Videoüberwachung als Videospiel

Videokameras zur Überwachung im öffentlichen Raum, an Gebäuden oder sogar an Arbeitsplätzen werden bei Staat und Wirtschaft immer beliebter. So las ich kürzlich, dass Leipzig heute über mehr Überwachungskameras verfügt als die Stasi in den letzten Jahren ihres Daseins für die ganze DDR in Betrieb hatte.

Doch ein Problem haben die Kameras für ihre Betreiber: Um die mit ihnen erzeugten Datenmengen sinnvoll nutzen zu können, muss man Einsatzkräfte vor Ort bereithalten, die aktiv eingreifen können, wenn sich auf den Monitoren etwas tut. Nur ein kleiner Teil der Kameras wie z.B. die in Banken dient ausschließlich forensischen Zwecken (Dokumentation von Aktivitäten für strafrechtliche Verfolgung im Nachhinein).

Die Operatoren an den Bildschirmen müssen jedoch ebenso bezahlt und sozialversichert werden, wie das Einsatzpersonal, das bei Problemen wie z.B. Schlägereien im U-Bahnhof reagieren soll. Diese Kosten sorgten letztlich doch oftmals für Disziplin seitens der Kamerabefürworter. Denn eine 7×24 Überwachung an 365 Tagen im Jahr kostet schnell richtig viel Geld. Und da wohl die automatisierte Bilderkennung auf absehbare Zeit den „zweibeinigen Kostenfaktor“ vor dem Bildschirm nicht ersetzen, geschweige denn bei Problemen vor Ort ausrücken und eingreifen kann, sorgt das knappe Geld dafür, dass sich die Kameras noch nicht seuchenartig ausbreiten.

Dieses Problem hat die Firma Internet Eyes im generell sehr kamerafreundlichen Großbritannien nun gelöst. Dort gibt es im öffentlichen Raum etwa 4.2000.000 Überwachungskameras. Im Schnitt für je 14 Briten eine. Sie alle zu überwachen oder auch nur im Nachhinein auszuwerten könnte rasch das Budget einer größeren Stadt sprengen. Daher kam man auf die Idee, die dort öffentlich über das Internet erreichbaren Kameras zu einer Art Videospiel zusammenzuschalten. Darin können registrierte Spieler Bilder von Überwachungskameras ansehen und im Falle einer Straftat Sicherheitskräfte alarmieren. Wer etwas Verdächtiges sieht und mitteilt, erhält einen Punkt; drei Punkte gibt es für das Überführen des Täters. Fehlalarme wiederum sorgen für Punktabzug. Wer zu oft Fehlalarme auslöst, scheidet aus (Game Over). Aus den Punkten wird eine monatliche Highscore-Liste generiert und der dort Erstplatzierte erhält 1.000 £ ausgezahlt.

Allerdings enthält das Spiel auch einen Risikoanteil. Wer mehr als drei Alarmmeldungen pro Monat absetzen will, bezahlt für je drei weitere Versuche Punkte zu sammeln 1 £. Dieses Geld sowie Rückflüsse über die Kamerabetreiber finanzieren das Spiel.

Charles Farrier, Bürgerrechtsaktivist und Direktor der Anti-Überwachungs-Gruppe „No-CCTV“, reagiert entsetzt auf die Idee: „Als Spiel finde ich die Idee erschreckend. Es wird ein Schnüfflerparadies geschaffen“. Es sei zu befürchten, dass etwa Rassisten jedes Mal den Schalter betätigen würden, sobald ein Mensch anderer Hautfarbe in der Kamera auftauche. Er erwarte schwerwiegende Verletzungen von Bürgerrechten. Daher hat No-CCTV bereits Beschwerde beim britischen Datenschutzbeauftragten eingelegt, um das Spiel zu stoppen.

Tony Morgan, der Erfinder von „Internet Eyes“, hält dagegen: „Das könnte die beste Waffe zur Verbrechensverhütung werden, die es je gab“, plant aber aus Gründen des Privatsphärenschutzes unter anderem nicht anzugeben, wo sich eine Überwachungskamera befinde. Die Spieler werden aber wohl rasch Möglichkeiten finden, sich über besonders lukrativ positionierte Kameras mit hohen Chancen auf Treffer auszutauschen.

Mitmachen darf laut Morgan jeder EU-Bürger, der über Internetzugang und Browser verfügt. Längerfristig soll das Projekt nicht nur in England, sondern auch in anderen Ländern angeboten werden.

Und so will er „Internet Eyes“ bald europaweit Kommunen und Polizeibehörden anbieten, die sich bislang eine kontinuierliche Überwachung ihrer Kameras nicht leisten konnten. Geht der Plan auf, dürfte dies ein explosionsartig wachsendes Aufkommen an Überwachungskameras zur Folge haben.

Der nächste Schritt wäre dann (zumindest in Deutschland) der Einsatz von 1 €-Jobbern statt gelangweilten Frührentnern am Bildschirm. Wollen wir es nicht hoffen, dass so mehr als 60 Jahre nach dem Fall der Hitlerdiktatur die Unkultur der Blockwarte wieder zurückkehrt.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Helfershelfer räumen ein: Abmahnungen einträglicher als verkaufte Musik

Was Kritiker des deutschen Abmahnrechts schon länger vermuteten, gesteht nun auch eine Firma ein, die potentiellen Abmahnbetrügern das technische Handwerkszeug zur Verfügung stellt: Durch Abmahnbetrug, also das missbräuchliche Nutzen der zivilrechtlichen Abmahnung um gezielt Geld abzuzocken, lässt sich schneller und leichter Geld verdienen als durch den regulären Vertrieb von Immaterialgütern.

Darüber berichtet Gulli.com, nachdem man auf (inzwischen aus dem Netz genommenen) Werbepräsentationen von Digi Rights Solutions GmbH aufmerksam wurde. Einer Firma die Tauschbörsen nach potentiellen Rechteverletzern und möglichen Abmahnkandidaten ausspäht. Oftmals mit durchaus fragwürdigen Methoden. Und die auf ihrer Website etliche Abmahnkanzleien als „Partner“ aufführt.

So Gulli.com:

Eine PowerPoint-Präsentation des Unternehmens könnte den Eindruck erwecken, als wären Abmahnungen nicht vom Gesetzgeber dafür geschaffen worden, um eine formale Aufforderung zu verschicken, damit ein bestimmtes Verhalten zukünftig unterbunden wird. Vielmehr erscheint es fast so, als wäre der Vertrieb von urheberrechtlich geschützten Werken überflüssig. Man veröffentlicht sie und wartet auf die Filesharer, die sich wie Goldfische auf das Brot stürzen, das man ins Wasser wirft.

So wird möglichen Kunden vorgerechnet, wie man mit Hilfe von Abmahnungen bedeutend mehr Geld „verdienen“ (eher abgreifen) kann, als mit ehrlichen und redlichen Geschäftspraktiken sowie ohne Anwaltskanzlei und digitalen Helfershelfern im Hintergrund.

Der Gulli-Artikel zeigt einmal mehr wie reformbedürftig das deutsche Immaterialgüterrecht an sich inzwischen geworden ist. In seiner jetzigen Form verkommt es zunehmend zu einer Grauzone in der sich Nepper, Schlepper, Bauerfänger – kurz Wirtschaftskriminelle aller Art tummeln.

Gleichzeitig ist dies einmal mehr ein Warnsignal an allzu sorglose Tauschbörsennutzer, sich der Datenspur bewusst zu sein, die sie dort hinterlassen. Und sich rechtzeitig um persönlichen Datenschutz und informationelle Selbstverteidigung zu kümmern.

Die von Gulli.com ausgewerteten Werbematerialien sind inzwischen nicht mehr abrufbar. Sie wurden der Firma wohl doch zu heikel bzw. werden wohl nur noch an persönlich bekannte Interessenten herausgegeben.

Update vom 15.10.2009:
Inzwischen ist die im Artikel erwähnte Präsentation über Wikileaks erreichbar geworden und hat auf internet-law.de zu einem Artikel geführt, dessen Autor meine Ansicht zu teilen scheint. Zum „Geschäftsmodell Filesharing-Abmahnungen“ hat sich zudem im XING-Forum „Gewerblicher Rechtsschutz“ eine Diskussion dazu entwickelt, in der sich Anwälte darüber austauschen, wie mit Abmahnbetrügern rechtlich verfahren werden kann.

Neues Hoeren-Skript zum Internetrecht

Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münsterund Richter am Oberlandesgericht Düsseldorf, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,2 MB) bereit.

Obwohl „Skript“ für dieses umfassende, gut 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.

Thomas Hoeren gab kürzlich der ZEIT ein Interview, in dem er die überkommenen Strukturen des deutschen Urheberrechts sowie die fragwürdige Praxis des sogenannten „fliegenden Gerichtsstands“ kritisierte und sich zu Ideen wie der Kulturflatrate äußerte.

Abgefischte WoW-Rollenspieler

Teilnehmer des beliebten Online-Rollenspiels World of Warcraft entwickeln sich zunehmend zu einer interessanten Zielgruppe für Phishing-Attacken. Schließlich lassen sich die Zugangsdaten zu WoW-Konten von Spielern ebenso weiterverkaufen wie seltene und daher wertvolle Gegenstände im Besitz der Spieleravatare.

Kürzlich erreichte eine Phishing-Mail die Spielergemeinde, die den Anschein hatte, als dass sie vom Betreiber Blizzard Entertainment verschickt wurde und in der es um die freiwillige Teilnahme an einem Test neuer Spielfunktionen ging. Konkret wurde ein neues spieltechnisch verbessertes Reittier versprochen (exotische Reittiere sind in WoW ein zum Teil recht wertvoller und schwer zu erlangender Besitz).

Wer an dem Test teilnehmen wollte, hätte einen Link anzuklicken und sich mit seinen Spielerdaten auf einer Website anzumelden, die auch den Begriff „worldofwarcraft“ mit im Namen trug.

So berichteten es kürzlich die Malware-Experten bei Sophos, die den Hergang der Phishing-Attacke analysierten.

Generell sollte man Mails, die einem besondere Spielvorteile wie mehr Gold, bessere Waffen, besondere Zauber oder sonst etwas Interessantes versprechen, sehr skeptisch begegnen. Insbesondere wenn die versprochenen Dinge nichts kosten und den Login mit eigenen Account-Informationen auf einer unbekannten Website erfordern.

Außerdem darf davon ausgegangen werden, dass Blizzard Entertainment Tests von professionellen Testern durchführen lässt und öffentliche Betatests von Spielfunktionen auf seiner Website ankündigt.

Firefox – Der Sicherheitsvorsprung schwindet

Vor einigen Jahren wurde es noch als Geheimtipp unter Sicherheitsexperten gehandelt: Wer im Internet sicher sein will, der sollte als Browser Firefox statt Internet Explorer einsetzen. Doch die Zeiten ändern sich. Neue Schadprogramme finden auch durch die alternativen Browser ihren Weg auf den PC – der Vorteil der alternativen und quelloffenen Browser nimmt ab.

Zu diesem Ergebnis kam das deutsche Sicherheitsnetz, ein Verein der es sich zu Ziel gesetzt hat, die Sicherheit der Internetnutzung in Deutschland zu erhöhen.

Man hatte von Mai bis Juni 2009 etwa 5.600 Rechner untersucht und kam dabei zum Ergebnis, dass alternative Browser wie Firefox oder Opera praktisch ebenso angreifbar sind, wie der dafür oft kritisierte Internet Explorer von Microsoft.

In der Untersuchung des deutschen Sicherheitsnetzes ließen sich im Durchschnitt 54 % aller getesteten Browser angreifen. Die Unterschiede zwischen dem Internet Explorer (53 %) und Firefox (55 %) waren dabei marginal. Am schlechtesten hat in dieser Untersuchung der schon angejahrte Netscape-Browser abgeschnitten (80 % Angreifbarkeit). Der erste Platz ging an Google-Chrome (46 % Angreifbarkeit), wobei dies mehr auf seine noch relative Neuheit als besseren Sicherheitseigenschaften zurückführbar sein dürfte.

Untersucht wurden typische Schwachstellen die direkt auf den Browser zurückgehen (veraltete Browser-Versionen, bekannte Browser-Bugs) sowie bekannte Fehler in installierten Plugins und Mediakomponenten (PDF, Java, Flash, Shockwave, Quicktime und Media-Player). Der Online-Test steht in einer leicht reduzierten Fassung auch heute noch unter www.desine.de jedermann kostenlos zur Verfügung.

Ursache für die zunehmende generelle Verwundbarkeit der Browser ist dabei neben den zunehmenden Nutzungsanteilen von Browsern wie Firefox hauptsächlich ein weiterer Angriffsweg, der zunehmend an Bedeutung gewinnt: Multimediadateien und kommerzielle Plugins zu deren Wiedergabe. Sie werden auf allen Browsern in etwa gleich verarbeitet, was den Angreifern einer viel größere potentielle Verbreitungsmöglichkeit ihrer Exploits ermöglicht.

Ausschlaggebend dafür ist der Umstand, dass alle Browser-Hersteller auf die gleichen (kommerziellen) Plugins und Multimediaerweiterungen setzen. Damit erben die Browser-Hersteller auch automatisch die Sicherheitsprobleme der Multimedia- und Plugin-Produzenten. Die Sicherheitslücken von Adobe (PDF, Flash) und Apple (Quicktime) werden so automatisch zu den Sicherheitslücken der diversen Browser. Deren eigene Vorteile durch eine grundsätzlich sicherheitsorientiertere Entwicklungsphilosophie relativieren sich so durch die importierten Probleme anderer Softwarekomponenten.

Das zeigt ein generelles Problem von Komponentensoftware aus mehreren Quellen auf: Die sicherheitstechnische Gesamtstärke entspricht der des schwächsten Gliedes im System.

Datenschutz beim Onlinemarketing – haben Sie eingewilligt?

Die Häufung von Datenschutzschlampereien in zahlreichen deutschen Firmen haben in diesem Jahr zu einer Verschärfung des Datenschutzgesetzes geführt. Zwar nicht in dem Maße wie es Datenschutzexperten forderten, um illegalem Datenhandel, betrügerischen Praktiken oder Krankendatensammelei in Firmen entgegentreten zu können. Aber doch deutlich genug, um die allgemeine Schlamperwirtschaft im Umgang mit personenbezogenen Daten zu einem ernstzunehmenden juristischen Haftungsrisiko für Unternehmen zu machen.

Insbesondere für zahlreiche Formen des Internet-Marketings (database marketing, permission marketing, afiliate marketing, user targeting, profiling, e-mail  & newsletter marketing usw.) bedeutet das größere Veränderungen der Abläufe und in der Software, um hier wieder compliant zu werden. Oft rächen sich jetzt konzeptionelle Nachlässigkeiten der letzten Jahre.

Ein Schlüsselelement bilden dabei die Einwilligungen zur Datenverarbeitung i.S.d. § 4 BDSG. Die sollten Unternehmen nicht nur einholen sondern auch bei entsprechenden Prüfungen nachweisen können. Oft beginnen da schon die Probleme, weil nicht mehr klar ist, welchen firmeninternen Datenschutzbestimmungen in welcher Version der Kunde mal zugestimmt hat, da nicht ausreichend dokumentiert wurde.

Typisch war in der Vergangenheit auch oft, dass den betroffenen Unternehmen nicht klar war, dass die rechtmäßige Nutzung von personenbezogenen Daten regelmäßig eine schriftliche Einwilligung der Betroffenen erforderlich machte. Ohne eine solche Einwilligung ist und bleibt die Verwendung personenbezogener Daten aber grundsätzlich verboten (sog. Verbot mit Erlaubnisvorbehalt).

Neben dem Datenschutzrecht kommen aber auch auch wettbewerbsrechtliche Regeln zum Tragen: „Bei Bestandskunden (B2C und B2B) ist ausnahmsweise eine Bewerbung eigener Angebote auch ohne Einwilligung erlaubt, sofern die Daten im Zusammenhang mit Begründung oder Durchführung der Kundenbeziehung erlangt wurden und der Kunde der Zusendung von E-Mails nicht widerspricht“, so Burkhard Danckert, Rechtsanwalt der Kanzlei LDM Lehner, Dänekamp & Mayer in einem Interview mit der Internet-Marketing-Firma Artegic AG in derem Newsletter.

Und weiter: „Das neue Datenschutzrecht enthält ein so genanntes Listenprivileg, nach welchem Werbung sowohl im Hinblick auf die berufliche Tätigkeit des Betroffenen als auch für eigene Angebote der verantwortlichen Stelle erlaubt ist. Letzteres aber nur dann, wenn die Daten beispielsweise aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Unbedingt zu beachten ist, dass im Bereich B2B (ohne Einbeziehung der Bestandskunden) Werbung im Hinblick auf die berufliche Tätigkeit nach dem Datenschutzgesetz zwar erlaubt, genau dieselbe E-Mail-Werbung in der Regel nach den wettbewerbsrechtlichen Vorschriften aber unzulässig ist. Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ist wie schon bei Bestandskunden die E-Mail-Werbung ohne Einwilligung nur in Ausnahmefällen zulässig. Und bei Nicht-Bestandskunden ist die E-Mail-Werbung ohne explizite Einwilligung generell unzulässig.“

Ein zentrales Thema für das richtige Einholen von Einwilligungen sind juristisch korrekte Angaben zum Datenschutz. Doch hier werden häufig nur Vorlagen von Dritten übernommen ohne eine Prüfung für die inhaltliche Eignung im eigenen Geschäftskontext.

Anwalt Danckert hierzu: „Ich schätze, dass über 90 % der Datenschutzbelehrungen fehlerhaft sind“, so Anwalt Danckert  und erläutert rechtlich umfassend was in einer solchen Datenschutzbelehrung mindestens stehen muss: „Die verpflichtenden Angaben ergeben sich aus § 13 Telemediengesetz (TMG). Danach hat der Unternehmer in der Datenschutzbelehrung über Art, Umfang und Zweck der Erhebung sowie über die Verwendung personenbezogener Daten und die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten. Welche Angaben konkret zu machen sind, hängt immer auch vom konkreten Angebot des Unternehmens ab. Als Leitgedanke gilt, dass der Nutzer mit der Belehrung unmissverständlich in Kenntnis gesetzt wird, was mit seinen Daten passiert. Bei Newslettern ist der Kunde somit z.B. auch über die Häufigkeit der Versendung des Newsletter aufzuklären. Weiter ist der Nutzer unbedingt auf die Widerrufsmöglichkeit hinzuweisen, sofern er eine Einwilligung zur Datenverwendung gegeben hat. Dieser Hinweis muss selbstverständlich auch beim E-Mail-Abonnement gegeben werden. Es muss in diesem Zusammenhang dann auch dargestellt werden, wie das Widerrufsrecht ausgeübt werden kann.“

Es gibt also viel zu tun beim Datenschutz der Online-Marketeers. Daher haben deren Berufsverbände bereits erstes Material zur weiteren Information herausgegeben, mit dessen Lektüre man beginnen sollte.

Richtlinie Online-Marketing des Verbandes der deutschen Internetwirtschaft e.V. (eco)

Überblick über die Datenschutznovellen 20009 vom deutschen Dialogmarketing Verband e.V.

Und es zeigt sich einmal mehr, dass im Geschäftsleben das konsequente Durchsetzen der eigenen Interessen gegenüber anderen Gruppen in der Gesellschaft letztlich zu enormen Widerständen und in deren Folge zu weiterer Komplexität durch die dann notwendig gewordene härtere Regulierung führt. Die jetzt jammernden Firmen müssen einem daher nicht wirklich leid tun.

Darknets – die anonymen Seiten des Netzes

Wer das Internet nutzt, hinterlässt Datenspuren. IP-Adressen, Logfile-Einträge, nachvollziehbare Aktivitäten. Vieles davon ist selbst mit Hilfe von Browsern wie Firefox oder Chrome , die einen „Privatmodus“ kennen, nicht zu vermeiden. Und beim Einsatz von anderen Netzprogrammen für Chats, Filesharing oder Usenet-Nutzung erst recht nicht.

Pädophile, Stalker, Abmahnbetrüger, Datensammler für Spammer und andere „Parasiten des Netzes“ suchen gezielt solche Daten. Oft auch mit Hilfe von Firmen wie Logistep, proMedia und anderen, die solchen zwielichtigen Gruppen im Nahmen sog. „Anti-Piracy“-Programmen zur Kriminalisierung von Tauschbörsenbenutzern zuarbeiten.

Doch bereits seit Jahren beschäftigen sich Gruppen von bürgerrechtsaffinen Netzbewohnern damit, solche Umtriebe durch neue Netzstrukturen einzudämmen, in die Anonymität und Datenschutz schon von Beginn an eingebaut sind. Vollverschlüsselung von Daten, Mixe und Proxys, Mehrfachverschlüsselung, Abschirmung realer IP-Adressen, Tunneling, Datenredundanz etc. sind technische Ansätze hierzu. Ausspähung, Cyber-Stalking, Abmahnbetrug etc. sollen technisch nahezu unmöglich gemacht werden. Ebenso aber auch Vorratsdatenspeicherung durch bzw. für staatliche Stellen.

Realisiert werden die Ideen in Form sog. „Darknets“. Der Begriff geht auf einen Fachartikel zurück, in dem Microsoft-Angestellte die These aufstellen,  dass die Existenz solcher Systeme ein wesentliches Hindernis für die Entwicklung funktionierender Techniken zur digitalen Rechteverwaltung seien (womit sie wahrscheinlich recht haben dürften).

The Darknet and the Future of Content Distribution (PDF, 360 Kb)

Wirklich anonymer, selbstbestimmter und zensurfreier Informations- und Datenaustausch ist nur in solchen, datenschutztechnisch besonders gehärteten Netzen möglich. Implementierte Referenzbeispiele für Darknet-Architekturen sind Freenet, Tor oder I2P.

Zu den Nachteilen bisheriger Darknets zählte stets die Notwendigkeit, spezielle Software installieren und konfigurieren zu müssen. Sowie sich mit den Grundprinzipien der jeweils zugrunde liegenden Protokolle befassen zu müssen. Sie kamen daher als „von Hackern für Hacker“ entwickelte Programme nie so recht aus dem Experimentier- und Bastelstadium heraus.

Auf der derzeit (25.-30. Juli) stattfindenden Konferenz „Black Hat 2009 – Digital Self-Defence“ plant ein Entwicklerteam von HP ein rein browserbasiertes Darknet namens „Veiled“. Es handelt sich um einen Proof-of-Concept-Prototypen, der weder als kommerzielles Produkt, noch als Open-Source-Software veröffentlicht werden soll. Die HP-Forscher wollen in ihrer demnächst von der Konferenzwebseite herunterladbaren Präsentation jedoch genügend Hinweise zu den jeweiligen von ihnen geschaffenen Problemlösungen geben, sodass Entwickler aus der Community eine eigene Implementation erstellen können.

Uli Ries beschreibt die Wirkungsweise von Veiled auf Heise.de so:

Dabei bilden alle Systeme, die zu einem Zeitpunkt eine bestimmte URL geöffnet haben, ein gemeinsames Netz. In das kann man Daten einspeisen und dann auch wieder abrufen. Auf Client-Seite steckt die gesamte Intelligenz in ein wenig JavaScript-Code, der mit einem PHP-Skript auf dem Server kommuniziert. Dabei können die Clients ihre Nachrichten an einzelne Clients oder an alle per Multicast verschicken. Die Kommunikation zwischen den Clients wird per RSA verschlüsselt.

Um die Ausfallsicherheit zu erhöhen, kann man die PHP-Applikation auf mehrere Webserver verteilen. Beim ersten Aufruf teilt der ursprüngliche Server den Clients die übrigen Adressen mit, sodass sich der Browser im Falle eines Ausfalls an einen der Backup-Supernodes wenden kann.

Wie bei anderen Darknets auch gibt es keinen zentralen Speicherort für die unter den Darknet-Nutzern ausgetauschten Dateien. Vielmehr gibt jeder Anwender eine frei definierbare Menge an Plattenplatz frei, die Darknet-Software verteilt alle vorhandenen Files dann stückchenweise auf die verfügbaren Platten.

Da Veiled auf HTML5 basiert, muss der Browser dieses vollständig unterstützen (was z.B. bei Firefox 3.5 der Fall ist).

Neben dem Datenaustausch umfasst Veiled noch eine AES-verschlüsselte Chatfunktion, eine Web-in-Web-Funktion (HTML-Files, die auf im Darknet gespeicherte Files verweisen) und eine Distributed-Computing-Funktion (Grid-Computing – alle Clients arbeiten gemeinsam eine Aufgabe ab). Alle Funktionen sind vollständig in JavaScript implementiert.

Doch warum eine weiteres Darknet-System anstatt ein bereits bestehendes Open-Source-Projekt mit Entwicklerkapazitäten zu stärken? Die HP-Entwickler Hoffman und Wood dazu: „Weil wir demonstrieren wollten, dass ein Browser nicht nur stupide Webseiten anzeigen kann. Außerdem sind wir davon überzeugt, dass Darknets wesentlich weiter verbreitet wären, wenn die Einstiegshürden wie Download, Installation und Konfiguration der Client-Software nicht existierten“.

Hoffman sieht dank Browser-Darknet zudem auch die Chance, dass legale Anwendungen Verbreitung finden und die Darknet-Technologie somit aus den „Grauzonen des Internets“ zu holen. So kann er sich eine Darknet-basierte Version der Whistleblower-Site Wikileaks vorstellen, die aufgrund des Aufbaus weniger anfällig gegen rechtliche Konsequenzen oder Sabotage durch Geheimdienste wäre als die klassische, auf Webservern aufbauende Version.

Vom Standpunkt der Informationssicherheit sind Darknets jedoch auch kritisch zu bewerten. Denn die Aspekte der Datenintegrität, der Authentizität von Quellen oder der schlichten Verfügbarkeit der Systeme kommen ihn ihnen konzeptbedingt zu kurz.

Doch die zunehmenden Bestrebungen von Rechteverwertern, Medienkonzernen und Regierungen, das Internet in ein nationalisiertes und territorialisiertes Shoppingnetz umzubauen machen solche technologischen Gegenentwürfe notwendig.

Wenn das Internet vergesslich wird

Das Internet vergisst nichts. Alles was an Informationen hineingerät ist potentiell für ewig darin gespeichert. Weil es von Suchmaschinen indiziert und in Cache-Speicher kopiert wird. Weil öffentliche Internetarchive es erfassen und langfristig speichern. Weil Informationen über P2P-Netzwerke, Filesharing, Blogs, Chats oder Aggregationsdienste weitergetragen und verteilt werden. Oder weil zunächst „flüchtig“ angelegte Systeme wie Usenet-Newsserver mit einer Informationsvorhaltezeit von einigen Wochen mittlerweile Archive haben, die zehn und mehr Jahre zurückreichen (bsp. Google-Groups). Das Internet ist aufgrund seiner verteilten, dezentralen und redundanten Infrastruktur der wohl ausfallsicherste und stabilste Datenspeicher der Welt.

Datenschützer fordern daher schon länger „das Internet müsse vergessen lernen“. Was an sich widersprüchlich klingt, wurde kürzlich von Informatikern der University of Washington softwaretechnisch realisiert. Sie entwickelten „Vanish“, ein Open-Source-Programm dass dem Internet Alzheimer einpflanzen würde, wenn es in der Fläche zum Einsatz käme.

Mit ihm kann der Ersteller einer Information jedem Posting, jeder Mail und jedem anderen Informationsfragment, das er in die Welt setzt, ein Verfallsdatum zuteilen, nach dessen Erreichen die Information automatisch verschwindet.

Vanish erzeugt für jede Information, die mit einem Browser online gestellt wird, einen geheimen Schlüssel, mit dem diese verschlüsselt wird. Niemand, auch nicht der Sender, kennt diesen Schlüssel. Der Schlüssel wird anschließend aufgeteilt und zufällig auf mehrere Computer verteilt, die P2P-Netzwerken angehören. Da sich solche Netze laufend verändern, indem Computer neu hinzukommen und andere verschwinden, verschwindet der Schlüssel allmählich aus dem Netz. Nach einer gewissen, vom Nutzer vorgegebenen, Zeit lassen sich die Informationen daher nicht mehr entschlüsseln und werden so zu Datenmüll.

Voraussetzung ist, dass  bei jedem Zugriff auf die Information, der zeitlich nur begrenzt verfügbare Schlüssel erneut aus dem Netz geholt werden muss – die Informationen also nicht offline genutzt werden (können).

Um zu funktionieren, müssen alle Beteiligten Vanish installiert haben, das auch als Firefox-Plugin verfügbar ist.  Allerdings kann das Programm nicht verhindern, dass Nutzer die Informationen retten, indem sie diese ausdrucken bzw. per Screenshot oder Copy & Paste in ein anderes Programm übernehmen.

Ähnliche Ansätze gibt es im Bereich des Enterprise Rights Management (DRM für vertrauliche Unternehmensdaten). Dort sorgen aber stets eine abgeschlossene IT-Umgebung sowie homogene gemanagte Systeme für deren Funktionieren.

Allerdings wirft die Diskussion um das „vergessliche“ Internet einige Fragen auf: Einer der großen Vorteile des Internets ist seine globale Verfügbarkeit verbunden mit dem Zugriff auf potentiell alle jemals darin gespeicherten Informationen. Produkte wie „Vanish“ einzusetzen, käme der Informationsfreiheit in etwa so entgegen, als würde man in einer Bibliothek Buchwürmer aussetzen, um in ihr das Überhandnehmen an Gedrucktem einzudämmen.

Neben den Nutzern sozialer Netzwerke oder von Cloud-Computing-Diensten sind es vor allem Urheber und Rechteinhaber, die zunehmend ein „vergessliches“ Internet fordern. Sie wollen die Kontrolle über „ihre“ (??) Informationen sogar dann noch behalten, wenn sie diese bereits gegen Geld verkauft haben. Wie es kürzlich Amazon-Kunden in den USA feststellen mussten, denen gekaufte und bezahlte e-Books von ihren Kindle-Readern gelöscht wurden.

Technologien wie Vanish könnten daher im Erfolgsfall einen weiteren Beitrag zur Verschiebung der Kräfteverhältnisse weg von der Allgemeinheit und hin zu den Rechtemonopolisten darstellen.

Von der Leyen fordert Internet-Verhaltenskodex

Bundesfamilienministerin Ursula „Zensuschi“ von der Leyen verkommt zunehmend zum laufenden Blondinenwitz der Bundesregierung. So trat die vehemente Befürworterin der Internetzensur kürzlich mit einer Forderung nach Benimmregeln für das Internet im Rahmen eines Interviews mit der „Rheinischen Post“ an die Öffentlichkeit.

Ursula von der Leyen:

Ich möchte gemeinsam mit den Verantwortlichen solcher Kommunikationsforen, aber auch mit der Kompetenz der Jugendlichen einen Verhaltenskodex entwickeln. Es geht um achtsamen und wachen Umgang miteinander. Minderjährige müssen beispielsweise wissen, dass sich Erwachsene mit üblen Absichten in ihre Chats einschleichen können. Sie können soziale Kompetenzen im virtuellen Miteinander ebenso erwerben wie im realen Leben. Mobbing im Netz kann nicht toleriert werden. Respektvoller Umgang muss in Chats, blogs oder Foren so selbstverständlich sein, wie wir das auch im Schulalltag mit Streitschlichtern oder Vertrauenslehrern einfordern.

Dumm nur, dass „die Verantwortlichen“ hierzu die Ministerin gar nicht benötigen. Und das Problem selbst bereits vor etwa 30 Jahren gelöst haben. In Form der sog. „Netiquette“, einer weltweit akzeptierten informellen Norm zum guten Umgang mit den diversen Kommunikationsmöglichkeiten im Internet. Die Netiquette entstand zunächst in den Newsgroups des Usenet als informeller Standard des guten Umgangs miteinander und mit der Technik und kann bis in die 80er Jahre des letzten Jahrhunderts zurückverfolgt werden.

Sie fand daher auch bereits 1995 in Form des RfC1855 Eingang in die globalen technischen Normungsprozesse im Internet. Und wurde im Wesentlichen unverändert lediglich fortgeschrieben, wenn neue Kommunikationssysteme wie Chats, Webforen oder soziale Netzwerke die bestehenden wie E-Mail oder Usenet ergänzten.

Kurz: Die Welt im Internet funktioniert auch ohne die Vertreter der Internetausdrucker aus Berlin. Und das seit Jahrzehnten. Zumindest solange man sie denen überlässt, die darin leben und ihr Lebensumfeld selbst gestalten.

Zumal die gerade im christlich-konservativen Lager zunehmend verfolgbare Tendenz hin zu einem staatlich reglementierten „Jugendschutz für Erwachsene“ sich mit den Prinzipien der freiheitlich demokratischen Grundordnung unseres Staates ohnehin kaum in Einklang bringen lässt.