Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2010

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at


21.11.2010 - Software die tötet - z.B. Drohnen (drones, UAV) - aktualisiert: Killer-Robots

Predator-Cockpit, Quelle: http://dronewars.net/

Dass bei den Angriffen mit unbemannten Drohnen in Afganistan eine große Zahl von Zivilisten umkommen ist gut dokumentiert (Berichte bezeugen bis zu 10 Zivilisten pro getötetem Taliban). Jetzt gibt es in den USA ein Gerichtsverfahren, das eine plausible Erklärung andeutet, nämlich Programmierprobleme die ziemlich tödlich ausgehen: (Inside the Lawsuit That Could Ground Deadly CIA Predator Drones).

Da haben wohl 2 Firmen gemeinsam an der Software für die Drohnen gearbeitet. Bei den Ortsbestimmungen und Berechnungen gab es erhebliche Probleme mit Gleitkommazahlen, aber die CIA wollte die Software sofort haben. Eine der beiden Firmen hat sich geweigert, die halbfertige Software auszuliefern (zumindest hat sie eine Garantie verlangt dass sie selbst für etwaige Todesfälle durch ungenaue Zielfindung nicht verantwortlich sind).

Das haben sie nicht bekommen und sie sind aus dem Projekt herausgeworfen worden. Die andere Firma hatte den Quellcode nicht, hat aber die Betaversionen re-engineert (sic!) und ausgeliefert. Die schlechte Treffsicherheit der Drohnen erscheint somit erklärlich. Jetzt wird prozessiert. Die ausgebotete Firma verlangt dass die Nutzung der Software eingestellt wird (nicht, weil dadurch unbeteiligte Menschen getötet werden, sondern weil ihr Intellectual Property verletzt wurde).

2015 kommen noch mehr Details über die Qualität des "targeted killings" an die Öffentlichkeit. Es zeigt sich, dass das nicht wirklich so "targeted" ist, sondern dass oft auf gut Glück geschossen wird: Drone Strikes Reveal Uncomfortable Truth: U.S. Is Often Unsure About Who Will Die. Anlass ist der Tod von 2 Geiseln bei einem Angriff (immer (und genau dann) wenn Amerikaner sterben, so werden Fragen gestellt, die sonst niemanden interessieren). Dabei stellt sich dann heraus, dass das Militär sehr oft nicht weiß, auf wen sie schießen. 2 amerikanische Al Qaeda Mitglieder wurden in einem früheren Angriff getötet, die gar nicht das Ziel waren. Zitat: "most individuals killed are not on a kill list, and the government does not know their names." Insgesamt wurden bei Drohnenangriffen 8 Amerikaner getötet, nur 1 davon stand auf der "kill list", die anderen hat es zufällig erwischt. D.h. targeted killing gibt es nicht. Was der Artikel auch beschreibt, das ist, dass der Drohnenkrieg in den USA (mit der Ausnahme von einigen linken Demokraten und liberären Republikanern) bei der Bevölkerung Zustimmung findet: Kein Wunder, es sterben keine US-Soldaten dabei.

Dez. 2010: Nicht nur die Drohnen töten im Krieg
Ein ziemlich fundierter Artikel in der NY Times diskutiert den immer stärker werdenden Einsatz von Robotern im Iran und Afghanistan: War Machines: Recruiting Robots for Combat. Der Einsatz betrifft derzeit hauptsächlich Geräte die nur halb-autonom sind, d.h. sie werden von einem Soldaten gesteuert der über eine Video-Verbindung sehen kann, was der Roboter "sieht". Der Trend geht jedoch immer mehr auch zu autonomen Systemen und die werfen eine ganze Reihe von juristischen und ethischen Problemen auf, z.B. wenn die Entscheidung Zivilist oder Feind einem Computer überlassen wird.

Oktober 2011:
Ein Bericht in Wired über Infektionen der Software der Dronen: Computer Virus Hits U.S. Drone Fleet und ein Artikel in der NYT: Coming Soon: The Drone Arms Race. Der Artikel berichtet, dass jetzt auch andere Länder aktiv am Bau von unbemannten Flugkörpern für Angriffszwecke entwickeln. Die Autoren sehen eine neue Form des Krieges: Das Überfliegen von Grenzen um dort Personen zu jagen, die als Terroristen beschuldigt werden. Die USA hat diese Form des Krieges begonnen, andere Länder werden folgen.

Juli 2012:
Jetzt wird über die Zulassung von Drohnen auch für zivile Zwecke diskutiert, nicht nur in den USA, sondern auch in anderen Ländern.

Dazu hier: RESEARCHERS HACK, HIJACK DRONES. Offensichtlich kann nicht nur der Iran Drohnen übernehmen. Aber ein so richtig warmes Gefühl will bei dem Gedanken, dass bald um uns herum unbemannte Flugzeuge dieser Qualität fliegen werden, nicht auf. Weitere Details zum Drohen-Hijacking: Drones vulnerable to terrorist hijacking, researchers say oder Civilian drones vulnerable to hackers, can be hijacked, used as missiles.

 

Viel mehr Details zum Einsatz von Robots (automatisiert oder ferngesteuert) im Krieg gibt es auf meiner anderen Website philipps-welt.info.

Feb. 2013: Killer-Robots
Eine sehr interessante Studie behandelt die ethischen und juristischen Fragen rund um "Autonomous Weapons, vulgo "Killer Robots": LOSING HUMANITY - The Case against Killer Robots. Autonomous Weapons sind solche, die selbstständig ihre Ziele aussuchen und dann selbstständig schießen, ohne dass ein Mensch auf einen Knopf drückt, so wie (jetzt noch) bei den Drohnen, den UAVs. Solche Systeme sind keine reine Science Fiction, es gibt bereits "defensive systems", die automatisch, wenn scharf gemacht, versuchen anfliegende Raketen oder Granaten zu entdecken und abzuschießen. Beispiele sind Phalanx bei der US Navy zur Verteidigung von Schiffen, die zu unrühmlicher Bekanntheit kam, weil diese Waffe in den Abschuss eines zivilen iranischen Passagierflugzeugs involviert war. Die US-Army setzte ein ähnliches System zur Verteidigung ihrer Stellungen im Irak ein und die Bundeswehr hat so etwas unter dem Namen NBS Mantis in Afghanistan im Einsatz. Auch das israelische Abwehrsystem Iron Dome muss zu schnell reagieren als dass ein Mensch eingreifen könnte.

Die sehr lesenswerte Studie beschäftigt sich dann mit solchen Systemen die für allgemeine Militäraufgaben vorgesehen sind, die sind bei vielen Armeen in Arbeit. Probleme dabei sind vor allem, dass solche Systeme

Als weiteres Problem wird genannt, dass dadurch dass die eigenen Soldaten bei solchen Einsätzen nicht mehr zu Schaden kommen (so wie jetzt schon bei den Drohnen Einsätzen der USA) die Hemmschwelle für den Einsatz in fremden Ländern immer mehr fallen könnte. Auch für Diktatoren, die ihre eigenen Bevölkerung unterdrücken wollen haben Killer Robots große Vorteile gegenüber einer menschlichen Armee, die sich doch manchmal zur Meuterei entschließt.

Ein weiterer problematischer Punkt ist, dass im Falle dass von einem Roboter ein offensichtliches Kriegsverbrechen begangen wurde (z.B. große Menge Zivilisten erschossen), es keine Möglichkeit gibt, jemanden zur Verantwortung zu ziehen. Der Kommandant der ihn losgeschickt hat konnte nicht wissen, dass der Roboter so etwas tun würde (es stand nicht im Datenblatt), der Programmierer der evtl. einen Fehler gemacht hat kann nur bei grober Fahrlässigkeit zur Haftung herangezogen werden und der Roboter kann sowieso nicht sinnvoll bestraft werden.

Problematisch wird in der Zukunft werden, dass in dem Augenblick wo einige Armeen diese Dinge im Einsatz haben, es für die anderen notwendig sein könnte, ebenfalls solche einzusetzen und zwar solche, die noch schneller und noch bedenkenloser schießen als die vom Feind.

Nachlese aus dem Jahr 2012:
Ein Artikel im Economist (Robots go to war) weisst aber auch auf potentielle Probleme hin, wie z.B. dass Regierungen schneller bereit zu Angriffen sind wenn sie keine eigenen Soldaten riskieren müssen. Ein Beispiel dafür ist der amerikanische Einsatz von tödlichen Drohnen in bisher 15 Ländern der Welt.

 

Feb. 2014:
2014 wird bekannt, wo die Koordinaten für die Angriffe zumeist herkommen: Tracking von Smartphones. Dies ist natürlich speziell dann problematisch, wenn das Smartphone längst an jemand anderen weitergegeben wurde. Dafür gibt es z.B. hier Hinweise: Attack on Yemeni Wedding.

 

Nov. 2014:
Ein Artikel in der NYT Fearing Bombs That Can Pick Whom to Kill über intelligente Systeme die sich ihre Ziele selbst aussuchen. Kein Science Fiction mehr: "Britain, Israel and Norway are already deploying missiles and drones that carry out attacks against enemy radar, tanks or ships without direct human control." Diese Waffen wurden bereits aktiv eingesetzt, z.B. von Großbritannien im Libyen-Konflikt.





20.11.2010 - Überwachtes Internet

Es gibt derzeit eine ganze Reihe von Aktivitäten, die die Konzeption des Internets erheblich verändern könnten. Bruce Schneier verlinkt auf 2 interessante Artikel dazu (aus denen ich einige Stichworte wiedergeben werde): Dan Geer on "Cybersecurity and National Policy" und The militarization of the Internet.

Susan Crawford weißt darauf hin, dass es derzeit in den USA eine Reihe von Aktivitäten gibt, die alle in die gleiche Richtung zielen: ein sog. "authenticated internet". Da ist z.B. der Vorstoß der Strafverfolgungsbehörden dass aller Datenverkehr des Internets durch Server in den USA gehen muss und dass bei allen verschlüsselten Verbindungen eine Hintertür für die Behörden eingebaut werden muss. Dies würde bedeuten, dass selbst Skypeverkehr zwischen 2 Geräten im gleichen lokalen Netz zwangsweise über die USA geführt werden müsste.

Dieser Ansatz stellt das Konzept des Internets auf den Kopf und versucht aus dem Internet ein Telefonnetz zu machen. Darüber habe ich an ganz anderer Stelle geschrieben: Das Internet ist im Gegensatz zum Telefonnetz konzipiert als ein Netz von intelligenten Endgeräten.

Parallel dazu reden viele Politiker und Militärs von zukünftigen Cyberkriegen, die auch 'pre-emptive' sein können und die "active threat neutralization" enthält und dem Militär das Recht einräumen soll, auch notfalls in die Rechner von US-Bürgern einzudringen (bei Ausländern natürlich sowieso). Und es gibt mehr Stimmen nach einem 'authenticated internet'. Das könnte z.B. so aussehen, dass nur noch surfen kann, wer seine Bürgerkarte in das entsprechende Gerät gesteckt hat.

Der andere Artikel 'Cybersecurity and National Policy' ist akademischer und beschäftigt sich Sicherheitskonzepten. Im Artikel geht es um nationale Sicherheit, d.h. Sicherheit der Netze eines Landes, aber die gleichen Denkansätze sind genauso relevant, wenn man sie in Richtung 'Sicherheits-Policy für ein Unternehmen' liest. Hier einige der Thesen:

Er bezieht sich auf den Ingenieursspruch: Schnell, billig oder hohe Qualität, beliebige 2 können gleichzeitig implementiert werden, nie alle 3 gemeinsam. Für die Informationssicherheit wandelt er es ab auf 'Freiheit, Sicherheit, Bequemlichkeit', welche 2 sind gewünscht. Und sein Fazit am Ende des Artikels ist, dass für ihn die Freiheit die erste Priorität ist und dann die Sicherheit als zweites, d.h. für ihn sicher kein 'authentisiertes Internet' mit zentralen Servern in den USA.

Er definiert Sicherheit als die 'Abwesenheit von Überraschungen, die mit denen man nicht umgehen kann' (absense of unmitigatable surprises). Ein sicheres System ist eines, das auch bei Angriffen noch mit reduzierter Kapazität zur Verfügung steht, bzw. wo Prozesse vorliegen, die Alternativen zur Verfügung stehen, die ein Weiterfunktionieren ermöglichen. Risiko-Absorbierung statt Risiko-Vermeidung.

An dieser Stelle sieht er in Bezug auf die Abhängigkeit jedes Einzelnen, aller Firmen und der Gesamtgesellschaft von der IT ziemlich schwarz: ("our dependence on all things cyber as a society is now inestimably irreversible and irreversibly inestimable"). Als Beispiel nimmt er die Globalisierung mit ihrer Abhängigkeit von extrem zerbrechlichen Versorgungsketten (supply chain). Er postuliert, dass deren Sicherheit ohne einen Überwachungsstaat nicht zu gewährleisten ist.

Dann fragt er, welche Möglichkeiten eine Regierung hat, um die Sicherheit des Internets zu erhöhen, die 3 Steuerungsmöglichkeiten sind: Vorschriften (regulations), Steuern und Versicherungspreise. Regulierungen klappen seiner Meinung nach am besten, wenn es wenige große Martkteilnehmer gibt, so wie beim Telefon und kaum, wenn die Anbieter, so wie bei der Software und der Internetkommunikation vollkommen zersplittert und zum Teil sehr klein sind.

Steuern die die Sicherheit von Software und Systemen fördern (z.B. durch steuerliche Absetzbarkeit gewisser Entwicklungen) wären komplex und hätten sicher genausoviel unerwünschte Nebenwirkungen wie Wirkungen.

Steuerung über Versicherungspreise sieht er darin, dass der Staat die Möglichkeit hätte, Haftung für unsichere Software einzuführen und solche Haftungsausschlüsse wie in den unsäglichen EULAs (end-user licence agreement) zu verbieten. Er befürchtet, dass dann die Software-Industrie in Länder umzieht, die bei so etwas nicht mitmachen.

Sein nächster Vorschlag ist "no system fails silently". D.h. wenn etwas passiert, so muss es öffentlich werden, so wie dies ja in einigen Staaten, jetzt auch Ö, als "data breach law" in Datenschutzfragen eingeführt wurde.

Letzter Diskussionspunkt ist dann, wer für die vielen infizierten PCs, eines der Grundübel des Internets, verantwortlich gemacht werden sollte/könnte. Optionen wären: der Besitzer des PCs, der ISP (Internet Service Provider) des Kunden, oder der Entwickler der unsicheren Software. Gegen den ISP spricht, dass dies ohne eine sehr intensive Überwachung des Datenverkehrs des Kunden nicht möglich wäre, siehe oben, das überwachte Internet. Bei der Software graut ihm ein wenig vor einer neuen Behörde, die die Unbedenklichkeit von Software zertifieren würde.

Und sein letzter, sicherheits-philosophischer Punkt betrifft das von ihm mitentwickelte Kerberos als Authentisierungssystem. Das geht von der Prämisse "ich bin OK und du bist OK, das Netz dazwischen interessiert uns nicht" aus. Dieses Konzept ist für viele Anwendungen überholt. Für einen Anbieter von Internet-Banking muss gelten "mein Server ist OK, das Netz ist feindlich und der Rechner des Kunden mit einer hohen Wahrscheinlichkeit infiziert". Nur auf dieser Grundlage können heute sichere Services angeboten werden. Und dies ist leider bisher nur zu selten der Fall (ein positives Beispiel dafür ist Internet-Banking mit SMS-TAN, vorausgesetzt das SMS wird nicht auf einem verwundbaren Smartphone empfangen.





17.11.2010 - Wilde Geschichte eines Hackers

Die Sonntagsbeilage der NY Times berichtet in einem sehr langen Artikel The Great Cyberheist über Albert Gonzales, auch bekannt unter dem Pseudonym Soupnazi, der hinter dem Auffliegen der Shadowcrew-Hacker-Website gesteckt hat (Six "Shadow Crew" Members Plead Guilty).

Die Geschichte ist aber noch viel wilder. Die NY Times schreibt "He was leading a double life within a double life". Er hat nämlich während er im Auftrag des Secret Service die Gruppe unterwandert hat gleichzeitig auch noch den Secret Service hintergangen und ein Netz aufgebaut, das die größten Kreditkartendiebstähle der bisherigen Geschichte durchgeführt hat (BJ’s Wholesale Club, Marshall, TJX, OfficeMax, Barnes & Noble, Target, Sports Authority, Boston Market und viele andere). Dies geschah zuerst über Eindringen in WLANs, dann über Re-engineering der POS (Point of Sales)-Terminals und dann Eindringen in die Netze und Server in denen die Kreditkarten verarbeitet wurden. D.h. sie haben quasi ALLE Kreditkarten-Transaktionen der betroffenen Firmen mitgeschnitten.

Und noch einen Manager von der dunklen Seite des Internets hat es erwischt: "Georg Avanesov allegedly made the money by renting and selling parts of the Bredolab botnet for spam, Dutch prosecutors say."

Juni 2011:
Das mit dem Doppelrolle scheint gar nicht so eine Ausnahmen zu sein: 2011 One in four US hackers 'is an FBI informer.





17.11.2010 - Die RIM Zwickmühle

Dieser Artikel auf heise.de beschreibt sehr gut die Hintergründe für die Zwickmühle von RIM. Es geht darum dass einerseits RIM seine Blackberry-Smartphones als die sichersten Smartphones und damit auch für Firmen geeignet positioniert. Gleichzeitig machen über eine ganze Reihe von Regierungen Druck auf RIM um ein Abhören der Kommunikationen in ihrem Land zu ermöglichen.

Firmen die Blackberry einsetzen sind vermutlich beunruhigt wenn sie lesen, dass sich jetzt RIM mit den Ländern über das Abhören geeinigt hat. heise schreibt:

Diese Graphik auf Seite 4 zeigt die unterschiedlichen Kommunikationswege der privaten und der Firmengeräte sehr gut. Mitarbeiter in Unternehmen die Blackberry einsetzen sind aber evtl. beunruhigt über die Tatsache, dass die Administratoren die Liste aller ihre Telefonate sehen können.




Microsoft meldet 2007 ein Patent für eine "Überwachung" der Fernsehzuschauer an - jetzt ist eine Implementierung in der Xbox angedacht
Quelle: Engadget (siehe Artikel)

17.11.2010 - Is your Videogame watching you?

Mehrere Artikel in den USA problematisieren die Frage Is your Videogame watching you? Die Artikel beschreiben dass Microsofts Chief Operating Officer Dennis Durkin vergangenen Donnerstag gegenüber Investoren durchblicken ließ, dass die Kamera von Microsofts Xbox 360 Controller-System Kinect für Analysezwecke eingesetzt werden könnte. Die gewonnen Daten könnten ausgewertet und für personalisierte Werbung genutzt werden, so Durkin.

Das Wallstreet-Journal berichtet, dass die Kamera und die Software des Systems, die dazu eigentlich dazu dient, dass die Bewegungen der Spieler automatisch erkannt und als Steuerung für die Spiele verwendet werden können auch so clever ist, dass sie Gesichtserkennung durchführt um automatisch den jeweiligen Spielern ihre Avatare zuzuordnen.

Daraus folgert natürlich auch, dass das System auch weiss, wie viele Personen im Raum sind und vermutlich auch noch weitere Informationen hat, die es weitergeben kann. Aber natürlich könnte das System auch ganze Filme zurückübertragen.

Sprecher von Microsoft rudern jetzt heftig zurück: Microsoft reassured users today that none of its systems “use any information captured by Kinect for advertising targeting purposes.” Digitaltrends kommentiert diesen Satz mit: "They can, but they’re not. Yet." Das ist nämlich der Kern der Story, es gibt sehr hoch positionierte Leute in Microsoft, die ernsthaft über eine Überwachungskamera im Wohnzimmer ihrer Kunden nachdenken und öffentlich darüber reden. Die Hemmschwelle beim Überwachen liegt sehr niedrig.

Engadget weisst in ihrem Artikel darauf hin, dass das ganze ja nicht wirklich neu ist. Sie verlinken auf einen früheren Artikel Microsoft envisions invasive approach to targeted advertising aus dem Jahr 2007 über ein Patent vom Microsoft in dem ein sehr ähnliches System (statt Xbox damals der Fernseher) bereits zum Patent angemeldet wurde.

Ich vermute, dass der Prototype dieses "Überwachungssystems" in einem Microsoft-Labor bereits funktioniert, dass es jetzt aber als nicht-opportun gesehen wird, darüber zu reden.

Hier ein Witz zum Thema: Kinect als Überwachungskamera (wer den Schaden hat ....)

 

Mai 2013:
Sehr aktuell in diesem Zusammenhang die Diskussion im die neuen Features von Xbox Kinect: Xbox Kinect: Totale Kontrolle ohne Ausweg.





16.10.2010 - Schwachstellen: Es wird nicht besser, es wird schlechter

Die Firma Secunia bietet mit ihrem Personal Security Inspector (PSI) eine sehr empfehlenswerte kostenlose ständige Sicherheitsüberprüfung für Windows Rechner. Das Tool überprüft Windows-Betriebssysteme und vor allem die vielen Standard-Anwendungen auf technische Schwachstellen. Als Gegenleistung bekommt Secunia einen einzigartigen Überblick über den Stand der Schwachstellen auf den Heimrechnern. Dies haben sie jetzt in ihrem Secunia Half Year Report 2010 (pdf) veröffentlicht.

November 2011:
Noch ein Stück persönlicher werden ähnliche Angriffe auf drahtlos-gesteuert Insulinpumpen, die dazu gebracht werden können, eine tödliche Dosis abzugeben. Zur Beruhigung der Patienten: diese Angriffe gehen nur gegen die drahtlosen Modelle und sind nur sehr schwer zu implementieren (erfordern spezielle Hardware und Software). Und natürlich kann der Täter sein Opfer, wenn er mal auf diese Nähe herangekommen ist, auch auf vielfältige andere Weise töten.

Peinlich (und leider typisch) ist, dass die Gerätehersteller, genau wie die Anbieter von drahtlosen Herzschrittmachern, sich keinerlei Gedanken zu möglichen Schutzmechanismen gegen Angriffe gemacht haben. Man zeigt sich beim Hersteller eher überrascht und will ein Industrikonsortium einberufen, um kompatible Schutzmethoden zu entwickeln ("dann gründen wir erst mal ein Komitee").

Sie berichten dabei, dass die Lage bei den Schwachstellen seit 2005 dramatisch schlechter geworden ist. Offensichtlich hat die Software-Industrie insgesamt es nicht geschafft, Programme auf den Markt zu bringen, die sicherer sind als noch vor 5 Jahren. Zitat:

Quelle: Secunia - Klick bringt volle Größe

Es hat, wie die Graphik zeigt, lediglich Verschiebungen gegegeben. So hat es Microsoft geschafft, bei den Schwachstellen deutlich hinter den anderen Firmen zurückzufallen, d.h. ihre Initiative für sicherere Software, die Microsoft seit Beginn des Jahrtausends sehr aktiv betreibt, scheint sich auszuzahlen. Apple streitet jetzt mit Oracle im die höchste Zahl von neu veröffentlichten Schwachstellen. Zitat:

Für mich gibt es für den Anwender daher nur die 1 Lösung die ich auf allen meinen PCs einsetze: den Personal Security Inspector installieren.

 

 

Zu einer etwas anderen Analyse kommt Microsoft in ihrem Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010.

Microsoft sieht einen leichten Rückgang bei der Zahl der öffentlich berichteten Verwundbarkeiten (National Vulnerability Database - http://nvd.nist.gov).

 

Quelle aller dieser Graphiken: Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010

 

 

Microsoft sieht natürlich die gleiche Verschiebung weg vom Betriebssystem zu den Anwendungen, aber auch dort sehen sie einen Rückgang der Verwundbarkeiten.

 

Mehr Statistiken aus diesem Bericht finden sich auf der Seite zu Data Loss.




Okt. 2014: Studie zum Risiko "Handynutzung im Auto", auch bei Nutzung einer Freisprecheinrichtung.


16.10.2010 - Handy am Steuer - ziemlich tödlich

Ich hatte bereits an anderer Stelle darüber geschrieben: Gehen von den Handys Gefahren aus?. Ja, und zwar erhebliche, nämlich durch die Benutzung im Straßenverkehr. Anlass für diese Notiz ist zum Einen, dass einem Kollegen ein junger Mann hinten reingefahren ist (mit erheblichem Sachschaden an dessen Fahrzeug) der gerade vom Handy abgelenkt war. Und in den USA wird der tödliche Unfall des Schönheitschirurgen Dr. Frank Ryan thematisiert, der sich vom Handy abgelenkt über eine Klippe gestürzt hat.

Ein recht vernünftiger Blogger berichtet dass es noch viel schlimmer kommen kann. Der Trend geht dahin, Autos als Entertainment-Center auszustatten, mit direkten Internet-Anschluss und Displays im Armaturenbrett.

Die Automobil-Industrie ist sehr daran interessiert, mit irgendwelchen neuen Features auf den Markt zu kommen und die Unterhaltungsindustrie ist natürlich auch sofort begeistert. Und die Gesetzgeber werden sich auch hier breit schlagen lassen und nach so kosmetischen Zugeständnissen wie Spracherkennung und Freisprecheinrichtung (die nachgewiesenermaßen keine Reduzierung der Unfälle bringen - Hands-Free Cellphone Devices Don't Aid Road Safety, Study Concludes.

Zitat Consumer-Reports: "In 2016, 3,450 people were killed because of distracted driving, a 2.2 percent decline from 2015. Still, the number of distraction-related fatalities reported in 2016 was higher than in 2011. According to NHTSA, fatal distracted-driving crashes specifically involving cell-phone use increased to 14 percent (442) in 2015 from 12 percent (354) in 2011. And the percentage of distracted-driving-related crashes resulting in injuries that were linked to cell phones increased to 8 percent (21,000) in 2015 from 6 percent (15,000) in 2011."

 





18.09.2010 - Stuxnet - der SCADA Wurm

Diese Inhalte finden sich jetzt an anderer Stelle.

 





05.08.2010 - Peinlich: Social Networks als Falle für IT- und Security Experten

In einem dreiwöchigen Experiment testeten die Antivirus-Spezialisten von Bitdefender wie gut sich Social Networks nutzen lassen. Für die gefälschte Anfrage im Social Network erstellten sie das Profil einer 21-jährigen Blondine. Angeschrieben wurden je 1.000 Männer und Frauen. Um eine möglichst repräsentative Menge von Probanden zu erreichen, wurden zudem User zwischen 17 und 65 Jahren in das Experiment mit einbezogen. Das Durchschnittsalter betrug 27,3 Jahre.

Bereits nach 7 Tagen hatten 94 Prozent der 2.000 weltweit angeschriebenen User den Kontakt bestätigt. Immerhin 13 Prozent von diesen machten sich im Anschluss wenigstens die Mühe nachzufragen, woher man sich genau kenne. Als Hauptgrund für die Kontaktaufnahme gaben 53 Prozent „das schöne Gesicht“ der 21-Jährigen an. Mitrbeiter der IT-Branche waren unter den Vertrausseeligen kräftig vertreten (Hier die Details: malwarecity.com). Von diesen IT-lern waren wiederum 31 Prozent im Bereich IT-Security tätig.

Anschließend wählten die Tester 20 der Probanden die die Anfrage bestätigt hatten aus, um eine kleine Konversation mit der 21-jährigen Dame zu führen. Hier galt es herauszufinden, wie viele private Informationen die einzelnen Nutzer bereit waren, dem Fake-Kontakt preiszugeben. 10 Prozent der IT-Mitarbeiter hatten bereits nach einer halben Stunde privater Konversation der jungen Dame sensible Informationen wie Adresse, Telefonnummer sowie den Namen von Vater und Mutter etc. verraten. Nach zwei Stunden Gespräch hatten 72 Prozent sogar vertrauliche Daten über ihren Arbeitsplatz verraten, beispielsweise Informationen über noch nicht veröffentlichte Software oder Zukunftsstrategien etc.

 





05.08.2010 - Unethisches bei der PC Reparatur

Das Verhalten der Kollegen IT-Experten kann schon manchmal arg peinlich sein. Computerbild hat korrekt laufende PCs zu den Reparatur-Services von Medion, Asus, Hewlett Packard, Fujitsu Siemens, Toshiba, Targa, Conrad und PC-Feuerwehr gebracht, und zwar mit der Bitte eines Checkouts ohne Datenverlust. Das Ergebnis steht unter Repariert und ausspioniert: PC-Techniker schnüffeln in Ihrem PC!.

Das Ergebnis: Bei über der Hälfte der Computer schnüffelten PC-Techniker durch die privaten Dateien, was für diese Reparatur generell nicht erforderlich war. Sie betrachteten Urlaubsbilder, sichteten Dokumente, schauten sich Videos an und kopierten sogar Dateien. In einem Fall war die Platte neu formatiert, in einem anderen Fall eine ganz neue Platte eingebaut. Einer der Rechner startete nicht mehr, er war falsch wieder zusammengesetzt worden, ein anderer hatte angeblich neuen Hauptspeicher eingesetzt bekommen, Diagnoseprogramme waren vorher jedoch nicht genutzt worden. Die traurigen Details sind auf computerbild.de.

Fazit ist, was ich seit Jahren behaupte: Wir (die IT-ler) bringen dringend Ethikregeln, so dass diese Kollegen zumindest ein schlechtes Gewissen haben. Oder wir brauchen viel mehr solcher Tests.

 




Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht

 

04.07.2010 - 4chan: Time 100 Precision Hack 2009

Irgendwie war das im Frühjahr 2009 an mir vorbeigerauscht. Der Time 100 (most influential person) war im Jahr 2009 gehackt worden. Ich wusste bereits, dass Online-Polls im Internet oft zu einem Wettbewerb zwischen IT-lern (z.B. 2 Universitäten) ausarten, Playboy-Polls sind berühmt dafür.

Mehr zu Hacktivismus erkläre ich an anderer Stelle.

Aber diese Manipulation hatte noch eine zusätzliche Qualität: Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht. Hier sind Insider-Informationen dazu: Inside the precision hack die die Perfektion der eingesetzten Software anzeigt, mit deren Hilfe so eine exakte Manipulation möglich ist.

 





26.06.2010 - Copyright, ACTA und Google

Zum Thema Copyright, dessen Wert und dessen Durchsetzung lässt sich trefflich streiten. Aber es gibt ein paar Punkte, da kann ich mich drüber streiten, da staune ich nur, was alles möglich ist.

Die Österreichische Nationalbibliothek lässt ihre 400.000 Bände vom 16. bis ins 19. Jahrhundert von Google kostenlos einscannen. Ich bin ja kein großer Fan der Datensammelwut von Google, aber in diesem Fall halte ich das für eine Win-Win Situation. Google bekommt die Ergebnisse der Scans nicht-exklusiv, die Nationalbibliothek kann die Inhalte selbst auf ihre Website stellen, kann diese von alle Suchmaschinen der Welt indizieren lassen und die Wissenschaft und die Öffentlichkeit haben endlich bequemen Zugriff auf diese Bücher.

Dann kommen die Verleger beginnen sofort zu jammern, dass das ein nationaler Ausverkauf sei. Auch die IG Autorinnen Autoren regen sich auf. Auf dem IT-Rechtstag letzte Woche berichteten Anwälte der (Zeitungs-)Verleger, dass ein Mechanismus geschaffen werden müsste, damit die Zeitschriften verhindern könnten, dass ihre Inhalte ungefragt von Google indiziert werden.

Hier die Neuigkeit für die Verleger und ihre Anwälte: Diesen Mechanismus gibt es bereits. Er heißt robots.txt. Dies ist eine kleine Textdatei die auf jedem Webserver liegen sollte und in der angegeben wird, welche der dortigen Inhalte indiziert werden sollen und welche nicht. Bei sicherheitskultur.at wird da z.B. spezifiziert, dass keine Bilder für die Bildersuche indiziert werden sollen (Disallow: /images/*). So einfach ist das nämlich. Die zweite Option sind dann noch die Meta-Tags von HTML-Seiten, da kann das noch mal spezifiziert werden.

D.h. die Inhaber der Verwertungsrechte haben sehr wohl die Möglichkeit, die Nutzung ihrer Inhalte durch Google zu verhindern, man müsste sich nur etwas besser auskennen. Ebenso halte ich das Opt-Out beim Scannen von verwaisten Werken für eine akzeptable Option. Buchverleger sollten übrigens nicht zu sehr über die "Enteignung von Autoren" reden, der Begriff passt eigentlich viel besser auf Verträge mit Autoren die ich gesehen habe:

Da bleibt von "alleiniger Inhaber aller Rechte" nicht viel übrig.

Das andere ärgerliche Thema rund um Copyright sind die ACTA-Verhandlungen (Anti-Counterfeiting_Trade_Agreement). Die Futurezone des ORF (die ja auf Wunsch der Zeitungsverleger - siehe oben - im Rahmen des neuen ORG-Gesetz eingestellt werden soll) berichtet US-Plan gibt Marschrichtung vor und dann ein paar Tage später Verbraucherschutz: ACTA verletzt Grundrechte. Und das fasst sehr gut meine Meinung dazu zusammen. Da wird wohl den Internet-Service-Providern (ISP) auferlegt, den Datenverkehr ihrer Kunden aktiv zu überwachen. Und es wird wohl, so wie es aussieht, auch auf das Three Strikes-Prinzip hinauslaufen. D.h. wegen dem Vorwurf einer zivilrechtlich relevanten Taten wird das Grundrecht auf Information beschnitten, indem der Betroffene keinen Internetzugang mehr bekommen soll.

 





12.06.2010 - Geschäftsmodell Angst vor Copyright-Klagen

Drei Artikel zu Geschäftsmodellen rund um Copyright-Klagen. Da ist erstmal ein Trojaner der wenn er einen Rechner infiziert hat dort ein Fenster öffnet und den Benutzer informiert, die (nicht-existierende) ICPP Copyright Foundation hätte Raubkopien auf dem Rechner gefunden und es müssten zur Vermeidung eines Prozesses 400 Euro per Kreditkarte gezahlt werden. Wer sich darauf einlässt und das entsprechende Fenster für die Zahlung nutzt, dem werden dann zwar diese 400 Euro nicht von der Kreditkarte abgebucht (das wäre vermutlich zu leicht nachzuverfolgen), die so gewonnenen Kreditkarteninformationen werden einfach für weitere Betrügereien verwendet.

Der nächste Artikel beschäftigt sich dann mit richtigen Gerichtsverfahren. The RIAA? Amateurs. Here's how you sue 14,000+ P2P users berichtet, dass die großen Plattenverlage mittlerweile kaum noch Downloader verklagen, aber andere Anwälte haben das Geschäftsmodell für sich selbst entdeckt und produzieren in knapp über 3 Monaten fast so viele Klagen wie die RIAA-Verwertungsgesellschaft seit Beginn der Kampagne - bereits jetzt 15 000 für die ersten Monate 2010 allein durch eine Gesellschaft.

Die Anwälte suchen sich relativ unbekannte "independent" Filmproduzenten, suchen im Internet wer deren Filme herunterlädt und drohen mit Prozess, alternativ eine Zahlung von 1500 bis 2500 US$. Ein großer Teil der so Bedrohten zahlt; es ist ein tolles Geschäft, für die Anwälte und die Filmproduzenten die auch ihren Anteil bekommen.

In Deutschland ist Bushido berüchtigt für seine Abmahnungskampagnen. Es werden Unterlassungserklärungen und pauschal 859 Euro verlangt. Angeblich lässt er auch Fans abmahnen, die Texte von ihm auf Websites stellen.

Dabei ist Bushido kein unbeschriebenes Blatt: Ihm selbst werden zahlreiche Urheberrechtsverletzungen vorgeworfen und er ist auch schon einschlägig verurteilt worden. Der vorige Links gibt auch Hinweise, wie man sich gegen Bushido und ähnliche Ansuchen wehren kann. Kurzttipp: Bevor Sie irgendwas tun, nehmen Sie Kontakt mit einem Anwalt auf, die Erstberatung ist meistens kostenlos und dann wissen Sie besser über ihre Rechte bescheid.

Juni 2010:
heise.de berichtet von gefäschten Emails mit Abmahnungen einer nicht mehr exisitierenden Kanzlei, Bezahlung angefordert über Paysafecard wird gefordert, eine sehr beliebte anonyme Bezahlmethode im Internet-Untergrund.

 




2017: Die eco Beschwerdestelle der deutschen Netzbetreiber berichtet, dass sie 2016 100 Prozent der illegalen Inhalte in Deutschland gelöscht haben und durch Kontakte zu ähnlichen Stellen im Ausland auch sehr hohe Löschungsraten erzielen können.


12.06.2010 - Thema Internetsperren und Kinderpornographie

Das ist leider ein sehr besetztes Thema, das kaum irgendwo sachlich diskutiert werden kann. Wer gegen Internetsperren ist steht sofort im Ruf, Kinderpornographie zu befürworten. Ein recht vernünftiger Arikel in der Futurezone des ORF Kinderporno: SPÖ und ÖVP für Internet-Sperren verweist auf eine Aktion in Deutschland "Löschen funktioniert".

Die österreichischen Parlamentarier haben sich dazu durchgerungen, dass "das Löschen solcher Inhalte Vorrang vor dem Sperren haben" soll, anderseits sehen sie die Sperren immer noch als zweitbeste Lösung. Weiter unten in dem Artikel werden dann auch die Missbrauchsmöglichkeiten erwähnt: "So wurden in der deutschen Diskussion auch Forderungen nach Sperren von Torrent-Trackern für unlizenzierten Tausch von Mediendateien oder Glücksspielangeboten laut."

Der Arbeitskreis aus Deutschland (siehe 2. Link) hat das mal durchgetestet. Sie haben auf Grund von europäischen Sperrlisten automatisiert 348 verschiedene Webhosting-Provider in 46 Ländern angeschrieben und über rund 1943 gesperrte vorgeblich illegale Webseiten informiert. Ergebnis: 250 Webhoster haben prompt auf die Anfrage geantwortet, hatten aber hauptsächlich legale Inhalte gefunden; 10 Hoster gaben an, ingesamt 61 illegale Inhalte entfernt zu haben. Also - so schwer ist das mit dem "Entfernen statt Sperren" offensichtlich nicht. Die verbotenen Inhalte werden nämlich zum überwiegenden Teil in Ländern gespeichert, wo ein Entfernen der Inhalte sehr leicht möglich ist.

Hier ein Artikel dazu aus der futurezone des ORF: Kinderpornos meistens in USA gehostet. Dieser Artikel beruht auf einer Presseerklärung der stopline.at, auf der illegale Inhalte im Web gemeldet werden können und die von der ISPA, der Vereinigung der Internet Service Provider in Ö betrieben wird. Hier die Aussendung ISPA-Stopline: Im ersten Halbjahr 2010 kein österreichischer Server betroffen.

Die Hoster der Websites auf der Sperrliste waren übrigens gar nicht darüber informiert, dass diese URLs auf der Sperrliste sind. Wenn sie informiert worden wären hätte man die meisten der URLs erst gar nicht auf die Sperrliste setzen müssen weil die Hoster entweder die Inhalte gelöscht oder die Fehleinschätzung korrigiert hätten. Das regelmäßige Verteilen der aktuellen Sperrlisten an die Betreiber der DNS-Infrastruktur ist vermutlich oft mehr Arbeit als das Entfernen der Inhalte aus dem Netz.

Und jetzt zu den schlechteren Nachrichten: Bei der überwiegenden Mehrheit der Webseiten zeigte sich bei der Überprüfung, dass die Webseiten kein kinderpornographisches, teilweilse überhaupt kein irgendwie beanstandbares Material enthielten - die Webauftritte waren folglich zu Unrecht gesperrt. In Finnland werden zudem auch mehrere inländische Webseiten blockiert die sich kritisch mit den dortigen Internet-Sperren auseinandersetzen. D.h. solche Sperren werden bereits jetzt für Zensurzwecke eingesetzt. Auch aus Australien wird Zensur über solche Sperrlisten berichtet.

Technische Implementierung und deren Wirkungslosigkeit
Es gibt nur eine wirklich sichere Möglichkeit um im Internet-Zugriffe zu sperren: alle Zugriffe müssen über eine oder mehrere zentrale Firewalls gehen. Dies ist in Nordkorea und in China implementiert. Die in Europa vorgeschlagenen Sperren sind keine wirklichen Sperren (und das entsprechende Gesetz heißt in D. Zugangserschwerungsgesetz). Es sollen lediglich die DNS-Server in den jeweiligen Ländern die URLs zu den "gesperrten" Inhalten nicht mehr auflösen. D.h. der DNS-Server gibt keine IP-Adresse zurück sondern zeigt eine Seite die besagt, dass auf gesperrte Inhalte zugegriffen werden sollte. Nach der in D. geplanten Implementierung hätte auch automatisch eine Meldung an die Behörden generiert werden sollen, damit sie diesem Fall nachgehen können.

Die Umgehung einer solchen Scheinsperre ist extrem einfach: der Benutzer ändert bei seinem PC die Netzwerkeigenschaften und stellt die Adresse des DNS z.B. auf 8.8.8.8. Das ist der neue Google-DNS, der in den USA liegt, wo eine solche Scheinsperre als Zensur gesehen würde. Oder auf 9.9.9.9, betrieben von einem Konsortium, gebildet vom Packet Clearing House (PCH), der Global Cyber Alliance (GCA), IBM und weiteren Partnern. D.h. eine solche Scheinsperre wäre extrem wirkungslos, auch ich würde lieber über den Google-DNS surfen als Gefahr zu laufen, dass ich wegen einer der vielen oben aufgezeigten "false positives", d.h. fälschlichen Sperrungen, Besuch von der Behörde bekomme und schlimmstenfalls mein Rechner für eine ausführliche Untersuchung beschlagnahmt wird.

Die Lösung: Löschen statt Sperren
Der Test aus D. hat gezeigt, dass von den 348 Webhostern 250 prompt reagiert haben. Was ist mit dem Rest? Auch hier gibt es Lösungen. Banken und größere Firmen nutzen kommerzielle Anti-Phishing-Dienste (z.B. RSA Fraud Center und CSIS Antiphishing), die sich rühmen, JEDE Website vom Netz zu nehmen. Bei seriösen Betreibern ist das Recht einfach. Alle seriösen Webhoster haben Abuse-Kontaktadressen (meist abuse@), bzw. Compliance Officers und diese Anti-Phishing-Dienste haben deren Telefonnummern. Ein Anruf genügt, und eine Phishing-Website ist vom Netz. Bei den nicht-seriösen Webhostern ist es schwieriger. Sie werden "bullet-proof" Webhoster genannt, weil sie auf solche Anfragen nicht reagieren.

Aber auch hier haben diese Anti-Phishing-Dienste Mittel und Wege, das Problem zu lösen. Z.B. verfügen solche Anti-Phishing-Dienste über Kontakte zu vielen Polizeibehörden und da findet sich dann zumeist ein Weg, die Website vom Netz zu nehmen. Der Punkt ist: wenn private Firmen es schaffen, "Inhalte vom Netz zu nehmen" dann ist es schwer verständlich warum die Polizeibehörden der Welt - gemeinsam - dies nicht schaffen können und daher zu dem (untauglichen) Mittel der Scheinsperre greifen wollen. Daher die Forderung ganz vieler Organisationen: Endlich diese Inhalte systematisch löschen zu lassen. Falls die Polizeibehörden dazu ressourcenmäßig nicht in der Lage sind, so übernehmen die kommerziellen Anbieter dies bestimmt sehr gern.

Der oben referenzierte Artikel der ISPA erklärt sehr schön, dass es auch heute eine gut funktionierende Kooperation gibt und dass das Löschen kein unlösbares Problem ist:

Das Kernproblem sind die Kindesmisshandlungen selbst, nicht die Fotos
Das eigentliche Problem ist aber nicht die Kinderpornographie, sondern die auf diesen Bildern und Videos sehr oft dargestellten sexuellen Misshandlungen der Kinder und die dadurch in den Opfern ausgelösten körperlichen und psychischen Traumatisierungen (der Begriff "Kindesmissbrauch" ist in diesem Zusammenhang zumindestens extrem unglücklich; das Wort "Missbrauch" unterstellt implizit, dass es auch einen korrekten Gebrauch von Kindern geben könnte). Diese Misshandlungen sind es, die zum Schutz der Kinder strafrechtlich verfolgt und so effektiv wie möglich erschwert werden müssen.

Oft zeigt sich, wie in dem aktuellen Wiener Fall, dass die Verfolgung von Kinderpornographie-Zugriffen Hinweise auf Kindesmisshandlungen gibt, so wie es auch in diesem Fall zu sein scheint. Diese Misshandlungen werden natürlich weder durch Zugaungserscherungen noch durch das Löschen der Inhalte abgestellt.

Das Löschen der Inhalte ist aber eine Behinderung des Marktes mit solchen Bildern und Videos. Es ist eine grauslige Tatsache, dass viele Bilder und Videos auch auf Nachfrage hergestellt werden und dass eine Behinderung solcher Foren, in denen (gegen Bezahlung) Bestellungen für bestimmte Inszenierungen abgegeben werden, sehr wohl Kinder vor diesen Misshandlungen retten kann.

Juli 2010:
Und schon wieder werden neue Überwachungswünsche unter dem Vorwand Kinderpornografie bekannt: EU plant massive Ausweitung der "Vorratsdaten-Sammlung". Diesmal geht es nicht um die Erschwerung des Zugriffs, sondern um eine Aufzeichung und Auswertung der Suchbegriffe in Suchmaschinen um angeblich auf diese Weise "Online-Kinderpornografie und anstößige sexuelle Inhalte rasch und effektiv zu bekämpfen" - wie auch immer das gehen soll. Und wie auch immer diese Auswertungen den Opfern helfen können.

Wirkliches Ziel muss doch sein, die Anbieter der Daten zu identifizieren (dafür braucht es aber keine Überwachung der Suchmaschinen, sondern vielleicht nur einfach eine Nutzung der Suchmaschinen durch die Exekutive - "Google ist dein Freund") und dann diesen Anbietern das Handwerk zu legen.

Noch mal Juli 2010:
Hier Berichte aus Australien, wo die Regierung bereits ziemlich weit war. Es ging in dem Gesetzesentwurf nicht nur um Kinderpornographie, sondern auch um Anleitungen zu Verbrechensbegehung (was immer da alles drunter fällt, evtl. auch solche Berichte über Angriffe wie ich sie auf dieser Website bringe).

Mittlerweile ist die Regierung wieder vorsichtiger geworden und ist bereit, diesen Schutz auch anders zu implementieren. Hier ein Artikel aus Australien: Conroy backs down on net filters. Auch hier fordern Aktivisten "better equip parents to protect their children at home, and better equip police to combat the issues at their source".

Hier ein recht guter Hintergrundartikel: Kindesmissbrauch: Netzsperren als Wegsehen mit vielen weiteren Links zum Thema.

August 2010:
heise.de: Provider: "Löschen statt Sperren" funktioniert. Ähnlich klingt der Bericht der schweizer Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (Kobik). Sie berichten darüber, dass sie sehr erfolgreich diese Inhalte aus dem Web entfernen (lassen).

Sept. 2010:
Futurezone berichtet über die Wiederkehr der Netzsperren. Der Artikel berichtet über 2 Dokumente: die International Watch Foundation dokumentiert IWF experience, tactical suggestions and wider considerations (pdf). IWF ist sehr aktiv und erfolgreich beim Entfernen aus dem Internet, sowohl in Großbritannien wie auch in anderen Ländern. Weil es aber Fälle gibt, an denen auch sie scheitern befürworten sie ein gezieltes URL-Sperren. Sie sprechen sich aber explizit gegen das Sperren von Domain-Names (und damit IP-Adressen), so wie das heute vorgeschlagen wird. Sie sagen, dass ein großer Teil der illegalen Inhalte auf legitimen Seiten gehostet wird, z.B. Photosharing, und dass es zu erheblichen Colateralschäden kommen würde. Es bieten eine täglich 2x aktualisierte Liste von ca. 500 vollständigen URLs an, die aus den ca. 40 000 Reports die sie pro Jahr bearbeiten, übrig bleiben. Sie betonen, dass das auf diese Liste setzen jeweils nur eine Interim-Lösung ist bis die Entfernung aus dem Internet gelungen ist.

Und aus Deutschland gibt es ein Harmonisierungspapier zum zukünftigen Umgang mit Hinweisen auf kinderpornografische Webseiten das beschreibt, dass es bisherigen bei der Bekämpfung von Kinderpornographie in Deutschland eine Ungleichbehandlung der Meldung an die 3 deutschen Stellen gab, das BKA aber eine einheitliche Vorgehensweise durchsetzt, bei der das Entfernen die allerhöchste Priorität hat. (Hier übrigens die Links von Meldestellen).

In den USA gibt es mittlerweile Pläne das DNS System gegen Urheberrechtsverletzungen zu missbrauchen. Die EFF hat einen offenen Brief von 87 prominenten US-Internetpionieren initiiert. Über das Antipiraterieabkommen ACTA könnten diese Maßnahmen auch nach Europa kommen.

Eine weitere Studie beschäftigt sich mit der Effektivität der Netzsperren. Der deutsche AK Zensur hat sich 167 Einträge von Sperrlisten aus Schweden und Dänemark (pdf) angesehen und dabei festgestellt, dass lediglich drei Adressen noch Inhalte enthielten, die als Kinderpornografie klassifiziert werden können.

Febr. 2011:
Futurezone berichtet über ein konkretes Ermittlungsbeispiel und zeigt auf Netzsperren warnen die Täter.

Mai 2011:
Deutschland: Löschen statt Sperren nun fix.

Dezember 2011:
EU-Minister fordert mehr Anstrengungen beim Löschen von Kinderpornographie.

Jan. 2012:
Auf dem Chaos Computer Congress 2011 wird ein System vorgestellt (und kritisiert), mit dessen Hilfe Kinderpornographie im Netz über Hash-Werte identifiziert werden soll. Ich persönlich finde diesen Vorschlag zumindest diskussionswürdig. Da bereits diese Hashwerte vorliegen sehe ich kein Problem, wenn die Crawler der Suchmaschinen in diesen Fällen Alarm schlagen.

April 2013:
Österreich Jahresbericht 2012 Stopline: Kinderpornos und Wiederbetätigung im Internet: 2.615 Meldungen 2012. Tenor: Die Meldungen steigen gravierend, das "Prinzip Löschen statt Sperren" bleibt.

Juni 2013:
Google will mit Hilfe der Internet Watch Foundation eine Datenbank der Hashes aller bekannten Bilder erstellen und allen Suchmaschinen als Filter zur Verfügung stellen, damit diese Bilder in Suchmaschinen nicht mehr aufscheinen, außerdem sollen alle Funde an die Behörden gemeldet werden.

Dez. 2013:
Wie schwierig das Sperren ist zeigen die ersten Erfahrungen mit dem britischen Pornographie-Filter. Dieser richtet sich nicht speziell gegen Kinderpornographie, sondern gegen jede Form von Pornographie. Die englischen Internetnutzer sollen sich den Zugang zu solchen Inhalten explizit freischalten müssen. Heise.de berichtet, dass es dabei jede Menge False-Positives gibt (d.h. irrtümlich gesperrte Seiten): Britische Provider schrauben an ihren Pornofiltern. Und zwar nicht nur bei Kinder-Hilfsorganisationen, sondern auch bei einer Abgeordneten, die für diese Porno-Filter ist. Für Deutschland wurde so ein Modell auch bereits vorgeschlagen.

 





30.05.2010 - Hacker-Angriffe auf Autos bis zu autonomen Fahrzeugen

Die Inhalte zu Angriffen auf Autos und Verkehrsinfrastruktur sind jetzt unter automobile Probleme

 




Weiter unten Aktualisierungen und viele Details zu den einzelnen Fällen der unterschiedlichen Banken, die bis heute reichen und 2015 als "Swiss Leaks" diskutiert werden. Da sind spannende und verwirrende Krimis darunter.

Hier der Link zur Swiss Leaks Website der "International Consortium of Investigative Journalists" (ICIJ), auf der auch Länder und betroffene Personen genannt werden

13.02.2010 - Swiss Leaks: Gedanken zum Thema 'Datendiebstahl' und den sog. Steuer-CDs (d.h. gestohlene Bankdaten mit "Steuersünder-Daten")

Was da im Augenblick mit dem Ankauf von Kundendaten von liechtensteiner und schweizer Bankkunden passiert ist aus Sicht eines Bank-Sicherheitsverantwortlichen eine ganz heiße Kiste. Da wird durch den Ankauf ein Markt geschaffen, der viele frustierte System-Administratoren in Versuchung bringen könnte. Eine ganze Reihe von guten Punkten bringt Hans Zeger unter Dürfen gestohlene Personendaten gehandelt und verwertet werden? (Der folgende Text bezieht sich NUR auf österreichisches Recht.)

'Datendiebstahl' kann es gar nicht geben, Diebstahl bezieht sich immer auf Dinge, keine Daten, Ideen oder ähnliches. ARGE DATEN: Vor einigen Jahren wurden aus einer Justizanstalt tausende Häftlingsakten auf eine DVD kopiert und verkauft. Nach Rückgabe der DVD wurden die Strafverfahren eingestellt, da kein Diebstahl mehr bestehe.

Der Text auf dieser Website konzentriert sich auf die strafrechtliche und kriminilogische Ebene der Data Leaks in Banken. Natürlich ist das, was einzelne/viele(?) Banken betrieben haben oder vielleicht weiter betreiben Beihilfe zur Steuerhinterziehung, mehr oder weniger plump, direkt und mitwissend. Und solche Steuerhinterziehung schadet der Allgemeinheit, im Fall Griechenland ist dies deutlich sichtbar, in vielen Schwellenländern (siehe die Liste der HSBC-Kunden - weiter oben verlinkt) schadet es vermutlich noch mehr und war vor der Veröffentlichung der Namen nicht so sichtbar. Dieser Aspekt muss bei der Bewertung des Datendiebstahls mit berücksichtigt werden.

Wie der Falter im Feb. 2015 schreibt ist leider die Veröffentlichung keine Garantie, dass etwas passiert. Zitat: "Die Liste der 2062 griechischen HSBC-Kunden war der griechischen Regierung seit 2010 bekannt, sie ignorierte sie und entfernte nur Verwandte von Kabinettsmitgliedern daraus."

Aber strafbar macht sich ein Administrator (ob Bank oder Klinik oder Industriebetrieb) durch die Weitergabe von internen Daten auf jeden Fall. In Ö z.B. Strafgesetzbuch - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses oder die einschlägigen Vertraulichkeitsregelungen, z.B. im Bankengesetz, Telekommunikationsgesetz und im Ärztegesetz (das nämlich nicht nur für Ärzte, sondern für alle Beschäftigten im Gesundheitswesen gilt).

Ebenfalls greift bei einem Verkauf solcher Daten die Strafbestimmung in § 51 DSG (und ist neuerdings ein Offizialdelikt und damit in vom Staatsanwalt zu verfolgen): Wer in der Absicht, sich (etwa durch Verkauf) einen Vermögensvorteil zu verschaffen, Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind (z.B. als Bankmitarbeiter), einem anderen (etwa einem "Datenhehler", dem Staat direkt oder auch einem angeblich "zufälligen" Finder) zugänglich macht, kann mit bis zu einem Jahr Freiheitsstrafe belangt werden. Dies trifft auch alle Mittäter und es ist bereits der Versuch strafbar. (Zitat Rainer KNYRIM)

Die sog. Cybercrime-Paragraphen (§148a StGB – Betrügerischer Datenverarbeitungsmissbrauch, §118a StGB – Widerrechtlicher Zugriff auf ein Computersystem, §119a StGB - Missbräuchliches Abfangen von Daten, §126b StGB – Störung der Funktionsfähigkeit eines Computersystems, §126c StGB – Missbrauch von Computerprogrammen oder Zugangsdaten, §225a StGB – Datenfälschung) haben zumindest in Ö einige Einschränkungen: Vorraussetzung ist die Verletzung (und nicht nur Überwinden) von spezifischen Sicherheitsvorrichtungen („herkömmliche“ Vorkehrungen wie verschlossene Türen reichen nicht aus).

Ebenfalls Voraussetzung ist die Absicht, sich oder anderen einen Vermögensvorteil oder anderen einen Vermögensnachteil zuzufügen, bzw. die Daten jemand anderem oder öffentlich zugänglich zu machen. Im konkreten Fall in der Schweiz (2010) sagt der Administrator, dass er lediglich dafür sorgen wollte, dass Gesetzesbrecher bestraft werden. Er hatte ja diese Daten auch schon vor Jahren den schweizer Behörden unentgeltlich angeboten.

Auch das Datenschutzgesetz greift nicht sehr gut, es regelt nämlich die rechtmäßige Vearbeitung von Daten, außerdem sind die Strafen in Ö auf 25000 Euro begrenzt. Aber selbst wenn eine solche Datensammlung nicht-rechtmäßig entstanden ist, so kann sie in Ö oder D. doch als Beweis verwendet werden, im Gegensatz zum angelsächsischen Recht.

Die Verarbeitung der Daten durch die Steuerbehörden ist dann aber wiederum ganz sicher eine rechtmäßige Datenverarbeitung, da die Verfolgung von Steuerhinterziehern Aufgabe der Behörde ist. Sicher verboten wäre eine Anstiftung zum Ausspähen von Betriebsgeheimnissen (§122 StGB), Verletzung von Telekommunikationsgeheimnissen (§119), Verletzung von Amtsgeheimnissen (§310 StGB) und Amtsmissbrauch (§302 StGB), etc. Aber ob der Ankauf bereits eine Anstiftung ist, bleibt offen.

Gefundene Daten, z.B. auf einem im Taxi liegengebliebenen Laptop (viele Hundert jeden Tag in den Großstädten) können legal verwendet (und vermutlich sogar auf eBay angeboten) werden solange keine Sicherungen überwunden worden sind (z.B. eine Festplattenverschlüsselung). ARGE DATEN:

Mein Beitrag aus dem Jahr 2008 hat sich auch schon mit dem Thema Datendiebstahl beschäftigt.

 

Der erste der Krimis: die Schweizer Niederlassung der HSBC-Bank
Recht spannend (wie ein Krimi) lesen sich übrigens auch die Details im Fall der Schweizer HSBC-Bank, Februar 2010. Hier zuerst der Standard, und für alle die französisch können dann ein Interview mit Hervé Falciani und weitere Artikel im Le Figaro. Hervé Falciani erklärt die lange Geschichte wie er zuerst versucht hat, seinen Arbeitgeber für eine Aktion gegen Geldwäsche zu begeistern, dann die schweizer Behörden und wie er dann aufgegeben hat und versucht hat, die Daten zu verkaufen. Da kommt dann eine Scheinfirma in Hongkong vor, ein Tripp nach Beirut unter falschem Namen und ein Server in Canada auf dem die Daten in verschlüsselter Form ruhen.

Feb. 2015: HSBC
Jetzt geht es nach langer Zeit weiter mit der HSBC. Die Kundenliste wurde an das Recherchenetzwerk "International Consortium of Investigative Journalists" (ICIJ) übergeben und die veröffentlichen jetzt viele spannende Details von den Geschäften vieler Prominenter und Reicher. Sie betreffen Kunden aus mehr als 200 Ländern mit Einlagen von insgesamt über 75 Milliarden Euro im Jahr 2007. Angeblich haben zwischenzeitlich konnten die Finanzbehörden mehr als eine Milliarde Euro an Steuernachzahlungen und Strafen eingetrieben. Der Whistleblower Hervé Falciani ist zwischenzeitlich in der Politik aktiv, derzeit für die Podemos in Spanien.

Dez. 2015: HSBC
Falciani wurde in Abwesenheit zu 5 Jahren Haft verurteilt: Bank-Kundendaten an Behörden übermittelt: Fünf Jahre Haft. Der Vorwurf ist, dass auch Geld geflossen ist, sonst würde die Handlung als Whisteblowing durchgehen.
 

Juli 2010: 7 CDs aus Liechtenstein und der Schweiz - unter anderem Crédit Suisse
Mittlerweile berichtet die Presse von einem blühenden Markt für Daten-CDs und die Selbstanzeigen schnellen in die Höhe (was ja an sich eine gute Sache für das Allgemeinwohl ist - 1 Milliarde Euro zusätzlicher Steuereinnahmen). Es wird von mittlerweile 7 CDs aus Liechtenstein und der Schweiz berichtet (mit unterschiedlicher Qualität) und einem gut florierenden Markt für Bank-Administratoren (und anderen Mitarbeitern mit Zugriff auf Kundenlisten) denen die Einhaltung der Gesetze nicht so sehr am Herz liegt. Auch die Crédit Suisse kommt in Bedrängnis und muss Hausdurchsuchungen über sich ergehen lassen.

August 2010:
Es kommt Bewegung in den Fall der Liechtenstein-CD. Aus irgendeinem Grund hat jemand bei den Geheimdiensten die falsche Identität von Heinrich Kieber angetastet, dies hat zu einem Streit zwischen den bundesdeutschen Geheimdiensten geführt. Außerdem gibt es eine Theorie vom zweiten Mann und der Informant hat Angst, wohl berechtigerweise, wenn man die Details aus dem Dokumentarfilm über sein extrem wildes Leben berücksichtigt. So sieht er übrigens aus. Und hier gibt es seine Geschichte, auf über 600 Seiten von ihm selbst erzählt in Der Fürst. Der Dieb. Die Daten. Von Heinrich Kieber als kostenloses PDF.

 

Mai 2012: Crédit Suisse
Hier jetzt die Geschichte der Crédit Suisse Daten-CD, wie sie sich jetzt aus öffentlich zugänglichen Informationen mittlerweile herausschält (Zitate aus Der Standard - Links in chronologischer Reihenfolge):

Im Mittelpunkt steht nicht der eigentliche Datendieb, sondern Wolfgang U. Der Österreicher stammt aus einem Dorf in Tirol. Er zog in jungen Jahren in die Schweiz, lebte zuletzt in der Stadt Winterthur. Er ist ein Self-Made-Man, führt zuletzt eine Webdesign- und Werbefirma. U. geht regelmäßig ins Fitnesscenter. Dort pflegt er eine lose Freundschaft mit dem Bankangestellten S. L., der bei der Crédit Suisse arbeitet. S. L. hat zu dieser Zeit bereits illegal Daten von der Bank kopiert. Er sagt,er habe Daten zu Bankkunden der Crédit Suisse aus historischem Interesse an der Nazizeit und aus Langeweile zu sammeln begonnen. Im Fitnesscenter in Winterthur soll U. diese Daten gefunden und ihren Wert erkannt haben.

Ab 2008 liefert L. Daten an U. Zwischen 1500 und 2000 Kundendaten sollten es am Ende sein. Vom März 2008 bis November 2009 trifft sich U. siebenmal mit Steuerfahndern aus Wuppertal.

Der Österreicher war im September 2010 in der Schweiz festgenommen worden und hatte sich in der Zelle erhängt. Laut Obduktion handelte es sich um Selbstmord. Der Bankangestellte war im Dezember 2011 wegen Wirtschaftsspionage zu zwei Jahren bedingter Haft und einer Buße von 3.500 Franken verurteilt worden.

Aber damit ist die Geschichte noch lange nicht zu Ende, denn auf dem österreichischen Mittelsmann wurden insgesamt 2,5 Mio Euro auf 3 Konten in 3 Ländern überwiesen. Und bei der Überweisung von 900 000 Euro durch einen Notar im Auftrag des Finanzamts Nordrhein-Westfalen ins österreichische Dornbirn kam wegen des Verwendungszwecks "Erbteilung gemäß Aufteilungsvereinbarung" Verdacht auf Geldwäsche auf. Rückfrage beim Absender führte zu einer Bestätigung durch das Finanzamt, dass die Überweisung von 2,5 Mio rechtens sei. Da jetzt nicht mal mehr die Beträge zusammen passten wurde von der Sparkasse die Polizei eingeschaltet und der gesamte Deal kam ans Tageslicht.

Ab Frühjahr 2010 sitzt die österreichische Justiz zwischen den Stühlen: Nach einem deutschem Rechtsgutachten handeln die Steuerfahnder und der Datendieb U. legal. Die Verwertung illegal erworbener Beweise ist in Deutschland in Steuerfällen zulässig, wie das Bundesverfassungsgericht 2010 festgestellt hat. In der Schweiz ist es ein Fall von Wirtschaftsspionage, unbefugter Datenbeschaffung und Verletzung des Bankgeheimnisses. Wer andere zur Spionage anstiftet, muss aber sowohl in der Schweiz als auch in Deutschland mit Haftstrafen rechnen. Die Schweiz hat deswegen Haftbefehl gegen die 3 Verhandler der deutschen Finanzbehörden erlassen. Und die Schweiz klagt auf Herausgabe des Geldes, die Erben des österreichischen Vermittlers möchten ihrerseits das Geld abheben. In der ersten und zweiten Instanz ist der Antrag der Schweizer abgelehnt worden.

Herbst 2012 dann eine neue Wendung: Schweiz besteuert Honorar für "illegale" Steuer-CD. Der Täter hatte sich in U-Haft umgebracht, aber die Erben haben Probleme mit dem das Finanzamt Zürich, das Steuern in Höhe von 1,5 Mio. Franken einheben will. Die Details sind recht spannend und in den oben verlinkten Artikeln nachzulesen.

Sept. 2013:
Es geht immer weiter: Die schweizer Behörden versuchen, an das Geld eines der Beteiligten an der Credit Suisse CD zu kommen. Dabei wird vor Gericht u.a. über die Frage gestritten, ob der Zweck die Steuerhinterzieher zu melden den Datendiebstahl rechtfertigt.

Dez. 2014:
Der Prozess um das Erbe des österreichischen Bankdatendiebs Wolfgang U. läuft immer noch. Die Daten sind von Credit Suisse, es geht immer noch darum, ob die Erben des Täters ein Anrecht auf die deutschen Gelder haben.

Aug. 2017:
Die Geschichte um die Credit Suisse Daten-CD geht immer weiter. Der Standard berichtet in einem langen zusammenfassenden Artikel den neuesten Stand: Schweizer Geheimdienst spionierte deutsche Steuerfahnder aus. Die deutsche Staatsanwaltschaft hat vergangene Woche bekanntgegeben, dass sie gegen den Schweizer Staatsbürger Daniel M. Anklage erheben wird. Daniel M. soll im Auftrag des Schweizer Nachrichtendienstes jene deutschen Steuerfahnder ausspioniert haben, die von Wolfgang U. die Bankdaten gekauft hatten. Das heißt, jetzt arbeiten die Behörden gegeneinander, die Schweizer versuchen, etwas gegen die Steuerfahnder zu finden.
 

August 2010: UBS
Und hier gleich zum nächsten Informanten und dem nächsten Fall von "Datendiebstahl im Umfeld von Steuerhinterziehung": Bradley Birkenfeld ist der Informant hinter dem Streit USA gegen UBS (und muss jetzt erst mal in den USA (!!) einsitzen. Die ausführliche Artikelserie bringt viele Hintergründe über schweizer Nummernkonten. In diesem Fall geht es nicht mal um EDV, sondern hier wurden wohl Karteikärtchen fotokopiert, aber auch das ist Datendiebstahl. Wie auch im obigen Fall handelt es sich beim Täter im eine recht schillernde Persönlichkeit und die Motive scheinen nicht unbedingt im Drang zu liegen, der Gerechtigkeit zum Durchbruch zu verhelfen.

Dez. 2012:
Die Ankäufe in Deutschland gehen weiter: Neue Steuer-CD der UBS deckt massiven Steuerbetrug auf. Der Artikel berichtet, dass seit der ersten CD in 2007 40.000 Bürger Selbstanzeige erstattet hätten, aber die Vermutung, dass damit fast alle Betroffenen erwischt seien, ist offenbar falsch. Von den neuen 1300 Konten waren nur 135 bekannt gewesen.

 

Mai 2013: Offshore-Leaks
Der Artikel im Standard Offshore-Leaks: Der seltsame "Medienscoop" wirft einige offene Fragen zu der ganzen Geschichte mit den 240 GB (bzw. 400 GB) Daten aus Steueroasen auf. Es stellt sich heraus, dass die Daten wohl eine ganze Zeit vorher bereits den Behörden zur Verfügung standen und dann aus einem unbekannten Grund der Presse zugespielt wurden: "Erst jetzt ist zu erfahren, dass die Quelle die Daten 2009 den dortigen Behörden angeboten und 2010 auch übergeben hat. Erst danach gelangte die Festplatte in die Hände des Internationalen Konsortiums für investigative Journalisten (ICIJ) in Washington."

Es geht wohl um Daten aus 3 unterschiedlichen Firmen, unklar ist, wie diese Daten auf 1 Datenträger kommen (oder ob die ursprünglich aus verschiedenen Quellen stammen und dann zwecks besserer öffentlicher Vermarktung zusammengelegt wurden).

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.