Schlagwort-Archive: Privacy

Datenschutzaktivist Max Schrems gründet „NOYB“ -„none of your business/geht dich nichts an“

Max Schrems ist mittlerweile kein Unbekannter oder Exot mehr; das ist dieser junge Jurist aus Österreich, der sich seit 2011 mit Facebook angelegt hat. Nicht aus Jux und Dollerei, sondern aus gutem Grund, und das äußerst hartnäckig und erfolgreich – da passt das etwas abgedroschene Bild vom Kampf David gegen Goliath wirklich. Mittlerweile, nach mehreren Verfahren durch alle Instanzen bis hinauf zum Europäischen Gerichtshof haben Facebook und die anderen Big Player im Internet das Anliegen und die Botschaft von Max Schrems verstanden bzw. verstehen müssen: Wenn ein Unternehmen hier in Europa mit europäischen Nutzern Kohle machen will, muss es sich auch an europäische Gesetze und Datenschutzvorschriften halten.

Embed from Getty Images

Bislang hat Max Schrems seinen Streit quasi im Alleingang (wenn auch schon mit finanzieller und personeller Unterstützung und “Sympathien” bis hinauf zur EU-Kommission…) geführt. Jetzt hat er eine Organisation gegründet, die die dabei gesammelten Erfahrungen und personellen Ressourcen bündeln und fortführen will. NOYB heißt die, das steht für „none of your business“ – „geht dich nichts an“. Nach österreichischem Recht ist das erstmal ein gemeinnütziger Verein, und den können und sollten alle an Datenschutzfragen Interessierte in einer Art Crowdfunding-Verfahren fördern. 🙂 Denn die Diagnose von Max Schrems wird ja von den “offiziellen” Datenschutzbeauftragten geteilt: Sie selbst, mit zwei, drei Stellen und einem knappen Budget ausgestattet, können den milliardenschweren IT-Giganten mit Stammsitz USA (oder Steuerparadies…) gar nicht wirksam Paroli bieten.

NOYB will mit Öffentlichkeitsarbeit, aber auch vor allem auch mit der konkreten Unterstützung von musterhaften Datenschutzklagen dazu beitragen, dass das EU-Datenschutzrecht zukünftig nicht nur auf dem Papier steht. Das soll aber nicht ideologisch und einseitig werden; NOYB will auch umgekehrt Unternehmen dabei helfen, datenschutzkonform im Netz zu agieren. Und dann wiederum auch eine Anlaufstelle für Whistleblower werden, die Verstöße aufdecken wollen. Auf jeden Fall bietet die neue Organisationsform eine bessere Chance, die formaljuristische Pseudo-Verteidigungsstrategie von Facebook und Konsorten auszuhebeln: Max Schrems sei ja gar nicht als Privatperson klagebefugt – und andererseits: Sammelklagen seien aber auch nicht zulässig 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 29.11. 2017 (Moderation: Diane Hielscher)

Apple bot FBI Hilfe beim Zugriff auf das iPhone des Texas-Attentäters an

Das hört sich nach einer Sensation oder einem völligen Paradigmenwechsel an, oder auch nach einer Hiobsbotschaft für alle Besitzer eines iPhones oder iPads – aber obwohl die Überschrift, die ja so in vielen Medien zu lesen war, tatsächlich stimmt: An Apples Position in der Zusammenarbeit oder eben auch Nicht-Zusammenarbeit mit Ermittlungsbehörden und Geheimdiensten ändert sich überhaupt nichts. Wie schon bislang ist Apple kooperativ, solange die Kooperation nicht das Vertrauen der User in die Sicherheit der Verschlüsselung in den iOS-Geräten zerstört – was natürlich Selbstmord für das eigene Geschäftsmodell wäre. Aber auch ohne dieses eigene Geschäftsinteresse hat Apple in der grundsätzlichen, politischen Frage natürlich vollkommen recht:

Jede absichtliche Schwächung eines Sicherheitskonzepts, jede “Behörden-Hinter- oder Vordertür” würde sehr schnell auch von Kriminellen oder “gegnerischen” Geheimdiensten ausgenutzt – das Verhältnis von ein paar vielleicht schneller aufzuklärenden Terror-Anschlägen gegenüber den dann in Kauf genommenen “Kollateralschäden” von Industriespionage über politische Sabotage, über Banking-Betrug bis hin zu Privacy-Verletzung ist einfach grotesk. Ein iOS-Gerät, das gesperrt ist, wird Apple also weiterhin nicht aufsperren – und kann dies auch (jedenfalls ohne grundlegende Eingriffe in das Betriebssystem…) wohlweislich gar nicht mehr.

Embed from Getty Images

Was Apple aber – wenn ein Durchsuchungsbefehl oder eine richterliche Anordnung vorliegt – sofort herausrückt, das ist der Inhalt der iCloud, in der sich ja ggf. auch Backups der Geräte befinden – hierfür kennt der Hersteller auch den Schlüssel; das Sicherheitskonzept der iCloud bezieht sich also nur auf unbefugte Fremd-Zugriffe. Was natürlich wiederum für sicherheits-sensible Anwender heisst: iCloud-Backups nicht aktivieren, sondern die Gerätedaten nur lokal verschlüsselt sichern.

Wie sicherheits-sensibel der Attentäter von Sutherland Springs war, wissen wir noch nicht – wir wissen auch nicht, ob er überhaupt ein neueres iPhone mit Fingersensor besaß, und wenn ja, ob “TouchID” überhaupt aktiviert war. Im Gegensatz zu Reuters und der Washington Post gehe ich eigentlich davon aus, dass den Forensik-Spezialisten vom FBI durchaus bekannt ist, dass sich ein iPhone eines Attentäters mit dessen Fingerabdrücken innerhalb von 48 Stunden eventuell entsperren lässt – auch wenn der Attentäter schon tot ist.

Für mich klingt das Statement von Special Agent Christopher Combs am Dienstag (7.11.) eher nach einer politischen Duftmarke: “Ceterum censeo: Die böse, wirksame Verschlüsselung muss abgeschafft werden.” Und Apple hat dann; einerseits ernst gemeint, aber auch ebenso medienwirksam zurückgeflötet „wir kooperieren ja, aber…“ Was ich persönlich noch spannend fände: ob die neue Gesichtserkennung beim iPhone X auch bei einem Toten funktioniert. Die Augen müssen ja in die Kamera schauen, da muss man vielleicht noch irgendwie die Lider aufspannen – makaber.

Für alle Lebenden hat Apple ja jedenfalls noch ein Notfall-Feature in iOS11 eingebaut: Fünfmal den Aus-Knopf drücken, dann wird das Entsperren via Finger- und Gesichtserkennung abgeschaltet, danach geht’s nur noch mit dm Zugangscode.

Internet der Dinge: Bluetooth-Buttplugs können gehackt werden

In den USA hatte vor kurzem eine Frau den Hersteller ihres High-Tech-Dildos verklagt. Das Sexspielzeug konnte man per Handy-App programmieren – nur hatte die App dann eben so intime Details wie die Intensität der Vibration, die Nutzungszeit- und –häufigkeit und die Körpertemperatur per Netz an den Hersteller weitergetratscht. Dafür gab es dann einen Datenschutz-Rüffel und eine happige Schadensersatz/Straf-Zahlung.

 

Mittlerweile gibt es ja jede Menge vernetzte Sex-Toys, die zu überprüfen hat einen gewissen besonderen Spaß- oder zumindest Aufmerksamkeitsfaktor; auch wenn man das ganze Thema nicht per se lächerlich machen oder als peinlich oder pervers abstempeln will. Auf jeden Fall haben IT-Experten vom Unternehmen “PenTestPartners” 🙂 unter Umständen recht unangenehme Sicherheitslücken bei Bluetooth-gesteuerten Buttplugs gefunden. Auf den ersten Blick würde man denken: Das kann nicht relevant sein: die Reichweite von Bluetooth LE beträgt ungefähr 10 Meter; und auch wenn die Hersteller keine PIN oder kein Passwort beim Pairing zwischen App und Device vorgesehen haben – das lässt sich ja nur dann ausnutzen, wenn der Buttplug nicht mit dem Smartphone des/der legitimen Nutzers/Nutzerin gekoppelt ist.

Das “Screwdriving-Protokoll” der IT-Experten, die Suche nach potentiell kontrollierbaren Devices in Berlin lässt dies hingegen wieder in einem anderen Licht erscheinen.

Übrigens: Bluetooth-gesteuerte Hörgeräte sind auch von dem Sicherheitsproblem betroffen. Um die Sache mal wieder in die Mitte der alternden Gesellschaft zu bringen 🙂 …

Sexspielzeug mit Bluetooth: Buttplugs hacken · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 06.10.2017 (Moderation: Diane Hielscher)

Videoüberwachungsprojekt Berlin: Golem.de wirft digitalcourage Fehler vor

Das Testprojekt zur automatischen Gesichtserkennung am Berliner Bahnhof Südkreuz ist ohnehin umstritten – und Anfang der Woche kam noch mal zusätzliche Aufregung in die Sache: Die rund 300 freiwilligen Teilnehmer, so der Vorwurf der Aktivisten vom Verein Digitalcourage, hätten statt eines passiven RFID-Transponders einen aktiv sendenden Blutooth-Beacon untergeschoben bekommen, der rund um die Uhr Daten sammele, die weit über den eigentlichen Zweck des Transponders hinausgingen. Der Test sei also umgehend abzubrechen – eine Forderung, der sich sogar die Bundesdatenschutzbeauftragte Andrea Voßhoff anschloss.

 

Bundesinnenminister Thomas de Maziere konterte kühl, die vorgebrachten Bedenken beruhten auf “fehlerhaften Informationen” – und wie es aussieht, hat er damit Recht. Alexander Merz und Friedhelm Greis vom IT-Portal Golem.de werfen nämlich den Datenschützern von Digitalcourage diverse Fehlannahmen, Kenntnislücken und Ungenauigkeiten vor – mit dem (Fehl-)Alarmruf hätten die Aktivisten der Sache einen Bärendienst erwiesen. Die Analyse bei Golem.de liest sich für mich plausibel – im Übrigen hatte ich den vermeintlichen Skandal ohnehin eher für einen Sturm im Wasserglas gehalten: Wer sich als Testperson für den Pilotversuch gemeldet hatte, im Gegenzug für einen kleinen Amazon-Gutschein, der hat ja offenbar kein exorbitantes Problem mit einer gewissen temporären Aufgabe seiner “Privacy”.

Denn wohlgemerkt – mit dem eigentlichen eventuell kommenden Regelbetrieb der automatischen Gesichtserkennung hat die Transponder-Karte ja überhaupt nichts zu tun. Die Golem-Autoren betonen, dass auch sie – wie Digitalcourage – die geplante biometrische Erfassung und Speicherung unbescholtener Bürger sehr kritisch sehen, ich schließe mich dem an. Ob die Methode tatsächlich einen ungeheuren Sicherheitsgewinn bringt, darf man einstweilen bezweifeln, wie aber die Kollateralschäden funktionieren – der britische Datenschutzbeauftragte hat gerade wieder einmal nachgewiesen und heftig kritisiert, dass einmal bestehende Einträge in Polizei-Datenbanken rechtswidrig praktisch nie gelöscht oder korrigiert werden – das haben die Vorgänge rund um die Akkreditierungen von Journalisten beim G20-Gipfel gezeigt.

Die Aufregung darüber ist übrigens kein selbstverliebtes Gejammere einer privilegierten Berufsgruppe, wie man zuweilen lesen konnte. Entsprechende Einträge in Behörden-Datenbanken gibt es natürlich nicht nur bei Journalisten, sondern bei Jedermann und Jederfrau. Und die fragen sich halt dann irgendwann, warum sie eigentlich den angestrebten Job oder die Wohnung nicht bekommen oder warum ihr Visa- oder Kontoeröffnungsantrag abgelehnt wird.

Deutschlandfunk Nova – Hielscher oder Haase vom 25.08.2017 (Moderation: Thilo Jahn)

Apple wirft VPN-Apps aus dem chinesischen App-Store

Ende Januar hatte die chinesische Regierung bekanntgegeben: VPN-Anbieter brauchen ab sofort eine behördliche Genehmigung, wenn sie ihre Dienste fortführen wollen. Ein Schelm, wer Böses dabei denkt. Denn natürlich ist eine solche “Genehmigung”  in einem nicht-demokratischen Staat keine reine Formsache oder Qualitätskontrolle, sondern bedeutet: Vor dem mitlauschenden WLAN-Betreiber mag ein behördenkonformer VPN-Dienst vielleicht noch schützen, nicht aber vor der mitlauschenden Behörde.

Die wichtigsten, beliebtesten und von ihren Usern bislang als vertrauenswürdig eingeschätzten VPN-Apps, laut Informationen der BBC mindestens 60 an der Zahl, hat Apple jetzt aus dem chinesischen App-Store geworfen – sie enthielten, so die Erklärung des Unternehmens, “unzulässige Komponenten”. Soll heißen – sie hatten keine Genehmigung oder Zulassung und verstießen also gegen die gesetzliche Regelung. Apps müssen die gesetzlichen Bestimmungen des Landes einhalten, in dem sie verfügbar gemacht werden, zitiert Apple aus seinen Geschäftsbedingungen.

Und trotz dieser Erläuterungen: Natürlich steht der Vorwurf im Raum, Apple hätte Kotau vor einem Unrechtsregime gemacht, nur um sein Geschäft fortführen zu können. Das Unternehmen habe seinen eigenen Anspruch unterminiert, allen Begehrlichkeiten von Regierungen – demokratischen wie nicht-demokratischen – zu trotzen und die Sicherheit und Verlässlichkeit von iPhones und iOS und der damit abgewickelten Kommunikation zu schützen. Wie soll Apple in Zukunft – fragt Techcrunch – gegen die Entschlüsselungs- und Backdoor-Wünsche der eigenen Regierung argumentieren?

 

Die Kritik ist natürlich ganz und gar nicht abwegig, das Dilemma für Apple ist unverkennbar und schmerzhaft – und doch gibt es noch ein paar wichtige Details, warum ein Nachgeben auf einem einen Schauplatz noch nicht ein Einknicken auf der ganzen Linie bedeuten muss. Punkt eins: es macht einen gewaltigen Unterschied, ob es in einem bestimmten App-Store bestimmte Apps nicht mehr gibt – oder ob das ganze Betriebssystem kompromittiert ist. Punkt zwei: es macht einen gewaltigen Unterschied, ob ein Widerstand gegen eine unliebsame Regulation überhaupt Sinn macht.

Das hört sich opportunistisch an – aber einmal ganz ehrlich: Seit wann ist ein Unternehmen, dass seinen Aktionären Rechenschaft über den Geschäftserfolg schuldig ist, eine Freiheitskampf-Organisation? Sollten nicht alle deutschen (und amerikanischen…) Firmen alle Geschäftsbeziehungen zu China, zum Iran, vielleicht auch zur Türkei aus “moralischen Gründen” abbrechen? Das ist relativ naiv und vielleicht auch einfach kontraproduktiv – und auf jeden Fall eine politische, nicht primär eine Entscheidung von Unternehmen – außer die “Moral-Dividende” ist höher als der entgangene Gewinn 🙂 .

Ich bin ja selbst gespalten in der Sache: Von Google und Facebook erwarte ich einerseits, dass sich die Herrschaften gnädigerweise an deutsches oder europäisches Datenschutzrecht halten, wenn sie hier Geschäfte machen. Andererseits: Urteile wie das aus München, Wien oder aus Frankreich zur Löschpflicht bei Facebook und Google, demzufolge nationales Recht weltweit umzusetzen ist, die machen mir wieder Bauchschmerzen. Weil dann natürlich eigentlich auch Urteile aus Istanbul, Riad oder Pjöngjang weltweit umzusetzen wären. Im Moment versucht ja gerade Google, ein Urteil aus Kanada in den USA wieder kassieren zu lassen. 🙂

Warum dem lupenreinen Demokraten Vladimir Putin die VPNs ebenfalls ein Dorn im Auge sind, ist klar. Zumindest unsere Politiker im “freien Westen” täten also gut daran, nicht unter der Flagge “Terrorbekämpfung” in die gleichen Gefilde zu dampfen.

Virtual Private Networks: Apple wirft VPN-Apps aus dem chinesischen App-Store · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 31.07.2017 (Moderation: Till Haase)

Daten von 200 Millionen US-Bürgern frei im Netz

Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?

Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei “Deep Root Analytics” keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares “Versehen”. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.

Das “besondere Maß an Verantwortlichkeit”, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat “Deep Root Analytics” wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar “Köpfe rollen”. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂

Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)

Tracking: Keine Selfies mehr mit Emma Watson

Emma Watson, die Hermine aus der Harry-Potter-Filmserie, ist mittlerweile 26 Jahre alt. Den Übergang vom Kinderstar in die Riege der erwachsenen Top-Filmschauspielerinnen hat sie locker geschafft, demnächst können wir sie in „Beauty and the Beast“ sehen. Wenn man Interviews mit ihr liest, wird klar – sie ist eine umgängliche Frau ohne große Starallüren, die aber auch sehr klar entscheidet, was sie der Öffentlichkeit preisgibt und was nicht. Im Gespräch mit dem Magazin „Vanity Fair“ hat sie jetzt verkündet, sie wolle sich in Zukunft nicht mehr einfach so überall von Fans ablichten lassen – weil nämlich nach dem Hochladen der Fotos ins Netz sofort ihr Aufenthaltsort auf 10 Meter genau bekannt sei – und das eben praktisch Tag für Tag rund um die Uhr. Emma Watson will nicht mehr dauer-getracked werden.

 

Die Besorgnis ist natürlich absolut nachvollziehbar. In den Standardeinstellungen werden zu jedem Schnappschuss von Smartphone oder Kamera Uhrzeit und Geolocation-Daten mit abgespeichert, in den Standardeinstellungen bleiben die auch beim Hochladen in Social Networks erhalten oder da kommen sogar noch mal solche Daten im Moment des Postens dazu. Das ist also genau wie Emma Watson sagt: innerhalb von zwei Sekunden nach dem Knipsen weiß die ganze Welt, wo exakt sie gerade ist. Bei Stars wird man hier möglicherweise noch denken – ok, das ist jetzt im Rahmen der Prominenz und der damit verbundenen geldwerten Vorteile 🙂 eingepreist.

Im Grunde betrifft das Problem “knipsen und hochladen” (mit Metadaten, aber ohne Einverständniseinholung…) aber jeden von uns. Wahrscheinlich leben wir schon in einer faktischen Post-Privacy. So richtig toll ist das aber nach wie vor nicht. Wer da ab und zu reingrätscht – auch mal happig kostenpflichtig – hat meinen Segen. Auch wenn das den Trend letztendlich nicht wirklich aufhält 🙂 …

DRadio Wissen · Tracking: Keine Selfies mehr mit Emma Watson

DRadio Wissen – Redaktionskonferenz vom 01.03.2017 (Moderation: Sonja Meschkat)

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

“Zahlreiche Sicherheitslücken in VeraCrypt gefunden” – so titelten verschiedene IT-Newsseiten ihre Berichte über das Ergebnis des Software-Audits an. Das stimmt natürlich, trotzdem ist die Kernbotschaft eigentlich eine andere: Mit dem vom Open Source Technology Improvement Fund (OSTIF) in Auftrag gegebenen und durch die IT-Firma Quarkslab erstellten Gutachten können wir nun zunächst einmal davon ausgehen, dass VeraCrypt und sein Entwickler Mounir Idrassi grundsätzlich vertrauenswürdig ist. Die Chancen dafür standen ja ohnehin eigentlich schon besser als bei TrueCrypt, dessen Macher anonym blieben.

Wenn man mit Idrassi selbst spricht, dann verfliegen Zweifel an seiner Integrität ohnehin sehr schnell (was natürlich noch kein sicherheits-belastbarer Beweis ist 🙂 ); er ist enthusiastisch und gibt auch eigene Fehler unumwunden zu – wie etwa die im Audit bemängelte Verwendung veralteter und unsicherer Komprimierungs-Softwarebibliotheken. Obwohl mittlerweile auch aus der Open-Source-Community zahlreiche Beiträge zum Programmcode kommen – bislang ist VeraCrypt halt im wesentlichen ein Ein-Mann- und Freizeit-Projekt; und die Ressourcen von Mounir Idrassi sind begrenzt.

Immerhin ist jetzt auch der russische Entwickler Alex Kolotnikov mit an Bord – er zeichnet für den UEFI-Bootloader verantwortlich. Damit ist nun endlich auch auf neueren Computern und z.B. unter Windows 10 die komplette Verschlüsselung des Systems möglich. Und die ist unbedingt anzuraten, wenn man ein ernsthafteres Sicherheitsbedürfnis hat, als etwa nur die eigene Pornosammlung vor der Ehefrau zu verstecken: Auf einem normalen Windows reißen die unzähligen temporären Datenspuren, die Speicherdumps für den Schlafmodus oder Schnellstart, die Schattenkopien, Miniaturbildchen und automatischen Sicherungen alle Verschlüsselungs-Versuche gleichzeitig mit dem Hintern wieder ein, wie es so schön heißt. 🙂

Das gilt auch, wenn man sein Windows auf einer SSD eingerichtet hat – das Filesystem mit Clustern und Sektoren ist ja nur vorgegaukelt. Tatsächlich kopieren aber der SSD-Controller und Optimierungsalgorithmen wie das Wear-Leveling munter den Inhalt von Flash-Speicherzellen kreuz und quer auf dem Medium herum – zumindest vom Dateisystem her gibt es keine verlässliche Methode, Daten zu löschen. Und ob der “Secure Erase”-Befehl bzw. der Hardwareverschlüsselung des SSD-Hersteller letztlich vertrauenswürdig ist, ist schon wieder eine Frage des Glaubens, nicht des Wissens. Zu wenig für hohe Sicherheitsanforderungen.

Das einzige Szenario, das auch Mounir Idrassi für sicher halten würde: Die fabrikneue SSD komplett als Laufwerk bzw. Partition verschlüsseln und dann “on demand” mit Veracrypt als logisches Laufwerk zu mounten – in diesem Fall würden ausschließlich verschlüsselte Daten auf die SSD geschrieben, weil Windows das “eigentliche” Laufwerk für nicht partioniert hält und keinen Zugriff hat. In diesem Fall würden also auch die Wear-Leveling-Mechanismen nur verschlüsselte Speicherzelleninhalte umkopieren.

Auch wenn das noch keine offizielle Ankündigung ist – man kann wohl davon ausgehen, dass das BSI bzw. das Fraunhofer-Institut SIT, das ja Ende 2015 Truecrypt begutachtet hatte, in nicht allzu ferner Zukunft auch den Code von Veracrypt unter die Lupe nimmt. Mit einem zweiten Audit wäre dann auch das Argument eines Zweiflers im Heise-Forum entkräftet, Veracrypt-Programmierer und die Gutachter bei Quarkslab wären Franzosen, für beide würde ein Gesetz gelten, das der französischen Regierung eine Hintertür einräume.

Ein solches Gesetz gibt es nicht, entgegnet Mounir Idrassi – da habe der Zweifler wohl ungare Planspiele bestimmter Politiker mit der Realität verwechselt. Er selbst würde sofort die Arbeit an Veracrypt einstellen und das Projekt öffentlich für beendet erklären, falls irgendjemand von ihm verlange, die Software absichtlich unsicher zu machen.

Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen

Deutschlandfunk – Computer und Kommunikation vom 22.10.2016 (Moderation: Manfred Kloiber)

Geofeedia: US-Polizei nutzte Daten aus Twitter und Instagram über Demonstranten

In den USA ist das ja leider schon fast ein trauriger Standard-Ablauf: Ein Schwarzer wird bei einem Polizeieinsatz erschossen, die Umstände sind nach Aussagen von Zeugen oder Aufnahmen von Kameras zumindest fragwürdig. Und anschließend kommt es zu tage- oder wochenlangen Protesten mit zum Teil bürgerkriegsartigen Szenarien. Im Moment sorgt gerade ein Bericht der amerikanischen Bürgerrechtsorganisation ACLU für Aufsehen: Die US-Polizei nutzt Daten von Twitter, Facebook  und Instagram, um Demonstranten und Aktivisten zu überwachen bzw. sogar von dem Marsch auf die Straße abzuhalten. Geliefert werden diese Daten von einer Firma mit dem Namen Geofeedia.

Das klingt nach einem Skandal oder nach einem Eingriff in Bürgerrechte, und der Eindruck wird ja verstärkt durch die Reaktion der betroffenen Social-Media-Firmen: Instagram und Facebook hatten Geofeedia schon im September den Zugriff auf die Daten gekappt, und nachdem am Dienstag der ACLU-Report publik gemacht wurde, kam dann auch von Twitter postwendend die Message: Der Zugang von Geofeedia wird auf der Stelle beendet.

Aber “privilegiert” oder “besonders” ist dieser Zugang überhaupt nicht. Was Geofeedia weiterverkauft, ist schlicht und ergreifend die Nutzung von sogenannten APIs. Das steht für „Application programming interface“, auf Deutsch also „Anwendungs­programmier­schnittstelle“. Und über solche Schnittstellen hat man dann Zugang zu den Rohdaten des jeweiligen Dienstes, also z.B. auf Tweets oder Postings, aber ohne die normale grafische Aufbereitung oder Filterung oder Gewichtung. Einen solchen API-Zugang gibt es je nach Nutzungsintensität gratis oder gegen Gebühr.

Wer sich jetzt darüber aufregt, dass Polizeidienststellen über Geofeedia-Daten vermeintlich oder tatsächlich gewaltbereite Demonstranten abfängt, verkennt die Tatsache, dass Pepsi-Cola eben ansonsten unzufriedene Coca-Cola-Trinker zu identifizieren versucht 🙂 . Social-Media-Nutzer werden nun eben mal abgeschnorchelt und ausgewertet. Ob Konsumenten, Demonstranten oder Terroristen.

DRadio Wissen – Hielscher oder Haase vom 14.10.2016 (Moderation: Till Haase)

Panikmache und Dauerwarnung lässt Computernutzer resignieren

Es gibt ja bei vielen großen, mächtigen US-Unternehmen (oder auch bei deutschen Hinterhof-Klitschen…) mit authentischem (oder auch mit nachgeäfftem…) “auf-zu-neuen-Horizonten”-Gestus so einen ganz fantastischen Titel für irgendwelche freischwebenden Gurus mit Visionen: “Chief Technology Evangelist”; oder so ähnlich. Ich habe mich immer gefragt, ob eine solche Jobbezeichnung für wahrhaft Gläubige – von Papst Franziskus bis hin zum salafistischen Eiferer – nicht eigentlich pure Blasphemie ist. Zum Glück haben beide (der Papst und der Eiferer…) Besseres bzw. Schlechteres zu tun, als sich näher damit zu beschäftigen.

“Evangelist”; wie gesagt nicht übel. Aber eigentlich hätte ich auch etwas für eine hippe Visitenkarte: “Michael Gessat – DRadio Wissen (demnächst DLF Nova 🙂 ) – Netzapokalyptiker”. Sagt meine Moderatorin. Und zugegeben – ich habe ja irgendwie ein Faible für die neuesten Hacks, Sicherheitslücken und Hintertüren; für Irrtümer, Fahrlässigkeiten, Betrug und Verrat – und irgendwie ist mir natürlich auch gar nicht immer so ganz klar, dass das apokalyptische Szenario die “ganz normalen” Nutzer emotional, psychologisch schier überfordert. Sicherheits-müde macht.

Das US-amerikanische NIST hat das jetzt aber einmal erforscht und zweifelsfrei konstatiert: Dauerpanik und Dauer-Alarm führt bei den Adressaten zu Lähmung und Resignation. Man muss die Komplexität reduzieren, sagt das NIST. OK, es ist ja ganz einfach: Machen Sie regelmäßig Backups. Klicken Sie nicht auf jeden Link in einer Email. Ab und zu mal ein Update vom Betriebssystem. In Wirklichkeit lasse ich es selbst ab einer bestimmten Schwelle gut sein. Apokalyptiker bin ich ja gern. Aber nicht paranoid.

Sicherheitsmüdigkeit: Statt Reaktion auf Warnungen Kapitulation · DRadio Wissen

Dradio Wissen – Hielscher oder Haase vom 05.10.2016 (Moderation: Diane Hielscher)