Der CCC hat offensichtlich eine Kopie des Bundestrojaners bekommen und analysiert. Wobei der CCC anscheinend vermutet, es handelt sich um einen in Bayern eingesetzten Trojaner, zumindest legt der Name 0zaptis einen bayrischen Hintergrund nahe. Das wäre jetzt wenig überraschend, weil nach einem Prozess in Landshut bereits bekannt ist, dass das bayerische LKA mit Hilfe eines Trojaners unerlaubt Screenshots vom PC eines Verdächtigen gemacht hat. Der Bund, in Form des Zolls hat dabei wohl Amtshilfe beim Rechtsbruch geleistet.
Und wie erwartet ist der Trojaner schlecht programmiert, öffnet angreifbare Hintertüren und späht die grundrechtlich geschützte Privatspähre aus. Ich bin echt gespannt ob das diesmal in irgendeiner Form Konsequenzen für die Verbrecher in Uniform hat.
Artikel zum IT-Recht, insbesondere die zum Strafrecht sind für den Otto-Normalhacker recht spannend, wie Udo Vetter regelmäßig beweist. Und weil das anwaltliche Standesrecht bezüglich Werbung recht restriktiv ist gibt es inzwischen eine große Zahl bloggender Anwälte. Nicht alle sind jedoch IT-begriffstechnisch auf dem neuesten Stand.
Herr Hönig, der mit dem ehemaligen Polizeifahrzeug als Werbebus in Berlin, bloggt unter dem Titel „Der Exploid und die Quellen-TKÜ“ wie die Polizei vor Gericht das Abhören von Skype mit Hilfe der Quellen-TKÜ erläutert. Inhaltlich durchaus lesenswert. Nur das mit dem Exploit, das üben wir noch 🙂
… sind sie auch schon – geklaut. Ok, der hat auch schon einen Bart bis Meppen.
Aber man kann das leider gar nicht oft genug wiederholen. Oder wie Heise schreibt: US-Behörden können auf die Daten in den europäischen Rechenzentren US-amerikanischer Unternehmen zugreifen. Weil US-Recht das erlaubt. Unternehmen die mit diesem Wissen trotzdem personenbezogene Daten in so eine Cloud hochladen verstoßen damit gegen europäische Datenschutzgesetze, meint Thilo Weichert.
Also: Finger weg von amerikanischen Cloud-Anbietern.
„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Wenn man einen Apple Rechner aber von CD startet ohne das Passwort einzugeben, wurde die Zugangssicherung nicht überwunden (was strafbar wäre) sondern elegant umgangen, was bekanntlich nicht strafbar ist.
Sobald allerdings Festplattenverschlüsselung dazukommt, sieht es schon wieder ganz anders aus.
Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.
Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:
1. Kosten – Teil I
1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.
2. Kosten – Teil II
Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.
3. Rechtsfolgen
Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.
Eigentlich kann man nur hoffen, das folgende Aussage: „Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.“ aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.
Nachtrag/Korrektur:
Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.
So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Datenauch auf privaten Festplattenund Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nicht mal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.
Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.
Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so lässt sich auch prima arbeiten.
Thilo Weichert, der oberste Datenschützer des Landes Schleswig-Holstein und der wichtigste Datenschützer in Deutschland (weil der Bundesdatenschutzbeauftragte Peter Schaar leider nix reißt) hält die gängigen Cloud-Angebote mit dem geltenden Datenschutzrecht für nicht vereinbar.
Weichert: „Zwar spielen Integrität und Vertraulichkeit auf dem Cloud-Markt heute eine Rolle, doch für die Anwender bleibt die Cloud eine Black Box, die ihnen die Wahrnehmung ihrer Verantwortung unmöglich macht. Wer heute in einer Public Cloud Personendaten verarbeitet, handelt regelmäßig unverantwortlich und rechtswidrig.“
Ich gebe Thilo Weichert im Normalfall ja immer Recht, bei Cloud-Angeboten bin ich mir aber nicht sicher, ob er nicht über das Ziel hinausschießt. Ich persönlich sehe Cloud-Angebote wie ein Outsourcing. Ich nutze Dienste, die ein anderer betreibt. Das ist grundsätzlich erstmal nicht falsch oder böse sondern allein eine Gestaltung des Vertrags. Beispielsweise bieten Firmen wie Salesforce schon lange an, Kundenverwaltung auf deren Servern im Internet durchzuführen. Man spart sich so eine CRM-Software und kann auf umfangreiche Funktionen zugreifen. Und weil das modern ist, wird es heute halt als Cloud-Dienst beworben. Faktisch ist es Outsourcing. Amazon bietet sogar die Möglichkeit an, festzulegen in welchem Rechenzentrum die Daten gehostet werden sollen. Als Europäer kann ich mich dann für ein Rechenzentrum innerhalb der EU entscheiden und schon gilt wieder europäischer Datenschutz. Outsorcing an eine holländische Firma ist ja rechtlich auch kein Problem.
Interessant finde ich nur noch, dass Thilo Weichert kritisiert, „selbst in westlich demokratischen Staaten gebe es gesetzliche Regelungen zur Herausgabepflicht von Schlüsseln für behördlich geforderte Daten“. Damit sind offensichtlich Großbritannien und eventuell die USA gemeint. Gerade bei Großbritannien ließe sich aber eine einfache Lösung finden. Wie wäre es mit einer EU-Initiative zum Schutz persönlich verschlüsselter Daten. Einfach eine EU-Richtlinie die den Bürger vor Ausforschung schützt, indem verschlüsselte Daten nicht preisgegeben werden müssen. Aber da siegt dann wieder die Feigheit vor dem Feind weil eigentlich will das BKA genau diese gefährlichen Rechte auch in Deutschland.
US-Behörden haben den Verkauf von ICQ durch AOL an ein russisches Konsortium verhindert. Mit der Begründung, das würde die Verfolgung von Straftaten einschränken. Oder wie The Register schreibt:
„But ICQ is popular in Russia, the Czech Republic and Germany, especially among eastern European criminal gangs. One investigator said „Every bad guy known to man is on ICQ“, according to the Financial Times.“
Sehr schön 🙂
Die ICQ-Server stehen übrigens in Israel. Da haben also gleich mehrere Geheimdienste die Augen drauf.
Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.
Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M“Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.
Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.
Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.
Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.
Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entführt“ wurde und deshalb falsche Beweisdaten erhoben werden?
Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.
