Archiv für die Kategorie „Datenschutz“

Den Hintern zeigen

Montag, 26. September 2011

Hide my ass!” nennt sich ein populärer Anbieter scheinbarer Anonymität im Internet. “Free web proxy, surf online anonymously, hide your IP address and protect your privacy” wird vollmundig auf den Webseiten versprochen. Dass die Benutzer bei “Hide my ass” dabei aber – wie bei den meisten anderen Anbietern auch – vor allem auf das Vertrauen in den Anbieter angewiesen sind, wurde heute einmal wieder deutlich.

Drei Usern, die das VPN-Angebot von hidemyass.com genutzt hatten, wurde vom FBI vorgeworfen, an illegalen Aktionen von Anonymous und LulzSec teilgenommen zu haben. Bei einem echten Anonymisierungsdienst würde die Geschichte an dieser Stelle enden, denn weitere Daten zur Identifizierung der User lägen dann nicht vor. Nicht so aber bei hidemyass.com. Dieser Anbieter protokolliert u.a., welcher User sich wann mit welcher IP-Adresse an- und abmeldet. Mit Hilfe dieser Informationen kann dann später genau nachvollzogen werden, welche Nutzer versucht haben, ihre Spuren zu verwischen. Anonymität sieht anders aus.

Immerhin weist der Anbieter in seinen Geschäftsbedingungen darauf hin, dass Username, E-Mail-Adresse, Passwort und IP-Adressen gespeichert werden (letztere zu Zwecken der Spamvermeidung sowie um Betrugs- und andere Missbrauchsfälle aufklären zu können). Weiterhin werden Daten nicht an jedermann herausgegeben – so zumindest der Anbieter – sondern, als britisches Unternehmen, nur nach Vorlage eines dort gültigen Gerichtsbeschlusses. Andernfalls, so hidemyass.com, bestünde die Gefahr, dass man abgeschaltet oder selbst gerichtlich verfolgt würde.

In Deutschland sieht die Situation (zumindest auf dem Papier) anders aus. Besitzt ein Anbieter keine Daten, so muss er auch keine Daten herausgeben. Er kann (zumindest ohne Vorratsdatenspeicherung) auch nicht gezwungen werden, Daten zu erheben, die er nicht benötigt. In einem Bericht auf Spiegel Online wird die für diesen Fall übermittelte Antwort kurz und bündig zitiert: “Leider liegen keine Daten vor.” Eigentlich wäre ein solches Verhalten nicht nur wünschenswert, sondern (wiederum: in Deutschland) sogar verpflichtend, denn § 13 Abs. 6 TMG schreibt vor, dass die “Nutzung von Telemedien und ihre Bezahlung” anonym oder unter Pseudonym zu ermöglichen ist, “soweit dies technisch möglich und zumutbar ist.”

Auch bei deutschen Anbietern stellt sich aber die gleiche Frage, die sich die drei User auch bei hidemyass.com hätten stellen müssen: Ist der Anbieter wirklich vertrauenswürdig? Wer garantiert, dass wirklich keine Daten gespeichert werden? Dies gilt umso mehr, als hidemyass.com kein Einzelfall ist. Bereits im Jahr 2007 kamen Zweifel bei einem anderen Anbieter auf, der angab, dass alle Mails automatisch bei ihm verschlüsselt würden, und so Dritten (und damit auch Strafverfolgungsbehörden) nicht zugänglich wären. Dieser scheinbar große Schutz, der ebenfalls alleine auf dem Vertrauen in den Anbieter basierte, wurde erschüttert, als dieser für ein Gerichtsverfahren den Klartext mehrerer E-Mails seiner User vorlegen konnte. Damit war klar, dass das scheinbar sichere Verschlüsselungsverfahren einen absichtlichen und heimlichen Zugang offen lies.

Um tatsächlich einen hohen Grad an Anonymität gewährleisten zu können, sind daher Angebote, bei denen sich der User auf einen einzelnen Anbieter und dessen Vertrauenswürdigkeit verlassen muss, untauglich. Stattdessen sollten Anonymisierungsnetzwerke genutzt werden, wie z.B. Tor oder Jondonym, die von Beginn an so konzipiert wurden, dass einer oder sogar mehrere Anbieter, die kollusiv zusammenarbeiten, um die Identität des Nutzers aufzudecken, noch keinen Schaden anrichten können. Erst wenn tatsächlich alle Anbieter eines solchen Netzwerks zusammenarbeiten, können Identität von Absender und Empfänger sowie die übermittelten Daten in Einklang gebracht werden. Bei derartigen Diensten stellt sich die Vertrauensfrage dann nur noch in bedeutend geringerem Maße als bei geschäftstüchtigen Einzelanbietern.

Typosquatting

Samstag, 10. September 2011

Wie häufig passiert es, dass man z.B. http://www.gogole.de eintippt, statt http://www.google.de? Derartige “Vertipper” kennt wahrscheinlich jeder. Bislang wurde dies vor allem von Firmen genutzt, die derartige Domains für sich registriert haben, um den darauf fehlgeleiteten Traffic für Werbeanzeigen zu nutzen und darüber Geld zu verdienen. Die Registrierung dieser “Vertipper”-Domains wird als “Typosquatting” bezeichnet.

Zwei Wissenschaftler haben nun derartige Domains für viele der sog. “Fortune 500 Companies”, also weltweit agierende, große Unternehmen registriert. Zweck war es allerdings nicht, Web-Traffic für Werbeanzeigen zu generieren, sondern gezielt fehlgeleitete E-Mails zu erfassen und auszuwerten. Nach sechs Monaten konnten sie knapp 20 Gigabyte Daten analysieren. Wenn man sich vor Augen führt, dass eine E-Mail üblicherweise nur wenige Kilobyte groß ist (ohne Attachments), dann kann man sich ausmalen, wie viel Datenverkehr ausgewertet werden konnte. Unter den – “abgefangen” ist hier wohl das falsche Wort – erhaltenen E-Mails befanden sich solche mit den Usernamen und Passwörtern von Angestellten, Details zur Netzwerkkonfiguration, Rechnungen und ähnliche Dokumente.

Details sind in einem Paper der beiden Wissenschaftler veröffentlicht worden. Danach waren etwa 30% der Fortune 500 Companies grundsätzlich für derartige Angriffe verwundbar. Bei ihren Recherchen fanden die Wissenschaftler zudem heraus, dass bereits einige Typo-Domains für große U.S.-Firmen von China aus registriert worden waren. Es liegt daher nahe anzunehmen, dass derartige Angriffe bereits gefahren werden.

Ein besonderes Risiko liegt hierbei vor allem darin, dass die Angriffe kaum bemerkt werden können, da kein Angriff auf die eigene Infrastruktur stattfindet. Es handelt sich also um rein passive Angriffe. Bei Vertippern in E-Mails wird meist lediglich eine Fehlermeldung empfangen, die kein weiteres Misstrauen hervorruft. Oder das Missgeschick wird aus einem Grund bemerkt kommentarlos durch den Absender korrigiert (indem die Mail an den richtigen Empfänger erneut gesendet wird). Besonders Firmen, die Subdomains nutzen (z.B. se.ibm.com für den schwedischen Teil der Firma IBM) scheinen verwundbar zu sein (etwa beim versehentlichen Weglassen des Punktes bei Registrierung von seibm.com). Von den 30 Domains, die durch die Wissenschaftler registriert wurden, bemerkte lediglich eine einzige Firma die Aktion und drohte mit einer gerichtlichen Verfolgung, falls die Domain nicht wieder freigegeben würde.

Aus Sicht der Wissenschaftler kommen vor allem zwei Möglichkeiten in Betracht, um derartige Angriffe zu verhindern. Zum einen können Firmen versuchen, mögliche Typo-Domains selbst zu registrieren. Dies wäre jedenfalls für die gängigen Vertipper möglich. Zum anderen kann der interne Netzwerkverkehr zu derartigen Domains auf der Ebene des Routers blockiert werden. Damit werden zwar keine externen Mails an die Doppelgänger-Domains blockiert, aber zumindest der interne Datenverkehr kann ausgefiltert werden.

Wardriving 2.0

Sonntag, 14. August 2011

Wardriving ist ein alter Hut. Bewaffnet mit einem Laptop und einem GPS-Empfänger fährt man im Auto durch die Gegend, um offene (und ggf. auch gesicherte) WLANs zu finden und auf einer Karte zu dokumentieren. Da man in einige Gegenden mit dem Auto entweder gar nicht oder nur sehr auffällig gelangt, kamen schon früh einige Aktivisten auf die Idee, das Auto gegen ein Flugzeug auszutauschen. Warflying nannte sich das dann. Nun gibt es eine weitere Steigerung: zwei Sicherheitsexperten haben Warflying mit einem IMSI-Catcher kombiniert – und das ausschließlich mit kostengünstig und frei erwerbbaren Teilen.

Ein IMSI-Catcher gibt sich gegenüber einem Handy als Basisstation aus, in die sich ein Mobiltelefon einbucht, wenn das Signal ausreichend stark ist. Auf diese Weise kann die International Mobile Subscriber Identity (IMSI) ausgelesen werden, mit der Teilnehmer eindeutig identifiziert werden können (daher der Name IMSI-Catcher) und z.B. der genaue Standort des Geräts ermittelt werden. Letztlich lässt sich auf diesem Weg auch ein Telefonat abhören, was einen IMSI-Catcher sowohl für Strafverfolgungsbehörden als auch grundsätzlich für Kriminelle (z.B. im Bereich der Wirtschaftsspionage) sehr interessant macht. Kommerzielle Geräte waren früher allerdings nur für sechsstellige Eurobeträge und mit besonderer Genehmigung erhältlich, was die Einsatzhäufigkeit drastisch reduziert hat. Inzwischen hat sich das Preisniveau zwar teilweise etwas entspannt, für weite Teile der Bevölkerung bleiben derartige Geräte aber dennoch unerschwinglich (und der Einsatz illegal).

Letztes Jahr sorgte daher ein IMSI-Catcher im Eigenbau für nur 1.500 EUR für großes Aufsehen. Da liegt es nahe, derartige Technik mit geeignetem Fluggerät zu kombinieren. Die Drohne, die Mike Tassey und Richard Perkins nach einem Bericht auf Golem (dort gibt es auch ein Video) nun gebaut haben, kommt mit 6.000 Dollar zwar etwas teurer als der Billig-Catcher alleine, ist dafür aber ausschließlich aus legal erwerbbaren Teilen zusammengebaut und erlaubt den Angriff auf Mobiltelefone aus der Luft. Die WASP (Wireless Aerial Surveillance Platform) getaufte Konstruktion soll sich nach Aussage der Entwickler “auch zum Guten einsetzen” lassen, zum Beispiel, um “das Mobilfunksignal einer vermissten Person aufzuspüren”. Ob dies tatsächlich der bevorzugte Einsatzzweck sein wird, wage ich zu bezweifeln.

Anonymität im Internet

Mittwoch, 10. August 2011

Politische Debatte

Die Debatte um die Anonymität im Internet ist (wieder einmal) entbrannt. Bereits vor einigen Jahren hatte Jörg Ziercke, seines Zeichens Präsident des Bundeskriminalamtes, auf einer Tagung festgestellt:

Verschlüsselung und Anonymisierung schaffen verfolgungsfreie Räume mit fatalen Folgen für die Innere Sicherheit, sowohl für die Strafverfolgung als auch für die Gefahrenabwehr.

Auf den gleichen Zug springt auch Innenminister Friedrich auf. Er erklärte kürzlich in einem Interview mit dem Spiegel:

Das Internet stellt uns vor ganz neue Herausforderungen. Die Grundsätze unserer Rechtsordnung müssen auch im Netz gelten. In der demokratischen Auseinandersetzung streiten wir mit offenem Visier auf Basis unserer verfassungsmäßigen Spielregeln. Warum sollte das im Internet anders sein? Ich weiß, dass mir das in der Netzgemeinde wüste Beschimpfungen einbringen wird, aber warum müssen Fjordman und andere anonyme Blogger ihre wahre Identität nicht offenbaren? Normalerweise stehen Menschen mit ihren Namen für etwas ein. Warum nicht auch ganz selbstverständlich im Internet?

Dies läuft ganz konform mit den früheren Forderungen von CDU-Politiker Axel Fischer, der 2010 ein “Vermummungsverbot im Internet” gefordert hatte:

Es kann nicht sein, dass sich viele Bürger in Foren oder anderen Einrichtungen des Netzes hinter selbstgewählten Pseudonymen verstecken und sich so vermeintlich jeglicher Verantwortung für Äußerungen und Verhalten entziehen.

Noch einen Schritt weiter geht der innenpolitische Sprecher der CDU/CSU-Bundestagsfraktion Hans-Peter Uhl, der “gravierende Nachteile” durch Anonymität im Internet beklagt:

Erst durch die Anonymität ist die Verbreitung von Kinderpornografie oder extremistischem Gedankengut in einem nie gekannten Ausmaß möglich.

Diese Debatte um Anonymität und Pseudonymität beschränkt sich aber nicht auf die Politik. Auch bei Google vollzieht sich offenbar gerade ein Paradigmenwechsel. Während der Konzern jahrelang betonte, dass kein Interesse an der Identität der Nutzer bestehe, wurde mit der Einführung von Google+ eine Kehrtwende vollzogen: Nunmehr dürfen ausschließlich Profilseiten unter dem realen Namen angelegt werden. Die Verhaltensrichtlinien weisen an: “Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden.” Seiten, die unter Pseudonym angelegt wurden, sind in der Vergangenheit bereits mehrfach gelöscht worden.

Bedeutung von Pseudonymen

Letztlich sind diese Forderungen zu kurz und vor allem nicht zu Ende gedacht. So kann man Fischer zwar zugeben, dass etwa in dem von ihm genannten Fall der wirtschaftlichen Betätigung im Netz in der Tat eine verlässliche Identifizierung sinnvoll erscheint, z.B. um Forderungen gegen einen Anbieter durchsetzen zu können. Dies ist aber nichts Neues und schon gar keine sinnvolle Forderung, denn: es ist bereits Gesetz. Alle Diensteanbieter müssen für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien gleich eine ganze Reihe von Informationen “leicht erkennbar, unmittelbar erreichbar und ständig verfügbar” halten (§ 5 TMG, § 55 RStV; hierzu näher Ott, Die Impressumspflicht). Ob darüber hinaus, wie von Fischer gefordert, der Nachweis mittels elektronischem Personalausweis oder auf andere Weise nachzuweisen ist, darüber kann man in der Tat diskutieren. Dies ist aber nur ein Randaspekt der Diskussion

Soweit aber Ziercke, Friedrich oder Fischer ernsthaft fordern, Pseudonyme oder gleich ganz die Anonymität im Internet abzuschaffen, übersehen sie zunächst die Bedeutung, die anonyme oder pseudonyme Handlungen für den Einzelnen haben können.  Bei Pseudonymen geht es nicht nur darum, seinen gewohnten Nickname nutzen zu können oder unerkannt Dritte zu ärgern oder schädigen zu wollen, wie dies von einigen Politikern meist impliziert wird. Vielmehr ist es ganz häufig ein Schutzgedanke, der Menschen dazu bringt, im Internet nur unter Pseudonym zu handeln. Dies kann der Schutz gegen Spammer, gegen automatisiert erstellte Persönlichkeitsprofile, gegen Stalker oder etwa vor neugierigen Arbeitgebern sein. Wer möchte schon gerne intime Fragestellungen vor der ganzen Welt diskutieren? In einigen Ländern kann eine Veröffentlichung unter echtem Namen zu langjährigen Haftstrafen oder sogar dem Tod führen.

Die Nutzung von Pseudonymen erlaubt es auch, dies lässt sich nicht leugnen, sich wie die berühmte “Axt im Walde” aufzuführen und Dinge zu tun, die man face-to-face gerade nicht tun würde. Vor allem erlauben Pseudonyme es aber, sich ungehindert über Fragen der Sexualität, Krankheiten oder Behinderungen sowie über politische Ansichten mit unbekannten Dritten auszutauschen, ohne hierfür sofort Konsequenzen im privaten oder beruflichen Umfeld fürchten zu müssen. Ein genereller Zwang zur Klarnamenpflicht würde daher weit über das gewünschte Ziel, Menschen in bestimmten Situationen identifizieren zu können, hinausgehen. Die Internetforscherin Danah Boyd kommt daher zu der deutlichen Schlussfolgerung:

“Der Zwang zu echten Namen ist eine autoritäre Ausübung von Macht gegenüber verletzlichen Menschen. Es steht das Recht der Menschen auf dem Spiel, sich selbst zu schützen”.

Vielleicht waren es diese Gedanken, die zumindest Innenminister Friedrich inzwischen dazu bewogen haben, seine Worte noch einmal neu interpretieren zu lassen. Es handele sich um ein “Missverständnis”, Friedrich habe doch lediglich für eine demokratische Streitkultur im Netz werben wollen, lässt eine Ministeriumssprecherin ausrichten. Auch der Minister sei “nach wie vor” der Ansicht, dass es auch im Internet Bereiche gebe, in denen Anonymität sinnvoll sei.

Mit dieser “Klarstellung” ist es aber nicht getan, denn auch der zweite Teil seiner Äußerung, der Vergleich zwischen Online- und Offlinewelt, hinkt.

Anonymität im Internet

Wenn Friedrich etwa meint, normalerweise stünden Menschen mit ihrem Namen für etwas ein und damit implizieren möchte, Anonymität sei üblicherweise die Ausnahme, Identifizierbarkeit hingegen die Regel, dann täuscht er sich dabei. Genau das Gegenteil ist der Fall.

Regelmäßig geht es allerdings gar nicht darum, wie offenbar von Friedrich befürchtet, etwas zu verheimlichen oder zu verstecken. Vielmehr spielt die Identität einer Person in vielen Fällen schlicht keine Rolle; sie ist bedeutungslos. So wären die meisten Menschen überrascht, wenn sie etwa vom Kassierer im Supermarkt aufgefordert würden, sich zunächst persönlich vorzustellen und ggf. sogar einen Personalausweis vorzustellen, bevor die auf das Förderband gelegten Waren bezahlt werden können. Vielmehr ist der anonyme Einkauf die Regel, der Austausch von Waren gegen Geld steht im Vordergrund, nicht die Identität der jeweils anderen Person. Viele weitere Motive für ein anonymes Auftreten lassen sich nennen (z.B. institutionalisierte Anonymität, etwa bei den Anonymen Alkoholikern, Schutz der Privatsphäre bis hin zum physischen Schutz, etwa bei Informanten im Bereich der organisierten Kriminalität). Auch Meinungsäußerungen finden nicht stets unter Namensnennung oder identifizierbar statt, z.B. bei Demonstrationen oder bei Leserbriefen, die – gerade bei kontroversen Themen – ohne Namensnennung erfolgen oder bei denen der volle Name nur der Redaktion bekannt ist.

Forderungen nach der Abschaffung der Anonymität im Internet (die sich zudem auch technisch und aufgrund der Internationalität des Netzes nicht ernsthaft durchsetzen ließe) lassen sich nur deshalb so leicht fordern, weil im Internet ohnehin vielen Daten anfallen, die sich für eine Identifizierung nutzen lassen (z.B. die IP-Adresse). Sowohl Kontrollmaßnahmen, wie die hier geforderte Identifizierungspflicht, als auch Ermittlungsmöglichkeiten (wie z.B. durch die Vorratsdatenspeicherung) lassen sich daher besonders leicht fordern und – einen entsprechenden politischen Willen vorausgesetzt – auch durchsetzen.

Gerade diese technisch bedingte grundsätzliche Rückverfolgbarkeit müsste jedoch eigentlich zum gegenteiligen Schluss führen: Notwendig wäre ein besonderer Schutz der o.g. sensiblen Meinungsäußerungen. Dieser kann aber nur dadurch erreicht werden, dass die stärkste Form des Datenschutzes zugelassen – oder besser: gefordert – wird: die Möglichkeit der vollständigen Anonymität.

UN-Bericht zu Websperren

Donnerstag, 16. Juni 2011

Nachdem bereits die G8 in ihrem Abschluss-Communiqué die Bedeutung des Internet betont haben, kommt auch ein Kommentar aus den Reihen der UN. Frank La Rue, seines Zeichens Sonderbeauftragter der UN für Meinungs- und Pressefreiheit, hatte vor einigen Wochen seinen Bericht zu diesen Rechten abgeliefert. Darin betont er vor allem die Bedeutung des Internet und kritisiert willkürliche und intransparente Filtermethoden. Wörtlich heißt es in seinem Bericht:

Unlike any other medium, the Internet enables individuals to seek, receive and impart information and ideas of all kinds instantaneously and inexpensively across national borders. By vastly expanding the capacity of individuals to enjoy their right to freedom of opinion and expression, which is an “enabler” of other human rights, the Internet boosts economic, social and political development, and contributes to the progress of humankind as a whole. In this regard, the Special Rapporteur encourages other Special Procedures mandate holders to engage on the issue of the Internet with respect to their particular mandates.

The Special Rapporteur emphasizes that there should be as little restriction as possible to the flow of information via the Internet, except in few, exceptional, and limited circumstances prescribed by international human rights law. He also stresses that the full guarantee of the right to freedom of expression must be the norm, and any limitation considered as an exception, and that this principle should never be reversed.

Gleichwohl ist La Rue der Auffassung, dass auch Filter- und Sperrmaßnahmen unter bestimmten Umständen gerechtfertigt sein können. Zu möglichen Sperrgründen zählt er (unter anderem) die Verbreitung von Kinderpornographie, weist in diesem Zusammenhang aber darauf hin, dass Staaten sich zu häufig alleine auf die Sperrmaßnahmen verlassen, statt sich auf die notwendige Strafverfolgung zu konzentrieren.

Deutlich ist der Report schließlich in Bezug auf die “Three-Strikes”-Ansätze, die gegenwärtig etwa in Frankreich oder England eingesetzt werden:

In addition, he is alarmed by proposals to disconnect users from Internet access if they violate intellectual property rights. This also includes legislation based on the concept of “graduated response”, which imposes a series of penalties on copyright infringers that could lead to suspension of Internet service, such as the so-called “threestrikes-law” in France and the Digital Economy Act 2010 of the United Kingdom.

Gerade vor dem Hintergrund dieser Äußerung verwundert es nicht, dass sich unter den 41 Nationen, die gemeinsam den Bericht zustimmend zur Kenntnis genommen haben, gerade die Länder Frankreich und das Vereinigte Königreich nicht befinden. Aber auch Deutschland hat die Erklärung nicht unterzeichnet, was eher verwundert. Netzpolitik.org hat hierzu gestern beim Auswärtigen Amt zu den Hintergründen angefragt, bislang aber noch keine Auskunft hierzu erhalten.

Keine privaten Geheimdienstspiele

Mittwoch, 8. Juni 2011

Nachrichtendienste nutzen – wenn man den einschlägigen Spielfilmen glauben darf – für Observationen gerne GPS-Sender, die heimlich am Mantel oder einem Auto angebracht werden. Auf diese Weise lässt sich die verdächtige Person bequem vom Rechner aus verfolgen, ohne dass man ihr auffällig hinterherlaufen bzw. -fahren müsste. Eine Entscheidung des LG Lüneburg (Beschluss vom 28.03.2011, Az. 26 Qs 45/11; offenbar bisher noch nicht online verfügbar) hat sich mit einem derartigen Fall datenschutzrechtlich näher befasst. Allerdings handelte es sich nicht um den Verfassungsschutz oder den BND, dem auf die Finger geklopft wurde, sondern um eine Detektei. Diese hatte im Auftrag eines Kunden einen GPS-Sender am Auto der Zielperson angebracht, um damit ein Bewegungsprofil zu erstellen. Hintergrund waren offenbar zivilrechtliche Vertragsverstöße, die mit Hilfe des Profils bewiesen werden sollten.

Als bei einem Werkstattbesuch der Sender durch den Autobesitzer entdeckt wurde, nahm das (Ermittlungs-) Verfahren seinen Lauf und der Sender wurde beschlagnahmt. Hiergegen wandte sich die Detektei. Die Beschwerde blieb allerdings erfolglos, denn nach Auffassung des LG Lüneburg bestand ein Anfangsverdacht wegen einer Straftat nach §§ 44 Abs. 1, 43 Abs. 2 Nr. 1 BDSG (unbefugte Erhebung und Verarbeitung nicht frei zugänglicher personenbezogener Daten). Zwar gestatte § 29 BDSG unter bestimmten Bedingungen eine geschäftsmäßige Speicherung von Daten. Hier sei aber davon auszugehen, dass der Betroffene ein schutzwürdiges Interesse daran habe, dass seine Daten nicht gespeichert würden. Das Recht auf informationelle Selbstbestimmung überwiege daher das geschäftliche Interesse der Detektei deutlich.

Wenn Strafverfolgungsbehörden eine solche GPS-Observation einsetzen möchten, so ist dies nur möglich, wenn eine “Straftat von erheblicher Bedeutung” im Raum steht, § 100h Abs. 1 Nr. 2 StPO, also solche Taten, die den Rechtsfrieden empfindlich stören und geeignet sind, das Sicherheitsgefühl der Bevölkerung nachdrücklich zu beeinträchtigen. Ein bloßer zivilrechtlicher Vertragsverstoß wäre hierfür nicht ausreichend. Vor diesem Hintergrund ist die Entscheidung sowohl nachzuvollziehen als auch zu begrüßen.

Glaubensbekenntnis

Sonntag, 29. Mai 2011

Erstmals haben sich die G8 in einem Abschluss-Communiqué ausdrücklich mit der Rolle des Internet beschäftigt. So heißt es bereits in der Präambel unter Ziff. 5:

We discussed new issues such as the Internet which are essential to our societies, economies and growth. For citizens, the Internet is a unique information and education tool, and thus helps to promote freedom, democracy and human rights. The Internet facilitates new forms of business and promotes efficiency, competitiveness, and economic growth. Governments, the private sector, users, and other stakeholders all have a role to play in creating an environment in which the Internet can flourish in a balanced manner. […]

Im Einzelnen wird die Bedeutung des Internet sowohl für Privatpersonen, die Wirtschaft als auch für Regierungen betont. Die Offenheit, Transparenz und Freiheit des Internet seien Kernfaktoren seiner Entwicklung und seines Erfolges, die weiter fortgeführt werden müssten. In diesem Zusammenhang wird auch die Rolle des Datenschutzes ausdrücklich betont, etwa in Ziff. II.10, wo es heißt:

Their implementation must be included in a broader framework: that of respect for the rule of law, human rights and fundamental freedoms, the protection of intellectual property rights, which inspire life in every democratic society for the benefit of all citizens. We strongly believe that freedom and security, transparency and respect for confidentiality, as well as the exercise of individual rights and responsibility have to be achieved simultaneously. Both the framework and principles must receive the same protection, with the same guarantees, on the Internet as everywhere else.

Gleichzeitig wird auch auf vermeintliche Schwachstellen eingegangen: Verstöße gegen das Geistige Eigentum (Ziff. II.15), Nutzung des Internet für Computerkriminalität und durch Terroristen (Ziff. II.17) sowie im Zusammenhang mit Menschenhandel und Kindesmissbrauch (Ziff. II.19). Hiergegen seien internationale Aktivitäten notwendig.

Spannend bleiben schließlich einige Passagen, die sich mit dem Zugang zum Internet befassen:

Arbitrary or indiscriminate censorship or restrictions on access to the Internet are inconsistent with States’ international obligations and are clearly unacceptable. Furthermore, they impede economic and social growth.

Wie sich dies mit den auch in Europa verbreiteten “Three Strikes”-Ansätzen oder den zum Teil fortschreitenden Bemühungen zur Sperrung von Internet-Inhalten vereinbaren lässt, bleibt abzuwarten.

Sicherheitslücken in höheren Sphären

Freitag, 1. April 2011

Datensicherheit betrifft längst nicht mehr nur Computer zu Hause oder in Firmen. Spätestens seit die Geschehnisse um Stuxnet publik geworden sind, ist klar, dass auch kritische Infrastruktur von vernetzten Computersystemen abhängig ist und eine Manipulation im Extremfall auch Menschenleben gefährden kann. Die Vernetzung macht selbst vor Kriegsschiffen und Krankenhäusern nicht halt. Insofern verwundert es nicht, dass nun bekannt wurde, dass auch bei der NASA einige “hochkritische” Sicherheitslücken entdeckt wurden. Betroffen sollen auch Server gewesen sein, die für die Kontrolle von Raumfahrzeugen zuständig sind. Weiterhin soll der Zugriff auf sicherheitsrelevante Daten möglich gewesen sein. Obwohl die Lücke bereits seit fast einem Jahr bekannt gewesen sein soll und es vor zwei Jahren Datenabzüge im zweistelligen GB-Bereich gegeben haben soll, fand ein echtes Security-Audit bis jetzt offenbar nicht statt. Möglicherweise ist es also nur eine Frage der Zeit, bis jemand von seinem PC aus mal direkte Grüße an die Astronauten schickt, oder das Weltraumteleskop Hubble neu ausrichtet. Beides wären eher die harmloseren Möglichkeiten…

Tschechien kippt ebenfalls

Donnerstag, 31. März 2011

Nachdem im letzten Monat ein Gericht auf Zypern die Vorratsdatenspeicherung gekippt hatte, kommt nun Tschechien als fünftes Land (neben Zypern sahen auch die Gerichte in Deutschland, Rumänien und Bulgarien die Vorratsdatenspeicherung so kritisch, dass sie dort jeweils für verfassungswidrig erklärt oder aus anderen Gründen ausgesetzt wurde) auf die Liste der Länder, in denen die Vorratsdatenspeicherung zwar eingeführt, nun aber aufgrund einer höchstgerichtlichen Entscheidung wieder ausgesetzt wurde.

Das tschechische Verfassungsgericht führte in seinem Urteil aus, dass die Vorratsdatenspeicherung gegen die Grundrechte auf Privatheit und informationelle Selbstbestimmung verstoße. In diesem Zusammenhang soll auch das deutsche Volkszählungsurteil zitiert worden sein. Zudem werde die Verhältnismäßigkeit der Mittel nicht gewahrt. Auch auf die zugrundeliegende EU-Richtline gingen die Richter ein, sie sei zu vage formuliert. Dennoch beschloss das Gericht, das nationale Gesetz nicht dem EuGH zur Prüfung vorzulegen.

Für die gegenwärtig bei der EU-Kommission laufende Evaluierung der Vorratsdatenspeicherungsrichtlinie bedeutet die größer werdende Anzahl von Ländern, in denen die Umsetzungsgesetze gekippt werden, einen stetig wachsenden Druck.

Zypern ist Nummer vier

Montag, 14. Februar 2011

Auch in Zypern hat der oberste Gerichtshof nun die Vorratsdatenspeicherung gekippt, das berichtete gestern netzpolitik.org. Nach Deutschland, Rumänien und Bulgarien ist Zypern bereits das vierte Land, in dem dies geschieht.

Ähnlich wie in Deutschland haben die Richter nicht die Speicherung an sich kritisiert, sondern lediglich den Zugriff. Bis zu einer neuen Regelung können die Vorratsdaten gegenwärtig nur noch genutzt werden, wenn Häftlinge oder laufende Insolvenzverfahren betroffen sind.

Der Europäische Gerichtshof war zwar schon einmal mit der Vorratsdatenspeicherung befasst, wollte damals aber nur über die (seiner Meinung nach richtige) Rechtsgrundlage entscheiden. Eine Aussage zur Vereinbarkeit mit der Europäischen Grundrechtecharta gab es bislang noch nicht. In mehreren anderen Ländern wird emsig darüber diskutiert, ob die Vorratsdatenspeicherung beibehalten werden soll, wiederum andere Länder haben sie – trotz bereits lange abgelaufener Umsetzungspflicht – noch immer nicht in nationales Recht überführt. Es dürfte daher interessant sein, wie der Bericht zur Evaluierung der Richtlinie ausfallen wird.