Schlagwort-Archive: Datenschutz

Datenschutzaktivist Max Schrems gründet „NOYB“ -„none of your business/geht dich nichts an“

Max Schrems ist mittlerweile kein Unbekannter oder Exot mehr; das ist dieser junge Jurist aus Österreich, der sich seit 2011 mit Facebook angelegt hat. Nicht aus Jux und Dollerei, sondern aus gutem Grund, und das äußerst hartnäckig und erfolgreich – da passt das etwas abgedroschene Bild vom Kampf David gegen Goliath wirklich. Mittlerweile, nach mehreren Verfahren durch alle Instanzen bis hinauf zum Europäischen Gerichtshof haben Facebook und die anderen Big Player im Internet das Anliegen und die Botschaft von Max Schrems verstanden bzw. verstehen müssen: Wenn ein Unternehmen hier in Europa mit europäischen Nutzern Kohle machen will, muss es sich auch an europäische Gesetze und Datenschutzvorschriften halten.

Embed from Getty Images

Bislang hat Max Schrems seinen Streit quasi im Alleingang (wenn auch schon mit finanzieller und personeller Unterstützung und “Sympathien” bis hinauf zur EU-Kommission…) geführt. Jetzt hat er eine Organisation gegründet, die die dabei gesammelten Erfahrungen und personellen Ressourcen bündeln und fortführen will. NOYB heißt die, das steht für „none of your business“ – „geht dich nichts an“. Nach österreichischem Recht ist das erstmal ein gemeinnütziger Verein, und den können und sollten alle an Datenschutzfragen Interessierte in einer Art Crowdfunding-Verfahren fördern. 🙂 Denn die Diagnose von Max Schrems wird ja von den “offiziellen” Datenschutzbeauftragten geteilt: Sie selbst, mit zwei, drei Stellen und einem knappen Budget ausgestattet, können den milliardenschweren IT-Giganten mit Stammsitz USA (oder Steuerparadies…) gar nicht wirksam Paroli bieten.

NOYB will mit Öffentlichkeitsarbeit, aber auch vor allem auch mit der konkreten Unterstützung von musterhaften Datenschutzklagen dazu beitragen, dass das EU-Datenschutzrecht zukünftig nicht nur auf dem Papier steht. Das soll aber nicht ideologisch und einseitig werden; NOYB will auch umgekehrt Unternehmen dabei helfen, datenschutzkonform im Netz zu agieren. Und dann wiederum auch eine Anlaufstelle für Whistleblower werden, die Verstöße aufdecken wollen. Auf jeden Fall bietet die neue Organisationsform eine bessere Chance, die formaljuristische Pseudo-Verteidigungsstrategie von Facebook und Konsorten auszuhebeln: Max Schrems sei ja gar nicht als Privatperson klagebefugt – und andererseits: Sammelklagen seien aber auch nicht zulässig 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 29.11. 2017 (Moderation: Diane Hielscher)

Der US-Wahlkampf hat 2016 das Familienfest Thanksgiving verdorben

Es ist schon erstaunlich – oder auch gruselig, was man mit den Daten herausfinden kann, die wir alle produzieren und die über uns erhältlich sind. Zum Beispiel, dass letztes Jahr in US-amerikanischen Familien mit gemischter politischer Präferenz – dort, wo es also sowohl Anhänger von Donald Trump als auch von Hillary Clinton gab, tendenziell der Haussegen schief hing: Das Dinner mit dem traditionellen “Turkey” fiel kürzer aus als sonst, und viele Leute blieben anscheinend lieber gleich zuhause – ulkigerweise war dieses “ohne mich”-Phänomen nur bei Republikaner-Wählern zu verzeichnen, die Demokraten-Anhänger machten sich immerhin auf den Weg zu ihren Lieben.

Woher Keith Chen von der University of California und Ryne Rohla von der Washington State University das so genau wissen wollen? Die beiden Wirtschaftswissenschaftler mit Faible für psychologische und soziologische Phänomene haben Smartphone-Daten ausgewertet, haben die Bewegungsmuster der Handies (bzw. deren Besitzer…) am Thanksgiving-Day 2016 nachverfolgt und mit den Daten aus 2015 verglichen. Wenn da 12 Smartphones für 3 Stunden am Abend beisammen saßen, dann war das wohl eine Familie beim Truthahn-Schmausen. Und wenn ein Teil der Handies (bzw. deren Besitzer…) in Bezirken zuhause war, in denen 75% der Stimmen für Donald Trump abgegeben worden war, und ein anderer Teil in Orten, die für Hillary Clinton gestimmt hatten – dann saßen da offenbar Verwandte mit unterschiedlicher politischer Präferenz am Tisch. Zumindest mit einer entsprechenden statistischen Wahrscheinlichkeit.

Embed from Getty Images

Außerdem haben die Forscher noch die (ebenfalls öffentlich verfügbaren…) Informationen über die geschalteten bzw. gesendeten TV-Wahlwerbespots hinzugezogen – das Ergebnis: In den Regionen mit intensiver Wahlwerbung (also insbesondere in den “Swing States”, den Bundesstaaten mit “unentschlossener” Wählerschaft war der Effekt “kürzere Thanksgiving-Dinner, weniger Anreisen” deutlich – in anderen Regionen nicht. Das spricht für eine Kausalität (und damit für einen “Erfolg” der Wahlwerbung…) – der US-Wahlkampf 2016 hat auf Polarisierung gesetzt – anscheinend haben die Russen da auch noch mal einen draufgesetzt – und der Polarisierungs-Effekt ist in den amerikanischen Familien angekommen.

Natürlich gehen bei solchen Studien immer die Alarm-Leuchten an: Ist die vermeintliche Kausalität tatsächlich haltbar? Ganz spontan fallen einem da natürlich sofort zwei andere Faktoren ein, die ebensogut wie die politischen Meinungsverschiedenheiten die Anreise-Freude oder die Verweildauer beim Truthahn-Essen hätten beeinflussen können: Das Wetter. Und eventuelle Grippe-Epidemien – theoretisch könnten solche Einflüsse zufällig exakt parallel zu der Werbespot-Intensität aufgetreten sein, und damit eine Kausalität nur vorgegaukelt haben.

Embed from Getty Images

Die Forscher haben allerdings diese Fehlerquelle sehr wohl im Auge gehabt und nach Kräften auszuschließen gesucht: Sie haben nur Familien ausgewertet, die räumlich relativ nahe beieinander gewohnt haben und keine großen Reisestrecken zurücklegen mussten – wenn es also Faktoren wie Wetter oder Grippe gegeben haben sollte, dann hätte dies Familien mit “einheitlicher” und Familien mit “gemischter” politischer Präferenz gleichermaßen betroffen. Das alles sieht also ziemlich plausibel aus. 🙂

Weniger Familientreffen: US-Wahlkampf hat Thanksgiving verdorben · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 13.11.2017 (Moderation: Diane Hielscher)

Apple bot FBI Hilfe beim Zugriff auf das iPhone des Texas-Attentäters an

Das hört sich nach einer Sensation oder einem völligen Paradigmenwechsel an, oder auch nach einer Hiobsbotschaft für alle Besitzer eines iPhones oder iPads – aber obwohl die Überschrift, die ja so in vielen Medien zu lesen war, tatsächlich stimmt: An Apples Position in der Zusammenarbeit oder eben auch Nicht-Zusammenarbeit mit Ermittlungsbehörden und Geheimdiensten ändert sich überhaupt nichts. Wie schon bislang ist Apple kooperativ, solange die Kooperation nicht das Vertrauen der User in die Sicherheit der Verschlüsselung in den iOS-Geräten zerstört – was natürlich Selbstmord für das eigene Geschäftsmodell wäre. Aber auch ohne dieses eigene Geschäftsinteresse hat Apple in der grundsätzlichen, politischen Frage natürlich vollkommen recht:

Jede absichtliche Schwächung eines Sicherheitskonzepts, jede “Behörden-Hinter- oder Vordertür” würde sehr schnell auch von Kriminellen oder “gegnerischen” Geheimdiensten ausgenutzt – das Verhältnis von ein paar vielleicht schneller aufzuklärenden Terror-Anschlägen gegenüber den dann in Kauf genommenen “Kollateralschäden” von Industriespionage über politische Sabotage, über Banking-Betrug bis hin zu Privacy-Verletzung ist einfach grotesk. Ein iOS-Gerät, das gesperrt ist, wird Apple also weiterhin nicht aufsperren – und kann dies auch (jedenfalls ohne grundlegende Eingriffe in das Betriebssystem…) wohlweislich gar nicht mehr.

Embed from Getty Images

Was Apple aber – wenn ein Durchsuchungsbefehl oder eine richterliche Anordnung vorliegt – sofort herausrückt, das ist der Inhalt der iCloud, in der sich ja ggf. auch Backups der Geräte befinden – hierfür kennt der Hersteller auch den Schlüssel; das Sicherheitskonzept der iCloud bezieht sich also nur auf unbefugte Fremd-Zugriffe. Was natürlich wiederum für sicherheits-sensible Anwender heisst: iCloud-Backups nicht aktivieren, sondern die Gerätedaten nur lokal verschlüsselt sichern.

Wie sicherheits-sensibel der Attentäter von Sutherland Springs war, wissen wir noch nicht – wir wissen auch nicht, ob er überhaupt ein neueres iPhone mit Fingersensor besaß, und wenn ja, ob “TouchID” überhaupt aktiviert war. Im Gegensatz zu Reuters und der Washington Post gehe ich eigentlich davon aus, dass den Forensik-Spezialisten vom FBI durchaus bekannt ist, dass sich ein iPhone eines Attentäters mit dessen Fingerabdrücken innerhalb von 48 Stunden eventuell entsperren lässt – auch wenn der Attentäter schon tot ist.

Für mich klingt das Statement von Special Agent Christopher Combs am Dienstag (7.11.) eher nach einer politischen Duftmarke: “Ceterum censeo: Die böse, wirksame Verschlüsselung muss abgeschafft werden.” Und Apple hat dann; einerseits ernst gemeint, aber auch ebenso medienwirksam zurückgeflötet „wir kooperieren ja, aber…“ Was ich persönlich noch spannend fände: ob die neue Gesichtserkennung beim iPhone X auch bei einem Toten funktioniert. Die Augen müssen ja in die Kamera schauen, da muss man vielleicht noch irgendwie die Lider aufspannen – makaber.

Für alle Lebenden hat Apple ja jedenfalls noch ein Notfall-Feature in iOS11 eingebaut: Fünfmal den Aus-Knopf drücken, dann wird das Entsperren via Finger- und Gesichtserkennung abgeschaltet, danach geht’s nur noch mit dm Zugangscode.

Google “Advanced Protection”: Schutz für VIPs und ganz normale Leute

Es stimmt schon: Otto und Emma Normalverbraucher(in) stehen glücklicherweise nicht im Fokus von Hackern. Und Otto und Emma werden also bestenfalls (immer noch unangenehmerweise…) Zufallsopfer irgendwelcher Pannen, Lücken und Fahrlässigkeiten bei den Betreibern ihrer Email-Accounts, Internet-Shops oder Dating-Plattformen. Richtig gefährlich wird es dann, wenn einen Cyber-“Miscreants” gezielt ins Visier nehmen. Als Promi, weil sich dann heikle Fotos versilbern lassen oder halt einen sehr netten “Impact-Faktor” ergeben. Als investigativer Journalist, Wirtschafts-Akteur oder Politiker – da kommen wir schon in den Profi-Bereich von Geheimdiensten und “staatlichen Akteuren”. Oder als bekennender Cyberwährungs-Nutzer – da interessieren sich eben Cyber-Beutelschneider sehr für gut gefüllte Cyber-Wallets auf dem PC.

Die “Advanced Protection” bringt manche Restriktionen mit sich, der geschützte Google-Account ist deutlich weniger “smart” als der normale. Aber für alle User mit erhöhtem Schutzbedürfnis ist das ein fairer “Deal” – die zusätzlichen Kosten beschränken sich auf die Anschaffung der kompatiblen USB- oder Bluetooth-Hardware-Dongles. Für Google selbst ist das Ganze natürlich auch eine gute Idee: So wird die Cloud-Infrastruktur überhaupt erst akzeptabel für “besonders gefährdete Personen”.

Deutschlandfunk Nova · Besonderer Google-Schutz für gefährdete Personen

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)

Videoüberwachungsprojekt Berlin: Golem.de wirft digitalcourage Fehler vor

Das Testprojekt zur automatischen Gesichtserkennung am Berliner Bahnhof Südkreuz ist ohnehin umstritten – und Anfang der Woche kam noch mal zusätzliche Aufregung in die Sache: Die rund 300 freiwilligen Teilnehmer, so der Vorwurf der Aktivisten vom Verein Digitalcourage, hätten statt eines passiven RFID-Transponders einen aktiv sendenden Blutooth-Beacon untergeschoben bekommen, der rund um die Uhr Daten sammele, die weit über den eigentlichen Zweck des Transponders hinausgingen. Der Test sei also umgehend abzubrechen – eine Forderung, der sich sogar die Bundesdatenschutzbeauftragte Andrea Voßhoff anschloss.

 

Bundesinnenminister Thomas de Maziere konterte kühl, die vorgebrachten Bedenken beruhten auf “fehlerhaften Informationen” – und wie es aussieht, hat er damit Recht. Alexander Merz und Friedhelm Greis vom IT-Portal Golem.de werfen nämlich den Datenschützern von Digitalcourage diverse Fehlannahmen, Kenntnislücken und Ungenauigkeiten vor – mit dem (Fehl-)Alarmruf hätten die Aktivisten der Sache einen Bärendienst erwiesen. Die Analyse bei Golem.de liest sich für mich plausibel – im Übrigen hatte ich den vermeintlichen Skandal ohnehin eher für einen Sturm im Wasserglas gehalten: Wer sich als Testperson für den Pilotversuch gemeldet hatte, im Gegenzug für einen kleinen Amazon-Gutschein, der hat ja offenbar kein exorbitantes Problem mit einer gewissen temporären Aufgabe seiner “Privacy”.

Denn wohlgemerkt – mit dem eigentlichen eventuell kommenden Regelbetrieb der automatischen Gesichtserkennung hat die Transponder-Karte ja überhaupt nichts zu tun. Die Golem-Autoren betonen, dass auch sie – wie Digitalcourage – die geplante biometrische Erfassung und Speicherung unbescholtener Bürger sehr kritisch sehen, ich schließe mich dem an. Ob die Methode tatsächlich einen ungeheuren Sicherheitsgewinn bringt, darf man einstweilen bezweifeln, wie aber die Kollateralschäden funktionieren – der britische Datenschutzbeauftragte hat gerade wieder einmal nachgewiesen und heftig kritisiert, dass einmal bestehende Einträge in Polizei-Datenbanken rechtswidrig praktisch nie gelöscht oder korrigiert werden – das haben die Vorgänge rund um die Akkreditierungen von Journalisten beim G20-Gipfel gezeigt.

Die Aufregung darüber ist übrigens kein selbstverliebtes Gejammere einer privilegierten Berufsgruppe, wie man zuweilen lesen konnte. Entsprechende Einträge in Behörden-Datenbanken gibt es natürlich nicht nur bei Journalisten, sondern bei Jedermann und Jederfrau. Und die fragen sich halt dann irgendwann, warum sie eigentlich den angestrebten Job oder die Wohnung nicht bekommen oder warum ihr Visa- oder Kontoeröffnungsantrag abgelehnt wird.

Deutschlandfunk Nova – Hielscher oder Haase vom 25.08.2017 (Moderation: Thilo Jahn)

Daten von 200 Millionen US-Bürgern frei im Netz

Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?

Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei “Deep Root Analytics” keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares “Versehen”. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.

Das “besondere Maß an Verantwortlichkeit”, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat “Deep Root Analytics” wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar “Köpfe rollen”. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂

Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)

Automatische Gesichtserkennung beim FBI und bei der Deutschen Bahn

Automatische Gesichtserkennung – das ist ja mittlerweile quasi eine Standard-Technologie. Bei den aktuellen Smartphones ist das eingebaut; Bildbearbeitungssoftware kann das, die Software von Google oder Facebook kann das auch, um z.B. Personen auf Fotos zu „taggen“. Und grundsätzlich funktioniert das natürlich nicht nur bei Fotos, sondern auch bei einem Video, etwa dem aus Überwachungskameras. In den USA ist gerade eine Diskussion neu entflammt, wie das FBI automatische Gesichtserkennung einsetzt – und bei uns in Deutschland, in Berlin soll die Technik demnächst auch wieder einmal erprobt werden.

Was das Hearing des Überwachungsausschusses des Repräsentantenhauses angeht – da wundert man sich fast schon, warum denn das Problem den nun Bedenken äußernden Politikern nicht schon nach dem Bericht des Rechnungshofes präsent war. Eine flächendeckende Überwachung von unbescholtenen Bürgern ist natürlich nicht in Ordnung. Andererseits – wenn eine Gesichtserkennungssoftware Personen identifiziert, die den ganzen Vormittag eine Rolltreppe rauf- und runterfahren (um nämlich anderen Zeitgenossen Geldbörse und Handy aus den Taschen zu ziehen…); oder die irgendwo am Gleis einen Koffer deponieren und sich dann schnurstracks entfernen – dann habe ich da irgendwie auch nichts gegen einzuwenden.

DRadio Wissen – Hielscher oder Haase vom 28.03.2017 (Moderation: Till Haase)

Wie zerstört man ein Datencenter in 60 Sekunden?

Wenn man über Computerthemen schreibt und spricht, dann geht es ja normalerweise eher darum, wie man Daten zuverlässig sichern kann – auch im (jederzeit möglichen…) Notfall, wenn eine Festplatte ausfällt oder wenn wir uns Schadsoftware eingefangen haben. Aber auch das genau entgegengesetzte Szenario ist einen Gedanken wert: Wie können wir unsere Daten im Notfall eigentlich zuverlässig zerstören?

Wenn wir also etwas sehr heikles auf unseren Systemen gespeichert haben und die Polizei klingelt gerade unten an der Haustür? Natürlich soll das jetzt kein Ratschlag für Kriminelle, Steuerhinterzieher oder Kinderpornografie-Sammler werden.

Aber für eine Firma, ein Medienunternehmen, eine Oppositionellengruppe oder vielleicht auch für Diplomaten (oder Pseudo-Diplomaten, sprich Agenten…) in einem totalitären oder „kritischen“ Land stellt sich das Problem ja tatsächlich und ganz ernsthaft – und der australische Sicherheitsforscher und Autor von populären TV-Sendungen, “Zoz” Brooks beschäftigt sich schon seit einiger Zeit theoretisch und praktisch…

…mit dem Thema – wie also vernichte ich schnell (innerhalb von 60 Sekunden…) nicht nur eine einzelne Festplatte (ein Schwertangriff auf den eigenen Computer ist z.B. nicht sehr zielführend…), sondern ein ganzes Datencenter?

Forensiker und Datenretter können ja selbst aus ziemlich angeschlagenen Datenträgern noch allerhand herausholen, bei den zeitgemäßen SSDs gibt es zwar theoretisch den “Secure Erase”-Befehl, aber auch ganz neue Herausforderungen – und letztlich stellt das auch alle User in sicherheitskritischen Bereichen vor die schwierige Frage, wie sie eigentlich ausgemusterte Datenträger zuverlässig vernichten.

Die Vorgabe “60 Sekunden, aber keine vollständige Zerstörung von Gebäuden und anwesenden Mitarbeitern” macht die Sache – so die Experimente von Zoz Brooks – ziemlich schwierig. Mein Vorschlag wäre ja ein Hardware-Verschlüsselungsmodul, über das alle Daten hinein und wieder hinausgehen. Ein Modul, das den Schlüssel (nach einem State-of-the Art-Verfahren…) selbst erzeugt; unzugänglich für die Administratoren. Aus Sicherheitsgründen müsste dieses Modul redundant ausgelegt sein. Und im Zweifelsfall jagt man diese Module in die Luft oder grillt, plasmastrahlt, zernagelt oder verglüht die – und auf den Datenträgern bleibt nur Datenmüll. (Hochladen in selbst schon verschlüsselter Form ist natürlich eh eine gute Idee für die Datencenter-User…)

Zwei kleine Haken: Die ermittelnden Behörden, Schurken oder Geheimdienste könnten die Daten solange ins Archiv legen, bis sie einen passenden Quantencomputer zur Entschlüsselung haben. Und sie müssen natürlich auch begreifen, dass Erzwingungshaft oder Folter in diesem (tunlichst sehr transparent dokumentierten…) Szenario keinen Sinn haben. Wobei – man kann natürlich auch für die anschauliche und physisch überzeugende “Vernichtung von Beweismitteln” in Haft kommen oder gefoltert werden. Die in Frage kommenden Regime sehen das ja bekanntlich alles nicht so eng…

DRadio Wissen · Datenschutz: So werden Daten zuverlässig zerstört

DRadio Wissen – Hielscher oder Haase vom 28.03.2017 (Moderation: Till Haase)

Google muss auf Servern im Ausland gespeicherte Emails an FBI herausgeben

Vor Gericht ist es bekanntlich wie auf hoher See; die nächste Monsterwelle oder Richterlaune fegt einen unverhofft in den Orkus bzw. Malstrom – auch wenn man Microsoft oder Google heißt. Andererseits ist das Spannungsfeld zwischen territorial verankerten nationalen Behördenrechten und weltweit herumvagabundierenden digitalen Daten auch extrem unübersichtlich bzw. eben interpretationsfähig. Viele einschlägige Gesetze, die das Verhältnis von legitimen Instrumenten im Dienste der Strafverfolgung gegenüber essentiellen Bürgerrechten definieren und ausloten, stammen noch aus dem analogen anno dazumal.

 

Und passen irgendwie nicht mehr so recht, oder können halt nur mit intellektuellen Verrenkungen passend gemacht werden – je nach juristischer Haarspalterei oder auch je nach politischer Agenda. Letztlich dürften sowohl der Fall Microsoft als auch der Fall Google vor dem US-Supreme Court landen – und der dürfte wiederum nach der Richter-Neubesetzung durch den neuen US-Präsidenten tendenziell einen Schwenk in Richtung des Mottos “Sicherheit geht vor Bürgerrechten” von Donald Trump machen. Vielleicht muss die Elefantenrunde der IT samt ihren Unternehmen ja irgendwann in Europa um Asyl bitten 🙂 .

DRadio Wissen – Hielscher oder Haase vom 06.02.2017 (Moderation: Diane Hielscher)

Wissenschaftler warnen: Entsperr-Geste bei Androidgeräten lässt sich “hacken”

Wissenschaftler von der Uni Lancaster haben ein Programm entwickelt, mit dem Diebe, böse Kollegen oder eifersüchtige Partner einen per Geste gesicherten Lockscreen, die Sperrfunktion von Android-Smartphones oder Tablets unbefugt aushebeln können. Dazu müssen sie allerdings zuvor einmal filmen, wie der rechtmäßige User sein Gerät entsperrt. Wer jetzt spontan denkt “so what?”, liegt daneben – mit “filmen” ist selbstverständlich keine freie Sicht auf den Bildschirm und Finger gemeint. Das Ganze funktioniert vielmehr auch dann, wenn das Gerät gedreht, gekippt und abgewandt ist, solange die grundsätzliche Bewegung der Hand erkennbar bleibt.

The popular Pattern Lock system used to secure millions of Android phones can be cracked within just five attempts — and more complicated patterns are the easiest to crack, security experts reveal. Credit: Lancaster University

Anschließend setzt der Algorithmus die registrierten Bewegungen in Beziehung zur relativen Position des Gerätes – und erstellt eine Liste mit plausiblen Entsperrmustern, nach Wahrscheinlichkeit geordnet. Hilfreich ist dabei, dass die Punktmatrix beim Lockscreen die Anzahl der möglichen Varianten beschränkt, und paradoxerweise lassen sich komplizierte Gesten (die ja an sich einen besseren Schutz gegen das einfache Ausprobieren bieten…) sogar leichter “entschlüsseln” als einfache. Auch wenn nicht jeder potentielle Dieb, böse Kollege oder eifersüchtige Partner sofort mit der Methode operieren wird – das Verfahren ist auf jeden Fall weit weniger aufwendig und daher plausibler als das Fingerabdruck-nachmachen vom Selfie-Foto 🙂 …

DRadio Wissen · Android-Smartphones: Wie Taschendiebe die Entsperrung knacken

DRadio Wissen – Hielscher oder Haase vom 24.01.2017 (Moderation: Diane Hielscher)