Kein Spaß : Rubrik:Datenschutz

Willkommen in der Öffentlichkeit

bellerophon — 2009-10-25T16:55:00Z

Was ist wohl das gefürchtetste schwedische Staatsorgan? Die Polizei? Bewegt sich oft auf Gefährten mit genau einer Pferdestärke und sieht den Fußgängern dabei zu, wie sie bei rot über die Straße gehen.

(Bild von Eoghan OLionnain)

Der Militärische Nachrichtendienst? Belauscht nur Norweger beim Telefonsex.

Nein, die einzige staatliche Agentur, die ihre Fänge in alle Bereiche des täglichen Lebens auswirft, ist Skatteverket. Dieses Meta-Finanzamt, ein Synonym für Effizienz in positiver und negativer Wertigkeit, jagt ~~Steuerhinterzieher~~ kreative Buchhalter auf Zypern, erleichtert den Lohn um Steuern und führt Buch über die Bevölkerung. Und das mit einer gewissen Verbissenheit.

Doch anstatt in heimlich-hollywoodianischen Hinterzimmerhandwerk übt sich Skatteverket in Öffentlichkeit. In so extremer Öffentlichkeit, dass gleich alle Einkommensdeklarationen aller Bürger in Schweden jedermann zugänglich sind. Jede Person über 15 in Schweden ist zu ungefragter Mitteilsamkeit verdammt (wer meinen Namen kennt, kann das überprüfen). Neid oder Nicht-Neid gegenüber dem Nachbarn misst sich hier nicht nur in möglicherweise geleasten Luxuskarossen, sondern ist in harten Einkommensfakten überprüfbar. Dasselbe gilt für Norwegen, wo man dieses Nervengift für Datenschützer gleich auf Facebook verbreiten kann.

Erste Reaktion: geschockt! Gespräche mit Personen ambivalenterer Gemütsverfassung ergaben jedoch, dass die Öffentlichkeit von Bürgerinformationen ein wichtiger demokratischer Kontrollmechanismus ist. Schließlich ist dieselbe Information auch über alle Politiker, Politberater und Regierungsorgane öffentlich verfügbar. Eigentlich handelt es sich um eine Ausprägung der viel gelobten Transparenz, ein Wort das so viel unschöner wird, wenn man selbst transparent ist.

Aber nicht auszudenken, welch lustiges Datensammelsurium man erhält, wenn man beginnt, diese Einträge mit Facebook oder Google oder anderen ~~Datenkraken~~ datenintensiven Applikationen zu synchronisieren. Wenn man gleich vor dem Date mit einer Facebook-Bekanntschaft Kreditwürdigkeit und Einkommen überprüfen kann, zum Beispiel. Als viel wörtlichere Auslegung von "drum prüfe, wer sich ewig bindet". Oder wenn Michael mit seinem neuen BMW posiert aber die darunter eingeblendete Steuerinformation klar zeigt, dass der Knirps nur 1000 € im Monat verdient. Wie lustig! Wie lustig?

Sperrmüllsammlung

bellerophon — 2009-02-24T14:24:00Z

Die Open Net Initiative veröffentlichte eine Flashübersicht über bekannte Fälle von Websperren 2008. Erstaunlich oft liest man dort den Landesnamen des nicht-kroatischen, nicht-isländischen, nicht-mazedonischen EU-Beitrittskandidaten, den ich hier aus Furcht vor Sperrung nicht ausschreiben möchte. Ganz der EU-getriebenen ~~Entsäkularisierung~~ Modernisierung folgend, dürfen sich dort radikale Anarchistenseiten, die jedem Raum zur ~~freien~~ unkontrollierten Meinungsäußerung lassen, über Sperrung freuen: Richard Dawkins Seite, YouTube, DailyMotion und Blogger.

Doch setzt sich auch in unseren Breitengraden zunehmend die Erkenntnis durch, dass der Begriff Netzneutralität ebenso wie Gentrifizierung zum unverwechselbaren Terroristen-Vokabular gehört. Also muss man Netzsperren einführen. Zuerst mal gegen Kinderpornografie, denn das klingt gut und jeder ist dafür. Aber wenn man schon mal dabei ist, warum nicht auch gleich ~~kritische~~ ~~aufmüpfige~~ terroristische Seiten sperren? In Dänemark befindet sich die Seite dieses Transportmaschinenunternehmers auf der Sperrliste. Entweder sind die nackt abgebildeten Gabelstapler minderjährig oder irgendjemand von der Firma hat einen dänischen Beamten stark verärgert. Auch mit der Verhältnismäßigkeit soll es schon mal gehapert haben. In Großbritannien war teilweise die ganze Wikipedia nicht mehr editierbar, wegen des 30 Jahre alten Albumcovers von Virgin Killers. Gefahr im Verzug eben. In Amerika gelten Fotos von stillenden Müttern als Kinderpornografie. Und in China reicht vermutlich die Erwähnung des Begriffes "Kind" solange die umgebende politische Botschaft eine entsprechende Ausprägung besitzt.

Wo das Gefahrenpotenzial einer anarchistischen Internetnutzung geklärt wäre, bliebe noch die Designfrage. Die derzeitige norwegische Sperrseite, nennen wir sie die Weichei-Version weist den Nutzer darauf hin, dass die aufgerufene Seite gesperrt ist und bietet Kontaktmöglichkeiten zum Einspruch.

Besser ist die schon die Schäuble-Version, die den "lieben Gefährder" darauf hinweist, dass die Seite menschenverachtenden, grausaumen Terrorismus enthält.

In diesem Sinne: Fröhliches surfen!

Bloggen und Anonymität

bellerophon — 2009-02-06T13:36:00Z

Wenn man einigermaßen anonym bloggt, bekommt man von einigen Mitmenschen doch gewisse Vorwürfe um das müde Köpfchen geworfen. Ob man denn nicht zu seiner Meinung stehen könne, so ein bohrender Vorwurf, wovor man sich denn fürchte, eine einigermaßen unschuldige Frage und überhaupt sei man eine Ausgeburt der postmodernen Chimäre mangelnder Zivilcourage, erklingt der dialektische Todesstoß.

Prinzipiell besitzt das seine Richtigkeit, schreibt man doch auch Leserbriefe mit Namen und Adresse. Anderseits kann einem der leichte Hang zum Sarkasmus, die schmale Grenze von dort zum Zynismus und die Sensationslust von so manchen ~~Drecksblättern~~ Boulevardmedien den Spaß daran ziemlich verderben.

Der Blogger Axel Bringéus schrieb auf seinem doch eher unscheinbaren Wordpress-Blog einen Artikel über streikende französische Arbeiter, die ihn an einem Paris-Trip hinderten. Der Artikel schäumt nicht gerade vor klassenkämpferischer Solidarität über:

Right now I would like nothing more than for French police, whether on horseback or not, to go out to Orly Airport and bash in the heads of these disgusting French worker scumbags who might prevent me from travelling to France on Friday.

I don't want the Saltsjöbaden spirit, I want violent and bloody class warfare.

[Bild von der deutschen Invasion in Paris]

The Germanophile Frankophobe awoke in me, my eyes darkened, my ears were filled with marching music and in my mind's eye I saw these beautiful images.

Freundliche Nettigkeiten formulieren sich zwar anders, aber die sarkastische Intention ist mit etwas Gutmütigkeit auch dem ungeschulten Leser zugänglich. Die schwedische Zeitung Resumé sah das etwas anders, beförderte Bringéus in der Überschrift zuerst einmal zum Chef der Marketingabteilung von Procter & Gamble (wo er tatsächlich als Marketingassistent arbeitete) und gab dann seine Aussagen wieder.

Procter & Gamble sah sich mit "rechtsextremen Aussagen" in Verbindung gebracht, schmiss die Nerven und Bringéus raus. Dabei war er doch seiner Funktion im Unternehmen im besten Sinne treu und hat Marketing betrieben, denn angeblich gilt ja: There is no such thing as bad publicity..

Anonymität ist in solchen Fällen eben doch wie eine wärmende Decke.

Da sind wir auch schon beim Unterschied zur Tageszeitung. Weil das gedruckte Papier vergänglich ist, vergehen die Leserbriefe gleich mit. Der Google-Cache wächst jedoch genauso beständig wie manche Facebook-Profile und konsumiert ausgestreute Peinlichkeiten wie ein Ameisenstaat Nadeln um sie zu einem großen Voyeurtraumhaufen zu formen.

Das BKA und der Schlüsseldienst

bellerophon — 2009-01-06T13:04:00Z

Bisher ist mir die Tatsache entgangen, dass in Deutschland der Soziologe Andrej Holm verhaftet wurde, weil er konspirativ tätig gewesen sein soll. Um aus der Sicht des BKA konspirativ tätig zu sein, braucht es nur drei einfache Zutaten:

Gebraucht ganz böse Worte wie: Gentrification, Prekarisierung, Globalisierung oder die Ur-Beschwörungsformel des Weltterrorismus: Ungleichheit
Arbeitet als Soziologe, Philosoph oder in irgendeinem anderen Forschungsgebiet, das von unseren Gesetzeshütern mit langhaarigen, linken Umsturzprotestlern assoziiert wird
Seid "intellektuell in der Lage, anspruchsvolle Texte zu schreiben"

Die Masse noch ein bisschen verrühren mit der Teilnahme an Demonstrationen, kritischen Kommentaren oder alternativem Auftreten und schon ist unser Terrorist fertiggebacken und muss nur noch ohne Anklage in Beugehaft geschmort werden.

Doch darum geht es eigentlich nicht, sondern mehr um die Kompetenz des BKA. Desselben BKA, das die deutschen Bundesbürger zu ihrem eigenen Schutz gerne einer Permanentüberwachung aussetzen würde. Da finden die emsigen Beamten Dateien von Andrej Holm, die eventuell das Wort Prekarisierung, Gentrification oder ähnlich böse Dinge enthalten könnten. Blöd nur, dass die Dateien mit GnuPG verschlüsselt sind.

Jetzt hat das BKA das unglaubliche Glück, auch noch den Private Key in die Hände zu kriegen. Aber was haben die pösen Terroristen da gemacht? Man braucht ja glatt auch noch ein Passwort! Na schau her, wenn das schon mal kein Schuldbeweis ist, denn wer nichts zu verbergen hat... aber wegen diesen dummen liberalen Richtern und dieser antiquierten Unschuldsvermutung muss der Verdächtige das Passwort blöderweise nicht herausgeben.

Woher kriegen die Beamten nun ein Passwort? Die Analogie zum Ochsen vor dem Tor drängt sich auf und was macht man, wenn man keine Ahnung hat? Richtig, man engagiert einen externen Berater, der gerade um so viel mehr Ahnung von der Materie hat, um glaubhaft machen zu können, er kenne sich aus. In dem Fall sind die kompetenten Techniker leider an einen Wirtschaftsinformatiker geraten, der wohl etwas mehr Bedeutung auf den ersten Teil seiner Berufsbezeichnung legt, als auf den zweiten.

Verlangt also einen unverschämten Haufen Geld für eine "Machbarkeitsstudie".

Liebes BKA: So fragwürdig eure Methoden auch sind - erspart zumindest dem deutschen Steuerzahler eine Menge Geld und konsultiert Wikpedia mal zu den folgenden Begriffen: Wörterbuchangriff und Brute-Force-Methode. Besser aber noch wäre, ihr würdet Personen nicht aufgrund von Indizien verhaften, sodass ich mich nicht fürchten muss, das nächste Mal ein Konspirateur zu sein, wenn ich mein Handy zu Hause vergesse. Vielen Dank!

Mein Blog schreibt bald der Verfassungsschutz...

bellerophon — 2008-11-12T18:57:00Z

... weil er mehr über mich wissen wird, als ich selbst.

Denn in Deutschland in Kraft tretende Gesetze, vor allem im Sicherheitsbereich, haben immer etwas Beunruhigendes: Mangels eigener Ideen und wegen fehlender ~~Qualifikation~~ Eigenmotivation der österreichischen Ministerien, werden die Gesetze des großen Vorbilds gerne im Copy & Paste Verfahren nur geringfügig angepasst und übernommen.

Law and Order ~~Extremist~~ Fetischist Schäuble hat ein Gesetz durch den Bundestag getrieben, das dem deutschen Bundeskriminalamt, nicht in letzter Konsequenz, aber immer noch mit beträchtlicher Härte, weitgehende Befugnisse im Abhören und Bespitzeln der Bundesbürger verschafft.

Insofern ist es nur eine Frage der Zeit, bis wir in Österreich auch mit genehmigungsfreiem Abhörpersilschein für die Exekutive beglückt werden - traurig, dass heute unscharf definierte Floskeln wie "Gefahr im Verzug" ausreichen, um die Gewaltentrennung zumindest teilweise aufzuheben. Traurig auch, dass bei Journalisten künftig die Anwendung von Beugehaft zur Preisgabe der Identität von Informanten möglich sein wird - inwiefern mit solchen Methoden Terroranschläge verhindert werden sollen, muss erst erklärt werden.

Der schlimmste Punkt ist jedoch, dass mit dem Gesetz das BKA ermächtigt wird, den Bundestrojaner einzusetzen. Zwar nur mit richterlicher Genehmigung, aber dennoch. Staatlich verbreitete trojanische Pferde könnten sich für den Staat selbst als trojanisches Pferd erweisen; indem sie von Verbrecherorganisationen "gehijackt" werden, indem sie Löcher in das Sicherheitssystem von Computern reißen, die missbraucht werden können, wenn sie sich nicht rückstandslos löschen lassen, falls ein unschuldiges Opfer auf Schadenersatz klagt und und und... nicht zuletzt weil, wie ein SPD-Politiker sagt, (via):

ein erhebliches Risiko [besteht], dass Unverdächtige betroffen werden, wenn die Infiltration des Zielsystems von außen" (über eine Internetverbindung) bewirkt wird.

Die Folgen eines so unerforschten, unkontrollierbaren und unverhältnismäßigen Technikmissbrauchs durch den Staat sind noch gar nicht abzuschätzen und könnten in der Zukunft noch so manchem Minister Magenschmerzen bereiten.

Schäuble argumentiert, dass die Landespolizeien bereits ähnliche Befugnisse genießen würden; im Falle des Bundestrojaners, ist das schon einmal falsch. Außerdem übersieht er, dass zentrale Erfassung persönlicher Daten von Bürgern der gesamten Bundesrepublik, mehr unkontrollierte und folglich missbrauchsanfällige Macht in einer einzigen Organisation bündelt. Und außerdem, wie Dr. Fredrik Roggan von der Humanistischen Union schreibt (via):

Eine generelle Zuständigkeit des BKA für die Aufklärung terroristischer Strukturen, ohne dass konkrete Gefahren vorliegen müssten, würde eine weitreichende Parallelzuständigkeit von BKA und Landespolizeien mit parallelen Befugnissen nach sich ziehen und damit die Gefahr von doppelten Datenerhebungen in sich bergen.

Fast alle Institutionen, die wirklich etwas von der Thematik verstehen, kritisieren das Gesetz. Von der BITKOM bis zur deutschen Polizeigewerkschaft (!).

Aber offensichtlich haben auch in Deutschland viele Politiker ihre Mühe damit, auf jene kleine Stimme der Vernunft in ihnen zu hören, die sie der Versuchung des Populismus und des Machtmissbrauchs widerstehen lässt.

Mehr zum Thema auch bei ravenhorst
Update: Und beim Datenschutzblog.

Ich weiß, was du letzten Sommer gedruckt hast

bellerophon — 2008-10-23T13:03:00Z

Bei Wissen belastet habe ich einen sehr interessanten Beitrag zur Markierung von Ausdrucken gefunden, der mich gleich zum Schreiben eines Artikels motivierte.

Anscheinend versehen Drucker die Ausdrucke mit Wasserzeichen, die zwar auf dem Papier für das menschliche Auge nicht sofort sichtbar sind, aber trotzdem erlauben, Druckermodell und Seriennummern zu erkennen.

Mit der Seriennummer selbst könnte der Staat oder private Unternehmen, denen gewisse Druckerzeugnisse unangenehm sind, noch nicht viel anfangen, wenn sie nicht mit personenbezogenen Daten verknüpft werden kann. Allerdings fordert z.B. HP die Nutzer mit doch recht großer Aufdringlichkeit dazu auf, ihre erworbenen Produkte zu registrieren und sieht im Registrierungsformular sowohl Seriennummer als auch Kaufdatum gemeinsam mit persönlichen Informationen als Pflichtfelder vor.

Sollte der Nutzer seinen Drucker nicht registrieren, so wurde er vielleicht per Kreditkarte oder Bankomatkarte gekauft; wurde er im Internet bestellt, so sollten die Lieferdaten sowieso noch beim Händler gespeichert sein. Ist also bei autoritären Regimen und im Missbrauchsfall auch bei Demokratien der Wille dazu vorhanden, die Erzeuger von nicht genehmen Druckwerken in Erfahrung zu bringen, sollte das einfach bewerkstelligt werden können.

Schließlich sind die Drucker fast aller Hersteller mit dem vorgestellten Kennzeichnungsmechanismus versehen.

Doch damit nicht genug: Fast alle digitalen Helferlein, die wir alltäglich verwenden, verraten mehr über uns, als uns lieb sein kann. Es wurde lange vermutet, der Uploader eines Harry-Potter-Bands könnte ausgeforscht werden, weil seine Canon Rebel 300D einen unsichtbaren digitalen Fingerabdruck hinterließ. Die Geschichte verlief sich; ob dass daran lag, dass der Verbreiter nicht gefunden werden konnte oder daran, dass seitens des Verlags kein Interesse dazu bestand, ist unklar. Allerdings sollen manche Digitalkameras sogar ihr GPS-Modul verwenden, um ungefragt den geographischen Aufenthaltsort des Fotografen im Bild festzuhalten.

Zusätzlich existiert noch das Problem mit den RFID-Chips - um diese wurde es zwar seit 2004 um einiges ruhiger, was aber keineswegs heißt, dass die Technologie tot ist. Einfach RFID-Chips auf dieser Hypekurve von 2006 ein bisschen nach rechts schieben und man erreicht bald die Phase des stabilen Einsatzes nach dem "Tal der Enttäuschungen". Tatsächlich finden sich einige Anwendungen, über die kaum geredet wird: RFID-Chips stecken in neuen Reisepässen, in der Bahncard 100 (brachte der DB einen Big-Brother Award), in Levi Strauss Jeans und in britischen Autokennzeichen.

RFID-Chips sind eigentlich wie Barcodes, nur dass sie potenziell mehr Informationen speichern können. Sie ermöglichen eine eindeutige Identifizierung eines Produkts und - wurde es bargeldlos oder online erworben - wohl auch eine Zuordnung zu einem bestimmten Käufer. Die Crux hier ist, dass die Chips kontaktlos über Funk und damit oft wohl auch unbemerkt ausgelesen werden können.

Das große Problem insgesamt ist wohl nicht, dass diese Techniken vorhanden sind und dass die übermittelten Informationen vermutlich auch relativ einfach fälschbar sind, wenn man sich damit beschäftigt; das Problem ist, dass den meisten Personen nicht klar sein dürfte, dass ihre digitalen Erzeugnisse klar auf sie zurückverfolgbar sind. Gleichzeitig werden Menschen, die wirklich in größerem Ausmaß kriminelle Handlungen planen, diese kryptographisch wohl kaum durchdachten Mechanismen zu umgehen wissen.

Aber wie an der Serie von Kundendatenverlusten erkennbar, braucht es zuerst vermutlich wieder eine Reihe von Skandalen, bevor sich hier der Gesetzgeber zu datenschutzrechtlicher Regulierung verleiten lässt.

edit: Im Zusammenhang mit RFID-Chips verwundert dann auch die Meldung nicht.

Ärgerlicher Vorfall?

bellerophon — 2008-10-05T20:44:00Z

"Das Cola" wäre ausgetrunken.

Trotzdem soll es mit Wortassoziationen weitergehen. Zum Beispiel: Was verbindet man mit 2 Jahren? Die Kinder, die man in dem Intervall kriegen könnte, könnten in der Zeit schon aus dem frühesten Säuglingsalter entwachsen sein. Ein Neuwagen verliert innerhalb dieser Zeitspanne 33% seines Wertes. In Österreich war das die Lebensdauer von zwei der drei letzten Regierungen. Nach zwei Jahren hat man auch endlich sein ~~Prestigeprügelchen~~ iPhone vertraglich abgestottert.

Nun gut - fahren wir mit der Assoziationwortkette fort: Was ist ein "sehr ärgerlicher Vorfall"? Auf der Autobahn eine Panne zu haben, vielleicht? Den Zug zu einem Meeting zu verpassen, sicherlich. Dass der Computer abstürzt und den ungespeicherten Arbeitsaufwand von zwei Stunden brutal aus dem Arbeitsspeicher wirft, definitiv!

17 Millionen Kundendaten zu verlieren (Tagesschau, heise,
Datenschutzblog) ist hingegen kein "ärgerlicher Vorfall", wie Telekom-Chef Obermann dazu sagt. Formulierungen die mir dazu einfallen würden, wären stattdessen: "Debakel", "Disaster", "Katastrophe", "Blamage für das Management" und "Zumutung für die Kunden".

Man kann nun argumentieren, dass so etwas schon vielen Firmen passiert ist. Was allerdings wirklich nicht für das Unternehmen spricht, ist dass der "sehr ärgerliche Vorfall" bereits 2006 passiert ist und offensichtlich bis jetzt vertuscht oder geheimgehalten wurde.

Augenscheinlich hat die Deutsche Telekom, deren Image wegen ihres Stasi-Gebahrens ohnehin schon ~~angekratzt~~ ruiniert ist, es nicht nötig, über den wahren Schaden eines solchen Datendebakels nachzudenken. Den Kunden nur eine neue Rufnummer anzubieten, steht in keinem Verhältnis zum tatsächlich entstandenen Schaden, z.B. wenn man aus guten Gründen eine Geheimnummer hatte.

Angesichts ständig auftauchender Meldungen über Datenverluste sollten Regierungen weltweit über eine Novellierung des Datenschutzes auch in Haftungs- und Schadenersatzfragen nachdenken; vielmehr allerdings noch darüber, inwiefern Vorratsdatenspeicherung und datenerfassende Bundestrojaner weniger Schutz der Bevölkerung als eher Gemeingefährdung sind.

Sozialarbeit

bellerophon — 2008-09-26T13:20:00Z

Eine Studie vom Fraunhoferinstitut für Sichere Informationstechnik zeigt auf, dass die Datenschutzmechanismen der sozialen Netzwerke teilweise nicht wie beschrieben funktionieren (siehe heise, Datenschutzblog, Golem).

Einerseits überrascht das recht wenig; ist es doch a) nicht das erste Mal, dass eigentlich verborgene Daten aus Netzen wie studiVZ oder Facebook extrahiert werden konnten und b) sind Webanwendungen generell anfällig für Sicherheitsprobleme jedweder Art und stellen dies immer wieder mal eindrucksvoll unter Beweis. Das wird sich auch in Zukunft nicht vermeiden lassen, da die Angriffsvektoren auf Webanwendungen einfach viel zu zahlreich sind, ebenso wie die notwendigen Sicherungsmaßnahmen, die beim Implementieren übersehen werden können.

Deswegen ist es vor allem wichtig, dass die Nutzer nicht nur ein gesundes Bewusstsein für Datenschutz an den Tag legen, sondern auch den gebotenen Funktionen nicht blind vertrauen. Will man nicht, dass ein Foto von einem potenziellen Arbeitgeber gesehen wird, ist die einzige 100%ig sichere Methode, dieses gar nicht im Internet zu veröffentlichen!

Die PDF des Fraunhofer-Instituts empfiehlt zusätzlich, soziale Netzwerke auch stets in genau einer Rolle pro Profil zu verwenden, also zum Beispiel nur für private Freundschaften oder nur für Geschäftliches. Für den privaten Gebrauch sozialer Netzwerke empfiehlt sich auch die Nutzung eines Pseudonyms oder zumindest einer nicht einfach auffindbaren Namensabkürzung.

Dieses Pseudonym sollte allerdings nicht in anderen Foren oder Blogs zur (eventuell noch heiklen) Meinungsäußerung verwendet werden; generell sollten die im Internet hinterlassenen Einzelspuren so schlecht miteinander verknüpfbar sein, wie möglich.

Prinzipiell sind all diese Dinge zwar nicht neu, aber durch konstante Medienpräsenz der Problematik wird vielleicht ein besseres Bewusstsein über den tatsächlichen Wert personenbezogener Daten geschaffen und die Gefahren, die im sorglosen Umgang damit entstehen. Von diesem Gesichtspunkt her kann ich die Studie nur begrüßen.

Verbesserte Köder

bellerophon — 2008-09-04T08:34:00Z

Mittlerweile darf man durchaus paranoid werden. Ich pflege generell einen vorsichtigen Umgang mit meinen persönlichen Daten im Netz - trotzdem erhielt ich heute folgende E-Mail:

(Klicken für Großansicht)

Sieht auf den ersten Blick aus wie das normale Phishing-Mail einer russischen Geldwäscherbande (Russian Business Network?). Was daran aber so anders ist als an bisherigen ähnlichen Mails sind folgende Eigenschaften der Mail:

Die E-Mail ist persönlich an mich addressiert, obwohl mein Name in der E-Mailadresse nicht vorkommt. Irgendwoher muss der Absender meinen Namen kennen.
Die Mail preist im Betreff explizit Jobangebote für den Raum Deutschland/Österreich an. Folglich wurde die Mail vermutlich nur an Personen in dem Raum verschickt, was Vorwissen über die Empfänger voraussetzt.
Die erwähnte Firma existiert wirklich, zumindest hat sie einen Webauftritt (LesProm-Seite). Anscheinend ist sie auf den Vertrieb von Holz spezialisiert.
Alle Felder im Mailheader (Envelope-To etc.) zeigen tatsächlich auf meine Empfangsadresse.
Der Name des Mailagenten passt zum Jobangebot.

Bleiben zwei Schlüsse daraus: Entweder eine echte Firma namens LesProm verschickt wirklich massenhaft Jobangebote an Personen aus Österreich und Deutschland und stellt sich dabei nur so ungeschickt an, dass es zwangsläufig wie ein großangelegter Betrugsversuch aussieht. Oder Internet-Kriminalität erreicht eine bisher nie dagewesene Qualität.

In der aktuellen Ausgabe des iX wird die Möglichkeit von Datenmissbrauch über soziale Netzwerke näher beschrieben. Konkret geht es darum, wie man möglichst genaue Personenprofile durch automatisches Aggregieren von verschiedenen öffentlich zugänglichen Informationsquellen (soziale Netzwerke, Fotodienste, Telefonbücher) erstellen kann. Also quasi wie es der Dienst 123people vormacht. Die Kernaussage des Artikels ist, dass es gilt, möglichst viele persönliche Eigenschaften einer Person in Erfahrung zu bringen um gefälschte Anfragen glaubwürdiger erscheinen zu lassen. Wenig überraschend ist die Aussage, dass die Glaubwürdigkeit einer betrügerischen Kontaktaufnahme mit der Anzahl an persönlichen Attributen, die darin vorkommen, steigt.

Anhand des hier gezeigten Mails sieht man aber schnell, wie richtig diese Aussage ist. Stünden in der Mail nicht die relativ wenigen persönlichen Attribute von mir (Name, Land in dem ich wohne) hätte ich sie gleich gelöscht. Andererseits, so habe ich sie zumindest bei dnsprotect als Missbrauch angezeigt. Und ich sehe das als Motivation, in Zukunft mit der Preisgabe meiner persönlichen Daten im Internet noch vorsichtiger zu sein.

Privatisierungen

bellerophon — 2008-08-29T08:22:00Z

Im (von Microsoft Österreich betriebenen) Vistablog wurde unlängst über die InPrivate Funktion vom Internet Explorer 8 berichtet.

Prinzipiell ist diese Funktion sehr begrüßenswert, weil sie Cookies auf Sessions beschränkt, temporäre Dateien nach dem Surfen löscht und keine Formulardaten speichert - also eigentlich das macht, was ohnehin in jedem Browser von Menschen ~~ohne größere exhibitionistische Neigung~~ mit Bedürfnis nach Privatsphäre Standardeinstellung sein sollte.

Vor allem hervorzuheben aber ist der Schutz, den die InPrivate-Funktion gegen Analysedienste wie Google Analytics bietet - hier muss ich als ansonsten begeisterter Firefox-Nutzer einmal ganz ehrlich hinzufügen, dass die Mozilla Foundation aufgrund der inoffiziellen Verflechtung mit Google (siehe z.B. hier) leider gar nie in der Position wäre, diesen vielseitig eingesetzten Spion zu blocken.

Bedenklich ist andererseits die folgende Aussage über die im Vistablog verwendeten Tracking-Cookies:

Es werden hier mehrere Cookies gesetzt, unter anderem von Google Analytics. Das wird demnächst ersetzt werden durch Microsoft Adcenter.

Es bleibt abzuwarten, ob der neue Internet-Explorer im InPrivate-Modus auch die Microsoft-eigenen Tracking-Dienste blockt.

Trotzdem darf man gespannt sein, inwieweit die Verfügbarkeit ordentlicher Datenschutztechnik in einem Browser mit dem Marktanteil des Internet Explorers erstens die Nachahmung durch weitere Browseranbieter inspiriert und zweitens das dringend notwendige Bewusstsein für Datenschutz bei Otto-Normalnutzer weckt.

Die folgende Diskussion darüber im Vistablog möchte ich euch aber nicht vorenthalten:

Stephan meinte am 26. Aug 2008 15:45
Wenn du es nicht sagst, sage ich es, im Internet nennen sie diesen Modus den PORNO Modus. Nur bringt der ganze Porno Modus gar nichts, wenn man vor lauter Porno gucken nicht merkt wer hinter einem steht :D

Antwort vom Autor des Blogs:

Genau deswegen sitze ich mit dem Rücken zur Wand.

Anmerkung: Natürlich sollte der Modus aber nicht dazu missbraucht werden, dass man(n) im Büro Pornos anschauen kann... ;-)

Der österreichische Weg

bellerophon — 2008-07-31T15:07:00Z

Zunächst schockierte mich die Aussage auf futurezone, dass der ORF in China über kein "abgesichertes Netz" (sprich VPN) verfüge.

Das würde nämlich bedeuten, dass der Anteil der Rundfunkgebühren, der vom ORF für Netzwerkadministratoren ausgegeben wird, ziemlich sinnlos veranlagt wäre.
Die folgende Aussage eines Nutzers im dazugehörigen Diskussionsforum dazu entsprach auch meiner Meinung:

ein openvpn auf port 443 betreiben im gateway mode und die sache ist gegessen. hat der orf keine menschen, die sowas grundlegendes einrichten können?

Viel besser war aber noch die Antwort, wohl von einem ORF-Redakteur, die mir schließlich ein breites Schmunzeln über das Gesicht zauberte:

Hierzu können wir nicht Stellung
nehmen, da der Betrieb von VPNs in China nicht erlaubt ist. Möchte nur hinzufügen, dass das Telefonat mit der ORF-Kollegin ebenso in einem "secure mode" geführt wurde wie der vorangegange Mailwechsel ;)

Das ist genau die richtige Einstellung! Wenn Peking meint, es müsse den Internetzugang der Journaille beschränken, dann müssen sich eben Mittel und Wege finden lassen, die Beschränkungen zu umgehen. Dass die österreichischen Journalisten nicht lautstark umher posaunen, sie hätten nun aber freien Internetzugang (über eine sehr einfache Lösung wie VPN), wie es die Deutschen tun, ist sogar noch besser. Zumal die deutschen Redakteure damit riskieren, dass die Route zum VPN-Endpunkt gesperrt wird oder IPSec-Pakete gefiltert werden.

Das spitzbübische Unterwandern sinnloser Regularien ohne großes Getöse hingegen, hat in Österreich wohl schon seit der K+K-Zeit Tradition. Umso beruhigender, dass sich dieses Verhalten auch auf Länder wie China und auf Anliegen wie die Informationsfreiheit übertragen lässt.

Mach mal was...

bellerophon — 2008-07-30T12:39:00Z

Oft blogge ich ja über das mangelnde Bewusstsein der Nutzer für Datenschutz im Internet - ohne bisher jemals konkrete, benutzerfreundliche Verbesserungsvorschläge bezüglich des Surfverhaltens gemacht zu haben. Höchste Zeit das nachzuholen!

Trackliste

Zuerst will man natürlich ungestört im Web surfen ohne ständig von Trackingdiensten erfasst zu werden. Hier helfen die Tipps vom Datenschutzzentrum Schleswig Holstein, für fortgeschrittene Nutzer führt auch das Austauschen der hosts Datei zum Erfolg und blockiert relativ unbemerkt eine große Menge an Tracking-Aufrufen (außer es läuft ein lokaler Webserver).

Wem das alles zu kompliziert ist: schon konservative Cookie-Einstellungen (z.B. Löschen beim Beenden der Sitzung) helfen gegen das Erfassen von Webverhaltensmustern.

Add me!

Aufgrund der Verfügbarkeit zahlreicher nützlicher Addons ist zur Zeit der Firefox ein gut geeigneter Browser zum Schutz der persönlichen Daten.
Auf der Addons-Seite kann man z.B. in der Kategorie Datenschutz und Sicherheit stöbern. NoScript blockiert die JavaScript-Ausführung von Domains, die nicht explizit dazu freigegeben sind, das neuere und vielleicht komfortablere Addon YesScript lässt Domains explizit blockieren, führt JavaScript-Code aber standardmäßig aus. Adblock Plus blockiert nicht nur lästige Werbung sondern auch allzu aufdringliche Tracker.

Realsozialismus

Wer sich viel auf sozialen Netzwerken tummelt und sich dazu offener Netze, wie z.B. des WLANs im Café bedient, den könnte vielleicht stören, dass die potenziell private Kommunikation von jedem mitgeschnitten werden kann. Entweder verwendet man dann ein VPN zur Verschlüsselung aller übertragenen Daten oder man greift auf das experimentelle Firefox-Addon Facebook Secure zurück, um z.B. die Verbindung zu Facebook mit SSL abzusichern.

Trotzdem sollte man aber Profile in sozialen Netzwerken möglichst nur unter einem Pseudonym anlegen und für den Austausch mit Freunden den Nachrichtendienst und nicht die (öffentlich einsehbare) Pinwand benutzen. Oder man überlässt nur einem sehr kleinen Kreis von real bekannten Freunden Zugriff auf das eigene Profil.

Eine ausführliche Erläuterung des grundlegenden Problems sozialer Netzwerke und potenzieller Lösungsmöglichkeiten findet sich u.a. hier.

Zufallsbekanntschaft

Auch wenn die Verbindung zu Webseiten verschlüsselt ist, heißt das noch nicht zwangsläufig, dass die übertragenen Daten sicher vor dem Abhören durch Dritte sind. Wegen der lange bestehenden Sicherheitslücke in Debian OpenSSL-Paketen, kann es vorkommen, dass die privaten Schlüssel bei manchen Zertifikaten leichter zu erraten sind, als sie es sein dürften.
Kann ein Angreifer diese nun erraten, kann er die Identität des echten Zertifikatsbesitzers fälschen.

Leider erkennen die Webbrowser solche schwachen Zertifikate noch nicht und das Vorhängeschloss in der rechten unteren Fensterecke kann sich als unverhofft trügerisch erweisen. Für den Internet-Explorer gibt es aber ein Werkzeug, das die angreifbaren Zertifikate erkennt; dieselbe Aufgabe erledigt die Firefox-Erweiterung SSL-Blacklist.

Datenschutz nach Lessing

Diese wenigen Schritte sollten dabei helfen, einen grundlegenden Schutz, privater, persönlicher Daten im Web zu gewährleisten. Allerdings blieb das effektivste und letztlich das einzige dauerhaft wirksame Mittel dazu bisher unerwähnt: Gesunder Menschenverstand. Und Nachdenken bevor man tippt oder klickt.

Analytisch denken

bellerophon — 2008-07-12T09:41:00Z

Die Datenschutz- und Verbraucherorganisationen sind erwacht und warnen die Endanwender vor der Problematik der Tracking-Dienste im Internet. Hauptsächlich richtet sich die Kritik dabei gegen Google-Analytics. Zuerst konnte man eine Auswertung der Verbreitung auf Futurezone lesen, dann fand man Hinweise zum Statistiktool - erfreulicherweise - im größeren Kontext in der Konsumenten-Zeitschrift der Arbeiterkammer und auf der Webpräsenz des Datenschutzzentrums von Schleswig-Holstein, von wo die Thematik dann in die Blogosphäre überschwappte.

Es ist äußerst positiv, dass auf die Gefahr einer seitenübergreifenden Nutzerverhaltenserfassung aufmerksam gemacht wird, trägt es doch sicher zur Bewusstseinsbildung bei Nutzern und Seitenbetreibern bei (ich weiß: twoday.net verwendet auch Google-Analytics, aber daran kann ich im Moment leider nichts ändern).

Allerdings geht im derzeitigen Medienrausch rund um Google-Analytics unter, dass das Statistiktool nicht allein die große Gefahr für Datenschutz im WWW ist, sondern nur eine Ausprägung einer viel größeren Problematik.
Erstens ist das Google-Tool zwar sicher eines der am weitesten verbreiteten Statistiktools im Web, aber bei weitem nicht das einzige. Die hosts-Datei zum Umleiten bekannter Tracking-Aufrufen, die hier heruntergeladen werden kann, enthält alleine 18914 Zeilen!
Zweitens - und das wiegt viel schwerer - besteht bei den meisten Nutzern immer noch zu wenig Bewusstsein, dass die Datenspur, die sie im WWW hinterlassen, mehr über sie verrät, als ihnen lieb sein kann.

Auf andere Weise ist nicht zu erklären, dass viele Anwender persönliche Details für jedermann zugänglich in sozialen Netzwerken hinterlegen, Metainformationen zu Personen auf Fotos verlinken, in Amazon Rezensionen zu gekauften Produkten unter ihrem Realnamen schreiben und Fotoblogs über ihren privaten Tagesablauf erstellen.

Solange hier nicht auch die Nutzer mehr Vorsicht im Umgang mit ihren eigenen Daten erkennen lassen, bleiben solche punktuellen Kampagnen vermutlich nur ein Tropfen auf den heißen Stein.

Und ihr beschwert euch über Stalking?

bellerophon — 2008-05-29T19:00:00Z

Je mehr sich die Hiobsbotschaften über Datenschutzvergehen häufen, wie in etwa die Bespitzelung von Journalisten durch die deutsche Telekom, desto mehr ist man geneigt, niederschwelligere Problematiken auszublenden.

Nachdem derzeit ohnehin, von der Öffentlichkeit leider weitgehend ignoriert, in den Medien über Bespitzelung, Totalüberwachung und ehemalige Stasi-Mitarbeiter berichtet wird, ist es wieder mal an der Zeit sich kleinen Themen zu widmen. Klein im Sinne von schlecht durch spektakelaffine Medien verwertbar, nicht im Sinne von unbedeutend: Dem Bewusstsein für Datenschutz im Alltag.

Das deutsche Studentenportal StudiVZ (und die Anhängsel MeinVZ und SchülerVZ) befindet sich zwar schon im gefühlten Abstieg, allerdings sollte ich auch auf die Datenproblematik darin eingehen, wo ich doch schon vor kurzem über Facebook gelästert habe.

Viel zu viele Menschen geben leider viel zu viele Informationen über sich recht offenherzig preis ohne darüber nachzudenken was damit geschehen könnte; die Datenschutzwerkzeuge von StudiVZ, tendenziell leider wenig genutzt, geben zwar dem Nutzer die Möglichkeit, Spanner, Stalker und übereifrige, nicht ganz nach den Regeln spielende, Personalchefs großteils vom Zugriff auszuschließen.

Allerdings denken die wenigsten Nutzer darüber nach, inwiefern StudiVZ selbst an den Daten interessiert sein dürfte. Das Portal wurde bereits 2007 vom großen Medienunternehmen Holtzbrink-Networks übernommen. Zu Holtzbrink gehören neben einigen Karrierenetzwerken unter anderem der Werbekeiler Direct Relation GmbH und die Online-Marketing und SEO-Firma Booming GmbH.
Honi soit qui mal y pense.

Dass die persönlichen Daten der StudiVZ-Nutzer nicht ganz nebensächlich für die Verlagsgruppe sein dürften, zeigen schon die AGBs. Unter anderem heißt es:

Die Angabe von Künstlernamen, Pseudonymen oder sonstigen Phantasiebezeichnungen ist nicht gestattet. Ebenso untersagt ist es, einen Account mit fremden oder sonst unzutreffenden Angaben anzumelden

Positiv überrascht war ich vorerst von folgendem Versprechen:

Mit der erfolgreichen Exmatrikulation eines Nutzers wird der Account des Nutzers und alle personenbezogenen Daten des Nutzers dauerhaft gelöscht.

Allerdings besteht kaum die Möglichkeit zu überprüfen, ob die Daten auch tatsächlich aus dem Fundus sämtlicher Holtzbrink-Teilgesellschaften verschwinden bzw. ob mit Löschen überhaupt eine DELETE-Operation auf der Datenbank gemeint ist oder nur ein UPDATE auf einer isActive-Spalte (was heißen würde, dass die Daten immer noch abgegriffen werden könnten).

In den Regeln zu StudiVZ klingen die Bestimmungen schärfer, als in den AGBs. Unter anderem ist dort zu lesen:

Wenn auf der Profilseite ein Profilbild hochgeladen wird, muss der Nutzer darauf erkennbar sein.

Zusätzlich:

Profile, die eine andere als die tatsächliche Identität des Nutzers widerspiegeln, werden ohne Verwarnung bereits beim ersten Verstoß gelöscht.

Ganz so ernst kann es StudiVZ mit der Durchsetzung der Bestimmungen dann allerdings doch nicht meinen, wenn man die Anzahl an ganz offensichtlich an den Haaren herbeigezogenen Spaßidentitäten betrachtet. Auch muss sich StudiVZ schon allein wegen des europäischen Unternehmenssitzes in ein engeres Datenschutzkorsett pressen, als Facebook.

Dennoch sollten sich Nutzer überlegen, hier vielleicht ein bisschen zurückhaltender bezüglich ihres Datenexhibitionismus zu sein. Schon alleine das Annotieren sämtlicher (teilweise hochgradig peinlicher) Fotos in den Nutzeralben mit den Realnamen der abgelichteten Personen, ist symptomatisch für einen ausgeprägten Drang, Privatsphäre dem öffentlichen Voyeurismus zu überlassen.

Die Moral des Westens

bellerophon — 2008-05-18T17:17:00Z

Allzu gerne kritisieren wir Demokratie und Menschenrechte in Russland, China, den Iran und anderen bösen Länder, die der wirtschaftlichen Vormachtstellung des Westens gefährlich werden könnten; vor allem unsere pseudoobjektiven Medien inszenieren sich nur allzu gerne als meinungsbildende Speerspitze kollektiver Schadenfreude und Überheblichkeit.

So konnte man in verschiedenen Zeitungen von Entschädigungen für russische Gefangene lesen (z.B. im Bieler Tagblatt), als Folge des Vorgehens von Spezialeinheiten, die zur Befriedigung ihres latenten Sadismus auf wehrlose Gefangene einprügelten.

Diese Berichte sollen nicht relativiert werden, denn Insasse eines russischen Gefängnisses zu sein, entspricht sicher nicht der Idealvorstellung eines Erholungsurlaubes.
Es ist auch wahrscheinlich, dass die medialen Schilderungen hier im Kern zutreffen, doch sollte man seine Empörung darüber auch als Bürger eines EU-Landes nicht zu heftig äußern, denn die omnipräsente Annahme, "bei uns" gäbe es so etwas nicht, ist irrig.

Nun, "bei uns" können 8500 personenbezogene Daten von Häftlingen anscheinend einfach von einem Justizwachebeamten öffentlich gemacht werden (Profil-Artikel), ohne dass sich das Justizministerium bemüßigt fühlen würde, die Öffentlichkeit über diese Kleinigkeit zu informieren. Bekannt wurde dieser gewaltige Datenmissbrauch durch ausdauernde Versuche eines Mithäftlings, dem Justizministerium darüber zu berichten. Das Interessante daran: Von allen in Folge verteilten Haftstrafen, erhielt der Häftling, der dem Justizministerium den Datendiebstahl mitteilte, mit Abstand die längste.
Zivilcourage und Rechtsbewusstsein belohnt der österreichische Staat nämlich ganz offensichtlich mit 14 Monaten unbedingter Haft.

Nicht gerade der Maßstab, den man an das Idealbild eines Rechtsstaates anlegen würde. Wessen Vertrauen in das österreichische Rechtssystem schon durch diesen Umstand leicht angekratzt wurde, dessen Misstrauen in den ~~korrupten Dekadenzhaufen~~ Rechtsapparat wird sich steigern, wenn er oder sie lesen muss, dass Briefe des Häftlings an die Volksanwältin Terezija Stoisits auf Weisung von Sektionschef Neider zurückgehalten wurden. Begründung: Man wolle die Abgeordnete nicht mit dem Blödsinn eines Häftlings belasten.
Ganz ähnlich wie in China berichten bisher auch die staatlichen Medien nicht über den Vorfall (siehe orf.at).

Wenn das nicht Vorfälle sind, die in das Alltagsbild einer Diktatur passen, was dann? Wer sind wir, dass wir Maßstäbe an Demokratie und Rechtsauffassung anderer Länder stellen, wenn bei uns solche Dinge passieren?

Schade, dass die verantwortlichen Personen nicht mehr im Amt sind und deswegen auch nicht ~~öffentlich am Pranger bespuckt~~ zur Rechenschaft gezogen werden können. Doch manchmal scheint es zumindest geringfügige ausgleichende Gerechtigkeit zu geben.