mTAN-Betrugsfälle: Erst der Anfang

Betrugsfälle bei mTAN häufen sich inzwischen genauso, wie sich die Medienberichte darüber häufen. Dass das mTAN-Verfahren nichts taugt, war seit Jahren klar und ich habe bereits Anfang 2011 darüber berichtet.

Die aktuelle Betrugswelle setzt scheinbar auf gezielte Angriffe, bei denen der Mobilfunkanbieter des Opfers getäuscht wird, und schließlich den Betrügern eine Zweit-SIM-Karte mit der Nummer des Opfers überlässt. Im Gegensatz zu den Phishing-Angriffen, die versuchen mit möglichst wenig Aufwand möglichst viele Opfer zu erwischen, geht es hier also um gezielte und relativ aufwändige Angriffe.

Somit ist es nur eine Frage der Zeit, bis auch Angriffe über das Mobilfunknetz stattfinden. Die Sicherheit von GSM (klassischen Mobilfunknetzen) ist inzwischen vorne und hinten zerlegt worden. Mitlesen von SMS ist mit einem normalen Computer, 2 TB an Festplatten/SSDs/USB-Sticks, frei erhältlicher Software und einem einfachen DVB-T-Stick, der bei Amazon rund 20 EUR kostet, möglich. Alternativ gibt es auch aktive Attacken, welche die SMS frei Haus an einen beliebigen Ort in der gleichen Location Area liefern und praktischerweise auch gleich verhindern, dass der rechtmäßige Empfänger die SMS bekommt. Auch die Verschlüsselung von UMTS ist inzwischen zumindest stark angeknackst. Alle diese Sachen sind öffentlich bekannt, und zwar seit Jahren. Das Bestellen von Zweit-SIM-Karten hatte ich bereits in meinem Artikel von 2011 als einen möglichen Angriffsweg von vielen genannt. Ich weiß nicht, ob es schon damals praktiziert wurde und öffentlich bekannt war, oder einfach nur so offensichtlich, dass ich von selbst drauf gekommen bin. Ich tippe auf letzteres, denn zunächst waren Handy-Trojaner das Mittel der Wahl, um an mTANs zu kommen.

Bisher war den Betrügern das Abfangen der SMS im Mobilfunknetz scheinbar zu aufwändig, aber das wird sich ändern, sobald die Mobilfunkbetreiber es schaffen, den betrügerischen Zweitsimkarten-Bestellungen einen Riegel vorzuschieben. Von diesem Angriff wird der Kunde dann erst einmal nichts mitbekommen.

Statt das vermurkste mTAN-Verfahren abzuschaffen und z. B. ChipTAN einzusetzen, was bei korrekter Umsetzung nahezu perfekte Sicherheit bieten würde, verteidigen Banken die mTAN, versuchen einzelne Varianten des mTAN-Betrugs mit kleineren Änderungen abzustellen, und schieben zum Teil die Schuld ihren Kunden in die Schuhe, indem sie immer wieder die Sicherheit des Verfahrens betonen und auf die „Sorgfaltspflicht“ des Kunden hinweisen (Virenscanner etc.). In den oben verlinkten Berichten wird immer wieder erwähnt, dass Kunden zum Teil noch nicht wissen, ob sie ihr Geld zurückbekommen, denn das sei eine Einzelfallentscheidung…

Der Bankenverband geht laut Pressestelle davon aus, dass die Angriffe nicht auf die Praxis übertragbar seien und sich deswegen nicht auf das Onlinebanking auswirken. Beispielsweise sei physischer Zugriff auf die SIM nötig (andere Meinung), physische Nähe zum Mitschneiden (5-35 km laut Folie 13/PDF-Seite 14 dieser Präsentation), die Daten müssen offline und damit verzögert entschlüsselt werden (hier wird der Aufwand bei Verwendung von SSDs auf die Größenordnung von 10 Sekunden geschätzt), die TMSI-Übermittlung sei nötig und nur bei manchen Providern unterstützt (d.h. wenn das tatsächlich ein Hindernis ist, dann nur für manche Netze), und eine stille SMS könne nur der Provider schicken (diese und diese Android-App behaupten es auf gerooteten Geräten zu können, aber evtl. filtern die Provider; nicht getestet – andere Methoden wie kurze Anrufe wurden aber genannt).

Zudem sei die mTAN nur ein Faktor von mehreren (d.h. zusätzlich braucht der Angreifer die PIN). Dieses Argument ist allerdings Humbug, denn das mTAN-Verfahren dient ja gerade dazu, das System auch bei bekannter PIN sicher zu halten – sonst könnte man einfach iTAN weiternutzen oder gar ganz auf TANs verzichten.

Meine Meinung nach ist das wieder mal ein klarer Fall von „Kopf so lange in den Sand stecken, bis die Angriffe so oft passieren, dass man das Problem nicht mehr wegreden kann“, wie damals bei den EC-Karten und seitdem zig anderen Verfahren. Es wird sicher nicht einfach sein, diese Angriffe durchzuführen, was Kriminelle eine gewisse Zeit lang davon abhalten wird. Aber früher oder später wird es passieren – und der Kunde kann nichts tun, um das Abfangen der mTAN zu verhindern, er kann lediglich seine PIN schützen wie schon bei iTAN. Wenn jemand fahrlässig handelt, dann sind es die Banken, die ihre mTANs über unsichere Kanäle verschicken, deren Unsicherheit seit Jahren bekannt ist – und trotzdem immer wieder behaupten, das Verfahren sei sicher. Kurz, ich bleib bei ChipTAN bzw. iTAN und stocke meine strategischen Popcornreserven auf.

Der Telekom entkommen – günstig Telefonieren ohne Sparvorwahlen

Viele Nutzer sind an die Telekom gebunden, weil bei anderen Anbietern kein Call-by-Call („Sparvorwahlen“) möglich ist, und mit dem normalen Tarif des jeweiligen Anbieters ins Ausland oder aufs Handys zu telefonieren meist schweineteuer ist. Da die Telekom der Netzneutralität endgültig den Krieg erklärt hat, möchte ich gerne dabei helfen, der Telekom den Rücken zu kehren.

Daher stelle ich hier die Lösung vor, die mir geholfen hat, von der Telekom loszukommen: Internettelefonie. Das klingt nach einer unpraktikablen Nerdlösung mit Headset und Computer, in Wirklichkeit ist es aber ziemlich einfach und bis auf die Einrichtung auch Anfängertauglich. Als zufriedener Kunde von 1&1 habe ich eine Fritz!Box, an welche auch die Telefone angeschlossen sind. Darin kann man problemlos weitere SIP-Provider (Internettelefonieanbieter) und Wahlregeln definieren. Wenn man einen günstigen SIP-Provider gefunden und einmal eingerichtet hat, kann man die Fritz!Box so einstellen, dass Anrufe ins Ausland oder aufs Handy automatisch über diesen Anbieter laufen. Sobald das einmal gemacht wurde, kann man idiotensicher und einfach günstig telefonieren – ganz normal am Telefon die Nummer wählen, die Fritz!Box erledigt den Rest, ohne dass man überhaupt etwas mitbekommt. Das lästige Raussuchen und Vorwählen aktueller Sparvorwahlen entfällt.

Die Preise hängen vom gewählten Anbieter ab. Ich nutze einen der zahlreichen Ableger von Dellmont und bin dort zufrieden – welcher davon am Besten ist, hängt davon ab, wohin man am meisten telefoniert, technisch dürften die meisten davon gleich sein. Die Preise sind mit günstigen Call-by-Call-Anbietern vergleichbar, teilweise niedriger. Die meisten der Ableger bieten für jede Guthabenaufladung einige Monate kostenlose Anrufe in viele ausländische Festnetze (Beschränkt auf wenige Stunden/Woche). Vorsicht, bei einigen kommen Verbindungsentgelte dazu. Bei allen muss man zu den angezeigten Preisen etwa 25-30% für Steuern und Transaktionsgebühren dazurechnen. Guthaben kaufen kann man vorab (Prepaid) mit Paypal, Kreditkarte, Überweisung oder einer der vielen anderen Zahlungsarten. Bei Kreditkartenzahlung kann man eine automatische Aufladung bei Verbrauch des Guthabens einstellen. Einen groben Vergleich (der viele Sachen unberücksichtigt lässt, aber einen Anfang bietet) gibts hier.

Aktuell scheint Freevoipdeal.com die besten Kondition zu haben – unter 1 Cent pro Minute ins dt. Handynetz (nicht kostendeckend, also nicht enttäuscht sein falls der Preis irgendwann erhöht wird), knapp 1.5 Cent zu den „Gratis“-Zielen wenn das Freikontingent (120 Tage mit nicht näher definierter „Fair Use“-Regelung) verbraucht ist. Die Preise können sich jederzeit ändern, aber bisher sind sogar die dt. Handypreise seit min. 2 Monaten stabil und mehr als das aufgeladene Guthaben riskiert man nicht. Über die Qualität oder Zuverlässigkeit kann ich mich bisher nicht im Geringsten beschweren, die ausgehende Rufnummernanzeige (der bestehenden Festnetznummer) funktioniert (wenn eingerichtet), Rufnummernunterdrückung allerdings nicht. Nachtrag: Die erste Aufladung von ca. 12,70 EUR (inkl. Steuern/Gebühren) hat über 6 Monate lang gereicht, obwohl sämtliche Auslands- und Handygespräche darüber liefen. Die Handypreise sind weiter so günstig. Freevoipdeal: Absolut empfehlenswert.

Die Einrichtung in der Fritzbox erfolgt (zumindest wenn die Profiansicht aktiv ist) unter Telefonie -> Eigene Rufnummern, als „Internetrufnummer“ gibt man einfach einen Platzhalter wie „0000001“ ein. Nach der Einrichtung nochmal Bearbeiten und beim Rufnummernformat die „00“, „49“, und die Ortskennzahl ankreuzen, nicht aber die Null zwischen der „49“ und der Ortskennzahl. Anschließend unter „Wahlregeln“ neue Wahlregeln für „Ausland“ und „Mobilfunk“ anlegen, testen und schauen, ob die Anrufe mit einigen Minuten Verzögerung in der Übersicht im Kundenkonto des jeweiligen Anbieters auftauchen. Mit vielen anderen Routern/SIP-Adaptern dürfte das auch gehen, aber ich nutze eben die Fritz!Box und kenne das daher nur damit. Eingehende Gespräche und Festnetzgespräche gehen weiter über den normalen VoIP-Anschluss des Internetanbieters.

Damit steht einem Wechsel von der Telekom weg selbst dann nichts mehr im Wege, wenn man nicht-technikaffine Familienmitglieder hat, die oft ins Ausland telefonieren. Alternative Anbieter gibt es genug.

Bevor jetzt jeder, der beim Providerwechsel schlechte Erfahrungen gemacht hat oder macht, in den Kommentaren aufschlägt: Bei allen Anbietern, ohne Ausnahme, kann dabei was schiefgehen, und es passiert auch regelmäßig, überall. In der Mehrzahl der Fälle läuft es aber relativ unproblematisch ab. Immer dran denken, das „Sicherheitspaket“ zu kündigen, was einem die meisten Provider „kostenlos“ (Sternchen: in den ersten drei Monaten) dazubuchen. Zu jedem Anbieter gibt es unzählige Horrorstories, und noch viel mehr zufriedene Kunden.

Ich persönlich bin seit Jahren bei 1&1 und mit denen zufrieden. Die Hauptvorteile sehe ich darin, dass es vernünftige Hardware gibt (AVM Fritz!Box, darf man auch nach Vertragsende behalten), die Preise vernünftig sind und bis zu 4 SIM-Karten mit Festnetzflat dabei sind (gratis bis auf die Einrichtungsgebühr). Außerdem gibt es einen UMTS-Stick bis zur erfolgreichen Schaltung, sodass man auch bei Problemen ins Internet kommt. Eine Drosselung gibts nur, wenn man ausdrücklich den einen gedrosselten Tarif bestellt („Surf & Phone Flat Special“). Natives IPv6 gibt es leider nicht. Die VDSL-Verträge (DSL 50.000) laufen anscheinend im Hintergrund über die Telekom – von der Drosselung ist man da zwar nicht betroffen, aber das schlechte Peering macht sich gelegentlich bei einem kleinen Teil der Youtube-Videos bemerkbar (sonst eigentlich nicht). Ist bei der Telekom aber natürlich auch nicht besser. Eine Übersicht über die 1&1-DSL-Tarife gibt es hier*.

Von den DSL-Anbietern möchte ich hier noch EasyBell erwähnen. Mit diesen habe ich selbst keine Erfahrung und kenne auch keine Kunden von denen, sie scheinen aber viel Wert auf Service und Fairness zu legen und schneiden unter anderem beim DSL-Vergleich von WieIstMeineIP.de am Besten von allen bundesweiten Anbietern ab. EasyBell bietet auch halbwegs günstiges SIP ins Ausland an – wer statt Dellmont und deren etwas seltsamer Tarifstruktur lieber eine deutsche Firma haben will, für den könnte das interessant sein.

Für Internet mit extrem hohen Geschwindigkeiten und ohne Drosselung wird mir regelmäßig Unitymedia genannt, wo viele Leute anscheinend zufrieden sind. Dort gibt es auch natives IPv6 – leider aber für viele Kunden kein direktes IPv4, nur NAT (selbst bei Bekannten gesehen). Wem das nichts sagt, dem kann es vermutlich egal sein. Die Fritz!Boxen sind Mietgeräte, bei denen Updates nur vom Provider eingespielt werden können (was zu Verzögerungen führen kann), und generell könnten die Kabel-Fritzboxen weniger ausgereift sein. Manche Kunden bekommen man auch D-Link-Schrott statt Fritz!Boxen, das kann man in den Filialen möglicherweise besser als online beeinflussen. Edit: Die Kabel-Fritzboxen (zumindest das Basismodell) sind der letzte Murks mit unbrauchbarem WLAN, welches sehr kreative Probleme hervorruft. Für die Qualität des Services von Unitymedia fallen mir auch keine jugendfreien Worte ein. Unitymedia – bloß nicht!

*) Offenlegung: Der 1&1-Link ist ein Partnerprogramm-Link, d.h. ich erhalte Provisionen für darüber erfolgte Bestellungen. Ich empfehle 1&1 nicht wegen der Provision – solche Provisionsprogramme bieten die meisten Internetanbieter an – sondern weil ich zufriedener Kunde bin. Weil ich das öfter tue, habe ich mich für das Partnerprogramm angemeldet. Für die anderen Links wie Freevoipdeal, Easybell und Unitymedia bekomme ich nix.

Alle Angaben nach bestem Wissen und Gewissen, aber ohne Gewähr. Stand Mai 2013.

Verified by Visa – Unsicherheit mit System

Früher konnte man mit einer Kreditkarte einfach online zahlen, indem man Kreditkartennummer und Gültigkeitsdatum (und später noch CVV2) eingegeben hat. Das hatte den Nachteil, dass ein Betrüger, der diese Angaben erfahren hat, auch mit der Karte einkaufen konnte. Besonders einfach ist es natürlich, wenn ein Händler selbst der Betrüger ist oder mit Betrügern zusammenarbeitet.

Deswegen haben sich die Kartenherausgeber ein System ausgedacht, was dieses Problem lösen sollte: Der Händler leitet einen auf die Seite der Bank um, dort meldet man sich mit einem Kennwort an, was nur dem Karteninhaber und der Bank bekannt ist, und die Bank bestätigt, dass der Karteninhaber sich angemeldet hat. Visa nennt das „Verified by Visa“, Mastercard nennt es „Mastercard SecureCode“, und allgemein werden diese Verfahren als 3-D-Secure-Verfahren bezeichnet. Da das Passwort im Gegensatz zu den Kreditkartendaten immer nur zwischen Kunde und Bank (verschlüsselt) ausgetauscht wird, ist es für Betrüger deutlich schwerer, an dieses Passwort zu gelangen. Eigentlich genial.

Eigentlich. Wenn der Nutzer auch tatsächlich das Passwort nur auf der Bankseite eingibt. Dafür muss er wissen, wie er die Bankseite erkennt, und auch darauf achten. Idealerweise, indem die Verifikationsseite, auf der der Kunde sein Verified-by-Visa-Passwort eingibt, auf der dem Kunden bekannten Domain seiner Bank betrieben wird. Aus unerklärlichen Gründen passiert genau das leider oft nicht, und ein Kunde kann nicht wissen, ob die Seite wirklich zu seiner Bank gehört oder nicht. Auch dafür gibt es eine Lösung: Mit EV-Zertifikaten wird der Name des Webseitenbetreibers neben der Adresszeile angezeigt (Beispiel). Darauf könnte man die Kunden trainieren, und Kunden mit Ahnung von IT-Sicherheit hätten etwas, worauf sie sich verlassen könnten.

Das setzt aber voraus, dass die Kunden wirklich auf die Bankseite umgeleitet werden, und somit sehen können, auf welcher Seite sie sind. Immer mehr Händler binden die Bankwebsite aber per IFrame in ihre eigene Website ein, statt den Kunden auf die Bankwebsite umzuleiten. Ohne den Quelltext der Seite auseinanderzunehmen, kann der Kunde nicht sehen, ob das Eingabeformular wirklich von seiner Bank stammt, oder einfach das Passwort einem betrügerischen Onlineshop (oder einem Hacker, der einen echten Onlineshop manipuliert hat) ausliefert. Was eigentlich ein untrügliches Zeichen für Phishing ist (Eingabeformular für Bankpasswort auf Nicht-Bank-Website), ist bei Verified-by-Visa/3D-Secure nicht nur völlig normal, sondern sogar die ausdrücklich empfohlene Art, das 3D Secure-Verfahren umzusetzen.

Um dem Kunden die Echtheit der Seite zu bestätigen, gibt es daher eine „persönliche Begrüßung“, die nach der Eingabe der Kreditkartennummer, aber vor der Eingabe des Passworts, angezeigt wird. Dieses auch auf anderen Seiten beliebte Verfahren ist völlig wirkungslose Scheinsicherheit: Eine bösartige Website, die das Passwort abgreifen will, kann per Software die Website der Bank besuchen, die Kreditkartennummer des Kunden dort eingeben, und bekommt daraufhin die persönliche Begrüßung mitgeteilt. Diese kann sie nun dem Kunden anzeigen und sich so als besonders echt ausweisen. Theoretisch könnte das gegen „dumme“ Phishingseiten schützen, die sich diese Mühe nicht machen wollen, praktisch wird dort das Fehlen der Begrüßung aber den meisten Kunden nicht auffallen.

Das Verfahren mit Kreditkartennummer, Gültigkeitsdatum und später CVV2 war auch notorisch unsicher, führte zu Missbrauch, aber es war bequem. Die Kartenherausgeber nahmen das bewusst in Kauf und übernahmen die Schäden, weil die Kreditkarten gerade durch ihre Bequemlichkeit attraktiv waren – den Kunden konnte die Unsicherheit egal sein, da die Kreditkartenherausgeber die Schäden übernahmen. Mit der Einführung von Verified by Visa/3-D Secure könnte sich das ändern. Mit dem Argument, das Verfahren sei sicher und jeder Missbrauch sei auf Fahrlässigkeit des Kunden zurückzuführen, könnten Banken nun versuchen, die Schäden auf Kunden abzuwälzen. Insbesondere das sinnlose Verfahren mit der persönlichen Begrüßung stinkt förmlich danach, dass das System als deutlich sicherer dargestellt werden soll, als es ist.

Deswegen schreibe ich diesen Beitrag: Das Verfahren ist unsicherer Murks, aber der Kunde hat keine andere Wahl, als es zu benutzen, wenn er seine Kreditkarte nutzen will. Solange die Bank dafür haftet, ist das auch völlig OK. Sollte eine Bank aber versuchen, die Folgen ihrer eigenen Fahrlässigkeit auf die Kunden abzuwälzen, ist dies inakzeptabel. Ich hoffe, dieses Posting trägt dazu bei, dass die Unsicherheit von Verified-by-Visa/3-D Secure besser bekannt wird, und es Banken dadurch schwerer wird, die Schäden unrechtmäßig auf ihre Kunden abzuwälzen.

Das Problem ist übrigens nicht neu und es haben schon zig Leute darüber geschrieben – siehe z. B. das Paper von Steven J. Murdoch und Ross Anderson, die regelmäßig vermurkste Bank-Sicherheitssysteme auseinandernehmen. Von Ross Anderson ist auch dieser herrliche offene Brief (Leseempfehlung!) an einen Kartenherausgeber-Verband, der die Publikation unangenehmer Forschungsergebnisse mit rechtlichen Drohungen verhindern wollte. Anderson findet in seinem vor Sarkasmus triefenden Meisterwerk  sehr deutliche Worte für das Abwälzen von Schäden durch unsichere Systeme auf die Kunden, indem behauptet wird, die Systeme seien sicher.

 

Es gibt noch einen weiteren, viel banaleren Grund, warum ich Verified by Visa hasse: Es ist lästig. Da man in Deutschland Kreditkarten online meist ca. einmal im Jahr braucht, kann ich mir das Passwort nie merken (speichern/aufschreiben darf man es natürlich auch nicht, und die sinnlosen Beschränkungen auf 8-10 Zeichen, die die Comdirect einem aufzwingt, tun ihr übriges). So besteht eine Kreditkartenzahlung für mich immer daraus, dass ich mich bei meiner Bank einloggen und dort mittls PIN+iTAN ein neues Kennwort setzen muss. Sehr komfortabel. Insbesondere, wenn die Bank wie gerade eben Wartungsarbeiten hat, und ich meine Kreditkarte deswegen nicht nutzen kann, oder wenn man dringend unterwegs ein Zugticket per Kreditkarte online bezahlen muss, aber die TAN-Liste zu Hause liegt. Die Kreditkarte ist so vom bequemsten Online-Zahlungsverfahren zum Umständlichsten geworden, ohne auch nur ansatzweise vergleichbare Sicherheit zu bieten. Herzlichen Glückwunsch.

Besuch bei der Bundesdruckerei

Bernd Schlömer und ich sind Anfang November einer Einladung der Bundesdruckerei gefolgt und haben sie in Berlin besucht. Dabei ging es vor allem um den elektronischen Personalausweis (weswegen ich dabei war). Hier möchte ich euch kurz von dem Besuch berichten und auch an einigen Stellen meine Meinung dazugeben.

Wir bekamen eine kurze Vorstellung der Bundesdruckerei, eine Führung durch die ePerso-Produktion (ein paar Infos zum Aufbau des Ausweises siehe hier, hier und hier Edit: und hier) und haben anschließend sachlich über unsere Kritik am eID-Verfahren diskutiert.

Die Bundesdruckerei ist eine GmbH in Staatsbesitz, also ein gewinnorientiertes Unternehmen. Sie handelt somit nach wirtschaftlichen Kriterien; Behörden sind entsprechend Kunden der Firma. Die Bundesdruckerei bedient auch ausländische Kunden. Die Bundesdruckerei-Gruppe umfasst neben der eigentlichen Bundesdruckerei GmbH noch weitere Firmen, unter anderem auch die Zertifizierungsstelle D-Trust.

Die Bundesdruckerei sieht in eID eine große und für die Zukunft auch extrem wichtige Chance. Die sichere Authentifizierung im Internet ist ein wichtiges Problem, welches der ePerso löst. Die Sicherheitsprobleme, die sich im Umfeld der eID-Anwendung (hauptsächlich AusweisApp) finden, seien lösbar und daher kein Argument gegen die eID-Lösung. (Ich bin da eher der Meinung, dass die Sicherheitsprobleme mit der Zeit mehr werden, da mit der Zeit attraktive, aber unsichere Nutzungsweisen eingeführt werden. Beispielsweise ist geplant, den ePerso auch an Automaten einzusetzen, was weitere erhebliche und prinzipbedingte Gefahren birgt.)

Die Bundesdruckerei ist ein wenig enttäuscht darüber, dass wir als moderne Technikpartei den ePerso so vehement ablehnen, und dass die Diskussion teilweise unsachlich geführt wird.

eID biete große Vorteile für Bürger und Unternehmen. Beispielsweise könnte man mit eID Konten online eröffnen, ohne zwecks Postident zur Post rennen zu müssen. Das sehe ich übrigens genauso – bin aber der Meinung, dass sich das mit normalen Signaturkarten gut machen lässt.

Wir haben daher auch darüber gesprochen, warum auf eine neue Technik (das eID-Verfahren) statt auf das gewöhnliche, alte Signaturverfahren gesetzt wurde. Diese Vorgaben kamen vom BSI bzw. BMI. Die Bundesdruckerei war zwar beratend tätig, die Kernentscheidungen wurden aber von BSI/BMI getroffen. Die von mir geäußerte Vermutung, dass auch wirtschaftliche Interessen (der Wunsch nach einem neuen, international exportierbaren Standard) bei den Designentscheidungen eine Rolle gespielt haben könnten, wurde entschieden verneint – das BSI würde sowas nicht mit berücksichtigen. Es kann natürlich auch sein, dass das BSI einfach eine eigene Technologie haben wollte.

Die eID-Technologie hat gegenüber von gewöhnlichen Signaturkarten einige Vorteile. Beispielsweise weist sich nicht nur der Ausweisinhaber gegenüber einer Website (dem Diensteanbieter) aus, sondern es findet eine beidseitige Authentifizierung statt. Nur Diensteanbieter, die zertifiziert sind, auf geeigneten Datenschutz geprüft wurden, die Daten auch wirklich benötigen, vertrauenswürdig sind etc. bekommen ein Berechtigungszertifikat, was zum Auslesen des elektronischen Personalausweises nötig ist. Gleichzeitig dürfen sie nur die Daten auslesen, die sie benötigen, und der Nutzer kann Daten einzeln freigeben. Das wäre mit gewöhnlichen Signaturkarten nur eingeschränkt möglich.

Weiterhin gibt es die Möglichkeit, z. B. anonym das Alter zu beweisen oder sich mit einem karten- und seitenspezifischen Pseudonym zu identifizieren. Das ist in der Tat eine Funktion, die mit Signaturkarten gar nicht geht. Die Pseudonyme gehen allerdings verloren, wenn man einen neuen Ausweis bekommt, was die Nutzbarkeit einschränkt. (Das ist eine -meiner Meinung nach korrekt getroffene- Designentscheidung.)

Ich konnte bei dem Gespräch auch einige Fragen zum Thema klären.

Die Personalausweise enthalten bei der Ausgabe keine Signaturzertifikate – um die sichere und sinnvolle Signaturfunktion zu nutzen, muss der Bürger sich neben einem teuren Lesegerät also noch ein solches Zertifikat kaufen, was ihn ca. 40 EUR pro Gültigkeitsjahr kostet. Technisch wäre es kein Problem, die Zertifikate von vorne herein aufzuspielen, und die zur Bundesdruckerei-Gruppe gehörende D-Trust GmbH kann solche Zertifikate ausstellen. Die Entscheidung, die Zertifikate nicht mit aufzuspielen, war eine politische Entscheidung, von der die Leute von der Bundesdruckerei auch nicht wirklich begeistert sind. Ein Argument für diese Entscheidung, was mir an anderer Stelle genannt wurde, war, dass das ja ein Eingriff in den freien Markt wäre und deswegen nicht gemacht wurde. Leider hat das zur Folge, dass eine der wirklich guten Funktionen des Ausweises für die Bürger nur mit zusätzlichem Aufwand und Kosten erreichbar ist.

Die Entscheidung, auf drahtlose Technik (NFC/RFID) statt normale kontaktbehaftete Technik zu setzen, hat mehrere Gründe. Einmal die Haltbarkeit, die Tests zufolge deutlich besser sein soll – auch gegenüber mechanischen Belastungen wie „10 Jahre lang in der Hosentasche rumtragen“ und die damit verbundenen Biege-Belastungen. Die Karten sollten also die 10 Jahre durchhalten. Zudem haben moderne Handies zum Teil NFC, aber keine kontaktbehafteten Schnittstellen. Mit einer kontaktbehafteten Karte wären mobile Nutzungen so ausgeschlossen, deswegen wurde NFC als Technologie der Zukunft gewählt. Weiterhin soll der ePerso kompatibel mit den elektronischen Reisepässen sein, die kontaktlos gelesen werden.

Es ist davon auszugehen, dass die Lesereichweite von wenigen Zentimetern sich nicht deutlich ausweiten lässt. Für „dumme“ Karten existieren zwar Experimente, die mit großen Antennen eine Ausweitung auf rund 25 cm hinbekommen. Der ePerso-Chip ist aber deutlich komplexer und hat damit einen höheren Stromverbrauch. Daher sei es unwahrscheinlich, dass man aus 10 cm eine benutzbare Verbindung hinbekommt, die auch stabil bleibt, wenn das eID-Verfahren anläuft und die Kryptoprozessoren anfangen Strom zu ziehen. Die MARS-Studie des BSI, auf die ich hingewiesen wurde, ist leider noch nicht abgeschlossen, dürfte dazu aber weitere Erkenntnisse bringen.

Zum Thema RFID-Fingerprinting hatte die Bundesdruckerei leider auch keine weiterführenden Informationen.

Für die pseudonyme Identifikationsfunktion haben zahlreiche Personalausweise den gleichen privaten Schlüssel („Generationenschlüssel“). Dieser Schlüssel ist in jedem Ausweischip gespeichert und verlässt den Chip nicht. Würde es jemand schaffen, den Schlüssel auszulesen (z. B. über Seitenkanalangriffe oder Öffnen des Chips mittels FIB), wäre das ein ziemliches Sicherheitsproblem. Die Chips sind natürlich gegen solche Angriffe gesichert – aber eine Garantie dafür, dass das 10 Jahre lang hält, trauen sich auch die Hersteller der Chips nicht abzugeben. (Die Chips stellt die Bundesdruckerei nicht selbst her, sondern kauft sie von externen Herstellern ein.) Die genauen Folgen, die ein solcher Angriff hätte, sind noch nicht ganz klar. Es gibt eine Möglichkeit, auf einen zweiten, chipindividuellen Schlüssel zurückzugreifen. Das zerstört die Anonymität bzw. starke Pseudonymität, löst aber das Sicherheitsproblem. Weiterhin sollen die unveränderlichen Daten abweichend von dem was in der TR 3127 des BSI  steht (S. 14 oben) mittels eIDSecurityInfo gemäß BSI-TR 3110 A.1.1.6 signiert sein. Das dürfte viele Angriffe verhindern, selbst wenn die Schlüssel leaken. (Möglicherweise sind diese Signaturen auch erst dann abrufbar, wenn die chipindividuellen Schlüssel freigeschaltet werden.)

Das Nachladen von Zertifikaten für die Qualifizierte Elektronische Signatur erfordert derzeit einen Medienbruch (Aktivierungscode per Post). Das ist gut, könnte sich aber noch ändern. Eine starke Sitzungsbindung an den Ausweis soll beim Nachladen vorhanden sein (das ist gut).

FAZIT
Ich bin immer noch kein Freund von ePerso und eID. Die eID-Funktion kann meiner Meinung nach nicht das Sicherheitsniveau bieten, auf welches viele vertrauen. Die millionenfach verteilten Basisleser sind unsicher, und die neuen Anwendungsszenarien sorgen für weitere Gefahren. Durch diesen Widerspruch zwischen angenommenem und tatsächlichem Sicherheitsniveau ergeben sich Gefahren für den Bürger – wenn er einem Angriff auf eID zum Opfer fällt, steht er einer erdrückenden Beweislast des „sicheren“ Systems gegenüber, die er wiederlegen muss (und nicht kann).

Eine elektronische Identifikationsfunktion im Internet halte ich für sinnvoll – zumindest solange man davon ausgehen kann, dass Bundestag und BVerfG die diversen Unionspolitiker unter Kontrolle halten können, die dann wieder ihre Idee mit dem Realnamenzwang im Internet aufwärmen. Die zusätzlichen Funktionen von eID sind aber meiner Meinung nach nicht nützlich genug, um die Inkompatibilität und Sicherheitsprobleme in Kauf zu nehmen. Die wechselseitige Authentifizierung mittels Berechtigungszertifikat des Diensteanbieters wird eher eine bürokratische und teure Hürde sein, als ein nützliches Feature.

Den Verdacht, dass es sich beim ePerso (auch) um eine Wirtschaftsförderungsmaßnahme handelt und dieser Aspekt oft zu stark in den Vordergrund gerückt ist, werde ich trotz der gegenteiligen Beteuerungen leider auch nicht ganz los.

Elektronisch auslesbare Ausweisdokumente (Perso und Pass) laden außerdem zu zusätzlicher automatisierter Datensammlung und mehr (z. B. auch automatisierten) Kontrollen ein.

Daher bin ich weiterhin der Meinung: Den neuen Perso in Zukunft ohne Chip ausgeben, und davon getrennte, ggf. staatlich geförderte und vorzugsweise kontaktbehaftete Signaturkarten ausgeben, die auf bewährten internationalen Standards basieren. Die QES-Infrastruktur ist bereits teilweise vorhanden, und da sie auf bewährte Standards setzt, ist die Technik auch für Betreiber leicht einzurichten. Entsprechende signaturfähige Lesegeräte (Sicherheitsklasse 3) für kontaktbehaftete Signaturkarten sind für knapp 36 EUR inkl. Versand zu bekommen, die vergleichbaren Komfortleser beim ePerso kosten ab rund 100 EUR aufwärts. (Einen Standardleser mit Display, mit dem man nicht mittels ePerso signieren, aber eID halbwegs sicher nutzen kann, bekommt man schon ab rund 55 EUR. Mit einer normalen Signaturkarte kann dieser Leser übrigens signieren!)

Schlechte Nachrichten für Bürgerrechte

Leider bin ich nicht direkt dazu gekommen, diese Zusammenfassung zu schreiben, aber vielleicht ist es ja auch besser, diese „tollen“ Beschlüsse unserer Regierung mal gesammelt zu sehen, nachdem man sie schon vergessen wollte. Um den folgenden Mist zu beschließen, haben die Parlamente übrigens nur zwei Tage (27. und 28.10.) gebraucht.

Fangen wir an mit dem Beschluss, dass das Erststudium nicht als Werbungskosten absetzbar ist. Über den Sinn dieser Änderung kann man sich streiten, aber der wirkliche Hammer kommt zum Schluss: Um die armen Besserverdiener unter den Studierenden nicht zu überlasten, können z. B. teure Privatunis jetzt besser abgesetzt werden. Unsere Regierung kann wohl nichts beschließen, ohne der FDP-Klientel noch ein paar Geschenke mit einzupacken.

Weiter gehts mit dem „Schuldenschnitt“ für Griechenland. Statt einem wirklichen Schuldenschnitt (ein Teil der Schulden verfällt) sollen die (wertlosen) Griechenland-Anleihen zu 50% des Nennwerts (also deutlich über dem tatsächlichen Wert) in europäische oder von der EU garantierte Anleihen umgetauscht werden. Statt einem Schuldenschnitt gibt es also auch hier Geschenke, diesmal vor allem für die Banken.

Dafür wollte unsere Regierung auch mal was dem Volk schenken, zum Beispiel kostenlose Warteschleifen und ein Ende des Abofallenbetrugs im Internet. In der entsprechenden Reform des Telekommunikationsgesetzes hat sie leider „vergessen“, Breitband-Internet zum Universaldienst zu machen (womit die Anbieter wie bei Trinkwasser und Telefon verpflichtet wären, es überall bereit zu stellen). Auch die Netzneutralität, die eigentlich in die Reform rein sollte, ist wohl nicht so ganz verankert worden. Dafür wurde in dem netten Paket mal eben die Vorratsdatenspeicherung versteckt – und zwar in letzter Sekunde und dann schnell beschlossen, damit das Parlament ja nicht merkt, worüber es gerade abstimmt.Zwar ist die neue Vorratsdatenspeicherung nicht verpflichtend, aber dafür dürfen die Provider jetzt freiwillig speichern. Angesichts dessen, dass viele das schon bisher (illegal!) getan haben, dürfte sich ein großer Datenberg ansammeln, aus dem sich die Ermittlungsbehörden bedienen können. Somit hat die Regierung zwar mal wieder „Für unsere Bürger“ auf das Paket draufgeschrieben, mit dem Inhalt spielen werden aber vor allem die Ermittlungsbehörden. Einige populäre Verbesserungen beim Verbraucherschutz (die durchaus dringend nötig waren!) hat die Regierung aber doch reingepackt – vermutlich, um es dem Bundesrat schwerer zu machen, das Gesamtpaket abzulehnen. Der Bundesrat ist nämlich fest in der Hand der Opposition, und dort muss das Gesetz noch durch. Hier ist die Hoffnung also noch nicht ganz verloren – auch wenn man davon ausgehen kann, dass die Verräterpartei ihrem Namen wieder gerecht wird, obwohl sie im Bundestag dagegen gestimmt hat.

Aber wo wir bei Überwachungsgeschenken sind: Die Linke hat beantragt, jemandem etwas wegzunehmen. Nämlich der Polizei das Recht, den Bundestrojaner zu nutzen, nachdem diese gezeigt hat, wie „verantwortungsvoll“ sie damit umgehen kann (zur Erinnerung). Dass der Antrag gegen die Stimmen von Union und FDP keine Chance hat, war klar. Dennoch konnte die SPD (als Oppositionspartei!) sich nicht nehmen lassen, gegen den Antrag und somit für den Bundestrojaner zu stimmen. Würde jeder Missbrauch eines Überwachungsrechts dazu führen, dass es eingeschränkt oder zurückgenommen wird, würden die Ermittlungsbehörden vielleicht lernen, damit verantwortungsvoller umzugehen. Schade, dass diese Chance, hier den Anfang zu machen, verpasst wurde.

Stattdessen hat die Bundesregierung lieber mal die Anti-Terror-Gesetze verlängert – und nebenbei noch ein wenig verschärft, indem sie z. B. Geheimdiensten die „Selbstbedienung“ an den Flugreisedaten erlaubt haben. Auch hier hat die SPD sich wieder einmal als Verräterpartei betätigt und trotz Oppositionsrolle gegen Bürgerrechte und für die Verlängerung gestimmt. Ach, und wo wir schon bei „Anti-Terror“ sind, hier noch ein alter, aber guter Artikel von heise/c’t zur Anti-Terror-Datenbank, wo man sieht, was da so alles gespeichert wird. Die Lobby, die dafür sorgt, dass solche „Sicherheits“gesetze produziert werden, hat übrigens Jörg Tauss für Gulli aufgedeckt.

Das Europäische Parlament hat sich natürlich nicht lumpen lassen und gleichzeitig ein Abkommen beschlossen, nach dem Australien die Flugreisedaten erhält und fünfeinhalb Jahre speichern darf. Mit 463 zu 96 Stimmen übrigens, falls noch irgendwelche Hoffnungen bestanden, das EU-Parlament würde sich für Datenschutz und Bürgerrechte einsetzen. Die übermittelten Daten enthalten unter anderem Kreditkarten- und Telefonnummern, IP-Adressen und besondere Essenswünsche (aus denen vermutlich auf die Religion geschlossen werden soll, die nicht explizit übermittelt wird). Auch ein nettes Geschenkpaket, oder?

Das einzig halbwegs Erfreuliche waren die Nachrichten über den ePerso ein paar Tage später. Schade um die verschwendeten Steuergelder, aber gut für die Bürgerrechte – wie erwartet folgte der ePerso dem Schicksal der meisten IT-Großprojekte von Bundesregierungen und wurde ein grandioser Fehlschlag: Sicherheitslücken ohne Ende, kaum Angebote, kaum Nutzer bei bestehenden Angeboten, nicht einmal die Hälfte der Ausweise mit aktiver eID-Funktion – aber leider auch schon wieder Ideen, wie man den Perso z. B. mit einer DNA-Datenbank „verbessern“ könnte.

ePerso kann remote missbraucht werden

In meinem letzten Artikel zum ePerso (PIN-Diebstahl ohne Malware) stellte ich eine Möglichkeit vor, wie ein Angreifer an die PIN des ePerso gelangen kann, indem er eine falsche AusweisApp vortäuscht.

Wie ich erwartet hatte gab es daran viel Kritik: Einerseits sei das ja kein richtiger Angriff, weil „nur“ der Nutzer getäuscht wird, andererseits hätte der Angreifer ja „nur“ die PIN, mit der er nichts anfangen könne, weil er ja keinen Zugriff auf den Personalausweis selbst hätte.

Ersteres spielt für das Ergebnis keine Rolle: Der Angriff funktioniert gegen durchschnittliche Nutzer sehr gut, und der Angreifer hat am Ende die PIN. Damit wären wir beim zweiten Einwand: Die Authentifikation mit dem Ausweis ist eine sogenannte Zwei-Faktor-Authentifikation – man benötigt PIN und Ausweis. Mit der PIN alleine kann der Angreifer somit tatsächlich noch nicht direkt einen Angriff durchführen – aber er hat einen der beiden Faktoren überwunden. Das wird interessant, sobald ein Angriff den anderen Faktor überwindet. Alleine wäre auch dieser neue Angriff „wertlos“, verbunden mit der gestohlenen PIN ermöglicht er jedoch den Missbrauch des Ausweises.

Genau einen solchen zweiten Angriff habe ich nun gefunden. (Nachtrag: Wurde von Heise verifiziert.) Dadurch kann der Angreifer, wenn die im Folgenden erklärten Bedingungen zutreffen, sich mit dem Personalausweis des Opfers ausweisen. (Ich denke, jetzt sieht man auch, warum der PIN-Angriff sehr wohl ein Problem war!)

Weil das Missverständnis öfter aufkam: Der PIN-Diebstahl-Angriff ist kein simpler Phishing-Angriff. Bei einem Phishing-Angriff wird das Opfer auf die Seite des Angreifers gelockt, aber im Glauben gelassen, dass es z. B. die Seite seiner Bank besucht – denn nur dort dürfen die Bank-Zugangsdaten eingegeben werden. Auf den falschen Link reinzufallen ist ein vermeidbarer Fehler des Opfers. Hier jedoch kennt das Opfer die Identität der Seite. Ein legitimer Ausweisevorgang beginnt mit dem Besuch einer fremden Seite, wo dann die AusweisApp aufpoppt – genau wie beim Angriff. Dieser Angriff ist also deutlich schwerer erkennbar als Phishing – vor allem, weil Banken etc. dem Nutzer erklären, wie er sich schützen soll (Bank-Website manuell aufrufen), während auf die wenigen Warnzeichen für eine falsche AusweisApp nirgendwo hingewiesen wird.

Demo des Angriffs auf YouTube

Die von der ComputerBild als Beilage verteilten Starterkits bestehen aus einem Reiner SCT-Basislesegerät sowie einer LoginCard, mit der man sich Online einloggen können soll. Dazu muss eine Software (Browserplugin) von ReinerSCT installiert werden, die Websites Zugriff auf das Lesegerät gibt.

Über dieses sogenannte OWOK-Plugin kann eine Website (nach Bestätigung, siehe unten) frei mit der Karte kommunizieren. Die OWOK-Software habe ich als erstes untersucht, weil der Nutzer bei den Computerbild-Starterkits zur Installation aufgefordert wird, sie also bei vielen Ausweisinhabern vorhanden sein dürfte. Die Software nutzt dafür anscheinend das von den Sparkassen entwickelte SIZCHIP-Plugin – d.h. das gleiche Problem dürfte mit vielen anderen Plugins, z. B. mit dem Geldkarten-Plugin, bestehen.

Pro Website wird der Benutzer einmal gefragt, ob er diesen Zugriff zulassen soll. Diese Frage sollte eigentlich vor dem Angriff schützen, da der Nutzer ja darauf aufmerksam gemacht wird und zustimmen muss. Dabei gibt es jedoch mehrere Probleme:

1. Der Nutzer erwartet beim oben erwähnten PIN-Diebstahl-Angriff, dass der ePerso benutzt wird. Die Frage nach dem Zugriff auf dem Chipkartenleser dürfte den meisten Nutzern daher logisch vorkommen und meist bejaht werden. Nutzer mit gutem Hintergrundwissen über die Technik könnten an dieser Stelle aufmerksam werden – diese zählen jedoch zu einer kleinen Minderheit.
2. Sobald der Nutzer einmal die Entscheidung getroffen hat, scheint diese dauerhaft gespeichert zu werden. Indem der Angreifer das Plugin unter einem Vorwand einige Zeit vor dem Angriff das erste mal aktiviert, kann er verhindern, dass der Nutzer beim eigentlichen Angriff misstrauisch wird.
3. Die Anfrage besteht aus einem Dialogfenster, was an einer vorhersehbaren Position (Bildschirmmitte) auftaucht, sobald das Plugin geladen wird. Das kann sich der Angreifer zunutze machen, indem er den Nutzer animiert, wiederholt schnell auf die „richtige“ Stelle zu klicken (z. B. durch ein Spiel), und dann erst das Dialogfenster auslöst. Viele sicherheitskritische Dialogfenster in Browsern aktivieren die Schaltflächen inzwischen erst nach einer kurzen Verzögerung, um solche Angriffe zu verhindern.
4. Einige im Plugin vordefinierte Seiten können ohne diese Sicherheitsabfrage zugreifen. Gelingt es, in einer dieser Seiten z. B. eine XSS-Lücke zu finden, kann man die Sicherheitsabfrage umgehen, indem man den Angriff im Kontext der Seite durchführt. Eine solche Lücke habe ich gefunden – die Sicherheitsabfrage kann also umgangen werden.

Dieser Angriff setzt also voraus:

• Das Opfer hat z. B. das von der ComputerBild verteilte Starterset nach Anleitung installiert
• Das Opfer fällt auf den PIN-Diebstahl-Angriff mit einer falschen AusweisApp herein
• Das Opfer bestätigt dabei (oder irgendwann vorher!) die Sicherheitsabfrage „Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?“ oder der Angreifer umgeht die Sicherheitsabfrage über eine XSS-Lücke (siehe oben)
• Der Ausweis liegt auf dem Lesegerät (folgt bereits aus dem Hereinfallen auf den PIN-Diebstahl-Angriff)

Sobald diese Voraussetzungen erfüllt sind, hat der Angreifer über das Plugin Zugriff auf den Kartenleser und den darauf liegenden Ausweis, und befindet sich im Besitz der PIN. Damit gilt:

• Der Angreifer kann mit der Identität des Ausweisinhabers Aktionen durchführen, und diese mit dem fremden Ausweis bestätigen.
• Der Angreifer kann sich auch in Benutzerkonten des Ausweisinhabers, die Login via Ausweis zulassen, einloggen, und dort z. B. Daten ausspähen oder weitere Aktionen durchführen.

Der Angreifer braucht also insbesondere weder Malware auf dem Rechner des Nutzers, noch muss er man-in-the-middle-Attacken fahren. Er muss lediglich Besucher auf seine Seite locken und dort mit der falschen AusweisApp täuschen!

Folgen

Der Angreifer kann den Ausweis und somit die bestätigte Identität des Opfers missbrauchen. Das Opfer bekommt dies nicht mit, da ihm z. B. eine erfolgreiche Altersverifikation vorgetäuscht wird. Da die Identitätsbestätigung über den Ausweis einen sehr starken Anscheinsbeweis liefert, wird das Opfer nur sehr schwer belegen können, dass eine Aktion von einem Angreifer und nicht vom Opfer selbst durchgeführt wurde.

Dabei wäre beispielsweise ein Szenario denkbar, bei dem ein Onlineshop Lieferung auf Rechnung anbietet, wenn der Käufer sich per Ausweis identifiziert – soweit ich weiß eines der öfter genannten Beispiele für eine mögliche Anwendung des ePersos. Würde ein Angreifer mit der Identität des Opfers eine Bestellung tätigen, würde der Händler sein Geld beim Opfer einfordern – und hätte vor Gericht dank der Ausweisprüfung gute Chancen, dies auch durchzusetzen. Auch wäre denkbar, dass der Angreifer ein Konto im Namen des Kunden eröffnet und für Betrügereien missbraucht – mit der Folge, dass das Opfer für diese Taten verantwortlich gemacht wird.

Totalversagen

Zum Glück gibt es eh kaum Dienste, die wirklich mit dem ePerso genutzt werden können. SCHUFA und die Flensburg-Punkteauskunft schicken die Zugangsdaten bzw. Infos separat per Post, sodass der Ausweis hauptsächlich als Formularausfüllhilfe dient, und ansonsten kann man damit Onlinepetitionen unterschreiben und kommt vielleicht bei ein paar Versicherungen ins Kundenmenü. Kurz: Unabhängig von den Sicherheitsproblemen hat das Projekt versagt.

Wie in diesem Beitrag erklärt, bin ich der Meinung, dass der ePerso vor allem als Instrument zur Zerstörung der Freiheit und Anonymität im Netz taugt und früher oder später auch dafür verwendet werden wird. Entsprechende Forderungen hat der Bundesinnenminister Friedrich erst gestern wieder gebracht. Wie das aussehen wird, sobald die Mehrheit der Bevölkerung einen ePerso besitzt, ist also absehbar. Wenn Kritik nicht mehr Anonym geäußert werden darf, leidet die Meinungsfreiheit massiv, da viele sich aus Angst vor möglichen Folgen nicht trauen, ihre Meinung zu sagen.

Davon abgesehen ist der ePerso eine sinnlose Wirtschaftsförderungsmaßnahme auf Steuerzahlerkosten. Neben den subventionierten Starterkits sieht man das am Besten daran, dass die Bürger ihre Signaturzertifikate von privaten Unternehmen kaufen müssen (für rund 20 Euro pro Jahr), statt sie zusammen mit dem Personalausweis direkt zu erhalten.

Die Entwicklung und Einführung des Ausweises sollen „nur“ rund 50 Millionen gekostet haben. Gegenüber dem alten Ausweis müssen die Bürger für den ePerso rund 20 Euro mehr zahlen. Bei 6,5 Millionen neuen Ausweisen pro Jahr kommen auf die Bürger jährliche Mehrkosten von 130 Millionen zu. Es ist also nie zu spät, das Projekt noch einzustampfen!

Apropos Signatur: Die geht mit dem Ausweis immer noch nicht, weil die entsprechende Version der AusweisApp auf sich warten lässt. Genauso übrigens, wie eine auf MacOS lauffähige Version.

Gegenmaßnahmen

Folgende Dinge können getan werden, um den Angriff zu erschweren bzw. zu verhindern:

Nutzer können:

• Den neuen Ausweis nicht im Internet nutzen, niemals an Lesegeräte halten und ggf. in einer abschirmenden Hülle transportieren
• Wenn sie den Ausweis im Netz nutzen wollen, ausschließlich Lesegeräte der höheren Sicherheitsstufen (eigenes PIN-Pad) einsetzen und die PIN ausschließlich auf dem Lesegerät eingeben. Weiterhin muss das eigene System sicher und virenfrei gehalten werden!
• Ihren alten Ausweis solange es geht behalten
• Plugins, die Chipkartenzugriffe erlauben, deinstallieren.

Reiner SCT (bzw. die für den Kern des Plugins verantwortliche Firma) kann:

• Die Sicherheitsabfrage vor jedem Zugriff auf das Lesegerät stellen (sollte nur bei Loginvorgängen nötig sein) und sie deutlicher formulieren
• Die APIs des Plugins einschränken, sodass Websites nur noch vordefinierte Funktionen der Karten auslösen können

Das hilft aber nur, wenn alle Hersteller vergleichbarer Plugins das auch tun.

Die Projektverantwortlichen können:

• Die unsicheren Basislesegeräte endlich abschaffen (nicht mehr für die Nutzung mit dem ePerso zulassen). Das ist die einzige Möglichkeit, die das Problem wirklich löst. Allerdings sind die besseren Geräte teuer und somit nicht gerade gut für die Akzeptanz.
• Das Projekt begraben und nicht noch mehr Geld verschwenden
• Die AusweisApp so umbauen, dass sie exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt. Das würde Angriffe erschweren oder verhindern, allerdings nur, solange die AusweisApp auch läuft.

Aufgrund der Reaktion des BMI auf meinen ersten Angriff (falsche Behauptung, ich hätte den Angriff länger gekannt und absichtlich zurückgehalten) musste ich leider mit Versuchen rechnen, diese Angriffsmöglichkeit zu vertuschen. Daher habe ich mich entschieden, die Hersteller vor der Veröffentlichung nicht zu benachrichtigen (außer im Fall der XSS-Lücke). Am Besten vor dem Angriff schützen kann sich immer noch der Nutzer allein (durch Deinstallation der Browserplugins), sodass möglichst schnelle öffentliche Aufklärung über diese Gefahr meiner Meinung nach sinnvoll ist.

Die Schuld an dieser Lücke sehe ich übrigens weniger bei den Pluginentwicklern, auch wenn es keine gute Idee und ziemlich unnötig ist, Websites uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Das Hauptproblem ist die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser) nicht nur zu verwenden, sondern auch noch aus Steuergeldern zu fördern.

Technische Details

Das OWOK/SIZCHIP-Plugin erlaubt es der Website, per JavaScript einen Kanal zur Chipkarte zu öffnen und darüber beliebige Befehle (APDUs) zu schicken (und die Antworten zu lesen). Ein Angreifer würde diese Befehle von einem Server abholen, auf welchem eine AusweisApp (oder eine äquvivalente Software) läuft. Statt an ein echtes Lesegerät würden die APDUs, die die AusweisApp an die Karte schicken will, über AJAX zum JavaScript im Browser des Opfers geschickt. Dort würden sie über das Plugin an den Ausweis gesendet, und die Antwort würde auf dem umgekehrten Weg wieder zur AusweisApp kommen.

Ich habe hierzu zwei Proof-of-concepts erstellt. Für beide muss ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte (nicht unbedingt ein Ausweis) vorhanden sein.

Einer (attackwebsite) basiert auf der falschen AusweisApp (die bereits im „FSK18-Bereich“ der Piratenpartei zu sehen war). Er demonstriert, wie ein kompletter Angriff ablaufen würde. An den Ausweis (bzw. die Karte) wird hier nur der Befehl zum Auswählen der ePass-Anwendung geschickt, sodass man die unterschiedlichen Antworten von Ausweisen im Vergleich zu anderen Karten sehen kann.

Der zweite PoC (shellserver) implementiert das Abholen der Befehle über AJAX. Es kann entweder zum einfachen Testen ein fest im Server eingetragener Befehl an das Opfer geschickt werden, oder aber die Karte auf dem Lesegerät des Opfers wird an eine modifizierte cyberflex-shell angeschlossen, von wo dann beliebige Anfragen gestellt werden können.

Die PoCs kann man hier herunterladen, den ersten davon gibt es auch live unter https://fsk21.piratenpartei.de.

Den XSS-Angriff habe ich an Heise mit Bitte um Verifikation und anschließende Weiterleitung an den Seitenbetreiber gemeldet. Die Redaktion konnte ihn nachvollziehen.

Einschätzung des SCHUFA-Hacks

Wie Gulli berichtet und die Piratenpartei kommentiert hat, wurde die SCHUFA gehackt (in den Kommentaren bei Gulli gibts/gab es Details). Zunächst betraf das „nur“ den Webserver. Die Lücke bestand laut Beschreibung im Gulli-Forum darin, dass das Skript, was Dateien wie Formulare zum Download ausgeliefert hat, den Download beliebiger Dateien von der Platte des Servers erlaubte. Da die eigentliche SCHUFA-Datenbank natürlich hoffentlich nicht auf diesem Webserver liegen dürfte, ist in der Theorie erstmal keine unmittelbare Gefahr gegeben, weil man über die Lücke ja „nur“ Dateien auf diesem Server herunterladen kann. Diese Position vertritt natürlich auch die SCHUFA, ein Datenleck zuzugeben wäre für ihr Geschäft nicht gerade förderlich.

Der Angreifer konnte also mehr oder weniger beliebige Dateien vom Server herunterladen. So ein Fehler in einer Webanwendung ist ein ziemlicher Anfängerfehler, der auf so einem kritischen Server eigentlich nicht passieren darf. (Das sieht der Experte der Tagesschau übrigens genauso.) Wie schon bei der kaputten SSL-Implementierung bei der AusweisApp sieht man, dass die Annahme „so doof können die nicht sein“ keine Garantie dafür ist, dass in einer kritischen Anwendung solche dummen Fehler wirklich nicht vorhanden sind. Dass es dem kaputten Skript wohl auch möglich war, auf Dateien außerhalb des eigentlichen Websiteverzeichnisses zuzugreifen, deutet außerdem darauf hin, dass mit der Rechte- und Benutzerkontenverwaltung auf dem Server auch eher „locker“ (lies: schlampig und ohne wirklich auf Sicherheit Wert zu legen) umgegangen wurde. Daran, dass für die Schufa Datenschutz und Datensicherheit „seit jeher eine hohe Priorität“ hätten, lässt es genauso zweifeln wie am Sicherheitszustand des restlichen Netzes bei der SCHUFA.

Das wird in dem Moment wichtig, wenn man sich klar macht, auf was für Daten mit der Lücke Zugriff möglich war: Der Server muss irgendwie auf die SCHUFA-Datenbank im Hintergrund zugreifen können. Natürlich wäre es möglich, dass hier irgendein ausgeklügeltes Verfahren genutzt wird, bei dem der Zugriff erst freigegeben wird, wenn der sichere Server am anderen Ende das Login des Kunden geprüft hat. Angesichts der oben genannten Punkte halte ich es jedoch für sehr unwahrscheinlich. Am Wahrscheinlichsten ist es, dass irgendwo auf dem gehackten Webserver die Zugangsdaten für die Datenbank im Klartext herumlagen und darüber die Datenbank ausgelesen werden kann. Ein Angreifer konnte diese Zugangsdaten höchstwahrscheinlich mit vertretbarem Aufwand (configdatei finden) bekommen.

Wenn die Schufa schlau genug war, den Datenbankserver hinter eine Firewall zu stellen (so blöd, es nicht zu tun, kann man eigentlich nicht sein, aber siehe oben), bringen diese Zugangsdaten dem Angreifer aber zunächst nichts, weil er sich zu dem Server gar nicht verbinden kann – das ist dann aber die letzte verbleibende Hürde. Gelingt es ihm, z. B. über vom Webserver geklaute Passwörter in den Webserver einzudringen, oder in einen beliebigen anderen Rechner im Netz der SCHUFA, der auch Zugriff auf den Datenbankserver hat (das könnte eingeschränkt sein – könnte…), kann er sich an der Datenbank bedienen. Vielleicht stehen da „nur“ die Daten der Leute an, die meineschufa.de nutzen, es ist aber mindestens genauso wahrscheinlich, dass der Angreifer sich dann beliebige SCHUFA-Datensätze anschauen und herunterladen kann. Solche Angriffe auf weniger gesicherte „unwichtige“ Rechner, um sie als Brücke ins Netz zu benutzen, sind üblich und bei vielen Angriffen wie z. B. dem auf Google beobachtet worden. Über weitere Angriffe mit dieser Lücke als Einstiegspunkt dürfte also vieles möglich sein.

Selbst wenn mehr Schutzmaßnahmen getroffen würden – wenn es einem Angreifer gelingen würde, den offensichtlich mies gesicherten Webserver komplett zu übernehmen, könnte er zumindest die darüber laufenden Daten abfangen, also die Daten derjenigen, die meineschufa.de nutzen, während der Angreifer Zugriff hat. Die Lücke wurde zwar als „Local file inclusion“ bezeichnet, da die Dateien aber scheinbar so wie sie auf der Platte lagen ausgeliefert wurden und PHP-Skripte nicht geparst wurden, würde ich eher von „Local file disclosure“ sprechen. Das ist insofern etwas weniger gefährlich, als über diese Lücke vermutlich wenigstens „nur“ Daten ausgelesen, aber keine Programme auf den Server geschleust werden können. Andere Lücken, die das (und damit die Übernahme des Servers) erlauben, könnten jedoch durchaus existieren.

Meiner Meinung nach kann man die Situation also folgendermaßen zusammenfassen:

• Der Server wurde gehackt, das hat die SCHUFA bestätigt
• Die Sicherheit lässt sehr zu wünschen übrig
• Die SCHUFA-Daten konnten vermutlich nicht direkt ausgelesen werden, aber
• ich halte es für wahrscheinlich, dass ein Angreifer mit etwas Mühe gute Chancen gehabt hat, auch an die SCHUFA-Daten selbst zu kommen.

Jetzt stellt sich natürlich die Frage: Was nun? Zunächst muss natürlich die Lücke selbst geschlossen werden. Indem die SCHUFA das kaputte Download-Skript gelöscht hat, ist diese Gefahr vorerst gebannt. Dann müssen auch alle potentiell betroffenen Zugangsdaten für die Datenbank und sonstige Server geändert werden – denn sonst könne ein Angreifer die vor kurzem gestohlenen Daten in ein paar Wochen, nachdem die eigentliche Lücke schon geschlossen ist, nutzen, um die Datenbank auszulesen. Hier müssen wir hoffen, dass die SCHUFA sich nicht die Mühe spart und darauf verzichtet, „weil man ja von außen eh nicht an die Datenbank drankommt“. Schließlich – und das ist der schwierigste Teil – muss anhand von Logs geprüft werden, ob die Lücke bereits missbraucht wurde, und wenn z. B. Zugangsdaten gestohlen wurden, ob diese missbraucht wurden. Ich bezweifle, dass es ausreichend weit zurückreichende Logs geben wird, um das für die Zeit seit Bestehen der Lücke ausschließen zu können. Somit dürfte nicht eindeutig zu klären sein, ob Daten geklaut wurden oder nicht. Ganz abgesehen davon muss die SCHUFA natürlich massiv an der Sicherheit ihrer Server arbeiten.

Eines muss man der SCHUFA (bisher) jedoch zugute halten: Sie hat soweit ich weiß nicht versucht oder gedroht, dem ehrlichen Hacker, der die Lücke gemeldet hat, irgendeine Form von Ärger zu machen. Das ist eigentlich eine Selbstverständlichkeit und liegt im Interesse der betroffenen Firma – ehrliche Hacker, die Lücken melden, helfen die Sicherheit zu verbessern. Würde eine Firma einen solchen Hacker bedrohen, werden andere dadurch a) wütend b) angesport weitere Lücken zu finden vor allem c) auf gefundene Lücken nicht hinweisen, sondern sie veröffentlichen oder nutzen um Schaden anzurichten – und das ganze natürlich so, dass sie nicht zurückverfolgt werden können. Leider kommen solche Drohungen immer noch viel zu oft vor.

Der Vorfall zeigt auch einige interessante Probleme auf:

Sicherheit kann nicht nachgerüstet werden. Die Sicherheit muss bereits bei der Entwicklung von Software bedacht werden – nachträgliche Tests und Überprüfungen sind sinnvoll, können das aber nicht ersetzen. Irgendwas wird immer übersehen. Hier haben die Entwickler offenbar nicht ausreichend über Sicherheit nachgedacht, als sie das Downloadsystem entwickelt haben. Das ist gerade in einem solchen sicherheitskritischen Bereich eigentlich völlig inakzeptabel.

Datenschutz lohnt sich nicht. Es gibt keine empfindlichen Strafen, wenn jemand Daten nicht ausreichend schützt. Natürlich ist es nicht gut für den Ruf und fürs Geschäft, wenn solche Lecks passieren, aber das scheint als Motivation nicht auszureichen. Würden für Datenlecks Strafen von ein paar Euro pro Datensatz drohen, wäre gerade bei große Datenbanken die Absicherung plötzlich finanziell sehr attraktiv.

In kritischen Bereichen wird massiv geschlampt. Selbst bei so kritischen Servern wie in diesem Fall bei der SCHUFA wird an der Sicherheit gespart und es werden grobe Fehler gemacht. Wie viele andere wichtige Systeme genauso schlecht gesichert sind? Hier sei exemplarisch nur auf SCADA verwiesen, die Industriesteueranlagen, die von der Chemiefabrik bis zum Atomkraftwerk alles Mögliche kontrollieren und meist auf völlig veralteter Software laufen, mit kaum vorhandenen Sicherheitsmaßnahmen (siehe Vortrag auf einem CCC-Kongress).

Wie Sofortüberweisung.de funktioniert

Scheinbar wissen viele nicht, wie der Dienst „Sofortüberweisung.de“ funktioniert – denn ich glaube kaum, dass so viele ihn sonst nutzen würden. Der Dienst verspricht, wie der Name schon sagt, sofortige Überweisungen, was beim Online-Shopping dem Händler die (vermeintliche – siehe unten) Garantie gibt, dass die Ware direkt bezahlt ist, und dem Kunden so unter Umständen zu einer kürzeren Lieferzeit verhilft. Im Gegensatz zum Lastschriftverfahren ist eine Überweisung auch nicht (zumindest nicht so leicht und nur innerhalb kurzer Zeit) zurückrufbar.

Wie aber schafft es der Dienst, Überweisungen durchzuführen? Ganz einfach – man gibt ihm seine Onlinebanking-Zugangsdaten. Nein, man loggt sich nicht bei seiner eigenen Bank ein und überweist, man gibt diesem Dienst seine Zugangsdaten für den Onlinebankingzugang. Damit loggt er sich dann bei der Bank ein und führt die Transaktionen durch. Mit Benutzername/Kontonummer und PIN hat der Dienst schonmal weitreichenden Lesezugriff aufs Konto – und wurde vor kurzem dabei erwischt, wie er diesen missbraucht, um die Umsätze der letzten 30 Tage, den Dispokredit, Vorhandensein und Kontostände anderer Konten bei der gleichen Bank und/oder vorgemerkte und ausgeführte Auslandsüberweisungen abzufragen. Das soll nur der Absicherung der Überweisung dienen, was aber nichts daran ändert, dass Sofortüberweisung.de die entsprechenden Informationen abfragt. Mit der eingegebenen TAN wird dann die Überweisung durchgeführt. Technisch läuft die Kommunikation mit der Bank über das HBCI-Protokoll, worüber auch Onlinebanking-Software wie Hibiscus, WISO etc. mit der Bank kommuniziert.

Rein technisch gesehen ist das ganze Verfahren exakt das gleiche, was die ganzen Phishingseiten machen – es werden Zugangsdaten des Nutzers abgefragt und dann verwendet, um eine Transaktion durchzuführen. Bei iTAN wird die Transaktion eben der Bank gegenüber eingeleitet, die Bank sagt, welche iTAN sie möchte, und dann wird diese iTAN abgefragt. Der Nutzer muss darauf vertrauen, dass Sofortüberweisung.de mit der TAN keinen Missbrauch anstellt. Das soll durch ein TÜV-Zertifikat bestätigt werden – es gab allerdings schon zahlreiche Fälle (hier ein anderer TÜV-Verein), wo TÜV-geprüfte Webseiten völliger Murks waren. Diese Zertifikate sind also meiner Meinung nach nicht die Bytes wert, die die PDF-Dateien belegen.

Wenn ein Händler also nur eine Zahlung über Sofortüberweisung anbietet, oder bei anderen Zahlungsmethoden miese Konditionen bietet, kaufe ich eben woanders. Sofortüberweisung ist genauso (un)sicher wie Vorkasse per Überweisung, bietet aus Kundensicht in dem Punkt also keinen Vorteil. Wenn ein Händler Lastschrift anbietet, bevorzuge ich das – kaum Arbeit, sollte es große Probleme mit dem Händler geben (was mir bisher nie passiert ist) kann die Lastschrift zurückgebucht werden und die Missbrauchsgefahr ist nahe Null. Klar kann unberechtigt abgebucht werden, dann wird es eben zurückgebucht – dazu ist die eigene Bank grundsätzlich verpflichtet, egal ob sie sich das Geld vom Händler zurückholen kann oder nicht!

Bei mTAN und chipTAN dürfte das Verfahren ähnlich laufen – die Überweisung wird eingeleitet, bei der chipTAN leitet Sofortüberweisung.de die Challenge weiter, der Nutzer gibt die TAN vom Handy/Generator an Sofortüberweisung. Hier ist wenigstens sichergestellt, dass keine falsche Überweisung aufgegeben werden kann – die PIN kann allerdings immer noch benutzt werden, um – wie im oben genannten Fall geschehen – das Konto auszuspähen!

Diese Funktionsweise hängt Sofortüberweisung natürlich nicht an die große Glocke (natürlich steht das alles irgendwo – aber irgendwo wo es keiner liest), und setzt darauf, dass Nutzer sich schon nicht so recht informieren oder es ihnen egal ist. Die Weitergabe von Logindaten an fremde Webseiten verstößt in der Regel gegen Banken-AGB. Diesen Punkt hat das Kartellamt übrigens in einer grandiosen Fehlentscheidung bemängelt, denn viele Banken bieten einen ähnlichen Dienst selbst unter dem Namen GiroPay an. Dieser hat höhere Transaktionsgebühren, wird jedoch von den Banken selbst betrieben und unterscheidet sich in einem „klitzekleinen“ Detail: Der Kunde loggt sich bei seiner eigenen Bank in sein Onlinebanking ein, und die Bank bestätigt dann die Überweisung. Die Logindaten gehen also nicht an eine dritte Partei, in deren Hände sie nicht gehören.

Die Banken hätten also einerseits ein wirtschaftliches Interesse, Sofortüberweisung zu behindern, riskieren dabei allerdings juristische Probleme – weswegen z. B. die Postbank den Laden auch nicht technisch aussperrt. Wäre ich zuständiger für die Online-Sicherheit einer Bank und hätte das unabhängig von den wirtschaftlichen/rechtlichen Sachen zu entscheiden, würde ich die IPs von Sofortüberweisung regelmäßig in die Firewalls stopfen, und die bis zur Erkennung als IP von Sofortüberweisung eingereichten, aber noch nicht durchgeführten Überweisungsaufträge stornieren (mit Benachrichtigung des Kunden, aber ohne Benachrichtigung von Sofortüberweisung) – der Laden müsste dann zusehen, wie er sein Geld vom Kunden bekommt, vor allem, nachdem dieser einen bösen Brief von seiner Bank erhalten hat. Es wäre natürlich auch denkbar, dem Kunden einfach den Onlinezugang wegen Missbrauch zu sperren. Ehrlich gesagt überrascht es mich massiv, dass das nicht durch irgendwelche automatischen Systeme, denen das hohe Transaktionsvolumen auffällt, geschehen ist. Die vereinzelten Posts in Foren, wo behauptet wird, dass Leuten wegen der Nutzung von Sofortüberweisung.de (d.h. unberechtigter Weitergabe von Zugangsdaten) die Onlinebankingzugänge oder gar Konten gekündigt werden, sind bisher (leider, muss man sagen) vermutlich eher Falschmeldungen, das kann sich aber natürlich noch ändern. In Foren als Möglichkeit erwähnt und durchaus denkbar ist es, dass die Banken protokollieren, wer derart gegen AGB verstößt, und im Falle eines Schadens (z. B. durch Phishing) das Verhalten des Kunden als Argument benutzen, um den Schaden nicht auszugleichen. Sofortüberweisung.de „empfiehlt“ den Shopbetreibern, um Abmahnungen durch Verbraucherzentralen zu vermeiden, zu Erklärungen von Sofortüberweisung einen Text hinzuzufügen, in dem zwischen viel wiederholendem Geschwurbel steht:

Vorsorglich weisen wir dennoch darauf hin, dass es in Deutschland Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung von sofortüberweisung.de wegen der Verwendung von PIN und TAN außerhalb der eigenen Online-Banking-Systeme bei etwaigen Missbrauchsfällen zu einer Haftungsverlagerung führen kann. Dies kann bedeuten, dass im Missbrauchsfall die Bank sich weigert, den Schaden für den Endkunden zu übernehmen und der Endverbraucher den Schaden zu tragen hat.

Für Händler hat das Verfahren neben der Abmahngefahr außerdem noch das Problem, dass die Überweisung keineswegs so garantiert ist wie angedeutet wird – Sofortüberweisung bestätigt nur, dass die Überweisung abgeschickt wurde. Wenn der Kunde die Überweisung direkt danach bei der Bank widerruft, oder die Bank sich einfach entscheidet, die Überweisungen zu stornieren, dürfte der Händler seinem Geld wohl hinterherlaufen.

Giropay hat übrigens auch ein Problem, ist nämlich bei unvorsichtigen Nutzern besonders anfällig gegen Phishing. Der Nutzer wird von einer Drittwebsite (Onlineshop) auf sein Onlinebanking umgeleitet und soll sich dort einloggen. Der Onlineshop könnte den Nutzer nun auf eine Phishingseite umleiten. Wenn der Nutzer weiß, wie Giropay zu funktionieren hat (d.h. Login erfolgt auf der eigenen Bankwebsite) und er (z. B. über das SSL-Zertifikat) prüft, dass er sich auf der richtigen Website befindet, würde er so etwas natürlich erkennen. Ich weiß das, weiß wie ich das prüfen kann, und tue es auch konsequent – ich bezweifle jedoch, dass das auf Otto Normalnutzer auch zutrifft. Das ließe sich mit ein wenig Aufklärung aber wahrscheinlich korrigieren, denn die Nutzer sind inzwischen für Sicherheitsthemen gerade beim Onlinebanking sensibilisiert. Das gleiche Problem (mit der gleichen Lösung) gibt es übrigens auch beim Verified-by-Visa-Programm für Kreditkarten (bei Online-Kreditkartenzahlungen muss man sich bei Visa einloggen, somit sind Zahlungen nur mit den Infos die der Händler klauen kann nicht mehr mögich) sowie beim Authentifizierungsverfahren OpenID – und natürlich bei Sofortüberweisung, wo ein „Phishing-Angriff“ sogar mehr oder weniger Teil des Verfahrens ist.

Und nein, ich bekomme für diesen Artikel weder Geld noch habe ich irgendwas mit Giropay oder sonstigen Online-Zahlungssystemen zu tun. Es regt mich „nur“ tierisch auf, wenn das Verletzen grundlegener Sicherheitskonzepte zum Geschäftsmodell gemacht wird. Wenn man sich die Kommentare im Heiseforum zur Entscheidung des Kartellamts anschaut, bin ich offensichtlich nicht der einzige.

Zusammenfassung:

Probleme für Kunden

• Kontoumsätze wurden und werden abgefragt
• Missbrauch möglich
• Keine Rückbuchung bei Problemen mit Händler (wie bei normaler Vorkasse auch)
• AGB-Verstoß gegen Bank-AGB
  • Bank könnte Haftung bei Missbrauch (auch in unabhängigen Fällen!) verweigern
  • Onlinebanking-Sperrung denkbar

Probleme für Händler

• Verlust von Kunden die wissen wie das Verfahren funktioniert und es daher nicht nutzen wollen oder es gar als unseriös ansehen
• Abmahngefahr durch Verbraucherzentralen
• Zahlungen sind keineswegs garantiert!

Sicheres Onlinebanking? Kostet extra!

Die Postbank schaltet das iTAN-Verfahren zugunsten „sichererer“ Verfahren ab. Das iTAN-Verfahren, also die Eingabe eines Einwegkennworts von einer gedruckten Liste, ist bei einem verseuchten Computer über einen Trojaner angreifbar, der die Überweisungsdaten verändert. Der Schritt ist also erstmal logisch, nachvollziehbar und scheint sinnvoll zu sein.

Als Ersatz werden zwei alternative Verfahren angeboten: Die mTAN, bei der eine TAN auf das Handy geschickt wird, und die chipTAN (auch smartTAN genannt), bei der die TAN von einem speziellen Gerät in Verbindung mit der Bankkarte erzeugt wird. Bei beiden Verfahren werden die Trasaktionsdetails (Betrag, Empfängerkonto, …) auf einem separaten Gerät (Handy bzw. TAN-Generator) angezeigt. Dadurch kann ein Trojaner nicht mehr die Überweisung unbemerkt ändern. Vor diesem Problem schützen beide neuen Verfahren. Alle drei Verfahren, also iTAN, mTAN und chipTAN, stellen zusammen mit der PIN des Nutzers eine Zwei-Faktor-Authentifizierung dar: der Nutzer muss geheimes Wissen (die PIN) beweisen, und den Besitz eines physikalischen Gegenstands (TAN-Liste, Handy, TAN-Generator+Karte).

Im Folgenden wird davon ausgegangen, dass es einem Angreifer irgendwie gelungen ist, an die PIN zu kommen – was ohne einen Trojaner auf dem Rechner schwierig ist und in dem Fall die Gefahr relativiert, mit einem Trojaner jedoch trivial ist. Aufgrund der Zwei-Faktor-Authentifizierung sollte der Angreifer alleine mit der PIN (ohne den Besitz des entsprechenden Gegenstandes) nichts anfangen könnten.

Solange kein Trojaner auf dem Rechner ist und die TAN-Liste geheim bleibt, ist das iTAN-Verfahren sicher. Beim mTAN-Verfahren hingegen sieht es bereits anders aus: Hier muss nicht der PC, sondern das Handy sicher sein. Mit steigender Verbreitung von Smartphones und eher mangelhafter Sicherheit derselbigen wird das immer schwieriger. Während es für gewöhnliche Nutzer schwieriger ist, den Computer statt das Handy sauberzuhalten, kann das bei „Powerusern“ genau umgekehrt aussehen. Gelangt ein Angreifer in den Besitz der PIN und kann gleichzeitig das Handy mit Malware verseuchen, kann er das Konto plündern. (Update: Kunden einer spanische Bank sollen auf diese Weise angegriffen worden sein, das ist also keineswegs graue Theorie. Danke an wopot für den Hinweis! Update 2: Jetzt warnt auch das BSI vor dieser Art von Angriff. Update 3: Und jetzt gibts schon gezielte Angriffe auf deutsche User, ausgehend von einem verseuchten Rechner. QED.)

Eine weitere Gefahr bei der mTAN entsteht durch das Mobilfunknetz: Die mTANs werden per SMS verschickt. Diese sind bei der Übertragung nur sehr schlecht geschützt, und es existieren Angriffe, die SMS-Nachrichten an eine bestimmte Nummer bereits im Handynetz umleiten können. Beispiele für Angriffsmöglichkeiten wären: Die Nummer des Opfers portieren lassen, Klonen der SIM-Karte/des Handies, Abhören der SMS-Übertragung irgendwo zwischen Bank und Handy, das Bestellen einer neuen SIM-Karte, und und und. Darüber hinaus ist das meist immer mitgenommene Handy einer höheren Diebstahlsgefahr ausgesetzt als die TAN-Liste, die sicher zu Hause verwahrt wird.

Die mTAN ist im Szenario „PIN dem Angreifer bekannt, Rechner sauber“ somit weniger sicher als die iTAN.

Auch im Szenario „Computer verseucht“ beitet die mTAN keinen vollständigen Schutz: Heutige Smartphones werden oft mit dem Rechner verbunden, und ein Virus, der vom Computer auf das Smartphone überspringt um die mTANs zu stehlen ist technisch möglich und höchstwahrscheinlich nur eine Frage der Zeit. (In diesem Fall versagt jedoch das bisherige iTAN-Verfahren ebenfalls.)

Das andere Verfahren, die chipTAN, ist nahezu ideal: Ein separates Gerät, welches ausschließlich für die TAN-Erzeugung genutzt wird, zeigt die Überweisungsdaten an und generiert anhand der Bankkarte eine nur für diese Überweisung gültige TAN. Auch hier gibt es zwar Angriffe, diese nutzen jedoch ähnlich wie mein letzter ePerso-Angriff Fehler des Nutzers aus. Mit einer eindeutigen Bedienungsanleitung können diese weitgehend vermieden werden. Dieses Verfahren ist selbst dann sicher, wenn alles außer dem chipTAN-Generator virenverseucht ist, da die Prüfung der Überweisungsdaten auf dem Display des Generators stattfindet. Da dieses Gerät eine abgeschlossene Einheit mit minimalem Funktionsumfang (und somit kaum Angriffsfläche) darstellt, dürfte es vor Viren sicher sein.

Das Problem: Die iTAN wird bei der Postbank abgeschafft, Kunden haben also nur noch die Wahl zwischen mTAN und chipTAN. Nur die mTAN kann allerdings ohne weitere Kosten für den Nutzer genutzt werden. Das weitaus bessere chipTAN-Verfahren erfordert, dass der Nutzer 12-15 Euro für ein passendes Lesegerät ausgibt. Das wird die Akzeptanz dieses Verfahrens nicht gerade fördern. Das mTAN-Verfahren ist aber in bestimmten Fällen weniger sicher als die bisherigen iTANs. Durch das von den Banken behauptete hohe Sicherheitsniveau könnte das im Missbrauchsfall für den Kunden ein ziemliches Problem vor Gericht werden.

Gleichzeitig machen die Preise für die TAN-Generatoren übrigens deutlich, was für eine Gelddruckmaschine die ePerso-Kartenleser mit Verkaufspreisen im dreistelligen Bereich sind bzw. welche Preisklasse die ordentlichen Lesegeräte haben dürften, wenn man sie statt der unsicheren Basisleser in großen Mengen herstellen lässt.

Zusammenfassung:
– Die iTAN ist gegen verseuchte Computer anfällig. Dies ist derzeit das größte Problem beim Onlinebanking.
– Die Abschaffung der iTAN wird insgesamt betrachtet die Sicherheit erhöhen
– Die mTAN kann das Problem lindern, aber nicht lösen.
– Die mTAN bietet in bestimmten Szenarien einen geringeren Schutz als die iTAN
– Die chipTAN hat ein sehr hohes Sicherheitsniveau, kostet aber den Nutzer Geld
– Einige Nutzer werden durch diese Änderung ein niedrigeres Sicherheitsniveau als bisher haben. Sicheres Onlinebanking kostet extra.
– Die Nutzung des chipTAN-Verfahrens kann ich nur empfehlen.

Meiner Meinung nach sollten die Banken die chipTAN als Standardverfahren verwenden und genauso wie sie den Kunden ec-Karten zur Verfügung stellen, kostenlose TAN-Generatoren anbieten.

Durch die Nutzung eines separaten Geräts für die Erzeugung der TANs dürfte das chipTAN-Verfahren übrigens deutlich sicherer sein als die eID-Anwendung des ePersos – obwohl die Hardware einen Bruchteil kostet. Mit einem ähnlichen Ansatz (sichere Eingabegeräte mit Display und Tastatur im Besitz des Nutzers) ließen sich auch EC-Kartenzahlungen deutlich sicherer gestalten – da gibt es nämlich auch schon Sicherheitslücken.

Auch bei digitalen Signaturen sollte ein sicheres Signiergerät den zu signierenden Inhalt in einem simplen Fomat (z. B. Plaintext oder Bitmap) nochmal auf einem eigenen Display anzeigen und nur genau das signieren, was angezeigt wurde. Aber bis sich so etwas etabliert, dürften Jahrzehnte vergehen.

ePerso: PIN-Diebstahl ohne Malware

Der CCC hatte im September 2010 einen Angriff gegen den ePerso präsentiert: Ein Trojaner auf dem PC des Nutzers kann die PIN abfangen, wenn der Nutzer sie über die Tastatur eingibt. Das ist für jeden, der sich ein wenig auskennt, keine Überraschung – aber durchaus ein großes Problem für den realen Einsatz des Personalausweises.

Ich habe nun einen Angriff entwickelt, der in der Lage ist, die PIN des Nutzers zu stehlen, ohne Malware auf dem Rechner des Nutzers zu installieren. Wer sich das mal anschauen möchte, kann ja die Altersverifizierung für den (fiktiven) FSK18-Bereich der Piratenpartei-Website durchführen. (Die PIN wird bei der Demo natürlich nicht an den Server gesendet.) Wer den Angriff testen will, sollte das jetzt erstmal tun und nicht weiterlesen.

v

v

v

Man kann den Angriff auch ohne Ausweis, Lesegerät und AusweisApp testen: Einfach eine sechsstellige PIN ausdenken und so tun als sei die AusweisApp installiert, das Lesegerät angeschlossen und der Ausweis aufgelegt.

v

v

v

Der Angriff funktioniert ganz einfach: Mit JavaScript, HTML und Screenshots (also Bildern) wird eine AusweisApp im Browser simuliert. Der Nutzer denkt, er würde die echte AusweisApp sehen, und gibt seine PIN ein. In diesem Fall wird nach der PIN-Eingabe eine Auflösung angezeigt, bei einem echten Angriff bekäme der Nutzer eine Fehlermeldung zu sehen, damit er keinen Verdacht schöpft, und seine PIN würde an den Server geschickt. Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht. (Und auch sonst funktioniert an dem ganzen Projekt ziemlich wenig: Die Änderungs-Terminals spinnen, Sonderzeichen machen Probleme, und so weiter.

Bei dieser Simulation ist es nicht möglich, die PIN über die eingebaute Bildschirmtastatur einzugeben, die entsprechende Schaltfläche fehlt. Das hat allerdings nichts damit zu tun, dass das prinzipiell nicht möglich wäre, sondern dass ich faul bin und keine Lust hatte, noch ein Dialogfeld detailgetreu nachzubauen. Sollte also jemand als „wirksame“ Gegenmaßnahme vorschlagen wollen, die Bildschrimtastatur zu nutzen, kann ich das gerne noch nachreichen. Die Bildschirmtastatur schützt lediglich vor sehr einfachen Keyloggern, und vermittelt ansonsten nur ein falsches Gefühl der Sicherheit. Wer Ausweise missbrauchen will, wird sich beim Trojanerschreiben die Mühe machen, auch Eingaben über die Bildschirmtastatur zu erkennen – das ist keine Kunst, sondern Fleißarbeit.

Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden. Das könnte zwar zu der Behauptung führen, dass dieser Angriff -in der Theorie- gar kein richtiger Angriff sei – das Ergebnis ändert das aber nicht: Der Angreifer hat am Ende die PIN des Nutzers.

Diese Funktionsweise macht es umso schwieriger, den Angriff zu verhindern: Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses Problem hingegen lässt sich nur lösen, indem man den Nutzern beibringt, worauf sie zu achten haben – und sie dazu erzieht, auch tatsächlich daran zu denken, jedes mal auf diese Merkmale zu achten. Das ist allerdings sehr schwierig.

Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?

Um sich gegen diesen Angriff zu schützen, muss man lernen, falsche von echten Fenstern zu unterscheiden. Im Browser wird die Website in einem bestimmten Bereich angezeigt. Lässt sich ein Fenster aus diesem Bereich heraus verschieben, dann handelt es sich zumindest um ein richtiges Fenster. Allerdings können Webseiten auch Popup-Fenster öffnen, die sich dann frei verschieben lassen. Bei allen gängigen Browsern kann die Website dabei zwar viele Teile des Browserfensters ausblenden, aber die Adressleiste (bzw. bei Opera eine dünne Leiste mit der Website-Adresse) bleibt immer stehen, eben um zu verhindern, dass ein Popup für ein echtes Fenster gehalten wird. Der „Verschiebetest“ zusammen mit einem kritischen Blick auf das Fenster ist also ein guter allgemeiner Anhaltspunkt.

Darüber hinaus hat die AusweisApp (bei angeschlossenem Lesegerät) ein Chip-Symbol in der Taskleiste neben der Uhr, welches bei aufgelegter Karte grün wird. Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte. Da ich nicht ausschließen möchte, dass es möglich ist, die AusweisApp zu aktivieren und dann irgendwie zu überlagern, würde ich den Verschiebetest zusätzlich empfehlen. Seltsam aussehende Schrift im AusweisApp-Fenster ist übrigens kein Hinweis auf eine Fälschung: Die Schriften sehen auch in der echten AusweisApp seltsam aus.

Man kann falsche Fenster also durchaus unterscheiden – aber die Hinweise, wie man es macht und dass man es machen solte, fehlen in den Hochglanzbroschüren zum Ausweis. Von sich aus kommen selbst Fachleute selten auf die Idee, diese Prüfungen zu machen, solange nicht irgendetwas Verdacht erregt. Eine gute Fälschung tut das aber nicht.

Ist der Angreifer im Besitz der PIN, reicht dies allein zwar noch nicht, um die Identität des Ausweisinhabers zu missbrauchen – die PIN existiert aber nicht ohne Grund und sollte nicht nur zum Spaß geheimgehalten werden. Ein Beispiel für einen Angriff, für den eine gestohlene PIN nützlich wäre, wurde auf dem 27C3 präsentiert.

Warum ich den Ausweis auch unabhängig von der Lücke ablehne, steht in diesem Beitrag. Auf weitere grundsätzliche Probleme wie die Beweislastumkehr, die für Ausweisnutzer ein ziemlicher Nachteil ist, werde ich in weiteren Beiträgen eingehen wenn/falls ich dafür Zeit finde. Ich kann nur davon abraten sich so einen Ausweis zu holen, bzw. wenn man schon einen hat, ihn zu nutzen. Auch wenn Alufolie immer an Verschwörungstheoretiker mit Aluhüten erinnert – ein paar Lagen davon, um den Ausweis gewickelt und an den Seiten umgefaltet, verhindern das Auslesen sowohl beim Ausweis als auch bei anderen RFID-Karten zuverlässig.

Noch ein kleiner Hinweis für die Presse: Ich bin immer noch kein CCC-Mitglied, obwohl ich letztes Mal nach den Falschmeldungen eingeladen wurde ;-)

Fragen die öffentlich beantwortet werden sollen/können, bitte über die Kommentarfunktion. Sonstige (An)fragen bitte über Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) oder Mail an janhomepage [at] gmx punkt net. Telefon ist ungünstig, ggf. bitte Festnetznummer per Mail schicken.

Sicherheitslücke bei PayPal eine Woche lang offen

Anfang Dezember, am 9.12., habe ich morgens gegen 10 eine Sicherheitslücke bei Paypal entdeckt. Obwohl der Laden es eigentlich nicht verdient hat (nicht nur weil sie Wikileaks das Konto gesperrt haben, sondern z. B. deswegen weil sie gerne mal ohne wirklichen Grund Konten willkürlich einzufrieren und sich dann zu weigern, vor Ablauf von 6 Monaten das Geld freizugeben).

Das Problem war, dass man innerhalb der (HTTPS-geschützten) Paypal-Seite über ungeschützte Seiten weitergeleitet wurde – was ein Angreifer prompt hätte ausnutzen können, um ein Opfer auf eine Phisingseite umzuleiten, nachdem es die gesicherte Paypal-Seite erreicht hat.

Obwohl Paypal mir noch am 9. gegen 18 Uhr bestätigte, meine Mail bekommen zu haben und sich um das Problem zu kümmern, wurde die gefährliche Umleitung erst am 16.12., also eine Woche später, in den frühen Morgenstunden behoben. (Ein paar Tage zuvor wurde schon die Umleitung von Paypal.com auf paypal-deutschland.de aufgehoben, wenn ich es richtig in Erinnerung habe.) Wie lange die Lücke vor meiner Entdeckung offen war weiß ich natürlich nicht, aber das können nochmal Wochen oder Monate gewesen sein.

Besonders peinlich daran war, dass die Umleitung über irgendeinen Werbeserver eines Drittanbieters erfolgte, vermutlich also nur gemacht wurde, um Statistiken zu sammeln beziehungsweise das Nutzerverhalten zu verfolgen. Die Lücke hätte eigentlich innerhalb von weniger als einer Stunde behoben sein müssen. Angesichts der Größe von Paypal und der Tatsache dass es sich um einen Zahlungsdienstleister handelt, hätte ich ehrlich gesagt erwartet, dass die Lücke innerhalb einer Stunde nach meiner Mail weg ist – und nicht, dass allein die Eingangsbestätigung rund 8 Stunden dauert. (Gemeldet hatte ich das an eine spezielle Adresse zum Melden von Sicherheitslücken).

Es wird aber noch besser: Dass es gefährlich ist, Teile von kritischen Websites ohne SSL laufen zu lassen, ist hinreichend bekannt, und wurde z. B. von Moxie Marlinspike vor Jahren demonstriert. Die Reaktion von PayPal auf seine Entdeckung: Sie haben sein PayPal-Konto gesperrt und sein Geld darauf eingefroren (lies: erstmal behalten).

 

Technische Details der Lücke

Für Interessierte hier nocheinmal die ganzen schmutzigen technischen Details:

Wenn man mit einem auf deutsch eingestellten Browser auf http://www.paypal.com ging (und die Seite gerade nicht erfolgreich von 4chan geddost wurde), wurde man auf https://www.paypal-deutschland.de/ umgeleitet. Wie es sich für einen Zahlungsdienstleister gehört wurde dabei SSL eingesetzt, wenn auch das Zertifikat dem PayPal-Ableger in Singapur gehört, obwohl die Seite laut Impressum von PayPal Europe (Luxemburg) betrieben wird.

Der Login-Knopf (Ergänzung: der Knopf der einen zum Login-Formular bringt, also kein Knopf zum Absenden der Logindaten) zeigte auf

https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11

Wenn man diese URL nun aufgerufen hat, sah das so aus (Hervorhebung von mir. Die SSL-Warnung liegt nur daran dass mein wget nicht richtig konfiguriert ist):

--04:07:37--  https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11
           => `nul'
Resolving www.paypal-deutschland.de... 62.168.214.18
Connecting to www.paypal-deutschland.de|62.168.214.18|:443... connected.
WARNING: Certificate verification error for www.paypal-deutschland.de: unable to get local issuer certificate
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11 [following]
--04:07:37--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11
           => `nul'
Resolving altfarm.mediaplex.com... 89.207.18.81
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com [following]
--04:07:37--  http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com
           => `nul'
Resolving mp.apmebf.com... 89.207.18.80
Connecting to mp.apmebf.com|89.207.18.80|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557 [following]
--04:07:38--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557
           => `nul'
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424 [text/html]

    0K                                                       100%   15.56 MB/s

04:07:38 (15.56 MB/s) - `nul' saved [424/424]

Man wird also über mehrere unverschlüsselte Webseiten weitergeleitet. Die letzte liefert dann eine HTML-Seite aus, die einen wieder zurück zu einer HTTPS-gesicherten Paypal-Seite bringt.

Ein Angreifer mit gewisser Kontrolle über die Internetverbindung konnte also die Auslieferung der ungesicherten Seiten manipulieren und so das Opfer auf eine Phishingseite umlenken. Wenn ein Opfer vor dem Anklicken des Login-Links das Zertifikat (und dann nicht mehr) geprüft hat, wähnte es sich in Sicherheit (denn von einer sicheren Seite sollte man nicht unsicher umgeleitet werden), obwohl aufgrund dieses Fehlers Gefahr bestand.

CDU-Beschluss zur Netzpolitik, übersetzt

Netzpolitik weist auf einen CDU-Vorstandsbeschluss hin, welcher (als letzten Punkt) auch die Netzpolitik erwähnt. Mit ein wenig Übung kann man aus solchen Beschlüssen durchaus Absichten herauslesen. Für die weniger erfahrenen, hier eine Übersetzung. Zitate sind gekennzeichnet und stammen aus dem verlinkten Dokument. Hervorhebungen von mir.

Sollte sich jetzt irgendwer von der CDU gekränkt fühlen und/oder der Meinung sein, dass die Übersetzung ungenau ist: Ihr habt die nächsten Jahre Zeit, das unter Beweis zu stellen. Aber bitte insgesamt und nicht in irgendwelchen Details. Viel Glück.

 

Die Übersetzung

 

Es ist unser Ziel, die Möglichkeiten des Internets in allen Lebensbereichen optimal nutzbar zu machen und den Standort Deutschland als moderne Informations- und Kommunikationsgesellschaft weiter zu entwickeln.

 

Wir wollen das Internet kommerzialisieren wo auch immer das möglich ist und die kommerzielle (Aus)nutzung des Internets fördern. Wirtschaftliche Interessen haben Vorrang vor allem anderen.

 

Ein Netz ohne staatliche Mindestregulierung entspricht nicht unserer Vorstellung von politischer Verantwortung.

 

Wir wollen das Internet regulieren.

 

Gleichzeitig sind wir uns bewusst, dass zentrale und rein nationale Regelungen nur bedingt wirksam sind, gerade auch wenn es um Kriminalität im Internet geht. Fragen der Netzpolitik sind daher im europäischen und internationalen Dialog zu beantworten, Netzaktive und Branchenverbände werden wir dabei einbeziehen.

 

Wir wissen, dass wir unseren Überwachungswahn hier nicht durchgesetzt kriegen, weil uns die Bürger zu sehr auf die Finger schauen. Deswegen werden wir den Weg über die EU-Ebene und internationale Abkommen gehen. Lobbyisten werden dabei die Gesetzesentwürfe schreiben, während wir ein paar „Netzaktive“ ihre Meinung sagen lassen (die wir natürlich ignorieren), um die Massen ruhig zu stellen.

 

Dabei wird in der CDU die Abwägung zwischen „Freiheit“ und „Sicherheit“ stets eine wichtige Rolle spielen.

 

Die Freiheit darf die Sicherheit dabei nie einschränken. Wir fordern die totale Kontrolle.

 

So halten wir das Urheberrecht und das geistige Eigentum für schützenswerte Grundlagen von Innovation und Wirtschaftswachstum in unserer Gesellschaft.

 

Das Urheberrecht wird weiter nach Wünschen der Verwerterindustrie verschärft.

 

Auch ist es unserer Ansicht nach Aufgabe des Staates, etwa im Bereich des Daten-, Kinder-, Jugend- und Verbraucherschutzes, verbindliche Rahmenbedingungen für das Netz zu schaffen.

 

Unter dem Vorwand des Daten-, Kinder- und Jugendschutzes werden wir die Überwachung und Zensur des Internets vorantreiben und in Gesetzesform gießen. Mit ein paar wirkungslosen Verbraucherschutzregeln zünden wir eine Nebelkerze um ein – wenn auch irrelevantes – Gegenbeispiel zu haben, wenn man uns daran erinnert, dass wir eigentlich fast immer für die Lobbyisten und gegen die Verbraucher arbeiten. Falls wir am Datenschutz was ändern, werden wir „klare“ und einfache Rahmenbedingungen schaffen – „einfach“ dadurch, dass wir die Einschränkungen bei der Datennutzung reduzieren.

 

Die CDU hat eine Arbeitsgruppe „Netzpolitik“ eingerichtet, die für den Bundesparteitag 2011 programmatische Positionen erarbeiten wird, mit denen wir diese Entwicklung fördern, den Herausforderungen begegnen und die Bürger über die Chancen und Risiken der digitalen Welt informieren können.

 

Wir haben eine ganze Arbeitsgruppe eingerichtet, um so zu tun, als ob wir Ahnung vom Thema haben. Gleichzeitig werden wir uns intensiv bemühen, die Freiheit im Netz weiter einzuschränken und Propaganda über das große böse Internet zu verbreiten.

Schießsport erlauben, aber Spiele verbieten?

Über Fefe bin ich darauf aufmerksam geworden, dass Wolfgang Bosbach (CDU) nach dem Amoklauf in Lörrach darauf hingewiesen hat, dass man wegen eines solchen Vorfalls nicht gleich das Sportschießen verbieten könne. Da stimme ich ihm übrigens zu. Interessant wird das erst, wenn man sich vor Augen führt, dass er ein Verfechter von Computerspielverboten ist.

Diesen Widerspruch kann ich irgendwie nicht verstehen – denn wegen einzelner solcher Vorfälle etwas verbieten zu wollen, was allerhöchstens sehr indirekt damit zu tun hat, scheint mir recht unlogisch. Eigentlich wollte ich Herrn Bosbach daher über Abgeordnetenwatch fragen, aber darüber will er nicht gefragt werden:

Da ich seit vielen, vielen Jahren völlig problemlos per Brief, per Fax oder per E-Mail erreichbar bin, darf ich Sie sehr herzlich darum bitten, etwaige Fragen an mich auch unmittelbar zu adressieren, ein Umweg über Abgeordnetenwatch.de ist wirklich nicht notwendig. Sodann werde ich Ihnen gern antworten. Selbstverständlich können Sie meine Antwort auch gern veröffentlichen.

Das ist natürlich schade, denn so kann man seine Antworten auf die Fragen anderer Leute nicht lesen, aber natürlich sein gutes Recht.

Daher habe ich folgenden Text eben direkt per Mail an ihn geschickt, und werde die Antwort dann hier veröffentlichen, sobald sie eintrifft (Links waren in der Mail als Fußnoten):

Sehr geehrter Herr Bosbach,
im Rahmen der Diskussion um eine Verschärfung des Waffenrechts, welche durch die Amoktat in Lörrach entfacht wurde, haben Sie laut Zeit gesagt:
„Wegen einer solchen Tat kann man nicht Millionen von Sportlern die Ausübung ihres Sports verbieten.“

In diesem Punkt stimme ich Ihnen völlig zu. Umso mehr überrascht war ich jedoch, als ich darauf hingewiesen wurde, dass Sie sich nach dem Amoklauf in Emsdetten in einem SPIEGEL-Interview vom 23.11.2006 dafür ausgesprochen haben, gewalthaltige Computerspiele zu verbieten.

Hat sich Ihre Meinung diesbezüglich seitdem geändert?

Falls nein, warum halten Sie es für richtig, Millionen von Spielern die Ausübung ihres Freizeitvergnügens zu verbieten, obwohl Sie dies bei Sportschützen (völlig zu Recht) ablehnen?

Computerspiele eignen sich (im Gegensatz zum Sportschießen) keineswegs dazu, den Umgang mit einer Waffe zu erlernen, und sie geben dem Spieler auch keine Möglichkeit, an echte Waffen zu gelangen. Selbst wenn die Spiele – was umstritten ist – bei manchen Personen bereits vorhandene Neigungen zur Gewalt verstärken würden, scheint mir dies eine deutlich geringere Gefahr zu sein als die, die Sie beim Sportschießen bereit sind, in Kauf zu nehmen. Ein Verbot aus rein subjektiven moralischen Gesichtspunkten wäre meiner Meinung nach einer freiheitlichen Gesellschaft unwürdig und schwer nachvollziehbar – bei Sportarten wie Boxen werden ja auch keine Verbote gefordert.

Mit freundlichen Grüßen
Jan Schejbal

P.S.: Ich finde es schade, dass Sie keine Fragen über Abgeordnetenwatch entgegennehmen möchten. Das Portal erlaubt es anderen Besuchern schließlich, auch fremde Fragen und die Antworten darauf an einem Ort einzusehen und leicht zu finden.

Auf die Antwort bin ich jedenfalls gespannt.

Geld zurück für DigiProtect-Abmahnopfer

(oder: so bastelt man eine Sammelklage)

Von DigiProtect Abgemahnte können eventuell ohne großes Risiko einen Teil ihres Geldes zurückbekommen. Hier versuche ich auch für juristische Laien verständlich zu erklären, wie und warum. (Hinweis/Disclaimer: Ich bin kein Anwalt, das ist meine Laien-Zusammenfassung, informiert euch auch noch selbstständig.)

Zunächst einmal das wie:

• Nur für Leute, die 1. von DigiProtect und 2. wegen eines Pornos abgemahnt wurden, 3. Kosten hatten und 4. noch nicht selbst geklagt haben. (Gründe siehe unten)
• Teilnahmeformular ausfüllen und einschicken. Dadurch verzichtet ihr auf das Recht, selbst Geld von DigiProtect zurückzufordern, und gebt dieses Recht an die Firma Metaclaims
• Warten, nichtstun, hoffen. Metaclaims verklagt DigiProtect ohne euer Zutun. Wenn sie gewinnen, kriegt ihr die Hälfte ab, die andere bekommt Metaclaims. Wenn sie verlieren habt ihr das Recht abgegeben, DigiProtect zu verklagen, und bekommt nix (und Metaclaims hat Verlust in Form von Anwaltskosten).

Wenn ihr also eh nicht vorhattet, selbst gegen DigiProtect innerhalb der Verjährungsfristen zu klagen, verliert ihr nur ein Recht, was ihr eh nie genutzt hättet – und bekommt im Idealfall ohne großen Aufwand die Hälfte eures Geldes wieder.

Mehr dazu gibt es bei Gulli:

1. Ursprünglicher Artikel zum Thema
2. Detailfragen werden erklärt
3. Reminder

Wer sich für die Hintergründe (das warum) interessiert, kann hier weiterlesen:

Wenn jemand einem unrechtmäßig einen Schaden zugefügt hat, hat man ein Recht darauf, den Schaden ersetzt, z. B. ausgegebenes Geld zurück zu bekommen. Falls die Abmahnerei von DigiProtect rechtswidrig war (und dafür bestehen in bestimmten Fällen gute Chancen), und man gezahlt hat oder Anwaltskosten für einen eigenen Anwalt hatte, hat man also ein Schadensersatzanspruch -vulgo: „Recht auf Geld zurück“.

In Deutschland gibt es zwar keine Sammelklagen, aber dafür viele findige Anwälte. Und weil wir in einem marktwirtschaftlich orientierten Staat leben, kann man fast alles verkaufen.

Wenn ein Händler zum Beispiel einen Computer im Internet verkauft und auf Rechnung, also ohne Vorkasse, verschickt, hat er gegenüber dem Käufer einen Anspruch, das Geld dafür zu bekommen („Recht auf Geld“). Das kann er gegenüber dem Käufer geltend machen – oder er kann es verkaufen. Das sieht so aus: Der Computer hat 1000 EUR gekostet, der Händler hat also ein Recht auf 1000 EUR. Der Kunde zahlt aber nicht. Der Händler kann ihn jetzt verklagen und wenn die Klage durch ist, bekommt er das Geld (wenn der Kunde bis dahin nicht pleite ist). Der Händler will/kann aber nicht warten. Also sucht er sich einen Geldeintreiber. Der bietet dem Händler an: Ich geb dir jetzt 500 EUR, wenn du mir dafür das Recht auf 1000 EUR gibst. Das sieht für den Händler wie ein schlechter Deal aus, aber er hat keine Lust das Geld einzuklagen und würde es selbst nie schaffen, also lässt er sich drauf ein.

Der Händler hat 500 EUR und ist aus der Sache raus, und der Geldeintreiber verklagt den Kunden und bekommt am Ende hoffentlich die 1000 EUR. Wenn nicht, hat er an diesem Fall Verlust gemacht (seine Kosten + die 500 EUR), aber er hat so viele Fälle, und ist so gut und trainiert im Verklagen, dass ein einzelner Fall ihm wenig Kosten verursacht. Der Händler würde beim Verklagen viel Arbeit haben, weil er das nur selten macht. Weil der Geldeintreiber auch viele Fälle hat, kann er effizient arbeiten, und weil die meisten Fälle gut gehen, lohnt es sich für ihn insgesamt.

Wenn ihr abgemahnt wurdet und die Abmahnung rechtswidrig war, seid ihr jetzt der Händler – ihr habt ein Recht gegenüber DigiProtect auf z. B. 1000 EUR. Metaclaims bietet euch nun an, euch dieses Recht abzukaufen. Allerdings bekommt ihr dafür kein Geld, sondern nur den Anspruch auf einen Teil der „Beute“, wenn MetaClaims vor Gericht Erfolg hat. Dadurch werden die Kosten für MetaClaims kalkulierbar – wenn sie verlieren, zahlen sie „nur“ die Anwaltskosten, wenn sie gewinnen, bekommen sie die Hälfte der „Beute“ (und die Anwaltskosten von den Abmahnern ersetzt). Sie machen das also nur, weil sie denken, dass sie gewinnen, und in dem Fall lohnt es sich für sie. Gleichzeitig ist der Fall natürlich Werbung für sie.

Damit die potentielle „Beute“ groß genug ist, müssen genug Leute mitmachen. Wegen 500 EUR zieht die Firma nicht vor Gericht, das lohnt nicht. Sobald genug Leute mitmachen, d.h. ihr „Recht auf Geld zurück“ an Metaclaims übertragen haben, hat MetaClaims z. B. das Recht, 10000 EUR von DigiProtect zu fordern – und versucht sich das Geld zu holen. Da sie offensichtlich von einem Erfolg ausgehen, würden sie in dem Fall 5000 EUR (+ die Werbung, was hier der Haupteffekt sein könnte) Gewinn machen – und ihr hättet wenigestens einen Teil des Geldes. Weil MetaClaims auch was riskiert (Anwaltskosten, falls es schiefgeht), wollen sie natürlich nur einfache Fälle. Vermutlich würden sie auch riskantere Fälle nehmen – aber da würdet ihr dann z. B. nur 10% bekommen, damit es sich für die lohnt, oder ihr müsstet einen Teil des Risikos tragen.

Metaclaims hält nun die Pornofälle von DigiProtect für am Einfachsten. So eine Klage macht natürlich nur Sinn (für Metaclaims) wenn sie möglichst wenig Aufwand macht, deswegen nehmen sie nur diese eine Art von Fall.

Einfach im Sinn von „leicht zu gewinnen“ sollen diese Fälle wohl deswegen sein, weil DigiProtect nur abmahnen darf, wenn sie bestimmte Rechte haben. Und das scheint für die Pornofälle zweifelhaft zu sein.

Geheimes Urheberrechtsabkommen ACTA – eine Übersicht

Auf internationaler Ebene verhandeln Regierungen derzeit an einem neuen, internationalen Urheberrechsabkommen namens ACTA. Die Verhandlungen werden nicht nur vor der Öffentlichkeit, sondern auch vor den Parlamenten geheimgehalten – diese haben nicht mitzureden. Lobbyisten von Urheberrechtsverbänden hingegen haben sehr wohl Zugang und werden auch angehört. Angebliche Offenlegungen im Namen der Transparenz und stellen sich als unvollständig, fehlerhaft oder völlig gefälscht heraus. Regelmäßige Leaks von Teilen des Abkommens zeigen, dass die Geheimhaltung einen guten Grund hat – es sollen wieder einmal die Interessen normaler Nutzer übergangen und die Interessen der Contentmafia durchgesetzt werden. Vorgeblich soll es nur um die Bekämfung kommerzieller Verletzungen von Schutzrechten wie z. B. Produktfälschungen gehen – in Wirklichkeit betreffen die Regelungen jeden.

Die Pläne übertreffen die bisherigen Gesetze bei Weitem, und auch die EU sorgt eher dafür, dass die Regelungen verschärft als gelockert werden. Der meines Wissens nach aktuellste Leak ist die EU-Version vom 1. Juli. Ich fasse hier mal ein paar Punkte zusammen, die deutlich machen, wie der Hase läuft. Das ist nur das, was ich dem Leak entnehmen konnte. Sicherlich habe ich einige gut in Juristensprache versteckte Punkte übersehen. Zudem ist zu befürchten, dass der Leak unvollständig sein könnte!

• Richter sollen für Schutzrechtsverletzungen Entschädigungszahlungen nach jedem legitimen vom Rechteinhaber vorgeschlagenen Maßstab wie z. B. dem Verkaufspreis festzusetzen.
• Geräte, bei denen der Verdacht besteht, dass sie für Schutzrechtsverletzungen verwendet werden, sollen auch in Zivilverfahren entschädigungslos beschlagnahmt werden dürfen. Das bezieht sich ausdrücklich auch auf Urheberrechtsverletzungen, nicht nur auf Produktfälschungen.
• „Grenzmaßnahmen“ wieder ausdrücklich auch gegen Urheberrechtsverletzungen (gemeint ist z. B. das Durchsuchen von Datenträgern) sind vorgesehen, die Mitgliedsstaaten des Abkommens können jedoch Ausnahmen für private Güter einführen – müssen es aber nicht! Würden die Verhandlungsteilnehmer ihre Versprechungen, dass das Abkommen eben nicht die Durchsuchung und Beschlagnahme privater MP3-Player umfassen soll, ernst meinen, hätten sie es reingeschrieben.
• Ebenso können die Teilnehmerländer davon absehen, die strafrechtlichen Vorgaben des Abkommens auf Verletzungen durch Endkunden anzuwenden. Die beinhalten unter anderen, dass für das Abfilmen von Kinofilmen (auch nur für den Privatgebrauch gedachtes) ein eigener Straftatbestand eingeführt werden soll und bei Schutzrechtsverletzungen eine Beschlagnahme der verwendeten Ausrüstung vorgesehen ist.

Der interessanteste Teil ist jedoch der, der sich auf das Internet bezieht. (Die Behauptung, es ginge nur um kommerzielle Produktfälschungen und den Handel mit Raubkopien, wird schon durch die Existenz des Abschnitts, spätestens aber durch den Inhalt, widerlegt.)

• Nicht näher spezifizierte beschleunigte Abhilfen zur Verhinderung von Schutzrechtsverletzungen und Mittel die eine Abschreckung gegenüber zukünftigen Verletzungen bieten werden gefordert. Three Strikes wird zwar nicht ausdrücklich genannt, es dürfte aber darauf hinauslaufen.
  Eine Regelung, nach der diese Maßnahmen gerecht und angemessen sein müssen, wird nur von drei Delegationen gefordert!
• Die DMCA-Takedown-Notices, nach denen ein Internetanbieter auf Benachrichtigung durch einen (angeblichen) Rechteinhaber verpflichtet ist, Inhalte zu entfernen, sollen international verpflichtend werden (bzw. die Haftungsbefreiung für fremde Inhalte soll an die Umsetzung eines solchen Verfahrens gekoppelt werden). Immerhin darf die Haftungsbefreiung für die Provider nicht an eine Pflicht zur Vorabkontrolle durch den Provider gekoppelt werden.
• Diensteanbieter und Rechteinhaber sollen zur Kooperation angehalten werden, um Rechteverletzungen zu vermeiden. Das ist schwammig formuliert, könnte aber dazu führen, dass von Rechteinhabern vorgegebene Richtlinien für Anbieter quasi-verbindlich werden könnten.
• Das Umgehen von Kopierschutzmaßnahmen und Tools dafür sollen international verboten werden. Eine Vorgabe, dass Kopierschutzmaßnahmen die rechtmäßige Nutzung nicht behindern dürfen, fehlt natürlich.

Fazit

Wäre das Abkommen tatsächlich nur gegen kommerzielle Produktpiraterie gerichtet, hätte man es reingeschrieben. Auch wenn einige sinnvolle Dinge drin sind, würden viele der Punkte eine weitere, maßlose Verschärfung des Urheberrechts bewirken. Neue sowie bereits im deutschen Urheberrecht vorhandene katastrophale Regelungen würden durch ein internationales Abkommen zementiert, die dringend nötige Reform zur Lockerung und Anpassung des Urheberrechts an das 21. Jahrhundert würde massiv erschwert.

Zudem kann man sich nie sicher sein, ob der Leak korrekt und vor allem vollständig ist, oder ob in Wirklichkeit noch weitere Maßnahmen hinter verschlossenen Türen behandelt werden.

Die inhaltlichen Probleme sind nur eine Seite des Problems. Ein viel schwerwiegenderes Problem ist die Art und Weise, wie dieses Urheberrechtsabkommen zustande kommt – nämlich unter Ausschluss demokratischer Gremien, dafür mit Beteiligung von Lobbyisten. Es ist zu befürchten, dass so zahlreiche juristische Feinheiten darin versteckt wurden, die erst später ihre schädliche Wirkung auf die Rechte der Nutzer entfalten. Meiner Meinung nach muss daher der gesamte Entwurf verworfen werden und sofern ein solches Abkommen weiterhin gewünscht ist, muss es von Grund auf mit Personen die an den ACTA-Verhandlungen nicht beteiligt waren transparent und öffentlich neu erstellt werden. Dabei muss berücksichtigt werden, dass beim Urheberrecht nicht nur die Interessen der Rechteinhaber berücksichtigt werden dürfen – auch die Allgemeinheit hat Interessen, nämlich die möglichst freie Nutzung von Werken. Leider hat sie keine so laute und penetrante Lobby. Dennoch muss hier eine gerechte Abwägung getroffen werden, was bisher nie gelungen ist – und dem Entwuf nach mit ACTA sicher nicht gelingen wird. Vielleicht wäre es bei einer Neuverhandlung sinnvoll, zur Abwechslung mal die Lobbyisten an die frische Luft zu setzen.

Die Piratenpartei hat heute deswegen einen offenen Brief an die EU-Kommision und die Bundesregierung geschickt. Darin werden diese aufgefordert, die ACTA-Verhandlungen endlich offenzulegen, die Geheimhaltung zu begründen, auch die Interessen der Bürger zu berücksichtigen und den weiteren Prozess transparent zu gestalten. Ich erwarte nicht wirklich eine Antwort, aber es wäre schön, wenn auch du den Hinweis auf diesen offenen Brief weiterverbreiten würdest, damit der Druck erhöht wird!

Es bleibt zu hoffen, dass genug Abgeordnete aufgrund dieser intransparenten Verhandlungen ACTA aus Prinzip ablehnen. Nachdem das SWIFT-Abkommen im zweiten Durchlauf mit einer deutlichen Mehrheit abgesegnet wurde, ohne dass die wichtigsten Kritikpunkte behoben wurden, habe ich aber leider wenig Vertrauen in das Europäische Parlament. Die Hoffnung stirbt bekanntlich zuletzt. Eine Petition gegen ACTA gibt es unter stopp-acta.info.

Details zum Löschwahnsinn bei den Öffentlich-Rechtlichen

Die öffentlich-rechtlichen Rundfunkanstalten werden vom 12. Rundfunkänderungsstaatsvertrag dazu gezwungen, ältere Inhalte von ihren Webseiten zu löschen. Da ich dazu ein paar Fragen hatte, habe ich einfach mal bei der ARD angerufen und möchte hier ein paar Details erläutern, die vielleicht nicht jeder kennt.

Zunächst aber für die, die noch nicht wissen, worum es geht, eine kurze Einführung ins Thema: Lobbyisten der Presse (und teilweise der Privatsender) befürchten, dass ihnen die Angebote der Öffentlich-Rechtlichen, insbesondere im Internet, Konkurrenz machen. Bedenkt man die Qualität der „Qualitätspresse“, könnten sie damit sogar recht haben. Der Kritikpunkt ist hierbei, dass diese Konkurrenz von den GEZ-Gebührenzahlern durch die Zwangsabgaben eine gesicherte Finanzierung habe und somit den Wettbewerb verzerren würde, da die privaten Konkurrenten ihr Geld selbst reinholen müssen. Das wurde im bei der Reform des Rundfunkstaatsvertrags berücksichtigt: Die öffentlich-rechtlichen Sender dürfen Inhalte nun nur noch für eine kurze Zeit online anbieten, und auch die Dinge, welche angeboten werden dürfen, wurden eingeschränkt.

Das betrifft jedoch nicht nur Dinge wie Texte oder Angebote, die speziell für das Internet erstellt werden müssten und somit Mehrkosten verursachen würden, sondern alle Inhalte – die der Gebührenzahler bezahlt hat. Während es sinnvoll erscheint zu verhindern, dass öffentlich-rechtliche Rundfunksender Flirtbörsen betreiben, werden gleichzeitig unter diesem häufig betonten Vorwand bereits erstellte Inhalte ohne wirklichen Grund unzugänglich gemacht. Das mag zwar die Interessen des Wettbewerbs bzw. der Lobbyisten schützen, was die Politik aber mal wieder vergessen hat, ist, dass es noch eine andere Interessengruppe gibt: Die Gebührenzahler. Diese haben den Inhalt bezahlt, und diesen wird genau der bezahlte Inhalt vorenthalten. Obwohl das Interesse der Öffentlichkeit eigentlich wichtiger sein sollte, wurde diese Seite der Medaille lieber nicht beachtet, denn da stecken keine Lobbyisten dahinter.

Die Folge ist nun, dass Inhalte je nach Art nur für einen bestimmten Zeitraum auf den Webseiten der öffentlich-rechtlichen Sender verfügbar sein dürfen. Dass es wohl kaum im Interesse der Gesellschaft liegen kann, Wissen und Inhalte zu verstecken und dadurch auch z. B. Blogbeiträgen die Quellenlinks zu entziehen, muss wohl kaum erwähnt werden. Eine Übersicht darüber gibt dieser tagesschau.de-Artikel. Ach, ich vergaß ja: Also zumindest für einige Zeit. Deswegen hier mal ein etwas längeres Zitat:

Alle tagessschau.de-Inhalte haben spätestens mit dem 1. September 2010 eine „Verweildauer“. Das heißt, sie dürfen nur noch für eine bestimmte Frist im Netz bleiben. Bei vielen Inhalten beträgt diese Verweildauer ein Jahr, zum Beispiel bei den meisten Meldungen und dafür ausgewählten einzelnen Tagesschau-Beiträgen. Viele Tagesschau-Sendungen und das Nachtmagazin bleiben als komplette Sendung dagegen nur sieben Tage on demand abrufbar. Eine Ausnahme bilden die Tagesschau-Sendungen um 20.00 Uhr und die Tagesthemen. Sie gelten als fortlaufende zeitgeschichtliche Archive und dürfen unbegrenzt angeboten werden. Gleiches gilt für Inhalte von zeitgeschichtlicher und kulturgeschichtlicher Bedeutung. Sie dürfen unbefristet in einem eigens auszuweisenden Archiv online bleiben. Eine weitere spezielle Regel gilt für Inhalte, die sich mit Wahlen befassen. Sie dürfen für die Dauer der Legislaturperiode angeboten werden.

Die Einzelheiten sind im so genannten Verweildauerkonzept geregelt – einem Teil des Telemedienkonzeptes.

Nun zu den Details, die ich erfragen konnte:
Beruhigend ist zunächst, dass die Inhalte zumindest bei Tagesschau.de, höchstwahrscheinlich aber auch bei der gesamten ARD und beim ZDF, nur „depubliziert“, also vom öffentlichen Auftritt gelöscht werden. Das bezieht sich auf sämtliche Inhalte, sowohl Texte als auch Videos. Die Rundfunkanstalten behalten Kopien im stillen Kämmerlein, sodass wenigstens kein irreparabler Schaden entsteht. Wenn wir es also in zehn, zwanzig Jahren schaffen, die Regelung wieder zu ändern, können die Inhalte hoffentlich wiederhergestellt werden.

Das ändert jedoch nichts daran, dass diese Inhalte für die Öffentlichkeit nicht mehr verfügbar sind. Wer sich daher über diese Regelung beschweren will, sollte das bei denen tun, die das verursacht haben. Die richtige Adresse hierfür wären die Staatskanzleien – auch wenn zu bezweifeln ist, dass die Politiker etwas an diesem Punkt ändern, werden sie sich weitere sinnlose Änderungen vielleicht etwas mehr überlegen.

Ein weiterer interessanter Punkt ist, dass die Löschverpflichtungen kein Geld sparen. Während das Verbot, „Offtopic“-Angebote zu betreiben, tatsächlich Geld sparen könnte, zwingen die Löschverpflichtungen nur, bereits bestehende Inhalte zu entfernen. Dadurch entstehen zusätzliche Kosten um die Inhalte zu sortieren und zu entfernen. Auf Nachfrage habe ich erfahren, dass durch die Regelungen nicht einmal bei Sportinhalten etc. Geld gespart wird, z. B. weil Lizenzen dadurch günstiger würden. Kurzum, es handelt sich um eine völlig sinnlose Zerstörung von durch den Gebührenzahler bereits geschaffenen Möglichkeiten des Zugriffs, die – auch offziell! – nur dazu dient, den privaten Anbietern unliebsame (und angeblich ungerechte) Konkurrenz vom Leib zu halten.

Ein Beispiel, warum das ein Problem darstellt, sieht man wunderbar im oben zitierten Absatz: „Eine weitere spezielle Regel gilt für Inhalte, die sich mit Wahlen befassen. Sie dürfen für die Dauer der Legislaturperiode angeboten werden.“ (was eine „großzügige“ Verlängerung der üblichen Frist darstellt. Für normale Tagespolitik dürfte das also nicht gelten!)
Das bedeutet, dass nach einer Legislaturperiode die Berichte und Sendungen mit den Wahlllügen der Parteien deutlich schwerer aufzutreiben sein werden. Wenn also bei der nächsten Bundestagswahl schwarz-gelb abgewählt wird, wird es spätestens bei der übernächsten Bundestagswahl schwierig die heute aktuellen Berichte zu finden (und zu verlinken), die erklären, warum man die nicht wieder zurückwill. Für die meisten Dinge dürfte das jedoch schon bei der kommenden Bundestagswahl zutreffen!

Natürlich sind die öffentlich-rechtlichen Sender von diesen Regelungen alles andere als begeistert, zumal sie die Kosten für diese sinnlose Kulturgutvernichtung aus ihrem Budget abzweigen müssen. Wenn jetzt jemand aber vorhat, die Inhalte von den Webseiten herunterzuladen und anzubieten, möge er folgende Dinge beachten:

1. Die technische Seite: Wenn genug Leute auf die gleiche Idee kommen, wird das eine unvorstellbar hohe Serverlast erzeugen. Sei ein Video einer Sendung 100 MB groß, erscheine die Sendung täglich, und möchte jemand 5 Jahre sichern, dann entsteht pro Person, die dies tut, eine Datenmenge von rund 180 GB. Diese Werte passen ziemlich genau z. B. für die Tagesthemen (die bleiben übrigens online). Machen das jetzt 100 Leute für 10 solcher Sendungen, reden wir von 180 TB, was einen vierstelligen Betrag an Kosten verursachen dürfte! Zusätzlich verursacht das „Abgrasen“ einer kompletten Website eine hohe Serverlast. Als Heise die Löschung des Heiseforums angekündigt hat, haben ein paar Leute versucht, das Forum zu sichern. Dadurch war es dann erstmal einige Zeit lang nicht erreichbar. Falls jemand also trotz der perversen Datenmengen, die auch gespeichert werden wollen, des Aufwand, der rechtlichen Probleme (siehe unten), der Tatsache, dass die Beiträge noch im Archiv aufgehoben werden sollen etc. das versuchen will, findet andere die das tun wollen sprecht euch ab! Wenn es viele alleine versuchen, scheitern alle und richten dabei einen massiven Schaden an.

2. Die rechtliche Seite: Die Beiträge sind urheberrechtlich geschützt. Obwohl sie mit Geldern der Allgemeinheit finanziert wurden, dürften sie (bis auf eventuell einzelne Ausnahmen) nicht „gemeinfrei“ (Public Domain) oder sonstwie für die allgemeine Nutzung freigegeben sein. Wie das Herunterladen für eine private Sammlung rechtlich aussieht weiß ich nicht, eine Veröffentlichung wäre jedoch ziemlich sicher eine grobe Urheberrechtsverletzung. Für manche Inhalte liegen Rechte bzw. Teile davon bei anderen Rechteinhabern, die darüber sicherlich nicht begeistert wären! (Oder schon, weil sich mit den Abmahngebühren gut verdienen lässt.)

Bei den Inhalten, deren Rechte vollständig bei den Öffentlich-Rechtlichen selbst liegen, könnte man natürlich denken, dass diese gerne ein Auge zudrücken würden – schließlich würden sie die Inhalte eigentlich gerne weiter anbieten, dürfen es nur nicht. Selbst wenn dies der Fall wäre und sie ihr Recht nicht aus Prinzip durchsetzen würden, könnte es immer noch sein, dass sie durch wen auch immer gezwungen würden, auch gegen den eigentlichen Willen der Verantwortlichen rechtlich dagegen vorzugehen. Wer also auf die Idee kommt, so ein Archiv öffentlich anzubieten, riskiert (neben den großen Trafficmengen) Ärger – den man aber selbstverständlich auch nutzen könnte, um für mehr Öffentlichkeit für diese lächerliche, lobbyfreundliche Regelung zu sorgen.

Zu Urheberrechten und öffentlich-rechtlichen Sendern möchte ich noch darauf hinweisen, dass ich im Rahmen eines Blogbeitrags mal ein (etwas polemisches) Video erstallt habe, welches (kurze) Ausschnitte aus einer Phoenix-Talkshow enthielt. Einige Zeit nach der Veröffentlichung sah man beim ZDF das alleinstehende Video nicht ausreichend vom Zitatrecht gedeckt, und seitdem sieht es so aus und meinem YouTube-Account fehlen ein paar Features. Wenigstens gabs keine Klage oder Abmahnung und ich durfte es im Blogbeitrag drinlassen (Zitatrecht).

3. Für einige Inhalte dürfte es schon zu spät sein, soweit ich weiß begann das große aus-dem-Netz-nehmen schon vor einiger Zeit.

Zum Abschluss bleibt nur noch die Frage: Was nun?
Neben der Tatsache, dass diese unsinnige Regelung umgehend abgeschafft gehört, sollten meiner Meinung nach selbstproduzierte Inhalte der öffentlich-rechtlichen Sender unter eine freie Lizenz gestellt werden. Dadurch könnte der Gebührenzahler seine bezahlten Inhalte nicht nur besser nutzen, sondern solche Zensurideen wären von vorne herein zum Scheitern verurteilt. Außerdem sieht man hier ein hervorragendes Beispiel, warum das Urheberrecht auch eine Gefahr darstellt, und wie in unserer Gesellschaft aus wirtschaftlichen Interessen sinnlos Dinge vernichtet werden – zwei weitere Bereiche, in denen dringend etwas getan werden muss. Viel zu tun für die PIRATEN…

Falls die Öffentlich-Rechtlichen der Regelung ein Schnippchen schlagen möchten, könnten sie prüfen, ob es möglich ist, die Inhalte kurz vor der Deadline doch noch unter eine freie Lizenz zu stellen und sie gesammelt z. B. als riesige .torrent-Datei zur Verfügung zu stellen oder engagierten Aktivisten zu überspielen (irgendjemand spendet sicher genug Festplatten). Das Netz kümmert sich dann um den Rest. Das wird wohl leider nicht passieren, siehe z. B. die Antwort, die Alios bekommen hat. Falls doch: Ich wäre immer noch mit 1 TB und technischer Unterstützung im Rahmen meiner Möglichkeiten dabei.

Landtagswahl NRW – wie wählen?

Aus aktuellem Anlass: Dieser Artikel ist von 2010. Die Wahlempfehlung für die Piraten gilt natürlich weiterhin, aber der Rest des Artikels könnte deutlich veraltet sein.

In Nordrhein-Westfahlen findet kommenden Sonntag die Landtagswahl statt, und wie in der Vergangenheit möchte ich auch hier meine Einschätzung über die Wahlmöglichkeiten geben und die Frage „wie wählen“ beantworten.

Vorab möchte ich darauf hinweisen, dass ich Mitglied der Piratenpartei bin, weil diese mit meiner eigenen Position am Besten übereinstimmt – somit ist auch hoffentlich nicht verwunderlich, wenn ich zur Wahl der PIRATEN aufrufe. Dennoch versuche ich, über die anderen Parteien Aussagen zu treffen. Was Fakten sind und was Meinung ist, sollte deutlich werden, und ich bemühe mich, die Fakten grundsätzlich richtig darzustellen.

Bei der Landtagswahl NRW spielt die Erststimme kaum eine Rolle, da es Ausgleichsmandate gibt. Zur Erinnerung: In jedem Wahlkreis gewinnt der Kandidat mit den meisten Erststimmen („Direktmandat“), meist haben also nur zwei Kandidaten (meist die von CDU und SPD) überhaupt eine Chance. Hier kann man das geringere Übel wählen, und zwar falls möglich bezogen auf die Person, nicht die Partei: Die Zweitstimmen bestimmen, wie viele Sitze der Partei zustehen. Die Zweitstimme ist also deutlich wichtiger als die Erststimme. Sollte eine Partei mehr Direktmandate haben als ihr Sitze zustehen, hat sie Überhangmandate, und die anderen Parteien bekommen Sitze dazu, bis die Verteilung wieder passt (Ausgleichsmandate).

Warum die Landtagswahl NRW so wichtig ist

In Deutschland gibt es neben dem Bundestag den Bundesrat, der sich aus Vertretern der Länderregierungen zusammensetzt, und der Gesetze blockieren kann. Derzeit haben die Länder mit schwarz-gelben Regierungen die Mehrheit im Bundesrat, somit können CDU und FDP die meisten Gesetze durchdrücken, wenn sie sich einig sind. Wenn nun durch die Landtagswahl in NRW eine andere Regierung als schwarz-gelb zustandekommt, fällt diese Möglichkeit weg. Die Opposition könnte dann, wenn sie sich im Bundesrat einig ist, viele Gesetze von schwarz-gelb verhindern, und so die Regierungskoalition im Bund zu Kompromissen (sprich: zur Vernunft) zwingen – siehe die Liste unten, was durch eine Abwahl von schwarz-gelb verhindert werden könnte.

Parteien

Neben den zwei „großen“ Parteien CDU und SPD können sich auch die GRÜNEN und die FDP aktuellen Umfragen zufolge sehr sicher sein, dass sie in den Landtag einziehen werden. Bei der LINKEN ist dies wahrscheinlich, aber nicht sicher.

Die PIRATEN stehen laut ZDF-Politbarometer bei 3% und sind somit die Größte der „Sonstigen“ Parteien. Die Genauigkeit solcher Umfragen lässt allerdings bei kleinen und neuen Parteien stark zu wünschen übrig, zumal die Umfragen telefonisch stattfinden und bei den PIRATEN nun einmal viele Datenschützer vertreten sind, die bei unerwünschten Anrufen eher keine Fragen beantworten. (Die Fehlerquote wird mit gut 2 Prozentpunkten angegeben.) Ein Überschreiten der 5%-Hürde ist somit nicht ausgeschlossen, aber meiner Meinung nach nicht wahrscheinlich. Unabhängig davon würde ein gutes Ergebnis für die Piraten (und 3% wären gut!) eine deutliche Warnung an die anderen Parteien sein, Bürgerrechte erst zu nehmen. Die Tendenz der FDP, dieses früher stark vernachlässigte Thema wieder ernster zu nehmen (oder zumindest so zu tun), führe ich stark auf die Existenz und Ergebnisse der PIRATEN zurück.

(Übrigens, wer der Meinung ist, die Piratenpartei wäre eine Ein-Themen-Partei: Gerade die PIRATEN NRW haben ein sehr umfangreiches Wahlprogramm!)

Die diversen rechten und rechtsradikalen Parteien (wenn man CDU und FDP nicht dazu zählt) haben keine nenenswerten Chancen, da mit NPD, Republikanern und pro NRW insgesamt drei rechte Parteien antreten und sich die Stimmen der Rechten somit auf diese Parteien verteilen. Diese Parteien werden Glück haben, wenn sie 1% erreichen – ab dieser Grenze gibt es nämlich Geld über die staatliche Parteienfinanzierung. Wer verhindern will, dass rechtsradikale Steuermittel bekommen, tut also gut daran, wählen zu gehen!

Koalitionsmöglichkeiten

Die FDP NRW hat per Parteitagsbeschluss entschieden, nach der Landtagswahl nicht mit SPD oder GRÜNEN zu koalieren. Wenn sie sich daran hält (und Parteitagsbeschlüsse sind eigentlich schon recht bindend), bedeutet das, dass die FDP nur in einer schwarz-gelben Koalition an die Macht kommen kann.

Die weiteren Koalitionsmöglichkeiten hängen davon ab, wie viele Parteien es in den NRW-Landtag schaffen. Schafft es die Linke nicht über die 5%-Hürde, fällt die Entscheidung zwischen schwarz-gelb und rot-grün. Eine große Koalition oder Schwarz-Grün wären zwar möglich, aber unwahrscheinlich. Die Umfragen können nicht vorhersagen, wer in einem solchen Szenario vorne liegen würde.

Schafft es die LINKE bei der Landtagswahl über die 5%, gibt es folgende Koalitionsmöglichkeiten, geordnet nach Wahrscheinlichkeit:

• Große Koalition (CDU/SPD): realistische, immer mögliche Option
• Schwarz-Grün (CDU/GRÜNE): würde vermutlich reichen, realistisch
• Rot-Rot-Grün (SPD/GRÜNE/LINKE): unwahrscheinlich, die Parteien haben das zu oft, wenn auch nicht allzu kategorisch, ausgeschlossen und sind sich zu uneinig. Nach dem Ypsilanti-Debakel in Hessen werden SPD und GRÜNE vermutlich lieber mit der CDU paktieren, völlig ausgeschlossen ist ein Rot-Rot-Grünes Bündnis meiner Meinung nach aber nicht.
• Rot-Grün (SPD/GRÜNE): Wunschkoalition, reicht aber wahrscheinlich nicht
• Schwarz-Gelb (CDU/FDP): Wunschkoalition, reicht recht sicher nicht

Die vom FDP-Landesparteitag NRW kategorisch ausgeschlossenen Koalitionen halte ich für unwahrscheinlich, weil die FDP damit ihren letzten Glaubwürdigkeitsrest auch bei den überzeugten Wählern und Mitgliedern verspielen würde.

Eine Stimme für die Linke bei der Landtagswahl NRW düfte also dazu beitragen, dass Schwarz-Gelb verhindert wird, allerdings eine Große oder Schwarz-Grüne Koalition wahrscheinlicher machen.

Weitere, unwahrscheinlichere Fälle (PIRATEN im Landtag, FDP unter 5%) betrachte ich hier nicht, da der Aufwand groß und die Wahrscheinlichkeit klein sind.

Wichtige Punkte in der Bundespolitik

Ich hatte bereits die Wichtigkeit der Landtagswahl NRW für die Politik auf Bundesebene dargelegt. Was sind aber konkrete Punkte, die von einer Bundesratsmehrheit von Schwarz-Gelb abhängen? Einige davon hängen direkt davon ab, weil der Bundesrat sie blockieren kann, andere indirekt, weil die (Bundes-)Opposition mit einer Blockade anderer Gesetze drohen kann, falls Schwarz-Gelb unliebsame Gesetze durchdrückt.

UPDATE: Spiegel Online berichtet jetzt auch über die Bedeutung der NRW-Wahl und erinnert mich daran, dass ich ein Thema ganz vergessen hatte:

Steuersenkungen: Die nach der Steuerschätzung eigentlich als unrealistisch enttarnten Versprechungen von Steuersenkungen könnten von schwarz-gelb dennoch weiterverfolgt werden. Nach den bisherigen Plänen würden diese vor allem Besserverdienern zu Gute kommen und die Staatsverschuldung noch weiter in die Höhe treiben.

Atomausstieg: Die schwarz-gelbe Regierung möchte Atomkraftwerke 60 Jahre lang weiter betreiben, obwohl der Atommüll derzeit nicht sicher gelagert werden kann und die AKW-Betreiber Profitgier über Sicherheit stellen, und in der Vergangenheit Schwarz-Gelb schon Fakten unterschlagen hat, um die Atomkraft zu fördern.

Kopfpauschale: Um die unsoziale Kopfpauschalenpläne der FDP ist es vor der Wahl erstmal still geworden, begraben sind sie allerdings noch nicht. Es ist zu befürchten, dass nach der Wahl, wenn man die Wut der betroffenen Bürger nicht so sehr fürchten muss, diese Pläne wieder aus der Schublade kommen.

Vorratsdatenspeicherung: Nachdem die verfassungswidrige Vorratsdatenspeicherung trotz des Versprechens der FDP, sie abzuschaffen, vom Bundesverfassungsgericht gekippt werden musste, drängt die CDU darauf, sie wieder einzuführen. Vor der NRW-Landtagswahl wird das Thema lieber kleingehalten, wohl weil die PIRATEN sonst gute Chancen auf die 5%-Hürde hätten.

PKW-Maut: Dieses in Deutschland sehr unbeliebte Thema wurde immer wieder diskutiert, auch wenn man es vor der entscheidenden Landtagswahl in NRW lieber nicht allzu öffentlich machen will. Es könnte gut sein, dass es nach der Landtagswahl NRW wieder auf dem Tisch landet.

Positionen/Verhalten

Dieser Abschnitt ist alles andere als neutral. Sorry, geht nicht anders. Natürlich trifft es vor allem die die an der Regierung beteiligten Parteien, der Rest hatte ja kaum so eine schöne Gelegenheit, negativ aufzufallen.

Die FDP hat zunächst ein Steuermodell mit einem Höchststeuersatz von 35% gefordert. Davon hätten natürlich hauptsächlich Großverdiener profitiert. Dieses Modell wurde als realistisch und umsetzbar präsentiert, obwohl es schon in der geschönten Darstellung der FDP kaum gelang, die Behauptung so aufzustellen, dass man sie hätte ernst nehmen können. Dann wurde ein neues Modell präsentiert, welches plötzlich fünf Stufen und den bisher gültigen Höchststeuersatz beinhaltete. Das ist zwar immerhin eine Wende zur Vernunft, zeigt aber deutlich, dass der FDP nicht zu trauen ist. Wenn sie schon derart ihren Kernpunkt über Bord wirft, wie sieht es dann mit anderen Punkten aus? Dazu kommt die üble Hetze gegen Arbeitslose, mit der Westerwelle am rechten Rand fischen ging. Von den vollmundigen Versprechungen im Bereich der Bürgerrechte, z. B. die Online-Durchsuchung abzuschaffen, ist wenig übrig geblieben. Das Zugangserschwerungsgesetz ist ebenfalls weiterhin in Kraft!

Fazit: Wer der FDP vor der Bundestagswahl im Bezug auf Bürgerrechte vertraut hat, ist eben reingefallen. Absehbar, aber naja. Wer aber nochmal in die Falle tappt und sich wieder verarschen lässt, ist nicht mehr zu retten. Ohne den Druck durch die Landtagswahl in NRW und die aufstrebenden PIRATEN wäre das sicher noch schlimmer ausgefallen, und ich denke, nach der Landtagswahl wird die FDP wie bisher die Grundrechte vergessen.

Auch in anderen Bereichen hat die FDP ihre Glaubwürdigkeit verspielt. Nicht vergessen sollte man unter anderem das Steuergeschenk für Hotels und weitere Punkte, die zu zahlreich sind, um sie hier aufzuführen – ich verweise da nur auf die Suche nach „FDP“ in meinem Microblog.

Bei der CDU kann man zunächst einmal die gleiche Suche machen, auf die bereits bei der FDP genannten, mit ihr gemeinsam verbockten Punkte hinweisen, und was Bürgerrechte angeht, muss ich garnicht erst anfangen – die CDU ist für Netzsperren, Vorratsdatenspeicherung und eine Reihe weiterer bürgerrechtsfeindlicher Vorhaben. Das Sahnehäubchen ist nur noch der für die CDU scheinbar obligatorische neue Parteispendenskandal.

Vor diesen Gesichtspunkten verstehe ich nicht, wie irgendwer noch CDU oder FDP wählen kann.

Was Bürgerrechte angeht, ist die SPD aber auch nicht unbedingt immer besser: In RLP hat die SPD-Regierung mal eben Online-Durchsuchungen und ähnliche Maßnahmen abgenickt.

Daher: Wem etwas an Bürgerrechten und Datenschutz liegt, möge bei der Landtagswahl in NRW die Piraten wählen und zumindest ein klares Zeichen als Warnung an die anderen Parteien setzen, selbst wenn es nicht für die 5% reicht. Von den 5 etablierten Parteien halte ich nur die Grünen und Linken für (bedingt) wählbar. Die SPD hat es zwar noch nicht so tief in die Nichtwählbarkeit geschafft wie die CDU und FDP, ist aber auf dem besten Weg dorthin.

Weitere Hinweise, z. B. weitere Vorhaben, die vor der Landtagswahl lieber nicht erwähnt werden und nach der Wahl zu erwarten sind, nehme ich gerne über die Kommentarfunktion unten entgegen.

In eigener Sache: VG Wort, Cookies und Zählpixel

In Deutschland zahlt man auf ziemlich viele Sachen Abgaben an die VG Wort: Drucker, Scanner, Kopierer, Kopien im Copyshop, aus Bibliotheken geliehene Bücher und vieles mehr. Diese Abgaben werden über die VG Wort dann an Autoren ausgeschüttet. Ein ähnliches Prinzip existiert mit der GEMA für Musiker, nur dass die „Fairness“ der GEMA nicht gerade gelobt wird. Auch die VG Wort tritt gerne mit massiv übertriebenen Forderungen, gerade bei Multifunktionsgeräten, auf, schüttet aber im Gegensatz zur GEMA den Großteil der Einnahmen tatsächlich an die Autoren aus, und auch kleine Autoren werden berücksichtigt. Und genau da kommt die VG Wort hier ins Spiel:

Auch Internettexte wie Blogeinträge begründen einen Vergütungsanspruch, wenn sie oft genug aufgerufen werden. Das wird über sogenannte Zählpixel ermittelt. In den Blogbeitrag wird also ein unsichtbares Bild eingebaut, welches vom Server der VG Wort geladen wird, wodurch der Aufruf gezählt wird. (Siehe auch der Ankündigungsartikel – da habe ich offengelegt, dass ich diese Pixel einführe, und wie man sie sperren kann, wenn man sowas nicht will.)

Das habe ich auch hier in Betrieb, da ich mir Geld, was mir offiziell zusteht, dann doch ungern entgehen lasse. Ich fände es sogar richtig gut, wenn alle Blogger mit ausreichenden Besucherzahlen mitmachen würden – denn ihnen steht das Geld zu! Das würde natürlich vermutlich zeigen, dass es heutzutage so viele Autoren gibt, dass diese Art der Vergütung absurd ist und dringend einer Überholung bedarf.

Die VG Wort hat recht klare und strenge Datenschutzrichtlinien und wird nach eigenen Angaben regelmäßig im Hinblick auf den Datenschutz geprüft. Allerdings musste ich überrascht feststellen, dass Cookies gesetzt werden – und zwar solche, die zwei Jahre lang gültig sind. Das ist meiner Meinung nach ziemlich Ka**e, um es ganz klar auszudrücken. Damit könnte das Surfverhalten der Nutzer ziemlich gut nachvollzogen werden, auch wenn die VG Wort zusichert, genau das weder zu dürfen noch zu tun. Cookies können außerdem problemlos vom Nutzer ausgeschaltet oder für einzelne Adressen gesperrt werden – damit begründet auch die VG Wort, warum das alles OK sei. Allerdings schalten viele die Cookies eben nicht aus.

Ich habe die VG Wort gebeten, eine cookiefreie Variante der Zählpixel zur Verfügung zu stellen, da ich den Datenschutz für meine Leser erstnehme. Dies wurde abgelent. Diese Website wird allerdings auf der WordPress.com-Plattform betrieben (das wird sich nicht ändern), welche einige cookiesetzende Statistikseiten einbindet, was ich nicht beeinflussen kann. Das Zählpixel wäre also „nur“ ein weiterer Datensammler. Deswegen sah ich darin kein wirkliches Problem, als ich annahm, dass es ohne langfristige Cookies arbeitet, also deutlich harmloser ist als die anderen Elemente. Mit Cookies sehe ich das wesentlich problematischer.

Für die Zählpixel spricht:

• Für die (ziemlich viele) Zeit, die ich in dieses Blog stecke, bekomme ich etwas Geld (zumindest einen Teil davon werde ich vermutlich für politische Zwecke nutzen)
• Die Datenschutzrichtlinien der VG Wort sind relativ streng
• Andere Dienste setzen hier auch Cookies, was ich nicht beeinflussen kann
• Nutzer können das Setzen von Cookies problemlos sperren

Gegen die Zählpixel spricht:

• Ein weiterer Dienst, der Infos über Besucher erhält
• Es werden zwei Jahre lang gültige Cookies gesetzt, die es (theoretisch) möglich machen, Nutzer zu verfolgen
• Viele Nutzer haben Cookies eben nicht gesperrt

Ich tendiere derzeit stark dazu, die Zählpixel schweren Herzens nicht mehr einzusetzen, da keine cookiefreie Variante bereitgestellt werden kann. (Wenn es eine cookiefreie Variante gibt, würde ich diese einsetzen, selbst wenn diese mir Nachteile gegenüber der regulären Variante bringen würde.)

Ich würde nun gerne um dein Feedback bitten, entweder per Kommentar oder per Mail an janhomepage at gmx punkt net: Wie stehst du zu diesen Zählpixeln?

Offener Brief an die Internet-Werbebranche

In einem Spiegel-Online-Artikel ist das Geheule über Werbeblocker groß. Zum Schluss wird gefragt: „Wann schalten Sie ihren Werbeblocker ab?“

Diese Frage kann und möchte ich in diesem offenen Brief an die Werbebranche und auch an die Werbe-Publisher gerne beantworten: Sobald Werbung wieder aufhört, extrem nervig, ablenkend und schädlich zu sein, und in meiner Privatsphäre zu schnüffeln.

Das bedeutet, und ich betone das meiste mehrfach, weil es einigen Werbefritzen sonst wohl nicht in den Kopf geht:

• Keine Animationen. Gar keine. Dezente Animationen wären zwar OK, aber weil ich bezweifle, dass Werbefritzen da irgendwelche Maße kennen, lieber erstmal gar keine.
• Kein Sound. NEIN. GAR KEINER. NIE! Denkt nicht mal dran.
• Kein Flash für Werbung. GAR KEINS. Nein. Überhaupt nicht. Auch nicht für irgendwas ganz tolles. NEIN! Flash ist ein weiteres Einfallstor für Viren und frisst Speicher und CPU-Ressourcen, zumindest wenn es schlecht programmiert ist. Und weil eine einzige kaputte Flashwerbung in einem von 20 Browser-Tabs reicht, um meinen CPU-Lüfter anzuwerfen, gehe ich das Risiko nicht ein, diese Werbung suchen zu müssen. Alles zu blockieren ist viel einfacher. Mal abgesehen davon, sobald die Werbung sich nicht mehr bewegt und keinen Lärm mehr macht (siehe oben), braucht ihr Flash gar nicht mehr.
• Keine Werbung, die sich über Inhalt legt. Keine Pop-Ups. Nein, auch keine Pop-Unders. Nein, auch keine Werbung die sich erst über den Inhalt legt wenn man sie versehentlich mit der Maus berührt.
• Keine Schnüffelei. Die Werbung hat keine Cookies zu setzen, zumindest solange sie nicht angeklickt wird. GAR KEINE. NEIN. WIRKLICH NICHT. Die Zugriffe haben nicht protokolliert zu werden. Wenn man unbedingt Doppelaufrufe vermeiden will, dann von mir aus die IP speichern, aber nur für max. 24h und ohne Info, was für Seiten besucht wurden. Am Besten liefert ihr die Werbung von eurer eigenen Seite statt von irgendwelchen Werbeverteilnetzwerken aus.
• Keine Viren. Es muss sichergestellt sein, dass keine Viren mit der Werbung ausgeliefert werden, was bereits mehrfach passiert ist. D.h. keine iframes, kein vom Werbekunden bereitgestelltes Javascript. Die Bilder (sind ja jetzt nicht animierte, statische Bilder, also ist das richtig einfach) müssen vom Werbeanbieter immer umgerechnet werden, um Exploits zu verhindern. Das bedeutet: die Bilder werden dekomprimiert (in ein Bitmap-artiges Format) und dann mit vertrauenswürdiger Software wieder in PNG oder JPG gewandelt.

Wenn eine Website sich verpflichtet, all diese Punkte einzuhalten, bin ich bereit, diese Seite in die Whitelist meines Werbeblockers einzutragen. Ich bin sogar bereit, euch ein Angebot zu machen: Ich erstelle eine öffentliche Adblock-Whitelist. Diese kann jeder Adblock-Nutzer installieren, und sie schaltet Adblock auf allen Seiten ab, die darauf eingetragen sind. Eingetragen werden aber nur Seiten, die sich an die Grundregeln halten.

Und um auf die ursprüngliche Frage zurückzukommen: Ganz ausschalten werde ich meinen Werbeblocker erst, wenn alle Webseitenbetreiber wieder gelernt haben, dass die Werbung fair bleiben muss.

Fasst euch an die eigene Nase. Überlegt, warum die Leute Werbeblocker einsetzen. Die immense Mühe, einen ordentlichen Blocker zu entwickeln und diese wunderbaren Sperrlisten zu pflegen, macht man sich nicht aus Langeweile, sondern weil einem die Werbung massiv auf den Sack geht. Ich hoffe, dass die entgangenen Einnahmen durch die Werbeblockernutzer groß und schmerzhaft genug werden, dass ihr merkt, dass das ganze Geblinke sich nicht gelohnt hat. Das Vertrauen der Besucher wiederzugewinnen wird allerdings ein schwerer Schritt – wer den Adblocker einmal drin hat, behält ihn in der Regel auch. Ihr seid selbst dran schuld. Lernt aus euren Fehlern. Noch ist Zeit. Noch hat nicht jeder einen Adblocker installiert.

Mir ist bewusst, dass nicht jede Werbefirma jede der hier genannten Todsünden begangen hat. Auf jeder größeren Website habe ich aber zumindest einige davon gesehen. Einige schwarze Schafe in der Werbebranche genügen, um auch den anderen das Geschäft zu verderben, weil Adblocker unausweichlich werden. Deswegen spreche ich hier immer euch als die gesamte Werbebranche an.

Zuerst gab es normale Werbung, das war ok. Dann habt ihr Popups eingeführt. Die haben die User genervt. Also gab es Popupblocker. Statt den Fehler einzusehen, habt ihr angefangen, Popupblocker zu umgehen oder User mit Blockern auszusperren. Also wurden die Blocker strenger und besser getarnt.

Die Nutzer haben die Werbung irgendwann nicht mehr genug wahrgenommen. Also habt ihr animierte Werbung eingeführt. Das ging, solange die Animationen sich in Maßen gehalten haben. Irgendwann wurde es lästig. Die Nutzer haben gelernt, alles, was blinkt, als unwichtig anzusehen, trotzdem lenkte es ab. Weil ihr nicht mehr genug Aufmerksamkeit bekamt, habt ihr lärmende Werbung und Werbung die aus ihrem Rahmen über den Inhalt ragt erfunden. Das überschritt dann doch jede Toleranzschwelle, also gab es Werbeblocker. Statt einzusehen, dass ihr den User nervt, und faire Werbung einzuführen, habt ihr immer weiter gemacht.

Die Krönung waren die Layer-Ads. Darauf ausgelegt, möglichst schwer sperrbar zu sein, hinterließen sie bei Adblock-Nutzern anfänglich unbenutzbare Webseiten und nervten jeden Besucher. Am Anfang konnte man sie direkt wegklicken. Das taten logischerweise die meisten – wenn ich einen Artikel lesen will, und irgendwas stellt sich davor, dann schau ich mir das gar nicht erst an. Genauso, wie man eine Fliege, die sich einem aufs Mittagessen setzen will, sofort verscheucht. Ihr habt also nur noch genervt, ohne euer Ziel zu erreichen. Statt aufzuhören, habt ihr die Layer immer nerviger gemacht – die Schließen-Schaltfläche wurde erst später eingeblendet, die Werbung ging immer in einem Pop-Under auf etc. Damit habt ihr es endgültig geschafft, für ausreichend viele Leute ein ausreichend großer Schmerz im Arsch zu werden. Also wurden die Adblocker angepasst und eure Werbung endgültig darin versenkt.

Die ganze Zeit über hatte Google Textwerbung – und blieb zumindest von meinem Werbeblocker verschont. Sie waren die einzigen, die es halbwegs verstanden, dass mit nicht nerviger Werbung ein gutes Geschäft zu machen ist. Dann hat Google angefangen immer mehr zu schnüffeln – und schwupps war deren Werbung auch im Blocker verschwunden.

Ihr könnt natürlich auch in den Krieg gegen das Netz ziehen, anfangen, Adblocker zu erkennen und die Leute aussperren. Ihr werdet verlieren. Das Netz kann die Tarnung schneller anpassen als ihr die Erkennung. Wenn es sein muss, innerhalb von Minuten. Ihr könnt euren Inhalt auch hinter Paywalls verstecken. Vielleicht werden euch die wenigen, die ihn trotzdem lesen, sogar so viel einbringen wie die Werbung euch eingebraucht hat. Aber viel wahrscheinlicher werdet ihr in der Bedeutungslosigkeit versinken. Niemand wird euch mehr verlinken, wenn seine Leser eure Artikel nicht abrufen können. Der böse raubkopierende Feind Google wird euch nicht mehr finden, und mit ihm 50% eurer Besucher.

Ihr könnt nicht ohne die Nutzer. Behandelt sie fair, und sie werden euch fair behandeln. Versucht nicht, in einen Krieg zu ziehen, ihr werdet ihn verlieren. Ihr habt die Wahl – ihr könnt darauf verzichten, die Aufmerksamkeit der User mit Gewalt an euch zu reißen, und nur noch normale, faire Werbung schalten. (Da ihr inzwischen verlernt habt, was das ist, schaut nochmal nach oben, da steht es.) Oder ihr könnt weiterhin versuchen zu nerven. Dann werden wir eure Werbung eben gar nicht mehr sehen. Auch gut. Wie man im Netz so schön sagt:
You choose.

Serie Virenschutz: Firewalls

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich im letzten Artikel Antivirenprogramme gründlich auseinandergenommen habe, erwartet die „Personal Firewalls“ hier ein ähnliches Schicksal. Der Artikel bezieht sich auf typische Heimcomputer und Firewall-Software. In Firmennetzen machen (separate, richtige) Firewalls durchaus Sinn.

Firewalls dienen dazu, Netzwerkverbindungen zu verhindern und so verwundbare Dienste vor Angriffen zu schützen oder unerlaubte Datenübertragung durch Programme zu blockieren. Dabei gibt es – vereinfacht gesagt – zwei Arten von Verbindungen: Eingehende und Ausgehende. Das kann man sich wie beim Telefon vorstellen – der Computer kann jemanden anrufen oder angerufen werden, in jedem Fall kann man nach einem Verbindungsaufbau in beide Richtungen sprechen.

Computerprogramme nehmen oft Verbindungen entgegen, z. B. um darüber Dateien anzubieten. Wenn diese Programme nun Sicherheitslücken aufweisen, können Viren von Außen eine Verbindung zum Programm aufnehmen, die Lücke ausnutzen und so in den Rechner kommen. „Blaster“ und „Sasser“ haben sich auf diese Art verbreitet. Deswegen gilt: Je weniger Programme von Außen erreichbar sind, desto besser. Am sichersten ist es, solche Programme gar nicht erst zu starten – bei einigen Systemdiensten ist das aber nicht so einfach.

Für Systemdienste kann man als Fortgeschrittener oft aber die „Bindung“ an ein Netzwerkgerät entfernen: In der Liste der Netzwerkverbundungen rechtsklickt man auf das Gerät, wählt Eigenschaften – und wirft unnötige Häkchen raus. Die Datei- und Druckerfreigabe zum Beispiel braucht man nur, wenn man Dateien des eigenen Rechners für andere freigeben will. Zu guter Letzt kann man aber eingehende Verbindungen auch verhindern, indem man sie per Firewall sperrt. Da man meist unter Windows Probleme damit hat, alle Programme davon abzuhalten, eingehende Verbindungen anzunehmen, kann die Firewall-Lösung hier hilfreich sein.

Auch ältere Trojaner haben mit eingehenden Verbindungen gearbeitet: Sie warten auf eine eingehende Verbindung, und wenn jemand sich zum Trojaner verbindet, kann er den Rechner fernsteuern und Daten kopieren. Davor schützt eine Firewall auch, wenn der Trojaner sie nicht vorher abschaltet. Allerdings nutzen moderne Schadprogramme geschicktere Wege statt eingehender Verbindungen.

Dazu sollte man zunächst wissen: Die meisten Nutzer, welche daheim das Internet nutzen, benutzen einen Router. Nutzt man einen Rechner ausschließlich an einem Router, muss man sich um eingehende Verbindungen eher weniger Sorgen machen – die werden von den Routern normalerweise blockiert, solange der Nutzer sie nicht ausdrücklich freigibt oder der Router UPnP eingeschaltet hat und der eigene Computer die Verbindung aktiv anfordert.

Windows (ab XP SP2) hat bereits eine gute eingebaute Firewallsoftware. Diese blinkt nicht, stört nicht, verwirrt nicht mit seltsamen Meldungen – und wird gerade deswegen oft als schlecht abgetan. Im Gegensatz zu vielen anderen Produkten schützt sie aber schon beim Hochfahren, ist im Betriebssystem verankert und macht keine Probleme. Sie blockiert nur eingehende Verbindungen. Ausnahmen können leicht definiert werden, beim ersten Start von Netzwerkprogrammen wird man gefragt, ob man eingehende Verbindungen zulassen möchte. Einige Ausnahmen sind vordefiniert – das kann man ausschalten: Systemsteuerung – Windows-Firewall, Registerkarte „Ausnahmen“.

Ausgehende Verbindungen blockiert die Windows-Firewall nicht. Diese Verbindungen muss man nur blockieren, wenn man bereits laufende Programme daran hindern möchte, Verbindungen aufzubauen. Das ist in der Regel nicht nötig, und selbst wenn, weiß man als Normalnutzer nicht, was man zulassen und was man blockieren soll. Normalnutzer blockieren daher typischer entweder alles, oder geben alles frei. In einem Fall wundern sie sich dann, dass einige Programme nicht richtig laufen (und Updates nicht funktionieren!), im anderen Fall bietet die Firewall keinen weiteren Schutz. Darüber hinaus können geschickte Trojaner legitime, in der Firewall freigegebene Programme missbrauchen, um ins Internet zu kommunizieren.

Ein Virus oder Trojaner, der sich auf dem Rechner einnistet, kann technisch gesehen in den meisten Fällen die Firewall einfach ausschalten – sofern er so programmiert wurde. Da sich nicht alle Malwareentwickler diese Mühe machen, kann eine Firewall tatsächlich verhindern, dass ein Trojaner ins Netz kommuniziert. Allerdings sollten Schutzmaßnahmen zum Ziel haben, zu verhindern, dass der Trojaner überhaupt zum Zug kommt. Wenn man sich was eingefangen hat, ist es meist eh zu spät.

Für den typischen Normalnutzer macht das Blockieren ausgehender Verbindungen keinen Sinn. Es kann aber zu ziemlichen Problemen führen, wenn ein Programm plötzlich nicht kommunizieren kann.

Ein Beispiel für eine Firewall-Software ist ZoneAlarm. Diese wird oft kritisiert, da sie viele Probleme verursachen soll. Ich hatte vor Jahren die kostenlose Version einige Zeit im Einsatz und war erfreut darüber, wie einfach und gut sich das Programm konfigurieren lässt, und hatte auch keine Probleme – weil ich wusste, was ich wie einstellen muss und will. Ich habe aber auch ein Netzwerk mit fast 200 Nutzern betreut, die dort ihre Privatrechner hatten. Wenn jemand nicht auf den Server kam, war die erste Frage „Ist Zonealarm installiert?“, meist gefolgt von „Ja“ und „Dann schmeiß es runter und mach die Windows-Firewall an“, womit das Problem behoben war. Ein normaler Nutzer kann es nicht richtig konfigurieren, und dann macht es Probleme. (ZoneAlarm soll wohl noch Programmierfehler enthalten, die auch bei richtiger Konfiguration absurde Probleme machen können, viele Probleme mit ZoneAlarm sind aber durch die Nutzer verursacht.)

Solche Konfigurationsfehler macht ein normaler Anwender auch mit anderer Software. Die bereits bei den Antivirenprogrammen erwähnten „gelben Schachteln“ von Norton/Symantec können auch Firewallsoftware enthalten (z. B. als „Internet Security“) und machen auch damit liebend gerne Schwierigkeiten – ohne nennenswerten Mehrwert. Die zu Internetanschlüssen oft für einen Monatsbeitrag angebotenen „Sicherheitspakete“ sind meist Norton/Symantec-Software. Selbst wenn so ein Paket kostenlos/inklusive sein sollte, würde ich einen Bogen darum machen.

Die allgemeinen Nachteile, die ich bei der Antivirensoftware schon genannt hatte (neue Verwundbarkeiten, bremst System, frisst Speicher) kommen zu den durch fehlkonfigurierte Firewalls oft verursachten Fehlern noch dazu.

In der Bemühung, einen (angeblichen) Mehrwert zu bieten, haken sich immer mehr Programme zum Beispiel in den Browser ein, und markieren Suchergebnisse nach sicher und unsicher. Nicht nur dass diese Erkennung nicht sonderlich zuverlässig ist, sie bremst auch den Browser und kann lustige Probleme verursachen, die man lange sucht.

Um klarzumachen, wie wichtig die Firewalls sind, nerven sie oft mit Anzeigen, wie viele Angriffe gerade abgewehrt werden, um dem Kunden klarzumachen, dass er die Firewall (und ihre kostenpflichtigen Aktualisierungen) weiter braucht. Diese Anzeigen sind meist völliger Unsinn – es werden Dinge angezeigt, die keine ernsthafte Gefahr darstellen.

Wer die eingebauten Kindersicherungen toll findet, die kleine Kinder von bösen Pornoseiten fernhalten sollten, sollte die Idee schnell vergessen. Das funktioniert nicht. Zu viel Schund bleibt weiter erreichbar, und viel zu viele legitime Seiten werden gesperrt. Mal abgesehen davon dass der Nachwuchs sich oft besser mit dem System auskennt und gute Chancen hat, die Sperre zu umgehen oder auszuschalten. Eine Software kann keine Eltern ersetzen, die das Kind im Internet begleiten.

Fazit: Die Windows-Firewall hat alles, was man in der Regel benötigt. Sie kostet nichts, nervt nicht und macht einfach ihren Job. Es ist nicht sinnvoll, viel Geld für irgendwelche kommerziellen „Internet Security“-Pakete auszugeben – und mit einem langsamen Rechner und ständigen Warnmeldungen dafür belohnt zu werden. Wer mir nicht glaubt, schaue z. B. in dieser c’t-FAQ unter „Firewall“. (Die Einschätzung zu sicheren Browsern teile ich nur teilweise)