Verwerterlobby am Werk: ISPs sollen europaweit mehr Daten sammeln dürfen

Aus aktuellem Anlass habe ich folgende Pressemeldung des Arbeitskreises Vorratsdatenspeicherung zur Unterstützung des Anliegens übernommen.

Widerstand gegen Verwässerung des Schutzes von Verbindungsdaten (29.10.2008)

In einem heute veröffentlichten Brief an Bundeswirtschaftsminister Michael Glos setzen sich 11 Organisationen gegen einen Vorstoß des Europaparlaments ein, Telekommunikationsunternehmen zukünftig die Sammlung von Verbindungs- und Standortdaten unter Berufung auf „Sicherheitszwecke“ zu erlauben.

Bürgerrechts-, Journalisten-, Anwalts- und Verbraucherschutzverbände warnen in dem Schreiben, der Beschluss des Europaparlaments zum Telekom-Paket vom 24. September sehe eine „Blankettermächtigung“ vor, die ein zeitlich und inhaltlich unbegrenztes Recht zur Sammlung von Verbindungsdaten noch über die Vorratsdatenspeicherung hinaus begründen würde. Die Serie von Datenmissbrauchsfällen und Pannen gerade bei der Deutschen Telekom AG zeige jedoch, dass nur nicht gespeicherte Daten sicher seien. Der EU-Ministerrat, der das Telekom-Paket am 27. November behandeln wird, müsse den Vorstoß zurückweisen.

Inhaltsgleiche Schreiben gingen an die zuständige EU-Kommissarin Viviane Reding, den Europäischen Datenschutzbeauftragten Peter Hustinx und an die Vorsitzende des Binnenmarktausschusses im Europaparlament. Das Schreiben wird unterstützt vom Arbeitskreis Vorratsdatenspeicherung, dem Chaos Computer Club, der Deutschen Vereinigung für Datenschutz, dem Deutschen Journalisten-Verband, der Deutschen Journalistinnen- und Journalisten-Union (dju) in Ver.di, dem Deutschen Fachjournalisten-Verband, dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, dem Netzwerk Neue Medien, dem Republikanischen Anwältinnen- und Anwälteverein, dem Verband der Freien Lektorinnen und Lektoren und dem Verbraucherzentrale Bundesverband.

Ein zeitgleich veröffentlichtes Hintergrundpapier des Arbeitskreis Vorratsdatenspeicherung weist darauf hin, dass der Vorstoß des Europaparlaments auf Lobbying des US-amerikanischen Verbands der Softwarehersteller BSA zurück geht. Die BSA hat vor kurzem ein bisher unveröffentlichtes Papier an alle EU-Mitgliedsstaaten verschickt, in dem noch weiter gehende Speicherrechte und die vollständige Ausklammerung von Internet-Nutzungsdaten aus dem Datenschutzrecht gefordert werden.

Das Schreiben der 11 Organisationen an den Bundeswirtschaftsminister

Das Hintergrundpapier des Arbeitskreis Vorratsdatenspeicherung

Das Lobbyingpapier der Business Software Alliance (BSA)

Der Beschluss des Europaparlaments

Die Szene der Konsolenhacker

In der aktuellen Ausgabe 23/2008 der Fachzeitschrift ct’ ist ein ausführlicher Artikel enthalten, der einen Teilbereich der Hackerszene näher ausleuchtet: die Konsolenhacker.

Als Hacker in die Rechner anderer Leute einzudringen, auch wenn man dort „nur spielen“ will ist in den meisten Ländern der Welt strafbar. Spielkonsolen wie XBox, Playstation & co. können dagegen gekauft, nach Hause getragen und dort auf den Basteltisch gestellt, zerlegt und erforscht werden. Mehr als der Garantieanspruch des Herstellers geht dem Besitzer dadurch nicht verloren. Auch wenn die Hersteller der Spielkonsolen eigentlich andere Formen des Spielens damit als Verwendungszweck des Produktes im Sinn haben.

Spielkonsolen sind geschlossene Systeme. Ihre Hardwareplattform ist auf den Programmtyp Spiele hin optimiert und meist für alle Geräte eines Typs einheitlich. Das erleichtert die Entwicklung von Spielen für eine verbreitete Konsolenplattform beträchtlich. Konsolenspiele sind meist gar nicht oder nur mit entsprechenden technischen Sachverstand kopierbar. Das erschwert die „Schulhof-Raubkopiererei“. Umgekehrt kann ein Benutzer mit der Konsole meist nur eines tun: ein Spiel einlegen und spielen.

Gerade deshalb stellen die Geräte aber eine Herausforderung für Hacker dar. Ihnen geht es dabei meist darum die Machbarkeit eines unbeschränkten Zugangs zu ihrem eigenen, selbst gekauften und bezahlten Gerätes nachzuweisen – meist indem sie ein Linux sowie selbst entwickelte Software darauf zum Laufen bringen und die Vorgehensweise dazu im Internet veröffentlichen. Oft sind dazu Vorgehensweisen nötig, die klassischem Hackertum gleichkommen: Reverse-Engineering, Suche nach und Ausnutzen von Designfehlern, Sicherheitslücken und undokumentierten Produkteigenschaften der Konsolen etc.

Den Herstellern der Spielkonsolen ist das gar nicht recht. Denn im Fahrwasser der Konsolenhacker folgen meist Leute, die den Einsatz kopierter Spiele auf modifizierten (sog. Modchips, die auch in entsprechenden Shops gekauft werden können) Geräten vorantreiben. Konsolenspiele sind aufgrund von Lizenzgebühren, die Spielehersteller an den jeweiligen Konsolenhersteller zahlen müssen, deutlich teurer als die PC-Versionen des gleichen Spiels. So können Konsolenhersteller oft Monopolgewinne realisieren, die sie (auch unter Zuhilfenahme politischen Lobbyings) verteidigen.

Auf diese Weise hat es die Verwerterlobby u.a. in Deutschland geschafft, die Manipulation eigener, selbst gekaufter und bezahlter Hardware im Rahmen einer Urheberrechtsreform als Rechtsbruch zu normieren, wenn dazu in das Gerät integrierte Kopierschutzsperren umgangen oder außer Kraft gesetzt werden (§ 95a UrhG – Schutz technischer Maßnahmen). Es zeigt sich einmal mehr dass das Immaterialgüterrecht zunehmend zur Durchsetzung wirtschaftlicher Monopolinteressen instrumentalisiert und missbraucht wird. Auch der § 202c des Strafgesetzbuches, der sog. „Hackerparagraph“, ist ein Ansatzpunkt, um den Konsolenhackern das kreative Hantieren mit ihrem Eigentum zu verleiden.

Eine weitere Fraktion in diesem „Kampf um die Konsole“ sind Homebrew-Programmierer. Sie entwickeln als Hobbyisten eigene Freeware- und Open Source-Spiele und Anwendungen für Konsolen, zu denen es einen offen gelegten Zugang gibt.

Sehr klug reagierte dazu Sony, die im System der PS3 einen regulären und dokumentierten Zugang für Drittbetriebssysteme einbauten. Wer will kann damit ein Linux aufspielen ohne die PS3 hacken zu müssen. Das nahm den meisten Konsolenhackern die Motivation die PS3 zu knacken und hielt so bisher auch viele Cracker und Spielekopierer vom PS3-System fern.

Auch Microsoft ging bei der XBox 360 ähnlich vor. Microsoft stellt Homebrew-Programmierern mit dem XNA Game Studio Express sogar eine kostenlose Entwicklungsumgebung zur Verfügung und hat mit dem XNA Creators Club eine eigene Distributionsplattform für XNA-Spiele geschaffen. Vorausschauend hat man wohl erkannt, dass es besser ist, eine Entwicklung selbst zu kontrollieren, anstatt sich beim Versuch sie aufzuhalten bei vielen Leuten unbeliebt zu machen (wie es z.B. die Musikindustrie mit den Filesharern tut).

XNA – Coding4Fun-Projekt und Einstieg in die SNA-Spieleentwicklung

Gleichzeitig wird jede neue Konsolengeneration mit mehr Sicherheitsfeatures ausgestattet. Kryptochips, Trusted Computing, Sandbox-Systeme, Virtualisierung, Code-Signierung, DRM-Technologie, propritäre Formate und Technologien („security by obscurity“) und vieles mehr wird in den Konsolen verbaut. So wie auch heute schon viele HDTV-Glotzen mehr technologischen Aufwand für Content-Verschlüsselung als für die Bilddarstellung betreiben.

Letztlich wollen die Konsolenhersteller und Content-Anbieter sich vor dem Kunden schützen, ihn aber trotzdem zur Abnahme ihrer Produkte und zur Finanzierung satter Margen und hoher Manager-Boni bringen. Eine betriebswirtschaftlich mehr als anspruchsvolle und zugleich zweifelhafte Aufgabe…

FDP veröffentlicht Positionspapier zum Datenschutz

Die Datenschutzskandale der letzten Monate beschäftigen auch die FDP. Sie hat kürzlich ein Positionspapier zum Datenschutz vorgelegt, in dem sie den Ausbau entsprechender Gesetze fordert. Erstaunlich, nachdem die freien Demokraten in den letzten Jahren immer wirtschaftsliberaler wurden und das Thema Bürgerrechte gegenüber Staat und Wirtschaft zunehmend an Linke, Grüne und die Piratenpartei abgegeben hatten.

In ihrem Positionspapier fordern sie u.a. Dinge wie Datensparsamkeit, Weitergabe von Konsumentendaten nur mit Zustimmung der Verbraucher, Sicherstellung der Rückverfolgbarkeit von Daten, transparent und diskriminierungsfrei gestaltete Scoringverfahren (also das Offenlegen der Verwertungslogik von Wirtschaftsauskunfteien wie der Schufa), Wettbewerbsrechtliche Interventionen auch bei Datenschutzverstößen, Datenschutzverstöße als Offizialdelikt werten (automatische Ermittlungspflicht der Staatsanwaltschaften), Haftung für Datenschutzverstöße verschärfen, eine bessere Absicherung des Lastschriftverfahrens gegen Abbuchungsbetrug, klarere Regulierung staatlicher und privater Videoüberwachung sowie wirksame Löschfristen und –möglichkeiten auch für im Internet gespeicherten Daten – alles Dinge, die von Datenschützern schon seit Langem eingefordert werden. Und die inzwischen vom Randthema zu tagespolitischer Aktualität gelangt sind. Ebenfalls gefordert wird eine Aufnahme des durch das BVG geschaffenen neuen IT-Grundrechts in das Grundgesetz.

Sogar die vom Berufsverband der Datenschutzbeauftragten (BvD) schon lange geforderte Stärkung der Stellung des betrieblichen Datenschutzbeauftragten (also eine deutlichere arbeitsrechtliche Einschränkung der Arbeitgeber) hat in das Positionspapier hineingefunden. Ebenso die Schließung des Datenschutzlecks beim Betriebsrat, dessen Datenhaltung derzeit nach herrschender Meinung in der Rechtsprechung werder den Arbeitgeber noch dessen Datenschutzbeauftragten etwas anzugehen hat.

Natürlich alles im Sinne der liberalen Entbürokratisierung, Deregulierung und Straffung aber letztlich doch auf Forderungen nach strengeren Gesetzen und Auflagen, härtere Strafen und mehr Befugnisse für Kontrollinstanzen hinauslaufend. Anscheinend haben auch führende FDP-Vordenker schmerzlich erfahren müssen, was es an Ärger mit sich bringen kann, wenn die eigenen Daten unkontrolliert zwischen Abmahnbetrügern, Vertragsunterschiebern, Datendealern und anderen Kriminellen im Internet hin und herfluktuieren.

Datenschutz wird durch strengere Gesetze nicht notwendigerweise besser. Denn es hängt auch von jedem selbst ab, wie sicher die eigenen Daten sind. Daher fordert die FDP auch eine bessere Datenschutzkultur, in dem z.B. Datenschutzverstöße in Unternehmen meldepflichtig werden oder Datenschutzthemen auch im Rahmen von Schule und Ausbildung eine größere Rolle spielen sollen.

Die zunehmende Problematik der Internetüberwachung wurde ebenfalls erkannt: „Auch bei Nutzung der neuen Medien muss ein anonymes und überwachungsfreies Handeln möglich sein und die Privatsphäre im virtuellen Leben gewahrt bleiben, so wie auch im tatsächlichen Leben. Dies ist derzeit nicht der Fall, weil das Verhalten von Nutzern im Internet bis ins kleinste aufgezeichnet wird“

Hinzu kommt die Frage der Herrschaft und Kontrolle über die eigenen Daten im Netz:
„Korrekturansprüche im Internet müssen verbessert werden. Unrichtig gewordene Daten oder rechtswidrig erhobene Daten lassen sich nur schwer wieder entfernen, weil unklar ist, wie oft diese Daten zwischenzeitlich vervielfältigt worden sind. [...] Darüber hinaus sind klare Regelungen für Löschungsfristen auch im Internet eine unabdingbare Voraussetzung, um das Vertrauen der Bürger in die neuen Medien zu stärken. Verfallsdaten bei digitalen Daten sollten als technische Lösungen bevorzugt werden“

Sogar zur Frage eines Arbeitnehmerdatenschutzgesetzes äußert sich das FDP-Papier. Wenngleich dazu nur einige Allgemeinpositionen ohne konkrete Bedeutung aufgeführt werde – schließlich ist es Konsens der freien Demokraten, dass das Arbeitsrecht in Deutschland ohnehin zu arbeitnehmerlastig ist und daher wirtschaftsfreundlich abzubauen wäre, wie es ja auch z.B. die Bertelsmann-Stiftung oder die Initiative Neue soziale Marktwirtschaft fordern.

Bezüglich des betrieblichen Fernmeldegeheimnis (§ 88 TVG) wird sogar eine Verschlechterung gefordert, die ganz harmlos daherkommt: „Auf Inhalte elektronischer Kommunikation darf nur in besonderen Fällen zugegriffen werden. Das gilt insbesondere, wenn auch eine private Nutzung dienstlicher informationstechnischer Systeme zulässig ist“

(im Zweifel ist eben alles was der Chef wissen will ein „besonderer Fall“)

Positiv hervorzuheben sind allerdings gerade Forderungen, die auf eine Verbesserung des Datenschutzes im Verhältnis Bürger – Staat abzielen. Dazu zählen der bessere Schutz von Meldedaten, der Datenschutz bei der GEZ, die bürgerrechtliche Folgenabschätzung bei Gesetzentwürfen, die Evaluierung und Zurückdrängung so genannter „Sicherheitsgesetze“, die Wiederherstellung des Bankgeheimnisses, der Abbau staatlicher Vorratsdatenspeicherung sowie die Internationalisierung datenschutzrechtlicher Standards – also alles richtig große Klopse mit denen sich die FDP wirklich was vorgenommen hat. Falls das Positionspapier mehr als ein bloßer Schaufensterbeschluss zur Befriedigung bürgerrechtsorientierter Freidemokraten sein soll, die ja in den letzten Jahren in ihrer Partei meist etwas zu kurz kamen.

Download des FDP-Positionspapiers (PDF, 0,2 MB)

FDP-Fraktion.de: Schlagwort „Datenschutz“

Heise.de: FDP will stärkeren Datenschutz schnellstmöglich umgesetzt sehen

Deine Daten gehören Dir! Hol sie Dir zurück!

Unter diesem Motto haben die Grünen auf ihrer Datenschutz-Kampagnenseite Datenschutz-ist-Bürgerrecht.de eine neue Aktion gestartet. Das Bundesdatenschutzgesetz sieht im § 34 ein Auskunftsrecht vor, über das man bei speichernden Stellen (Unternehmen, Behörden, Adresshändler, Wirtschaftsauskunfteien etc.) Auskunft darüber einfordern kann, was diese so über einen gespeichert haben, woher sie diese Daten haben, wozu sie sie verwenden und an wen sie die Daten bereits weitergegeben haben.

Dazu werden Musterbriefe für Datensammler wie Payback, Amazon, Arvato, Schober sowie die Telekom angeboten, die man natürlich auch für Anfragen an andere Firmen übernehmen kann.

Unter Umständen können daraus allerdings längere und über die interne Desorganisation der Konzerne recht aufschlussreiche Korrespondenzen entstehen, wie der Fall des pseudonymisierten „Otto Verbraucher“ zeigt, der seinen Mailverkehr mit Amazon ins WWW gestellt hat.

Hat die Privatsphäre eine Zukunft?

Dieser Frage geht eine Studie des Münchner Kreises nach, einer gemeinnützigen Organisation, die sich mit Technologieevaluation befasst. Auf der aktuellen Systems wurde dazu ein Zwischenstand vorgestellt. Demnach ist der Trend zum gläsernen Bürger nicht mehr aufzuhalten. Der Schutz der Privatsphäre wird in den kommenden 10 Jahren nicht besser werden. Das sagten mehrheitlich eine Gruppe von 538 Experten, die im Auftrag des Münchner Kreises, von EICT, Deutscher Telekom, TNS Infratest, VDE, Siemens und SAP zur Zukunft und Zukunftsfähigkeit der deutschen IT befragt wurden.

Hauptziele der Studie sind die Identifikation und Darstellung relevanter Trends und Wettbewerbsfaktoren für die IKT sowie die Ableitung von Handlungsempfehlungen an Politik, Wirtschaft und Gesellschaft zur Steigerung der Wettbewerbsfähigkeit der deutschen IKT.

Gegliedert ist sie in die fünf Felder
1.    IKT und Transparenz – neue Herausforderungen an die Gesellschaft
2.    Politische und regulatorische Anforderungen
3.    Nutzen und Leistung der IKT in zentralen Lebensbereichen
4.    Technologische Entwicklungen und Treiber
5.    Innovationsfelder und -treiber der IKT

Download der Studie „Zukunft und Zukunftsfähigkeit der deutschen IT“ (PDF, 0,4 MB)

Die Studie läuft noch bis Anfang 2009; der jetzige Stand soll u.a. dazu dienen, den bevorstehenden dritten IT-Gipfel am 20.11.2008 inhaltlich vorzubereiten.

Von den Aussagen der befragten Experten fanden die Macher der Studie insbesondere drei Ergebnisse bemerkenswert.

1.    Die digitale Spaltung der Gesellschaft wird sich demnach nach Ansicht von zwei Drittel der Befragten in den kommenden Jahren weiter verstärken und dazu führen, dass sich eine besser gebildete, einkommensstarke Elite herausbildet, die als solche die Entwicklung in Deutschland prägen wird.

2.    Als Hauptbarriere für eine Überwindung der digitalen Spaltung hierzulande sahen die Experten mehrheitlich die mangelnde Bildung und nicht etwa das fehlende Geld der Verbraucher an.

3.    Flächendeckend verfügbare breitbandige Internetzugänge werden als zentrale Voraussetzung für die zukünftige Entwicklung von multimedialer Kommunikation und netzbasierten Anwendungen angesehen. Hier erweist sich immer mehr als hemmend, dass man bei der Privatisierung der Telekom vergessen hat, auch zukünftige Kommunikationstechnologien zum Gegenstand des infrastrukturellen Sicherstellungsauftrags der Telekom zu machen.

Trotz der Absicht in die Zukunft der IT zu blicken, haben solche Studien allerdings immer auch einen spekulativen Charakter. Wie gut die Vorhersagen der ersten Studie des Münchner Kreises von 1999 zur IT-Zukunft gewesen seien, kommentierte Jörg Eberspächer, Professor für Kommunikationsnetze an der TU-München und Vorsitzender des Forschungsausschusses des Münchner Kreises so: „Was wir nicht so gesehen haben war die Entwicklung des Web 2.0, aber auch den hohen Durchdringungsgrad der Mobilkommunikation“

Von daher ist auch beim Thema Datenschutz und Privacy noch so einiges im zukünftigen Nebel des Ungewissen verborgen.

Heise.de: Digitale Zukunft: Keine Chance für die Privatsphäre?

IT-Sicherheitstrends auf der Systems 2008

Derzeit findet die IT-Fachmesse Systems 2008 in München statt. Dort kann man sich von 21.-24.10. über aktuelle Trends und Produkte der Business-IT informieren. Ich war die letzten beiden Tage dort, um mich über das Geschehen im Bereich IT-Sicherheit auf den neuesten Stand der Dinge zu bringen.

Zum Thema IT-Sicherheit gab es in einer eigenen Halle – der IT-Security Area – gesammelte Informationen, Ausstellungen und Vorträge der Anbieter und Verbände. Auf der dazugehörigen Website können diese Vorträge nachgelesen und heruntergeladen werden.

Ganz klar ersichtlich ist ein Megatrend: Compliance und alles was damit zu tun hat. Produkte, Tools, Beratungsleistungen etc. rund um Compliance, Planung und Durchführung von Awareness-Kampagnen, Standardisierung und Zertifizierung von Compliance-relevanten internen Abläufen, geführte und teilautomatisierte Entwicklung von Policies und e-learning-Lektionen für Mitarbeiter sowie die Vorbereitung (pre-assessment) von IT-Revisionen und ISO-Zertifizierungen wurden ausgestellt.

Auch ein weiteres Thema treibt die IT-Security-Community um: Data Loss Prevention (dlp). Immer mehr Datenlecks in Unternehmen sind weniger Malware und Hackern geschuldet als vielmehr Dummheit und Schlamperei. Zahlreiche Fälle hierzu gingen gerade in Deutschland in den letzten Monaten durch die Presse (und auch hier durchs Blog). Zur Eindämmung der Datenlecks wurden zahlreiche Produkte angeboten. E-Mail-Verschlüsselung, verschlüsselte Laufwerke, Content Protection, Enterprise DRM, Application Firewalls, besseres rollenbasiertes Rechtemanagement, sichere mobile Endgeräte, sichere Telekooperation, policy enforcement (automatisierte Durchsetzung von Schutzrichtlinien) sind nur einige der Schlagworte dazu.

In der Halle nebenan konnte man sich auch über aktuelle Entwicklungen in den Bereichen Linux und Open Source informieren. So stellte die Landeshauptstandt München etwa ihr LiMux-Projekt vor, durch das sie ihre interne Verwaltungs-IT weitgehend auf Linux umstellen wird.

Allerdings war dies absehbar die letzte Systems. Ab kommenden Jahr soll die IT-Messe durch eine Spezialmesse zu IT-Sicherheit sowie einen speziellen IT-Event mit Ausstellung, Kongressprogramm und Foren ersetzt werden.

Heise.de: Keine IT-Messe Systems mehr im Jahr 2009

Project Isis: Spyware soll Pädophile im Internet aufspüren

Das Internet hat zu einer weltweiten Vernetzung völlig unterschiedlicher Kulturen, Subkulturen und Weltvorstellungen geführt. Daher besteht einer der globalen kulturellen Internetkonflikte darin, wie man mit Verhaltensweisen umgehen soll, die in einem Land als übelstes Verbrechen betrachtet werden für das hohe Haftstrafen verhängt werden, und in einem anderen als geringfügige Ordnungswidrigkeit die per Knöllchen oder Bestechung der Polizei aus der Welt geschafft wird.

Der sexuelle Missbrauch von Kindern ist so ein Fall. Da geht die juristische Würdigung schon innerhalb der EU für das gleiche üble Vergehen von der Geldbuße bis hin zur langjährigen Inhaftierung – je nachdem in welchem Land der Übeltäter vor Gericht gestellt wird.

Daher hat sich in den letzten zehn Jahren im Internet so etwas wie eine „pädophile Sub(un)kultur“ entwickelt. Zudem haben technische Gerätschaften wie Fotohandys oder Digitalkameras und Videorecorder im Taschenformat das Erstellen von kinderpornografischem Material enorm vereinfacht und das Risiko der Aufdeckung dieses Treibens beträchtlich reduziert. Ein Austausch von pädophilem Gedankengut mit Artgenossen, die Verbreitung von Bild- oder Filmmaterial war noch nie zuvor so einfach möglich. Das Internet wurde somit zu einem Zufluchtsort, um den zumeist verbotenen Trieben in uneingeschränkter Anonymität nachgehen zu können.

Oft versuchen Pädophile Kontakte mit Jugendlichen aufzubauen, in dem sie sich in Chat-Räumen oder Social Networks als scheinbar Gleichaltrige ausgeben (eine Variante von Social Engineering). Daher hat es sich eine Gruppe von Wissenschaftlern an der Lancaster Universität zum Ziel gesetzt, dem Kollektiv von Straftätern bei diesem Vorgehen mit Hilfe von ausspähender und verhaltensanalysierender Software einen Strich durch die Rechnung zu machen. Veröffentlichungen zu entsprechenden Überlegungen und Verfahren sind schon seit längerem in der einschlägigen Fachliteratur zu verfolgen. Die angewandte Sprache und die Schreibweise des verdächtigten Nutzer soll dazu automatisiert analysiert werden, um herauszufinden, ob sich ein Erwachsener als Kind maskiert hat und ob er strafbares Aktivitäten im Sinn hat. Das auch als „Project Isis“ bekannte Modell soll auch im System des Verdächtigen typisch verwendete Schlüsselbegriffe von Pädophilen herausfiltern, wie beispielsweise die Dateinamen im Medienarchiv, um weitere Anhaltspunkte sicherzustellen.

(Ahnliche Aktivitäten im Bezug auf Neonazis in Deutschland haben allerdings in der Vergangenheit nur deren Kreativität im Bezug auf Begriffe, Symbole und kulturelle Codes angefacht – s.a. Braunerpeter.de sowie das Gutmenschenblog)

Professor Awais Rashid von der Lancaster Universität, sprach von einer künstlichen Intelligenz des Programms und betonte, dass es mit vielen wissenschaftlichen Algorithmen funktioniere (was den Einsatz neuronaler Netzwerke naheliegend erscheinen lässt). Das Suchverhalten der Verdächtigen im Filesharing-Netzwerk und in Online-Suchmaschinen soll durch genauste Analyse erkennen, ob es sich wirklich um einen Straftäter handelt. Zu diesem Themenbereich sagt er folgendes: „Ein unerfahrenes Auge kann sogar mit größter Anstrengung nicht die Absichten der vermeintlich unschuldigen Suchanfragen ermitteln. Mit unserem Analyseverfahren jedoch wird es uns gelingen, jede Art von Onlineverhalten auf genauste Weise nachzuvollziehen“.

Konkret soll Projekt Isis drei Grundanforderungen erfüllen:

1. Aktive pädophile Nutzer in Online-Communities identifizieren.
2. Distributoren von Medien mit pädophilen Inhalten im Internet ausfindig machen.
3. „Ethisch vertretbares“ Monitoring (Ausspähen von Nutzeraktivitäten) in Sozialen Netzwerken durch Bereitstelen entsprechender technischer Lösungen ermöglichen.

Kaum jemand würde die Sinnhaftigkeit und Notwendigkeit solcher Dinge bestreiten – solange es gegen Kindesmisshandler geht. Doch zeigt bereits ein Blick in die Geschichte, dass Technologien eigentlich immer missbraucht wurden, sobald sie in die Hand der Machthaber gerieten. Zyklon B war einst ein nützliches und wirksames Mittel zur Bekämpfung von Schädlingen – bis die Nazis entdeckten, dass man damit auch massenhaft und billig jüdische Mitbürger vergasen konnte. Die Erforschung der Kernspaltung brachte die Atombombe hervor  – lange bevor der erste Kernreaktor produktiv und friedlich Energie erzeugte. Die Vorratsdatenspeicherung und die präventive Kriminalisierung des demokratischen Souveräns (vulgo: das Volk) im Namen des Terrorwahns zeigen, dass auch in Deutschland Vorsicht und Misstrauen gegenüber dem Staat mehr als angebracht sind.

Es bleibt also abzuwarten, was aus Projekt Isis wird. Und wie man dessen Ergebnisse kontrolliert zu forensischen Zwecken nutzen kann, ohne dem Staat noch mehr Macht und Kontrolle über das Volk einzuräumen.

Falls nicht künftige, auf Datenschutz und Anonymität getrimmte, quelloffene Internetsoftware genau die Informationen verhackstückt mit denen die KI von Isis pädophile Nutzer identifizieren will (bullshit in, bullshit out – altes Entwickler- und Tester-Prinzip). Dann wäre Isis bald wieder so blind wie es Justitia sein sollte.

Gulli.com: Spyware-Software soll Pädophile im Internet identifizieren

Wie Hacker an Passwörter herankommen – TMTO-Angriffe

Sehr viele schützenswerte Dinge werden in der EDV mit Passwörtern geschützt. Benutzerzugänge, kostenpflichtige Dienste, der Krypto-Container für sensible Daten, der Zugang zum Konto und Depot per Homebanking, der Zugang zu Internet-Diensten aller Art.

Passwörter werden eigentlich bereits seit Erfindung des persönlichen Computerzugangs verwendet. Und ebenso lange beschäftigen sich Leute damit, wie man an sie heran- oder an ihnen vorbeikommt.

Einer der Wege dazu besteht darin, sie durch systematisches Raten oder schlichtes Durchprobieren aller denkbaren Variationen („brute force attack“) herauszufinden. Das kann je nach verwendeter Passwortlänge Jahrtausende dauern. Zudem lassen viele Dienste nur eine begrenzte Zahl an falschen Anmeldeversuchen zu.

Passwörter werden aber immer irgendwo gespeichert. Meist (aber leider nicht immer) in verschlüsselter Form. Daher werden Hacker versuchen, sich diese Sammlung an verschlüsselten Passwörtern anzueignen, um sie dann auf einem Testsystem zu entschlüsseln.

So legen z.B. alle gängigen Betriebsysteme ihre Benutzerkontenpasswörter an einer bestimmten Stelle ab und verschlüsseln sie auf bestimmte Art und Weise. Weiß ein Hacker, welches Betriebssystem auf einem Zielrechner läuft, weiß er somit auch wo sich diese Passwörter befinden und wie sie verschlüsselt wurden.

Die Sicherheit verschlüsselter Informationen beruht allerdings darauf, dass niemand außer den legitimen Kommunikationspartnern den geheimen Schlüssel kennt. Doch kryptografische Verfahren kommen durch Fortschritte in der Kryptoanalyse zunehmend in Bedrängnis und die verwendeten Angriffe ermöglichen es, Schlüssel immer rascher zu errechnen.

Je nachdem wie ein Verschlüsselungsverfahren eingesetzt wird, lässt sich der geheime Schlüssel mit weiteren fundamentalen Angriffsmethoden deutlich rascher als mit Brute-Force-Angriffen finden. Diese Angriffe benötigen weniger Rechenzeit, müssen aber rechen- oder speicherplatzintensiver vorbereitet werden. Eine solche Angriffsvorbereitung ist das Anlegen eines Wörterbuchs zu einer bestimmten Nachricht, welches jedem Wert der verschlüsselten Nachricht den verwendeten Schlüssel zuordnet. Auf der Festplatte abgelegt wird das Wörterbuch als Schlüsselliste, deren Index den verschlüsselten Wert repräsentiert. Um mit ihr den geheimen Schlüssel zu finden, muss ein Angreifer das Zielsystem nur noch dazu bringen, die zur Liste passende Nachricht zu verschlüsseln. Dann kann er das Ergebnis als Listenindex verwenden. Diese Art von Hackerattacke wird daher Wörterbuchangriff genannt.

Das einmalige Generieren des Wörterbuchs benötigt allerdings in etwa so viel Rechenzeit wie ein Brute-Force-Angriff und ist daher nur sinnvoll, wenn sich der Aufwand durch viele damit durchgeführte weitere Angriffe amortisieren kann. Zudem verschlingt ein solches Wörterbuch enorme Mengen Speicherplatz, zum Beispiel 1536 Terabyte für 48-Bit-Schlüssel. Für 64-Bit-Schlüssel wäre bereits mehr Speicher nötig, als der Menschheit heute zur Verfügung steht. Wegen des hohen Platzverbrauchs sind Wörterbuchangriffe deshalb bei langen Schlüsseln sogar weniger praktikabel als Brute-Force.

Der Kryptograph Martin Hellman schlug daher erstmals 1980 einen praktikablen Kompromiss zwischen den beiden Extremen vor, der sich Zeitersparnis beim Angriff mit Platzverbrauch durch vorberechnete Daten erkauft. Als Begriff für solche Techniken hat sich „Time Memory Trade-Off“ oder kurz TMTO eingebürgert. Ihnen liegt die Idee zu Grunde, das Wörterbuch nur teilweise oder komprimiert zu speichern und während der Schlüsselsuche die fehlenden Teile zu berechnen oder die Suche so oft leicht modifiziert zu wiederholen, bis ein Treffer im Wörterbuch erzielt wird.

Diese Verfahren wurde im Weiteren mehrfach optimiert, um Schwächen wie hohen Zeitverbrauch durch häufige Plattenzugriffe oder kryptografische Detailprobleme in den Griff zu bekommen. In der Fachwelt hat sich für die bereits erwähnten Wörterbücher zum Knacken verschlüsselter Codes der Begriff „Rainbow Table“ etabliert.

Seit ihrer Einführung sind TMTOs bereits erfolgreich gegen etliche Krypto-Algorithmen eingesetzt worden. Ein erstes Ziel waren die LM-Hashes von Windows-Passwörtern. Unabhängig von deren Länge speichert Windows ein lokales Nutzerkennwort in Blöcken zu sieben Zeichen, was zu der paradoxen Situation führt, dass ein Passwort mit zehn Zeichen unter Umständen schwächer ist als eines mit nur sieben Zeichen. Der Grund ist, dass der Hash über die letzten drei Zeichen sehr leicht zu knacken ist und der errechnete Klartext bereits Aufschluss über die ersten sieben Zeichen Passwortes geben kann.

(z.B. Hauptst*** statt Hauptstadt)

Ein frei verfügbares Tool, mit dem man TMTO-Verfahren auf dem eigenen Rechner ausprobieren kann, ist das quelloffene Ophcrack zu dem vorgenerierte Rainbow-Tables zum Teil kostenlos, zum Teil auch kostenpflichtig verfügbar sind.

Ophcrack-Projekt auf Sourceforge.net

Durch eine entsprechend aufwendigere Gestaltung der Verschlüsselung kann diese allerdings gegen TMTO-Angriffe gehärtet werden. Dazu wird die kryptografische Funktion oder ihr genauer Ablauf für jeden Einsatz verändert. Verschlüsseln zwei Benutzer die gleiche Nachricht mit demselben Schlüssel, sollten dann zwei unterschiedliche Ergebnisse herauskommen, so dass ein Rainbow-Table-Angriff fehlschlägt. Die Variation lässt sich beispielsweise dadurch erreichen, dass neben dem eingegebenen Schlüssel auch eine Benutzerkennung oder eine Geräte-ID als Parameter in die Verschlüsselung einfließt. Ein Angreifer müsste folglich für jeden Benutzer oder gar für jedes Gerät eine eigene Regenbogentabelle berechnen, was in der Regel deutlich aufwendiger ist als ein Brute-Force-Angriff.

Heisec.de: Kunterbuntes Schlüsselraten. Von Wörterbüchern und Regenbögen

Großdemo gegen Überwachung zieht zehntausende Teilnehmer an

Vorgestern fand in Berlin eine Großdemo gegen Überwachungswahn, Vorratsdatensammelei und Datenmissbrauch durch Staat und Wirtschaft statt. Sie zog mehrere Zehntausend Teilnehmer an und übertraf damit sogar die Erwartungen des Veranstalters Arbeitskreis Vorratsdatenspeicherung. Mehr als 117 Bürgerrechtsvereine, Berufsverbände, Gewerkschaften, Parteien und weitere Organisationen hatten zu der Großdemonstration in der Hauptstadt Deutschlands aufgerufen.

Vorratsdatenspeicherung.de: „Freiheit statt Angst“ – Weltweite Proteste gegen Überwachung

Heise.de: Zehntausende demonstrieren für „Freiheit statt Angst“

Ähnliche Veranstaltungen wurden von Bürgerrechtsaktivisten zeitgleich in mehr als 15 Ländern organisiert, so dass es zu einem weltweiten Protest gegen den Abbau von informationellen Selbstbestimmungsrechten durch Staat und Wirtschaft kam.

So fanden am u.a. folgende Veranstaltungen statt: Eine kulturelle Protestveranstaltung mit Musik und verschiedenen Kunstvorführungen in Den Haag, Vorträge in Rom, eine gemeinsame Überwachungskamerakartierung in Madrid, künstlerische Darstellungen vor dem Wiener Parlament, Demonstrationen in Paris, Sofia,Prag und Stockholm, die Verteilung von Datenschutzsoftware in Kopenhagen, Informationsveranstaltungen in Guatemala City und Buenos Aires sowie zum Abschluss eine Lichtprojektion an das Rathaus von Toronto. In London wurde gegen den Aufbau eines Überwachungsstaates in Form einer Collage auf dem Parliament Square protestiert, die das Konterfei des Premierministers und das Motto des Aktionstages „Freedom not Fear“ (Freiheit statt Angst) zeigte.

Mittlerweile scheint es also an allen Ecken und Enden zu brodeln und zu gären. Auch wenn sich die Unzufriedenheit mit der Politik eher in kreativen aber für die Entscheider weder bedrohlichen noch anderweitig beeindruckenden Form manifestierten.

Im Vorfeld der Demonstrationen warnte der Arbeitskreis Vorratsdatenspeicherung erneut vor einer Überwachungslawine in Deutschland: Der Deutsche Bundestag habe in den letzten 10 Jahren mindestens 21 mal die Kontrolle und Beobachtung der Menschen verschärft. Mindestens 18 weitere Verschärfungen der staatlichen Bürgerüberwachung stünden aktuell auf der politischen Agenda, darunter die Vorratsspeicherung von Flugreisendendaten, die Übermittlung persönlicher Daten an die USA sowie Exekutivbefugnisse einschließlich Computerüberwachung für das Bundeskriminalamt.

Medienaktivistin Anne Roth berichtete aus Erfahrung am eigenen Leibe, welches „riesige Ausmaß an Überwachung“ der umstrittene Anti-Terrorparagraph 129a Strafgesetzbuch erlaube. Roth ist die Freundin des Berliner Soziologen Andrej Holm, der unter anderem wegen seiner Wortwahl in die Mühlen des staatlichen Fahndungsapparats rund um die sog. „militante gruppe“, eine linksextremistische Organisation geriet. Seitdem lebe das Paar „ständig mit der Schere im Kopf“, selbst beim Aufruf von Internetseiten. „Mit dem Gespenst Terrorismus wird Angst gemacht“, warnte die Journalistin. Darauf aufbauend wiederum würden immer neue Sicherheitsgesetze verabschiedet. Die Demo zeige jedoch, dass sich die Bürger nicht alles gefallen lassen.

Heise.de: Durch Google-Suche in die Einzelhaft

Telepolis: „Jede Wissenschaft würde unter einem Anfangsverdacht stehen“

Derzeit sind Bürgerrechtler und Datenschützer allerdings hochzufrieden mit der Telekom, ein wohl einmaliger Zustand. Bestätigen doch die ständigen Pannen des TK-Monopolisten die Befürchtungen der Überwachungsgegner und Datenschützer immer wieder aufs Neue. „Wir können alle der Telekom herzlich dafür danken, dass sie uns wunderbarerweise zeigt, dass Daten, die gehortet werden, niemals sicher sind und missbraucht werden“, sagte der Künstler und Netzaktivist padeluun am Samstag in Berlin auf einer Kundgebung gegen die Vorratsdatenspeicherung.

„Die Telekomaffäre zeigt, wie unsicher die Daten bei Telekommunikationsgesellschaften sind. Und der Staat nimmt diese unzuverlässigen Firmen bei der Vorratsdatenspeicherung auch noch in die Pflicht“, sagte Wolfgang Wieland, der Sprecher der Grünen-Bundestagsfraktion für Innere Sicherheit in einem Interview mit Zeit online. Die Vorratsdatenspeicherung sei nicht zuletzt deshalb ein gefährlicher Irrweg.

Zeit.de: Bürgerrechtler danken der Telekom

Martin Grauduszus, Präsident der Freien Ärzteschaft, kritisierte die elektronische Gesundheitskarte und die Vorratsspeicherung von Patientendaten auf Großrechnern im Netz. Der Mensch werde zum Datenkörper und gläsernen Konstrukt aus Bits und Bytes degradiert. Er verkomme zur „Verfügungsmasse von Behörden, Versicherungen und der Gesundheitsindustrie“. Zugleich werde mit der Protokollierung aller Nutzerspuren die „ärztliche Schweigepflicht sturmreif geschossen“.

Es bleibt zu hoffen, ob dieser zunehmende Druck und die ebenfalls zunehmende Gegenöffentlichkeit das Parlament zum Umdenken zwingt. Die nahezu autistisch-imbezil wirkende Haltung der Politik dem Volk gegenüber in der Vergangenheit lässt allerdings nicht allzu viel Rau für solche Hoffnungen. Wahrscheinlich muss der „Druck im Kessel“ noch bedeutend erhöht werden. Vielleicht hilft dabei auch ein neues Wording, dass – ganz im Zeichen des Terrors als Grund für und gegen eigentlich alles – staatliche Überwachung und Repression als Terror gegenüber dem Bürger bezeichnet. Schließlich kann der sich gegenüber den Ansprchen von Staat und Wirtschaft ähnlich schwer erwehren wie gegenüber bewaffneten Terroristen.

Wie man Webmail-Accounts hackt

Die US-Gesetze schreiben im Rahmen eines Gesetzes zur Informationsfreiheit die Archivierung von E-Mails vor, mit denen die Regierenden ihren Geschäften nachgehen. Weder das Weiße Haus unter George W. Bush noch Alaskas Gouverneurin Sarah Palin hielten sich in der Vergangenheit daran. Zur Umgehung der Gesetze setzte die Vizepräsidentschaftskandidatin unter anderem auf Webmail-Accounts.

Mit den bis zu 5 Millionen verschwundenen Mails im Weißen Haus beschäftigten sich zwischenzeitlich die Gerichte, mit denen von Sarah Palin erst einmal die  Klatschpresse.

Palin musste so kürzlich erleben wie ein Hacker mit dem Pseudonym „Rubico“ sich Zugang zu ihrem Yahoo-Mailaccount verschaffte. Rubico beschrieb seinen Hack, veröffentlichte Screenshots, das Passwort, Fotos und einige der Mails und erregte dadurch großes Aufsehen.

Rubico: „Nachdem die Passwortwiederherstellung erneut aktiviert war, brauchte es gerade mal 45 Minuten bei Wikipedia und Google, um die Informationen zu finden. Geburtsdatum? 15 Sekunden auf Wikipedia. Postleitzahl? Nun, sie war immer in Wasilla sesshaft, und das hat nur zwei Postleitzahlen (danke, postalische Online-Hilfe).“

Schnell geriet der Sohn eines demokratischen Abgeordneten im Repräsentantenhaus von Tennessee, in Verdacht, der Täter gewesen zu sein. Obgleich der Mail-Account nicht wirklich gehackt wurde, sondern Rubico lediglich die unzureichenden Schutzvorkehrungen von Yahoo überlistete, nahm das FBI im Auftrag des Justizministeriums eine Untersuchung auf, die nun zu einer Anklage geführt hat.

Wie aber ging Rubico vor? Konkret überlistete er Yahoo-Mail nicht durch technische Rafinesse sondern durch „Social Engineering“. Yahoo-Mail bietet vergesslichen Nutzern die Möglichkeit, ihr Passwort anhand einer Frage zu Details ihres Privatlebens an eine Mailadresse schicken zu lassen. Die notwendigen Antworten zu den vorgegebenen Fragen lassen sich bei prominenten Personen wie Politikern leicht aus dem Internet beschaffen. Lebensläufe, Biografien, etc. sind dort leicht zu finden, so dass sich Fragen zum Namen des Ehepartners, Hobbys oder Sportvereinen durch etwas Herumprobieren beantworten lassen. Wikipedia als Hackertool sozusagen. So kam auch Rubico zu Palins Passwort und konnte seine Funde in einschlägigen Foren präsentieren.

Nach dem Hack versuchte jemand das Passwort zu ändern und Sarah Palin zu alarmieren. Da er aber zugleich das neue Passwort preisgab, wollten sich zahlreiche Neugierige gleichzeitig einloggen, was den Webmail-Account für längere Zeit blockierte – und dann war er gelöscht.

Insbesondere Prominente aber auch Personen über die sich leicht Informationen z.B. aus sozialen Netzen zusammenrecherchieren lassen, sollten sich überlegen, was sie ins Internet stellen und in wie weit sie solche Informationen z.B. für Accounts, Passwörter etc. verwenden. Mit Hilfe von Social Engineering können auch Hacker ohne allzu viel technisches Geschick solche Daten für Angriffe auf Privatsphäre und Reputation ihrer Opfer nutzen.

Heise.de: Sarah Palins E-Mail-Geheimnisse

Wikileaks.org: VP contender Sarah Palin hacked