Stephanie und Alexander aus der Schweiz haben 2019 geheiratet – offenbar nagen die beiden erfreulicherweise nicht am Hungertuch, offenbar haben die beiden auch jede Menge Freunde und Freundinnen. Und haben also ihren „schönsten Tag“ in der Toskana gefeiert (gottlob auch noch vor dem Eintreten der grimmen Corona-„Pandemie“…); im wunderschönen Hotel „Podere Le Meraviglie“ – ich hoffe ganz stark, die beiden sind nach wie vor glücklich liiert. 🙂
Was auf jeden Fall noch glücklich oder vielleicht auch nicht so glücklich online steht, ist/sind ihre Hochzeits-Webseite(n) www.summerbreeze.ch und www.alexandermeier.ch – das waren offenbar temporär konzipierte WordPress-Blogs oder eben Websites für die Organisation oder Abwicklung der Hochzeit, der Anreise der Gäste und des „Dresscodes“ 🙂 …
Wir sagen „Ja“ – die Phisher auch…
Neues Sicherheitsverfahren – ja klar. Geht sterben, Drecks-Phisher!! 🙂
Danach haben sich Stephanie und Alexander offenbar nicht mehr so intensiv um ihre Hochzeits-Seiten gekümmert – eigentlich völlig nachvollziehbar, wobei vielleicht ein Löschen auch nicht so ganz verkehrt gewesen wäre. Denn mittlerweile hat der Internet-Abschaum die Seiten gekapert (siehe die Einblendung von „populären Suchbegriffen am Kopf der Seite…), jetzt wird die einst so schöne ad-hoc-Hochzeitsseite für Sparkassen-Phishing genutzt. Zugegeben – man muss schon relativ bescheuert sein, um auf das Phishing reinzufallen.
Andererseits – die ursprünglichen Seitenbetreiber (Stephanie und Alexander…) sind immer noch verantwortlich für ihre Webseiten – auch wenn sie das wahrscheinlich überhaupt nicht auf dem Schirm haben (Impressum fehlt auch, das ist aber kein Freifahrtschein… 🙂 ) und hoffentlich mit ihrem Baby/mit ihren Babies rumkämpfen und insofern genug Stress an der Backe haben 🙂 Aber mal ganz ernsthaft – eine Webseite ins Netz zu stellen bedingt tatsächlich gewisse Verantwortlichkeiten. Und es gibt ganz ernsthaft Arschlöcher, die Sicherheitslücken und verwaiste Webseiten ausnutzen.
„Nein? Doch. Oh!“ Es könnte sogar sein, dass die Website-Verantwortlichen für etwaige Missbräuche auf ihrer Website verantwortlich sind, etwa für Phishing-Aktionen und deren finanzielle Folgen.
Ach, übrigens noch an die Phisher: Ihr seid Abschaum. Trotz eurer wahrscheinlich schweren Kindheit. 🙂
Ich hab das ja schon öfter hier geschrieben – ich habe ein gewisses Verständnis für unterprivilegierte arme Menschen in irgendwelchen Schrott- unterprivilegierten Ländern, deren einzige Chance (von ehrlicher Arbeit abgesehen…) darin besteht, reichere Leute in privilegierten Ländern mit Scam-Dreck übers Netz abzuzocken. Aber so geht es doch echt nicht:
„Wir müssen Ihren Service noch sicherer machen.“ Klar. Ihr Wixer.
Erneuerte euren Scam-Dreck mal etwas sorgfältiger.
Der letzte, eigentlich vorgesehene Satz in meinem Script für das Netzreporter-Gespräch heute morgen lautete: „Ich persönlich tippe darauf, dass wir da relativ schnell etwas von den Ermittlungsbehörden hören werden.“ Und dann kam beim Reingehen ins Studio die Eilmeldung: „Polizei hat Verdächtigen festgenommen“; SPON (und nicht die Witwenschüttler von BILD 🙂 , s.u.) hatte, so der Blick auf den Monitor dann im Studio, schon ein paar Details: Ein 20jähriger Schüler aus Mittelhessen (ein „Mittelhesse“ 🙂 also…) war es offenbar, der die Republik für einige Tage in Schnappatmung versetzt hatte.
So richtig prophetische Gaben waren für meine Prognose nicht erforderlich – mit der Durchsuchungbei Jan Schürlein war ja schon klar, dass die Polizei da ziemlich sehr nah am Täter dran war – ich hätte jetzt auch ganz ehrlich gesagt meine Hand nicht ins Feuer gelegt dafür, wie eng da der Zeuge mit dem Urheber der Aktion verbunden war 🙂 und lege auch jetzt in Bezug auf eine eventuelle Mitwisser- oder Mittäterschaft noch nicht meine Hand ins Feuer; das soll man ja bekanntlich auch nie tun – selbst meine Sportreporter-Kollegen halten sich an diese Regel, auch wenn es in der 93zigsten Minute 3-0 steht 🙂
Aber wie dem auch alles sei – dass die ganze Aktion eine totale Luftnummer, ein lächerlicher „Heranwachsenden“-Streich (gottlob bringt das ja Ermäßigungen beim Strafmaß…) war, das war doch von Anfang an klar. Als die ersten Meldungen reinkamen, war ich gerade im Skiurlaub – aber ich hab direkt nach den anfänglichen Informationen gedacht: Das ist keine „Hacking“-Affäre, sondern der ganz normale Alltag – da hat sich bestenfalls jemand annähernd zielgerichtet die Mühe gemacht, die ganz normale Schlampigkeit bei den Passwörtern von „Prominenten“ mal auszunutzen.
Ich wiederum hab mir auch noch nicht mal die Mühe gemacht, die Daten-Konvolute runterzuladen. Was interessiert mich, ob ein YouTuber, von dem ich noch nie was gehört habe, sich entgegen seines im Netz postulierten Saubermann-Images für Scat- und Piss-Videos begeistert? Kleiner-Jungen-Kram. Was interessiert mich die private Kommunikation von Grünen-Chef Robert Habeck? Null. Gar nicht. Aber klar – da haben jetzt ein paar zigtausend Leute draufgeguckt – das ist definitiv unangenehm.
Wie der von Habeck angekündigte Rückzug aus den Social Media zu bewerten ist, da kann man noch lange drüber streiten – fest steht: Eine Pflicht, an dem ganzen Exhibitionismus- und Pseudo-Relevanz-Scheiß teilzunehmen, besteht nicht. Für Normalbürger jedenfalls; wie es bei Spitzenpolitikern aussieht, ist noch mal eine andere Frage. Fazit: Es war überhaupt nix los. Es gab keinen herbeigeschwafelten „Angriff auf die Demokratie“; es gab kein Versäumnis bei Ermittlungsbehörden oder beim BSI oder beim Innenminister. Klar, die Opposition ist natürlich verpflichtet, wohlfeil in die Pseudo-Schwachstelle reinzutröten – schon mal die eigenen Passwörter auf Nachhaltigkeit abgeklopft??
Klar, die Regierung ist verpflichtet, Pseudo-Gegenmaßnahmen einzuleiten – das Cyber-Abwehrzentrum Plus. Ich mach da bei etwaigem Personalbedarf gerne mit; eine anständige Bezahlung vorausgesetzt, eine gute Pension brauch ich auch noch. Alles Bullshit. Es gab nur den ganz normalen Alltag. Jeden Tag werden Accounts „gehackt“, ob das jetzt Lieschen Müller oder Robert Habeck ist. Aber eines können wir natürlich alle aus der ganzen Sache lernen – es ist ziemlich unangenehm, wenn einem das passiert; zielgerichtet wie im vorliegenden Fall oder einfach zufällig.
Die Plattformen machen dabei auch keine gute Figur – sie sind in dem Dilemma: Account kapern soll nicht so einfach klappen. Den Zugang zu einem Account (nach einem vergessenem oder geklautem Passwort…) wiederherstellen soll aber auch nicht so schwierig sein. Also – wie steht es denn um Ihr Passwort für Ihren Haupt-Mail-Account? Ein Wort, das in einem Wörterbuch steht? (Ich gestehe zu meiner Schande, ich hab so was mal bei einer Freundin von mir, deren Account ich eingerichtet habe, zugelassen. Der wurde dann auch im Dezember „gehackt“…) Ein Geburtsdatum, das sich aus Social-Media-Quellen erschließen lässt? Böse, ganz böse.
Überprüfen Sie das mal. Jetzt. Fügen Sie mal zu Ihrem „leicht zu merkenden“ Schrott-Passwort (das Sie aber eh nicht jedesmal neu eingeben müssen, sondern in Ihren Mail-Programmen oder Ihren Geräten gespeichert haben…) ein paar Sonderzeichen hinzu – Sie brauchen das ja schließlich nur ein einziges Mal überall zu aktualisieren. Und können anschließend wieder besser schlafen.
Am Vortag hatte es das übliche Aufplustern gegeben: Die Zustimmung von Mark Zuckerberg, die Anhörung dann doch nicht hinter verschlossenen Türen ablaufen zu lassen, zeige die Bedeutung und auch die Macht der EU, hatten sich mehrere Parlamentarier gefreut; “Druck wirkt” hatte Sven Giegold von den Grünen getwittert.
Druck wirkt! Jetzt ist es offiziell: Das Hearing mit #Zuckerberg wird im Web gestreamt. Antrag von @GreensEP auf Webstreaming unterstützt von 30.000 BürgerInnen auf @Change wurde akzeptiert! Am Dienstag muss der Facebook-Chef im Europaparlament aussagen. Öffentlich! pic.twitter.com/9mEE1Ix9Ka
Aber der Facebook-Boss hatte da offenbar schon einen cleveren Deal mit Parlamentspräsident Tajani geschlossen: Die Befragung sollte öffentlich sein, nämlich per Livestream übertragen werden, aber dafür nicht im schnöden Frage-und-Antwort-Wechsel (womöglich mit sofortigem Nachbohren…), sondern hübsch getrennt: Erst alle Fragen en bloc, dann Antworten nach eigenem Gusto und a la carte.
Und da war die gute Laune von Sven Giegold logischerweise auch wieder verflogen:
Das ist eine Frechheit! #Zuckerberg hat durchgesetzt, dass alle Fragen der EU-Abgeordneten gesammelt werden, bevor er sie am Ende beantwortet. So kann er unangenehme Frage umgehen. Jetzt verkündet er die Regel sogar selbst. Das Parlament muss die Regeln setzen, nicht Zuckerberg!
Tja, so schnell kann das gehen. 🙂 Ein extrem entspannendes Arrangement also für Mark Zuckerberg, der nun einfach aus seinem gut einstudierten Statement-Fundus rezitieren konnte – und dann, da viele der Fraktionschefs die knapp bemessene Zeit für eitle Selbstdarstellung verballert hatten, anstatt auf den Punkt zu kommen – dann blickte der Facebook-Boss einfach ganz trocken auf die Uhr. Time over, der Flieger wartet. Schließlich hatte er ja eh nur auf der Durchreise zum Technologiegipfel in Paris einmal kurz vorbeigeschaut. Und die noch offenen Fragen würden nachträglich schriftlich beantwortet, ganz großes Indianerehrenwort.
Ob das jetzt also wirklich die große Machtdemonstration des Europäischen Parlaments war, das erscheint sehr fraglich. Und angesichts der doch sehr unterschiedlichen Positionen und Interessen der verschiedenen politischen Fraktionen gegenüber Facebook – die waren nämlich durchaus auch atmosphärisch spürbar bei der Anhörung: Dass die Vorsitzenden nun wissen, “dass es keinen Sinn macht, mit diesem Unternehmen zu reden, sondern dass sie zu scharfer Regulierung greifen müssen” – diese Sichtweise von Jan-Philipp Albrecht scheint mir auch reichlich “optimistisch” 🙂 Die Rechtspopulisten z.B. werden sich trotz ihrer “Zensur”-Vorwürfe an Facebook hüten, ausgerechnet das Medium ernsthaft zu beschädigen, das sie zur Ansprache und Mobilisierung ihrer Klientel so dringend brauchen wie die Luft zum Atmen.
Noch mal „tja“: Nigel Farage konnte seine Message wenigstens fokussiert rüberbringen – und bekam sogar eine Antwort von Mark Zuckerberg (der ja wie die meisten seiner Silicon-Valley-Kollegen im nicht allzu facettenreichen US-Politspektrum eher im demokratischen als im republikanischen/populistischen/Trump-freundlichen Lager zu verordnen ist…):
Entscheidungen darüber, welche Inhalte erlaubt sind oder wie sie gerankt werden auf Basis der politischen Orientierung zu treffen – das haben wir nie getan, und das werden wir auch nie tun.
Ich muss gestehen – anlässlich der letzten anstehenden Verlängerung meines Mobilfunkvertrages habe ich einmal etwas intensiver darüber nachgedacht, ob ich mir vielleicht eine iWatch zulegen soll. Und mich dann erstmal dagegen entschieden (erstens, weil ich gerade etwas Ebbe in der Kasse hatte; zweitens, weil die Eignung der doch recht dicken Uhr als Golf-Gadget am linken Handgelenk noch nicht so ganz erwiesen ist 🙂 …). Aber an sich sind Smartwatches und Fitness-Armbänder ja mittlerweile extrem beliebt: Da kann man halt checken, ob man sein „Bewegungs-Soll“ erfüllt hat.
Und herumstrunzen geht auch: Wenn man nämlich die Daten der Gadgets ins Netz hochlädt – und das ist ja praktisch bei allen Apps vorgesehen – dann können alle „Freunde“ staunen, wie fit und fleißig man ist. Wenn man allerdings einen etwas heiklen Job hat; Soldat oder Spion oder so – dann ist das mit dem herumstrunzen und Daten hochladen vielleicht doch keine allzu gute Idee. Natürlich – in den Zeiten von Google Earth oder anderen Satellitenkarten-Diensten sind die einstmals „geheimen“ Flecken auf der Erde, Militärbasen z.B., nicht mehr wirklich geheim. Wobei Google zumindest bei den Standorten von „Verbündeten“ einen „Sichtschutz“ drüberblendet, so dass Details wie Straßen, Wege, Landebahnen und Gebäude nicht mehr sichtbar sind.
The movements of soldiers within Bagram air base – the largest US military facility in Afghanistan Bild: Strava/BBC
Auf der „Heatmap“ der Fitness-App „Strava“ werden nun solche unter Umständen doch recht heiklen Details sehr schön erkennbar – vor allem in Ländern, in denen außer fremdem Militärpersonal sonst praktisch niemand mit einem Fitnessarmband einhertrabt. 🙂 Neben der reinen Jogging-Topologie der Areale lässt sich aus der Heatmap auch noch ablesen, ob denn an einem Standort (Botschaft z.B.) eher „tote Hose“ angesagt ist; oder ob da plötzlich viele junge, unternehmungslustige und fitte Männer (oder vielleicht auch Frauen…) für einen bevorstehenden Einsatz mit den Hufen scharren. An so etwas kann eigentlich eine verantwortliche Militär- oder Geheimdienstführung trotz aller moderner Offenheit keine rechte Freude haben. 🙂
Bekanntlich bekommen wir in Deutschland seit geraumer Zeit nichts mehr auf die Reihe. Jedenfalls kein Großprojekt. Ein paar Beispiele gefällig? Der Flughafen Berlin. Als nächster Kandidat in der Pipeline: Stuttgart 21. Die Hubschrauber und U-Boote bei der Bundeswehr. (Oder eigentlich alles.) Dann die IT-Kracher: Toll Collect. Der Bundestrojaner. DE-Mail. Das gesicherte Anwaltspostfach. Und natürlich; mit schon epischer Anlauf- bzw. Erprobungsphase: Die Elektronische Gesundheitskarte.
Die ist so ein typisches Beispiel für eine geplante Neuerung, von der praktisch alle betroffen sind, bei der viel auf dem Spiel steht, bei der viel schiefgehen kann und bei der man gern möglichst alles richtig machen will. Und bei der es von vornherein jede Menge Leute gibt, denen die ganze Sache sowieso überhaupt nicht in den Kram passt. Bei der Gesundheitskarte sind das u.a. die Ärzte, die in ihren Praxen investieren müssen und sich mit herumzickenden Kartenlese-Terminals und lebensfremden Sicherheitskonzepten (das grenzdemente Mütterlein oder die bildungsferne Patientin aus Anatolien wissen natürlich ihre PIN nicht… Alle anderen: dito 🙂 ) herumschlagen müssen.
Und von wegen Sicherheit: Natürlich gibt es bei einem Konzept, das die zentrale Speicherung höchst sensibler, für potentielle Angreifer höchst wertvoller Daten vorsieht, Datenschutzbedenken. Nur – dass an sich recht unverdächtige Personen wie der ehemalige Bundesdatenschutzbeauftragte Peter Schaar der Gesundheitskarte an sich ein ganz gutes Zeugnis ausstellt, das deutet doch darauf hin, dass dieses Konzept trotz aller Bedenken vielleicht doch weit besser und sicherer ist, als der Status Quo. Momentan nämlich werden Arztbriefe und heikelste Information völlig ungeschützt und unverschlüsselt in der Gegend herumgeschickt, per ganz normaler Mail. Oder Post.
Auch Experten wie Matteo Cagnazzo vom Institut für Internet-Sicherheit sehen bei der Gesundheitskarte keine konkrete oder konzeptionelle Schwachstelle – aber natürlich: Die Technologie, möglicherweise auch die Kryptografie auf dem Karten-Chip ist durch die jahrelange Verzögerung nicht mehr unbedingt Stand der Technik. Ob die Konnektor-Boxen z.B. gegen die neu bekannt gewordenen IT-Super-GAU-Szenarien Meltdown und Spectre anfällig sind, ist bislang völlig offen. Und „Security by Obscurity“ (also die Weigerung der Betreibergesellschaft Gematik, die verwendeten Komponenten zu dokumentieren bzw. unabhängigen Fachleuten für Sicherheitsaudits zur Verfügung zu stellen…) war noch nie eine gute Idee.
Aber dennoch: Es kann eigentlich nicht sein, dass wir in Deutschland, Stand 2018, nicht allmählich einen zu vertretenden Übergang von einer analogen bzw. Wildwuchs-digitalen Patientendatenverwaltung zu einem zeitgemäßen System hinbekommen. Von daher bin ich in diesem Fall mal ausnahmsweise optimistisch. Und ausnahmsweise nicht im Lager der Bedenkenträger.
Max Schrems ist mittlerweile kein Unbekannter oder Exot mehr; das ist dieser junge Jurist aus Österreich, der sich seit 2011 mit Facebook angelegt hat. Nicht aus Jux und Dollerei, sondern aus gutem Grund, und das äußerst hartnäckig und erfolgreich – da passt das etwas abgedroschene Bild vom Kampf David gegen Goliath wirklich. Mittlerweile, nach mehreren Verfahren durch alle Instanzen bis hinauf zum Europäischen Gerichtshof haben Facebook und die anderen Big Player im Internet das Anliegen und die Botschaft von Max Schrems verstanden bzw. verstehen müssen: Wenn ein Unternehmen hier in Europa mit europäischen Nutzern Kohle machen will, muss es sich auch an europäische Gesetze und Datenschutzvorschriften halten.
Bislang hat Max Schrems seinen Streit quasi im Alleingang (wenn auch schon mit finanzieller und personeller Unterstützung und „Sympathien“ bis hinauf zur EU-Kommission…) geführt. Jetzt hat er eine Organisation gegründet, die die dabei gesammelten Erfahrungen und personellen Ressourcen bündeln und fortführen will. NOYB heißt die, das steht für „none of your business“ – „geht dich nichts an“. Nach österreichischem Recht ist das erstmal ein gemeinnütziger Verein, und den können und sollten alle an Datenschutzfragen Interessierte in einer Art Crowdfunding-Verfahren fördern. 🙂 Denn die Diagnose von Max Schrems wird ja von den „offiziellen“ Datenschutzbeauftragten geteilt: Sie selbst, mit zwei, drei Stellen und einem knappen Budget ausgestattet, können den milliardenschweren IT-Giganten mit Stammsitz USA (oder Steuerparadies…) gar nicht wirksam Paroli bieten.
NOYB will mit Öffentlichkeitsarbeit, aber auch vor allem auch mit der konkreten Unterstützung von musterhaften Datenschutzklagen dazu beitragen, dass das EU-Datenschutzrecht zukünftig nicht nur auf dem Papier steht. Das soll aber nicht ideologisch und einseitig werden; NOYB will auch umgekehrt Unternehmen dabei helfen, datenschutzkonform im Netz zu agieren. Und dann wiederum auch eine Anlaufstelle für Whistleblower werden, die Verstöße aufdecken wollen. Auf jeden Fall bietet die neue Organisationsform eine bessere Chance, die formaljuristische Pseudo-Verteidigungsstrategie von Facebook und Konsorten auszuhebeln: Max Schrems sei ja gar nicht als Privatperson klagebefugt – und andererseits: Sammelklagen seien aber auch nicht zulässig 🙂 …
Deutschlandfunk Nova – Hielscher oder Haase vom 29.11. 2017 (Moderation: Diane Hielscher)
Es ist schon erstaunlich – oder auch gruselig, was man mit den Daten herausfinden kann, die wir alle produzieren und die über uns erhältlich sind. Zum Beispiel, dass letztes Jahr in US-amerikanischen Familien mit gemischter politischer Präferenz – dort, wo es also sowohl Anhänger von Donald Trump als auch von Hillary Clinton gab, tendenziell der Haussegen schief hing: Das Dinner mit dem traditionellen „Turkey“ fiel kürzer aus als sonst, und viele Leute blieben anscheinend lieber gleich zuhause – ulkigerweise war dieses „ohne mich“-Phänomen nur bei Republikaner-Wählern zu verzeichnen, die Demokraten-Anhänger machten sich immerhin auf den Weg zu ihren Lieben.
Woher Keith Chen von der University of California und Ryne Rohla von der Washington State University das so genau wissen wollen? Die beiden Wirtschaftswissenschaftler mit Faible für psychologische und soziologische Phänomene haben Smartphone-Daten ausgewertet, haben die Bewegungsmuster der Handies (bzw. deren Besitzer…) am Thanksgiving-Day 2016 nachverfolgt und mit den Daten aus 2015 verglichen. Wenn da 12 Smartphones für 3 Stunden am Abend beisammen saßen, dann war das wohl eine Familie beim Truthahn-Schmausen. Und wenn ein Teil der Handies (bzw. deren Besitzer…) in Bezirken zuhause war, in denen 75% der Stimmen für Donald Trump abgegeben worden war, und ein anderer Teil in Orten, die für Hillary Clinton gestimmt hatten – dann saßen da offenbar Verwandte mit unterschiedlicher politischer Präferenz am Tisch. Zumindest mit einer entsprechenden statistischen Wahrscheinlichkeit.
Außerdem haben die Forscher noch die (ebenfalls öffentlich verfügbaren…) Informationen über die geschalteten bzw. gesendeten TV-Wahlwerbespots hinzugezogen – das Ergebnis: In den Regionen mit intensiver Wahlwerbung (also insbesondere in den „Swing States“, den Bundesstaaten mit „unentschlossener“ Wählerschaft war der Effekt „kürzere Thanksgiving-Dinner, weniger Anreisen“ deutlich – in anderen Regionen nicht. Das spricht für eine Kausalität (und damit für einen „Erfolg“ der Wahlwerbung…) – der US-Wahlkampf 2016 hat auf Polarisierung gesetzt – anscheinend haben die Russen da auch noch mal einen draufgesetzt – und der Polarisierungs-Effekt ist in den amerikanischen Familien angekommen.
Natürlich gehen bei solchen Studien immer die Alarm-Leuchten an: Ist die vermeintliche Kausalität tatsächlich haltbar? Ganz spontan fallen einem da natürlich sofort zwei andere Faktoren ein, die ebensogut wie die politischen Meinungsverschiedenheiten die Anreise-Freude oder die Verweildauer beim Truthahn-Essen hätten beeinflussen können: Das Wetter. Und eventuelle Grippe-Epidemien – theoretisch könnten solche Einflüsse zufällig exakt parallel zu der Werbespot-Intensität aufgetreten sein, und damit eine Kausalität nur vorgegaukelt haben.
Die Forscher haben allerdings diese Fehlerquelle sehr wohl im Auge gehabt und nach Kräften auszuschließen gesucht: Sie haben nur Familien ausgewertet, die räumlich relativ nahe beieinander gewohnt haben und keine großen Reisestrecken zurücklegen mussten – wenn es also Faktoren wie Wetter oder Grippe gegeben haben sollte, dann hätte dies Familien mit „einheitlicher“ und Familien mit „gemischter“ politischer Präferenz gleichermaßen betroffen. Das alles sieht also ziemlich plausibel aus. 🙂
Das hört sich nach einer Sensation oder einem völligen Paradigmenwechsel an, oder auch nach einer Hiobsbotschaft für alle Besitzer eines iPhones oder iPads – aber obwohl die Überschrift, die ja so in vielen Medien zu lesen war, tatsächlich stimmt: An Apples Position in der Zusammenarbeit oder eben auch Nicht-Zusammenarbeit mit Ermittlungsbehörden und Geheimdiensten ändert sich überhaupt nichts. Wie schon bislang ist Apple kooperativ, solange die Kooperation nicht das Vertrauen der User in die Sicherheit der Verschlüsselung in den iOS-Geräten zerstört – was natürlich Selbstmord für das eigene Geschäftsmodell wäre. Aber auch ohne dieses eigene Geschäftsinteresse hat Apple in der grundsätzlichen, politischen Frage natürlich vollkommen recht:
Jede absichtliche Schwächung eines Sicherheitskonzepts, jede „Behörden-Hinter- oder Vordertür“ würde sehr schnell auch von Kriminellen oder „gegnerischen“ Geheimdiensten ausgenutzt – das Verhältnis von ein paar vielleicht schneller aufzuklärenden Terror-Anschlägen gegenüber den dann in Kauf genommenen „Kollateralschäden“ von Industriespionage über politische Sabotage, über Banking-Betrug bis hin zu Privacy-Verletzung ist einfach grotesk. Ein iOS-Gerät, das gesperrt ist, wird Apple also weiterhin nicht aufsperren – und kann dies auch (jedenfalls ohne grundlegende Eingriffe in das Betriebssystem…) wohlweislich gar nicht mehr.
Was Apple aber – wenn ein Durchsuchungsbefehl oder eine richterliche Anordnung vorliegt – sofort herausrückt, das ist der Inhalt der iCloud, in der sich ja ggf. auch Backups der Geräte befinden – hierfür kennt der Hersteller auch den Schlüssel; das Sicherheitskonzept der iCloud bezieht sich also nur auf unbefugte Fremd-Zugriffe. Was natürlich wiederum für sicherheits-sensible Anwender heisst: iCloud-Backups nicht aktivieren, sondern die Gerätedaten nur lokal verschlüsselt sichern.
Wie sicherheits-sensibel der Attentäter von Sutherland Springs war, wissen wir noch nicht – wir wissen auch nicht, ob er überhaupt ein neueres iPhone mit Fingersensor besaß, und wenn ja, ob „TouchID“ überhaupt aktiviert war. Im Gegensatz zu Reuters und der Washington Post gehe ich eigentlich davon aus, dass den Forensik-Spezialisten vom FBI durchaus bekannt ist, dass sich ein iPhone eines Attentäters mit dessen Fingerabdrücken innerhalb von 48 Stunden eventuell entsperren lässt – auch wenn der Attentäter schon tot ist.
Für mich klingt das Statement von Special Agent Christopher Combs am Dienstag (7.11.) eher nach einer politischen Duftmarke: „Ceterum censeo: Die böse, wirksame Verschlüsselung muss abgeschafft werden.“ Und Apple hat dann; einerseits ernst gemeint, aber auch ebenso medienwirksam zurückgeflötet „wir kooperieren ja, aber…“ Was ich persönlich noch spannend fände: ob die neue Gesichtserkennung beim iPhone X auch bei einem Toten funktioniert. Die Augen müssen ja in die Kamera schauen, da muss man vielleicht noch irgendwie die Lider aufspannen – makaber.
Es stimmt schon: Otto und Emma Normalverbraucher(in) stehen glücklicherweise nicht im Fokus von Hackern. Und Otto und Emma werden also bestenfalls (immer noch unangenehmerweise…) Zufallsopfer irgendwelcher Pannen, Lücken und Fahrlässigkeiten bei den Betreibern ihrer Email-Accounts, Internet-Shops oder Dating-Plattformen. Richtig gefährlich wird es dann, wenn einen Cyber-„Miscreants“ gezielt ins Visier nehmen. Als Promi, weil sich dann heikle Fotos versilbern lassen oder halt einen sehr netten „Impact-Faktor“ ergeben. Als investigativer Journalist, Wirtschafts-Akteur oder Politiker – da kommen wir schon in den Profi-Bereich von Geheimdiensten und „staatlichen Akteuren“. Oder als bekennender Cyberwährungs-Nutzer – da interessieren sich eben Cyber-Beutelschneider sehr für gut gefüllte Cyber-Wallets auf dem PC.
Die „Advanced Protection“ bringt manche Restriktionen mit sich, der geschützte Google-Account ist deutlich weniger „smart“ als der normale. Aber für alle User mit erhöhtem Schutzbedürfnis ist das ein fairer „Deal“ – die zusätzlichen Kosten beschränken sich auf die Anschaffung der kompatiblen USB- oder Bluetooth-Hardware-Dongles. Für Google selbst ist das Ganze natürlich auch eine gute Idee: So wird die Cloud-Infrastruktur überhaupt erst akzeptabel für „besonders gefährdete Personen“.