Bestandsdatenauskunft – neues Überwachungsgesetz und Demos dagegen

Die Bundesregierung hat sich mal wieder ein neues Überwachungsgesetz ausgedacht: Die Bestandsdatenauskunft. Nachdem das BVerfG (mal wieder) ausufernde und schwammig formulierte Überwachungsbefugnisse kassiert hatte, musste „natürlich“ gleich ein neues Gesetz her, um die kassierten Befugnisse wieder einzuführen und noch weiter auszuweiten.

Worum geht es dabei? Eine Kurzzusammenfassung gibt es bei bestandsdatenauskunft.de, wo auch noch weitere Probleme aufgezeigt werden. Etwas ausführlicher:

Ermittlungsbehörden und Geheimdienste werden ermächtigt, auf sogenannte „Bestandsdaten“ zuzugreifen. Was das ist, ist zwar schwammig formuliert, aber sicherheitshalber wird sehr deutlich erwähnt, dass dazu auch Passwörter zählen, und die Abfrage auch anhand von IP-Adressen möglich sein soll. Ein Richtervorbehalt ist nur beim Zugriff auf Passwörter vorgesehen. Die anderen Abfragen, insbesondere also die Identifizierung von Internetnutzern anhand der IP-Adresse, sollen bei größeren Providern sogar über eine automatisierte Schnittstelle ablaufen. Hierfür reicht es, wenn die abfragende Stelle der Meinung ist, „für die Erfüllung der gesetzlichen Aufgaben“ diese Daten zu benötigen, und eine Rechtsgrundlage dafür vorweisen kann.

Die Rechtsgrundlage wird gleich mitgeschaffen, indem z. B. das BKA-Gesetz geändert wird (Art. 3 des Entwurfs). Danach darf das BKA Daten erheben, wenn es sie für seine Aufgaben gem. § 2 Abs. 2 Nr. 1 BKAG braucht. Dort steht „genau“, welche Daten das BKA braucht: „alle hierfür [gemeint: für Verfolgung und Prävention bestimmter Straftaten] erforderlichen Informationen“ – auf gut Deutsch: Alle Daten, auf die es gerade Lust hat und sie für „erforderlich“ hält.

Das ist nur ein Beispiel, es werden auch noch die Befugnisse anderer Behörden auf ähnliche Art und Weise ausgeweitet. Auf Grundrechte wurde nicht im Geringsten Rücksicht genommen. Die Verhältnismäßigkeit wird nirgendwo geprüft, in den meisten Fällen ist nicht einmal ein Richtervorbehalt gefordert (nicht dass der viel bringen würde).

Mit den Passwörtern z. B. für Facebook, Google- und E-Mail-Accounts können die Behörden dann weitere Überwachungsmaßnahmen durchführen, z. B. über Facebook den Freundeskreis ausforschen, E-Mails mitlesen, eine Onlinedurchsuchung bei Online-Speicherdiensten machen,  über den Play-Store Schadsoftware auf Android-Geräte installieren, mit der PUK die auf einer SIM-Karte hinterlegten Kontakte und SMSen lesen, mit dem Google-Accountpasswort die Bildschirmsperre eines Android-Handies aufheben. Ob sie das dürfen, dürfte die Behörden nicht interessieren. (Siehe z. B. illegaler Einsatz des Bayerntrojaners). Die strengeren rechtlichen Anforderungen für Überwachungsmaßnahmen wie die TKÜ werden somit komplett unterlaufen.

Durch die Massenabfrage von IP-Adressen können Massen-Überwachungsaktionen durchgeführt werden. Die rechtswidrige, aber trotzdem regelmäßig durchgeführte Überwachung und Zurückverfolgung von Internetnutzern, die Behördenseiten besuchen, wird damit viel einfacher und dürfte massenhaft eingesetzt werden. Bei solchen Aktionen gilt für viele Behörden sowieso das Motto „Legal, illegal, scheißegal“ – die Überwachung in NRW fand auch statt, nachdem das ausdrücklich für rechtswidrig erklärt worden war. Dank automatischer Schnittstelle wird massenhafter Missbrauch ala Dresdner Handydatenskandal viel leichter und unauffälliger.

Wer es selbst nachlesen will: Das Gesetz wurde nach anfänglicher Kritik geändert, sodass jetzt ein Originalentwurf und ein Änderungstext existiert, falls ich eine zusammengefasste Version finde, werde ich den Link hier nachtragen. (Edit: hier findet sich eine von Freiwilligen erstellte Version – Danke!)

Es handelt sich um ein Zustimmungsgesetz (das erkennt man übrigens an der Formulierung „Der Bundestag hat mit Zustimmung des Bundesrates…“ im Gesetzesentwurf). Ohne die Zustimmung im Bundesrat kann die Bundesregierung das Gesetz also nicht beschließen, und dort hat sie keine Mehrheit. Leider hat die SPD bereits versprochen, das Gesetz und damit diesen eklatanten Grundrechteabbau zu unterstützen, und verkauft das als „wichtigen Kompromiss„, weil sie es geschafft haben, einige kleine Verbesserungen einzubringen. Das ändert aber nichts daran, dass die Bestandsdatenauskunft inakzeptabel ist, und die SPD diesen Grundrechteabbau ohne Not und freiwillig mitträgt. Vielleicht überlegen sich einige Landes-SPDs ja noch, ob sie da mitmachen wollen, wenn sie merken, dass die Öffentlichkeit zuschaut.

Deswegen finden bundesweit friedliche Demos in über 25 Städten statt. Los geht es bereits dieses Wochenende (bundesweiter Aktionstag ist der 14.4., einige Städte fangen schon früher an), die zweite Runde gibt es am 27.4. (auch hier machen einige Städte die Demos schon früher). Die genauen Orte finden sich z. B. im Protestwiki. In Frankfurt am Main fängt die Demo am 14.4. um 13:00 Uhr am Römer an. (Nazis sind bei den Demos übrigens ausdrücklich nicht willkommen.)

Kommt nicht nur zu den Demos, sondern weist auch andere Leute auf die Bestandsdatenauskunft und die Demos hin, und fordert sie auf, ebenfalls Leute mitzubringen und auf die BDA hinzuweisen! Aktuell ist das Thema selbst unter politisch aktiven Informatikern viel zu wenig bekannt, da die Medien bisher kaum darüber berichtet haben.

Bestandsdatenauskunft ist Scheiße – und nun?

Es gibt einige Leute, die der Meinung sind, wir müssten Alternativen zur BDA aufzeigen, um sie kritisieren zu dürfen, und die Ermittlungsbehörden würden solche Befugnisse brauchen, um uns vor Kriminalität zu schützen. Das ist im Fall der Bestandsdatenauskunft reiner Unsinn. Die Bestandsdatenauskunft in der jetztigen Form missachtet sämtliche rechtsstaatlichen Grundsätze, pfeift auf Verhältnismäßigkeit, und erlaubt nahezu beliebigen Behörden, nahezu beliebige Bestandsdaten inkl. Passwörtern abzugreifen – außer bei den Passwörtern sogar ohne jegliche richterliche Kontrolle!

Als Piraten und Bürgerrechtsaktivisten ist es nicht unsere Aufgabe oder Pflicht, Vorschläge für „bessere“ Überwachungsgesetze zu schreiben, und ich bin maßlos enttäuscht von jedem, der ohne das Problem wirklich verstanden zu haben, die darin enthaltenen Überwachungsbefugnisse kleinredet und das Gesetz verharmlost (ja, tarzun, das gilt insbesondere für Leute die im Piratenvorstand sitzen) und so die Salamitaktik des stetigen Grundrechteabbaus unterstützt.

Wir brauchen aktuell keine weiteren Erweiterung der Rechte der Ermittlungsbehörden, sondern erstmal ein Freiheitspaket, was die katastrophalen Änderungen der letzten 20 Jahre rückgängig macht. Weiterhin brauchen wir Ermittlungsbehörden, die Befugnisse und Möglichkeiten nicht missbrauchen, und bei denen Missbrauch ernsthaft geahndet wird. Wenn wir Ermittlungsbehörden haben, die sich zuverlässig an geltendes Recht halten, dann und erst dann können wir darüber nachdenken, ihnen die und nur die Befugnisse zu geben, die sie zur Erfüllung ihrer Aufgaben zwingend benötigen, unter Einhaltung aller machbaren Vorsichtsmaßnahmen. Eine automatische Identifizierung von Internetnutzern ist unnötig, und es gibt keine Rechtfertigung dafür, irgendeine derartige Maßnahme ohne wirksamen Richtervorbehalt einzuführen.

Die BDA wäre auch dann abzulehnen, wenn Passwörter nur bei Verdacht auf bestimmte Straftaten abgefragt werden dürften, denn wer verdächtig ist, ist noch nicht schuldig. Ein Verdacht hebt das Grundrecht auf Privatsphäre nicht auf. Natürlich wäre es für die Behörden hilfreich, wenn sie alles dürften. Das darf in einem Rechtsstaat aber nicht das Kriterium sein.

Selbst wenn eine Erweiterung der Befugnisse der Behörden für sinnvoll erachten würde, kann die Diskussion darüber nicht auf Basis eines völlig überzogenen, verfassungswidrigen Gesetzes geschehen. Denn das ist die übliche Taktik „das zehnfache des Sinnvollen fordern, um am Ende das doppelte zu bekommen“. Das kann man sich etwa so vorstellen:

Regierung: „Hey, ich werde dir zehn Backsteine in den Arsch schieben“
Bürger: „WTF? NEIN! WAS FÄLLT DIR EIN!“
Regierung: „Ok, du hast gewonnen. Zwei sind ein fairer Kompromiss!“
Bürger: „Hm, immer noch scheiße, aber naja…“ *bück*

Deswegen kann es über die Bestandsdatenauskunft keinerlei Debatte geben, außer die Forderung nach kompletter Ablehnung. Wir müssen auch keinen „Gegenvorschlag“ für weitere Überwachungsgesetze machen. Unser Gegenvorschlag lautet: Die Grundrechte achten und bewahren!

Wenn wir nicht für unsere Grundrechte kämpfen, wenn wir dieses Gesetz ohne massiven Widerstand durchgehen lassen, dann war das nur der Anfang – dann folgen noch dreistere Gesetze, bis „Privatsphäre“ nur noch in Geschichtsbüchern zu finden ist.

Massenüberwachung des Internets dürfte ein Fakt sein

Eine Firma hat laut Golem ein Storage-System gebaut, was 10.000.000 Terabyte (!) speichern kann. Wir reden hier nebenbei von ca. 5 Mio. Festplatten nach Angaben der Firma. Der wirklich interessante Teil sind aber folgende Aussagen:

Angesichts des steigenden Internettraffics geht Cleversafe davon aus, dass es 2015 Unternehmen geben wird, die Datenmengen von 80 Exabyte pro Monat analysieren müssen.

sowie der Schlusssatz

Zu den Investoren von Cleversafe gehört unter anderem auch die CIA-Tochter In-Q-Tel.

Im Prinzip steht da unverblümt, dass es „Unternehmen“ gibt, die Internettraffic in großen Massen analysieren. Cisco prognostiziert, dass Ende 2015 der Internettraffic pro Monat *trommelwirbel* 80 Exabyte betragen wird. Es deutet also vieles darauf hin, dass die CIA sämtlichen Traffic global überwacht oder überwachen will, und sich nicht mal sonderlich bemüht, das geheimzuhalten.

Das massiv geschnüffelt wird, ist seit ECHELON eigentlich öffentlich und unbestritten bekannt, auch wenn man es immer wieder gerne verdrängt. Dieses Ausmaß könnte aber vielleicht doch überraschen.

Gleichzeitig gibt es eine Firma namens D-Wave Systems, die behauptet, einen 128-Qbit-Quantencomputer kommerziell anzubieten. Die Behauptung ist natürlich kontrovers und kann durchaus sein, dass es sich dabei um einen Fake handelt. Wären aber derartige Quantencomputer tatsächlich auf dem zivilen Markt erhältlich, wäre meiner Meinung nach davon auszugehen, dass Geheimdienste bereits jetzt leistungsfähige Quantencomputer mit genug Qbits haben, um gängige Schlüssellängen bei RSA und Diffie-Hellman zu brechen. Damit dürften alle gängigen Verbindungen, die asymmetrische Kryptographie nutzen, inklusive solcher, die eigentlich Perfect Forward Secrecy haben, gebrochen sein, auch rückwirkend bezogen auf den in der Vergangenheit gesammelten Traffic.

Als Sahnehäubchen könnte man jetzt noch die Fortschritte bei der Spracherkennungstechnologie nennen, die bereits im zivilen Bereich Transkripte von Anrufbeantworternachrichten erstellt. Das kann man natürlich auch wunderbar verwenden, um Transkripte von abgehörten Gesprächen zu erstellen und sie so maschinenlesbar zu machen.

Schöne neue Welt, nicht?

Schlechte Nachrichten für Bürgerrechte

Leider bin ich nicht direkt dazu gekommen, diese Zusammenfassung zu schreiben, aber vielleicht ist es ja auch besser, diese „tollen“ Beschlüsse unserer Regierung mal gesammelt zu sehen, nachdem man sie schon vergessen wollte. Um den folgenden Mist zu beschließen, haben die Parlamente übrigens nur zwei Tage (27. und 28.10.) gebraucht.

Fangen wir an mit dem Beschluss, dass das Erststudium nicht als Werbungskosten absetzbar ist. Über den Sinn dieser Änderung kann man sich streiten, aber der wirkliche Hammer kommt zum Schluss: Um die armen Besserverdiener unter den Studierenden nicht zu überlasten, können z. B. teure Privatunis jetzt besser abgesetzt werden. Unsere Regierung kann wohl nichts beschließen, ohne der FDP-Klientel noch ein paar Geschenke mit einzupacken.

Weiter gehts mit dem „Schuldenschnitt“ für Griechenland. Statt einem wirklichen Schuldenschnitt (ein Teil der Schulden verfällt) sollen die (wertlosen) Griechenland-Anleihen zu 50% des Nennwerts (also deutlich über dem tatsächlichen Wert) in europäische oder von der EU garantierte Anleihen umgetauscht werden. Statt einem Schuldenschnitt gibt es also auch hier Geschenke, diesmal vor allem für die Banken.

Dafür wollte unsere Regierung auch mal was dem Volk schenken, zum Beispiel kostenlose Warteschleifen und ein Ende des Abofallenbetrugs im Internet. In der entsprechenden Reform des Telekommunikationsgesetzes hat sie leider „vergessen“, Breitband-Internet zum Universaldienst zu machen (womit die Anbieter wie bei Trinkwasser und Telefon verpflichtet wären, es überall bereit zu stellen). Auch die Netzneutralität, die eigentlich in die Reform rein sollte, ist wohl nicht so ganz verankert worden. Dafür wurde in dem netten Paket mal eben die Vorratsdatenspeicherung versteckt – und zwar in letzter Sekunde und dann schnell beschlossen, damit das Parlament ja nicht merkt, worüber es gerade abstimmt.Zwar ist die neue Vorratsdatenspeicherung nicht verpflichtend, aber dafür dürfen die Provider jetzt freiwillig speichern. Angesichts dessen, dass viele das schon bisher (illegal!) getan haben, dürfte sich ein großer Datenberg ansammeln, aus dem sich die Ermittlungsbehörden bedienen können. Somit hat die Regierung zwar mal wieder „Für unsere Bürger“ auf das Paket draufgeschrieben, mit dem Inhalt spielen werden aber vor allem die Ermittlungsbehörden. Einige populäre Verbesserungen beim Verbraucherschutz (die durchaus dringend nötig waren!) hat die Regierung aber doch reingepackt – vermutlich, um es dem Bundesrat schwerer zu machen, das Gesamtpaket abzulehnen. Der Bundesrat ist nämlich fest in der Hand der Opposition, und dort muss das Gesetz noch durch. Hier ist die Hoffnung also noch nicht ganz verloren – auch wenn man davon ausgehen kann, dass die Verräterpartei ihrem Namen wieder gerecht wird, obwohl sie im Bundestag dagegen gestimmt hat.

Aber wo wir bei Überwachungsgeschenken sind: Die Linke hat beantragt, jemandem etwas wegzunehmen. Nämlich der Polizei das Recht, den Bundestrojaner zu nutzen, nachdem diese gezeigt hat, wie „verantwortungsvoll“ sie damit umgehen kann (zur Erinnerung). Dass der Antrag gegen die Stimmen von Union und FDP keine Chance hat, war klar. Dennoch konnte die SPD (als Oppositionspartei!) sich nicht nehmen lassen, gegen den Antrag und somit für den Bundestrojaner zu stimmen. Würde jeder Missbrauch eines Überwachungsrechts dazu führen, dass es eingeschränkt oder zurückgenommen wird, würden die Ermittlungsbehörden vielleicht lernen, damit verantwortungsvoller umzugehen. Schade, dass diese Chance, hier den Anfang zu machen, verpasst wurde.

Stattdessen hat die Bundesregierung lieber mal die Anti-Terror-Gesetze verlängert – und nebenbei noch ein wenig verschärft, indem sie z. B. Geheimdiensten die „Selbstbedienung“ an den Flugreisedaten erlaubt haben. Auch hier hat die SPD sich wieder einmal als Verräterpartei betätigt und trotz Oppositionsrolle gegen Bürgerrechte und für die Verlängerung gestimmt. Ach, und wo wir schon bei „Anti-Terror“ sind, hier noch ein alter, aber guter Artikel von heise/c’t zur Anti-Terror-Datenbank, wo man sieht, was da so alles gespeichert wird. Die Lobby, die dafür sorgt, dass solche „Sicherheits“gesetze produziert werden, hat übrigens Jörg Tauss für Gulli aufgedeckt.

Das Europäische Parlament hat sich natürlich nicht lumpen lassen und gleichzeitig ein Abkommen beschlossen, nach dem Australien die Flugreisedaten erhält und fünfeinhalb Jahre speichern darf. Mit 463 zu 96 Stimmen übrigens, falls noch irgendwelche Hoffnungen bestanden, das EU-Parlament würde sich für Datenschutz und Bürgerrechte einsetzen. Die übermittelten Daten enthalten unter anderem Kreditkarten- und Telefonnummern, IP-Adressen und besondere Essenswünsche (aus denen vermutlich auf die Religion geschlossen werden soll, die nicht explizit übermittelt wird). Auch ein nettes Geschenkpaket, oder?

Das einzig halbwegs Erfreuliche waren die Nachrichten über den ePerso ein paar Tage später. Schade um die verschwendeten Steuergelder, aber gut für die Bürgerrechte – wie erwartet folgte der ePerso dem Schicksal der meisten IT-Großprojekte von Bundesregierungen und wurde ein grandioser Fehlschlag: Sicherheitslücken ohne Ende, kaum Angebote, kaum Nutzer bei bestehenden Angeboten, nicht einmal die Hälfte der Ausweise mit aktiver eID-Funktion – aber leider auch schon wieder Ideen, wie man den Perso z. B. mit einer DNA-Datenbank „verbessern“ könnte.

Oft übersehene Lügen zum Bundestrojaner

In der derzeitigen Debatte zum Bundestrojaner werden ein paar Dinge oft von der Presse übersehen und von den Verantwortlichen falsch dargestellt. Die zwei Wichtigsten nehme ich hier mal auseinander (Liste wird ggf. noch ergänzt):

Behauptung:
„Beim Einsatz der Trojaner wurden alle rechtlichen Vorgaben eingehalten“

GELOGEN In Bayern hat einer der Trojaner Screenshots angefertigt. Das war nach rechtskräftigem Beschluss des Landgerichts rechtswidrig. Illegal, verboten, gegen die gesetzlichen Vorgaben verstoßend. Unbestreitbar, ohne wenn und aber. Die (leider von der Presse oft übernommene) Behauptung, die rechtlichen Vorgaben seien eingehalten worden, ist also eine dreiste Lüge. Konkret hatte das Bayrische Innenministerium behauptet:

Nach der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung 2008 ist eine Quellen-TKÜ zulässig, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wird. Nichts anderes ist in Bayern bisher praktiziert worden.

Auf Unwissenheit wird man sich hier angesichts der Bekanntheit des Urteils kaum berufen können.

Behauptung:
„Trojaner werden nur zur Verfolgung schwerer Straftaten wie Terrorismus verwendet“

GELOGEN In den bekannten Fällen handelt es sich einmal um Drogenhandel, einmal um möglicherweise nach Betäubungsmittelgesetz illegale Ausfuhr von zugelassenen Medikamenten und einmal um Diebstahl, siehe Fefe.

Noch Ärgerlicher ist allerdings, dass die Gelegenheit genutzt wird, Forderungen nach mehr (!) Überwachungsbefugnissen zu stellen. Die GDP (Gewerkschaft der Polizei, nicht zu verwechseln mit der DPolG oder dem BDK) fordert einen „sauberen rechtlichen Rahmen“, will also ein Gesetz, was die Überwachung erlaubt.

Wenn jemand gegen ein Gesetz verstößt, dann ist die richtige Reaktion darauf in der Regel, ihn in den Knast zu stecken, und nicht, den Gesetzesbruch zu legalisieren! Wenn Vertrauen und bestehende Privilegien missbraucht werden, dann gehören diese Privilegien entzogen, nicht ausgeweitet.

Meiner Meinung nach müssten:

• Sämtliche Verantwortlichen (und nicht nur ein paar Bauernopfer) zur Rechenschaft gezogen werden. Das beinhaltet insbesondere eine Entlassung und Strafverfahren, und wir reden hier sicher von Dutzenden von Verantwortlichen.
• Die Überwachungsbefugnisse der Behörden massiv zusammengestrichen werden. Nicht nur muss die Verwendung von Spionagesoftware unmissverständlich untersagt werden, auch die sonstigen Befugnisse dürfen nicht unangetastet bleiben. Der Richtervorbehalt muss gestärkt werden, eine ausführliche Begründung sollte Pflicht werden. Wenn Richter pro Fall erstmal 1-2 Seiten individuelle, nicht aus Textbausteinen bestehende Begründung selbst abfassen müssten, wäre schon viel gegen ausufernde Überwachung ohne richtige Prüfung getan. Wenn der Richter überlastet ist, bleiben die Anträge halt so lange liegen, bis die Behörden gelernt haben, die Maßnahmen nur in Fällen anzuwenden, wo sie wirklich nötig sind.
• Sämtliche Überwachungsmaßnahmen nachträglich geprüft und bei Verstößen sofort empfindliche Strafen verhängt werden.

Wird natürlich nicht passieren, solange die CDU an der Regierung ist. Vermutlich wird es vielmehr ein Alibi-Gesetz geben, was 1-2 Überwachungsbefugnisse reduziert und dafür an anderer Stelle zahlreiche andere ausweitet, und vielleicht müssen 1-2 Leute mit großzügigen Pensionen gehen, natürlich ohne Strafverfolgung befürchten zu müssen.

Beschäftigug für lästige Bürger

Die Online-Petitionsplattform des Bundestages klang nach einer tollen Idee für mehr Bürgerbeteiligung. Nach einer Weile wurde sie aber bekannt und beliebt, und es kamen die ersten Mega-Petitionen – und mit ihnen die Abstürze, wenn zu viele Bürger mitzeichnen wollten. Eine neue Software wurde beschafft, womit man sich umständlich registrieren musste, um mitzeichnen zu können. Als sich auch davon nicht genug Bürger abschrecken ließen, brach das System wieder zusammen. Dennoch kamen immer wieder große Petitionen zustande – und wurden, egal wie viele mitzeichneten, vom Bundestag kaum beachtet.

Um dafür zu sorgen, dass das Portal nicht durch Massen von Unfug unbenutzbar wird, gibt es dort eigentlich Richtlinien. Diese besagen unter anderem:

Voraussetzung für eine öffentliche Petition ist, dass die Bitte oder Beschwerde inhaltlich ein Anliegen von allgemeinem Interesse zum Gegenstand hat und das Anliegen und dessen Darstellung für eine sachliche öffentliche Diskussion geeignet sind. […] Eine öffentliche Petition einschließlich ihrer Begründung wird nicht zugelassen, wenn sie […] offensichtlich unsachlich ist oder der Verfasser offensichtlich von falschen Voraussetzungen ausgeht […]

Trotzdem kamen immer mehr Petitionen durch, wo das „allgemeine Interesse“ sehr fragwürdig war. Ärgerlicher als das waren allerdings die völlig unsinnigen Petitionen, die bereits existierende Dinge forderten – also nach den Richtlinien hätten ausgeschlossen werden müssen. Auch diese häuften sich. Wenn mehrere Petitionen zum gleichen Thema eintrafen, wurde ein Text ausgewählt (was ja auch sinnvoll ist) und nur dieser als öffentliche Petition behandelt. Da die Texte jedoch oft auffallend schlecht waren, drängte sich der Verdacht auf, dass hier absichtlich eine der schlechtesten Petitionen als „Muster“ gewählt wurde, um die Zustimmung und Beteiligung zu senken.

Viel schlimmer aber ist, dass gleichzeitig gut ausgearbeitete Petitionen zu tatsächlich relevanten Themen nicht als öffentliche Petition behandelt wurden – wodurch das Sammeln von Unterschriften massiv erschwert wurde. Im Fall der „108e-Petition“ gegen Abgeordnetenbestechung habe ich davon erfahren: Diese wurde (auch auf Nachfrage)ohne nähere Begründung abgelehnt. Wie viele sinnvolle Petitionen so unter den Teppich gekehrt worden sind, weiß man nicht.

Man könnte jetzt schon Absicht unterstellen, aber dazu gibt es einen schönen Grundsatz: „Never attribute to malice that which is adequately explained by stupidity.“ (Gehe nicht von Vorsatz aus, wenn etwas durch Dummheit ausreichend erklärt werden kann). Gerade zu den Zeiten, wo das Portal sehr aktiv war, wäre die schlechte Sortierung der Petitionen durch Überlastung erklärbar. Auch schlichte Inkompetenz wäre eine denkbare Erklärung. Eine Absicht kann man also nicht direkt unterstellen. Oder?

Dieser Zustand hält jetzt schon seit Jahren an. Wenn die Arbeit des Petitionsausschusses ernst genommen würde, wäre es für den Bundestag ein leichtes, eine ausreichende Menge an kompetentem Personal dafür einzustellen. Da das nicht geschehen ist, ist klar, dass echte Bürgerbeteiligung nicht gewünscht ist. Entweder es werden bewusst gute Petitionen unterdrückt, oder es wird bewusst nichts getan, damit der Petitionsausschuss seine Arbeit ordentlich macht/machen kann. So oder so ist klar, dass diese Plattform nur dazu dient und dienen soll, Bürger ihre Wünsche irgendwo äußern zu lassen, wo man sie bequem ignorieren kann, und die Zeit von engagierten Bürgern zu verschwenden.

Das Fass zum Überlaufen brachte eine Petition, die die Wiedereinführung einer Regelung im Personalausweisgesetz forderte: Wer einen Pass besitzt, soll keinen zusätzlichen Perso brauchen. Dummerweise steht das immer noch genau so im Gesetz (§ 1 Abs. 2) und wäre dort auch einfach zu finden gewesen. Die Petition ist inzwischen nicht mehr verfügbar, nachdem es im Forum massiv Kritik hagelte. (Mein Beitrag, der auch die Arbeitsweise des Ausschusses kritisierte, wurde auch verschwunden).

Deswegen ist der Petitionsfeed aus meinem Newsreader geflogen, und von mir gibts auch keine Werbung oder Mitzeichnung für Petitionen, die über dieses Portal laufen, solange es sich nicht um eine der „großen“, hauptsächlich außerhalb des Portals ablaufenden Petitionen handelt – egal wie sinnvoll der Text aussehen mag. Ohne massiven Öffentlichkeitsdruck sind die Petitionen sowieso sinnlos – außer als Zeitbinder für politisch engagierte Bürger.

Wenn ihr das genauso seht, und es irgendwo erklären wollt – dafür ist dieser Text da, ein Link sagt mehr als tausend Worte und ist schneller gesetzt als eine langwierige Erklärung…

Billigfachkräftemangel

Bisher erhalten Menschen, die im Alter von mindestens 58 Jahren arbeitslos werden, zwei Jahre lang Arbeitslosengeld. Das will die FDP jetzt ändern, weil die älteren Arbeitskräfte ja wegen des schrecklichen Fachkräftemangels als Fachkräfte benötigt werden. Nur: Das Arbeitslosengeld liegt laut Wikipedia bei ca. 2/3 des alten Einkommens. Wenn die Firmen die ach so dringend benötigten Fachkräfte also tatsächlich haben wollten und auch angemessen bezahlen würden, dürfte sich durchaus der ein oder andere ältere Arbeitnehmer darüber freuen, doch noch einen Job zu bekommen.

Solange älteren „wertvollen Fachkräften“ für ihre oft jahrzentelange Berufserfahrung Gehälter geboten werden, die unter den Gehältern für junge Berufseinsteiger liegen, muss man sich nicht wundern, wenn manche lieber etwas länger nach einem angemessen bezahlten Job suchen, wenn sie es sich leisten können. Durch die Drohung mit der Hartz-4-Keule kann man diese Leute natürlich dazu bewegen, schnell einen Job anzunehmen, der – eben weil die Arbeitgeber wissen, dass ältere Arbeitssuchende kaum eine Wahl haben – nicht angemessen bezahlt wird.

Wenn die von der FDP vorgeschlagene Maßnahme also irgendetwas bekämpfen würde, dann eher nicht den Fachkräftemangel, sondern den Billigfachkräftemangel. Billige Fachkräfte kann die Wirtschaft nämlich nie genug kriegen…

Was die FDP gerne „übersieht“ ist natürlich auch, dass nicht alle älteren Arbeitnehmer dringend gesuchte Fachkräfte sind (und auch diese nicht unbedingt schnell einen Job finden). Neben der Ausweitung des Lohndumpings auf höher qualifizierte Arbeit wird damit natürlich auch das in den letzten Jahren immer erfolgreichere Lohndumping im Niedriglohnsektor weiter verschärft.

ePerso kann remote missbraucht werden

In meinem letzten Artikel zum ePerso (PIN-Diebstahl ohne Malware) stellte ich eine Möglichkeit vor, wie ein Angreifer an die PIN des ePerso gelangen kann, indem er eine falsche AusweisApp vortäuscht.

Wie ich erwartet hatte gab es daran viel Kritik: Einerseits sei das ja kein richtiger Angriff, weil „nur“ der Nutzer getäuscht wird, andererseits hätte der Angreifer ja „nur“ die PIN, mit der er nichts anfangen könne, weil er ja keinen Zugriff auf den Personalausweis selbst hätte.

Ersteres spielt für das Ergebnis keine Rolle: Der Angriff funktioniert gegen durchschnittliche Nutzer sehr gut, und der Angreifer hat am Ende die PIN. Damit wären wir beim zweiten Einwand: Die Authentifikation mit dem Ausweis ist eine sogenannte Zwei-Faktor-Authentifikation – man benötigt PIN und Ausweis. Mit der PIN alleine kann der Angreifer somit tatsächlich noch nicht direkt einen Angriff durchführen – aber er hat einen der beiden Faktoren überwunden. Das wird interessant, sobald ein Angriff den anderen Faktor überwindet. Alleine wäre auch dieser neue Angriff „wertlos“, verbunden mit der gestohlenen PIN ermöglicht er jedoch den Missbrauch des Ausweises.

Genau einen solchen zweiten Angriff habe ich nun gefunden. (Nachtrag: Wurde von Heise verifiziert.) Dadurch kann der Angreifer, wenn die im Folgenden erklärten Bedingungen zutreffen, sich mit dem Personalausweis des Opfers ausweisen. (Ich denke, jetzt sieht man auch, warum der PIN-Angriff sehr wohl ein Problem war!)

Weil das Missverständnis öfter aufkam: Der PIN-Diebstahl-Angriff ist kein simpler Phishing-Angriff. Bei einem Phishing-Angriff wird das Opfer auf die Seite des Angreifers gelockt, aber im Glauben gelassen, dass es z. B. die Seite seiner Bank besucht – denn nur dort dürfen die Bank-Zugangsdaten eingegeben werden. Auf den falschen Link reinzufallen ist ein vermeidbarer Fehler des Opfers. Hier jedoch kennt das Opfer die Identität der Seite. Ein legitimer Ausweisevorgang beginnt mit dem Besuch einer fremden Seite, wo dann die AusweisApp aufpoppt – genau wie beim Angriff. Dieser Angriff ist also deutlich schwerer erkennbar als Phishing – vor allem, weil Banken etc. dem Nutzer erklären, wie er sich schützen soll (Bank-Website manuell aufrufen), während auf die wenigen Warnzeichen für eine falsche AusweisApp nirgendwo hingewiesen wird.

Demo des Angriffs auf YouTube

Die von der ComputerBild als Beilage verteilten Starterkits bestehen aus einem Reiner SCT-Basislesegerät sowie einer LoginCard, mit der man sich Online einloggen können soll. Dazu muss eine Software (Browserplugin) von ReinerSCT installiert werden, die Websites Zugriff auf das Lesegerät gibt.

Über dieses sogenannte OWOK-Plugin kann eine Website (nach Bestätigung, siehe unten) frei mit der Karte kommunizieren. Die OWOK-Software habe ich als erstes untersucht, weil der Nutzer bei den Computerbild-Starterkits zur Installation aufgefordert wird, sie also bei vielen Ausweisinhabern vorhanden sein dürfte. Die Software nutzt dafür anscheinend das von den Sparkassen entwickelte SIZCHIP-Plugin – d.h. das gleiche Problem dürfte mit vielen anderen Plugins, z. B. mit dem Geldkarten-Plugin, bestehen.

Pro Website wird der Benutzer einmal gefragt, ob er diesen Zugriff zulassen soll. Diese Frage sollte eigentlich vor dem Angriff schützen, da der Nutzer ja darauf aufmerksam gemacht wird und zustimmen muss. Dabei gibt es jedoch mehrere Probleme:

1. Der Nutzer erwartet beim oben erwähnten PIN-Diebstahl-Angriff, dass der ePerso benutzt wird. Die Frage nach dem Zugriff auf dem Chipkartenleser dürfte den meisten Nutzern daher logisch vorkommen und meist bejaht werden. Nutzer mit gutem Hintergrundwissen über die Technik könnten an dieser Stelle aufmerksam werden – diese zählen jedoch zu einer kleinen Minderheit.
2. Sobald der Nutzer einmal die Entscheidung getroffen hat, scheint diese dauerhaft gespeichert zu werden. Indem der Angreifer das Plugin unter einem Vorwand einige Zeit vor dem Angriff das erste mal aktiviert, kann er verhindern, dass der Nutzer beim eigentlichen Angriff misstrauisch wird.
3. Die Anfrage besteht aus einem Dialogfenster, was an einer vorhersehbaren Position (Bildschirmmitte) auftaucht, sobald das Plugin geladen wird. Das kann sich der Angreifer zunutze machen, indem er den Nutzer animiert, wiederholt schnell auf die „richtige“ Stelle zu klicken (z. B. durch ein Spiel), und dann erst das Dialogfenster auslöst. Viele sicherheitskritische Dialogfenster in Browsern aktivieren die Schaltflächen inzwischen erst nach einer kurzen Verzögerung, um solche Angriffe zu verhindern.
4. Einige im Plugin vordefinierte Seiten können ohne diese Sicherheitsabfrage zugreifen. Gelingt es, in einer dieser Seiten z. B. eine XSS-Lücke zu finden, kann man die Sicherheitsabfrage umgehen, indem man den Angriff im Kontext der Seite durchführt. Eine solche Lücke habe ich gefunden – die Sicherheitsabfrage kann also umgangen werden.

Dieser Angriff setzt also voraus:

• Das Opfer hat z. B. das von der ComputerBild verteilte Starterset nach Anleitung installiert
• Das Opfer fällt auf den PIN-Diebstahl-Angriff mit einer falschen AusweisApp herein
• Das Opfer bestätigt dabei (oder irgendwann vorher!) die Sicherheitsabfrage „Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?“ oder der Angreifer umgeht die Sicherheitsabfrage über eine XSS-Lücke (siehe oben)
• Der Ausweis liegt auf dem Lesegerät (folgt bereits aus dem Hereinfallen auf den PIN-Diebstahl-Angriff)

Sobald diese Voraussetzungen erfüllt sind, hat der Angreifer über das Plugin Zugriff auf den Kartenleser und den darauf liegenden Ausweis, und befindet sich im Besitz der PIN. Damit gilt:

• Der Angreifer kann mit der Identität des Ausweisinhabers Aktionen durchführen, und diese mit dem fremden Ausweis bestätigen.
• Der Angreifer kann sich auch in Benutzerkonten des Ausweisinhabers, die Login via Ausweis zulassen, einloggen, und dort z. B. Daten ausspähen oder weitere Aktionen durchführen.

Der Angreifer braucht also insbesondere weder Malware auf dem Rechner des Nutzers, noch muss er man-in-the-middle-Attacken fahren. Er muss lediglich Besucher auf seine Seite locken und dort mit der falschen AusweisApp täuschen!

Folgen

Der Angreifer kann den Ausweis und somit die bestätigte Identität des Opfers missbrauchen. Das Opfer bekommt dies nicht mit, da ihm z. B. eine erfolgreiche Altersverifikation vorgetäuscht wird. Da die Identitätsbestätigung über den Ausweis einen sehr starken Anscheinsbeweis liefert, wird das Opfer nur sehr schwer belegen können, dass eine Aktion von einem Angreifer und nicht vom Opfer selbst durchgeführt wurde.

Dabei wäre beispielsweise ein Szenario denkbar, bei dem ein Onlineshop Lieferung auf Rechnung anbietet, wenn der Käufer sich per Ausweis identifiziert – soweit ich weiß eines der öfter genannten Beispiele für eine mögliche Anwendung des ePersos. Würde ein Angreifer mit der Identität des Opfers eine Bestellung tätigen, würde der Händler sein Geld beim Opfer einfordern – und hätte vor Gericht dank der Ausweisprüfung gute Chancen, dies auch durchzusetzen. Auch wäre denkbar, dass der Angreifer ein Konto im Namen des Kunden eröffnet und für Betrügereien missbraucht – mit der Folge, dass das Opfer für diese Taten verantwortlich gemacht wird.

Totalversagen

Zum Glück gibt es eh kaum Dienste, die wirklich mit dem ePerso genutzt werden können. SCHUFA und die Flensburg-Punkteauskunft schicken die Zugangsdaten bzw. Infos separat per Post, sodass der Ausweis hauptsächlich als Formularausfüllhilfe dient, und ansonsten kann man damit Onlinepetitionen unterschreiben und kommt vielleicht bei ein paar Versicherungen ins Kundenmenü. Kurz: Unabhängig von den Sicherheitsproblemen hat das Projekt versagt.

Wie in diesem Beitrag erklärt, bin ich der Meinung, dass der ePerso vor allem als Instrument zur Zerstörung der Freiheit und Anonymität im Netz taugt und früher oder später auch dafür verwendet werden wird. Entsprechende Forderungen hat der Bundesinnenminister Friedrich erst gestern wieder gebracht. Wie das aussehen wird, sobald die Mehrheit der Bevölkerung einen ePerso besitzt, ist also absehbar. Wenn Kritik nicht mehr Anonym geäußert werden darf, leidet die Meinungsfreiheit massiv, da viele sich aus Angst vor möglichen Folgen nicht trauen, ihre Meinung zu sagen.

Davon abgesehen ist der ePerso eine sinnlose Wirtschaftsförderungsmaßnahme auf Steuerzahlerkosten. Neben den subventionierten Starterkits sieht man das am Besten daran, dass die Bürger ihre Signaturzertifikate von privaten Unternehmen kaufen müssen (für rund 20 Euro pro Jahr), statt sie zusammen mit dem Personalausweis direkt zu erhalten.

Die Entwicklung und Einführung des Ausweises sollen „nur“ rund 50 Millionen gekostet haben. Gegenüber dem alten Ausweis müssen die Bürger für den ePerso rund 20 Euro mehr zahlen. Bei 6,5 Millionen neuen Ausweisen pro Jahr kommen auf die Bürger jährliche Mehrkosten von 130 Millionen zu. Es ist also nie zu spät, das Projekt noch einzustampfen!

Apropos Signatur: Die geht mit dem Ausweis immer noch nicht, weil die entsprechende Version der AusweisApp auf sich warten lässt. Genauso übrigens, wie eine auf MacOS lauffähige Version.

Gegenmaßnahmen

Folgende Dinge können getan werden, um den Angriff zu erschweren bzw. zu verhindern:

Nutzer können:

• Den neuen Ausweis nicht im Internet nutzen, niemals an Lesegeräte halten und ggf. in einer abschirmenden Hülle transportieren
• Wenn sie den Ausweis im Netz nutzen wollen, ausschließlich Lesegeräte der höheren Sicherheitsstufen (eigenes PIN-Pad) einsetzen und die PIN ausschließlich auf dem Lesegerät eingeben. Weiterhin muss das eigene System sicher und virenfrei gehalten werden!
• Ihren alten Ausweis solange es geht behalten
• Plugins, die Chipkartenzugriffe erlauben, deinstallieren.

Reiner SCT (bzw. die für den Kern des Plugins verantwortliche Firma) kann:

• Die Sicherheitsabfrage vor jedem Zugriff auf das Lesegerät stellen (sollte nur bei Loginvorgängen nötig sein) und sie deutlicher formulieren
• Die APIs des Plugins einschränken, sodass Websites nur noch vordefinierte Funktionen der Karten auslösen können

Das hilft aber nur, wenn alle Hersteller vergleichbarer Plugins das auch tun.

Die Projektverantwortlichen können:

• Die unsicheren Basislesegeräte endlich abschaffen (nicht mehr für die Nutzung mit dem ePerso zulassen). Das ist die einzige Möglichkeit, die das Problem wirklich löst. Allerdings sind die besseren Geräte teuer und somit nicht gerade gut für die Akzeptanz.
• Das Projekt begraben und nicht noch mehr Geld verschwenden
• Die AusweisApp so umbauen, dass sie exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt. Das würde Angriffe erschweren oder verhindern, allerdings nur, solange die AusweisApp auch läuft.

Aufgrund der Reaktion des BMI auf meinen ersten Angriff (falsche Behauptung, ich hätte den Angriff länger gekannt und absichtlich zurückgehalten) musste ich leider mit Versuchen rechnen, diese Angriffsmöglichkeit zu vertuschen. Daher habe ich mich entschieden, die Hersteller vor der Veröffentlichung nicht zu benachrichtigen (außer im Fall der XSS-Lücke). Am Besten vor dem Angriff schützen kann sich immer noch der Nutzer allein (durch Deinstallation der Browserplugins), sodass möglichst schnelle öffentliche Aufklärung über diese Gefahr meiner Meinung nach sinnvoll ist.

Die Schuld an dieser Lücke sehe ich übrigens weniger bei den Pluginentwicklern, auch wenn es keine gute Idee und ziemlich unnötig ist, Websites uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Das Hauptproblem ist die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser) nicht nur zu verwenden, sondern auch noch aus Steuergeldern zu fördern.

Technische Details

Das OWOK/SIZCHIP-Plugin erlaubt es der Website, per JavaScript einen Kanal zur Chipkarte zu öffnen und darüber beliebige Befehle (APDUs) zu schicken (und die Antworten zu lesen). Ein Angreifer würde diese Befehle von einem Server abholen, auf welchem eine AusweisApp (oder eine äquvivalente Software) läuft. Statt an ein echtes Lesegerät würden die APDUs, die die AusweisApp an die Karte schicken will, über AJAX zum JavaScript im Browser des Opfers geschickt. Dort würden sie über das Plugin an den Ausweis gesendet, und die Antwort würde auf dem umgekehrten Weg wieder zur AusweisApp kommen.

Ich habe hierzu zwei Proof-of-concepts erstellt. Für beide muss ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte (nicht unbedingt ein Ausweis) vorhanden sein.

Einer (attackwebsite) basiert auf der falschen AusweisApp (die bereits im „FSK18-Bereich“ der Piratenpartei zu sehen war). Er demonstriert, wie ein kompletter Angriff ablaufen würde. An den Ausweis (bzw. die Karte) wird hier nur der Befehl zum Auswählen der ePass-Anwendung geschickt, sodass man die unterschiedlichen Antworten von Ausweisen im Vergleich zu anderen Karten sehen kann.

Der zweite PoC (shellserver) implementiert das Abholen der Befehle über AJAX. Es kann entweder zum einfachen Testen ein fest im Server eingetragener Befehl an das Opfer geschickt werden, oder aber die Karte auf dem Lesegerät des Opfers wird an eine modifizierte cyberflex-shell angeschlossen, von wo dann beliebige Anfragen gestellt werden können.

Die PoCs kann man hier herunterladen, den ersten davon gibt es auch live unter https://fsk21.piratenpartei.de.

Den XSS-Angriff habe ich an Heise mit Bitte um Verifikation und anschließende Weiterleitung an den Seitenbetreiber gemeldet. Die Redaktion konnte ihn nachvollziehen.

Argumente gegen (Anti-)Terrorgesetze

Auf einer Mailingliste innerhalb der Piratenpartei wurde vor kurzem über allgemeine Argumente gegen neue bürgerrechtsfeindliche (Anti-)Terrorgesetze diskutiert. Meinen Beitrag möchte ich auch hier etwas breiter publizieren:

Verhältnismäßigkeit

Auch wenn dies zweifelslos die Zahl der Verkehrstoten reduzieren würde, käme niemand auf die Idee, deutschlandweit eine Geschwindigkeitsbegrenzung auf 30 km/h einzuführen – denn das wäre völlig überzogen, die Schäden, die daraus resultieren würden, stehen in keinem Verhältnis.

Bei Anti-Terror-Maßnahmen, deren Wirkung im Vergleich zum Tempolimit überdies zweifelhaft ist, wird diese Abwägung leider gerne übersehen. Selbst wenn diese Maßnahmen tatsächlich Terroranschläge verhindern könnten, stehen die damit verbundenen Schäden, die an unserer Freiheit, an unseren Grundwerten entstehen, in keinem Verhältnis dazu.

Leider sind Einschränkungen der Bürgerrechte nicht so direkt spürbar, wie ein Tempolimit – doch wenn wir nach und nach unsere Bürgerrechte aufgeben, zerstören wir unsere freiheitliche Gesellschaft. Wir würden genau das tun, was die Terroristen möchten, aber mit ihren Bombenanschlägen ohne unsere ‚Hilfe‘ nie erreichen würden.

Zum Vergleich sollte man sich vor Augen führen, dass wir trotz 50.000 Toten im deutschen Straßenverkehr von 2001 bis 2010 nicht in blinden Aktionismus verfallen. Genau wie wir uns im Straßenverkehr auf sinnvolle und zurückhaltende Sicherheitsmaßnahmen beschränken, müssen wir dies auch bei der Bekämpfung von Terrorismus tun.

Genausowenig, wie wir auch auf diese riesige Anzahl Verkehrstoter mit einem Verbot des Straßenverkehrs oder einer bundesweiten Tempo-30-Zone reagieren, dürfen wir auf die bloße Gefahr von Terroranschlägen mit überzogenen Maßnahmen wie der Überwachung aller Bürger reagieren.

Terroristen können bloß töten. Nur überreagierende Politiker können unsere Gesellschaft zerstören. Von ihnen geht die wirkliche Gefahr aus – und gegen diese Gefahr wenden wir uns.

(Siehe auch dieser Beitrag von „Nano“)

Ursachen

Wir könnten auch aufhören, uns in jeden internationalen Konflikt einzumischen. Damit dürfte die Terrorgefahr deutlich stärker sinken, als durch die Einführung irgendwelcher Terrorgesetze. Ganz verschwinden wird sie jedoch nie – genauso, wie man selbst mit den strengsten Gesetzen nie alle Anschläge verhindern können wird.

Selbstverständlich ist es wünschenswert, die Freiheit von Menschen in anderen Ländern zu schützen und zu fördern. Wir dürfen aber nicht zulassen, dass die Folgen dieser Einsätze unsere eigene Freiheit gefährden. Solange die einzige Antwort, die wir auf eine leicht gesteigerte, abstrakte Terrorgefahr kennen, ein drastischer Abbau unserer Bürgerrechte ist, können wir uns solche Einsätze einfach nicht leisten.

Wirkungen und Nebenwirkungen

„Herr Nachbar, was machen Sie da in ihrem Garten?“
„Ich streue Pulver gegen Elefanten.“
„Aber hier gibt es doch gar keine Elefanten!“
„Na dann sehen Sie mal, wie das Pulver wirkt!“

Genauso wie der Nachbar sein Elefantenpulver streuen Innenminister gerne (Anti-)Terrorgesetze, deren Wirkung recht zweifelhaft ist. Wenn es dann gar keine Terroranschläge gibt, wird das als Zeichen gewertet, dass die Gesetze wirken, und man ganz dringend noch mehr davon braucht. Über Nebenwirkungen, wie den Abbau unserer Freiheitsrechte, macht man sich hierbei keine Gedanken.

Die wenigen versuchten Terroranschläge, die es in Deutschland gab, hatten meist von vorne herein wenig Aussicht auf Erfolg – und wurden meist nicht mit Hilfe der neuen Befugnisse aus den Terrorgesetzen aufgedeckt, sondern durch andere Mittel.

Die Mittel aus den Terrorgesetzen hingegen werden immer wieder eingesetzt, um unschuldige Bürger auszuspähen – wie man am zum Beispiel Handydatenskandal in Dresden sehen konnte.

Der Begriff „Antiterrorgesetze“ wurde in den Medien ab und zu als „Terrorgesetze“ abgekürzt. Eines Tages fiel jemandem auf, dass diese Bezeichnung eigentlich viel passender ist, weil erst diese Gesetze die eigentliche Wirkung des Terrors entfalten und sie durch die Einschränkungen der Bürgerrechte die Bevölkerung terrorisieren. Daher steht auch bei mir das „Anti“ in Klammern (und manchmal gar nicht) da.

Bundes-un-freiwilligendienst

Die Regierung ist überrascht – ohne Pflicht findet sich kaum noch jemand, der gerne Zivildienst machen möchte. Das hat sicher nichts damit zu tun, dass in der heutigen Gesellschaft alles schnell-schnell gehen muss, vor allem der Einstieg ins Berufsleben, nachdem man Turbo-Abi und Bologna-Studium in höchstens der vorgesehenen Zeit abgeschlossen zu haben hat.

Seltsam, dass der „Bundesfreiwilligendienst“ nicht genug Freiwillige findet, um Massen von zwangsweise verpflichteten Billigarbeitskräften zu ersetzen, oder? Sicherlich gab es Leute, die sich bewusst für den Zivildienst entschieden haben. Den Großteil dürften aber diejenigen bilden, die nicht durch den Schlamm robben und sich anbrüllen lassen wollen. Wer sich wirklich sozial engagieren möchte, dürfte das an anderer Stelle tun, statt freiwillig umsonst reguläre Arbeitsplätze zu ersetzen. Da hilft auch kein Gerede davon, wie wichtig (formal nachweisbares!) soziales Engagement im Lebenslauf ist.

Ich sehe drei Möglichkeiten, wozu das Ganze führen kann:

Im Idealfall würden die Zivi-Jobs durch reguläre, bezahlte Arbeitsplätze ersetzt. Das würde aber das Gesundheitswesen verteuern und das Geld müsste irgendwo herkommen. Da mal wieder Bundestagswahl ansteht und somit die FDP mal wieder Steuersenkungen braucht, ist das unwahrscheinlich.

Alternativ kann man natürlich das Gesundheits- und Pflegesystem noch weiter den Bach runtergehen lassen, indem die Stellen nicht ersetzt werden. Kranke und Pflegebedürftige bringen ja wirtschaftlich nichts, also kann man dort ja genausogut einfach sparen – so eine Denkweise würde zumindest zur Einstellung der schwarz-gelben Regierung passen. Aber die dritte Option ist viel verlockender:

Der Bundesfreiwilligendienst wird unfreiwillig. Diesmal nicht für Jugendliche, die man dringend über Turbo-Abi und Turbostudium schnellstmöglich zu wertvollen Arbeitskräften verarbeiten will, sondern für diejenigen, die gerade viele Anhänger der Regierungsparteien als wertlosen, asozialen, faulen Abschaum sehen: Arbeitslose. Diese Variante halte ich für sehr wahrscheinlich, denn die Regierung würde damit viele Fliegen mit einer Klappe schlagen.

Die „faulen asozialen Schmarotzer“ bekommen unter allgemeinem Applaus der typischen Klientel von CDU/FDP endlich was zu tun, und können sich nicht in der „sozialen Hängematte ausruhen“. Indem ALG2-Empfänger zur Zwangsarbeit abkommandiert werden, gewinnen die Regierungsparteien unter ihrer Klientel deutlich an Zustimmung.

Wo der Staat ansonsten Geld für Arbeitskräfte ausgeben musste, kann künftig umso mehr gespart werden, während die „Freiwilligen“ diese Arbeiten übernehmen. Besser wird das Gesundheitswesen dadurch nicht (auch wenn man das natürlich gut behaupten kann, um Pluspunkte zu sammeln), aber vielleicht billiger. Die Mehrwertsteuern für Hoteliers sind ja immer noch viel zu hoch, oder?

Gleichzeitig „löst“ man das selbstgeschaffene Problem mit dem Mangel an Freiwilligen. Der Dienst wird weiter Bundesfreiwilligendienst heißen, aber er mehr zu einem Bundes(zwangs)arbeitsdienst verkommt. Verkauft wird das Ganze natürlich als Wiedereingliederungsmaßnahme o.ä., da mangelt es ja nicht an Kreativität. Vielleicht bleibt der Dienst auf dem Papier weiter freiwillig, aber die Teilnahme wird für viele Arbeitslose als Wiedereingliederungsmaßnahme angeordnet, oder als „freiwillige“ Möglichkeit angeboten, um ein niedriges Zusatzeinkommen zu erhalten und das ALG2 auf menschenwürdiges Niveau zu bringen. Alternativ wäre es auch denkbar, dass der Dienst das ALG2 weitgehend ersetzt, oder sich auch ohne direkte Intervention durch die ARGEn als schlecht, aber immerhin etwas bezahlte „Ersatzarbeit“ für Arbeitslose etabliert.

Das mag zwar alles nach einer guten Idee klingen. Die immer stärkere Einführung von Billigarbeit über 1-EUR-Jobs, Aufstocker, Arbeitsbeschaffungsmaßnahmen und ähnliche Geschichten hat aber eher zu mehr Lohndumping und größerer Armut denn zu besseren Lebensbedingungen geführt. Für Menschen, die z. B. aus gesundheitlichen Gründen nicht mehr arbeiten können, dürfte das eine weitere Verschlechterung der Situation darstellen. Darunter fallen auch die, die durch die immer stärkere Beschleunigung (Turbo-Abi, Turbo-Studium) oder ihre Arbeit psychisch krank gemacht wurden (z. B. Burnout). Zudem dürften die Betroffenen kaum mit angemessenen Arbeitsbedingungen rechnen – schließlich hätten die un-freiwilligen Arbeiter keine Wahl und auch keine Mittel, sich gegen unmenschliche Behandlung zu wehren.

Der freiwillige Bundesfreiwilligendienst dürfte keine Chance haben. Das unausweichliche Scheitern, vielleicht von vorne herein einkalkuliert, wird hingegen eine willkommene Gelegenheit darstellen, Zwangsarbeit zu schaffen und den Sozialstaat weiter auszuhöhlen.

Einschätzung des SCHUFA-Hacks

Wie Gulli berichtet und die Piratenpartei kommentiert hat, wurde die SCHUFA gehackt (in den Kommentaren bei Gulli gibts/gab es Details). Zunächst betraf das „nur“ den Webserver. Die Lücke bestand laut Beschreibung im Gulli-Forum darin, dass das Skript, was Dateien wie Formulare zum Download ausgeliefert hat, den Download beliebiger Dateien von der Platte des Servers erlaubte. Da die eigentliche SCHUFA-Datenbank natürlich hoffentlich nicht auf diesem Webserver liegen dürfte, ist in der Theorie erstmal keine unmittelbare Gefahr gegeben, weil man über die Lücke ja „nur“ Dateien auf diesem Server herunterladen kann. Diese Position vertritt natürlich auch die SCHUFA, ein Datenleck zuzugeben wäre für ihr Geschäft nicht gerade förderlich.

Der Angreifer konnte also mehr oder weniger beliebige Dateien vom Server herunterladen. So ein Fehler in einer Webanwendung ist ein ziemlicher Anfängerfehler, der auf so einem kritischen Server eigentlich nicht passieren darf. (Das sieht der Experte der Tagesschau übrigens genauso.) Wie schon bei der kaputten SSL-Implementierung bei der AusweisApp sieht man, dass die Annahme „so doof können die nicht sein“ keine Garantie dafür ist, dass in einer kritischen Anwendung solche dummen Fehler wirklich nicht vorhanden sind. Dass es dem kaputten Skript wohl auch möglich war, auf Dateien außerhalb des eigentlichen Websiteverzeichnisses zuzugreifen, deutet außerdem darauf hin, dass mit der Rechte- und Benutzerkontenverwaltung auf dem Server auch eher „locker“ (lies: schlampig und ohne wirklich auf Sicherheit Wert zu legen) umgegangen wurde. Daran, dass für die Schufa Datenschutz und Datensicherheit „seit jeher eine hohe Priorität“ hätten, lässt es genauso zweifeln wie am Sicherheitszustand des restlichen Netzes bei der SCHUFA.

Das wird in dem Moment wichtig, wenn man sich klar macht, auf was für Daten mit der Lücke Zugriff möglich war: Der Server muss irgendwie auf die SCHUFA-Datenbank im Hintergrund zugreifen können. Natürlich wäre es möglich, dass hier irgendein ausgeklügeltes Verfahren genutzt wird, bei dem der Zugriff erst freigegeben wird, wenn der sichere Server am anderen Ende das Login des Kunden geprüft hat. Angesichts der oben genannten Punkte halte ich es jedoch für sehr unwahrscheinlich. Am Wahrscheinlichsten ist es, dass irgendwo auf dem gehackten Webserver die Zugangsdaten für die Datenbank im Klartext herumlagen und darüber die Datenbank ausgelesen werden kann. Ein Angreifer konnte diese Zugangsdaten höchstwahrscheinlich mit vertretbarem Aufwand (configdatei finden) bekommen.

Wenn die Schufa schlau genug war, den Datenbankserver hinter eine Firewall zu stellen (so blöd, es nicht zu tun, kann man eigentlich nicht sein, aber siehe oben), bringen diese Zugangsdaten dem Angreifer aber zunächst nichts, weil er sich zu dem Server gar nicht verbinden kann – das ist dann aber die letzte verbleibende Hürde. Gelingt es ihm, z. B. über vom Webserver geklaute Passwörter in den Webserver einzudringen, oder in einen beliebigen anderen Rechner im Netz der SCHUFA, der auch Zugriff auf den Datenbankserver hat (das könnte eingeschränkt sein – könnte…), kann er sich an der Datenbank bedienen. Vielleicht stehen da „nur“ die Daten der Leute an, die meineschufa.de nutzen, es ist aber mindestens genauso wahrscheinlich, dass der Angreifer sich dann beliebige SCHUFA-Datensätze anschauen und herunterladen kann. Solche Angriffe auf weniger gesicherte „unwichtige“ Rechner, um sie als Brücke ins Netz zu benutzen, sind üblich und bei vielen Angriffen wie z. B. dem auf Google beobachtet worden. Über weitere Angriffe mit dieser Lücke als Einstiegspunkt dürfte also vieles möglich sein.

Selbst wenn mehr Schutzmaßnahmen getroffen würden – wenn es einem Angreifer gelingen würde, den offensichtlich mies gesicherten Webserver komplett zu übernehmen, könnte er zumindest die darüber laufenden Daten abfangen, also die Daten derjenigen, die meineschufa.de nutzen, während der Angreifer Zugriff hat. Die Lücke wurde zwar als „Local file inclusion“ bezeichnet, da die Dateien aber scheinbar so wie sie auf der Platte lagen ausgeliefert wurden und PHP-Skripte nicht geparst wurden, würde ich eher von „Local file disclosure“ sprechen. Das ist insofern etwas weniger gefährlich, als über diese Lücke vermutlich wenigstens „nur“ Daten ausgelesen, aber keine Programme auf den Server geschleust werden können. Andere Lücken, die das (und damit die Übernahme des Servers) erlauben, könnten jedoch durchaus existieren.

Meiner Meinung nach kann man die Situation also folgendermaßen zusammenfassen:

• Der Server wurde gehackt, das hat die SCHUFA bestätigt
• Die Sicherheit lässt sehr zu wünschen übrig
• Die SCHUFA-Daten konnten vermutlich nicht direkt ausgelesen werden, aber
• ich halte es für wahrscheinlich, dass ein Angreifer mit etwas Mühe gute Chancen gehabt hat, auch an die SCHUFA-Daten selbst zu kommen.

Jetzt stellt sich natürlich die Frage: Was nun? Zunächst muss natürlich die Lücke selbst geschlossen werden. Indem die SCHUFA das kaputte Download-Skript gelöscht hat, ist diese Gefahr vorerst gebannt. Dann müssen auch alle potentiell betroffenen Zugangsdaten für die Datenbank und sonstige Server geändert werden – denn sonst könne ein Angreifer die vor kurzem gestohlenen Daten in ein paar Wochen, nachdem die eigentliche Lücke schon geschlossen ist, nutzen, um die Datenbank auszulesen. Hier müssen wir hoffen, dass die SCHUFA sich nicht die Mühe spart und darauf verzichtet, „weil man ja von außen eh nicht an die Datenbank drankommt“. Schließlich – und das ist der schwierigste Teil – muss anhand von Logs geprüft werden, ob die Lücke bereits missbraucht wurde, und wenn z. B. Zugangsdaten gestohlen wurden, ob diese missbraucht wurden. Ich bezweifle, dass es ausreichend weit zurückreichende Logs geben wird, um das für die Zeit seit Bestehen der Lücke ausschließen zu können. Somit dürfte nicht eindeutig zu klären sein, ob Daten geklaut wurden oder nicht. Ganz abgesehen davon muss die SCHUFA natürlich massiv an der Sicherheit ihrer Server arbeiten.

Eines muss man der SCHUFA (bisher) jedoch zugute halten: Sie hat soweit ich weiß nicht versucht oder gedroht, dem ehrlichen Hacker, der die Lücke gemeldet hat, irgendeine Form von Ärger zu machen. Das ist eigentlich eine Selbstverständlichkeit und liegt im Interesse der betroffenen Firma – ehrliche Hacker, die Lücken melden, helfen die Sicherheit zu verbessern. Würde eine Firma einen solchen Hacker bedrohen, werden andere dadurch a) wütend b) angesport weitere Lücken zu finden vor allem c) auf gefundene Lücken nicht hinweisen, sondern sie veröffentlichen oder nutzen um Schaden anzurichten – und das ganze natürlich so, dass sie nicht zurückverfolgt werden können. Leider kommen solche Drohungen immer noch viel zu oft vor.

Der Vorfall zeigt auch einige interessante Probleme auf:

Sicherheit kann nicht nachgerüstet werden. Die Sicherheit muss bereits bei der Entwicklung von Software bedacht werden – nachträgliche Tests und Überprüfungen sind sinnvoll, können das aber nicht ersetzen. Irgendwas wird immer übersehen. Hier haben die Entwickler offenbar nicht ausreichend über Sicherheit nachgedacht, als sie das Downloadsystem entwickelt haben. Das ist gerade in einem solchen sicherheitskritischen Bereich eigentlich völlig inakzeptabel.

Datenschutz lohnt sich nicht. Es gibt keine empfindlichen Strafen, wenn jemand Daten nicht ausreichend schützt. Natürlich ist es nicht gut für den Ruf und fürs Geschäft, wenn solche Lecks passieren, aber das scheint als Motivation nicht auszureichen. Würden für Datenlecks Strafen von ein paar Euro pro Datensatz drohen, wäre gerade bei große Datenbanken die Absicherung plötzlich finanziell sehr attraktiv.

In kritischen Bereichen wird massiv geschlampt. Selbst bei so kritischen Servern wie in diesem Fall bei der SCHUFA wird an der Sicherheit gespart und es werden grobe Fehler gemacht. Wie viele andere wichtige Systeme genauso schlecht gesichert sind? Hier sei exemplarisch nur auf SCADA verwiesen, die Industriesteueranlagen, die von der Chemiefabrik bis zum Atomkraftwerk alles Mögliche kontrollieren und meist auf völlig veralteter Software laufen, mit kaum vorhandenen Sicherheitsmaßnahmen (siehe Vortrag auf einem CCC-Kongress).

Volkszählung: Online-Übermittlung unsicher

Aus aktuellem Anlass (die Fragebögen sollen bald raus und jemand der einen bekommen soll hat mich kontaktiert) habe ich mir den Zensus-Kram nochmal angeschaut und mir ist eine Sache aufgefallen: Laut dem Musterfragebogen zur Haushaltsbefragung: werden die Leute, die den Fragebogen online ausfüllen wollen, auf „www.zensus2011.de“ geleitet – sollen die Seite also per unverschlüsseltem HTTP aufrufen. Das ist unsicher, und ob danach sofort eine Umleitung auf HTTPS erfolgt, ist im Fall eines aktiven Angriffs irrelevant, da die erste Anfrage über HTTP rausgeht und somit vom Angreifer manipuliert werden kann, bevor der Server überhaupt was mitbekommt und den Nutzer umleiten kann.

Um diese Art von Angriff zu demonstrieren, gibt es eine fertige Software namens „sslstrip“ von Moxie Marlinspike. Schaltet man diese in die Leitung, so fängt sie https-redirects automatisch ab, sodass der Nutzer weiter http nutzt und die Daten im Klartext über die Leitung gehen. Ich weiß nicht wie weit die Software entwickelt ist, d.h. ob sie auch in diesem Fall ohne Anpassungen funktioniert, aber in dem Moment wo die erste Anfrage unverschlüsselt rausgeht, ist der Angriff machbar.

Um Missverständnisse zu vermeiden – das bedeutet NICHT

• dass die Server gehackt wären
• dass Daten schon offen/geklaut/geleakt wären
• dass jeder mit dem Tool einfach so sämtliche Zensusdaten abgreifen kann
• dass Daten im Normalfall (d.h. ohne Angriff) unverschlüsselt verschickt würden
• dass ein rein passiver Angreifer die Daten abgreifen könnte

Ein aktiver Angreifer kann aber die Daten abfangen. Es zeigt vor allem, dass Sicherheit offenbar nicht wirklich ernstgenommen wird – die Lösung wäre einfach gewesen ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist. Nachträglich könnte man das vermutlich am Besten mit einem zusätzlichen Infoblatt noch retten, was man zusammen mit den Fragebögen austeilen könnte.

Was bedeutet „aktiver Angreifer“? Wie auch die AusweisApp-Geschichte setzt dies voraus, dass der Angreifer den Datenverkehr nicht nur abhören, sondern auch manipulieren kann. Das ist nicht trivial, aber machbar und schon vorgekommen. In der IT- und Netzwerksicherheit geht man – nicht ohne Grund – eigentlich immer von einem sogenannten Dolev-Yao-Angreifer aus, der genau diese Möglichkeiten hat. Die Zertifikate, ein ziemlich komplexer Baustein bei SSL, sind auch nicht ohne Grund da. Die verschiedenen Methoden wie sowas passieren kann müsste ich mal ausführlicher bloggen, einige wären:

• DNS-Server der Domain manipulieren (wie z. B. beim Sicherheitsdienstleister Secunia passiert)
• DNS-Server/Cache des Providers manipulieren/vergiften
• DNS-Cache des Routers manipulieren/vergiften
• Falsches kostenloses WLAN
• Angreifer im gleichen Netzwerk (WG, Firma, Schule, verseuchter PC im Haushalt), dann ARP spoofing/poisoning (oder Kontrolle über Proxy/Router)

Diese Angriffe betreffen den Nutzer auch, wenn sein Computer an sich sicher ist! Um sich zu schützen, muss man vor dem Login prüfen, dass a) HTTPS verwendet wird und b) man immer noch auf der richtigen Seite ist.

Die Zensus-Seite für das Online-Ausfüllen ist noch nicht online – ob da noch weitere peinliche Lücken auftauchen weiß ich nicht, ich hoffe nur, dass Finder sie melden oder veröffentlichen statt sie zu missbrauchen.

Eine andere unschöne Geschichte ist noch, dass beim Zensus die ausgefüllten Fragebögen wahlweise bei den Interviewern gelagert werden (siehe auch: NPD ruft Mitglieder auf, Volkszähler zu werden) oder per Post eingeschickt werden können – aber nicht immer an die statistischen Landesämter, sondern teilweise an private Firmen an die der Kram outgesourced wurde.

Zur generellen Kritik am Zensus sei noch gesagt, dass der Zensus keineswegs anonym ist und die Daten jahrelang personenbeziehbar abgelegt sein dürfen. („Hilfsmerkmale“ sind die personenbezogenen Daten)

Abgefragt (und ggf. bei den Interviewern zuhause gelagert!) werden unter anderem:

• Name, Adresse
• Geburtsdatum
• Telefonnummer
• alle Staatsangehörigkeiten
• Religionsgesellschaft (Pflichtfrage!)
• Glaubensrichtung (freiwillig – bei Islam möchte man es gerne genau wissen: sunnitisch, schiitisch oder alevitisch?)
• Zugewandert? Falls ja, wann und woher?
• Das gleiche nochmal für die Eltern!
• Exakter Beruf(z. B. „Blumenverkäuferin“, nicht „Verkäuferin“)
• Stichworte zur Tätigkeit (z. B. „Beratung, Verkauf, Verpacken von Pflanzen“)

Im Bezug auf die Datenschutzversprechen könnte auch mein Artikel über die herumliegenden Daten die gar nicht da sein sollten beim Statistischen Bundesamt interessant sein.

An dieser Stelle sei noch verwiesen auf:

• Die „Volkszählungsfibel“ des AK Zensus (Zensuskritiker) mit einem guten Überblick über den Zensus und die Kritik daran
• Die FAQ auf der offiziellen Seite

UPDATE:
Um die Angriffe zu verdeutlichen, hier ein paar Diagramme (können per Klick vergrößert werden).
Schwarze Linien zeigen unverschlüsselte Verbindungen an, blaue Linien sind HTTPS-Verbindungen (d.h. verschlüsselt und die Identität des Servers wird geprüft).

Zunächst einmal der normale Ablauf ohne Angriff:

Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum Server und bekommt einen HTTPS-Link auf den Online-Fragebogen. Der Nutzer klickt drauf, sein Browser holt über eine gesicherte Verbindung den Fragebogen ab, der Nutzer loggt sich ein und füllt ihn aus.

Nun ein Angriff:

Der Angreifer leitet sämtliche Verbindungen des Nutzers auf sich um.
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum (falschen!) Server und bekommt eine Antwort mit einem HTTPS-Link auf einen falschen Fragebogen auf einer Domain die dem Angreifer gehört (und für die er daher ein Zertifikat hat). Beispielsweise http://www.zensus2011-befragung.de ist noch frei (die echte Seite heißt zensus2011-befragungen.de, was der normale Nutzer aber nicht wissen kann). Eventuelle Sicherheitshinweise auf der Seite mit dem Link sind natürlich auch auf den falschen Namen angepasst. Der Rest läuft wie beim normalen Zensus, nur dass der Nutzer den Fragebogen des Angreifers ausfüllt. Der kann entweder eine Kopie des echten Fragebogens sein, oder gleich noch zusätzliche Fragen enthalten.

Mit sslstrip kann man einen anderen Angriff automatisiert machen:

Das sieht erstmal komplizierter aus, ist es aber nicht, weil es weitgehend automatisch passiert. Der Nutzer bekommt hier einen http-Link auf die echte Domain, die ungesicherten Anfragen fängt der Angreifer wieder ab, leitet sie (per https, weil der echte Server keine unverschlüsselten Anfragen will) an den Server weiter und liefert die Antwort wieder an den Zensus-Teilnehmer. Dabei liest er natürlich mit, wenn der Teilnehmer den Fragebogen ausfüllt.

Statt einem HTTP-Link (der das Opfer eventuell wegen der fehlenden Verschlüsselung stören könnte) kann der Angreifer auch einen HTTPS-Link auf eine andere, eigene Domain (wie bei Angriff 1) liefern, und die an ihn gestellten Anfragen von sslstrip weiterreichen lassen.

Wenn auf dem Fragebogen die Adresse mit https stehen würde, würde es so aussehen:

Bereits die erste Anfrage geht über HTTPS, es gibt keine unverschlüsselten Anfragen! Würde der Angreifer hier angreifen wollen, würde es so aussehen:

Der Browser merkt beim Aufbau der gesicherten Verbindung, dass er nicht mit dem richtigen Server spricht, und bricht mit einer sehr deutlichen Warnmeldung an den User ab.

Die Diagramme sind übrigens mit mscgen erstellt.

Atomkraft? Sicher! [Foto/Wallpaper]

Dieses Werk von Jan Schejbal steht unter einer Creative Commons Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Deutschland Lizenz.

• Position der Piratenpartei zur Atomenergie

Wallpaper:

• 640×480
• 720×480
• 768×576
• 800×480
• 800×600
• 854×480
• 1024×768
• 1152×768
• 1280×720
• 1280×768
• 1280×800
• 1280×854
• 1280×960
• 1280×1024
• 1366×768
• 1440×900
• 1440×960
• 1400×1050
• 1600×1200
• 1680×1050
• 1920×1080
• 1920×1200
• 2048×1080
• 2048×1536
• 2560×1600
• 2560×2048

ePerso: PIN-Diebstahl ohne Malware

Der CCC hatte im September 2010 einen Angriff gegen den ePerso präsentiert: Ein Trojaner auf dem PC des Nutzers kann die PIN abfangen, wenn der Nutzer sie über die Tastatur eingibt. Das ist für jeden, der sich ein wenig auskennt, keine Überraschung – aber durchaus ein großes Problem für den realen Einsatz des Personalausweises.

Ich habe nun einen Angriff entwickelt, der in der Lage ist, die PIN des Nutzers zu stehlen, ohne Malware auf dem Rechner des Nutzers zu installieren. Wer sich das mal anschauen möchte, kann ja die Altersverifizierung für den (fiktiven) FSK18-Bereich der Piratenpartei-Website durchführen. (Die PIN wird bei der Demo natürlich nicht an den Server gesendet.) Wer den Angriff testen will, sollte das jetzt erstmal tun und nicht weiterlesen.

v

v

v

Man kann den Angriff auch ohne Ausweis, Lesegerät und AusweisApp testen: Einfach eine sechsstellige PIN ausdenken und so tun als sei die AusweisApp installiert, das Lesegerät angeschlossen und der Ausweis aufgelegt.

v

v

v

Der Angriff funktioniert ganz einfach: Mit JavaScript, HTML und Screenshots (also Bildern) wird eine AusweisApp im Browser simuliert. Der Nutzer denkt, er würde die echte AusweisApp sehen, und gibt seine PIN ein. In diesem Fall wird nach der PIN-Eingabe eine Auflösung angezeigt, bei einem echten Angriff bekäme der Nutzer eine Fehlermeldung zu sehen, damit er keinen Verdacht schöpft, und seine PIN würde an den Server geschickt. Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht. (Und auch sonst funktioniert an dem ganzen Projekt ziemlich wenig: Die Änderungs-Terminals spinnen, Sonderzeichen machen Probleme, und so weiter.

Bei dieser Simulation ist es nicht möglich, die PIN über die eingebaute Bildschirmtastatur einzugeben, die entsprechende Schaltfläche fehlt. Das hat allerdings nichts damit zu tun, dass das prinzipiell nicht möglich wäre, sondern dass ich faul bin und keine Lust hatte, noch ein Dialogfeld detailgetreu nachzubauen. Sollte also jemand als „wirksame“ Gegenmaßnahme vorschlagen wollen, die Bildschrimtastatur zu nutzen, kann ich das gerne noch nachreichen. Die Bildschirmtastatur schützt lediglich vor sehr einfachen Keyloggern, und vermittelt ansonsten nur ein falsches Gefühl der Sicherheit. Wer Ausweise missbrauchen will, wird sich beim Trojanerschreiben die Mühe machen, auch Eingaben über die Bildschirmtastatur zu erkennen – das ist keine Kunst, sondern Fleißarbeit.

Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden. Das könnte zwar zu der Behauptung führen, dass dieser Angriff -in der Theorie- gar kein richtiger Angriff sei – das Ergebnis ändert das aber nicht: Der Angreifer hat am Ende die PIN des Nutzers.

Diese Funktionsweise macht es umso schwieriger, den Angriff zu verhindern: Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses Problem hingegen lässt sich nur lösen, indem man den Nutzern beibringt, worauf sie zu achten haben – und sie dazu erzieht, auch tatsächlich daran zu denken, jedes mal auf diese Merkmale zu achten. Das ist allerdings sehr schwierig.

Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?

Um sich gegen diesen Angriff zu schützen, muss man lernen, falsche von echten Fenstern zu unterscheiden. Im Browser wird die Website in einem bestimmten Bereich angezeigt. Lässt sich ein Fenster aus diesem Bereich heraus verschieben, dann handelt es sich zumindest um ein richtiges Fenster. Allerdings können Webseiten auch Popup-Fenster öffnen, die sich dann frei verschieben lassen. Bei allen gängigen Browsern kann die Website dabei zwar viele Teile des Browserfensters ausblenden, aber die Adressleiste (bzw. bei Opera eine dünne Leiste mit der Website-Adresse) bleibt immer stehen, eben um zu verhindern, dass ein Popup für ein echtes Fenster gehalten wird. Der „Verschiebetest“ zusammen mit einem kritischen Blick auf das Fenster ist also ein guter allgemeiner Anhaltspunkt.

Darüber hinaus hat die AusweisApp (bei angeschlossenem Lesegerät) ein Chip-Symbol in der Taskleiste neben der Uhr, welches bei aufgelegter Karte grün wird. Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte. Da ich nicht ausschließen möchte, dass es möglich ist, die AusweisApp zu aktivieren und dann irgendwie zu überlagern, würde ich den Verschiebetest zusätzlich empfehlen. Seltsam aussehende Schrift im AusweisApp-Fenster ist übrigens kein Hinweis auf eine Fälschung: Die Schriften sehen auch in der echten AusweisApp seltsam aus.

Man kann falsche Fenster also durchaus unterscheiden – aber die Hinweise, wie man es macht und dass man es machen solte, fehlen in den Hochglanzbroschüren zum Ausweis. Von sich aus kommen selbst Fachleute selten auf die Idee, diese Prüfungen zu machen, solange nicht irgendetwas Verdacht erregt. Eine gute Fälschung tut das aber nicht.

Ist der Angreifer im Besitz der PIN, reicht dies allein zwar noch nicht, um die Identität des Ausweisinhabers zu missbrauchen – die PIN existiert aber nicht ohne Grund und sollte nicht nur zum Spaß geheimgehalten werden. Ein Beispiel für einen Angriff, für den eine gestohlene PIN nützlich wäre, wurde auf dem 27C3 präsentiert.

Warum ich den Ausweis auch unabhängig von der Lücke ablehne, steht in diesem Beitrag. Auf weitere grundsätzliche Probleme wie die Beweislastumkehr, die für Ausweisnutzer ein ziemlicher Nachteil ist, werde ich in weiteren Beiträgen eingehen wenn/falls ich dafür Zeit finde. Ich kann nur davon abraten sich so einen Ausweis zu holen, bzw. wenn man schon einen hat, ihn zu nutzen. Auch wenn Alufolie immer an Verschwörungstheoretiker mit Aluhüten erinnert – ein paar Lagen davon, um den Ausweis gewickelt und an den Seiten umgefaltet, verhindern das Auslesen sowohl beim Ausweis als auch bei anderen RFID-Karten zuverlässig.

Noch ein kleiner Hinweis für die Presse: Ich bin immer noch kein CCC-Mitglied, obwohl ich letztes Mal nach den Falschmeldungen eingeladen wurde ;-)

Fragen die öffentlich beantwortet werden sollen/können, bitte über die Kommentarfunktion. Sonstige (An)fragen bitte über Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) oder Mail an janhomepage [at] gmx punkt net. Telefon ist ungünstig, ggf. bitte Festnetznummer per Mail schicken.

Asse – Mathematik der Lügen

In „Wahrscheinlichkeitsrechnung des Terrors“ hatte ich vor Jahren mathematisch erklärt, warum vermeintlich sichere Verfahren zum Erkennen von Terroristen (oder sonstigen Tätern) dazu führen würden, dass ziemlich viele Unschuldige eingelocht würden. Die Grundidee dabei ist: Wenn man mit einem Verfahren, was sich nur selten irrt, sehr sehr viele Menschen testet, wird es in einigen Fällen danebenliegen. Gibt es nun nur wenige Terroristen in der Gesamtmenge, meldet das Verfahren eventuell mehr Unschuldige als es Terroristen erkennt.

Mit der Asse (dem löchrigen einsturzgefährdeten Atommülllager) gibt es nun ein anderes mathematisches Problem. Da ich hier ZDF-Quellen habe, muss ich recht großzügig zitieren, weil das ZDF die Originalquellen depublizieren wird. Um die Asse wurde eine deutlich erhöhte Krebsrate beobachtet. Laut diesem ZDF-Beitrag schließt die Regierung einen Zusammenhang aber aus:

Die Anzahl der Krebsfälle rund um das marode Atomlager Asse liegen über dem Durchschnitt – einen Zusammenhang hat die Bundesregierung nun einem Bericht zufolge ausgeschlossen. Sie erklärte demnach die Erkrankungsrate mit „statistischen Zufällen“.

Ob es einen Zusammenhang besteht zwischen „erhöhter Krebsrate“ und „Da ist ein Berg in der Nähe den sie mit (krebserzeugendem) Atommüll vollgemacht haben, indem sie Fässer aus ein paar Meter Höhe mit einem Radlader abgekippt haben. Danach ist da Salzlake durchgeflossen bis sie radioaktiv verseucht im Grundwasser gelandet ausgetreten ist“. – das kann man mathematisch nicht beweisen. Um zu beurteilen, ob es „statistische Zufälle“ sind, gibt es aber ein Verfahren. Das nennt sich Hypothesentest und klingt böser als es ist. Wir können damit keine Sachen beweisen, aber wir können damit Sachen wiederlegen. Beispielsweise die Behauptung, das Auftreten sei reiner Zufall und die Wahrscheinlichkeit, Krebs zu bekommen, sei nicht erhöht. Diese Behauptung nennt sich „Nullhypothese“. Die Gegenhypothese ist „ist doch kein Zufall, die Wahrscheinlichkeit ist erhöht“. (Wohlgemerkt: Die Ursache für die Erhöhung können wir nicht feststellen!)

Zunächst einmal zu den Parametern. Im Videobeitrag wird gesagt: „Die Fälle von Blutkrebs [haben sich] verdoppelt. Es sind 18 Neuerkrankungen an Leukämie bei 10000 Einwohnern.“ (Blutkrebs = Leukämie) Damit haben wir alle Werte die wir für die Berechnung brauchen: 18 Betroffene, 10000 Einwohner, normale Fallzahl wäre 9, d.h. eine Wahrscheinlichkeit von 9/10000. Welcher Zeitraum betrachtet wird wissen wir nicht, aber aufgrund der „verdoppelt“-Aussage können wir uns sicher sein, dass die Wahrscheinlichkeit sich auf den gleichen Zeitraum bezieht wie die Anzahl der Betroffenen.

Wir brauchen also eine Binomialverteilungstabelle. Das ist mit OpenOffice Calc (oder Excel) schnell erledigt, in Spalten B und C wird jeweils eingetragen:

=BINOMVERT(A3;10000;9/10000;FALSCH)
bzw.
=BINOMVERT(A3;10000;9/10000;WAHR)

(In Spalte A sind fortlaufende Zahlen von 0 bis 100 – weiter brauchen wir die Tabelle nicht, da die Wahrscheinlichkeiten im Bereich über 100 verschwindend gering sind)

Diese Tabelle gibt an, wie wahrschenlich es ist, dass genau eine bestimmte Anzahl Krebsfälle auftritt, wenn die Wahrscheinlichkeit tatsächlich 9/10000 ist. (Spalte B gibt diese Wahrscheinlichkeit an, Spalte C die aufsummierte Wahrscheinlichkeit, also die Wahrscheinlichkeit für „bis zu x Fälle“.)

Nun entscheiden wir uns, wie genau wir es haben möchten. Ich wähle einen maximalen Fehler von 1% (hätte meine Aussage also gerne mit 99%-iger Sicherheit). Wäre ja schlimm, wenn wir unsere Politiker zu Unrecht der Lüge bezichtigen würden. Nun sind alle Vorbereitungen getroffen und wir können unseren einfachen einseitigen Hypothesentest durchführen: Wir schauen in Spalte C (der summierten Wahrscheinlichkeit) und suchen den ersten Wert >= 99%. Dann lesen wir ab: links steht zu diesem Wert 17. Das bedeutet: Wenn die Krebsrate in der Asse-Umgebung nicht erhöht wäre, würden mit mindestens 99% Wahrscheinlichkeit höchstens 17 Leukämiefälle auftreten.

Die Behauptung, die Krebsrate sei nicht erhöht und die Häufigkeit vor Ort sei reiner Zufall, ist somit widerlegt. (Es ist damit allerdings nicht bewiesen, dass das auch tatsächlich etwas damit zu tun hat, dass direkt daneben ein Berg steht, den sie mit (krebserzeugendem) Atommüll vollgemacht haben, indem sie Fässer aus ein paar Meter Höhe mit einem Radlader… ich glaub ich wiederhole mich.)

Nun kommen wir aber zur Wahrscheinlichkeitsrechnung des Terrors zurück: Würde man einen Test mit einer Zuverlässigkeit von 99% auf tausend Orte anwenden, würde man selbst wenn alles normal wäre 1%, also 10 Orte, als Betroffen ansehen. Darüber versucht die Regierung sich auch rauszureden. Ich habe aber nicht den Eindruck, dass hier 1000 Orte untersucht wurden, und einer betroffen war, sondern es wurde die Umgebung eines Bergs (den sie mit (krebserzeugendem) Atommüll …) untersucht.

Um einen Zusammenhang mathematisch auszuschließen, müsste man den Test übrigens umgekehrt machen: Die Nullhypothese (das was zu widerlegen ist) wäre also „die Krebsrate ist erhöht“ und das würde man dann versuchen zu widerlegen. Wenn die Anzahl der Fälle über dem Mittelwert liegt, wird das allerdings nicht gelingen.

Was wären also mögliche Ursachen? Die Regierung stellt die Behauptung auf:

Um den beobachteten Anstieg mit Strahlung erklären zu können, müsste nach den vorliegenden wissenschaftlichen Kenntnissen über die Entstehung entsprechender Krebserkrankungen die Dosis etwa 10.000 mal höher sein als beobachtet.

Wenn man fies und unsachlich wäre, könnte man diese Steilvorlage jetzt nutzen und Spekulationen über die Strahlendosis anstellen. Die kann man schließlich auch (absichtlich) falsch/an „passenden “ Orten messen. Das halte ich jedoch für unnötig: Radioaktivität die man von außen abbekommt ist eine Sache. Nicht gerade gesund, aber nicht allzu gefährlich, wenn man es mit einem anderen Problem vergleicht: In den Körper aufgenommene radioaktive Stoffe. Da kann die Strahlendosis in der Umgebung noch so gering und unter allen gefährlichen Werten sein, wenn man strahlende Partikel im Körper hat, hat man ein Problem. Alphastrahlung kann, wenn sie von außen kommt, keinen Schaden anrichten, da sie in den oberen (toten) Hautschichten abgefangen wird. Gelangt allerdings ein Alphastrahler in den Körper, können seine Strahlen verheerende Schäden anrichten (ungefähr 20x so viel wie Gammastrahlen!). Angesichts der Lecks ist das leider zumindest kein unrealistisches Szenario.

UPDATE: Das Epidemiologische Krebsregister Niedersachsen ist auch der Meinung, dass das kein Zufall ist. (Danke für den Link, Felix!) Welch Überraschung. Wohlgemerkt: damit ist immer noch nicht bewiesen, dass es auch tatsächlich an der Asse liegt – allerdings ist damit geklärt, dass die Behauptung der Bundesregierung („statistische Zufälle“) eine Lüge ist.

Wie man Leute zum Gegner des ePerso macht

Eigentlich habe ich die Idee eines ePerso an sich nicht generell abgelehnt. Man achte auf die Wortwahl: Nicht wirklich befürwortet, aber sowas hat auch einige Vorteile und ich war nicht wirklich überzeugt, dass die Gefahren durch politischen Missbrauch tatsächlich so groß sind, wie einige behauptet haben. (Das hat natürlich nichts mit der technischen Sicherheit zu tun, die konkrete Implementierung halte ich für, … suboptimal.)

Die Argumentation der strikten Gegner online nutzbarer Ausweisdokumente ist folgende: Sobald es eine leichte Möglichkeit gibt, die Identität des Gegenübers im Netz zu prüfen, könnte sich schleichend zur Selbstverständlichkeit entwickeln (oder politisch durchgesetzt werden), im Netz immer den Ausweis vorzuzeigen, was die Anonymität im Netz zerstören würde. Damit wären Privatsphäre und vor allem freie Meinungsäußerung mehr oder weniger tot.

Ich habe diese Gefahr bisher als eher nicht so groß gesehen, zumal der Einsatz des Personalausweises für die Seitenbetreiber teuer und bürokratisch sein soll, und war vorsichtig optimistisch – mit einer vernünftigen Technik, die nicht auf Wirtschaftsförderung sondern auf vernünftiges Funktionieren optimiert ist, hätte so eine sichere Ausweismöglichkeit durchaus auch Vorteile – sichere Logins, Bankkonten online eröffnen, Onlineshops die Ware vielleicht eher mal auf Rechnung/Bankeinzug rausrücken statt auf Vorkasse zu warten, und vieles mehr. Daher auch mein Standpunkt, die Idee eines ePerso an sich nicht generell abzulehnen.

Herr Axel Fischer, natürlich von der CDU, hat es aber geschafft, mich mit einem Schlag zu einem überzeugten Gegner des Konzepts zu machen. Er konnte einfach nicht anders, als genau den befürchteten Missbrauch unverzüglich zu fordern. Danke, Herr Fischer, dass Sie mir die Augen geöffnet haben. Ach, das ist übrigens nicht irgendwer, sondern der Vorsitzende der Enquete-Kommission „Internet und digitale Gesellschaft“, also quasi der Internetexperte der CDU.

Das meiste ist bei Netzpolitik schon gesagt worden. (Update: Dieser Heiseforumskommentar bringts auch auf den Punkt.) Die Möglichkeit, sich anonym und somit sicher vor Repressalien zu äußern, ist eine Voraussetzung für eine freie Meinungsäußerung. Diesen Grundpfeiler der Freiheit abschaffen zu wollen passt in meinen Augen zu totalitären Zensurstaaten – die Forderung kommt für mich der Forderung gleich, hier einen solchen Staat zu errichten. (Mir ist sooo klar was jetzt für ein Kommentar kommt. Er ist langweilig und weder lustig noch interessant noch nötig. Der erste der ihn postet bekommt nen Fisch in seinen Kommentar geklebt.) Jede Meinungsäußerung zuordnen zu können ist nämlich besonders dann wichtig, wenn man unliebsame Äußerungen zügig bestrafen will.

Nur eines finde ich an dieser Forderung wirklich schade: Dass sie nicht rechtzeitig vor meinen ganzen Interviews rauskam.

CDU-Beschluss zur Netzpolitik, übersetzt

Netzpolitik weist auf einen CDU-Vorstandsbeschluss hin, welcher (als letzten Punkt) auch die Netzpolitik erwähnt. Mit ein wenig Übung kann man aus solchen Beschlüssen durchaus Absichten herauslesen. Für die weniger erfahrenen, hier eine Übersetzung. Zitate sind gekennzeichnet und stammen aus dem verlinkten Dokument. Hervorhebungen von mir.

Sollte sich jetzt irgendwer von der CDU gekränkt fühlen und/oder der Meinung sein, dass die Übersetzung ungenau ist: Ihr habt die nächsten Jahre Zeit, das unter Beweis zu stellen. Aber bitte insgesamt und nicht in irgendwelchen Details. Viel Glück.

 

Die Übersetzung

 

Es ist unser Ziel, die Möglichkeiten des Internets in allen Lebensbereichen optimal nutzbar zu machen und den Standort Deutschland als moderne Informations- und Kommunikationsgesellschaft weiter zu entwickeln.

 

Wir wollen das Internet kommerzialisieren wo auch immer das möglich ist und die kommerzielle (Aus)nutzung des Internets fördern. Wirtschaftliche Interessen haben Vorrang vor allem anderen.

 

Ein Netz ohne staatliche Mindestregulierung entspricht nicht unserer Vorstellung von politischer Verantwortung.

 

Wir wollen das Internet regulieren.

 

Gleichzeitig sind wir uns bewusst, dass zentrale und rein nationale Regelungen nur bedingt wirksam sind, gerade auch wenn es um Kriminalität im Internet geht. Fragen der Netzpolitik sind daher im europäischen und internationalen Dialog zu beantworten, Netzaktive und Branchenverbände werden wir dabei einbeziehen.

 

Wir wissen, dass wir unseren Überwachungswahn hier nicht durchgesetzt kriegen, weil uns die Bürger zu sehr auf die Finger schauen. Deswegen werden wir den Weg über die EU-Ebene und internationale Abkommen gehen. Lobbyisten werden dabei die Gesetzesentwürfe schreiben, während wir ein paar „Netzaktive“ ihre Meinung sagen lassen (die wir natürlich ignorieren), um die Massen ruhig zu stellen.

 

Dabei wird in der CDU die Abwägung zwischen „Freiheit“ und „Sicherheit“ stets eine wichtige Rolle spielen.

 

Die Freiheit darf die Sicherheit dabei nie einschränken. Wir fordern die totale Kontrolle.

 

So halten wir das Urheberrecht und das geistige Eigentum für schützenswerte Grundlagen von Innovation und Wirtschaftswachstum in unserer Gesellschaft.

 

Das Urheberrecht wird weiter nach Wünschen der Verwerterindustrie verschärft.

 

Auch ist es unserer Ansicht nach Aufgabe des Staates, etwa im Bereich des Daten-, Kinder-, Jugend- und Verbraucherschutzes, verbindliche Rahmenbedingungen für das Netz zu schaffen.

 

Unter dem Vorwand des Daten-, Kinder- und Jugendschutzes werden wir die Überwachung und Zensur des Internets vorantreiben und in Gesetzesform gießen. Mit ein paar wirkungslosen Verbraucherschutzregeln zünden wir eine Nebelkerze um ein – wenn auch irrelevantes – Gegenbeispiel zu haben, wenn man uns daran erinnert, dass wir eigentlich fast immer für die Lobbyisten und gegen die Verbraucher arbeiten. Falls wir am Datenschutz was ändern, werden wir „klare“ und einfache Rahmenbedingungen schaffen – „einfach“ dadurch, dass wir die Einschränkungen bei der Datennutzung reduzieren.

 

Die CDU hat eine Arbeitsgruppe „Netzpolitik“ eingerichtet, die für den Bundesparteitag 2011 programmatische Positionen erarbeiten wird, mit denen wir diese Entwicklung fördern, den Herausforderungen begegnen und die Bürger über die Chancen und Risiken der digitalen Welt informieren können.

 

Wir haben eine ganze Arbeitsgruppe eingerichtet, um so zu tun, als ob wir Ahnung vom Thema haben. Gleichzeitig werden wir uns intensiv bemühen, die Freiheit im Netz weiter einzuschränken und Propaganda über das große böse Internet zu verbreiten.

Stuttgart 21: Gezielte Kopfschüsse mit Wasserwerfern

Zu den Wasserwerfereinsätzen der Polizei in Stuttgart habe ich ein Video gefunden, wo ein Wasserwerfer bei einzeln stehenden Personen aus relativ geringer Entfernung gezielt auf den Kopf zielt, und zwar mit einem ziemlich kräftigen Strahl. Wozu das führen kann, hat man ja leider gesehen. Auf diesem Video bei 2:47 (direkt nach dem kleinen Schnitt) sieht man einen solchen Vorfall – da scheint es übrigens so, als würde gezielt ein Fotograf/Kameraman aufs Korn genommen, was ich besonders abartig finde.

Damit man besser sieht was passiert, habe ich hier mal die relevanten Frames extrahiert und ein langsam abgespieltes animiertes GIF daraus gemacht. Man sieht eindeutig, wie der Strahl genau den Kopf trifft, und man sieht auch die Wucht, mit welcher der Strahl auftrifft. Die ersten Bilder sind vom Einschlag des Strahls, die letzten zwei (in etwas größeren Abständen) zeigen die Situation direkt danach. Im letzten Bild (etwa eine Sekunde nach dem Einschlag des Strahls) sieht man dann, dass vor dem Fotografen mehrere Meter frei waren und der Strahl deutlich über die Plane hinwegging, die ein paar Leute in der Nähe des Wasserwerfers gespannt hatten. „Versehentlich zu hoch geschossen“ dürfte (auch angesichts des Volltreffers) also keine Ausrede sein. Links, rechts und hinter dem Fotografen waren übrigens auch Köpfe – anders als mit Absicht ist das meiner Meinung nach kaum zu erklären.

Das Bild gibts wegen der Größe erst nach dem Klick: Hier klicken zum Weiterlesen

Schießsport erlauben, aber Spiele verbieten?

Über Fefe bin ich darauf aufmerksam geworden, dass Wolfgang Bosbach (CDU) nach dem Amoklauf in Lörrach darauf hingewiesen hat, dass man wegen eines solchen Vorfalls nicht gleich das Sportschießen verbieten könne. Da stimme ich ihm übrigens zu. Interessant wird das erst, wenn man sich vor Augen führt, dass er ein Verfechter von Computerspielverboten ist.

Diesen Widerspruch kann ich irgendwie nicht verstehen – denn wegen einzelner solcher Vorfälle etwas verbieten zu wollen, was allerhöchstens sehr indirekt damit zu tun hat, scheint mir recht unlogisch. Eigentlich wollte ich Herrn Bosbach daher über Abgeordnetenwatch fragen, aber darüber will er nicht gefragt werden:

Da ich seit vielen, vielen Jahren völlig problemlos per Brief, per Fax oder per E-Mail erreichbar bin, darf ich Sie sehr herzlich darum bitten, etwaige Fragen an mich auch unmittelbar zu adressieren, ein Umweg über Abgeordnetenwatch.de ist wirklich nicht notwendig. Sodann werde ich Ihnen gern antworten. Selbstverständlich können Sie meine Antwort auch gern veröffentlichen.

Das ist natürlich schade, denn so kann man seine Antworten auf die Fragen anderer Leute nicht lesen, aber natürlich sein gutes Recht.

Daher habe ich folgenden Text eben direkt per Mail an ihn geschickt, und werde die Antwort dann hier veröffentlichen, sobald sie eintrifft (Links waren in der Mail als Fußnoten):

Sehr geehrter Herr Bosbach,
im Rahmen der Diskussion um eine Verschärfung des Waffenrechts, welche durch die Amoktat in Lörrach entfacht wurde, haben Sie laut Zeit gesagt:
„Wegen einer solchen Tat kann man nicht Millionen von Sportlern die Ausübung ihres Sports verbieten.“

In diesem Punkt stimme ich Ihnen völlig zu. Umso mehr überrascht war ich jedoch, als ich darauf hingewiesen wurde, dass Sie sich nach dem Amoklauf in Emsdetten in einem SPIEGEL-Interview vom 23.11.2006 dafür ausgesprochen haben, gewalthaltige Computerspiele zu verbieten.

Hat sich Ihre Meinung diesbezüglich seitdem geändert?

Falls nein, warum halten Sie es für richtig, Millionen von Spielern die Ausübung ihres Freizeitvergnügens zu verbieten, obwohl Sie dies bei Sportschützen (völlig zu Recht) ablehnen?

Computerspiele eignen sich (im Gegensatz zum Sportschießen) keineswegs dazu, den Umgang mit einer Waffe zu erlernen, und sie geben dem Spieler auch keine Möglichkeit, an echte Waffen zu gelangen. Selbst wenn die Spiele – was umstritten ist – bei manchen Personen bereits vorhandene Neigungen zur Gewalt verstärken würden, scheint mir dies eine deutlich geringere Gefahr zu sein als die, die Sie beim Sportschießen bereit sind, in Kauf zu nehmen. Ein Verbot aus rein subjektiven moralischen Gesichtspunkten wäre meiner Meinung nach einer freiheitlichen Gesellschaft unwürdig und schwer nachvollziehbar – bei Sportarten wie Boxen werden ja auch keine Verbote gefordert.

Mit freundlichen Grüßen
Jan Schejbal

P.S.: Ich finde es schade, dass Sie keine Fragen über Abgeordnetenwatch entgegennehmen möchten. Das Portal erlaubt es anderen Besuchern schließlich, auch fremde Fragen und die Antworten darauf an einem Ort einzusehen und leicht zu finden.

Auf die Antwort bin ich jedenfalls gespannt.

Polizeigewerkschaftswahnsinn

Wenn in den Medien wieder einmal berichtet wird, dass die/eine Polizeigewerkschaft irgendetwas fordert, muss man immer daran denken zu fragen, welche. Es gibt nämlich drei, die sich regelmäßig zu politischen Themen äußern:

• DPolG (Deutsche Polizeigewerkschaft)
• BDK (Bund Deutscher Kriminalbeamter)
• GdP (Gewerkschaft der Polizei)

Hält man die nicht auseinander, macht man schnell eine halbwegs vernünftige Gewerkschaft für die Äußerungen einer anderen, weniger vernünftigen, verantwortlich.

Der BDK ist bekannt dafür, dass er gerade was der Internet betrifft, gerne viel und vor allem viel Unsinniges fordert, ohne wirklich Ahnung zu haben. Die aktuellste respektable Leistung hierbei ist die Forderung eines „Reset-Knopfs“ (gemeint ist ein Not-Aus), mit dem das Internet bei Angriffen abgeschaltet werden kann. Ich denke, die folgende Karikatur bringt die „Sinnhaftigkeit“ des Vorschlags auf den Punkt:

Die BDK-Meldungen zeichnen sich aus meiner Sicht meist mit recht starkem Populismus und Polemik aus, teilweise hat man den Eindruck, dass einfach irgendwo aufgeschnappte Ideen zur eigenen Forderung werden, um in die Presse zu kommen. (Mit dem Internet-Notaus-Knopf machen sich in Amerika seit längerem Leute lächerlich.)

Zumindest eine der anderen Polizeigewerkschaften hatte ich eigentlich als halbwegs vernünftig in Erinnerung und hatte den Eindruck, die Existenz von Bürgerrechten sei ihnen zumindest bekannt. Sicher bin ich mir nicht, ich glaube es war die DPolG, die auch das BKA-Gesetz wegen mangelndem Schutz von Bürgerrechten kritisierte. (UPDATE: Ich hab mir die alten Meldungen nochmal angeschaut, kann genausogut die GdP gewesen sein, ich weiß es nicht.)

Das hat sich geändert. Zum BDK muss ich ja nicht mehr viel sagen. Die GdP hat sich vor kurzem durch eine Aussage ihres Chefs hervorgetan, nach der er sich nicht vorstellen kann, dass die Sicherungsverwahrung Bürgerrechte verletzen könnte. Jetzt hat auch die DPolG nachgelegt, und gleich mal einen Pranger gefordert.

Derzeit kann man also von keiner der drei Gewerkschaften sagen, dass sie Bürgerrechte und die freiheitlichen Grundsätze unserer Gesellschaft auch nur ansatzweise verinnerlicht hätte. (Ergänzung:) Ab und zu schaffen sie es was überraschend positives zu veröffentlichen, aber kurz danach greifen sie wieder daneben. Dennoch sollte man bei Nachrichten unterscheiden, welche der Gewerkschaften was absondert, da es doch noch Unterschiede gibt. BDK-Äußerungen führen bei mir inzwischen nichtmal zu Kopfschütteln – von denen bin ich das gewohnt. Die anderen Gewerkschaften nehme ich zumindest noch etwas ernst. Schade, dass die Presse üblicherweise jede Äußerung einer dieser drei Gewerkschaften aufgreift und verbreitet, fast als wäre es eine offizielle Meldung einer Behörde. Bei vielen Bürgern kommt leider meist nur „Polizeigewerkschaft“ und somit „Polizei“ und somit „offiziell“ und somit „gut“ an…

UPDATE 2: Die FAZ hat es soeben geschafft, ein schönes Gegenbeispiel für den letzten Satz zu liefern. Leider dürfte das die Ausnahme sein, die die Regel bestätigt… UPDATE 3: Hrmpf. Die FAZ hat Constanze Kurz vom CCC für sich schreiben lassen, kein Wunder dass die Meldung was taugt. Immerhin gut, dass sie wenigstens auf Kompetenz setzen, aber lieber wäre mir, wenn die Medien von alleine mit ihren üblichen Autoren auf sowas kämen – so wird es viel zu selten was.

Sicherheitskontrollen kosten Menschenleben

Dieser Artikel gammelt nun schon seit über einem halben Jahr im Entwürfeordner vor sich hin. Angesichts aktueller Nachrichten, die von einer erhöhten Gefährlichkeit von Nacktscannern sprechen, möchte ich ihn endlich ausgraben.

Im Jahr 2000 gab es 1,6 Milliarden Flugpassagiere (Quelle, mehrfach fliegende Personen werden natürlich auch mehrfach gezählt). Ausgehend von dieser Zahl lassen sich nun wunderbare Berechnungen anstellen:

Angenommen durch die Einführung einer schärferen Sicherheitskontrolle verlängert sich die Dauer, die ein Passagier in der Kontrolle (inkl. Warteschlange) verbringt, im Weltdurchschnitt um eine Minute. Das ist schnell erreicht, denn selbst wenn die Kontrolle an sich schnell geht, können auch kleine Verzögerungen die Schlangen schnell wachsen lassen, wenn sie nicht durch mehr Personal kompensiert werden. Insgesamt würden die Passagiere dann 1,6 Milliarden / (60*24*365) = 3044 Jahre an Lebenszeit zusätzlich in den Sicherheitskontrollen verbringen. Bei einer Lebenserwartung von 85 Jahren wären das ca. 36 Menschenleben für eine Minute längere Kontrollen.

Natürlich mag es unpassend erscheinen, bei Terroranschlägen getötete Menschen und in Warteschlangen verschwendete Menschenleben zu vergleichen. Ein deutlich direkteres Beispiel kann daher an der (inzwischen nicht mehr ganz) aktuellen Nacktscanner-Debatte gegeben werden.

Es existieren drei Typen dieser Scanner. Passive Terahertzscanner fangen nur vom Körper sowieso abgestrahlte Strahlung auf und sind rein vom gesundheitlichen Standpunkt unproblematisch. Aktive Terahertzscanner senden selbst extrem hochfrequente elektromagnetische Wellen aus, die als harmlos gelten, auch wenn sie noch nicht abschließend erforscht sind. Der dritte Typ arbeitet mit Röntgenstrahlung, deren Gefahren recht gut bekannt sind. Dieser Typ soll in der EU nicht eingesetzt werden, ist in den USA aber bereits im Einsatz.

Die Strahlenbelastung soll dabei laut der aktuellen Nachricht nach Herstellerangaben (meine früheren Zahlen waren niedriger!) 0,1 bis 0,2 Mikrosievert. Klingt nach wenig, und ist es auch – die Hintergrundstrahlung ist deutlich stärker, insbesondere bei Flügen in großen Höhen. Die Gefährlichkeit von Strahlung wird meist als linear angesehen, d.h. zehnmal so viel Strahlung bedeutet zehnmal so viele Tote. Das individuelle Risiko, durch die Spätfolgen eines solchen Scans ums Leben zu kommen, ist aufgrund der geringen Strahlungswerte vernachlässigbar. Generell geht man davon aus, dass langfristig eine Bestrahlung mit 1 Sievert für rund 5% der Bestrahlten tödliche Folgen hat. (siehe Wikipedia) Bei angenommenen 0,2 Mikrosievert pro Scan würde der flächendeckende Einsatz von Röntgen-Nacktscannern somit 0,0000002 * 1600000000 * 5% = 16 Menschen pro Jahr durch Strahlenspätfolgen das Leben kosten. (Ganze Rechnung via Google zum nachprüfen)

Das setzt natürlich voraus, dass alle Passagiere mit Backscatter-Röntgennacktscannern geprüft würden – aber die Zahl könnte durchaus größer sein als die Zahl der Menschenleben, die man durch möglicherweise verhinderte Terroranschläge rettet. Bei dieser Berechnung bin ich aber von den allgemeinen Faktoren für Strahlenschäden ausgegangen, die für eine gleichmäßige Verteilung gelten. Die aktuellen Meldungen sprechen jedoch davon, dass durch die Bündelung der Strahlenbelastung auf der Haut das Risiko weiter steigt, sodass die tatsächliche Gefährdung deutlich größer sein dürfte.

Die gerne aufgestellte Behauptung, die Strahlung bei Nacktscannern sei so gering, dass sie völlig ungefährlich sei, ist völliger Unsinn. Das Risiko mag für den einzelnen Passagier nicht ins Gewicht fallen, das stimmt. Aber es gibt nach der derzeitigen Lehrmeinung keine „ungefährliche“ Strahlendosis – jede Strahlung erhöht das Risiko, egal wie gering sie ist, was auch das Bundesamt für Strahlenschutz so sieht: „Es gibt keine sichere Schwelle, unterhalb derer kein gesundheitliches Risiko mehr bestehen würde“.