Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2016

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


12.06.2016 - Hacker-Interview: Warum das Recyclen von Passworten keine gute Idee ist

Die Zeitungen berichten von von spektakulären Passwortverlusten und gehackten Accounts von Tech-Promis wie Zuckerberg, Twitter-Gründer Ev Williams, und viele Prominente wie Drake und Katie Perry. Fakt ist, dass derzeit eine riesige Zahl von Passworten auf dem Markt angeboten wird: "167 million user accounts from LinkedIn, 360 million from MySpace, 68 million from Tumblr, 100 million from the Russian social media site VK.com, and most recently another 71 million from Twitter, adding up to more than 800 million accounts and growing". In einem Interview mit Wired behauptet der Verkäufer, dass er weitere Milliarde auf Vorrat hat: "about seven [websites, Social media and email services, mainly] which are over the 100M user count. If I include smaller ones — 20M, 60M, etc. — another five." (Wer Adblocker nutzt muss die Website bevor sie wieder verschwindet mit Copy/Paste in einem Editor übernehmen, bzw. hier ist die deutschsprachige Seite zu diesem Interview bei heise.de)

Warum gibt es z.B. für mittlerweilse wohl meist inaktive MySpace Accounts, LinkedIn-, Tumblr und Twitter-Accounts so viel Geld? Der Hauptgrund ist wohl Passwort-Recycling, d.h. Nutzer verwenden das selbe Passwort auch für andere Websites. Auf diese Weise reicht es für die Hacker, den vernachlässigten MySpace account zu hacken und schon sind sie auch in Gmail oder Hotmail drin, vielleicht sogar am Bankkonto. Und da macht es auch nichts, dass die meisten der Daten aus den Jahren 2012 und 2013 stammen, wer ändert denn schon regelmäßig sein(e ?) Passwort(e ?)?

An die Daten ist er wohl zusammen mit anderen Russen durch Angriffe auf die jeweiligen Websites gekommen. Wobei diese Websites es dann Hackern zum Teil auch recht leicht gemacht haben: MySpace-Passworte sind zwar gehasht, aber nicht gesalzen (ohne Salz ist das Cracken von Passwort-Hashes durch Brute Force sehr einfach, mehr zum Thema Salzen an anderer Stelle).

Noch eine spezielle Aktualisierung im Juni 2016: der Standard weißt darauf hin, dass alle die in 2012 in LinkedIn waren, ganz dringend ihr Passwort ändern müssen und zwar überall dort, wo sie das gleiche Passwort auch noch verwenden.
 


 


05.06.2016 - Fragen und Antworten zu Überwachung

Anlass dieses Posts ist eine Anfrage eines Studenten aus Köln, der auf meine Website aufmerksam geworden war, aber Fragen zu meiner Einschätzung hatte. Ich habe die Antwort hier publiziert, weil ich denke, dass dies auch andere interessieren könnte. (Q: ist jeweils die Frage, mit P.S.>>> beginnt dann meine Antwort

Q: Ich würde sie gerne fragen, wie hoch sie die Wahrscheinlichkeit einschätzen, dass wir Gefahr laufen einer totalen Überwachung zu unterliegen. Bei den Beispielen die sie auch in ihrer Website aufführen, könnte man glauben, dass es zwangläufig darauf hinausläuft.

P.S.>>> Ob wir einer "totalen Überwachung" unterliegen ist eine Frage der Definition. Der Trend zu Big Data und das "unglückliche" Geschäftsmodell "kostenlose Dienste gegen persönliche Daten" führt dazu, dass jeder Dienstleister alles über uns sammelt was er nur bekommen kann. Die Beispiele finden sich in meinem Beitrag zu den Spuren im Internet. Wenn ein Internet-Nutzer alle seine Dienste (email, websuche, surfen mit Malware-Schutz, messaging dienste, Aufenthalsorte über den ganzen Tag verteilt, Fitnesstracker-Daten, Urlaubsfoto-Archiv, etc etc) von einem einzigen Dienstleister bezieht, z.B. Apple oder Google, so entsteht bei diesem Anbieter ein ziemlich komplettes virtuelles Bild dieser Person. Der Begriff "totale Überwachung" trifft da m.E. bereits heute zu. Aber natürlich bin ich nicht gezwungen, so transparent zu sein. Man muss seine Fotos nicht in der Cloud speichern und dort analysieren lassen, auch wenn das bequem ist. D.h. viele von uns haben sich längst freiwillig der totalen Überwachung unterwurfen, aber derzeit zwingt mich (noch) niemand dazu.

Die Überwachung ist aber evtl. nicht mal das größte Problem, sondern die Möglichkeiten der Manipulation. Z.B. hier Wird Facebook bald Wahlen entscheiden?? Aber es geht nicht nur um große Sachen wie die Beeinflussung von Wahlen, die nachweislich möglich ist, sondern um die vielen kleinen Manipulationen wenn z.B. der Assisstent im Smartphone bestimmte Lokale vorschlägt, bestimmte Güter zum Kauf vorschlägt, etc. Mehr zum Thema Manipulation ausführlicher an anderer Stelle.

Q: Außerdem würde ich gerne ihre Meinung zu der Realisierbarkeit von noch weitergehenden Überwachungen hören. Im Internet gibt es (unglaubwürdige) Quellen, die Behaupten, dass es sogar schon Aufzeichnungen über die DNA eines Menschen oder mit GPS ausgestattetes Hartgeld geben soll. Diese Methoden kommen einem vor als wären sie aus Science-Fiction-Filmen.

P.S.>>> Die beiden Beispiele klingen mir doch sehr stark nach Verschwörungstheorien. Hartgeld mit GPS wird aus vielen Gründen nicht funktionieren: die Batterie wäre nach wenigen Tagen leer (die GPS Berechnungs sind sehr rechenintensiv, die Münze wäre ein Faraday-Käfig und würde keinen Empfang erlauben und kein Weitersenden der Daten erlauben, etc.). Aber warum so ein Aufwand, wenn das Ziel der Überwachung des Zahlungsverhaltens so viel einfacher zu bekommen ist, es reicht, das Bargeld abzuschaffen. Siehe dazu mein Artikel zur Abschaffung des Bargelds.

Das Sammeln von DNA ist im Einzelfall recht einfach, es reicht ein benutztes Taschentuch oder Essbesteck oder Glas. Aber das erlaubt keine flächendeckende Erfassung. Dafür braucht es Gesetze und die werden hier und dort erlassen, z.B. Kuwait, wo bald auch alleTouristen ihre DNA abgeben müssen. Aktualisierung 2016: Nach Protesten hat die Regierung das Gesetz wieder etwas entschärft: only suspected criminals will need to give their DNA. Aber auch andere Länder haben ähnliche Begierden.

Ganz wichtig: Beim Thema DNA und Privatsphäre muss man zwischen verschiedenen Anwendungen unterscheiden. Die DNA Datenbanken der Polizeibehörden sind nicht geeignet, um etwas über den Gesundheitszustand der Personen oder ihre ethnischen Ursprünge auszusagen. Dafür müssen andere Genabschnitte analyisiert werden und das kostet, speziell für Massenanalysen, immer noch deutlich Geld. Das wird aber in 10-30 Jahren bestimmt anders sein. Zu DNA-Themen gibt es mehr Details in meinem Artikel zu DNA und Privatsphäre.

Q: Desweiteren interessiert es einen natürlich wer genau dahinter steckt. Spioniert Marc Zuckerberg meinen Facebook-Account aus, damit Amazon weiß, was ich mir zum Geburtstag wünsche? Oder gibt es über mich persönlich mehr zu lernen, was von Bedeutung ist? (Dies ist bezogen auf ein einzelnes Individuum, dessen Alltag eigentlich doch nicht mehr hergeben sollte, das von Belang sein könnte)

P.S.>>> Nein, Marc Zuckerberg wird die Daten die auf Facebook anfallen nicht mit Amazon teilen, und auch umgekehrt nicht. Jeder dieser großen Konzerne betrachtet diese Daten als seine "Kronjuwelen" und schützt diese sehr gut. Die Daten werden zwar kommerziell genutzt, aber nicht verkauft. Die Dienstleister schalten die gezielte Werbung ohne dass der Werbetreibende erfährt, wer genau seine Werbung gesehen hat. Mehr dazu in einem Artikel zum Verkauf oder Nicht-Verkauf der Daten.

Wir müssen zwischen verschiedenen Interessenten an ihren Daten unterscheiden. Im vorigen Abschnitt beschreibe ich die Social Networks und Dienstleister, die ihre Daten und die daraus berechneten Persönlichkeits-Profile für Werbezwecke nutzen.

Aber dies sind nicht die einzigen Interessenten. Ganz wichtig sind auch die Strafverfolgungsbehörden die glauben, über Persönlichkeitsprofile zukünftige Verbrecher und Terrroristen erkennen zu können. Dies ist wissenschaftlicher Unfug, wird aber trotzdem getan weil es ein gutes Geschäft ist, es diskriminiert Bevölkerungsgruppen und wird unter dem Stichwort "Precrime" an anderer Stelle behandelt. Hier zur Diskriminierung: US-Justiz: Algorithmen benachteiligen systematisch Schwarze.

Und diese Sicherheitsbehörden, z. B. die NSA in den USA, haben noch deutlich mehr Kapazitäten und Möglichkeiten als die Dienstleister. Siehe dazu bei Überwachung. Letztendlich führt dies zu einer Gesellschaft bei der die Bürger sich gut überlegen, welche Suchbegriffe sie eingeben oder welche Bücher oder Filme sie sich ausleihen. Eine Untersuchung dazu: Studie zu Chilling Effects: Wikipedia-Artikel zu Terrorismus werden weniger gelesen.

Aber bei den Firmen in Silikon Valley kann ich sehr wohl eine kleine "Verschwörung" ausmachen. Mehr dazu schreibe ich unter Robokratie - Google, Facebook, das Silicon-Valley und der Mensch als Auslaufmodell. Es geht darum, dass die legendären Firmengründer die das große Geld gemacht haben, alle eine gemeinsame Ideologie haben, nämlich dass alle Probleme der Menschheit gelöst werden könnten, wenn wir nur genügend Technologie einsetzen und die Firmen in Silicon Valley nur machen lassen. Dies ist eine Entdemokratisierung, denn einerseits zahlen diese Firmen nur wenig Steuern, aber dann verteilen die Firmengründer und ihre besser bezahlten Manager das eingesparte Geld für ihre Lieblingsprojekte. D.h. nicht die gewählten Vertreter des Staats entscheiden, in welche Richtung geforscht und geholfen sind, sondern die Oligarchen im Silicon Valley. Nicht von ungefähr ist das Verhältnis zur Regierung in Washington recht gespannt.

Q: Meine letzte Frage: Was genau glauben sie hat das alles ins rollen gebracht? An welchem Punkt begann man sich dafür zu interessieren, alles Mögliche über alle anderen in Erfahrung zu bringen.

P.S.>>> Ein ganz wichtiger Faktor ist das Internet-Geschäftsmodell "kostenlose Dienste gegen persönliche Daten". Das Internet hätte sich nicht so entwickeln müssen, aber ca. 2002 ist mit den kostenlosen Suchmaschine dieses Modell als das dominierende entstanden. Davor gab es hauptsächlich Bezahlmodelle: Man war Mitglied bei AOL oder anderen Portalen und für die Mitgliedsgebühr gab es einen Email-Account, eine Suchmaschine und andere Funktionalitäten. Dann kam Google und führte das Modell "Dienstleistungen gegen Daten" ein. Diese Entscheidung hat das Internet grundlegend verändert und zur Überwachungsmaschine gemacht.
 


 

Die modernen apokalyptischen Reiter sind Terrorismus, Drogenhandel, Steuerbetrug und notfalls Kinderpornographie und nicht mehr Krieg, Hungersnöte, Krankheiten und Seuchen. Damit kann man heute fast alles verbieten lassen, bzw. immer neue Überwachungsmethoden und Vorratsdatenspeicherungen begründen.

06.02.2016 - Kommt das Ende des Bargelds?

2015/2016 kommt das Bargeld in Deutschland mal wieder stark unter Druck. Schon im April 2015 sah der Chef-Analyst der Baader Bank, Robert Halver die Abschaffung von Bargeld als Konsequenz von Negativ-Zinsen: "Wenn Bargeld abgeschafft wird, kann sich auch niemand mehr gegen Negativ-Zinsen wehren". Der Wirtschaftsweise Peter Bofinger meint im Mai 2015: "Bei den heutigen technischen Möglichkeiten sind Münzen und Geldscheine tatsächlich ein Anachronismus, Bargeld erschwert den Zahlungsverkehr ungemein, z.B. die verlorene Zeit, wenn Leute vor Ihnen an der Ladenkasse nach Kleingeld suchen und die Kassiererin nach Wechselgeld". Der Chef der Deutschen Bank legt am Weltwirtschaftsforum Anfang 2016 nach: "Bargeld hilft nur noch Geldwäschern und anderen Kriminellen, ihre Geschäfte zu verschleiern. Es ist fürchterlich teuer."

D.h. aus Sicht der Banken und Regierungen spricht alles gegen die Nutzung von Bargeld. Ich behaupte, wenn es noch nicht erfunden wäre, so würde es heute nach den Geldwäscheregeln nie mehr erlaubt werden. Und da wir es nun mal haben, muss es eben verboten werden. Dafür können mal wieder die apokalyptischen Reiter des Internet-Zeitalters genutzt werden: Terrorismus, Drogenhandel, Geldwäsche, und in Österreich neuerdings Steuerbetrug. Teuer ist Bargeld vor allem für die Banken: Bei jeder Abhebung von 100 Euro am Bankomaten hat die Bank Geld verloren, denn das Betreiben und regelmäßige Nachfüllen kostet natürlich auch Geld. Und wenn die Kunden per Bankomatkarte oder Kreditkarte im Geschäft zahlen, so können die Banken (auf Kosten der Geschäfte, die in ständig neue Kassenterminals investieren müssen und einen Anteil am Umsatz abgeben) sogar etwas mitschneiden. Das heißt, die Abschaffung von Bargeld hätte viele Vorteile für die Banken. Hier eine Studie Zahlen mit Bargeld kostet die Volkswirtschaft viel Geld.

Nov. 2016: Indien prescht vor und macht kurzfristig einige der etwas größeren Rupie-Scheine ungültig (im Gegenwert von 6,80 Euro, bzw. 13,60 Euro) und führt drastische Beschränkungen für Bargeldnutzung ein. Vorhandene Scheine dürfen gegen andere Noten getauscht werden, aber nur um Gegenwert von 54 Euro. Der Rest muss auf ein Bankkonto (was für viele schwierig ist, denn die Hälfte der Bürger hat keines). Am Bankomaten dürfen Inder jetzt nur noch 54 Euro pro Tag abheben, bzw. in einer Filiale das 5-fache pro Woche.

Erste Schritte zur Abschaffung des Bargelds sind, das Bargeld zu verknappen und es optional zu machen, siehe Dänemark: Die Notenbank Dänemarks hat angekündigt, dass sie von Ende 2016 an mangels Nachfrage keine neuen Banknoten mehr drucken wird. Und Tankstellen, Restaurants und kleine Läden müssen in Dänemark bald kein Bargeld mehr annehmen (was sie bisher mussten). Diese Möglichkeit ist z.B. für Tankstellen aus Sicherheits- und Abrechnungsgründen wirklich ein Vorteil. Für viele kleinere Geschäfte bedeuten unbare Zahlungen, dass sie in neue Geräte investieren müssen und einen Teil des Umsatzes an die "Payment Service Provider" abgeben müssen. Dieser Anteil ist übrigens im Euroraum in den letzten Jahren sehr stark begrenzt worden, auch bei den Regulaturen der EU werden bargeldlose Zahlungen gefördert. In Schweden passieren nur noch ein Viertel der Zahlungen in bar, in Deutschland sind es 80%. Der verlinkte Artikel besagt: "Several banks in Sweden already have 100 per cent digitalised branches that will simply not accept cash". Bei den meisten anderen Bankinstituten ist es nur jede 2. Filiale.

Die NY Times berichtet, dass Kirchen "Kollektomat"-Geräte aufstellen, damit die Gläubigen ihre Kollekte bargeldlos geben können. Der Artikel verweist auch auf Probleme z.B. bei älteren Menschen oder Obdachlosen und darauf, dass die Zahl der Betrügereien mittels bargeldloser Zahlungen auch entsprechend ansteigt. Die Angst vor dem Ausgeraubt-werden wird ersetzt durch die Gefahr dass das Smartphone gestohlen wird mit dem ich bezahle. Bzw. durch das unschöne Gefühl, dass jetzt alles was ich kaufe, irgendwo registriert und ausgewertet wird. Für Regierungen ist bargeldos auch ein Vorteil: Bargeldlose Zahlungen sind erheblich schwerer vor der Steuer zu verstecken, denn wenn z.B. ein Geschäft (oder eine Kneipe) zwar Geld über die Kreditkartenfirma einnimmt, aber dazu keine Umsatzbuchung hat, so fällt das auf. Der NY Times Artikel berichtet sogar von Obdachlosen, die jetzt ein Lesegerät für Bankomatkarten brauchen um eine Obdachlosenzeitung zu verkaufen, viele haben in Schweden und Dänemark einfach kein Bargeld mehr dabei. Der Artikel hört mit dieser Anekdote auf: "He paused at a hot-dog stand for a snack. But when he was ready to pay, the card reader was broken. “Sorry,” the vendor said. “You’ll have to use cash."

Gegen diese bargeldarmen Gesellschaften sind die Vorschläge die jetzt in Deutschland von der Regierung vorgeschlagen werden, noch fast harmlos: eine Obergrenze von 5000 Euro für Barzahlungen und den 500 Euro Schein abzuschaffen. Obergrenzen für Bargeld haben Frankreich, Belgien, Spanien, Portugal, Italien, Kroatien, Griechenland, Bulgarien, Rumänien, Tschechien, Polen und die Slowakei. Die Grenzen sind in anderen Ländern bereits erheblich niedriger: Spanien 2500, Frankreich und Italien 1000 Euro, Griechenland 500 Euro. Der Iran ist (derzeit noch, 2016) das einzige Land, das einen Feldversuch (auf einer Insel) mit totaler Abschaffung des Bargelds plant. Begründung: "positive ökonomische und gesellschaftliche Auswirkungen". Als eine wesentliche wahrscheinliche Auswirkung sieht nicht nur die Regierung im Iran, dass verbotene Transaktionen abnehmen, weil der Staat Geldflüsse besser verfolgen kann: Das betrifft dann - je nach Land - nicht nur Geldwäsche, sondern auch Angebot und Erwerb (beziehungsweise Inanspruchnahme) verbotener Genussmittel (wie Marihuana oder Alkohol), verbotener Medien und verbotener Dienstleistungen wie beispielsweise Prostitution oder Schwarzarbeit.

Damit sind wir bei dem Kernproblem für mich: die Bürger werden sehr transparent und zwar für viele Stellen. Banken sind natürlich die erste Stelle, wo diese Daten gesammelt (werden müssen) und dort sollen sie in Zukunft auch immer stärker ausgewertet werden. Kaum ein Seminar über Banken-Marketing wo nicht gepredit wird: Banken sitzen auf einer Goldmine, den Zahlungsdaten ihrer Kunden. Wenn die Bank detailliert und vollständig weiß, wie und wo ein Kunde sein Geld ausgibt, so gibt es wenige Geheimnisse mehr. Es sind ja nicht nur die Zahlungen, sondern auch die Orte der Zahlungen. Kauft da jemand regelmäßig nachts an einem Ort ein, an dem er nicht offiziell wohnt? Ist in der Nähe des Ortes eine Moschee? Oder sind die Zahlungen direkt an Bordell? Oder kauft jemand Obdachlosen-Zeitungen? Das wird doch nicht am Ende gar ein Gutmensch sein!!

Dass diese Auswertung nach dem jetzigen (bzw. dem bisherigen) Datenschutzrecht ohne Zustimmung des Kunden ungesetzlich ist, das ist ein Randproblem: das bisherige Datenschutzrecht kennt eine strenge Zweckbindung, d.h. Daten dürfen nur für den Zweck verwendet werden, für den sie gesammelt wurden. Und der Zweck war die Durchführung der Zahlung. Der transparente Kunde ist ein neuer Zweck und da muss der Kunde separat zustimmen. Diese Einschränkungen sind ein Dorn im Auge aller Big Data Fans. Aber Gesetze kann man ja verändern: Merkel auf dem IT-Gipfel: Datenschutz darf Big Data nicht verhindern, denn Daten sind angeblich der wichtigste Rohstoff des 21. Jahrhunderts. Merkel hat das im Hinblick auf die flächendeckende Nutzung der Daten von vernetzten Autos gemeint, aber das macht keinen großen Unterschied, die Zahlungsdaten sind auch Bewegungsdaten und lassen sich selbst in anonymisierter Form sehr gut für Profilbildungen nutzen (d.h. eine große Datenmenge von Personen lässt sich IMMER der Person zuordnen).

Und wenn die Banken die Daten mal haben dann greifen die Behörden auch schnell mal zu (60% Steigerung in Deutschland von 2013 auf 2014). Das ist die gleiche Arbeitsteilung wie bei allen Cloud-Diensten (Google, Apple, Microsoft, Facebook, etc.) sammeln die Daten und die Behörden fordern sie dann an oder greifen direkt zu.

Ein zusätzlicher psychologischer Nachteil beim Verlust von Bargeld kann für die Nutzer der Effekt sein, dass sie bei bargeldlosen Zahlungen nicht mehr den Effekt spüren, wie das Geld in der Geldbörse immer weniger wird. Dies kann zu sorgloserem Umgang führen. Natürlich kann das durch entsprechende Apps ausgeglichen werden die meine Buchungen zeitaktuell anzeigen, aber wer die nicht aufruft, der merkt evtl. nicht, dass er Monatsmitte schon auf Null ist.

 

April 2016
Zwei ausführliche Artikel zum Thema Bargeldabschaffung: Im Standard Österreichs scheinheilige Debatte ums Bargeld und bei heise.de "Krieg gegen Bargeld": Datenschützer kritisieren Pläne für Obergrenze bei Barzahlung.
 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:

Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.