Wie mit Wikipedia & co Passwörter geknackt werden

Der gutsortierte Werkzeugkasten jedes Hackers enthält auch Tools zum Wiederherstellen verlorener Passwörter, sog. Password-Cracker oder Password-Recovery-Tools. Besitzt der nach einem Passwort Suchende keine weiteren Informationen über dessen Aufbau so kann er aus verschlüsselten Passwörtern oder Hashes grundsätzlich auf zwei Wegen wieder die Originale zurückgewinnen: Per Brute-Force-Angriff oder mit Hilfe einer Wörterbuchattacke.

Beim Brute-Force-Angriff werden einfach alle möglichen Kombinationen als Passwortlängen und möglicher Zeichen ausprobiert, bis eines passt. Das kann u.U. sehr lange dauern, insbesondere wenn es um sehr lange Passwörter geht, denen ein großer Vorrat zulässiger Zeichen zugrunde liegt. Letztlich entscheiden verfügbare Rechenkapazitäten und die Zeiträume bis zum nächsten Passwortwechsel über die Erfolgschancen eines solchen Angriffs.

Dagegen werden bei einer Wörterbuchattacke die zu testenden Passwörter einer Wörterbuchdatei entnommen, oftmals einer Liste gern genutzer Begriffe wie Personen- und Städtenamen oder dem Abzug eines Lexikons. Selbst Millionen von Begriffen lassen sich mit Hilfe heutiger Rechner in überschaubarer Zeit durchtesten (s.a. Die Grafikkarte als Passwort-Cracker).  Wörterbuchangriffe sind demnach auch ein gutes Mittel um die Stärke der verwendeten Passwörter von Benutzeraccounts zu testen. Erzielen sie in einer zu testenden Gruppe von Zugängen mehrere Treffer, wäre über die Passwortrichtlinie (Aufbau und Mindestlänge der zulässigen Passwörter) erneut nachzudenken.

Sébastien Raveau, ein französischer Berater für Informationelle Kriegsführung weist in seinem Blog „Tricks of the Trade“ darauf hin, dass herkömmliche Wortlisten aus klassischen Wörterbüchern und Rechtschreibkorrekturprogrammen viele Alltagswörter, Namen und Begriffe nicht enthalten, die Menschen bei der Wahl von Kennwörtern in den Sinn kommen.

Cracking passwords with Wikipedia, Wiktionary, Wikibooks etc

Anwender wählen gern Begriffe aus ihrer unmittelbaren Umgebung, etwa Produktnamen, Orte oder den Namen eines häufiger genutzten Geschäfts, so der Experte. Allein in der Wikipedia findet man nahezu jedes denkbare Wort, so der Experte. Einige aus Wikipedia extrahierte Wortlisten in diversen Sprachen haben nach seinen Angaben bereits ausgereicht, um „unzählige Passwörter in Windeseile zu knacken, die mit Brute-Forcing nicht zu erreichen gewesen wären“.

Der gängige Tipp, keine Wörter zu verwenden, die etwa im Duden oder in Lexika auftauchen, sollte demnach in den Passwortrichtlinien von Unternehmen deutlich strikter gefasst werden.

So enthält die Wikipedia Umgangssprache, Verballhornungen, Fachterminologie, Produkt- und Firmennamen samt absichtlicher und unabsichtlicher Schreibfehler in Hülle und Fülle. Begriffe die man in dieser Aktualität in keinem gedruckten Lexikon findet. Sich für Passwörter allein auf natürliche Sprache zu verlassen, ist ohnehin eine schlechte Idee.

Raveau führt aber auch zahlreiche andere Wiki- und Web-2.0-basierte Dienste an, aus denen sich Listen für Wörterbuchattacken generieren lassen. Diese kann der Nutzer dann z.B. in frei erhältliche, quelloffene Passwort-Cracker-Tools wie John the Ripper o.ä. importieren und einsetzen.

Gute Kennwörter enthalten eine ausreichend lange Zufallskomponente kombiniert mit Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen. Aufgrund ihrer schwereren Merkbarkeit führen sie aber leider auch oft zu neuen Sicherheitslücken, wie dem fast schon legendären Klebezettel unter der Tastatur.

Wirklich wichtige Informationen sollten daher stets auch mit anderen, nicht allein auf Passwörtern basierenden, Schutzmechanismen geschützt werden.

Struktureller Inzest als Sicherheitsrisiko im Unternehmen

Die aktuelle Ausgabe der Wirtschaftswoche bringt auf Seite 86 einen Artikel über Karrierechancen in der Krise. Die Kurzzusammenfassung davon: Nein-Sager, Kritiker und „Problem-Mitarbeiter“ werden zügig abgebaut, der leistungswillige, unkritische, das Denken dem Mittelmanagement überlassende Funktionierer hat immer noch beste Chancen im Unternehmen weiterzukommen.

Wäre ich Mitglied einer russischen Hacker-Gang, Kinderporno-Dealer, Wirtschaftsspion oder sonst wie kriminell, würde ich auf diesen Artikel erst mal eine Flasche vom Besten köpfen, was mein Weinkeller hergibt. Krise ist doch toll! Die Geschäftschancen werden von Tag zu Tag besser!

Warum?

Die meisten Unternehmen sind hierarchisch aufgebaut. Sie funktionieren wie Saurier – Masse und Oberfläche von LKW-Format bei Hirnen von Golfballgröße. Schon in guten Zeiten neigen Unternehmen als soziotechnische Systeme zur Fehleranfälligkeit, weil zu wenige Menschen für zu viele andere zu viel zu entscheiden haben. Da aber schon biologisch bedingt kaum ein Mensch auch nur doppelt so intelligent, ausdauernd oder leistungsfähig sein kann als ein anderer, führt das zu „Flaschenhalsproblemen“ bei der Entscheidungsfindung im Unternehmen durch systemische Überlastung der wenigen kompetenten und handlungsbefugten Führungskräfte.

So protzen Manager oft mit hohen Arbeitszeiten, was sich bei genauerem Hinsehen aber als infantile Dummheit erweist. Der Harvard Business Manager berichtete bereits in seiner Dezemberausgabe 2006 über das Phänomen, dass überlange arbeitende Führungskräfte letztlich nicht mehr leisten als Betrunkene, die stark alkoholisiert durch die Vorstandsetagen torkeln. Weil ihnen über längere Zeit aufgebaute Schlafdefizite buchstäblich den Verstand reduzieren. Der Hintergrund so manch desaströser Management-Entscheidung der letzten Jahre wird so erklärbar.

Hinzu kommt aber ein weiteres Problem, dass derzeit durch die Finanzkrise verschärft wird. Firmen neigen dazu Menschen einzustellen, die charakterlich in die Firmenkultur (bzw. das was die Entscheider dafür halten) des einstellenden Unternehmens hineinpassen. Diese Praxis führt mit der Zeit dazu, dass sich immer mehr Menschen mit ähnlichem Stärken-Schwächen-Profil in den entscheidenden Positionen der Firma ansammeln. Eine Art strukturell bedingter Inzest breitet sich im Unternehmen aus und zehrt es durch die Ausdünnung der Vielfalt an Eigenschaften, Biografien und Qualifikationshintergründen langsam aus. Das konnte ich selbst in der tätigen Praxis häufig erleben.

Während daher der Sex mit den eigenen Verwandten in fast allen Kulturen mit Tabus und Verboten belegt ist, um die damit einhergehenden negativen Folgen für das Erbgut der so gezeugten Kinder zu vermeiden, ist personalpolitische Blutschande dagegen gängige Praxis. Und völlig legal.

Wenn jedoch in Krisenzeiten die ohnehin oftmals bereits geschädigte ideelle Vielfalt im Unternehmen mutwillig weiter reduziert wird, bahnen sich zahlreiche zusätzliche Probleme an. Insbesondere in den Bereichen der IT-Sicherheit, des Umgangs mit Risiken und der Compliance. Denn gerade der sorgfältige Umgang mit diesen Themen erfordert ein Mindestmaß an Fachlichkeit und kritischen Denkvermögens, das die oben beschriebenen Funktionierer nicht (mehr) aufweisen, weil es personalpolitisch „herausgemendelt“ wurde. In Unternehmen mit zahlreichen Funktionierern im Mittelmanagement, sind Probleme im Risikomanagement, bei Compliance-Anforderungen oder im Sicherheitsbereich nur eine Zeitfrage. Schon allein weil diese Themen nicht „sexy“ sind. D.h. man kann mit ihnen keine Mehrumsätze und Gewinnsteigerungen erzielen sondern zunächst erzeugt man damit nur Kosten, oft ohne konkret messbaren kurzfristigen Nutzen.

Nicht umsonst hat der Gesetzgeber gerade Datenschutzbeauftragten und Betriebsräten einen besonderen rechtlichen Status verliehen, da absehbar ist, dass sie bei sorgfältiger Erfüllung ihrer Pflichten öfter mal „gegen den Strich bürsten“ müssen.

Gerade Cyber-Kriminelle wissen aus Erfahrung sehr genau, wo die Schwachstellen in den Unternehmen sind. Social Engineering, d.h. die Ausnutzung von persönlichen Schwachstellen durch zwischenmenschliche Beeinflussungen zur unberechtigten Erlangung firmeninterner Informationen, funktioniert am besten in Unternehmen, deren Beschäftigte im Großen und Ganzen ähnlich ticken. Und die grundsätzlich etwas unkritisch, ja-sagend, hierarchiegläubig und denkfaul sind.

Psychologie ist daher für Hacker ebenso wichtig wie tiefgehende Kenntnisse in Betriebsystemen oder Programmiersprachen. Das Gleiche gilt auch für den IT-Sicherheitsbeauftragten, dem „Gegner“ der Eindringlinge und Datendiebe.

Und kluge Personalpolitik kann daher für eine Firma sicherheitstechnisch viel wirkungsvoller sein als eine neue Firewall oder ein besserer Virenscanner.

Für Cyber-Kriminelle ist daher das strukturell inzestuöse Unternehmen ein großer Selbstbedienungsladen. Für sie sind aktuell beste Zeiten, zumal sich illegal erlangte Informationen in Krisenzeiten noch besser und teurer an den Wettbewerb verkaufen lassen, als in konjunkturellen Boomphasen.

SOX und Datenschutz – Zielkonflikte im Unternehmen

Ein neues Kürzel beschäftigt die IT-Verantwortlichen in den Unternehmen: GRC. Es steht für Governance, Risk & Compliance und lässt sich in etwa mit Unternehmensführung, Risikomanagement und Einhaltung von Regeln übersetzen.

Die zahlreichen wirtschaftskriminellen Großskandale der letzten zehn Jahre und auch die aktuelle Finanzkrise führen dazu, dass Regierungen mit immer mehr Gesetzen in die Tätigkeit von Unternehmen eingreifen. Dies führt gerade bei international und in mehreren Rechtsräumen tätigen Konzernen zu Zielkonflikten, da nationale Regeln einander oft widersprechen aber trotzdem unternehmensweit umzusetzen sind.

Dies wäre an sich kein Problem – in Deutschland hat man sich an deutsches, in Italien an italienisches und in den USA an amerikanisches Recht zu halten. Doch speziell die USA neigten in den letzten Jahren stark dazu, US-Gesetze so zu formulierten dass sie auch in anderen Ländern Geltung erlangen können und so in andere Rechtsräume „hineindiffundieren“. Ein Beispiel für diese Form „juristischer Osmose“ ist der amerikanische Sarbanes-Oxley-Act, kurz SOX genannt. Das SOX-Gesetz gilt für amerikanische und ausländische Unternehmen, deren Wertpapiere an US-Börsen notiert sind, außerbörslich gehandelt oder öffentlich angeboten werden und bezieht auch deren Tochterunternehmen mit ein. Es betrifft verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von Publikumsgesellschaften sowie der damit zusammenhängenden Durchsetzung. Insbesondere Vorgaben, die die vorgeschriebene Einrichtung eines internen Kontrollsystems betreffen, verstoßen dabei häufig gegen deutsches Datenschutzrecht.

Der Datenschutzskandal der Deutschen Bahn (Rasterdatenabgleich von Mitarbeiterdaten und Lieferantendaten zum Zwecke angeblicher Korruptionsvorbeugung) wäre nach SOX ein wichtiges Element eines internen Kontrollsystems. Ebenso das Überwachen und Mitlesen von Mails der Beschäftigten zur Aufdeckung von Insider-Datenlecks.

Nach deutschem Arbeitsrecht wären solche Aktionen schlicht illegal. Hier zeigen sich grundsätzliche Unterschiede der angelsächsischen und kontinentaleuropäischen Rechtskultur.

Heikel ist auch die Übermittlung personenbezogener Daten von Beschäftigten oder Kunden in die USA, bekanntlich eine datenschutzrechtliche Bananenrepublik.

Wie aber sollen Unternehmen damit umgehen?

Andreas Jaspers, Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) schlägt in einem Interview mit der Computerzeitung vor, dieses Problem durch entsprechende individualvertragliche Vereinbarungen zu lösen, die US-Partner bzgl. der übermittelnden Daten auf europäische Datenschutzstandards festlegen.

Auch die von SOX geforderten Meldesysteme für interne Compliance-Verstöße (Whistleblowing-Systeme) könnten durchaus datenschutzkonform gestaltet werden. Jaspers: „Wichtig ist hier, die Datenschutzbeauftragten in die Ausgestaltung der Anforderungen einzubinden, da beim Datenschutzbeauftragten in der Regel das notwendige Fach-Know-how zur Auflösung dieses Zielkonfliktes vorhanden ist.“

Ähnliches schlägt auch Holger Wöhle,  Leiter für Informationssicherheit bei Arcor vor: „SOX lässt sich durchaus datenschutzkonform umsetzen, eben über Einbeziehung von Datenschutzbeauftragten und Betriebsrat sowie Transparentmachen der Maßnahmen.“

Umgekehrt bedeutet das aber auch, dass gerade Firmen, die das Compliance-Argument gegenüber ihren Betriebsräten bisher gerne zur Durchsetzung unangemessener Formen der Bespitzelung und Ausforschung ihrer Beschäftigten nutzten, jetzt Gegenwind erhalten. Denn Compliance bedeutet keinesfalls nur verstärkte Kontrolle sondern schlicht die Einhaltung aller Gesetze und Normen. Also auch die zum Schutze der Rechte der Beschäftigten. Und Betriebsräte sind schon gesetzlich mit einem „allgemeines Wächteramt“ ausgestattet und haben darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen eingehalten werden (§ 80 BetrVG). Sie haben sich daher bereits mit Compliance-Problemen befasst, als es den Begriff im deutschsprachigen Raum noch gar nicht gab.

Letztlich muss aber jeder IT-Sicherheitsmanager zusehen, wie er die zum Teil widersprüchlichen regulatorischen Anforderungen in ein trotzdem noch praktikables IT-Sicherheitskonzept bzw. in Compliance-Richtlinien einbringen kann. Allerdings kann selbst ein CIO Entscheidungen zwischen widersprüchliche Anforderungen nicht selbst treffen sondern täte gut daran, diese Widersprüche dem Management offen zu legen und entsprechende Priorisierungen auf der Ebene der Unternehmensführung einzufordern.

Dort aber werden die Entscheider in den Vorstandsetagen der Unternehmen das tun müssen, was sie in solchen Fällen schon immer taten: Prioritäten setzen, entsprechende Entscheidungen treffen und die Verantwortung für die Folgen tragen.

Um dies aber tun zu können, werden sie bis auf weiteres immer umfänglicheres Zahlen- und Datenmaterial aus der IT erwarten. Was auf Dauer den Anbietern von Tools und Plattformen zur Umsetzung von Compliance-Anforderungen zugute kommen dürfte. Sowie der Standardisierung der IT durch Vorgehensmodelle wie ITIL (Prozesse) oder COBIT (Kennzahlen).

Link: ODEM.org

Link hinzugefügt (Netzkultur): Online-Demonstrations-Plattform für Menschen- und Bürgerrechte im digitalen Zeitalter

ODEM Blog: http://blog.odem.org/

Microsoft glänzt im Hacker-Wettbewerb Pwn2own

Zur jährlich stattfindenden Security-Messe CanSecWest, die kürzlich in Vancouver stattfand, gehört traditionell auch der Pwn2own-Wettbewerb. Dort können Hacker zeigen, ob es ihnen gelingt vorbereitete Rechner mit Software auf aktuellstem Patchlevel erfolgreich anzugreifen und in Besitz zu nehmen (zu „ownen“). Gelingt es ihnen, so dürfen sie den Rechner behalten und erhalten ein 4-5stelliges Preisgeld.

Umgekehrt erhält der Veranstalter die dazu verwendeten, i.d.R. noch nicht bekannten Sicherheitslücken und kann sie an die Hersteller der betroffenen Softwareprodukte weitergeben. Diese sponsern daher den Pwn2own-Wettbewerb, auch um so ein legales Gegengewicht zum Schwarzmarkt für Exploits zu schaffen.

Wer hier mitmachen will, sollte sich zur Elite der Hacker und Security-Experten zählen. Denn ohne sehr tiefgehendes Wissen um Systeme und Programmiersprachen sowie die Fähigkeit selber noch unbekannte Sicherheitslücken zu finden und programmtechnisch in Exploits umzusetzen, braucht man bei Pwn2own erst gar nicht antreten.

Diesmal ging es um die Browser Firefox, Internet Explorer 8 und Safari, die bereits am ersten Tag den Hackern zum Opfer fielen. Nur Google Chrome kam ungeschoren davon. Ebenso gelang es den Hackern nicht, die angebotenen Smartphones zu hacken.

Einem deutschen Teilnehmer gelang es im Handstreich alle drei Browser zu kapern und ihnen eigenen Code unterzujubeln. Der 25-jährige Student aus Oldenburg finanziert sich sein Studium zum Teil durch das Auffinden und Verkaufen von Sicherheitslücken.

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei „sehr, sehr schwierig“ gewesen, den Fehler verlässlich auszunutzen und Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig: „Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit.“

Für die Entwickler bei Microsoft dürfte das eine der höchsten Auszeichnungen und Belobigungen sein, die überhaupt möglich sind. Lange Zeit galten Microsoft-Produkte, allen voran das Betriebssystem Windows, als unsicher und schlampig programmiert. Die zunehmende Kritik an der Qualität von Microsofts Produkten führte dazu, dass das Unternehmen bereits seit Jahren beträchtliche Summen in die Berücksichtigung sicherheitstechnischer und qualitativer Aspekte bei der Entwicklung investierte.

Beispiel hierfür ist der Microsoft Security Development Lifecycle (SDL), ein Vorgehensmodell zur systematischen Integration sicherheitsrelevanter Überlegungen in die Produktentwicklung. Es erweitert die Phasen der Softwareentwicklung bei Microsoft um mehrere auf Sicherheit abzielende Aktivitäten und Projektergebnisse. Dazu zählen die Entwicklung von Bedrohungsmodellen beim Softwareentwurf, die Verwendung von Tools zur statischen Codeanalyse bei der Implementierung sowie das Durchführen von Codeüberprüfungen und Sicherheitstests bei einer gezielten Suche nach Sicherheitsmängeln.

Demnach hat Microsoft inzwischen große Fortschritte in der Entwicklung robuster und sicherer Software gemacht. Fortschritte, die in der Fachwelt gesehen und gewürdigt werden. Nichtsdestotrotz gelingt es kreativen Experten der IT-Sicherheit immer wieder auch in qualitativ guten Softwareprodukten ihr Schlupfloch für den Einstieg zu finden.

Heise.de: Pwn2own-Wettbewerb: Safari, IE8 und Firefox gehackt

Heise.de: Pwn2own-Fazit: „Mac hacken macht Spaß, Windows ist harte Arbeit“

The Microsoft Security Development Lifecycle (SDL)

The Microsoft Security Development Lifecycle (SDL): Process Guidance

Microsofts Entwicklungszyklus für sichere Software

Link: IT-Republik.de

Link hinzugefügt (Netzkultur): IT-Republik – Das umfassende Portal zu allen IT-Themen

Link: Hacker-info.de

Link hinzugefügt (Netzkultur): Hacker-Info – Das Informationsportal

Neuer Ärger mit Google Street View

Google schickt derzeit in etlichen Ländern (u.a. Japan, Australien, Neuseeland, Frankreich, Spanien, Italien und die Niederlande ) seine Kamerawagen aus, um Bildmaterial für Google Street View zu sammeln. Und wo sie auftauchen, gibt es bald Ärger mit der lokalen Bevölkerung. Denn kaum startet Google seinen Straßenfoto-Dienst in einem weiteren Land, tauchen pikant-brisante Bilder im Internet auf. Ertappte Sexshopper, betrunkene Zecher, nackte Kinder – alles kann dabei sein bei Googles neuem Dienst, der immer noch nicht von selbst alles Heikle schwärzt.

So kam es in Großbritannien erst kürzlich zu Beschwerden, nachdem Googles Kameras einen Sexshop-Kunden in Soho, einen kotzenden Zecher nahe einem Pub in Shoreditch oder auch einem möglichen Delinquenten, der gerade mit der Polizei zu tun hatte, erfassten und ins Internet brachten. Auch nackt spielende Kinder bei einem Sommerpicknick in der Nähe einer Ministerwohnung wurden den Berichten einer englischen Zeitung nach miterfasst.

Eigentlich sollen problematische Fotos durch entsprechende Programmteile automatisiert erkannt und entfernt werden. Doch das klappt nicht immer. Auch bietet der Dienst die Möglichkeit entdeckte Fotos zu melden, so dass sie manuell entfernt werden können. Doch wer durchstöbert schon andauernd Googles globale Datenbestände, um darin problematisches Material von sich zu suchen? Zumal es dann ja schon zu spät wäre. Schließlich sehen europäische Datenschutzgesetze nicht umsonst den genau ungekehrten Weg vor: Statt den Problemen hinterherzulaufen, dürfen personenbezogene Datenbestände ohne Einwilligung der Betroffenen erst gar nicht entstehen. Und schon gleich überhaupt nicht veröffentlicht werden.

Prominenter Anführer der britischen Beschwerden ist Ex-Premier Tony Blair. Er beklagte sich, dass sein Haus am Connaught Square in Westminster klar zu erkennen sei. Auf den Bildern sind sogar zwei Polizisten zu sehen, die dort zum Zeitpunkt der Ablichtung wohl Wache schoben.

Im Gegensatz dazu ist die Gegend um den Amtssitz von Blairs Nachfolger Brown, die Downing Street, mittlerweile geschwärzt. Auch beim Blick auf das Hauptquartier des Geheimdienstes MI6 tun sich Lücken auf. Hier wurde wohl rechtzeitig vorgesorgt.

Aber längst nicht alle Probleme dürften mittlerweile behoben sein. Auf Webseiten britischer Zeitungen sind zum Beispiel Google-Bilder von Schulkindern zu sehen. Auch mehrere Bilder von klar lesbaren Nummernschildern wurden entdeckt.

Spiegel-Fotostecke 1: Zivilisten im Internet

Spiegel-Fotostecke 2: Eindeutig uneindeutig

Inzwischen hat sich sogar eine globale Subkultur der Gaffer und Spanner entwickelt, die das frei zugängliche Bildmaterial von Google Street View gezielt nach zweideutigen Schnappschüssen von Passanten, Hintern, Dekolletés und Skurrilitäten aller Art durchsuchen. Und die Fundstücke in Internetforen und Blogs dann massenhaft tauschen, bewerten und weiterverbreiten.

Mittlerweile liegen bereits erste juristische Entscheidungen zu Googles Foto-Dienst vor.

So entschied ein Gericht in den USA vor einigen Wochen, dass Googles Mega-Fotoaktion nicht in die Privatsphäre von Hausbesitzern eingreift. Ein Bundesrichter wies eine Klage ab, die unter anderem auf Hausfriedensbruch und Verletzung der Privatsphäre lautete. Auch den Vorwurf, Google bereichere sich auf Kosten anderer, konnte vor Gericht nicht geltend gemacht werden. Die Kläger hätten nicht glaubhaft machen können, dass ihnen durch das Google-Foto ein Schaden entstanden sei, erklärte der Richter.

In Deutschland ist „Street View“ noch nicht mit Fotos deutscher Orte verfügbar. Doch das ist nur eine Zeitfrage. Kamerawagen haben auch hierzulande bereits Millionen von Fotos gemacht, so unter anderem in den Städten München, Berlin, Hamburg, Bremen und Essen.

Gingen die Bedenken gegen Streetview zunächst in die Richtung Angst vor Einbrechern, die damit interessante Gebäude ausspähen könnten, zeigt sich nun, das die Probleme auch ganz anderer Art sein können: Die Gefahr im Internet weltweit der Lächerlichkeit preisgegeben zu werden, ohne dass dies nachträglich noch unter Kontrolle gebracht werden kann. Denn selbst wenn Streetview peinliche Bilder nachträglich sperrt – was in die Community durchgesickert ist, kreist auf ewig im Internet. Es kann nie mehr gelöscht oder zurückgeholt werden.

Spiegel.de: Google erzürnt die Blairs

Spiegel.de: Global gaffen mit Google

Spiegel.de: Paradies der Gaffer und Spanner

Link: Verein gegen den Abmahnwahn e.V.

Link hinzugefügt (Sicherheitspraxis): Verein gegen den Abmahnwahn e.V.

Entsteht ein neues Feindstrafrecht gegen Hacker?

Seit einigen Monaten laufen die Vorbereitungen für die Novellierung des sog. „BSI-Gesetzes“, welches seit 1990 die Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) regelt. Das BSI ist bisher eigentlich eine eher unscheinbare Behörde, die unter anderem die IT-Grundschutzkataloge sowie alle zwei Jahre einen Lagebericht zur IT-Sicherheit in Deutschland herausgibt. Desweiteren ist das BSI für die Koordinierung des Schutzes kritischer Infrastrukturen (KRITIS) in Deutschland zuständig.

Mit dem derzeit im Bundestag beratenen neue BSI-Gesetz sollen die Befugnisse des BSI deutlich erweitert werden. Innenminister Schäuble will das BSI zu einem weiteren Baustein seiner Vorstellungen des präventiven Sicherheits- und Antiterrorstaates nach DDR-Vorbild umbauen. Das Bundeskabinett hat Schäubles Gesetzesentwurf bereits am 14.01.2009 verabschiedet und dem Parlament vorgelegt.

Geplant ist u.a., dass das BSI eigene Befugnisse zur Erhöhung der IT-Sicherheit in der Bundesverwaltung und zur Abwehr von Gefahren für die Informationstechnik des Bundes erhält. Dazu sollen Kompetenzen zur Abfrage von Verbindungs- und Nutzungsdaten aus der Telekommunikation gehören.

So soll demnach künftig die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ständig verdachts- und anlasslose vollständig überwacht werden. Diese Daten soll das BSI dann auch an die Polizeien des Bundes und der Länder, an Strafverfolgungsbehörden und sonstige öffentliche Stellen übermitteln können. So könnte u.U. auch eine „Online-Durchsuchung“ durch die Hintertür realisiert werden.

Voraussetzung ist, dass die Informationen „zur Abwehr einer Gefahr für hohe Rechtsgüter“ wie Leib oder Leben einer Person oder für Sachen von bedeutendem Wert geboten oder „zur Verfolgung von Straftaten, bei denen ein Auskunftsverlangen gemäß Strafprozessordnung“ zulässig wäre. Dazu soll auch das Telemediengesetz (TMG) geändert werden, um privaten Internetprovidern erweiterte Speicherpflichten neben Verbindungsdaten auch für Inhalte der Kommunikation auferlegen zu können.

Das BSI soll als zentrale Meldestelle Informationen über Sicherheitslücken und neue Angriffsmuster sammeln, auswerten und Informationen oder Warnungen an die betroffenen Stellen oder die Öffentlichkeit weitergeben. Erkenntnisse über Sicherheitslücken in IT-Programmen und -Systemen, die das BSI dabei erlangt, sollen aber künftig zumindest teilweise geheimgehalten werden. Da durch neue Schadprogramme und unveröffentlichte aber dem BSI bekannte Sicherheitslücken beträchtliche Schäden entstehen können, muss vor dem Hintergrund der durch die im BKA-Gesetz vorgesehene Online-Durchsuchung zu erwartende Interessenskonflikten im Tätigkeitsbereich des Innenministeriums eine gesetzliche Offenlegungspflicht gefordert werden.

Viele Begrifflichkeiten und Regeln des Gesetzentwurfes sind zudem wieder einmal so allgemein formuliert, dass sie später erheblich mehr umfassen können, als ursprünglich zu regeln war. So wird systematisch Rechtsunsicherheit produziert.

Gisela Piltz (FDP) fürchtet die Schaffung eines „Feindstrafrechts für Hacker“. Natürlich wäre es nötig, die kritischen Infrastrukturen eines Staates einschließlich seiner Informationstechnik angemessen zu schützen. Aber bei Viren und Würmern gleich von Cyberwar zu sprechen und Kategorien des Kriegsrechts zu bemühen, sei wohl überzogen. Die im Raum stehenden neuen Aufgaben für das BSI hätten mit Sicherheit teilweise wenig zu tun. Vielmehr könne das Amt damit „die gesamte Kommunikation der Bürger mit Behörden abhören und auswerten“ sowie an andere Sicherheitsbehörden transferieren. Das BSI würde so zur „allgemeinen Polizei- und Schnüffelbehörde“.

Petra Pau (Die Linke) bemängelte, dass ein Gesetz zur internen Sicherheit des Bundes private Anbieter wie Google oder Yahoo ermächtigen wolle, das Surfverhalten von Internetnutzern ohne konkreten Verdacht zu registrieren.

Wolfgang Wieland (Die Grünen), Sprecher für innere Sicherheit der Partei, begrüßte im Prinzip den Ansatz, dem BSI zur Stärkung der IT-Sicherheit mehr Kompetenzen zu geben. Besonders kritisch sah auch er aber die damit verbundenen ausgedehnten Kontrollbefugnisse. Sollte damit lediglich der Einsatz von Virenscannern gemeint sein, wie es die Bundesregierung darstellt, müsse das auch entsprechend formuliert und nicht einer allgemeinen Überwachungseinrichtung das Wort geredet werden. Aber auch dann fehle es an Vorschriften etwa zur Pseudonymisierung von Daten oder dem Einbau eines Richtervorbehaltes.

Eine dem bereis vorangegangene Beratung des Gesetzentwurfes mit Vertretern der Bundesländer erbrachte etliche Einwände und Änderungswünsche der Ländervertreter. Sie wollen mehr Mitspracherechte bei der Standardisierung und Zertifizierung von informationstechnischen Sicherheitsprodukten durch das BSI, das künftig auch zur Prüfgesellschaft für öffentlich-rechtliche EDV werden soll.

Der automatisierten Erfassung von Protokolldaten aus dem Betrieb der Kommunikationstechnik des Bundes stehen sie kritisch gegenüber, da sie darin gravierende Eingriffe in die Grundrechte der Nutzer und absehbare verfassungsrechtliche Probleme sehen.

Außerdem fordern die Länder, dass Nutzer künftig in die Erstellung von Nutzungsprofilen durch Diensteanbieter sowie deren Verwertung für Werbezwecke einwilligen müssen und plädieren für eine entsprechende Änderung des Telemediengesetzes (TMG). Das hat zwar mit dem Zweck des BSI-Gesetzes wenig zu tun, deutet aber auf eine taktisch positionierte „Koppelgeschäftsforderung“ hin.

Auch die  Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert inzwischen eine Stärkung der IT-Sicherheit – aber nicht zu Lasten des Datenschutzes. In ihrem Abschlussdokument kritisieren sie entsprechende Punkte des Schäuble-Gesetzentwurfs und fordern Nachbesserungen in etlichen Bereichen.

Es bleibt abzuwarten, was der parlamentarische Prozess und die kritischen Einwände durch zahlreiche Stellen aus diesem fragwürdigen Gesetzentwurf machen.

GI kritisiert BSI-Gesetzentwurf: Tiefgreifende Schwachstellen müssen beseitigt werden

Vorratsdatenspeicherung.de: Stoppt die verdachtslose Aufzeichnung des Surfverhaltens im Internet!

Heise.de: Innenministerium: Mehr Biss für die IT-Sicherheit des Bundes

Heise.de: Novellierung des BSI-Gesetzes vom Bundeskabinett verabschiedet

Heise.de: Widerstand gegen den Ausbau des BSI zur „Schnüffelbehörde“

Tagesschau.de: Bundestag berät Cyberkriminalitäts-Gesetz, Schutz vor Hackern, Sorge vor Überwachung