Dez23

Ich wünsche allen Lesern ein frohes Weihnachtsfest, eine stressfreie Zeit und viel Frieden und Entspannung. Dies wird in diesem Jahr der letzte Artikel sein, erst 2009 geht es dann weiter. Ich selbst brauche einfach auch noch mal etwas Abstand von Ärgereien rund um die Politik, Datenschutz-Praxis und auch mal etwas Polemik-freie Zeit. Daneben erfordert zur Zeit eine private Angelegenheit meine volle Aufmerksamkeit, weswegen es hier auch nicht unbedingt zum 1.1.09 direkt weitergeht.

Entspannt euch alle ein bisschen. Und denkt an meinen Vorschlag, speziell zu Weihnachten: Das Handy auch mal ausschalten. Sollte dann in den nächsten 7 Tagen auch mal fürs Internet gelten. Wenn Weihnachten “besinnlich” sein soll, muss man auch die Muße aufbringen, sich auf etwas besinnen zu können – ich empfehle, hier einfach über das nachzudenken, was einem wirklich wichtig ist. Und was nicht.

Dez23

Zum letzten Mal in diesem jahr hier die gesammelten News zum Thema Datenschutz der letzten Woche:

Dez20

Ich habe, aus aktuellem Anlass, eine Darstellung zum §202c StGB (dem so genannten “Hackerparagrafen”) erstellt, zu finden hier.

Leider ist die Zeit zu knapp, um mehr dazu zu schreiben – vielleicht findet der ein oder andere Jurist die Idee aber reizvoll und bringt noch was dazu. Dabei finde ich die Idee (in meiner Darstellung am Ende, vor (3)) interessant, den §202c StGB im Rahmen des Integritäts-Grundrechts auszulegen.

Dez19

Ich hatte hier schon was zur Jugendpornographie geschrieben, dem aufmerksamen Leser wird dabei aufgefallen sein, dass ich das Wort “verfassungswidrig” nicht genutzt habe – auch wenn es, zumindest auf einer sehr theoretischen Ebene, nicht abwegig ist.

Das BVerfG hat sich damit beschäftigt und kommt zum Schluss, dass es kein Problem ist – die Begründung aber verwirrt noch ein wenig.

Dazu im Beck-Blog und der Volltext bei TechnoLex. Ich kann und will hier momentan nichts dazu schreiben, ich muss den Beschluss noch in Ruhe analysieren – zur Zeit schreibe ich an was anderem.

Dez19

Nachdem der Innenausschuss den ePerso abgesegnet hat, wurde er nun auch vom Bundestag durchgewunken. Zu den Fakten aus dem Heise Bericht:

Der Ausweis im Scheckkartenformat soll ab November 2010 ausgegeben werden. Auf ihm sollen neben dem digitalisierten Foto des Inhabers zwei Fingerabdrücke und ein elektronischer Identitätsnachweis gespeichert werden können. Während das Foto auf dem Ausweis Pflicht ist, soll die Aufnahme von Fingerabdrücken bis auf Weiteres für jeden Bürger freiwillig sein.

Darüber hinaus bietet der neue elektronische Personalausweis die Möglichkeit, eine elektronische Signatur auf einem kontaktlos auslesbaren Chip zu hinterlegen.
Die Zusatzfunktion fürs Internet soll die verbindliche elektronische Übermittlung von Identitätsmerkmalen ohne biometrische Daten in Online-Anwendungen und in lokalen Verarbeitungsprozessen etwa an Automaten gestatten.

Die Grünen hatten noch beantragt (hier ist der Antrag als PDF), keine biometrischen Merkmale aufzunehmen. Wurde natürlich abgelehnt, aber: Der Antrag ist lesenswert, weil hier die Risiken ganz anschaulich zusammengefasst werden.

Ich habe zum Thema ePerso schon was geschrieben, hier zum weiterlesen:

Dez19

Bericht bei Heise:

Das Institut für Internet-Sicherheit hat an realen Datenströmen gemessen, dass je nach Umgebung nur 5 bis 15 Prozent der Daten überhaupt verschlüsselt werden, und davon bis weit über die Hälfte mit veralteten Verfahren. Nach Erkenntnissen der Gelsenkirchener Forscher kommt es sogar gelegentlich vor, dass eine scheinbar geschützte SSL-Verbindung – am “https” in der Browser-Adresszeile erkennbar – vollkommen unverschlüsselt ist, also im Klartext mitlesbar.

Dazu passt die Meldung, dass wohl noch stärker als ohnehin vermutet, veraltete SSL-Zertifikate im Umlauf sind.

Dez19

Wie immer ein paar Hinweise auf internationale News – hier könn(t)en sich Trends für Deutschland erkennen lassen:

  1. Die Daily Mail berichtet, dass in London zwar sehr viele Kameras hängen – aufgrund von Sparzwängen aber immer seltener auch ausreichend Menschen zur Kontrolle vor den Monitoren sitzen. Damit wird natürlich die Kritik genährt, dass Kameras letztlich bestenfalls zur Aufklärung stattgefundener Verbrechen beitragen können – aber sie eben nicht verhindern können.
  2. ORF berichtet, dass in Österreich Klagen gegen sp genannte Personensuchmaschinen geplant sind.
  3. Yahoo möchte, so wird berichtet, IPs nach 90 Tagen anonymisieren.
Dez19

Im Sicherheitsblog ist ein schöner Artikel zum Thema Anonyme Handy-Nutzung, hier zu finden.

Auch wenn die Idee an sich (speziell die Tauschbörsen) immer wieder einen gewissen Charme hat, muss ich weiterhin davor warnen: ich sehe die Gefahr von Durchsuchungsbeschlüssen, weil mit Handykarten “Unsinn” getrieben wird, die auf einen registriert sind. Das Lawblog hat inzwischen berichtet, dass sowas in der Praxis auch vorkommt.

Dabei ist der Einwurf von Vetter vollkommen berechtigt: Man kann Pre-Paid Karten bei manchen Anbietern ganz leicht auf Dritte registrieren. Man muss also nicht unbedingt tauschen, nur um Betroffen zu sein.

Dez18

Die Telekom bleibt verpflichtet, Strafverfolgungs- und Sicherheitsbehörden Auskünfte über Inhaber eines Internetanschlusses mit „dynamischen“ IP-Adressen zu erteilen. Einen im September 2008 beim Verwaltungsgericht Köln gestellten Eilantrag mit dem Ziel, diese Verpflichtung vorerst auszusetzen, lehnte das Gericht mit einem heute den Beteiligten bekannt gegebenen Beschluss ab.

Beitrag weiterlesen »

Dez18

Es tut mir leid, wenn ich es mal so offen sagen – der Bericht von Heise schockiert mich kein bisschen:

Eine Mitarbeiterin der drittgrößten deutschen Landesbank hat versehentlich eine Datei mit Daten von mehr als 800 Geschäftskunden per E-Mail an einen völlig unbeteiligten Privatmann verschickt. […] Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten. “Aufgrund eines Buchstabendrehers in der Adresse” landete die Datei dann in den falschen Händen, hieß es.

Der unbedarfte Leser glaubt das nicht. Und bevor ich hier aus dem Nähkästchen plaudere, zitiere ich mal einfach aus einer Meldung, ebenfalls bei Heise, gerade mal ein gutes halbes Jahr her:

Daten von rund 44.000 Studenten der Universität waren im Netz frei zugänglich. […] Die Untersuchung des Vorfalls hat ergeben, dass ein Verwaltungsangestellter offenbar an einem Wochenende zu Hause arbeiten wollte und dafür die Daten, eine Access-Datenbank unter anderem mit Namen, Geburtsdatum, Anschrift, Telefonnummer, Herkunft sowie Angaben zum Studium wie Matrikelnummer, auf einen öffentlich zugreifbaren Server abgelegt hat;

Man muss schon jenseits von “Naiv” sein, um die Parallelen hier zu übersehen. Gleiches gilt, wenn man ernsthaft glaubt dass das eine Ausnahme zwei Ausnahmen waren. Alleine in diesem Jahr erhielt ich u.a. Kenntnis von diesen Vorgängen (nicht in meinem unmittelbaren Umfeld!):

  • Mail von Rechtsanwalt mit persönlichen Daten ging wegen eines “Drehers” beim Tippen an den falschen Empfänger
  • In einem Brief eines Anwalts an einen Mandanten waren beim Eintüten auch andere Schreiben gelandet
  • Die mobile Festplatte mit Komplett-Backups (natürlich ohne Verschlüsselung) war “plötzlich weg”. Konnte zum Glück relativ schnell geklärt werden und war harmlos.

Dass Mitarbeiter sich Unterlagen mit nach Hause nehmen zum Arbeiten ist heute selbstverständlich. Manche Unternehmen machen es sich einfach, verlangen von ihren Angestellten umfassende Leistungen (die im Büro gar nicht möglich z uerbringen sind), geben ein Rundschreiben raus, dass man nichts mit nach Hause nehmen darf – und “wundern” sich dann, wenn ungesichert Daten transportiert werden. Aufgeschrieen wird dann auch noch, wenn jemand wie ich, nicht einfach nur mit dem Finger auf die Angestellten zeigt, sondern das Unternehmen in die Pflicht nimmt, dass hier für mich weiterhin Verantwortung trägt.

Das Problem der ungesicherten (und großteils ungewollten, ob nun ernsthaft oder nur zum Schein) Datentransporte durch Angestellte sollte jedes Unternehmen angehen, bevor was geschieht. Um das anzugehen, muss man natürlich auch sehr viel Ehrlichkeit an den Tag legen und die eigenen Arbeitsbedingungen vernünftig durchleuchten – daran scheiter wohl häufig dieser Schritt. Bis man dann in der Presse steht – etwas, das auch den “kleinen” jederzeit geschehen kann.

Dez18

Wenn man diesen Artikel bei Heise liest, sollten kleine Alarmglocken angehen:

Von dieser Idee (Kleine-Welt-Phänomen) ließ sich nun Marian Boguna von der Universität Barcelona inspirieren. Er konnte erstmals zeigen, dass sich dieser Ansatz auch auf Internet-ähnliche Netzwerke anwenden lässt. In einem Aufsatz, der in der Fachzeitschrift “Nature Physics” veröffentlicht wurde, demonstrierte er zusammen mit seinem Team, dass sich aus der Theorie ein Protokoll erstellen lässt, das Router die verlässliche Weiterleitung von Informationen ermöglicht, ohne zu viele Daten über das Gesamtnetzwerk zu besitzen. Dabei orientiert sich der Router unter anderem am physischen Ort sowie jenen Daten, die zuletzt erfolgreich übertragen wurden. Das Ergebnis: Die Routing-Tabelle konnte signifikant verkleinert werden. Boguna will seine Technik bald in einer echten Internet-Simulation testen.

Ich rate nochmals dazu, den Artikel bei Wikipedia zum Thema zu lesen. Und auch die Kritik nicht nur überfliegen ;)

Das Phänomen mag ich und habe damit an sich kein Problem, das ist hier nicht das Thema. Ich sehe vielmehr an einer anderen Stelle eine Gefahr: Es ist, gerade in einer zunehmend vernetzten Welt die von einfacher und kostengünstiger Kommunikation geprägt ist, zu erwarten, dass das “Kleine-Welt-Phänomen” zunehmend Realität wird – die Ansätze der Kritik werden ja heute gerade ausgehebelt durch die Telekommunikation. Der Artikel bei Heise, die Idee das Internet-Routing durch dieses Erscheinungsbild zu optimieren, spricht ja ebenfalls für eine gewisse zunehmende Praxisnähe.

Unser sicherheitspolitisches Denken aber ist immer noch im letzten Jahrhundert verwurzelt und setzt vor allem an einem Punkt an: Den Kontakten. Wer Kontakte zu einem “Verdächtigen” hat, läuft Gefahr sehr schnell selbst zum “Verdächtigen” zu werden. Noch vor 100 Jahren war dieses Denken auch so falsch nicht – heute ist es zunehmend fatal. Mein Standardbeispiel ist eBay: Weiss man heute noch, welchem Verkäufer man dort noch vor Wochen mal eine Frage gestellt hat (und somit in seinen Mails vielleicht auftaucht)?

Eine grosse Gefahr lauert an diesem Punkt: Je stärker das “Kleine-Welt-Phänomen” von der Theorie zur Praxis mutiert, umso stärker muss der Kontakt als Moment zur Verdachtsgewinnung schwinden. Einen Schritt weiter muss man auch Fragen, ob aufgrund der hohen Abstraktheit unserer Daten (Stichwort: identitätsdiebstahl) reine Datenspuren heutzutage überhaupt noch grundsätzlich zur Verdachtsgewinnung geeignet sind. In Zeiten, in denen wir Fingerabdrücke nachahmen können, sind selbst diese Spuren zunehmend kritisch zu betrachten.

Das nur als Gedankenanstoß vor den Feiertagen.

Dez18

Der Presseschauer berichtet, dass FAZ.NET auf den Einsatz von Google Analytics verzichtet. Damit geht die Reihe prominenter Verweigerer weiter, nach dem Landtag in NRW und SPON verzichtet damit ein weiterer grösserer Name auf das immer noch beliebte Tool.

Hinweis: Zum Thema bitte das Dossier hier beachten.

Dez18

Ich sammle in diesem Artikel einfach einmal die verschiedenen Beiträge, die ich zu Google Analytics bisher verfasst habe um eine Art “Dossier” zu erstellen.

Vorab nochmal meine Einschätzung zum Thema “Google Analytics”, die nicht unumstritten ist, sich aber zunehmend durchsetzt:

  1. Ich stufe IPs ausnahmslos als personenbezogenes Datum ein. (Im Detail lege ich das inzwischen hier dar)
  2. Die Übermittlung von IPs an Dritte ist daher ein datenschutzrechtlich bedeutsamer Vorgang, der grundsätzlich der Einwilligung der Betroffenen bedarf.
  3. Die Übermittlung von IPs in Drittstaaten außerhalb der EU, wie die USA, ist nur in Ausnahmefällen zulässig.

Aufgrund meiner Einschätzung ist daher die Nutzung eines Dienstes wie Google Analytics (in der jetzigen Form, ich schlage ja ein zulässiges Alternativ-Verfahren vor) schon per se ohne Einwilligung der Betroffenen gar nicht möglich. Der Punkt 3 (der in NRW gerade Thema ist) spielt daher bei mir keine Rolle mehr. Meine Kritik wird inzwischen von den Landesdatenschutzbeauftragten geteilt.

Hier nun die Links zum Lesen:

Nachtrag am 4. Dezember 2009:

Nachtrag am 26. Mai 2010:

Dez17

Unsere Bundesregierung. Immer am Puls der Zeit und ganz nah an den Sorgen der Bürger. Bei HIB ist doch allen ernstes zu lesen:

Die Bundesregierung ist der Auffassung, dass die Speicherungspflichten von Daten keinen unzulässigen Einschüchterungseffekt erzeugen. Dies teilt sie in ihrer Antwort (16/11139) auf eine Kleine Anfrage der FDP-Fraktion (16/10952) mit. Ein solcher Einschüchterungseffekt sei auch früher nicht wahrgenommen worden, obwohl bereits vor der Einführung von Flatrates vergleichsweise viele Daten im Rahmen privatrechtlicher Vertragsverhältnisse zwischen Kunden und Telekommunikationsunternehmen gespeichert worden sind, für die gesetzliche Zugriffmöglichkeiten der Behörden bestanden.

Gut, der vernunftbegabte Mensch meint nun, dass der Hinweis auf die Flatrates sicherlich richtig ist. Dass es aber vielleicht ein Unterschied ist, heute darüber nachzudenken, nachdem es eine staatliche Pflicht ist zu speichern und nachdem es offensichtlich ist, dass der Staat nun verstärkt zugreifen möchte auf diese Daten. Vielleicht ist die Situation heute nunmal anders als “früher”, gerade wegen der öffentlichen Thematisierung, heute weiss man einfach, was Kommunikationsdaten sind – nämlich Verdachtsmomente.

Wer nun halbwegs auf dem laufenden ist, der wird sich erinnern, dass es ja eine Forsa-Umfrage gegeben hat (hier zu finden), die nun genau das Gegenteil aussagt. Die Fragesteller haben die Bundesregierung auf eben diese Umfrage hingewiesen – also wie entkräftet die BReG die Ergebnisse der Umfrage nun? Ich zitiere mal:

Die Bundesregierung erinnert daran, dass die in Bezug genommene Meinungsumfrage nach Angaben des Arbeitskreises Vorratsdatenspeicherung von diesem, dem eco-Verband der deutschen Internetwirtschaft, dem Deutschen Fachjournalisten- Verband und der JonDos GmbH in Auftrag gegeben wurde. Die
Webseite des Arbeitskreises Vorratsdatenspeicherung suggeriert indessen beispielweise, dass die gespeicherten Daten dem Staat ohne weiteres, also ohne das Dazwischentreten weiterer Befugnisnormen zur Verfügung stünden. […]

Damit wird durch unrichtige und verzerrende Darstellungen erst der Effekt erzeugt, der dem kritisierten Gesetz unterstellt wird (vgl. dazu Rath, „Aus Angst wird weniger telefoniert“, die tageszeitung vom 6. Februar 2008, S. 3: „Die Umfrage ist also eher einBeleg dafür, welche Folgen die übertriebene Öffentlichkeitsarbeit der Kritiker haben kann.“).

Mal deutlich: Der AK VDS ist also Schuld. Der verunsichert nämlich die Öffentlichkeit gezielt mit Fehlinformationen und denunziert die Bundesregierung. Der AK VDS ist hier der Böse und wo ich es lese (In der Antwort der BReG ab Seite 6 a.E.) fällt es mir wie Schuppen von den Augen: Wir haben wieder einen Zeitpunkt erreicht, an dem Bürgerrechtler von einer rechtsstaatlichen Regierung als “Täter” bezeichnet werden. Bei aller Dramatik, die ich in diesem Blog gerne wähle: Das was hier zwischen den Zeilen steht ist kein benehmen für eine Bundesregierung, die ihre Kritiker ernst zu nehmen hat.

Dazu auch Lesenswert: Hal Faber (Absatz 3).

Dez17

Meldung via HIB:

Der Innenausschuss hat in seiner Sitzung am Mittwochvormittag dem Entwurf eines Gesetzes über Personalausweise und den elektronischen Identitätsnachweis (16/10489) zugestimmt. Die Koalitionsfraktionen von CDU/CSU und SPD votierten für den Gesetzentwurf der Bundesregierung; die Opposition stimmte geschlossen dagegen. Am morgigen Donnerstag soll das Gesetz im Plenum des Bundestages abschließend beraten werden.

Ich habe dazu schon so viel geschrieben, das es hier nur die Links zum Nachlesen gibt: