Archiv für die Kategorie „Ausland“

Digitale Strafen

Samstag, 10. Dezember 2011

Dass Handlungen im Cyberspace sehr reale Strafen nach sich ziehen können (z.B. Geld- oder Gefängnisstrafen), dürfte inzwischen auch dem letzten Computerstraftäter klar sein – auch wenn die Täter (zum Teil zu Recht) davon ausgehen, dass die Chancen, entdeckt zu werden, in der Regel recht gering sind. In England wird jetzt über weitere Strafmaßnahmen nachgedacht.

In der UK Cyber Security Strategy wird u.a. ausgeführt, dass Richter in England ermutigt werden sollen, zukünftig bei online begangenen Straftaten (neben den regulären Strafen) verstärkt auch Online-Sanktionen zu verhängen. Hierzu gehören z.B. die Überwachung oder Einschränkung des Internetverkehrs nach der Haftentlassung, etwa um zu verhindern, dass eBay-Betrüger Online-Auktionen nutzen oder dass Cyber-Stalker zum Schutz der Allgemeinheit nur eingeschränkten Internetzugang erhalten. Diese Maßnahmen sind bereits nach geltendem britischen Recht möglich.

Darüber hinaus sollen zukünftig so genannte “cyber-tags” eingeführt werden. Darunter versteht die Regierung offenbar bestimmte Verhaltensweisen einer verurteilten Person im Internet, die Indikator dafür sein sollen, dass diese sich nicht an die gerichtlich vorgegebenen Verhaltensweisen hält (z.B.: ein verurteilter Betrüger stellt erneut Artikel auf eBay ein, obwohl der Richter dies untersagt hat). In diesem Fall soll automatisch die Polizei oder der Bewährungshelfer informiert werden. The Register spekuliert diesbezüglich schon über Twitter- und Facebook-Verbote für einschlägige Täter.

England hatte bereits im Jahr 2010 mit der Three-Strikes-Regelung als eines der ersten Länder Online-Sanktionen eingeführt. Das Three-Strikes-Modell erlaubt es, den Internet-Zugang mehrfach ertappter Urheberrechtsverletzer zu sperren oder die Bandbreite zu drosseln, um auf diese Weise künftige Taten zu unterbinden. Auch in Frankreich gibt es seit 2009 ein derartiges Verfahren. Angeblich droht dort momentan 60 Nutzern die letzte Stufe dieses Verfahrens.

Betrachtet man die Geschwindigkeit, mit der gefordert wurde, die englischen und französischen “Innovationen” (trotz aller Kritik) auch auf Deutschland zu übertragen, so dürfte es nicht lange dauern, bis auch hierzulande die ersten Forderungen nach “Online-Sanktionen” laut werden.

Sinnvoller erscheinen da die Begleitmaßnahmen, die nach der Cyber Security Strategie ebenfalls geplant sind. So sind etwa allgemeine Informationskampagnen vorgesehen, mit der grundlegende Sicherheitsmaßnahmen der breiten Bevölkerung und in der Privatwirtschaft vermittelt werden sollen. Nach Auffassung der britischen Regierung sollen sich so bis zu 80% der gegenwärtig begangenen Online-Taten verhindern lassen:

Because prevention is key, we will work to raise awareness and to educate and empower people and firms to protect themselves online. 80% or more of currently successful attacks exploit weakness that can be avoided by following simple best practice, such as updating anti-malware software regulary.

Hierfür sollen auch soziale Netzwerke eingesetzt werden, um auf diesem Weg schnell große Teile der Bevölkerung über erkannte Gefahren aus dem Internet (z.B. Betrugsmaschen) informieren zu können.

Im Übrigen spricht sich das Vereinigte Königreich an mehreren Stellen seiner (auch sonst durchaus lesenswerten) Cyber Security Strategie dafür aus, aktiv die Cybercrime-Konvention des Europarates zu unterstützen und deren weitere Verbreitung zu fördern. Insbesondere das 24/7-Netzwerk, das eine schnelle transnationale Kontaktaufnahmen bei Cybercrime-Fällen erlauben soll, wird hervorgehoben.

UN-Bericht zu Websperren

Donnerstag, 16. Juni 2011

Nachdem bereits die G8 in ihrem Abschluss-Communiqué die Bedeutung des Internet betont haben, kommt auch ein Kommentar aus den Reihen der UN. Frank La Rue, seines Zeichens Sonderbeauftragter der UN für Meinungs- und Pressefreiheit, hatte vor einigen Wochen seinen Bericht zu diesen Rechten abgeliefert. Darin betont er vor allem die Bedeutung des Internet und kritisiert willkürliche und intransparente Filtermethoden. Wörtlich heißt es in seinem Bericht:

Unlike any other medium, the Internet enables individuals to seek, receive and impart information and ideas of all kinds instantaneously and inexpensively across national borders. By vastly expanding the capacity of individuals to enjoy their right to freedom of opinion and expression, which is an “enabler” of other human rights, the Internet boosts economic, social and political development, and contributes to the progress of humankind as a whole. In this regard, the Special Rapporteur encourages other Special Procedures mandate holders to engage on the issue of the Internet with respect to their particular mandates.

The Special Rapporteur emphasizes that there should be as little restriction as possible to the flow of information via the Internet, except in few, exceptional, and limited circumstances prescribed by international human rights law. He also stresses that the full guarantee of the right to freedom of expression must be the norm, and any limitation considered as an exception, and that this principle should never be reversed.

Gleichwohl ist La Rue der Auffassung, dass auch Filter- und Sperrmaßnahmen unter bestimmten Umständen gerechtfertigt sein können. Zu möglichen Sperrgründen zählt er (unter anderem) die Verbreitung von Kinderpornographie, weist in diesem Zusammenhang aber darauf hin, dass Staaten sich zu häufig alleine auf die Sperrmaßnahmen verlassen, statt sich auf die notwendige Strafverfolgung zu konzentrieren.

Deutlich ist der Report schließlich in Bezug auf die “Three-Strikes”-Ansätze, die gegenwärtig etwa in Frankreich oder England eingesetzt werden:

In addition, he is alarmed by proposals to disconnect users from Internet access if they violate intellectual property rights. This also includes legislation based on the concept of “graduated response”, which imposes a series of penalties on copyright infringers that could lead to suspension of Internet service, such as the so-called “threestrikes-law” in France and the Digital Economy Act 2010 of the United Kingdom.

Gerade vor dem Hintergrund dieser Äußerung verwundert es nicht, dass sich unter den 41 Nationen, die gemeinsam den Bericht zustimmend zur Kenntnis genommen haben, gerade die Länder Frankreich und das Vereinigte Königreich nicht befinden. Aber auch Deutschland hat die Erklärung nicht unterzeichnet, was eher verwundert. Netzpolitik.org hat hierzu gestern beim Auswärtigen Amt zu den Hintergründen angefragt, bislang aber noch keine Auskunft hierzu erhalten.

Sicherheitslücken in höheren Sphären

Freitag, 1. April 2011

Datensicherheit betrifft längst nicht mehr nur Computer zu Hause oder in Firmen. Spätestens seit die Geschehnisse um Stuxnet publik geworden sind, ist klar, dass auch kritische Infrastruktur von vernetzten Computersystemen abhängig ist und eine Manipulation im Extremfall auch Menschenleben gefährden kann. Die Vernetzung macht selbst vor Kriegsschiffen und Krankenhäusern nicht halt. Insofern verwundert es nicht, dass nun bekannt wurde, dass auch bei der NASA einige “hochkritische” Sicherheitslücken entdeckt wurden. Betroffen sollen auch Server gewesen sein, die für die Kontrolle von Raumfahrzeugen zuständig sind. Weiterhin soll der Zugriff auf sicherheitsrelevante Daten möglich gewesen sein. Obwohl die Lücke bereits seit fast einem Jahr bekannt gewesen sein soll und es vor zwei Jahren Datenabzüge im zweistelligen GB-Bereich gegeben haben soll, fand ein echtes Security-Audit bis jetzt offenbar nicht statt. Möglicherweise ist es also nur eine Frage der Zeit, bis jemand von seinem PC aus mal direkte Grüße an die Astronauten schickt, oder das Weltraumteleskop Hubble neu ausrichtet. Beides wären eher die harmloseren Möglichkeiten…

Tschechien kippt ebenfalls

Donnerstag, 31. März 2011

Nachdem im letzten Monat ein Gericht auf Zypern die Vorratsdatenspeicherung gekippt hatte, kommt nun Tschechien als fünftes Land (neben Zypern sahen auch die Gerichte in Deutschland, Rumänien und Bulgarien die Vorratsdatenspeicherung so kritisch, dass sie dort jeweils für verfassungswidrig erklärt oder aus anderen Gründen ausgesetzt wurde) auf die Liste der Länder, in denen die Vorratsdatenspeicherung zwar eingeführt, nun aber aufgrund einer höchstgerichtlichen Entscheidung wieder ausgesetzt wurde.

Das tschechische Verfassungsgericht führte in seinem Urteil aus, dass die Vorratsdatenspeicherung gegen die Grundrechte auf Privatheit und informationelle Selbstbestimmung verstoße. In diesem Zusammenhang soll auch das deutsche Volkszählungsurteil zitiert worden sein. Zudem werde die Verhältnismäßigkeit der Mittel nicht gewahrt. Auch auf die zugrundeliegende EU-Richtline gingen die Richter ein, sie sei zu vage formuliert. Dennoch beschloss das Gericht, das nationale Gesetz nicht dem EuGH zur Prüfung vorzulegen.

Für die gegenwärtig bei der EU-Kommission laufende Evaluierung der Vorratsdatenspeicherungsrichtlinie bedeutet die größer werdende Anzahl von Ländern, in denen die Umsetzungsgesetze gekippt werden, einen stetig wachsenden Druck.

Kein Anschluss unter dieser Adresse

Freitag, 3. Dezember 2010

Die US-amerikanische Immigration and Customs Enforcement (ICE) fährt neuerdings einen recht radikalen Kurs und beschlagnahmt offenbar Domainnamen ohne jede vorherige Warnung oder Ankündigung. Nach mehreren übereinstimmenden Berichten ist etwa die Website http://torrent-finder.com einer der ersten Sites gewesen, die der Aktion zum Opfer gefallen sind. Insgesamt 75 Sites sollen in einer ersten Welle abgeschaltet worden sein. Wer versucht, eine der URLs einzugeben, erhält lediglich einen Hinweis auf den Beschlagnahmebeschluss und Abschnitte des US-amerikanischen Bundesrechts.

Brisant an der Aktion ist – neben der Tatsache, dass offenbar kein vorheriger Kontaktversuch zu den Betroffenen erfolgt ist – insbesondere die Auslegung der Rechtsgrundlage durch die ICE. Danach sind Beschlagnahmen von Domains wegen Copyrightvergehen und Handel mit gefälschten Waren möglich. Zumindest im Fall des oben erwähnten Torrent-Finder würden diese Tatbestände – jedenfalls nach Angaben der Betreiber – nicht einschlägig sein, da die Site selbst keine urheberrechtlich geschützten Werke und nicht einmal direkte Links anbietet. Stattdessen handelt es sich eher um eine Metasuchmaschine für andere Angebote.

Kritisch wird ebenfalls die mögliche zukünftige Entwicklung der ICE-Aktionen gesehen. Alex Jones fragt sich beispielsweise, ob demnächst auch Google geschlossen wird – schließlich wird in den Suchmaschinenergebnissen ebenfalls auf copyrightgeschütztes Material verlinkt. Andere Sites sind in der Vergangenheit schon geschlossen worden, weil lediglich Nutzer in den Kommentaren der Site Filesharing-Websites verlinkt hatten; da drängt sich ein Vorgehen gegen Suchmaschinenanbieter fast schon auf.

Technisch ist die Abschaltung offenbar durch eine Umstellung der DNS-Einträge erfolgt. Der Torrent-Finder ist daher schon nach kurzer Zeit wieder unter einer neuen Adresse erreichbar gewesen. Wie lange die ICE-Aktionen bei den anderen Seiten von Erfolg gekrönt sein wird ist daher lediglich eine Frage der Zeit.

Der Unterschied zwischen Löschen und Sperren

Mittwoch, 6. Oktober 2010

Golem berichtet über eine aktuelle Untersuchung des “Arbeitskreises gegen Internetsperren und Zensur”, die zusammen mit anderen europäischen Bürgerrechtsorganisationen durchgeführt wurde. Mit der Untersuchung sollte überprüft werden, in welchem Verhältnis Sperr- und Löschaktivitäten bei kinderpornographischen Angeboten in Großbritannien, Schweden und Dänemark stehen.

Die Ergebnisse erinnern an die Zahlen, die auch schon bei früheren Untersuchungen durch Netzaktivisten Zweifel am Sinn von Sperrmaßnahmen hervorriefen:

  • Von 167 aktuellen Sperreinträgen in Dänemark enthielten gegenwärtig nur (noch?) drei Seiten tatsächliche Abbildungen von Kindesmissbräuchen.
  • 92 Websites – und damit weit über die Hälfte der auf der skandinavischen Sperrliste eingetragenen – waren in der Zwischenzeit bereits gelöscht worden und damit überhaupt nicht mehr zugänglich.

Die an der Untersuchung beteiligten Organisationen konnten zudem zeigen, welche Folgen eine einfache E-Mail entfalten kann. Zwei der oben erwähnten Webseiten mit kinderpornographischen Darstellungen wurden in den USA gehostet und befanden sich schon seit dem Jahr 2008 auf der dänischen Sperrliste. Mit einer einfachen E-Mail wurden die Provider auf die Natur der bei ihnen abrufbaren Inhalte hingewiesen. 30 Minuten später waren beide Webseiten gelöscht. Die dritte Webseite verschwand innerhalb weniger Stunden, nachdem die Domain von der zuständigen (in diesem Fall indischen) Domainvergabestelle abgeschaltet worden war.

Vera Bunse vom AK Zensur fasst das Ergebnis des Versuchs prägnant zusammen. Für die Politiker und Behörden, die Sperrmaßnahmen propagieren gelte offenbar das Motto “Verstecken statt Verfolgen”.

Die Nadel im Heuhaufen

Sonntag, 26. September 2010

Haystack war ein Programm, das iranischen Dissidenten ermöglichen sollte, unkontrolliert über das Internet zu kommunizieren. Anders als andere Programme sollte es verdächtige Anfragen so verschleiern, dass es für die Zensoren so aussieht, als ob lediglich unverdächtige Webseiten angesurft würden. In der Masse der unverdächtigen Anfragen sollten verdächtige Kommunikationsinhalte einfach untergehen – wie die sprichwörtliche Nadel im Heuhaufen.

Das Programm war von Beginn an in der Presse hochgejubelt worden. Der Guardian hatte den Direktor des Censorship Research Center Austian Heap, der für die Entwicklung maßgeblich verantwortlich zeichnete, zum Beispiel zum Erfinder des Jahres gekürt. Das Programm wurde als “Schlüsseltechnologie” beschworen. Auch Newsweek, die BBC, Forbes und viele andere lobten das Programm in den Himmel, obwohl es noch gar nicht offiziell verfügbar war. Selbst die amerikanische Regierung gab an, das Programm werde dem freien Datenfluss in und aus dem Iran helfen. Auch Heap selbst war begeistert und lobte sein Programm in höchsten Tönen: “Es ist absolut sicher für die Anwender, so dass die Regierung ihnen nicht mehr nachschnüffeln kann.”

Damit ist es nun (wohl) vorbei. Ein wesentliches Problem von Haystack war von Beginn an, dass es nicht öffentlich verfügbar gemacht wurde. Lediglich eine kleine Gruppe von Testnutzern, darunter auch iranische Dissidenten, hatte das Programm erhalten, um es auszuprobieren. Im Hinblick auf die Gefahren für die Beteiligten ist solche operative Sicherheit durchaus verständlich. Dies gilt allerdings nicht für den Code der Software selbst. Insbesondere bei sicherheitsrelevanter Software ist der Ansatz “security by obscurity” schon seit Ewigkeiten überholt. Nur Programme und Algorithmen, die von der weltweiten Community ausgiebig getestet wurden und bei denen von unabhängigen Experten keine Sicherheitslöcher oder sonstigen Probleme gefunden werden können, gelten gemeinhin als ausreichend sicher. Bereits bei der Testgruppe gab es allerdings Probleme, denn das Programm kam nicht durch die Firewall.

Bei diesem Problem blieb es aber nicht. Als die ersten Sicherheitsexperten Zugriff auf die Software hatten, häufte sich die öffentliche Kritik. Besonders drastisch drückte sich Jacob Appelbaum, einer der Entwickler des Tor-Netzes aus. Er habe das Programm zusammen mit ein paar Freunden an einem Nachmittag (“und das ziemlich verkatert”) auseinandergenommen und sei danach zu einem eindeutigen Ergebnis gekommen:

Haystack is the worst piece of software I have ever had the displeasure of ripping apart.

Nicht nur sei das Programm besonders schlecht, es sei auch so konzipiert, dass selbst nach dem Abschalten des Haystack Services Nutzer, die das Programm weiterhin laufen ließen in extreme Gefahr gerieten, von den iranischen Zensurbehörden erkannt zu werden. Es sei unverantwortlich von den Programmierern, diese ungetestete Version ausgerechnet gefährdeten Iranern in die Hände zu geben. Auch die Medien hätten eine unrühmliche Rolle gespielt, indem sie ein quasi nicht-existentes Programm ungeprüft in den Himmel gelobt hätten. Appelbaum wollten zum gegenwärtigen Zeitpunkt keine weiteren Details über die von ihm gefundenen Schwachstellen öffentlich bekannt machen, denn dies könnte dazu führen, dass die iranische Regierung sehr schnell und automatisiert Nutzer von Haystack identifizieren könnte.

Heap versucht hingegen, sein Vorgehen zu rechtfertigen. Alle Testnutzer (bis auf einen) seien über die Risiken informiert gewesen. Gleichwohl habe er die Konsequenzen gezogen und den Service abgeschaltet. Bis auf die Testgruppe sei es nicht mehr zugänglich. Appelbaum widerspricht dem und weist darauf hin, dass das Programm über diverse Webseiten, darunter auch die von Heap selbst, nach wie vor abrufbar sei.

Das Debakel hat inzwischen weitere Kreise gezogen, denn der Chef-Programmierer von Haystack hat inzwischen seinen Hut genommen. Dies habe er nicht getan, weil das Programm so schlecht bewertet worden sei: “It is as bad as Appelbaum makes it out to be”. Vielmehr habe er das Programm aber bisher immer als eine Test-Version behandelt, die niemals für eine öffentliche Verbreitung vorgesehen gewesen sei. Hierüber habe er auch mit Heap gestritten. Wegen dieser unverantwortlichen Handlungsweise, bei der ein Hype über die Sicherheit gestellt worden sei, sehe er sich nicht mehr weiter in der Lage, am Projekt mitzuarbeiten.

Appelbaum misst dem Projekt zum gegenwärtigen Zeitpunkt kaum mehr Chancen bei. Es gebe zwar “definitiv” Möglichkeiten für steganographische Protokolle. Er habe aber “null Vertrauen”, dass es das Haystack-Team jemals schaffen könne: “Wenn Scharlatane Versprechungen machen, dann sollte man ihnen nicht vertrauen.”

Auch die Armee ist verwundbar

Dienstag, 14. September 2010

Über die Bedeutung von Cyberkriegen wird viel diskutiert. Insbesondere zwei Problemkomplexe tauchen dabei immer wieder auf, die sich auch in einem aktuellen Beitrag auf Heise Online wiederfinden.

Zum einen geht es um die Frage der Verwundbarkeit und welche Ziele ein Angreifer (sei es ein anderer Staats oder auch eine Gruppe von Terroristen) elektronisch attackieren könnte. Zumindest der erste Punkt ist jetzt um einen Erfahrungsbericht aus der Schweiz reicher. Das “Eidgenössische Departement des Äußeren” (EDA) sei “mit Erfolg” aus dem Internet angegriffen worden. Den unbekannten Tätern sei es dabei gelungen, Daten aus dem internen Kommunikationsnetzwerken zu stehen. Der Schweizer Armeechef André Blattmann wird in diesem Zusammenhang mit den Worten zitiert

Wir würden an unserem Lebensnerv getroffen, wenn die Codes zur Auslösung unserer Waffensysteme in die falschen Hände geraten würden.

Dem mag man noch entgegenhalten, dass es vielleicht keine gute Idee ist, Zugriffcodes für Waffensysteme in einem an das Internet angeschlossenen Systeme zu speichern. Gerade für sensible Systeme gilt nach wie vor der Grundsatz, dass nur ein “Airgapping”, d.h. das Unterlassen physischer Verbindungen zwischen einem internen und einem externen Netzwerk, sicherstellen kann, dass es zu keinen erfolgreichen Angriffen aus dem Internet kommen kann.

Der zweite Aspekt, der gerade die militärischen Überlegungen immer wieder antreibt ist die Frage, wie man sich gegen einen Cyberangriff wehren kann. Es geht dabei weniger um die Frage, ob ein Land in der Lage ist, ebenfalls erfolgreich Cyber-Vergeltungsschläge auszuführen oder das System, von dem der Angriff ausgeht, elektronisch abzuschalten. Vielmehr ist die entscheidende Frage, ob dieses System tatsächlich der Angreifer ist, oder ob der eigentliche Täter nur geschickt seine Spuren so gelegt hat, dass sich zwei Nationen gegenseitig beschießen. Der Fall von Estland hat recht eindrucksvoll gezeigt, wie leicht man so etwas provozieren könnte.

Im gleichen Heise-Artikel wird auch ein im US-Verteidigungsministerium diskutiertes Konzept angesprochen, was unter dem Stichwort Active Defense diskutiert wird und schlicht die Beweislast versucht umzukehren. Kann ein Cyber-Angriff auf ein bestimmtes Land zurückgeführt werden, so “muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern.” Sofern das Land hierzu nicht in der Lage ist, so wird “seine Unfähigkeit als feindlicher Akt” interpretiert. Ein Angriff soll dann zulässig sein. Gerade im Fall von Estland war jedoch deutlich erkennbar, dass Russland sich schlicht nicht herablassen wollte, von seinem kleinen Nachbarn unter Druck setzen zu lassen.  Ein solches Vorgehen ließe sich dann durch einen geschickt handelnden Täter ausnutzen, um weitere staatliche Spannungen zu interpretieren. Es verwundert daher kaum, dass die Antwort auf die Frage des US-Senats an Keith Alexander, den Oberkommandeur des US-Cybercommand, wie er mit derartigen Fällen umzugehen gedenke, als geheim eingestuft wurde.

Stromversorgung und das Internet

Montag, 21. Juni 2010

Die (später als einfache technische Panne identifizierten) massiven Stromausfälle im Jahr 2003 an der Ostküste der USA haben der Welt die Verwundbarkeit vernetzter Industrieanlagen vor Augen geführt. Nach einer Studie der North American Electric Reliability Corp. (NERC) liegen im Jahr 2010 die drei größten Bedrohungen für das U.S. Stromnetz in Cyberangriffen, Pandemien und elektromagnetischen Störungen.

Anzumerken ist an dieser Stelle, dass es bei den Ausfällen im Jahr 2003 zwar zu massiven (insbesondere finanziellen) Schäden kam, z.B. durch ausgefallene Flüge, öffentlichen Nahverkehr u.v.m., eine oft befürchtete Panik blieb jedoch glücklicherweise aus. Die Auswirkungen eines solchen Ausfalls mit terroristischem Hintergrund sind damit immer noch eine Unbekannte. In methodischer Hinsicht ist die Studie kritisiert worden, da andere Risiken nicht ausreichend berücksichtigt worden seien. Einen interessanten Einblick die diese Gefährdungsbereich kann die Studie aber in jedem Fall liefern.

Virtuelle Demonstrationen

Donnerstag, 17. Juni 2010

Als deutsche Gerichte erstmals über eine virtuelle Demonstration (gegen die Lufthansa) im Jahr 2001 entscheiden mussten, war dies in jeder Hinsicht echtes technisches und juristisches Neuland. Inzwischen sind die Techniken weiterentwickelt worden, wie das Blog Future Crimes berichtet. Um die Demonstrationsverbote zum Massaker am Tiananmen Square am 4. Juni 1989 zu umgehen, sind die Teilnehmer nun vermehrt auf den Location Based Service FourSquare ausgewichen.

Der chinesischen Regierung ist dies nicht verborgen geblieben. Der Dienst ist offenbar nun in ganz China auf die Zensurliste geraten und kann nicht mehr aufgerufen werden.