschutz organisieren soll ist so 100% daneben, das kann sich nur ein Beamter einer Behörde ausdenken, die seit Jahren nicht mehr mit realen IT-Abteilungen zu tun hatte. Vermutlich würde die Helmbrecht’sche IT-Sicherheit verlangen, nur noch BSI-zertifizierte Firewalls (z.B. GeNUA, die Kisten sind so sicher, die muss man neu booten wenn man eine Regel oder das Routing ändert, damit niemand im laufenden Betrieb daran herumfummeln kann … ich stelle mir das gerade in einer echten Produktivumgebung vor!), BSI-zertifizierte Virenscanner (gibt es leider nicht, macht aber nichts), BSI-zertifizierte IPS (gibt es auch nicht) und BSI-zertifizierte Hacking-Tools (die dann hoffentlich vor dem § 202c schützen).
Ist das BSI zufällig auch für die IT-Sicherheit im Bundeskanzleramt zuständig? Dann ist mir das mit den chinesischen Trojanern die jetzt unter Verschluss gehalten werden auch klar. Wahrscheinlich plant Herr Dr. Helmbrecht IT-Sicherheit nach dem Monte Carlo Verfahren zu implementieren … naja, damit kennt er sich ja aus.
16. Dezember 2007
Eine Folge des schwachsinnigen § 202c, den wir unserer inkompetenten Bundesregierung, insbesondere dem paranoiden Innenminister und der noch unfähigeren Justizministerin verdanken: Wichtige Sicherheitsprogramme sind in Deutschland nicht mehr zu bekommen. Beispielsweise Core Impact:
Hi Christian,
Per the new German law, we are unable to sell to German consulting
companies.
Best regards,
Eric Marhafer
Account Executive
Core Security Technologies
Danke, Ihr unfähigen Minister. Ihr ruiniert gerade den deutschen Mittelstand mit Eurer gesammelten Inkompetenz!
2. Dezember 2007
Fefe würde sagen, Captain Obvious hat wieder zugeschlagen.
In Großbritannien haben mehrere Forscher einen offenen Brief an das Parlament geschrieben in dem sie die Abgeordneten darauf hingewiesen haben, dass Biometrie keine Datenschutz- und Sicherheitsprobleme löst.
Der Brief richtet sich natürlich hauptsächlich gegen die Einführung einer National ID Card in England, die ebenfalls wie in Deutschland mit biometrischen Verfahren ausgestattet werden soll. Trotzdem ist der Brief hervorragend geeignet auch die Lügen der deutschen Politiker zu entlarven.
Biometrische Verfahren in Pass und Personalausweis bringen erst einmal deutlich weniger Sicherheit und erhöhen das Risiko von Identitätsdiebstahl. Besonders kritisch wird es, wenn wie von einigen minderbemittelten Innenpolitikern gefordert, die gesamten biometrischen Daten in einer zentralen staatlichen Datenbank gespeichert werden sollen. Das öffnet Missbrauch Tür und Tor.
29. November 2007
Ich habe eine ganze Weile überlegt, was ich darüber schreiben will. Irgendwie beschäftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag.
Die Vorgeschichte
Hushmail bietet seinen Kunden sichere, verschlüsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer lädt sich dazu ein Java-Applet auf seinen Client, dort wird die Mail verschlüsselt und nur die verschlüsselte Mail landet auf den Mailservern von Hushmail. Der Dienst verwendet starke Verschlüsselung und bewährte Algorithmen und Protokolle wie AES und OpenPGP. Aus diesem Grund wird Hushmail auch von Sicherheitsexperten und Privacy-Anwälten weltweit empfohlen und eingesetzt. Allerdings gibt es eine zweite Variante der Verschlüsselung, weil es einigen Nutzern zu mühsam war, das Java-Applet auf ihren Rechner zu installieren. Dabei erfolgt die Verschlüsselung serverseitig auf den Rechnern von Hushmail.
Der Fall
Wie u.a. The Register und Wired berichtet, wurde Hushmail jetzt per Gericht gezwungen, die Verschlüsselung soweit aufzubrechen, dass Beweisdaten für den illegalen Handel androider Steroide (also Dopingmittel) dem Gericht im Klartext vorliegen. In diesem Fall wurde vermutlich die serverseitige Verschlüsselung so modifiziert, dass die privaten Verschlüsselungskeys einzelner überwachter Nutzer im Klartext abgespeichert werden, so dass eine Entschlüsselung aller Nachrichten und E-Mails trivial möglich ist.
„The key point, though, is that in the non-Java configuration, private key and passphrase operations are performed on the server-side. This requires that users place a higher level of trust in our servers as a trade off for the better usability they get from not having to install Java and load an applet,“ sagte Brian Smith, CTO von Hushmail gegenüber The Register.
Anders ausgedrückt … wer einem serverseitigen Dienst die Verschlüsselung von Daten anvertraut, ist selbst schuld. Der Server kann kompromittiert worden sein und Hacker können Zugriff auf alle Daten erhalten. Der Server kann per Gerichtsbescheid von Behörden überwacht werden ja es wäre sogar denkbar, dass die Betreiber eines solchen Dienstes selbst nicht ganz koscher sind. Wired stellt konkret die Frage:
„But can the feds force Hushmail to modify the Java applet sent to a particular user, which could then capture and sends the user’s passphrase to Hushmail, then to the government?“
Die verwendete Java-Architektur lässt das zumindest technisch zu. Hushmail hat zwar den Source Code des Java-Applets veröffentlicht, aber ob das tatsächlich von Hushmail angebotene Applet aus diesem Source Code kompiliert wurde ist schwer festzustellen. Natürlich gibt es Java Decompiler, z.B. den DJ Java Decompiler den ich selbst gern verwende. Allerdings ist der Source Code manchmal nur schwer zu verstehen und Hintertüren können unter Umständen sogar im Zufallszahlengenerator versteckt sein.
Für den Nutzer stellt sich die konkrete Frage, kann man Hushmail in Zukunft noch trauen oder nicht.
Das Fazit
Der staatliche Trend, Nutzer immer weiter ausspähen zu wollen ist ungebrochen. Die folgende Tabelle soll ein paar Ideen geben, wo es gerade hingeht:
Es kann nicht mehr lange dauern, dann wird der Versuch, seine Privatsphäre zu erhalten bereits strafbar. Der Trend ist jedenfalls klar erkennbar. Ausgenommen sind übrigens nur Priester, Strafverteidiger und Abgeordnete. Hat eigentlich mal jemand die Straffälligkeitsquote bei Bundesinnenministern untersucht? Die muss deutlich über dem Bundesdurchschnitt liegen. Mir fallen da spontan Kanther (Spendenaffäre), Schily (Verfassungsbruch, Nebenverdienst) und Schäuble (schwarze Koffer) ein. 20%, das ist eine krasse Quote.
25. November 2007
„Schon jetzt reagieren viele auf die Ausweitung der Überwachungs- und Kontrollinstrumente, indem sie versuchen, sich auf mehr oder minder geeignete Weise zu schützen. So ist selbst aus der Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) die effektivste Schutzmaßnahme gegen den Missbrauch von Mobiltelefonen „ein Vermeiden des Mitführens von Handys bei Gesprächen mit sensitivem Inhalt, die Detektion jedweder Mobilfunkaktivität im Raum … sowie das Deaktivieren sämtlicher drahtloser Schnittstellen von Mobilfunkgeräten.“ In den bekannt gewordenen 129a-Verfahren sind es jedoch gerade solche Versuche, die das Misstrauen der Sicherheitsbehörden wecken. Die Wahrung von Anonymität und Persönlichkeitsrechten gerät unter Generalverdacht. Die Freiheit selbst wird kriminalisiert.“
Der komplette Text von Andrej Holm kann bei Freitag 47 gelesen werden.
Habe ich schon erwähnt, dass ich den Rücktritt von Hr. Schäuble (wg. Gefahr für die Demokratie), Hr. Jung (wg. Verfassungsbruch), Fr. Zypries (wg. Unfähigkeit und Verharmlosung) und Fr. Merkel (wg. Inkompetenz) für zwingend notwendig halte?
(via Fefe)
