Entenalarm

“Ausweischip gehackt” titelte die taz und brachte damit noch kurz vor Jahresende eine besonders schöne Falschmeldung zum CCC-Kongress  in Umlauf, die Detlev Borchers auf Heise prompt als Ente entlarvte. Auch wenn der Vortrag im Hacking-Track lief handelte es sich vorwiegend um eine Funktionsbeschreibung des neuen Personalausweises, denn in der Tat kann man Daten aus dem Ausweis auslesen – mit Berechtigungszertifikat. Das soll so sein.  Das Beispiel beweist einmal mehr, dass guter Technikjournalismus in Tagesszeitungen schwer zu finden ist. Gut, dass es noch Fachjournalisten wie Christiane Schulzki-Hadouti gibt, die zu ganz anderen Schlüssen kommt und einen Rückzieher beim CCC entdeckt. Übrigens: Die wichtigsten Daten kann man auch jetzt schon aus dem derzeitigen Ausweis auslesen – mit den Augen, die Daten sind nämlich aufgedruckt.

In einem Wort

Technologiepaternalismus

Unterschätzte Risiken: Tresore

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

Krisenspam

Das Spamgeschäft ist krisenfest – wenn die Spammer ihre Angebote der Nachfrage anpassen. Aktienspam funktioniert gerade nicht so gut, dafür sind Viagra, Uni-Abschlüsse und gefälschte Rolex-Uhren gefragt, meldet die Welt.

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Wo Geld ist, da ist auch Gefahr

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)

Wahlcomputer und die behauptete Fälschung

Kürzlich deutete ich in ein paar Nebensätzen die Möglichkeit an, Computerwahlen nicht tatsächlich zu fälschen, sondern eine Fälschung lediglich zu behaupten. Die Intransparenz wesentlicher Abläufe würde dafür sorgen, dass solche Anschuldigungen zwar nicht per se glaubwürdiger, aber schwerer zu widerlegen wären. Nun tut die CIA genau dies für einige der üblichen Verdächtigen, darunter zum Beispiel Venezuela. Kann ja sein, dass die Berichte alle korrekt sind, aber wenn ein Geheimdienst etwas verbreitet, weiß man nie so genau, was die Ziele sind und wieviel vom Gesagten wahr ist.

Merkel-Phone

Merkel with phone

Morgen will T-Systems das Merkelphone präsentieren. Aber wenn man heise glauben schenken darf, dann darf Merkel das Ding nicht benutzen. Denn das Ding ist ja angeblich nur für VS-NfD (Verschlussache Nur für den Dienstgebrauch) bestimmt. Frau Merkel, Herr Schäuble, deren Stab, ja auch Roland Koch und seine Minister haben aber mitunter Unterlagen zu bearbeiten, die einer höheren Geheimhaltungsstufe unterliegen. Dafür ist das SIMKO2-Handy dann gar nicht zugelassen. Überhaupt viel spannender ist doch, wie die Abhörpflicht umgesetzt wird.  Müssen Politiker dann ihre BlackBerrys abgeben wie Obama? Vielleicht verrät Arnold Schwarzenegger Frau Merkel heute Abend auf der CeBIT-Eröffnung, wie der Staat Californien mit Geheimnissen umgeht.

Unterschätzte Risiken: Virenscanner

Heise-Meldungen zu verbloggen ist blöd, weil die sowieso jeder liest, der sich für ein Blog wie dieses interessieren könnte. Bei dieser kann ich jedoch nicht widerstehen, sie passt zu gut ins Beuteschema:

»Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei “Winlogon.exe” als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht.

(…)

Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben.«

(Heise Online:
Bitdefender und GData löschen Winlogon-Systemdatei)

Ich neige mehr und mehr der Ansicht zu, dass Antivirus-Programme auf professionell betriebener IT nichts zu suchen haben. Zumindest nicht so flächendeckend, dass sie eine ganze Firma herunterfahren können. Von mir aus mag man sie an geeigneter Stelle als IDS-Komponente benutzen, aber auf allen Arbeitsplätzen? Da nützen sie wenig, wenn die IT-Sicherheit insgesamt stimmt. Meine Arbeitsumgebung ist vielleicht nicht repräsentativ, aber bei mir läuft seit Jahren so ein Ding mit und es hat nie angeschlagen. Ob das ein gutes, ein schlechtes oder gar kein Zeichen ist, diskutieren wir ein andermal; vor irgend etwas geschützt hat mich die Sicherheitssoftware jedenfalls offensichtlich nicht. Wenn zur Nutzlosigkeit noch Schäden kommen, muss man wohl davon abraten.

Unterschätzte Risiken: De-Mail-Bürgerportale

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Read the rest of this entry »

Sicherheit durch Nagware?

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Read the rest of this entry »

Unterschätzte Risiken: Selbstorganisierte Telearbeit

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

Hirntot

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Eine Unglücksursache kommt selten allein

Nach Unglücken fragt der Laie gerne nach der Ursache. Oft gibt es aber gar keine einzelne Ursache:

»Auch der Luftfahrtexperte Heinrich Großbongardt ging von einer Kette von Ursachen aus. Im Bayerischen Rundfunk sagte er, beim Unfall eines Verkehrsflugzeugs kämen “im Schnitt sechs bis sieben Ursachen” zusammen. “Das ist eine Kette von Ereignissen, menschliche oder technische Fehler, wo bei jedem einzelnen es möglich gewesen wäre, diese Kette zu unterbrechen”, sagte Großbongardt.«

(Spiegel Online: Unglücksflug von Madrid: Triebwerk-Trümmer sollen Heckflosse beschädigt haben)

Theoretisch bedeutet das, dass sich das Unglück sogar redundant verhindern ließe, indem man mehrere Einzelfehler verhindert. In der Praxis ist das nicht so einfach, denn jedes Element einer solchen Ereigniskette ist in das Gesamtsystem eingebettet und damit einer Reihe von Zwängen unterworfen. Und ein klarer Fehler wäre es, die Sicherheit auf einzelne, spezifische Ereignisketten hin zu optimieren, dabei aber andere Szenarien zu ignorieren. Man kann also nicht einfach alles tun, damit sich so ein Unfall nicht wiederholt, denn damit würde man vielleicht die exakte Wiederholung ausschließen, aber vielleicht auch allerlei andere Verläufe fördern.

Unterschätzte Risiken: StatCounter.com

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

Unterschätzte Risiken: Sonnenangst

Die Angst vor der Sonne. Sommerloch für Sommerloch dürfen sich die Praktikanten aller Medien an diesem dankbaren Thema austoben und die immer gleichen Versatzstücke wiederkäuen: Sonnenbrand, »aggressive« UV-Strahlung, Hautkrebs, Sonnenschutz. Der Tenor ist stets derselbe. Die Sonne sei böse, gefährlich, um jeden Preis zu meiden. Wer sich ihr dennoch auszusetzen habe, der müsse sich radikal schützen, sonst drohten Siechtum und Tod.

Mir geht dieses Theater schon länger auf den Keks. Es riecht zu deutlich nach einer zum Selbstläufer gewordenenmachten Werbekampagne für Kosmetikartikel, eine menschheitsgeschichtlich recht junge Erfindung. Wäre die Sonne tatsächlich so gefährlich, wie sie heute von überforderten Medien gemacht wird, wie konnten unsere Vorfahren dann unter dieser Sonne lange genug überleben, um uns als die Krone der Schöpfung hervorzubringen? Und wer kann eigentlich mit eigener Erfahrung die absurde Empfehlung belegen, man solle selbst unter der Kleidung noch Sonnencreme tragen, sofern es sich nicht um spezielle »Schutzkleidung« handele?

Gesunder Menschenverstand ist nicht notwendig das Gegenteil der Wissenschaft, das zeigt jetzt ein Artikel im Spektrum der Wissenschaft. Darin geht es um Vitamin D, das im Körper vielfältige positive Auswirkungen hat und das unsere Haut in großen Mengen bildet, wenn sie der Sonne ausgesetzt ist. Die Autoren kommen zu dem Schluss:

»In diesem Zusammenhang ist auch das gestiegene öffentliche Bewusstsein um die Risiken des Sonnenbadens problematisch. Moderne Sonnenschutzmittel verringern das in der Haut produzierte Vitamin D um mehr als 98 Prozent. Um den normalen Bedarf an dem Mikronährstoff zu decken, sollten Menschen mit heller oder bronzener Hautfarbe in Nordamerika oder Europa im Sommer täglich ein ungeschütztes Sonnenbad von 5 bis 15 Minuten zwischen 10.00 und 15.00 Uhr nehmen. Dabei kommt es höchstens zu einer leichten Rosafärbung der Haut.«

und weiter:

»Nach den bisherigen Forschungsergebnissen scheint eine Kampagne zur Aufklärung der Öffentlichkeit über den umfassenden physiologischen Nutzen von Vitamin D daher dringend geboten.«

Das ist eine Ohrfeige für die Panikmafia. Immerhin, nach und nach sickert das Wissen um den Nutzen der Sonne auch in die Sommerlochartikel. Wir dürfen hoffen.

Black Hat EULA Enforcement

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators’ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

Unterschätzte Risiken: kaputte Taser

Das Darmstädter Echo meldet:

»Der 66 Jahre alte Mann, der an Heiligabend in Heppenheim (Kreis Bergstraße) während eines Polizeieinsatzes getötet wurde, musste offenbar deshalb sterben, weil ein Elektroschockgerät versagt hat. In dem sogenannten Taser waren nach den Erkenntnissen eines Gutachters falsche Batterien eingebaut. Außerdem wurden die dünnen Stromkabel offenbar mit einer Kartusche verschossen, deren Haltbarkeitsdatum um 17 Monate überschritten war. (…)«

Wie das geht? Das erfahren wir im ausführlicheren Bericht beim Hessischen Rundfunk: Weil der Taser nicht funktionierte, griffen die Polizisten zur guten alten Pistole. Gegen 12 Kugeln aus dem Bleibeschleuniger hatte der Mann keine Chance.

A Rationalist Approach to Risk Assessment

[Notice for our international readers]

»I believe smoking bans are doing great damage, and not only economic damage. They promote intolerance, social tension and a ‘stool pigeon’ culture. They ostracise a large and law-abiding segment of the population. They set a worrying precedent for all kinds of other social engineering. And they bring Nanny into Nightlife: the last place she belongs.«

Over at Plazeboalarm they celebrate (in German) an essay by Joe Jackson, Smoking, Lies and The Nanny State (PDF), and rightly so. He perfectly demonstrates a rationalist approach to risk assessment, which is based on fact rather than opinion and hidden agendas. He also demonstrates how real and unreal health risks can be abused politically and possibly lead to much worse an outcome even if the original risk fought was real.

Even though not everyone may agree with him, even if the factual basis of his essay were wrong (I didn’t verify his numbers yet), he reminds us of the virtue of skepticism. Even experts can be wrong. Terribly wrong, sometimes:

»It is has become ‘common knowledge’ that smoking is one of the worst things you can possibly do to yourself; ‘all the experts agree’. Of course, ‘all the experts’ once agreed that masturbation caused blindness, that homosexuality was a disease, and that marijuana turned people into homicidal maniacs. In the 1970s and 80s British doctors told mothers to put their babies to sleep face-down. Cot deaths soared, until a campaign by one nurse succeeded in changing this policy, which we now know to have claimed something like 15,000 lives.«

No matter how you feel about smoking, read his essay and try to grasp the many points he makes that are not immediately related to cigarettes and tobbacco but rather to rationalism and workable ways of running a society. A must-read for everyone. Conspiracy theories about the tobacco industry are not an acceptable excuse.

Will HTML 5 Promote Insecure Programming? Maybe not.

[Notice for our international readers]

A few days ago the W3C published the first draft of HTML 5. One of the many new features struck me as a possible amplifier for insecure programming: HTML 5 extends the type attribute of the input element to support URLs, e-mail addresses, date, time, and other types. The rationale for the new types reads (emphasis by me):

»The idea of these new types is that the user agent can provide the user interface, such as a calendar date picker or integration with the user’s address book and submit a defined format to the server. It gives the user a better experience as his input is checked before sending it to the server meaning there is less time to wait for feedback.«

Now this is a really old theme in Web (in)security. The Web as a platform for programming invites errors in input validation and sanitation by giving the programmer equally powerful tools for two different domains of trust, the client and the server. Furthermore, client-side input validation does make sense and is desirable under usability considerations but cannot replace server-side enforcement.

Consequently, one all too common mistake in Web application programming is to validate or sanitize data on the client side but not on the server side where one must not rely on any assumptions regarding client behavior. At the first glance abovementioned extensions seem to provoke even more of these mistakes by improving on the client-side features, thus making them more attractive.

The new feature makes generating code easier, though, which means it may become easier to develop and use frameworks instead of hand-coding. This would be good, security-wise, as one framework usually makes fewer errors than hundreds or thousands of programmers.

At this time, both theories seem equally plausible to me. Empirical studies, anyone?

Archive können täuschen

Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.

Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.

Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.

Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.

Wieviele Opfer fordern eigentlich durchgeknallte Strafverfolger?

Pünktlich zum Weihnachtsfest, wenn wirklich gar kein Journalist Lust zum recherchieren hat und alle potenziellen Ansprechpartner mit Ahnung keine Lust auf Interviews, genau zur rechten Zeit also wird wieder einmal die Kinderpornosau durchs globale Dorf getrieben. Heise berichtet, Spiegel Online skandalisiert und die Blogosphäre kommentiert. Die Rede ist von 12.000 Verdächtigen. Gut, dass die Polizei nicht schläft? Daran sind Zweifel erlaubt. Udo Vetter kennt als Strafverteidiger die Ermittlungsakten und berichtet darüber im law blog. Kurzfassung: strafbar gemacht hatte sich sein Mandant nicht, Job und Gattin war er trotzdem los.

Das ist kein Einzelfall, sondern Symptom eines generellen Problems. Read the rest of this entry »