Archiv der Kategorie: Datenschutz

Beiträge über Datenschutz, informationelle Selbstbestimmung etc.

EuGH kippt Vorratsdatenspeicherung

In der aktuellen c’t erschien – auch online lesbar – eine schöne und treffende Zusammenfassung der Bedeutung des Urteils zur Vorratsdatenspeicherung. In diesem Urteil hatte der Europäische Gerichtshof (EuGH) die Richtlinie gekippt – und das ziemlich eindeutig und nachdrücklich.

Meine Kommentare und Ergänzungen zu dem Artikel: Weiterlesen

Vorratsdatenspeicherung in den Medien

In letzter Zeit wird die Vorratsdatenspeicherung wieder verstärkt gefordert, denn ohne eine Komplettüberwachung von uns allen scheint die Politik hilflos zu sein. So wird es uns jedenfalls vorgegaukelt. Schleichend haben sich die in der Minderheit befindlichen Befürworter der Vorratsdatenspeicherung in den Medien breit gemacht, um fast täglich mit fadenscheinigen Argumenten dafür zu werben. Gerade die Öffentlich-Rechtlichen sollten eigentlich ihrem Auftrag gerecht werden, zu einer unabhängige Willensbildung beizutragen. Dass dem nicht so ist, haben die Macher von Daten-Speicherung.de sehr schön recherchiert und unter dem Titel „ARD-Politkampagne für Vorratsdatenspeicherung?“ dargelegt.

CCC analysiert aktuellen Staatstrojaner

Der Chaos Computer Club (CCC) hat heute eine Stellungnahme zum aktuellen Staatstrojaner der Firma DigiTask veröffentlicht. Das Ergebnis ist schnell zusammengefasst: Die Version aus dem Jahre 2010 ist nahezu genau so schlecht implementiert und gesetzwidrig wie die Version aus dem Jahr 2008.  Daher schließe ich mich der Meinung des CCC an:

[…] Wer solch grundgesetzwidrige Vorgehensweise nach der Maxime ‚der Zweck heiligt die Mittel‘ nicht nur billigt, sondern fortzuführen plant, hat in verantwortlicher Position in einem Rechtsstaat nichts verloren. […]

mit der Forderung des CCC:

  1. Kein weiterer Einsatz von Trojanern in strafprozessualen Ermittlungen.
  2. Sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über vergangene Einsätze von Trojanern durch deutsche Ermittlungsbehörden.
  3. Zukünftige automatische Offenlegung von Quellcode, Binary und Protokollen des Trojaners nach jedem Einsatz.
  4. Bei einer staatlichen Infiltration eines Rechners muß unwiderruflich die Möglichkeit erlöschen, Daten von der Festplatte des infiltrierten Systems gerichtlich zu verwerten.

Weitere Beiträge dazu:

 

Bundestrojaner in freier Wildbahn gesichtet?

Der seit Jahren durch die Szene geisternde „Bundestrojaner“ scheint erstmals in freier Wildbahn entdeckt worden zu sein. Der Chaos Computer Club (CCC) hat mehrere Exemplare einer offensichtlich staatlichen Schnüffelsoftware analysiert und kommt zu erschreckenden Ergebnissen. Wenn es sich wirklich bewahrheitet, dass die Software von deutschen Behörden (z.B. dem BKA) eingesetzt und sogar erstellt worden ist, steht es um die Verfassungsmäßigkeit unserer Exekutive noch schlechter als gedacht. So langsam müssen die Alarmglocken läuten!

Weitere Infos und Hintergründe dazu:

Update 10.10.2011:

Video zur Veranschaulichung der Problematik:

Quelle Video: Alexander Svensson, CC-Lizenz, auf YouTube

Petition gegen Vorratsdatenspeicherung

Über den Unsinn der wieder geplanten Vorratsdatenspeicherung und die gravierenden Folgen für unsere Freiheit und Demokratie habe ich hier bereits mehrfach berichtet. Nun gibt es erneut eine Petition für ein Verbot der Vorratsdatenspeicherung. Weitere Infos auch beim AK-Vorrat. Bitte mitzeichnen!

Quelle Video: Digitale Gesellschaft e.V. auf YouTube

Datenschutz-GAU beim Sony PlayStation Network

Use DRM on EverythingNachdem man als aufgeweckter Internetnutzer zuerst über Online-Portale und Blogs auf den Datenklau bei Sony aufmerksam wurde, hat mir Sony nun heute persönlich den Hack des PlayStation Networks (PSN) vage eingestanden. Dabei hätte ich die Email fast übersehen, beginnt der Betreff doch mit „Service Update – ….“. Der Inhalt der Email stimmt mit dem vorab veröffentlichten Statement überein.

Nun kann man zu dem PSN-Hack stehen wie man will. Am Ende ist der Kunde der Dumme, der nun um seine Daten bangt. Es gibt durchaus Menschen, die Sony selbst eine Mitschuld dafür in die Schuhe schieben. Denn Sony hat sich wie kaum eine andere Firma unbeliebt gemacht mit strategischen Entscheidungen und Maßnahmen im Zusammenhang mit der Playstation 3. Die rechtsstaatlich zweifelhafte Beschaffung von persönlichen Daten von unliebsamen PS3-Hackern stellt da nur die Spitze des Eisberg da. Und seit Jahren steht Sony immer wieder im Mittelpunkt der Kritik der Community, wenn es um die Gängelung der Kunden und Einschränkung von Kundenrechten geht (Beispiele: Rootkit bei Audio-CDs, DRM). Man sollte auch beachten, dass Sony auch ein Medienunternehmen ist, welches maßgeblich an der Verfolgung von Urheberrechtsverletzungen im Internet beteiligt ist (inkl. der Abmahnindustrie). Sicherheit heisst für Sony hauptsächlich „die eigene Geschäftsgrundlage sichern“. Mit Sicherheit im Sinne der Kunden hat das wenig zu tun.

Aber solange Sonys Produkte und Dienstleistungen ihren eigentlichen, begrenzten Zweck erfüllten, habe ich mich dadurch nicht über Gebühr eingeschränkt gefühlt (ein Vorteil, wenn man nicht im Mainstream schwimmt und z.B. kein Windows einsetzt). Die PS3 als Multimedia-Zentrale und Sonys Video-Download-Dienst fand ich trotz allem gelungen. Bei zu großer Gängelung (wie DRM-Musik) habe ich eben nicht gekauft.

Jetzt ist aber ein Punkt gekommen, wo Sony ganz eindeutig handeln muss im Sinne der Verbraucher. Denn wer seine Dienste und Produkte so gut abschottet (u.a. durch etliche „Sicherheitsupdates“ der PS3) und Zuwiderhandlungen vehement verfolgt, von dem kann man doch wohl verlangen, die persönlichen Daten der Kunden ebenso gut abzuschotten. Oder? Der Vorfall zeigt eindeutig, dass Sony die falschen Prioritäten setzt, technisch beim Datenschutz nicht auf der Höhe der Zeit ist und geschludert hat. Außerdem lässt die Unternehmenskommunikation zu wünschen übrig. Inwiefern waren z.B. die geklauten Daten verschlüsselt? Sony verliert kein Wort darüber.

Gleichwohl sind die Kriminellen, die die Kundendaten entwendet haben, mit allen rechtsstaatlichen Mitteln zu verfolgen. Denn mit einem eher „ethischen Angriff“ a la „wir legen mal den Dienst lahm“ als eine Art Demonstration oder Streik hat der aktuelle Datenklau nichts mehr zu tun.

Von daher fordere ich von Sony, die folgende Maßnahmen bei einem Neustart des PSN umzusetzen:

  • Der technische Datenschutz muss verbessert und im Detail erklärt werden. Dazu gehört z.B., dass Passwörter und sensible Daten wie Kreditkartennummern verschlüsselt abzuspeichern sind. Und zwar wirksam verschlüsselt mittels Hash und Salt.
  • Diese technischen Maßnahmen müssen ausreichend dokumentiert sein (z.B. in den AGB), damit ich als Kunde deren Wirksamkeit abschätzen kann. Es soll mir niemand mit „Geschäftsgeheimnissen“ oder „Security by obscurity“ kommen. Beim Autokauf erfahre ich auch, ob und welche Schlösser verwendet und welche Airbags eingesetzt werden.
  • Es werden nur Daten erhoben, die unbedingt nötig sind. Ist die Angabe der Adresse wirklich zwingend nötig? Die Verwendung von Pseudonymen ist dem Kunden bevorzugt anzubieten.
  • Sony überdenkt seine Geschäftspolitik und stellt sich mehr auf Kundenwünsche ein. Es muss Friede geschlossen werden mit der Hacker-Community, aber nicht über Rechtsanwälte sondern in einem offenen Dialog. Das mag zwar mit dem aktuellen Datenklau nichts zu tun haben, würde aber Sony sehr gut tun.
  • Sony unterstützt die Politik und die Behörden bei der Definition und Verbesserung allgemeiner Datenschutzvorgaben (im o.g. Sinne). Hier ist natürlich vor allem die Politik gefragt. Es kann nicht sein, dass für jeden Mist im täglichen Leben Vorgaben gemacht werden, im digitalen Leben die Unternehmen aber machen dürfen, was sie wollen (zumindest ohne Folgen). Mit Worten der Politik: Es darf keinen rechtsfreien Raum in Unternehmen geben. Da nützen jedoch nicht noch mehr schwammige Gesetze, sondern ins Detail gehende Vorgaben. So wie man z.B. beim Auto die Profiltiefe der Reifen vorgibt, müssen technische Mindeststandards im Datenschutz definiert werden.

Sollte Sony dem nicht entsprechen, werde ich meine Konsumgewohnheiten ändern. Letztlich bleibt dann nur ein Boykott aller Produkte und Dienstleistungen von Sony.

Weitere Infos:

Updates:

Chaosradio 161 – SuisseID und der deutsche elektronische Personalausweis

Sehr schön zum aktuellen Thema elektronischer Personalausweis passt die Ausgabe CR161 vom Chaosradio vom 01.10.2010. Der Chaos Computer Club erläutert Hintergründe zum nPA und warum die Sicherheit nicht nur vom Ausweis selbst abhängt.

Quelle CR161: Chaosradio

Sicherheit des neuen Personalausweises

Der neue elektronische Personalausweis (nPA), von der Regierung gegen alle Kritiken eingeführt und vehement als sicher bezeichnet, hat in den letzten Wochen schon arg gelitten. Zuerst zeigte der Chaos Computer Club, dass der PC des Anwenders als das schwächste Glied in der Kette – wie nicht anders zu erwarten war – die Sicherheit des Gesamtsystems unterwandern kann. Das Bundesinnenministerium und auch die Broschüre zum nPA lassen dazu verlauten, dass der Anwender für die Sicherheit des PCs zu sorgen hat. Aktuelle Betriebssysteme, Firewall und Virenscanner sollen es verpflichtend richten. Dass das Augenwischerei ist und Sicherheit in der Breite nicht möglich ist, zeigen die vielen verseuchten SPAM-Schleudern und Botnetze im Internet. Wer also den nPA sicher elektronisch einsetzen will (eID, qualifizierte Signatur), der muss entweder ziemlich blauäugig oder Computerfachmann sein. Oder es muss eine Regelung getroffen werden bezüglich der Haftung bei Missbrauch. Risiko und Beweislast liegen derzeit allein beim Bürger.

Der vorerst größte GAU ist aber eingetreten, nachdem ein Mitglied der Piratenpartei die offizielle AusweisApp binnen Stunden hacken konnte. Gratulation übrigens für diesen bescheuerten Namen für eine Software mit teilweise mehr als 100 MByte Größe. Der Angriff auf die Update-Funktion der AusweisApp mittels DNS-Spoofing ist einfacher Natur und für Sicherheitsexperten tägliches Brot. Der Rechner des Betroffenen kann damit recht beliebig manipuliert werden. Und natürlich ist damit die Sicherheit des nPA als Ende-zu-Ende-System empfindlich betroffen!

Da kommen mir ein paar Fragen auf:

  • Warum wurden einfachste Angriffe auf die Sicherheit der AusweisApp bei der Entwicklung nicht berücksichtigt bzw. getestet? Könnte es daran liegen, dass die beteiligten kommerziellen Firmen und das BSI nicht zusammenarbeiten oder gar zu wenig Ahnung von sicherer Softwareentwicklung haben? Und das bei einem so wichtigen System für 80 Mio. Bürger, bei dem Sicherheit an oberster Stelle stehen sollte.
  • Warum wurden offensichtlich veraltete Softwarebestandteile in der AusweisApp verwendet (z.B. alte Java-Version mit bekannten Lücken)?
  • Warum wird die AusweisApp nicht vor der Veröffentlichung einer breiten Masse an Computer- und Sicherheitsexperten zum Test übergeben? Idealerweise durch Veröffentlichung als Open Source Software. Warum wird die Software hinter verschlossenen Türen entwickelt von rein kommerziell ausgerichteten Unternehmen? Warum vertraut man nicht externen Sachverständigen (wie z.B. dem CCC) oder jedem engagierten Privatanwender als Tester? Und zwar bevor das System tausendfach beim Bürger eingesetzt wird!
  • Muss nicht abermals der Sinn einer Verschmelzung hoheitlicher Aufgaben (Ausweis) mit kommerziellen, wirtschaftlichen Interessen (eID, dig. Signatur) bezweifelt und hinterfragt werden?

Ich jedenfalls zweifele stark an der Kompetenz der beteiligten Firmen und fordere das BSI bzw. das Innenministerium auf, die weitere Entwicklung der AusweisApp unter Einbeziehung der interessierten Öffentlichkeit vorzunehmen.

Weitere Meldungen zum Thema:

Quelle Bild: Wikipedia