Mikroform : Deutschland – 1 : 0

15. Dezember 2008 um 03:30 Keine Kommentare

Wie die Frankfurter Rundschau berichtet sind am Freitag Tausende von Kontoverbindungs- und Überweisungsdaten (!) geleakt, auch Kreditkarte-Geheimnummern sollen nach Angabe der FR dabei sein. Zugespielt wurden die Daten der Zeitung auf Mikroform. Wie fefe treffend bemerkt sollte eine Bank solche Daten sowieso nicht an einen Dienstleister outsourcen und unverschlüsselt durch die Gegend transportieren; was einmal gesammelt und weitergegeben wurde, ist nicht mehr zu kontrollieren.

Ich könnte mir vorstellen, dass Mikroform verwendet wurde, weil die Kreditkarten-Daten zur Archivierung aufbewahrt werden müssen – für die Langzeitarchivierung eignet sich nun mal am Besten noch immer Mikroform. Praktisch auch: Whisteblowing mittels physischer Datenträger wie Mikroform ist in unserem Deutschen Ãœberwachungsstaat besser möglich, da es ungleich schwieriger abgehört werden kann. Bei Telefon und Email sorgen Vorratsdatenspeicherung und Reichssicherheitshauptamt BKA-Gesetz nämlich dafür, dass Informanten abgeschreckt werden.

Da fällt mir ein weiteres Beispiele ein, wo Bibliotheks- und Informationswissenschaft und der derzeit stattfindende Rückbau des Rechsstaats sich treffen: beim mg-Prozess (Hintergrund) berichtete eine BKA-Vertreterin, wie mit Hilfe einer BfV-Datenbank versucht wurde, einen Urheber festzustellen. Die so „Ermittelten“ sitzen seit Ende Juli 2007 wegen schlechtem Retrieval in Haft. Wundern sollten diese Fällen eigentlich nicht – in einem Land, wo sich Personen in Polizeigewahrsam spontan selbstenzünden, ist vieles möglich. Richtig ist es dadurch noch lange nicht.

Vorratsdatenspeicherung fördert Korruption

17. Januar 2008 um 16:16 Keine Kommentare

Ãœber den 2006 gegründeten Whistleblower-Netzwerk e.V. bin ich auf das „Business Keeper Monitoring System“ (BKMS) der BUSINESS KEEPER AG gestoßen. Whistleblower (deutsch „Hinweisgeber“) sind Personen, die Missstände wie verschleierte Gefahren, Korruption und andere nicht-aufgedeckte illegale Aktivitäten an die Öffentlichkeit bringen.

…also in etwa das Gegenteil der drei Affen (nichts sehen, nichts hören, nichts sagen) – die im Japanischen Original übrigens ganz anders interpretiert werden. Allerdings sollte Whistleblowing nicht mit dem Herumkrakelen und Gezeter über Mißständen verwechselt werden, die eigentlich längst bekannt sind und/oder sich leicht auf anderem Wege abstellen ließen.

Für tatsächliche Fälle von Korruption, Machtmißbrauch, Veruntreuung etc. sind Hinweisgeber nicht nur für die Öffentlichkeit, sondern auch für Unternehmen eigentlich von großem Nutzen – wenn jeder dichthält und Probleme unter den Teppich gekehrt werden, wachsen diese meist immer weiter, bis es zum großen Knall kommt (Skandal, Pleite etc.). Leider haben es Hinweisgeber mangels Schutz in Deutschland eher schwer und selbst in Ländern mit spezielle Whistleblower-Schutzgesetzen wird der Hinweisgeber als Ãœberbringer einer schlechten Nachricht oft selbst dafür verantwortlich gemacht und als Nestbeschmutzer diffamiert. Hilfreich sind deshalb Möglichkeiten, Beschwerden anonym abgeben zu können, was für an US-Börsen notierte Unternehmen sogar vorgeschrieben ist.

Das „Business Keeper Monitoring System“ ist ein mit EU-Mitteln gefördertes, kommerzielles Produkt, mit dem Unternehmen eine anonyme Beschwerdestelle einrichten können. Unter bkms-system.net finden sich beispielsweise Anlaufstellen des Landeskriminalamt Niedersachsen, der Deutschen Telekom AG und der Kaufmännischen Krankenkasse KKH. Ãœber ein Ticket-System, das ähnlich wie ein Toter Briefkasten funktioniert, ist auch die bidirektionale anonyme Kommunikation zwischen Hinweisgeber und Anlaufstelle möglich. Die Gute Idee wird jedoch durch mangelnde Implementation und nicht zuletzt die Vorratsdatenspeicherung torpediert.

Zum einen erfordert BKMS unverständlicherweise zur Benutzung JavaScript, was völlig unnötig ein potentielles Sicherheitsloch in das Verfahren reißt. Zum anderen ist es mit der Anonymität nicht weit her, wenn Verbindungsdaten ohne Tatverdacht erstmal ein halbes Jahr gespeichert werden. Investigative Journalisten wissen schon davon zu berichten, dass ihnen Informaten abspringen, weil sie nicht mehr sicher kommunizieren können. Wie soll sich ein Hinweisgeber sicher sein, dass seine Kontaktaufnahme mit der Anlaufstelle ihm nicht negativ angelastet wird? Ein zweifelhaftes Webformular bringt wenig, wenn nicht erklärt wird, wie man anonym (z. B. mit Tor) und verschlüsselt auf die Seite zugreifen kann. Ich empfehle der BUSINESS KEEPER AG erstmal JavaScript wegzuschmeissen und dann einen Tor-Exit Node für ihre Seite aufzusetzen, dann könnte es es mit der Anonymität klappen.

Dass sich auf der Seite des amerikanischen National Whistleblower Center ebenfalls nichts zu Verschlüsselung findet, macht die Sache auch nicht besser. Dass dagegen die Telekom eine Hinweisstelle für Whistleblower eingerichtet hat, während sie gleichzeitg Verbindungsdaten speichern muss, hat schon was ironisches.

Gekommen bin ich auf das Thema Whistleblowing übrigens über Mordechai Vanunu. Der Träger des Alternativen Nobelpreises hatte 1986 das Atomwaffenprogramm Israels publik gemacht. Daraufhin wurde er vom Mossad in Italien entführt und saß 11 Jahre in Isolationshaft. Seit 2004 ist er sozusagen in offenem Vollzug, d.h. er darf Israel nicht verlassen und sich nicht mit Ausländern unterhalten, weshalb er zwischenzeitlich wieder inhaftiert wurde. Dazu gibt es auf YouTube einen guten BBC-Film.

Weitere Informationen zum Thema gibt es unter Anderem im Weblog des Whistleblower-Netzwerk e.V. – dort lässt sich dann beispielsweise nachlesen wie im Lande des so genannten „Hessenhitler“ die Steuerfahndung intern an Aufklärung behindert wird.

Friendly Fire

27. November 2007 um 01:20 Keine Kommentare

Dass mit so genannten „nicht-tötlichen Waffen“ (noch euphemistischer: „nicht-letales Wirkmittel“) wie zum Beispiel Elektroschockpistolen schon zahlreiche Menschen getötet wurden, ist dank YouTube-Kultur nicht mehr ganz so unbekannt. Die nächste Entwicklung des Sicherheitswahns stellt Kai Raven vor: Killer-Roboter, die auch als besonders geeignet für den Einsatz gegen Demonstranten beworben werden. Die Robotergesetze sind ihnen eher fremd, stattdessen wird die Reizschwelle, gegen andere Menschen vorzugehen, weiter gesenkt – „wir haben nicht geschossen, das war der Robi, dieser Schelm!“, „Ach lass ihn noch ein wenig schießen, ist er wird ja nicht müde und die meisten gehen doch nicht von tot!“ etc. Die Zahl der Opfer des Straßenverkehrs (über 5.000 pro Jahr) ist übrigens zumindest in Deutschland noch ungleich höher als die der Opfer eines irregeleiteten Sicherheitsverständnisses, wobei es mitunter auch Ãœberschneidungen gibt.

Rückwärts in den Überwachungsstaat

13. November 2007 um 01:47 Keine Kommentare

Mit 366 zu 156 Stimmen bei zwei Enthaltungen ist letzten Freitag heute die Neuregelung der Telekommunikationsüberwachung im deutschen Bundestag verabschiedet worden. Damit werden in Zukunft von allen Bürgern alle Verbindungsdaten für ein halbes Jahr gespeichert (und sobald sie einmal unkontrolliert kopiert worden potentiell dauerhaft) – das heisst, wer wann von wo mit wem telefoniert hat, wer wann wem eine Email geschickt hat und wer wann mit welcher IP-Adresse im Internet unterwegs war.

Wie dieser Rückschritt in den Ãœberwachungsstaat zustande gekommen ist, dokumentiert Beitrag Rückwärts in den Ãœberwachungsstaat weiterlesen…

Wer überwacht die Überwacher?

6. November 2007 um 00:47 Keine Kommentare

Ein Artikel in Telepolis beschert der Aktion Ãœberwach! eine Menge Besucher und Aufmerksamkeit. Webseitenbetreiber können ein Stück HTML-Code auf ihre Seiten einbinden, durch das diese dabein helfen können, das Seitenbesuche aus deutschen Ministerien aufgezeichnet werden – und so den Volksvertretern Vorratsdatenspeicherung und Ãœberwachungsstaat am eigenen Leibe näherbringen (ich hoffe, sowas lässt sich auch auf EU-Ebene machen, dort werden noch üblere Pläne zur Totalüberwachung ausgeheckt).

Leider hat die Aktionen einen Geburtsfehler, die bereits bei dataloo diskutiert wird: Es lassen sich grundsätzlich alle Seitenbesucher überwachen – weshalb ich mich bislang nicht am Datensammeln beteilige. Stattdessen habe ich mal wieder meine angestaubten PHP-Kenntnisse hervorgekramt und eine Serverseitige Vorfilterung gebastelt.
Beitrag Wer überwacht die Ãœberwacher? weiterlesen…

Mehr Unsicherheit mit dem neuen Reisepass

9. Juli 2007 um 16:14 Keine Kommentare

Heute habe ich beim Einwohnermeldeamt meinen neuen Reisepass mit biometrischen Daten abgeholt (siehe auch die Werbeseite zum ePass). Wer ebenfalls etwas dagegen hat, dass auch noch Fingerabdrücke gespeichert werden, sollte sich bis Oktober beeilen, denn obwohl praktisch alle bisherigen Terrorakte ohne gefälschten Pass durchgeführt wurden und auch mit biometrischen Pässen nicht verhindert worden wären, wird weiter aufgerüstet.

Einen Hinweis auf den im Pass enthaltenen RFID-Chip und die damit verbundenen Sicherheitsprobleme gibt es bei der Ausgabe nicht. Eigentlich sollte jedem Reisepass gleich eine Schutzhülle gegen unbefugtes Auslesen beigelegt werden. Bereits letztes Jahr wurde gezeigt, dass sich vom ePass Kopien anfertigen lassen, die von elektronischen Lesegeräten nicht vom Original unterscheidbar sind. Einen schönen Vortrag zum Auslesen und Simulieren von RFID-Chips gab es übrigens auf dem 23C3.

Angesichts dass, vorangetrieben von dem Verfassungsfeind Wolfgang Schäuble, die nach 1945 eingeführte Trennung von Geheimdienste, Polizei und Militär immer weiter aufgeweicht wird und Techniken eingeführt werden, von denen die Stasi nur träumen konnte, muss einem schon unheimlich werden. Da hilft auch die Ich-habe-doch-nichts-zu-verbergen-Ausrede im Biedermann’schen Sinne nichts: Wenn Kopien eines Reisepasses zu oft an den falschen Orten auftauchen, drohen dem damit Verdächtigen Passinhaber bald schnell nicht nur Handy- und Internetverbot sondern, wie Schäuble vorschlägt, gar die „gezielte Tötung“. Wer einmal – warum auch immer (falscher Name, falscher Urlaubsort, zufällig neben der falschen Person gesessen etc.) – auf deiner der vielen Listen von Terrorverdächtigen gelandet ist, hat halt Pech gehabt – nach der neuen Anti-Terror-Doktrin sind wir doch schließlich alle potentielle Terroristen.