Archiv für die Kategorie „Datenschutz“

Alle 30 Sekunden ein Treffer

Montag, 31. Januar 2011

Es ist schon sehr kompliziert geworden in dieser Welt. Insbesondere, wenn man als Polizeibehörde eine technische Überwachungsmaßnahme schalten will oder als Richter(in) darüber zu befinden hat. So scheint es jedenfalls, wenn man sich eine aktuelle Entscheidung des LG Landshut (PDF) anschaut, die iiure.org vor ein paar Tagen veröffentlicht hat. Aber der Reihe nach.

Das AG Landshut hatte in einem BtMG-Fall “gemäß § 100a, b StPO” die Überwachung des Telekommunikationsverkehrs eines Beschuldigten angeordnet. Davon sollte nach Ansicht des unterzeichnenden Richters auch erfasst sein “die Überwachung und Aufzeichnung der […] verschlüsselten Telekommunikation sowie die Vornahme der hierzu erforderlichen Maßnahmen im Rahmen einer Fernsteuerung.” Dies sollte, so der Richter, die Erfassung von über https laufenden Webanfragen und von Skype-Sprachverkehr erlauben. Die Polizei installierte daraufhin unter anderem ein Programm, das im 30-Sekunden-Takt einen Screenshot, also ein Bildschirmfoto anfertigte. Das – so das LG – ist aber über eine Anordnung nach §§ 100a, 100b StPO nicht möglich. Es hat daher die Anfertigung von Screenshots als rechtswidrig erkannt, im übrigen die Maßnahmen aber für rechtmäßig befunden. Damit liegt es ganz auf der Linie der herrschenden Meinung.

Die StPO bietet mit den §§ 100a, b StPO in der Tat eine Rechtsgrundlage, um Telekommunikationsverbindungen aufzuzeichnen. In der Regel setzen diese beim Provider an. Bei verschlüsseltem Datenverkehr, etwa über https oder mit Programmen, die den Datenverkehr selbständig verschlüsseln, z.B. Skype, führt dies dazu, dass auch nur die verschlüsselt ausgetauschten Daten aufgezeichnet werden können. Mit anderen Worten: damit kann niemand etwas anfangen. International werden zu diesem Problem verschiedene Lösungen diskutiert, z.B. Täter zur Schlüsselherausgabe zu zwingen, nur schwache Kryptographie zuzulassen, die man mit ordentlich Rechenpower auch selbst wieder knacken kann, oder ganz einfach Verschlüsselung zu verbieten.

Deutschland hat sich für den technischen Weg entschieden. Mit Hilfe der Online-Durchsuchung kann heimlich – ähnlich wie bei einem Hacking-Angriff – auf den Rechner eines Verdächtigen zugegriffen werden. Dort kann sich die Polizei dann in aller Ruhe “virtuell” umsehen, Informationen sichern und – in bestimmten Fällen – sogar löschen. Das Bundesverfassungsgericht hat in seiner viel beachteten Entscheidung zur Online-Durchsuchung allerdings darauf hingewiesen, dass für derartige Maßnahmen eine eigene Rechtsgrundlage erforderlich ist. Eine solche existiert z.B. inzwischen mit § 20k BKAG für das Bundeskriminalamt oder mit Art. 34d BayPAG für die Bayerische Polizei. In Bayern sind die Voraussetzungen hierfür jedoch recht streng. Erforderlich ist z.B., dass eine dringende Gefahr besteht für Leib, Leben oder Freiheit einer Person. Zur Aufklärung eines Betäubungsmitteldelikts wäre der Einsatz unzulässig.

Neben der vollwertigen Online-Dursuchung gibt es noch die Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ. Hierbei wird ebenfalls in den Rechner eingedrungen. Allerdings wird nicht der Inhalt der Festplatte durchsucht, sondern es werden “nur” Kommunikationsinhalte mitgeschnitten – und zwar entweder bevor sie verschlüsselt den Rechner verlassen, oder nachdem sie auf dem Rechner angekommen und entschlüsselt wurden. Vereinfacht kann man sich vorstellen, der Trojaner (denn darum handelt es sich letztlich) würde die Signale am Mikrofon und an den Lautsprechern abschalten. Auch mit dieser Problematik hat sich das Bundesverfassungsgericht in der Entscheidung befasst. Es ist zu dem Schluss gekommen, dass eine Quellen-TKÜ nur dann ohne gesonderte Rechtsgrundlage möglich ist, wenn technisch sichergestellt ist, dass ausschließlich Kommunikationsinhalte erfasst werden können, nicht etwa – um beim Mikrofon-Beispiel zu bleiben – auch das Gespräch im Raum, das gar nicht für die Übertragung im Internet vorgesehen war. In diesem Fall sollen nach einer weit verbreiteten Ansicht §§ 100a, 100b StPO ausreichend sein. Gleichwohl gibt es mit § 20l BKAG oder dem vor wenigen Tagen in Kraft getretenen Bestimmungen in Rheinland-Pfalz auch explizite gesetzliche Regelungen hierzu. In Bayern fehlt eine Landesregelung bislang.

Das LKA hatte geschildert, dass sie einen modifizierten Skype-Client auf dem Rechner des Beschuldigten installiert hatten. Auf diese Weise ist sichergestellt, dass nur Kommunikationsinhalte, nämlich die mit Skype übertragenen VoIP-Informationen und Messages, abgefangen werden können, nicht auch sonstige Inhalte. Insoweit war die Entscheidung des LG also ganz richtig.

Die Screenshot-Funktion geht jedoch über das reine Abgreifen von verschlüsselten Telekommunikationsinhalten weit hinaus. Vielmehr – so führt das LG ganz richtig aus – erfasst sie Inhalte, die vor dem eigentlichen Telekommunikationsvorgang entstehen und möglicherweise so niemals den Rechner verlassen werden. Schließlich kann man eine E-Mail bis zum Abschicken noch beliebig verändern – oder sie sogar wieder ganz löschen. Hätte das LKA also eine derartige Screenshot-Funktionalität haben wollen, so wäre dies nur im Rahmen einer Online-Durchsuchung möglich gewesen, weil damit in das nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte “Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme” (vulgo: “Computergrundrecht”) eingegriffen wird. Zur Aufklärung von BtMG-Delikten ist das aber wie dargestellt nicht möglich.

Die Entscheidung des LG ist daher zu begrüßen. Verwunderlich ist allerdings, wie das LKA Bayern, das immerhin bereits seit mehreren Jahren über ein Kompetenzzentrum zur Telekommunikationsüberwachung verfügt, überhaupt auf die Idee kommen kann, eine derartige Maßnahme, die immerhin für jeden Einzelfall programmiert bzw. angepasst werden muss, einzusetzen. Auch dass ein Ermittlungsrichter den Vollzug der Maßnahme nicht sofort als rechtswidrig erkennt, sondern damit erst die nächste Instanz befasst werden muss, lässt für die nähere Zukunft nichts Gutes erwarten. Immerhin ist die Diskussion um die Online-Durchsuchung und die Einführung (und speziell in Bayern: anschließende Anpassung) von landesrechtlichen Vorschriften in diesem Bereich mit derart großen Presseberichten begleitet worden, dass niemand ernsthaft behaupten könnte, nicht ausreichend für die Problematik sensibilisiert gewesen zu sein.

Das Leben der Anderen

Montag, 13. Dezember 2010

Die immer weiter zunehmende Chat-Bereitschaft nicht nur über die Tastatur, sondern auch über die (meist in neueren Laptops schon eingebaute) Kamera gepaart mit günstigen Flatrates, die dazu führen, dass viele Computer 24/7 angeschaltet sind, bedeuten auch für ambitionierte Cyberkriminelle spannende Herausforderungen. In mehreren Fällen ist in der letzten Zeit über Täter berichtet worden, die über das Internet auf die Kamera ihrer Opfer zugegriffen haben und – wortwörtlich – so in Wohn- und Schlafzimmer eingedrungen sind. In einem Fall brüstete sich der Täter vor seinen Freunden, dass er umfangreiches Material, z.B. einer Teenagerin in Schuluniform, einer Mutter mit ihrem Neugeborenen im Krankenhaus sowie intimes sexuell einschlägiges Material auf diese Weise auf seinen Rechner gebracht habe.

In einem anderen Fall ging der Täter auf die gleiche Weise vor und sicherte sich vor allem Bilder, auf denen die ahnungslosen Opfer beim An- und Ausziehen zu sehen waren. Etwa drei Millionen Bilder wurden auf seinem Rechner später gefunden. Nachweislich war er in einem guten halben Jahr in fast 100 Rechner von Kindern und Erwachsenen eingedrungen.

Technisch waren sich beide Täter ähnlich. Sie hatten E-Mails verschickt, die einen Trojaner auf den Rechnern der Opfer implementierten. Neben einer ausgeprägten voyeuristischen Ader hatten beide zudem versucht, ihr Selbstwert- und Machtgefühl durch die Taten zu steigern. So konnte anhand der Chatlogs nachvollzogen werden, wie einer der beiden vor seinem Freund damit angab, ein 16 Jahre altes Mädchen sei in Tränen ausgebrochen, nachdem er begonnen habe, auf ihrem Bildschirm Wörter zu vertauschen – nachdem er sie bereits stundenlang beobachtet hatte.

Die Täter sind zu 22 Monaten auf Bewährung (nach deutschem Recht) bzw. 18 Monaten Haft (nach englischem Recht) verurteilt worden. Aufgeflogen waren beide allerdings aus gänzlich anderen Gründen: Während der englische Täter für mehrere Jahre unbehelligt seinem Hobby frönen konnte und lediglich seine sonstigen (ebenfalls cyber-) kriminellen Aktivitäten in einer Hacker-Gruppe Scotland Yard und finnische Behörden auf den Plan lief, fiel der deutsche Täter unmittelbar aufgrund seiner Webcam-Leidenschaft auf: Eines seiner Opfer hatte beim Besuch eines Datenschutzbeauftragten in der Schule darüber berichtet, dass die Kontroll-Leuchte der Webcam am Laptop ständig an sei. Im Rahmen der darauf folgenden Ermittlungen war der Trojaner aufgefallen und der Täter konnte kurz darauf verhaftet werden.

Mit Zaubertrank in die Arbeitslosigkeit

Mittwoch, 29. September 2010

Online-Spieler werden wesentlich besser beobachtet, als ihnen in vielen Fällen bekannt ist. Das ist das Ergebnis einer Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Die Betreiber der Spiele-Welten würden sich schon lange nicht mehr mit der Erfassung der Registrierungsdaten wie Username, Passwort und Auslaufdatum des Accounts begnügen. Vielmehr würden auch Zahlungsdaten, Ausstattung des PCs und vor allem das Spielverhalten protokolliert. Damit, so eine Befürchtung, könnten in Zukunft ganz neue Geschäftsmodelle möglich werden. So könnten z.B. Spieler, die bereits an einfachen Gegnern scheitern, sich ständig verlaufen und viel Geld für Heiltränke verschwendeten in der internen Datenbank als “motorisch schwach, orientierungslos und verschwenderisch” eingestuft werden. Dies wiederum könnte dazu führen, dass vermehrt Werbung für Medikamente mit konzentrationsfördernden Wirkstoffen eingeblendet wird. Sollten diese Daten zudem Headhuntern zugänglich gemacht werden, so könnte es zukünftig für diese Spieler schwerer werden, sich erfolgreich um einen Job zu bemühen.

Während das letztgenannte Beispiel noch reine Gedankenspielerei ist, droht die Grenze zwischen Spiele- und echter Welt für viele Datenschützer schon tatsächlich zu verschwimmen. Dies hängt damit zusammen, dass viele Spiele neben der reinen Entertainment-Komponente zunehmen auch Elemente von sozialen Netzwerken einsetzen. So können Nutzer untereinander kommunizieren, Freundeslisten anlegen und sich auch in der Spielewelt für echte Treffen außerhalb verabreden. Auch diese Daten werden von den Herstellern erfasst und verarbeitet, wobei dies meist intransparent für die Spieler abläuft. Die alte Maxime des Bundesverfassungsgerichts, dass jeder Nutzer stets wissen müsse, wer welche Informationen über ihn gespeichert habe, sieht damit in der digitalen Realität ein weiteres Mal ganz anders aus. Viele Spielehersteller hätten allerdings im Dialog mit dem ULD gezeigt, dass große Unsicherheiten bestünden, welche Regelungen eigentlich für sie Anwendung finden und wie diese in der Praxis umgesetzt werden müssen. Das ULD hat darauf reagiert und neben der Studie auch einen kostenlosen Leitfaden veröffentlicht.

Ein Wort mit “x”?

Montag, 27. September 2010

“Das war wohl nix” möchte man laut ausrufen. Die “Cyber Security Challenge” soll in Großbritannien neue Talente für den Cyberkrieg rekrutieren helfen. Durch einige spielerischen Herausforderungen sollen die Fähigkeiten der Bewerber überprüft werden, um auf diese Weise geeignete Kandidaten zu finden. Da sieht es natürlich gar nicht schön aus, wenn die Veranstalter selber in den abgefragten Disziplinen patzen.

Per E-Mail sollten alle Bewerber die neue Aufgabe zum Thema IT-Forensik erhalten. Viele Teilnehmer müssen verwundert gewesen sein, als sie im Kopie-Feld der Mail die Adressen der fast 400 anderen Bewerber sehen konnten. Dass dies gegen die für den Wettbewerb festgelegten Datenschutzvorschriften verstieß, ist angesichts des Image-Schadens dann schon beinahe unwichtig.

Der Grund für das Debakel konnte immerhin schnell aufgeklärt werden: menschliches Versagen. Ein Mitarbeiter hatte wohl schlicht die Felder “cc” (Kopie) und “bcc” (Blindkopie) im Mailclient verwechselt.

Die Nadel im Heuhaufen

Sonntag, 26. September 2010

Haystack war ein Programm, das iranischen Dissidenten ermöglichen sollte, unkontrolliert über das Internet zu kommunizieren. Anders als andere Programme sollte es verdächtige Anfragen so verschleiern, dass es für die Zensoren so aussieht, als ob lediglich unverdächtige Webseiten angesurft würden. In der Masse der unverdächtigen Anfragen sollten verdächtige Kommunikationsinhalte einfach untergehen – wie die sprichwörtliche Nadel im Heuhaufen.

Das Programm war von Beginn an in der Presse hochgejubelt worden. Der Guardian hatte den Direktor des Censorship Research Center Austian Heap, der für die Entwicklung maßgeblich verantwortlich zeichnete, zum Beispiel zum Erfinder des Jahres gekürt. Das Programm wurde als “Schlüsseltechnologie” beschworen. Auch Newsweek, die BBC, Forbes und viele andere lobten das Programm in den Himmel, obwohl es noch gar nicht offiziell verfügbar war. Selbst die amerikanische Regierung gab an, das Programm werde dem freien Datenfluss in und aus dem Iran helfen. Auch Heap selbst war begeistert und lobte sein Programm in höchsten Tönen: “Es ist absolut sicher für die Anwender, so dass die Regierung ihnen nicht mehr nachschnüffeln kann.”

Damit ist es nun (wohl) vorbei. Ein wesentliches Problem von Haystack war von Beginn an, dass es nicht öffentlich verfügbar gemacht wurde. Lediglich eine kleine Gruppe von Testnutzern, darunter auch iranische Dissidenten, hatte das Programm erhalten, um es auszuprobieren. Im Hinblick auf die Gefahren für die Beteiligten ist solche operative Sicherheit durchaus verständlich. Dies gilt allerdings nicht für den Code der Software selbst. Insbesondere bei sicherheitsrelevanter Software ist der Ansatz “security by obscurity” schon seit Ewigkeiten überholt. Nur Programme und Algorithmen, die von der weltweiten Community ausgiebig getestet wurden und bei denen von unabhängigen Experten keine Sicherheitslöcher oder sonstigen Probleme gefunden werden können, gelten gemeinhin als ausreichend sicher. Bereits bei der Testgruppe gab es allerdings Probleme, denn das Programm kam nicht durch die Firewall.

Bei diesem Problem blieb es aber nicht. Als die ersten Sicherheitsexperten Zugriff auf die Software hatten, häufte sich die öffentliche Kritik. Besonders drastisch drückte sich Jacob Appelbaum, einer der Entwickler des Tor-Netzes aus. Er habe das Programm zusammen mit ein paar Freunden an einem Nachmittag (“und das ziemlich verkatert”) auseinandergenommen und sei danach zu einem eindeutigen Ergebnis gekommen:

Haystack is the worst piece of software I have ever had the displeasure of ripping apart.

Nicht nur sei das Programm besonders schlecht, es sei auch so konzipiert, dass selbst nach dem Abschalten des Haystack Services Nutzer, die das Programm weiterhin laufen ließen in extreme Gefahr gerieten, von den iranischen Zensurbehörden erkannt zu werden. Es sei unverantwortlich von den Programmierern, diese ungetestete Version ausgerechnet gefährdeten Iranern in die Hände zu geben. Auch die Medien hätten eine unrühmliche Rolle gespielt, indem sie ein quasi nicht-existentes Programm ungeprüft in den Himmel gelobt hätten. Appelbaum wollten zum gegenwärtigen Zeitpunkt keine weiteren Details über die von ihm gefundenen Schwachstellen öffentlich bekannt machen, denn dies könnte dazu führen, dass die iranische Regierung sehr schnell und automatisiert Nutzer von Haystack identifizieren könnte.

Heap versucht hingegen, sein Vorgehen zu rechtfertigen. Alle Testnutzer (bis auf einen) seien über die Risiken informiert gewesen. Gleichwohl habe er die Konsequenzen gezogen und den Service abgeschaltet. Bis auf die Testgruppe sei es nicht mehr zugänglich. Appelbaum widerspricht dem und weist darauf hin, dass das Programm über diverse Webseiten, darunter auch die von Heap selbst, nach wie vor abrufbar sei.

Das Debakel hat inzwischen weitere Kreise gezogen, denn der Chef-Programmierer von Haystack hat inzwischen seinen Hut genommen. Dies habe er nicht getan, weil das Programm so schlecht bewertet worden sei: “It is as bad as Appelbaum makes it out to be”. Vielmehr habe er das Programm aber bisher immer als eine Test-Version behandelt, die niemals für eine öffentliche Verbreitung vorgesehen gewesen sei. Hierüber habe er auch mit Heap gestritten. Wegen dieser unverantwortlichen Handlungsweise, bei der ein Hype über die Sicherheit gestellt worden sei, sehe er sich nicht mehr weiter in der Lage, am Projekt mitzuarbeiten.

Appelbaum misst dem Projekt zum gegenwärtigen Zeitpunkt kaum mehr Chancen bei. Es gebe zwar “definitiv” Möglichkeiten für steganographische Protokolle. Er habe aber “null Vertrauen”, dass es das Haystack-Team jemals schaffen könne: “Wenn Scharlatane Versprechungen machen, dann sollte man ihnen nicht vertrauen.”

Abhörmöglichkeiten bei Skype

Sonntag, 5. September 2010

Für eine lange Zeit galt Skype als das Kommunikationsmittel der Wahl, wenn sichergestellt werden sollte, dass die Inhalte Strafverfolgungsbehörden nicht zur Verfügung stehen. Die hinter Skype stehende Technik wurde als Geschäftsgeheimnis gehütet, die Verschlüsselungsalgorithmen waren – zumindest in der Öffentlichkeit – nicht bekannt und angeblich biss sich selbst die mächtige NSA die Zähne aus bei dem Versuch, Gespräche über Skype abzuhören.

In der letzten Zeit mehren sich nun die Anzeichen, dass es damit – wenn es denn je in vollem Umfang so gewesen sein sollte – vorbei ist. Bereits im Jahr 2007 äußerte sich der Chief Security Officer von Skype Kurt Sauer in einem Interview sehr diffus, wie es um die Abhörmöglichkeiten von Skype bestellt sei:

Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werde Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Zumindest auf die Frage, ob Skype Regierungen, Behörden oder  Unternehmen “Mittel” zur Verfügung stellt, um Skype-Gespräche abzuhören, kam eine klare Antwort: “Nein, das tun wir nicht”. Ob diese Antwort angesichts der wohl modifizierten Skype-Clients in China in dieser Absolutheit richtig war, kann man zumindest in Frage stellen. Auch die Vorgänge um die Kritik sowie die ausdrückliche Rücknahme dieser Kritik durch Eurojust deuten eher darauf, dass die Gespräche nicht (mehr) so rigoros geschützt sind, wie dies früher durchweg dargestellt wurde.

Selbst wenn Skype nicht seine Verschlüsselungsalgorithmen gegenüber Behörden offengelegt haben sollte, gibt es mit der Quellen-TKÜ inzwischen technische Möglichkeiten, verschlüsselte Gesprächsinhalte unabhängig von einer Kooperationsbereitschaft des Anbieters zu erlangen. In diesem Fall werden die Inhalte auf dem Rechner eines Gesprächspartners abgegriffen und nicht erst beim Access-Provider. Sollte Skype z.B. einen modifizierten Client zur Verfügung stellen, der die Gesprächsinhalte zeitgleich (unverschlüsselt) an einen Polizeirechner weiterleitet, so würde dies erklären, warum einige ausländische Ermittlungsbehörden schon früh offen zugeben konnten, dass sie in der Lage seien, Skypegespräche abzuhören obwohl Details zur Skype-Verschlüsselung nach wie vor unbekannt waren.

Auch in Deutschland scheint das Abhören seit geraumer Zeit zu funktionieren, wie Udo Vetter vom Lawblog berichtete: In einem Gerichtsverfahren gab ein Zollbeamter unumwunden zu, dass seine Behörde Skypegespräche ebenso abhören könne, wie normale Telefonate. Zur verwendeten Technik machte auch er allerdings keine Angaben. Auch die Richterin in diesem Verfahren bestätigte, sie habe in neueren Akten bereits Skype-Abhörprotokolle gesehen. Nachdem vor einiger Zeit Informationen zum eingesetzten Krypto-Verfahren von Skype an die Öffentlichkeit gerieten (viel AES-256, RC4 und sogar DH-384) ist es wohl nur noch eine Frage der Zeit, bis nähere Details bekannt werden. Spannend wird dann vor allem die Frage sein, wie viel Aufwand eine Abhöraktion bereitet – und damit indirekt die Abschätzung, in wie vielen Fällen Skype-Telefonate in der Praxis abgehört werden. Sollte es tatsächlich nur per Quellen-TKÜ möglich sein, dürften derartige Maßnahmen erste einmal noch die Ausnahme sein, da der Aufwand für eine Quellen-TKÜ recht hoch ist. Würde hingegen ein freundliches Fax reichen, dann sähe dies sicherlich anders aus.

Virtuelle Freunde

Donnerstag, 29. Juli 2010

Freundschaften auf sozialen Netzwerken sind schnell geschlossen. Insbesondere, wenn der neue “Freund” mit mehreren der im wirklichen Leben guten Bekannten bereits virtuell verbandelt ist. Diese Tatsache machte sich der Security Consultant Thomas Ryan für ein Experiment zu nutze, das jetzt die Washington Times in einem interessanten Artikel nachgezeichnet hat.

Ryan erfand Robin Sage, eine Analystin für Cyberbedrohungen und erstellte in ihrem Namen eine Facebookseite, Twitter-Account und weitere virtuelle Präsenzen. Die notwendigen Fotos entnahm er einschlägigen Amateur-Pornowebsites. Anschließend wurden systematisch Online-Freundschaften geschlossen, insbesondere zu Angehörigen des Militärs und einschlägiger amerikanischer Sicherheitsbehörden sowie zu hochrangigen Angestellten von militärischen Ausrüstungsfirmen. Im weiteren Verlauf ging es der virtuellen Robin Sage darum, Informationen zu erhalten, welche die befreundeten Kreise aufgrund der virtuellen Freundschaft auch bereitwillig lieferten. Hierzu gehörten z.B. Fotos von Patrouillen aus Krisengebieten (inkl. eingebetteter GPS-Koordinaten im EXIF-Profil), private Details, z.B. Heimatadressen und Fotografien naher Familienangehöriger und viele weitere vertrauliche Informationen, die in der Folge social engineering Angriffe auf Dritte ermöglicht hätten.

Gerade die berufliche Erfahrung der Getäuschten hätte es ihnen leichtmachen müssen, die Tarnung zu erkennen. So gab Sage vor, 10 Jahre Erfahrung als Analystin zu haben, was bedeuten würde, dass sie bereits mit 15 Jahren eingestiegen wäre. Auch die Positionsbezeichnung auf ihrer Webseite existiert in der realen Behörde nicht. Der Name schließlich entstammt einer jährlichen Militärübung, was sich durch eine kurze Google Suche hätte herausfinden lassen. Einige der Kontaktierten kamen dann der Täuschung auch sehr schnell auf die Schliche. Allerdings gab (und gibt) es offenbar keine Möglichkeit, derartige Aktivitäten Angehörigen anderer Einrichtungen schnell und unkompliziert mitzuteilen und sie so zu warnen.

Während Ryan sein Experiment als “red team” Aktivität einschätzt, um die Sicherheit zu überprüfen, gab es in der Vergangenheit auch schon derartige Angriffe, um aktiv Informationen zu erlangen. So war etwa die Hisbollah auf die gleiche Weise an Informationen des israelischen Militärs gelangt. Über das Profil einer (erdachten) “Reut Zuckerman” konnte innerhalb kurzer Zeit Verbindungen zu über 200 aktiven Militärangehörigen und Reservisten aufgebaut werden. Auf diese Weise war es möglich, Informationen über die Aktivitäten bestimmter Einheiten, Namen und Zugehörigkeit zu Abteilungen, den einschlägigen Slang sowie Bildmaterial zu gewinnen.

Freunde Online

Mittwoch, 21. Juli 2010

Facebooks Tool Friendfinder ermöglicht es, E-Mail und Handy-Adressbücher durchsuchen zu lassen, um schnell herauszufinden, ob Freunde bereits auf Facebook mit einem Account vertreten sind, oder – falls dies noch nicht der Fall ist – sie unkompliziert einzuladen. Diese Praxis ist Datenschützern ein Dorn im Auge, denn dabei werden Daten auch von Nichtnutzern ohne deren Einwilligung erhoben und zu Vermarktungszwecken genutzt. Hamburgs Datenschutzbeauftragter Johannes Caspar hat daher nun ein Bußgeldverfahren gegen Facebook eingeleitet.

Zwar hätten auch andere soziale Netzwerke ähnliche Funktionen im Angebot, aber diese führen nach Ansicht von Caspar nicht dazu, dass Informationen dauerhaft abgelegt würden. Auch die weitere Nutzung dieser Informationen steht in der Kritik:

"Die Kontaktvorschläge, die Facebook in den Freundschaftseinladungen unterbreitet, geben durchaus Anlass zu der Vermutung, dass die aus den Adressbüchern der Nutzer erhobenen Daten auch zur Erstellung von Beziehungsprofilen von Nichtnutzern dienen."

Facebook hat nun bis zum 11. August Zeit, die Vorwürfe juristisch zu erwidern. Sollte das Bußgeldverfahren weitergeführt werden, drohen Strafen von bis zu 300.000 Euro.

Das Online-Leben von Kindern Jugendlichen

Dienstag, 6. Juli 2010

Cyberbullying, also das Mobbing mit Hilfe des Internet, ist nach wie vor ein Problem. Dies belegt eine Studie von McAfee zum Online-Verhalten von Jugendlichen, bei der über 1.300 amerikanische Jugendliche zwischen 10 und 17 Jahren befragt worden waren. 14% der Befragten gaben darin zu, in derartigen Aktivitäten involviert gewesen zu sein. Diese Zahlen decken sich mit der letzten Studie aus dem Jahr 2008. Jeder Zweite kannte zumindest eine andere Person, die bereits Opfer eines solchen Angriffs geworden ist. Gleichwohl gab nur ein knappes Drittel zu, selbst von Cyberbullying betroffen gewesen zu sein. Das Dunkelfeld in diesem Kriminalitätsfeld dürfte daher eher hoch einzuschätzen sein.

Bedenklich sind auch die weiteren Angaben zum Kommunikationsverhalten. 12% der Befragten gaben zum Beispiel an, online Personen, die sie selbst in der Offline-Welt nicht kannten, bedenkenlos ihre Handynummer gegeben zu haben. 18% gaben ihnen Zugang zu persönlichen Fotos und 24% auch die E-Mail-Adresse. Über zwei Drittel gaben ihren physikalischen Aufenthaltsort preis. Insgesamt ließen sich 28% der Befragten auf Gespräche mit Fremden ein. Der Anteil der Mädchen war dabei deutlich höher als der der Jungen (24% vs. 32%). Derartige Kontakte werden dann in einigen Fällen ausgenutzt, um den Kontakt aus der Online- in die Offline-Welt zu überführen.

Online-Löschung

Samstag, 3. Juli 2010

Vor geraumer Zeit hatten Wissenschaftler gezeigt, wie leicht sich Handy-Nutzer dazu anleiten lassen, beliebige Apps – und damit möglicherweise auch Schadcode – auf ihren Geräten zu installieren. Google holte jetzt zum Gegenschlag aus und entfernte derartige Applikationen nicht nur aus dem Google Markt, sondern auch gleich per Remote-Funktion von allen Smartphones, auf denen derartige Software noch installiert war. Dies ist möglich über eine Fernwartungsfunktion, die in Android integriert ist.

Während Google argumentiert, die Fernwartungsfunktion sei notwendig, um notfalls in kurzer Zeit eine Ausbreitung von Schadsoftware zu verhindern, erscheint es bedenklich, dass damit Applikationen ohne Zutun des Nutzers vom Handy entfernt werden können (zumindest erhält der Anwender eine Nachricht auf dem Telefon über die durchgeführte Aktion). Allerdings steht Google nicht alleine da: Bereits früher hatte Amazon mit Hilfe einer derartigen Funktion eBooks von Kindle-Geräten gelöscht, weil der Vermarkter nicht über die notwendigen Lizenzrechte besaß (was für einen Aufschrei in der Öffentlichkeit sorgte und dazu führte, dass Amazon beteuerte, zukünftig auf derartige Maßnahmen zu verzichten). Auch Apple soll beim iPhone über die Möglichkeit verfügen, remote bereits installierte Anwendungen nachträglich wieder zu löschen.

Noch bedenklicher erscheint es allerdings, dass – zumindest bei Google – auch die Option gibt, Programme ohne Zutun des Anwenders auf seinem Gerät remote zu installieren. Gelingt es einem Angreifer, die hierfür vorgesehenen Sicherheitsmaßnahmen – zum Beispiel über eine Man-in-the-Middle-Attacke – zu überwinden, so könnte etwa Malware heimlich aufgespielt werden. Auch weitere Schadmaßnahmen sind ohne weiteres denkbar.