Archiv

Posts Tagged ‘post’

Zensus: Fragebogennummer im Adressfeld

2011-05-19 2 Kommentare

Gerade hat mich jemand kontaktiert, der per Post einen Fragebogen zur Wohnungszählung bekommen hatte. Auf dem Antwortumschlag, in dem man das Teil zurückschicken soll, ist ein (kleiner) rechteckiger DataMatrix-2D-Barcode. Dieser kennzeichnet scheinbar nur, dass es sich um eine Werbeantwort handelt, enthält jedoch keine weiteren Daten (z. B. irgendwas, womit man Absender oder Empfänger identifizieren könnte) – er entspricht exakt dem Beispielbarcode, den die Post auf ihrer Website zu ResponsePlus in einem Beispiel zeigt. (Offiziell muss der Befragte das Porto zahlen, weil viele es aber nicht tun werden und die Zensusämter gerne den Brief trotzdem haben wollen ohne Strafporto zu zahlen, ist das Teil als Antwort gekennzeichnet – d.h. das Porto zahlt bei unfrankierten Briefen der Empfänger. Mehr dazu auch im lawblog von Udo Vetter)

Auf dem Fragebogen, der per Post verschickt wurde, steht im durch das Fenster im Umschlag sichtbare Adressfeld ein weiterer DataMatrix-Barcode, der als Freimachung dient. In dieser Freimachung kann eine Art Referenznummer/Kommentar untergebracht werden – bekannt wurde das, weil einige Banken es für eine gute Idee hielten, dort (also von außen lesbar!) die Kontonummer unterzubringen. Nachdem ich den DataMatrix-Code zugeschickt bekommen und mit bcTester dekodiert hatte, schickte ich den Inhalt des Barcodes an die Person, der der Fragebogen gehörte – und diese bestätigte mir, dass darin die Fragebogennumer kodiert ist.

Die Fragebogennummer kann somit von außen eingesehen werden, ohne den Umschlag zu öffnen. Jetzt stellt sich natürlich die Frage, ob das ein Problem darstellt, und darauf weiß ich keine Antwort. Falls jedoch die Anonymisierung der Daten über die Fragebogennummer durchgeführt wird, könnte es ein Problem sein – wenn die Daten anonymisiert werden, indem sie getrennt vom Namen unter der Fragebogennummer abgelegt werden, wäre die Zuordnung Fragebogennummer-Adresse nicht ganz unproblematisch. Solange die aber nur auf dem Umschlag steht, wäre das jetzt nicht so das Problem. Es ist aber möglich, dass die Informationen, die im Barcode stehen, auch noch bei der Post landen und dort ggf. zusammen mit der Adresse gespeichert werden. (Ob das der Fall ist, weiß ich nicht!)

Wenn also 1. die Anonymisierung über die Fragebogennummern erfolgt und 2. die Post die Informationen aus dem Barcode inkl. der dazugehörigen Adresse speichert, dann existiert eine Datenbank außerhalb der Kontrolle der Statistikämter, die eine Deanonymisierung der Zensusdaten ermöglichen würde.

Das ist also ein großes „wenn“ – es ist nicht klar, ob die Nummer in den Barcodes überhaupt ein Problem ist. Trotzdem wollte ich es hier erwähnen, vielleicht sieht jemand damit noch weitere Probleme oder findet es aus irgendeinem anderen Grund interessant. Für sich allein genommen dürfte die Fragebogennummer relativ uninteressant sein, in den Hinweisen zum Fragebogen steht:

Die Fragebogennummer enthält eine frei vergebene Ziffernfolge und ermöglicht es, den Fragebogen der betreffenden Person zuzuordnen. Darüber hinaus enthält sie eine Prüfziffer. Sie enthält aber keinerlei Informationen zu der betreffenden Person.

Warum die Nummer auf diese Art, von außen sichtbar, eingebaut ist? Einerseits kann man so unzustellbare Briefe maschinell einfacher zuordnen, ohne sie öffnen zu müssen um an den innenliegenden Barcode auf dem Fragebogen zu kommen. Andererseits kann es auch einfach sein, dass bei der Erstellung der Barcodes eine Referenznummer angegeben werden kann/soll/muss und dafür eben die Fragebogennummer genommen wurde.

Zu beachten ist: Die Fragebögen werden AFAIK nicht zentral für ganz Deutschland verschickt, d.h. es kann regionale Unterschiede geben. Bei dem Fragebogen, um den es hier geht, handelt es sich um den Bogen zur Gebäude- und Wohnungszählung, nicht um die Haushaltebefragung.

Die Barcodes kann man übrigens mit passender Software mit jedem ordentlichen Smartphone dekodieren. Wenn die Druckqualität so schlecht ist, dass eine Erkennungssoftware versagt (viele Programme scheinen generell nicht richtig zu funktionieren) kann es helfen, den Barcode vorher etwas unscharf zu rechnen (Gaussfilter). Vielen Dank an die Person, die die Barcodes zur Verfügung gestellt hat und die Idee mit dem Deanonymisierungsproblem hatte!

Briefgeheimnis, Pressegeheimnis, PGP

2007-11-10 3 Kommentare

Die Presse hat das Recht, Informantenbeziehungen zu verheimlichen (auch wenn das in der Praxis mit der Vorratsdatenspeicherung ab 2008 abgeschafft ist). Briefe unterliegen dem Briefgeheimnis.

Beides auf einmal wurde vom BKA verletzt, als die Post an bestimmte berliner Zeitungsverlage durchsucht wurde. Aber es war ja halb so schlimm – oder?

Es wurden nur zwei Schreiben geöffnet, so das BKA, und das waren auch beides tatsächlich Bekennerschreiben. Seltsam gute Trefferquote, oder? Es wurde nämlich nicht wie behauptet nur dem äußeren Aussehen nach bewertet, ob es sich um ein entsprechendes Schreiben handelt, sondern das BKA hätte die „Briefe […] gegen das Licht gehalten, um zu sehen, ob ein fünfzackiger Stern – das Symbol der Militanten Gruppe – erkennbar ist„. Um es mit anderen Worten auszudrücken, die Briefe wurden ganz einfach durchleuchet. Somit wurde das Briefgeheimnis nicht nur in zwei Fällen verletzt, sondern bei allen untersuchten Briefen (also vermutlich allen, die an die entsprechenden Zeitungen gingen), obwohl diese nicht geöffnet wurden (warum auch, wenn man sie auch anders lesen kann).

Noch nicht schlimm genug? Dann wurden die Briefe „kopiert und ausgetauscht„. Dass dabei eventuell Informationen verloren gehen können – wie z. B. versteckte (steganographische) Nachrichten – mag in diesem Fall weniger wichtig gewesen sein. Die Frage ist eher: Sollte die Zeitung merken, dass der Brief ausgetauscht wurde? Wenn nicht, wäre es erstens schon ein Unding an sich und zweitens kommt früher oder später sicher jemand auf die fixe Idee, Briefe an unerwünschte Personen nicht nur abzufangen, sondern durch Versionen mit verändertem Inhalt zu ersetzen. So kann man dann ganz einfach zwei Menschen gegen einander aufhetzen. Man kann sich also nicht nur nicht mehr darauf verlassen, dass Briefe ungelesen ankommen, sondern auch nicht mal darauf, dass ein Brief, der ankommt, nicht von irgendwelchen Behörden manipuliert wurde.

Immer noch nicht genug gekotzt? Sicherheitshalber wurden die Telefone der Redaktion auch gleich abgehört.

Das problematische am Austauschen von Nachrichten: Erstmal ein einfaches Beispiel: Ein Informant will die Presse über einen Skandal aufklären und hat bereits Informationen  zugeschickt, ist sich aber noch nicht ganz sicher. Nun findet er den abschließenden Beweis und schickt ihn der Presse. Wenn das mitgelesen wird, ist es für den Informanten äußerst unangenehm, aber die Informationen kommen an die Öffentlichkeit. Wenn der Informant oder seine Post verschwinden, werden weitere Nachforschungen angestellt. Wenn aber ein gefälschter Brief ankommt, in dem der Informant zu behaupten scheint, sich geirrt zu haben, wird (bei ausreichend geschickter Story) das Ganze vergessen. (Und der Informant bekommt die Meldung, dass die Story leider nicht interessant genug war und sie nicht veröffentlicht wird).

Beim Entwurf von Sicherheitssystemen, bei denen zwei Personen über eine unsichere Leitung kommunizieren, geht man von verschiedenen Unsicherheitsarten aus: Ein Angreifer, der die Leitung nur lesen kann, ist vergleichsweise harmlos. Ein einfaches Public-Key-Verfahren unterbindet solche Angriffe. Wenn der Angreifer zusätzlich noch nach Lust und Laune (z. B. alle verschlüsselten) Datenübertragungen unterdrücken kann, ist das zwar ärgerlich, aber man hat dann die Wahl, Daten unverschlüsselt zu übertragen oder es sein zu lassen, aber es besteht keine Gefahr, Daten ohne es zu wissen offenzulegen. Wenn aber der Angreifer sogar Daten unbemerkt austauschen kann, kann er auch die Schlüssel beim Public-Key-Verfahren austauschen – ohne dass es jemand merkt. Die Kommunikationspartner denken, die Kommunikation sei verschlüsselt – in Wirklichkeit liest aber jemand mit und kann den Inhalt beliebig manipulieren. Das Austauschen von Post geht also durchaus auch aus technischer Sicht weit über das mitlesen hinaus. Wenn das BKA also anfängt, auch Kommunikation im Internet nicht nur abzuhören, sondern auch bei Bedarf auszutauschen, wird auch verschlüsselte Kommunikation nicht mehr besonders sicher sein. Zum Glück ist es kaum möglich, solche Angriffe vollautomatisch durchzuführen – denn wenn im Inhalt der Nachricht noch eine Kopie des richtigen Schlüssels liegt, muss diese auch ersetzt werden, da der Unterschied zum verwendeten Schlüssel sonst auffallen würde. Und das kann nur manuell geschehen. (Ein Computer wird „Schau mal nach, ob 5136234-5123134 die letzten 2 Byte meines Schlüssels sind“ nicht automatisch finden können.) Außerdem hat PGP noch mit den „Web of Trust“ eine Gegenmaßnahme. Bei diversen verschlüsselten Telefon- und Chatprotokollen und unaufmerksamen Nutzern sind derartige Angriffe durchaus denkbar.