Schlagwort-Archive: Privacy

Daten von 200 Millionen US-Bürgern frei im Netz

Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?

Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei „Deep Root Analytics“ keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares „Versehen“. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.

Das „besondere Maß an Verantwortlichkeit“, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat „Deep Root Analytics“ wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar „Köpfe rollen“. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂

Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)

Tracking: Keine Selfies mehr mit Emma Watson

Emma Watson, die Hermine aus der Harry-Potter-Filmserie, ist mittlerweile 26 Jahre alt. Den Übergang vom Kinderstar in die Riege der erwachsenen Top-Filmschauspielerinnen hat sie locker geschafft, demnächst können wir sie in „Beauty and the Beast“ sehen. Wenn man Interviews mit ihr liest, wird klar – sie ist eine umgängliche Frau ohne große Starallüren, die aber auch sehr klar entscheidet, was sie der Öffentlichkeit preisgibt und was nicht. Im Gespräch mit dem Magazin „Vanity Fair“ hat sie jetzt verkündet, sie wolle sich in Zukunft nicht mehr einfach so überall von Fans ablichten lassen – weil nämlich nach dem Hochladen der Fotos ins Netz sofort ihr Aufenthaltsort auf 10 Meter genau bekannt sei – und das eben praktisch Tag für Tag rund um die Uhr. Emma Watson will nicht mehr dauer-getracked werden.

 

Die Besorgnis ist natürlich absolut nachvollziehbar. In den Standardeinstellungen werden zu jedem Schnappschuss von Smartphone oder Kamera Uhrzeit und Geolocation-Daten mit abgespeichert, in den Standardeinstellungen bleiben die auch beim Hochladen in Social Networks erhalten oder da kommen sogar noch mal solche Daten im Moment des Postens dazu. Das ist also genau wie Emma Watson sagt: innerhalb von zwei Sekunden nach dem Knipsen weiß die ganze Welt, wo exakt sie gerade ist. Bei Stars wird man hier möglicherweise noch denken – ok, das ist jetzt im Rahmen der Prominenz und der damit verbundenen geldwerten Vorteile 🙂 eingepreist.

Im Grunde betrifft das Problem „knipsen und hochladen“ (mit Metadaten, aber ohne Einverständniseinholung…) aber jeden von uns. Wahrscheinlich leben wir schon in einer faktischen Post-Privacy. So richtig toll ist das aber nach wie vor nicht. Wer da ab und zu reingrätscht – auch mal happig kostenpflichtig – hat meinen Segen. Auch wenn das den Trend letztendlich nicht wirklich aufhält 🙂 …

DRadio Wissen · Tracking: Keine Selfies mehr mit Emma Watson

DRadio Wissen – Redaktionskonferenz vom 01.03.2017 (Moderation: Sonja Meschkat)

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

„Zahlreiche Sicherheitslücken in VeraCrypt gefunden“ – so titelten verschiedene IT-Newsseiten ihre Berichte über das Ergebnis des Software-Audits an. Das stimmt natürlich, trotzdem ist die Kernbotschaft eigentlich eine andere: Mit dem vom Open Source Technology Improvement Fund (OSTIF) in Auftrag gegebenen und durch die IT-Firma Quarkslab erstellten Gutachten können wir nun zunächst einmal davon ausgehen, dass VeraCrypt und sein Entwickler Mounir Idrassi grundsätzlich vertrauenswürdig ist. Die Chancen dafür standen ja ohnehin eigentlich schon besser als bei TrueCrypt, dessen Macher anonym blieben.

Wenn man mit Idrassi selbst spricht, dann verfliegen Zweifel an seiner Integrität ohnehin sehr schnell (was natürlich noch kein sicherheits-belastbarer Beweis ist 🙂 ); er ist enthusiastisch und gibt auch eigene Fehler unumwunden zu – wie etwa die im Audit bemängelte Verwendung veralteter und unsicherer Komprimierungs-Softwarebibliotheken. Obwohl mittlerweile auch aus der Open-Source-Community zahlreiche Beiträge zum Programmcode kommen – bislang ist VeraCrypt halt im wesentlichen ein Ein-Mann- und Freizeit-Projekt; und die Ressourcen von Mounir Idrassi sind begrenzt.

Immerhin ist jetzt auch der russische Entwickler Alex Kolotnikov mit an Bord – er zeichnet für den UEFI-Bootloader verantwortlich. Damit ist nun endlich auch auf neueren Computern und z.B. unter Windows 10 die komplette Verschlüsselung des Systems möglich. Und die ist unbedingt anzuraten, wenn man ein ernsthafteres Sicherheitsbedürfnis hat, als etwa nur die eigene Pornosammlung vor der Ehefrau zu verstecken: Auf einem normalen Windows reißen die unzähligen temporären Datenspuren, die Speicherdumps für den Schlafmodus oder Schnellstart, die Schattenkopien, Miniaturbildchen und automatischen Sicherungen alle Verschlüsselungs-Versuche gleichzeitig mit dem Hintern wieder ein, wie es so schön heißt. 🙂

Das gilt auch, wenn man sein Windows auf einer SSD eingerichtet hat – das Filesystem mit Clustern und Sektoren ist ja nur vorgegaukelt. Tatsächlich kopieren aber der SSD-Controller und Optimierungsalgorithmen wie das Wear-Leveling munter den Inhalt von Flash-Speicherzellen kreuz und quer auf dem Medium herum – zumindest vom Dateisystem her gibt es keine verlässliche Methode, Daten zu löschen. Und ob der „Secure Erase“-Befehl bzw. der Hardwareverschlüsselung des SSD-Hersteller letztlich vertrauenswürdig ist, ist schon wieder eine Frage des Glaubens, nicht des Wissens. Zu wenig für hohe Sicherheitsanforderungen.

Das einzige Szenario, das auch Mounir Idrassi für sicher halten würde: Die fabrikneue SSD komplett als Laufwerk bzw. Partition verschlüsseln und dann „on demand“ mit Veracrypt als logisches Laufwerk zu mounten – in diesem Fall würden ausschließlich verschlüsselte Daten auf die SSD geschrieben, weil Windows das „eigentliche“ Laufwerk für nicht partioniert hält und keinen Zugriff hat. In diesem Fall würden also auch die Wear-Leveling-Mechanismen nur verschlüsselte Speicherzelleninhalte umkopieren.

Auch wenn das noch keine offizielle Ankündigung ist – man kann wohl davon ausgehen, dass das BSI bzw. das Fraunhofer-Institut SIT, das ja Ende 2015 Truecrypt begutachtet hatte, in nicht allzu ferner Zukunft auch den Code von Veracrypt unter die Lupe nimmt. Mit einem zweiten Audit wäre dann auch das Argument eines Zweiflers im Heise-Forum entkräftet, Veracrypt-Programmierer und die Gutachter bei Quarkslab wären Franzosen, für beide würde ein Gesetz gelten, das der französischen Regierung eine Hintertür einräume.

Ein solches Gesetz gibt es nicht, entgegnet Mounir Idrassi – da habe der Zweifler wohl ungare Planspiele bestimmter Politiker mit der Realität verwechselt. Er selbst würde sofort die Arbeit an Veracrypt einstellen und das Projekt öffentlich für beendet erklären, falls irgendjemand von ihm verlange, die Software absichtlich unsicher zu machen.

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

Deutschlandfunk – Computer und Kommunikation vom 22.10.2016 (Moderation: Manfred Kloiber)

Geofeedia: US-Polizei nutzte Daten aus Twitter und Instagram über Demonstranten

In den USA ist das ja leider schon fast ein trauriger Standard-Ablauf: Ein Schwarzer wird bei einem Polizeieinsatz erschossen, die Umstände sind nach Aussagen von Zeugen oder Aufnahmen von Kameras zumindest fragwürdig. Und anschließend kommt es zu tage- oder wochenlangen Protesten mit zum Teil bürgerkriegsartigen Szenarien. Im Moment sorgt gerade ein Bericht der amerikanischen Bürgerrechtsorganisation ACLU für Aufsehen: Die US-Polizei nutzt Daten von Twitter, Facebook  und Instagram, um Demonstranten und Aktivisten zu überwachen bzw. sogar von dem Marsch auf die Straße abzuhalten. Geliefert werden diese Daten von einer Firma mit dem Namen Geofeedia.

Das klingt nach einem Skandal oder nach einem Eingriff in Bürgerrechte, und der Eindruck wird ja verstärkt durch die Reaktion der betroffenen Social-Media-Firmen: Instagram und Facebook hatten Geofeedia schon im September den Zugriff auf die Daten gekappt, und nachdem am Dienstag der ACLU-Report publik gemacht wurde, kam dann auch von Twitter postwendend die Message: Der Zugang von Geofeedia wird auf der Stelle beendet.

Aber „privilegiert“ oder „besonders“ ist dieser Zugang überhaupt nicht. Was Geofeedia weiterverkauft, ist schlicht und ergreifend die Nutzung von sogenannten APIs. Das steht für „Application programming interface“, auf Deutsch also „Anwendungs­programmier­schnittstelle“. Und über solche Schnittstellen hat man dann Zugang zu den Rohdaten des jeweiligen Dienstes, also z.B. auf Tweets oder Postings, aber ohne die normale grafische Aufbereitung oder Filterung oder Gewichtung. Einen solchen API-Zugang gibt es je nach Nutzungsintensität gratis oder gegen Gebühr.

Wer sich jetzt darüber aufregt, dass Polizeidienststellen über Geofeedia-Daten vermeintlich oder tatsächlich gewaltbereite Demonstranten abfängt, verkennt die Tatsache, dass Pepsi-Cola eben ansonsten unzufriedene Coca-Cola-Trinker zu identifizieren versucht 🙂 . Social-Media-Nutzer werden nun eben mal abgeschnorchelt und ausgewertet. Ob Konsumenten, Demonstranten oder Terroristen.

DRadio Wissen – Hielscher oder Haase vom 14.10.2016 (Moderation: Till Haase)

Panikmache und Dauerwarnung lässt Computernutzer resignieren

Es gibt ja bei vielen großen, mächtigen US-Unternehmen (oder auch bei deutschen Hinterhof-Klitschen…) mit authentischem (oder auch mit nachgeäfftem…) „auf-zu-neuen-Horizonten“-Gestus so einen ganz fantastischen Titel für irgendwelche freischwebenden Gurus mit Visionen: „Chief Technology Evangelist“; oder so ähnlich. Ich habe mich immer gefragt, ob eine solche Jobbezeichnung für wahrhaft Gläubige – von Papst Franziskus bis hin zum salafistischen Eiferer – nicht eigentlich pure Blasphemie ist. Zum Glück haben beide (der Papst und der Eiferer…) Besseres bzw. Schlechteres zu tun, als sich näher damit zu beschäftigen.

„Evangelist“; wie gesagt nicht übel. Aber eigentlich hätte ich auch etwas für eine hippe Visitenkarte: „Michael Gessat – DRadio Wissen (demnächst DLF Nova 🙂 ) – Netzapokalyptiker“. Sagt meine Moderatorin. Und zugegeben – ich habe ja irgendwie ein Faible für die neuesten Hacks, Sicherheitslücken und Hintertüren; für Irrtümer, Fahrlässigkeiten, Betrug und Verrat – und irgendwie ist mir natürlich auch gar nicht immer so ganz klar, dass das apokalyptische Szenario die „ganz normalen“ Nutzer emotional, psychologisch schier überfordert. Sicherheits-müde macht.

Das US-amerikanische NIST hat das jetzt aber einmal erforscht und zweifelsfrei konstatiert: Dauerpanik und Dauer-Alarm führt bei den Adressaten zu Lähmung und Resignation. Man muss die Komplexität reduzieren, sagt das NIST. OK, es ist ja ganz einfach: Machen Sie regelmäßig Backups. Klicken Sie nicht auf jeden Link in einer Email. Ab und zu mal ein Update vom Betriebssystem. In Wirklichkeit lasse ich es selbst ab einer bestimmten Schwelle gut sein. Apokalyptiker bin ich ja gern. Aber nicht paranoid.

Sicherheitsmüdigkeit: Statt Reaktion auf Warnungen Kapitulation · DRadio Wissen

Dradio Wissen – Hielscher oder Haase vom 05.10.2016 (Moderation: Diane Hielscher)

Yahoo scannt sämtliche Kundenmails im Auftrag von FBI und NSA

Dass US-amerikanische Internetfirmen in einem gewissen peinlichen Dilemma stecken, wissen wir seit Edward Snowden: NSA, CIA und FBI wollen da schon ganz gern mal sehr intensiv in die Daten der Kunden hereinschnüffeln. Und wenn da Auskunftsbegehren bzw. -anordnungen oder Abschnorchelaktionen ablaufen, dann müssen die Firmen das auch noch hübsch für sich behalten. Ein patriotischer Maulkorb halt, der freilich vielen Unternehmen überhaupt nicht passt – weil er letztlich ihr Geschäftsmodell und das wichtigste Kapital, das Vertrauen der Nutzer, komplett untergräbt.

Yahoo hat aber offenbar 2015 noch nicht einmal versucht, gegen eine „behördliche Anordnung“  von NSA bzw. FBI zu protestieren. Sondern eifrig eine eigene Xkeyscore-Schnüffelsoftware entwickelt und auf die eingehenden Mails der Kundschaft losgelassen. (Update hierzu s.u.) Bezeichnenderweise, ohne der hauseigenen IT-Security (intern „die Paranoiden“ genannt…) Bescheid zu sagen. Als Sicherheitschef Alex Ramos den Braten entdeckt hatte (der auch noch weitere Lücken in der eh schon gehackten Yahoo-Infrastruktur aufriss…), warf er Marissa Mayer die Brocken hin. Die zudem auch „konsequenterweise“ die Einführung der bereits fertig entwickelten Verschlüsselungslösung für Yahoo Mail verhindert hatte.

Die Dame hat halt lieber lieb Kind mit den Schlapphüten gemacht, aber gleichzeitig den Kunden treuherzig Bullshit erzählt. Wenn dabei auch noch Geld geflossen sein sollte, wie manche Quellen vermuten, dann war das – zumindest für das Unternehmen 🙂 – eine Fehlinvestition. (Und wieder knallen die Leute bei Verizon ihre Köpfe auf die Tische, um mal das schöne Bild von The Register aufzugreifen…)

Jetzt beteuern alle anderen US-Player (bei Twitter kam immerhin die vielsagende Antwort, man dürfe laut US-Gesetzen nicht über eventuell eingegangene „behördliche Anordnungen“ Auskunft geben…), so wie bei Yahoo würde das bei ihnen nicht laufen. „No Way“. Das kann man glauben. Muss man aber nicht.

Spionage im Regierungsauftrag · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 05.10.2016 (Moderation: Diane Hielscher)

P.S. 06.10.2016 Inzwischen sind neue Details bekannt geworden – wie die New York Times wiederum mit Bezug auf Insider berichtet, hat Yahoo nicht, wie von Reuters beschrieben, eine gesonderte Schnüffelsoftware entwickelt, sondern das ohnehin vorhandene Modul, das eingehende Mails nach Kinderpornographie, Malware und Spam durchscannt, mit bestimmten Signaturen ergänzt. Diese Signaturen oder Schlüsselbegriffe wurden von einem Geheimdienst zur Verfügung gestellt und sollten offenbar Mails einer – nicht weiter identifizierten – ausländischen „Terrororganisation“ aufdecken helfen.

Ob das die Angelegenheit weniger gravierend macht, ist eine äußerst interessante Frage. Zum einen akzeptieren ja (was für mich selbst schon nie nachvollziehbar war) offenbar Millionen von Menschen, dass Google ihre Gmails ebenfalls durchscannt – wenn auch nicht, um das einem Geheimdienst zu petzen, sondern „nur“, um einem „interessante“ Werbung zukommen zu lassen. („Sie interessieren sich für Bombenanschläge? Probieren Sie unser neues Dschihad-Kit für handwerklich unbegabte Volldebile! Besuchen Sie auch unseren Wollstrickmützchen-Shop und schauen Sie sich unsere Pflegeprodukte für Vollbärte an.“ 🙂 ) Wenn man das Argument „sie werden ja nur von einem Roboter durchsucht“ akzeptiert, dann könnte man das ja tatsächlich genauso gut auf die analoge Welt übertragen. Ein Albtraum.

Inzwischen knallen die Leute bei Verizon nicht mehr nur ihre Köpfe auf den Tisch, sondern haben auch ihren Kaufpreis mal eben um eine Milliarde nach unten angepasst.

P.S. 07.10.2016 Und ein weiterer unbekannter Yahoo-Insider bezeichnet wiederum die Darstellung bei der NYT, es habe sich „nur“ um eine Erweiterung des Malware-Scanmoduls gehandelt, als falsch. Eine solche Modifikation wäre dem Yahoo-IT-Security-Team gar nicht ohne weiteres aufgefallen. Es habe sich eben doch um eine gesonderte Backdoor gehandelt, die dann auch (wie schon ursprünglich berichtet…) ein weiteres Einfallstor für Hackerangriffe aufgerissen habe.

Hamburger Datenschutzbeauftragter untersagt Facebook WhatsApp-Datennutzung

Alle, die sich schon seinerzeit gefragt hatten, wie Facebook denn den nicht ganz billigen Einkauf von WhatsApp letztlich „monetarisieren“ wollte, wissen ja seit Ende August Bescheid: „Was kümmert mich mein Geschwätz von gestern?“; „Versprochen, Gebrochen“. Ach so.

Johannes Caspar, als Hamburger Datenschutzbeauftragter für die deutsche Facebook-Niederlassung zuständig, sieht das nicht so gelassen. Das nicht eingehaltene Versprechen, die Kundendaten beider Unternehmen nicht auszutauschen, sei eine Irreführung der Verbraucher – die Annahme dürfte wohl plausibel sein, dass viele WhatsApp-User (bei allen eigenen Privacy-Problemen dieses Unternehmens bzw. des Konzepts…) nicht begeistert davon sind, dass ihre Telefonnummern und Kommunikationsgepflogenheiten an Big Brother und dessen Werbekunden gehen. Und sich – korrekt informiert – einem Konkurrenz-Messenger zugewendet hätten.

Dann hätten sie ja bis 25. September widersprechen können, sagt Facebook. Nein, so herum läuft das hier bei uns nicht, sie hätten aktiv zustimmen müssen, sagt Caspar. Es gehört keine allzu große Prophetengabe dazu, um hier wieder einmal eine sehr, sehr langwierige juristische Auseinandersetzung vorherzusagen.

WhatsApp: Datenschützer Johannes Caspar gegen Facebook · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 28.09.2016 (Moderation: Till Haase)

Datensparsamkeit: Was ist besser, Web oder App?

Dass man bei bestimmten Webdiensten bestimmte persönliche Daten angeben muss, um die Dienste sinnvoll nutzen zu können, ist banal. Bei einer Dating-Plattform etwa das eigene Geschlecht – außer man ist völlig flexibel oder changiert neumodisch zwischen allen Ufern und Zwischenstadien. Der Wohnort bei Lieferdiensten – völlig banal, die Emailadresse für die Kontaktaufnahme, völlig banal. Nicht mehr so ganz banal ist die Erkenntnis (auch wenn man die in den AGBs oder TOSs ungelesen abgenickt hat…), dass diese persönlichen Daten anschließend auch an Dritte gehen – etwa, wenn sich der Dienst mit Werbung finanziert oder Material zu Big-Data-Analysen beisteuert.

Immerhin hat man da als User noch eine kleine Steuerungsmöglichkeit, die Datenweitergabe wenigstens so sparsam wie möglich zu halten – weil die allermeisten Dienste ja eine Nutzung sowohl per direktem Webzugang anbieten als auch per App. Und das macht einen teilweise erheblichen Unterschied. Weil die Frage „Web oder App“ sich nicht pauschal beantworten lässt, sondern vom jeweiligen Anbieter, vom benutzten Gerät und von den eigenen Datenschutz-Präferenzen abhängt, haben Informatiker von der Northeastern University eine Entscheidungshilfe programmiert und ins Netz gestellt. (Sie haben nebenbei auch noch registriert, dass manche Websites auch das User-Passwort „leaken“. Zum Teil aus nachvollziehbaren Gründen, zum Teil aber auch „versehentlich“… 🙂

Screenshot der Empfehlungs-Website

Screenshot der Empfehlungs-Website

Eine interessante Analyse und ein praktischer Service, momentan allerdings mit eindeutigem Fokus auf die USA – vielleicht könnte man das ja einmal auch auf die in anderen Ländern populären Dienste ausweiten.

Datenschutz: Web- und App-Dienste leaken unsere Daten · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 14.09.2016 (Moderation: Till Haase)

Gesichtserkennungs-Software mit 3D-Modell überlistet

Gesichtserkennung soll Passwörter überflüssig machen – und demnächst vielleicht sogar helfen, verdächtige Personen zu identifizieren. Aktuelle Biometrie-Apps lassen sich einer Studie zufolge aber austricksen.

Eine biometrische Zugangskontrolle per Gesicht ist bequem und intuitiv „angenehm“ – aber gilt ganz allgemein nicht als besonders sicher. Und das liegt nicht an Schwächen bei der Gesichtserkennung durch entsprechende Software, sondern an der Schwierigkeit für Zugangskontrollsysteme, erst einmal festzustellen, ob das überhaupt ein Gesicht ist, was sie da erkennen. Oder eine Attrappe. In ihrem auf der Usenix-Sicherheitskonferenz vorgestellten Paper lassen die Autoren Yi Xu, True Price, Jan-Michael Frahm und Fabian Monrose von der University of North Carolina in Chapel Hill erst einmal das Katz-und-Maus-Spiel Revue passieren, das sich Hersteller solcher Systeme und „Hacker“ geliefert haben.

Die ersten Modelle ließen sich mit einem einfachen vor die Kamera gehaltenen Foto austricksen. Die Gegenidee: Blinzelt das Auge? War auch wieder super-einfach auszutricksen: einfach zwei Fotos schnell hintereinander, eins mit geöffneten, eins mit geschlossenen Augen. Nächste Gegenidee: Bewegt sich der Kopf, ist Mimik sichtbar? War ziemlich leicht mit Videoaufnahmen auszutricksen. Nächste Gegenidee, schon sehr sophisticated: Passen die erkannten 3D-Merkmale des dargebotenen Gesichtes eigentlich auch noch, wenn die Kamera den Blickwinkel leicht verändert?

Das lässt sich nicht mehr mit 2D, sondern nur noch mit 3D-Attrappen aushebeln, die sich zudem realistisch und perspektivisch korrekt im Raum bewegen lassen müssen. Aber den Informatikern der UNC gelang nicht nur das – sie konnten auch zeigen, dass allseits verfügbare Fotos aus Social Media und Netz genügend „Stoff“ für die Anfertigung solcher virtuellen Köpfe liefern. Auf ein freundliches Lächeln in die Kamera sollte sich nun eigentlich niemand mehr verlassen, der höhere Sicherheitsanforderungen hat. Vielleicht kann ja die Infrarottechnik für ein Weilchen die Kuh wieder vom Eis bringen.

Gesichtserkennungs-Software mit 3D-Modell überlistet – SPIEGEL ONLINE

Innenminister de Maizière will Videoüberwachung mit Gesichtserkennung

Auch Deutschland ist nicht vor Terroranschlägen gefeit – diese schlichte Erkenntnis konnte man ja schon nach den gescheiterten Bombenbau-Aktionen in den vergangenen Jahren haben, nach den islamistisch motivierten Angriffen in Würzburg und Ansbach und dem Amoklauf in München ist das endgültig erwiesen. Das allgemeine Sicherheitsgefühl ist deutlich angeschlagen, die Politik möchte gegensteuern und demonstrieren, dass sie handlungsfähig bleibt. Mit Anti-Terror-Paketen und Sicherheitsoffensiven. Jüngstes Beispiel: Innenminister Thomas de Maizière will bessere Videoüberwachung an Flughäfen und Bahnhöfen, nämlich mit Gesichtserkennungs-Software.

Rein technisch gesehen hat der Minister natürlich völlig recht: Das, was vor zehn Jahren noch ziemlich kläglich in die Hose ging, dürfte mittlerweile ganz gut funktionieren – Gesichtserkennungssoftware ist inzwischen dank neuronaler Netze und Maschinenlernen ein gutes Stück vorwärts gekommen. Ob das Ganze zur Terrorbekämpfung und der Detektion von „Gefährdern“ irgendwelchen Sinn macht, darf man getrost bezweifeln. (Wie schnell sind eigentlich Eingreiftruppen vor Ort, und was sollen/dürfen die eigentlich tun, wenn Gefährder und Neu-Salafist Mohammed Markus Schulz einen kleinen Spaziergang auf dem Bahnsteig 12 in Winsen an der Luhe in Angriff nimmt?)

Nach der Lesart von Aluhut-Trägern stecken da Totalüberwachungspläne dahinter. (Aber ein kleiner Hinweis: „Die“ kriegen das genausowenig hin mit der Totalüberwachung wie mit der rechtzeitigen Bewilligung von Elterngeld oder der Bearbeitung von Künstlersozialkasse-EInsprüchen nach schwachsinnigen Computerpannen. „Die“ sind nicht allmächtig, sondern nur unterfinanziert und sträflich personell ausgedünnt. Gilt auch für Ausländerbehörden/Flüchtlingsregistrierung und Polizei. Meine unmaßgebliche Meinung. Vielleicht ist aber auch all das eine unfaßbar toll ausgedachte Täuschungsaktion.)

Neben den ganz allgemeinen Bedenken gegen eine flächendeckende Observation (natürlich nur mit einem automatischen Abgleich von Gefährdern) sollte auch eines immer klar sein: Biometrische Identifizierung ist längst nicht so fälschungssicher, wie irgendwann mal erträumt. Und leider lassen sich einmal in Umlauf befindliche Fingerabdruck- oder Gesichtsdaten niemals mehr resetten. Von sehr harten chirurgischen Methoden jetzt mal abgesehen.

DRadio Wissen – Hielscher oder Haase vom 22.08.2016 (Moderation: Thilo Jahn)