Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.
Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:
1. Kosten - Teil I
1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.
2. Kosten - Teil II
Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.
3. Rechtsfolgen
Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.
Eigentlich kann man nur hoffen, das folgende Aussage: “Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.” aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.
Nachtrag/Korrektur:
Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.
So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Datenauch auf privaten Festplattenund Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nichtmal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.
Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.
Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so läßt sich auch prima arbeiten.
Thilo Weichert, der oberste Datenschützer des Landes Schleswig-Holstein und der wichtigste Datenschützer in Deutschland (weil der Bundesdatenschutzbeauftragte Peter Schaar leider nix reißt) hält die gängigen Cloud-Angebote mit dem geltenden Datenschutzrecht für nicht vereinbar.
Weichert: “Zwar spielen Integrität und Vertraulichkeit auf dem Cloud-Markt heute eine Rolle, doch für die Anwender bleibt die Cloud eine Black Box, die ihnen die Wahrnehmung ihrer Verantwortung unmöglich macht. Wer heute in einer Public Cloud Personendaten verarbeitet, handelt regelmäßig unverantwortlich und rechtswidrig.”
Ich gebe Thilo Weichert im Normalfall ja immer Recht, bei Cloud-Angeboten bin ich mir aber nicht sicher, ob er nicht über das Ziel hinausschießt. Ich persönlich sehe Cloud-Angebote wie ein Outsourcing. Ich nutze Dienste, die ein anderer betreibt. Das ist grundsätzlich erstmal nicht falsch oder böse sondern allein eine Gestaltung des Vertrags. Beispielsweise bieten Firmen wie Salesforce schon lange an, Kundenverwaltung auf deren Servern im Internet durchzuführen. Man spart sich so eine CRM-Software und kann auf umfangreiche Funktionen zugreifen. Und weil das modern ist, wird es heute halt als Cloud-Dienst beworden. Faktisch ist es Outsourcing. Amazon bietet sogar die Möglichkeit an, festzulegen in welchem Rechenzentrum die Daten gehostet werden sollen. Als Europäer kann ich mich dann für ein Rechenzentrum innerhalb der EU entscheiden und schon gilt wieder europäischer Datenschutz. Outsorcing an eine holländische Firma ist ja rechtlich auch kein Problem.
Interessant finde ich nur noch, dass Thilo Weichert kritisiert, “selbst in westlich demokratischen Staaten gebe es gesetzliche Regelungen zur Herausgabepflicht von Schlüsseln für behördlich geforderte Daten”. Damit sind offensichtlich Großbritannien und eventuell die USA gemeint. Gerade bei Großbritannien ließe sich aber eine einfache Lösung finden. Wie wäre es mit einer EU-Initiative zum Schutz persönlich verschlüsselter Daten. Einfach eine EU-Richtlinie die den Bürger vor Ausforschung schützt, indem verschlüsselte Daten nicht preisgegeben werden müssen. Aber da siegt dann wieder die Feigheit vor dem Feind weil eigentlich will das BKA genau diese gefährlichen Rechte auch in Deutschland.
US-Behörden haben den Verkauf von ICQ durch AOL an ein russisches Konsortium verhindert. Mit der Begründung, das würde die Verfolgung von Straftaten einschränken. Oder wie The Register schreibt:
“But ICQ is popular in Russia, the Czech Republic and Germany, especially among eastern European criminal gangs. One investigator said “Every bad guy known to man is on ICQ”, according to the Financial Times.”
Sehr schön
Die ICQ-Server stehen übrigens in Israel. Da haben also gleich mehrere Geheimdienste die Augen drauf.
Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, daß jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.
Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M”Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiterverteilt.
Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.
Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der paktistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.
Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.
Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider “entführt” wurde und deshalb falsche Beweisdaten erhoben werden?
Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.
Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:
1. No Disclosure
No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.
2. Responsible Disclosure
Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei “responsible” bekanntgegebenen Lücken sehr viel länger Zeit läßt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.
3. Full Disclosure
Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muß dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muß.
Heute muß man meiner Ansicht nach andere Kriterien anwenden:
1. Free Disclosure
Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.
2. Disclosure über einen Exploit Broker
Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter. ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.
3. Kommerzielle Exploit-Software
Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine “No more free bugs” Initiative.
Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.
Komplettausschluß aller Haftungsregeln in Software-Lizenzen ist unfair
In Großbritannien hat der High Court (also keine kleineAmtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.
Large-Scale Cyber-Attacks
Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.
UK will Big Brother (ein wenig) zurückfahren
Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erstmal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Ãœberwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden “wie in Deutschland” klingt eher wie eine Drohung als eine Verheissung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.
Three Strikes in Irland
Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der “abgestuften Erwiederung” eingerichtet. Die IRMA droht schon mal, Eircom “jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können”. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.
Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nachallemwasmanliest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.
Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.
Die Frage ist: glaubt irgendjemand, dass der Vorfall “versehentlich” erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?
Und zuletzt: Wo belügt uns Google eigentlich noch überall?
Nachtrag:
Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.
Nachtrag 2:
Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.
Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.
Der US-Bundesstaat Massachusetts hat ein neues Datenschutzgesetz erlassen. Das kann interessante Folgen haben, wenn es wirklich konsequent angewandt wird. Im Gesetzestext (PDF) stehen nämlich ein paar spannende Formulierungen:
“The provisions of this regulation apply to all persons that own or license personal information about a resident of the Commonwealth.”
Das bedeutet wie im amerikanischen Recht üblich, der Schutz gilt nur für Amerikaner und in diesem Fall auch Kanadier, Briten, Australier etc., also alle Commonwealth-Staaten. Nicht jedoch für Franzosen, Deutsche, Italiener, etc. Irgendwie haben es die Amerikaner generell nicht so mit universellen Rechten. Die meisten Schutzrechte gelten nicht für alle Menschen sondern nur für US-Bürger.
“Every person that owns or licenses personal information about a resident of the Commonwealth …”
Im BDSG gibt es die Beschränkung, dass z.B. ein Datenschutzbeauftragter erst notwendig ist, wenn eine Mindestzahl von Mitarbeitern mit der Datenverarbeitung betraut sind. Die Amis ziehen das glatt für jede Person durch. Notfalls also auch für Kinder und Jugendliche. Auch wenn es da Einschränkungen nach Wert der Daten und individuellen Möglichkeiten zum Schutz gibt.
“Encryption of all transmitted records and files containing personal information that will travel across public networks, and encryption of all data containing personal information to be transmitted wirelessly.”
Ok, soweit so gut. Was ist mit z.B. Telefonnummern oder Kontakten (persönliche Daten!) die ich per SMS verschicke? Zukünftig verboten? Gut, die Amis nutzen kein SMS, aber im Prinzip?
“Encryption of all personal information stored on laptops or other portable devices;”
Mein Telefon kann gar keine solche Verschlüsselung. Sind diese Geräte zukünftig verboten? Oder wird es demnächst viele neue leicht zu bedienende Verschlüsselungsgadgets geben? Oder passiert gar nichts?
Die Süddeutsche Zeitung hat einen schönen Artikel über das Profiling, das Google bei den eigenen Mitarbeitern durchführt. Ich empfehle, den zu lesen. Google mag sicher extrem sein, viele andere große Unternehmen setzen in Teilbereichen aber ähnliche Verfahren sein. Das ist einer der Gründe, warum ich mich von großen Konzernen bisher weitgehend ferngehalten habe. Sehr schön ist der letzte Satz:
“Fürsorglicher kann ein Unternehmen zu seinen Mitarbeitern kaum sein.”
