Erich sieht

Manche Leute haben Angst vor Google. Weil Google Daten sammelt und versucht, daraus so viel über uns zu lernen, dass Google-Werbung besser funktioniert als andere. Mir fällt das schwer, weil ich zielgerichtete Werbung für einen Mythos halte. Google gibt mir Recht:

Oder habe ich einen Cyberwar verpasst?

»Wenn du öffentliche Videos einstellst, vergewissere dich, dass sie nichts enthalten, was Fremden Aufschluss darüber geben könnte, wer du bist oder wo du wohnst. Gib persönliche Daten wie deine Telefonnummer oder Postanschrift NIEMALS an andere Nutzer weiter. Achte auf Dinge wie Nummernschilder auf Autos oder Außenaufnahmen deines Hauses, die vielleicht im Hintergrund eines Videos zu sehen sind und Fremden dabei helfen können, dich zu finden.«

(http://de.youtube.com/t/safety)

Die taz meint es ernst. Heute ist Manfred Kriener dran, und wie gestern schon seine Kollegin Ulrike Herrmann schreibt er die Titelseite mit Unsäglichem voll:

»Unumstößlich ist: Die Daten wurden weder gestohlen noch gelöscht, sie befinden sich alle unversehrt auf dem Zentralcomputer der Bank. Stehlen kann man aber nur, was nachher nicht mehr da ist. Der Zumwinkel-Vorwurf der “Hehlerei” geht also ins Leere. Dies war kein Datenklau, sondern eine Datenkopie. Womöglich hat ein Bankangestellter nur eigene Dateien kopiert.«

Na dann ist ja alles gut. Freuen wir uns also auf den Bundestrojaner, denn nach einer Online-Durchsuchung müssen wir nicht monatelang auf die Rückgabe unseres Rechners warten. Das ist doch toll, oder? Und überhaupt, sind ja nur Daten, und die sind auch gar nicht richtig weg, wenn sie jemand stiehlt.

Schade, dass ich kein Abo habe, dafür würde ich es glatt kündigen. Oder auch nicht, denn sobald sie nicht selbst sprechen, kommt doch wieder Vernunft ins Blatt. So wie in diesem Leserbrief, dessen Autor sich ähnliche Gedanken machte wie ich gestern, oder im Interview mit Dieter Wedel, dem man genügend Raum lässt, das Ganze schöner auszudrücken. Gerade noch mal die Kurve gekriegt, würde ich sagen.

Wie oft lasen oder hörten wir diesen Satz: »Datenschutz darf kein Täterschutz sein.« Dann protestierten wir jeweils, wenigstens kurz und in Gedanken, und fühlten uns uns gut, weil wir es ja besser wussten. Datenschutz sei Ausdruck unseres Persönlichkeitsrechts, stehe jedem zu und setze dem Staat Schanken, die wir nicht angetastet sehen wollten. Nie und nimmer, unter gar keinen Umständen, nicht mal gegen Kinderpornonaziterroristenverbrecher. Schäuble war böse, denn er wollte uns übrwachen, und wir waren gut, denn wir waren dagegen. Bis uns jemand einen Fall auf den Leib schneiderte:

»In Deutschland wird die Geheimniskrämerei als Persönlichkeitsrecht missverstanden.«

Das schreibt Ulrike Herrmann in der taz, die wir doch eben noch auf unserer Seite wähnten. Und ein Stück die Zeitung runter legt Sven Giegold nach:

»Zudem muss das steuerliche Bankgeheimnis gelockert werden, so dass Kapitaltransfers ins Ausland systematisch überprüft werden können, ohne dass erst ein Anfangsverdacht vorliegen muss.

(…)

Schließlich könnten wir von Australien lernen: Dort werden die Daten von Kreditkarten aus Steueroasen genutzt, um Steuerflüchtlingen auf die Schliche zu kommen.«

So schlecht ist Überwachung wohl doch nicht, aber selbstverständlich nur gegen die richtigen Verbrecher. Was uns das lehrt: Grundrechte gelten universell, bis wir uns auf einen Gegner geeinigt haben, den wir jetzt aber wirklich echt böse finden. Für den gelten sie nicht mehr, denn jetzt haben wir einen höheren Zweck. Das Entwurfsmuster funktioniert bei jedem, nur den Anlass muss man anpassen.

PS: Und wärend ich das schreibe, schnappen sie einen Datenschützer, der mit einer BND-Agentin verheiratet sein und Steuern hinterzogen haben soll. Das ist so bizarr, das kann man sich gar nicht ausdenken.

Noch ein Zitat aus dem hier bereits auszugsweise wiedergegebenen Urteil des OLG Frankfurt:

»… und ein Gutachten des Bundesamtes für Sicherheit in der Informationstechnik eingeholt, das von dem Mitarbeiter Prof. Dr. rer. nat. XY, der Diplom-Mathematiker ist und zusätzlich eine außerplanmäßige Professur am Fachbereich Mathematik der TU … bekleidet, erstellt und mündlich erläutert wurde.«

Wie lange müsst ihr googeln, um aus den kursiv hervorgehobenen Informationen eindeutig die Belegung der Variablen XY zu rekonstruieren oder die Unsicherheit darüber so weit zu reduzieren, dass weniger als fünf Bewohner dieses Planeten in Frage kommen?

Aus meiner SpamInbox:

»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«

Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.

Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Read the rest of this entry »

Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.

Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.

Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.

Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.

Schwierigkeiten, Unklarheiten und Denkfallen bei der Interpretation gespeicherter Daten waren schon einmal Thema in unserem Blog. Plastischer wird das Problem vielleicht, wenn man es sich an eigenen Datenspuren veranschaulicht. Bloggerin Ari macht es vor und kommt zu dem Schluss:

»Na bravo: Mit den Augen des Vorratsdatenspeicher-Kriminal-Ermittlers bin ich jetzt also ein rechtradikaler Scientologe mit Kontakten zur russischen Sex-Mafia.

Ob mich das verdächtig macht???«

Man müsste es pro forma vielleicht noch mal empirisch untersuchen, aber als Eindruck kann ich jetzt schon sagen: die ganzen »Sicherheits«maßnahmen der jüngeren Vergangenheit schaffen augenscheinlich genau das Gegenteil. Unsicherheit nämlich, Unsicherheit darüber, welche Folgen ein Handeln heute haben kann, das bis gestern keinen etwas anging.

Pünktlich zum Weihnachtsfest, wenn wirklich gar kein Journalist Lust zum recherchieren hat und alle potenziellen Ansprechpartner mit Ahnung keine Lust auf Interviews, genau zur rechten Zeit also wird wieder einmal die Kinderpornosau durchs globale Dorf getrieben. Heise berichtet, Spiegel Online skandalisiert und die Blogosphäre kommentiert. Die Rede ist von 12.000 Verdächtigen. Gut, dass die Polizei nicht schläft? Daran sind Zweifel erlaubt. Udo Vetter kennt als Strafverteidiger die Ermittlungsakten und berichtet darüber im law blog. Kurzfassung: strafbar gemacht hatte sich sein Mandant nicht, Job und Gattin war er trotzdem los.

Das ist kein Einzelfall, sondern Symptom eines generellen Problems. Read the rest of this entry »

aus dem Institut für Internetsicherheit in Gelsenkirchen klärt über die Anwendungsmöglichkeiten von Trusted Computing.
Nicht schön, aber informativ, leider aber Auweia Turaya.

Als Journalist ist man froh, wenn man anonym recherchieren kann. Und am staatlichen Vorgehen gegen die Cicero-Redaktion zeigt sich, dass man entsprechende Tools nicht nur im nahen Osten oder China gebrauchen kann. Weil ich neulich mal in Sachen Raubkopierer unterwegs war, habe ich TOR ausprobiert. War durchaus benutzerfreundlich aber nicht immer sehr perfomant. Dann habe ich jetzt aber festgestellt, dass man TOR nicht unbedingt vertrauen kann, denn vielleicht ist das BKA ja auch Teil des TOR-Netzwerks. Wollte gerade das JAP-Projekt ausprobieren, als ich jüngst las, dass das Projekt ein Spin-Off hervorgebracht hat. Jondonym heißt das Ding. Irgendwie habe ich ein Problem damit einer Firma zu vertrauen, ein Netz herrenloser Rechner ist mir fast lieber. Bin ich paranoid?

Viele die sich über die neuen Gefahren beschweren, die elektronische Gesundheitskarte und Co. mit sich bringen, vergessen, dass es auch in der analogen Welt mit dem Datenschutz oft nicht besonders weit her ist. Kleines Beispiel aus der jüngsten Vergangenheit. Im Rahmen eines Arztbesuchs fiel mir ein alter Befund wieder ein, der bei meiner Musterung festgestellt worden war. Um die Unterlagen von damals zu erhalten, rief ich zunächst beim Kreiswehrersatzamt an, das mich dann zum Bundesamt für Zivildienst weitervermittelte, wo ich gebeten wurde, meine Bitte nochmal schriftlich zu äußern. Eine Email und drei Tage später hatte ich meine kompletten Gesundheitsakten im Briefkasten. Ich hatte keine Ausweisnummer oder sonstige Kennung angeben, mich verstellen oder geschickt interagieren müssen - die einfache Anfrage reichte vollkommen aus.

All jenen, die vermeintlich nichts zu verbergen haben, erklärt die Frankfurter Rundschau, was Data Mining ist:

»Doch wie leicht sich schon heute detaillierte Daten zu Privatleuten aus frei verfügbaren Informationen im Internet sammeln lassen, zeigt unsere willkürliche Test-Spionage, an deren Ende wir fast so viel über Melanie wissen wie ein guter Bekannter.«

Das gar nicht so private Leben der Melanie B.

Google gibt bekannt, dass das Unternehmen gespeicherte Nutzerdaten nicht mehr solange vorrätig halten will. Vielleicht ein feiner Zug, vielleicht aber auch nur ein Schritt zur Entschärfung einer sich anbahnenden Krise, denn die Datenschutz-Organisation plant ein Privacy-Ranking großer IT-Dienste, worüber die Goggles sich anscheinend nicht gefreut haben..

eGK und Telematik-Infrastruktur - diese Worte bringen derzeit viele Mediziner in Rage und auch die Öffentlichkeit ist nach dem Hickhack um Kosten/Nutzenanalysen doch arg verunsichert. Dass es sich lohnen kann, dafür sprechen die neuesten Gedanken, die sich Google-Vizepräsident Adam Boswell in seinem Blog macht. Neben einem Portal mit Gesundheitsinformationen denkt die Firma auch über Patienteninformationen nach:

Patients also need to be able to better coordinate and manage their own health information. We believe that patients should control and own their own health information, and should be able to do so easily. Today it is much too difficult to get access to one’s health records, for example, because of the substantial administrative obstacles people have to go through and the many places they have to go to collect it all. Compare this to financial information, which is much more available from the various institutions that help manage your financial “health.” We believe our industry should help solve this problem.

As the Internet increasingly helps link communities of people, we also think there is an opportunity to connect people with similar health interests, concerns and problems. Today, people too often don’t know that others like them even exist, let alone how to find them. The industry should help there, too.

Will Double-Click-Besitzer Google mir demnächst Werbevorschläge auf Grundlage meiner Krankengeschichte machen oder meine Sucheregebnisse filtern, um mein krankes Herz zu schonen. Das Wort Datenschutz kommt im Posting jedenfalls nicht vor.

Bei einem internen Meeting zum Trusted Computing gestern, habe ich mich an ein nettes Filmchen erinnert, das mir Sven vor einiger Zeit mal zukommen ließ und das sich äußerst kritisch mit Trusted Computing auseinandersetzt.

Derlei Kritik am Trusted Computing ist in jüngster Zeit jedoch selten geworden oder wird in den entsprechenden Fachgremien einfach abgenickt, frei nach dem Motto: “Schon klar, aber jetzt wollen wir doch über die Anwendungen reden.” Und da lauert doch die Überraschung, denn von DRM redet kaum jemand.

Kann natürlich damit zusammenhängen, dass DRM ohnehin auf dem absteigenden Ast ist. Kann aber auch daran liegen, dass Themen wie mobiles Bezahlen und Embedded Security spannender sind. Oder es liegt einfach daran, dass man sich an Trusted Computing gewöhnt hat, es also vom vertrauenswürdigen Computing (oder wie wird das übersetzt) zum vertrauten Computing geworden ist.

Tut er oder tut er nicht, der Bundestrojaner? Die Medienwelt ist zerstritten, zumindest die Technikjournalisten. Denn während sich die Politikressorts im Schäuble-Bashing üben und die rechtliche Diskussion vom BGH kurzfristig geklärt wurde, spaltet sich die Multimedia-Berichterstattung in zwei Lager:

Auf der einen Datenschutzspezialistin Christiane Schulzki-Hadouti und alle die glauben, der Bundestrojaner ist machbar, auf der anderen Seite die zahlenmäßig unterlegenen aber vielleicht klügeren Skeptiker um Lutz Herkner, die der Meinung sind es handelt sich um eine theoretische Möglichkeit oder wie Burkhardt Schröder gleich sagen, es sei ein Hoax.

Read the rest of this entry »

Ich bin gerade am Umziehen. Das bedeutet nicht nur Streichen, Räumen, Transportieren und Einrichten, sondern auch einen neuen Telefon- und Internet-Anschluss zu besorgen. Ich entschied mich für Alice-DSL, eine Marke von HanseNet. Das für den Anschluss benötigte DSL-Modem sollte ich vor der Schaltung des Anschlusses geliefert bekommen.
Am Tag der Wohnungsübergabe wurde mein Namensschild an Klingel und Briefkasten angebracht, aber das war anscheinend ein paar Stunden zu spät. Jedenfalls hatte der von HanseNet beauftragte Paketdienst GLS früher an diesem Tag bereits vergeblich versucht mich zu finden.
Aber woher weiß ich das? - Ganz einfach: GLS rief mich am nächsten Werktag bei meiner Arbeitsstelle an und wollte wissen, ob die Lieferadresse denn richtig sei. Nur habe ich bei GLS nie meine Telefonnummer hinterlassen. Ich wusste bis zu dem Anruf nicht einmal, dass dieser Paketdienst die Auslieferung übernimmt. Nur HanseNet kannte meine Nummer.
In diesem Fall war der Anruf zwar praktisch, aber dennoch kann ich mich nicht erinnern, HanseNet zur Weitergabe meiner dienstlichen Telefonnummer berechtigt zu haben. Da hat es wohl jemand mit dem Datenschutz nicht so genau genommen.

»Ab heute können Schulen, Universitäten und Vereine ein Netzwerk Freiwilliger in Anspruch nehmen, die ehrenamtliche Vorträge über den Wert der Privatsphäre anbieten. Die “Freiheitsredner” wollen vermitteln, welche Bedeutung überwachungsfreie Räume für uns und unsere Gesellschaft haben, wie groß die “Bedrohung” durch Kriminalität wirklich ist und wieviel Sicherheit Überwachung tatsächlich bewirken kann. Nähere Informationen finden sich auf der Internetseite Freiheitsredner.de. (…)«

Ins Leben gerufen hat die Aktion der Arbeitskreis Vorratsdatenspeicherung. Inhaltliche Anregungen gibt es dort auf der Website oder auf einschlägigen Veranstaltungen.

Die Masche ist älter als das Internet, sie funktioniert auch per Post: seltsame Gewinnbenachrichtigungen. Damit kann man auf vielerlei unseriöse Art Geld verdienen. Eine ausführliche Liste von Fällen gibt’s bei den pfiffigen Senioren. Im Internet aber muss man gar nicht mehr richtig betrügen. Geld verdienen kann man auch, indem man einfach Daten sammelt und verkauft. Dieses Werbebanner

zum Beispiel führt zu einer Seite, auf der man seinen Namen und seine E-Mail-Adresse eingeben soll, um am Gewinnspiel teilzunehmen. Und auf der Folgeseite noch Adresse, Geburtsdatum und Telefonnummer. Die E-Mail-Adresse wird auch gleich überprüft, mit einem dorthin geschickten Gewinncode, den man »aktivieren« soll.

Read the rest of this entry »

Unter dem Motto Privatsphäre war gestern lädt der Chaos Computer Club zum vierten Mal zum Symposium Datenspuren nach Dresden ein. Wie Titel und Motto andeuten, geht es bei dieser Veranstaltung um Daten, die wir allerorten freiwillig oder immer öfter auch unfreiwillig hinterlassen: um Überwachung und Vorratsdatenspeicherung, um Datenpannen, um Biometrie und Verschlüsselung. Hinzu kommen verwandte Themen wie Informationsfreiheit und Wahlcomputer.

Mitschnitte der Vorträge aus den vergangenen Jahren gibt es hier.

Der Eintritt ist übrigens frei, und eine Reise nach Sachsen lohnt sich immer.

Neulich habe ich in einem Vortragsforum einer Diskussion beigewohnt, die darum kreiste, ob man Unternehmen dazu verpflichten soll, Datenverluste (z. Bsp. gestohlene Laptops mit Kundendaten) öffentlich bekannt zu machen, um die Verbraucher zu schützen. Der Raum war mit einem Mal zweigeteilt - die amerikanischen Anwesenden waren gegen eine gesetzliche Regelung, die Europäer dafür. Wie dem auch sei, denke in jedem Fall muss jede zielführende Vermittlung von Sicherheitsvorkehrungen mit Respekt und Höflichkeit geschehen. Wie es nicht klappt, ist derzeit an deutschen Flughäfen zu bestaunen, wo Schilder zu sehen sind, auf denen ein Käse, ein Schinken und ein Glas Milch dick rot durchgestrichen sind. Darüber steht dann in großen Lettern “Keep infectous deceases out of the European Union”. Soweit so gut, ein engagierter Aufruf zur Mithilfe. Ganz anders las sich die deutsche Übersetzung. “Schlepp keine anstecken Tierseuchen in die Europäische Union ein!” stand da, was ich mental gleich durch den Nachsatz ergänzte, “Du dreckiger Ausländer Du!”. So wird das nichts liebes Deutschland.