(via starbug’s soup)
Archiv für die Kategorie ‘Datenschutz’
Selbstauskunft bei Datenkraken
Seit dem 1. April diesen Jahres ist das verschärfte Bundesdatenschutzgesetz in Kraft. Neben einigen Verfahrensvereinfachungen für Datensammler, ist die wichtigste Neuerung des Gesetzes, dass Recht auf Selbstauskunft (auch Eigenauskunft) in §34:
(1) 1Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden und
3. den Zweck der Speicherung.
2Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. 4Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.
Für Unternehmen, die Daten über Bürger sammeln, bedeutet dies, dass sie auf Verlangen Auskunft über alle Daten geben müssen, die sie über den Betroffenen speichern. Einschließlich der Information, woher die Daten stammen.
Nun ist es natürlich sehr mühselig all die Firmen herauszusuchen, und persönlich anzuschreiben. Viele Menschen werden sicher vor dem Aufwand zurückschrecken drei Dutzend Briefe zu versenden.
Das dachte sich auch Julian Kornberger von Digineo und richte kurzerhand einen kostenlosen Service ein, bei dem man automatisch bei derzeit 35 Firmen eine Selbstauskunft einholen kann. Die Liste der Firmen wird ständig erweitert, und da viele Unternehmen für eine Auskunft eine Kopie des Personalausweises verlangen, arbeitet Julian zur Zeit an der Möglichkeit einen Scan des Personalausweises hochladen zu können.
Wichtig zu wissen ist natürlich, dass man die bei Digineo hinterlegten Daten jederzeit einsehen, und auch selber löschen kann. Weiterverwertet werden die Daten dort laut Digineo selbstverständlich auch nicht. Trotzdem sind ein paar Dinge zu beachten:
- Überlegt euch, welche der angebotenen Firmen ihr tatsächlich anschreiben wollt. Viele sind Inkassounternehmen, die eure Daten vermutlich nur haben, wenn ihr schon mal mit ihnen zu tun hattet. Nach der Anfrage haben sie sie.
- Schwärzt bei der Kopie eures Ausweises die Seriennummer, Geburtsdatum und die anderen Daten, die nicht wichtig sind, um eure Identität zu bestätigen. Man muss Datenkraken ja nicht nocb mehr Informationen hinterher werfen.
Das ganze ist eine super Idee, die vor allem vom Mitmachen lebt: Je mehr Leute die Datensammler mit Anfragen bombardieren, desto unangenehmer wird es für die (und teurer, denn jede Antwort kostet Porto!).
Danke schön!
Gerade bin ich vom FoeBud in einer E-Mail benachrichtigt worden, dass -wie ja auch in den Medien zu erfahren war- die Sammelbeschwerde gegen ELENA beim Bundesverfassungsgericht eingereicht wurde.
22.005 Menschen haben sich an der Aktion beteiligt. Das sind zwar weniger als bei der Vorratsdatenspeicherungsklage, aber diese Beschwerden sind in nur wenig mehr als zwei Wochen zustande gekommen!
An dieser Stelle möchte ich mich herzlich bei allen Leuten vom FoeBud und allen die freiwillig geholfen haben, den riesigen Berg an Vollmachten zu bearbeiten, und zum Bundesverfassungsgericht zu bringen bedanken: Vielen Dank, dass ihr mir, und 22.004 anderen Bürgern ermöglicht habt, erneut in einer großen Aktion gegen ein weitreren Baustein der Überwachungsgesellschaft zu klagen!
Auch diejenigen, die nicht mehr dazu gekommen sind, mitzuklagen können etwas tun: Den FoeBud kann man auch finanziell unterstützen.
Gewaltprävention an Bremer Schulen durch Videoüberwachung M)
Einige Bremer Schulen haben sich zu einem besonders pädagogisch wertvollen Konzept gegen Gewalt an Schulen durchgerungen:
“An den genannten Schulen kam es in der Vergangenheit immer wieder zu [...] Körperverletzungsdelikten. Mit dem Betreiben einer Videoüberwachungsanlage sollen diese Straftaten verhindert werden. Sie dient damit dem Schutz der körperlichen Unversehrtheit der Schülerinnen, Schüler und des schulischen Personals [...]. Diese Grundrechte sind von der Schulkonferenz gegen das Grundrecht auf informationelle Selbstbestimmung abgewogen worden und dabei als überwiegend eingeschätzt worden.”
“Es haben die Schulleiterin bzw. der Schulleiter und zur Wahrung des „4-Augen Prinzips“ jeweils eine weitere Person der Schule, sowie die Polizei im Falle einer Straftat Zugriff auf die Videoaufzeichnungen.”
Also liebe prügelnden Klappskallis, da eure Lehrer ein Auge zudrücken und CCTV anknipsen, könnt ihr nicht nur weiterhin ungestört eure Mitmenschen verprügeln sondern das Ganze - vorausgesetzt ihr habt einen Kamera-Funkempfänger whireshark – auf YouTube posten.
Betroffen sind folgende Schulen in Bremen:
- Schule an der Düsseldorfer Straße, seit 2008
- Schule an der Rechtenflether Straße, seit 2007
- Schule Rönnebeck, seit 2004
- Schule an der Stichnathstraße, seit 2007
- Förderzentrum Dudweilerstraße, seit 2006
- Altes Gymnasium, seit 2008
- Integrierte Stadtteilschule Obervieland, seit 2003
- Albert-Einstein-Schule, seit 2004 (Vorgängerschule Im Ellener Feld)
- Integrierte Stadtteilschule am Leibnizplatz, seit 2003
- Integrierte Stadtteilschule an der Carl-Goerdeler-Straße, seit 2007
- Schulzentrum an der Julius-Brecht-Allee, seit 2009
- Berufsschule für den Großhandel, Außenhandel und Verkehr, seit 2008
Weitere Informationen: Kleine Anfrage der Fraktion der Mövenpick-Partein „Videoüberwachung im Land Bremen”
Update:
Aus dem Bericht der Bremer Landesdatenschutzbeauftragten zur Videoüberwachung an Bremer Schulen (pdf):
“Außerdem lag in den meisten Fällen kein angemessenes Datenschutzkonzept vor; insbesondere hat häufig die gesetzlich vorgeschriebene Anordnung der Leitung der jeweiligen Schule, die den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung dokumentiert, gefehlt.”
Harscher geht der Berliner Landesdatenschutzbeauftragter die Videoüberwachung an Schulen an:
“Die Schule solle neben Rechnen und Schreiben auch Demokratie, Achtung der Menschenwürde und Freiheit lehren – eine Videoüberwachung von Klassenräumen, Eingangsbereichen und Schulhöfen sei mit diesen Prinzipien unvereinbar; Überwachungstechnik dürfe Pädagogik nicht ersetzen.”
“Die Gewaltbereitschaft von Schülerinnen und Schülern unter einander, Diebstahl und Vandalismus auf dem Schulhof, aber auch unerlaubtes Rauchen (sic!) stellen heute an vielen Schulen ein Problem dar. Eine Schule in Bremen hat sich deshalb entschieden, die Schülerschaft mittels einer sichtbaren Videoüberwachung aufzurütteln und abzuschrecken.”
Jahresbericht der Bremer Landesbeauftragten für Datenschutz online
Der “32. Jahresbericht der Landesbeauftragten für Datenschutz” ist online (pdf). Im Folgenden das Inhaltsverzeichnis des Datenschutzberichtes: Einige Highlights sind dabei, so waren die Bremer Landesnetze vom Conficker Wurm befallen und man weiß immer noch nicht wie das geschah. Leider habe ich keine Zeit für einen Kommentar – sendet Trackbacks, nutzt die Kommentarfunktion oder schickt eine Mail an kontakt@evildaystar.de.
- Bremische Bürgerschaft
- Ergebnisse der Beratungen des 31. Jahresberichts
- Behördliche Beauftragte für den Datenschutz
- Workshops der behördlichen Datenschutzbeauftragten 2009
- Behördlicher Datenschutz im Bereich der Gesundheit Nord gGmbH
- Datenschutz durch Technikgestaltung und -bewertung
- IT-Sicherheitsmanagement für das Land Bremen
- Administrativer Zugang am Dataport-Standort Bremen
- VIS – Zentrales System zur elektronischen Aktenführung
… weiterlesen
Vorratsdatenspeicherung nichtig
- Die §§ 113a und 113b des Telekommunikationsgesetzes in der Fassung des Artikel 2 Nummer 6 des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007 (Bundesgesetzblatt Teil I Seite 3198) verstoßen gegen Artikel 10 Absatz 1 des Grundgesetzes und sind nichtig.
- § 100g Absatz 1 Satz 1 der Strafprozessordnung in der Fassung des Artikel 1 Nummer 11 des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007 (Bundesgesetzblatt Teil I Seite 3198) verstößt, soweit danach Verkehrsdaten nach § 113a des Telekommunikationsgesetzes erhoben werden dürfen, gegen Artikel 10 Absatz 1 des Grundgesetzes und ist insoweit nichtig.
- Die aufgrund der einstweiligen Anordnung vom 11. März 2008 im Verfahren 1 BvR 256/08 (Bundesgesetzblatt Teil I Seite 659), wiederholt und erweitert mit Beschluss vom 28. Oktober 2008 (Bundesgesetzblatt Teil I Seite 2239), zuletzt wiederholt mit Beschluss vom 15. Oktober 2009 (Bundesgesetzblatt Teil I Seite 3704), von Anbietern öffentlich zugänglicher Telekommunikationsdienste im Rahmen von behördlichen Auskunftsersuchen erhobenen, aber einstweilen nicht nach § 113b Satz 1 Halbsatz 1 des Telekommunikationsgesetzes an die ersuchenden Behörden übermittelten, sondern gespeicherten Telekommunikationsverkehrsdaten sind unverzüglich zu löschen. Sie dürfen nicht an die ersuchenden Stellen übermittelt werden.
- Die Bundesrepublik Deutschland hat den Beschwerdeführern ihre notwendigen Auslagen aus den Verfassungsbeschwerdeverfahren zu erstatten.
Das Bundesverfassunggericht hat die Vorratsdatenspeicherung gekippt. Ein Gesetz für nichtig zu erklären, ist wohl die schärfste Sanktion, die das Gericht verhängen kann. Darüber hinaus sind alle bereits angefallenen Daten sofort zu löschen.
Nun hat das Verfassungsgericht nicht entschieden, dass gar nicht auf Vorrat gespeichert werden darf, es bleibt also abzuwarten, wann die Politik den nächsten Anlauf startet. Die Hürden aber, liegen hoch: So dürfen die Daten nur benutzt werden, wenn eine Straftat besonderer Schwere vorliegt, auf die Daten darf nur unter einem strikten Richtervorbehalt zugegriffen werden. Der Präsident des Verfassungsgerichts, Hans-Jürgen Papier, hat in seinen Ausführungen festgehalten, dass der Richtervorbehalt an eine Begründung gekoppelt sein muss. Massengenehmigungen, bei der ein Richter keine zwei Minuten zur Beurteilung hat, sind also wohl nicht zulässig.
Das Gesetz muss regeln, wie die Datensicherheit sichergestellt werden kann, die Daten müssen verschlüsselt werden, und eine unabhängige Behörde muss die Einhaltung überwachen, darf aber die Daten nicht selber speichern. Auch wenn einige, die sich besser auskennen als ich, sagen, es sei nicht der große Sieg, für den Gesetzgeber wird es vermutlich einfacher sein, ein Quick-Freeze einzuführen, wogegen IMHO auch nichts einzuwenden ist.
Als nächstes heisst es nun, die EU-Richtline selbst anzugehen, und, wenn möglich, zu kippen.
Video eines Nacktscanners im Einsatz
Bürgerinnen und Bürger so wie sie CDU, FDP und SPD sehen wollen.
So schnorchelt man Nacktbilder aus Nacktscannern ab
Die Fantasien von Thomas de Maizière, Sabine Leutheusser-Schnarrenberger und anderen Spannern Nacktbilder von Fluggästen zu erstellen sollen nun über die bereitwillig von der Presse mitgetragene Umbenennung von Nacktscanner in Körperscanner sowie einer Privacy-Funktion Realität werden: Ob sich irgendetwas gefährliches am Körper befindet sollen Computer autonom erkennen können und erst dann ein stilisiertes Bild für die Sicherheitsleute ausgeben. Träger und Trägerinnen von Intimpiercings können sich schon jetzt auf dumme Sprüche bei der Sicherheitskontrolle einstellen.
Das man mittels Bilderkennung keinen Zwei-Komponenten Sprengstoff erkennen kann ist klar: Die Spannerkästen haben selbst beim Detektieren von Waffen nur eine Erfolgsquote von 60%. Aber immerhin kann man Nacktbilder von den um unsere Sicherheit besorgten Politiker und Politikerinnen aus den Nacktscannern abschnorcheln:
- Das stilisierte Bild für die Sicherheitsleute ist nämlich nur eine Schein-Privacy-Funktion: Natürlich werden nach wie vor Nacktbilder mit allen Details erstellt. Erst nachträglich werden diese für die Bilderkennung erstellten Nacktbilddaten zu den Grafiken mit den schemenhaften Umrissen eines Menschen umgewandelt.
- Alle Daten, also auch die Nacktbilder-Rohdaten, sollen nach dem Schein-Sicherheitscheck umgehend gelöscht werden. Löschen bedeutet aber bei digitalen Datenträger, dass lediglich die Meta-Informationen (z.B. wo sich die Daten auf dem Speichermedium befinden) und nicht die Daten(blöcke) selber gelöscht werden. Angenommen es werden 300kb große Nacktbilder erstellt und das Speichermedium ist nur 2GB groß, dann befinden sich in jedem Spannerkasten immerhin noch knapp 7000 Nacktbilder.
- Durch Social Hacking direkt am Flughafen oder später auf der Müllkippe sollte man an die Speichermedien der Nacktscanner herankommen. Die Wiederherstellung der gelöschten Daten (Meta-Informationen) ist kinderleicht. Ich bin gespannt auf die CDU-FDP-SPD-Peepshow *fg*
Alarm um den “Nacktscanner”
Seit dem missglückten Anschlag vom 26.12. herrscht unter Politikern mal wieder helle Aufregung: Bundesinnenminister Thomas de Maizère fordert nun in der Süddeutschen Zeitung die Einführung sog. “Nacktscanner”, die sein Vorgänger Wolfgang Schäuble bereits abgelehnt hatte.
Der Aufschrei unter Bürgerrechtlern ließ nicht lange auf sich warten. Viel ist da die Rede von der “Wahrung der Menschenwürde”. So sagt auch Minister De Maizère z.B. im Interview mit der Süddeutschen auf die Frage, ob er sich selbst von so einer Maschine “entkleiden” lassen würde:
Wenn es ein entsprechendes Gerät gibt, das die Persönlichkeitsrechte wahrt, hab’ ich damit kein Problem – aber wir sind noch nicht so weit.
Im Folgenden erläutert er, wie solche Geräte konstruiert sein müssen, um diese Kriterien zu erfüllen. Allerdings lässt die Wortwahl durchblicken, dass er wenig davon versteht, wie die Geräte tatsächlich funktionieren:
Diese Geräte arbeiten auf der Basis von Terahertz- oder Millimeterhertz-Wellen. Diese Wellen werden vom menschlichen Körper und am Körper getragenen Gegenständen wie von einem Spiegel reflektiert.
Was “Millimeterhertz-Wellen” sind, ist mir dabei noch rätselhaft. Leider ist der Informationsstand auf allen Seiten so konfus, dass weder Befürworter noch Kritiker der Methode konkret zu wissen scheinen, wie das Ganze eigentlich funktioniert. Ich habe, mit Hilfe von Bella (danke!), mal ein paar Fakten zusammengetragen.
“Millimeterhertz-Strahlung”
Die sog. Terahertzstahlung ist ein bestimmter Bereich des elektomagnetischen Spektrums. Mit Wellenlängen zwischen 1mm und 1µm liegen diese zwischen dem Bereich der Mikrowellen und dem nahen Infrarot. Interessanterweise kommt die Terhertzstrahlung in den am meisten diskutierten Einsatzszenarien gar nicht zum Einsatz. Stattdessen verwendet man sog. Millimeterwellen, also sehr kurzwellige Mikrowellenstrahlung mit Wellenlängen um Bereich zwischen 1 und 10 mm.
Einige Wellen im Millimeterbereich haben die Eigenschaft, bestimmte Stoffe durchdringen zu können. So sind z.B. Wolle oder auch Kunststoffe für bestimmte Wellenlängen durchsichtig, der menschliche Körper hingegen nicht.
Aktiv vs. Passiv
Der menschliche Körper strahlt jederzeit Wärme ab. Diese Wärme wird in Form von Infrarot- und Terahertzstrahlung an die Umgebung abgegeben. Ein Teil dieser Strahlung durchdringt die Kleidung und gelangt nach aussen. Passive Body-Scanner fertigen mit Hilfe dieser Strahlung ein Wärmebild des Körpers an. Das Prinzip ist hierbei ähnlich wie bei einer klassischen Wärmebildkamera. Die Bildqualität ist dabei ähnlich wie bei üblichen Wärmebildern, also sehr Detailarm. Körperfremde Gegenstände erkennt man auf dem Bild vor allem durch die Temperaturunterschiede.
Aktive Scanner hingegen bestrahlen den untersuchten Körper mit Strahlung im mm-Bereich, und messen die Reflektion. Aus den zurückgeworfenen Wellen rekonstruiert der Scanner ein dreidimensionales Modell des Körpers. Da die Kleidung für die Strahlung durchsichtig ist, sieht man auf dem Bild die Oberfläche des Körpers. Da Fremdgegenstände (z.B. eine unter der Kleidung getragende Waffe) die Strahlung mehr oder weniger streuen oder dämpfen, erscheinen sie auf dem Bild als Schatten. Bei dieser Methode sind deutlich anatomische Details zu erkennen, aber auch am Körper getragene Gegenstände, Prothesen oder Brustimplantate sichtbar werden. Diese Methode beschreibt den tatsächlichen “Nacktscanner”.
Einsatz in Deutschland
Die Bundespolizei führt laut Aussagen des BMI derzeit Labortests mit Scannern durch, wie sie auch in Amsterdam-Schipol derzeit getestet werden. Die Geräte in Amsterdam sind Geräte des Typs ProVision des US-amerikanischen Herstellers L3-Communications, die auf der aktiven Technologie basieren.
Probleme
Der Einsatz der Geräte wirft einige Fragen auf, die technisch schwer zu beantworten sind: So fordert Bundesinnenminister de Maizière, dass auf dem Bild keine intimen Details, sondern nur Strichmännchen zu sehen sein sollen. Die Software müsste also so angepasst werden, dass anatomische Details unsichtbar würden, Waffen aber identifizierbar blieben. Die Software müsste also in der Lage sein, einen Sprengstoffbeutel von einem Anus praeter zu unterscheiden. Bella hat einige politische Implikationen beleuchtet, und politische Forderungen aufgestellt, die sich aus der Debatte ergeben.
Viele der Probleme ließen sich umgehen, wenn man, wie Torsten May vom Institut für Photonische Technologien in Jena, vorschlägt; auf passive Technologien ausweicht. Ein einfaches Wärmebild zeigt keinerlei anatomische Details, und ist insofern sogar weniger invasiv als eine Leibesvisitaion.
Pfui! CDU UND FDP wollen mit Nacktscanner Kinderpornografie produzieren!
CDU und FDP drehten sich gemeinsam innerhalb von 24 Stunden um 180 Grad: Nacktscanner, in denen Bosbach (CDU) 2008 keinen zusätzlichen Sicherheitsgewinn sah, sind wieder en vogue. Direkt nach dem Anschlagsversuch in Detroit hieß es noch “Neue Sicherheitsgesetze brauchen wir nicht”. Einen Tag später hatten aber führende Politiker von CDU und FDP keine grundsätzlichen Bedenken mehr gegen die Spannerkästen. Begründet wird der Sinneswandel über Nacht mit einer Privacy-Funktion für Nacktscanner, die verhindert, dass der “Intimbereich der Passagiere tangiert wird “, so Bosbach … vermutlich stellen sich das CDU Politiker folgendermaßen vor:
Wie auch immer CDU und FDP unseren Intimbereich nicht tangieren wollen, technisch kann man das nur mit nachträglicher Bildbearbeitung umsetzen, da man Zwei-Komponenten Sprengstoff sicherlich scharf dargestellt haben möchte: Auch wenn Zöllner erst unsere Körper mit unscharfen Konturen zu Gesicht bekommen, nachdem eine autonome Bilderkennung Zwei-Komponenten Sprengstoff erkannt haben will (das klappt nie in Anbetracht des derzeitigen Stands der Technik), müssen hierzu Daten mit allen Details erstellt werden. Neben gefühlter Sicherheit, gefühlter Datenschutz! Im Grunde fordern damit CDU und FDP gerade die größte Pornoproduktion aller Zeiten ein. Tabus kennen sie dabei nicht: Von Rentnern, Hunden (?) und selbst Kindern sollen Nacktbilder abgepresst werden. Insbesondere letzteres bringt die Sicherheitsleute an Flughäfen juristisch in die Klemme, da sie Kinderpornografie per Dienstvorschrift produzieren müssten. In Großbritannien warnte die Kinderrechtsorganisation “Action on Rights for Children” bereits massiv vor Nacktscanns von Kindern. Die Hersteller der Spannerkästen empfehlen daher Nacktbilder erst von Kindern die älter als 12 Jahre sind und wenn Eltern dem zugestimmt haben zu erstellen, was natürlich nicht das rechtliche Kinderpornografie Problem löst. Abgesehen davon, dass sich keiner vor dem Staat nackig machen will, sind allein wegen dieser Rechtsproblematik Nacktscanner eine Schnapsidee, denn Kinder außen vor zulassen, würde die Idee, dass Spannerkästen das Fliegen sicherer machen, wiederum ad absurdum führen, da es bereits ein Selbstmordattentat von einem Zehnjährigen (sic!) gab.
… abschließend noch ein Bruce Schneier Zitat: “Nur zwei Dinge haben das Fliegen (seit 9/11) wirklich sicherer gemacht: verstärkte Cockpittüren und die Tatsache, dass Passagiere inzwischen wissen, dass sie sich gegen Hijacker wehren können.”
Update: SPD jetzt auch für Nacktscanner
AK-Vorrat – AK-Zensur: Quo Vadis?
Auf dem 26C3 gab es einen Workshop des AK-Vorrat und des AK-Zensur. Angekündigt war der Workshop von beiden Gruppen, sodass es zunächst ein bischen Verwirrung gab, wer denn nun eigentlich einen Workshop macht.
Man einigte sich aber schnell, einfach einen gemeinsamen Workshop zu machen, und über die Möglichkeiten der Zusammenarbeit zwischen den AK’s zu diskutieren.
Einig waren sich alle, dass man keinen “Dachverband” will, der von oben herab diktiert, was läuft. Andererseits sehen alle die Notwendigkeit, eine gemeinsame Infrastruktur für netzpolitische Bürgerechtsbewegung zu schaffen.
Dieser Ansatz ist sehr vielversprechend, da angesichts von ELENA und Co. zu erwarten ist, dass bald neue AK’s entstehen werden, um den neuesten Ideen der Bundesregierung zu begegnen.
So könnte es in Zukunft zum Beispiel einen gemeinsamen Verteiler für Presseerklärungen geben, um die Öffentlichkeitsarbeit zu koordiniern und zu verbessern.
Leider musste die Diskussion an diesem Punkt unterbrochen werden, weil in dem Raum schon der nächste Workshop stattfinden sollte. Ich wünsche mir, dass diese Diskussion jenseits des Kongresses fortgesetzt wird.
Deep Packet Inspection: UMTS-Provider verändern Webinhalte
Gerade zurück aus dem Urlaub bin ich auf einen Artikel von Christoph Hochstätter gestolpert, der vor einigen Tagen bei ZDNet erschienen ist. Der Beitrag ist etwas länger, und etwas technischer.
Auch wenn der Beitrag nicht mehr ganz taufrisch ist (er ist schon vom 14.10), und auhc Netzpolitik.org schon darüber berichtet hatte, will ich das ganze noch mal versuchen kurz und für Laien verständlich zu beschreiben, weil der Orginalartikel sehr detailliert und ein bischen technisch ist.
Wer über seinen Internetanschluss eine Seite im Web aufruft, erwartet in der Regel, den Inhalt angezeigt zu bekommen, den der Server bereitstellt. Die Aufgabe des Internetzugangsproviders ist es dabei, die Anfrage weiterzuleiten, und den Inhalt zum Anwender durchzuleiten. Dies passiert unabhängig davon, ob ich über Modem, DSL, Kabelmodem oder eben UMTS ins Internet eingewählt bin. Soweit die Theorie. Leider sieht die Praxis etwas anders aus: Wer mit einem der großen Mobilfunkanbieter surft, bekommt unter umständen ganz andere Inhalte ausgeliefert, als der Server versendet. Christoph hat herausgefunden, dass zum Teil sogar ausführbarer JavaScript-Code in die Seite eingefügt wird; eine Technik derer sich sonst nur Programnierer von Schadsoftware bedienen.
Im wesentlichen speichern die Anbieter die aufgerufenen Seiten in einem Proxy-Server zwischen. Allerdings werden alle Bilder, die in eine Seite eingebunden werden auf dem Server des Anbieters zwischengespeichert, und dort in der Regel ersteinmal verkleinert. Diese Version mit geringerer Auflösung wird dann an den Kunden ausgeliefert. Damit das klappt, werden alle Links auf das Bild in der aufrufenden Webseite verändert.
Damit ändert sich zwar nicht unbedingt das Erscheinungsbild der Webseite, aber der Anwender erhält eben nicht, was der Server an Daten geschickt hat. Seltsamerweise werden auch PNG-Bilder verändert, obwohl PNG einen verlustfreien Algoritmus verwendet, eine Verschlechterung der Bildqualität also nicht die Dateigröße beeinflusst. Hinzu kommt, dass man z.B. keinen Link mehr auf ein Bild versenden kann, da der Empfänger ja nur den, für ihn unbrauchbare,n Link auf das kopierte Bild beim Mobilfunkprovider erhält.
Nun gibt es natürlich für diese Vorgehensweise auch ein paar Gründe, die dafür sprechen, namemtlich spart man Bandbreite, was sich in Funknetzen durch einen schnelleren Seitenaufbau bemerkbar macht. Allerdings wäre es sinnvoll, dem Kunden diese Option zu zuschalten anzubieten, anstatt heimlich, hinter seinem Rücken in den Datenstrom einzugreifen .
Noch schlimmer als die Bildkompression ist das einfügen von JavaScript Code in die Webseite, das Vodafone durchführt. Die Seite lädt so ein Script herunter, dass den “title” Text eines Bildes ändert. Der Text im “title”-Attribut eines Bildes in einer HTML-Seite wird bei den meisten Browsern als Tooltip angezeigt, wenn man über das Bild fährt. Normalerweise soll er kurz das Bild beschreiben, z.B. für Anwender, die mit einem textbasierten Browser arbeiten, oder für Anwender, die sehbehindert sind.
Hier verlässt Vodafone das “Bandbreiten-Spiel” und greift aktiv in die Gestaltung der Webseite ein. Eigenlich barrierefreie Webseiten können so für sehbehinderte Menschen komplett unbrauchbar werden.
Neben all den technischen Problemen bleibt das rechtliche und moralische: Der Internetzugangsprovider wird vom Kunden dafür bezahlt, dass er Inhalte unverändert für diesen durchs Netz transportiert. Der Nutzer darf erwarten, dass seine Datenpakete weder geöffnet noch verändert werden, ebenso wie er erwartet das die Post nicht seine Briefe öffnet und ggf. sogar den Inhalt eines Briefes verändert, ohne das der Empfänger das auch nur mitbekommt. Es handelt sich hierbei um einen massiven Eingriff in das Fernmeldegeheimnis, zu dem die Provider keinerlei Recht haben.
Hier besteht dringender Handlungsbedarf, evtl. sogar seitens des Gesetzgebers.
Mother, should I trust the gouvernment?
Nach langem hin und her ist gestern in Friedrichshafen das Pilotprojekt zur DeMail gestartet. Zeit sich einmal mit dem Für und Wider dieses Dienstes auseinanderzusetzen.
DeMail ist ein von der Bundesregierung geplanter Internetdienst, der die vertrauliche elektronische Kommunikation zwischen Bürgern, und Bürgern und Behörden zum Ziel hat. DeMail ist die Umsetzung der EU-Dienstleistungsrichtline, die unter anderem die elektronische Verfahrensabwicklung, speziell auch, aber nicht nur, zwischen Unternehmen, Bürgern und staatlichen Einrichtungen regelt.
Das DeMail Projekt stellt dabei eine Reihe von Diensten zur Verfügung, die alle auf bereits bekannten Technologien aufbauen. Kern ist ein E-MAil-Netzwerk, dass eine eindeutige und fälschungssichere Kommunikation per E-Mail sicherstellt. Dabei bekommt jeder Bürger eine eindeutige E-Mailadresse, die ihn identifiziert. Ein Konto einrichten kann nur, wer sich zuvor identifizieren kann, z.B. mit einem Pass oder Personalausweis.
Alle Mails werden digital signiert, und da der Staat als Trustcenter fungiert, kann das Vertrauen in die Echtheit der Unterschriften recht hoch gewertet werden. Die Datenübertragung erfolgt über eine verschlüsselte Verbindung, zumindest solange sich die Nachricht im Netz von DeMail befindet.
Eine Ende-zu-Ende Verschlüsselung ist nicht vorgesehen, kann vom Anwender aber genutzt werden.
Zunächst einmal ist das System eine gute Idee. Heute verwendet nur ein verschwindend geringer Teil der E-Mail Nutzer Kryptographie. Mit DeMail würden die Nutzer zur Verwendung von sicheren Techniken gezwungen, und würden das vermutlich nicht einmal merken. Allerdings ergeben sich genau aus diesem Umstand einige Fragen, die sich jeder DeMail Nutzer stellen muss:
- Die gesamte Sicherheitsinfrastruktur wird von einer staatlichen Behörde kontrolliert, die in der Vergangenheit vor allem mit seinem Hunger nach persönlichen Daten der Bürger aufgefallen ist.
- Die technische Umsetzung liegt in den Händen von T-Systems, einem Unternehmen, dass auch nicht gerade für seinen Vertrauensvollen Umgang mit Daten bekannt ist.
- Der Zugriff der Ermittlungsbehörden im Falle einer Telekommunikationsüberwachung ist explizit Bestandteil der Spezifikation.
- Anonyme Kommunikation über DeMail ist nicht möglich, jeder Nutzeraccount ist eindeutig einer Person zugeordnet. Für viele Bereiche des Internet ist gerade die Pseudo- oder Anonymität gewünscht, oder gar empfehlenswert. Ein Identitätsmanagement ist bei DeMail aber nicht vorgesehen.
- Der Staat kann im Zweifelsfall einen Großteil der geschäftlichen Bewegungen seiner Bürger beobachten. Online-Shops, Banken, Versicherungen, Online-Games oder Dating Plattformen – wer hier mitliest, erhält einen umfassenden Einblick in das Verhalten und die Lebensgewohnheiten der Bürger.
- Unternehmen wie Google, werden sich freuen, wird die Zuordnung von Daten zur Person Dank DeMail noch einfacher.
Im Endeffekt muss sich jeder überlegen, ob er DeMail nutzen will. Sollte es dem Staat aber gelingen, nur noch über DeMail ansprechbar zu sein, wird man kaum noch um die Nutzung herum kommen.
Paranoide Geister mögen vielleicht sogar mutmaßen, das die Einführung dieses Mailsystems der Anfang eines Versuchs ist, alle anderen Mailsysteme, vor allem natürlich solche mit Verschlüsselung, zu verbieten.
EU finanziert vertrauliche Studien über eine Art permanente Rasterfahnung im Internet
Auf wikileaks.org wurde ein als “vertraulich” eingestuftes Paper der Universität York veröffentlicht, das die Entwicklung einer von der EU finanzierten intelligenten Rasterfahndung beschreibt, die Blogs, Chats, Nachrichtenseiten und Social-Networks durchschnorchelt, um automatisiert Akten über Personen, Organisationen und deren Beziehungen anzulegen:
“The aim of work package 4 (WP4) is the development of key technologies that facilitate the building of an intelligence gathering system by combining and extending the current-state-ofthe- art methods in Natural Language Processing (NLP). One of the goals of WP4 is to propose NLP and machine learning methods that learn relationships between people and organizations through websites and social networks. Key requirements for the development of such methods are: (1) the identification of entities, their relationships and the events in which they participate, and (2) the labelling of the entities, relationships and events in a corpus that will be used as a means both for developing the methods.”
Nun heißt es nicht mehr die Regierung könnte uns alle an Hand unserer Datenspuren analysieren sondern sie finanziert dazu bereits Forschungsvorhaben.
Download: EU social network spy system brief, INDECT Work Package 4, 2009