Safer Internet Day – durch die Augen der Politik gesehen

Da bekomme ich doch fast ein Schleudertrauma vor lauter Kopfschütteln, wenn ich mir die Videobotschaft unserer Kanzlerin anschaue.

Der zweite Tag in der zweiten Woche im zweiten Monat ist seit 2008 (nicht seit 2002, haha) jährlich der Safer Internet Day (ob der sechste Tag im sechsten Monat eines jeden sechsten Jahres wohl internationaler Satanisten-Tag ist?). Dieser Tag fällt dieses Jahr auf den 05. Februar (also der Safer Internet Day, nicht der Luzifer-Tag).

Und diesen Tag hat sich unsere Kanzlerin für eine medial passende Videobotschaft ausgesucht.

“Da geht es darum, das Internet sicherer zu machen.”

Angela Merkel, Bundeskanzlerin

Das Internet sicherer machen? Wir sollten lernen, mit der Realität umzugehen? Wie wollen wir das Internet sicherer machen? Durch mehr Zensur und Kontrolle? Vielleicht so, wie die Politik sich vorstellt, die analoge Welt durch mehr Rüstung und Überwachung sicherer zu machen?

“Aber es geht jetzt darum, dass der Einzelne natürlich das Heft des Handelns in der Hand behält, und dazu dient dieser Tag.”

Angela Merkel, Bundeskanzlerin

Ja, meine Rede. Wir müssen lernen mit den Gegenheiten umzugehen – aber dafür brauchen wir doch keinen Safer Internet Day. Das ist genauso sinnlos wie einen Ändere dein Passwort Tag zu zelebrieren. Es geht schließlich um unsere Daten, da ist logisch, dass wir uns auch darum kümmern müssen.

[…]und dazu gehört zum Beispiel, dass man ein starkes Passwort hat, dass man diese Passwörter auch immer mal wieder verändert.

Angela Merkel, Bundeskanzlerin

Ein starkes Passwort? Eins? Nein, viele starke Passwörter! Für jeden Account ein starkes Passwort. Und nicht einfach so mal ändern. Dazu braucht es eine vernünftige Unterstützung, einen Passwort-Manager. Ansonsten kommt da nur leicht hackbarer Unsinn heraus.

“In unserer Initiative ‘Digitalpakt Schule’ spielt auch diese Medienkompetenz von Kindern eine große Rolle.”

Angela Merkel, Bundeskanzlerin

Digitalpakt und Medienkompetenz in einem Satz zu nennen ist ja schon vermessen. Bei dem einen geht es um Hardware und Lobbyisten-Einfluss. Bei dem anderen geht es um Lernen. Das eine hat mit dem anderen nur insofern etwas zu tun, als man zum Schreiben beispielsweise Stift und Papier oder ähnliches braucht.

“Die Sicherheit muss natürlich einerseits durch den Staat gewährleistet werden, […] wie durch das Bundesinnenministerium.”

Angela Merkel, Bundeskanzlerin

Und was bitte hat das Bundesinnenministerium mit der Sicherheit im Internet zu tun? Das Internet ist ja hoffentlich bitte keine Angelegenheit des Bundesinnenministeriums! Etwas internationaleres als das Internet kann ich mir nicht vorstellen.

Ich schäume, ich zürne – aber das musste mal raus. Lieber Himmel, was für ein uninformiertes Gerede über ein wichtiges Thema unter dem falschen Titel.

Geht schon mächtig los, das Jahr 2019

Kaum hat das Jahr 2019 begonnen schon sehen wir die ersten Datenlecks: Zuerst das Doxing von Politikern und Promis und gestern, am 18.01.2019, einen der bisher umfangreichsten Data-Breaches überhaupt.

Mit 773 Millionen Online-Zugängen ist diese Sammlung von E-Mail-Adressen und zugehörigen Passwörtern (Collection #1) eine der mengenmäßig größten Datenlecks überhaupt.

Like it or not – it’s the f Word

Nicht, dass ich großes Mitleid mit dem blauen f habe, aber dieses Jahr läuft es richtig mies für Facebook – recht so.

Nun hat einer der Generalanwälte am EuGH, Michal Bobek, in seiner Schlusserklärung klar gemacht, dass ein Websitebetreiber, der einen Facebook-Like-Button auf seiner Site einbindet, mitverantwortlich für den Datenschutz der Website-Besucher ist – recht so.

Damit wird das elende Getracke durch diese datensaugende Plattform hoffentlich deutlich eingedämmt – schön wärs.

Die Stimmen der Anderen

So, wer jetzt noch eine Heimwanze wie Alexa (oder auch Siri oder Cortana, Bixby oder jeden anderen cloud-basierten Daueraufzeichnungsdienst) betreibt (oder zu Weihnachten wünscht und bekommt), muss wirklich mit dem Klammerbeutel gepudert sein.

Es ist jetzt nämlich das passiert, worauf die privatsphären-affine Welt seit dem orwellschen Televisor hingezittert hat: Amazon hat Sprachaufzeichnungen eines Alexa-Nutzers einem anderen Amazon-Kunden ausgeliefert.

Soll jetzt jemand noch behaupten, das Auskunftsrecht nach Artikel 15 DS-GVO käme uns Bürgern nicht entgegen, denn aufgrund eines solchen Auskunftsverlangens kam dieser “isolierte Einzelfall” (so Amazon) ans Licht.

Und die Frechheit von Amazon, dies als “Folge eines menschlichen Fehlers” herunterzuspielen, stellt für mich eine Überheblichkeit sondergleichen dar.

Nein, hier liegen schlicht ein paar systemische Fehler vor:

  • Es werden Sprachaufzeichnungen gespeichert – an sich schon ein Riesenproblem.
  • Bei der Zusammenstellung der Daten eines Betroffenen ist kein ordentlicher Prüfprozess (z.B. Vier-Augen-Prinzip) etabliert – ganz doof.
  • Bei einem Konzern der Größe von Amazon wird eine derartige Zusammenstellung sicher nicht manuell durchgeführt – blöde Schutzbehauptung.

Wenn wir das, was Amazon hier als “isolierten Einzelfall” beschreibt, auf die analoge Welt übertragen, wäre das in etwas so, als würde die Post Briefe an irgendeine (wahrscheinlich falsche) Adresse ausliefern. Kann ja auch gar nicht geschehen, denn hier spielen doch mindestens zwei Faktoren eine Rolle:

  1. Die (automatisierte) Zuordnung der Postsendung zu einem Postleitzahlengebiet
  2. Die (manuelle) Zustellung der Sendung zum Empfänger.

Kein Problem: ein (mindestens) vier-Augen-Prinzip. Kann also gar nix schiefgehen

Denkste. Is’ mir heute passiert. Eine Postkarte. Kam aber nicht direkt vom Absender bei mir in 73312 Geislingen an, sondern über den Umweg 32130 Enger.

Wie geht das denn? Ja, ich weiß, bei einer fünfstelligen Postleitzahl kann schonmal eine Überschneidung der Ziffern (aus dem Zahlenraum 0 – 9) stattfinden. Aber anstatt 73312 32130? Da muss die Texterkennung schon ordentlich daneben liegen. Und die Postleitzahl war wirklich leserlich geschrieben. Aber Geislingen und Enger? Spätestens an dieser Stelle geht die Übereinstimmung stark gegen Null.

Und jetzt haben wir wieder das Grundproblem. Wer leidet unter der Unwilligkeit (oder Unfähigkeit) der Konzerne, die uns beliefern? Wir Kunden. Hätte der Betroffene im Fall Amazon nicht verwundert nachgehakt (und bei Amazon dafür keine Antwort bekommen) und hätte er daraufhin nicht die Presse eingeschaltet, wäre dieser “isolierte Einzelfall” einfach unter den Tisch gefallen.

Und gäbe es nicht engagierte und motivierte Menschen, die auf eigene Kosten die Post an die richtige Adresse (nämlich meine) weiterleiten würde, säße ich ohne Weihnachtskarte unter dem (nicht vorhandenen) Tannenbaum.

Von wegen “isolierter Einzelfall”, Fuck Yeah Amazon, selbst wenn es so wäre, ihr seid in der verdammten Pflicht, ordentlich auf die Daten eurer Kunden aufzupassen.

Es sind schließlich nicht eure eigenen Daten, mit denen ihr so schlampig umgeht! Es sind unsere Daten. Die Daten eurer Kunden.

Und was wollt ihr mit “Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.” sagen? Das ist verdammt nochmal eure gesetzlich verankerte Pflicht!

Also: nicht erst den Betroffenen informieren, wenn die Presse das bereits getan hat!

Und dann auch noch zwei weitere Überwachungswanzen als “Wiedergutmachung” anbieten? Ja gehts noch?

E-Evidence – Europa importiert gerne Schrott

Na prima, da haben wir in Europa jetzt auch endlich unseren CLOUD Act.

Die europäische Herausgabeanordnung (E-Evidence-Verordnung) ist der Entwurf einer Verordnungssammlung der EU-Kommission zur Herausgabe elektronischer Beweismittel durch Cloud-Anbieter. Prinzipiell werden Internetkonzerne dadurch gezwungen, innerhalb von zehn Tagen (in dringenden Fällen innerhalb von sechs Stunden) den anfragenden Justiz- oder Ermittlungsbehörden elektronische Informationen über eine Person zu übermitteln. Hierbei handelt es sich unter anderem um Fotos, Videos, Zugangskennungen, Passwörter, E-Mails und sonstige (Chat-)Nachrichten.

Also einmal die komplette digitale Identität.

Und falls man als Internetkonzern nicht kooperiert, drohen Geldbußen bis zu 2% des weltweiten Jahresumsatzes – kennen wir ja so ähnlich von der DS-GVO, scheint sich zu einem Standard zu etablieren.

Aber so ein bisschen mehr digitale Totalüberwachung stört uns ja nicht – wir haben ja nichts zu verbergen.

Is’ mir übel.

Australien hat eine Hintertür

Eine? Achwas – Hintertüren überall!
Das australische Parlament hat die Assitance and Access Bill beschlossen. Damit müssen Softwarehersteller auf Ersuchen der Sicherheitsbehörden Hintertüren in ihren Produkten einbauen, um Zugang zu verschlüsselter Kommunikation und Dateien zu erhalten.

Dass dies eine selten dämliche Idee ist, fällt dem gesunden Menschen schon durch seinen Verstand ein: Haben durch eine solche Backdoor in einer Software natürlich nicht nur die Sicherheitsbehörden Zugriff auf Kommunikation und Daten – diese Hintertür steht dann auch Kriminellen offen…

Aber auch die australischen Softwarehersteller beklagen den Irrsinn dieses Gesetzes: Nicht nur werden sie zum Erfüllungsgehilfen einer wahnsinnigen Überwachunsmaschinerie, sondern bricht ihnen mit diesem Gesetz auch der internationale Softwaremarkt weg. Niemand klaren Verstandes wird jetzt noch Software Made in Australia kaufen – hat diese jetzt doch das Gütesiegel: “Mit Hintertür!”.

Anhang? Pfoten weg!

Advent – die Zeit der Vorfreude auf Geschenke.

Das kann aber auch mächtig nach hinten losgehen, denn nicht alles, was überraschend reinkommt, ist eine schöne Überraschung.

Momentan warnen BSI und das ZAC (Zentrale Anlaufstelle Cybercrime) des LKA Niedersachsen vor einer massiven Welle von Phishing-Mails mit einem fiesen Trojaner (Emotet) im Handgepäck.

Das perfide an dieser Welle ist die große Authentizität der Mails, die vermeintlich von Freunden, Kollegen oder Bekannten kommt.

Und was können wir tun?

Extrem vorsichtig sein, bei Mails mit Anhängen. Aber sowas von.
Prüfen, prüfen, prüfen.

Erstmal, stimmt der Absender?
Dann, erwarte ich überhaupt einen Anhang?
Und dann: Links anschauen – zeigen die dahin, wo ich erwarte, dass sie hinzeigen?

So – und wenn Zweifel herrschen: Nachfragen beim Absender. Auf einem anderen Kanal als auf diesem (also nicht auf die Mail antworten, bitte), vielleicht einfach anrufen.

Klingt paranoid, ist aber besser, als sich einen Banking-Trojaner wie Emotet einzufangen.

Wenn wir das beherzigen – dann können wir uns auch auf die Weihnachtsgeschenke freuen.

25.000 Gründe, die gegen Microsoft Office sprechen

Die Auswertung von Ereignissen in Software-Produkten ist sinnvoll und hilft mitunter auch dem Anwender (zumeist noch mehr dem Hersteller).

Das dieses Ansinnen aber auch häufig über das Ziel hinausschießen kann, hat jetzt eine niederländische Studie der Firma Privacy Company im Auftrag der niederländischen Regierung gezeigt.

In der Studie wurde gezeigt, dass Microsoft mit den Produkten Office 2016 und Office 365 bis zu 25.000 unterschiedliche Ereignistypen über die Nutzer ihrer Anwendungen sammelt. Heimlich.

Da der Anwender nicht in der Lage ist, diese heimliche Datensammlung zu unterbinden und da hier auch massiv personenbezogene Daten gesammelt werden, kommt Privacy Company in seiner Studie zu dem Schluss, dass Microsoft dramatisch gegen die DS-GVO verstößt.

Na, dann warten wir mal ab.

Und solange wir warten, hier mein Tipp:
Wechselt zu einer offenen und freien Büroanwendung, z.B. zu LibreOffice.

Digitalisierung – von der Politik instrumentalisiert

Digitalisierung hat für die Politik zumindest eine sichere Aufgabe: Aufmerksamkeit ezeugen.

So hat es Annegret Kramp-Karrenbauer jetzt genutzt, um sich mit Wunderversprechen der Digitalisierung im Gespräch zu halten.

“Unser Ziel muss sein, alle Verwaltungsvorgänge auch über das Smartphone erledigen zu können.”

Annegret Kramp-Karrenbauer, CDU

Das ist ja schon mal eine Hausnummer. Klingt für mich ein bissel nach Wahlen mit dem Smartphone. Fraglich ist, wie so etwas sicher gestaltet werden soll – wahrscheinlich mit der Blockchain…

Aber zum Thema Sicherheit des eGovernment äußerte sich Kramp-Karrenbauer in dem Interview mit der Rheinischen Post ebenfalls:

“[…] wir können Dokumente scannen und sicher verschicken.”

Annegret Kramp-Karrenbauer, CDU

Ist ja schon mal der Hammer. Unsere Regierung kann Dokumente scannen. Und sicher verschicken. Na prima – dann sind wir ja durch mit der Digitalisierung. Da ruf ich mir doch flugs ein Flugtaxi.

Himmel! Sicher verschicken? Wo denn? Hab ich noch nix von mitbekommen. Aber wahrscheinlich meint sie damit De-Mail. Das ist ja per Gesetz sicher.

LinkedIn – Nicht-Nutzer zu sein, heißt nicht, nicht ausgenutzt zu sein

Mittlerweile akzeptieren wir großräumig, dass unsere personenbezogenen Daten für Werbung verwendet werden, wenn wir eine Plattform wie – sagen wir mal – LinkedIn nutzen.

Aber dass diese Plattform dann ungefragt (natürlich, wie sollte sie auch) E-Mail-Adressen von Nicht-Nutzern (nicht unbedingt ein Nichtsnutz für LinkedIn – kann man diesen doch für gezielte Werbemaßnahmen ausnutzen) für Werbezwecke verwendet, ist einfach unanständig.

LinkedIn hat dies jetzt 18 Millionenfach getan – und wird dafür auch endlich von der irischen Datenschutzbehörde zur Rechenschaft gezogen.
Also, zumindest ermittelt die Behörde  erstmal – hoffentlich folgt dieser Ermittlung dann auch ein Bußgeld…