Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
26.11.2017 - Das Tracken von Kindern durch Smartphones und Wearables wie Smart-Watches und jetzt auch Schulranzen
Diese Inhalte finden sich jetzt alle bei Tracking von Kindern und Partnern.
17.09.2017 - Einige Überlegungen zu Fahrzeug-Versicherungen mit Telematik (ergänzt Nov. 2017)
Unter Telematik-Tarifen verstehen die Fahrzeug-Versicherungen Tarife, bei denen die Versicherungsprämie irgendwie mit dem Fahrverhalten gekoppelt ist. Solche Tarife sind seit einigen Jahren auf Versicherungsseminaren ein großes Thema. Solche Telematik-Optionen haben für die Versicherungen eine Reihe von positiven Aspekten. Da wäre einmal die Möglichkeit, mehr über den Versicherungsnehmer (bzw. den/die Fahrer) des Fahrzeugs zu erfahren und die Tarife an dessen Fahrstil anzupassen. Dadurch können die Versicherungen günstigere Tarife für Wenig-Fahrer, bzw. vorsichtige Fahrer anbieten, anderseits sprechen sie damit die riesige Zielgruppe all der Fahrer an, die fest davon überzeugt sind, dass sie selbst sicherer und besser fahren als der Durchschnitt (die Mehrheit aller Autofahrer ist davon überzeugt, besser als der Durchschnitt zu fahren, was mathematisch natürlich Unsinn ist).
Außerdem möchten sie mit solchen Tarife die (jungen ?) Leute ansprechen, für die alles, was irgendwie an ihr Smartphone gekoppelt ist, als "cool" gilt - auch wenn es altmodischen Menschen wie mir dabei gruselt. Und der letzte Punkt ist, dass auf jeden Fall jede Menge Daten über die Personen und ihren Lebensstil gewonnen werden, von denen derzeit noch vollkommen offen ist, wem sie eigentlich gehören. Und Daten gelten ja als der neue Wunderstoff der die Wirtschaft vorantreiben soll.
Zuerst mal zu den Daten: Moderne Fahrzeuge sind eine mittlere bis größere Ansammlung von Computern (bzw. Prozessoren), die alle miteinander kommunizieren müssen und dabei eine riesige Menge Daten produzieren. Moderne Fahrzeug müssen alle vernetzt sein, zumindest der e-Call ist seit einiger Zeit verpflichtend, so dass das Fahrzeug selbstständig einen Notruf tätigen kann. Aber darüber hinaus implementieren mehr und mehr Hersteller auch einen direkten Internetanschluss vom Fahrzeug aus. Da kann dann über ein Kabel oder über Bluetooth das Smartphone amit dem Fahrzeug verbunden werden und darüber ins Internet. Außerdem ergeben sich vielfältige Steuerungsmöglichkeiten, z.B. das automatische Verbinden mit der Freisprecheinrichtung, mit dem Navi, etc. Auch das Navi profitiert davon, wenn es sich im Internet akutelle Staumeldungen und ähnliches abrufen kann. Dabei ist zu Bedenken, dass jeder Datenabruf auch mit einem Datenabfluss verbunden ist, das Fahrzeug muss seinen Standort verkünden, damit es lokal relevante Informationen bekommt.
Kleiner Einschub zur Nicht-Anonymität von Bewegungsdaten.Oft werden diese Daten als anonym bezeichnet, weil sie den Namen des Fahrers gar nicht enthalten. Juristisch sind diese Daten aber nicht anonym, sondern pseudonym. Denn die Daten sind immer noch (zumindest über das Kennzeichen) an den Fahrzeughalter gekoppelt. Solche Daten sind indirekt-personenbezogen, d.h. sie lassen sich über eine geeignete zweite Datenquelle wieder de-anonymiseren. (An anderer Stelle mehr zu De-Anonymisierung). Bewegungsdaten sind eigenltich nie anonym. Dies zeigt die simple Überlegung, dass die Kombination von Schlafort und Arbeitsort für über 90% der Bevölkerung eindeutig ist. Und die Orte, an denen sich die Person zwischendurch aufhält erzählen viele Geschichten über die Person: Welche Clubs, welche Kirchen oder Moscheen und welche politischen Versammlungen oder Demonstrationen besucht er/sie. Verbringt die Person ihrer Nächte an unterschiedlichen Orten, bleibt sie dort die ganze Nacht oder nur einige Stunden, wie oft findet das statt, etc.? Die Nutzung von (mehr oder weniger pseudonymen Daten steht auch im Kern der gesamten Smart-Anything Problematik, z.B. Smart City. Auch hier wird ständig behauptet, nur anoynme Daten zu verwenden, was aber in den meisten Fällen nicht stimmt, da die Daten höchstens pseudonymisiert sind. |
Mehr und mehr Fahrzeuge haben eine Blackbox, die den internen Zustand aller elektronischen Komponenten (und die Aktionen der Fahrer) ständig aufzeichnet. Dies ist besonders bei Geräten mit teilautonomen Modi, wie z.B. Fahrassistenten, wichtig damit bei einem Unfall die Fehler rekonstruiert werden können und die Schuldfrage geklärt werden kann. Aber diese Blackboxen liefern zumeist die Daten auch ständig an den jeweiligen Hersteller, der erklärt, dass er diese Daten zur Verbesserung seiner Systeme benötigt und um z.B. die Wartung zu optimieren, indem er z.B. weiß, wie oft und wie heftig der Fahrer gebremst hat. Und die Hersteller behaupten, dass diese Daten natürlich ihnen gehören, auch wenn sie extrem viel über das Leben des Fahrers aussagen.
Derzeit gibt es einen Streit zwischen Herstellern und Versicherungen. Für die Versicherungen wäre der Zugriff auf die internen Blackbox-Daten der Fahrzeuge Gold wert, denn dort ist alles über das Verhalten und den Fahrstil des Fahrers zu finden. Aber so einfach lassen sich die Hersteller diese Daten nicht abnehmen. Einfacher ist das, wenn der Hersteller eine eigene Versicherung anbietet, wie beschrieben in Mercedes-Benz-Bank startet Kfz-Versicherung mit überwachtem Fahrverhalten (mit werkseitig verbautem Rechnersystem in Form der sogenannten Telematic Control Unit (TCU) - der Artikel enthält eine ganze Reihe von technischen Details zur Datenverarbeitung). Solche Angebote der Hersteller sehen die herkömmlichen Versicherungen natürlich als Bedrohung ihres Geschäftsmodells.
Nächster Einschub über den "Besitz" von Personendaten.Eigentlich sagen unsere Datenschutzregeln, dass die betroffene Person Eigentümer ihrer Daten ist. D.h. über die Verwendung entscheidet die jeweilige Person. Anderseits treten wir die Nutzungsrechte an unseren Daten ständig an irgend jemanden ab, z.B. wenn wir (durch einen entsprechenden Haken auf einer Website) der Datenschutzerklärung der Website zustimmen, die besagen kann, dass der Betreiber der Website die Daten beliebig für eigenen Zwecke verwenden und an andere Unternehmen weiterverkaufen kann. Solche Bestimmungen sind bestimmt auch irgendwo im Kaufvertrag des Fahrzeugs enthalten und damit gehören diese Daten zwar immer noch dem Halter, aber der Autohersteller hat all die Nutzungsrechte, die er sich da reingeschrieben hat. Ebenso muss sich natürlich die Versicherung die Rechte an den Daten geben lassen, sonst kann sie die Daten ja nicht auswerten. Und diese Daten sind natürlich Geld wert. Zusammengefasst von vielen Versicherungen geben sie Auskunft über den Verkehrsfluss, über Staus, etc. Das es wird einen regen Handel an solchen Daten geben, mehr oder weniger gut pseudonymisiert oder gar anonymisiert (Anonymisierung wäre möglich, wenn z.B. die Daten vieler Teilnehmer zusammengefasst werden - um einen Stau zu erkennen braucht der Algorithmus nicht die Geschwindigkeit der einzelnen Fahrzeuge, es reicht eine Durchschnittsgeschwindigkeit). Das Datenschutzgesetz gibt dem Halter eigentlich das Recht, diese Daten auch zu löschen, bzw. löschen zu lassen. Aber praktisch wird dies nur sehr schwer durchzusetzen sein. Selbst wenn ein Löschen der Daten im Fahrzeug technisch implementiert wäre, so sind die Daten trotzdem bereits bei Versicherung und Hersteller. Und die beiden werden sich vermutlich bestätigen lassen, dass die Daten für irgendwelche Zwecke weiter benötigt werden. (Vor allem wird hier immer wieder das falsche Argument genutzt, dass sie Daten ja anonym seien und damit nicht mehr den Halter gehören würden - das ist aber falsch, sie sind pseudonym und sind dem Halter immer noch zugeordnet). Ähnliche Probleme zum Besitz von Daten fallen auch in anderer Stelle an: Ärzte haben Daten ihrer Patienten, z.B. Laborwerte, angeblich anonym, weiterverkauft. Noch ein Punkt zum Thema Datenbesitz: Nach dem neuen Datenschutzrecht ab Mai 2018 hat der Bürger das Recht, seine Daten in maschinenlesbarer Form anzufordern (Facebook hat das bereits seit langem implementiert). Dies bedeutet, dass die Versicherungen und die Hersteller dem Kunden diese Daten zur Verfügung stellen müssen und mit diesen Daten kann der Kunde dann bei einer anderen Versicherung nach einem günstigeren Tarif anfragen. Bzw. Versicherungen werden evt. in Zukunft routinemäßig die Datenherausgabe seit Führerscheinbeginn verlangen wenn günstige Tarife angefragt werden. Und - Ja, das dürfen sie, denn es gibt ja keinen allgemeinen Rechtsanspruch auf den günstigen Tarif. Ohne Datenfreigabe gibt es eben nur den Standarttarif. |
Stand Ende 2016 gab es einige Versicherungen, die eine direkte Integration in die Fahrzeug-Elektronik über eine geeignete "Box" anbieten, andere bieten die Option über Smartphone-Apps. Diese liefern aber nur sehr wenige Daten, sie können eigentlich nur die Beschleunigungssensoren des Smartphones auswerten. Dazu müssen sie erst mal erkennen, dass sie sich im Auto befinden (was ohne Kopplung zum Fahrzeug nicht leicht ist - die Geschwindigkeit der Bewegung kann ja auch im Zug oder als Beifahrer entstehen). Solche Angebote die nur mittels App arbeiten sind wohl eher Werbetricks um junge Leute anzusprechen und sie mittels der "Drohung" der Überwachung zu einem vorsichtigeren Fahrstil zu motivieren (viele dieser Tarife wurden zumindest Ende 2016 auch nur für junge Leute angeboten).
Die Datenauswertung durch die Versicherungen ist derzeit (2017) noch in den Kinderschuhen. Natürlich können mittels einer solchen Box, die in das Fahrzeug integriert ist, detailierte Daten zum Fahrverhalten gewonnen werden (z.B. Ausmaß der Vorwärtsbeschleunigung, der Verzögerung beim Bremsen, aber auch Querbeschleunigung beim Kurvenfahren, Heftigkeit der Lenkbewegungen, etc.). Bei einer Integration der Daten mit den GPS-Daten ergibt sich aber auch die Möglichkeit, die Geschwindigkeit mit der jeweiligen Höchstgeschwindigkeit zu vergleichen. Und bei einer zukünftigen Integration mit Wetterdaten (dafür stehen eine Reihe von Anbietern in den Startlöchern und tragen auf Versicherungskongressen vor) kann sogar ausgewertet werden, ob die Fahrbahn naß war oder auf der Autobahnbrücke starker Seitenwind geblasen hat und deswegen die Geschwindigkeit trotz Einhaltung der gesetzlichen Höchstgeschwindigkeit "nicht der Situation angemessen" war. Solche Analysen werden als Scoring bezeichnet (der Link gibt viel mehr Details dazu) und sie unterliegen mit dem neuen Datenschutzrecht ab Mai 2018 speziellen Vorgaben, scheinen aber die große Zukunft für viele Geschäftsbereiche zu sein. Und natürlich sind diese Berechnungen und Analysen für die "normale" Versicherung eine Hutnummer zu groß. Eine ganze Szene von speziellen Dienstleistern versucht sich für die Integration der Fahrzeugdaten mit anderen Daten wie Wetter, Verkehrsaufkommen, etc. zu positionieren.
Können Sie sich übrigens vorstellen, dass die Polizei an den Daten zu Geschwindigkeitübertretungen und anderen Fahrverhalten wie Halten beim Stopschild interessiert sein könnte? Derzeit ist so ein Zugriff in Europa (noch) nicht möglich, aber wer weiß, was da noch kommen könnte? Nach den Sicherheitsgesetzen sind vielfältige Datenzugriffe möglich. In den Vereinigten Emiraten meldet so ein Kästchen übrigens seit einigen Jahren Verstöße gegen Geschwindigkeitsbegrenzungen per Datenverbindung automatisch an die Polizei. - Daten, die verfügbar sind, erwecken grundsätzlich Begehrlichkeiten. In den USA sind Bewegungsdaten bereits in Zivilverfahren verwendet worden, z.B. kann es bei Scheidungen interessant sein, wo das Fahrzeug in bestimmten Nächten war.
Durch diese "Transparenz" des Fahrers und seines Fahrstils kommen beim Verleihen des Fahrzeugs an andere, möglicherweise "wildere" Fahrer natürlich für den Fahrzeughalter neue Aspekte auf. Das Thema tritt immer dann auf, wenn z.B. die Eltern eine (auf Grund der unfallfreien Jahre viel günstigere) Versicherung abschließen, aber der Sohn oder die Tochter dann das Auto nutzen. Vermutlich wird die Versicherung den Versicherungsnehmer auf seinen "neuen Fahrstil" ansprechend und ihm dann evt. den günstigeren Tarif kündigen. Auf einem Versicherungskongress wurde als (leicht gruseliges) Gedankenexperiment eine weitere Option diskutiert (die zwar derzeit technisch noch nicht realisierbar ist, aber in der [nahen] Zukunft sicher): Sohn oder Tochter bekommen eine Telematikversicherung, und die Eltern werden immer dann informiert, wenn die Algorithmen des Versicherers damit rechnen, dass mit einer gewissen Wahrscheinlichkeit das Kind sich innerhalb eines Jahres zu Tode fahren wird ("Andere Fahrer mit diesem Fahrstil haben 0.96 tödliche Unfälle pro Jahr"). Wie gehen die Eltern mit dieser Nachricht um? Wollen wir eine solche Transparenz?
Dann das Thema Versicherungswechsel. Bei einem Welchsel zu einer anderen Versicherung könnte die neue Versicherung anbieten, dass der Fahrer nur dann einen günstigen Tarif bekommt wenn er die bisherige Versicherung ermächtigt, seine Fahrdaten zu übermitteln. Werden keine Daten übermittelt, gelten die teuren Tarife.
Bis jetzt haben wir hauptsächlich über Privatfahrzeuge gesprochen, die Problematik ist für Fuhrpark-Management natürlich noch viel interessanter. Da gibt es bereits jetzt in vielen Firmenfahrzeugen eine Überwachung der Fahrer durch GPS (so dass z.B. private Umwege oder fehlende oder zu lange Mittagspause erkannt werden können). Das lässt sich natürlich mit solchen Systemen extrem ausweiten. Der Fahrstil jedes Fahrer liegt offen und die Möglichkeiten für Schadenersatzansprüche bei grob fahrlässigem Fehlverhalten sind groß.
Versicherungen müssen einen guten Überblick über zu erwartete Schäden haben. Aber wenn die Versicherungsalgorithmen (und die von ihnen verarbeiteten Daten) mal so gut sind, dass die persönlichen Schadensprognosen sehr gut werden, so könnten wir zu der Situation kommen, dass einige Personengruppen sehr günstige Tarife haben können, andere Personengruppen jedoch quasi unversicherbar werden (z.B. männliche Jugendliche mit geringer Ausbildung und hohem Testosteronspiegel). Das straft dann alle, die das Pech haben, in diese Personengruppe zu fallen.
Die Kernfrage bei der ganzen Telematik-Problematik ist, ob die Gesellschaft diese riesige Transparenz ihrer Bürger möchte oder nicht. Ich persönlich bin extrem skeptisch ob solche Entwicklungen aufgehalten werden können. Auch im Bereich Social Networks geben die allermeisten Nutzer ja bereitswilligst ihre Daten weiter. Solche Tarife bieten für vorsichtige Fahrer mit geringer Kilometerleistung finanzielle Vorteile, diese werden diese Vorteile nutzen. Und durch die fortscheitende Digitalisierung der Fahrzeuge selbst und das Datensammeln der Hersteller entstehen Daten, die auch genutzt werden - auch dieser Trend ist kaum aufzuhalten - versuchen sie mal, einen rein elektro-mechanischen Neuwagen ohne Computer-Elektronik und digitale Prozessoren zu kaufen (im Stil der 60iger Jahre), das wird kaum gelingen. Natürlich wird es "menschliche Fosilien" geben, die weiter rein mechanische "Oldtimern" nutzen, aber auch die wird man irgendwann über Abgasvorschriften aus dem Verkehr ziehen.
23.07.2017 - Was sagt die Schließung von AlphaBay und Hansa Market über die Sicherheit von TOR?
TOR, (The Onion Router) hat 2 Hauptverwendungszwecke. Der erste ist der Schutz von politischen Dissidenten, damit sie im Internet ihre Meinung ohne Angst vor Repressionien veröffentlichen können. Dies ist auch der Grund, warum die US-Behörden die Entwicklung und der Betrieb von TOR finanziell unterstützen. Der zweite Zweck ist der Handel mit verbotenen Dingen, der sog. Darknet Market. Wer den ersten Verwendungszweck gut und wichtig findet, der kann (leider) den zweiten nicht verhindern. Hier der Link für alle, die mehr über die Arbeitsweise der Anonymisierungsplatform TOR lesen wollen. |
Anlass dieses Posts ist die Schließung von AlphaBay und Hansa Market im Juli 2017. Beide Handelsplätze waren nur über TOR erreichbar, d.h. der Datenverkehr war für die Polizeibehörden nicht abhörbar. Trotzdem sind die Betreiber und mit ihnen über 200 000 Kunden aufgeflogen und jetzt den Polizeibehörden bekannt. Das heißt ja wohl, dass TOR kein Schutz darstellt. Jein.
Diese beiden Plattformen sind nicht aufgeflogen, weil TOR Schwächen hatte. Sie sind aufgeflogen, weil die Administratoren der Plattformen erhebliche Schwächen hatten. Der Betreiber von AlphaBay, ein Kandadier der sich in Bangkok feudal niedergelassen hatte, ist aufgeflogen, weil der seine Hotmail-Adresse Pimp_Alex_91@hotmail.com sowohl als Administrator wie auch im "richtigen Leben" genutzt hat. (Alex ist sein Vorname und 1991 sein Geburtsdatum). Seinen AlphaBay-Nutzernamen (Alpha02) hat er wiederum bei Postings in öffentlichen Foren verwendet. Das FBI hatte keine großen Probleme, dies zu seinem Wohnort zurückzuverfolgen und ihn in Bangkok verhaften zu lassen. Bei seiner Verhaftung war er gerade mit seinem Laptop in AlphaBay eingeloggt, die Polizei hatte damit Adminzugang zu AlphaBay und damit Zugriff zu allen dort gespeicherten Kundendaten, z.B. Lieferadressen und die gesamte Buchhaltung.
Nach der Schließung von AlphaBay im Juli wanderten sehr viele der AlphaBay-Nutzer (Kunden und Händler) zu dem von 2 Deutschen betriebenen Hansa Market ab. Die Zahl der an einem typischen Tag aktiven Händler stieg von 1000 auf 8000. Durch die Schließung von AlphaBay wurden sehr viele der Kunden und Händler in die Arme von Hansa Market getrieben.
Ergänzung Aug. 2017:
Durch den Trick der Übernahme von Hansa Market und dem Weiterbetreiben ist die Szene der Darknet-Händler offenbar recht verunsichert worden: Studie: Unterwanderung des Hansa Market verunsicherte Darknet-Händler. Eine Studie zeigt, dass die Händler jetzt nicht wieder einfach auf eine andere Platform gezogen sind, sondern sie haben sich zumeist eine neue Identität (in Form eines neuen PGP-Schlüssels) zugelegt. Dies ist für einen Händler dieser Szene ein schwerer Schritt, denn damit verliert er seine Reputation und die bisherigen Kunden können nicht sicher sein, es mit dem selben bewärten Dealer zu tun zu haben, es könnte ja auch ein Undercover-Agent sein.
Das Schiff von Hansa Bay ist untergegangen |
Die Hansa Bay Server waren in Litauen gehostet worden, aber bereits im Juni war diese Website durch Europol heimlich auf Server in den Niederlanden transferiert worden, wo die Mitarbeiter von Europol die Server übernommen hatten (Der NYT Artikel enthält viele Details). Dadurch war es natürlich leicht, Zugriff auf die Geräte der Kunden zu bekommen und z.B. die reale IP-Adressen auszulesen. Die Moderatoren der Plattform haben anscheinend nicht mitbekommen, war der mittlerweile der richtige Betreiber war und bis zur Schließung weiterhin Hilfestellungen gegeben und Streit zwischen Händlern und Kunden geschlichtet.
Der größte noch verbleibende Markt ist jetzt Dream Market, aber die Szene ist verunsichert, wer weiß, von wem dieser betrieben wird. D.h. das Darknet wird weiterhin für illegale Aktivitäten genutzt werden, aber die Behörden werden auch weiterhin in der Lage sein, solche Aktivitäten aufzudecken (und das vermutlich weniger blutig als wenn Straßenhändler verhaftet werden). Ich lerne aus dieser Episode, dass nicht TOR die Schwachstelle ist, sondern in vielen Fällen die Betreiber der Plattform. An anderer Stelle habe ich erklärt, warum Nicknames eine gefährliche Sache sind, man muss um im Untergrund aktiv zu sein, eine "saubere" neue Online-Identität aufbauen, ohne sentimentale Anklänge an frühere oder offline-Identitäten. An anderer Stelle finden sich viele Beispiele für Fehler von Hackern.
Das heißt, wer die Anonymität von TOR zum Überleben braucht (z.B. weil er politisch verfolgt ist), muss extrem diszipliniert sein - die einfache Nutzung von TOR für diese kritischen Aktivitäten reicht nicht aus. Mehr Tipps für den Schutz gegen professionelle Angreifer gebe ich an anderer Stelle. Einen kleinen Vorteil haben jedoch die Dissidenten gegenüber den Nutzern des Darknets. Wer z.B. Facebook über TOR nutzen will, der braucht deutlich weniger Angst zu haben, dass die Administratoren inkompetent sind und längst von der Polizei ersetzt wurden, als Kunden von illegalen Handelsplattformen. Allerdings werden die Administratoren von Facebook bei Aktivitäten, die nach US-Recht illegal sind, sehr wohl mit den Behörden zusammenarbeiten. Die eigene OpSec ist jedoch für politisch verfolgte Herausforderung genug. :-(
Noch eine kleine Anekdote aus dem Darknet Herbst 2017: Darknet-Drogendealer durch zurückgeschickte Briefe aufgeflogen. Einige der Drogenpakete kamen als "unzustellbar" zurück. Zwar hatten die Händler einen falschen Absender aufgegeben, aber das Video aus der Poststelle hat dann doch sehr schnell die Händler verraten.
12.06.2016 - Hacker-Interview: Warum das Recyclen von Passworten keine gute Idee ist
Die Zeitungen berichten von von spektakulären Passwortverlusten und gehackten Accounts von Tech-Promis wie Zuckerberg, Twitter-Gründer Ev Williams, und viele Prominente wie Drake und Katie Perry. Fakt ist, dass derzeit eine riesige Zahl von Passworten auf dem Markt angeboten wird: "167 million user accounts from LinkedIn, 360 million from MySpace, 68 million from Tumblr, 100 million from the Russian social media site VK.com, and most recently another 71 million from Twitter, adding up to more than 800 million accounts and growing".
In einem Interview mit Wired behauptet der Verkäufer, dass er weitere Milliarde auf Vorrat hat: "about seven [websites, Social media and email services, mainly] which are over the 100M user count. If I include smaller ones - 20M, 60M, etc. - another five." (Wer Adblocker nutzt muss die Website bevor sie wieder verschwindet mit Copy/Paste in einem Editor übernehmen, bzw. hier ist die deutschsprachige Seite zu diesem Interview bei heise.de)
Warum gibt es z.B. für mittlerweilse wohl meist inaktive MySpace Accounts, LinkedIn-, Tumblr und Twitter-Accounts so viel Geld? Der Hauptgrund ist wohl Passwort-Recycling, d.h. Nutzer verwenden das selbe Passwort auch für andere Websites. Auf diese Weise reicht es für die Hacker, den vernachlässigten MySpace account zu hacken und schon sind sie auch in Gmail oder Hotmail drin, vielleicht sogar am Bankkonto. Und da macht es auch nichts, dass die meisten der Daten aus den Jahren 2012 und 2013 stammen, wer ändert denn schon regelmäßig sein(e ?) Passwort(e ?)?
An die Daten ist er wohl zusammen mit anderen Russen durch Angriffe auf die jeweiligen Websites gekommen. Wobei diese Websites es dann Hackern zum Teil auch recht leicht gemacht haben: MySpace-Passworte sind zwar gehasht, aber nicht gesalzen (ohne Salz ist das Cracken von Passwort-Hashes durch Brute Force sehr einfach, mehr zum Thema Salzen an anderer Stelle).
Noch eine spezielle Aktualisierung im Juni 2016: der Standard weißt darauf hin, dass alle die in 2012 in LinkedIn waren, ganz dringend ihr Passwort ändern müssen und zwar überall dort, wo sie das gleiche Passwort auch noch verwenden.
06.02.2016, ergänzt bis 2023 - Kommt das Ende des Bargelds? - Digitale Währungen
Dieser Artikel war ursprünglich im Jahr 2016 geschrieben um über die damals immer stärker werdenden Ideen zur Abschaffung des Bargelds zu berichten. Mittlerweile in 2023 sind wir dabei aber schon ein gutes Stück weiter.
Der ursprüngliche, mittlerweile historische Teil findet sich etwas weiter unten. Dabei hat wohl auch der Hype um die Kryptowährungen 'geholfen'.
Spätestens 2019 wird immer öfter über staatliche Kryptowährungen nachgedacht. Dafür gibt es viele Anreize. Die staatlichen Zentralbanken haben Angst vor der von Facebook geplanten Kryptowährung Libra, die an einen Währungskorb gebunden werden soll und daher weniger schwanken als Kryptowährungen wie Bitcoin (und 2022 schon wieder begraben ist, der Gegenwind der Nationalbanken [Angst vor Geldwäsche heißt es] war zu stark).
Die Nationalbanken haben Angst, die Kontrolle über die Finanzhoheit zu verlieren und warnen vor Geldwäsche. Es gibt bereits einen Begriff für die Idee staatlicher Kryptowährungen: "Central Bank Digital Currencies" (CBDC). China ist bei ersten Experimenten dazu: Digitalwährungsexperiment in Shenzhen.
In Deutschland warnt der Bundesbank-Chef vor Einführung von elektronischem Zentralbankgeld und die EU druckt weiterhin kräftig Eurocent-Münzen. Als jemand der in bargeldlosen Zahlungen eine weitere Überwachungstechnologie sieht finde ich das natürlich gut. Wer wirklich nicht mit Münzen in der Tasche rumlaufen will (und dem vor der Überwachung nicht gruselt) hat ja heute ausreichend sehr bequeme bargeldlose Optionen: (drahtlose) Zahlungen mit Bankomat- (= Debit-) und Kreditkarten und drahtlose Zahlungen mit Smartphone (nicht nur Apple Pay und Google Pay, sondern sogar europäische Anbieter wie z.B. Bluecode in Österreich).
Als Warner vor zu viel Tracking und Überwachung bin ich ein großer Fan von Bargeld, ich nutze es fast durchgehend wenn ich in Geschäften einkaufe. Wir sollten vermeiden in eine Situation zu kommen, wo die Nutzung von Bargeld so eine Ausnahme wird, dass man sich dadurch bereits verdächtig macht.
COVID-19 hat wohl einen weiteren kleinen Schub für bargeldloses Zahlen gebracht.
Parallel zu den Diskussionen rund um mögliche Regulierungen von Kryptowährungen und dem Kryptowährungs-Hype mancher Investoren arbeiten derzeit fast alle staatlichen Zentralbanken an eigenen digitalen Währungen. Einer der Gründe warum sie das tun ist natürlich der Erfolg/Hype der Kryptowährungen. Außerdem haben sich in anderen Weltgegenden Kreditkarte, Debitkarte und Bankomatkarte noch nicht so weit verbreitet (z.B. in China) und da gibt es einen Bedarf für elektronische Zahlungsmittel. Bei uns könnte eine digitale Zentralbankwährung für Händler interessant sein, wenn z.B. die Gebühren für die Abwicklung entfallen würden.
Was ist der Unterschied zwischen digitalem Zentralbank-Geld und herkömmlichen Kreditkarten, Debitkarten und Bankomatkarten?
Bankomatkarten repräsentieren von den Banken "geschaffenes" Geld, d.h. die Banken "haften" für die Beträge auf dem Konto.
Das Geld der Zentralbanken wird von den Zentralbanken "geschaffen" und diese haften für die Zahlung (z.B. die EZB für unsere Euros). Die chinesische Zentralbank testet ihr digitales Geld seit 2014 und ist ab 2022 bereit für vollen Einsatz, die ECB wohl nicht vor 2028.
Praktisch könnte das dann so aussehen, dass jede:r auch ein "Konto", ein Guthaben bei der EZB hat, und eine dazu passende Karte oder App (oder integriert in die Bezahlapps der Banken). Vorteil des Zentralbankgelds gegenüber den Kryptowährungen sind die schnellere Abwicklung der Zahlungen, der feste Währungskurs, bzw. Wert und die Haftung der Zentralbanken. (Derzeitige Kryptowährungen sind ohne jegliche Haftung und für Massengeschäfte wie das Bezahlen von Lebensmitteln nicht wirklich geeignet, sie sind langsam und haben einen gigantischen Stromverbrauch - siehe unten).
Was die Anonymität von Zahlungen betrifft ist ein digitales Zentralbank-Geld gegenüber Bargeld (je nach Implementation ein deutlicher Rückschritt. Aber auch Bitcoin ist nicht wirklich anonym, siehe zur vermeintlichen Anonymität von Kryptowährungen. Die EZB hat sich noch nicht entschieden, welches Maß an Anonymität implementiert werden soll, da gibt es viele Optionen. Derzeit sind alle Nicht-Bargeld Transaktionen technisch transparent, der Zugriff der Behörden ist aber gesetzlich geregelt und eingeschränkt. Das Maß an Vertraulichkeit so einer EZB-Währung würde wohl ebenfalls per Gesetz geregelt werden. Auch eine Staffelung der Vertraulichkeit nach Betragshöhe wäre technisch möglich und ist z.B. für den digitalen Euro geplant (auf der aktualisierten Seite gibt es auch eine interessante Diskussion: Vollgeld vs. Giralgeld).
David Graeber: "Schulden. Die ersten 5000 Jahre" - Zur Geschichte des GeldesSeine (detailliert belegte) These ist, dass das ganz ursprüngliche 'Geld' das Konzept des 'Anschreiben-lassen' war, d.h. Menschen führen Buch, wer mir wie viel 'schuldet', und einmal im Jahr wird gegengerechnet.Er schreibt, in den letzten 5000 Jahren Geldwirtschaft sei die bargeldlose Zahlung immer wieder über lange Perioden die übliche Geldwirtschaft gewesen, z.B. weil es über lange Zeiten, z.B. nach dem Zusammenbruch des römischen Reiches, gar keine Münzen gab (und 'Scheine' sowieso nicht). |
Der Standard aus Wien bringt eine sehr schön strukturierte Tabelle die die Unterschiede zwischen Bargeld, sog. 'Giralgeld' und gut dem geplanten 'Zentralbankgeld'. Da werden Fragen geklärt wie 'wer erzeugt die jeweilige Form des Geldes eigentlich und wer haftet für was?' Wie viel Bargeld im digitalen Euro steckt.
Kleine Anmerkung zur Tabelle im Standard: Die Tabelle sagt nebenbei, Bargeld sei die ursprüngliche Form das Geldes. Bei diesem Punkt widerspricht David Graeber in seinem sehr lesenwerten Buch "Debt" (deutsch "Schulden. Die ersten 5000 Jahre").
Seine (detailliert belegte) These ist, dass das ganz ursprüngliche 'Geld' das Konzept des 'Anschreiben-lassen' war, d.h. Menschen führen Buch, wer mir wie viel 'schuldet', und einmal im Jahr wird gegengerechnet. Er schreibt, in den letzten 5000 Jahren Geldwirtschaft sei die bargeldlose Zahlung immer wieder über lange Perioden die übliche Geldwirtschaft gewesen, z.B. weil es über lange Zeiten, z.B. nach dem Zusammenbruch des römischen Reiches, gar keine Münzen gab (und 'Scheine' sowieso nicht).
Außerdem geht es um die sprachliche Verknüpfung von 'Schuld' und 'Schulden' - Beispiel: 'und vergib uns unsere Schuld ...'.
Tolles Buch, Nachteil: Sehr dick und sehr ausführlich, das kostet Zeit.
2015/2016 kommt das Bargeld in Deutschland mal wieder stark unter Druck. Schon im April 2015 sah der Chef-Analyst der Baader Bank, Robert Halver die Abschaffung von Bargeld als Konsequenz von Negativ-Zinsen: "Wenn Bargeld abgeschafft wird, kann sich auch niemand mehr gegen Negativ-Zinsen wehren". Der Wirtschaftsweise Peter Bofinger meint im Mai 2015: "Bei den heutigen technischen Möglichkeiten sind Münzen und Geldscheine tatsächlich ein Anachronismus, Bargeld erschwert den Zahlungsverkehr ungemein, z.B. die angebliche verlorene Zeit, wenn Leute vor Ihnen an der Ladenkasse nach Kleingeld suchen und die Kassiererin nach Wechselgeld" (Studie: Bezahlen mit Bargeld geht schneller als mit der Karte). Der Chef der Deutschen Bank legt am Weltwirtschaftsforum Anfang 2016 nach: "Bargeld hilft nur noch Geldwäschern und anderen Kriminellen, ihre Geschäfte zu verschleiern. Es ist fürchterlich teuer."
D.h. aus Sicht von Handel, Banken und Regierungen spricht einiges gegen die Nutzung von Bargeld. Ich behaupte, wenn es noch nicht erfunden wäre, so würde es heute nach den Geldwäscheregeln nicht mehr erlaubt werden. Aber da wir es nun mal haben, gibt es immer wieder den Wunsch, es einzuhegen oder gar zu verbieten. Dafür können mal wieder die apokalyptischen Reiter des Internet-Zeitalters genutzt werden, siehe links
Teuer ist Bargeld vor allem für die Banken und die Händler: Die Händler müssen abends das Bargeld irgendwie sicher zur Bank bringen. Und bei jeder Abhebung von Scheinen am Bankomaten verliert die Bank Geld, denn das Betreiben und vor allem das Nachfüllen kostet Geld. Und wenn die Kunden per Bankomatkarte oder Kreditkarte zahlen, so können die Banken (auf Kosten der Geschäfte, die in ständig neue Kassenterminals investieren müssen und einen Anteil am Umsatz abgeben) sogar etwas mitschneiden. Das heißt, die Abschaffung von Bargeld hätte viele Vorteile für Handel und Banken. Hier eine Studie Zahlen mit Bargeld kostet die Volkswirtschaft viel Geld.
Erste Schritte zur Abschaffung des Bargelds sind, das Bargeld zu verknappen und es optional zu machen, siehe Dänemark: Die Notenbank Dänemarks hat angekündigt, dass sie von Ende 2016 an mangels Nachfrage keine neuen Banknoten mehr drucken wird. Und Tankstellen, Restaurants und kleine Läden dürfen zwar, aber müssen in Dänemark bald kein Bargeld mehr annehmen (was sie bisher und in fast allen anderen Ländern mussten/müssen). Diese Möglichkeit ist z.B. für Tankstellen die Nachts offen haben schon aus Sicherheits- und Abrechnungsgründen wirklich ein Vorteil. Für viele kleinere Geschäfte bedeuten aber unbare Zahlungen, dass sie in neue Geräte investieren müssen und einen Teil des Umsatzes an die "Payment Service Provider" abgeben müssen. Dieser Anteil ist übrigens im Euroraum in den letzten Jahren sehr stark begrenzt worden, auch bei den Regulaturen der EU werden bargeldlose Zahlungen gefördert. In Schweden passierten bereits 2015 nur noch ein Viertel der Zahlungen in bar, in Deutschland waren es damals 80%. Der verlinkte Artikel besagt: "Several banks in Sweden already have 100 per cent digitalised branches that will simply not accept cash". Bei den meisten anderen Bankinstituten ist es nur jede 2. Filiale - Hintergrund: eine Filiale ohne Bargeld ist viel einfacher abzusichern und zu betreiben.
Die NY Times berichtet, dass Kirchen "Kollektomat"-Geräte aufstellen, damit die Gläubigen ihre Kollekte bargeldlos geben können. Der Artikel verweist auch auf Probleme z.B. bei älteren Menschen oder Obdachlosen und darauf, dass die Zahl der Betrügereien mittels bargeldloser Zahlungen auch entsprechend ansteigt. Die Angst vor dem Ausgeraubt-werden wird ersetzt durch die Gefahr dass das Smartphone gestohlen wird mit dem ich bezahle. Bzw. durch das unschöne Gefühl, dass jetzt alles was ich kaufe, irgendwo registriert und ausgewertet wird. Für Regierungen ist bargeldos auch ein Vorteil: Bargeldlose Zahlungen sind erheblich schwerer vor der Steuer zu verstecken, denn wenn z.B. ein Geschäft (oder eine Kneipe) zwar Geld über die Kreditkartenfirma einnimmt, aber dazu keine Umsatzbuchung hat, so fällt das auf. Der NY Times Artikel berichtet sogar von Obdachlosen, die jetzt ein Lesegerät für Bankomatkarten brauchen um eine Obdachlosenzeitung zu verkaufen, viele haben in Schweden und Dänemark einfach kein Bargeld mehr dabei. Der Artikel hört mit dieser Anekdote auf: "He paused at a hot-dog stand for a snack. But when he was ready to pay, the card reader was broken. 'Sorry, the vendor said. "You'll have to use cash."
Gegen diese bargeldarmen Gesellschaften sind die Vorschläge die jetzt in Deutschland von der Regierung vorgeschlagen werden, noch fast harmlos: eine Obergrenze von 5000 Euro für Barzahlungen und den 500 Euro Schein abzuschaffen. Obergrenzen für Bargeld haben Frankreich, Belgien, Spanien, Portugal, Italien, Kroatien, Griechenland, Bulgarien, Rumänien, Tschechien, Polen und die Slowakei. Die Grenzen sind in anderen Ländern bereits erheblich niedriger: Spanien 2500, Frankreich und Italien 1000 Euro, Griechenland 500 Euro. Der Iran ist (derzeit noch, 2016) das einzige Land, das einen Feldversuch (auf einer Insel) mit totaler Abschaffung des Bargelds plant. Begründung: "positive ökonomische und gesellschaftliche Auswirkungen". Als eine wesentliche wahrscheinliche Auswirkung sieht nicht nur die Regierung im Iran, dass verbotene Transaktionen abnehmen, weil der Staat Geldflüsse besser verfolgen kann: Das betrifft dann - je nach Land - nicht nur Geldwäsche, sondern auch Angebot und Erwerb (beziehungsweise Inanspruchnahme) verbotener Genussmittel (wie Marihuana oder Alkohol), verbotener Medien und verbotener Dienstleistungen wie beispielsweise Prostitution oder Schwarzarbeit.
Damit sind wir bei dem Kernproblem für mich: die Bürger werden sehr transparent und zwar für viele Stellen. Banken sind natürlich die erste Stelle, wo diese Daten gesammelt (werden müssen) und dort sollen sie in Zukunft auch immer stärker ausgewertet werden. Kaum ein Seminar über Banken-Marketing wo nicht gepredigt wird: Banken sitzen auf einer Goldmine, den Zahlungsdaten ihrer Kunden. Wenn die Bank detailliert und vollständig weiß, wie und wo ein Kunde sein Geld ausgibt, so gibt es wenige Geheimnisse mehr. Es sind ja nicht nur die Zahlungen, sondern auch die Orte der Zahlungen. Kauft da jemand regelmäßig nachts an einem Ort ein, an dem er nicht offiziell wohnt? Ist in der Nähe einer Moschee? Oder sind die Zahlungen direkt an Bordell oder im Casino?
Dass diese Auswertung nach dem jetzigen (bzw. dem bisherigen) Datenschutzrecht ohne Zustimmung des Kunden ungesetzlich ist, das ist ein Randproblem: das Datenschutzrecht kennt eine strenge Zweckbindung, d.h. Daten dürfen nur für den Zweck verwendet werden, für den sie gesammelt wurden. Und der Zweck war die Durchführung der Zahlung. Der transparente Kunde ist ein neuer Zweck und da muss der Kunde separat zustimmen. Aber wenn man höflich fragt und erklärt, welche Vorteile der Kunde dadurch bekommt, so stimmen die meisten Kunden auch der Auswertung der Daten zu.
Ein zusätzlicher psychologischer Nachteil beim Verlust von Bargeld kann für die Nutzer der Effekt sein, dass sie bei bargeldlosen Zahlungen nicht mehr den Effekt spüren, wie das Geld in der Geldbörse immer weniger wird. Dies kann zu sorgloserem Umgang führen. Natürlich kann das durch entsprechende Apps ausgeglichen werden die meine Buchungen zeitaktuell anzeigen, aber wer die nicht aufruft, der merkt evtl. nicht, dass er Monatsmitte schon auf Null ist.
April 2016
Zwei ausführliche Artikel zum Thema Bargeldabschaffung: Im Standard Österreichs scheinheilige Debatte ums Bargeld und bei heise.de "Krieg gegen Bargeld": Datenschützer kritisieren Pläne für Obergrenze bei Barzahlung.