Captains Log (Heidentum, IT, Mittelalter, Rollenspiel, Gesellschaft, Politik und der alltägliche Wahnsinn: Tagebuch meines Lebens.) : Rubrik:Datenschutz

AK VDS: Ortsgruppe MS

cptsalek — 2009-01-30T12:57:00Z

Den Arbeitskreis Vorratsdatenspeicherung kenne ich spätestens seit dem Chaos Camp '07. Völlig entgangen ist mir aber, dass es da eine Ortsgruppe Münster gibt. Juchu!
Gerade erstmal die Mailingliste abonniert und den Termin des nächsten Treffens (05.02.2009, wenn ich micht nicht verrechnet habe), vorgemerkt.

Ghostery -- wer trackt mich?

cptsalek — 2008-12-29T15:11:00Z

Das der Surfer im Netz von einer Vielfalt Mechanismen ausspionieren und umgangssprachlich "verfolgt" wird, sollte sich mittlerweile rumgesprochen haben. Google steht wegen Analytics und Adsense denn auch in der Kritik. Es ist aber nicht nur der Datenkrake, der seine Finger ausstreckt.
Genau hier kommt Ghostery ins Spiel: Das Addon für den Firefox installiert einen kleinen unauffälligen Geist, der in einem Vorleben direkt aus dem Spieleklassiker Pacman stammen könnte. Beim Besuch einer Seite erkennt Ghoster in der aktuellen Version 1.3.1 laut Aussage des Herstellers "116 web bugs, ad networks and trackers!". Ghostery wird bei einem Fund rot und zeigt rechts oben im Fenster eine Liste der Treffer an. Für das Captains Log sind das z.B. Google Analytics, Google Adsense sowie ClustrMaps, wobei hier nur der letzte auf meine Kappe geht. Hm, deshalb wollte ich mein Blog ja auch immer noch auf einen eigenen Server umziehen...

Was macht man jetzt damit?
Ghostery ist erstmal völlig passiv, d.h. es erkennt und berichtet nur. Dadurch erhält man als Surfer aber eine ganze Menge an Transparenz: Es ist erstaunlich, wieviele Seiten mit solchen Dingen zugeflastert sind. Ausserdem ist es eine nette Erweiterung zu NoScript, mit dem man die Dinger dann auf Wunsch abschalten kann.

Fazit
Ich habe Ghostery mittlerweile auf allen Installationen mitlaufen.

Erste Hilfe bei SteuerID

cptsalek — 2008-09-12T11:15:00Z

Die neuen SteuerIDs sind ja auf dem Weg, bis zum Ende des Jahres wird jede/r Bundesbürger/in damit - äh - beglückt. Glücklich macht das Ding die wenigsten. Für diejenigen, die sich wundern, was daran eigentlich falsch ist: Die SteuerID ist praktisch von Geburt bis zum Tod und sogar darüber hinaus gültig. Das erhebt sie in den Stand eines Personenkennzeichens. Sie esetzt somit u.a. die Notwendigkeit der Volkszählung -- und dagegen haben sich die Bundesbürger schonmal gewehrt.
Im Gegensatz zur SteuerID wird eine Steuernummer vom zuständigen Finanzamt zugewiesen, und ist auch nur innerhalb dessen Zuständigkeitsbereichs gültig. Beim Umzug in eine andere Region bekommt der Steuerzahler also eine neue Steuernummer.

Gegen die SteuerID kann man sich zumindest eingeschränkt: Die Humanistische Union hat neben einem Erste Hilfe-Beitrag und allerlei anderen Informationen zur SteuerID auch eine Vorlage für ein Protestschreiben (PDF) herausgebracht. Das PDF enthält einige graue Felder, die man bearbeiten kann. D.h. man muß nur noch seine Adresse, das heutige Datum, und das Datum des Schreiben der Steuerbehörde eintragen, ausdrucken, und weg schicken.
Mit dem Schreiben nimmt man zur SteuerID Stellung und kann, sofern das Gerichtsverfahren, das die HU gegen die SteuerID eröffnet hat, diese bei einem positiven Ausgang anfechten.

Danke, HU!

Danke auch an Hanno Böck, beim dem ich darüber gestolpert bin.

Aufregen und aktiv werden bringts!

cptsalek — 2008-03-19T15:49:00Z

Zumindest manchmal:

Das Bundesverfassungsgericht hat das Gesetz zur Vorratsdatenspeicherung aller Telefonverbindungen teilweise gestoppt. Die Karlsruher Richter gaben damit einem von zehntausenden Bürgern unterstützten Eilantrag zum Teil statt.

Der Staat darf auf Vorrat gespeicherte Telefonverbindungsdaten vorerst nur zur Verfolgung schwerer Straftaten nutzen.

(via SPON via netzpolitik.org)

Ich hoffe, dass ist nur der Auftakt!

Puh, erstmal schlucken.

cptsalek — 2008-02-18T22:12:00Z

Also über diesen Beitrag hier muß ich erstmal schlafen. Also vorausgesetzt, daß der nicht gefaket ist. Technisch ist das auf jeden Fall machbar, entsprechende Berichte gibt es jedoch bisher nur aus den USA (SINA-Boxen, verschlossene Nebenräume in Netzwerk- und Technikzentralen...)

via Fefe

Immer schön eins nach dem anderen

cptsalek — 2007-11-24T23:00:00Z

Gestern noch forderten Politiker und Co. die Vorratsdatenspeicherung, um gegen Terroristen und Schwerverbrecher vorgehen zu können. Heute ist selbige so gut wie Realität.
Und morgen schon können dann Rechteinhaber darauf zugreifen...

Alles für die Sicherheit

cptsalek — 2007-11-22T07:47:00Z

Biometrische Merkmale wie ein digitales Bild und zwei digitalisiere Fingerabdrücke als "Sicherheitsmerkmal" gegen Fälschungen in den neuen Personalausweisen. Nun gut, seit 2001 sind ca. 260 Fälschungs- und Manipulationsversuche bekannt geworden. Das spricht für mich nicht gerade für ein gesteigertes Gefahrenpotential, das die Abnahme persönlicher Merkmale, die dann noch per Funk von jedermann ausgelesen werden können, rechtfertigt.
Und sich auf bestimmte Schlüssellängen die für die "Lebensdauer des Dokuments halten" zu verlassen ist blauäugig und kurzsichtig. Erstens geht es ja garnicht um ein einzelnes Dokument, sondern quasi um alle Dokumente, weil wohl kaum jeder Personalausweis mit einem individuellen Schlüssel ausgestattet werden wird.
Zweitens ist die Datenmenge, die ein RFID-Chip speichert, recht übersichtlich, was die Anzahl der Bruteforce-Attacken gegen den Schlüssel überschaubar gestaltet. Mit verteiltem rechnen auf vielen Computern im Netz sollte das in relativ kurzer Zeit machbar sein.
Auch wenn das Spekulationen meinerseits sind, unsere niederländische Nachbarn haben, was die nicht existierende Sicherheit ihrer elektronischen Ausweispapiere angeht, schon vor Jahren Erfahrungen gesammelt.

Es geht!

cptsalek — 2007-09-06T07:30:00Z

Na siehste, sag ich doch.
Offensichtlich haben Ermittlungen zur Verhinderung einer terroristischen Straftat geführt, und zwar in einem frühen Stadium. Nachlesen kann man das ja überall, und wer gestern die Nachrichten gehört oder gesehen hat, wird auch nicht dran vorbei gekommen sein.
Wer trotzdem einen Link möchte, kann ja mal bei Telepolis vorbei schauen. ;-)

Es gibt noch eine Reihe von Erfolgen, die die Polizei zu verzeichnen hat.

Und die waren ganz ohne Online-Durchsuchungen machbar.
Ohne Bundestrojaner.
Ohne das Verbindungsdaten ein halbes Jahr gespeichert wurden.

Kurz: Ohne Stasi 2.0.

Also weiter so. :-)

Online-Fahrkarten bei der Bahn

cptsalek — 2007-09-05T10:09:00Z

Die Bahn macht nicht gerade gut von sich reden, bei den ganzen Streikdrohungen, der anstehenden Bahnprivatisierung und so sind positive Worte Mangelware.
Hier gibts die auch nicht.

Denn die Bahn stellt das Verfahren für Online-Fahrkarten um. Für mich als Angestellter, der zwischendurch mal auf Firmenkosten auf Reisen gehen darf, hat das ebenfalls Auswirkungen, mit denen ich nicht gerechnet hätte.
Wenn man eine Fahrkarte Online kauft und bezahlt, muß man im Zug die Kredit- oder EC-Karte dabei haben, mit der das Teil auch bezahlt worden ist. Für den Privatkunden, der sowieso seine Kontodaten an die Bahn schicken muß, ist das nicht ganz so schlimm.
Obwohl die Bahn damit dem Diebstahl und somit der unrechtmäßigen Verwendungen von gestohlenen EC- und Kreditkarten Tür und Tor öffnet. Einfach EC-Karte verwenden, eine Online-Fahrkarte kaufen, ausdrucken, und dann damit im Zug auftauchen. Dann ist es auch egal, ob die Karte als gestohlen gemeldet oder sogar gesperrt wurde.

In meinem Fall zahlt meine Firma jetzt z.B. die Karte. Trotzdem muß ich mich mit einer EC- oder Kreditkarte ausweisen. Also muß ich ab sofort in unserer Datenbank auch noch meine Kontodaten hinterlegen. Die werden dann bei der Kartenbestellung an die Bahn weiter geleitet.
Und ich fage mich: WTF???
Wofür?
Wofür gibt es Personalausweise???

Diese Frage habe ich auch einer der Frauen aus unserer Personalabteilung gestellt. Sie meinte daraufhin, das hätten sie auch die Bahn gefragt. Die Antwort ist einfach genial:

Die Nummer eines Personalausweises hätte kein Anfang und kein Ende, sie würde irgendwo bei Null anfangen und dann nach oben gehen. Das könne das Computersystem nicht verarbeiten.(*)

Also mal davon abgesehen, das meine Personalausweisnummer streng genommen keine Nummer ist, weil da Buchstaben drin vorkommen - welcher Diletant programmiert denn da? Es geht doch noch nicht mal um die Personalausweisnummer. Soll die Bahn im Online-Ticket meine verdammte Adresse drucken, dann kann der Schaffner das blöde Ding einfach vergleichen. Und mir nebenbei tief in die Äuglein schauen und das mit dem Bild aus meinem Perso vergleichen.

Liebe Bahn! Ich nominiere Euch hiermit für den Big Brother-Award!
Ich kann mir richtig vorstellen wie Ihr geifernd von Euren Kunden die Daten sammelt, um sie untertänig dem Schäuble zu präsentieren, der Euch dafür vielleicht unterm Kinn krault.

*) Liebe Bahn-Programmierer! Es gibt bei der Datenbank-Programmierung einen Datentyp, der String genannt wird. Ich bin mir sicher, dass der Bund Euch gerne die Definition der Personalausweisnummer geschickt hätte.
Also ich komme auf 26 Stellen. Man könnte also sowas wie PersonalID=Char(26) machen.

Kurz zusammen gefaßt

cptsalek — 2007-07-31T10:50:00Z

Da gab es heimliche Online-Durchsuchungen, und um die auf legalen Boden zu stellen wird die Landesverfassung NRW geändert. Dann bedarf es eines FDP-Politikers, der Verfassungsbeschwerde einlegt, aber natürlich möchte die CDU ganz schnell flächendeckende Online-Durchsuchungen durchdrücken.

Jetzt schlagen die ersten Gesetzesänderungen durch, und die Entwicklung eines WLAN-Tools wird eingestellt. Gleichzeitig wird einem deutschen Sicherheitsexperten die Einreise in die USA untersagt, und er über vier Stunden festgehalten.

Na, dämmerts?

So funktionieren die Gesetzesänderungen

cptsalek — 2007-06-27T05:52:00Z

Spigel Online gibt einen Überblick über die anstehenden gesetzlichen Änderungen in Sachen Vorratsdatenspeicherung. Der Artikel heißt bezeichnenderweise Der Weg zum Spanner-Staat.

Lesenswert.

Außerdem sei auf die anstehende Sammelklage hingewiesen, bei der man sich selbst beteiligen kann. Das ganze ist kostenlos, wie der klagende Rechtsanwalt versichert. Dies kann auch schriftlich fixiert werden.

Nutzen der Technik und Zählerstände

cptsalek — 2007-06-12T16:00:00Z

Das technische Errungenschaften sowohl nützliches wie auch schädliches Potential innehaben, ist eigentlich ein alter Hut.
Ob man mit einem Beil das Kaminholz kleinhaut, oder jemand anders den Schädel einschlägt ist eine Sache des Anwenders.
Bei vermeindlich kundenfreundlicher Technik ist das nicht anders: Der Antrag vieler Stadtwerke, Gas-, Wasser und Stromzähler mit Internetzugang zu installieren, ist eigentlich nicht schlecht. Man muß zum Ablesen nicht merh zuhause sein, und alles geht vollautomatisch.
Nachteil eins: Man muß seinen Zulieferern praktisch vertrauen, da hier nur noch Technik im Spiel ist.
Nachteil zwei: Die Ableseintervalle können von den Zulieferern frei gewählt werden. Und das hat es bei näherer Betrachtung in sich:

Bisher wurde ein- oder zweimal im Jahr abgelesen. Dadurch ergab sich lediglich eine grobe Betrachtung des Abrechnungszeitraums. Die neuen, digitalen Zähler können aber praktisch minutiös Buch über den Verbrauch führen. Dadurch ergeben sich Nutzungsprofile, die Aufschluß über Gewohnheiten und dergleichen bieten. Eine Toilettenspülung verbraucht immer einen gewissen Satz Wasser. Unter Berücksichtigung der Durchflußgeschwindigkeit (Wasserdruck) läßt sich ermitteln, ob z.B. jemand duscht, oder sich die Hände wäscht.

Dadurch wird das Nutzerverhalten transparent. Für die Firmen ist das nicht nur zur Produktoptimierung interessant. Im Heiseforum zeigen sich einige nicht ganz so abwegige Beispiele dafür: Übermäßiger Toilettenverbrauch könnte auf Krankheiten schließen lassen und werbetechnisch vermarktet werden, oder auf die die Anwesenheit nicht gemeldeter Personen hindeuten. Terroristische Vorgänge oder die unrechtmäßige Abwesenheit von Arbeitslosen können ebenso erkannt werden, wie eine gefälschte Krankmeldung.

Zugegeben, einiges davon hört sich witzig an. Aber vor einigen Jahren hörte sich auch noch vieles unmöglich an, was heute gang und gäbe ist. Vergessen sollte man nicht, daß alle Daten heutzutage gespeichert, und in irgendeiner Form weiter gegeben werden.
Davon sind auch die Städte und Gemeinden nicht ausgeschlossen, die z.B. bei Um- und Neuanmeldungen die Daten der Bürger verkaufen, wenn diese dem nicht explizit widersprechen.
Es ist also garnicht so unwahrscheinlich, daß es bei der Montage dieser Zähler, oder irgendwann danach, zu einer Anpassung der Datenschutzklausel in den AGBs kommt, die eine derartige Nutzung der Daten möglich macht.

Ne, habe ich nicht!

cptsalek — 2007-06-12T08:39:00Z

Via: datenschutzzentrum.de
Via: strcat.de

Alltag Überwachung

cptsalek — 2007-05-27T19:51:00Z

Danke, tagesschau.de!
Also anschauen, und den Film runterladen, entweder in Form von vier thematisch sortierten Teilen, oder aber als ganzes.

Hacker sind Terroristen. Systemadministratoren auch

cptsalek — 2007-05-26T16:08:00Z

Bereits letzten Mittwoch wurden die deutschen Gesetzestexte durch eine weitere Veränderung beglückt. Was daraus folgt ist die Kriminalisierung aller Systemadministratoren und Hackern im klassischen Sinne, die sich privat oder beruflich mit Computersicherheit zu tun haben.
Ab jetzt ist praktisch schon der Besitz von Anwendungen, die einen in die Lage versetzen, in ein Computersystem einzudringen, nach Sicherheitslöchern im System zu suchen, oder Daten zu verändern.

Was auf dem ersten Blick für Otto-Normaluser ganz nett klingt, ist der Kopfschuß für jegliche Form der Computersicherheit, vor allem für die Arbeit aller Sicherheitsleute - egal ob beruflich oder privat.

Wie so oft können die Werkzeuge, die hier zur Diskussion stehen, zu illegalen oder schadhaften Zwecken eingesetzt werden, ähnlich wie mit einem Hammer eine Scheibe eingeschlagen, oder mit einer Kneifzange eine Kette durchtrennt werden kann.

Dabei sind diese Tools wichtig, da man auf den eigenen Systemen vorhandene Sicherheitslücken aufspüren kann. Dies fängt beim einfachen Port-Scanning an, wo man überprüfen kann, welche Ports offen sind, also welche Dienste laufen.
Tools wie Satan oder den Nachfolger Saint können laufende Dienste nicht nur erkennen, sondern erkennen auch die Version, und können anhand dieser Information auf Wunsch gezielt Angriffe fahren. Für einen Administrator ist dies vor Inbetriebnahme eines Servers die Lebensversicherung schlechthin, denn Sicherheitslücken die man selber findet kann man beheben, und somit sicherstellen, daß kein Angreifer von außen auf dieselbe Idee kommt.

In der Praxis könnte man also für den Besitz und die Anwendung dieser Tools bestraft werden. Ehrliche bzw. gesetzestreue Administratoren können also diese Tests nicht mehr durchführen.
Aber die Rettung naht:

CCC: Auf dem Jahreskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat Innenminister Schäuble die geplante Zertifizierung "vertrauenswürdiger" Sicherheitsdienstleister angekündigt.

Das ist natürlich mal eine coole Nummer, denn eine derartige Zertifizierung ist mitnichten ein Garantiesiegel für hohe Qualität, sondern eher eine Form der Monopolisierung, wie der CCC in seinem Artikel feststellt.
An dieser Stelle kommt natürlich auch der Bundestrojanier ins Spiel, denn wer ein derartiges Zertifikat sein Eigen nennt wird entsprechend loyal seinem Arbeitgeber bzw. Zertifizierer gegenüber sein, und die Existenz des staatlich sanktionierten Schädlings in seiner Arbeit berücksichtigen.

Quelle: