Archiv
Bestandsdatenauskunft – neues Überwachungsgesetz und Demos dagegen
Die Bundesregierung hat sich mal wieder ein neues Überwachungsgesetz ausgedacht: Die Bestandsdatenauskunft. Nachdem das BVerfG (mal wieder) ausufernde und schwammig formulierte Überwachungsbefugnisse kassiert hatte, musste „natürlich“ gleich ein neues Gesetz her, um die kassierten Befugnisse wieder einzuführen und noch weiter auszuweiten.
Worum geht es dabei? Eine Kurzzusammenfassung gibt es bei bestandsdatenauskunft.de, wo auch noch weitere Probleme aufgezeigt werden. Etwas ausführlicher:
Ermittlungsbehörden und Geheimdienste werden ermächtigt, auf sogenannte „Bestandsdaten“ zuzugreifen. Was das ist, ist zwar schwammig formuliert, aber sicherheitshalber wird sehr deutlich erwähnt, dass dazu auch Passwörter zählen, und die Abfrage auch anhand von IP-Adressen möglich sein soll. Ein Richtervorbehalt ist nur beim Zugriff auf Passwörter vorgesehen. Die anderen Abfragen, insbesondere also die Identifizierung von Internetnutzern anhand der IP-Adresse, sollen bei größeren Providern sogar über eine automatisierte Schnittstelle ablaufen. Hierfür reicht es, wenn die abfragende Stelle der Meinung ist, „für die Erfüllung der gesetzlichen Aufgaben“ diese Daten zu benötigen, und eine Rechtsgrundlage dafür vorweisen kann.
Die Rechtsgrundlage wird gleich mitgeschaffen, indem z. B. das BKA-Gesetz geändert wird (Art. 3 des Entwurfs). Danach darf das BKA Daten erheben, wenn es sie für seine Aufgaben gem. § 2 Abs. 2 Nr. 1 BKAG braucht. Dort steht „genau“, welche Daten das BKA braucht: „alle hierfür [gemeint: für Verfolgung und Prävention bestimmter Straftaten] erforderlichen Informationen“ – auf gut Deutsch: Alle Daten, auf die es gerade Lust hat und sie für „erforderlich“ hält.
Das ist nur ein Beispiel, es werden auch noch die Befugnisse anderer Behörden auf ähnliche Art und Weise ausgeweitet. Auf Grundrechte wurde nicht im Geringsten Rücksicht genommen. Die Verhältnismäßigkeit wird nirgendwo geprüft, in den meisten Fällen ist nicht einmal ein Richtervorbehalt gefordert (nicht dass der viel bringen würde).
Mit den Passwörtern z. B. für Facebook, Google- und E-Mail-Accounts können die Behörden dann weitere Überwachungsmaßnahmen durchführen, z. B. über Facebook den Freundeskreis ausforschen, E-Mails mitlesen, eine Onlinedurchsuchung bei Online-Speicherdiensten machen, über den Play-Store Schadsoftware auf Android-Geräte installieren, mit der PUK die auf einer SIM-Karte hinterlegten Kontakte und SMSen lesen, mit dem Google-Accountpasswort die Bildschirmsperre eines Android-Handies aufheben. Ob sie das dürfen, dürfte die Behörden nicht interessieren. (Siehe z. B. illegaler Einsatz des Bayerntrojaners). Die strengeren rechtlichen Anforderungen für Überwachungsmaßnahmen wie die TKÜ werden somit komplett unterlaufen.
Durch die Massenabfrage von IP-Adressen können Massen-Überwachungsaktionen durchgeführt werden. Die rechtswidrige, aber trotzdem regelmäßig durchgeführte Überwachung und Zurückverfolgung von Internetnutzern, die Behördenseiten besuchen, wird damit viel einfacher und dürfte massenhaft eingesetzt werden. Bei solchen Aktionen gilt für viele Behörden sowieso das Motto „Legal, illegal, scheißegal“ – die Überwachung in NRW fand auch statt, nachdem das ausdrücklich für rechtswidrig erklärt worden war. Dank automatischer Schnittstelle wird massenhafter Missbrauch ala Dresdner Handydatenskandal viel leichter und unauffälliger.
Wer es selbst nachlesen will: Das Gesetz wurde nach anfänglicher Kritik geändert, sodass jetzt ein Originalentwurf und ein Änderungstext existiert, falls ich eine zusammengefasste Version finde, werde ich den Link hier nachtragen. (Edit: hier findet sich eine von Freiwilligen erstellte Version – Danke!)
Es handelt sich um ein Zustimmungsgesetz (das erkennt man übrigens an der Formulierung „Der Bundestag hat mit Zustimmung des Bundesrates…“ im Gesetzesentwurf). Ohne die Zustimmung im Bundesrat kann die Bundesregierung das Gesetz also nicht beschließen, und dort hat sie keine Mehrheit. Leider hat die SPD bereits versprochen, das Gesetz und damit diesen eklatanten Grundrechteabbau zu unterstützen, und verkauft das als „wichtigen Kompromiss„, weil sie es geschafft haben, einige kleine Verbesserungen einzubringen. Das ändert aber nichts daran, dass die Bestandsdatenauskunft inakzeptabel ist, und die SPD diesen Grundrechteabbau ohne Not und freiwillig mitträgt. Vielleicht überlegen sich einige Landes-SPDs ja noch, ob sie da mitmachen wollen, wenn sie merken, dass die Öffentlichkeit zuschaut.
Deswegen finden bundesweit friedliche Demos in über 25 Städten statt. Los geht es bereits dieses Wochenende (bundesweiter Aktionstag ist der 14.4., einige Städte fangen schon früher an), die zweite Runde gibt es am 27.4. (auch hier machen einige Städte die Demos schon früher). Die genauen Orte finden sich z. B. im Protestwiki. In Frankfurt am Main fängt die Demo am 14.4. um 13:00 Uhr am Römer an. (Nazis sind bei den Demos übrigens ausdrücklich nicht willkommen.)
Kommt nicht nur zu den Demos, sondern weist auch andere Leute auf die Bestandsdatenauskunft und die Demos hin, und fordert sie auf, ebenfalls Leute mitzubringen und auf die BDA hinzuweisen! Aktuell ist das Thema selbst unter politisch aktiven Informatikern viel zu wenig bekannt, da die Medien bisher kaum darüber berichtet haben.
Bestandsdatenauskunft ist Scheiße – und nun?
Es gibt einige Leute, die der Meinung sind, wir müssten Alternativen zur BDA aufzeigen, um sie kritisieren zu dürfen, und die Ermittlungsbehörden würden solche Befugnisse brauchen, um uns vor Kriminalität zu schützen. Das ist im Fall der Bestandsdatenauskunft reiner Unsinn. Die Bestandsdatenauskunft in der jetztigen Form missachtet sämtliche rechtsstaatlichen Grundsätze, pfeift auf Verhältnismäßigkeit, und erlaubt nahezu beliebigen Behörden, nahezu beliebige Bestandsdaten inkl. Passwörtern abzugreifen – außer bei den Passwörtern sogar ohne jegliche richterliche Kontrolle!
Als Piraten und Bürgerrechtsaktivisten ist es nicht unsere Aufgabe oder Pflicht, Vorschläge für „bessere“ Überwachungsgesetze zu schreiben, und ich bin maßlos enttäuscht von jedem, der ohne das Problem wirklich verstanden zu haben, die darin enthaltenen Überwachungsbefugnisse kleinredet und das Gesetz verharmlost (ja, tarzun, das gilt insbesondere für Leute die im Piratenvorstand sitzen) und so die Salamitaktik des stetigen Grundrechteabbaus unterstützt.
Wir brauchen aktuell keine weiteren Erweiterung der Rechte der Ermittlungsbehörden, sondern erstmal ein Freiheitspaket, was die katastrophalen Änderungen der letzten 20 Jahre rückgängig macht. Weiterhin brauchen wir Ermittlungsbehörden, die Befugnisse und Möglichkeiten nicht missbrauchen, und bei denen Missbrauch ernsthaft geahndet wird. Wenn wir Ermittlungsbehörden haben, die sich zuverlässig an geltendes Recht halten, dann und erst dann können wir darüber nachdenken, ihnen die und nur die Befugnisse zu geben, die sie zur Erfüllung ihrer Aufgaben zwingend benötigen, unter Einhaltung aller machbaren Vorsichtsmaßnahmen. Eine automatische Identifizierung von Internetnutzern ist unnötig, und es gibt keine Rechtfertigung dafür, irgendeine derartige Maßnahme ohne wirksamen Richtervorbehalt einzuführen.
Die BDA wäre auch dann abzulehnen, wenn Passwörter nur bei Verdacht auf bestimmte Straftaten abgefragt werden dürften, denn wer verdächtig ist, ist noch nicht schuldig. Ein Verdacht hebt das Grundrecht auf Privatsphäre nicht auf. Natürlich wäre es für die Behörden hilfreich, wenn sie alles dürften. Das darf in einem Rechtsstaat aber nicht das Kriterium sein.
Selbst wenn eine Erweiterung der Befugnisse der Behörden für sinnvoll erachten würde, kann die Diskussion darüber nicht auf Basis eines völlig überzogenen, verfassungswidrigen Gesetzes geschehen. Denn das ist die übliche Taktik „das zehnfache des Sinnvollen fordern, um am Ende das doppelte zu bekommen“. Das kann man sich etwa so vorstellen:
Regierung: „Hey, ich werde dir zehn Backsteine in den Arsch schieben“
Bürger: „WTF? NEIN! WAS FÄLLT DIR EIN!“
Regierung: „Ok, du hast gewonnen. Zwei sind ein fairer Kompromiss!“
Bürger: „Hm, immer noch scheiße, aber naja…“ *bück*
Deswegen kann es über die Bestandsdatenauskunft keinerlei Debatte geben, außer die Forderung nach kompletter Ablehnung. Wir müssen auch keinen „Gegenvorschlag“ für weitere Überwachungsgesetze machen. Unser Gegenvorschlag lautet: Die Grundrechte achten und bewahren!
Wenn wir nicht für unsere Grundrechte kämpfen, wenn wir dieses Gesetz ohne massiven Widerstand durchgehen lassen, dann war das nur der Anfang – dann folgen noch dreistere Gesetze, bis „Privatsphäre“ nur noch in Geschichtsbüchern zu finden ist.
Massenüberwachung des Internets dürfte ein Fakt sein
Eine Firma hat laut Golem ein Storage-System gebaut, was 10.000.000 Terabyte (!) speichern kann. Wir reden hier nebenbei von ca. 5 Mio. Festplatten nach Angaben der Firma. Der wirklich interessante Teil sind aber folgende Aussagen:
Angesichts des steigenden Internettraffics geht Cleversafe davon aus, dass es 2015 Unternehmen geben wird, die Datenmengen von 80 Exabyte pro Monat analysieren müssen.
sowie der Schlusssatz
Zu den Investoren von Cleversafe gehört unter anderem auch die CIA-Tochter In-Q-Tel.
Im Prinzip steht da unverblümt, dass es „Unternehmen“ gibt, die Internettraffic in großen Massen analysieren. Cisco prognostiziert, dass Ende 2015 der Internettraffic pro Monat *trommelwirbel* 80 Exabyte betragen wird. Es deutet also vieles darauf hin, dass die CIA sämtlichen Traffic global überwacht oder überwachen will, und sich nicht mal sonderlich bemüht, das geheimzuhalten.
Das massiv geschnüffelt wird, ist seit ECHELON eigentlich öffentlich und unbestritten bekannt, auch wenn man es immer wieder gerne verdrängt. Dieses Ausmaß könnte aber vielleicht doch überraschen.
Gleichzeitig gibt es eine Firma namens D-Wave Systems, die behauptet, einen 128-Qbit-Quantencomputer kommerziell anzubieten. Die Behauptung ist natürlich kontrovers und kann durchaus sein, dass es sich dabei um einen Fake handelt. Wären aber derartige Quantencomputer tatsächlich auf dem zivilen Markt erhältlich, wäre meiner Meinung nach davon auszugehen, dass Geheimdienste bereits jetzt leistungsfähige Quantencomputer mit genug Qbits haben, um gängige Schlüssellängen bei RSA und Diffie-Hellman zu brechen. Damit dürften alle gängigen Verbindungen, die asymmetrische Kryptographie nutzen, inklusive solcher, die eigentlich Perfect Forward Secrecy haben, gebrochen sein, auch rückwirkend bezogen auf den in der Vergangenheit gesammelten Traffic.
Als Sahnehäubchen könnte man jetzt noch die Fortschritte bei der Spracherkennungstechnologie nennen, die bereits im zivilen Bereich Transkripte von Anrufbeantworternachrichten erstellt. Das kann man natürlich auch wunderbar verwenden, um Transkripte von abgehörten Gesprächen zu erstellen und sie so maschinenlesbar zu machen.
Schöne neue Welt, nicht?
Schlechte Nachrichten für Bürgerrechte
Leider bin ich nicht direkt dazu gekommen, diese Zusammenfassung zu schreiben, aber vielleicht ist es ja auch besser, diese „tollen“ Beschlüsse unserer Regierung mal gesammelt zu sehen, nachdem man sie schon vergessen wollte. Um den folgenden Mist zu beschließen, haben die Parlamente übrigens nur zwei Tage (27. und 28.10.) gebraucht.
Fangen wir an mit dem Beschluss, dass das Erststudium nicht als Werbungskosten absetzbar ist. Über den Sinn dieser Änderung kann man sich streiten, aber der wirkliche Hammer kommt zum Schluss: Um die armen Besserverdiener unter den Studierenden nicht zu überlasten, können z. B. teure Privatunis jetzt besser abgesetzt werden. Unsere Regierung kann wohl nichts beschließen, ohne der FDP-Klientel noch ein paar Geschenke mit einzupacken.
Weiter gehts mit dem „Schuldenschnitt“ für Griechenland. Statt einem wirklichen Schuldenschnitt (ein Teil der Schulden verfällt) sollen die (wertlosen) Griechenland-Anleihen zu 50% des Nennwerts (also deutlich über dem tatsächlichen Wert) in europäische oder von der EU garantierte Anleihen umgetauscht werden. Statt einem Schuldenschnitt gibt es also auch hier Geschenke, diesmal vor allem für die Banken.
Dafür wollte unsere Regierung auch mal was dem Volk schenken, zum Beispiel kostenlose Warteschleifen und ein Ende des Abofallenbetrugs im Internet. In der entsprechenden Reform des Telekommunikationsgesetzes hat sie leider „vergessen“, Breitband-Internet zum Universaldienst zu machen (womit die Anbieter wie bei Trinkwasser und Telefon verpflichtet wären, es überall bereit zu stellen). Auch die Netzneutralität, die eigentlich in die Reform rein sollte, ist wohl nicht so ganz verankert worden. Dafür wurde in dem netten Paket mal eben die Vorratsdatenspeicherung versteckt – und zwar in letzter Sekunde und dann schnell beschlossen, damit das Parlament ja nicht merkt, worüber es gerade abstimmt.Zwar ist die neue Vorratsdatenspeicherung nicht verpflichtend, aber dafür dürfen die Provider jetzt freiwillig speichern. Angesichts dessen, dass viele das schon bisher (illegal!) getan haben, dürfte sich ein großer Datenberg ansammeln, aus dem sich die Ermittlungsbehörden bedienen können. Somit hat die Regierung zwar mal wieder „Für unsere Bürger“ auf das Paket draufgeschrieben, mit dem Inhalt spielen werden aber vor allem die Ermittlungsbehörden. Einige populäre Verbesserungen beim Verbraucherschutz (die durchaus dringend nötig waren!) hat die Regierung aber doch reingepackt – vermutlich, um es dem Bundesrat schwerer zu machen, das Gesamtpaket abzulehnen. Der Bundesrat ist nämlich fest in der Hand der Opposition, und dort muss das Gesetz noch durch. Hier ist die Hoffnung also noch nicht ganz verloren – auch wenn man davon ausgehen kann, dass die Verräterpartei ihrem Namen wieder gerecht wird, obwohl sie im Bundestag dagegen gestimmt hat.
Aber wo wir bei Überwachungsgeschenken sind: Die Linke hat beantragt, jemandem etwas wegzunehmen. Nämlich der Polizei das Recht, den Bundestrojaner zu nutzen, nachdem diese gezeigt hat, wie „verantwortungsvoll“ sie damit umgehen kann (zur Erinnerung). Dass der Antrag gegen die Stimmen von Union und FDP keine Chance hat, war klar. Dennoch konnte die SPD (als Oppositionspartei!) sich nicht nehmen lassen, gegen den Antrag und somit für den Bundestrojaner zu stimmen. Würde jeder Missbrauch eines Überwachungsrechts dazu führen, dass es eingeschränkt oder zurückgenommen wird, würden die Ermittlungsbehörden vielleicht lernen, damit verantwortungsvoller umzugehen. Schade, dass diese Chance, hier den Anfang zu machen, verpasst wurde.
Stattdessen hat die Bundesregierung lieber mal die Anti-Terror-Gesetze verlängert – und nebenbei noch ein wenig verschärft, indem sie z. B. Geheimdiensten die „Selbstbedienung“ an den Flugreisedaten erlaubt haben. Auch hier hat die SPD sich wieder einmal als Verräterpartei betätigt und trotz Oppositionsrolle gegen Bürgerrechte und für die Verlängerung gestimmt. Ach, und wo wir schon bei „Anti-Terror“ sind, hier noch ein alter, aber guter Artikel von heise/c’t zur Anti-Terror-Datenbank, wo man sieht, was da so alles gespeichert wird. Die Lobby, die dafür sorgt, dass solche „Sicherheits“gesetze produziert werden, hat übrigens Jörg Tauss für Gulli aufgedeckt.
Das Europäische Parlament hat sich natürlich nicht lumpen lassen und gleichzeitig ein Abkommen beschlossen, nach dem Australien die Flugreisedaten erhält und fünfeinhalb Jahre speichern darf. Mit 463 zu 96 Stimmen übrigens, falls noch irgendwelche Hoffnungen bestanden, das EU-Parlament würde sich für Datenschutz und Bürgerrechte einsetzen. Die übermittelten Daten enthalten unter anderem Kreditkarten- und Telefonnummern, IP-Adressen und besondere Essenswünsche (aus denen vermutlich auf die Religion geschlossen werden soll, die nicht explizit übermittelt wird). Auch ein nettes Geschenkpaket, oder?
Das einzig halbwegs Erfreuliche waren die Nachrichten über den ePerso ein paar Tage später. Schade um die verschwendeten Steuergelder, aber gut für die Bürgerrechte – wie erwartet folgte der ePerso dem Schicksal der meisten IT-Großprojekte von Bundesregierungen und wurde ein grandioser Fehlschlag: Sicherheitslücken ohne Ende, kaum Angebote, kaum Nutzer bei bestehenden Angeboten, nicht einmal die Hälfte der Ausweise mit aktiver eID-Funktion – aber leider auch schon wieder Ideen, wie man den Perso z. B. mit einer DNA-Datenbank „verbessern“ könnte.
Oft übersehene Lügen zum Bundestrojaner
In der derzeitigen Debatte zum Bundestrojaner werden ein paar Dinge oft von der Presse übersehen und von den Verantwortlichen falsch dargestellt. Die zwei Wichtigsten nehme ich hier mal auseinander (Liste wird ggf. noch ergänzt):
Behauptung:
„Beim Einsatz der Trojaner wurden alle rechtlichen Vorgaben eingehalten“
GELOGEN In Bayern hat einer der Trojaner Screenshots angefertigt. Das war nach rechtskräftigem Beschluss des Landgerichts rechtswidrig. Illegal, verboten, gegen die gesetzlichen Vorgaben verstoßend. Unbestreitbar, ohne wenn und aber. Die (leider von der Presse oft übernommene) Behauptung, die rechtlichen Vorgaben seien eingehalten worden, ist also eine dreiste Lüge. Konkret hatte das Bayrische Innenministerium behauptet:
Nach der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung 2008 ist eine Quellen-TKÜ zulässig, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wird. Nichts anderes ist in Bayern bisher praktiziert worden.
Auf Unwissenheit wird man sich hier angesichts der Bekanntheit des Urteils kaum berufen können.
Behauptung:
„Trojaner werden nur zur Verfolgung schwerer Straftaten wie Terrorismus verwendet“
GELOGEN In den bekannten Fällen handelt es sich einmal um Drogenhandel, einmal um möglicherweise nach Betäubungsmittelgesetz illegale Ausfuhr von zugelassenen Medikamenten und einmal um Diebstahl, siehe Fefe.
Noch Ärgerlicher ist allerdings, dass die Gelegenheit genutzt wird, Forderungen nach mehr (!) Überwachungsbefugnissen zu stellen. Die GDP (Gewerkschaft der Polizei, nicht zu verwechseln mit der DPolG oder dem BDK) fordert einen „sauberen rechtlichen Rahmen“, will also ein Gesetz, was die Überwachung erlaubt.
Wenn jemand gegen ein Gesetz verstößt, dann ist die richtige Reaktion darauf in der Regel, ihn in den Knast zu stecken, und nicht, den Gesetzesbruch zu legalisieren! Wenn Vertrauen und bestehende Privilegien missbraucht werden, dann gehören diese Privilegien entzogen, nicht ausgeweitet.
Meiner Meinung nach müssten:
- Sämtliche Verantwortlichen (und nicht nur ein paar Bauernopfer) zur Rechenschaft gezogen werden. Das beinhaltet insbesondere eine Entlassung und Strafverfahren, und wir reden hier sicher von Dutzenden von Verantwortlichen.
- Die Überwachungsbefugnisse der Behörden massiv zusammengestrichen werden. Nicht nur muss die Verwendung von Spionagesoftware unmissverständlich untersagt werden, auch die sonstigen Befugnisse dürfen nicht unangetastet bleiben. Der Richtervorbehalt muss gestärkt werden, eine ausführliche Begründung sollte Pflicht werden. Wenn Richter pro Fall erstmal 1-2 Seiten individuelle, nicht aus Textbausteinen bestehende Begründung selbst abfassen müssten, wäre schon viel gegen ausufernde Überwachung ohne richtige Prüfung getan. Wenn der Richter überlastet ist, bleiben die Anträge halt so lange liegen, bis die Behörden gelernt haben, die Maßnahmen nur in Fällen anzuwenden, wo sie wirklich nötig sind.
- Sämtliche Überwachungsmaßnahmen nachträglich geprüft und bei Verstößen sofort empfindliche Strafen verhängt werden.
Wird natürlich nicht passieren, solange die CDU an der Regierung ist. Vermutlich wird es vielmehr ein Alibi-Gesetz geben, was 1-2 Überwachungsbefugnisse reduziert und dafür an anderer Stelle zahlreiche andere ausweitet, und vielleicht müssen 1-2 Leute mit großzügigen Pensionen gehen, natürlich ohne Strafverfolgung befürchten zu müssen.
ePerso kann remote missbraucht werden
In meinem letzten Artikel zum ePerso (PIN-Diebstahl ohne Malware) stellte ich eine Möglichkeit vor, wie ein Angreifer an die PIN des ePerso gelangen kann, indem er eine falsche AusweisApp vortäuscht.
Wie ich erwartet hatte gab es daran viel Kritik: Einerseits sei das ja kein richtiger Angriff, weil „nur“ der Nutzer getäuscht wird, andererseits hätte der Angreifer ja „nur“ die PIN, mit der er nichts anfangen könne, weil er ja keinen Zugriff auf den Personalausweis selbst hätte.
Ersteres spielt für das Ergebnis keine Rolle: Der Angriff funktioniert gegen durchschnittliche Nutzer sehr gut, und der Angreifer hat am Ende die PIN. Damit wären wir beim zweiten Einwand: Die Authentifikation mit dem Ausweis ist eine sogenannte Zwei-Faktor-Authentifikation – man benötigt PIN und Ausweis. Mit der PIN alleine kann der Angreifer somit tatsächlich noch nicht direkt einen Angriff durchführen – aber er hat einen der beiden Faktoren überwunden. Das wird interessant, sobald ein Angriff den anderen Faktor überwindet. Alleine wäre auch dieser neue Angriff „wertlos“, verbunden mit der gestohlenen PIN ermöglicht er jedoch den Missbrauch des Ausweises.
Genau einen solchen zweiten Angriff habe ich nun gefunden. (Nachtrag: Wurde von Heise verifiziert.) Dadurch kann der Angreifer, wenn die im Folgenden erklärten Bedingungen zutreffen, sich mit dem Personalausweis des Opfers ausweisen. (Ich denke, jetzt sieht man auch, warum der PIN-Angriff sehr wohl ein Problem war!)
Weil das Missverständnis öfter aufkam: Der PIN-Diebstahl-Angriff ist kein simpler Phishing-Angriff. Bei einem Phishing-Angriff wird das Opfer auf die Seite des Angreifers gelockt, aber im Glauben gelassen, dass es z. B. die Seite seiner Bank besucht – denn nur dort dürfen die Bank-Zugangsdaten eingegeben werden. Auf den falschen Link reinzufallen ist ein vermeidbarer Fehler des Opfers. Hier jedoch kennt das Opfer die Identität der Seite. Ein legitimer Ausweisevorgang beginnt mit dem Besuch einer fremden Seite, wo dann die AusweisApp aufpoppt – genau wie beim Angriff. Dieser Angriff ist also deutlich schwerer erkennbar als Phishing – vor allem, weil Banken etc. dem Nutzer erklären, wie er sich schützen soll (Bank-Website manuell aufrufen), während auf die wenigen Warnzeichen für eine falsche AusweisApp nirgendwo hingewiesen wird.
Die von der ComputerBild als Beilage verteilten Starterkits bestehen aus einem Reiner SCT-Basislesegerät sowie einer LoginCard, mit der man sich Online einloggen können soll. Dazu muss eine Software (Browserplugin) von ReinerSCT installiert werden, die Websites Zugriff auf das Lesegerät gibt.
Über dieses sogenannte OWOK-Plugin kann eine Website (nach Bestätigung, siehe unten) frei mit der Karte kommunizieren. Die OWOK-Software habe ich als erstes untersucht, weil der Nutzer bei den Computerbild-Starterkits zur Installation aufgefordert wird, sie also bei vielen Ausweisinhabern vorhanden sein dürfte. Die Software nutzt dafür anscheinend das von den Sparkassen entwickelte SIZCHIP-Plugin – d.h. das gleiche Problem dürfte mit vielen anderen Plugins, z. B. mit dem Geldkarten-Plugin, bestehen.
Pro Website wird der Benutzer einmal gefragt, ob er diesen Zugriff zulassen soll. Diese Frage sollte eigentlich vor dem Angriff schützen, da der Nutzer ja darauf aufmerksam gemacht wird und zustimmen muss. Dabei gibt es jedoch mehrere Probleme:
- Der Nutzer erwartet beim oben erwähnten PIN-Diebstahl-Angriff, dass der ePerso benutzt wird. Die Frage nach dem Zugriff auf dem Chipkartenleser dürfte den meisten Nutzern daher logisch vorkommen und meist bejaht werden. Nutzer mit gutem Hintergrundwissen über die Technik könnten an dieser Stelle aufmerksam werden – diese zählen jedoch zu einer kleinen Minderheit.
- Sobald der Nutzer einmal die Entscheidung getroffen hat, scheint diese dauerhaft gespeichert zu werden. Indem der Angreifer das Plugin unter einem Vorwand einige Zeit vor dem Angriff das erste mal aktiviert, kann er verhindern, dass der Nutzer beim eigentlichen Angriff misstrauisch wird.
- Die Anfrage besteht aus einem Dialogfenster, was an einer vorhersehbaren Position (Bildschirmmitte) auftaucht, sobald das Plugin geladen wird. Das kann sich der Angreifer zunutze machen, indem er den Nutzer animiert, wiederholt schnell auf die „richtige“ Stelle zu klicken (z. B. durch ein Spiel), und dann erst das Dialogfenster auslöst. Viele sicherheitskritische Dialogfenster in Browsern aktivieren die Schaltflächen inzwischen erst nach einer kurzen Verzögerung, um solche Angriffe zu verhindern.
- Einige im Plugin vordefinierte Seiten können ohne diese Sicherheitsabfrage zugreifen. Gelingt es, in einer dieser Seiten z. B. eine XSS-Lücke zu finden, kann man die Sicherheitsabfrage umgehen, indem man den Angriff im Kontext der Seite durchführt. Eine solche Lücke habe ich gefunden – die Sicherheitsabfrage kann also umgangen werden.
Dieser Angriff setzt also voraus:
- Das Opfer hat z. B. das von der ComputerBild verteilte Starterset nach Anleitung installiert
- Das Opfer fällt auf den PIN-Diebstahl-Angriff mit einer falschen AusweisApp herein
- Das Opfer bestätigt dabei (oder irgendwann vorher!) die Sicherheitsabfrage „Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?“ oder der Angreifer umgeht die Sicherheitsabfrage über eine XSS-Lücke (siehe oben)
- Der Ausweis liegt auf dem Lesegerät (folgt bereits aus dem Hereinfallen auf den PIN-Diebstahl-Angriff)
Sobald diese Voraussetzungen erfüllt sind, hat der Angreifer über das Plugin Zugriff auf den Kartenleser und den darauf liegenden Ausweis, und befindet sich im Besitz der PIN. Damit gilt:
- Der Angreifer kann mit der Identität des Ausweisinhabers Aktionen durchführen, und diese mit dem fremden Ausweis bestätigen.
- Der Angreifer kann sich auch in Benutzerkonten des Ausweisinhabers, die Login via Ausweis zulassen, einloggen, und dort z. B. Daten ausspähen oder weitere Aktionen durchführen.
Der Angreifer braucht also insbesondere weder Malware auf dem Rechner des Nutzers, noch muss er man-in-the-middle-Attacken fahren. Er muss lediglich Besucher auf seine Seite locken und dort mit der falschen AusweisApp täuschen!
Folgen
Der Angreifer kann den Ausweis und somit die bestätigte Identität des Opfers missbrauchen. Das Opfer bekommt dies nicht mit, da ihm z. B. eine erfolgreiche Altersverifikation vorgetäuscht wird. Da die Identitätsbestätigung über den Ausweis einen sehr starken Anscheinsbeweis liefert, wird das Opfer nur sehr schwer belegen können, dass eine Aktion von einem Angreifer und nicht vom Opfer selbst durchgeführt wurde.
Dabei wäre beispielsweise ein Szenario denkbar, bei dem ein Onlineshop Lieferung auf Rechnung anbietet, wenn der Käufer sich per Ausweis identifiziert – soweit ich weiß eines der öfter genannten Beispiele für eine mögliche Anwendung des ePersos. Würde ein Angreifer mit der Identität des Opfers eine Bestellung tätigen, würde der Händler sein Geld beim Opfer einfordern – und hätte vor Gericht dank der Ausweisprüfung gute Chancen, dies auch durchzusetzen. Auch wäre denkbar, dass der Angreifer ein Konto im Namen des Kunden eröffnet und für Betrügereien missbraucht – mit der Folge, dass das Opfer für diese Taten verantwortlich gemacht wird.
Totalversagen
Zum Glück gibt es eh kaum Dienste, die wirklich mit dem ePerso genutzt werden können. SCHUFA und die Flensburg-Punkteauskunft schicken die Zugangsdaten bzw. Infos separat per Post, sodass der Ausweis hauptsächlich als Formularausfüllhilfe dient, und ansonsten kann man damit Onlinepetitionen unterschreiben und kommt vielleicht bei ein paar Versicherungen ins Kundenmenü. Kurz: Unabhängig von den Sicherheitsproblemen hat das Projekt versagt.
Wie in diesem Beitrag erklärt, bin ich der Meinung, dass der ePerso vor allem als Instrument zur Zerstörung der Freiheit und Anonymität im Netz taugt und früher oder später auch dafür verwendet werden wird. Entsprechende Forderungen hat der Bundesinnenminister Friedrich erst gestern wieder gebracht. Wie das aussehen wird, sobald die Mehrheit der Bevölkerung einen ePerso besitzt, ist also absehbar. Wenn Kritik nicht mehr Anonym geäußert werden darf, leidet die Meinungsfreiheit massiv, da viele sich aus Angst vor möglichen Folgen nicht trauen, ihre Meinung zu sagen.
Davon abgesehen ist der ePerso eine sinnlose Wirtschaftsförderungsmaßnahme auf Steuerzahlerkosten. Neben den subventionierten Starterkits sieht man das am Besten daran, dass die Bürger ihre Signaturzertifikate von privaten Unternehmen kaufen müssen (für rund 20 Euro pro Jahr), statt sie zusammen mit dem Personalausweis direkt zu erhalten.
Die Entwicklung und Einführung des Ausweises sollen „nur“ rund 50 Millionen gekostet haben. Gegenüber dem alten Ausweis müssen die Bürger für den ePerso rund 20 Euro mehr zahlen. Bei 6,5 Millionen neuen Ausweisen pro Jahr kommen auf die Bürger jährliche Mehrkosten von 130 Millionen zu. Es ist also nie zu spät, das Projekt noch einzustampfen!
Apropos Signatur: Die geht mit dem Ausweis immer noch nicht, weil die entsprechende Version der AusweisApp auf sich warten lässt. Genauso übrigens, wie eine auf MacOS lauffähige Version.
Gegenmaßnahmen
Folgende Dinge können getan werden, um den Angriff zu erschweren bzw. zu verhindern:
Nutzer können:
- Den neuen Ausweis nicht im Internet nutzen, niemals an Lesegeräte halten und ggf. in einer abschirmenden Hülle transportieren
- Wenn sie den Ausweis im Netz nutzen wollen, ausschließlich Lesegeräte der höheren Sicherheitsstufen (eigenes PIN-Pad) einsetzen und die PIN ausschließlich auf dem Lesegerät eingeben. Weiterhin muss das eigene System sicher und virenfrei gehalten werden!
- Ihren alten Ausweis solange es geht behalten
- Plugins, die Chipkartenzugriffe erlauben, deinstallieren.
Reiner SCT (bzw. die für den Kern des Plugins verantwortliche Firma) kann:
- Die Sicherheitsabfrage vor jedem Zugriff auf das Lesegerät stellen (sollte nur bei Loginvorgängen nötig sein) und sie deutlicher formulieren
- Die APIs des Plugins einschränken, sodass Websites nur noch vordefinierte Funktionen der Karten auslösen können
Das hilft aber nur, wenn alle Hersteller vergleichbarer Plugins das auch tun.
Die Projektverantwortlichen können:
- Die unsicheren Basislesegeräte endlich abschaffen (nicht mehr für die Nutzung mit dem ePerso zulassen). Das ist die einzige Möglichkeit, die das Problem wirklich löst. Allerdings sind die besseren Geräte teuer und somit nicht gerade gut für die Akzeptanz.
- Das Projekt begraben und nicht noch mehr Geld verschwenden
- Die AusweisApp so umbauen, dass sie exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt. Das würde Angriffe erschweren oder verhindern, allerdings nur, solange die AusweisApp auch läuft.
Aufgrund der Reaktion des BMI auf meinen ersten Angriff (falsche Behauptung, ich hätte den Angriff länger gekannt und absichtlich zurückgehalten) musste ich leider mit Versuchen rechnen, diese Angriffsmöglichkeit zu vertuschen. Daher habe ich mich entschieden, die Hersteller vor der Veröffentlichung nicht zu benachrichtigen (außer im Fall der XSS-Lücke). Am Besten vor dem Angriff schützen kann sich immer noch der Nutzer allein (durch Deinstallation der Browserplugins), sodass möglichst schnelle öffentliche Aufklärung über diese Gefahr meiner Meinung nach sinnvoll ist.
Die Schuld an dieser Lücke sehe ich übrigens weniger bei den Pluginentwicklern, auch wenn es keine gute Idee und ziemlich unnötig ist, Websites uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Das Hauptproblem ist die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser) nicht nur zu verwenden, sondern auch noch aus Steuergeldern zu fördern.
Technische Details
Das OWOK/SIZCHIP-Plugin erlaubt es der Website, per JavaScript einen Kanal zur Chipkarte zu öffnen und darüber beliebige Befehle (APDUs) zu schicken (und die Antworten zu lesen). Ein Angreifer würde diese Befehle von einem Server abholen, auf welchem eine AusweisApp (oder eine äquvivalente Software) läuft. Statt an ein echtes Lesegerät würden die APDUs, die die AusweisApp an die Karte schicken will, über AJAX zum JavaScript im Browser des Opfers geschickt. Dort würden sie über das Plugin an den Ausweis gesendet, und die Antwort würde auf dem umgekehrten Weg wieder zur AusweisApp kommen.
Ich habe hierzu zwei Proof-of-concepts erstellt. Für beide muss ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte (nicht unbedingt ein Ausweis) vorhanden sein.
Einer (attackwebsite) basiert auf der falschen AusweisApp (die bereits im „FSK18-Bereich“ der Piratenpartei zu sehen war). Er demonstriert, wie ein kompletter Angriff ablaufen würde. An den Ausweis (bzw. die Karte) wird hier nur der Befehl zum Auswählen der ePass-Anwendung geschickt, sodass man die unterschiedlichen Antworten von Ausweisen im Vergleich zu anderen Karten sehen kann.
Der zweite PoC (shellserver) implementiert das Abholen der Befehle über AJAX. Es kann entweder zum einfachen Testen ein fest im Server eingetragener Befehl an das Opfer geschickt werden, oder aber die Karte auf dem Lesegerät des Opfers wird an eine modifizierte cyberflex-shell angeschlossen, von wo dann beliebige Anfragen gestellt werden können.
Die PoCs kann man hier herunterladen, den ersten davon gibt es auch live unter https://fsk21.piratenpartei.de.
Den XSS-Angriff habe ich an Heise mit Bitte um Verifikation und anschließende Weiterleitung an den Seitenbetreiber gemeldet. Die Redaktion konnte ihn nachvollziehen.
Argumente gegen (Anti-)Terrorgesetze
Auf einer Mailingliste innerhalb der Piratenpartei wurde vor kurzem über allgemeine Argumente gegen neue bürgerrechtsfeindliche (Anti-)Terrorgesetze diskutiert. Meinen Beitrag möchte ich auch hier etwas breiter publizieren:
Verhältnismäßigkeit
Auch wenn dies zweifelslos die Zahl der Verkehrstoten reduzieren würde, käme niemand auf die Idee, deutschlandweit eine Geschwindigkeitsbegrenzung auf 30 km/h einzuführen – denn das wäre völlig überzogen, die Schäden, die daraus resultieren würden, stehen in keinem Verhältnis.
Bei Anti-Terror-Maßnahmen, deren Wirkung im Vergleich zum Tempolimit überdies zweifelhaft ist, wird diese Abwägung leider gerne übersehen. Selbst wenn diese Maßnahmen tatsächlich Terroranschläge verhindern könnten, stehen die damit verbundenen Schäden, die an unserer Freiheit, an unseren Grundwerten entstehen, in keinem Verhältnis dazu.
Leider sind Einschränkungen der Bürgerrechte nicht so direkt spürbar, wie ein Tempolimit – doch wenn wir nach und nach unsere Bürgerrechte aufgeben, zerstören wir unsere freiheitliche Gesellschaft. Wir würden genau das tun, was die Terroristen möchten, aber mit ihren Bombenanschlägen ohne unsere ‚Hilfe‘ nie erreichen würden.
Zum Vergleich sollte man sich vor Augen führen, dass wir trotz 50.000 Toten im deutschen Straßenverkehr von 2001 bis 2010 nicht in blinden Aktionismus verfallen. Genau wie wir uns im Straßenverkehr auf sinnvolle und zurückhaltende Sicherheitsmaßnahmen beschränken, müssen wir dies auch bei der Bekämpfung von Terrorismus tun.
Genausowenig, wie wir auch auf diese riesige Anzahl Verkehrstoter mit einem Verbot des Straßenverkehrs oder einer bundesweiten Tempo-30-Zone reagieren, dürfen wir auf die bloße Gefahr von Terroranschlägen mit überzogenen Maßnahmen wie der Überwachung aller Bürger reagieren.
Terroristen können bloß töten. Nur überreagierende Politiker können unsere Gesellschaft zerstören. Von ihnen geht die wirkliche Gefahr aus – und gegen diese Gefahr wenden wir uns.
(Siehe auch dieser Beitrag von „Nano“)
Ursachen
Wir könnten auch aufhören, uns in jeden internationalen Konflikt einzumischen. Damit dürfte die Terrorgefahr deutlich stärker sinken, als durch die Einführung irgendwelcher Terrorgesetze. Ganz verschwinden wird sie jedoch nie – genauso, wie man selbst mit den strengsten Gesetzen nie alle Anschläge verhindern können wird.
Selbstverständlich ist es wünschenswert, die Freiheit von Menschen in anderen Ländern zu schützen und zu fördern. Wir dürfen aber nicht zulassen, dass die Folgen dieser Einsätze unsere eigene Freiheit gefährden. Solange die einzige Antwort, die wir auf eine leicht gesteigerte, abstrakte Terrorgefahr kennen, ein drastischer Abbau unserer Bürgerrechte ist, können wir uns solche Einsätze einfach nicht leisten.
Wirkungen und Nebenwirkungen
„Herr Nachbar, was machen Sie da in ihrem Garten?“
„Ich streue Pulver gegen Elefanten.“
„Aber hier gibt es doch gar keine Elefanten!“
„Na dann sehen Sie mal, wie das Pulver wirkt!“
Genauso wie der Nachbar sein Elefantenpulver streuen Innenminister gerne (Anti-)Terrorgesetze, deren Wirkung recht zweifelhaft ist. Wenn es dann gar keine Terroranschläge gibt, wird das als Zeichen gewertet, dass die Gesetze wirken, und man ganz dringend noch mehr davon braucht. Über Nebenwirkungen, wie den Abbau unserer Freiheitsrechte, macht man sich hierbei keine Gedanken.
Die wenigen versuchten Terroranschläge, die es in Deutschland gab, hatten meist von vorne herein wenig Aussicht auf Erfolg – und wurden meist nicht mit Hilfe der neuen Befugnisse aus den Terrorgesetzen aufgedeckt, sondern durch andere Mittel.
Die Mittel aus den Terrorgesetzen hingegen werden immer wieder eingesetzt, um unschuldige Bürger auszuspähen – wie man am zum Beispiel Handydatenskandal in Dresden sehen konnte.
Der Begriff „Antiterrorgesetze“ wurde in den Medien ab und zu als „Terrorgesetze“ abgekürzt. Eines Tages fiel jemandem auf, dass diese Bezeichnung eigentlich viel passender ist, weil erst diese Gesetze die eigentliche Wirkung des Terrors entfalten und sie durch die Einschränkungen der Bürgerrechte die Bevölkerung terrorisieren. Daher steht auch bei mir das „Anti“ in Klammern (und manchmal gar nicht) da.
Volkszählung: Online-Übermittlung unsicher
Aus aktuellem Anlass (die Fragebögen sollen bald raus und jemand der einen bekommen soll hat mich kontaktiert) habe ich mir den Zensus-Kram nochmal angeschaut und mir ist eine Sache aufgefallen: Laut dem Musterfragebogen zur Haushaltsbefragung: werden die Leute, die den Fragebogen online ausfüllen wollen, auf „www.zensus2011.de“ geleitet – sollen die Seite also per unverschlüsseltem HTTP aufrufen. Das ist unsicher, und ob danach sofort eine Umleitung auf HTTPS erfolgt, ist im Fall eines aktiven Angriffs irrelevant, da die erste Anfrage über HTTP rausgeht und somit vom Angreifer manipuliert werden kann, bevor der Server überhaupt was mitbekommt und den Nutzer umleiten kann.
Um diese Art von Angriff zu demonstrieren, gibt es eine fertige Software namens „sslstrip“ von Moxie Marlinspike. Schaltet man diese in die Leitung, so fängt sie https-redirects automatisch ab, sodass der Nutzer weiter http nutzt und die Daten im Klartext über die Leitung gehen. Ich weiß nicht wie weit die Software entwickelt ist, d.h. ob sie auch in diesem Fall ohne Anpassungen funktioniert, aber in dem Moment wo die erste Anfrage unverschlüsselt rausgeht, ist der Angriff machbar.
Um Missverständnisse zu vermeiden – das bedeutet NICHT
- dass die Server gehackt wären
- dass Daten schon offen/geklaut/geleakt wären
- dass jeder mit dem Tool einfach so sämtliche Zensusdaten abgreifen kann
- dass Daten im Normalfall (d.h. ohne Angriff) unverschlüsselt verschickt würden
- dass ein rein passiver Angreifer die Daten abgreifen könnte
Ein aktiver Angreifer kann aber die Daten abfangen. Es zeigt vor allem, dass Sicherheit offenbar nicht wirklich ernstgenommen wird – die Lösung wäre einfach gewesen ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist. Nachträglich könnte man das vermutlich am Besten mit einem zusätzlichen Infoblatt noch retten, was man zusammen mit den Fragebögen austeilen könnte.
Was bedeutet „aktiver Angreifer“? Wie auch die AusweisApp-Geschichte setzt dies voraus, dass der Angreifer den Datenverkehr nicht nur abhören, sondern auch manipulieren kann. Das ist nicht trivial, aber machbar und schon vorgekommen. In der IT- und Netzwerksicherheit geht man – nicht ohne Grund – eigentlich immer von einem sogenannten Dolev-Yao-Angreifer aus, der genau diese Möglichkeiten hat. Die Zertifikate, ein ziemlich komplexer Baustein bei SSL, sind auch nicht ohne Grund da. Die verschiedenen Methoden wie sowas passieren kann müsste ich mal ausführlicher bloggen, einige wären:
- DNS-Server der Domain manipulieren (wie z. B. beim Sicherheitsdienstleister Secunia passiert)
- DNS-Server/Cache des Providers manipulieren/vergiften
- DNS-Cache des Routers manipulieren/vergiften
- Falsches kostenloses WLAN
- Angreifer im gleichen Netzwerk (WG, Firma, Schule, verseuchter PC im Haushalt), dann ARP spoofing/poisoning (oder Kontrolle über Proxy/Router)
Diese Angriffe betreffen den Nutzer auch, wenn sein Computer an sich sicher ist! Um sich zu schützen, muss man vor dem Login prüfen, dass a) HTTPS verwendet wird und b) man immer noch auf der richtigen Seite ist.
Die Zensus-Seite für das Online-Ausfüllen ist noch nicht online – ob da noch weitere peinliche Lücken auftauchen weiß ich nicht, ich hoffe nur, dass Finder sie melden oder veröffentlichen statt sie zu missbrauchen.
Eine andere unschöne Geschichte ist noch, dass beim Zensus die ausgefüllten Fragebögen wahlweise bei den Interviewern gelagert werden (siehe auch: NPD ruft Mitglieder auf, Volkszähler zu werden) oder per Post eingeschickt werden können – aber nicht immer an die statistischen Landesämter, sondern teilweise an private Firmen an die der Kram outgesourced wurde.
Zur generellen Kritik am Zensus sei noch gesagt, dass der Zensus keineswegs anonym ist und die Daten jahrelang personenbeziehbar abgelegt sein dürfen. („Hilfsmerkmale“ sind die personenbezogenen Daten)
Abgefragt (und ggf. bei den Interviewern zuhause gelagert!) werden unter anderem:
- Name, Adresse
- Geburtsdatum
- Telefonnummer
- alle Staatsangehörigkeiten
- Religionsgesellschaft (Pflichtfrage!)
- Glaubensrichtung (freiwillig – bei Islam möchte man es gerne genau wissen: sunnitisch, schiitisch oder alevitisch?)
- Zugewandert? Falls ja, wann und woher?
- Das gleiche nochmal für die Eltern!
- Exakter Beruf(z. B. „Blumenverkäuferin“, nicht „Verkäuferin“)
- Stichworte zur Tätigkeit (z. B. „Beratung, Verkauf, Verpacken von Pflanzen“)
Im Bezug auf die Datenschutzversprechen könnte auch mein Artikel über die herumliegenden Daten die gar nicht da sein sollten beim Statistischen Bundesamt interessant sein.
An dieser Stelle sei noch verwiesen auf:
- Die „Volkszählungsfibel“ des AK Zensus (Zensuskritiker) mit einem guten Überblick über den Zensus und die Kritik daran
- Die FAQ auf der offiziellen Seite
UPDATE:
Um die Angriffe zu verdeutlichen, hier ein paar Diagramme (können per Klick vergrößert werden).
Schwarze Linien zeigen unverschlüsselte Verbindungen an, blaue Linien sind HTTPS-Verbindungen (d.h. verschlüsselt und die Identität des Servers wird geprüft).
Zunächst einmal der normale Ablauf ohne Angriff:
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum Server und bekommt einen HTTPS-Link auf den Online-Fragebogen. Der Nutzer klickt drauf, sein Browser holt über eine gesicherte Verbindung den Fragebogen ab, der Nutzer loggt sich ein und füllt ihn aus.
Nun ein Angriff:
Der Angreifer leitet sämtliche Verbindungen des Nutzers auf sich um.
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum (falschen!) Server und bekommt eine Antwort mit einem HTTPS-Link auf einen falschen Fragebogen auf einer Domain die dem Angreifer gehört (und für die er daher ein Zertifikat hat). Beispielsweise http://www.zensus2011-befragung.de ist noch frei (die echte Seite heißt zensus2011-befragungen.de, was der normale Nutzer aber nicht wissen kann). Eventuelle Sicherheitshinweise auf der Seite mit dem Link sind natürlich auch auf den falschen Namen angepasst. Der Rest läuft wie beim normalen Zensus, nur dass der Nutzer den Fragebogen des Angreifers ausfüllt. Der kann entweder eine Kopie des echten Fragebogens sein, oder gleich noch zusätzliche Fragen enthalten.
Mit sslstrip kann man einen anderen Angriff automatisiert machen:
Das sieht erstmal komplizierter aus, ist es aber nicht, weil es weitgehend automatisch passiert. Der Nutzer bekommt hier einen http-Link auf die echte Domain, die ungesicherten Anfragen fängt der Angreifer wieder ab, leitet sie (per https, weil der echte Server keine unverschlüsselten Anfragen will) an den Server weiter und liefert die Antwort wieder an den Zensus-Teilnehmer. Dabei liest er natürlich mit, wenn der Teilnehmer den Fragebogen ausfüllt.
Statt einem HTTP-Link (der das Opfer eventuell wegen der fehlenden Verschlüsselung stören könnte) kann der Angreifer auch einen HTTPS-Link auf eine andere, eigene Domain (wie bei Angriff 1) liefern, und die an ihn gestellten Anfragen von sslstrip weiterreichen lassen.
Wenn auf dem Fragebogen die Adresse mit https stehen würde, würde es so aussehen:
Bereits die erste Anfrage geht über HTTPS, es gibt keine unverschlüsselten Anfragen! Würde der Angreifer hier angreifen wollen, würde es so aussehen:
Der Browser merkt beim Aufbau der gesicherten Verbindung, dass er nicht mit dem richtigen Server spricht, und bricht mit einer sehr deutlichen Warnmeldung an den User ab.
Die Diagramme sind übrigens mit mscgen erstellt.
ePerso: PIN-Diebstahl ohne Malware
Der CCC hatte im September 2010 einen Angriff gegen den ePerso präsentiert: Ein Trojaner auf dem PC des Nutzers kann die PIN abfangen, wenn der Nutzer sie über die Tastatur eingibt. Das ist für jeden, der sich ein wenig auskennt, keine Überraschung – aber durchaus ein großes Problem für den realen Einsatz des Personalausweises.
Ich habe nun einen Angriff entwickelt, der in der Lage ist, die PIN des Nutzers zu stehlen, ohne Malware auf dem Rechner des Nutzers zu installieren. Wer sich das mal anschauen möchte, kann ja die Altersverifizierung für den (fiktiven) FSK18-Bereich der Piratenpartei-Website durchführen. (Die PIN wird bei der Demo natürlich nicht an den Server gesendet.) Wer den Angriff testen will, sollte das jetzt erstmal tun und nicht weiterlesen.
v
v
v
Man kann den Angriff auch ohne Ausweis, Lesegerät und AusweisApp testen: Einfach eine sechsstellige PIN ausdenken und so tun als sei die AusweisApp installiert, das Lesegerät angeschlossen und der Ausweis aufgelegt.
v
v
v
Der Angriff funktioniert ganz einfach: Mit JavaScript, HTML und Screenshots (also Bildern) wird eine AusweisApp im Browser simuliert. Der Nutzer denkt, er würde die echte AusweisApp sehen, und gibt seine PIN ein. In diesem Fall wird nach der PIN-Eingabe eine Auflösung angezeigt, bei einem echten Angriff bekäme der Nutzer eine Fehlermeldung zu sehen, damit er keinen Verdacht schöpft, und seine PIN würde an den Server geschickt. Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht. (Und auch sonst funktioniert an dem ganzen Projekt ziemlich wenig: Die Änderungs-Terminals spinnen, Sonderzeichen machen Probleme, und so weiter.
Bei dieser Simulation ist es nicht möglich, die PIN über die eingebaute Bildschirmtastatur einzugeben, die entsprechende Schaltfläche fehlt. Das hat allerdings nichts damit zu tun, dass das prinzipiell nicht möglich wäre, sondern dass ich faul bin und keine Lust hatte, noch ein Dialogfeld detailgetreu nachzubauen. Sollte also jemand als „wirksame“ Gegenmaßnahme vorschlagen wollen, die Bildschrimtastatur zu nutzen, kann ich das gerne noch nachreichen. Die Bildschirmtastatur schützt lediglich vor sehr einfachen Keyloggern, und vermittelt ansonsten nur ein falsches Gefühl der Sicherheit. Wer Ausweise missbrauchen will, wird sich beim Trojanerschreiben die Mühe machen, auch Eingaben über die Bildschirmtastatur zu erkennen – das ist keine Kunst, sondern Fleißarbeit.
Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden. Das könnte zwar zu der Behauptung führen, dass dieser Angriff -in der Theorie- gar kein richtiger Angriff sei – das Ergebnis ändert das aber nicht: Der Angreifer hat am Ende die PIN des Nutzers.
Diese Funktionsweise macht es umso schwieriger, den Angriff zu verhindern: Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses Problem hingegen lässt sich nur lösen, indem man den Nutzern beibringt, worauf sie zu achten haben – und sie dazu erzieht, auch tatsächlich daran zu denken, jedes mal auf diese Merkmale zu achten. Das ist allerdings sehr schwierig.
Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?
Um sich gegen diesen Angriff zu schützen, muss man lernen, falsche von echten Fenstern zu unterscheiden. Im Browser wird die Website in einem bestimmten Bereich angezeigt. Lässt sich ein Fenster aus diesem Bereich heraus verschieben, dann handelt es sich zumindest um ein richtiges Fenster. Allerdings können Webseiten auch Popup-Fenster öffnen, die sich dann frei verschieben lassen. Bei allen gängigen Browsern kann die Website dabei zwar viele Teile des Browserfensters ausblenden, aber die Adressleiste (bzw. bei Opera eine dünne Leiste mit der Website-Adresse) bleibt immer stehen, eben um zu verhindern, dass ein Popup für ein echtes Fenster gehalten wird. Der „Verschiebetest“ zusammen mit einem kritischen Blick auf das Fenster ist also ein guter allgemeiner Anhaltspunkt.
Darüber hinaus hat die AusweisApp (bei angeschlossenem Lesegerät) ein Chip-Symbol in der Taskleiste neben der Uhr, welches bei aufgelegter Karte grün wird. Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte. Da ich nicht ausschließen möchte, dass es möglich ist, die AusweisApp zu aktivieren und dann irgendwie zu überlagern, würde ich den Verschiebetest zusätzlich empfehlen. Seltsam aussehende Schrift im AusweisApp-Fenster ist übrigens kein Hinweis auf eine Fälschung: Die Schriften sehen auch in der echten AusweisApp seltsam aus.
Man kann falsche Fenster also durchaus unterscheiden – aber die Hinweise, wie man es macht und dass man es machen solte, fehlen in den Hochglanzbroschüren zum Ausweis. Von sich aus kommen selbst Fachleute selten auf die Idee, diese Prüfungen zu machen, solange nicht irgendetwas Verdacht erregt. Eine gute Fälschung tut das aber nicht.
Ist der Angreifer im Besitz der PIN, reicht dies allein zwar noch nicht, um die Identität des Ausweisinhabers zu missbrauchen – die PIN existiert aber nicht ohne Grund und sollte nicht nur zum Spaß geheimgehalten werden. Ein Beispiel für einen Angriff, für den eine gestohlene PIN nützlich wäre, wurde auf dem 27C3 präsentiert.
Warum ich den Ausweis auch unabhängig von der Lücke ablehne, steht in diesem Beitrag. Auf weitere grundsätzliche Probleme wie die Beweislastumkehr, die für Ausweisnutzer ein ziemlicher Nachteil ist, werde ich in weiteren Beiträgen eingehen wenn/falls ich dafür Zeit finde. Ich kann nur davon abraten sich so einen Ausweis zu holen, bzw. wenn man schon einen hat, ihn zu nutzen. Auch wenn Alufolie immer an Verschwörungstheoretiker mit Aluhüten erinnert – ein paar Lagen davon, um den Ausweis gewickelt und an den Seiten umgefaltet, verhindern das Auslesen sowohl beim Ausweis als auch bei anderen RFID-Karten zuverlässig.
Noch ein kleiner Hinweis für die Presse: Ich bin immer noch kein CCC-Mitglied, obwohl ich letztes Mal nach den Falschmeldungen eingeladen wurde ;-)
Fragen die öffentlich beantwortet werden sollen/können, bitte über die Kommentarfunktion. Sonstige (An)fragen bitte über Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) oder Mail an janhomepage [at] gmx punkt net. Telefon ist ungünstig, ggf. bitte Festnetznummer per Mail schicken.
Wie man Leute zum Gegner des ePerso macht
Eigentlich habe ich die Idee eines ePerso an sich nicht generell abgelehnt. Man achte auf die Wortwahl: Nicht wirklich befürwortet, aber sowas hat auch einige Vorteile und ich war nicht wirklich überzeugt, dass die Gefahren durch politischen Missbrauch tatsächlich so groß sind, wie einige behauptet haben. (Das hat natürlich nichts mit der technischen Sicherheit zu tun, die konkrete Implementierung halte ich für, … suboptimal.)
Die Argumentation der strikten Gegner online nutzbarer Ausweisdokumente ist folgende: Sobald es eine leichte Möglichkeit gibt, die Identität des Gegenübers im Netz zu prüfen, könnte sich schleichend zur Selbstverständlichkeit entwickeln (oder politisch durchgesetzt werden), im Netz immer den Ausweis vorzuzeigen, was die Anonymität im Netz zerstören würde. Damit wären Privatsphäre und vor allem freie Meinungsäußerung mehr oder weniger tot.
Ich habe diese Gefahr bisher als eher nicht so groß gesehen, zumal der Einsatz des Personalausweises für die Seitenbetreiber teuer und bürokratisch sein soll, und war vorsichtig optimistisch – mit einer vernünftigen Technik, die nicht auf Wirtschaftsförderung sondern auf vernünftiges Funktionieren optimiert ist, hätte so eine sichere Ausweismöglichkeit durchaus auch Vorteile – sichere Logins, Bankkonten online eröffnen, Onlineshops die Ware vielleicht eher mal auf Rechnung/Bankeinzug rausrücken statt auf Vorkasse zu warten, und vieles mehr. Daher auch mein Standpunkt, die Idee eines ePerso an sich nicht generell abzulehnen.
Herr Axel Fischer, natürlich von der CDU, hat es aber geschafft, mich mit einem Schlag zu einem überzeugten Gegner des Konzepts zu machen. Er konnte einfach nicht anders, als genau den befürchteten Missbrauch unverzüglich zu fordern. Danke, Herr Fischer, dass Sie mir die Augen geöffnet haben. Ach, das ist übrigens nicht irgendwer, sondern der Vorsitzende der Enquete-Kommission „Internet und digitale Gesellschaft“, also quasi der Internetexperte der CDU.
Das meiste ist bei Netzpolitik schon gesagt worden. (Update: Dieser Heiseforumskommentar bringts auch auf den Punkt.) Die Möglichkeit, sich anonym und somit sicher vor Repressalien zu äußern, ist eine Voraussetzung für eine freie Meinungsäußerung. Diesen Grundpfeiler der Freiheit abschaffen zu wollen passt in meinen Augen zu totalitären Zensurstaaten – die Forderung kommt für mich der Forderung gleich, hier einen solchen Staat zu errichten. (Mir ist sooo klar was jetzt für ein Kommentar kommt. Er ist langweilig und weder lustig noch interessant noch nötig. Der erste der ihn postet bekommt nen Fisch in seinen Kommentar geklebt.) Jede Meinungsäußerung zuordnen zu können ist nämlich besonders dann wichtig, wenn man unliebsame Äußerungen zügig bestrafen will.
Nur eines finde ich an dieser Forderung wirklich schade: Dass sie nicht rechtzeitig vor meinen ganzen Interviews rauskam.
AusweisApp gehackt (Malware über Autoupdate)
Gestern Abend wurde die AusweisApp freigegeben, und damit stand fest: Das wird für mich eine lange Nacht. Ich habe mir eine schöne Liste möglicher Angriffe zurechtgelegt. Wenn die einzelnen Angriffe klappen, werden sie einige hässliche Dinge ermöglichen. Ich bin mir recht sicher, dass einer der Angriffe in der Lage sein wird, die PIN und evtl. die aufgedruckte Kartenzugangsnummer zu klauen, ohne dass (wie beim CCC-Angriff) der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es eventuell, dem Nutzer vorzutäuschen, dass er sich für etwas harmloses ausweist, während der Angreifer mit dessen Identität einkaufen geht. Eventuell kann man so auch ein Signaturzertifikat für die qualifizierten elektronischen Signaturen mit dem Namen des Opfers bekommen.
Da ich allerdings weder Lesegerät noch ePerso habe, konnte ich die Angriffe nicht ausprobieren. Also habe ich mir stattdessen die AusweisApp selbst vorgenommen. Von besonderem Interesse war dabei die Updatefunktion. Kann ein Angreifer diese kontrollieren, könnte es ihm gelingen, Malware auf dem Rechner des Users einzuspielen. Das wissen natürlich auch die Entwickler, und deswegen ist die Updatefunktion ordentlich gesichert: Zunächst wird vom Updateserver über eine HTTPS-geschützte Verbindung eine Versionsdatei geholt. Dort wäre für einen Angreifer normalerweise Schluss, denn HTTPS ist (halbwegs) sicher. Der Client überprüft auch, ob das Zertifikat gültig ist – da hört es aber auch schon auf. Der Client prüft nicht, ob das Zertifikat auch zum Servernamen passt! Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver (welches er hoffentlich nicht bekommen sollte), sondern ein beliebiges gültiges Zertifikat (z. B. für seine eigene Website, welches er selbstverständlich bekommt – Nachtrag: Wir reden hier über gewöhnliche SSL-Zertifikate die es an jeder Ecke gibt, nicht über irgendwelche eID-Berechtigungszertifikate!). Das ist übrigens ein Fehler den man in Java leicht machen kann: Die eingebauten Libraries prüfen soweit ich weiß das Zertifikat, aber den Hostnamen muss man ausdrücklich selbst prüfen.
Mittels einer DNS-Manipulation (für die es im praktischen Einsatz zahlreiche Wege gibt, DNS ist ein völlig unverschlüsseltes Protokoll – zur einfachen Demonstration kann man die Hostsdatei manipulieren) können wir nun den Client überreden, sich zu unserem falschen Update-Server zu verbinden und dessen Zertifikat akzeptieren. Da ich kein eigenes SSL-Zertifikat habe, habe ich einfach das genommen, dessen Key Akamai vor ein paar Jahren freundlicherweise (unfreiwillig) öffentlich gemacht hat. Damit dieses Zertifikat als gültig angesehen wird, muss die Uhr auf dem Client verstellt werden – mit einem aktuellen Zertifikat würde das anders aussehen. (Ich hab auch noch andere, ebenfalls leider abgelaufene, Zertifikate getestet.)
Der Updatefunktion kann nun eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Der Updater erwartet hierbei eine ZIP-Datei. Diese wird entpackt und dann sollte eigentlich eine bestimmte .msi-Datei darin ausgeführt werden. Hier waren die Entwickler allerdings schlau genug, noch eine Signatur einzubauen, die vor dem Ausführen geprüft wird. Hier ist also eigentlich wieder einmal Schluss. Allerdings wird die ZIP-Datei vor der Signaturprüfung bereits entpackt, und ZIP-Dateien können relative Pfadangaben enthalten. Mit einem (per Hexeditor) in der ZIP-Datei eingebauten „../../“ kann man aus dem temporären Verzeichnis ausbrechen und somit beliebige Dateien ins Dateisystem schreiben (directory traversal). Beispielsweise eine Schadsoftware ins Autostartverzeichnis. Vorhandene Dateien werden übrigens gnadenlos überschrieben.
Ein Dolev-Yao-Angreifer, d.h. ein Angreifer, welcher den Netzwerkverkehr beliebig manipulieren kann, jedoch nicht in der Lage ist als sicher geltende Verschlüsselung zu brechen oder den Client des Opfers vorher zu manipulieren, kann somit aufgrund zweier Implementierungsfehler in der AusweisApp über die Auto-Update-Funktion Schadsoftware einspielen.
Der Angriff ist gegen die aktuelle AusweisApp getestet, die sich bei der Installation als 1.0.1, beim Update als 1.0.0 identifiziert.
Diese Lücke können die Entwickler natürlich relativ einfach schließen. Aber was ist mit den anderen, sicherlich noch vorhandenen, unentdeckten Lücken? Mitgeliefert wird beispielsweise eine Java-VM der Version 6 Update 18 – aktuell ist Update 22. Die Kryptographie des Personalausweises selbst mag bewiesen sicher sein. In den umliegenden Protokollen jedoch erwarte ich die ein oder andere Lücke, von denen sich einige leicht, andere vielleicht gar nicht nachträglich stopfen lassen. Der Panzerschrank mag absolut unknackbar sein – was aber, wenn der Angreifer einfach den Besitzer unter falschem Vorwand bittet, ihn aufzuschließen, und/oder den ganzen Schrank mitnimmt?
Ich bedanke mich jedenfalls für diese nette Herausforderung der heutigen Nacht. Gute Sicherheitsmaßnahmen mit kleinen unscheinbaren Löchern, die kreative Kombinationen von Angriffen erfordern, nicht trivial, aber machbar. Genau nach meinem Geschmack. Hat Spaß gemacht! Den Preis, den diese Wirtschaftsförderungsmaßnahme gekostet hat, ist das allerdings nicht wert.
Die Dateien zum Demonstrieren des Angriffs gibts hier als base64-encodetes ZIP-File:
_=_ _=_ Part 001 of 001 of file ausweisapp-updatehack.zip _=_ UEsDBBQAAgAIAOETaT2eURg3hAAAALAAAAAVAAAAdXBkYXRlLW1ldGFzZXJ2ZXIuYmF0TY5BCsIw EEX3gdxhLjChaBciLryASw8wpJMYWpMymUa9vRgRhL/57y3+P7O/FSghWHOkHChHazq6rhMp44WV KktjgZYIsieFR5IJIlclUVbnnDWdI9a6oGdRoJnulHbDcHBefmbm17/4VFxgHPeArSfDCba+K1zX kis7fao1sWiB77s3UEsDBBQAAgAIALMaaT1h0JRCYgIAAM0EAAASAAAAdXBkYXRlcmVzcG9uc2Uu dHh0jVRdT9swFH0mUv+DVaT1AYiT0gH12qDRwiZBNwSF7W1yk0vrNbUj2yGUX7/rJmmzPkxTHmKf e865H73p1+n0noZ+SLpBQL7ftrxH0K+gGckKyeeAoaDljbkFRqY5HJMwJI+QOXZIwjPWC1jYJ18m 05Y3UtKCtCfTdYZkC2+Wvq3SHX4Hcm4XDB2CXsvzBpcYJZjKCCWHHczTISBjlQg5H3Zy+3Jy0bmM vIFRPAP5yq7lK6QqA4IyaVgFD9sLazNGqYkXsOLGx6gL+UrPqTtQqHS03TC7Uskar9J02WgB8fJG 8xUUSi+fsgR7fQCTKWnqXEjb5imKwp8Z4c9ymfgJUIi5TijPhBtieys4/UtQnG7qwaEFNOi7sSRG zA939N6wnWvJhFHM2MS9TwTErNs7754zC/GClf1VipKtuBEoxsoNszFLjGE4RRYrDTUde8Re8tRG 3kF1mvDfSkf/0U1A9UawcoJDtRzQpoFXX6sxloObqCRPwSVzWHn7hgVGI2HFO8hRKnAVfqE5Pu8i G9A9Xq10OZ7L3YjCitXEap6QOyyoeE2s4j3ms1UTriz34Yo9BhNrkVkH3SqD25sqA5qMVYEnnpCX oyNNPqT200zTaPOOfgiZqMKQn/fH5FkYy4/PXYDOIkLJWZ9MrsqUTe8qXTm6ey2UFnYdTbjEu9Lr UrAXrTQ3Asfc8g6q9lSuY3h6uKt/17Df9cOzC/9j4Ie4c/nGY8Hj5W7oO03tUmb6HG9qu36DOLfQ rKGK1HTsxArJHeZctu01QayWbsv1mmb1ppTYvz5Cx9n7bun+nwKOwj1/AFBLAwQUAAIACAD2E2k9 H6aICXAAAACNAAAAEQAAAHVwZGF0ZS1zZXJ2ZXIuYmF0c0hNzshXyE9L4+VKTlHIKEnJTy7m5QIL BlSWZOTn6YanJhWnFpWlFimUZxalKKSnFpckFpWklujp6QH1WMVAlBmZxRSAGXqpFakKuskKSpm5 BflFJQrBQDon1SMkJCAYbIo1uoBeCdBEDU0lBQsDAFBLAwQKAAAAAADQG2k9AAAAAAAAAAAAAAAA BwAAAGh0ZG9jcy9QSwMEFAACAAgA4xtpPYDhQXusAQAAaAgAABUAAABodGRvY3MvdXBkYXRlaGFj ay56aXAL8GZm4WIAgVm8mbYMSIAZiPX09APgCmZIoypggyhAUfMazRA+uBrHggKXxJJEPGrFMNQG 5SfmZual49GjgFOPb2ZyUX5xfloJHt0aROgOz8xLyS8vxmOKMQmmBJckFpUo+KbmleIx0IZMA4vy 04sSc5GdekoQ1WQXCk0Gi5UWgG0QYWBi4GA4ALSBbceRVdJAk+WAOIRKNvg6+oQ7BrnGe7gGueqV VJRwfy/42t3/hb+Xv6i0pJP/4weetg+P/h7+GxPLgPDuYbSA5Ic7Bmxsbp0hUticQFMsiUUxxFW5 qUjaLqEFqTI+bY6lJfnFIGE8IWZMnAEkBQgjkwgD7lwNAQIKEBqcfxEasOVyhAZFpDyP0IMt1yP0 uGIpA3DrFUPRW4inTMBthgKKGUuJKiNwm6aBYtpjksoM3KYao5iqyUhmGYLbAhsUC6oYKS1TEDZh K1UQNl1hpFYZA7IRdykDAowMCkAbzZhoU+Yg+xlb0YLw82EmLAUNQjO2ogah+QMT3oIHYQy2ogdh jDozkQUR7mA1RgnWDGayCqYAb1Y2SCHAx1DHAkwP4CIHAFBLAwQUAAIACAAHBrE42Ql9fZsDAAAS BQAADgAAAGFrYW1haTIwMDguY3J0bZTLjqpKGEbnJLzDmXc6DQjaDPagbiBIoSAXccZFARXQVinh 6U/Z9s4+J9mV1ORPoL6sWl+9v/MFiWm5/yDiB5ZhIRCQ5/BdFKhl4TJACNwvJWAWBKVF4JDHcwxc WB4v1bE2dSZB4IUGwFCm3pUhL8GR55mE2ZEohCNJKExMIIcEVXTly75hEbfPW9jnjSGlsX6n65zZ r68c8tDmEQlLb3Kqtxs7FIW8jcYCwSBTHnJhnvqspVeLnO7JoD6sEVSwdCMIaGAei9BfQ7yL7VN+ 8odi40oWKa6ikCl2lSG4zhRdolDd4ABMaAAGFxOJHsLBNbrnTP0z8wY36lgQEIeCoykKz/SwoiiK 6MM6gPJ1ZheYofGVxHKVrmG4jd0ua/RrphTn7eZPRvMAElH4nZLEhJ9R3rdrrUoV45bEx3vWRBK1 zD0FkonWF3NtZRPskSdVAFTTBRhBUai9BSw91OpaodyMGnXD4fih3uHuNNpfxgiTUTrARWzcNHn3 kQZHY69KenhFRvu2umtFLAqf9HDcD2m9q1J9WlLSx0pSu1/FV/f5kLSI/wgsgqoyfAVLePD7xLm9 2aF2yCcjGHtf5hlkOF1eLrNJMPP3DzThqNvl9jS7nvLWXywUFGYkMPs8LM9UPeXMYBYGHoCdakEf I8RJhuBliC8FEFiMWxM82czXgAQYLigpOYOrCTwPXgMVAgxmFB9NhJ6z0OAkuYdGLXfF3GfL+rMv JsXEaaGcNI9zMsjSyxftkClS78kwcCT9ljWn79t3mkriPsSMIfadYcUhY1CGJedvv3LwBAlh+6mh nec5K34c+K8BomBiEP92AEsv77KJzfiuvh09kJai8GX9g+5+rNeSJhqiuc1J5hOvDBX9Wmz8c6Zo o4OgnTWUd4Ey69UFTB7n/3XhpwnzzNRrUUhiVoaN3hcWb2waMv9FdQ+xylYYTDtcl26XSOncl3Lc 9Q7nVAwaK2L7msb0JgoFT8Jz3BNFvzmK26ZruU5jlVOzqTNajAZlnyg+cxp3yP7SeH6bYMmdBPVi lplnw4JfxxFowUc5hubOabTNvZnpEjubxeWDII0ZdBtr8K3ttDJNrIXKnbxu2TC1tNWyppVXvc1J xnVdfhZZZhhRr8HtqLHLpmxNDUlFERudelgjz/CPTrhzSeaLwnDprbHRTCM6bLU3eTbYY1uHSbp1 usNybIvyknwuTDgkfdV6Uy1feb9+icL3A0dc/JdH719QSwMEFAACAAgA4gWxOJ1Lj5+1AgAAdwMA AA4AAABha2FtYWkyMDA4LmtleW2Tx46DSABE73zF3NHIAbDh2DRNNGCy4WaTo4Emf/3O7nnrWlLp qaT3+/sXHkmK8WM74OdpKz5w0Y+Gwn+LX0JXFPiyFB4Ajc8t2HFMcp3EEn73qj7RM582hzqKBx8e 54rXAnFiLunp7dZiRp85D0NC7MjnzCQBq1d1tr/LtHhzt1xHS3ANS2NMxi+7nRn/bwdoblGI9lU4 C7u9hI+JVD2mImLqAMdiX8oLfzOH4U65dzvbIBWoTWdGzR03cWdr2hV6H+RKS+zlvU438SquigAs wBPgK4HUl467KUoPw2c/cJTxIwgpSpY/Xvxtg55Zb0ZF0RDRRlvs+MZHS9lL1YktbolDsEuKIPpc pzIIJWWLGHU4z0tbKvhTRubL0gO5bx2NZ3NOH7WLy1n0Md+1iQ7FOQiCjDiWR3CFwfzZb1ORgI2c B6cyVcw4YbO3iWnEumewj3f77PingqBlCUltCWwnf5e9bUaiALrue6JaxH5Stxw+H9DWH9/UMTZ2 74D5qSSvHbV3Iaj1pHXnFdApObQKMs71VkOFmJvllcr8AmoE1kJp6tV/zl075u3oNq91gj0FySHG 5KPakqq7MAUXorzbltvjrECICbogD67f1rJ2KqnlXKveaUNJ7rBM8IQxebVUHmhP2Se5cqfYXIXu Vgic0aTCSbYRQ5D+xCLjBpVGDutcZ/ETMIfgKJfIe5vba2JSs7DY+5AvtylQhjJ+tbnKTXvF1n9/ wIxgKDl+6ijr43fpsQIdUQbjTt24H/W4j/dtyL79K7DqrzFSsGeivtNw3AkShZsTJi1MIMManHe/ RZ8VJfgqfrm5BzXw12g1BujzXucs40sbMk66MugPzexZXPF7srwRTYOYsFNID/b2zJJOHoWA0wdJ 8xQJBQFW4BT3kpS5TpUmUas3xH/6IEP4f63+AVBLAwQUAAIACABgIGk9ajmUCw4CAABsAwAACgAA AFJFQURNRS50eHRtUk1vGjEQva/Ef5hwAilrpbQlFTcapH6lDQqBVlEuhp0FF+94ZY+7CT+cUw4d LwghtZf1yn7zZua9N44lFFhBd0xrj6ZE383vcbUh9NCgL5BgibRns+ZRJ4Mcpi+8cQQDNQRDcDN6 qtuLwfCpfaaVZjAVTEtddLJO9kbBOIYGTdB1DVq6PRq0/tjBUGBtrUGP1MkGCpqmUfqEV8tIhSoQ 5IDCNWSdLv73nnjPNoBYWTQss/d2Cj4q2LjAoTQW+53srYK7tBdbs9ogPKJnU5qtZgQ0tNRRylwh wxUGYb7xLXmS6HzwXfSvq21gtFbgCfFVU9QeBldXH6C3RAOL7432ODqe+YNzNgCbCiG80EpqwoVM 805BrAtp7jHUjgIqfmbQVOsQ0vyT49b5/P72Em4cyVac3yKteSPl75O8/zgIybbZ3XgqVibWtE3v 0CavkHVA/we9WmruH6QVeHfevnfzWft4wp9jxSzPyanhydWxuHq8bqmCiHrciMC2S6hOdq3gSyUl 7FosBGet6P0becdJdYQHfOZUZEDSsEa6bOVv2UjLJ4Eq+IHxQLAvS0JWMNEBtnsSVUTQAwwWxscA QX5VSuAnZBSjGCrD8NPQrylMMHIQ9Gwqkft2Vh7lzyfQNZSRtmwctdkUNWh95Om3rAsJg9xPNG2h fD2ERSYSos/oxdvSSca8VF0kdJ6nfPwFUEsBAhQAFAACAAgA4RNpPZ5RGDeEAAAAsAAAABUAAAAA AAAAAQAgIAAAAAAAAHVwZGF0ZS1tZXRhc2VydmVyLmJhdFBLAQIUABQAAgAIALMaaT1h0JRCYgIA AM0EAAASAAAAAAAAAAEAICAAALcAAAB1cGRhdGVyZXNwb25zZS50eHRQSwECFAAUAAIACAD2E2k9 H6aICXAAAACNAAAAEQAAAAAAAAABACAgAABJAwAAdXBkYXRlLXNlcnZlci5iYXRQSwECFAAKAAAA AADQG2k9AAAAAAAAAAAAAAAABwAAAAAAAAAAABAgAADoAwAAaHRkb2NzL1BLAQIUABQAAgAIAOMb aT2A4UF7rAEAAGgIAAAVAAAAAAAAAAAAICAAAA0EAABodGRvY3MvdXBkYXRlaGFjay56aXBQSwEC FAAUAAIACAAHBrE42Ql9fZsDAAASBQAADgAAAAAAAAABACAgAADsBQAAYWthbWFpMjAwOC5jcnRQ SwECFAAUAAIACADiBbE4nUuPn7UCAAB3AwAADgAAAAAAAAABACAgAACzCQAAYWthbWFpMjAwOC5r ZXlQSwECFAAUAAIACABgIGk9ajmUCw4CAABsAwAACgAAAAAAAAABACAgAACUDAAAUkVBRE1FLnR4 dFBLBQYAAAAACAAIAOoBAADKDgAAAAA=
(SHA1: 22b96851042bfece3c641851eaa6e890a7b28bff)
Kontakt/Fragen bitte über die Kommentarfunktion wenn es Zeit hat oder per Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) wenn es dringend ist. Telefon ist ungünstig. Notfalls geht auch Mail an janhomepage [at] gmx punkt net.
CDU-Beschluss zur Netzpolitik, übersetzt
Netzpolitik weist auf einen CDU-Vorstandsbeschluss hin, welcher (als letzten Punkt) auch die Netzpolitik erwähnt. Mit ein wenig Übung kann man aus solchen Beschlüssen durchaus Absichten herauslesen. Für die weniger erfahrenen, hier eine Übersetzung. Zitate sind gekennzeichnet und stammen aus dem verlinkten Dokument. Hervorhebungen von mir.
Sollte sich jetzt irgendwer von der CDU gekränkt fühlen und/oder der Meinung sein, dass die Übersetzung ungenau ist: Ihr habt die nächsten Jahre Zeit, das unter Beweis zu stellen. Aber bitte insgesamt und nicht in irgendwelchen Details. Viel Glück.
Die Übersetzung
Es ist unser Ziel, die Möglichkeiten des Internets in allen Lebensbereichen optimal nutzbar zu machen und den Standort Deutschland als moderne Informations- und Kommunikationsgesellschaft weiter zu entwickeln.
Wir wollen das Internet kommerzialisieren wo auch immer das möglich ist und die kommerzielle (Aus)nutzung des Internets fördern. Wirtschaftliche Interessen haben Vorrang vor allem anderen.
Ein Netz ohne staatliche Mindestregulierung entspricht nicht unserer Vorstellung von politischer Verantwortung.
Wir wollen das Internet regulieren.
Gleichzeitig sind wir uns bewusst, dass zentrale und rein nationale Regelungen nur bedingt wirksam sind, gerade auch wenn es um Kriminalität im Internet geht. Fragen der Netzpolitik sind daher im europäischen und internationalen Dialog zu beantworten, Netzaktive und Branchenverbände werden wir dabei einbeziehen.
Wir wissen, dass wir unseren Überwachungswahn hier nicht durchgesetzt kriegen, weil uns die Bürger zu sehr auf die Finger schauen. Deswegen werden wir den Weg über die EU-Ebene und internationale Abkommen gehen. Lobbyisten werden dabei die Gesetzesentwürfe schreiben, während wir ein paar „Netzaktive“ ihre Meinung sagen lassen (die wir natürlich ignorieren), um die Massen ruhig zu stellen.
Dabei wird in der CDU die Abwägung zwischen „Freiheit“ und „Sicherheit“ stets eine wichtige Rolle spielen.
Die Freiheit darf die Sicherheit dabei nie einschränken. Wir fordern die totale Kontrolle.
So halten wir das Urheberrecht und das geistige Eigentum für schützenswerte Grundlagen von Innovation und Wirtschaftswachstum in unserer Gesellschaft.
Das Urheberrecht wird weiter nach Wünschen der Verwerterindustrie verschärft.
Auch ist es unserer Ansicht nach Aufgabe des Staates, etwa im Bereich des Daten-, Kinder-, Jugend- und Verbraucherschutzes, verbindliche Rahmenbedingungen für das Netz zu schaffen.
Unter dem Vorwand des Daten-, Kinder- und Jugendschutzes werden wir die Überwachung und Zensur des Internets vorantreiben und in Gesetzesform gießen. Mit ein paar wirkungslosen Verbraucherschutzregeln zünden wir eine Nebelkerze um ein – wenn auch irrelevantes – Gegenbeispiel zu haben, wenn man uns daran erinnert, dass wir eigentlich fast immer für die Lobbyisten und gegen die Verbraucher arbeiten. Falls wir am Datenschutz was ändern, werden wir „klare“ und einfache Rahmenbedingungen schaffen – „einfach“ dadurch, dass wir die Einschränkungen bei der Datennutzung reduzieren.
Die CDU hat eine Arbeitsgruppe „Netzpolitik“ eingerichtet, die für den Bundesparteitag 2011 programmatische Positionen erarbeiten wird, mit denen wir diese Entwicklung fördern, den Herausforderungen begegnen und die Bürger über die Chancen und Risiken der digitalen Welt informieren können.
Wir haben eine ganze Arbeitsgruppe eingerichtet, um so zu tun, als ob wir Ahnung vom Thema haben. Gleichzeitig werden wir uns intensiv bemühen, die Freiheit im Netz weiter einzuschränken und Propaganda über das große böse Internet zu verbreiten.
Bundestag kann SSL abhören
Der Bundestag kann SSL-gesicherte Verbindungen abhören. SSL ist vielen vielleicht nur als „https“ bekannt und sichert neben Onlinebanking auch z. B. Verbindungen zu E-Mail-Servern und ziemlich viele andere Sachen. (Kurzzusammenfassung für Leute die sich mit SSL auskennen: Der Bundestag hat ne CA. Der Artikel erklärt halbwegs laienfreundlich genau das, die Grundidee hinter SSL und warum SSL kaputt ist.)
SSL funktioniert so: Eine vertrauenswürdige Stelle stellt dem Server einen Ausweis aus, den er vorzeigt, und darüber wird die Verbindung verschlüsselt. Das nennt sich Zertifikat und die technischen Details habe ich schonmal erklärt, hier will ich es einfach halten. Ein Angreifer kann sich in die Verbindung nicht einklinken, weil er keinen passendes Zertifikat hat (nur der Besitzer oder jemand der das Original kopiert hat kann ein Zertifikat zeigen, weil beim Zeigen ein Teil geheim bleibt. Klingt komisch, ist aber Mathematik.)
In jedem Browser ist eine Liste der aus Sicht des Browsers vertrauenswürdigen Stellen enthalten. Das sind ungefähr 50 Stück und zwar auch solche, die man vielleicht nicht ganz so vertrauenswürdig findet, wie z. B. die chinesische Internetbehörde.
Die Sicherheit von SSL beruht darauf, dass ein Angreifer kein Zertifikat bekommt für die Seite, deren Datenverkehr er abhören will. Wenn jemand den Datenverkehr zur Postbank abhören will, muss er also jemanden finden, der ihm ein Zertifikat ausstellt, was bestätigt dass ihm Postbank.de gehört. Das kann aber jede der vertrauenswürdigen Zertifizierungsstellen.
Es wird noch „besser“: Die Zertifizierungsstellen können jedermann zu einer Zertifizierungsstelle machen. Derjenige hat dann die gleichen Möglichkeiten wie die im Browser eingetragenen Zertifizierunsstellen. Neben den 50 Stellen können also noch viele viele weitere ein falsches Zertifikat ausstellen – und mit einem solchen kann man eine eigentlich gesicherte Verbindung abhören. (Das funktioniert so, dass der Angreifer die Verbindung über sich umleitet und behauptet, er sei die Postbank – über das Zertifikat prüft der Browser ob das stimmt.)
Zertifizierungsstellen kürzt man übrigens mit CA ab.
SSL ist also unsicher, wenn
- Eine einzige dieser CAs einen Fehler macht und ein Zertifikat ausstellt ohne zu merken, dass der Angreifer nicht die Postbank ist
- Eine CA dem Angreifer bewusst oder z. B. über einen erpressten Mitarbeiter ein falsches Zertifikat ausstellt (man denke an Geheimdienste oder Industriespionage, viele CAs werden von Regierungen/regierungsnahen Organisationen und noch mehr von Firmen die eigentlich was ganz anderes machen betrieben)
- Der Angreifer eine eigene CA hat/ist/kauft
- eine Sicherheitslücke im Protokoll oder im benutzten Browser/Server auftaucht
- oder irgendwas was ich vergessen hab passiert
Fehler sind schon oft passiert. Ein paar Forscher haben mal das Internet nach SSL-Zertifikaten abgegrast und das zusammen mit ein paar anderen Sicherheitsproblemen auf der DefCon präsentiert. Sie sind auf über 500 Organisationen gekommen die direkt oder indirekt eine CA haben.
Weiterhin haben sie gemerkt, dass CAs ca. 500 noch gültige Zertifikate, die praktisch „geknackt“ sind (durch eine Sicherheitslücke bei Debian) nicht für ungültig erklärt haben, und gültige Zertifikate für private IPs. Das ist in etwa so wie ein Ausweis der bestätigt dass Büro Nummer 37 einer bestimmten Person gehört – ohne zu sagen, von welchem Haus in welcher Stadt man redet. Das scheint übrigens dann das Ausnutzen eine anderen Sicherheitslücke zu erlauben (vereinfacht: man sagt dem Nutzer, dass er die Postbank im gleichen Flur in Büro 37 suchen soll, geht in dieses fremde Büro und zeigt dann wenn der Nutzer kommt den Ausweis vor. Deswegen darf es so einen Ausweis eigentlich nicht geben).
Ach ja, und um zu prüfen, ob jemandem eine Domain gehört, wird eine Mail verschickt. Über oft unverschlüsseltes SMTP. Nachdem über bisher ungesichertes DNS nachgeschaut wurde, wohin die Mail gehen soll. Wenn also jemand es schafft, eine dieser Verbindungen zu manipulieren, bekommt er falsche Zertifikate.
Trotzdem sollte man SSL benutzen. Ohne SSL kann ein Angreifer einfach so mithören, was passiert. Mit SSL muss er selbst bei groben Sicherheitsproblemen (z. B. Zertifikate gar nicht prüfen) auch Kommunikation manipulieren statt einfach nur mitzuhören (geht recht leicht, ist aber eine Hürde). Selbst wenn eine CA falsche Zertifikate ausstellt, muss der Angreifer diese finden und sie muss auch ihm so ein Zertifikat geben. Wenn z. B. die Telekom dem BND ein Zertifikat geben würde (was ich jetzt nicht unterstellen möchte), würde sie es immer noch nicht mit einem gewöhnlichen Kriminellen tun. Auch hier wird also eine Hürde geschaffen.
Schützen kann man sich nur bedingt. Die Firefox-Extension CertPatrol zeigt an, wenn sich ein Zertifikat ändert, und auf Wunsch auch bei neuen Zertifikaten, wer es ausgestellt hat. Dabei machen sowohl die Extension als auch Firefox (beim Klick auf das blaue „gesicherte Verbindung“-Feld in der Adressleiste) einen groben Fehler, den ich hier allerdings noch nicht erklären werde. Erinnert mich in nem Monat dran wenn ich nicht dran denke. (Update: In CertPatrol inzwischen behoben – es wird/wurde nur die CA angezeigt, die das Zertifikat ausgestellt hat. Ein Angreifer, der eine falsche CA hat, kann aber erst eine andere falsche CA mit beliebigem Namen erstellen, und damit dann das Cert ausstellen.) Mit dieser Extension habe ich auch gemerkt, dass der E-Petitionsserver des Bundestags plötzlich ein von der mir bis dahin unbekannten Bundestags-CA ausgestelltes Zertifikat hat. Damit könnte der Bundestag theoretisch falsche Zertifikate ausstellen und so SSL-Verbindungen abhören.
Beim Ausstellen falscher Zertifikate geht die CA aber ein gewisses Risiko ein – normale Nutzer merken das nicht, aber wenn es mal einer mit z. B. CertPatrol merkt und das Zertifikat abspeichert, kann die CA sich nicht völlig herausreden, das Zertifikat verrät unabstreitbar wer es ausgestellt hat. Sie muss es auf einen Fehler schieben und hoffen dass nichts passiert. Wenn sich solche Fehler häufen, düfte die CA aus den Vertrauenslisten in den Browsern rausfliegen und andere CAs dürften sich hüten, diese Organisation wieder in den CA-Status zu heben. Um Zertifikate direkt abspeichern zu können, wenn sie auftauchen (und so das Risiko zu vermeiden, dass beim Abruf mit einem anderen Tool wieder das „saubere“ Zertifikat drin ist), kann man die Extension Cert Viewer Plus nutzen.
Die Bundestags-CA wurde vom DFN (Deutsches Forschungsnetz) bestätigt, welches wiederum seine CA von der Telekom bestätigt bekommen hat. Hier die Zertifikate:
Certification path for "epetitionen.bundestag.de" Inhaber: C=DE,ST=Berlin,L=Berlin,O=Deutscher Bundestag,OU=PetA,CN=epetitionen.bundestag.de Aussteller: C=DE,O=Deutscher Bundestag,OU=Deutscher Bundestag,CN=Deutscher Bundestag CA - G01,E=pki-ca@bundestag.de Validität: from 2010-09-27 13:09:06 UTC to 2015-09-26 13:09:06 UTC -----BEGIN CERTIFICATE----- MIIFYDCCBEigAwIBAgIEEMAVAjANBgkqhkiG9w0BAQUFADCBlDELMAkGA1UEBhMC REUxHDAaBgNVBAoTE0RldXRzY2hlciBCdW5kZXN0YWcxHDAaBgNVBAsTE0RldXRz Y2hlciBCdW5kZXN0YWcxJTAjBgNVBAMTHERldXRzY2hlciBCdW5kZXN0YWcgQ0Eg LSBHMDExIjAgBgkqhkiG9w0BCQEWE3BraS1jYUBidW5kZXN0YWcuZGUwHhcNMTAw OTI3MTMwOTA2WhcNMTUwOTI2MTMwOTA2WjB/MQswCQYDVQQGEwJERTEPMA0GA1UE CBMGQmVybGluMQ8wDQYDVQQHEwZCZXJsaW4xHDAaBgNVBAoTE0RldXRzY2hlciBC dW5kZXN0YWcxDTALBgNVBAsTBFBldEExITAfBgNVBAMTGGVwZXRpdGlvbmVuLmJ1 bmRlc3RhZy5kZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANxlR8dG FjtzBE05l7RKRgQwy6DSzLE8qeoPuycX4VrYvgRdX0NyeoZ3h9MqT0DJHvXAWS+d BHkNrnhRHFf4cxZsIbSjnrSr311QUmwityCoinESNqXAdY/i466/TEE+GcUOS4t2 Mfmba8Zi3qKGspgcGec14xuyNc8ENlKvTjKBC+mJrjlh/Gpb3VW/rNh65V8EXvbW vlXbyDbZ/5n57TZqM2bblPWRnh/Zual54Y/khqlPdWuNxHMSr+OtvgXW/aJGWOzh uusPIzxp1uYgd7PMCvP5aHf1w5mMy3Em1c6w8PiH7Fq1yDa1CbpFpq+SHQ0NF2lu lQecru1cdFefpsUCAwEAAaOCAcwwggHIMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgXg MB0GA1UdJQQWMBQGCCsGAQUFBwMCBggrBgEFBQcDATAdBgNVHQ4EFgQUJUpy4/No XDOu0LAY+DNj7g+E51QwHwYDVR0jBBgwFoAUd42VgQQK41VYmdALyblb5SJ+LjYw gZkGA1UdHwSBkTCBjjBFoEOgQYY/aHR0cDovL2NkcDEucGNhLmRmbi5kZS9kZXV0 c2NoZXItYnVuZGVzdGFnLWNhL3B1Yi9jcmwvY2FjcmwuY3JsMEWgQ6BBhj9odHRw Oi8vY2RwMi5wY2EuZGZuLmRlL2RldXRzY2hlci1idW5kZXN0YWctY2EvcHViL2Ny bC9jYWNybC5jcmwwgbIGCCsGAQUFBwEBBIGlMIGiME8GCCsGAQUFBzAChkNodHRw Oi8vY2RwMS5wY2EuZGZuLmRlL2RldXRzY2hlci1idW5kZXN0YWctY2EvcHViL2Nh Y2VydC9jYWNlcnQuY3J0ME8GCCsGAQUFBzAChkNodHRwOi8vY2RwMi5wY2EuZGZu LmRlL2RldXRzY2hlci1idW5kZXN0YWctY2EvcHViL2NhY2VydC9jYWNlcnQuY3J0 MA0GCSqGSIb3DQEBBQUAA4IBAQB4XvDdQcukMgEEvgLklMuAjrU7GT4SgyiHZCkY hcEqqOHA0WiP6i1H66MTui00TDVv9QRpjnMgy9jD0QXynWgHG0F07ZrpO+8YBQvL NsuslkYr9SXMnOOw3AfwDTUbo+sLKWaRiBiVeP6WOrbtCddrbmMvWexf/1M8dx/E ynIEIyhRgXD/1YyFLzi85I8UP4eCKa38HPxIgI5An5baOjA4rgOH/LyAKV+9659T /vjTZZ4R2t/ratiLZEoZ1byUqdit3msDQoq5YXKF5DVgMGF+jL6V+wXg8Vu10ajg KO6AxrzMS+WBgY4PXuwLMY3iO8GL8s0IlAtMu9Ew0svPAH2V -----END CERTIFICATE----- Inhaber: C=DE,O=Deutscher Bundestag,OU=Deutscher Bundestag,CN=Deutscher Bundestag CA - G01,E=pki-ca@bundestag.de Aussteller: C=DE,O=DFN-Verein,OU=DFN-PKI,CN=DFN-Verein PCA Global - G01 Validität: from 2008-12-17 14:39:27 UTC to 2019-06-30 00:00:00 UTC -----BEGIN CERTIFICATE----- MIIFJDCCBAygAwIBAgIEDWiMrzANBgkqhkiG9w0BAQUFADBaMQswCQYDVQQGEwJE RTETMBEGA1UEChMKREZOLVZlcmVpbjEQMA4GA1UECxMHREZOLVBLSTEkMCIGA1UE AxMbREZOLVZlcmVpbiBQQ0EgR2xvYmFsIC0gRzAxMB4XDTA4MTIxNzE0MzkyN1oX DTE5MDYzMDAwMDAwMFowgZQxCzAJBgNVBAYTAkRFMRwwGgYDVQQKExNEZXV0c2No ZXIgQnVuZGVzdGFnMRwwGgYDVQQLExNEZXV0c2NoZXIgQnVuZGVzdGFnMSUwIwYD VQQDExxEZXV0c2NoZXIgQnVuZGVzdGFnIENBIC0gRzAxMSIwIAYJKoZIhvcNAQkB FhNwa2ktY2FAYnVuZGVzdGFnLmRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB CgKCAQEAyV2H0tJjqK2L25XRrdkSyAmCm5AO71u+xAme6ppAunax/aW11Bhn2cet N3nj0govnSVnOCre2inqvm49d/MVj0zyhhw7v5AG2Ab5WK/4TryLofCHJEEn+1oy CWnNqBQIjFLawUbhfjOOspPxLujDTdaYDn7Z00nY85c7cRESdW3BbeL0a2OrSJyJ yW93nR/+of9tsyTLsy9LiKZvRaGnXtYUDy/Sq3MSpgiWjsq95VFBT0lMBE1J+xv7 4ZrXikfZs+o3cfVxFQluLPwmxSqrd4BmH6rTxUb9iFLWwEFWJIYLlV8Z6GG9kxOd KG9Q+T3QxUqi0Mw7/5hrl8Zs0wXbDQIDAQABo4IBtTCCAbEwEgYDVR0TAQH/BAgw BgEB/wIBATALBgNVHQ8EBAMCAQYwHQYDVR0OBBYEFHeNlYEECuNVWJnQC8m5W+Ui fi42MB8GA1UdIwQYMBaAFEm3xs/oPR9/6kR7Eyn38QpwPt5kMB4GA1UdEQQXMBWB E3BraS1jYUBidW5kZXN0YWcuZGUwgYgGA1UdHwSBgDB+MD2gO6A5hjdodHRwOi8v Y2RwMS5wY2EuZGZuLmRlL2dsb2JhbC1yb290LWNhL3B1Yi9jcmwvY2FjcmwuY3Js MD2gO6A5hjdodHRwOi8vY2RwMi5wY2EuZGZuLmRlL2dsb2JhbC1yb290LWNhL3B1 Yi9jcmwvY2FjcmwuY3JsMIGiBggrBgEFBQcBAQSBlTCBkjBHBggrBgEFBQcwAoY7 aHR0cDovL2NkcDEucGNhLmRmbi5kZS9nbG9iYWwtcm9vdC1jYS9wdWIvY2FjZXJ0 L2NhY2VydC5jcnQwRwYIKwYBBQUHMAKGO2h0dHA6Ly9jZHAyLnBjYS5kZm4uZGUv Z2xvYmFsLXJvb3QtY2EvcHViL2NhY2VydC9jYWNlcnQuY3J0MA0GCSqGSIb3DQEB BQUAA4IBAQCTl0KbJX0XEEVgNkLeS/dmgJzwcSC6z8aFvhQPzbE08Q/qhWItV4iU YYZ9nkfuoKzoz1V1CoqEFhE7QRKr0OLMHVs+yJnWXfWEuQ11ph6KMEAvK8b/9J0O Hz83WRO7pqZp1VWZGZ0Prj3CWkqxUEmFiPcCC3N1pRcVvufimpchB3SA2NeUKE4C G2fo3XT3q99ltN53wAPGXhqzSVXO8zYIW+bglion3IdeYna/Hzx94RpXNKl5q4pK e0lSRUtj0k0yWS/YDptFsVPhr5wLm+uVXz/G43/7I5TYEZ56Yz6LqUhrY59XkSeG 6trUzc7DpXEZWvoqFQy/0jonReRX15x9 -----END CERTIFICATE----- Inhaber: C=DE,O=DFN-Verein,OU=DFN-PKI,CN=DFN-Verein PCA Global - G01 Aussteller: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2 Validität: from 2006-12-19 10:29:00 UTC to 2019-06-30 23:59:00 UTC -----BEGIN CERTIFICATE----- MIIEITCCAwmgAwIBAgICAMcwDQYJKoZIhvcNAQEFBQAwcTELMAkGA1UEBhMCREUx HDAaBgNVBAoTE0RldXRzY2hlIFRlbGVrb20gQUcxHzAdBgNVBAsTFlQtVGVsZVNl YyBUcnVzdCBDZW50ZXIxIzAhBgNVBAMTGkRldXRzY2hlIFRlbGVrb20gUm9vdCBD QSAyMB4XDTA2MTIxOTEwMjkwMFoXDTE5MDYzMDIzNTkwMFowWjELMAkGA1UEBhMC REUxEzARBgNVBAoTCkRGTi1WZXJlaW4xEDAOBgNVBAsTB0RGTi1QS0kxJDAiBgNV BAMTG0RGTi1WZXJlaW4gUENBIEdsb2JhbCAtIEcwMTCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAOmbw2eF+Q2u9Y1Uw5ZQNT1i6W5M7ZTXAFuVInTUIOs0 j9bswDEEC5mB4qYU0lKgKCOEi3SJBF5b4OJ4wXjLFssoNTl7LZBF0O2gAHp8v0oO GwDDhulcKzERewzzgiRDjBw4i2poAJru3E94q9LGE5t2re7eJujvAa90D8EJovZr zr3TzRQwT/Xl46TIYpuCGgMnMA0CZWBN7dEJIyqWNVgn03bGcbaQHcTt/zWGfW8z s9sPxRHCioOhlF1Ba9jSEPVM/cpRrNm975KDu9rrixZWVkPP4dUTPaYfJzDNSVTb yRM0mnF1xWzqpwuY+SGdJ68+ozk5SGqMrcmZ+8MS8r0CAwEAAaOB2TCB1jBwBgNV HR8EaTBnMGWgY6Bhhl9odHRwOi8vcGtpLnRlbGVzZWMuZGUvY2dpLWJpbi9zZXJ2 aWNlL2FmX0Rvd25sb2FkQVJMLmNybD8tY3JsX2Zvcm1hdD1YXzUwOSYtaXNzdWVy PURUX1JPT1RfQ0FfMjAdBgNVHQ4EFgQUSbfGz+g9H3/qRHsTKffxCnA+3mQwHwYD VR0jBBgwFoAUMcN5G7r1U9cX4Il6LRdsCrMrnTMwDgYDVR0PAQH/BAQDAgEGMBIG A1UdEwEB/wQIMAYBAf8CAQIwDQYJKoZIhvcNAQEFBQADggEBADvhWnfASBfcqRjs ga9aifC9KJKmylkYEnDsKPLnrn+WLOfyXRkx9hMrdL29gLK592fJOaJ5O+EREe5r eJEzfjtfJid1U2WOM2Puz3PDsJIjSSFQdSOhHxjilIU9PzPpdyCNor3moYUpQPY/ czJYDQlrptqFbMA/u41mZFYkTq4NPzI1AVvpjILZcllPsYaF8XSFVuXD+Fzzje5H s1MFcOflTYppgyjhEwmGnl7I6lgeDB/5pNRaBGj9KD6LArZYtfahLDdXAGerI2iN Y6XvmWtc/UtW9qtAhzTUEZJs7IfFCgsHM3K0bwwdVCzYUcfMvzDTQ3LxMr+Mzklj qAD38hw= -----END CERTIFICATE----- Inhaber: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2 Aussteller: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2 Validität: from 1999-07-09 12:11:00 UTC to 2019-07-09 23:59:00 UTC -----BEGIN CERTIFICATE----- MIIDnzCCAoegAwIBAgIBJjANBgkqhkiG9w0BAQUFADBxMQswCQYDVQQGEwJERTEc MBoGA1UEChMTRGV1dHNjaGUgVGVsZWtvbSBBRzEfMB0GA1UECxMWVC1UZWxlU2Vj IFRydXN0IENlbnRlcjEjMCEGA1UEAxMaRGV1dHNjaGUgVGVsZWtvbSBSb290IENB IDIwHhcNOTkwNzA5MTIxMTAwWhcNMTkwNzA5MjM1OTAwWjBxMQswCQYDVQQGEwJE RTEcMBoGA1UEChMTRGV1dHNjaGUgVGVsZWtvbSBBRzEfMB0GA1UECxMWVC1UZWxl U2VjIFRydXN0IENlbnRlcjEjMCEGA1UEAxMaRGV1dHNjaGUgVGVsZWtvbSBSb290 IENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCrC6M14IspFLEU ha88EOQ5bzVdSq7d6mGNlUn0b2SjGmBmpKlAIoTZ1KXleJMOaAGtuU1cOs7TuKhC QN/Po7qCWWqSG6wcmtoIKyUn+WkjR/Hg6yx6m/UTAtB+NHzCnjwAWav12gz1Mjwr rFDa1sPeg5TKqAyZMg4ISFZbavva4VhYAUlfckE8FQYBjl2tqriTtM2e66foai1S NNs671x1Udrb8zH57nGYMsRUFUQM+ZtV7a3fGAigo4aKSe5TBY8ZTNXeWHmb0moc QqvF1afPaA+W5OFhmHZhyJF81j4A4pFQh+GdCuatl9Idxjp9y7zaAzTVjlsB9WoH txa2bkp/AgMBAAGjQjBAMB0GA1UdDgQWBBQxw3kbuvVT1xfgiXotF2wKsyudMzAP BgNVHRMECDAGAQH/AgEFMA4GA1UdDwEB/wQEAwIBBjANBgkqhkiG9w0BAQUFAAOC AQEAlGRZrTlk5ynrE/5aw4sTV8gEJPB0d8Bg42f76Ymmg7+Wgnxu1MM9756Abrsp tJh6sTtU6zkXR34ajgv8HzFZMQSyzhfzLMdiNlXiItiJVbSYSKpk+tYcNthEeFpa IzpXl/V6ME+un2pMSyuOoAPjPuCp1NJ70rOo4nI8rZ7/gFnkm0W09juwzTkZmDLl 6iFhkOQxIY40sfcvNUqFENrnijchvllj4PKFiDFT1FQUhXB59C4Gdyd1Lx+4ivn+ xbrYNuSD7Odlt79jWvNGr4GUN9RBjNYj1h7P9WgbRGOiWrqnNVmh5XAFmw4jV5mU Cm26OWMohpLzGITY+9HPBVZkVw== -----END CERTIFICATE-----
Einzelne CAs im Browser rauswerfen bringt wenig, weil gerade die kleinen/neuen CAs oft (nicht öffentlich sichtbare!) Bestätigungen von anderen CAs haben. Wenn man eine CA rauswirft, die viele Zertifikate ausstellt, kann man deren Zertifikate nicht mehr von gefälschten unterscheiden. Da man nicht jedes Zertifikat manuell prüfen kann – ganz schlecht. Am Sinnvollsten dürfte CertPatrol sein und für kritische Sachen eben auf die Warnungen achten und beim ersten Mal das Zertifikat genau prüfen. Interessanterweise hat Microsoft dieses Problem scheinbar erkannt – bei WLAN-Verbindungen wo die Anmeldung über Zertifikate gesichert wird muss man ausdrücklich auswählen, welchen CAs man für diesen Zweck traut, und nur die werden akzeptiert. So kann eine Firma sicherstellen, dass ihre Rechner für die Anmeldung in ihrem WLAN nur ihrer eigenen CA und nicht der des Konkurrenten trauen. Und in der Fehlermeldung wird unterschieden zwischen „Zertifikat einer unbekannten CA“ und „Zertifikat einer bekannten aber nicht angekreuzten CA“ sodass man sich zumindest halbwegs sicher verbinden kann, wenn man die richtige CA nicht weiß.
Für Serverbetreiber gilt: Es spielt keine Rolle, wie sicher die CA ist, die man wählt – wichtig ist nur, welche CA in den Browsern akzeptiert wird. Selbst erstellte (nicht von einer CA bestätigte) Zertifikate sind eine relativ schlechte Lösung – eine CA bietet zusätzlich die Möglichkeit, halbwegs sicher zu sein, selbst wenn man das Zertifikat nicht selbst prüfen konnte. Kostenlose Zertifikate für Webserver gibts bei StartSSL, was bis auf Opera von allen Browsern akzeptiert wird. Das oft vorgeschlagene CAcert ist in den meisten Browsern standardmäßig nicht enthalten und daher IMHO nur zweite Wahl – bietet dafür aber auch andere Zertifikatstypen an.
Fefe hat das Thema auch schon kommentiert und ein weiteres Horrorgeschichtenkabinett findet sich in den „A mighty fortress is our PKI“-Mails von Peter Gutmann: Teil 1, Teil 2, Teil 3
Polizeigewerkschaftswahnsinn
Wenn in den Medien wieder einmal berichtet wird, dass die/eine Polizeigewerkschaft irgendetwas fordert, muss man immer daran denken zu fragen, welche. Es gibt nämlich drei, die sich regelmäßig zu politischen Themen äußern:
- DPolG (Deutsche Polizeigewerkschaft)
- BDK (Bund Deutscher Kriminalbeamter)
- GdP (Gewerkschaft der Polizei)
Hält man die nicht auseinander, macht man schnell eine halbwegs vernünftige Gewerkschaft für die Äußerungen einer anderen, weniger vernünftigen, verantwortlich.
Der BDK ist bekannt dafür, dass er gerade was der Internet betrifft, gerne viel und vor allem viel Unsinniges fordert, ohne wirklich Ahnung zu haben. Die aktuellste respektable Leistung hierbei ist die Forderung eines „Reset-Knopfs“ (gemeint ist ein Not-Aus), mit dem das Internet bei Angriffen abgeschaltet werden kann. Ich denke, die folgende Karikatur bringt die „Sinnhaftigkeit“ des Vorschlags auf den Punkt:
Die BDK-Meldungen zeichnen sich aus meiner Sicht meist mit recht starkem Populismus und Polemik aus, teilweise hat man den Eindruck, dass einfach irgendwo aufgeschnappte Ideen zur eigenen Forderung werden, um in die Presse zu kommen. (Mit dem Internet-Notaus-Knopf machen sich in Amerika seit längerem Leute lächerlich.)
Zumindest eine der anderen Polizeigewerkschaften hatte ich eigentlich als halbwegs vernünftig in Erinnerung und hatte den Eindruck, die Existenz von Bürgerrechten sei ihnen zumindest bekannt. Sicher bin ich mir nicht, ich glaube es war die DPolG, die auch das BKA-Gesetz wegen mangelndem Schutz von Bürgerrechten kritisierte. (UPDATE: Ich hab mir die alten Meldungen nochmal angeschaut, kann genausogut die GdP gewesen sein, ich weiß es nicht.)
Das hat sich geändert. Zum BDK muss ich ja nicht mehr viel sagen. Die GdP hat sich vor kurzem durch eine Aussage ihres Chefs hervorgetan, nach der er sich nicht vorstellen kann, dass die Sicherungsverwahrung Bürgerrechte verletzen könnte. Jetzt hat auch die DPolG nachgelegt, und gleich mal einen Pranger gefordert.
Derzeit kann man also von keiner der drei Gewerkschaften sagen, dass sie Bürgerrechte und die freiheitlichen Grundsätze unserer Gesellschaft auch nur ansatzweise verinnerlicht hätte. (Ergänzung:) Ab und zu schaffen sie es was überraschend positives zu veröffentlichen, aber kurz danach greifen sie wieder daneben. Dennoch sollte man bei Nachrichten unterscheiden, welche der Gewerkschaften was absondert, da es doch noch Unterschiede gibt. BDK-Äußerungen führen bei mir inzwischen nichtmal zu Kopfschütteln – von denen bin ich das gewohnt. Die anderen Gewerkschaften nehme ich zumindest noch etwas ernst. Schade, dass die Presse üblicherweise jede Äußerung einer dieser drei Gewerkschaften aufgreift und verbreitet, fast als wäre es eine offizielle Meldung einer Behörde. Bei vielen Bürgern kommt leider meist nur „Polizeigewerkschaft“ und somit „Polizei“ und somit „offiziell“ und somit „gut“ an…
UPDATE 2: Die FAZ hat es soeben geschafft, ein schönes Gegenbeispiel für den letzten Satz zu liefern. Leider dürfte das die Ausnahme sein, die die Regel bestätigt… UPDATE 3: Hrmpf. Die FAZ hat Constanze Kurz vom CCC für sich schreiben lassen, kein Wunder dass die Meldung was taugt. Immerhin gut, dass sie wenigstens auf Kompetenz setzen, aber lieber wäre mir, wenn die Medien von alleine mit ihren üblichen Autoren auf sowas kämen – so wird es viel zu selten was.
Geheimes Urheberrechtsabkommen ACTA – eine Übersicht
Auf internationaler Ebene verhandeln Regierungen derzeit an einem neuen, internationalen Urheberrechsabkommen namens ACTA. Die Verhandlungen werden nicht nur vor der Öffentlichkeit, sondern auch vor den Parlamenten geheimgehalten – diese haben nicht mitzureden. Lobbyisten von Urheberrechtsverbänden hingegen haben sehr wohl Zugang und werden auch angehört. Angebliche Offenlegungen im Namen der Transparenz und stellen sich als unvollständig, fehlerhaft oder völlig gefälscht heraus. Regelmäßige Leaks von Teilen des Abkommens zeigen, dass die Geheimhaltung einen guten Grund hat – es sollen wieder einmal die Interessen normaler Nutzer übergangen und die Interessen der Contentmafia durchgesetzt werden. Vorgeblich soll es nur um die Bekämfung kommerzieller Verletzungen von Schutzrechten wie z. B. Produktfälschungen gehen – in Wirklichkeit betreffen die Regelungen jeden.
Die Pläne übertreffen die bisherigen Gesetze bei Weitem, und auch die EU sorgt eher dafür, dass die Regelungen verschärft als gelockert werden. Der meines Wissens nach aktuellste Leak ist die EU-Version vom 1. Juli. Ich fasse hier mal ein paar Punkte zusammen, die deutlich machen, wie der Hase läuft. Das ist nur das, was ich dem Leak entnehmen konnte. Sicherlich habe ich einige gut in Juristensprache versteckte Punkte übersehen. Zudem ist zu befürchten, dass der Leak unvollständig sein könnte!
- Richter sollen für Schutzrechtsverletzungen Entschädigungszahlungen nach jedem legitimen vom Rechteinhaber vorgeschlagenen Maßstab wie z. B. dem Verkaufspreis festzusetzen.
- Geräte, bei denen der Verdacht besteht, dass sie für Schutzrechtsverletzungen verwendet werden, sollen auch in Zivilverfahren entschädigungslos beschlagnahmt werden dürfen. Das bezieht sich ausdrücklich auch auf Urheberrechtsverletzungen, nicht nur auf Produktfälschungen.
- „Grenzmaßnahmen“ wieder ausdrücklich auch gegen Urheberrechtsverletzungen (gemeint ist z. B. das Durchsuchen von Datenträgern) sind vorgesehen, die Mitgliedsstaaten des Abkommens können jedoch Ausnahmen für private Güter einführen – müssen es aber nicht! Würden die Verhandlungsteilnehmer ihre Versprechungen, dass das Abkommen eben nicht die Durchsuchung und Beschlagnahme privater MP3-Player umfassen soll, ernst meinen, hätten sie es reingeschrieben.
- Ebenso können die Teilnehmerländer davon absehen, die strafrechtlichen Vorgaben des Abkommens auf Verletzungen durch Endkunden anzuwenden. Die beinhalten unter anderen, dass für das Abfilmen von Kinofilmen (auch nur für den Privatgebrauch gedachtes) ein eigener Straftatbestand eingeführt werden soll und bei Schutzrechtsverletzungen eine Beschlagnahme der verwendeten Ausrüstung vorgesehen ist.
- Nicht näher spezifizierte beschleunigte Abhilfen zur Verhinderung von Schutzrechtsverletzungen und Mittel die eine Abschreckung gegenüber zukünftigen Verletzungen bieten werden gefordert. Three Strikes wird zwar nicht ausdrücklich genannt, es dürfte aber darauf hinauslaufen.
Eine Regelung, nach der diese Maßnahmen gerecht und angemessen sein müssen, wird nur von drei Delegationen gefordert! - Die DMCA-Takedown-Notices, nach denen ein Internetanbieter auf Benachrichtigung durch einen (angeblichen) Rechteinhaber verpflichtet ist, Inhalte zu entfernen, sollen international verpflichtend werden (bzw. die Haftungsbefreiung für fremde Inhalte soll an die Umsetzung eines solchen Verfahrens gekoppelt werden). Immerhin darf die Haftungsbefreiung für die Provider nicht an eine Pflicht zur Vorabkontrolle durch den Provider gekoppelt werden.
- Diensteanbieter und Rechteinhaber sollen zur Kooperation angehalten werden, um Rechteverletzungen zu vermeiden. Das ist schwammig formuliert, könnte aber dazu führen, dass von Rechteinhabern vorgegebene Richtlinien für Anbieter quasi-verbindlich werden könnten.
- Das Umgehen von Kopierschutzmaßnahmen und Tools dafür sollen international verboten werden. Eine Vorgabe, dass Kopierschutzmaßnahmen die rechtmäßige Nutzung nicht behindern dürfen, fehlt natürlich.
Der interessanteste Teil ist jedoch der, der sich auf das Internet bezieht. (Die Behauptung, es ginge nur um kommerzielle Produktfälschungen und den Handel mit Raubkopien, wird schon durch die Existenz des Abschnitts, spätestens aber durch den Inhalt, widerlegt.)
Fazit
Wäre das Abkommen tatsächlich nur gegen kommerzielle Produktpiraterie gerichtet, hätte man es reingeschrieben. Auch wenn einige sinnvolle Dinge drin sind, würden viele der Punkte eine weitere, maßlose Verschärfung des Urheberrechts bewirken. Neue sowie bereits im deutschen Urheberrecht vorhandene katastrophale Regelungen würden durch ein internationales Abkommen zementiert, die dringend nötige Reform zur Lockerung und Anpassung des Urheberrechts an das 21. Jahrhundert würde massiv erschwert.
Zudem kann man sich nie sicher sein, ob der Leak korrekt und vor allem vollständig ist, oder ob in Wirklichkeit noch weitere Maßnahmen hinter verschlossenen Türen behandelt werden.
Die inhaltlichen Probleme sind nur eine Seite des Problems. Ein viel schwerwiegenderes Problem ist die Art und Weise, wie dieses Urheberrechtsabkommen zustande kommt – nämlich unter Ausschluss demokratischer Gremien, dafür mit Beteiligung von Lobbyisten. Es ist zu befürchten, dass so zahlreiche juristische Feinheiten darin versteckt wurden, die erst später ihre schädliche Wirkung auf die Rechte der Nutzer entfalten. Meiner Meinung nach muss daher der gesamte Entwurf verworfen werden und sofern ein solches Abkommen weiterhin gewünscht ist, muss es von Grund auf mit Personen die an den ACTA-Verhandlungen nicht beteiligt waren transparent und öffentlich neu erstellt werden. Dabei muss berücksichtigt werden, dass beim Urheberrecht nicht nur die Interessen der Rechteinhaber berücksichtigt werden dürfen – auch die Allgemeinheit hat Interessen, nämlich die möglichst freie Nutzung von Werken. Leider hat sie keine so laute und penetrante Lobby. Dennoch muss hier eine gerechte Abwägung getroffen werden, was bisher nie gelungen ist – und dem Entwuf nach mit ACTA sicher nicht gelingen wird. Vielleicht wäre es bei einer Neuverhandlung sinnvoll, zur Abwechslung mal die Lobbyisten an die frische Luft zu setzen.
Die Piratenpartei hat heute deswegen einen offenen Brief an die EU-Kommision und die Bundesregierung geschickt. Darin werden diese aufgefordert, die ACTA-Verhandlungen endlich offenzulegen, die Geheimhaltung zu begründen, auch die Interessen der Bürger zu berücksichtigen und den weiteren Prozess transparent zu gestalten. Ich erwarte nicht wirklich eine Antwort, aber es wäre schön, wenn auch du den Hinweis auf diesen offenen Brief weiterverbreiten würdest, damit der Druck erhöht wird!
Es bleibt zu hoffen, dass genug Abgeordnete aufgrund dieser intransparenten Verhandlungen ACTA aus Prinzip ablehnen. Nachdem das SWIFT-Abkommen im zweiten Durchlauf mit einer deutlichen Mehrheit abgesegnet wurde, ohne dass die wichtigsten Kritikpunkte behoben wurden, habe ich aber leider wenig Vertrauen in das Europäische Parlament. Die Hoffnung stirbt bekanntlich zuletzt. Eine Petition gegen ACTA gibt es unter stopp-acta.info.
Sicherheitskontrollen kosten Menschenleben
Dieser Artikel gammelt nun schon seit über einem halben Jahr im Entwürfeordner vor sich hin. Angesichts aktueller Nachrichten, die von einer erhöhten Gefährlichkeit von Nacktscannern sprechen, möchte ich ihn endlich ausgraben.
Im Jahr 2000 gab es 1,6 Milliarden Flugpassagiere (Quelle, mehrfach fliegende Personen werden natürlich auch mehrfach gezählt). Ausgehend von dieser Zahl lassen sich nun wunderbare Berechnungen anstellen:
Angenommen durch die Einführung einer schärferen Sicherheitskontrolle verlängert sich die Dauer, die ein Passagier in der Kontrolle (inkl. Warteschlange) verbringt, im Weltdurchschnitt um eine Minute. Das ist schnell erreicht, denn selbst wenn die Kontrolle an sich schnell geht, können auch kleine Verzögerungen die Schlangen schnell wachsen lassen, wenn sie nicht durch mehr Personal kompensiert werden. Insgesamt würden die Passagiere dann 1,6 Milliarden / (60*24*365) = 3044 Jahre an Lebenszeit zusätzlich in den Sicherheitskontrollen verbringen. Bei einer Lebenserwartung von 85 Jahren wären das ca. 36 Menschenleben für eine Minute längere Kontrollen.
Natürlich mag es unpassend erscheinen, bei Terroranschlägen getötete Menschen und in Warteschlangen verschwendete Menschenleben zu vergleichen. Ein deutlich direkteres Beispiel kann daher an der (inzwischen nicht mehr ganz) aktuellen Nacktscanner-Debatte gegeben werden.
Es existieren drei Typen dieser Scanner. Passive Terahertzscanner fangen nur vom Körper sowieso abgestrahlte Strahlung auf und sind rein vom gesundheitlichen Standpunkt unproblematisch. Aktive Terahertzscanner senden selbst extrem hochfrequente elektromagnetische Wellen aus, die als harmlos gelten, auch wenn sie noch nicht abschließend erforscht sind. Der dritte Typ arbeitet mit Röntgenstrahlung, deren Gefahren recht gut bekannt sind. Dieser Typ soll in der EU nicht eingesetzt werden, ist in den USA aber bereits im Einsatz.
Die Strahlenbelastung soll dabei laut der aktuellen Nachricht nach Herstellerangaben (meine früheren Zahlen waren niedriger!) 0,1 bis 0,2 Mikrosievert. Klingt nach wenig, und ist es auch – die Hintergrundstrahlung ist deutlich stärker, insbesondere bei Flügen in großen Höhen. Die Gefährlichkeit von Strahlung wird meist als linear angesehen, d.h. zehnmal so viel Strahlung bedeutet zehnmal so viele Tote. Das individuelle Risiko, durch die Spätfolgen eines solchen Scans ums Leben zu kommen, ist aufgrund der geringen Strahlungswerte vernachlässigbar. Generell geht man davon aus, dass langfristig eine Bestrahlung mit 1 Sievert für rund 5% der Bestrahlten tödliche Folgen hat. (siehe Wikipedia) Bei angenommenen 0,2 Mikrosievert pro Scan würde der flächendeckende Einsatz von Röntgen-Nacktscannern somit 0,0000002 * 1600000000 * 5% = 16 Menschen pro Jahr durch Strahlenspätfolgen das Leben kosten. (Ganze Rechnung via Google zum nachprüfen)
Das setzt natürlich voraus, dass alle Passagiere mit Backscatter-Röntgennacktscannern geprüft würden – aber die Zahl könnte durchaus größer sein als die Zahl der Menschenleben, die man durch möglicherweise verhinderte Terroranschläge rettet. Bei dieser Berechnung bin ich aber von den allgemeinen Faktoren für Strahlenschäden ausgegangen, die für eine gleichmäßige Verteilung gelten. Die aktuellen Meldungen sprechen jedoch davon, dass durch die Bündelung der Strahlenbelastung auf der Haut das Risiko weiter steigt, sodass die tatsächliche Gefährdung deutlich größer sein dürfte.
Die gerne aufgestellte Behauptung, die Strahlung bei Nacktscannern sei so gering, dass sie völlig ungefährlich sei, ist völliger Unsinn. Das Risiko mag für den einzelnen Passagier nicht ins Gewicht fallen, das stimmt. Aber es gibt nach der derzeitigen Lehrmeinung keine „ungefährliche“ Strahlendosis – jede Strahlung erhöht das Risiko, egal wie gering sie ist, was auch das Bundesamt für Strahlenschutz so sieht: „Es gibt keine sichere Schwelle, unterhalb derer kein gesundheitliches Risiko mehr bestehen würde“.
BKA bekommt Freibrief zum Datensammeln
Das BKA hat einen Freibrief vom Bundesrat bekommen und darf jetzt munter alle möglichen Daten speichern.
Der Hintergrund: Bisher hat es das einfach ohne Rechtsgrundlage gemacht. Betroffen war z. B. die „Datei Gewalttäter Sport„, in der auf bloßen Verdacht Leute landen, die bei einem Fußballspiel in der Nähe einer Ausschreitung gesehen wurden. Die Aufnahme führt dann zu so Dingen wie Meldeauflagen und Ausreiseverboten. Die Justiz fand das eher weniger lustig und hat das untersagt, mit Hinweis auf eine fehlende Rechtsgrundlage. Das Urteil ist aber nicht rechtskräftig. Würde es bestätigt werden, ohne dass eine Rechtsgrundlage geschaffen wird, würde das höchstwahrscheinlich bedeuten, dass das BKA seine „schöne“ Datensammlung endlich löschen und künftig unterlassen muss. In ein paar Tagen findet die mündliche Verhandlung statt, in der das Bundesverwaltungsgericht darüber entscheidet. (Den Hinweis auf diesen wichtigen Zusammenhang verdanken wir übrigens einem Beitrag im Heiseforum).
Mit dem Freibrief dürften jetzt noch ein paar neue Datenbanken entstehen. Was den Umfang der jetzt speicherbaren Daten angeht: „Alles“ ist eigentlich untertrieben – an das, was da zusammenkommt, denkt ein normaler Mensch nicht, siehe die Verordnung selbst. Besonders bemerkenswert finde ich darin die Aussage, dass das bisherige (nicht rechtsstaatliche) Verfahren ja super (aus Sicht der Polizei) funktioniert hätte.
Die FDP hätte die das selbstverständlich verhindern können, wenn sie denn tatsächlich für Bürgerrechte eintreten würde: Im Bundesrat muss jedes Bundesland mit einer Stimme sprechen, sind sich die dortigen Koalitionsparteien nicht einig, gibts eine Enthaltung, die wie ein Nein wirkt. Selbst wenn also außer der FDP alle Parteien für diese Verordnung wären, hätte sie es verhindern können. (Hätte die SPD sich rechtzeitig auf eine Koalition in NRW geeinigt, hätte sie übrigens die schwarz-gelbe Mehrheit im Bundesrat gekippt und es so vermutlich auch verhindern können.)
Landtagswahl NRW – wie wählen?
Aus aktuellem Anlass: Dieser Artikel ist von 2010. Die Wahlempfehlung für die Piraten gilt natürlich weiterhin, aber der Rest des Artikels könnte deutlich veraltet sein.
In Nordrhein-Westfahlen findet kommenden Sonntag die Landtagswahl statt, und wie in der Vergangenheit möchte ich auch hier meine Einschätzung über die Wahlmöglichkeiten geben und die Frage „wie wählen“ beantworten.
Vorab möchte ich darauf hinweisen, dass ich Mitglied der Piratenpartei bin, weil diese mit meiner eigenen Position am Besten übereinstimmt – somit ist auch hoffentlich nicht verwunderlich, wenn ich zur Wahl der PIRATEN aufrufe. Dennoch versuche ich, über die anderen Parteien Aussagen zu treffen. Was Fakten sind und was Meinung ist, sollte deutlich werden, und ich bemühe mich, die Fakten grundsätzlich richtig darzustellen.
Bei der Landtagswahl NRW spielt die Erststimme kaum eine Rolle, da es Ausgleichsmandate gibt. Zur Erinnerung: In jedem Wahlkreis gewinnt der Kandidat mit den meisten Erststimmen („Direktmandat“), meist haben also nur zwei Kandidaten (meist die von CDU und SPD) überhaupt eine Chance. Hier kann man das geringere Übel wählen, und zwar falls möglich bezogen auf die Person, nicht die Partei: Die Zweitstimmen bestimmen, wie viele Sitze der Partei zustehen. Die Zweitstimme ist also deutlich wichtiger als die Erststimme. Sollte eine Partei mehr Direktmandate haben als ihr Sitze zustehen, hat sie Überhangmandate, und die anderen Parteien bekommen Sitze dazu, bis die Verteilung wieder passt (Ausgleichsmandate).
Warum die Landtagswahl NRW so wichtig ist
In Deutschland gibt es neben dem Bundestag den Bundesrat, der sich aus Vertretern der Länderregierungen zusammensetzt, und der Gesetze blockieren kann. Derzeit haben die Länder mit schwarz-gelben Regierungen die Mehrheit im Bundesrat, somit können CDU und FDP die meisten Gesetze durchdrücken, wenn sie sich einig sind. Wenn nun durch die Landtagswahl in NRW eine andere Regierung als schwarz-gelb zustandekommt, fällt diese Möglichkeit weg. Die Opposition könnte dann, wenn sie sich im Bundesrat einig ist, viele Gesetze von schwarz-gelb verhindern, und so die Regierungskoalition im Bund zu Kompromissen (sprich: zur Vernunft) zwingen – siehe die Liste unten, was durch eine Abwahl von schwarz-gelb verhindert werden könnte.
Parteien
Neben den zwei „großen“ Parteien CDU und SPD können sich auch die GRÜNEN und die FDP aktuellen Umfragen zufolge sehr sicher sein, dass sie in den Landtag einziehen werden. Bei der LINKEN ist dies wahrscheinlich, aber nicht sicher.
Die PIRATEN stehen laut ZDF-Politbarometer bei 3% und sind somit die Größte der „Sonstigen“ Parteien. Die Genauigkeit solcher Umfragen lässt allerdings bei kleinen und neuen Parteien stark zu wünschen übrig, zumal die Umfragen telefonisch stattfinden und bei den PIRATEN nun einmal viele Datenschützer vertreten sind, die bei unerwünschten Anrufen eher keine Fragen beantworten. (Die Fehlerquote wird mit gut 2 Prozentpunkten angegeben.) Ein Überschreiten der 5%-Hürde ist somit nicht ausgeschlossen, aber meiner Meinung nach nicht wahrscheinlich. Unabhängig davon würde ein gutes Ergebnis für die Piraten (und 3% wären gut!) eine deutliche Warnung an die anderen Parteien sein, Bürgerrechte erst zu nehmen. Die Tendenz der FDP, dieses früher stark vernachlässigte Thema wieder ernster zu nehmen (oder zumindest so zu tun), führe ich stark auf die Existenz und Ergebnisse der PIRATEN zurück.
(Übrigens, wer der Meinung ist, die Piratenpartei wäre eine Ein-Themen-Partei: Gerade die PIRATEN NRW haben ein sehr umfangreiches Wahlprogramm!)
Die diversen rechten und rechtsradikalen Parteien (wenn man CDU und FDP nicht dazu zählt) haben keine nenenswerten Chancen, da mit NPD, Republikanern und pro NRW insgesamt drei rechte Parteien antreten und sich die Stimmen der Rechten somit auf diese Parteien verteilen. Diese Parteien werden Glück haben, wenn sie 1% erreichen – ab dieser Grenze gibt es nämlich Geld über die staatliche Parteienfinanzierung. Wer verhindern will, dass rechtsradikale Steuermittel bekommen, tut also gut daran, wählen zu gehen!
Koalitionsmöglichkeiten
Die FDP NRW hat per Parteitagsbeschluss entschieden, nach der Landtagswahl nicht mit SPD oder GRÜNEN zu koalieren. Wenn sie sich daran hält (und Parteitagsbeschlüsse sind eigentlich schon recht bindend), bedeutet das, dass die FDP nur in einer schwarz-gelben Koalition an die Macht kommen kann.
Die weiteren Koalitionsmöglichkeiten hängen davon ab, wie viele Parteien es in den NRW-Landtag schaffen. Schafft es die Linke nicht über die 5%-Hürde, fällt die Entscheidung zwischen schwarz-gelb und rot-grün. Eine große Koalition oder Schwarz-Grün wären zwar möglich, aber unwahrscheinlich. Die Umfragen können nicht vorhersagen, wer in einem solchen Szenario vorne liegen würde.
Schafft es die LINKE bei der Landtagswahl über die 5%, gibt es folgende Koalitionsmöglichkeiten, geordnet nach Wahrscheinlichkeit:
- Große Koalition (CDU/SPD): realistische, immer mögliche Option
- Schwarz-Grün (CDU/GRÜNE): würde vermutlich reichen, realistisch
- Rot-Rot-Grün (SPD/GRÜNE/LINKE): unwahrscheinlich, die Parteien haben das zu oft, wenn auch nicht allzu kategorisch, ausgeschlossen und sind sich zu uneinig. Nach dem Ypsilanti-Debakel in Hessen werden SPD und GRÜNE vermutlich lieber mit der CDU paktieren, völlig ausgeschlossen ist ein Rot-Rot-Grünes Bündnis meiner Meinung nach aber nicht.
- Rot-Grün (SPD/GRÜNE): Wunschkoalition, reicht aber wahrscheinlich nicht
- Schwarz-Gelb (CDU/FDP): Wunschkoalition, reicht recht sicher nicht
Die vom FDP-Landesparteitag NRW kategorisch ausgeschlossenen Koalitionen halte ich für unwahrscheinlich, weil die FDP damit ihren letzten Glaubwürdigkeitsrest auch bei den überzeugten Wählern und Mitgliedern verspielen würde.
Eine Stimme für die Linke bei der Landtagswahl NRW düfte also dazu beitragen, dass Schwarz-Gelb verhindert wird, allerdings eine Große oder Schwarz-Grüne Koalition wahrscheinlicher machen.
Weitere, unwahrscheinlichere Fälle (PIRATEN im Landtag, FDP unter 5%) betrachte ich hier nicht, da der Aufwand groß und die Wahrscheinlichkeit klein sind.
Wichtige Punkte in der Bundespolitik
Ich hatte bereits die Wichtigkeit der Landtagswahl NRW für die Politik auf Bundesebene dargelegt. Was sind aber konkrete Punkte, die von einer Bundesratsmehrheit von Schwarz-Gelb abhängen? Einige davon hängen direkt davon ab, weil der Bundesrat sie blockieren kann, andere indirekt, weil die (Bundes-)Opposition mit einer Blockade anderer Gesetze drohen kann, falls Schwarz-Gelb unliebsame Gesetze durchdrückt.
UPDATE: Spiegel Online berichtet jetzt auch über die Bedeutung der NRW-Wahl und erinnert mich daran, dass ich ein Thema ganz vergessen hatte:
Steuersenkungen: Die nach der Steuerschätzung eigentlich als unrealistisch enttarnten Versprechungen von Steuersenkungen könnten von schwarz-gelb dennoch weiterverfolgt werden. Nach den bisherigen Plänen würden diese vor allem Besserverdienern zu Gute kommen und die Staatsverschuldung noch weiter in die Höhe treiben.
Atomausstieg: Die schwarz-gelbe Regierung möchte Atomkraftwerke 60 Jahre lang weiter betreiben, obwohl der Atommüll derzeit nicht sicher gelagert werden kann und die AKW-Betreiber Profitgier über Sicherheit stellen, und in der Vergangenheit Schwarz-Gelb schon Fakten unterschlagen hat, um die Atomkraft zu fördern.
Kopfpauschale: Um die unsoziale Kopfpauschalenpläne der FDP ist es vor der Wahl erstmal still geworden, begraben sind sie allerdings noch nicht. Es ist zu befürchten, dass nach der Wahl, wenn man die Wut der betroffenen Bürger nicht so sehr fürchten muss, diese Pläne wieder aus der Schublade kommen.
Vorratsdatenspeicherung: Nachdem die verfassungswidrige Vorratsdatenspeicherung trotz des Versprechens der FDP, sie abzuschaffen, vom Bundesverfassungsgericht gekippt werden musste, drängt die CDU darauf, sie wieder einzuführen. Vor der NRW-Landtagswahl wird das Thema lieber kleingehalten, wohl weil die PIRATEN sonst gute Chancen auf die 5%-Hürde hätten.
PKW-Maut: Dieses in Deutschland sehr unbeliebte Thema wurde immer wieder diskutiert, auch wenn man es vor der entscheidenden Landtagswahl in NRW lieber nicht allzu öffentlich machen will. Es könnte gut sein, dass es nach der Landtagswahl NRW wieder auf dem Tisch landet.
Positionen/Verhalten
Dieser Abschnitt ist alles andere als neutral. Sorry, geht nicht anders. Natürlich trifft es vor allem die die an der Regierung beteiligten Parteien, der Rest hatte ja kaum so eine schöne Gelegenheit, negativ aufzufallen.
Die FDP hat zunächst ein Steuermodell mit einem Höchststeuersatz von 35% gefordert. Davon hätten natürlich hauptsächlich Großverdiener profitiert. Dieses Modell wurde als realistisch und umsetzbar präsentiert, obwohl es schon in der geschönten Darstellung der FDP kaum gelang, die Behauptung so aufzustellen, dass man sie hätte ernst nehmen können. Dann wurde ein neues Modell präsentiert, welches plötzlich fünf Stufen und den bisher gültigen Höchststeuersatz beinhaltete. Das ist zwar immerhin eine Wende zur Vernunft, zeigt aber deutlich, dass der FDP nicht zu trauen ist. Wenn sie schon derart ihren Kernpunkt über Bord wirft, wie sieht es dann mit anderen Punkten aus? Dazu kommt die üble Hetze gegen Arbeitslose, mit der Westerwelle am rechten Rand fischen ging. Von den vollmundigen Versprechungen im Bereich der Bürgerrechte, z. B. die Online-Durchsuchung abzuschaffen, ist wenig übrig geblieben. Das Zugangserschwerungsgesetz ist ebenfalls weiterhin in Kraft!
Fazit: Wer der FDP vor der Bundestagswahl im Bezug auf Bürgerrechte vertraut hat, ist eben reingefallen. Absehbar, aber naja. Wer aber nochmal in die Falle tappt und sich wieder verarschen lässt, ist nicht mehr zu retten. Ohne den Druck durch die Landtagswahl in NRW und die aufstrebenden PIRATEN wäre das sicher noch schlimmer ausgefallen, und ich denke, nach der Landtagswahl wird die FDP wie bisher die Grundrechte vergessen.
Auch in anderen Bereichen hat die FDP ihre Glaubwürdigkeit verspielt. Nicht vergessen sollte man unter anderem das Steuergeschenk für Hotels und weitere Punkte, die zu zahlreich sind, um sie hier aufzuführen – ich verweise da nur auf die Suche nach „FDP“ in meinem Microblog.
Bei der CDU kann man zunächst einmal die gleiche Suche machen, auf die bereits bei der FDP genannten, mit ihr gemeinsam verbockten Punkte hinweisen, und was Bürgerrechte angeht, muss ich garnicht erst anfangen – die CDU ist für Netzsperren, Vorratsdatenspeicherung und eine Reihe weiterer bürgerrechtsfeindlicher Vorhaben. Das Sahnehäubchen ist nur noch der für die CDU scheinbar obligatorische neue Parteispendenskandal.
Vor diesen Gesichtspunkten verstehe ich nicht, wie irgendwer noch CDU oder FDP wählen kann.
Was Bürgerrechte angeht, ist die SPD aber auch nicht unbedingt immer besser: In RLP hat die SPD-Regierung mal eben Online-Durchsuchungen und ähnliche Maßnahmen abgenickt.
Daher: Wem etwas an Bürgerrechten und Datenschutz liegt, möge bei der Landtagswahl in NRW die Piraten wählen und zumindest ein klares Zeichen als Warnung an die anderen Parteien setzen, selbst wenn es nicht für die 5% reicht. Von den 5 etablierten Parteien halte ich nur die Grünen und Linken für (bedingt) wählbar. Die SPD hat es zwar noch nicht so tief in die Nichtwählbarkeit geschafft wie die CDU und FDP, ist aber auf dem besten Weg dorthin.
Weitere Hinweise, z. B. weitere Vorhaben, die vor der Landtagswahl lieber nicht erwähnt werden und nach der Wahl zu erwarten sind, nehme ich gerne über die Kommentarfunktion unten entgegen.
Offener Brief an die Internet-Werbebranche
In einem Spiegel-Online-Artikel ist das Geheule über Werbeblocker groß. Zum Schluss wird gefragt: „Wann schalten Sie ihren Werbeblocker ab?“
Diese Frage kann und möchte ich in diesem offenen Brief an die Werbebranche und auch an die Werbe-Publisher gerne beantworten: Sobald Werbung wieder aufhört, extrem nervig, ablenkend und schädlich zu sein, und in meiner Privatsphäre zu schnüffeln.
Das bedeutet, und ich betone das meiste mehrfach, weil es einigen Werbefritzen sonst wohl nicht in den Kopf geht:
- Keine Animationen. Gar keine. Dezente Animationen wären zwar OK, aber weil ich bezweifle, dass Werbefritzen da irgendwelche Maße kennen, lieber erstmal gar keine.
- Kein Sound. NEIN. GAR KEINER. NIE! Denkt nicht mal dran.
- Kein Flash für Werbung. GAR KEINS. Nein. Überhaupt nicht. Auch nicht für irgendwas ganz tolles. NEIN! Flash ist ein weiteres Einfallstor für Viren und frisst Speicher und CPU-Ressourcen, zumindest wenn es schlecht programmiert ist. Und weil eine einzige kaputte Flashwerbung in einem von 20 Browser-Tabs reicht, um meinen CPU-Lüfter anzuwerfen, gehe ich das Risiko nicht ein, diese Werbung suchen zu müssen. Alles zu blockieren ist viel einfacher. Mal abgesehen davon, sobald die Werbung sich nicht mehr bewegt und keinen Lärm mehr macht (siehe oben), braucht ihr Flash gar nicht mehr.
- Keine Werbung, die sich über Inhalt legt. Keine Pop-Ups. Nein, auch keine Pop-Unders. Nein, auch keine Werbung die sich erst über den Inhalt legt wenn man sie versehentlich mit der Maus berührt.
- Keine Schnüffelei. Die Werbung hat keine Cookies zu setzen, zumindest solange sie nicht angeklickt wird. GAR KEINE. NEIN. WIRKLICH NICHT. Die Zugriffe haben nicht protokolliert zu werden. Wenn man unbedingt Doppelaufrufe vermeiden will, dann von mir aus die IP speichern, aber nur für max. 24h und ohne Info, was für Seiten besucht wurden. Am Besten liefert ihr die Werbung von eurer eigenen Seite statt von irgendwelchen Werbeverteilnetzwerken aus.
- Keine Viren. Es muss sichergestellt sein, dass keine Viren mit der Werbung ausgeliefert werden, was bereits mehrfach passiert ist. D.h. keine iframes, kein vom Werbekunden bereitgestelltes Javascript. Die Bilder (sind ja jetzt nicht animierte, statische Bilder, also ist das richtig einfach) müssen vom Werbeanbieter immer umgerechnet werden, um Exploits zu verhindern. Das bedeutet: die Bilder werden dekomprimiert (in ein Bitmap-artiges Format) und dann mit vertrauenswürdiger Software wieder in PNG oder JPG gewandelt.
Wenn eine Website sich verpflichtet, all diese Punkte einzuhalten, bin ich bereit, diese Seite in die Whitelist meines Werbeblockers einzutragen. Ich bin sogar bereit, euch ein Angebot zu machen: Ich erstelle eine öffentliche Adblock-Whitelist. Diese kann jeder Adblock-Nutzer installieren, und sie schaltet Adblock auf allen Seiten ab, die darauf eingetragen sind. Eingetragen werden aber nur Seiten, die sich an die Grundregeln halten.
Und um auf die ursprüngliche Frage zurückzukommen: Ganz ausschalten werde ich meinen Werbeblocker erst, wenn alle Webseitenbetreiber wieder gelernt haben, dass die Werbung fair bleiben muss.
Fasst euch an die eigene Nase. Überlegt, warum die Leute Werbeblocker einsetzen. Die immense Mühe, einen ordentlichen Blocker zu entwickeln und diese wunderbaren Sperrlisten zu pflegen, macht man sich nicht aus Langeweile, sondern weil einem die Werbung massiv auf den Sack geht. Ich hoffe, dass die entgangenen Einnahmen durch die Werbeblockernutzer groß und schmerzhaft genug werden, dass ihr merkt, dass das ganze Geblinke sich nicht gelohnt hat. Das Vertrauen der Besucher wiederzugewinnen wird allerdings ein schwerer Schritt – wer den Adblocker einmal drin hat, behält ihn in der Regel auch. Ihr seid selbst dran schuld. Lernt aus euren Fehlern. Noch ist Zeit. Noch hat nicht jeder einen Adblocker installiert.
Mir ist bewusst, dass nicht jede Werbefirma jede der hier genannten Todsünden begangen hat. Auf jeder größeren Website habe ich aber zumindest einige davon gesehen. Einige schwarze Schafe in der Werbebranche genügen, um auch den anderen das Geschäft zu verderben, weil Adblocker unausweichlich werden. Deswegen spreche ich hier immer euch als die gesamte Werbebranche an.
Zuerst gab es normale Werbung, das war ok. Dann habt ihr Popups eingeführt. Die haben die User genervt. Also gab es Popupblocker. Statt den Fehler einzusehen, habt ihr angefangen, Popupblocker zu umgehen oder User mit Blockern auszusperren. Also wurden die Blocker strenger und besser getarnt.
Die Nutzer haben die Werbung irgendwann nicht mehr genug wahrgenommen. Also habt ihr animierte Werbung eingeführt. Das ging, solange die Animationen sich in Maßen gehalten haben. Irgendwann wurde es lästig. Die Nutzer haben gelernt, alles, was blinkt, als unwichtig anzusehen, trotzdem lenkte es ab. Weil ihr nicht mehr genug Aufmerksamkeit bekamt, habt ihr lärmende Werbung und Werbung die aus ihrem Rahmen über den Inhalt ragt erfunden. Das überschritt dann doch jede Toleranzschwelle, also gab es Werbeblocker. Statt einzusehen, dass ihr den User nervt, und faire Werbung einzuführen, habt ihr immer weiter gemacht.
Die Krönung waren die Layer-Ads. Darauf ausgelegt, möglichst schwer sperrbar zu sein, hinterließen sie bei Adblock-Nutzern anfänglich unbenutzbare Webseiten und nervten jeden Besucher. Am Anfang konnte man sie direkt wegklicken. Das taten logischerweise die meisten – wenn ich einen Artikel lesen will, und irgendwas stellt sich davor, dann schau ich mir das gar nicht erst an. Genauso, wie man eine Fliege, die sich einem aufs Mittagessen setzen will, sofort verscheucht. Ihr habt also nur noch genervt, ohne euer Ziel zu erreichen. Statt aufzuhören, habt ihr die Layer immer nerviger gemacht – die Schließen-Schaltfläche wurde erst später eingeblendet, die Werbung ging immer in einem Pop-Under auf etc. Damit habt ihr es endgültig geschafft, für ausreichend viele Leute ein ausreichend großer Schmerz im Arsch zu werden. Also wurden die Adblocker angepasst und eure Werbung endgültig darin versenkt.
Die ganze Zeit über hatte Google Textwerbung – und blieb zumindest von meinem Werbeblocker verschont. Sie waren die einzigen, die es halbwegs verstanden, dass mit nicht nerviger Werbung ein gutes Geschäft zu machen ist. Dann hat Google angefangen immer mehr zu schnüffeln – und schwupps war deren Werbung auch im Blocker verschwunden.
Ihr könnt natürlich auch in den Krieg gegen das Netz ziehen, anfangen, Adblocker zu erkennen und die Leute aussperren. Ihr werdet verlieren. Das Netz kann die Tarnung schneller anpassen als ihr die Erkennung. Wenn es sein muss, innerhalb von Minuten. Ihr könnt euren Inhalt auch hinter Paywalls verstecken. Vielleicht werden euch die wenigen, die ihn trotzdem lesen, sogar so viel einbringen wie die Werbung euch eingebraucht hat. Aber viel wahrscheinlicher werdet ihr in der Bedeutungslosigkeit versinken. Niemand wird euch mehr verlinken, wenn seine Leser eure Artikel nicht abrufen können. Der böse raubkopierende Feind Google wird euch nicht mehr finden, und mit ihm 50% eurer Besucher.
Ihr könnt nicht ohne die Nutzer. Behandelt sie fair, und sie werden euch fair behandeln. Versucht nicht, in einen Krieg zu ziehen, ihr werdet ihn verlieren. Ihr habt die Wahl – ihr könnt darauf verzichten, die Aufmerksamkeit der User mit Gewalt an euch zu reißen, und nur noch normale, faire Werbung schalten. (Da ihr inzwischen verlernt habt, was das ist, schaut nochmal nach oben, da steht es.) Oder ihr könnt weiterhin versuchen zu nerven. Dann werden wir eure Werbung eben gar nicht mehr sehen. Auch gut. Wie man im Netz so schön sagt:
You choose.
ELENA: Legal, illegal, scheißegal?
Beim ELENA-Verfahren werden ziemlch persönliche Daten über jeden einzelnen Arbeitnehmer, unter anderem Höhe des Gehalts, Arbeitszeit in Stunden, Fehlzeiten und vieles mehr bis zu fünf Jahre lang gespeichert. Das finde ich gerade als Pirat natürlich nicht schön. Zudem wird um die ganze Geschichte ein ziemliches Verwirrspiel betrieben – angeblich sollen bestimmte Daten nicht mehr gespeichert werden, was handfestes gibt es aber nicht und Infos sind rar.
Nach § 103 Abs. 4 SGB IV hat man aber das Recht, bei der Zentralen Speicherstelle (ZSS) und der Registratur Fachverfahren (RFV) Auskunft über die zu seiner Person gespeicherten Daten zu verlangen. Alternativ könnte man sich auch an die abrufenden Behörden wenden – da bis 2012 aber kein Abruf erfolgt, bleibt dieser Weg versperrt. Der direkte Weg wird einem aber auch so schwer wie möglich gemacht. (Wen die Odyssee durch das virtuelle „Haus, das Verrückte macht“ nicht interessiert, kann hier klicken, um direkt zu lesen, wie beim ELENA-Verfahren offen gegen geltendes Recht verstoßen wird.)
Praktischerweise ist „der Teilnehmer“ (also jeder, dessen Daten gegen seinen Willen bei der ZSS gespeichert werden) über die Erreichbarkeit von ZSS und RFV zu informieren. Leider steht im Gesetz nicht, durch wen er zu informieren ist. Ich wurde jedenfalls nicht informiert. Wenn man im Internet sucht, findet man allerdings schnell die Website http://www.das-elena-verfahren.de. Das Impressum dort verweist auf die Deutsche Rentenversicherung Bund und nennt auch eine Faxnummer.
Faxt man seine Auskunftsanfrage nun dahin, erhält man ein Schreiben zurück, in dem die DRV erklärt, nicht zuständig zu sein, man möge sich bitte an die Hotline wenden – eine 01805-Nummer, die vom Handy damals bis zu einem Euro pro Minute kostete. (Das hat sich inzwischen geändert, jetzt sind es „nur“ noch 42 Cent.) Auch wird auf die wenig hilfreiche Website verwiesen. Telefonisch kommt man nach einigem hin und her auch nicht viel weiter.
Man kann herausfinden, dass die ZSS bei der Datenstelle der Träger der Rentenversicherung (DSRV) angesiedelt ist. Die hat keine Website, wird nur immer wieder von der DRV erwähnt. Beim zentralen „Servicetelefon“ der Deutschen Rentenversicherung (DRV) zahlt man zwar nichts (0800), bekommt aber auch keine hilfreichere Antwort auf die Frage, wie man denn die DSRV erreichen könnte, außer einem Verweis auf eine andere, auch nicht zuständige Stelle (klang ziemlich nach der erstbesten Nummer, die die Mitarbeiterin gefunden hat). Dort wollte man nachfragen und mich zurückrufen. Den Rückruf habe ich leider verpasst, da er deutlich länger als versprochen auf sich warten ließ und ich dann das Handy ans Ladegerät gehängt habe.
Allerdings hatte ich erfahren, dass die DSRV in Würzburg sitzt. Mit einigem Gegoogle findet sich dann ein PDF, wo eine Adresse, Telefon- und Faxnummer und sogar eine E-Mail-Adresse der DSRV genannt ist. Bei einem Anruf unter der Telefonnummer erfährt man dann, dass sich die Durchwahlstruktur geändert hat, und sogar die korrekte Durchwahl.
Unter der neuen Durchwahl habe ich tatsächlich jemanden erreicht, der mir eine (vierzehnstellige!) Faxnummer der Hotline nennen konnte, dort werde das Fax dann weitergeleitet.
Als Postadresse war „Berner Straße 1, 97084 Würzburg“ angegeben, aber ich habe dann doch das günstigere, einfache und schnellere Fax bevorzugt und an die mir genannte Nummer 0931-6002390252 gefaxt (interessanterweise meldet sich das Fax als „0931 6002390 000“).
Die Antwort ist nun eingetroffen und hier als Scan verfügbar. Ohne sich die Mühe zu machen, das Schreiben zu unterzeichnen oder einen Ansprechpartner anzugeben, wird mir nach über drei Wochen mitgeteilt, dass man den mir gesetzlich zustehenden Auskunftsanspruch bis 2012 nicht erfüllen kann/will. Hier wird also offen auf geltendes Recht gepfiffen. Garniert wird das Ganze noch mit einem erneuten Verweis auf die kostenpflichtige Hotline, übrigens mit einem inzwischen illegalen Kostenhinweis. (Abmahnung, anyone? ;-)) Immerhin erfährt man eine weitere (Postfach-)Adresse, an die man seine Anfragen richten könnte, wenn man sich selbst überzeugen will („Deutsche Rentenversicherung Bund, Geschäftsbereich Informationsverarbeitung, Postfach 3125, 97041 Würzburg“).
Ich denke, es ist wenig zielführend, Massen von Auskunftsanfragen an die oben erwähnten Stellen zu schicken, auch wenn es wohl auffallen würde. Ich denke, da sitzen nur irgendwelche armen Schweine, die den Kram ausbaden müssen, den die Politik verbockt hat. Ich werde zwar auch mal beim Bundesdatenschutzbeauftragten nachhaken, was das denn soll, aber vor allem werde ich mich direkt an die Verantwortlichen wenden – also Politiker. Das Gesetz wurde laut Plenarprotokoll mit den Stimmen von Internetausdruckern und Verräterpartei (CDU und SPD) beschlossen. (Die FDP hat sich aus Prinzip enthalten, den Datenschutz aber nur am Rande erwähnt. Die Linke hat das Gesetz abgelehnt, die Grünen haben sich enthalten und den schlechten Datenschutz immerhin kritisiert. In einer späteren Sitzung – Plenarprotokoll – ging es nur noch um Änderungen damit der Bundesrat zustimmt.)
Denkt dran, in NRW stehen Wahlen an. Die nächsten Monate werden die Politiker nicht so offen auf die Bürger sch***en wie sonst.
Eine Klage dagegen ist auch sehr verlockend. Kennt sich jemand gut damit aus und möchte mir allgemeine Tipps geben, wie ich weiter vorgehen könnte? Eine Verfassungsbeschwerde direkt gegen das Gesetz wäre AFAIK nur noch bis ca. Ende des Monats möglich (Jahresfrist), wenn überhaupt. Einen Anwalt dafür kann ich mir allerdings nicht leisten. Freiwillige vor! UPDATE: Der Foebud macht eine.
Update 2: Die versprochene Mitmach-Massenverfassungsbeschwerde gegen ELENA ist jetzt da. Jeder, der eine schriftliche Benachrichtigung hat, dass seine Daten übermittelt werden, kann unter https://petition.foebud.org/petitions/6/start mitmachen. Alle anderen (noch nicht Benachrichtigte, Arbeitgeber, Arbeitslose, Selbstständige) können bei dieser Verfassungsbeschwerde nicht mitmachen, weil der Aufwand dafür zu hoch wäre.
Habt ihr noch weitere Vorschläge? Dann bitte ab in die Kommentare damit!
Jan Schejbal 