Eine Studie vom Fraunhoferinstitut für Sichere Informationstechnik zeigt auf, dass die Datenschutzmechanismen der sozialen Netzwerke teilweise nicht wie beschrieben funktionieren (siehe heise, Datenschutzblog, Golem).

Einerseits überrascht das recht wenig; ist es doch a) nicht das erste Mal, dass eigentlich verborgene Daten aus Netzen wie studiVZ oder Facebook extrahiert werden konnten und b) sind Webanwendungen generell anfällig für Sicherheitsprobleme jedweder Art und stellen dies immer wieder mal eindrucksvoll unter Beweis. Das wird sich auch in Zukunft nicht vermeiden lassen, da die Angriffsvektoren auf Webanwendungen einfach viel zu zahlreich sind, ebenso wie die notwendigen Sicherungsmaßnahmen, die beim Implementieren übersehen werden können.

Deswegen ist es vor allem wichtig, dass die Nutzer nicht nur ein gesundes Bewusstsein für Datenschutz an den Tag legen, sondern auch den gebotenen Funktionen nicht blind vertrauen. Will man nicht, dass ein Foto von einem potenziellen Arbeitgeber gesehen wird, ist die einzige 100%ig sichere Methode, dieses gar nicht im Internet zu veröffentlichen!

Die PDF des Fraunhofer-Instituts empfiehlt zusätzlich, soziale Netzwerke auch stets in genau einer Rolle pro Profil zu verwenden, also zum Beispiel nur für private Freundschaften oder nur für Geschäftliches. Für den privaten Gebrauch sozialer Netzwerke empfiehlt sich auch die Nutzung eines Pseudonyms oder zumindest einer nicht einfach auffindbaren Namensabkürzung.

Dieses Pseudonym sollte allerdings nicht in anderen Foren oder Blogs zur (eventuell noch heiklen) Meinungsäußerung verwendet werden; generell sollten die im Internet hinterlassenen Einzelspuren so schlecht miteinander verknüpfbar sein, wie möglich.

Prinzipiell sind all diese Dinge zwar nicht neu, aber durch konstante Medienpräsenz der Problematik wird vielleicht ein besseres Bewusstsein über den tatsächlichen Wert personenbezogener Daten geschaffen und die Gefahren, die im sorglosen Umgang damit entstehen. Von diesem Gesichtspunkt her kann ich die Studie nur begrüßen.

Was dabei herauskommt, wenn man ein Online-Tool zum Übersetzen seiner Speisekarte verwendet, konnte ich unlängst in Spanien sehen. So kam es, dass die Karte mir auf einmal ungewöhnlicherweise Befehle erteilte. Zuerst wies sie mich an, fischen zu gehen:


(Klicken zum Vergrößern)

Das war noch relativ nahe liegend, befanden wir uns doch in einem Fischrestaurant. Doch ich weiß nicht, ob es an meinen überhöhten Erwartungen lag oder am Umstand, dass andere Gäste am Tisch bedient wurden; auf jeden Fall, hätte ich mir doch eher gedacht, dass das Restaurant das vielleicht zum Bestellzeitpunkt schon erledigt haben könnte.

Allerdings offenbarte ein Blick weiter nach unten im Menü, dass wir offensichtlich die Restaurantvorschriften zur Körperpflege nicht erfüllten. Rasiert hatte ich mich ja... aber mit Seenkrebssobe? Was soll das überhaupt sein, eine Sobe? Das Resultat einer bisher mir bisher unbekannten Lautverschiebung?


(Klicken zum Vergrößern)

Das soll jetzt übrigens keine Schimpftirade gegen das kleine, großteils unschuldige Restaurant sein... die Fischgerichte dort sind äußerst wohlschmeckend. Aber vielleicht sollte man unüberprüfte Online-Übersetzungen doch nicht einfach so auf die Speisekarte setzen.

...und weil es so witzig ist:



(Youtube-Video als Link)

Thomas Knapp hat in seinem Blog eine Wahlempfehlungsaktion gestartet. Weil ich das eine gute Idee finde, möchte ich euch animieren, euch daran zu beteiligen.

Ich selbst kann mich allerdings nicht vollinhaltlich hinter eine gewisse Partei stellen, weil mir die dazu notwendige Begeisterung für die Programme der österreichischen Parteien fehlt.

Weil ich auch Nichtwählen, ungültiges Wählen und das Abstimmen für unbedeutende Kleinparteien als wenig zielführend erachte, beschränke ich mich darauf keine Wahlempfehlung abzugeben.

Eine Bitte maße ich mir aber schon an: Wählt doch nicht diese rechten Populisten, vor allem meine ich damit BZÖ und FPÖ. Weder bringen die Österreich vorwärts, noch können sie ihre unrealistischen Versprechen umsetzen. Und ihr Programm widerspricht den Menschenrechten, dem Humanismus und dem friedlichen Zusammenleben in unserem Land und schafft Probleme wo vorher keine waren (vielleicht wäre das von maschi angeregte Wahlsystem doch nicht so schlecht).

Dann bin ich mal gespannt auf die Wahlempfehlungen von anderen Bloggern!

Wer glaubte, Hermann Nitsch würde kranke dem Laien schwer zugängliche Kunst schaffen, sollte man einen Blick auf folgenden Beitrag von Thumbsucker werfen. Vor allem die Geschichte mit dem verhungernden Hund ist sehr grenzwertig und erfüllt sicher den Tatbestand der Tierquälerei.

Dass von den Besuchern niemand auf die Idee kam, den Hund zu füttern ist zwar einerseits krass. Andererseits muss man darüber nachdenken, was man selbst machen würde, wenn man so ein "Exponat" in einem Museum betrachten würde. Würde man eingreifen? Oder würde man meinen, die Aussteller wüssten schon was sie tun und es wäre besser, das "Exponat" so zu belassen wie es ist? Ich weiß noch nicht, wie ich diese Frage für mich beantworte.

Update: Hier findet sich eine recht gut argumentierte Gegendarstellung.

Mittlerweile darf man durchaus paranoid werden. Ich pflege generell einen vorsichtigen Umgang mit meinen persönlichen Daten im Netz - trotzdem erhielt ich heute folgende E-Mail:


Sieht auf den ersten Blick aus wie das normale Phishing-Mail einer russischen Geldwäscherbande (Russian Business Network?). Was daran aber so anders ist als an bisherigen ähnlichen Mails sind folgende Eigenschaften der Mail:

• Die E-Mail ist persönlich an mich addressiert, obwohl mein Name in der E-Mailadresse nicht vorkommt. Irgendwoher muss der Absender meinen Namen kennen.
• Die Mail preist im Betreff explizit Jobangebote für den Raum Deutschland/Österreich an. Folglich wurde die Mail vermutlich nur an Personen in dem Raum verschickt, was Vorwissen über die Empfänger voraussetzt.
• Die erwähnte Firma existiert wirklich, zumindest hat sie einen Webauftritt (LesProm-Seite). Anscheinend ist sie auf den Vertrieb von Holz spezialisiert.
• Alle Felder im Mailheader (Envelope-To etc.) zeigen tatsächlich auf meine Empfangsadresse.
• Der Name des Mailagenten passt zum Jobangebot.

Bleiben zwei Schlüsse daraus: Entweder eine echte Firma namens LesProm verschickt wirklich massenhaft Jobangebote an Personen aus Österreich und Deutschland und stellt sich dabei nur so ungeschickt an, dass es zwangsläufig wie ein großangelegter Betrugsversuch aussieht. Oder Internet-Kriminalität erreicht eine bisher nie dagewesene Qualität.

In der aktuellen Ausgabe des iX wird die Möglichkeit von Datenmissbrauch über soziale Netzwerke näher beschrieben. Konkret geht es darum, wie man möglichst genaue Personenprofile durch automatisches Aggregieren von verschiedenen öffentlich zugänglichen Informationsquellen (soziale Netzwerke, Fotodienste, Telefonbücher) erstellen kann. Also quasi wie es der Dienst 123people vormacht. Die Kernaussage des Artikels ist, dass es gilt, möglichst viele persönliche Eigenschaften einer Person in Erfahrung zu bringen um gefälschte Anfragen glaubwürdiger erscheinen zu lassen. Wenig überraschend ist die Aussage, dass die Glaubwürdigkeit einer betrügerischen Kontaktaufnahme mit der Anzahl an persönlichen Attributen, die darin vorkommen, steigt.

Anhand des hier gezeigten Mails sieht man aber schnell, wie richtig diese Aussage ist. Stünden in der Mail nicht die relativ wenigen persönlichen Attribute von mir (Name, Land in dem ich wohne) hätte ich sie gleich gelöscht. Andererseits, so habe ich sie zumindest bei dnsprotect als Missbrauch angezeigt. Und ich sehe das als Motivation, in Zukunft mit der Preisgabe meiner persönlichen Daten im Internet noch vorsichtiger zu sein.

Ich kann es kaum erwarten bis der Large Hadron Collider läuft, die Welt nicht untergegangen ist und endlich mehr über dieses mysteriöse Higgs-Boson bekannt wird. Und mich würde interessieren ob diese elende komplexe gLite-Middleware mit der mich eine gewisse Hassliebe aufgrund meiner intensiveren fachlichen Beschäftigung mit ihren Internas verbindet, bei dem ganzen Experiment mitspielt.

Weil der LHC nämlich mehr Daten als ein Rechner speichern kann schneller erzeugt als er sie verarbeiten könnte, müssen diese auf einem geographisch verteilten Rechnerverbund (alias Grid) gespeichert werden. Und ob dieses Datagrid die Petabytes von im LHC anfallenden Informationen mit seinen lose gekoppelten, getrennt entwickelten (und das ist das schlimmste: teilweise auf Webservices basierenden) Komponenten dann auch ordentlich verarbeitet, ist wohl genauso fraglich, wie ob es das Higgs-Boson denn nun gibt oder nicht.

Will man eine größere Datei abspeichern, braucht man Castor als Low-Level API, SRM zur Speicherplatzreservierung, LFC zur Registrierung einer damit verbundenen UID und/oder eines logischen Bezeichners und GridFTP zur tatsächlichen Übertragung. Ach ja, und einen gültigen VOMS-Proxy, damit man sich gegenüber dem Storage-Server authentifizieren kann. Damit hätte man allerdings erst die Datei im Datagrid indiziert abgespeichert, aber sie noch nicht im Rahmen eines Jobs verwendet.

Natürlich stammt die Komponenten keineswegs aus einer Hand. Castor wurde am CERN selbst entwickelt, SRM stammt von einer Reihe von Institutionen (u.a. CERN, Fermilab, LBNL und das italienische Nuklearforschungsinstitut), LFC kommt wiederum vom CERN selbst und GridFTP entstand im Rahmen von Globus und ist damit mehr oder weniger direkt auf das Argonne National Laboratory in Chicago zurückzuführen.

Die dazugehörigen Kommandozeilenwerkzeuge laufen ausschließlich unter Scientific Linux, was für Nutzer anderer Betriebssysteme bedeutet: APIs verwenden oder hoffen, dass jemand anders das Higgs-Boson findet. Wäre schön und gut, wären die APIs denn auch schön einheitlich. SRM ist ein Webservice und bietet somit eine SOAP-Schnittstelle, GridFTP ist über eine Java-API und eine Python-API ansprechbar, während LFC nur eine C-Bibliothek als offizielle Interaktionsmöglichkeit vorzuweisen hat. Intern verwendet der LFC ein proprietäres, binäres RPC-Protokoll (!). Immerhin ist die C-Bibliothek auch im Quellcode vorhanden.

So kann man, wenn man viel Zeit oder wie ich keine andere Möglichkeit hat, die Kommunikationsschritte des Protokolls auch in einer anderen Programmiersprache abschreiben nachprogrammieren. Angesichts dessen verwundert es eher, dass das Datagrid überhaupt funktioniert, als dass der Start des LHC öfters verschoben werden musste. "So gerade" schafft man es aber schon damit umzugehen, wenn man ein bisschen Ärger nicht scheut.

Trotzdem bin ich immer noch skeptisch, ob ich mir den kolportierten Weltuntergang tatsächlich schon für den 10. September vormerken sollte.

Aber zum Glück kann man sich die Wartezeit bis dahin noch mit dem kongenialen LHC-Rap vertreiben:



(Youtube-Video als Link)

Im (von Microsoft Österreich betriebenen) Vistablog wurde unlängst über die InPrivate Funktion vom Internet Explorer 8 berichtet.

Prinzipiell ist diese Funktion sehr begrüßenswert, weil sie Cookies auf Sessions beschränkt, temporäre Dateien nach dem Surfen löscht und keine Formulardaten speichert - also eigentlich das macht, was ohnehin in jedem Browser von Menschen ohne größere exhibitionistische Neigung mit Bedürfnis nach Privatsphäre Standardeinstellung sein sollte.

Vor allem hervorzuheben aber ist der Schutz, den die InPrivate-Funktion gegen Analysedienste wie Google Analytics bietet - hier muss ich als ansonsten begeisterter Firefox-Nutzer einmal ganz ehrlich hinzufügen, dass die Mozilla Foundation aufgrund der inoffiziellen Verflechtung mit Google (siehe z.B. hier) leider gar nie in der Position wäre, diesen vielseitig eingesetzten Spion zu blocken.

Bedenklich ist andererseits die folgende Aussage über die im Vistablog verwendeten Tracking-Cookies:

Es werden hier mehrere Cookies gesetzt, unter anderem von Google Analytics. Das wird demnächst ersetzt werden durch Microsoft Adcenter.

Es bleibt abzuwarten, ob der neue Internet-Explorer im InPrivate-Modus auch die Microsoft-eigenen Tracking-Dienste blockt.

Trotzdem darf man gespannt sein, inwieweit die Verfügbarkeit ordentlicher Datenschutztechnik in einem Browser mit dem Marktanteil des Internet Explorers erstens die Nachahmung durch weitere Browseranbieter inspiriert und zweitens das dringend notwendige Bewusstsein für Datenschutz bei Otto-Normalnutzer weckt.

Die folgende Diskussion darüber im Vistablog möchte ich euch aber nicht vorenthalten:

Stephan meinte am 26. Aug 2008 15:45
Wenn du es nicht sagst, sage ich es, im Internet nennen sie diesen Modus den PORNO Modus. Nur bringt der ganze Porno Modus gar nichts, wenn man vor lauter Porno gucken nicht merkt wer hinter einem steht :D

Antwort vom Autor des Blogs:

Genau deswegen sitze ich mit dem Rücken zur Wand.

Anmerkung: Natürlich sollte der Modus aber nicht dazu missbraucht werden, dass man(n) im Büro Pornos anschauen kann... ;-)

Im tagesschau.de Interview spricht Völkerrechtsexperte Otto Luchterhandt über die völkerrechtliche Legitimitation der russischen Anerkennung von Südossetien und Abchasien. Propaganda kann man Luchterhandt anders als so manchem Nachrichtenformat eigentlich kaum vorwerfen; seine Argumente klingen ziemlich fundiert. Es stimmt nun mal, dass der Westen mit dem Präzedenzfall der völkerrechtlichen Anerkennung des Kosovo eine Vorlage für beinahe beliebigen Staatsseparatismus geliefert hat - dieser objektiv schwer begründbare Schritt war ein grober Fehler des Westens unter Führung der USA.

NATO, EU und USA haben Glück, dass der tatsächliche Argumentationsnotstand, in dem sie sich befinden, durch das pöbelige Auftreten Russlands relativiert wird.

Allerdings widerspricht sich Luchterhandt auch selbst, wenn er argumentiert, dass Voraussetzung für eine Staatlichkeit unter anderem ein Staatsvolk sei, was in Südossetien nicht gewährleistet sein, denn

in Südossetien [liegen] eine Reihe von georgisch besiedelten Dörfern, so dass man auch nicht von einem einheitlichen Staatsvolk sprechen kann. Von staatlichen Verhältnissen kann in Südossetien also bei Licht betrachtet keine Rede sein.

Das macht die Argumentation mit dem Kosovo noch schwieriger, leben in dieser Region doch über 100000 Serben, die sich, würde man sie fragen, wohl kaum als "Staatsvolk" des Kosovo betrachten würden. Die Frage nach der "effizienten Staatsgewalt" erübrigt sich beim Kosovo mindestens genauso sehr wie bei Südossetien, denn ohne Hilfsgelder und UN-Hilfstruppe könnte dieses Luftschloss dieser Staat nicht einmal die einfachsten Exekutivaufgaben selbst durchführen; ganz unabhängig davon entzieht sich der gesamte Nordkosovo der Kontrolle der Regierung in Pristina.

Das soll nun nicht die imperialistische Präpotenz der russischen Armee rechtfertigen, die über das georgische Kernland marschiert wie in tiefsten Sowjetzeiten. Aber über die Anerkennung Abchasiens und Südossetiens durch Russland empört den Kopf zu schütteln und dabei nicht an den Kosovo zu denken ist - mit Verlaub - westliche Propaganda.