Alexander Lehmann hat ein sehr anschauliches Video veröffentlicht. Hier seht ihr, warum Cyberwaffen (oder staatlich genutzte Schadsoftware) verboten werden sollte. Das eingesetzte Geld wäre besser bei dem Beheben von Schwachstellen eingesetzt.
Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.
Hier findet ihr beispielsweise eine kleine Einführung zu Tor:
Why journalists and whistleblowers need to understand infosecurity
Netzpolitik schreibt über ein Projekt, dass eine Weltkarte der Videoüberwachung erstellen will. Das Projekt mit dem Namen »Surveillance under Surveillance« nutzt die Karte von OpenStreetMap.
Ich habe vor vielen Jahren für die Kartierung der Kameras in Jena noch GMaps verwendet. Damals habe ich versucht, mit Farbcodes zu arbeiten. Bei dem jetzigen Projekt kann man die Art der Kameras und den Öffnungswinkel einstellen. Damit gibt es einen guten Überblick über den Zustand der Überwachungskameras. Wenn viele mitmachen, ergibt sich wirklich eine Weltkarte.
Für mich ist das eine gute Gelegenheit im Rahmen unserer Junghackingtage mit den Kindern eine Kamerasafari zu machen und die Daten zu Jena zu aktualisieren.
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, stellte heute seinen Tätigkeitsbericht für 2014 und 2015 vor. Ich war zu der Veranstaltung mit eingeladen und will die Veranstaltung aus meiner Sicht zusammenfassen.
Derzeit arbeiten im TLfDI 20 Personen und zwei, die von anderen Ämtern abgeordnet wurden. Bei den beiden handelt es sich um einen Lehrer und eine Polizistin. Herr Dr. Hasse ist Vorsitzender des Arbeitskreises Datenschutz und Bildung der Datenschutzbeauftragten. In diesem Rahmen hilft der abgeordnete Lehrer. Insbesondere das Thema Medienkompetenz liegt dem TLfDi am Herzen. Auch die Hauptkommisarin ist in die tägliche Arbeit der Behörde eingebunden. Somit gewinnt sie einen Einblick und kann das später in der Polizei den dortigen Kollegen weitergeben.
Der Tätigkeitsbericht ist über die Jahre immer weiter gewachsen. Als Herr Hasse in das Amt gewählt wurde, gab es lediglich einen fingerdicken Bericht. Die heutige Ausgabe kam in zwei Bänden mit über 1300 Seiten Umfang. Die Bücher sind in den Bericht zum nicht-öffentlichen Bereich (private Firmen, Vereine etc.) und zum öffentlichen Bereich (Behörden, Gemeinden etc.) getrennt.
Im nicht-öffentlichen Bereich hat das TLfDI die Möglichkeit, Beanstandungen und Bußgelder auszusprechen. Davon machte die Behörde reichlich Gebrauch. Die Zahl der Beanstandungen verdreifachte sich im Vergleich zum vorigen Zeitraum und aus ursprünglich weniger als 500 € Bußgeldern wurden im neuen Zeitraum 5.300 € Bußgeld. Aufgrund der hohen Arbeitsbelastung fanden weniger Kontrollen bei Firmen statt.
Insgesamt versucht das TLfDI einen Blick auf zukünftige Gefährdungen zu haben. So spielten in der Veranstaltung SmartTV, Spielzeugpuppen mit eingebautem Mikrofon und WLAN wie auch Datenschutz in (selbstfahrenden) Autos eine Rolle. Die Datenschützer sind an diesen Themen dran und versuchen sich dazu eine Meinung zu verschaffen.
Wie schon im letzten Bericht spielt die Videoüberwachung in verschiedener Form eine große Rolle. Der aktuelle Bericht enthält mindestens 84 Fälle zur Videoüberwachung. Auch in Zukunft wird der Bereich eine große Rolle spielen. Nach einem Urteil des europäischen Gerichtshofs fallen wohl nahezu alle Kameras (auch privat betriebene) unter das Bundesdatenschutzgesetz. Damit sind diese beim TLfDI zu melden. Die Behörde versucht, ein Register einzurichten und dann sollen Kamerabetreiber deren Kameras dorthin melden. Weiterhin sind Dashcams (Kameras in Autos), Helmkameras und Kameradrohnen im Blick. Auch hier könnte es zu einer Registrierungspflicht kommen.
Weiterhin kam das Aktenlager in Immelborn zur Sprache. Dort wurde ein Berg von zum Teil sensiblen Akten in einer Fabrikhalle gefunden. Der ursprüngliche Betreiber des Lagers war nicht mehr aufzufinden und eigentlich hätten die Akten an die Besitzer zurückgehen müssen. Herr Hasse bat damals die Polizei um Amtshilfe, die aber nicht gewährt wurde. Das TLfDI klagte daraufhin. Später fand sich dann doch eine Firma, die die Räumung des Lagers übernahm. Der ganze Vorfall wird mittlerweile von einem Untersuchungsausschuss im Landtag betrachtet. Herr Hasse erzählte heute, dass im Rahmen des Ausschusses festgestellt wurde, dass der Polizeipräsident in der Tat Unterstützung leisten wollte. Das Amt hatte 10 Leute für ca. zehn Tage beantragt. Das Innenministerium fragte jedoch bei der Polizei 100 Leute für einen Monat an. Ein Schelm, wer Böses denkt. Dennoch war die Polizei zur Unterstützung bereit. Aber das Innenministerium pfiff die Polizei dann wohl zurück.
Im Bereich Gesundheit wurde auf ein Forum verwiesen, an das sich Krankenhäuser wenden können. Die Idee ist, dass ein Krankenhaus eine Datenschutzfrage stellen kann. Diese ist anonymisiert und das TLfDI beantwortet diese, ohne auf das Haus schließen zu können. Das Angebot wird gut angenommen und hat viele Abrufe.
Daneben erzählte Herr Dr. Hasse noch die Geschichte von Krankenakten, die an seine Heimadresse geschickt wurden. Als er den Brief öffnete, waren Krankenakten enthalten. Einen Tag später gab es eine weitere »Lieferung«. Daraufhin wandten sie sich an das betreffende Krankenhaus. Dort gab es eine Mitarbeiterin, die nach dem Namen eines Arztes im Internet suchte und auf die Adresse des Datenschützers stieß. Sie schickte die Akten dann ohne weitere Prüfung an den Datenschützer. 
Im öffentlichen Bereich scheinen öffentliche Sitzungen von Stadt- und Gemeinderäten ein Dauerbrenner zu sein. Dort werden immer wieder personenbezogene Daten genannt, obwohl diese in nicht-öffentlicher Sitzung diskutiert werden sollen.
Insgesamt war dies eine sehr interessante und aufschlussreiche Veranstaltung. Ich habe jetzt Lesestoff für die nächste Zeit in der Hand. 
Stellungnahmen zu Gesetzentwürfen sind üblicherweise große Papierberge. Die Mitglieder der Ausschüsse müssen diese lesen und interpretieren. Die Initiative Freiheitsfoo ist einen anderen Weg gegangen. Sie bekamen eine Anfrage des Wirtschaftsausschusses des Landes Schleswig-Holstein, in der es um die lückenlose Überwachung in Zügen ging. Freiheitsfoo entwickelte ein Hörspiel und stellte es den Abgeordneten zur Verfügung. Es steht mittlerweile allen zur Verfügung. Hört rein: 201402freiheitsfoo-an-LT-SH-zu-VUE-OEPNV.mp
via Patrick Breyer: Videoüberwachung im ÖPNV: Landtag erhält Hörspiel als Stellungnahme
Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.
Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.
Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.
Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.
Im März 2012 besuchte ich den Thüringer Landesdatenschutzbeauftragten. Er war damals gerade neu ins Amt gekommen und so wollte ich die Gelegenheit nutzen, ihn kennenzulernen und ihn zu seinen Aufgaben zu befragen. Das Interview wurde im Rahmen der vierten Datenkanalsendung ausgestrahlt.
Kurz vor dem Interview war ich auf der Leitstelle der Jenaer Feuerwehr. Dort fiel mir eine Videokamera auf. Ich vermutete eine Mobotix Dual Night M12D. Da die Kamera neben Bild- auch Tonaufnahmen anfertigen kann, beschloss ich den Datenschutzbeauftragten dazu zu befragen. Mittlerweile liegt mir eine Antwort vor.
Die Datenschützer holten einige Informationen bei der Stadtverwaltung Jena ein. Unter anderem erhielten sie Screenshots vom Aufnahmebild. Entgegen meiner Vermutung nimmt die Kamera nicht den angrenzenden Fußgängerweg auf. Die Aufnahme beschränkt sich auf das Betriebsgelände der Feuerwehr. Damit gibt es diesbezüglich nichts zu beanstanden. Allerdings ist das Mikrofon bedenklich. Hier versuchen die Datenschützer zusammen mit der Stadt Jena eine Lösung zu erarbeiten. Sobald ich mehr weiß, gebe ich Bescheid. Mittlerweile bin ich zwei Verstößen gegen den Datenschutz in Thüringen auf der Spur. Ich hoffe, auch dazu bald mehr berichten zu können.
In der Zwischenzeit empfiehlt es sich, die anderen Sendungen des Datenkanals anzuhören.
WikiLeaks hat ein sehr schönes „Werbevideo“ gedreht:
What Does it Cost to Change the World? from WikiLeaks on Vimeo.
Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.
Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com. Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.
Wie ein Witz klingt da die Privacy Policy von Ant.com:
As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.
Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.
Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.
via InterWeb Task Force und The Register
Übermorgen.tv hat eine bedrohliche Geschichte über das Ende der Anonymität produziert:
via Netzpolitik.
Snuggly, der Sicherheitsbär, erklärt die Pläne zur Überwachung des Internets. Wer nichts zu verbergen hat, ... Ausgedacht wurde der Bär von Mark Fiore. Er hat auf seiner Webseite mehr schöne Sachen.
Anne Roth hat in ihrem Blogbeitrag mehr Details.
via Rop.
Update: Das alte Video wurde entfernt. Link aktualisiert.
Alexander Lehmann, der Macher von Rette Deine Freiheit, Cleanternet und einigem mehr, hat wieder zugeschlagen. In dem Video geht er auf die allfällige Videoüberwachung (Buugle Streetview), Nacktscanner (Buugle Bodyview) und das SWIFT-Abkommen (Buugle Kontoview) ein. Sehr schönes Video (Bei annalist gibt Links zum Nachlesen:
Gestern schrieb ich hier über das von Wikileaks veröffentlichte Video. Mittlerweile gibt es viele, teils negative, Meinungen zu dem Thema. Insbesondere finde ich den Kommentar von Errata Security Why Wikileaks sucks
lesenswert.
Our Army was clearly wrong in withholding this video. [..]
On the other hand, Wikileaks is partisan, with no integrity. [..] This partisan approach to “leaks” is not the sort of thing I want to see.
It’s not simply partisan, but greedy. Their front page also encourages donations. The more they can distort the contents of leaks like this, the more money they stand to make.
Stell dir vor, du bringst ein paar Freunde und Reporter zu deinem Haus. Während du dein Auto parkst, erscheint plötzlich ein Hubschrauber. Er eröffnet ohne Vorwarnung das Feuer. Als du dann einen Verwundeten siehst und den bergen willst, wird auch auf dich geschossen.
Das klingt unwirklich? In Kurzform ist es genau das, was 2007 einigen Irakern in Bagdad passierte. Bei diesem Übergriff starben die REUTERS-Angestellten Namir Noor-Eldeen und Saeed Chmagh sowie diverse Zivilisten. Die damalige Pressemitteilung las sich so:
Nine insurgents were killed in the ensuing firefight. One insurgent was wounded and two civilians were killed during the firefight.
The two civilians were reported as employees for the Reuters news service.
Am Montag veröffentlichte Wikileaks ein Video, welches aus einem Apache-Helikopter gedreht wurde. Der Apache wurde seinerzeit zur Luftunterstützung angefordert. Auf dem Video sind sowohl die Bilder zu sehen wie auch die Kommentare per Funk zu hören. Dieses Video ist auf der Seite Collateral Murder zu sehen. Die Echtheit wurde mittlerweile bestätigt.
Zu dem Zeitpunkt waren offensichtlich Bodenstreitkräfte unterwegs und hatten Kontakt zu bewaffneten Kräften. Daher forderten sie den Hubschrauber als Unterstützung an. In dieser Zone hielten sich die Reporter auf und wollten Aufnahmen anfertigen. Der Apache sah wie sich die Gruppe von Menschen unterhielt und interpretierte die Teleobjektive der Journalisten als Raketenwerfer bzw. automatische Waffen. Nun folgte der Beschuss der Gruppe sowie anschließend auch noch der Retter. Wie man den Aufnahmen entnehmen kann, hatte es die Besatzung sehr eilig mit den Schüssen. Andere Reporter, die sich in der Gegend aufhielten, berichteten ähnliches.
It looked like the American helicopters were firing against any gathering in the area, because when I got out of my car and started taking pictures, people gathered and an American helicopter fired a few rounds, but they hit the houses nearby and we ran for cover.
Dabei ist besonders erschütternd, wie menschenverachtend die Besatzung eingestellt ist. Ein Verletzter, wahrscheinlich einer der Journalisten, bewegt sich nach dem Beschuss noch. Jemand aus der Besatzung fordert diesen per Funk auf, sich endlich eine Waffe zu schnappen. Denn dann könnte derjenige weiter schießen. Dies stellt eine grobe Missachtung der Rules of Engagement (PDF) dar. Darin heißt es:
Do not target or strike anyone who has surrendered or is out of combat due to sickness or wounds.
Aber sowohl die Besatzung des Helikopters wie auch andere Akteure wurden in vorigen Untersuchungen von jeglicher Schuld freigesprochen. Angeblich haben sie angemessen gehandelt und sind den oben beschriebenen Rules of Engagement gefolgt. In einem Interview äußerte sich Julian Assange von Wikileaks bereits dazu und meinte, dass in dem Fall offensichtlich diese Regeln überarbeitet werden müssen. Denn es kann nicht sein, dass jemand der einer Zielperson wahrscheinlich hilft, als faires Ziel angesehen wird. So frei nach der Regel, die Freunde meiner Feinde sind meine Feinde.
Insgesamt kann man Wikileaks nur für die Veröffentlichung danken. Denn so wird wieder mal klar, dass diverse offizielle Nachrichten nicht komplett vertrauenswürdig sind. Ich würde mich weiter freuen, wenn diverse Regeln überarbeitet werden.
Kaum sind die deutschen Versuche zum
ZensurgZugangserschwerungsgesetz halbwegs
gestoppt, geht es in der EU weiter. Vor kurzem enthüllte
der AK Zensur ein geheimes
PDF-Dokument des EU-Rates (Deutsche
Version bei Netzpolitik). Darin wird die Fortführung eines
Projekts gefordert, welches dem deutschen Zugangserschwerungsgesetz
recht ähnlich ist. In der EU trägt es den Namen CIRCAMP. Hier tritt nun Cecilia
Malmström auf den Plan. Sie ist EU-Kommissarin für Innenpolitik
und will in den nächsten Wochen kräftig Werbung für Internetsperren
machen. Ein erstes Interview erschien in Schwedisch beim Svenska
Dagbladet.
Aber auch die Kritiker werden mit Sicherheit nicht leise
sein. Bereits jetzt gibt es das unten stehende Mashup von Telecomix. Begriffe wie
Censilia
, Zensursula 2.0
und ähnliche sind
ebenfalls schon entstanden. Ich denke, die Woche wird recht spannend
werden.