Schlagwort-Archive: Privacy

Internet der Dinge: Bluetooth-Buttplugs können gehackt werden

In den USA hatte vor kurzem eine Frau den Hersteller ihres High-Tech-Dildos verklagt. Das Sexspielzeug konnte man per Handy-App programmieren – nur hatte die App dann eben so intime Details wie die Intensität der Vibration, die Nutzungszeit- und –häufigkeit und die Körpertemperatur per Netz an den Hersteller weitergetratscht. Dafür gab es dann einen Datenschutz-Rüffel und eine happige Schadensersatz/Straf-Zahlung.

 

Mittlerweile gibt es ja jede Menge vernetzte Sex-Toys, die zu überprüfen hat einen gewissen besonderen Spaß- oder zumindest Aufmerksamkeitsfaktor; auch wenn man das ganze Thema nicht per se lächerlich machen oder als peinlich oder pervers abstempeln will. Auf jeden Fall haben IT-Experten vom Unternehmen „PenTestPartners“ 🙂 unter Umständen recht unangenehme Sicherheitslücken bei Bluetooth-gesteuerten Buttplugs gefunden. Auf den ersten Blick würde man denken: Das kann nicht relevant sein: die Reichweite von Bluetooth LE beträgt ungefähr 10 Meter; und auch wenn die Hersteller keine PIN oder kein Passwort beim Pairing zwischen App und Device vorgesehen haben – das lässt sich ja nur dann ausnutzen, wenn der Buttplug nicht mit dem Smartphone des/der legitimen Nutzers/Nutzerin gekoppelt ist.

Das „Screwdriving-Protokoll“ der IT-Experten, die Suche nach potentiell kontrollierbaren Devices in Berlin lässt dies hingegen wieder in einem anderen Licht erscheinen.

Übrigens: Bluetooth-gesteuerte Hörgeräte sind auch von dem Sicherheitsproblem betroffen. Um die Sache mal wieder in die Mitte der alternden Gesellschaft zu bringen 🙂 …

Sexspielzeug mit Bluetooth: Buttplugs hacken · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 06.10.2017 (Moderation: Diane Hielscher)

Videoüberwachungsprojekt Berlin: Golem.de wirft digitalcourage Fehler vor

Das Testprojekt zur automatischen Gesichtserkennung am Berliner Bahnhof Südkreuz ist ohnehin umstritten – und Anfang der Woche kam noch mal zusätzliche Aufregung in die Sache: Die rund 300 freiwilligen Teilnehmer, so der Vorwurf der Aktivisten vom Verein Digitalcourage, hätten statt eines passiven RFID-Transponders einen aktiv sendenden Blutooth-Beacon untergeschoben bekommen, der rund um die Uhr Daten sammele, die weit über den eigentlichen Zweck des Transponders hinausgingen. Der Test sei also umgehend abzubrechen – eine Forderung, der sich sogar die Bundesdatenschutzbeauftragte Andrea Voßhoff anschloss.

 

Bundesinnenminister Thomas de Maziere konterte kühl, die vorgebrachten Bedenken beruhten auf „fehlerhaften Informationen“ – und wie es aussieht, hat er damit Recht. Alexander Merz und Friedhelm Greis vom IT-Portal Golem.de werfen nämlich den Datenschützern von Digitalcourage diverse Fehlannahmen, Kenntnislücken und Ungenauigkeiten vor – mit dem (Fehl-)Alarmruf hätten die Aktivisten der Sache einen Bärendienst erwiesen. Die Analyse bei Golem.de liest sich für mich plausibel – im Übrigen hatte ich den vermeintlichen Skandal ohnehin eher für einen Sturm im Wasserglas gehalten: Wer sich als Testperson für den Pilotversuch gemeldet hatte, im Gegenzug für einen kleinen Amazon-Gutschein, der hat ja offenbar kein exorbitantes Problem mit einer gewissen temporären Aufgabe seiner „Privacy“.

Denn wohlgemerkt – mit dem eigentlichen eventuell kommenden Regelbetrieb der automatischen Gesichtserkennung hat die Transponder-Karte ja überhaupt nichts zu tun. Die Golem-Autoren betonen, dass auch sie – wie Digitalcourage – die geplante biometrische Erfassung und Speicherung unbescholtener Bürger sehr kritisch sehen, ich schließe mich dem an. Ob die Methode tatsächlich einen ungeheuren Sicherheitsgewinn bringt, darf man einstweilen bezweifeln, wie aber die Kollateralschäden funktionieren – der britische Datenschutzbeauftragte hat gerade wieder einmal nachgewiesen und heftig kritisiert, dass einmal bestehende Einträge in Polizei-Datenbanken rechtswidrig praktisch nie gelöscht oder korrigiert werden – das haben die Vorgänge rund um die Akkreditierungen von Journalisten beim G20-Gipfel gezeigt.

Die Aufregung darüber ist übrigens kein selbstverliebtes Gejammere einer privilegierten Berufsgruppe, wie man zuweilen lesen konnte. Entsprechende Einträge in Behörden-Datenbanken gibt es natürlich nicht nur bei Journalisten, sondern bei Jedermann und Jederfrau. Und die fragen sich halt dann irgendwann, warum sie eigentlich den angestrebten Job oder die Wohnung nicht bekommen oder warum ihr Visa- oder Kontoeröffnungsantrag abgelehnt wird.

Deutschlandfunk Nova – Hielscher oder Haase vom 25.08.2017 (Moderation: Thilo Jahn)

Apple wirft VPN-Apps aus dem chinesischen App-Store

Ende Januar hatte die chinesische Regierung bekanntgegeben: VPN-Anbieter brauchen ab sofort eine behördliche Genehmigung, wenn sie ihre Dienste fortführen wollen. Ein Schelm, wer Böses dabei denkt. Denn natürlich ist eine solche „Genehmigung“  in einem nicht-demokratischen Staat keine reine Formsache oder Qualitätskontrolle, sondern bedeutet: Vor dem mitlauschenden WLAN-Betreiber mag ein behördenkonformer VPN-Dienst vielleicht noch schützen, nicht aber vor der mitlauschenden Behörde.

Die wichtigsten, beliebtesten und von ihren Usern bislang als vertrauenswürdig eingeschätzten VPN-Apps, laut Informationen der BBC mindestens 60 an der Zahl, hat Apple jetzt aus dem chinesischen App-Store geworfen – sie enthielten, so die Erklärung des Unternehmens, „unzulässige Komponenten“. Soll heißen – sie hatten keine Genehmigung oder Zulassung und verstießen also gegen die gesetzliche Regelung. Apps müssen die gesetzlichen Bestimmungen des Landes einhalten, in dem sie verfügbar gemacht werden, zitiert Apple aus seinen Geschäftsbedingungen.

Und trotz dieser Erläuterungen: Natürlich steht der Vorwurf im Raum, Apple hätte Kotau vor einem Unrechtsregime gemacht, nur um sein Geschäft fortführen zu können. Das Unternehmen habe seinen eigenen Anspruch unterminiert, allen Begehrlichkeiten von Regierungen – demokratischen wie nicht-demokratischen – zu trotzen und die Sicherheit und Verlässlichkeit von iPhones und iOS und der damit abgewickelten Kommunikation zu schützen. Wie soll Apple in Zukunft – fragt Techcrunch – gegen die Entschlüsselungs- und Backdoor-Wünsche der eigenen Regierung argumentieren?

 

Die Kritik ist natürlich ganz und gar nicht abwegig, das Dilemma für Apple ist unverkennbar und schmerzhaft – und doch gibt es noch ein paar wichtige Details, warum ein Nachgeben auf einem einen Schauplatz noch nicht ein Einknicken auf der ganzen Linie bedeuten muss. Punkt eins: es macht einen gewaltigen Unterschied, ob es in einem bestimmten App-Store bestimmte Apps nicht mehr gibt – oder ob das ganze Betriebssystem kompromittiert ist. Punkt zwei: es macht einen gewaltigen Unterschied, ob ein Widerstand gegen eine unliebsame Regulation überhaupt Sinn macht.

Das hört sich opportunistisch an – aber einmal ganz ehrlich: Seit wann ist ein Unternehmen, dass seinen Aktionären Rechenschaft über den Geschäftserfolg schuldig ist, eine Freiheitskampf-Organisation? Sollten nicht alle deutschen (und amerikanischen…) Firmen alle Geschäftsbeziehungen zu China, zum Iran, vielleicht auch zur Türkei aus „moralischen Gründen“ abbrechen? Das ist relativ naiv und vielleicht auch einfach kontraproduktiv – und auf jeden Fall eine politische, nicht primär eine Entscheidung von Unternehmen – außer die „Moral-Dividende“ ist höher als der entgangene Gewinn 🙂 .

Ich bin ja selbst gespalten in der Sache: Von Google und Facebook erwarte ich einerseits, dass sich die Herrschaften gnädigerweise an deutsches oder europäisches Datenschutzrecht halten, wenn sie hier Geschäfte machen. Andererseits: Urteile wie das aus München, Wien oder aus Frankreich zur Löschpflicht bei Facebook und Google, demzufolge nationales Recht weltweit umzusetzen ist, die machen mir wieder Bauchschmerzen. Weil dann natürlich eigentlich auch Urteile aus Istanbul, Riad oder Pjöngjang weltweit umzusetzen wären. Im Moment versucht ja gerade Google, ein Urteil aus Kanada in den USA wieder kassieren zu lassen. 🙂

Warum dem lupenreinen Demokraten Vladimir Putin die VPNs ebenfalls ein Dorn im Auge sind, ist klar. Zumindest unsere Politiker im „freien Westen“ täten also gut daran, nicht unter der Flagge „Terrorbekämpfung“ in die gleichen Gefilde zu dampfen.

Virtual Private Networks: Apple wirft VPN-Apps aus dem chinesischen App-Store · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 31.07.2017 (Moderation: Till Haase)

Daten von 200 Millionen US-Bürgern frei im Netz

Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?

Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei „Deep Root Analytics“ keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares „Versehen“. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.

Das „besondere Maß an Verantwortlichkeit“, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat „Deep Root Analytics“ wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar „Köpfe rollen“. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂

Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)

Tracking: Keine Selfies mehr mit Emma Watson

Emma Watson, die Hermine aus der Harry-Potter-Filmserie, ist mittlerweile 26 Jahre alt. Den Übergang vom Kinderstar in die Riege der erwachsenen Top-Filmschauspielerinnen hat sie locker geschafft, demnächst können wir sie in „Beauty and the Beast“ sehen. Wenn man Interviews mit ihr liest, wird klar – sie ist eine umgängliche Frau ohne große Starallüren, die aber auch sehr klar entscheidet, was sie der Öffentlichkeit preisgibt und was nicht. Im Gespräch mit dem Magazin „Vanity Fair“ hat sie jetzt verkündet, sie wolle sich in Zukunft nicht mehr einfach so überall von Fans ablichten lassen – weil nämlich nach dem Hochladen der Fotos ins Netz sofort ihr Aufenthaltsort auf 10 Meter genau bekannt sei – und das eben praktisch Tag für Tag rund um die Uhr. Emma Watson will nicht mehr dauer-getracked werden.

 

Die Besorgnis ist natürlich absolut nachvollziehbar. In den Standardeinstellungen werden zu jedem Schnappschuss von Smartphone oder Kamera Uhrzeit und Geolocation-Daten mit abgespeichert, in den Standardeinstellungen bleiben die auch beim Hochladen in Social Networks erhalten oder da kommen sogar noch mal solche Daten im Moment des Postens dazu. Das ist also genau wie Emma Watson sagt: innerhalb von zwei Sekunden nach dem Knipsen weiß die ganze Welt, wo exakt sie gerade ist. Bei Stars wird man hier möglicherweise noch denken – ok, das ist jetzt im Rahmen der Prominenz und der damit verbundenen geldwerten Vorteile 🙂 eingepreist.

Im Grunde betrifft das Problem „knipsen und hochladen“ (mit Metadaten, aber ohne Einverständniseinholung…) aber jeden von uns. Wahrscheinlich leben wir schon in einer faktischen Post-Privacy. So richtig toll ist das aber nach wie vor nicht. Wer da ab und zu reingrätscht – auch mal happig kostenpflichtig – hat meinen Segen. Auch wenn das den Trend letztendlich nicht wirklich aufhält 🙂 …

DRadio Wissen · Tracking: Keine Selfies mehr mit Emma Watson

DRadio Wissen – Redaktionskonferenz vom 01.03.2017 (Moderation: Sonja Meschkat)

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

„Zahlreiche Sicherheitslücken in VeraCrypt gefunden“ – so titelten verschiedene IT-Newsseiten ihre Berichte über das Ergebnis des Software-Audits an. Das stimmt natürlich, trotzdem ist die Kernbotschaft eigentlich eine andere: Mit dem vom Open Source Technology Improvement Fund (OSTIF) in Auftrag gegebenen und durch die IT-Firma Quarkslab erstellten Gutachten können wir nun zunächst einmal davon ausgehen, dass VeraCrypt und sein Entwickler Mounir Idrassi grundsätzlich vertrauenswürdig ist. Die Chancen dafür standen ja ohnehin eigentlich schon besser als bei TrueCrypt, dessen Macher anonym blieben.

Wenn man mit Idrassi selbst spricht, dann verfliegen Zweifel an seiner Integrität ohnehin sehr schnell (was natürlich noch kein sicherheits-belastbarer Beweis ist 🙂 ); er ist enthusiastisch und gibt auch eigene Fehler unumwunden zu – wie etwa die im Audit bemängelte Verwendung veralteter und unsicherer Komprimierungs-Softwarebibliotheken. Obwohl mittlerweile auch aus der Open-Source-Community zahlreiche Beiträge zum Programmcode kommen – bislang ist VeraCrypt halt im wesentlichen ein Ein-Mann- und Freizeit-Projekt; und die Ressourcen von Mounir Idrassi sind begrenzt.

Immerhin ist jetzt auch der russische Entwickler Alex Kolotnikov mit an Bord – er zeichnet für den UEFI-Bootloader verantwortlich. Damit ist nun endlich auch auf neueren Computern und z.B. unter Windows 10 die komplette Verschlüsselung des Systems möglich. Und die ist unbedingt anzuraten, wenn man ein ernsthafteres Sicherheitsbedürfnis hat, als etwa nur die eigene Pornosammlung vor der Ehefrau zu verstecken: Auf einem normalen Windows reißen die unzähligen temporären Datenspuren, die Speicherdumps für den Schlafmodus oder Schnellstart, die Schattenkopien, Miniaturbildchen und automatischen Sicherungen alle Verschlüsselungs-Versuche gleichzeitig mit dem Hintern wieder ein, wie es so schön heißt. 🙂

Das gilt auch, wenn man sein Windows auf einer SSD eingerichtet hat – das Filesystem mit Clustern und Sektoren ist ja nur vorgegaukelt. Tatsächlich kopieren aber der SSD-Controller und Optimierungsalgorithmen wie das Wear-Leveling munter den Inhalt von Flash-Speicherzellen kreuz und quer auf dem Medium herum – zumindest vom Dateisystem her gibt es keine verlässliche Methode, Daten zu löschen. Und ob der „Secure Erase“-Befehl bzw. der Hardwareverschlüsselung des SSD-Hersteller letztlich vertrauenswürdig ist, ist schon wieder eine Frage des Glaubens, nicht des Wissens. Zu wenig für hohe Sicherheitsanforderungen.

Das einzige Szenario, das auch Mounir Idrassi für sicher halten würde: Die fabrikneue SSD komplett als Laufwerk bzw. Partition verschlüsseln und dann „on demand“ mit Veracrypt als logisches Laufwerk zu mounten – in diesem Fall würden ausschließlich verschlüsselte Daten auf die SSD geschrieben, weil Windows das „eigentliche“ Laufwerk für nicht partioniert hält und keinen Zugriff hat. In diesem Fall würden also auch die Wear-Leveling-Mechanismen nur verschlüsselte Speicherzelleninhalte umkopieren.

Auch wenn das noch keine offizielle Ankündigung ist – man kann wohl davon ausgehen, dass das BSI bzw. das Fraunhofer-Institut SIT, das ja Ende 2015 Truecrypt begutachtet hatte, in nicht allzu ferner Zukunft auch den Code von Veracrypt unter die Lupe nimmt. Mit einem zweiten Audit wäre dann auch das Argument eines Zweiflers im Heise-Forum entkräftet, Veracrypt-Programmierer und die Gutachter bei Quarkslab wären Franzosen, für beide würde ein Gesetz gelten, das der französischen Regierung eine Hintertür einräume.

Ein solches Gesetz gibt es nicht, entgegnet Mounir Idrassi – da habe der Zweifler wohl ungare Planspiele bestimmter Politiker mit der Realität verwechselt. Er selbst würde sofort die Arbeit an Veracrypt einstellen und das Projekt öffentlich für beendet erklären, falls irgendjemand von ihm verlange, die Software absichtlich unsicher zu machen.

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

Deutschlandfunk – Computer und Kommunikation vom 22.10.2016 (Moderation: Manfred Kloiber)

Geofeedia: US-Polizei nutzte Daten aus Twitter und Instagram über Demonstranten

In den USA ist das ja leider schon fast ein trauriger Standard-Ablauf: Ein Schwarzer wird bei einem Polizeieinsatz erschossen, die Umstände sind nach Aussagen von Zeugen oder Aufnahmen von Kameras zumindest fragwürdig. Und anschließend kommt es zu tage- oder wochenlangen Protesten mit zum Teil bürgerkriegsartigen Szenarien. Im Moment sorgt gerade ein Bericht der amerikanischen Bürgerrechtsorganisation ACLU für Aufsehen: Die US-Polizei nutzt Daten von Twitter, Facebook  und Instagram, um Demonstranten und Aktivisten zu überwachen bzw. sogar von dem Marsch auf die Straße abzuhalten. Geliefert werden diese Daten von einer Firma mit dem Namen Geofeedia.

Das klingt nach einem Skandal oder nach einem Eingriff in Bürgerrechte, und der Eindruck wird ja verstärkt durch die Reaktion der betroffenen Social-Media-Firmen: Instagram und Facebook hatten Geofeedia schon im September den Zugriff auf die Daten gekappt, und nachdem am Dienstag der ACLU-Report publik gemacht wurde, kam dann auch von Twitter postwendend die Message: Der Zugang von Geofeedia wird auf der Stelle beendet.

Aber „privilegiert“ oder „besonders“ ist dieser Zugang überhaupt nicht. Was Geofeedia weiterverkauft, ist schlicht und ergreifend die Nutzung von sogenannten APIs. Das steht für „Application programming interface“, auf Deutsch also „Anwendungs­programmier­schnittstelle“. Und über solche Schnittstellen hat man dann Zugang zu den Rohdaten des jeweiligen Dienstes, also z.B. auf Tweets oder Postings, aber ohne die normale grafische Aufbereitung oder Filterung oder Gewichtung. Einen solchen API-Zugang gibt es je nach Nutzungsintensität gratis oder gegen Gebühr.

Wer sich jetzt darüber aufregt, dass Polizeidienststellen über Geofeedia-Daten vermeintlich oder tatsächlich gewaltbereite Demonstranten abfängt, verkennt die Tatsache, dass Pepsi-Cola eben ansonsten unzufriedene Coca-Cola-Trinker zu identifizieren versucht 🙂 . Social-Media-Nutzer werden nun eben mal abgeschnorchelt und ausgewertet. Ob Konsumenten, Demonstranten oder Terroristen.

DRadio Wissen – Hielscher oder Haase vom 14.10.2016 (Moderation: Till Haase)

Panikmache und Dauerwarnung lässt Computernutzer resignieren

Es gibt ja bei vielen großen, mächtigen US-Unternehmen (oder auch bei deutschen Hinterhof-Klitschen…) mit authentischem (oder auch mit nachgeäfftem…) „auf-zu-neuen-Horizonten“-Gestus so einen ganz fantastischen Titel für irgendwelche freischwebenden Gurus mit Visionen: „Chief Technology Evangelist“; oder so ähnlich. Ich habe mich immer gefragt, ob eine solche Jobbezeichnung für wahrhaft Gläubige – von Papst Franziskus bis hin zum salafistischen Eiferer – nicht eigentlich pure Blasphemie ist. Zum Glück haben beide (der Papst und der Eiferer…) Besseres bzw. Schlechteres zu tun, als sich näher damit zu beschäftigen.

„Evangelist“; wie gesagt nicht übel. Aber eigentlich hätte ich auch etwas für eine hippe Visitenkarte: „Michael Gessat – DRadio Wissen (demnächst DLF Nova 🙂 ) – Netzapokalyptiker“. Sagt meine Moderatorin. Und zugegeben – ich habe ja irgendwie ein Faible für die neuesten Hacks, Sicherheitslücken und Hintertüren; für Irrtümer, Fahrlässigkeiten, Betrug und Verrat – und irgendwie ist mir natürlich auch gar nicht immer so ganz klar, dass das apokalyptische Szenario die „ganz normalen“ Nutzer emotional, psychologisch schier überfordert. Sicherheits-müde macht.

Das US-amerikanische NIST hat das jetzt aber einmal erforscht und zweifelsfrei konstatiert: Dauerpanik und Dauer-Alarm führt bei den Adressaten zu Lähmung und Resignation. Man muss die Komplexität reduzieren, sagt das NIST. OK, es ist ja ganz einfach: Machen Sie regelmäßig Backups. Klicken Sie nicht auf jeden Link in einer Email. Ab und zu mal ein Update vom Betriebssystem. In Wirklichkeit lasse ich es selbst ab einer bestimmten Schwelle gut sein. Apokalyptiker bin ich ja gern. Aber nicht paranoid.

Sicherheitsmüdigkeit: Statt Reaktion auf Warnungen Kapitulation · DRadio Wissen

Dradio Wissen – Hielscher oder Haase vom 05.10.2016 (Moderation: Diane Hielscher)

Yahoo scannt sämtliche Kundenmails im Auftrag von FBI und NSA

Dass US-amerikanische Internetfirmen in einem gewissen peinlichen Dilemma stecken, wissen wir seit Edward Snowden: NSA, CIA und FBI wollen da schon ganz gern mal sehr intensiv in die Daten der Kunden hereinschnüffeln. Und wenn da Auskunftsbegehren bzw. -anordnungen oder Abschnorchelaktionen ablaufen, dann müssen die Firmen das auch noch hübsch für sich behalten. Ein patriotischer Maulkorb halt, der freilich vielen Unternehmen überhaupt nicht passt – weil er letztlich ihr Geschäftsmodell und das wichtigste Kapital, das Vertrauen der Nutzer, komplett untergräbt.

Yahoo hat aber offenbar 2015 noch nicht einmal versucht, gegen eine „behördliche Anordnung“  von NSA bzw. FBI zu protestieren. Sondern eifrig eine eigene Xkeyscore-Schnüffelsoftware entwickelt und auf die eingehenden Mails der Kundschaft losgelassen. (Update hierzu s.u.) Bezeichnenderweise, ohne der hauseigenen IT-Security (intern „die Paranoiden“ genannt…) Bescheid zu sagen. Als Sicherheitschef Alex Ramos den Braten entdeckt hatte (der auch noch weitere Lücken in der eh schon gehackten Yahoo-Infrastruktur aufriss…), warf er Marissa Mayer die Brocken hin. Die zudem auch „konsequenterweise“ die Einführung der bereits fertig entwickelten Verschlüsselungslösung für Yahoo Mail verhindert hatte.

Die Dame hat halt lieber lieb Kind mit den Schlapphüten gemacht, aber gleichzeitig den Kunden treuherzig Bullshit erzählt. Wenn dabei auch noch Geld geflossen sein sollte, wie manche Quellen vermuten, dann war das – zumindest für das Unternehmen 🙂 – eine Fehlinvestition. (Und wieder knallen die Leute bei Verizon ihre Köpfe auf die Tische, um mal das schöne Bild von The Register aufzugreifen…)

Jetzt beteuern alle anderen US-Player (bei Twitter kam immerhin die vielsagende Antwort, man dürfe laut US-Gesetzen nicht über eventuell eingegangene „behördliche Anordnungen“ Auskunft geben…), so wie bei Yahoo würde das bei ihnen nicht laufen. „No Way“. Das kann man glauben. Muss man aber nicht.

Spionage im Regierungsauftrag · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 05.10.2016 (Moderation: Diane Hielscher)

P.S. 06.10.2016 Inzwischen sind neue Details bekannt geworden – wie die New York Times wiederum mit Bezug auf Insider berichtet, hat Yahoo nicht, wie von Reuters beschrieben, eine gesonderte Schnüffelsoftware entwickelt, sondern das ohnehin vorhandene Modul, das eingehende Mails nach Kinderpornographie, Malware und Spam durchscannt, mit bestimmten Signaturen ergänzt. Diese Signaturen oder Schlüsselbegriffe wurden von einem Geheimdienst zur Verfügung gestellt und sollten offenbar Mails einer – nicht weiter identifizierten – ausländischen „Terrororganisation“ aufdecken helfen.

Ob das die Angelegenheit weniger gravierend macht, ist eine äußerst interessante Frage. Zum einen akzeptieren ja (was für mich selbst schon nie nachvollziehbar war) offenbar Millionen von Menschen, dass Google ihre Gmails ebenfalls durchscannt – wenn auch nicht, um das einem Geheimdienst zu petzen, sondern „nur“, um einem „interessante“ Werbung zukommen zu lassen. („Sie interessieren sich für Bombenanschläge? Probieren Sie unser neues Dschihad-Kit für handwerklich unbegabte Volldebile! Besuchen Sie auch unseren Wollstrickmützchen-Shop und schauen Sie sich unsere Pflegeprodukte für Vollbärte an.“ 🙂 ) Wenn man das Argument „sie werden ja nur von einem Roboter durchsucht“ akzeptiert, dann könnte man das ja tatsächlich genauso gut auf die analoge Welt übertragen. Ein Albtraum.

Inzwischen knallen die Leute bei Verizon nicht mehr nur ihre Köpfe auf den Tisch, sondern haben auch ihren Kaufpreis mal eben um eine Milliarde nach unten angepasst.

P.S. 07.10.2016 Und ein weiterer unbekannter Yahoo-Insider bezeichnet wiederum die Darstellung bei der NYT, es habe sich „nur“ um eine Erweiterung des Malware-Scanmoduls gehandelt, als falsch. Eine solche Modifikation wäre dem Yahoo-IT-Security-Team gar nicht ohne weiteres aufgefallen. Es habe sich eben doch um eine gesonderte Backdoor gehandelt, die dann auch (wie schon ursprünglich berichtet…) ein weiteres Einfallstor für Hackerangriffe aufgerissen habe.

Hamburger Datenschutzbeauftragter untersagt Facebook WhatsApp-Datennutzung

Alle, die sich schon seinerzeit gefragt hatten, wie Facebook denn den nicht ganz billigen Einkauf von WhatsApp letztlich „monetarisieren“ wollte, wissen ja seit Ende August Bescheid: „Was kümmert mich mein Geschwätz von gestern?“; „Versprochen, Gebrochen“. Ach so.

Johannes Caspar, als Hamburger Datenschutzbeauftragter für die deutsche Facebook-Niederlassung zuständig, sieht das nicht so gelassen. Das nicht eingehaltene Versprechen, die Kundendaten beider Unternehmen nicht auszutauschen, sei eine Irreführung der Verbraucher – die Annahme dürfte wohl plausibel sein, dass viele WhatsApp-User (bei allen eigenen Privacy-Problemen dieses Unternehmens bzw. des Konzepts…) nicht begeistert davon sind, dass ihre Telefonnummern und Kommunikationsgepflogenheiten an Big Brother und dessen Werbekunden gehen. Und sich – korrekt informiert – einem Konkurrenz-Messenger zugewendet hätten.

Dann hätten sie ja bis 25. September widersprechen können, sagt Facebook. Nein, so herum läuft das hier bei uns nicht, sie hätten aktiv zustimmen müssen, sagt Caspar. Es gehört keine allzu große Prophetengabe dazu, um hier wieder einmal eine sehr, sehr langwierige juristische Auseinandersetzung vorherzusagen.

WhatsApp: Datenschützer Johannes Caspar gegen Facebook · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 28.09.2016 (Moderation: Till Haase)