Mitternachtshacking

Seit jetzt, heute, Mitternacht gilt der neue § 202c StGB.

Bildnachweis: Chaos Computer Club

Andreas Gietl berichtete über den Entwurf des neuen Telekommunikationsgesetzes und die Auswirkungen auf die Kommunikation. Die relevanten Gesetzesartikel sind:

§ 110 TKG-E

Enthält die Pflicht zur Speicherung von Kommunikationsdaten

§ 113a TKG-E

Enthält die diversen Regelungen zur Speicherung:

• Dienstanbieter muss für 6 Monate speichern
• DSL/Dialin-Anbieter müssen speichern
• WLAN-Anbieter wohl nicht, da es keine Teilnehmerkennung gibt
• Im Mobilfunk müssen IMSI, IMEI und Standortdaten gespeichert werden
• Bei E-Mail Kommunikation müssen Absender, Empfänger, IP-Adressen und jeder Abruf gespeichert werden
• Inhaltsdaten werden nach Abs. 8 nicht gespeichert
• Löschung einen Monat nach Ablauf der Speicherpflicht
• Anonymisierungsdienste werden praktisch verboten, da diese Dienste die Identitäten vor und nach der Anonymisierung speichern müssen
• Allerdings ist die Rechtsprechung nicht einig, ob Anonymisierungsdienste ein Telekommunikations- oder ein Mediendienst sind

§ 113b TKG-E

• Zweckbindung (Straftaten, erhebliche Gefahren, Nachrichtendienste)
• Zitiergebot

§ 110g StPO-E

• richterliche Anordnung
• bei erheblichen Straftaten

§ 161/163 StPO i.v.m. § 113 TKG

• Staatsanwaltliche Ermittlungen
• Beschränkt auf sowieso gespeicherte Daten
• Abgestufter Schutz, wenn Daten sowieso z.B. zu Abrechnungszwecken gespeichert werden dann ist das über den Staatsanwalt zulässig, für den Abruf der Daten aus § 113a TKG-E ist die richterliche Anordnung aus § 110g notwendig.

Die Vorratsdatenspeicherung widerspricht jedoch der Rechtsprechung des Bundesverfassungsgerichts zu Art. 10 GG (Volkszählungsurteil: Speicherung von persönlichen Daten ohne konkreten Zweck ist unzulässig). Die Bundesregierung versucht daher offensichtlich den Verfassungsverstoß über den Umweg einer EU-Richtlinie zu legitimieren. Bisher gibt es dazu die Solange-Urteile, die im Kern sagen, solange EU-Recht gleichen Rechtsstandards wie das Grundgesetz genügt, mischt sich das Bundesverfassungsgericht nicht ein. Die Vorratsdatenspeicherung könnte laut Gietl daher entweder ein Solange-3- oder ein JetztReichts-1-Urteil provozieren.

Ausgang: Unklar.

Weitere Informationen: www.andreas-gietl.de

Die kalifornische Ministerin Debra Bowen hat die angekündigte Sicherheitsprüfung der amerikanischen Wahlmaschinen abgeschlossen. Ebenfalls wenig überraschend ist, dass keine einzige der bisher zertifizierten Wahlmaschinen grundlegende Sicherheitsanforderungen erfüllt. Soweit nichts neues.

Überraschend ist die Konsequenz mit der Frau Bowen dabei agiert. Sämtlichen(!) vier Anbietern von Wahlmaschinen wurde die Zulassung entzogen, trotz vermutlich heftigster Lobbyarbeit der Hersteller. Betroffen sind Diebold Election Systems, Hart InterCivic, Sequoia Voting Systems und Election Systems and Software. Dem letztgenannten Anbieter wurde die Zulassung für das Wahlsystem InkaVote Plus komplett entzogen, da er sich laut Rücknahmebescheid (PDF, 300 KB) geweigert hatte, sein System inklusive Source Code zur Überprüfung einem Sicherheitsteam der University of California zur Verfügung zu stellen.

Die anderen Systeme scheinen jedoch auch nicht viel besser zu sein. Die Source Code Analyse (PDF, 560 KB) der Wahlmaschine von Diebold kam zu folgenden Ergebnissen:

• Vulnerability to malicious software
• Susceptible to viruses
• Failure to protect ballot secrecy
• Vulnerability to malicious insiders

Die detaillierte Liste der „Issues“ enthält 45 Einzelsicherheitsprobleme!

Zusammenfassend lässt sich sagen, dass diese Wahlmaschinen durch Viren und Trojaner manipulierbar sind, das Wahlgeheimnis nicht ausreichend schützen und von Mitgliedern der Wahlaufsicht trivial manipuliert werden können. Erschreckend aber nicht erstaunlich. In diesem Zusammenhang noch ein paar Verweise:

• Diebold stellt ja nicht nur Wahlmaschinen sondern auch Geldautomaten her, und die waren 2003 schon anfällig für Viren und Würmer. Da scheint sich nichts verbessert zu haben.
• In den Niederlanden hat der Quasi-Monopol-Hersteller von Wahlmaschinensoftware Groenendaal versucht, die Behörden zu erpressen damit seine Software auf Nedap-Wahlmaschinen eingesetzt werden darf. Die gleichen Geräte kommen auch in Nordrhein-Westfalen zum Einsatz.
• Der deutsche Importeur der Nedap-Wahlmaschinen war über die Sicherheitsprobleme vermutlich frühzeitig informiert, gab sich jedenfalls wenig überrascht, nur erstaunt darüber, dass die Veröffentlichung so lange gedauert hat.

Und mal wieder voll an der Realität vorbei ist die Prüfung der Geräte durch die Physikalisch-Technische Bundesanstalt. Die Prüfung der Manipulationsfreiheit kann wie folgt durchgeführt werden: „Am Wahlgerät werden nach entsprechender Betätigung die gespeicherten Daten der Hardware- und der Software-Version sowie zwei Checksummen des enthaltenen Programmspeichers zum Vergleich mit den Angaben auf dem Typenschild und der Baugleichheitserklärung des Herstellers angezeigt und ausdruckt.“ Diese Ausgabe kann natürlich trivial gefälscht werden, wenn die Software erst einmal manipuliert wurde. Die PTB hat das nur leider nicht realisiert, der Prüfbericht ist faktisch ein Witz. Die PTB sollte besser bei ihrer Atomzeit bleiben, das wenigstens kriegen sie gerade noch so hin.

Äh ja. Läuft eigentlich noch irgendwas normal zur Zeit?

Heise meldet, dass Google drohe seinen Maildienst in Deutschland zu schließen, sollte die Bundesregierung an ihrer Gesetzesinitiative zur Überwachung des Internetverkehrs festhalten. Diese Pläne seien ein „schwerwiegender Schlag gegen die Privatsphäre“, kritisierte Peter Fleischer, weltweit zuständig für den Schutz der Google-Nutzerdaten, in einem Interview mit der Wirtschaftswoche.

Das ist die gleiche Firma Google, die von Privacy International zur schlimmsten Datenkrake überhaupt gekührt wurde. Privacy International hat sechs Abstufungen aufgestellt und 23 sogenannte Web 2.0 Firmen (ich zähle die BBC und Wikipedia da jetzt mal großzügig dazu) auf ihre Sensibilität gegenüber privaten Daten untersucht. In der schlechtesten Kategorie („Comprehensive consumer surveillance & entrenched hostility to privacy“) fand sich nur eine Firma wieder: Google. In der fünftschlechtesten Kategorie („Substantial and comprehensive privacy threats“) fanden sich wenig überraschend die Firmen AOL, Apple, Facebook, Hi5, Reunion.com, Yahoo! und Microsoft mit Windows Live Space wieder (die ich alle mal lieber nicht verlinke).

Ganz realistisch vermute ich ja, dass Google die meisten der geforderten Daten sowieso sammelt. Google hat sich wahrscheinlich ausgerechnet, was die zukünftig von Staats wegen geforderte zuverlässige Identifizierung der Nutzer kostet, was die folglich anzuschaffende Sina-Box zur Übermittlung der Daten kostet, was die Mitarbeiter kosten, die die Daten manuell an die Behörden übermitteln müssen, die mit der Sina-Box nicht zurechtkommen, … und irgendwann wird der Dienst für Google halt nicht mehr lukrativ.

Wenn ich mir die ganzen Pläne von Herrn Schäuble so angucke frage ich mich ja manchmal: Wann greift eigentlich Artikel 20 (4) GG?

1. Die Bundesrepublik Deutschland ist ein demokratischer und sozialer Bundesstaat.
2. Alle Staatsgewalt geht vom Volke aus. Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt.
3. Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden.
4. Gegen jeden, der es unternimmt, diese Ordnung zu beseitigen, haben alle Deutschen das Recht zum Widerstand, wenn andere Abhilfe nicht möglich ist.

Vielleicht nach der nächsten Wahl, wenn Schäuble wieder Innenminister wird?

Patente auf Software sind ja inzwischen ein allgemeines Übel und das Europäische Parlament, vermutlich die größte Ansammlung von Menschen ohne jede Sachkenntnis, ist gerade dabei dem amerikanischen Irrweg nachzuhinken.

Unsere amerikanischen Freunde sind offensichtlich schon einen Schritt weiter. Dort gibt es jetzt eine Firma, die Patches patentieren lassen will. Golem schreibt dazu:

„Wer eine noch nicht veröffentlichte Schwachstelle in einer Software entdeckt, wendet sich im Geheimen an die Firma mit dem sprechenden Namen „Intellectual Weapons“. Zuerst wird die Schwachstelle verifiziert. Das Unternehmen prüft anschließend, ob die Entwicklung eines Patches und die Patentierung der dabei genutzten Verfahren möglich erscheint und ein geeignetes Mittel darstellt, Lizenzgebühren in nennenswerter Höhe zu kassieren.“

Äh ja. Das klingt wie eine absolut hirnrissige Idee, aber das amerikanische Patentsystem wird das schon durchwinken. Übel wird es vermutlich für den Verbraucher. Viele Hersteller rücken Updates und Patches jetzt schon nur gegen Cash raus, dieser Trend wird sich durch sowas natürlich verfestigen. Eigentlich sollte man dann konsequenterweise endlich auch die normale Produkthaftung auf Software anwenden.