E-Evidence – Europa importiert gerne Schrott

Na prima, da haben wir in Europa jetzt auch endlich unseren CLOUD Act.

Die europäische Herausgabeanordnung (E-Evidence-Verordnung) ist der Entwurf einer Verordnungssammlung der EU-Kommission zur Herausgabe elektronischer Beweismittel durch Cloud-Anbieter. Prinzipiell werden Internetkonzerne dadurch gezwungen, innerhalb von zehn Tagen (in dringenden Fällen innerhalb von sechs Stunden) den anfragenden Justiz- oder Ermittlungsbehörden elektronische Informationen über eine Person zu übermitteln. Hierbei handelt es sich unter anderem um Fotos, Videos, Zugangskennungen, Passwörter, E-Mails und sonstige (Chat-)Nachrichten.

Also einmal die komplette digitale Identität.

Und falls man als Internetkonzern nicht kooperiert, drohen Geldbußen bis zu 2% des weltweiten Jahresumsatzes – kennen wir ja so ähnlich von der DS-GVO, scheint sich zu einem Standard zu etablieren.

Aber so ein bisschen mehr digitale Totalüberwachung stört uns ja nicht – wir haben ja nichts zu verbergen.

Is’ mir übel.

Australien hat eine Hintertür

Eine? Achwas – Hintertüren überall!
Das australische Parlament hat die Assitance and Access Bill beschlossen. Damit müssen Softwarehersteller auf Ersuchen der Sicherheitsbehörden Hintertüren in ihren Produkten einbauen, um Zugang zu verschlüsselter Kommunikation und Dateien zu erhalten.

Dass dies eine selten dämliche Idee ist, fällt dem gesunden Menschen schon durch seinen Verstand ein: Haben durch eine solche Backdoor in einer Software natürlich nicht nur die Sicherheitsbehörden Zugriff auf Kommunikation und Daten – diese Hintertür steht dann auch Kriminellen offen…

Aber auch die australischen Softwarehersteller beklagen den Irrsinn dieses Gesetzes: Nicht nur werden sie zum Erfüllungsgehilfen einer wahnsinnigen Überwachunsmaschinerie, sondern bricht ihnen mit diesem Gesetz auch der internationale Softwaremarkt weg. Niemand klaren Verstandes wird jetzt noch Software Made in Australia kaufen – hat diese jetzt doch das Gütesiegel: “Mit Hintertür!”.

Anhang? Pfoten weg!

Advent – die Zeit der Vorfreude auf Geschenke.

Das kann aber auch mächtig nach hinten losgehen, denn nicht alles, was überraschend reinkommt, ist eine schöne Überraschung.

Momentan warnen BSI und das ZAC (Zentrale Anlaufstelle Cybercrime) des LKA Niedersachsen vor einer massiven Welle von Phishing-Mails mit einem fiesen Trojaner (Emotet) im Handgepäck.

Das perfide an dieser Welle ist die große Authentizität der Mails, die vermeintlich von Freunden, Kollegen oder Bekannten kommt.

Und was können wir tun?

Extrem vorsichtig sein, bei Mails mit Anhängen. Aber sowas von.
Prüfen, prüfen, prüfen.

Erstmal, stimmt der Absender?
Dann, erwarte ich überhaupt einen Anhang?
Und dann: Links anschauen – zeigen die dahin, wo ich erwarte, dass sie hinzeigen?

So – und wenn Zweifel herrschen: Nachfragen beim Absender. Auf einem anderen Kanal als auf diesem (also nicht auf die Mail antworten, bitte), vielleicht einfach anrufen.

Klingt paranoid, ist aber besser, als sich einen Banking-Trojaner wie Emotet einzufangen.

Wenn wir das beherzigen – dann können wir uns auch auf die Weihnachtsgeschenke freuen.

25.000 Gründe, die gegen Microsoft Office sprechen

Die Auswertung von Ereignissen in Software-Produkten ist sinnvoll und hilft mitunter auch dem Anwender (zumeist noch mehr dem Hersteller).

Das dieses Ansinnen aber auch häufig über das Ziel hinausschießen kann, hat jetzt eine niederländische Studie der Firma Privacy Company im Auftrag der niederländischen Regierung gezeigt.

In der Studie wurde gezeigt, dass Microsoft mit den Produkten Office 2016 und Office 365 bis zu 25.000 unterschiedliche Ereignistypen über die Nutzer ihrer Anwendungen sammelt. Heimlich.

Da der Anwender nicht in der Lage ist, diese heimliche Datensammlung zu unterbinden und da hier auch massiv personenbezogene Daten gesammelt werden, kommt Privacy Company in seiner Studie zu dem Schluss, dass Microsoft dramatisch gegen die DS-GVO verstößt.

Na, dann warten wir mal ab.

Und solange wir warten, hier mein Tipp:
Wechselt zu einer offenen und freien Büroanwendung, z.B. zu LibreOffice.

Digitalisierung – von der Politik instrumentalisiert

Digitalisierung hat für die Politik zumindest eine sichere Aufgabe: Aufmerksamkeit ezeugen.

So hat es Annegret Kramp-Karrenbauer jetzt genutzt, um sich mit Wunderversprechen der Digitalisierung im Gespräch zu halten.

“Unser Ziel muss sein, alle Verwaltungsvorgänge auch über das Smartphone erledigen zu können.”

Annegret Kramp-Karrenbauer, CDU

Das ist ja schon mal eine Hausnummer. Klingt für mich ein bissel nach Wahlen mit dem Smartphone. Fraglich ist, wie so etwas sicher gestaltet werden soll – wahrscheinlich mit der Blockchain…

Aber zum Thema Sicherheit des eGovernment äußerte sich Kramp-Karrenbauer in dem Interview mit der Rheinischen Post ebenfalls:

“[…] wir können Dokumente scannen und sicher verschicken.”

Annegret Kramp-Karrenbauer, CDU

Ist ja schon mal der Hammer. Unsere Regierung kann Dokumente scannen. Und sicher verschicken. Na prima – dann sind wir ja durch mit der Digitalisierung. Da ruf ich mir doch flugs ein Flugtaxi.

Himmel! Sicher verschicken? Wo denn? Hab ich noch nix von mitbekommen. Aber wahrscheinlich meint sie damit De-Mail. Das ist ja per Gesetz sicher.

LinkedIn – Nicht-Nutzer zu sein, heißt nicht, nicht ausgenutzt zu sein

Mittlerweile akzeptieren wir großräumig, dass unsere personenbezogenen Daten für Werbung verwendet werden, wenn wir eine Plattform wie – sagen wir mal – LinkedIn nutzen.

Aber dass diese Plattform dann ungefragt (natürlich, wie sollte sie auch) E-Mail-Adressen von Nicht-Nutzern (nicht unbedingt ein Nichtsnutz für LinkedIn – kann man diesen doch für gezielte Werbemaßnahmen ausnutzen) für Werbezwecke verwendet, ist einfach unanständig.

LinkedIn hat dies jetzt 18 Millionenfach getan – und wird dafür auch endlich von der irischen Datenschutzbehörde zur Rechenschaft gezogen.
Also, zumindest ermittelt die Behörde  erstmal – hoffentlich folgt dieser Ermittlung dann auch ein Bußgeld…

knuddels.de – Reprise

Da soll noch einer sagen, die DS-GVO sei ein zahnloser Tiger.
Naja, sie ist vielleicht ein Tiger mit noch mindestens neun Zähnen in Ober- und Unterkiefer, so wie Gollum eben…

Hat doch das LfDI Baden-Württemberg gegen die Chat-Plattform knuddels.de für deren unverantwortlichen Umgang mit den Passwörtern seiner Nutzer – diese wurden im Klartext gespeichert – ein Bußgeld über 20.000 € verhängt.

Nun ja, wenn eine Chat-Plattform – speziell eine, die Kinder als Nutzer im Fokus hat – knapp 1,8 Millionen Pseudonyme, ungefähr 800.000 E-Mail-Adressen und weitere personenbezogene Daten von etwas über 300.000 Nutzern so unsicher verwaltet, dass diese gestohlen werden können, dann sind 20.000 € Bußgeld doch ein echtes Schnäppchen.

Aber wie es Dr. Brink richtig zusammenfasst:

“Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.”

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit, Baden-Württemberg

BSI-Router-Richtlinie – das wäre auch besser gegangen

So, mit ein paar Monaten Verspätung hat das BSI am 02. November 2018 nun als TR-03418 die Router-Richtlinie veröffentlicht.

Besser als nix, können sich die Router-Hersteller doch nun an etwas festhalten – müssen aber nicht, ist ja eine Richtlinie.

Besser hätte es schon werden können – so wurden Forderungen des CCC nach einem Mindesthaltbarkeitsdatum (also eine Angabe, wie lang das Gerät mit Sicherheitsupdates versorgt wird) auf dem Gerät – nicht entsprochen. Dies würde den Käufer eines Routers davor bewahren, ein Gerät zu kaufen, welches quasi schon gammelig ist, bevor es den Kassenbereich hinter sich bringt.

Aber naja, immerhin gibt es eine Richtlinie – auch wenn diese in Teilen schlampig ausgeführt ist:
One-Time-Pad mit One-Time-Password zu verwechseln sollte in solch einer Publikation nicht vorkommen.

[Update: 2018-11-29 18:12]
Der CCC hat sich auch zur Routerrichtlinie geäußert.

Pushing the Boundaries – eine blöde Idee kann immer noch zur Akzeptanz-Verschiebung dienen

Naja, wenn unsere Regierung die Massenüberwachung nicht über die Angst vor Terror durchgesetzt bekommt, dann werden andere Ängste herangezogen, um die Grenzen der Überwachung auszudehnen.

heise.de hat berichtet, dass die Bundesregierung bereits am 7. November 2018 das Straßenverkehrsgesetz (Entwurf eines Neunten Gesetzes zur Änderung des Straßenverkehrsgesetzes) so geändert hat, dass zur Durchsetzung der Diesel-Fahrverbote eine Massenüberwachung durch Kameras eingesetzt werden soll.

Ist weniger personalintensiv.

Dafür deutlicher privatsphäreninvasiv.

Toller Trade-off.

[Update: 19.11.2018, 07:50 Uhr]
Meiner Ansicht nach stellt diese Massenüberwachung einen unverhältnismäßigen Eingriff in die Privatsphäre aller Verkehrsteilnehmer dar. Es hätte nämlich mildere Mittel der Kontrolle gegeben. Naja, keine Idee ist blöd genug, um als schlechtes Vorbild zu dienen.

mailbox.org – E-Mail, wie es sein soll

Ich bin sowieso ein Freund von bezahlten Dienstleistungen, denn dann kann ich mir sicher sein, dass die Anbieter ihr Geld nicht mit meinen Daten verdienen.

Daher freut es mich, heute wieder eine Lanze für einen vorbildlichen Dienstleister im E-Mail-Provider-Umfeld zu brechen: mailbox.org.

mailbox.org hat das Relaunch nicht nur dazu genutzt, ein neues Logo einzuführen, es wurden darüber hinaus auch sinnvolle neue Features eingeführt.

Bei mailbox.org gibt es jetzt die Möglichkeit, das digitale Erbe vernünftig zu berücksichtigen. Hier kann festgelegt werden, wie im Todesfall mit den Daten umgegangen werden soll, bzw. wer darüber verfügen darf.

Ich halte das für einen zunehmend wichtigen Punkt, über den wir uns in Bezug auf unsere digitalen Spuren Gedanken machen müssen.