G20 offenbart Datenchaos in Verbrecherdateien

„Wer nichts zu verbergen hat, hat nichts zu befürchten“ lautet ja immer das Credo der Überwachungsbefürworter. Daß das nicht stimmt, habe ich hier ja schon mehrfach dargelegt. Bei Überwachung durch staatliche Stellen werden außerdem die angeblich ach so strengen gesetzlichen Regelungen hervorgehoben, die Mißbrauch und Fehler qua Gesetz praktisch unmöglich machen.

Während des G20-Gipfels wurden ja einigen Journalisten, die Akkreditierungen entzogen. Zu den Gründen hielt man sich bedeckt. Nun ist ans Tageslicht gekommen, daß es bei manchen Reporten, keine Gründe gab, die Zulassung zu entziehen. Die Datenbasis, auf Grund die Entscheidungen fielen, war in mehrfacher Hinsicht fehlerhaft. Es wurden dort Vermutungen oder Beschuldigungen erfasst, die nie gerichtlich überprüft wurden.

So wurde einem Reporter „Herbeiführung einer Sprengstoffexplosion“ unterstellt. Er befand sich während einer Demo als Berichterstatter in der Nähe eines gezündeten Feuerwerkskörper. Die Staatsanwaltschaft hatte damals ein Verfahren gegen ihn eingestellt. In den Daten der Ermittlungsbehörden war dieser Vorwurf noch vorhanden, als Tatsache.

Bei einem Journalisten gab es „einfach“ eine Namensverwechslung. Ein Namensvetter ist als sogenannter Reichsbürger in Erscheinung getreten. Das sind ja schon Bild-Zeitungs-Methoden, die im Internet nach Fotos von (mutmaßlichen) Verbrechern oder Opfern suchen und dabei schon mal Portraits von dem falschen Facebookprofil geklaut haben.

Und das sind alles Daten mit denen unserer Sicherheistbehörden arbeiten. Chaos, Schlamperei, Vorsatz, Unfähigkeit? Man weiß gar nicht welche Wörter man dafür benutzen soll. Es zeigt nur, daß der Staat eben nicht unfehlbar ist und die Datensammlung nicht automatisch dadurch sicher sind, daß der Staat sie verwaltet. Man mag gar nicht daran denken, welche Fehlschlüsse noch alles gespeichert werden, wenn immer mehr Daten automatisiert erfasst werden, etwa durch die Vorratsdatenspeicherung.

Chilling Effect im Straßenverkehr

Das Bewußtsein überwacht zu werden verändert das eigene Verhalten. Befürworter von Überwachung sehen das als positiven Effekt, schließlich will man potentielle Straftäter von bösen Verhalten abbringen. Allerdings führt das Bewußtsein der Überwachung auch bei normalen Menschen zu einer Selbstzensur. Man überlegt sich, was man äußert oder wie man handelt und unterläßt Sachen, die nicht strafrechtlich relevant sind, aber vielleicht an der Grenze des gesellschaftlich akzeptieren liegt. Das ist der Chilling Effect.

Ein schönes, anschauliches Beispiel findet sich im Straßenverkehr. Viele Autofahrer fahren bei einer Blitzanlage, die sie kennen deutlich langsamer, als sie dürften. Wenn 50 km/h erlaubt sind, kann man diese auch problemlos fahren, ohne geblitzt zu werden, vor allem wenn man bedenkt, daß der Tacho immer ein wenig mehr anzeigt und die Blitzgeräte zusätzlich eine Toleranz eingestellt haben. Trotzdem tuckern einige Autofahrer dann mit 40 km/h durch die Meßstrecke und behindern so den Verkehr. Das Wissen um Kontrolle verändert unser Verhalten eben.

Datenschutz ist zu abstrakt

Immer wieder behaupten die Leute, sie hätten nichts zu verbergen, deshalb wäre es ja auch egal was mit ihren Daten passiert. In der Tat sehen die Gefahren, die Datenschützer immer wieder hervorheben recht abstrakt aus. Das sind doch alles internationale Konzerne, die die Daten sammeln, warum sollten sie sich ausgerechnet für meine Daten interessieren? Fragt man aber Jemanden persönlich nach Daten, die er online stellt, wird es sie sicherlich verweigern, ebenso nach noch privateren Daten, wie etwa Einkommen oder Krankheiten. Aber zu verbergen hat man ja angeblich nichts.

Ich denke, daß ist ähnlich wie in der Sauna; sich vor Fremden, einer unbekannten Masse, nackt zu zeigen ist nicht so problematisch, aber wenn dann Arbeitskollegen oder Verwandte auftauchen wird einem das dann doch unangenehm.

Man ist also Fremden gegenüber offener, weil man denkt, sie können mit Daten oder Wissen über einen selbst nicht so viel anfangen. Die negativen Auswirkungen der Datensammelei werden wird aber immer stärker zu spüren bekommen.

Daß „smarte“ Haushaltsgeräte schon vor Gericht gegen uns „aussagen“ ist ja schon Realität. Ich denke der große Aufschrei wird erst kommen, wenn unsere Autos alle so schön richtig „smart“ sind und Hersteller, Versicherer und Bußgeldbehörden die Daten gut zu nutzen wissen. Denn beim Auto hört für den Deutschen der Spaß auf.

Gefühlte Sicherheit

Neulich unterhielt ich mich mit einem Bekannten. Er ist einer von denen die ja „nicht zu verbergen“ haben. Allerdings hat er um den Garten einen 2,50 m hohen Sichtschutzzaun. Er möchte halt im Garten von fremden Blicken verschont werden. Den Widerspruch will er wohl nicht verstehen.

Neulich sprach ich mit ihm über Videoüberwachung im öffentlichen Raum, und das diese bei weitem nicht das Allheilmittel, als das es gerne angepriesen wird. Ich sprach von diversen Straftaten, die trotz Videokameras, begangen wurden, auch über einen recht abstrusen Fall in der Nähe. Er meinte aber, Videokameras würden ein Gefühl von Sicherheit vermitteln. Das ist genau das, es ist keine tatsächliche Sicherheit, sondern nur eine gefühlte Sicherheit. Wenn es nur um das Gefühl geht, vielleicht sollten dann mal die Politiker und Medien aufhören Angst zu verbreiten. Wenn nicht ständig von einer ungewissen, aber angeblichen Gefahr erzählt wird, dann können die Leute vielleicht auch wieder etwas freier und unbeschwerter leben.

Ich sagte dann noch, daß das Wissen über das Überwachtwerden, das Verhalten ändert; daß man bestimmte Sachen nicht mehr macht. Das kommentierte er damit, daß es doch gut sei. Wir sollen also alle angepasste Duckmäuser sein. Individualismus und Querdenken ist nicht erwünscht.

Vorratsdatenspeicherung tritt vorerst nicht in Kraft

Eigentlich sollte die Vorratsdatenspeicherung (VDS) am 01. Juli in Kraft treten, nun hat die Bundesnetzagentur die Verpflichtung zur Speicherung von Verbindungsdaten aber vorerst außer Kraft gesetzt. Hintergrund ist eine Entscheidung des Oberverwaltungsgerichtes Münster nach der das Gesetz gegen Europarecht verstößt. Außerdem laufen Verfahren gegen die VDS vor dem Bundesverfassungsgericht.

Ich habe allerdings nicht verstanden, warum ein Bundesamt einfach so ein Gesetz aussetzen darf, schließlich geht es doch um die „innere Sicherheit“ und den Schutz vor dem Islamistischen Terror.

Es ist schade, daß die guten Nachrichten nicht aus der Politik kommen, sondern immer wieder Gerichte einschreiten müssen, die die Politiker in ihre verfassungsmäßigen Schranken weisen müssen. Ich bin ja dafür das jeder Politiker, der für ein verfassungswidriges Gesetz gestimmt hat, irgendwie bestraft werden sollte. Vielleicht Pflichtunterricht über Verfassungsrecht?


Update 29.06.2017

Jetzt ist es etwas klarer. Das Gesetz gilt weiterhin, allerdings hat die Bundesnetzagentur gesagt, sie verzichtet, als zuständige Behörde, auf die Kontrolle der Durchsetzung und gegebenenfalls auf Sanktionen. Die meisten Provider haben sofort reagiert und die Aussetzung der VDS angekündigt. Theoretisch wäre es denkbar, daß es aber der zuständige Bundesminister die Behörde anweist, das Gesetz durchzusetzen.

Der Bundestrojaner darf jetzt noch mehr schnüffeln

Wie das so immer bei Überwachungsmaßnahmen ist; erst wird eine Maßnahme eingeführt, natürlich nur zur Bekämpfung von schwerster Kriminalität wie Terrorismus oder Kindesmißbrauch. Und dann werden die Einsatzmöglichkeiten für das Überwachungsinstrument immer mehr ausgeweitet. Dann kommen immer die Sicheitsexperten und erzählen, wie viele Straftaten doch nicht aufgeklärt wurden, aber mit dieser Überwachungsmaßnahme hätte man den Täter fassen können. Es dürfe doch nicht sein, daß man Täter ungeschoren davon kommen läßt…

Es ist nicht gut, wenn Täter nicht verurteilt werden, aber das war schon immer so. Nur weil es mittlerweile die technischen Möglichkeiten zur Totalüberwachung der gesamten Bevölkerung gibt, muß man sie nicht einsetzen, man DARF nicht einfach alle Maßnahmen unbegrenzt einsetzen. Im Juristendeutsch heißt das, es muß gewährleistet sein, daß die Maßnahme „grundrechtsschonend“ sein muß, das heißt, daß diese Maßnahme die Grundrechte der Bürger nur im geringst möglichen Ausmaß einschränken darf. Wie das bei Massenüberwachungen wie der Vorratsdatenspeicherung umsetzbar sein soll, ist mir nicht klar.

Nun wurde vor einigen Jahren der Bundestrojaner eingeführt. Dieses Instrument war vor allem gegen terroristische Aktivitäten gedacht. Diese Software wurde auf dem Gerät des Verdächtigen installiert, um Kommunikation abzuhören, bevor sie verschlüsselt wurde, außerdem ist es damit möglich vorhandene Dateien auf dem Rechner/Smartphone zu durchsuchen und herunter zu laden.

Nun wurde diese Überwachungsmaßnahme relativ leise auf einen großen Katalog von Straftaten ausgeweitet. Manche Kritiker sprechen schon davon, daß der Trojanereinsatz zum Standardwerkzeug der Ermittler werden wird.

Nicht nur die Tatsache, daß die Überwachung der Bevölkerung massiv ausgeweitet wird, ist bedenklich, sondern auch die Methoden, wie der Trojaner auf das Gerät kommt und was er dort, theoretisch, alles machen kann.

Der Bundestrojaner ist eine Software, die der Nutzer nicht unbedingt freiwillig auf seinem Gerät haben möchte, also muß man es gegen seinen Willen tun. Moderne Betriebssysteme für Computer oder Smartphones verhindern normalerweise, daß fremde Leute einfach Software installieren können. Sie schützen den direkten Zugriff auf das Gerät etwa durch Passwörter und fordern Benutzereingaben bei Softwareinstallation an. Allerdings sind diese Betriebssysteme nie fehlerfrei und so kommt es immer wieder vor, daß Sicherheitslücken entdeckt werden. Unter Ausnutzung dieser Lücken kann man nun aus der Ferne, etwa über das Internet, auf das Gerät zugreifen und Programme installieren. So arbeiten Computerviren. Und genau diese Sicherheitslücken müssen die Strafermittler beim Staatstrojaner ausnutzen. Nun sind Schwachstellen im Normalfall nicht öffentlich bekannt. Wenn sie öffentlich wären, hätte der Softwarehersteller ein Eigeninteresse, diese möglichst schnell zu schließen.

Entdeckt jemand eine Sicherheitslücke in einer Software, hat er zwei Möglichkeiten; entweder er meldet sie dem Hersteller oder er ist kriminell und bietet diese Lücke auf dem Schwarzmarkt an. Hier bedienen sich dann andere Kriminelle, Schadsoftwarehersteller oder Geheimdienste. Die Lücke die vor einigen Wochen zu dem Wanny-Cry-Angriff führte hatte die NSA gekauft. Nach dem Bekanntwerden hat Microsoft die Lücke geschlossen. Allerdings haben nicht alle das entsprechende Update eingespielt, sonst Wäre die WannaCry-Attacke ins Leere gelaufen. Und auf diesem Schwarzmarkt kaufen deutsche Behörden nun kräftig ein, um ihren Trojaner unters Volk zu bringen.

Eine weitere Möglichkeit einer Infektion mit dem Bundestrojaner ist die Installation bei einer anderen staatlichen Software, wie etwa der ELSTER-Software oder Programme für den elektronischen Personalausweis. Bei dieser Methode wäre die Identifikation des Nutzers ziemlich einfach. Ich nutze deswegen Steuerprogramme schon seit mehreren Jahren stets nur in einer speziellen virtuellen Maschine. – Der Staat hat mit dem Trojaner seine Glaubwürdigkeit verspielt.

Wenn jemand Zugriff auf einen Rechner hat, so kann er sich dort nicht nur umsehen und das aktuelle Geschehen protokollieren, er kann auch Dinge auf dem Rechner verändern und Beweise fälschen. Zusätzlich ist der Staatstrojaner selbst wieder ein Schwachpunkt im System, den Dritte ausnutzen können, um auf den Rechner zu kommen. Der CCC schrieb 2011 dazu schon einen Artikel.

Bleibt nur zu hoffen, daß das Bundesverfassungsgericht diesen massiven Eingriff in die Privatsphäre auch bald beendet.

Uber? – Nein Danke!

Ich kann gar nicht sagen, wie unsympathisch mir das Unternehmen Uber ist. Und das schon von Anfang an. Die scheren sich einen Dreck um das örtliche Recht und drücken ihr „Businessmodell“ einfach durch. In Deutschland ist die Personenbeförderung regelmentiert. Taxifahrer und -unternehmer müssen sich nicht nur an bestimmte Vorschriften halten, sie bekommen im Gegenzug auch bestimmte Rechte eingeräumt, so dürfen etwa viele Busspuren mit genutzt werden.

Uber hat sich einfach in den Markt reingedrückt, egal ob legal oder nicht.

Dann haben sie immer den Begriff „Sharing Economy“ genutzt, der eigentlich so gemeint war, das Personen Dinge teilen, die sie nicht ständig benötigen oder über haben. Eine klassische Mitfahrzentrale wäre hier ein entsprechendes Beispiel. Für die Fahrer von Uber sind die Fahrten oft aber ihre reguläre Einnahmequelle. Sie sind praktisch selbständig aber faktisch sind sie zu 100% von Uber abhängig. Eine klassische Scheinselbstständigkeit. Hier kommen die ganzen Themen wieder hoch, die wir im LKW-Frachtverkehr schon vor Jahren hatten.

Auch ist Uber dafür kritisiert worden, daß sie etwa in Saudi-Arabien aktiv sind und vor allem Frauen umherfahren, weil diese laut Gesetz kein Auto fahren. Das Unternehmen profitiert also direkt von der mittelalterlichen Gesetzgebung in Saudi-Arabien.

Die Skrupellosigkeit mit der Uber sein Modell zu sichern versucht, wurde vor einigen Wochen deutlich. Der Fahrdienstleister erkennt anhand bestimmter Merkmale Polizisten und andere Ermittler und schliesst diese von der Fahrt aus.

Auch wurde schon vor Jahren bekannt, daß Uber die Fahrten der Nutzer analysiert und zum Beispiel Schlüsse daraus zieht, ob ein Kunde unterwegs zu einem One-Night-Stand ist.

Daß der ehemalige Bild-Chef Diekmann nun Berater bei Uber wird und der Axel-Springer-Verlag sich an dem Unternehmen beteiligt, macht die Sache für mich nur noch klarer.

Uber? – Nein Danke!

Messenger – Teil 3 (Die Lösung?)

In meiner kleinen Reihe über Messenger schrieb ich im ersten Teil warum ich WhatsApp nicht nutzte und im zweiten, was gegen Alternativen spricht. Hier möchte ich über (m)eine Lösung schreiben.

In der Radio-Tux-Sendung vom August 2016 wurde ich auf die App Conversations aufmerksam. Das ist eine Messenger-App, die das XMPP-Netzwerk nutzt. XMPP, oder früher „Jabber“, ist ein relativ altes Protokoll für Messenger. Es wird eine dezentrale Struktur, mit mehreren Servern benutzt. Die Vielseitigkeit von XMPP ist aber auch schon wieder das größte Manko. Es gibt nicht DEN EINEN XMPP-Client und nicht DEN EINEN XMPP-Server. Man muß sich also für einen Client und einen Server entscheiden. Das ist für die meisten Menschen schon zu viel. Bei den Clients hat sich Conversations hervor getan, da dieser recht modern ist und die neue Verschlüsselungsmethode OMEMO unterstützt. Das Design und die Funktionalitäten lehnen sich an anderen Messegern an. Conversations ist zwar OpenSource, wird allerdings im Google Play Store für drei Euro angeboten. Wer den FDroid-App-Store nutzt, kann Conversations kostenlos herunterladen. Natürlich freuen sich die Entwickler über eine kleine Spende.

Conversations löst auch gleich ein weiteres Problem, nämlich die Erstellung eines Accounts auf einem XMPP-Server. Die Entwickler bieten nämlich auch gleich einen Server an. Man kann den Account sechs Monate lang kostenlos nutzen, danach muß man acht Euro pro Jahr für den Zugang zahlen. Ich finde das fair, ist aber ebenso wie der Preis der App für viele ein Hindernis.

Man kann aber auch andere Server nutzen. Man kann das Ganze mit E-Mail vergleichen. Auch dort muß man sich irgendwo bei einem Dienstleister (Posteo, GMX, Google, etc.) anmelden und kann dieses Konto mit verschiedenen Programmen nutzen. Verwirrend mag vielleicht auch sein, daß eine XMPP-Adresse genau wie eine E-Mail-Adresse aussieht, also etwa christian@example.com. Es gibt viele freie XMPP-Server. Im Internet finden sich viele Listen, in denen diese freien Server geführt werden. Unklar ist oft, wer sich hinter dem Angebot versteckt; ob das seriöse Anbieter sind, oder jemand nur als Hobby einen Server betreibt und den öffentlich zur Verfügung stellt und wie zuverlässig der Server ist. Nutzer des einen Servers können übrigens mit Nutzern auf einem anderen Server kommunizieren. Auch hier gilt wieder die Analogie zum E-Mail-Service. Die einzelnen Server leiten die Daten an den richtigen Server weiter.

Wer sich allerdings ein wenig mit Linux auskennt und irgendwo im Internet einen kleinen Server laufen hat, kann sich recht einfach einen eigenen XMPP-Server aufsetzen. Thomas Leister hat dazu eine schöne Anleitung veröffentlicht. Natürlich erfordert so ein Server einen gewissen Wartungsaufwand (Updates, Backups, etc.). Aber wer bereits einen eigenen Server betreibt, sollte das ohnehin wissen.

Ich fahre mit der Lösung sehr gut. Das einzige Problem ist nur, daß ich bisher wenige Leute dazu bringen konnte, ebenfalls XMPP zu nutzen. Ich hoffe das wird sich ändern.

Pseudosicherheit und Kommerz am Flughafen

Ich bin ja vor kurzem seit Jahren mal wieder in den Urlaub geflogen. Es war erschreckend wie Maßnahmen, die angeblich die Sicherheit steigern sollen und der Kommerz am Flughafen Hand in Hand gehen.

Das merkt man besonders an dem Verbot mehr als ein paar Milliliter Flüssigkeit oder gelartige Substanzen im Handgepäck mitzunehmen. Diese Regelung wurde 2006 panikartig eingeführt, weil Anschläge auf Flugzeuge vermutet wurden, bei denen eventuell Flüssigsprengstoff eingesetzt werden sollte. Diese Regelung wurde seitdem von den Sicherheitsbehörden nicht weiter evaluiert. Und gilt immer noch. Moment, eigentlich darf man doch große Mengen an Flüssigkeit in Flugzeug mitnehmen, man darf sie nur nicht durch die Sicherheitskontrolle bringen. Direkt nach der Kontrolle gibt es ja diverse Shops, durch die man manchmal sogar zwangsweise durchgehen muß, Stände und Automaten, bei denen man sich wieder mit Getränken oder auch brennbaren Flüssigkeiten wie Parfum versorgen kann; nur halt zu Flughafenpreisen. Da man im Flugzeug ja oft auch keine kostenlosen Getränke mehr bekommt, ist das ein Super-Geschäft. Es wird verboten, sich selbst zu versorgen, und dann kann man die Getränke zu überhöhten Preisen verkaufen. Tolles Geschäftsmodell! Besonderes Hightlight war die Tatsache, daß man eine Flasche mit deutschem Einweg-Pfand bekam, kurz bevor man Deutschland verläßt. Um sein Geld wieder zu bekommen muß man die Flasche bei der Rückreise also wieder einpacken.

Alle, die davon überzeugt sind, daß die Kontrollen am Flughafen die Sicherheit an Bord garantieren, sollen sich einfach mal das Video ansehen, in dem Werner Gruber einen Nacktscanner überlistet hat und die Zutaten für Thermit nicht erkannt wurden.

Seele an den Teufel verkaufen

Früher gab es immer das Bild, daß man die Seele an den Teufel verkauft, und dafür eine Gegenleistung bekommt. Dieser Teufelspakt war stets unheimlich und verhängnisvoll.

Heutzutage verschenken wir unsere Seele im Form unserer privaten Daten, wie etwa Vorlieben, Aufenthaltsorte, Krankheiten, Beziehungen zu anderen Menschen, Kaufverhalten, etc. Manchmal gibt es dafür eine kleine Belohnung etwa in Form von Bonuskarten, meistens geben wir sie aber kostenlos aber und manchmal zahlen wir sogar noch dafür, wenn wir uns ein Daten sammelndes Gerät oder eine entsprechende App kaufen.

Leider sehen viele Menschen nicht wie unheimlich und verhängnisvoll dieser Pakt mit den Datensammlern ist und noch wird.