„Predator“-Drohnen mit Kaufsoftware gehackt und angezapft

Drohnen, d.h. unbemanntes, fern gesteuertes oder autonom funktionierendes, meist fliegendes Gerät, werden bei den technologieorientierten Streitkräften vieler Länder immer beliebter. Führend beim Einsatz unbemannter Kampfmaschinen ist die USA, obwohl auch die Bundeswehr zunehmend in Entwicklung und Einsatz von Drohnen investiert. Damit soll dem Umstand Rechnung getragen werden, dass die potentiell gesundheitsschädlichen Folgen von Kampfeinsätzen für das daran beteiligte Personal möglichst reduziert werden sollen.

Drohnen wurden zunächst primär zur Aufklärung und Ausspähung von Gegnern eingesetzt. Mit ihrer Weiterentwicklung und Verbreitung kam dann auch die gezielte Ausschaltung militärischer Anführer hinzu. Schließlich kann eine halbautonom operierende Drohne wie die amerikanische „Predator“ z.B. im afghanischen Bergland per Satellitenverbindung aus einem Einsatzzentrum in einer US-Vorstadt zum gezielten „Bejagen und Ausdünnen“ von Talibankämpfern verwendet werden, ohne dass sich der Drohnenlenker auch nur annähernd in ein echtes Gefecht hineinbegeben müsste.

Allerdings sind Drohnen auch ein hochinteressantes Angriffsziel für Cyber-Krieger aller Seiten. Das musste erst kürzlich auch die US-Army erfahren, als bekannt wurde, dass es iranisch-schiitischen Milizverbänden im Irak im Sommer 2009 gelungen war, Videodaten von Predator-Drohnen, die über eine ungeschützte (!) Schnittstelle übertragen wurden, abzufangen und mitzuschneiden. Dabei sollen unter anderem Informationen über US-Truppenbewegungen und Stützpunkte in die Hände der gegnerischen Kämpfer gefallen sein. Besonders spaßig: Die Irakis verwendeten dazu die Kaufsoftware „SkyGrabber“, die es für knapp 26 $ im Internet direkt beim Hersteller zu kaufen gibt und mit der man Satellitenübertragungen aller Art abhören und aufzeichnen kann.

Besonders heikel dabei ist, dass das US-Militär von diesem Sicherheitsproblem in den Predatoren wohl bereits seit den 1990ern wusste, die Lücke aber als unkritisch einstufte, solange sie nicht bekannt werden würde. Man ging naiverweise davon aus, dass Dritte nur solche Lücken ausnutzen würden, die offiziell bekannt sind, anstatt kreativ nach neuen, noch nicht entdeckten Schwächen im Design der gegnerischen Waffen zu suchen (security by obscurity). Und das, obwohl sich in fast jeder Armee der Welt Spezialisten mit der Beschaffenheit von Waffensystemen der Gegner beschäftigen.

Natürlich bestreiten die US-Militärs, dass zu irgendeinem Zeitpunkt die Möglichkeit oder die Gefahr bestanden hätte, dass die Drohnen übernommen wurden oder Dritte die Flüge manipuliert haben könnten. Trotzdem dürfte so – zumindest inoffiziell – eine fachliche Debatte über Schachstellen in Drohnen und anderem militärischen Gerät entstehen. Schließlich wird der Einsatz dieser teuren Geräte politisch vor allem mit der Möglichkeit zur Senkung und Vermeidung von Verlusten an Soldaten begründet. Das aber wäre hinfällig, wenn Hacker die Drohnen mit einfachen Methoden und preiswerten Tools angreifen oder gar ganz außer Gefecht setzen könnten.

Lt. Gen. David Deptula, der das US Air Force-Programm für unbemannte Fluggeräte leitet, erklärte dem Wall Street Journal, es sollen schon in absehbarer Zukunft neue Technologien und Verbesserungen eingesetzt werden. Wahrscheinlich wird man die Predatoren also mit verbesserter Hardware nachbessern. So ist etwa ein neues Kamerasystem namens „Gorgon Stare“ geplant, das es der Drohne ermöglichen soll, zeitgleich bis zu zehn Videofeeds aufzuzeichnen. Zudem sollen bessere Verschlüsselungstechnologien mehr Sicherheit bringen.

Nichtsdestotrotz dürfte das Hacken von Militär-Equipment längst eröffnet sein. Und solch naive Äußerungen wie die zur Schwachstelle, die aufgrund ihrer Unbekanntheit nicht ausgenutzt würde, machen deutlich, dass es für Freunde kreativer Techniknutzung in den Waffenkammern der US-Army noch viel zu entdecken gibt.

Wer sich für die Drohnentechnologie an sich interessiert, kann aber auch ganz ohne militärischen Bezug und völlig legal daran arbeiten. Beispielsweise beim Bau privater Mikrokopter, also ferngesteuerter oder teilautonom fliegender Mini-Hubschauer, die man z.B. mit Kameras bestücken und zu fliegenden Spähern ausbauen kann. So wird z.B. beim Chaos Computer Club bereits erwägt, der Polizeiüberwachung von Demonstrationen eine eigene Kameraüberwachung der Polizeitruppen entgegenzusetzen, um ggf. gewalttätige Übergriffe durch die Polizei dokumentieren zu können. Auch gibt es bereits Wettbewerbe für Drohnenbastler wie den Motodrone.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Nachlese zum vierten deutschen IT-Gipfel

Gestern am 08.12. fand in Stuttgart der vierte deutsche IT-Gipfel statt. Dort berieten sich Regierungsvertreter, Wirtschaftslobbyisten und IT-Branchenverbände über den IT-Standort Deutschland im Allgemeinen sowie Regierungsvorhaben mit IT-Bezug im Speziellen.

Dabei werden häufig auch Themen mit Bezug zu Informationssicherheit und Softwarequalität beraten, weshalb man diese Gipfel nicht vorschnell als reines Schaulaufen von Politikern und Branchengrößen abhaken sollte.

Neu hinzu kam dieses Jahr das Thema (informationstechnische) Bildung und Ausbildung. Studentenproteste, besetzte Hochschulen und die wieder aufkeimende Diskussion um das Thema Fachkräftemangel hatten dafür gesorgt. Dazu soll es Schulungsangebote zu e-Skills für die Jugend, die nicht zu den „Digital Natives“ gehören, geben. Womit man wohl plant, die Kompetenzen der Heranwachsenden  in einer digital geprägten Kultur zu stärken und ihnen so eine bessere Teilhabe am gesellschaftlichen Netzleben zu ermöglichen.

(was aber übel ins Auge gehen kann – teilhabende Netzbürger gelten i.A. als sehr bürgerrechtsensibel, was die Verzehnfachung der Mitgliederanzahl der Piratenpartei in diesem Jahr sowie die Proteste gegen von der Leyens Internetsperren zeigten)

Im Bereich der Forschungsförderung soll mit  „Autonomik – Autonome und simulationsbasierte Systeme für den Mittelstand“ ein neuer Themenschwerpunkt geschaffen und mit 70 Millionen Euro ausgestattet werden. Dabei soll es um Dinge wie intelligente Werkzeuge und Systeme, die sich via Internet vernetzen, Situationen erkennen und Nutzer intelligent unterstützen, gehen. Also im Prinzip um die Zusammenführung von Ideen aus der Telematik mit dem „Internet der Dinge“ sowie der allgegenwärtigen Verfügbarkeit von Informationstechnik (ubiquitous computing).

Ein weiteres zentrales Thema war die Internetregulierung. „In den vergangenen Jahren gab es in der Internetpolitik viele Gesetzesinitiativen und in der Folge viel Verunsicherung“, so BITKOM-Präsident August-Wilhelm Scheer auf dem IT-Gipfel. Für Kritik in der Öffentlichkeit sorgten insbesondere die Netzsperren zur angeblichen Eindämmung von  Kinderpornografie im Internet aber auch Vorratsdatenspeicherung, Online-Durchsuchung oder bestehende Probleme im Urheberrecht. Dabei steht die Wirtschaft häufig für die praktische Durchsetzung in der Pflicht, was den Branchenverbänden sauer aufstößt. „Es darf nicht länger eine Trial-and-Error-Politik auf dem Rücken der Internetwirtschaft geben“ so Scheer. Stattdessen müsse wieder die richtige Balance zwischen Freiheit und Sicherheit geschaffen werden. Allerdings fielen in der Vergangenheit gerade Wirtschaftsvertreter bei internetpolitischen Themen oft rasch um, sobald man ihnen bei den Kosten entgegenkam oder ihnen Steuervorteile versprach.

Als gemeinsames Abschlussdokument wurde die sog. „Stuttgarter Erklärung“ verfasst, in der neben recht allgemeinen und unverbindlichen Formeln auch Themen wie Breitbandausbau und Netzinfrastrukturen, GreenIT, informationstechnische Forschungsförderung sowie Software-Entwicklung in Deutschland auftauchen.

So plant die Regierung im kommenden Jahr ein Kompetenzzentrum IT-Sicherheitsforschung einzurichten, in dem entsprechende Programme des Forschungsministeriums und des Innenministeriums zusammengelegt und weiter ausgebaut werden sollen.

Vom Gesichtspunkt der IT-Sicherheit und der Softwarequalität her betrachtet, bleibt abzuwarten, welche konkreten Auswirkungen insbesondere die Ankündigungen zum Kompetenzzentrum IT-Sicherheitsforschung sowie zu den Programmen im Bereich der Software-Entwicklung haben werden.

Petition gegen Abmahnbetrug läuft an

Derzeit läuft eine Petition, die sich inhaltlich gegen den sich zunehmend ausbreitenden Abmahnbetrug im Internet richtet. Aktuell hat sie ca. 4.400 Mitzeichner. Doch ihr Gegenstand verdient es, dass sich noch mehr Leute daran beteiligen.

In der Petition wird gefordert, dass Abmahnungen im Internet zunächst einer kostenlosen Vorstufe bedürfen. Das also der Abzumahnende vom Abmahner mit Fristsetzung aufgefordert wird, etwas Bestimmtes zu unterlassen. Damit wird der Abmahnung als vorprozessualem Rechtsmittel der außergerichtlichen Konfliktklärung Rechnung getragen. Denn eine solche Aufforderung ist problemlos und kurzfristig per Mail oder teefonisch machbar. Ist der Abmahnende dazu nicht willens, kann es mit dem Verstoß gegen seine Interessen substanziell nicht allzu weit her sein.

Gleichzeitig wird so aber den zahllosen Abmahnbetrügern und ihre Helfershelfern eine Einnahmequelle zugeschüttet. Denn sie könnten zwar problemlos und sehr schnell tatsächlich bestehende Abmahntatbestände aus der Welt schaffen. Aber nicht mehr mit Serienabmahnungen und Bagatellen Gelder ergaunern und so Renditen erwirtschaften, wie man sie sonst nur im Waffen- und Drogenhandel kennt.

Insbesondere Seiten wie Gulli.com berichten mittlerweile fast täglich über das Hin und Her zwischen Abmahnbetrügern und dem sich allmählich gegen sie formierenden Widerstand breiterer Bevölkerungsschichten. Abmahnbetrug ist mittlerweile zu einem ähnlichen Problem geworden wie früher 0190-Einwahlbetrug per Dialer oder aktuell untergeschobene Verträge und Abofallen.

Daher halte ich es für wichtig, Petitionen wie diese durch Mitzeichnung zu unterstützen. Und so öffentlichen Druck auf den Gesetzgeber aufzubauen, um in einer der nächsten Reformen des Internetrechts, die Möglichkeiten für Abmahnbetrug einzuschränken.

Steht die Internet-Zensur vor dem Aus?

In den letzten Jahren häuften sich Gesetze mit dem Ziel Bürgerrechte und Freiheiten einzuschränken, um der politischen Klasse unangemessene Vorteile zu verschaffen oder zur angeblichen Verbesserung der Sicherheitslage in Deutschland. Sie alle atmeten den Ungeist der Angst der Politiker vor dem Volk. Viele dieser Vorhaben scheiterten später ganz oder teilweise vor dem Bundesverfassungsgericht. Gegen andere laufen derzeit Prozesse.

Einen Überblick über den Stand solcher, zum Teil verfassungsfeindlicher Gesetzesvorhaben liefert u.a. die Chronik des Grundrechteabbaus der Piratenpartei Deutschland.

Derzeit erleben wir erneut das hilflose Herumgeeiere der Politik, wenn ihr ein solches Vorhaben rechtlich zwischen den Fingern zerbröselt. Das umstrittene Internetzensur-Gesetz von Ex-Familienministerin Ursula von der Leyen brachte im Bundestagswahlkampf vor allem der FDP, der Linkspartei und der Piratenpartei Stimmenzuwächse, nicht aber den Christdemokraten. So war es auch nicht verwunderlich, dass die FDP im Koalitionsvertrag eine Vereinbarung durchsetzen konnte, wonach diese Form des politischen Kindsmissbrauchs (immerhin wurde das Gesetz mit der Notwendigkeit des Schutzes von Kindern begründet) ausgesetzt werden sollte. Man wollte wohl Zeit gewinnen, so dass auch die Konservativen, dieses Gesetz ohne Gesichtsverlust still und leise endgültig verabschieden können.

Dazu sollte dem BKA per Verordnung die Aussetzung der Anwendung des „Zugangserschwernisgesetzes“ befohlen werden. Dumm nur, dass das Gesetz bereits am 18.06.2009 vom Bundestag und am 10.07.2009 vom Bundesrat verabschiedet wurde und Behörden ein rechtmäßig zustande gekommenes Gesetz nicht einfach auf Befehl hin ignorieren können.

In einem Rechtsstaat hat die Regierung ein missliebiges Gesetz auf demselben Wege zu ändern oder abzuschaffen, auf dem sie es in die Welt gesetzt hat: Durch parlamentarische Beschlussmehrheit.

Da könnte es der Regierung jedoch zupass kommen, dass das potentiell grundgesetzwidrige Gesetz derzeit beim Bundespräsidenten Köhler „hängt“, der es erst ausfertigen will, sobald ihm dazu „ergänzende Informationen“ von der Bundesregierung gegeben werden, die er dazu eingefordert hatte.

Möglicherweise nutzt man jetzt diese Chance, um die peinliche Angelegenheit durch Zeitablauf und Fristverfall bald schon als erledigt abhaken zu können, ohne dass sich die Politiker nochmals damit befassen müssen.

Wohin verschwinden gelöschte Dateien?

Viele PC-Nutzer glauben, dass Dateien, die sie löschen dadurch tatsächlich vernichtet werden. Dem ist nicht so. Zum einen haben die meisten Betriebssysteme eine Sicherung gegen unabsichtliches Löschen eingebaut: Das Papierkorb-Verzeichnis, in das gelöschte  Dateien hinein verschoben werden. Und aus dem man sie – wie bei einem echten Mülleimer – wieder herausziehen kann. Aber auch das „Leeren“ des Papierkorbes führt nicht zur tatsächlichen Löschung der Dateien. Der Rechner markiert die durch die Dateien belegten Speicherbereiche seiner Festplatte lediglich als „frei verfügbar“. Früher oder später werden darauf neue Daten gespeichert, so dass dadurch die zuvor dort gespeicherten Daten überschrieben werden. Erst dann sind sie tatsächlich weg. Je nach Nutzungsintensität der Festplatte und der dort noch vorhandenen Speicherkapazität kann das Sekunden oder Monate bis Jahre dauern.

Wer wissen will, was sich auf seinem Rechner noch an bereits gelöschten aber wiederherstellbaren Daten befindet, kann mit Tools wie Piriform‘s kostenlosem Recuva nachschauen. Und die Datenreste auf Wunsch auch gleich endgültig beseitigen oder aber wiederherstellen lassen.

Zumindest für Dateien gibt es durchaus ein „Leben nach dem Tod“. Es sei denn, sie werden gleich „sicher gelöscht“, d.h. der von ihnen belegte Plattenplatz wird erst mit anderen Daten überschrieben und anschließend als „frei“ gekennzeichnet. Auch dafür gibt es Tools, wie z.B. das Programm Crap Cleaner. Es ist eine Art „Datenmüllabfuhr“, die den Rechner auf dem es installiert ist, von datentechnischen Gebrauchsspuren säubert und in der man auch sichere Löschverfahren einstellen kann.

Heute haben viele Nutzer aber Daten nicht nur auf ihrem eigenen Rechner sondern auch „in der Cloud“, d.h. bei Internetdiensten wie Facebook, XING oder Twitter. Und hier werden die Dinge jetzt kompliziert. Denn das Internet vergisst grundsätzlich erst mal nichts. Fast alles wird irgendwo gespiegelt, zwischengespeichert oder in Archiven und Backup-Systemen vorgehalten. Je länger es im Netz steht, desto wahrscheinlicher ist das. So werden z.B. meine Artikel in diesem Blog oftmals bereits nach wenigen Stunden von Suchmaschinen erfasst, wodurch sie meist auch in deren Cache landen.

In den meisten sozialen Netzwerken kann man eigene Daten zwar löschen. Aber es ist dadurch nicht sichergestellt, dass sie tatsächlich weg sind. Hochverfügbar laufende IT-Systeme haben meist mehrere Backups und identisch konfigurierte und mit aktuellen Datenbeständen versehene Ersatzsysteme, um bei Sabotage oder Plattencrash zügig darauf umschalten und weiterlaufen zu können. Und oft genug enthält das Kleingedruckte in den Nutzungsverträgen mit den Plattformbetreibern Klauseln, wonach man ihnen Verwertungsrechte an den persönlichen Daten einräumt. Was sie dazu veranlassen kann, diese dafür vor endgültiger Löschung zu sichern.

So warf kürzlich der Security-Newsletter von TrendMicro die durchaus berechtigte Frage auf:  „When You Delete Your Social Media and Smartphone Files — Are They Really Deleted?“ Um im Weiteren auf die grundsätzliche Problematik der Kontrolle und Verfügung über Daten auf ausgelagerten IT-Systemen zu verweisen. Ein Thema, dass nicht nur Rechenzentren in Konzernen sondern zunehmend auch Privatnutzer mit ihren Mobilgeräten und Web 2.0-Accounts betrifft. So sieht z.B. der Prototyp von Googles Netbook-Betriebssystem Chrome OS ein fast ausschließlich webbasiertes Arbeiten mit dem Rechner vor, so das praktische alles – Programme, Daten, Dienste – aus dem Internet bezogen wird.

As more consumer data moves onto cloud computing platforms like Gmail and Facebook, and closed platforms like Kindle and iPhone, deleting your data—whether old email messages, college photos on Flickr or personal posts on Facebook—becomes more complicated. In fact, you have to trust that these companies will delete your data when you ask them to. Unfortunately, many of these sites are more likely to make your data inaccessible than actually delete it. And even if you do manage to delete your files, copies are almost certain to remain in the companies’ backup systems.

Als Lösung dafür wird auf die Idee von Dateien mit zeitlich begrenzter Lebensdauer und anschließender Selbstzerstörung hingewiesen. Eine Idee, die im Zuge des Vanish-Projektes an der University of Washington entstand und bereits als quelloffene Referenzimplementierung vorliegt. Allerdings haben auch Konzepte wie „Vanish“ ihre Nachteile, so dass eine endgültige Lösung für das Problem noch aussteht.

Während man das Dasein von gelöschten Dateien auf dem meisten Rechner also durchaus selbst endgültig beenden kann, erlangen ins Internet verlagerte Daten gewissermaßen eine Art „ewiges Leben“.

Videoüberwachung als Videospiel

Videokameras zur Überwachung im öffentlichen Raum, an Gebäuden oder sogar an Arbeitsplätzen werden bei Staat und Wirtschaft immer beliebter. So las ich kürzlich, dass Leipzig heute über mehr Überwachungskameras verfügt als die Stasi in den letzten Jahren ihres Daseins für die ganze DDR in Betrieb hatte.

Doch ein Problem haben die Kameras für ihre Betreiber: Um die mit ihnen erzeugten Datenmengen sinnvoll nutzen zu können, muss man Einsatzkräfte vor Ort bereithalten, die aktiv eingreifen können, wenn sich auf den Monitoren etwas tut. Nur ein kleiner Teil der Kameras wie z.B. die in Banken dient ausschließlich forensischen Zwecken (Dokumentation von Aktivitäten für strafrechtliche Verfolgung im Nachhinein).

Die Operatoren an den Bildschirmen müssen jedoch ebenso bezahlt und sozialversichert werden, wie das Einsatzpersonal, das bei Problemen wie z.B. Schlägereien im U-Bahnhof reagieren soll. Diese Kosten sorgten letztlich doch oftmals für Disziplin seitens der Kamerabefürworter. Denn eine 7×24 Überwachung an 365 Tagen im Jahr kostet schnell richtig viel Geld. Und da wohl die automatisierte Bilderkennung auf absehbare Zeit den „zweibeinigen Kostenfaktor“ vor dem Bildschirm nicht ersetzen, geschweige denn bei Problemen vor Ort ausrücken und eingreifen kann, sorgt das knappe Geld dafür, dass sich die Kameras noch nicht seuchenartig ausbreiten.

Dieses Problem hat die Firma Internet Eyes im generell sehr kamerafreundlichen Großbritannien nun gelöst. Dort gibt es im öffentlichen Raum etwa 4.200.000 Überwachungskameras. Im Schnitt für je 14 Briten eine. Sie alle zu überwachen oder auch nur im Nachhinein auszuwerten könnte rasch das Budget einer größeren Stadt sprengen. Daher kam man auf die Idee, die dort öffentlich über das Internet erreichbaren Kameras zu einer Art Videospiel zusammenzuschalten. Darin können registrierte Spieler Bilder von Überwachungskameras ansehen und im Falle einer Straftat Sicherheitskräfte alarmieren. Wer etwas Verdächtiges sieht und mitteilt, erhält einen Punkt; drei Punkte gibt es für das Überführen des Täters. Fehlalarme wiederum sorgen für Punktabzug. Wer zu oft Fehlalarme auslöst, scheidet aus (Game Over). Aus den Punkten wird eine monatliche Highscore-Liste generiert und der dort Erstplatzierte erhält 1.000 £ ausgezahlt.

Allerdings enthält das Spiel auch einen Risikoanteil. Wer mehr als drei Alarmmeldungen pro Monat absetzen will, bezahlt für je drei weitere Versuche Punkte zu sammeln 1 £. Dieses Geld sowie Rückflüsse über die Kamerabetreiber finanzieren das Spiel.

Charles Farrier, Bürgerrechtsaktivist und Direktor der Anti-Überwachungs-Gruppe „No-CCTV“, reagiert entsetzt auf die Idee: „Als Spiel finde ich die Idee erschreckend. Es wird ein Schnüfflerparadies geschaffen“. Es sei zu befürchten, dass etwa Rassisten jedes Mal den Schalter betätigen würden, sobald ein Mensch anderer Hautfarbe in der Kamera auftauche. Er erwarte schwerwiegende Verletzungen von Bürgerrechten. Daher hat No-CCTV bereits Beschwerde beim britischen Datenschutzbeauftragten eingelegt, um das Spiel zu stoppen.

Tony Morgan, der Erfinder von „Internet Eyes“, hält dagegen: „Das könnte die beste Waffe zur Verbrechensverhütung werden, die es je gab“, plant aber aus Gründen des Privatsphärenschutzes unter anderem nicht anzugeben, wo sich eine Überwachungskamera befinde. Die Spieler werden aber wohl rasch Möglichkeiten finden, sich über besonders lukrativ positionierte Kameras mit hohen Chancen auf Treffer auszutauschen.

Mitmachen darf laut Morgan jeder EU-Bürger, der über Internetzugang und Browser verfügt. Längerfristig soll das Projekt nicht nur in England, sondern auch in anderen Ländern angeboten werden.

Und so will er „Internet Eyes“ bald europaweit Kommunen und Polizeibehörden anbieten, die sich bislang eine kontinuierliche Überwachung ihrer Kameras nicht leisten konnten. Geht der Plan auf, dürfte dies ein explosionsartig wachsendes Aufkommen an Überwachungskameras zur Folge haben.

Der nächste Schritt wäre dann (zumindest in Deutschland) der Einsatz von 1 €-Jobbern statt gelangweilten Frührentnern am Bildschirm. Wollen wir es nicht hoffen, dass so mehr als 60 Jahre nach dem Fall der Hitlerdiktatur die Unkultur der Blockwarte wieder zurückkehrt.

Helfershelfer räumen ein: Abmahnungen einträglicher als verkaufte Musik

Was Kritiker des deutschen Abmahnrechts schon länger vermuteten, gesteht nun auch eine Firma ein, die potentiellen Abmahnbetrügern das technische Handwerkszeug zur Verfügung stellt: Durch Abmahnbetrug, also das missbräuchliche Nutzen der zivilrechtlichen Abmahnung um gezielt Geld abzuzocken, lässt sich schneller und leichter Geld verdienen als durch den regulären Vertrieb von Immaterialgütern.

Darüber berichtet Gulli.com, nachdem man auf (inzwischen aus dem Netz genommenen) Werbepräsentationen von Digi Rights Solutions GmbH aufmerksam wurde. Einer Firma die Tauschbörsen nach potentiellen Rechteverletzern und möglichen Abmahnkandidaten ausspäht. Oftmals mit durchaus fragwürdigen Methoden. Und die auf ihrer Website etliche Abmahnkanzleien als „Partner“ aufführt.

So Gulli.com:

Eine PowerPoint-Präsentation des Unternehmens könnte den Eindruck erwecken, als wären Abmahnungen nicht vom Gesetzgeber dafür geschaffen worden, um eine formale Aufforderung zu verschicken, damit ein bestimmtes Verhalten zukünftig unterbunden wird. Vielmehr erscheint es fast so, als wäre der Vertrieb von urheberrechtlich geschützten Werken überflüssig. Man veröffentlicht sie und wartet auf die Filesharer, die sich wie Goldfische auf das Brot stürzen, das man ins Wasser wirft.

So wird möglichen Kunden vorgerechnet, wie man mit Hilfe von Abmahnungen bedeutend mehr Geld „verdienen“ (eher abgreifen) kann, als mit ehrlichen und redlichen Geschäftspraktiken sowie ohne Anwaltskanzlei und digitalen Helfershelfern im Hintergrund.

Der Gulli-Artikel zeigt einmal mehr wie reformbedürftig das deutsche Immaterialgüterrecht an sich inzwischen geworden ist. In seiner jetzigen Form verkommt es zunehmend zu einer Grauzone in der sich Nepper, Schlepper, Bauerfänger – kurz Wirtschaftskriminelle aller Art tummeln.

Gleichzeitig ist dies einmal mehr ein Warnsignal an allzu sorglose Tauschbörsennutzer, sich der Datenspur bewusst zu sein, die sie dort hinterlassen. Und sich rechtzeitig um persönlichen Datenschutz und informationelle Selbstverteidigung zu kümmern.

Die von Gulli.com ausgewerteten Werbematerialien sind inzwischen nicht mehr abrufbar. Sie wurden der Firma wohl doch zu heikel bzw. werden wohl nur noch an persönlich bekannte Interessenten herausgegeben.

Update vom 15.10.2009:
Inzwischen ist die im Artikel erwähnte Präsentation über Wikileaks erreichbar geworden und hat auf internet-law.de zu einem Artikel geführt, dessen Autor meine Ansicht zu teilen scheint. Zum „Geschäftsmodell Filesharing-Abmahnungen“ hat sich zudem im XING-Forum „Gewerblicher Rechtsschutz“ eine Diskussion dazu entwickelt, in der sich Anwälte darüber austauschen, wie mit Abmahnbetrügern rechtlich verfahren werden kann.

Hacking at Random 2009

Heute geht in den Niederlanden das viertägige Hacker-Sommerfestival „Hacking at Random“ (HAR) zuende. Es war bereits vor Wochen ausverkauft. Auch aus Deutschland nahmen viele Hacker, Netzaktivisten und digital Natives daran teil.

Zumal eines der Kernthemen dieses Jahr der digitale Selbstschutz vor Privacy-Gefahren durch Staat und Wirtschaft war. Dazu wurden Projekte wie die „Surveillance Self-Defense“ der Electronic Frontier Foundation (EFF), das Portal für geleakte Geheimdokumente aller Art Wikileaks aber auch selbstgebaute Geräte zum Detektieren von RFID-Lauschern oder eine Demonstration des CCC, wie sich NEDAP-Wahlcomputer anhand kompromittierender Abstrahlung ausspähen lassen. Denn auch Wahlcomputer senden elektromagnetische Strahlen aus, die mit einer entsprechenden Antenne noch aus einigen Metern Entfernung gemessen werden können. Offen ist allerdings noch, welche Informationen sich aus diesen Daten gewinnen lassen.

Auch Methoden zur Umsetzung sowie zur Umgehung von Internetzensur waren ein heiß diskutiertes Thema auf der HAR. Ebenso wie „traditionelle“ Themen aus dem Umfeld der IT-Sicherheit und des kreativen Umgangs mit Technik.

Natürlich durften auch echte Hacker-Wettbewerbe nicht fehlen, bei denen zu diesem Zweck speziell vorbereitete Systeme gehackt werden mussten.

Fast alles was auf der HAR vorgetragen wurde kann im HAR-Wiki nachgelesen oder heruntergeladen werden. Schließlich sollen solche Informationen ja im Sinne der Veranstalter möglichst frei fließen …

Darknets – die anonymen Seiten des Netzes

Wer das Internet nutzt, hinterlässt Datenspuren. IP-Adressen, Logfile-Einträge, nachvollziehbare Aktivitäten. Vieles davon ist selbst mit Hilfe von Browsern wie Firefox oder Chrome , die einen „Privatmodus“ kennen, nicht zu vermeiden. Und beim Einsatz von anderen Netzprogrammen für Chats, Filesharing oder Usenet-Nutzung erst recht nicht.

Pädophile, Stalker, Abmahnbetrüger, Datensammler für Spammer und andere „Parasiten des Netzes“ suchen gezielt solche Daten. Oft auch mit Hilfe von Firmen wie Logistep, proMedia und anderen, die solchen zwielichtigen Gruppen im Nahmen sog. „Anti-Piracy“-Programmen zur Kriminalisierung von Tauschbörsenbenutzern zuarbeiten.

Doch bereits seit Jahren beschäftigen sich Gruppen von bürgerrechtsaffinen Netzbewohnern damit, solche Umtriebe durch neue Netzstrukturen einzudämmen, in die Anonymität und Datenschutz schon von Beginn an eingebaut sind. Vollverschlüsselung von Daten, Mixe und Proxys, Mehrfachverschlüsselung, Abschirmung realer IP-Adressen, Tunneling, Datenredundanz etc. sind technische Ansätze hierzu. Ausspähung, Cyber-Stalking, Abmahnbetrug etc. sollen technisch nahezu unmöglich gemacht werden. Ebenso aber auch Vorratsdatenspeicherung durch bzw. für staatliche Stellen.

Realisiert werden die Ideen in Form sog. „Darknets“. Der Begriff geht auf einen Fachartikel zurück, in dem Microsoft-Angestellte die These aufstellen,  dass die Existenz solcher Systeme ein wesentliches Hindernis für die Entwicklung funktionierender Techniken zur digitalen Rechteverwaltung seien (womit sie wahrscheinlich recht haben dürften).

The Darknet and the Future of Content Distribution (PDF, 360 Kb)

Wirklich anonymer, selbstbestimmter und zensurfreier Informations- und Datenaustausch ist nur in solchen, datenschutztechnisch besonders gehärteten Netzen möglich. Implementierte Referenzbeispiele für Darknet-Architekturen sind Freenet, Tor oder I2P.

Zu den Nachteilen bisheriger Darknets zählte stets die Notwendigkeit, spezielle Software installieren und konfigurieren zu müssen. Sowie sich mit den Grundprinzipien der jeweils zugrunde liegenden Protokolle befassen zu müssen. Sie kamen daher als „von Hackern für Hacker“ entwickelte Programme nie so recht aus dem Experimentier- und Bastelstadium heraus.

Auf der derzeit (25.-30. Juli) stattfindenden Konferenz „Black Hat 2009 – Digital Self-Defence“ plant ein Entwicklerteam von HP ein rein browserbasiertes Darknet namens „Veiled“. Es handelt sich um einen Proof-of-Concept-Prototypen, der weder als kommerzielles Produkt, noch als Open-Source-Software veröffentlicht werden soll. Die HP-Forscher wollen in ihrer demnächst von der Konferenzwebseite herunterladbaren Präsentation jedoch genügend Hinweise zu den jeweiligen von ihnen geschaffenen Problemlösungen geben, sodass Entwickler aus der Community eine eigene Implementation erstellen können.

Uli Ries beschreibt die Wirkungsweise von Veiled auf Heise.de so:

Dabei bilden alle Systeme, die zu einem Zeitpunkt eine bestimmte URL geöffnet haben, ein gemeinsames Netz. In das kann man Daten einspeisen und dann auch wieder abrufen. Auf Client-Seite steckt die gesamte Intelligenz in ein wenig JavaScript-Code, der mit einem PHP-Skript auf dem Server kommuniziert. Dabei können die Clients ihre Nachrichten an einzelne Clients oder an alle per Multicast verschicken. Die Kommunikation zwischen den Clients wird per RSA verschlüsselt.

Um die Ausfallsicherheit zu erhöhen, kann man die PHP-Applikation auf mehrere Webserver verteilen. Beim ersten Aufruf teilt der ursprüngliche Server den Clients die übrigen Adressen mit, sodass sich der Browser im Falle eines Ausfalls an einen der Backup-Supernodes wenden kann.

Wie bei anderen Darknets auch gibt es keinen zentralen Speicherort für die unter den Darknet-Nutzern ausgetauschten Dateien. Vielmehr gibt jeder Anwender eine frei definierbare Menge an Plattenplatz frei, die Darknet-Software verteilt alle vorhandenen Files dann stückchenweise auf die verfügbaren Platten.

Da Veiled auf HTML5 basiert, muss der Browser dieses vollständig unterstützen (was z.B. bei Firefox 3.5 der Fall ist).

Neben dem Datenaustausch umfasst Veiled noch eine AES-verschlüsselte Chatfunktion, eine Web-in-Web-Funktion (HTML-Files, die auf im Darknet gespeicherte Files verweisen) und eine Distributed-Computing-Funktion (Grid-Computing – alle Clients arbeiten gemeinsam eine Aufgabe ab). Alle Funktionen sind vollständig in JavaScript implementiert.

Doch warum eine weiteres Darknet-System anstatt ein bereits bestehendes Open-Source-Projekt mit Entwicklerkapazitäten zu stärken? Die HP-Entwickler Hoffman und Wood dazu: „Weil wir demonstrieren wollten, dass ein Browser nicht nur stupide Webseiten anzeigen kann. Außerdem sind wir davon überzeugt, dass Darknets wesentlich weiter verbreitet wären, wenn die Einstiegshürden wie Download, Installation und Konfiguration der Client-Software nicht existierten“.

Hoffman sieht dank Browser-Darknet zudem auch die Chance, dass legale Anwendungen Verbreitung finden und die Darknet-Technologie somit aus den „Grauzonen des Internets“ zu holen. So kann er sich eine Darknet-basierte Version der Whistleblower-Site Wikileaks vorstellen, die aufgrund des Aufbaus weniger anfällig gegen rechtliche Konsequenzen oder Sabotage durch Geheimdienste wäre als die klassische, auf Webservern aufbauende Version.

Vom Standpunkt der Informationssicherheit sind Darknets jedoch auch kritisch zu bewerten. Denn die Aspekte der Datenintegrität, der Authentizität von Quellen oder der schlichten Verfügbarkeit der Systeme kommen ihn ihnen konzeptbedingt zu kurz.

Doch die zunehmenden Bestrebungen von Rechteverwertern, Medienkonzernen und Regierungen, das Internet in ein nationalisiertes und territorialisiertes Shoppingnetz umzubauen machen solche technologischen Gegenentwürfe notwendig.