Like it or not – it’s the f Word

Nicht, dass ich großes Mitleid mit dem blauen f habe, aber dieses Jahr läuft es richtig mies für Facebook – recht so.

Nun hat einer der Generalanwälte am EuGH, Michal Bobek, in seiner Schlusserklärung klar gemacht, dass ein Websitebetreiber, der einen Facebook-Like-Button auf seiner Site einbindet, mitverantwortlich für den Datenschutz der Website-Besucher ist – recht so.

Damit wird das elende Getracke durch diese datensaugende Plattform hoffentlich deutlich eingedämmt – schön wärs.

Die Stimmen der Anderen

So, wer jetzt noch eine Heimwanze wie Alexa (oder auch Siri oder Cortana, Bixby oder jeden anderen cloud-basierten Daueraufzeichnungsdienst) betreibt (oder zu Weihnachten wünscht und bekommt), muss wirklich mit dem Klammerbeutel gepudert sein.

Es ist jetzt nämlich das passiert, worauf die privatsphären-affine Welt seit dem orwellschen Televisor hingezittert hat: Amazon hat Sprachaufzeichnungen eines Alexa-Nutzers einem anderen Amazon-Kunden ausgeliefert.

Soll jetzt jemand noch behaupten, das Auskunftsrecht nach Artikel 15 DS-GVO käme uns Bürgern nicht entgegen, denn aufgrund eines solchen Auskunftsverlangens kam dieser “isolierte Einzelfall” (so Amazon) ans Licht.

Und die Frechheit von Amazon, dies als “Folge eines menschlichen Fehlers” herunterzuspielen, stellt für mich eine Überheblichkeit sondergleichen dar.

Nein, hier liegen schlicht ein paar systemische Fehler vor:

  • Es werden Sprachaufzeichnungen gespeichert – an sich schon ein Riesenproblem.
  • Bei der Zusammenstellung der Daten eines Betroffenen ist kein ordentlicher Prüfprozess (z.B. Vier-Augen-Prinzip) etabliert – ganz doof.
  • Bei einem Konzern der Größe von Amazon wird eine derartige Zusammenstellung sicher nicht manuell durchgeführt – blöde Schutzbehauptung.

Wenn wir das, was Amazon hier als “isolierten Einzelfall” beschreibt, auf die analoge Welt übertragen, wäre das in etwas so, als würde die Post Briefe an irgendeine (wahrscheinlich falsche) Adresse ausliefern. Kann ja auch gar nicht geschehen, denn hier spielen doch mindestens zwei Faktoren eine Rolle:

  1. Die (automatisierte) Zuordnung der Postsendung zu einem Postleitzahlengebiet
  2. Die (manuelle) Zustellung der Sendung zum Empfänger.

Kein Problem: ein (mindestens) vier-Augen-Prinzip. Kann also gar nix schiefgehen

Denkste. Is’ mir heute passiert. Eine Postkarte. Kam aber nicht direkt vom Absender bei mir in 73312 Geislingen an, sondern über den Umweg 32130 Enger.

Wie geht das denn? Ja, ich weiß, bei einer fünfstelligen Postleitzahl kann schonmal eine Überschneidung der Ziffern (aus dem Zahlenraum 0 – 9) stattfinden. Aber anstatt 73312 32130? Da muss die Texterkennung schon ordentlich daneben liegen. Und die Postleitzahl war wirklich leserlich geschrieben. Aber Geislingen und Enger? Spätestens an dieser Stelle geht die Übereinstimmung stark gegen Null.

Und jetzt haben wir wieder das Grundproblem. Wer leidet unter der Unwilligkeit (oder Unfähigkeit) der Konzerne, die uns beliefern? Wir Kunden. Hätte der Betroffene im Fall Amazon nicht verwundert nachgehakt (und bei Amazon dafür keine Antwort bekommen) und hätte er daraufhin nicht die Presse eingeschaltet, wäre dieser “isolierte Einzelfall” einfach unter den Tisch gefallen.

Und gäbe es nicht engagierte und motivierte Menschen, die auf eigene Kosten die Post an die richtige Adresse (nämlich meine) weiterleiten würde, säße ich ohne Weihnachtskarte unter dem (nicht vorhandenen) Tannenbaum.

Von wegen “isolierter Einzelfall”, Fuck Yeah Amazon, selbst wenn es so wäre, ihr seid in der verdammten Pflicht, ordentlich auf die Daten eurer Kunden aufzupassen.

Es sind schließlich nicht eure eigenen Daten, mit denen ihr so schlampig umgeht! Es sind unsere Daten. Die Daten eurer Kunden.

Und was wollt ihr mit “Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.” sagen? Das ist verdammt nochmal eure gesetzlich verankerte Pflicht!

Also: nicht erst den Betroffenen informieren, wenn die Presse das bereits getan hat!

Und dann auch noch zwei weitere Überwachungswanzen als “Wiedergutmachung” anbieten? Ja gehts noch?

E-Evidence – Europa importiert gerne Schrott

Na prima, da haben wir in Europa jetzt auch endlich unseren CLOUD Act.

Die europäische Herausgabeanordnung (E-Evidence-Verordnung) ist der Entwurf einer Verordnungssammlung der EU-Kommission zur Herausgabe elektronischer Beweismittel durch Cloud-Anbieter. Prinzipiell werden Internetkonzerne dadurch gezwungen, innerhalb von zehn Tagen (in dringenden Fällen innerhalb von sechs Stunden) den anfragenden Justiz- oder Ermittlungsbehörden elektronische Informationen über eine Person zu übermitteln. Hierbei handelt es sich unter anderem um Fotos, Videos, Zugangskennungen, Passwörter, E-Mails und sonstige (Chat-)Nachrichten.

Also einmal die komplette digitale Identität.

Und falls man als Internetkonzern nicht kooperiert, drohen Geldbußen bis zu 2% des weltweiten Jahresumsatzes – kennen wir ja so ähnlich von der DS-GVO, scheint sich zu einem Standard zu etablieren.

Aber so ein bisschen mehr digitale Totalüberwachung stört uns ja nicht – wir haben ja nichts zu verbergen.

Is’ mir übel.

Australien hat eine Hintertür

Eine? Achwas – Hintertüren überall!
Das australische Parlament hat die Assitance and Access Bill beschlossen. Damit müssen Softwarehersteller auf Ersuchen der Sicherheitsbehörden Hintertüren in ihren Produkten einbauen, um Zugang zu verschlüsselter Kommunikation und Dateien zu erhalten.

Dass dies eine selten dämliche Idee ist, fällt dem gesunden Menschen schon durch seinen Verstand ein: Haben durch eine solche Backdoor in einer Software natürlich nicht nur die Sicherheitsbehörden Zugriff auf Kommunikation und Daten – diese Hintertür steht dann auch Kriminellen offen…

Aber auch die australischen Softwarehersteller beklagen den Irrsinn dieses Gesetzes: Nicht nur werden sie zum Erfüllungsgehilfen einer wahnsinnigen Überwachunsmaschinerie, sondern bricht ihnen mit diesem Gesetz auch der internationale Softwaremarkt weg. Niemand klaren Verstandes wird jetzt noch Software Made in Australia kaufen – hat diese jetzt doch das Gütesiegel: “Mit Hintertür!”.

Anhang? Pfoten weg!

Advent – die Zeit der Vorfreude auf Geschenke.

Das kann aber auch mächtig nach hinten losgehen, denn nicht alles, was überraschend reinkommt, ist eine schöne Überraschung.

Momentan warnen BSI und das ZAC (Zentrale Anlaufstelle Cybercrime) des LKA Niedersachsen vor einer massiven Welle von Phishing-Mails mit einem fiesen Trojaner (Emotet) im Handgepäck.

Das perfide an dieser Welle ist die große Authentizität der Mails, die vermeintlich von Freunden, Kollegen oder Bekannten kommt.

Und was können wir tun?

Extrem vorsichtig sein, bei Mails mit Anhängen. Aber sowas von.
Prüfen, prüfen, prüfen.

Erstmal, stimmt der Absender?
Dann, erwarte ich überhaupt einen Anhang?
Und dann: Links anschauen – zeigen die dahin, wo ich erwarte, dass sie hinzeigen?

So – und wenn Zweifel herrschen: Nachfragen beim Absender. Auf einem anderen Kanal als auf diesem (also nicht auf die Mail antworten, bitte), vielleicht einfach anrufen.

Klingt paranoid, ist aber besser, als sich einen Banking-Trojaner wie Emotet einzufangen.

Wenn wir das beherzigen – dann können wir uns auch auf die Weihnachtsgeschenke freuen.

25.000 Gründe, die gegen Microsoft Office sprechen

Die Auswertung von Ereignissen in Software-Produkten ist sinnvoll und hilft mitunter auch dem Anwender (zumeist noch mehr dem Hersteller).

Das dieses Ansinnen aber auch häufig über das Ziel hinausschießen kann, hat jetzt eine niederländische Studie der Firma Privacy Company im Auftrag der niederländischen Regierung gezeigt.

In der Studie wurde gezeigt, dass Microsoft mit den Produkten Office 2016 und Office 365 bis zu 25.000 unterschiedliche Ereignistypen über die Nutzer ihrer Anwendungen sammelt. Heimlich.

Da der Anwender nicht in der Lage ist, diese heimliche Datensammlung zu unterbinden und da hier auch massiv personenbezogene Daten gesammelt werden, kommt Privacy Company in seiner Studie zu dem Schluss, dass Microsoft dramatisch gegen die DS-GVO verstößt.

Na, dann warten wir mal ab.

Und solange wir warten, hier mein Tipp:
Wechselt zu einer offenen und freien Büroanwendung, z.B. zu LibreOffice.

Digitalisierung – von der Politik instrumentalisiert

Digitalisierung hat für die Politik zumindest eine sichere Aufgabe: Aufmerksamkeit ezeugen.

So hat es Annegret Kramp-Karrenbauer jetzt genutzt, um sich mit Wunderversprechen der Digitalisierung im Gespräch zu halten.

“Unser Ziel muss sein, alle Verwaltungsvorgänge auch über das Smartphone erledigen zu können.”

Annegret Kramp-Karrenbauer, CDU

Das ist ja schon mal eine Hausnummer. Klingt für mich ein bissel nach Wahlen mit dem Smartphone. Fraglich ist, wie so etwas sicher gestaltet werden soll – wahrscheinlich mit der Blockchain…

Aber zum Thema Sicherheit des eGovernment äußerte sich Kramp-Karrenbauer in dem Interview mit der Rheinischen Post ebenfalls:

“[…] wir können Dokumente scannen und sicher verschicken.”

Annegret Kramp-Karrenbauer, CDU

Ist ja schon mal der Hammer. Unsere Regierung kann Dokumente scannen. Und sicher verschicken. Na prima – dann sind wir ja durch mit der Digitalisierung. Da ruf ich mir doch flugs ein Flugtaxi.

Himmel! Sicher verschicken? Wo denn? Hab ich noch nix von mitbekommen. Aber wahrscheinlich meint sie damit De-Mail. Das ist ja per Gesetz sicher.