Gulli.com veröffentlicht e-Book

Die Szene-Seite Gulli.com, die bereits seit 1998 Szene-News und Infos zu den Themen Hacking, IT-Security, Privacy, Filesharing, Bürgerrechte und Netzwelt-Themen publiziert, hat ihre eigene Geschichte als e-Book herausgebracht.

Zwischen 1998 und 2008 wuchs gulli.com von einer kleinen Szeneseite zu einer der Top50-Adressen in Deutschland und schrieb über zehn Jahre hinweg die Internet-, Netzkultur- und Rechtsgeschichte mit. Mit gulli wars™ liegt diese Geschichte nun auch als Buch vor. Die Verfasser Korrupt, gulli und LexaT berichten unter ihren Szenenamen von zehn ereignisreichen Jahren im Netzuntergrund.

Neben der Geschichte dieses Aufstiegs berichtet gulli wars™ über die Geschichte von Warez und Raubkopien in Deutschland, vom Aufkommen des Web 2.0 und der Blogs, die Entwicklungen und Verirrungen des Webmarketings insbesondere in rechtlich umstrittenen Bereichen, von der Netz- und Gemeinschaftskultur im Internet und darüber, wie zwischen Dotcom-Boom und Abmahnwahn eine wachsende Community und ihre Macher trotz allem viel Spaß im Netz hatten.

Neben den heiteren Episoden berichtet gulli wars™ auch von den zahlreichen Netzkonflikten in und um gulli.com – angefangen mit dem Prozess um die Domain verteidigungsministerium.de über die Entstehung und der folgenden Debatte um das Abrechnungsmodell „Dialer“ bis hin zu den jüngsten Konflikten um Urheberrecht und die Grenzen der freien Meinungsäußerung im Internet.

Ein umfangreiches Glossar erklärt den Netzjargon nicht nur der gulli-Community, Designentwürfe, Auszüge aus Briefwechseln mit Strafverfolgern und Rechteinhabern, Interviews und einige weitere bislang unveröffentlichte Interna verschaffen weitere Einblicke hinter die Kulissen von gulli.com.

gulli wars™ erscheint bei BoD (Books on Demand GmbH Norderstedt)
Paperback, 256 Seiten, 31 Farbseiten
ISBN 978-3-83704-294-8
Preis: 20,- Euro für die Print-Version

Das unter einer CC-Lizenz stehende e-Book kann dagegen kostenfrei heruntergeladen und auch weiterverbreitet werden: Gulli wars TM – PDF-Download (20 MB)

Zu den Autoren:

Richard Joos, aka “Korrupt”
Jahrgang 1973, studierte in Tübingen und belegt seit 2005 die These, dass Soziologen branchenfremd durchaus Jobs finden. Seit 2002 Admin des gulli:boards, lebt und schreibt er im Internet sowie in Bochum.

Randolf Jorberg, aka “gulli”
Webvermarkter aus Leidenschaft, lebt in Bochum und Kapstadt. 1981 in Herdecke (Ruhr) geboren, betreibt und optimiert er seit 1998 Webseiten.

Axel Gönnemann, aka “LexaT”
Seit 1965 Wuppertaler. Fand ursprünglich über den Umweg Musik/Tonstudio ins Netz und wurde 2000 Admin des gulli:boards. Als erster Arbeitnehmer der neu gegründeten Firma lag ihm ab 2002 die Umgestaltung von gulli und der Aufbau von Fliks sehr am Herzen.

http://gulliwars.com/ (das Blog zum Buch)

Kommunen gehen gegen Google vor

Der neue Google-Dienst „Streetview“ ist mehreren deutschen Kommunen ein Dorn im Auge. Sie wollen verhindern, dass private Kommerzinteressen dazu führen, dass ihre Bürger, Gebäude und Straßen verdatet werden. Daher bereiten bereits mehrere Gemeinden in Schleswig-Holstein Maßnahmen vor, um die Aufzeichnung des öffentlichen Raumes durch Google aus fahrenden Autos heraus zu stoppen. Man befürchtet u.a. dass so Kriminellen und Werbefirmen das Leben unnötig erleichtert wird.

In den USA, wo „Street View“ schon seit längerem im Einsatz ist, gibt es mittlerweile etliche Foren, in denen die witzigsten und auch peinlichsten „Street View“-Bilder gesammelt werden – zum Beispiel von zwei jungen Frauen, die sich oben ohne im Park sonnen. So etwas als Betroffener wieder aus dem Internet herauszubekommen, ist so gut wie unmöglich.

Stimmen betroffener Politiker sehen das Vorhaben parteiübergreifend sehr kritisch (sogar wenn sie jenen Parteien angehören, die auf Bundesebene jede Datensauerei durchzuwinken oder gar selbst zu pushen pflegen…):

„Wir lassen uns das nicht gefallen! Wir wollen nicht mit unseren Häusern im Internet zu sehen sein“, wettert Molfsees CDU-Fraktionschef Reinhold Harwart, der Probleme mit Kriminellen befürchtet: „Auf den Fotos ist doch alles zu sehen! Das öffnet Verbrechern Tür und Tor zu unseren Häusern.“

Lübecks SPD-Bundestagsabgeordnete Gabriele Hiller-Ohm will das Thema im Bundestag auf die Agenda setzen: „Das Ganze ist höchst bedenklich“ sagt sie. Lübecks Innensenator Thorsten Geißler (CDU) will alle rechtlichen Möglichkeiten gegen Google prüfen: „Die ,Street View‘-Daten können von Kriminellen missbraucht werden. Das ist sehr kritisch.“

Ratzeburgs Bürgermeister Rainer Voß wettert: „Die Bilder lassen es zu, dass sich jeder ein Bild von der Lebenssituation der Menschen machen kann. Das dürfen wir nicht zulassen.“

Der Bürgermeister von Ahrensbök, Ekkehard Schaefer: „Wir müssen Google in die Schranken weisen.“

Als erste Gemeinde will daher Molfsee bei Kiel (Kreis Rendsburg-Eckernförde) dem Internetportal konkret Fotoaufnahmen auf ihren Straßen verbieten. Grundlage dafür könnte die Straßenverkehrsordnung sein. Google braucht eine Sondernutzungserlaubnis für die kommerziellen Aufnahmen, so die Rechtsauffassung der Kommune. Und die will man den Suchmaschinenbetreibern wohl verweigern.

Auch das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel hält die Aufnahmen für problematisch. Marit Hansen, stellvertretende Landesdatenschutzbeauftrage: „Es werden personenbezogene Daten gesammelt und ins Internet gestellt. Das geht so nicht“. Auf den Bildern seien „Menschen in ihrer Freizeit zu sehen, vor ihren Häusern, in ihren Autos – das hat im Internet nichts verloren“.

Das ULD, die Hansestadt Lübeck sowie weitere schleswig- holsteinische Gemeinden prüfen nach Angaben des Blattes rechtliche Schritt gegen Google.

In den USA und Frankreich ist „Street View“ als Weiterentwicklung des Luftaufnahmen-Atlasses „Google World“ ein Renner: Im New Yorker Stadtteil Manhattan etwa ist jede noch so kleine Straße, jedes Haus fotografiert worden. Städte virtuell erlebbar machen, so realitätsnah wie möglich – das sei „Street View“-Ziel, sagt Kay Oberbeck, Google-Sprecher für Nord- und Mitteleuropa.

Lübecker Nachrichten: Nord-Gemeinden rebellieren gegen Google

Lübecker Nachrichten: Google lichtet den Norden ab – doch was ist mit dem Datenschutz?

Datenschützer fordern erneut Arbeitnehmerdatenschutzgesetz

Die öffentliche Diskussion um ein neu zu schaffendes Arbeitnehmerdatenschutzgesetz geht weiter. Schon seit Jahren wird auf Fachebene über Inhalte und Notwendigkeit eines speziellen Datenschutzgesetzes für das Arbeitsverhältnis diskutiert. Und der prinzipielle Wille dazu wird auch bereits seit Jahren von einem Koalitionsvertrag zum nächsten mitgeschleppt, ohne dass sich in der Regierungszeit dazwischen was getan hätte.

Die Datenschutzskandale der letzten Monate haben aus diesem politischen Randthema allerdings eine hochaktuelle Sache gemacht. Denn die Grundproblematik bleibt bestehen, auch wenn die Spitzelskandale bei Lidl, Ikea, Burger King oder der Telekom bald wieder aus der öffentlichen Aufmerksamkeit verschwunden sein werden.

Daher hat nun auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. einen eigenen Entwurf eines „Gesetzes zum Schutz der Persönlichkeitsrechte im Arbeitsverhältnis“ vorgelegt. Im Gegensatz zum generischen allgemeinen Bundesdatenschutzgesetz (BDSG) enthält es konkrete Regelungsvorschläge zu zahlreichen Themen des modernen Arbeitslebens, deren Handhabung sich heute bei Anwendung des klassischen BDSG stets als schwierig erweist und oft zum „kreativen Umgang“ mit dem Datenschutz verleitet.

Auch der Bundesdatenschutzbeauftragte Peter Schaar hatte erst kürzlich im Rahmen der Fachtagung „Öffentliche Daseinsvorsorge in der Informationsgesellschaft“ der Gewerkschaft Ver.di in Berlin ein Arbeitnehmerdatenschutzgesetz gefordert. Geregelt werden solle darin, wann Daten über Mitarbeiter offen zu erheben, wofür sie zu verwenden und wann sie zu löschen seien. Generell müsse darin geregelt werden, inwieweit eine Verarbeitung persönlicher Daten im Betrieb überhaupt durchgeführt werden dürfe. Es müsse auch Freiräume geben, in denen die Arbeitsweise und -zeit nicht überwacht werde.

In der Verwaltung selbst sieht Schaar den Arbeitnehmerdatenschutz vergleichsweise gut geregelt. Im privaten Bereich gilt für Arbeitsverhältnisses dagegen zunächst nur das allgemeine Datenschutzrecht. Wo Betriebsräte bestehen, kann darüber hinaus durch Betriebsvereinbarungen und Mitbestimmungsverfahren vieles zu Datenschutzfragen geregelt werden. Dies ist in vielen Bereichen, in denen keine Arbeitnehmervertretung besteht, jedoch nicht der Fall.

Der virtuelle Terrorist

Geheimdienste genießen in fast allen Staaten der Welt immense Privilegien. Mit ihnen können sie an Recht und Gesetz vorbei und auf jede erdenkliche Art und Weise Bürger, Volk, Wirtschaft und andere Staaten ausspähen und der Politik tatsächliche oder auch nur angebliche Insider-Informationen über die Vorgänge in der Welt vermitteln.

Aufgrund der sie umgebenden Intransparenz und der häufigen Rechtsbrüche und Spitzelskandale wird die Tätigkeit der Geheimdienste jedoch zunehmend kritischer gesehen.

Da Geheimdienste zudem nichts Konkretes erwirtschaften und als staatliche Einrichtungen von Steuergeldern finanziert werden, besteht stets die Möglichkeit, dass ihnen im Zuge von Sparprogrammen Gelder gekürzt werden. Oder sie gar ganz geschlossen werden. Das bringt ihre Vertreter in Zugzwang, ihre Existenz stets aufs Neue zu rechtfertigen. Ähnlich wie beim Militär funktioniert das am Besten durch reale oder ggf. auch nur erfundene Bedrohungen, zu deren Eindämmung der Dienst finanziert werden muss.

Seit 9-11 taugt dazu am Besten das Feindbild des Terroristen. Zwar lässt sich der Eindruck nicht leugnen, dass echte Terroristen eher Anzug und Krawatte statt Kalaschnikow und Bart tragen. Und dabei vermehrt in Parlamenten und politischen Lobbyorganisationen statt in afghanischen Erdlöchern sitzen. Aber mit ihnen lässt sich seit Jahren jede nur denkbare Sauerei, jeder Abbau von Bürgerrechten, jede Steuererhöhung und jeder politische Machtaufbau begründen.

Die zeigte erst vor kurzem Dwight Toavs, ein Professor der National Defense University als er auf der, von der US-Geheimdienstbehörde DNI veranstalteten Open Source Conference, in einem Vortrag über neue Medien und ihre Auswirkungen auf die gesellschaftlichen Organisationen auf das weltweit größte Online-Rollenspiel World of Warcraft (WoW) hinwies. Millionen von Gesprächen finden, so Toavs, in Online-Rollenspielen gleichzeitig statt. Da die Spieler unter Pseudonymen auftreten, der Zugang von der ganzen Welt erfolgen kann und die Kommunikation leicht im jeweiligen Jargon codieren lässt, ist eine Überwachung schwer, wenn nicht unmöglich.

In virtuellen Welten wie WoW würden bereits Millionen von Menschen von staatlichen Einrichtungen weitgehend ungehindert und unkontrolliert gemeinsam planen, kommunizieren und agieren. Das würde es auch Terrorgruppen ermöglichen, sich untereinander abzustimmen und Anschläge zu planen. Als Beispiel führte Toavs eine fiktive Korrespondenz einiger WoW-Spieler auf, die im Rollenspieler-Slang einen Angriff auf das Weiße Haus planten. Der Rest seiner Präsentation befast sich mit den Auswirkungen von „Web 2.0“-Medien auf traditionelle Organisations- und Informationsfluss-Strukturen.

PT-Präsentation zum Download (7 MB)

In den US-Geheimdiensten wird schon seit längerem befürchtet, dass virtuelle Welten wie Second Life oder vor allem Online-Rollenspiele mit Millionen von Spielern eine Möglichkeit bieten könnten, um heimlich Pläne auszuhecken oder sich zu verabreden. Daher wurden Projekte wie z.B. „Reynard“ aufgesetzt, um Verfahren zu entwickeln, mit deren Hilfe das Entstehen von sozialen und terroristischen Dynamiken in virtuellen Welten und Online-Rollenspielen von normalem Verhalten unterschieden werden kann. Man will normales Verhalten erkennen und so automatisch verdächtiges Verhalten identifizieren können. Anscheinend greifen die Dienste bereits auf Vorrat Daten aus den virtuellen Welten ab, können aber noch nicht allzu viel damit anfangen. Das lässt es naheliegend erscheinen, dass sie verstärkt in Forschungsprojekte zur elekronischen Beweissicherung (IT-Forensik) investieren werden, um diese Fähigkeiten zu entwickeln.

Angriffsziel SOA und Web-Services

Serviceorientierte Architekturen sind eines der Trendthemen der IT schlechthin. Inhaltlich geht es um einen, auf Ideen aus der Objektorientierung aufbauenden, Ansatz die Unternehmens-IT zu strukturieren. Statt in technischen Größen wie Datenbanken, Applikationen, Servern oder Netzen zu denken, wird ein in IT abzubildender Prozess in Services unterteilt. Kleine autonome Funktionseinheiten, die eine bestimmte Dienstleistung erbringen (z.B. eine Reise buchen, eine Rechnung prüfen oder den Bestand an Ware zu prüfen) und die sich dazu ggf. weiterer Services mit Teilfunktionen bedienen. Alle Services zusammen bilden eine Art Service-Netzwerk, dessen Bausteine inhaltlich jederzeit neu strukturiert und kombiniert werden können. Das macht Software flexibel an immer neue Unternehmensprozesse anpassbar, soll organisationsübergreifenden Datenaustausch vereinfachen und eine „lebende“ Infrastruktur mit beherschbarer Systemkomplexität schaffen.

GI-Informatiklexikon, Serviceorientierte Architektur

Viele dieser Services können mit Hilfe standardisierter Protokolle (SOAP) und Datenformate (XML) über das Internet angesprochen werden – z.B. über Bestellformulare in Online-Shops. Diese Services nennt man Web-Services. Auch intern kommunizieren die Services meist per SOAP und XML.

Dabei werden Daten versendet, empfangen, zwischen- oder endgespeichert, Datenbanken abgefragt, andere Services kontaktet, Daten verschlüsselt, entschlüsselt, ggf. auch komprimiert oder entkomprimiert. Kurz: Es wird viel Aktivität im Service-Netz generiert.

Und das macht serviceorientierte Architekturen angreifbar für DOS-Attacken (denial of service), auch „Flooding Attacks“ genannt.

Bei einer DOS/dDOS-Attacke (dynamic denial of service) wendet ein Angreifer Ressourcen (meist Speicherplatz, Rechenzeit und Bandbreite) auf, um einen Opfer-Rechner auszulasten. Gehen diesem die Ressourcen aus, bevor es dem Angreifer so geht, bricht der Opfer-Rechner wegen Überlastung zusammen und stellt den Dienst ein. Das Prinzip „Armdrücken“ wird so zur effektiven Bedrohung für Unternehmen, die auf eine durchgehend verfügbare Internet-Präsenz angewiesen sind (z.B. Banken oder e-Shops).

Angreifer bilden dazu dynamische Rechnerverbünde (Botnetze), die das Ziel unter Dauerbeschuss mit Anfragen und Daten nehmen, bis es kollabiert. Die entscheidende Messgröße ist dabei die „impact amplification“ (Wirkungsverstärkung). Sie ist eine abstrakte Größe, die angibt wie viele Einheiten Last ein Angreifer auf dem Zielsystem erzeugen kann, wenn er dafür eine Einheit seiner eigenen Ressourcen opfert. Eine „impact amplification“ von 50 bei Speichernutzung bedeutet, dass ein Angreifer pro MB Datenvolumen das er investiert, 50 MB Speicherplatz im Zielsystem blockieren kann.

Serviceorientierte Architekturen ermöglichen es aufgrund ihrer modularen Struktur und der „Geschwätzigkeit“ der Services untereinander, eine enorm hohe „impact amplification“ im dreistelligen (!!) Bereich zu erreichen. In einem Workshop zum Thema Sicherheit für SOA, den Referent Nils Gruschka im Rahmen der Informatiktage 2008 in der LMU in München hielt, wurde diese Schwachstelle diskutiert. Bislang gibt es keine sinnvolle Lösung, bei deren Implementierung nicht auch auf die Vorteile einer SOA wie Kapselung von Implementationsdetails, Reduktion der Komplexität, Wieder- und Weiterverwendung sowie Standardisierung von Services und Orientierung an Geschäftsprozessen nicht auch geopfert werden müssten.

„Freiheit Weiß-Blau“ – Breites Bündnis ruft zu Demonstration gegen Überwachung auf

Pressemitteilung des Arbeitskreis Vorratsdatenspeicherung, 04.09.2008:

„Freiheit Weiß-Blau“ – Breites Bündnis ruft zu Demonstration gegen Überwachung auf

Bürgerrechtsorganisationen, Parteien und Datenschützer verschiedenster Couleur rufen für Samstag, den 20. September 2008, zu einem Marsch durch München unter dem Motto „Freiheit Weiß-Blau“ auf. Start der Auftaktkundegebung ist 14h am Marienplatz.

Am Wochenende vor der Landtagswahl soll mit dem Protest gegen die ausufernde Überwachung durch Staat und Wirtschaft ein Zeichen für demokratische und freiheitliche Grundrechte gesetzt werden. Dabei wird die Demonstration von einem breiten Bündnis getragen, welches vom Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) initiiert wurde. Ins besondere wendet sich diese Demonstration gegen bayerische Vorstöße wie Kfz-Kennzeichen-Scanning, Verschärfung des Versammlungsgesetzes, Schüler-ID und Onlinedurchsuchung („Bayern-Trojaner“), aber auch gegen bundesweite Gesetze und Gesetzesvorhaben wie Vorratsdatenspeicherung, Steuer-ID oder BKA-Gesetz.

„Ob Verkauf von Kontodaten, Handel mit Melderegistern oder Verlust von sensiblen Datenträgern – Die Skandale der vergangenen Wochen haben gezeigt, dass elektronisch gespeicherte Daten niemals absolut gesichert werden können. Aus diesem Grund erinnern wir an den Grundsatz der Datensparsamkeit, der leider auch beim Gesetzgeber in Vergessenheit geraten ist. Das zeigt sich gerade daran, dass der Datenhunger von Behörden und Wirtschaft stärker denn je ist.“, so ValiDOM vom Arbeitskreis Vorratsdatenspeicherung.

Angesichts der terminlichen Überschneidung der Demonstration mit dem Wies’n-Beginn stellt Klaus Mueller vom AK Vorrat fest: „Wir gehen auf die Straße, um den Verantwortlichen klar zu machen, dass wir das „O’ zapft is’!“ weiterhin gerne im Bierzelt hören wollen, aber bitte nicht in Überwachungszentralen, wo Telefonate und Internetverbindungen unschuldiger Bürger angezapft werden!“

Die Münchner Demonstration findet im Vorfeld des internationalen Aktionstages „Freedom Not Fear“ am 11. Oktober 2008 statt, an dem in vielen europäischen Hauptstädten Proteste gegen die zunehmende Einschränkung von Bürgerrechten organisiert werden.

Weitere aktuelle Informationen finden Sie auf: http://www.freiheit-weiss-blau.de

Pressekontakt:
* K. Mueller : O178 54 38 4OO
* R. ‘ValiDOM’ Jungnickel : O172 78 2OO 75
* email: muenchen (at) vorratsdatenspeicherung.de
* Fax: 089 76 75 76 57

Der chromblitzende Google-Browser

Kürzlich hat Google eine erste Betaversion seines neuen Browsers „Google Chrome“ ins Netz gestellt (zunächst nur als Windows-Version). Zigtausende Leute haben sich den quelloffenen Browser runtergeladen und installiert. Kompakt, schnell und innovativ soll er sein und zumindest klein, schnell und beta ist er auch.

Bei der Sicherheit im Umgang mit Chrome wurde nicht gespart: PopUp-Blocker, Phishing-Filter und Malware-Schutz sind integriert. Eine verbesserte Speicherverwaltung und verhindert, dass bei Problemen mit einzelnen Websites oder aktiven Inhalten der ganze Browser abstürzt. Jeder Browser-Tab läuft dazu in einer eigenen Sandbox-Umgebung. Zugriffe auf das System und auf andere Tabs werden so abgeschirmt.

Beta-Software ist per Definition noch nicht ganz ausgereift und wird der Community zur Ansicht und zum Testen zur Verfügung gestellt. Und in der Tat – auf der internationalen Security-Mailingliste bugtraq laufen fast täglich Meldungen durch, die mit gefundenen Fehlern und Sicherheitslecks im Google-Chrome zu tun haben. Ein sicheres Zeichen dafür, dass sich zahlreiche Leute mit Chrome beschäftigen und es sehr gründlich untersuchen.

Das BSI gab zwischenzeitlich eine Pressemeldung raus, in der es diese Vorgehensweise kritisierte:

„Bedenklich ist in diesem Zusammenhang, dass das Produkt als Beta-Version einer breiten Öffentlichkeit zur Verfügung gestellt wird, […] ohne dass auf die Eigenschaften von Beta-Versionen und bei deren Einsatz zu treffende Vorsichtsmaßnahmen hingewiesen wurde.

Beta-Versionen sollten grundsätzlich nicht für den allgemeinen Gebrauch eingesetzt werden. Hersteller stehen hier in der Verantwortung, potenziellen Nutzern entsprechende Hinweise zu geben.“

Die schlimmsten Fehler im Google-Browser wird man bei derart massiver Testerei wohl zügig finden und eliminieren. Die eigentliche Innovation liegt aber im dahinterstehenden Konzept. Statt lokalem Betriebssystem, lokalem Office-Paket, lokalem Web-Browser (am besten alles von Microsoft) soll es künftig um Software gehen, die komplett im Internet liegt (cloud computing). Wie z.B. Office Paket, Browser, Mailclient und Routenplaner von Google – alles kostenfrei im Web verfügbar. Die zunehmende Vielfalt an Google-Anwendungen macht nicht nur das Leben von mobilen Nutzern leichter sondern fordert vor allem Microsoft heraus.

Hinzu kommt, das irgendwer diese Sachen bezahlen muss. In diesem Fall sind es die Nutzer der Google-Angebote, die nicht mit Hartwährung sondern mit Daten aller Art bezahlen. Google hat sich zwischenzeitlich zu größten internationalen Daten-Aggregator der Welt entwickelt. Dadurch dass immer mehr Menschen immer länger und intensiver immer zahlreichere Google-Dienste nutzen, erfährt Google auch immer mehr über die Online-Menschheit. Bislang nutzt Google diese Informationen hauptsächlich um die Dienste durch mehr oder weniger zielgenaue Werbung zu finanzieren.

Jeder Chrome-Browser erhält dazu eine eigene ID und kann so den Benutzer identifizieren. Zwischen Chrome und den Google-Servern werden regelmäßig Daten ausgetauscht. Die meisten Google-Server dürften dabei in den USA stehen. Browser und Daten liegen in der Windows-Installation direkt im Profil des Benutzers, was sich durchaus als sicherheitsproblematisch sehen lässt. Google kann so per ID die Aktivitäten auch IP-adressübergreifend und providerunabhängig einzelnen Nutzern zuordnen.

Was aber weiß Google wirklich? Wie genau kann es aus Nutzungs- und Lebensgewohnheiten persönliche Profile gewinnen? Und wer bekommt diese Informationen zu welchem Zweck?

Viele Firmen reagieren bereits, indem sie ihren Angestellten explizit verbieten, Unternehmensdaten mit Hilfe von Google-Diensten zu verarbeiten oder auf Google-Servern zu speichern.

Hacker dringen in Kernforschungsanlage ein

Erst vor wenigen Tagen ging der neue Teilchenbeschleuniger Large Hadron Collider (LHC) im Europäischen Kernforschungszentrum CERN bei Genf in Betrieb.

Der LHC wird der leistungsstärkste Teilchenbeschleuniger der Welt sein und soll ein neues Tor der Physik öffnen, indem er völlig neue Erkenntnisse über Aufbau und Natur von Materieteilchen ermöglicht.

Kritiker befürchteten allerdings, dass am LHC eventuell schwarze Mini-Löcher oder „seltsame Materie“ erzeugt werden können und klagten (erfolglos) gegen die Inbetriebnahme der etwa 3 Mrd. Euro teuren Kernforschungsanlage. Fachwissenschaftler hingegen gehen davon aus, dass vom LHC und anderen Teilchenbeschleunigern keine Gefahren ausgehen.

Man möchte doch meinen, dass eine so große, wichtige, teure und zudem umstrittene Anlage zumindest auf dem Stand der Dinge bzgl. ihrer IT-Sicherheit ist. Wenn schon Firmen ihre vergleichsweise trivialen Kalkulations- und Konstruktionsdaten gut wegsperren, sollte ein neuer Teilchenbeschleuniger nicht gerade mit offenen Eingängen und Schlüssel unterm Fußabtreter in der Landschaft herumstehen.

Weit gefehlt!

Erst vor kurzem, genauer am 10.09.2008, dem Tag der Inbetriebnahme des LHC,  gelang es Berichten der britischen Tageszeitungen „Times“ und „Daily Telegraph“ zufolge einer Hackertruppe, die sich selbst „Greek Security Team“ nennt, in die Computer der Kernforschungsanlage einzudringen. Dabei drangen sie bis zur Webseite des sogenannten CMS-Detektors (Compact Muon Solenoid) vor – einem Gerät, dass Kollisionen der im LHC auf fast Lichtgeschwindigkeit beschleunigten Protonen misst. Dies fiel den Eindringlingen so derart leicht, dass sie eine Nachricht hinterließen, in der sie sich über die Systemverwalter des Atomforschungszentrums CERN lustig machten und sie als „Schüler“ bezeichneten. Sie schrieben zudem, dass sie den Ablauf des größten Experiments der Wissenschaftsgeschichte nicht stören, sondern lediglich auf die Risiken im Computersystem hinweisen wollten.

Dass den Hackern gerade ein Webserver in einem embedded system zum Opfer fiel, legt den Schluss nahe, dass sie eine ältere ungepatchte Version des Servers vorfanden oder dieser nicht korrekt gegen unzulässige Zugriffe von außen abgeschirmt war. Wahrscheinlich weil man beim Versuchsaufbau unter Zeitdruck stand und daher die Geräte nicht korrekt konfiguriert und hinter Firewalls und Routern von der Außenwelt getrennt waren. Dies wäre in der Tast sehr unangenehm für den dortigen Sicherheitsbeauftragten – die Hacker hätten ihn buchstäblich mit „heruntergelassener Hose“ erwischt.

Informatiktage 2008: IT-Sicherheit in der Bundeswehr-Uni

Der Schwerpunkttag der Informatiktage 2008 zum Thema IT-Sicherheit fand heute an einem besonderen Ort statt: der Universität der Bundeswehr in Neubiberg bei München. Auf dieser riesigen und modern bebauten und ausgestatteten Campus-Universität werde in erster Linie Offiziere ausgebildet – eine echte Militärakademie also. Auch wenn ich dort kaum Uniformierte angetroffen habe.

Übersicht über den UniBW-Campus (PDF, ca. 630 Kb)

Im Rahmen einer Veranstaltungsreihe zum Thema „Sicherheit in Technik und Gesellschaft“ hatte man den IT-Sicherheitstag der Informatiktage 2008 in der Bundeswehr-Uni ermöglicht.

Inhaltlich waren mehrere hochkarätige Referenten aus Wissenschaft und Forschung geboten. Ihre Vorträge waren „at the edge of science and technology“ und lieferten informationstechnisches Insiderwissen, das sonst und in dieser Konzentration nur schwer zu bekommen ist.

Prof. Dr. Claudia Eckert vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) erläuterte aktuelle Forschungsprojekte rund im Technologien zum Thema „Internet der Daten, Dinge und Dienste“. Gemeint ist die zunehmende Konvergenz von Geräten aller Art, netzbasierten Diensten und persönlichen Daten zu einer Art allumfassenden und allgegenwärtigen Internet, das ganz neue Überlegungen zum Thema IT-Sicherheit erfordert.

Dr. Rainer Plaga vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte den Stand der Dinge beim Thema Quantencomputer vor – einer Technologie, die exponentielle Sprünge bei parallelisierter Rechenkapazität verspricht und somit das Potential hat, nahezu alle bekannten Kryptoverfahren zu bedrohen.

Dr. Werner Degenhardt von der LMU in München führte in die kulturellen, ökonomischen und psychologischen Grundlagen von IT-Sicherheit und qualitativ guter Software ein. Er lehrt an der Fakultät für Psychologie und Pädagogik der LMU „Psychologie der IT-Sicherheit“ und gab einen Überblick über seine Forschungen.

Dr.Manfred Bromba vom TeleTrusT Deutschland e.V. stellte Überlegungen zum aktuellen Thema Datenschutz in der Biometrie vor, zum dem Teletrust erst kürzlich ein Whitepaper veröffentlicht hat.

Dr. Wolfgang Hommel vom Münchner Leibnitz-Rechenzentrum (LRZ) gab eine Einführung in das Thema Federated Identity Management (organisationsübergreifende Identitätsverwaltung) und stellte dazu die Lösungsarchitektur der Hochschulen im deutschen Forschungsnetz vor.

Den Abschluss gaben drei Security-Experten vom LRZ, die per Life-Hacking demonstrierten, wie sich per DNS-Poisoning und der Manipulation eines Auto-Update-Mechanismus ein Apple-Rechner hacken lässt.

Alles in allem war allein dieser Tag die Woche wert und wird sicherlich noch einige Artikel fürs Blog abwerfen, in denen es dann mehr an die Details gehen wird.

Hat digitale Rechteverwaltung eine Zukunft?

Diese Frage warf Prof. Katzenbeisser in einem Vortrag zum Thema Digital Rights Management auf den Informatiktagen 2008 auf. Er arbeitet dazu an der Security Engineering Group der TU Darmstadt.

DRM, d.h. Digital Rights Management und von Kritikern auch Digital Restrictions Management genannt, ist ein Oberbegriff für Technologien zur Durchsetzung von Urheberrechten an Inhalten aller Art, vornehmlich aber an Produkten der Unterhaltungsindustrie wie Filmen und Musik.

DRM begann bereits vor Jahren als eine Art „besserer Kopierschutz“. Aus Sicht der Kunden waren und sind DRM-geschütze Produkte mit Mängeln behaftet. Sie liefen auf vielen Geräten gar nicht oder nur eingeschränkt, konnten nur mit proprietärer Software oder spezieller Hardware benutzt werden, waren in ihrer Handhabbarkeit beschränkt – kurz eben minderwertige Produkte zweiter und dritter Wahl. Auch so was verkauft sich, wie die zahlreiche Ein-Euro-Märkte zeigen. Aber eben nicht zum (ohnehin oft überzogenen) Vollpreis sondern nur mit Abschlägen.

Inzwischen gelten die meisten Versuche, Inhalte per DRM zu vermarkten mangels Kundenakzeptanz als gescheitert. Dennoch müssen die zig Millionen der in DRM-Technologien investierten Gelder wohl nicht komplett abgeschrieben werden. Denn nach Katzenbeissers Ausführungen gibt es wohl zwei bislang eher nachlässig betrachtete Einsatzbereiche für diese Technologie.

Zum einen eine, den Kunden nur gering einschränkende, Variante „weichen DRM’s“ bei dem er ein weitgehend beliebig verwendbares aber personalisiertes Produkt erhält. Beispielsweise einen Film, in dessen Daten ein (unsichtbares) Wasserzeichen eincodiert wurde. Taucht der Film in einer illegalen Tauschbörse auf, so können die Rechteinhaber das Stück bis zum legalen Erwerber zurückverfolgen. Man nennt6diese Vorgehensweise auch „forensic tracking“, da sie nicht auf das  Verhindern des Lizenzverstoßes sondern auf dessen nachträgliche Beweisbarkeit für juristische Zwecke abzielt.

Unklar ist allerdings, was daraus rechtlich folgen kann. Schließlich könnte dass Material ja vom Erstbesitzer auch legal an einen weiteren Abnehmer verkauft oder per Trojaner von seinem PC gestohlen worden sein. Bislang gibt es dazu keine Rechtsprechung.

Zudem sind auch elektronische Wasserzeichen knackbar. Beispielsweise durch Kollisionsangriffe. Dabei werden die personalisierten Kopien desselben Inhalts einer vergleichenden Analyse unterzogen. Das Wasserzeichen lässt sich so anhand der Unterschiede im digitalen Code des ansonsten identischen  Inhaltes leicht finden und dann ggf. entfernen oder unbrauchbar machen.

Um DRM-geschütztes Material auf mehreren Geräte einsetzbar zu machen, wird zudem mit mehr oder weniger Aufwand an Domänenkonzepten, Online-Registrierungen von Geräten und ähnlichem geforscht. Auf die einfache, pragmatische und aufwandsarme Möglichkeit der Kulturflatrate kam man wohl nicht – was das Thema etwas „nerdig“ erscheinen lässt.

Ein völlig anderer und zudem neuer Einsatzbereich liegt außerhalb der Unterhaltungsindustrie: Enterprise Rights Management (ERM). Dabei geht es um das gute alte Thema des unternehmensinternen Rechte- und Rollenmanagements und der Zugriffskontrolle (access control) auf sensible digitale Firmeninterna. Und das isst ein in der Tat großer und noch sehr aufnahmefähiger Markt, in dem es viel zu tun gibt. DRM-Technologien können hier eine fein granulierte Rechtesteuerung ermöglichen und mit anderen Access-Technologien kombiniert werden. Insbesondere gegen die Problematik der Datenlecks in Unternehmen könnten DRM-Technologie sinnvoll eingesetzt werden, da dann das Risiko des Missbrauchs abhanden gekommener Daten deutlich gesenkt werden könnte.Unzulässige Nutzer bekämen dann von solchen Daten nichts brauchbares zu sehen.