Werde aktiv: Zeichne die Petition ACTA: Die neue Gefahr fürs Netz. Es sind schon fast 1 Mio. Unterzeichner!

02.07.2011 – 18:36:54 Uhr

Ihr Beitrag: Haha
Grenzen, die unser Grundgesetz dem Staat aufzeigt, werden von Unionspolitikern ständig überschritten. Nur mal zur jüngsten Demo nach Sachsen schauen (mit CDU-Innenminister). Vielen wachen Bürgern und einigen FDP-Politikern (um wieder zum Thema FDP zu kommen) wie S. Leutheusser-Schnarrenberger oder B. Hirsch ist es zu verdanken, dass wir noch keinen totalen Überwachungsstaat haben. Ihre Aussage “Die Vorratsdatenspeicherung wird zudem nur in konkreten Einzelfällen angewendet und nicht bei jedem Bürger” zeigt mir, dass weitere Diskussionen hier keinen Sinn machen. Denn die Vorratsdatenspeicherung wird schon seit März 2010 nicht mehr angewandt. Und selbst wenn, würde erst mal von jedem alles gespeichert. Die CDU würde dann gerne viel darauf zugreifen. Natürlich nur für unserer Sicherheit

wurde von uns nach Prüfung durch einen Administrator nicht veröffentlicht.

02.07.2011 – 18:42:50 Uhr

Ihr Beitrag: Sachlichkeit
Pottwahl: Noch etwas zu Sachlichkeit. Ihre erste Antwort unten begann mit “Ich habe selten einen solchen Unsinn gelesen!”. Dies hier ist ein Diskussionsforum und alle Beiträge sind Meinungsäußerungen. Man kann anderer Meinung sein und dies auch darlegen. Aber Äußerungen als “Unsinn” zu bezeichnen, würde mir nicht einfallen. Also mit der Sachlichkeit bitte bei sich selbst beginnen, bevor man es von anderen fordert. Mir scheint fast, auch wenn ich die Anzahl Ihrer Beiträge hier sehe, dass Sie gezielt Stimmung für die eigene Partei machen. Sollen Sie gerne tun können, aber lassen sie den anderen ihre Meinung.

wurde von uns nach Prüfung durch einen Administrator nicht veröffentlicht.

02.07.2011 – 19:01:23

Ihr Beitrag: Vorratsdatenspeicherung
Nur zur Info: Die Vorratsdatenspeicherung wird schon seit März 2010 nicht mehr angewandt. Weil viele Bürger und auch einige FDP-Politiker (um wieder zum Thema FDP zu kommen) wie S. Leutheusser-Schnarrenberger oder B. Hirsch dagegen geklagt haben.

wurde von uns nach Prüfung durch einen Administrator nicht veröffentlicht.

02.07.2011 – 19:18:35

Ihr Beitrag: Zensur
Danke für die Zensur, liebe Redaktion. Leute wie “Pottwal” dürfen mehr, sind auch politisch auf Linie, nicht wahr. Wo kann man den Account löschen?

wurde von uns nach Prüfung durch einen Administrator nicht veröffentlicht.

Übrigens: Eine Möglichkeit, seinen Account bei Focus zu löschen, sucht man vergebens. Die Hinweise zu AGB und Datenschutz werden auf andere Websites von Tomorrow Focus Media umgeleitet. Ich werde es zukünftig meiden, Focus Online zu zitieren. Der Laden ist meines Erachtens nicht koscher und hat mit objektivem Journalismus nicht viel zu tun.

Nachtrag: Ich habe soeben den RSS-Feed von Focus Online aus meiner Nachrichtenquelle entfernt.

Nachtrag 2:  Statt oder auch gerne zusätzlich zu B. Hirsch hätte ich im ersten Kommentar oben G. Baum nennen sollen.

Nun kann man zu dem PSN-Hack stehen wie man will. Am Ende ist der Kunde der Dumme, der nun um seine Daten bangt. Es gibt durchaus Menschen, die Sony selbst eine Mitschuld dafür in die Schuhe schieben. Denn Sony hat sich wie kaum eine andere Firma unbeliebt gemacht mit strategischen Entscheidungen und Maßnahmen im Zusammenhang mit der Playstation 3. Die rechtsstaatlich zweifelhafte Beschaffung von persönlichen Daten von unliebsamen PS3-Hackern stellt da nur die Spitze des Eisberg da. Und seit Jahren steht Sony immer wieder im Mittelpunkt der Kritik der Community, wenn es um die Gängelung der Kunden und Einschränkung von Kundenrechten geht (Beispiele: Rootkit bei Audio-CDs, DRM). Man sollte auch beachten, dass Sony auch ein Medienunternehmen ist, welches maßgeblich an der Verfolgung von Urheberrechtsverletzungen im Internet beteiligt ist (inkl. der Abmahnindustrie). Sicherheit heisst für Sony hauptsächlich “die eigene Geschäftsgrundlage sichern”. Mit Sicherheit im Sinne der Kunden hat das wenig zu tun.

Aber solange Sonys Produkte und Dienstleistungen ihren eigentlichen, begrenzten Zweck erfüllten, habe ich mich dadurch nicht über Gebühr eingeschränkt gefühlt (ein Vorteil, wenn man nicht im Mainstream schwimmt und z.B. kein Windows einsetzt). Die PS3 als Multimedia-Zentrale und Sonys Video-Download-Dienst fand ich trotz allem gelungen. Bei zu großer Gängelung (wie DRM-Musik) habe ich eben nicht gekauft.

Jetzt ist aber ein Punkt gekommen, wo Sony ganz eindeutig handeln muss im Sinne der Verbraucher. Denn wer seine Dienste und Produkte so gut abschottet (u.a. durch etliche “Sicherheitsupdates” der PS3) und Zuwiderhandlungen vehement verfolgt, von dem kann man doch wohl verlangen, die persönlichen Daten der Kunden ebenso gut abzuschotten. Oder? Der Vorfall zeigt eindeutig, dass Sony die falschen Prioritäten setzt, technisch beim Datenschutz nicht auf der Höhe der Zeit ist und geschludert hat. Außerdem lässt die Unternehmenskommunikation zu wünschen übrig. Inwiefern waren z.B. die geklauten Daten verschlüsselt? Sony verliert kein Wort darüber.

Gleichwohl sind die Kriminellen, die die Kundendaten entwendet haben, mit allen rechtsstaatlichen Mitteln zu verfolgen. Denn mit einem eher “ethischen Angriff” a la “wir legen mal den Dienst lahm” als eine Art Demonstration oder Streik hat der aktuelle Datenklau nichts mehr zu tun.

Von daher fordere ich von Sony, die folgende Maßnahmen bei einem Neustart des PSN umzusetzen:

• Der technische Datenschutz muss verbessert und im Detail erklärt werden. Dazu gehört z.B., dass Passwörter und sensible Daten wie Kreditkartennummern verschlüsselt abzuspeichern sind. Und zwar wirksam verschlüsselt mittels Hash und Salt.
• Diese technischen Maßnahmen müssen ausreichend dokumentiert sein (z.B. in den AGB), damit ich als Kunde deren Wirksamkeit abschätzen kann. Es soll mir niemand mit “Geschäftsgeheimnissen” oder “Security by obscurity” kommen. Beim Autokauf erfahre ich auch, ob und welche Schlösser verwendet und welche Airbags eingesetzt werden.
• Es werden nur Daten erhoben, die unbedingt nötig sind. Ist die Angabe der Adresse wirklich zwingend nötig? Die Verwendung von Pseudonymen ist dem Kunden bevorzugt anzubieten.
• Sony überdenkt seine Geschäftspolitik und stellt sich mehr auf Kundenwünsche ein. Es muss Friede geschlossen werden mit der Hacker-Community, aber nicht über Rechtsanwälte sondern in einem offenen Dialog. Das mag zwar mit dem aktuellen Datenklau nichts zu tun haben, würde aber Sony sehr gut tun.
• Sony unterstützt die Politik und die Behörden bei der Definition und Verbesserung allgemeiner Datenschutzvorgaben (im o.g. Sinne). Hier ist natürlich vor allem die Politik gefragt. Es kann nicht sein, dass für jeden Mist im täglichen Leben Vorgaben gemacht werden, im digitalen Leben die Unternehmen aber machen dürfen, was sie wollen (zumindest ohne Folgen). Mit Worten der Politik: Es darf keinen rechtsfreien Raum in Unternehmen geben. Da nützen jedoch nicht noch mehr schwammige Gesetze, sondern ins Detail gehende Vorgaben. So wie man z.B. beim Auto die Profiltiefe der Reifen vorgibt, müssen technische Mindeststandards im Datenschutz definiert werden.

Sollte Sony dem nicht entsprechen, werde ich meine Konsumgewohnheiten ändern. Letztlich bleibt dann nur ein Boykott aller Produkte und Dienstleistungen von Sony.

Weitere Infos:

• Angriff auf das Playstation Network: Worauf Kunden jetzt achten sollten (Heise)
• Hacker stehlen Millionen Sony-Kundendaten (Spiegel Online)
• Weckruf für Sonys Spielerheer (Spiegel Online)
• Sicherheitsexperten werfen Sony Schlamperei vor (Spiegel Online)
• Zum Playstation-Network-Hack: “Kann sein.” (netzpolitik.org)

Updates:

• Sony plant Neustart des Playstation Network (Heise)
• Weltweite Wut über Sonys Datenpanne (Spiegel Online)

Mit den o.g. Fehlercodes machte ich mich dann im Internet auf die Suche nach möglichen Ursachen. Denn das Fehlerbild ließ eigentlich keinen eindeutigen Schluss zu. Und ich wurde recht schnell fündig (siehe HP Support Forum und FixYa). Anscheinend hat HP bei einigen Photosmart-Modellen minderwertige Elektrolytkondensatoren (Elkos) eingebaut. So auch bei meinem C5180, wie ich nach Ausbau der Leiterplatte an der rechten Druckerseite feststellen konnte (die Platine mit den Power- und Netzwerkanschlüssen). Denn zwei Elkos vom Hersteller “TEAPO” wiesen eine leichte, aber dennoch gut sichtbare Wölbung des Deckels auf. Die defekten Elkos mussten also gegen neue ausgetauscht werden, wobei der Zugang zur Leiterplatte und zu den Bauteilen überraschend einfach war: Zwei Schrauben für die rechte Abdeckung mit anschließendem Öffnen des Schnappverschlusses und fünf  Schrauben zum Lösen der Platine.

Folgende Elkos habe ich ersetzt (z.T. mit höherer Spannungsfestigkeit) :

• C228: 330µF/10V     neu: 330µF/16V
• C163: 680µF/6.3V    neu: 680µF/6.3V

Der Drucker läuft jetzt wieder ohne Murren.

Quelle CR161: Chaosradio

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

• Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
• Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
• Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
• Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

• Elektronischer Personalausweis: Neue AusweisApp kommt in Kürze (Heise)
• Deine wichtigste Karte? Vom Umgang mit dem neuen Personalausweis (Heise)
• Kritik an Sicherheit des “Perso” hält an (Heise)
• Kriminaler nennt Technik Elektroschrott (Focus)
• Datenschützer gibt bei Personalausweis Entwarnung (Heise)
• Chaos Computer Club„Der ePerso könnte ein Rohrkrepierer werden“ (Focus)
• Elektronischer Ausweis – Der Perso fürs Netz (Spiegel)

Quelle Bild: Wikipedia

Die Einführung des elektronischen Personalausweises (ePA) gerät zur Farce, wenn man sich die Geschichte als IT-kundiger und mit gesundem Menschenverstand ausgestatteter Ingenieur anschaut. Schon die Limitierung der Software in den Ämtern auf Microsoft-Produkte ist eigentlich eine Frechheit. Ich könnte mir z.B. vorstellen, dass damit der zwingende Einsatz des proprietären .NET Frameworks von Microsoft gemeint ist, das zudem nur unter Windows aus dem gleichen Hause läuft. Da hat wahrscheinlich jemand einfach mal angefangen, etwas zu programmieren. Und da zufällig (oder zwangsweise durch die gängige Bündelung von PC-Hardware mit Microsoft-Produkten) .NET auf dem Rechner installiert war, wurde es genommen. Was auch immer in dem Artikel mit “Verwendung von Microsoft-Produkten” gemeint ist, das ist jedenfalls eine ungeheurere Verschwendung von Steuergeldern durch Lobbyismus und/oder fehlenden Sachverstand. Ich kann nur hoffen, dass sich die Städte, die bereits auf Open Source und offene Standards umgestiegen sind, gegen solche Machenschaften wehren.

Was Lobbyarbeit und Meinungsmache sonst noch bewirkt, kann man sehr schön an einem aktuellen Beispiel (Stuttgart 21) bei den NachDenkSeiten nachlesen. Wie beim ePA handelt es sich bei Stuttgart 21 um ein “Großprojekt”, das gnadenlos durchgezogen wird, weil mächtige finanzielle Interessen dahinter stehen.

Die Post hat dazu noch auf folgende Blog-Beiträge hingewiesen:

• E-Postbrief Pressekonferenz 2.0 – Die Post äussert sich zu Kritikpunkten (baetschman.ralfbachmann.de)
• Der ePost-Brief: Post AG stellt sich Fragen aus dem Netz (dennis-knake.de)
• Deutsche Post steht Rede und Antwort zum E-Postbrief (Bericht von der Web-Konferenz am 25.08.2010) (bdsg-externer-datenschutzbeauftragter.de)
• Erste Eindrücke: #ePost-Webkonferenz – Die Post stellt sich den Usern (ferner-alsdorf.de)

Quelle: Deutsche Post AG, auf YouTube.

Meine Fragen wurden in folgenden Teilen behandelt:

• Unterstützung für Standardprotokolle SMTP/POP3/IMAP:  Teil 4, Minute 02:06
  Mein Nachtrag: Ich hoffe nicht, dass ein Plugin kommt, das nur im unsicheren und unseligen Outlook funktioniert. Ich meinte schon Standards, also Unterstützung für alle gängigen Email-Clients. Das sollte bei Verwendung von SSL/TLS kein Problem sein, was ähnlich funktioniert wie die Verschlüsselung im Web-Client.
• Vorratsdatenspeicherung 1:  Teil 5, Minute 02:22
• Vorratsdatenspeicherung 2:  Teil 5, Minute 06:40
  Mein Nachtrag: Also werden Verbindungsdaten von E-Postbriefen wohl auf Vorrat gespeichert, sollte die Bundesregierung ein neues Gesetz zur Vorratsdatenspeicherung verabschieden. Das hatte ich auch erwartet, und insofern ist meine These, dass der E-Postbrief dadurch natürlich weniger sicher und vertraulich als ein normaler Brief ist, bestätigt worden.
• Kompetenz und Vertrauen im Bereich der elektronischen Kommunikation:  Teil 10, Minute 01:49

Weitere Anmerkungen von mir zu anderen besprochenen Themen:

• Es wurde erwähnt, dass der TÜV NORD die Sicherheit beim E-Postbrief zertifizieren würde. Hm, das scheint mir keine hinreichende Bestätigung der Sicherheit zu sein. Welchen Wert ein TÜV-Zertifikat hat, konnten wir z.B. bei einem Datenleck für SchülerVZ oder bei Libri sehen.
• In Teil 7 zur Minute 04:02 wurde die Frage gestellt, wer Zugriff auf den zur Zusatz-Sicherung der Daten nötigen (geheimen) Schlüssel hat. Das wurde beantwortet in etwa mit “Wesentlicher Bestandteil unseres Sicherheitskonzeptes ist es, Detailfragen zur Sicherheit nicht (unbedingt) in der Öffentlichkeit zu beantworten”. Gelinge gesagt ist das ein starkes Stück und zielt auf das schon fast ausgerottete  Security by Obscurity. So geht es nicht, liebe Post. Es sollte öffentlich klar sein, wer meine verschlüsselten E-Postbriefe lesen kann, und sei es auch von staatlichen Sicherheitsorganen.