186. Newsletter - sicherheitskultur.at - 31.07.2022

von Philipp Schaumann

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. EU-Regulierung Digital Markets Act (DMA) ist verabschiedet und zeigt erste Wirkungen

DMA tritt 6 Monate ab Verkündigung in Kraft und dann haben die betroffenen Unternehmen noch mal 6 Monate für die Umsetzung. Es zeigen sich bereits erste Wirkungen: Play Store: Google ermöglicht alternative In-App-Zahlungen. Google hat angekündigt, App-Entwicklern künftig die Verwendung alternativer Zahlungssysteme zu ermöglichen. Dies betrifft In-App-Zahlungen, bei denen bislang Googles eigenes Zahlungssystem verwendet werden musste. Die neue Regelung gilt für alle Apps, außer Spiele.
Siehe voriger Artikel im März 2022, Fortsetzung im März 2023.

2. Geplante neue EU Regulation für Kryptowährungen "Markets in Crypto-Assets" (MiCA)

EU stellt strenge Regeln für Bitcoin & Co. auf. Es geht um die bisher unregulierten Märkte für alles rund um Kryptowährungen. Hier einige Punkte der geplanten EU-Regeln:

• Stablecoins wie Tether oder Circles USDC brauchen künftig eine ausreichend liquide Reserve
• alle gekoppelten Kryptowährungen von der EBA kontrolliert
• Jeder Inhaber solcher Token soll jederzeit und kostenlos einen Anspruch auf Umtausch erhalten
• Stablecoins, die zu groß werden, bekommen eine Beschränkung auf 200 Millionen Euro an Transaktionen pro Tag.
• Anbieter von Diensten für Krypto-Werte brauchen eine Zulassung, um in der EU tätig zu werden
• Anbieter von Krypto-Vermögenswerten haften, wenn sie virtuelle Münzen der Anleger verlieren.

Mehr Details in Was die neuen EU-Regeln für Kryptowährungen vorsehen.
Hier der Text selbst: Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937.

Aktualisierung 2 Monate später (Anfang Okt 2022): EU-Regeln für Kryptowerte: "Nicht für Kryptodienstleister geschaffen worden" - Besonders stark von den Änderungen profitieren dürften seiner Meinung nach etablierte Kredit- und Finanzinstitute. Wenn alles nach Plan verläuft, ist die MiCA-Verordnung im zweiten Quartal 2024 anwendbar.

Aktualisierung März 2024:
Ein verwandtes, schwieriges Thema: Die EU verbietet anonyme Kryptozahlungen im Rahmen des überarbeiteten Geldwäsche-Gesetzes. Das neue Geldwäsche-Gesetz ist eine Ergänzung zu MiCA (Markets in Crypto-Assets), das Ende 2024 in Kraft tritt. Bereits vorher tritt als AML-Regelung (Geldwäsche, anti-money laundering) ein Verbot anonymer Kryptozahlungen in Kraft. Verboten sind nach dem Geldwäsche-Gesetz anonyme Zahlungen von mehr als 3000 € und jegliche Bargeldzahlung über 10 000 €. Das wird nun auf anonyme Kryptozahlungen erweitert.

Es geht um sog. 'hosted wallets', die bei einem entsprechenden Unternehmen ohne Identitätsüberprüfung (KYC-Check, Know-your-Customer) angelegt wurden. Nicht betroffen sind P2P Kryptozahlungen (Person to Person) zwischen Hardware-Wallets oder Self-hosted Software-Wallets.

Patrick Breyer von der Piraten-Partei kritisiert die Regelung aus grundsätzlichen Erwägungen. Er hält die Anonymität die Kryptozahlungen für essentiell und nimmt dafür notfalls auch Geldwäsche in Kauf. Das ist eine ähnliche Problematik wie das Verschlüsselungsnetzwerk TOR, das für Dissidenten wichtig ist, aber auch für den illegalen Drogenhandel.

Aktualisierung Juli 2024:
Am 30. Juni ist der erste Teil der Markets in Crypto-Assets Regulation - MiCAR in Kraft getreten. Was das im Detail bedeutet findet sich hier: Kryptowährungen: MiCA(R) ist da - und jetzt?.

. . . und in USA und UK

Der sehr lesenswerte Blog von Adam Tooze ergänzt dies durch die parallelen Aktivitäten in den USA und UK: The end of crypto's "Wild West"? The battle to shape the future of digital assets in US-UK-EU.

Adam Tooze berichtet, dass die jeweiligen staatlichen Regulierungsbehörden auch dort große Bedenken haben, dass die Kryptowelt sich entwickeln könnte wie die Finanzblase 2008 und dass sie 'too big to fail' wird, dh dass ihr Zusammenbruch die Realwirtschaft gefährden könnte und eine staatliche Rettung benötigt.

Leider gibt es parallel dazu Stimmen aus der Politik, die fordern, dass die jeweiligen Länder und ihre 'Geldindustrie' nicht die Chance verpassen sollten, sich an die Spitze der Kryptowelt zu setzen und versuchen die Regulierungsmöglichkeiten einzuschränken. Auch Adam Tooze ist besorgt: "Bitcoin has no reason to exist. It delivers no meaningful benefit for society. It is a form of gambling, propelled by naked greed and generating vast quantities of CO2 emissions."

3. Schwangerschaftsabbruch, Privatspäre und Datenschutz

In den USA wird derzeit heftig über Schwangerschaftsabbruch diskutiert und dabei wird auch Datenschutz und Privatsphäre zu einem wichtigen Thema. Das betrifft uns im deutschsprachigen Raum zum Glück nur am Rande, aber in Europa ist das auch in Polen und Malta ein Thema.

Der Datenschutzpunkt ist, dass auch bisher in den USA Handy- und Browserdaten gegen Frauen genutzt wurden, von denen angenommen wird, dass sie schwanger waren und es dann nicht mehr sind. In solchen Fällen wollen Behörden klären, ob das Ende der Schwangerschaft natürlich eingetreten ist, oder nicht. Dafür verwenden sie z.B. die Anfragen bei Suchmaschinen, entweder zu Medikamenten die Schwangerschaften beenden oder Familienberatung oder Abtreibungskliniken. Auch Chat-Nachrichten in denen Frauen über das Ausbleiben der Regelblutung berichten werden verwendet. Diese Studie zeigt, was derzeit in den USA bereits eingesetzt wird um Frauen anzuklagen: Surveilling the Digital Abortion Diary.

Ganz zu Beginn der Diskussion kam ein weit verbreiteter Aufruf, die sog. Zyklus-Apps zu löschen - aber: Deleting Your Period Tracker Won't Protect You. Hier ein Artikel über die justische Verurteilung der Betreiber der App Flo die die Daten ihrer App ohne Zustimmung verkauft haben: Perioden-Apps: Wenn Google und Facebook deinen Zyklus kennen. Die Daten wurden dann unter anderem für gezielte Werbung verwendet, aber eine Verwendung als Beweis vor Gericht ist ebenfalls immer möglich.

Aber das Löschen einzelner Apps greift viel zu kurz. Kritische Daten sind z.B. auch Suchanfragen, aber vor allem auch Bewegungsdaten. Das Frage, wie Recherchen ohne Datenspuren (z.B. mittels TOR) möglich sind überfordert fast alle Menschen.

Und Bewegungsdaten fallen auch außerhalb unserer Smartphones an und können von Behörden angefordert werden. Die Telefongesellschaften müssen unseren Standort kennen um Gespräche zustellen zu können. Bei Fahrten mit dem PKW greift die automatische Kennzeichen-Erfassung, bei Reisen mit Zug oder Flugzeug die Buchung der Reise, in allen Fällen die elektronische Bezahlung der Reisen oder von Medikamenten. D.h. auch die Nutzung von TOR, verschlüsselten Messengern und das Zu-Hause-Lassen des Handys reicht nicht aus. The Danger of License Plate Readers in Post-Roe America. Der Artikel betrifft Reisen in andere US-Bundesstaaten, aber das betrifft in Europa auch Polinnen die für Eingriffe oder Medikamentenbeschaffung nach Deutschland reisen.

Aktivisten fordern von den Technologiefirmen, dass sie aufhören, solche Daten zu sammeln (damit sie nicht angefordert werden können) - Google hat nun verkündet, dass sie keine Standortdaten rund um Abtreibungskliniken mehr speichern wird: Google will Standortdaten von US-Abtreibungskliniken künftig löschen. Aber wie gesagt, das ist nur die Spitze des Eisbergs, die Datenspuren sind viel komplexer - wer mit Handy reist, dessen Reiseroute ist nachvollziehbar oder wer mit bargeldlos zahlt ist eh transparent. (Hier mein früherer Artikel zu anonymen Reisen)

Vielen Menschen wird an der konkreten Problematik der neuen US-Gesetze klar, wie transparent wir alle sind: In a Post-Roe World, the Future of Digital Privacy Looks Even Grimmer (der Artikel weißt auch auf ein häufiges Missverständnis hin: der sog. 'private-browsing' Modus von Webbrowsern verhindert nur, dass Logs auf der lokalen Maschine gespeichert werden, er verhindert nicht die Speicherung der Logs auf der Website oder sonstwo - Schutz nur vor Mitbenutzern des Geräts, z.B. den Eltern oder Kindern). Mehr und detailliertere Tipps gibt es beim EFF: Security and Privacy Tips for People Seeking An Abortion.

Beispiele dafür, wie einfach Bewegungsdaten kommerziell gekauft werden können, auch in US-Bewegungsdaten zu Planned Parenthood zu kaufen

Auch das ist hässlich: Anti-Pro-Choice Aktivist:innen fotografieren Frauen die zu Familienberatung oder Frauenkliniken gehen und sammeln Fahrzeug-Kennzeichen: Anti-abortion activists are collecting the data they'll need for prosecutions post-Roe

Hier ein Vortrag zu "Bloody Data - Das Geschäft mit Zyklusapps".

4. Guter Vortrag (auf Informatik-Niveau) zu Kryptowährungen und Blockchain-Konzepten

Nicholas Weaver: Computer Security 161 Cryptocurrency Lecture.

Nicholas Weaver fasst (aus Informatikersicht) den aktuellen Stand (Mitte 2022) zu Kryptowährungen und Blockchain-Konzepten gut zusammen. Er erklärt, was er in den 9 Jahren Forschung zu Crytocurrencies und ihrem Umfeld gelernt hat.

Sein Startpunkt aus Informatikersicht: Blockchain ist keine wirklich neue Technologie. Dahinter stehen die lang bekannten Konzepte Hash Chains (seit Jahrzehnten als Certificate Revocation Lists CRL im Einstz) und Merkle Trees (append only data store, patentiert in 1979, im Einsatz z.B. als git archive. Primäres Ziel das Vortrags ist es, die Computer Security Studenten in Berkeley gegen die Idee immun zu machen, dass in dem Gebiet 'Crytocurrencies' ein sinnvolles Studienobjekt steckt.
Hier zu

Mein voriger Artikel zum Thema: Stablecoins und Yield Farming als neue Form von DeFi (decentralized finance) - ein weiteres Pyramidenspiels.

5. Diverse Updates: Chatkontrolle, Ransomware

Update zu Chatkontrolle: Das ignorierte 'false positive Problem'
Die Genauigkeit aktueller Grooming-Erkennungstechnologie liegt wohl bei etwa 90 Prozent. Das ist die 'true positive rate'. D.h. 90% aller Grooming-Aktivitäten werden erkannt. Aber falls die 'false positive rate' bei sehr ehrgeizigen 0,1% liegen würde, so würden von den rund 3 Milliarden täglichen WhatsApp-Nachrichten allein in Deutschland fast 3 Millionen Nachrichten jeden Tag als unangemessen fehlklassifiziert. Die müsten wohl von der neu zu schaffenden Behörde manuell verifiziert werden - was für eine gigantische Behörde, nur für Deutschland, nur für WhatsApp und nur für Grooming, dazu kommen die falsch erkannten Fotos.
Hier die Details zu den 'false positives'.

Noch mal Chatkontrolle: Apple rollt den iMessage-Nacktbilderscanner in Deutschland aus
Apple führt die umstrittene Kinderschutzfunktion für iMessage offenbar in iOS 16 testweise als "Communication Safety" auch in Deutschland ein, erst mal nur wenn das iPhone entsprechend konfiguriert ist. Sie wollen wohl sehen, wie gut die Erkennungsraten und 'false positives' in der Realität sind.

2 gute Nachrichten zu Ransomware: Multi-Faktor Authentifizierung und zwei Sammlungen von 'Nachschlüsseln''
Seit einigen Jahren gibt es 2 Portale, in denen Schlüssel zur Entschlüsselung abgerufen werden können: Seit sechs Jahren kostenlose Hilfe für Ransomware-Opfer.

Und noch eine Meldung: Europol berichtet, dass sie beobachtet haben, dass Ransomware-Angriffe oft beim Entdecken von '2-Faktor-Authentisierung' einfach abgebrochen werden, die Angreifer suchen lieber nach Früchten, die niedriger hängen: MFA hilft gegen Ransomware. Neben dem zeitnahen Patchen der Systeme ist die Absicherung der Logins die beste der vergleichsweise einfachen Schutzmaßnahmen, sowohl in Firmen wie privat.

6. Mal wieder ein Geschichtsbuch: Anfänge - Eine neue Geschichte der Menschheit

"The Dawn of Everything: A New History of Humanity" vom Anthropologen David Graeber und Archäologen David Wengrow - auf deutsch: "Anfänge: Eine neue Geschichte der Menschheit". Die Autoren hinterfragen mit vielen Belegen aus den Forschungsbereichen der beiden die gängige Theorie, dass sich die Menschen in ihrer Geschichte unweigerlich aus der Jäger-und-Sammler Phase, über die Landwirtschaft zu den heutigen industriellen Staaten entwickelt hätten.

Alle Details auf meiner anderen Website. Dort findet sich jetzt auch eine tolle Grafik, die die Anteile von Wirtschaftsgebieten an der Weltwirtschaft über die letzten 2000 Jahre vergleicht.