Kugelfisch Blog

…des deutschen Innenministers Wolfgang Schäuble. Ein Sympathisant hat dem Club ein Glas, das von Schäuble benutzt wurde, zugespielt. Angehörige des CCC haben ganze Arbeit geleistet, den Fingerabdruck rekonstruiert und in der Datenschleuder #92 veröffentlicht. Besagter Zeitschrift liegt auch eine fertige Fingerabdruck-Attrappe bei, die benutzt werden kann, um Schäubles Fingerabdruck auf diversen glatten Oberflächen zu hinterlassen. Dirk Engling alias Erdgeist, Sprecher des CCC, empfiehlt:

[...] die Abdrücke bei erkennungsdienstlichen Behandlungen, bei der Einreise in die USA, bei der Zwischenlandung in Heathrow, aber auch im örtlichen Supermarkt und - prophylaktisch - beim Berühren möglichst vieler Glasflächen zu benutzen.

Auch eine Wunschliste für ein biometrisches Sammelalbum verschiedenster Politiker - unter anderem Angela Merkel - wurde veröffentlicht, nebst einer Anleitung, wie Fingerabdrücke von Gläsern und ähnlichen glatten Oberflächen abgenommen und nachgebildet werden können. Der Fingerabdruck des Innenministers liegt in digitaler Form auch auf dem Webserver des CCC.

Es stellt sich natürlich die Frage, ob Fingerabdrücke von Politikern überhaupt veröffentlicht werden dürfen. Wenn man die Aussage des deutschen Innenministeriums, dass dass Bilder des Gesichts und der Finger in ihrer Bedeutung für die Privatsphäre im wesentlichen identisch seien, konsequent anwendet, kann dies klar bejaht werden - schliesslich wird der Presse auch nicht verboten, Porträts von Personen des öffentlichen Lebens zu veröffentlichen.

Schussendlich bleibt mir noch, dem Fazit des Chaos Computer Club…

Die Verwendung von Fingerabdrücken zur Identifizierung von Bürgern ist ein technischer und sicherheitspolitischer Irrweg, der so schnell wie möglich beendet werden muss.

…zuzustimmen, und darauf hinzuweisen, dass Datenschleudern sowohl als Einzelexemplar in gedruckter Form erhältlich sind, als auch im PDF-Format zum Download angeboten werden - wobei es noch etwas dauern kann, bis #92 eingestellt wird.

Die Vorratsdatenspeicherung (offizieller Name: Vorratsverbindungsdatenspeicherung, von bösen Zungen oftmals zurecht als Stasi 2.0 bezeichnet) tritt in Deutschland nun definitv am ersten Januar 2008 in Kraft. Schuld daran ist unter anderem der Bundespräsident, der die Vorlage allen Warnungen und Protesten zum Trotz unterschrieben hat. Damit steht dem Gesetz nun Tür und Tor offen. Die VDS soll nicht nur die ISPs sowie die Mobilfunk- und Telefonanbieter zum Loggen der `Verbindungsdaten` zwingen - nein, auch Anonymizer sollen in Zukunft loggen (was, am Rande erwähnt, den Begriff des `Anonymizers` ad absurdum führt). Wie das etwa in TOR möglich sein wird, ist unklar - warum sollten sich die TOR-Entwickler auch die Mühe machen, eine Schnüffelfunktion einzubauen? Glücklicherweise gibt es genügend Nodes in vernünftigeren Ländern, die ein solches Gesetz nicht kennen. Wobei diese Länder sicherlich nicht mehr lange existieren werden, haben doch dort Terroristen sicherlich ein vielfach leichteres Spiel…

Im übrigen scheint es im Netz tatsächlich einige Befürworter dieses Gesetzes zu geben. Wer Zeit und Lust hat, dem sei der Diskussionsthread auf dem G:B empfohlen.

Da das österreichische Parlament die Gesetzesänderung, die es erlaubt, Mobilfunkanbieter und ISPs ohne richterliche Genehmigung in Berufung auf eine angebliche Gefahr im Verzuge zur Herausgabe von Realdaten ihrer Kunden zu zwingen, schon angenommen hat, müssen wieder einmal die Bürger die Politik selbst in die Hand nehmen: Drei Informatik-Professoren haben eine Petition gegen den Überwachungsstaat gestartet. Der berechtigte Hauptkritikpunkt ist, dass es hier - wie so oft - um heimliche Massnahmen geht, wobei auch eine nachträgliche Informierung der Betroffenen nicht geplant ist.

Sie haben überhaupt nur eine Chance, zu erfahren, dass Sie überwacht wurden, wenn es ein Strafverfahren gibt. Ist es aber eine rein polizeiliche Ermittlung [...], ist die Chance gleich Null.

Es ist doch traurig zu sehen, wie immer mehr Überwachungsmassnahmen eingeführt und von grossen Teilen der Bevölkerung stillschweigend hingenommen werden. Sehr lobenswert in diesem Sinne sind die Schweizer, die den Bundesrat Blocher, der unter anderem Online-Durchsuchungen gefordert hat, in der letzten Woche abgewählt haben.

…mit dieser Argumentation wurde im schweizer Nationalrat ein Vorstoss eingereicht, der `anonyme Wireless-Prepaid-Karten` registrierungspflichtig machen will. Nun: Was ist das überhaupt? Nicht ganz so offensichtlich sind damit die WLAN-Karten gemeint, die man von diversen Hot-Spot-Betreibern, etwa Swisscom oder Orange, erhält. Schon 2003 wurde der erste Schritt getan, in dem Prepaid-SIM-Karten registrierungspflichtig wurden - da man nun über Public-WLANs ähnlichen Unsinn bauen kann, sollen auch diese Karten registrierungspflichtig werden. Die Frage ist nur, woran man eine solche Karte identifiziert - das einzige garantiert eindeutige Merkmal ist die MAC-Adresse (es handelt sich hierbei um jene 48-Bit-Zahl, die man unter unixoiden Betriebssystemen mit `ifconfig wlan0 hwaddr 00-23-de-ad-be-ef` beliebig ändern kann). Ausserdem ist unklar, wie mit normalen WLAN-NICs umgegangen werden soll, zumal die Autehtifizierung mancher PWLANs wirklich zu wünschen übrig lässt und immer noch genügen offene WLANs existieren.

Fragen über Fragen…

…ersteres über die Entscheidung des Bundesrats, den Rechteinhabern keinen Zugriff auf die Vorratsdaten zu gewähren, zweiteres über die Mehrheit, die für die Vorratsdatenspeicherung war - somit ist es jetzt offiziell: Der Bundesrat winkt die VDS durch. Ein klar verfassungswiedriges Gesetz soll in Deutschland also doch ab 2008 in Kraft treten, wäre da nicht der AK Vorrat, der dies - wohl als `Staatsfeind Nr. 1` - glücklicherweise zu verhindern versucht. Dazu soll eine Verfassungbeschwerde eingelegt werden, für die sich schon viele tausend Personen vertreten lassen. Weiter so, denn ich habe nicht nichts zu verbergen, doch auch ich bin anständig - ja, diese Kombination ist möglich und kommt sehr häufig vor.

Schäuble will die Entwicklung des Bundestrojaners, den er wie üblich euphemistisch `Remote Forensic Software` nennt, weiter vorantreiben. Die Programmierung der `für jeden Fall speziell entwickelten` Software soll trotz gegenteiligem Urteil des Bundesgerichtshofs wieder aufgenommen werden, auch wenn jegliche Gesetzesgrundlage für die Entwicklung des Schnüffelprogramms fehlt. Damit macht sich der Bundesinnenminister wie auch die die Entwickler gemäss dem `Hackerparagraphen` §202c strafbar:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er:
(1) Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
(2) Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Wobei ein Verstoss gegen (1) schon geplant ist, sei doch Verschlüsselung der Hauptgrund für die heimliche `Online-Durchsuchung`. Unter anderem aufgrund dieser Handlung sprechen sich mittlerweile über 10000 Bürger für den Rücktritt des Datenverbrechers aus. Die Zahl der Gegner der Vorratsdatenspeicherung ist indes auf 13000 angewachsen.

«Ich habe nichts zu Verbergen» ist neben «Wer nichts zu Verbergen hat, hat nichts zu befürchten» das Argument der Überwachungs-Befürworter. Selbst Schäuble himself argumentiert mit `ausserdem bin ich anständig, mir muss das BKA keine Trojaner schicken`. Wie wenig diese Leute vor der Polizei und dem Staat auch zu verbergen haben mögen - ich denke kaum, dass sie diese Daten öffentlich machen würden. Angesichts der erfolgreichen chinesischen Angriffe auf den Bundestag und der trojanerbehafteten Maxtor-Platten stellt sich dann doch die Frage, wie gut die Daten gegen Zugriffe von aussen geschützt sind.

Wie ausserdem in informierteren Kreisen oft sehr treffend gesagt wird: `Daten wecken Begehrlichkeiten`. So könnte ein Polizeibeamter die zentrale Datenbank, gäbe es denn eine, für private Zwecke missbrauchen, etwa um zu überwachen, ob ihm seine Freundin treu ist. Und selbst wenn gesagt wird, die Daten der verschiedenen elektronischen Dokumente würden nicht zentral gespeichert - die Dokumente und die Lesegeräte sind Black-Boxen, den Benutzern unbekannt.

Wie gut unsere Daten bei Vater Staat geschützt sind, zeigt auch die neuliche Datenpanne bei der Polizei Darmstadt. Über einen angeblich `nicht öffentlichen` Presseverteiler wurden versehentlich vetrauliche Daten bezüglich Objekt- und Personenschutz versendet - `ein bedauerliches menschliches Versagen`…
Und sowas will unsere vertraulichen Daten ?!?

Wie wir alle wissen: «Not being paranoid does not mean they are not after you». Wer diesen Eintrag als Antwort auf eine «Ich habe nichts zu Verbergen»-Aussage verlinken möchte, für den ist die Mini-URL `http://href.to/2fH` reserviert.

…wird in Deutschland die Vorratsdatenspeicherung zur totalen Überwachung und automatischen Auswertung von `Kommunikationsverbindungsdaten` angenommen - dank der Stimmen der grossen Koalition. Ab 2008 soll nun das de facto Fernmeldegeheimnis abgeschafft werden und geloggt werden, wer mit wem kommuniziert - welche Pr0n-Angebote man im Internet nutzt, mit welchem Arzt man kommuniziert…

Sogar die Betreiber von Anonymizer-Nodes sollen dazu verpflichtet werden, die Daten zu loggen, die selbst zur Verfolgung von Bagatell-Vergehen wir Online-Piraterie verwertet werden sollen - damit geht der Gesetzesentwurf weit über die EU-Vorlage hinaus. Mit dem AK Vorrat trauern viele Nutzer und Seitenbetreiber um das kürzlich verstorbene Fernmeldegeheimnis. `Jetzt erst recht!` gibt es am 24.11. eine weitere Demo gegen die bevorstehende Überwachung.

Das Medienecho ist vorallem in der Blogosphäre beachtlich. Neben diversen Blogs haben auch Heise und Golem Berichte dazu. Erwähnenswert ist auch der im typischen Korrupt-Stil geschriebene Beitrag bei Gulli. In Chaosradio Express #51 wird die Auswirkung auf Anonymizer-Dienste erläutert. Meine Empfehlung an alle JAP-Mix und TOR-Node-Betreiber: Schaltet eure Nodes besser ab, als dass ihr sie Loggen lasst - denn eine Überwachung von grossen Teilen des Netzes macht die Anonymizer unsicher und eure Nodes wertlos. Ein nicht überwachtes, halbes Netz, ist wesentlich besser als ein ganzes, zur Hälfte überwachtes. Got the point?

In den USA bedarf es - genau wie in Deutschland auch - einer richterlichen Anordnung zur Überwachung von privater Kommunikation. Als Privat gilt eine Kommunikation, wenn sowohl der Betroffene der Ansicht ist, er handle im Privaten, als auch die Öffentlichkeit diese Absicht nachvollziehen kann. `Eine mit dem Megafon auf die Strasse gebrüllte Botschaft wäre demnach nicht privat` - zweifellos richtig. Das Problem ist nun, dass viele Freemailer wie auch viele Firmen sich das Recht vorbehalten, in den Mails ihrer User zu schnüffeln. Daher `erwarte der Betroffene nicht, dass die Kommunikation privat sei` und die Überwachung soll ohne richterliche Anordnung möglich werden.

In einem Punkt haben die Behörden tatsächlich recht: Eine E-Mail hat kein versiegeltes Briefcouvert. Jeder, der an einem Hop zwischen Quell-Mailserver und Ziel-Mailserver sitzt, kann die Kommunikation mitlesen. Wenn man seine Post aus einem offenen WLAN heraus versendet, kann ausserdem jeder die Nachrichten per Kismet mitschneiden. Ein elektromagnetisches Megafon?
Daher sei hier jedem strengstens zur Verwendung von GPG für verschlüsselte, sichere Kommunikation geraten - kombiniert mit der Festplattenverschlüsselung ist man so gegen 1984 halbwegs gewappnet.

Brigitte Zypries, ihres Zeichens Gewinnerin eines Big Brother Awards 2007, wirft den Gegnern ihres Entwurfs der Vorratsdatenspeicherung mangelnde Sachkenntnis vor. Sie rege sich darüger auf, dass bei Gegner mangelnde Sachkenntnis vorhanden sei - es werde doch nur die Überwachung, genauer das Abhören von Telefon- und Internetverkehr,`rechtsstaatlicher gemacht`. Letzterm kann ich auch nur zustimmen - es wird versucht, die Überwachung ohne konkrete Anhaltspunkte massentauglich und `rechtsstaatlich` zu machen. Mit den Grundsätzen eines Rechtsstaates ist dies wohl nicht vereinbar - Massentauglich leider schon, wenn man als Politikerin bestimmte Schlagworte (`Kinderpornografie` und `Terrorismus`) bei jeder Gelegenheit in den Raum stellt.

Den Gegnern, etwa dem Chaos Computer Club, wird hingegen mangelnde Sachkenntnis vorgeworfen - mir fällt dazu nur eine Mirror-Policy in Netfilter ein. Datenpaket ungesehen zurück an den Absender, bitte! An die Absenderin, die nicht weiss, was ein Browser ist.

Das Gesetz soll unter anderem Anonymizern wie TOR den Boden unter den Füssen entziehen, in dem es diese dazu zwingen will, die Verbindungsdaten - also etwa sendende und empfangende IP-Adresse - über 6 Monate zu speichern, was das Prinzip des Anonymizers ad absurdum führen würde. Warum `nur` TOR? JAP (AN.ON) will ich hier gar nicht nennen, da dessen Betreiber schon zum Einbau einer Abhörschnittstelle gezwungen wurden, um eine De-Anonymisierung von `Straftätern` zu ermöglichen.

Die aktuelle Version der Mix-Software enthält eine entsprechende Strafverfolgungsfunktion, die dies erlaubt. Zur Aufdeckung einer Verbindung ist auch bei Aktivierung dieser Funktion die Mitarbeit aller Mix-Betreiber erforderlich. Momentan wird an einer möglichst datenschutzfreundlichen Überwachung gearbeitet.

Selbst wenn dies legitim erscheint - ein Anonymizer lebt davon, dass niemand die Anonymität `aufheben` kann - nicht einmal die Strafverfolgungsbehörden. Ganz abwegig ist es freilich nicht, dass die Mix-Betreiber zur Überwachung `terrorverdächtiger Personen` zum Aktivieren der Schnittstelle gezwungen werden könnten. Mit seinen flexiblen Kaskaden und international verteilten Nodes kommt TOR meiner Meinung nach doch deutlich besser an das Ideal des `perfekten Anonymizers` ran…

Wer die Vorratsdatenspeicherung ablehnt, kann dies an der Kundgebung am 6. November kundtun.