Qbi's Weblog

Der Journalist Martin Debes hat sich vor der diesjährigen Wahl den demokratischen Verhältnissen in Thüringen gewidmet. Auf 280 Seiten geht er auf die Verhältnisse in den vergangenen einhundert Jahren im Freistaat ein. Ein Schwerpunkt des Buches »Deutschland der Extreme: Wie Thüringen die Demokratie herausfordert« liegt dabei auf den letzten dreißig Jahren.

Thüringen war lange Zeit der Inbegriff der Kleinstaaterei und später das Testlabor der Nazis. Debes zeichnet diese Geschichte nach und geht dann auf wichtige historische Marken der DDR wie auch der Wendezeit ein. Das kann helfen, die jüngere Geschehnisse besser zu verstehen und einzuordnen. Die Zeit ab ca. 1990 wird dann sehr detailliert besprochen. Hier liest man die Erfahrung und persönlichen Erkenntnisse des Journalisten gut heraus. Er kennt die Interna der Thüringer Politik und so glänzt das Buch mit vielerlei Hintergrundwissen.

Natürlich spielt die Entwicklung der AfD wie auch dessen Spitzenkandidaten eine große Rolle. Debes beschreibt, wie die anderen Parteien vor sich her getrieben werden, jegliche Fehler ausgenutzt werden und auch, wie erschöpft die aktuelle Koalition zu sein scheint.

Insgesamt liest sich das Buch wie ein spannender Roman. Leider sind die Fakten nicht erfunden, sondern Realität. Leider gibt es im Buch kein Happy End. Vielmehr sind die Bürger:innen gefragt, hier ein solches herbeizuführen.

Ich kann das Buch allen Interessierten nur ans Herz legen. Insgesamt entsteht beim Lesen der Eindruck, dass das, was in Thüringen im Kleinen passiert, auch bundesweit im Großen passieren könnte.

Daniel Moßbrucker hat ein Buch geschrieben, was sich einem heiklen und emotional sehr aufgeladenen Thema widmet: sexualisierte Gewalt an Kindern und dessen Dokumentation. In der öffentlichen Diskussion wird oftmals der verharmlosende Begriff Kinderpornographie verwendet.

Moßbrucker versucht mit dem Buch, Fakten zu liefern. Dazu hat er in diversen Foren recherchiert. Dies ist insbesondere schwer, da schon der Versuch der Beschaffung eine Straftat ist. Moßbrucker schildert in dem Buch beeindruckend, dass er mit drastischen Mitteln versuchte, keine solchen Darstellungen angezeigt zu bekommen. So war es ihm möglich, die Foren zu betreten und anhand der Dateinamen und anderer Eigenschaften abzuschätzen, was dort passiert.

Seine Recherchen führten bereits in der Vergangenheit zu überraschenden Erkenntnissen. Denn offensichtlich bleiben die Darstellungen im Netz und niemand kümmert sich um die Entfernung der Inhalte:

• Kindesmissbrauch: Warum löscht die Polizei die Bilder nicht?
• Das Netz vergisst nichts, solange es nicht vergessen soll
• Lage der Nation 291: Affenpocken, Gerhard Schröder & unsere Aufmerksamkeit, Feedback: Gewalt gegen Kinder, Update: BKA lässt „Kinderpornos“ im Netz, BAföG-Reform
• Wie recherchiert man als Journalist in pädokriminellen Foren?

Mit dem Buch geht Daniel Moßbrucker analytisch vor. Er beschreibt zunächst das Problem, erklärt, woher die Darstellungen kommen und wie diese dann in den Foren landen. Dabei geht nicht nur um reine Nackt- oder schlimmere Darstellungen, sondern um eine große Bandbreite. So wird von einem Benutzer berichtet, der tausende Bilder von Kindern in Daunenjacken teilte. Im Kontext wird dann klar, dass diese Bilder in einem sexuellen Kontext gelesen werden.

Dieser Teil des Buches macht klar, wie hier vorgegangen wird, welche Art von Darstellungen interessant sind und auch wie diese technisch gehostet werden. Das liefert dann die Grundlage für den nächsten Teil. Dort geht es um mögliche Maßnahmen. Dabei werden sowohl solche besprochen, die seitens der Politik immer wieder diskutiert werden wie auch solche, die eventuell zielführender erscheinen.

Moßbrucker beschreibt die Sachverhalte in einem nüchteren, unaufgeregtem Ton. Aufgrund seiner Erfahrungen wirkt der Text glaubwürdig und er macht sich viele Gedanken, wie sich die Lage wirklich verbessern kann.

Ich würde mir sehr wünschen, wenn das Buch gerade von Fachleuten in dem Bereich gelesen wird und sich diese mit den Erkenntnissen wirklich dem Schutz von Kindern widmen würden.

GDPR & ePrivacy Regulations von Dennis van der Hejden. Original bei Flickr

Vor kurzem stellte ich mir hier im Blog die Frage, ob man noch Bilder des Dienstes Flickr einbinden kann. Nach meiner Prüfung kam ich zu dem Schluss, dass dies nicht mehr der Fall ist und entfernte die Bilder aus meinem Blog.

Heute hielt ich einen Workshop, der u.a. auch die Datenschutz-Grundverordnung zum Thema hatte. Dort fragte mich ein Teilnehmer, ob denn das Land Thüringen eine korrekte Datenschutzerklärung (DSE) hat. Der folgende Abschnitt brachte mich dann doch ins Staunen:

Flickr

Innerhalb unseres Onlineangebotes können Funktionen und Inhalte des Dienstes Flickr eingebunden sein. Flickr ist ein Foto- und Bilder-Dienst des amerikanischen Unternehmens SmugMug Inc. (67 E. Evelyn Ave, Suite 200
Mountain View, California, U.S.)Wenn Sie selber Flickr aktiv nutzen und ein Bild oder Video veröffentlichen, können wir ihn ebenfalls sehen, wenn Sie ihn jedermann zugänglich gemacht haben oder wenn wir Ihnen über Flickr folgen. Ebenfalls können wir Ihre Angaben auf Flickr sehen, wenn thueringen.de Ihrem Profil folgt. Einzelheiten zur Verarbeitung der Daten bei Flickr und den Sichtbarkeitseinstellungen entnehmen Sie bitte den Datenschutzbedingungen von Flickr bzw. Oath (ehemals Yahoo): policies.oath.com/ie/de/oath/privacy/index.html  

Das heißt, das Land Thüringen ist der Meinung, rechtmäßig Flickr-Bilder einbinden zu können. Wie kann das sein?

Weder Flickr noch Yahoo! noch eine der anderen Firmen steht bisher auf der Privacy-Shield-Liste. Und die Datenschutzbedingungen von Flickr gaben doch bisher auch nichts her. Aber: Unter anderen ist das Datenschutzcenter von Oath mit verlinkt. Dort steht gleich am Anfang:

Für Produkte oder Dienste von Oath, auf die ohne Anmeldung bei einem Account zugegriffen wird, gilt diese Datenschutzerklärung für diese Produkte und Dienste ab 25. Mai 2018.  

Flickr gehört mit zu Oath. Also gelten diese Bedingungen auch für Flickr. In der DSE steht drin, dass die Oath (EMEA) Limited in Dublin diese Dienste bereitstellt und damit wohl Verantwortlicher im Sinne der DS-GVO ist. Also werden die Daten von einem Unternehmen mit Sitz in der EU verarbeitet und die DS-GVO möchte ja den freien Verkehr personenbezogener Daten fördern (oder zumindest nicht einschränken).

Weiterhin erklärt Oath, dass sie die Standardvertragsklauseln der EU-Kommission verwenden bzw. nur Daten mit Unternehmen austauschen, die nach Privacy Shield zertifiziert sind.

Insgesamt scheint die Datenschutzerklärung den Anforderungen der Art. 13 und 14 DS-GVO zu entsprechen. Und auch inhaltlich ist es jetzt so, dass man wohl doch bedenkenlos Bilder von Flickr in seinem Blog einbinden kann.

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige.

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so!

Viele von euch kennen vielleicht die Seite SSLLabs.com, bei der sich die Einstellungen bezüglich TLS testen lassen. Wer wissen möchte, wie gut die Daten auf einer verschlüsselten Webseite geschützt sind, kann den Namen eingeben und SSLabs führt dann verschiedene Tests durch. Nach Beendigung gibt die Seite eine Einschätzung aus.

SSL-Einstellungen für kubieziel.de im Dezember 2015

Nun ist TLS nicht die einzige Baustelle, was die Sicherheit im Web betrifft. Es gibt zahlreiche Schwachstellen, die ausgenutzt werden. Für einige dieser Schwachstellen wurden neue HTTP-Header eingeführt.

So gibt es beispielsweise einen, der dem Browser auffordert, die Seite ausschließlich über HTTPS aufzusuchen (HSTS). Die meisten aktuellen Browser unterstützen den Header. Daneben gibt es Header, die Schutz vor so genanntem Cross-Site-Scripting (XSS) bieten sollen sowie weitere mehr.

Die Seite securityheaders.io hat es sich zum Ziel gemacht, die Header der Webseiten zu testen und ein ähnliches Rating wie SSLLabs auszugeben. Auch hier erhaltet ihr einen schnellen Überblick über die Sicherungsmaßnahmen. Allerdings habe ich Einstellungen gefunden, wo das Rating aus meiner Sicht nicht gerechtfertigt ist. Die Seite hatte HSTS gesetzt und erhielt trotzdem nur ein sehr schlechtes Rating. Laut Aussage der Entwickler sind die aber dabei, das zu ändern. Testet die Seite doch mal aus!

Meine Seite hat derzeit folgendes Rating:

Bewertung der HTTP-Header bei kubieziel.de

Wie ihr seht, fehlt derzeit CSP und das Key Pinning. Bei letzterem lässt sich aus meiner Sicht viel falsch machen. Da will ich erstmal noch ein paar Gedanken reinstecken, bevor ich den setze. Und CSP muss ich testen, inwieweit das mit dem Blog Probleme gibt. Wenn das passiert ist, steht einem A+ nichts mehr im Wege.

Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.

Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:

B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8