Wir sind die Bürgerinnen und Bürger [Update]
Zum nächsten ArtikelUnter dem Titel Wir sind die Bürgerinnen und Bürger werden Unterschriften gesammelt. Der Text dort klingt eigentlich ganz nett, hat aber einen sehr entscheidenden Haken:
Jeder Urheber und jede Urheberin soll selbst entscheiden können, was mit dem eigenen Werk passieren soll – und was nicht.
FAZ vergleicht Ponader (Politischer Geschäftsführer der PIRATEN) mit Adolf Hitler [Update]
Unter dem Titel Ein Stück in vier Akten beschäftigt sich Frank Lübberding in einem Feuilleton-Artikel mit dem Auftritt von Johanns Ponader, dem politischen Geschäftsführer der Piratenpartei, bei Günther Jauch. Neben einer Beschreibung des Verlaufs der Diskussionsrunde gibt es aber auch einige, die mich aufhorchen lassen. Denn wenn mich nicht alles täuscht versucht Lübberding mit ihnen, Ponader mit Adolf Hitler zu vergleichen.
Das neue Gesicht der Piraten wird jetzt in einem Einspieler vorgestellt. Er stammt aus München. Abiturdurchschnitt Eins-Null. Studium mit einem Stipendium für Hochbegabte. Den Handstand kann er auch. Er nennt sich „Gesellschaftskünstler“. Hier seien Beruf und Privatleben nicht zu trennen. Schon einmal gehört? Aus Wien? Von einem Postkartenmaler? Manche Menschen spüren halt die Berufung, für was auch immer.
Das Pad
Hiermit schenke ich der Welt das Pad. Möge sie etwas sinnvolles damit anfangen. :)
Bundesparteitag Neumünster: Freie Musik für freie Menschen
Als ich gestern Abend meinen Koffer für den Bundesparteitag 2012.1 gepackt habe, habe ich im Keller spontan auch noch das Tisch-Roll-Up des Musikpiraten e.V. eingepackt. Seitdem wurde es gefühlt hundert Mal fotographiert.
Kreative vs. Piraten. Heute: Westbam und Paul van Dyk
Im Rahmen der Kampagne gegen die Pläne der Piratenpartei, das Urheberrecht zu modernisieren, haben sich das erste mal zwei Künstler kritisch zu Wort "gemeldet", die ich sehr schätze: Wesbam und Paul van Dyk. Ich habe unzählige Stunden zu Musik der beiden getanzt. Mal standen sie hinter den Plattentellern, mal legten andere ihre Musik auf.
51 Autoren!
). Was mich aber seitdem rumtreibt, ist, dass es mindestens 51 (!) Autoren für Tatort gibt! Wie oft soll denn der immer gleiche Krimi von unterschiedlichen Autoren noch geschrieben werden? Das sind 51 vom öffentlichen Rundfunk bezahlte Autoren, augestattet mit einer exklusiven Kulturflatrate sozusagen, die sich da aufregen. Fragt sich wirklich, wie viele Autoren es für andere Sendungen im Schnitt so gibt...Handy Spielzeug bei Amazon
Mein Sohnemann telefoniert gerne. Zur Not auch mit dem MP4-Player... Aber auf Dauer ist das nicht das wahre, also suchte ich bei Amazon.de nach handy spielzeug. 1.311 Ergebnisse, von denen der zweite ziemlich genau das ist, was mir vorschwebte. Auf Seite zwei der Suchtreffer wird es dann - speziell.
10 Gründe für den fahrscheinlosen Nahverkehr auch im Rhein-Main-Gebiet
1. Die Automaten
Monströse langsame Ungetüme, die von einer großen Anzahl potentieller Kunden nicht mehr zu bedienen sind. Es kommt immer häufiger vor, dass ich von wildfremden Menschen um Hilfe bei der Bedienung gebeten werde, der ich unter Schwierigkeiten auch nachkomme.
Diese Automaten kosten Geld für Wartung und Lizenzen sowie Datenanschlusskosten. Sie müssen geleert werden, für verschiedene Zahlungssysteme abgestimmt werden und sind immer wieder Ziel von Vandalismus. Oft genug funktionieren sie nicht, manchmal sogar alle auf dem ganzen Bahnhof.
2. EC-Karten-Skimming
Eigentlich ein Unterpunkt der Automaten, aber ein besonderes Ärgernis. Vor der Umstellung funktionierte wenigstens noch die Geldkarte, nun ist zur Bezahlung die Eingabe der PIN erforderlich. Müßig zu erwähnen, dass dies für Ganoven, die sich auf das Abgreifen von Kartendaten spezialisiert haben, ein weiteres Zielobjekt ist. Und am Mainzer Hauptbahnhof haben sie das genau mit diesen Automaten bereits einmal durchgezogen (http://www.rhein-zeitung.de/nachrichten_artikel,-Mainz-Skimming-an-Fahrtkartenautomat-der-Bundesbahn-_arid,319543.html).
3. Das Tarifsystem
Kacheln, Übergangstarife, Gebiete, Anschlussfahrkarten „mit oder ohne Umweg über“. Selbst wer Zeitkarten besitzt, ist nicht davor gefeit, bei Fahrten außerhalb „seines“ Gebietes Nummern auswendig zu lernen, um sie anschließend in einem der unsäglichen Automaten einzugeben. Kurzstrecken nach Gleiskilometern, die nichts mit der realen Entfernung zu tun haben.
Warum Preise übrigens immer teurer werden, je weiter weg man von Frankfurt wohnt, obwohl es nicht gerade mehr Gleiskilometer außerhalb der Ballungsräume gibt, erschließt sich auch nicht. Die Einwohner Frankfurts zahlen weniger, haben aber die beste Infrastruktur zur Verfügung und müssen erfahrungsgemäß seltener nach „außen“ als die Fahrgäste von außerhalb in die Stadt.
Dazu die Ausnahmen: Bahnkarte oder nicht. Gruppenfahrkarten. Und sogar für den Fernverkehr, der mit der "City"-Option zwar die Nutzung des ÖPNV im Zielgebiet ermöglicht, muss man doch wieder Fahrkarten für den Weg zwischen Zuhause und Bahnhof kaufen. Wer durch dieses System durchsteigt, hat Bahnfahren vorher 4 Semester studieren müssen.
4. Erste Klasse
Dazu kommt dann noch eine Errungenschaft des 19. Jahrhunderts, die Erste Klasse. 16 bis 17 Sitzplätze pro Kurzzug, welche selbst bei hoffnungslos überfüllten Zügen von den obrigkeitshörigen Deutschen nicht benutzt werden. Gelegentlich ist die erste Klasse dann aber doch mal von Abhängigen, die sich hier ungestört ihren Schuss setzen, besetzt.
Und ob die Sitze so viel komfortabler sind und das kleine Tischchen einen Mehrwert darstellt, dass sie einen Preisaufschlag rechtfertigen, sei dahingestellt. Die Abteile der ersten Klasse gehören als erstes abgeschafft.
5. Kontrolleure
Im RMV-Gebiet kosten die Kontrollen jedes Jahr ca. 12-14 Millionen Euro (http://www.fr-online.de/wirtschaft/verkehrsunternehmen-schwarzfahrer-sollen-mehr-zahlen,1472780,11555308.html). Daneben gibt es dann noch zu bezahlende Gewerberäume zur Fahrkostennacherhebung. Diese kann oft genug gar nicht durchgeführt werden, weil es einigen Armen in dieser Gesellschaft völlig egal ist, wie oft sie „erwischt“ werden.
Auch ich bin schon versehentlich – weil ich vergessen hatte, meine Monatskarte nach Ablauf neu zu kaufen – schwarz gefahren (völlig unnötig, da mein Arbeitgeber die Fahrtkosten übernimmt). Wie schön wäre es, jederzeit irgendwo einsteigen zu können, ohne über Fahrkarten nachdenken zu müssen.
Einige Kontrolleure sind auch nicht gerade für Freundlichkeit bekannt und können richtig fies werden, sofern sie es mit einem ihrer Meinung nach asozialen Subjekt der Gesellschaft zu tun bekommen. Mangelende Flexibilität sind an der Tagesordnung, selbst wenn es um Kinder geht (http://www.rp-online.de/region-duesseldorf/ratingen/nachrichten/busfahrer-wirft-kinder-raus-1.1283142).
Diese Jobs sind zudem nicht förderungswürdig, da sie auch noch schlechter als schlecht bezahlt werden. Als Zugbegleitung am Abend könnte ein Teil der Kontrolleure mit besserem Gehalt weiterbeschäftigt werden.
6. Werbung
Auch solche absurden Werbungen für weitere überflüssige Tarifabwandlungen kosten Geld und führen bereits am Morgen beim ahnungslosen Betrachter zu Brechreiz. Wieso für öffentliche Dienstleistungen geworben werden muss, ist mir sowieso schleierhaft, aber auch dieser Budgetposten könnte problemlos eingespart werden.
7. Familien- und Sozialpolitik
Ein fahrscheinloser ÖPNV wäre für Familien ein Segen. So geht für eine Schülermonatskarte schon mal die Hälfte des Kindergelds drauf. Bedürftige kriegen zwar den Frankfurt-Pass, aber warum überhaupt noch eine bürokratische Hürde mehr, wenn es auch einfacher ginge?
8. Die Finanzierung
Die Einnahmen aus Fahrkarten machen 600 Millionen Euro im Jahr aus (http://www.fnp.de/tzh/region/lokales/usinger-land/rmv-wir-sind-nicht-so-teuer_rmn01.c.9509878.de.html). Nur durch die Bevölkerung Frankfurts geteilt (ca. 660.000) würde dies eine Abgabe von 75 Euro im Monat bedeuten, das ist bereits weniger als eine Monatskarte für das Tarifgebiet kostet. Noch günstiger wird die Rechnung nach Herausrechnen der Automaten, Lizenzen, der Kontrolleure, der Werbung sowie sonstiger Kosten (z.B. Druck der Tarifinformationen).
Sobald alle Bürger des Rhein-Main-Gebietes (ca. 3,5 Millionen) betrachtet werden, die Firmen einen Anteil leisten würden (statt einem Jobticket-Zuschuss) und die Hotelgäste pro Übernachtung eine ÖPNV-Taxe zahlen würden, könnte man diesen Monatsbetrag locker unter 20 Euro drücken.
9. Ökologie
Diese Maßnahme würde den Nahverkehr attraktiver machen. Dies würde natürlich die Kosten wieder etwas steigern, da vermutlich die Zugfrequenzen erhöht werden müssten und die Züge länger würden. Aber die Innenstädte würden sauberer werden und mit großzügigen P&R-Plätzen in den Außengebieten könnte man den Umstieg erleichtern.
10. Wirtschaft
Auch würden die Innenstädte der großen Städte als Einkaufs- und Flaniermeilen wieder attraktiver. Zwar auf die gesamte Wirtschaft bezogen eher ein Nullsummenspiel, aber der fortschreitenden Verödung könnte dies schon entgegenwirken.
Die Maßnahmen
Gut Ding will Weile haben. Es ist nicht möglich, sofort einen fahrscheinlosen Nahverkehr einzuführen ohne den ÖPNV insgesamt zu fördern und auszubauen. Als erste Maßnahme sollten Kinder und Jugendliche unentgeltlich im gesamten RMV-Gebiet befördert werden. Danach kann man eine Pauschale für alle Steuerzahler im Gebiet einführen und den ÖPNV fahrscheinlos machen. Langfristig, weil auch sozial ausgewogener als eine Kopfpauschale, sollte jeglicher Nahverkehr in Deutschland komplett steuerfinanziert werden. Es werden so viele Steuergelder für wesentlich weniger nützliche Dinge ausgegeben, hier wären sie gut aufgehoben.
Ja zu FRA - und Nein zum Lärm!
10.000 Teilnehmern sollen es laut Aussagen der Fraport heute auf der Versammlung "Ja zu FRA" gewesen sein. Natürlich alle freiwillig und ohne Zwang. Als Angestellter einer Lufthansa-Tochter kann ich bestätigen, dass an allen möglichen Stellen darauf hingewiesen wurde, dass die Teilnahme freiwillig ist und in der Freizeit erfolgt. Und über Dritte habe ich gehört, was bei solchen Veranstaltungen von Firmen üblich ist: Gruppenzwang in Abteilungen und Teams.
Die Zukunft des Herrn Wulff
•März 2012: Wulff überreicht sich selbst die Entlassungsurkunde und macht den Weg für einen Nachfolger frei
•April 2012: Die Bundesregierung erklärt, dass Herr Wulff leider keine Bezüge weiterbezahlt bekommen könne, weil es sonst einen Riesenshitstorm gebe
•Mai 2012: Die Bank zieht den Kredit für Wulff zurück, da er kein festes Einkommen mehr hat. Wulff muss verkaufen und wohnt bei Maschmeyer zur Miete
•August 2012: Alle Vorwürfe gegen Wulff bestätigen sich, er wird zu Strafzahlungen in Millionenhöhe und 12 Monaten Gefängnis verurteilt
•November 2012: Wulff versucht durch Tütenkleben im Gefängnis, einen Teil der Schuld zurückzuzahlen
•Januar 2013: Bettina Wulff läßt ihre Ehe annulieren. Das macht der Papst sogar persönlich.
•Februar 2013: Guttenberg macht Scherze auf Kosten von Wulff und wird von der Öffentlichkeit wieder auf der politischen Bühne willkommen geheißen
•Mai 2013: Wegen guter Führung wird Wulff mal wieder vorzeitig entlassen
•September 2013: Es wird bekannt, dass Wulff Hartz IV beantragen mußte
•Januar 2014: Der Versuch, zusammen mit dem Pizzabäcker Giovanni ein Buch zu schreiben ("Ich war eine männliche Politiknutte") scheitert kläglich
•März 2014: Peter Zwegat scheitert bei dem Versuch, Wulffs Finanzen zu sanieren
•Mai 2014: Da Wulff in seriöse Talkshows nicht mehr eingeladen wird, tingelt er als Florida-Wulff durch diverse Shows wie "Britt"
•Dezember 2014: Es wird still um Wulff, die Banken warten darauf, dass er 60 wird, um seine Pension pfänden zu können
•Januar 2016: RTL Dschungelcamp
•Irgendwann später: Eine Badewanne in einem anonymen Hotelzimmer
Soundtrack zur ACTA-Demo
Ich wurde von verschiedener Seite nach möglichen Songs für die ACTA-Demos gefragt, hier meine höchstpersönliche Auswahl. Viele der Songs kritisieren nicht ACTA an sich sondern die Politik, die dahinter liegt. Vor allem die Strike the root- und die Freedom to Share-Songs sprechen hier eine sehr deutliche Sprache. Mehr Informationen zu "Strike the root" gibt es hier und hier. Wer mehr über "Freedom to Share" wissen will, folgt bitte diesem Link.
Massenüberwachung des Internets dürfte ein Fakt sein
Eine Firma hat laut Golem ein Storage-System gebaut, was 10.000.000 Terabyte (!) speichern kann. Wir reden hier nebenbei von ca. 5 Mio. Festplatten nach Angaben der Firma. Der wirklich interessante Teil sind aber folgende Aussagen:
Angesichts des steigenden Internettraffics geht Cleversafe davon aus, dass es 2015 Unternehmen geben wird, die Datenmengen von 80 Exabyte pro Monat analysieren müssen.
sowie der Schlusssatz
Zu den Investoren von Cleversafe gehört unter anderem auch die CIA-Tochter In-Q-Tel.
Im Prinzip steht da unverblümt, dass es “Unternehmen” gibt, die Internettraffic in großen Massen analysieren. Cisco prognostiziert, dass Ende 2015 der Internettraffic pro Monat *trommelwirbel* 80 Exabyte betragen wird. Es deutet also vieles darauf hin, dass die CIA sämtlichen Traffic global überwacht oder überwachen will, und sich nicht mal sonderlich bemüht, das geheimzuhalten.
Das massiv geschnüffelt wird, ist seit ECHELON eigentlich öffentlich und unbestritten bekannt, auch wenn man es immer wieder gerne verdrängt. Dieses Ausmaß könnte aber vielleicht doch überraschen.
Gleichzeitig gibt es eine Firma namens D-Wave Systems, die behauptet, einen 128-Qbit-Quantencomputer kommerziell anzubieten. Die Behauptung ist natürlich kontrovers und kann durchaus sein, dass es sich dabei um einen Fake handelt. Wären aber derartige Quantencomputer tatsächlich auf dem zivilen Markt erhältlich, wäre meiner Meinung nach davon auszugehen, dass Geheimdienste bereits jetzt leistungsfähige Quantencomputer mit genug Qbits haben, um gängige Schlüssellängen bei RSA und Diffie-Hellman zu brechen. Damit dürften alle gängigen Verbindungen, die asymmetrische Kryptographie nutzen, inklusive solcher, die eigentlich Perfect Forward Secrecy haben, gebrochen sein, auch rückwirkend bezogen auf den in der Vergangenheit gesammelten Traffic.
Als Sahnehäubchen könnte man jetzt noch die Fortschritte bei der Spracherkennungstechnologie nennen, die bereits im zivilen Bereich Transkripte von Anrufbeantworternachrichten erstellt. Das kann man natürlich auch wunderbar verwenden, um Transkripte von abgehörten Gesprächen zu erstellen und sie so maschinenlesbar zu machen.
Schöne neue Welt, nicht?
Einsortiert unter:Überwachungsstaat, Datenschutz, Grundrechte, Internet, Newskommentare, Piraten, Politik, Polizeistaat, Sicherheit, Statische Tags, Technik, USA Tagged: überwachung, CIA, cleversafe, d-wave systems, diffie hellman, dsa, echelon, exabyte, internettraffic, kryptographie, petabyte, quantencomputer, rsa, terabyte, traffic
Die Weihnachtsansprache des Bundespräsidenten
viele werden mich wahrscheinlich nicht kennen, aber ich bin ihr Bundespräsident. Das ist das höchste Amt in diesem Land, sozusagen der König aller Deutschen. Um dies zu verdeutlichen, habe ich mich auch diesmal wie im letzten Jahr mit Vertretern aller gesellschaftlich relevanten Gruppen umgeben. Da haben wir die christlichen Pfadfinder, Priester und Pfarrer, die Feuerwehren, die Polizei und die Bundeswehr sowie natürlich die Kinder. Sehr viele Kinder, streng repräsentativ nach der Verteilung in der Bevölkerung. Und hier in der Ecke selbstverständlich unseren Quoten-Imam, denn wie ich bereits in meiner viel beachteten Jahrhundertrede aus dem letzten Jahrhundert, äh Jahr, gesagt habe, gehört der Imam, äh Islam zu Deutschland wie Sauerkraut und die Alpen.
In den letzten Tagen gab es um meine Person etwas Unruhe und Vorwürfe, einen privaten Privatkredit in Höhe einer halben Million Euro betreffend. Ich kann Ihnen hier an dieser Stelle nur versichern, dass ich ganz in der Tradition der christlichen Nächstenliebe von jedem von Ihnen ebenfalls einen derartigen Kredit angenommen hätte! Damit sind dann wohl die Vorwürfe von Bestechlichkeit und Vorteilsnahme endgültig aus der Welt geräumt.
Kommen wir nun zur Essenz einer Weihnachtsansprache, dem Einlullen der Zuhörer und dem Wecken nationaler und christlicher Gefühle, nicht zu vergessen dem Bekenntnis zu Konsum und Kapitalismus. Wie Sie ja alle in den letzten zwei Jahren schmerzlich erfahren durften, ist dies dieses Jahr sogar wichtiger denn je. Für uns alle, für unseren immerwährenden Wachstum müssen Sie auf jeden Fall kaufen, kaufen, kaufen. Natürlich nur moralisch, ethisch und ökologisch einwandfreie Produkte. Und Billige. Denn nur mit dem Kauf möglichst vieler Produkte können Sie den Reichen weiterhin ermöglichen, Deutschland voranzubringen. Und – es ist ja Weihnachten – denken Sie auch einmal an ihre Mitmenschen, zum Beispiel mich und meine Frau. Wo sollen wir denn ohne reiche Freunde in Zukunft unsere Urlaube verbringen?
In vergangenem Jahr gab es trotz aller internationaler Probleme viele positive Entwicklungen in Deutschland. So ist beispielsweise der Rechtsextremismus endlich in der Mitte der Gesellschaft angekommen, eindeutig ein Verdienst unserer zahlreichen unermüdlichen Mitarbeiter des Verfassungsschutzes. Einer von ihnen steht deswegen auch mit in dieser Runde, wo war er noch mal gleich? Nun, nicht so wichtig, kommen wir zu den weiteren Positivpunkten: Die FDP in Deutschland ist endgültig in Auflösung begriffen. Aber bitte verwechseln Sie nicht die Organisation mit den Menschen dahinter! Wann immer Sie einen notleidenden FDP-Wähler treffen, geben Sie ihm Wärme und Mitleid, gerade jetzt zu Weihnachten.
Zu guter Letzt möchte ich noch die christliche Botschaft verkünden. Das Tolle daran: Das geht auch, wenn man nicht danach lebt oder daran glaubt. Diese Botschaft ist einfach und einzigartig: Moral, Toleranz und Gleichberechtigung. Denn sogar mir hat der Papst – ein großartiger Mensch in der Tradition von Jesus Christus – doch tatsächlich den Segen und die Erlaubnis zur Wiederheirat verweigert. Denken Sie also, wenn Sie nachher im Kreise ihrer Lieben die Geburt des Christkindes feiern, nicht daran, dass es zu Weihnachten mehr Tote durch Fettgenuss, mehr Selbstmorde und Einweisungen als im ganzen Jahr zusammen gibt, sondern vor allem an die Kinder. Wie die Kirche ja auch!
Ich wünsche Ihnen allen trotzdem ein frohes und besinnliches Weihnachtsfest.
Und Ahoi!
PA149 Urheberrechtsreform oder „Was für ein Eichhörnchen war eigentlich in dem Sack?“
Den am Sonntag in Offenbach angenommenen Antrag zur Reform des Urheberrechts im Detail zu beschreiben ist ein relativ unfruchtbares Unterfangen, da er bereits hoch komprimiert ist. Alleine die Überschriften der einzelnen Themen haben einen Umfang von über einer Seite. Zusammengefasst enthält der Antrag alle entscheidenden Piratenforderungen: Die Legalisierung von Tauschbörsen, die Ausweitung der Schranken für Privatkopie und der Schaffung abgeleiteter Werke, die Stärkung von Bildungseinrichtungen, die Verkürzung von Schutzfristen, die Eindämmung der Abmahnindustrie und die Stärkung von Urhebern gegenüber Verwertern. Das wesentliche Kernelement dabei ist, dass ein neues Gleichgewicht im Kräftedreieck Urheber-Verwerter-Allgemeinheit geschaffen wird. Dabei lassen Piraten, Urheber und Verwerter alle ein paar Federn. Kaum verwunderlich dürfte sein, dass es die Verwerter sind, die meisten verlieren.
Adventskalender mit Creative Commons-Musik
Zu Testzwecken baue ich hier auch den CC-Musik-Adventskalender von http://musik.klarmachen-zum-aendern.de ein. Dafür muss lediglich dieses JavaScript eingebunden werden: http://musik.klarmachen-zum-aendern.de/files/cc-calendar.js. Optional kann auch ein anderes Hintergrundbild verwendet werden.
Das JavaScript bettet dann einen iframe ein, der dann wiederum das eigentliche Kalender-JavaScript lädt. Das muss leider so gemacht werden, da ansonsten die Ajax-Funktionalitäten zum Laden der Liederbeschreibungen nicht funktionieren.
Schlechte Nachrichten für Bürgerrechte
Leider bin ich nicht direkt dazu gekommen, diese Zusammenfassung zu schreiben, aber vielleicht ist es ja auch besser, diese “tollen” Beschlüsse unserer Regierung mal gesammelt zu sehen, nachdem man sie schon vergessen wollte. Um den folgenden Mist zu beschließen, haben die Parlamente übrigens nur zwei Tage (27. und 28.10.) gebraucht.
Fangen wir an mit dem Beschluss, dass das Erststudium nicht als Werbungskosten absetzbar ist. Über den Sinn dieser Änderung kann man sich streiten, aber der wirkliche Hammer kommt zum Schluss: Um die armen Besserverdiener unter den Studierenden nicht zu überlasten, können z. B. teure Privatunis jetzt besser abgesetzt werden. Unsere Regierung kann wohl nichts beschließen, ohne der FDP-Klientel noch ein paar Geschenke mit einzupacken.
Weiter gehts mit dem “Schuldenschnitt” für Griechenland. Statt einem wirklichen Schuldenschnitt (ein Teil der Schulden verfällt) sollen die (wertlosen) Griechenland-Anleihen zu 50% des Nennwerts (also deutlich über dem tatsächlichen Wert) in europäische oder von der EU garantierte Anleihen umgetauscht werden. Statt einem Schuldenschnitt gibt es also auch hier Geschenke, diesmal vor allem für die Banken.
Dafür wollte unsere Regierung auch mal was dem Volk schenken, zum Beispiel kostenlose Warteschleifen und ein Ende des Abofallenbetrugs im Internet. In der entsprechenden Reform des Telekommunikationsgesetzes hat sie leider “vergessen”, Breitband-Internet zum Universaldienst zu machen (womit die Anbieter wie bei Trinkwasser und Telefon verpflichtet wären, es überall bereit zu stellen). Auch die Netzneutralität, die eigentlich in die Reform rein sollte, ist wohl nicht so ganz verankert worden. Dafür wurde in dem netten Paket mal eben die Vorratsdatenspeicherung versteckt – und zwar in letzter Sekunde und dann schnell beschlossen, damit das Parlament ja nicht merkt, worüber es gerade abstimmt.Zwar ist die neue Vorratsdatenspeicherung nicht verpflichtend, aber dafür dürfen die Provider jetzt freiwillig speichern. Angesichts dessen, dass viele das schon bisher (illegal!) getan haben, dürfte sich ein großer Datenberg ansammeln, aus dem sich die Ermittlungsbehörden bedienen können. Somit hat die Regierung zwar mal wieder “Für unsere Bürger” auf das Paket draufgeschrieben, mit dem Inhalt spielen werden aber vor allem die Ermittlungsbehörden. Einige populäre Verbesserungen beim Verbraucherschutz (die durchaus dringend nötig waren!) hat die Regierung aber doch reingepackt – vermutlich, um es dem Bundesrat schwerer zu machen, das Gesamtpaket abzulehnen. Der Bundesrat ist nämlich fest in der Hand der Opposition, und dort muss das Gesetz noch durch. Hier ist die Hoffnung also noch nicht ganz verloren – auch wenn man davon ausgehen kann, dass die Verräterpartei ihrem Namen wieder gerecht wird, obwohl sie im Bundestag dagegen gestimmt hat.
Aber wo wir bei Überwachungsgeschenken sind: Die Linke hat beantragt, jemandem etwas wegzunehmen. Nämlich der Polizei das Recht, den Bundestrojaner zu nutzen, nachdem diese gezeigt hat, wie “verantwortungsvoll” sie damit umgehen kann (zur Erinnerung). Dass der Antrag gegen die Stimmen von Union und FDP keine Chance hat, war klar. Dennoch konnte die SPD (als Oppositionspartei!) sich nicht nehmen lassen, gegen den Antrag und somit für den Bundestrojaner zu stimmen. Würde jeder Missbrauch eines Überwachungsrechts dazu führen, dass es eingeschränkt oder zurückgenommen wird, würden die Ermittlungsbehörden vielleicht lernen, damit verantwortungsvoller umzugehen. Schade, dass diese Chance, hier den Anfang zu machen, verpasst wurde.
Stattdessen hat die Bundesregierung lieber mal die Anti-Terror-Gesetze verlängert – und nebenbei noch ein wenig verschärft, indem sie z. B. Geheimdiensten die “Selbstbedienung” an den Flugreisedaten erlaubt haben. Auch hier hat die SPD sich wieder einmal als Verräterpartei betätigt und trotz Oppositionsrolle gegen Bürgerrechte und für die Verlängerung gestimmt. Ach, und wo wir schon bei “Anti-Terror” sind, hier noch ein alter, aber guter Artikel von heise/c’t zur Anti-Terror-Datenbank, wo man sieht, was da so alles gespeichert wird. Die Lobby, die dafür sorgt, dass solche “Sicherheits”gesetze produziert werden, hat übrigens Jörg Tauss für Gulli aufgedeckt.
Das Europäische Parlament hat sich natürlich nicht lumpen lassen und gleichzeitig ein Abkommen beschlossen, nach dem Australien die Flugreisedaten erhält und fünfeinhalb Jahre speichern darf. Mit 463 zu 96 Stimmen übrigens, falls noch irgendwelche Hoffnungen bestanden, das EU-Parlament würde sich für Datenschutz und Bürgerrechte einsetzen. Die übermittelten Daten enthalten unter anderem Kreditkarten- und Telefonnummern, IP-Adressen und besondere Essenswünsche (aus denen vermutlich auf die Religion geschlossen werden soll, die nicht explizit übermittelt wird). Auch ein nettes Geschenkpaket, oder?
Das einzig halbwegs Erfreuliche waren die Nachrichten über den ePerso ein paar Tage später. Schade um die verschwendeten Steuergelder, aber gut für die Bürgerrechte – wie erwartet folgte der ePerso dem Schicksal der meisten IT-Großprojekte von Bundesregierungen und wurde ein grandioser Fehlschlag: Sicherheitslücken ohne Ende, kaum Angebote, kaum Nutzer bei bestehenden Angeboten, nicht einmal die Hälfte der Ausweise mit aktiver eID-Funktion – aber leider auch schon wieder Ideen, wie man den Perso z. B. mit einer DNA-Datenbank “verbessern” könnte.
Einsortiert unter:Überwachungsstaat, Datenschutz, Demokratie, Grundrechte, Internet, Lobbyismus, Newskommentare, Piraten, Politik, Polizeistaat, Sicherheit, Statische Tags, Unfair, Unsinn, Verbraucherrechte Tagged: abofallen, anti-terror-gesetze, bundestag, bundestrojaner, cdu, csu, e-perso, eID, epa, eperso, eu-parlament, europäisches parlament, fail, fdp, fehlschlag, geschenke, grüne, griechenland, klientelgeschenke, linke, nachrichtenüberblick, netzneutralität, nPa, parlament, passagierdaten, polizei, rückblick, regierung, schuldenschnitt, spd, steuergeschenke, studium, telekommunikationsgesetz, terrorgesetze, tkg, union, universaldienst, verräterpartei, vorratsdatenspeicherung, warteschleifen, woche
Warum Deutschland die christlichen Fundamentalisten gewählt hat
Warum Tunesien die Islamisten gewählt hat
Triumph der Islamisten alarmiert Diplomaten
ist es an der Zeit, einen Artikel zu schreiben, wie er in einer tunesichen Zeitung erscheinen könnte.
Warum Deutschland die christlichen Fundamentalisten gewählt hat
Von Deutschland geht für Europa eine Signalwirkung aus. Dies zeigt sich jetzt bei der versuchten Rettung des Euros, aber auch schon bei den letzten Wahlen. Stärkste Partei Deutschlands und den Großteil der Regierung stellend, ist die Christlich Demokratische Union. Wichtige Gruppierungen dieser Partei lehnen Homosexualität ab, sind gegen Abtreibung und unterstützen die Moraltheorie des Papstes, der - Zufall? - erst vor kurzem im Parlament der eigentlich offiziell säkularen Bundesrepublik sprechen durfte.
In letzter Zeit hat die Regierung in Deutschland geplant, die elektronische Kommunikation der Bevölkerung des eigenen Landes sowohl komplett als auch heimlich per Computerspionage zu überwachen und den Zugang zum Internet zu beschränken. Friedliche Proteste wurden mit Polizeigewalt beantwortet und in Einzelfällen soll es zu Folterandrohungen gekommen sein. Viele Deutsche werfen den Regierungsparteien zudem Korruption vor und dass das Regime nichts dagegen unternehme, eine passende UN-Konvention wartet noch immer auf die Ratifizierung.
Beobachter sind besorgt, wenn der Präsident des Landes offen von einer christlich-jüdischen Leitkultur spricht, warnen gleichzeitig jedoch auch vor einer
Panikmache. Im Wahlkampf verkaufte sich die Bewegung als konservative aber moderne Partei nach dem Vorbild der amerikanischen Republikaner - gemäßigt christlich fundamentalistisch. Derzeit regieren die Christen noch mit Hilfe einer liberalen Splitterpartei, doch deren Einfluß schwindet täglich.
Die Öffentlichkeit spekuliert bereits über Neuwahlen, doch linke und liberale Gruppierungen fürchten für diesen Fall das Schlimmste: Eine rechtskonservative christliche Koalition der beiden großen Blockparteien des Landes. Dies könnte Deutschland für Jahre in einen Abwärtsstrudel aus sozialen Unruhen und Beschneidung der Freiheitsrechte treiben. So haben sich viele die Führungsrolle Deutschlands in Europa jedenfalls nicht vorgestellt.
Oft übersehene Lügen zum Bundestrojaner
In der derzeitigen Debatte zum Bundestrojaner werden ein paar Dinge oft von der Presse übersehen und von den Verantwortlichen falsch dargestellt. Die zwei Wichtigsten nehme ich hier mal auseinander (Liste wird ggf. noch ergänzt):
Behauptung:
“Beim Einsatz der Trojaner wurden alle rechtlichen Vorgaben eingehalten”
GELOGEN In Bayern hat einer der Trojaner Screenshots angefertigt. Das war nach rechtskräftigem Beschluss des Landgerichts rechtswidrig. Illegal, verboten, gegen die gesetzlichen Vorgaben verstoßend. Unbestreitbar, ohne wenn und aber. Die (leider von der Presse oft übernommene) Behauptung, die rechtlichen Vorgaben seien eingehalten worden, ist also eine dreiste Lüge. Konkret hatte das Bayrische Innenministerium behauptet:
Nach der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung 2008 ist eine Quellen-TKÜ zulässig, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wird. Nichts anderes ist in Bayern bisher praktiziert worden.
Auf Unwissenheit wird man sich hier angesichts der Bekanntheit des Urteils kaum berufen können.
Behauptung:
“Trojaner werden nur zur Verfolgung schwerer Straftaten wie Terrorismus verwendet”
GELOGEN In den bekannten Fällen handelt es sich einmal um Drogenhandel, einmal um möglicherweise nach Betäubungsmittelgesetz illegale <a href=”http://www.heise.de/tp/artikel/34/34289/1.html”>Ausfuhr</a> von zugelassenen Medikamenten und einmal um Diebstahl, siehe Fefe.
Noch Ärgerlicher ist allerdings, dass die Gelegenheit genutzt wird, Forderungen nach mehr (!) Überwachungsbefugnissen zu stellen. Die GDP (Gewerkschaft der Polizei, nicht zu verwechseln mit der DPolG oder dem BDK) fordert einen “sauberen rechtlichen Rahmen”, will also ein Gesetz, was die Überwachung erlaubt.
Wenn jemand gegen ein Gesetz verstößt, dann ist die richtige Reaktion darauf in der Regel, ihn in den Knast zu stecken, und nicht, den Gesetzesbruch zu legalisieren! Wenn Vertrauen und bestehende Privilegien missbraucht werden, dann gehören diese Privilegien entzogen, nicht ausgeweitet.
Meiner Meinung nach müssten:
- Sämtliche Verantwortlichen (und nicht nur ein paar Bauernopfer) zur Rechenschaft gezogen werden. Das beinhaltet insbesondere eine Entlassung und Strafverfahren, und wir reden hier sicher von Dutzenden von Verantwortlichen.
- Die Überwachungsbefugnisse der Behörden massiv zusammengestrichen werden. Nicht nur muss die Verwendung von Spionagesoftware unmissverständlich untersagt werden, auch die sonstigen Befugnisse dürfen nicht unangetastet bleiben. Der Richtervorbehalt muss gestärkt werden, eine ausführliche Begründung sollte Pflicht werden. Wenn Richter pro Fall erstmal 1-2 Seiten individuelle, nicht aus Textbausteinen bestehende Begründung selbst abfassen müssten, wäre schon viel gegen ausufernde Überwachung ohne richtige Prüfung getan. Wenn der Richter überlastet ist, bleiben die Anträge halt so lange liegen, bis die Behörden gelernt haben, die Maßnahmen nur in Fällen anzuwenden, wo sie wirklich nötig sind.
- Sämtliche Überwachungsmaßnahmen nachträglich geprüft und bei Verstößen sofort empfindliche Strafen verhängt werden.
Wird natürlich nicht passieren, solange die CDU an der Regierung ist. Vermutlich wird es vielmehr ein Alibi-Gesetz geben, was 1-2 Überwachungsbefugnisse reduziert und dafür an anderer Stelle zahlreiche andere ausweitet, und vielleicht müssen 1-2 Leute mit großzügigen Pensionen gehen, natürlich ohne Strafverfolgung befürchten zu müssen.
Einsortiert unter:Überwachungsstaat, Datenschutz, Demokratie, Grundrechte, Internet, Newskommentare, Piraten, Politik, Polizeistaat, Sicherheit, Statische Tags, Technik Tagged: bayern, bka, bka-gesetz, bundestrojaner, landestrojaner, lügen, lka, remote forensic software, trojaner
Ein Pirat als Innenminister!
Es zeigt mal wieder einen grundsätzlichen Fehler in der Besetzung der Regierung. Denn in allen Ressorts werden als "Fachleute" getarnte Interessenbewahrer diverser Lobbyistenvereine eingesetzt. Völlig unkritisch denkende Hardliner des jeweiligen Fachgebietes, die nicht in der Lage sind, ihre Aufgabe auch mal kritisch zu betrachten oder in letzter Konsequenz sogar sich selbst überflüssig zu machen.
Der Innenminister müßte zwingend ein "Pirat" sein. Jemand, der bei der Sicherheit nicht automatisch "der Zweck heiligt die Mittel" sagt und der sehr wohl eine Verfassungswidrigkeit erkennt, wenn sie als Vorschlag auf den Tisch kommt. Die Überwachung der rechten und linken Extremisten sind doch nur Nebelkerzen, wenn - wie gerade wiederholt gezeigt wird - die eigentlichen Verfassungsfeinde innerhalb der dafür zuständigen Behörde zu sitzen scheinen. Who watches the watchers? In der Innenpolitik gilt es vor allem, aber nicht nur da.
Auch in den anderen Ministerien frage ich mich manchmal, warum diese immer mit Betriebsblinden besetzt werden müssen. So war bis vor Jahren der Landwirtschaftsminister immer ein Bauer, klüngelhafter geht es ja kaum noch. Wie wäre es mit einem Kriegsdienstverweigerer als Verteidigungsminister, würden dann immer noch Panzer nach Saudi-Arabien geliefert? Und warum wird das Familienministerium mit einer verheirateten Frau mit Kindern besetzt? Wie wäre es mit einem alleinstehenden schwulen Mann? Und komme mir jetzt bitte niemand mit dem "Ahnung haben, von dem was da gemacht wird". Diese Ahnung kann jeder durchschnittlich intelligente Mensch in einer angemessenen Zeit erwerben.
Diesem Prinzip folgen wir Piraten übrigens bereits von Anfang an: Obwohl aus dem Internet und sozialen Netzwerken geboren, zu großen Teilen aus Technikexperten bestehend, haben wir uns trotzdem eines bewahrt: Technikkritik.
Hoffentlich bleibt uns dies erhalten!
Berlinwahl: Maximal 48,3% der Wähler "links" von der CDU
Beschäftigug für lästige Bürger
Die Online-Petitionsplattform des Bundestages klang nach einer tollen Idee für mehr Bürgerbeteiligung. Nach einer Weile wurde sie aber bekannt und beliebt, und es kamen die ersten Mega-Petitionen – und mit ihnen die Abstürze, wenn zu viele Bürger mitzeichnen wollten. Eine neue Software wurde beschafft, womit man sich umständlich registrieren musste, um mitzeichnen zu können. Als sich auch davon nicht genug Bürger abschrecken ließen, brach das System wieder zusammen. Dennoch kamen immer wieder große Petitionen zustande – und wurden, egal wie viele mitzeichneten, vom Bundestag kaum beachtet.
Um dafür zu sorgen, dass das Portal nicht durch Massen von Unfug unbenutzbar wird, gibt es dort eigentlich Richtlinien. Diese besagen unter anderem:
Voraussetzung für eine öffentliche Petition ist, dass die Bitte oder Beschwerde inhaltlich ein Anliegen von allgemeinem Interesse zum Gegenstand hat und das Anliegen und dessen Darstellung für eine sachliche öffentliche Diskussion geeignet sind. [...] Eine öffentliche Petition einschließlich ihrer Begründung wird nicht zugelassen, wenn sie [...] offensichtlich unsachlich ist oder der Verfasser offensichtlich von falschen Voraussetzungen ausgeht [...]
Trotzdem kamen immer mehr Petitionen durch, wo das “allgemeine Interesse” sehr fragwürdig war. Ärgerlicher als das waren allerdings die völlig unsinnigen Petitionen, die bereits existierende Dinge forderten – also nach den Richtlinien hätten ausgeschlossen werden müssen. Auch diese häuften sich. Wenn mehrere Petitionen zum gleichen Thema eintrafen, wurde ein Text ausgewählt (was ja auch sinnvoll ist) und nur dieser als öffentliche Petition behandelt. Da die Texte jedoch oft auffallend schlecht waren, drängte sich der Verdacht auf, dass hier absichtlich eine der schlechtesten Petitionen als “Muster” gewählt wurde, um die Zustimmung und Beteiligung zu senken.
Viel schlimmer aber ist, dass gleichzeitig gut ausgearbeitete Petitionen zu tatsächlich relevanten Themen nicht als öffentliche Petition behandelt wurden – wodurch das Sammeln von Unterschriften massiv erschwert wurde. Im Fall der “108e-Petition” gegen Abgeordnetenbestechung habe ich davon erfahren: Diese wurde (auch auf Nachfrage)ohne nähere Begründung abgelehnt. Wie viele sinnvolle Petitionen so unter den Teppich gekehrt worden sind, weiß man nicht.
Man könnte jetzt schon Absicht unterstellen, aber dazu gibt es einen schönen Grundsatz: “Never attribute to malice that which is adequately explained by stupidity.” (Gehe nicht von Vorsatz aus, wenn etwas durch Dummheit ausreichend erklärt werden kann). Gerade zu den Zeiten, wo das Portal sehr aktiv war, wäre die schlechte Sortierung der Petitionen durch Überlastung erklärbar. Auch schlichte Inkompetenz wäre eine denkbare Erklärung. Eine Absicht kann man also nicht direkt unterstellen. Oder?
Dieser Zustand hält jetzt schon seit Jahren an. Wenn die Arbeit des Petitionsausschusses ernst genommen würde, wäre es für den Bundestag ein leichtes, eine ausreichende Menge an kompetentem Personal dafür einzustellen. Da das nicht geschehen ist, ist klar, dass echte Bürgerbeteiligung nicht gewünscht ist. Entweder es werden bewusst gute Petitionen unterdrückt, oder es wird bewusst nichts getan, damit der Petitionsausschuss seine Arbeit ordentlich macht/machen kann. So oder so ist klar, dass diese Plattform nur dazu dient und dienen soll, Bürger ihre Wünsche irgendwo äußern zu lassen, wo man sie bequem ignorieren kann, und die Zeit von engagierten Bürgern zu verschwenden.
Das Fass zum Überlaufen brachte eine Petition, die die Wiedereinführung einer Regelung im Personalausweisgesetz forderte: Wer einen Pass besitzt, soll keinen zusätzlichen Perso brauchen. Dummerweise steht das immer noch genau so im Gesetz (§ 1 Abs. 2) und wäre dort auch einfach zu finden gewesen. Die Petition ist inzwischen nicht mehr verfügbar, nachdem es im Forum massiv Kritik hagelte. (Mein Beitrag, der auch die Arbeitsweise des Ausschusses kritisierte, wurde auch verschwunden).
Deswegen ist der Petitionsfeed aus meinem Newsreader geflogen, und von mir gibts auch keine Werbung oder Mitzeichnung für Petitionen, die über dieses Portal laufen, solange es sich nicht um eine der “großen”, hauptsächlich außerhalb des Portals ablaufenden Petitionen handelt – egal wie sinnvoll der Text aussehen mag. Ohne massiven Öffentlichkeitsdruck sind die Petitionen sowieso sinnlos – außer als Zeitbinder für politisch engagierte Bürger.
Wenn ihr das genauso seht, und es irgendwo erklären wollt – dafür ist dieser Text da, ein Link sagt mehr als tausend Worte und ist schneller gesetzt als eine langwierige Erklärung…
Einsortiert unter:Demokratie, Grundrechte, Internet, Lobbyismus, Piraten, Politik, Sonstiges, Statische Tags, Unfair, Zensur Tagged: bürger, bürgerbeteiligung, bundestag, e-petition, e-petitionen, online-petitionen, petitionen, petitionsausschuss, zeitbinder, zeitmanagement
Empört euch... bitte nicht!
Deswegen empfehle ich euch allen: Empört euch bitte nicht!
Empört euch nicht über Faxe und vor allem empört euch nicht über diejenigen, die sich über Faxe empören.
Empört euch nicht über Christopher Lauer, denn in ein Parlament gehören auf jeden Fall Piraten so wie er.
Empört euch nicht über die Zeitungen der Springer-Presse, die uns mal hochjubeln und dann wieder komisch darstellen.
Empört euch nicht über Julia Schramm, denn ihre Meinung ist genauso wertvoll wie jede andere.
Empört euch nicht über diejenigen, die eine Genderdiskussion führen, aber empört euch auch nicht über die, die sich über die Genderdiskussion empören.
Empört euch nicht über Verlage, die unser Programm abdrucken wollen, aber die CC-Lizenz nicht dazuschreiben oder über CNN, die ihre Beiträge bei YouTube kopieren.
Empört euch nicht über Provinzzeitungen, die Unsinn abschreiben oder Blogs, die uns kritisieren.
Empört euch nicht über Spender an die Piraten, aber empört euch auch nicht über die, die solche Spenden kritisieren.
Empört euch nicht über die F.D.P., sonst ist sie nämlich bald wieder da.
Und bitte, bitte, bitte, empört euch nicht über eure Mitmenschen, sie werden es euch – irgendwann – danken.
So. Und damit höre ich jetzt auf, mich zu empören. Habt Spaß beim Ignorieren meiner Bitte
Billigfachkräftemangel
Bisher erhalten Menschen, die im Alter von mindestens 58 Jahren arbeitslos werden, zwei Jahre lang Arbeitslosengeld. Das will die FDP jetzt ändern, weil die älteren Arbeitskräfte ja wegen des schrecklichen Fachkräftemangels als Fachkräfte benötigt werden. Nur: Das Arbeitslosengeld liegt laut Wikipedia bei ca. 2/3 des alten Einkommens. Wenn die Firmen die ach so dringend benötigten Fachkräfte also tatsächlich haben wollten und auch angemessen bezahlen würden, dürfte sich durchaus der ein oder andere ältere Arbeitnehmer darüber freuen, doch noch einen Job zu bekommen.
Solange älteren “wertvollen Fachkräften” für ihre oft jahrzentelange Berufserfahrung Gehälter geboten werden, die unter den Gehältern für junge Berufseinsteiger liegen, muss man sich nicht wundern, wenn manche lieber etwas länger nach einem angemessen bezahlten Job suchen, wenn sie es sich leisten können. Durch die Drohung mit der Hartz-4-Keule kann man diese Leute natürlich dazu bewegen, schnell einen Job anzunehmen, der – eben weil die Arbeitgeber wissen, dass ältere Arbeitssuchende kaum eine Wahl haben – nicht angemessen bezahlt wird.
Wenn die von der FDP vorgeschlagene Maßnahme also irgendetwas bekämpfen würde, dann eher nicht den Fachkräftemangel, sondern den Billigfachkräftemangel. Billige Fachkräfte kann die Wirtschaft nämlich nie genug kriegen…
Was die FDP gerne “übersieht” ist natürlich auch, dass nicht alle älteren Arbeitnehmer dringend gesuchte Fachkräfte sind (und auch diese nicht unbedingt schnell einen Job finden). Neben der Ausweitung des Lohndumpings auf höher qualifizierte Arbeit wird damit natürlich auch das in den letzten Jahren immer erfolgreichere Lohndumping im Niedriglohnsektor weiter verschärft.
Einsortiert unter:Demokratie, Grundrechte, Newskommentare, Piraten, Politik, Statische Tags, Unfair Tagged: alg, alg2, arbeitslosengeld, fachkräfte, fachkräftemangel, fdp, hartz 4, lohndumping
ePerso kann remote missbraucht werden
In meinem letzten Artikel zum ePerso (PIN-Diebstahl ohne Malware) stellte ich eine Möglichkeit vor, wie ein Angreifer an die PIN des ePerso gelangen kann, indem er eine falsche AusweisApp vortäuscht.
Wie ich erwartet hatte gab es daran viel Kritik: Einerseits sei das ja kein richtiger Angriff, weil “nur” der Nutzer getäuscht wird, andererseits hätte der Angreifer ja “nur” die PIN, mit der er nichts anfangen könne, weil er ja keinen Zugriff auf den Personalausweis selbst hätte.
Ersteres spielt für das Ergebnis keine Rolle: Der Angriff funktioniert gegen durchschnittliche Nutzer sehr gut, und der Angreifer hat am Ende die PIN. Damit wären wir beim zweiten Einwand: Die Authentifikation mit dem Ausweis ist eine sogenannte Zwei-Faktor-Authentifikation – man benötigt PIN und Ausweis. Mit der PIN alleine kann der Angreifer somit tatsächlich noch nicht direkt einen Angriff durchführen – aber er hat einen der beiden Faktoren überwunden. Das wird interessant, sobald ein Angriff den anderen Faktor überwindet. Alleine wäre auch dieser neue Angriff “wertlos”, verbunden mit der gestohlenen PIN ermöglicht er jedoch den Missbrauch des Ausweises.
Genau einen solchen zweiten Angriff habe ich nun gefunden. (Nachtrag: Wurde von Heise verifiziert.) Dadurch kann der Angreifer, wenn die im Folgenden erklärten Bedingungen zutreffen, sich mit dem Personalausweis des Opfers ausweisen. (Ich denke, jetzt sieht man auch, warum der PIN-Angriff sehr wohl ein Problem war!)
Weil das Missverständnis öfter aufkam: Der PIN-Diebstahl-Angriff ist kein simpler Phishing-Angriff. Bei einem Phishing-Angriff wird das Opfer auf die Seite des Angreifers gelockt, aber im Glauben gelassen, dass es z. B. die Seite seiner Bank besucht – denn nur dort dürfen die Bank-Zugangsdaten eingegeben werden. Auf den falschen Link reinzufallen ist ein vermeidbarer Fehler des Opfers. Hier jedoch kennt das Opfer die Identität der Seite. Ein legitimer Ausweisevorgang beginnt mit dem Besuch einer fremden Seite, wo dann die AusweisApp aufpoppt – genau wie beim Angriff. Dieser Angriff ist also deutlich schwerer erkennbar als Phishing – vor allem, weil Banken etc. dem Nutzer erklären, wie er sich schützen soll (Bank-Website manuell aufrufen), während auf die wenigen Warnzeichen für eine falsche AusweisApp nirgendwo hingewiesen wird.
Die von der ComputerBild als Beilage verteilten Starterkits bestehen aus einem Reiner SCT-Basislesegerät sowie einer LoginCard, mit der man sich Online einloggen können soll. Dazu muss eine Software (Browserplugin) von ReinerSCT installiert werden, die Websites Zugriff auf das Lesegerät gibt.
Über dieses sogenannte OWOK-Plugin kann eine Website (nach Bestätigung, siehe unten) frei mit der Karte kommunizieren. Die OWOK-Software habe ich als erstes untersucht, weil der Nutzer bei den Computerbild-Starterkits zur Installation aufgefordert wird, sie also bei vielen Ausweisinhabern vorhanden sein dürfte. Die Software nutzt dafür anscheinend das von den Sparkassen entwickelte SIZCHIP-Plugin – d.h. das gleiche Problem dürfte mit vielen anderen Plugins, z. B. mit dem Geldkarten-Plugin, bestehen.
Pro Website wird der Benutzer einmal gefragt, ob er diesen Zugriff zulassen soll. Diese Frage sollte eigentlich vor dem Angriff schützen, da der Nutzer ja darauf aufmerksam gemacht wird und zustimmen muss. Dabei gibt es jedoch mehrere Probleme:
- Der Nutzer erwartet beim oben erwähnten PIN-Diebstahl-Angriff, dass der ePerso benutzt wird. Die Frage nach dem Zugriff auf dem Chipkartenleser dürfte den meisten Nutzern daher logisch vorkommen und meist bejaht werden. Nutzer mit gutem Hintergrundwissen über die Technik könnten an dieser Stelle aufmerksam werden – diese zählen jedoch zu einer kleinen Minderheit.
- Sobald der Nutzer einmal die Entscheidung getroffen hat, scheint diese dauerhaft gespeichert zu werden. Indem der Angreifer das Plugin unter einem Vorwand einige Zeit vor dem Angriff das erste mal aktiviert, kann er verhindern, dass der Nutzer beim eigentlichen Angriff misstrauisch wird.
- Die Anfrage besteht aus einem Dialogfenster, was an einer vorhersehbaren Position (Bildschirmmitte) auftaucht, sobald das Plugin geladen wird. Das kann sich der Angreifer zunutze machen, indem er den Nutzer animiert, wiederholt schnell auf die “richtige” Stelle zu klicken (z. B. durch ein Spiel), und dann erst das Dialogfenster auslöst. Viele sicherheitskritische Dialogfenster in Browsern aktivieren die Schaltflächen inzwischen erst nach einer kurzen Verzögerung, um solche Angriffe zu verhindern.
- Einige im Plugin vordefinierte Seiten können ohne diese Sicherheitsabfrage zugreifen. Gelingt es, in einer dieser Seiten z. B. eine XSS-Lücke zu finden, kann man die Sicherheitsabfrage umgehen, indem man den Angriff im Kontext der Seite durchführt. Eine solche Lücke habe ich gefunden – die Sicherheitsabfrage kann also umgangen werden.
Dieser Angriff setzt also voraus:
- Das Opfer hat z. B. das von der ComputerBild verteilte Starterset nach Anleitung installiert
- Das Opfer fällt auf den PIN-Diebstahl-Angriff mit einer falschen AusweisApp herein
- Das Opfer bestätigt dabei (oder irgendwann vorher!) die Sicherheitsabfrage “Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?” oder der Angreifer umgeht die Sicherheitsabfrage über eine XSS-Lücke (siehe oben)
- Der Ausweis liegt auf dem Lesegerät (folgt bereits aus dem Hereinfallen auf den PIN-Diebstahl-Angriff)
Sobald diese Voraussetzungen erfüllt sind, hat der Angreifer über das Plugin Zugriff auf den Kartenleser und den darauf liegenden Ausweis, und befindet sich im Besitz der PIN. Damit gilt:
- Der Angreifer kann mit der Identität des Ausweisinhabers Aktionen durchführen, und diese mit dem fremden Ausweis bestätigen.
- Der Angreifer kann sich auch in Benutzerkonten des Ausweisinhabers, die Login via Ausweis zulassen, einloggen, und dort z. B. Daten ausspähen oder weitere Aktionen durchführen.
Der Angreifer braucht also insbesondere weder Malware auf dem Rechner des Nutzers, noch muss er man-in-the-middle-Attacken fahren. Er muss lediglich Besucher auf seine Seite locken und dort mit der falschen AusweisApp täuschen!
Folgen
Der Angreifer kann den Ausweis und somit die bestätigte Identität des Opfers missbrauchen. Das Opfer bekommt dies nicht mit, da ihm z. B. eine erfolgreiche Altersverifikation vorgetäuscht wird. Da die Identitätsbestätigung über den Ausweis einen sehr starken Anscheinsbeweis liefert, wird das Opfer nur sehr schwer belegen können, dass eine Aktion von einem Angreifer und nicht vom Opfer selbst durchgeführt wurde.
Dabei wäre beispielsweise ein Szenario denkbar, bei dem ein Onlineshop Lieferung auf Rechnung anbietet, wenn der Käufer sich per Ausweis identifiziert – soweit ich weiß eines der öfter genannten Beispiele für eine mögliche Anwendung des ePersos. Würde ein Angreifer mit der Identität des Opfers eine Bestellung tätigen, würde der Händler sein Geld beim Opfer einfordern – und hätte vor Gericht dank der Ausweisprüfung gute Chancen, dies auch durchzusetzen. Auch wäre denkbar, dass der Angreifer ein Konto im Namen des Kunden eröffnet und für Betrügereien missbraucht – mit der Folge, dass das Opfer für diese Taten verantwortlich gemacht wird.
Totalversagen
Zum Glück gibt es eh kaum Dienste, die wirklich mit dem ePerso genutzt werden können. SCHUFA und die Flensburg-Punkteauskunft schicken die Zugangsdaten bzw. Infos separat per Post, sodass der Ausweis hauptsächlich als Formularausfüllhilfe dient, und ansonsten kann man damit Onlinepetitionen unterschreiben und kommt vielleicht bei ein paar Versicherungen ins Kundenmenü. Kurz: Unabhängig von den Sicherheitsproblemen hat das Projekt versagt.
Wie in diesem Beitrag erklärt, bin ich der Meinung, dass der ePerso vor allem als Instrument zur Zerstörung der Freiheit und Anonymität im Netz taugt und früher oder später auch dafür verwendet werden wird. Entsprechende Forderungen hat der Bundesinnenminister Friedrich erst gestern wieder gebracht. Wie das aussehen wird, sobald die Mehrheit der Bevölkerung einen ePerso besitzt, ist also absehbar. Wenn Kritik nicht mehr Anonym geäußert werden darf, leidet die Meinungsfreiheit massiv, da viele sich aus Angst vor möglichen Folgen nicht trauen, ihre Meinung zu sagen.
Davon abgesehen ist der ePerso eine sinnlose Wirtschaftsförderungsmaßnahme auf Steuerzahlerkosten. Neben den subventionierten Starterkits sieht man das am Besten daran, dass die Bürger ihre Signaturzertifikate von privaten Unternehmen kaufen müssen (für rund 20 Euro pro Jahr), statt sie zusammen mit dem Personalausweis direkt zu erhalten.
Die Entwicklung und Einführung des Ausweises sollen “nur” rund 50 Millionen gekostet haben. Gegenüber dem alten Ausweis müssen die Bürger für den ePerso rund 20 Euro mehr zahlen. Bei 6,5 Millionen neuen Ausweisen pro Jahr kommen auf die Bürger jährliche Mehrkosten von 130 Millionen zu. Es ist also nie zu spät, das Projekt noch einzustampfen!
Apropos Signatur: Die geht mit dem Ausweis immer noch nicht, weil die entsprechende Version der AusweisApp auf sich warten lässt. Genauso übrigens, wie eine auf MacOS lauffähige Version.
Gegenmaßnahmen
Folgende Dinge können getan werden, um den Angriff zu erschweren bzw. zu verhindern:
Nutzer können:
- Den neuen Ausweis nicht im Internet nutzen, niemals an Lesegeräte halten und ggf. in einer abschirmenden Hülle transportieren
- Wenn sie den Ausweis im Netz nutzen wollen, ausschließlich Lesegeräte der höheren Sicherheitsstufen (eigenes PIN-Pad) einsetzen und die PIN ausschließlich auf dem Lesegerät eingeben. Weiterhin muss das eigene System sicher und virenfrei gehalten werden!
- Ihren alten Ausweis solange es geht behalten
- Plugins, die Chipkartenzugriffe erlauben, deinstallieren.
Reiner SCT (bzw. die für den Kern des Plugins verantwortliche Firma) kann:
- Die Sicherheitsabfrage vor jedem Zugriff auf das Lesegerät stellen (sollte nur bei Loginvorgängen nötig sein) und sie deutlicher formulieren
- Die APIs des Plugins einschränken, sodass Websites nur noch vordefinierte Funktionen der Karten auslösen können
Das hilft aber nur, wenn alle Hersteller vergleichbarer Plugins das auch tun.
Die Projektverantwortlichen können:
- Die unsicheren Basislesegeräte endlich abschaffen (nicht mehr für die Nutzung mit dem ePerso zulassen). Das ist die einzige Möglichkeit, die das Problem wirklich löst. Allerdings sind die besseren Geräte teuer und somit nicht gerade gut für die Akzeptanz.
- Das Projekt begraben und nicht noch mehr Geld verschwenden
- Die AusweisApp so umbauen, dass sie exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt. Das würde Angriffe erschweren oder verhindern, allerdings nur, solange die AusweisApp auch läuft.
Aufgrund der Reaktion des BMI auf meinen ersten Angriff (falsche Behauptung, ich hätte den Angriff länger gekannt und absichtlich zurückgehalten) musste ich leider mit Versuchen rechnen, diese Angriffsmöglichkeit zu vertuschen. Daher habe ich mich entschieden, die Hersteller vor der Veröffentlichung nicht zu benachrichtigen (außer im Fall der XSS-Lücke). Am Besten vor dem Angriff schützen kann sich immer noch der Nutzer allein (durch Deinstallation der Browserplugins), sodass möglichst schnelle öffentliche Aufklärung über diese Gefahr meiner Meinung nach sinnvoll ist.
Die Schuld an dieser Lücke sehe ich übrigens weniger bei den Pluginentwicklern, auch wenn es keine gute Idee und ziemlich unnötig ist, Websites uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Das Hauptproblem ist die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser) nicht nur zu verwenden, sondern auch noch aus Steuergeldern zu fördern.
Technische Details
Das OWOK/SIZCHIP-Plugin erlaubt es der Website, per JavaScript einen Kanal zur Chipkarte zu öffnen und darüber beliebige Befehle (APDUs) zu schicken (und die Antworten zu lesen). Ein Angreifer würde diese Befehle von einem Server abholen, auf welchem eine AusweisApp (oder eine äquvivalente Software) läuft. Statt an ein echtes Lesegerät würden die APDUs, die die AusweisApp an die Karte schicken will, über AJAX zum JavaScript im Browser des Opfers geschickt. Dort würden sie über das Plugin an den Ausweis gesendet, und die Antwort würde auf dem umgekehrten Weg wieder zur AusweisApp kommen.
Ich habe hierzu zwei Proof-of-concepts erstellt. Für beide muss ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte (nicht unbedingt ein Ausweis) vorhanden sein.
Einer (attackwebsite) basiert auf der falschen AusweisApp (die bereits im “FSK18-Bereich” der Piratenpartei zu sehen war). Er demonstriert, wie ein kompletter Angriff ablaufen würde. An den Ausweis (bzw. die Karte) wird hier nur der Befehl zum Auswählen der ePass-Anwendung geschickt, sodass man die unterschiedlichen Antworten von Ausweisen im Vergleich zu anderen Karten sehen kann.
Der zweite PoC (shellserver) implementiert das Abholen der Befehle über AJAX. Es kann entweder zum einfachen Testen ein fest im Server eingetragener Befehl an das Opfer geschickt werden, oder aber die Karte auf dem Lesegerät des Opfers wird an eine modifizierte cyberflex-shell angeschlossen, von wo dann beliebige Anfragen gestellt werden können.
Die PoCs kann man hier herunterladen, den ersten davon gibt es auch live unter https://fsk21.piratenpartei.de.
Den XSS-Angriff habe ich an Heise mit Bitte um Verifikation und anschließende Weiterleitung an den Seitenbetreiber gemeldet. Die Redaktion konnte ihn nachvollziehen.
Einsortiert unter:Überwachungsstaat, Datenschutz, Grundrechte, Internet, Piraten, Politik, Sicherheit, Sonstiges, Statische Tags, Technik, Verbraucherrechte Tagged: ajax, angriff, ausweis, ausweisapp, e-perso, eID, eperso, identitätsdiebstahl, javascript, kartenleser, nPa, owok, personalauwseis, phishing, pin, plugin, remote, sizchip, smartcard, social engineering
Argumente gegen (Anti-)Terrorgesetze
Auf einer Mailingliste innerhalb der Piratenpartei wurde vor kurzem über allgemeine Argumente gegen neue bürgerrechtsfeindliche (Anti-)Terrorgesetze diskutiert. Meinen Beitrag möchte ich auch hier etwas breiter publizieren:
Verhältnismäßigkeit
Auch wenn dies zweifelslos die Zahl der Verkehrstoten reduzieren würde, käme niemand auf die Idee, deutschlandweit eine Geschwindigkeitsbegrenzung auf 30 km/h einzuführen – denn das wäre völlig überzogen, die Schäden, die daraus resultieren würden, stehen in keinem Verhältnis.
Bei Anti-Terror-Maßnahmen, deren Wirkung im Vergleich zum Tempolimit überdies zweifelhaft ist, wird diese Abwägung leider gerne übersehen. Selbst wenn diese Maßnahmen tatsächlich Terroranschläge verhindern könnten, stehen die damit verbundenen Schäden, die an unserer Freiheit, an unseren Grundwerten entstehen, in keinem Verhältnis dazu.
Leider sind Einschränkungen der Bürgerrechte nicht so direkt spürbar, wie ein Tempolimit – doch wenn wir nach und nach unsere Bürgerrechte aufgeben, zerstören wir unsere freiheitliche Gesellschaft. Wir würden genau das tun, was die Terroristen möchten, aber mit ihren Bombenanschlägen ohne unsere ‘Hilfe’ nie erreichen würden.
Zum Vergleich sollte man sich vor Augen führen, dass wir trotz 50.000 Toten im deutschen Straßenverkehr von 2001 bis 2010 nicht in blinden Aktionismus verfallen. Genau wie wir uns im Straßenverkehr auf sinnvolle und zurückhaltende Sicherheitsmaßnahmen beschränken, müssen wir dies auch bei der Bekämpfung von Terrorismus tun.
Genausowenig, wie wir auch auf diese riesige Anzahl Verkehrstoter mit einem Verbot des Straßenverkehrs oder einer bundesweiten Tempo-30-Zone reagieren, dürfen wir auf die bloße Gefahr von Terroranschlägen mit überzogenen Maßnahmen wie der Überwachung aller Bürger reagieren.
Terroristen können bloß töten. Nur überreagierende Politiker können unsere Gesellschaft zerstören. Von ihnen geht die wirkliche Gefahr aus – und gegen diese Gefahr wenden wir uns.
(Siehe auch dieser Beitrag von “Nano”)
Ursachen
Wir könnten auch aufhören, uns in jeden internationalen Konflikt einzumischen. Damit dürfte die Terrorgefahr deutlich stärker sinken, als durch die Einführung irgendwelcher Terrorgesetze. Ganz verschwinden wird sie jedoch nie – genauso, wie man selbst mit den strengsten Gesetzen nie alle Anschläge verhindern können wird.
Selbstverständlich ist es wünschenswert, die Freiheit von Menschen in anderen Ländern zu schützen und zu fördern. Wir dürfen aber nicht zulassen, dass die Folgen dieser Einsätze unsere eigene Freiheit gefährden. Solange die einzige Antwort, die wir auf eine leicht gesteigerte, abstrakte Terrorgefahr kennen, ein drastischer Abbau unserer Bürgerrechte ist, können wir uns solche Einsätze einfach nicht leisten.
Wirkungen und Nebenwirkungen
“Herr Nachbar, was machen Sie da in ihrem Garten?”
“Ich streue Pulver gegen Elefanten.”
“Aber hier gibt es doch gar keine Elefanten!”
“Na dann sehen Sie mal, wie das Pulver wirkt!”
Genauso wie der Nachbar sein Elefantenpulver streuen Innenminister gerne (Anti-)Terrorgesetze, deren Wirkung recht zweifelhaft ist. Wenn es dann gar keine Terroranschläge gibt, wird das als Zeichen gewertet, dass die Gesetze wirken, und man ganz dringend noch mehr davon braucht. Über Nebenwirkungen, wie den Abbau unserer Freiheitsrechte, macht man sich hierbei keine Gedanken.
Die wenigen versuchten Terroranschläge, die es in Deutschland gab, hatten meist von vorne herein wenig Aussicht auf Erfolg – und wurden meist nicht mit Hilfe der neuen Befugnisse aus den Terrorgesetzen aufgedeckt, sondern durch andere Mittel.
Die Mittel aus den Terrorgesetzen hingegen werden immer wieder eingesetzt, um unschuldige Bürger auszuspähen – wie man am zum Beispiel Handydatenskandal in Dresden sehen konnte.
Der Begriff “Antiterrorgesetze” wurde in den Medien ab und zu als “Terrorgesetze” abgekürzt. Eines Tages fiel jemandem auf, dass diese Bezeichnung eigentlich viel passender ist, weil erst diese Gesetze die eigentliche Wirkung des Terrors entfalten und sie durch die Einschränkungen der Bürgerrechte die Bevölkerung terrorisieren. Daher steht auch bei mir das “Anti” in Klammern (und manchmal gar nicht) da.
Einsortiert unter:Überwachungsstaat, Datenschutz, Demokratie, Grundrechte, Piraten, Politik, Polizeistaat, Sicherheit, Sonstiges, Statische Tags Tagged: anti-terror-gesetze, argumente, auslandseinsätze, elefantenpulver, terrorgesetze, terrorismus, verkehrstote
Panzer nach Saudi-Arabien!
Bundes-un-freiwilligendienst
Die Regierung ist überrascht – ohne Pflicht findet sich kaum noch jemand, der gerne Zivildienst machen möchte. Das hat sicher nichts damit zu tun, dass in der heutigen Gesellschaft alles schnell-schnell gehen muss, vor allem der Einstieg ins Berufsleben, nachdem man Turbo-Abi und Bologna-Studium in höchstens der vorgesehenen Zeit abgeschlossen zu haben hat.
Seltsam, dass der “Bundesfreiwilligendienst” nicht genug Freiwillige findet, um Massen von zwangsweise verpflichteten Billigarbeitskräften zu ersetzen, oder? Sicherlich gab es Leute, die sich bewusst für den Zivildienst entschieden haben. Den Großteil dürften aber diejenigen bilden, die nicht durch den Schlamm robben und sich anbrüllen lassen wollen. Wer sich wirklich sozial engagieren möchte, dürfte das an anderer Stelle tun, statt freiwillig umsonst reguläre Arbeitsplätze zu ersetzen. Da hilft auch kein Gerede davon, wie wichtig (formal nachweisbares!) soziales Engagement im Lebenslauf ist.
Ich sehe drei Möglichkeiten, wozu das Ganze führen kann:
Im Idealfall würden die Zivi-Jobs durch reguläre, bezahlte Arbeitsplätze ersetzt. Das würde aber das Gesundheitswesen verteuern und das Geld müsste irgendwo herkommen. Da mal wieder Bundestagswahl ansteht und somit die FDP mal wieder Steuersenkungen braucht, ist das unwahrscheinlich.
Alternativ kann man natürlich das Gesundheits- und Pflegesystem noch weiter den Bach runtergehen lassen, indem die Stellen nicht ersetzt werden. Kranke und Pflegebedürftige bringen ja wirtschaftlich nichts, also kann man dort ja genausogut einfach sparen – so eine Denkweise würde zumindest zur Einstellung der schwarz-gelben Regierung passen. Aber die dritte Option ist viel verlockender:
Der Bundesfreiwilligendienst wird unfreiwillig. Diesmal nicht für Jugendliche, die man dringend über Turbo-Abi und Turbostudium schnellstmöglich zu wertvollen Arbeitskräften verarbeiten will, sondern für diejenigen, die gerade viele Anhänger der Regierungsparteien als wertlosen, asozialen, faulen Abschaum sehen: Arbeitslose. Diese Variante halte ich für sehr wahrscheinlich, denn die Regierung würde damit viele Fliegen mit einer Klappe schlagen.
Die “faulen asozialen Schmarotzer” bekommen unter allgemeinem Applaus der typischen Klientel von CDU/FDP endlich was zu tun, und können sich nicht in der “sozialen Hängematte ausruhen”. Indem ALG2-Empfänger zur Zwangsarbeit abkommandiert werden, gewinnen die Regierungsparteien unter ihrer Klientel deutlich an Zustimmung.
Wo der Staat ansonsten Geld für Arbeitskräfte ausgeben musste, kann künftig umso mehr gespart werden, während die “Freiwilligen” diese Arbeiten übernehmen. Besser wird das Gesundheitswesen dadurch nicht (auch wenn man das natürlich gut behaupten kann, um Pluspunkte zu sammeln), aber vielleicht billiger. Die Mehrwertsteuern für Hoteliers sind ja immer noch viel zu hoch, oder?
Gleichzeitig “löst” man das selbstgeschaffene Problem mit dem Mangel an Freiwilligen. Der Dienst wird weiter Bundesfreiwilligendienst heißen, aber er mehr zu einem Bundes(zwangs)arbeitsdienst verkommt. Verkauft wird das Ganze natürlich als Wiedereingliederungsmaßnahme o.ä., da mangelt es ja nicht an Kreativität. Vielleicht bleibt der Dienst auf dem Papier weiter freiwillig, aber die Teilnahme wird für viele Arbeitslose als Wiedereingliederungsmaßnahme angeordnet, oder als “freiwillige” Möglichkeit angeboten, um ein niedriges Zusatzeinkommen zu erhalten und das ALG2 auf menschenwürdiges Niveau zu bringen. Alternativ wäre es auch denkbar, dass der Dienst das ALG2 weitgehend ersetzt, oder sich auch ohne direkte Intervention durch die ARGEn als schlecht, aber immerhin etwas bezahlte “Ersatzarbeit” für Arbeitslose etabliert.
Das mag zwar alles nach einer guten Idee klingen. Die immer stärkere Einführung von Billigarbeit über 1-EUR-Jobs, Aufstocker, Arbeitsbeschaffungsmaßnahmen und ähnliche Geschichten hat aber eher zu mehr Lohndumping und größerer Armut denn zu besseren Lebensbedingungen geführt. Für Menschen, die z. B. aus gesundheitlichen Gründen nicht mehr arbeiten können, dürfte das eine weitere Verschlechterung der Situation darstellen. Darunter fallen auch die, die durch die immer stärkere Beschleunigung (Turbo-Abi, Turbo-Studium) oder ihre Arbeit psychisch krank gemacht wurden (z. B. Burnout). Zudem dürften die Betroffenen kaum mit angemessenen Arbeitsbedingungen rechnen – schließlich hätten die un-freiwilligen Arbeiter keine Wahl und auch keine Mittel, sich gegen unmenschliche Behandlung zu wehren.
Der freiwillige Bundesfreiwilligendienst dürfte keine Chance haben. Das unausweichliche Scheitern, vielleicht von vorne herein einkalkuliert, wird hingegen eine willkommene Gelegenheit darstellen, Zwangsarbeit zu schaffen und den Sozialstaat weiter auszuhöhlen.
Einsortiert unter:Grundrechte, Newskommentare, Piraten, Politik, Sonstiges, Statische Tags Tagged: alg2, arbeitsmarkt, arbeitspflicht, bundesfreiwilligendienst, hartz 4, lohndumping, soziales, sozialhilfe, sozialstaat, vorhersage, wehrdienst, zivildienst, zwangsarbeit
Einschätzung des SCHUFA-Hacks
Wie Gulli berichtet und die Piratenpartei kommentiert hat, wurde die SCHUFA gehackt (in den Kommentaren bei Gulli gibts/gab es Details). Zunächst betraf das “nur” den Webserver. Die Lücke bestand laut Beschreibung im Gulli-Forum darin, dass das Skript, was Dateien wie Formulare zum Download ausgeliefert hat, den Download beliebiger Dateien von der Platte des Servers erlaubte. Da die eigentliche SCHUFA-Datenbank natürlich hoffentlich nicht auf diesem Webserver liegen dürfte, ist in der Theorie erstmal keine unmittelbare Gefahr gegeben, weil man über die Lücke ja “nur” Dateien auf diesem Server herunterladen kann. Diese Position vertritt natürlich auch die SCHUFA, ein Datenleck zuzugeben wäre für ihr Geschäft nicht gerade förderlich.
Der Angreifer konnte also mehr oder weniger beliebige Dateien vom Server herunterladen. So ein Fehler in einer Webanwendung ist ein ziemlicher Anfängerfehler, der auf so einem kritischen Server eigentlich nicht passieren darf. (Das sieht der Experte der Tagesschau übrigens genauso.) Wie schon bei der kaputten SSL-Implementierung bei der AusweisApp sieht man, dass die Annahme “so doof können die nicht sein” keine Garantie dafür ist, dass in einer kritischen Anwendung solche dummen Fehler wirklich nicht vorhanden sind. Dass es dem kaputten Skript wohl auch möglich war, auf Dateien außerhalb des eigentlichen Websiteverzeichnisses zuzugreifen, deutet außerdem darauf hin, dass mit der Rechte- und Benutzerkontenverwaltung auf dem Server auch eher “locker” (lies: schlampig und ohne wirklich auf Sicherheit Wert zu legen) umgegangen wurde. Daran, dass für die Schufa Datenschutz und Datensicherheit “seit jeher eine hohe Priorität” hätten, lässt es genauso zweifeln wie am Sicherheitszustand des restlichen Netzes bei der SCHUFA.
Das wird in dem Moment wichtig, wenn man sich klar macht, auf was für Daten mit der Lücke Zugriff möglich war: Der Server muss irgendwie auf die SCHUFA-Datenbank im Hintergrund zugreifen können. Natürlich wäre es möglich, dass hier irgendein ausgeklügeltes Verfahren genutzt wird, bei dem der Zugriff erst freigegeben wird, wenn der sichere Server am anderen Ende das Login des Kunden geprüft hat. Angesichts der oben genannten Punkte halte ich es jedoch für sehr unwahrscheinlich. Am Wahrscheinlichsten ist es, dass irgendwo auf dem gehackten Webserver die Zugangsdaten für die Datenbank im Klartext herumlagen und darüber die Datenbank ausgelesen werden kann. Ein Angreifer konnte diese Zugangsdaten höchstwahrscheinlich mit vertretbarem Aufwand (configdatei finden) bekommen.
Wenn die Schufa schlau genug war, den Datenbankserver hinter eine Firewall zu stellen (so blöd, es nicht zu tun, kann man eigentlich nicht sein, aber siehe oben), bringen diese Zugangsdaten dem Angreifer aber zunächst nichts, weil er sich zu dem Server gar nicht verbinden kann – das ist dann aber die letzte verbleibende Hürde. Gelingt es ihm, z. B. über vom Webserver geklaute Passwörter in den Webserver einzudringen, oder in einen beliebigen anderen Rechner im Netz der SCHUFA, der auch Zugriff auf den Datenbankserver hat (das könnte eingeschränkt sein – könnte…), kann er sich an der Datenbank bedienen. Vielleicht stehen da “nur” die Daten der Leute an, die meineschufa.de nutzen, es ist aber mindestens genauso wahrscheinlich, dass der Angreifer sich dann beliebige SCHUFA-Datensätze anschauen und herunterladen kann. Solche Angriffe auf weniger gesicherte “unwichtige” Rechner, um sie als Brücke ins Netz zu benutzen, sind üblich und bei vielen Angriffen wie z. B. dem auf Google beobachtet worden. Über weitere Angriffe mit dieser Lücke als Einstiegspunkt dürfte also vieles möglich sein.
Selbst wenn mehr Schutzmaßnahmen getroffen würden – wenn es einem Angreifer gelingen würde, den offensichtlich mies gesicherten Webserver komplett zu übernehmen, könnte er zumindest die darüber laufenden Daten abfangen, also die Daten derjenigen, die meineschufa.de nutzen, während der Angreifer Zugriff hat. Die Lücke wurde zwar als “Local file inclusion” bezeichnet, da die Dateien aber scheinbar so wie sie auf der Platte lagen ausgeliefert wurden und PHP-Skripte nicht geparst wurden, würde ich eher von “Local file disclosure” sprechen. Das ist insofern etwas weniger gefährlich, als über diese Lücke vermutlich wenigstens “nur” Daten ausgelesen, aber keine Programme auf den Server geschleust werden können. Andere Lücken, die das (und damit die Übernahme des Servers) erlauben, könnten jedoch durchaus existieren.
Meiner Meinung nach kann man die Situation also folgendermaßen zusammenfassen:
- Der Server wurde gehackt, das hat die SCHUFA bestätigt
- Die Sicherheit lässt sehr zu wünschen übrig
- Die SCHUFA-Daten konnten vermutlich nicht direkt ausgelesen werden, aber
- ich halte es für wahrscheinlich, dass ein Angreifer mit etwas Mühe gute Chancen gehabt hat, auch an die SCHUFA-Daten selbst zu kommen.
Jetzt stellt sich natürlich die Frage: Was nun? Zunächst muss natürlich die Lücke selbst geschlossen werden. Indem die SCHUFA das kaputte Download-Skript gelöscht hat, ist diese Gefahr vorerst gebannt. Dann müssen auch alle potentiell betroffenen Zugangsdaten für die Datenbank und sonstige Server geändert werden – denn sonst könne ein Angreifer die vor kurzem gestohlenen Daten in ein paar Wochen, nachdem die eigentliche Lücke schon geschlossen ist, nutzen, um die Datenbank auszulesen. Hier müssen wir hoffen, dass die SCHUFA sich nicht die Mühe spart und darauf verzichtet, “weil man ja von außen eh nicht an die Datenbank drankommt”. Schließlich – und das ist der schwierigste Teil – muss anhand von Logs geprüft werden, ob die Lücke bereits missbraucht wurde, und wenn z. B. Zugangsdaten gestohlen wurden, ob diese missbraucht wurden. Ich bezweifle, dass es ausreichend weit zurückreichende Logs geben wird, um das für die Zeit seit Bestehen der Lücke ausschließen zu können. Somit dürfte nicht eindeutig zu klären sein, ob Daten geklaut wurden oder nicht. Ganz abgesehen davon muss die SCHUFA natürlich massiv an der Sicherheit ihrer Server arbeiten.
Eines muss man der SCHUFA (bisher) jedoch zugute halten: Sie hat soweit ich weiß nicht versucht oder gedroht, dem ehrlichen Hacker, der die Lücke gemeldet hat, irgendeine Form von Ärger zu machen. Das ist eigentlich eine Selbstverständlichkeit und liegt im Interesse der betroffenen Firma – ehrliche Hacker, die Lücken melden, helfen die Sicherheit zu verbessern. Würde eine Firma einen solchen Hacker bedrohen, werden andere dadurch a) wütend b) angesport weitere Lücken zu finden vor allem c) auf gefundene Lücken nicht hinweisen, sondern sie veröffentlichen oder nutzen um Schaden anzurichten – und das ganze natürlich so, dass sie nicht zurückverfolgt werden können. Leider kommen solche Drohungen immer noch viel zu oft vor.
Der Vorfall zeigt auch einige interessante Probleme auf:
Sicherheit kann nicht nachgerüstet werden. Die Sicherheit muss bereits bei der Entwicklung von Software bedacht werden – nachträgliche Tests und Überprüfungen sind sinnvoll, können das aber nicht ersetzen. Irgendwas wird immer übersehen. Hier haben die Entwickler offenbar nicht ausreichend über Sicherheit nachgedacht, als sie das Downloadsystem entwickelt haben. Das ist gerade in einem solchen sicherheitskritischen Bereich eigentlich völlig inakzeptabel.
Datenschutz lohnt sich nicht. Es gibt keine empfindlichen Strafen, wenn jemand Daten nicht ausreichend schützt. Natürlich ist es nicht gut für den Ruf und fürs Geschäft, wenn solche Lecks passieren, aber das scheint als Motivation nicht auszureichen. Würden für Datenlecks Strafen von ein paar Euro pro Datensatz drohen, wäre gerade bei große Datenbanken die Absicherung plötzlich finanziell sehr attraktiv.
In kritischen Bereichen wird massiv geschlampt. Selbst bei so kritischen Servern wie in diesem Fall bei der SCHUFA wird an der Sicherheit gespart und es werden grobe Fehler gemacht. Wie viele andere wichtige Systeme genauso schlecht gesichert sind? Hier sei exemplarisch nur auf SCADA verwiesen, die Industriesteueranlagen, die von der Chemiefabrik bis zum Atomkraftwerk alles Mögliche kontrollieren und meist auf völlig veralteter Software laufen, mit kaum vorhandenen Sicherheitsmaßnahmen (siehe Vortrag auf einem CCC-Kongress).
Einsortiert unter:Datenschutz, Grundrechte, Internet, Newskommentare, Piraten, Politik, Sicherheit, Sonstiges, Statische Tags, Technik, Verbraucherrechte Tagged: datenbank, file disclosure, file inclusion, gehackt, hack, schufa, sicherheitslücke, unsicher
Volker Pispers hat leider keine Zeit für den nächsten BPT
Der referenzierte Radiobeitrag wurde direkt nach dem Bundesparteitag in Heidenheim ausgestrahlt und steht - selbstverständlich - bei den öffentlich rechtlichen Sendern nicht mehr zur Verfügung. Auf jeden Fall ein Piratenthema!
Sehr geehrter Herr Pispers,
mit großer Freude habe ich Ihren Radiobeitrag über den Parteitag der liberalen ähm Piratenpartei gehört.
Auch wenn mir bewußt ist, daß Sie und die meisten Ihrer Kollegen sich nicht von Parteien vereinnahmen lassen wollen (wie auch ihr geschätzter Kollege Herr Georg Schramm gezeigt hat - Georg Schramm im Europapark), möchte ich Sie auf diesem Wege fragen, ob Sie Lust und Laune hätten, auf dem nächsten Bundesparteitag der Piraten - vermutlich Ende des Jahres - aufzutreten und uns mal so richtig einzuheizen?
Ja, Sie haben richtig gelesen. Wir Piraten leisten uns den Luxus mehrerer Parteitage im Jahr. Immerhin hat die Wahl des Vorstandes in Heidenheim die kompletten zwei Tage benötigt. Nicht auszudenken, wenn wir wie die FDP drei Tage gehabt hätten... dann hätten wir durch Satzungsänderungen den Vorstand so vergrößern müssen, daß der dritte Tag auch weg gewesen wäre.
Doch ich schweife ab, denn ich denke, Sie wollen überzeugt werden. Mit Argumenten. Möglicherweise auch mit Geld und da habe ich ein paar ganz interessante Punkte für Sie.
Seitdem die Piratenpartei zwar nicht von den Medien aber doch von immerhin 2% der Bürger wahrgenommen wird, erhalten wir ein fettes Stück vom großen Kuchen der Parteienfinanzierung. Und weil dem so ist, können wir jetzt zweimal im Jahr Parteitage ausrichten und es bleibt immer noch was für Rum und Club Mate für den Vorstand übrig. Das ist IHR Geld! Also ihre Steuern - ich nehme doch an, daß sie welche zahlen? Die könnten Sie sich also quasi wiederholen, mit so einer Art Kulturflatrate nur für Sie.
Dem nicht genug kennen die meisten Piraten Sie und finden Sie auch total toll. Immerhin haben erwiesenermaßen 120% aller Mitglieder ihre Veröffentlichungen schon mal raubkopiert oder illegal auf Youtube gesehen und - noch besser - per Link weiterverbreitet. Bedenken Sie bitte, daß Sie vermutlich keiner kennen würde, wenn Ihre Werke nicht kostenlos und gemeinnützig über das Netz verteilt würden oder glauben Sie etwa wirklich, daß mehr als 0,5% der Menschheit 3Sat sehen?
Nun können Sie uns das vergelten, indem Sie mal live vor Ort auftreten. Das wäre sicherlich für viele Piraten ein besonderes Erlebnis, denn manche glauben einfach nicht, daß Sie wirklich existieren (also ähnlich wie Bielefeld). Sie brauchen auch keine Angst haben, wir Piraten werden Sie wegen unbequemen Wahrheiten bestimmt nicht ausbuhen wie die CDU den Herrn Schramm. Nein! Für so was haben wir immer eine Planke oder einen Strick parat, man kann ja nie wissen!
Wichtige Themen kann ich Ihnen auch schon nennen: Feminismus und Kommunismus. Einmal ein kleines Binnen-I dazwischengestreut und die Aufmerksamkeit des Auditoriums ist Ihnen gewiß. Und beim Kommunismus ist uns die Revolution ja auch ein Anliegen, sofern Sie auf Twitter und Facebook beschränkt ist. Natürlich.
Es würde mich sehr freuen, von Ihnen zu hören. Immerhin handelt es sich hier um ein Angebot, daß man nicht ablehnen kann. Oder wollen Sie etwa, daß es Ihnen wie Ihrem Kollegen Nuhr ergeht? Ich glaube kaum.
Mit freundlichen Grüßen
Ernst Preussler
Pirat
Landesverband Hessen
Zensus: Fragebogennummer im Adressfeld
Gerade hat mich jemand kontaktiert, der per Post einen Fragebogen zur Wohnungszählung bekommen hatte. Auf dem Antwortumschlag, in dem man das Teil zurückschicken soll, ist ein (kleiner) rechteckiger DataMatrix-2D-Barcode. Dieser kennzeichnet scheinbar nur, dass es sich um eine Werbeantwort handelt, enthält jedoch keine weiteren Daten (z. B. irgendwas, womit man Absender oder Empfänger identifizieren könnte) – er entspricht exakt dem Beispielbarcode, den die Post auf ihrer Website zu ResponsePlus in einem Beispiel zeigt. (Offiziell muss der Befragte das Porto zahlen, weil viele es aber nicht tun werden und die Zensusämter gerne den Brief trotzdem haben wollen ohne Strafporto zu zahlen, ist das Teil als Antwort gekennzeichnet – d.h. das Porto zahlt bei unfrankierten Briefen der Empfänger. Mehr dazu auch im lawblog von Udo Vetter)
Auf dem Fragebogen, der per Post verschickt wurde, steht im durch das Fenster im Umschlag sichtbare Adressfeld ein weiterer DataMatrix-Barcode, der als Freimachung dient. In dieser Freimachung kann eine Art Referenznummer/Kommentar untergebracht werden – bekannt wurde das, weil einige Banken es für eine gute Idee hielten, dort (also von außen lesbar!) die Kontonummer unterzubringen. Nachdem ich den DataMatrix-Code zugeschickt bekommen und mit bcTester dekodiert hatte, schickte ich den Inhalt des Barcodes an die Person, der der Fragebogen gehörte – und diese bestätigte mir, dass darin die Fragebogennumer kodiert ist.
Die Fragebogennummer kann somit von außen eingesehen werden, ohne den Umschlag zu öffnen. Jetzt stellt sich natürlich die Frage, ob das ein Problem darstellt, und darauf weiß ich keine Antwort. Falls jedoch die Anonymisierung der Daten über die Fragebogennummer durchgeführt wird, könnte es ein Problem sein – wenn die Daten anonymisiert werden, indem sie getrennt vom Namen unter der Fragebogennummer abgelegt werden, wäre die Zuordnung Fragebogennummer-Adresse nicht ganz unproblematisch. Solange die aber nur auf dem Umschlag steht, wäre das jetzt nicht so das Problem. Es ist aber möglich, dass die Informationen, die im Barcode stehen, auch noch bei der Post landen und dort ggf. zusammen mit der Adresse gespeichert werden. (Ob das der Fall ist, weiß ich nicht!)
Wenn also 1. die Anonymisierung über die Fragebogennummern erfolgt und 2. die Post die Informationen aus dem Barcode inkl. der dazugehörigen Adresse speichert, dann existiert eine Datenbank außerhalb der Kontrolle der Statistikämter, die eine Deanonymisierung der Zensusdaten ermöglichen würde.
Das ist also ein großes “wenn” – es ist nicht klar, ob die Nummer in den Barcodes überhaupt ein Problem ist. Trotzdem wollte ich es hier erwähnen, vielleicht sieht jemand damit noch weitere Probleme oder findet es aus irgendeinem anderen Grund interessant. Für sich allein genommen dürfte die Fragebogennummer relativ uninteressant sein, in den Hinweisen zum Fragebogen steht:
Die Fragebogennummer enthält eine frei vergebene Ziffernfolge und ermöglicht es, den Fragebogen der betreffenden Person zuzuordnen. Darüber hinaus enthält sie eine Prüfziffer. Sie enthält aber keinerlei Informationen zu der betreffenden Person.
Warum die Nummer auf diese Art, von außen sichtbar, eingebaut ist? Einerseits kann man so unzustellbare Briefe maschinell einfacher zuordnen, ohne sie öffnen zu müssen um an den innenliegenden Barcode auf dem Fragebogen zu kommen. Andererseits kann es auch einfach sein, dass bei der Erstellung der Barcodes eine Referenznummer angegeben werden kann/soll/muss und dafür eben die Fragebogennummer genommen wurde.
Zu beachten ist: Die Fragebögen werden AFAIK nicht zentral für ganz Deutschland verschickt, d.h. es kann regionale Unterschiede geben. Bei dem Fragebogen, um den es hier geht, handelt es sich um den Bogen zur Gebäude- und Wohnungszählung, nicht um die Haushaltebefragung.
Die Barcodes kann man übrigens mit passender Software mit jedem ordentlichen Smartphone dekodieren. Wenn die Druckqualität so schlecht ist, dass eine Erkennungssoftware versagt (viele Programme scheinen generell nicht richtig zu funktionieren) kann es helfen, den Barcode vorher etwas unscharf zu rechnen (Gaussfilter). Vielen Dank an die Person, die die Barcodes zur Verfügung gestellt hat und die Idee mit dem Deanonymisierungsproblem hatte!
Einsortiert unter:Überwachungsstaat, Datenschutz, Piraten, Politik, Sicherheit, Sonstiges, Technik Tagged: 2d-barcode, adresse, adressfeld, barcode, bctester, datamatrix, fragebogen, fragebogennummer, kontonummer, post, postmatrix, strichcode, zensus
Plagiatsdoktor-Count: Neun
Langsam wirds zu viel für mein Linkblog, deswegen habe ich die Sammlung hierher verschoben. Das wären schon vier fünf neun Doktortitel, die wegen Plagiaten weg (aberkannt, zurückgegeben, …) oder in Gefahr sind:
- Karl-Theodor zu Guttenberg (CSU) – weg
- Silvana Koch-Mehrin (FDP) – Verfahren läuft
- Matthias Pröfrock (CDU) – Verfahren läuft
- Veronica Saß (Tochter von Edmund Stoiber (CSU)) – weg
- Jorgo Chatzimarkakis (FDP) – Plagiatsverdacht
Mehr Infos gibts übrigens beim VroniPlag Wiki.
UPDATE:Die ganzen Fälle inkl. der vier Neuen habe ich mal im Piratenwiki in eine schicke Liste eingepflegt. Man könnte fast sagen, dass die Parteien- und Fachbereichstendenz sich bestätigt.
Der Fall von Matthias Pröfrock war mir neu, als ich die Liste erstellt hab. Kurz darauf gabs schon den Fall von Jorgo Chatzimarkakis – und der ärgert mich besonders ob der Dreistigkeit, mit der das Plagiieren verteidigt wird: Auf seiner Website weist er darauf hin, dass er verschiedene “Zitierweisen” benutzt habe, unter anderem “Zitate im Fließtext, nicht eingerückt und ohne Anführungszeichen, ausgewiesen durch Fußnote”. Um sicherzugehen, dass ich ihm kein Unrecht tue, habe ich mir die “Zitate” mal angeschaut, die Arbeit ist online verfügbar, die Plagiateliste auch. Und da werden ganze Seiten en bloc “zitiert”, mit einer Fußnote am Ende (Beispiel: Seite 55-56, Fußnote 115), ohne dass zu erkennen wäre wo das “Zitat” anfängt (böse Zungen würden sagen: Dort, wo das Ende des vorherigen durch die Fußnote erkennbar ist). Besonders schön ist, dass eines der “Zitate” wiederum einen (gekennzeichnet) zitierten Satz enthält, und die Fußnote dann passend bei diesem steht (Seite 54, Fußnote 113).
Interessant vielleicht auch die beteiligten Unis und Fachbereiche:
- Guttenberg: Bayreuth, Rechts- und Wirtschaftswissenschaften
- Koch-Mehrin: Heidelberg, Philosophie
- Pröfrock: Tübingen, Juristische Fakultät
- Saß: Konstanz, Rechtswissenschaft
- Chatzimarkakis: Bonn, Philosophische Fakultät
Ob der große Anteil der Jura-Fachbereiche (+ Rest Philosophie) damit zusammenhängt, dass Politiker oft Jura studieren, oder damit, dass im Jura- und Philo-Bereich überdurchschnittlich viele Studenten unterwegs sind die es mit ehrlicher Arbeit nicht so haben, weiß ich nicht.
Für eine statistisch fundierte Aussage reicht es ja (noch) nicht aus. Vielleicht ja beides und ggf. ist ja das eine auch die Ursache für das andere ;-)
Für die auffällige Häufung bestimmter Parteien könnte man das mit dem überduchschnittlichen Anteil natürlich auch…
Einsortiert unter:Demokratie, Newskommentare, Piraten, Politik, Sonstiges, Statische Tags, Unfair, Urheberrecht Tagged: cdu, csu, dissertation, doktor, doktorarbeit, doktortitel, fdp, guttenberg, plagiat, plagiate, uni, universität, wissenschaftliches arbeiten
Volkszählung: Online-Übermittlung unsicher
Aus aktuellem Anlass (die Fragebögen sollen bald raus und jemand der einen bekommen soll hat mich kontaktiert) habe ich mir den Zensus-Kram nochmal angeschaut und mir ist eine Sache aufgefallen: Laut dem Musterfragebogen zur Haushaltsbefragung: werden die Leute, die den Fragebogen online ausfüllen wollen, auf “www.zensus2011.de” geleitet – sollen die Seite also per unverschlüsseltem HTTP aufrufen. Das ist unsicher, und ob danach sofort eine Umleitung auf HTTPS erfolgt, ist im Fall eines aktiven Angriffs irrelevant, da die erste Anfrage über HTTP rausgeht und somit vom Angreifer manipuliert werden kann, bevor der Server überhaupt was mitbekommt und den Nutzer umleiten kann.
Um diese Art von Angriff zu demonstrieren, gibt es eine fertige Software namens “sslstrip” von Moxie Marlinspike. Schaltet man diese in die Leitung, so fängt sie https-redirects automatisch ab, sodass der Nutzer weiter http nutzt und die Daten im Klartext über die Leitung gehen. Ich weiß nicht wie weit die Software entwickelt ist, d.h. ob sie auch in diesem Fall ohne Anpassungen funktioniert, aber in dem Moment wo die erste Anfrage unverschlüsselt rausgeht, ist der Angriff machbar.
Um Missverständnisse zu vermeiden – das bedeutet NICHT
- dass die Server gehackt wären
- dass Daten schon offen/geklaut/geleakt wären
- dass jeder mit dem Tool einfach so sämtliche Zensusdaten abgreifen kann
- dass Daten im Normalfall (d.h. ohne Angriff) unverschlüsselt verschickt würden
- dass ein rein passiver Angreifer die Daten abgreifen könnte
Ein aktiver Angreifer kann aber die Daten abfangen. Es zeigt vor allem, dass Sicherheit offenbar nicht wirklich ernstgenommen wird – die Lösung wäre einfach gewesen ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist. Nachträglich könnte man das vermutlich am Besten mit einem zusätzlichen Infoblatt noch retten, was man zusammen mit den Fragebögen austeilen könnte.
Was bedeutet “aktiver Angreifer”? Wie auch die AusweisApp-Geschichte setzt dies voraus, dass der Angreifer den Datenverkehr nicht nur abhören, sondern auch manipulieren kann. Das ist nicht trivial, aber machbar und schon vorgekommen. In der IT- und Netzwerksicherheit geht man – nicht ohne Grund – eigentlich immer von einem sogenannten Dolev-Yao-Angreifer aus, der genau diese Möglichkeiten hat. Die Zertifikate, ein ziemlich komplexer Baustein bei SSL, sind auch nicht ohne Grund da. Die verschiedenen Methoden wie sowas passieren kann müsste ich mal ausführlicher bloggen, einige wären:
- DNS-Server der Domain manipulieren (wie z. B. beim Sicherheitsdienstleister Secunia passiert)
- DNS-Server/Cache des Providers manipulieren/vergiften
- DNS-Cache des Routers manipulieren/vergiften
- Falsches kostenloses WLAN
- Angreifer im gleichen Netzwerk (WG, Firma, Schule, verseuchter PC im Haushalt), dann ARP spoofing/poisoning (oder Kontrolle über Proxy/Router)
Diese Angriffe betreffen den Nutzer auch, wenn sein Computer an sich sicher ist! Um sich zu schützen, muss man vor dem Login prüfen, dass a) HTTPS verwendet wird und b) man immer noch auf der richtigen Seite ist.
Die Zensus-Seite für das Online-Ausfüllen ist noch nicht online – ob da noch weitere peinliche Lücken auftauchen weiß ich nicht, ich hoffe nur, dass Finder sie melden oder veröffentlichen statt sie zu missbrauchen.
Eine andere unschöne Geschichte ist noch, dass beim Zensus die ausgefüllten Fragebögen wahlweise bei den Interviewern gelagert werden (siehe auch: NPD ruft Mitglieder auf, Volkszähler zu werden) oder per Post eingeschickt werden können – aber nicht immer an die statistischen Landesämter, sondern teilweise an private Firmen an die der Kram outgesourced wurde.
Zur generellen Kritik am Zensus sei noch gesagt, dass der Zensus keineswegs anonym ist und die Daten jahrelang personenbeziehbar abgelegt sein dürfen. (“Hilfsmerkmale” sind die personenbezogenen Daten)
Abgefragt (und ggf. bei den Interviewern zuhause gelagert!) werden unter anderem:
- Name, Adresse
- Geburtsdatum
- Telefonnummer
- alle Staatsangehörigkeiten
- Religionsgesellschaft (Pflichtfrage!)
- Glaubensrichtung (freiwillig – bei Islam möchte man es gerne genau wissen: sunnitisch, schiitisch oder alevitisch?)
- Zugewandert? Falls ja, wann und woher?
- Das gleiche nochmal für die Eltern!
- Exakter Beruf(z. B. “Blumenverkäuferin”, nicht “Verkäuferin”)
- Stichworte zur Tätigkeit (z. B. “Beratung, Verkauf, Verpacken von Pflanzen”)
Im Bezug auf die Datenschutzversprechen könnte auch mein Artikel über die herumliegenden Daten die gar nicht da sein sollten beim Statistischen Bundesamt interessant sein.
An dieser Stelle sei noch verwiesen auf:
- Die “Volkszählungsfibel” des AK Zensus (Zensuskritiker) mit einem guten Überblick über den Zensus und die Kritik daran
- Die FAQ auf der offiziellen Seite
UPDATE:
Um die Angriffe zu verdeutlichen, hier ein paar Diagramme (können per Klick vergrößert werden).
Schwarze Linien zeigen unverschlüsselte Verbindungen an, blaue Linien sind HTTPS-Verbindungen (d.h. verschlüsselt und die Identität des Servers wird geprüft).
Zunächst einmal der normale Ablauf ohne Angriff:
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum Server und bekommt einen HTTPS-Link auf den Online-Fragebogen. Der Nutzer klickt drauf, sein Browser holt über eine gesicherte Verbindung den Fragebogen ab, der Nutzer loggt sich ein und füllt ihn aus.
Nun ein Angriff:
Der Angreifer leitet sämtliche Verbindungen des Nutzers auf sich um.
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum (falschen!) Server und bekommt eine Antwort mit einem HTTPS-Link auf einen falschen Fragebogen auf einer Domain die dem Angreifer gehört (und für die er daher ein Zertifikat hat). Beispielsweise www.zensus2011-befragung.de ist noch frei (die echte Seite heißt zensus2011-befragungen.de, was der normale Nutzer aber nicht wissen kann). Eventuelle Sicherheitshinweise auf der Seite mit dem Link sind natürlich auch auf den falschen Namen angepasst. Der Rest läuft wie beim normalen Zensus, nur dass der Nutzer den Fragebogen des Angreifers ausfüllt. Der kann entweder eine Kopie des echten Fragebogens sein, oder gleich noch zusätzliche Fragen enthalten.
Mit sslstrip kann man einen anderen Angriff automatisiert machen:
Das sieht erstmal komplizierter aus, ist es aber nicht, weil es weitgehend automatisch passiert. Der Nutzer bekommt hier einen http-Link auf die echte Domain, die ungesicherten Anfragen fängt der Angreifer wieder ab, leitet sie (per https, weil der echte Server keine unverschlüsselten Anfragen will) an den Server weiter und liefert die Antwort wieder an den Zensus-Teilnehmer. Dabei liest er natürlich mit, wenn der Teilnehmer den Fragebogen ausfüllt.
Statt einem HTTP-Link (der das Opfer eventuell wegen der fehlenden Verschlüsselung stören könnte) kann der Angreifer auch einen HTTPS-Link auf eine andere, eigene Domain (wie bei Angriff 1) liefern, und die an ihn gestellten Anfragen von sslstrip weiterreichen lassen.
Wenn auf dem Fragebogen die Adresse mit https stehen würde, würde es so aussehen:
Bereits die erste Anfrage geht über HTTPS, es gibt keine unverschlüsselten Anfragen! Würde der Angreifer hier angreifen wollen, würde es so aussehen:
Der Browser merkt beim Aufbau der gesicherten Verbindung, dass er nicht mit dem richtigen Server spricht, und bricht mit einer sehr deutlichen Warnmeldung an den User ab.
Die Diagramme sind übrigens mit mscgen erstellt.
Einsortiert unter:Überwachungsstaat, Datenschutz, Grundrechte, Internet, Piraten, Politik, Sicherheit, Sonstiges, Statische Tags, Technik Tagged: fragebogen, https, ssl, statistisches bundesamt, unsicher, volkszählung, zensus, zensus 2011, zensus11, zensus2011
Dieser Blog ist dann mal weg…
… und wird nicht weiter geführt. Ich werde ab sofort nur noch auf http://stephanurbach.de bloggen.
Atomkraft? Sicher! [Foto/Wallpaper]
Dieses Werk von Jan Schejbal steht unter einer Creative Commons Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Deutschland Lizenz.
Wallpaper:
- 640×480
- 720×480
- 768×576
- 800×480
- 800×600
- 854×480
- 1024×768
- 1152×768
- 1280×720
- 1280×768
- 1280×800
- 1280×854
- 1280×960
- 1280×1024
- 1366×768
- 1440×900
- 1440×960
- 1400×1050
- 1600×1200
- 1680×1050
- 1920×1080
- 1920×1200
- 2048×1080
- 2048×1536
- 2560×1600
- 2560×2048
Einsortiert unter:Grundrechte, Piraten, Politik, Sicherheit, Sonstiges, Statische Tags, Technik Tagged: akw, atomausstieg, atomkraft, atomkraftwerk, kernkraft, sicher, unsicher
„Das Internet im Spannungsfeld zwischen Freiheit und Sicherheit“ Internetkongress der hessischen CDU Fraktion im Landtag – 26.02.2011
Ich war auf dem Internetkongress der hessischen CDU Landtagsfraktion. Nett war es da und die Schnittchen waren auch super. Die beiden Impulsvorträge und ein paar persönliche Eindrücke habe ich hier mal aufgeschrieben.
Kein WLAN. OMG. Keine Datenpakete. G3 Verbindung? Nicht im dem Bunker Landtag. Ich bin abgeschnitten. Deswegen erscheint dieser Blogbeitrag auch erst, nachdem ich von dem Kongress schon längst wieder weg bin und mich in Gebieten mit besserer Datenverkehrslage aufhalte.
Als erstes muss ich eines meiner eigenen Weltbilder zurecht rücken. Es gibt Mitglieder der CDU, die in der Lage sind, Social Media zu nutzen und in der Lage sind, von ihrem Smartphone Email zu senden. Oh, das sind dann im Regelfall die Jungen, die eben grade noch nicht in der Verantwortung sind. Liebe CDU, bitte lasst diese in die Verantwortung. Schnell. Am besten SOFORT. Während ich diese Zeilen schreibe, sitze ich zwischen vier jungen CDUlern, die interessiert scheinen. Davon bitte viel viel mehr. Man kann durchaus konservativ sein und trotzdem Ideen zur Netzpolitik haben, die sinnvoll sind. Als Beispiel verweise ich da immer wieder gerne auf Dr. Peter Tauber.
10:30 – es geht los. Begrüßt werden wir von Dr. Christean Wagner, dem Fraktionsvorsitzenden der CDU-Landtagsfraktion. Was ist von einem Politiker, der den Monitor aus Alibi Zwecken auf dem Schreibtisch hat und sich Emails ausdrucken lässt, zu erwarten? Meine Erwartungen sind nicht sehr hoch.
„Allte Altersklassen sind gut vertreten“ – Naja, das kann man so sehen, muss man nicht.
Ah, das Internet ist „kritische Infrastruktur“. Das wissen wir bei den Piraten schon länger. Deswegen hat die Bundesregierung auch das „Cyberabwehrzentrum“ gegründet. Ah ja. Das bringt es halt nicht. Das wissen wir aber schon. OK, die Hessen CDU wird das auch lernen. „Es ist der Ort der vernetzung unseres lebens“ Jow, da hat er recht. Er erzählt von den Vorteilen des Netzes, von den Freiheiten, um dann direkt auf die Gefahren zu kommen. Die guten Warnungen des hessischen Innenministeriums über Internetkriminalität und was da alles schlimmes passiert. Rhetorisch gut gedreht. Auf zum Thema „Spannungsfeld zwischen Freiheit und Sicherheit“. Es geht auf diesem Kongress nur um das ethische Handeln der Menschen. Wow. Ich bin angetan. Er betont, dass das netz ethisch neutral ist. Ich bin echt angetan.
„Der Mensch muss sich in dem vom GG vorgegeben Rahmen bewegen“ – der Mensch trägt selbst die Verantwortung. Er stellt die Frage nach dem gesellschaftlichen Ordnungsrahmen. Wie kann der einzelne Nutzer vor Straftaten geschützt werden, ohne ihn in seinen Freiheiten einzuschränken? Gute Fragen, immerhin stellt er sie jetzt schon. Ich habe mir diese vor 6 Jahren schon gewünscht.
10:46 – Namedropping. Yay. Es wird aufgezählt, was rang und Namen hat. Der Präsident des Landgerichts Frankfurt ist da, der Generalstaatsanwalts Hessens auch. Der Vorsitzende des Rundfunkrats. Eidadaus.
Anschließend folgt der erste Impulsvortrag. Hessens Ministerpräsident Volker Bouffier spricht. Es ist 10:50 Uhr. Er begrüßt erstmal den Datenschutzbeauftragten des Landes Hessens. Einleitende Worte: Die FAZ hat das Intenret als geistig industrielle Revolution bezeichnet. Ein Präsident einer amerikanischen Hochschule verglich das Internet mit der Erfidnung der Schrift. Ja, das seh ich ähnlich. Bouffier seiht es als „Kulturelle Revolution“. Er sieht Freiehit und sicherheit als zwei Seiten einer Medaille. Grenzenlose Freiheit führe zur Schutzlosigkeit eines anderen. Schutz ohne Freiehit führt aber zum Verlust der Freiheit. Es ist eine kulturelle und intellektuelle Auugabe, das richtig auszulegen. E sist immer wieder neu auszuwiegen. Er hatte gestern die Repräsentanten der arabischen Liga zur Gast – ausser Libyen. Er erzählt, wie wir Zeugen einer Revolution werden – durch Twitter, Facebook etc. Nicht durch das Fernsehen. Ein Bürger soll nicht fragen müssen, bb er mitteilen darf, was er über seine Regierung denkt. „Das ist ein unglaubliches Geschenk“. China habe allergrößte Sorgen, dass solche Entwicklungen auf das große Land übergreife. Man tue sich bei allen wirtschaftlichen Verbindungen schwer, China auf solche Fragen hinzuweisen.
Eine Faszination der Freiheit und auf der anderen Seite die Angst des Missbrauchs. Aber dann auch wieder die freie Entfaltung der Persönlichkeit und dann wieder die Angst der anderen, was bei sowas passiert.
Das Internet ist ein integraler Bestandteil des Lebens.
Leider verwechselt er „Vernetzung“ mit Internet. Ich glaube, die Begrifflichkeiten sind ncht klar. Er erzählt, dass die Polizei durch das Internet zusammen arbeite. Sorry, aber das Polizeinetz ist nicht(!) Internet.
Internet gehört für Bouffier zur Grundaustattung.
Die Datenschutzdebatte ist die gleiche wie vor 30 Jahren, nur das Medium habe sich verändert.
Er kommt mit de rguten alten Kinderpornodebatte. Man sei moralisch in 3 Jahren nicht weiter gekommen. Ach ja, die Piratenpartei lebt vermutlich davon. Sagt er. Das Löschen würde nicht klappen. Um das Sperren kommen wir nicht herum, wenn wir nicht kapitulieren wollen. Man löscht heute was, und morgen seien drei Seiten mehr da mit den gleichen Inhalten. Beim Sperren ist das nicht so? Ich bitte sie Herr Bouffier. Ich möchte aufspringen und laut schreien. Haben die Versuche des AK Zensur denn nichts gezeigt? Doch genau, Löschen funktioniert. Leider fängt er jetzt mit Bullshitbingo an. Schade, der Anfang war echt gut. „Der Bürger muss geschützt werden, dass er nicht Opfer wird“ Es ist zu verhindern, dass es Opfer gibt. „Opfervermeidung“.
Internettelfonie darf nicht überwacht werden. Also hör auf danach zu fragen, dass man das endlich darf. „Wenn wir nicht mehr dabei sein können, dann müssen wir das sagen“
Leider redet er schneller als ich tippen kann.
„Wie kriegen wir es hin, dass die, die wir schützen wollen, den Schutz auch annehmen?“ Er greift die Post-Privacy menschen an und überlegt, wie er sie (vor sich) schützen kann. Es fällt dem Staat schwer, ihre Privatheit zu schützen.
„Man teilt sich mit.“ – aber man kennt das doch. Wenn man sich bewirbt, sind die Bilder von der Party vielleicht nicht so gut… Die Begeisterung junger Menschen über die Belehrungen älterer hält sich in grenzen.
Ich merke insgesamt wieder einmal die digital divide. Grundsätzlich verschieden Betrachtungsansätze werden uns Netzmenschen und „die anderen“ nicht zusammen bringen.
„Das Internet ist weltweit“ – ach was. Danke Hauptmann Offensichtlich. Aber seine Hauptfrage bleibt, wie wir intellektuell damit umgehen. Was kann es geben, an gemeinsamen werten? Ich verzichte auf die einzelnen Aufführungen, wie gefährlich das Netz ist und wo zu handeln ist.
Impulsvortag Nummer zwei kommt von Ingmar Jung, dem Vorsitzenden der JU Hessen.
Er erzählt über die Netznutzung junger Leute un das Selbstverständnis dahinter. Aber auch er macht sich Gedanken über Chancen und Risiken. Chancen sind natürlich Austausch von Wissen, Kommunikation und immer ist alles verfügbar. Das ist natürlich die erste Gefahr, denn wann macht man sich Gedanken über Bildung, wenn man immer alles abrufen kann? Anekdoten über die Netznutzung. Alle so: Yeeeaaaaah!
Firmen und Wirtschaft kann Dank Netz anders tätig sein, es gibt einen wahnsinnigen Arbeitsmarkt (ich stimme zu, wahnsinnig im Sinne des Wortes) und eine Gesellschaft, die die Chancen nicht nutzt, wird schnell abgehängt.
Wenn es nicht überall Netz gibt, dann bekommen wir eine digitale Spaltung – ist angekommen, dass wir die schon haben?
Er hat mehrere Fragen: Schutz der Privatsphäre. Weiß jeder, was mit Photos geschehen kann, die man selbst ins Internet stellt? Was sind die Antworten? Er führt den digitalen Radiergummi auf. Und erklärt, was eine dumme Idee das ist. Find ich gut, hat sich jemand informiert. Er kritisiert, dass oft begriffe aus der analogen Welt in die digitale Welt transformiert werden.
Er widerspricht Bouffier und sagt, dass Löschen der einzige richtige Weg ist und führt Argumentation des AK Zensur und der Piratenaprtei auf.
Oh Piratenpartei. Er kommt auf das Urheberrecht. Er ist der Meinung, es gibt geistiges Eigentum und das täte es wirklich geben. Ich würge leicht. Dafür ist er gegen Kopierschutz und für die Privatkopie. Weeee.
Er sieht das Kernproblem bei dem fehlenden Bewusstsein für die Dinge, die man tut.
Er will, dass jugenn Menschen vorbereitet werden auf diese Welt des digitalen Zeitalters. Grundschüler müssen schon lernen mit einem Computer umzugehen und mit dem Netz umzugehen. Da gehe ich d’accord.
So, Mittagspause und den Rest müsst ihr dann auf dem hoffentlich gemirrorten Stream schauen.
I am old…
… yes, old. I spent the last days on my work for free communication in the middle east. I worked my normal job and did my activistic things. I had the chance to meet many interesting people online and work with them. Beside my 8 to 10 hour job which I do for a living I did another 6 to 10 hours for activism. Now I am at a point where I have to choose – activism or work? As I can not afford an activism live, I need to do my job. This is easy and so I have to say: break. I need more sleep and more free time for myself. The modem things are running, the 12milesahedproject os going on. I will of course not erase myself fro mthe activists, but I will not do as much as I did since the revolution in Egypt. Furthermore, I want to concentrate myself on the principles of datalove.
I am old, I need my sleep.
I hope, everybody understands.
Share the datalove <3
The principles of datalove
Drüben bei werebuild haben wir die principles of datalove veröffentlicht und dazu aufgerufen ,es zu verbreiten. Mache ich natürlich gerne 
Love data
Data is essential
The data must flow
Data must be used
Data is neither good nor bad
There is no illegal data
Data is free
Data can not be owned
No man, machine or system shall interrupt the flow of data
Locking data is a crime against datanity
Love data
Low-Tech and the revolution or: How a video of an egyptian girl forced us into technology of the 90s
I’m an Internet activist
Eine Geschichter vieler
Seit gestern Abend mache ich ein Experiment. Ich habe angefangen eine Kurzgeschichte zu schreiben. In einem Pad, weil mittlerweile schreibe ich fast alles in einem Pad. Dann merkte ich, dass da noch was fehlt und dann wiederum dachte ich mir: hey, Internet. Die Menschen sind doch kreativ. Ich habe das Pad getwittert. Schnell füllte es sich und ja, es ist schon was geworden bisher. Ich lasse das noch ein wenig laufen, dann mal schaun, wie ich as Entwickelt. Ich bin echt gespannt, auf diese geschichte vieler.
