Datentyp http://www.scilogs.de/datentyp Informatik, Daten und Privatsphäre Tue, 23 Dec 2014 09:39:41 +0000 de-DE hourly 1 Nordkorea war es. Ganz bestimmt!http://www.scilogs.de/datentyp/nordkorea-war-es-ganz-bestimmt/?utm_source=rss&utm_medium=rss&utm_campaign=nordkorea-war-es-ganz-bestimmt http://www.scilogs.de/datentyp/nordkorea-war-es-ganz-bestimmt/#comments Mon, 22 Dec 2014 15:26:58 +0000 http://www.scilogs.de/datentyp/?p=85 ... weiter]]> Nordkorea war es. Ganz bestimmt!

Die öffentliche Einstufung des Sony-Hacks als Cyberterrorismus aus Nordkorea ist nicht zu rechtfertigen.

„Der Sony-Hack ist das 9/11 der US-Filmbranche“ kommentiert Ulrich Clauß in der Welt am Sonntag und führt weiter aus: „Schließlich kann man Sony Pictures durchaus als Opfer eines cyberterroristischen Angriffs einer feindlichen Nation sehen – und das auf amerikanischem Boden.“

Ein hochdramatischer Vorgang, so scheint es! Und tatsächlich der Beginn eines erneuten Säbelrasselns zwischen den USA und dem Regime in Pjöngjang: Eine Verwicklung in den Hack weist die nordkoreanische Regierung erneut zurück und teilt stattdessen mit, dass die 1,2 Millionen Mann starke Armee Nordkoreas „mutig zu unserem härtesten Gegenschlag gegen das Weiße Haus, das Pentagon und das gesamte amerikanische Festland“ ausholen werde, wenn die Vereinigten Staaten die Eskalation vorantreiben.

Die USA sehen es als erwiesen an, dass Nordkorea die Cyber-Attacken gegen das Filmstudio zu verantworten hat. Es wird aktuell Druck auf China ausgeübt, gemeinsam gegen Nordkorea vorzugehen. Da die Internetanbindung Nordkoreas fast ausschließlich über südchinesische Netzstrukturen erfolgt und die Serversysteme von dort ansässigen Anbietern gehostet werden, kommt China hier eine besondere Rolle zu: Nordkorea könnte mit chinesischer Hilfe wirksam und dauerhaft vom Datennetz getrennt werden.

Einige öffentlich zugängliche Informationen lassen jedoch die Bewertung seitens der US-Regierung zweifelhaft erscheinen. Es lohnt sich, einmal genauer hinzusehen, was passiert ist.

 

Zur IT-Sicherheitslage bei Sony

Die informationstechnische Sicherheit bei Sony ist bereits seit einigen Jahren in Verruf geraten: Das Unternehmen hatte sich das Image erworben, die Dartscheibe krimineller Hacker zu sein. Es fällt schwer, ein weiteres Unternehmen dieser Bekanntheit zu finden, das so oft erfolgreich penetriert wurde. Kostprobe?

  • Zwischen 1999 und 2011 wurden in mehreren Dutzend Fällen Webseiten von Tochterunternehmen der Sony Corporation von Hackern verunstaltet.
  • 2011 wurden Kundendaten von 77 Mio. PlayStation-Network-Nutzerkonten entwendet.
  • Im Februar 2014 wurden Zugangsdaten eines Servers von Sony Pictures Entertainment gestohlen und dazu genutzt Schadsoftware über den Server zu verbreiten.

Insgesamt wurden mehr als 50 Fälle (!) in 15 Jahren öffentlich bekannt, in denen Sony Opfer von Hacks wurde.

Beim aktuellen Sony-Hack fällt zudem auf, dass politische oder cyberterroristische Motive kaum im Vordergrund standen. Zur Chronologie:

  • In einer E-Mail vom 21. November (wenige Tage vor der öffentlichen Wahrnehmung des Hacks) wurde den Sony-Verantwortlichen mitgeteilt: „[M]onetary compensation we want“. Bei Nichterfüllung wurde mit einem Bombardement gedroht. Die Absender zeichneten dabei als „God’sApstls“; eine Zeichenkette, die später in einer beim Hack verwendeten Schadsoftware tatsächlich wiedergefunden wurde.
  • Am 1. Dezember übernahm eine Gruppe „Guardians of Peace“ die Verantwortung für den zwischenzeitlich erfolgten Hack, betonte aber, dass die „Gier von Sony Pictures“ der Grund für den Angriff sei.
  • Erst am 8. Dezember, nachdem es einige Spekulationen in den Medien über einen Zusammenhang zwischen dem angekündigten Film und Hackern aus Nordkorea gab, wurde der Film in einer Verlautbarung von „Guardians of Peace“ erwähnt. Man bestritt aber, im  Auftrag Nordkoreas zu handeln.

Die Chronologie deutet hierbei weniger auf einen mit hohem Ressourceneinsatz vorgenommenen cyberterroristischen Angriff hin. Vielmehr sieht es nach zwei Gruppen krimineller Hacker aus, von denen die eine Geld erpressen wollte und die andere sich in der Aufmerksamkeit sonnt.

Der Begriff Cyberterrorismus ist ohnehin im Kontext Sony eher unpassend, da Filmstudios kaum zu dem Teil der Infrastruktur zählen, deren Versagen eine Gefahr für Leib und Leben der Bevölkerung konstituiert oder einen Zusammenbruch des öffentlichen Lebens bewirkt. Die US-Bürger würden es unbeschadet ihrer Gesundheit überstehen, wenn eine weitere Fortsetzung von „Men in Black“ wegen eines Hacks verschoben würde oder ein James-Bond-Drehbuch zu früh bekannt würde. Zudem sei der geopolitische Hinweis gegeben, dass Sony ein japanisches Unternehmen ist: Eine Auseinandersetzung koreanischer Hacker mit einem japanischen Konzern könnte man trotz Hollywood-Bezug auch als Cyber-Scharmützel im fernen Osten einordnen und das militärische Säbelrasseln einstellen.

 

Welche Beweise gibt es?

Es stellt eine generelle Herausforderung der Ermittler dar, eine Cyberattacke einem Täter zuzuordnen. Zwar hat die digitale Forensik einige Entwicklungen hinter sich; die Natur der Internetkommunikation macht es aber oft unmöglich, gerichtsfeste Beweise bei netzwerkbasierten Angriffen zu sammeln:

  • Die Kommunikation im Internet findet über Router statt. Diese leiten Datenpakete protokollbedingt auch dann weiter, wenn der Absender gefälscht ist. Angriffe, die keinen Rückkanal benötigen (dazu gehören eine Vielzahl von Verfügbarkeitsangriffen), sind daher durchführbar, ohne dass der Täter in Erscheinung treten muss.
  • Wenn eine Identifizierung der IP-Adresse des angreifenden Systems gelingt, ist keineswegs der Täter identifiziert sondern bestenfalls ein beteiligter Rechner. Dieser Rechner kann aber stellvertretend agieren (Proxy) oder seinerseits ein Opfer eines vorherigen vorbereitenden Angriffs sein, was bei gut geplanten Angriffen eher der Regelfall als die Ausnahme ist. Eine netzwerkbasierte Identifizierung des Täters ist dann nicht mehr gegeben.
  • Bei von den Tätern selbst erstellter Schadsoftware sind meist Spuren auswertbar, die eine Zuordnung insoweit ermöglichen, dass festgestellt wird, dass verschiedene Tools von überlappenden Personengruppen entwickelt wurden. Es wird dabei also die „Handschrift“ einzelner Softwareentwickler erkannt, oder die Täter hinterlassen sogar vorsätzlich kleine Botschaften, die die Ermittler provozieren sollen. Die festgestellte Identität stellt hierbei aber lediglich ein Pseudonym dar, das bei weiteren Angriffen wiedererkannt, jedoch nicht zweifelsfrei einer einzelnen natürlichen Person zugeschrieben werden kann. Beim Sony-Hack wurde beispielsweise festgestellt, dass die Software auf einem Rechner kompiliert wurde, bei dem Koreanisch als Systemsprache konfiguriert war, was auf wenige Täterländer hindeutet. Zudem wurde Komponenten wiedergefunden, die bei Angriffen auf Unternehmen in Südkorea und Saudi-Arabien genutzt wurden, was auf Nordkorea weist. Ob hier aber dieselben Entwickler gewirkt haben oder genutzte Komponenten zuvor verbreitet wurden, lässt sich anhand dieser Spuren nicht feststellen.

Der FBI-Report legt nahe, dass eine südchinesische Infrastruktur beim Angriff genutzt wurde, die in der Vergangenheit bei Angriffen, die seinerzeit Nordkorea zugeschrieben wurden, ebenfalls beteiligt war. Diese Ermittlungsergebnisse stellen ein weiteres Indiz dar, dass Nordkorea beim Sony-Hack beteiligt war, von erdrückenden Beweisen kann man aber nicht ausgehen: Es wäre nicht schwierig, einen Angriff von irgendeinem System auf der Welt aus so vorzunehmen, dass es sich auf dem verschlungene Weg zum Zielsystem derselben Infrastruktur bedient. Anders gesagt: Digitale Spuren lassen sich künstlich erzeugen, so dass der Angriff einem vermeintlichen Täter in die Schuhe geschoben wird. Die Selbstsicherheit des FBIs erscheint hier auch unter einem weiteren Aspekt überzogen: Wie kann die Ermittlungsbehörde so feinsäuberlich unterscheiden, ob der Angriff von gewöhnlichen Kriminellen oder Hacktivisten aus dem Süden Chinas erfolgte oder ob die Gruppe im Auftrag nordkoreanischer Dienste oder einfach aus Sympathie zu Nordkorea handelte? Vielleicht trainierten hier chinesische Hacker den Nachwuchs. Sony war dann aufgrund seiner in der Vergangenheit gezeigten Schwächen ein naheliegendes Ziel für ein Gesellenstück, und wer konnte vorher ahnen, dass die Veröffentlichung einiger Mails und das Lästern der Hacker über die neue Filmproduktion internationale Verstimmungen erzeugten?!

Das FBI benennt ein pikantes Detail: „[T]he FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.“ Es wurde also eine verräterische Rechnerkommunikation beobachtet. Wohlgemerkt: Nicht die in der Schadsoftware gefundenen IP-Adressen gehörten zur Nordkorea zugeschriebenen Infrastruktur, sondern die Kommunikationspartner dieser IP-Adressen. Haben die US-Ermittler also beobachtet, wie Rechner im Süden Chinas miteinander kommunizierten? Ganz trivial ist eine solche Beobachtung nicht, schließlich dürften chinesische Netzwerkbetreiber nicht ganz so kooperativ bei der amerikanischen Überwachung ihrer Netzknoten sein wie europäische. Falls amerikanische Dienste aber in der Lage sind, innerchinesischen Datenverkehr mitzulauschen, wäre das FBI kaum befugt, dies öffentlich einzuräumen. Der Report geht auf diesen Punkt nicht genauer ein; die fraglichen IP-Adressen werden nicht aufgeführt.

 

Cyberkrieger

Es wird möglicherweise nie geklärt werden, wer alles am aktuellen Sony-Hack aktiv oder unterstützend beteiligt war. Aber selbst wenn eine zweifelsfreie Identifizierung der Täter gelingt: Von Cyberterrorismus sollte niemand leichtfertig sprechen. Hollywood ist keine kritische Infrastruktur und die Veröffentlichung eines Drehbuches vor Produktionsbeginn ist kein kriegerischer Akt.

 

 

]]>
http://www.scilogs.de/datentyp/nordkorea-war-es-ganz-bestimmt/feed/ 2 wissenslogs
Ist Festplattenverschlüsselung mit Truecrypt nun unsicher?http://www.scilogs.de/datentyp/ist-festplattenverschluesselung-mit-truecrypt-nun-unsicher/?utm_source=rss&utm_medium=rss&utm_campaign=ist-festplattenverschluesselung-mit-truecrypt-nun-unsicher http://www.scilogs.de/datentyp/ist-festplattenverschluesselung-mit-truecrypt-nun-unsicher/#comments Thu, 29 May 2014 20:17:35 +0000 http://www.scilogs.de/datentyp/?p=74 ... weiter]]> Es war ein Paukenschlag, der am Mittwochabend auf der Webseite des Truecrypt-Projektes verkündet wurde: Truecrypt sei nicht sicher und könnte noch nicht beseitigte Schwachstellen enthalten. Man möge doch bitte umgehend zu Microsoft BitLocker wechseln

Viele reiben sich noch immer verwundert die Augen. Der Vorgang dürfte einmalig sein. Im Folgenden werden einige Fragen beantwortet, die von Anwendern - aber auch von Interessierten, die erst aufgrund des Skandals auf das Werkzeug aufmerksam wurden, gestellt werden.

 

Warum wäre ein Ende von Truecrypt ein großer Verlust?

Truecrypt gehört zu einer Handvoll gelungener, betriebssystemübergreifender und Einsteiger-geeigneter Tools, die eine gute Grundausstattung im Hinblick auf Datenschutz und Datensicherheit bieten. Zum Verschlüsseln und Signieren von E-Mail dient PGP (GnuPG), anonymes Websurfen ermöglich ein TOR-Client, mit OpenVPN kann der geschützte Zugang zu Netzen aufgebaut werden – und die Verschlüsselung von Dateien, Partitionen oder ganzen Systemen ermöglichte bisher eben Truecrypt.

 

Welche Bedrohungen werden durch Truecrypt abgewehrt?

Ein PC, insbesondere ein Notebook, kann

  • gestohlen
  • verloren
  • beschlagnahmt
  • kopiert (gemeint sind die Festplatteninhalte)

werden; kopieren bezieht sich auch auf Daten, die bei einem Clouddienstleister (z. B. Dropbox) gespeichert sind. Derjenige, der nach einem Diebstahl über vertrauliche Daten verfügt, kann diese lesen oder weiterverbreiten und infolge in die Privatsphäre der Betroffenen eindringen (z. B. Bilder und E-Mails betrachten), Firmengeheimnisse in Erfahrung bringen, Diebstahlopfer erpressen oder diesen einfach das ungute Gefühl vermitteln, jederzeit persönliche Informationen über sie anzapfen zu können. Wer bereits einmal sein Notebook an einem Flughafen längere Zeit aus der Hand geben musste, kennt dieses mulmige Gefühl vielleicht; wer schon mal ein ungesichertes Notebook verloren hat, kennt es ganz bestimmt. Der materielle Verlust ist oft vernachlässigbar, wenn wichtige Daten auf dem Rechner gespeichert waren. Man kann dagegen aber etwas tun: Festplattenverschlüsselung.

 

Ist Truecrypt denn bisher sicher gewesen?

Bis zum Paukenschlag am Mittwoch galt Truecrypt insoweit als sicher, dass es kein anderes Produkt vergleichbarer Funktionalität gibt, dem allgemein eine höhere Schutzwirkung attestiert wurde.

Die Frage kann man ohnehin nur ausweichend beantworten, denn niemand kann wissen, ob eine Software hoher Komplexität nicht doch eine bisher unentdeckte schwerwiegende Sicherheitslücke enthält. Bei Truecrypt wurde aber vieles richtig gemacht: Die Software implementierte Krypto-Algorithmen, die nach Stand von Wissenschaft und Technik nicht zu brechen sind, sie war quelloffen und dokumentiert, d. h. jeder konnte sich anschauen, wie sie programmiert wurde, man konnte sie analysieren, ausgiebig testen, nachkompilieren und sogar modifizieren, wenn man den Bedarf verspürte. Die Funktionalität berücksichtigte im Versionsverlauf Hinweise von Anwendern wie auch von Experten und unterstützte schließlich viele wichtige Anwendungsfälle von Festplattenverschlüsselung, z. B. einen portablen Modus oder die vollständige Verschlüsselung des Systems mit Abfrage eines Passwortes zum Bootzeitpunkt.

Erst kürzlich wurde eine kommerzielle Auditierung der Software durchgeführt, die mögliche Schwachstellen aufspüren sollte. Dabei wurden keine schwerwiegenden Fehler identifiziert, jedoch wertvolle Verbesserungsvorschläge formuliert. Die Akzeptanz von Truecrypt ist dadurch weiter gestiegen. Allerdings blieb weiterhin unbekannt, wer hinter Truecrypt „steckt“. Die Entwickler blieben demnach anonym, es wurde nicht bekannt, wer die Entscheidungen zur Herausgabe neuer Releases trifft. Das ist bei quelloffener Software zwar nicht nötig und es kann sogar vorteilhaft sein, um die Entwickler keinem Druck behördlicher Bedarfsträger auszusetzen. Doch bringt es auch Probleme mit sich, wenn das Projekt in Schieflage gerät, wie wir nun aktuell verfolgen können. Es fehlt an Ansprechpartnern, man weiß nicht, wem man Unterstützung anbieten könnte.

 

Ist die Einstellung des Projektes mit dem Hinweis auf Sicherheitsprobleme ungewöhnlich?

Der gesamte Vorgang ist höchst ungewöhnlich, er wirkt geradezu absurd!

Ein Hinweis auf Sicherheitsprobleme allein wäre nicht ungewöhnlich, ganz im Gegenteil: Die ungeschriebenen Gesetze sähen bei einem solchen Werkzeug vor, dass das Sicherheitsproblem vom Projektteam veröffentlicht bzw. bestätigt wird, anschließend im Detail beschrieben und in Bezug auf seine Auswirkungen beurteilt wird. Gleichzeitig (oder etwas später) würde dann eine Lösung (z. B. Workaround oder Softwarepatch) veröffentlicht, die das Problem aus der Welt schafft. Diese Vorgehensweise ist bei Sicherheitstools etabliert und ermöglicht den Anwendern, die Auswirkungen im Einzelfall einzuschätzen, den Schaden zu begrenzen und selbst angemessen zu reagieren.

Der nebulöse, nicht substantiierte Hinweis auf Sicherheitsprobleme und die gleichzeitige Abkündigung des Projektes sind jedoch ein unerwarteter Fauxpas: Fehler in der quelloffenen Software wären lokalisierbar oder mindestens konzeptionell beschreibbar, so dass sie nachvollzogen werden können. Wäre eine fehlerhafte Implementierung eines Algorithmus oder eine Schwachstelle in der Einbindung der Sicherheitsfunktionen in die Gesamtsoftware Ursache des Sicherheitsproblems, wäre davon auszugehen, dass in kurzer Zeit ein Patch (d. h. eine Softwarereparatur) zur Verfügung gestellt werden könnte. Das Werkzeug Truecrypt besteht aus einer Vielzahl von abgrenzbaren Komponenten, so dass ein „Totalschaden“, der das gesamte Projekt unrettbar zerstört und eine Weiterverwendung der Komponenten in einem Nachfolgeprojekt unmöglich macht, schlicht abwegig ist.

Der weitere Hinweis auf der Projektwebseite zum Supportende von Windows XP ist sachfremd, da kaum davon auszugehen ist, dass die Mehrzahl der Truecrypt-Nutzer XP-User sind. Der Marktanteil von XP ist bereits sehr deutlich zurückgegangen, zudem wurde der Support nicht plötzlich seitens Microsoft eingestellt, so dass ein abrupt verkündetes Ende von Truecrypt nun kaum gerechtfertigt ist. Die Empfehlung, stattdessen auf Bitlocker umzusteigen, das weder plattformübergreifend noch quelloffen ist, erscheint äußerst abwegig und unter Berücksichtigung der öffentlich gewordenen, teilweise erzwungenen Kooperation von führenden Softwareunternehmen und amerikanischen Sicherheitsbehörden provokativ, fast so, als ob man dem Projekt über den Umweg der Verunsicherung und Verärgerung der Nutzer nun absichtlich den Todesstoß versetzen möchte. Selbst bei Microsoft dürfte man sich über die unerwartete Produktwerbung kaum freuen: Die Redmonder stehen nun wie Profiteure eines unsportlich geführten Kampfes da, was dem eigenen Image kaum zuträglich sein wird.

Welche Motivation hinter dem Projektende steht, wissen wir derzeit nicht. Die Spekulationen reichen von behördlichem Druck (vergleichbar mit dem Ende von Lavabit nach behördlichem Druck) über einen schlechten Scherz eines Hackers, der an die Keys der Entwickler gekommen ist, bis hin zu einem Streit innerhalb des Projektteams, der eine „Racheaktion“ auslöste. Letzteres wäre deutlich plausibler als eine fatale, nicht zu reparierende und nicht zu beschreibende Sicherheitslücke.

 

Sollten Anwender nun auf Truecrypt verzichten?

Ignorieren sollte man es wohl nicht, wenn die Entwickler das Werkzeug plötzlich als unsicher bezeichnen. Angesichts der absurden Umstände des Projektendes sind jedoch Zweifel angebracht, dass hier tatsächlich ein Sicherheitsproblem besteht. Ein hastiger Umstieg auf BitLocker ist nicht angezeigt, solange keine inhaltliche Beschreibung der Schwachstelle – sollte es denn eine geben – erfolgt.

]]>
http://www.scilogs.de/datentyp/ist-festplattenverschluesselung-mit-truecrypt-nun-unsicher/feed/ 3 wissenslogs
Liebe Bundestagsabgeordnete, wir müssen einmal über anonymes Websurfing sprechen!http://www.scilogs.de/datentyp/bundestag-tor-websurfing/?utm_source=rss&utm_medium=rss&utm_campaign=bundestag-tor-websurfing http://www.scilogs.de/datentyp/bundestag-tor-websurfing/#comments Fri, 16 May 2014 09:22:15 +0000 http://www.scilogs.de/datentyp/?p=65 ... weiter]]> Liebe Bundestagsabgeordnete,

wir müssen einmal über anonymes Websurfing sprechen!

Hatten Sie auch manchmal den Eindruck, jemand wusste, welche Webseiten Sie besucht hatten, was Sie sich dort genau angeschaut hatten und welche Informationen für Ihre politische Arbeit Sie sich dabei heruntergeladen hatten? Dann fühlten Sie sich wahrscheinlich bestätigt als Sie den Bericht auf sp.on lasen: Ihre Verbindungsdaten werden mitgeschnitten und monatelang aufbewahrt. Spätestens nach vier Monaten sollen sie zwar gelöscht werden, allerdings zeigen Ergebnisse der Edathy-Ermittlungen, dass sich auch E-Mails aus dem Jahre 2010 "in den Akten finden".

Viele von Ihnen sind nun zurecht verärgert. Eine Speicherung von Daten auf Vorrat ohne einen konkreten Verdacht ist nicht akzeptabel! Was für ein Staat wäre das, der anlasslos Abgeordnete beobachten lässt?! Es wäre schon eine Zumutung für ganz normale Bürger unseres Landes, wenn dies geschähe (Danke für Ihre Unterstützung in dieser Sache!), aber Abgeordnete genießen zusätzlich Immunität, mithin einen besonderen Schutz vor Nachstellungen seitens der Behörden, und sie bestimmen selbst, wie die Bundestagsverwaltung arbeitet.

Einige von Ihnen erinnern sich nun daran, dass Sie keinen Dienstherren haben und auch selbst den Bundestagspräsidenten wählen, der die Bundestagsverwaltung führt. Diese Verwaltung hat die Datensammelei zu verantworten. Das bringt Sie als Mitglieder des deutschen Bundestags nun in eine etwas absurde Position: Sie können sich nicht bei Ihrem Chef beschweren, weil Sie keinen haben – und Sie können auch nicht nach dem Gesetzgeber rufen, weil Sie der Gesetzgeber sind. Vermutlich hat Sie die Erklärung der Bundestagsverwaltung, dass "die Datenspeicherung ein Service für Abgeordnete [sei], damit diese ihre Kommunikation nicht individuell sichern müssten", eher beunruhigt. Das ist auch kein Wunder; denn das dürfte die mit Abstand abwegigste Erklärung seit langer Zeit sein, die eine Bundesbehörde abgegeben hat. Auch die Ergänzung, dass "ausschließlich einzelne Administratoren Zugriff auf die Datensätze hätten", erhöht nicht gerade das Vertrauen in die Bundestagsverwaltung sowohl im Hinblick auf Datenschutz als auch, was gelungene Public Relations angeht.

"Im Bundestag verweist man darauf, die Datenspeicherung sei ein Service für Abgeordnete, damit diese ihre Kommunikation nicht individuell sichern müssten."

Bevor Sie nun das Thema Vorratsdatenspeicherung neu für sich entdecken und schnell gestrickte Gesetzesvorlagen in die Mühlen der Ausschüsse einwerfen, die ohnehin vor der Sommerpause kein tragfähiges Ergebnis erarbeiten werden, möchte ich Ihnen technische Hinweise geben: Sie müssen sich nicht überwachen lassen! Ich meine damit: Sie müssen das nicht nur nicht über sich ergehen lassen, weil Sie als Gesetzgeber etwas daran ändern könnten (um noch ein bisschen Salz in die Wunde zu streuen). Nein, Sie können das sofort unterbinden, wenn Sie sich technischer Hilfsmittel bedienen. Und wieder nein: Dazu müssen Sie nicht vermummt in das nächste Internetcafé in Reichstagsnähe huschen, um dort heimlich über ein Spezialgerät Suchanfragen in Google abzusetzen. Tatsächlich können Sie im Abgeordnetenbüro das TOR-Netzwerk benutzen, und Sie könnten sogar etwas dafür tun, dass dieses Netzwerk besser und schneller wird, so dass nicht nur Sie sondern auch Normalbürger unbeobachtet und schnell im Netz surfen können.

TOR basiert auf dem Prinzip des Onion-Routings, was – stark vereinfacht – bedeutet, dass Ihre Kommunikation erst mehrfach sicher verpackt und anschließend über eine sich in kurzen Abständen zufällig verändernde Route in das Internet vermittelt und dabei schrittweise wieder ausgepackt wird. Ihre übermittelten Informationen im TOR-Netzwerk werden stets verschlüsselt weitergegeben, so dass auch die Abfrage einer öffentlich verfügbaren Webseite nicht für die Bundestagsverwaltung oder andere Stellen, die Zugriffe auf Ihre Internetkommunikation vornehmen, sichtbar wird. Kurz: Sie könnten sich unbesorgt weltweit aus elektronischen Quellen informieren, ohne sich sorgen zu müssen, dass jemand weiß, an welcher politischen Initiative Sie gerade arbeiten. Das Gefühl, dass Ihnen jemand über die Schulter schaut, wäre dann vielleicht verschwunden. TOR kann auch dazu genutzt werden, Zugriffssperren zu umgehen. Wenn also der Bundestagspräsident oder ein einzelner Administrator Ihnen wohlmeinend den Besuch bestimmter Webserver verwehrt (ein undenkbares Szenario!), wäre dieser Filter ebenfalls umgangen.

Leider stehen weltweit nur einige tausend TOR-Nodes zur Verfügung, was dazu beiträgt, dass die anonyme Kommunikation über das TOR-Netzwerk vergleichsweise langsam vonstattengeht. Diese Nodes, die aufgrund ihrer Hintereinanderschaltung die Anonymität bewirken, werden oft von Privatleuten betrieben, die etwas gegen Internetüberwachung unternehmen wollen. Hier könnten Sie als Abgeordnete Ihrerseits helfen und Ihre Verwaltung oder Mitarbeiter auffordern, TOR-Nodes in Betrieb zu nehmen. Das kann letztlich jeder PC oder Server sein, der in Ihrem Büro steht, es wäre aber auch ein politisches Zeichen, wenn der Bundestag ganz offiziell einige leistungsstarke TOR-Nodes betriebe und damit weltweit etwas gegen Verfolgung und zum Schutz der Privatsphäre beitrüge.

tor
Bildautor: Saman Vosoghi, gemeinfrei.

 
Es gibt zwar auch beim TOR-Netzwerk konzeptionelle Grenzen und potentielle Lücken, was die anonyme Kommunikation angeht, aber schwach ist der Schutz nicht. Dies wurde auch die Berichte im Guardian bestätigt, die aus internen Dokumenten der NSA zitierten und von geringen NSA-Erfolgen beim Versuch, die Anonymität von TOR-Benutzern aufzuheben, zeugen. Näheres könnte Ihnen Edward Snowden erzählen, den Sie übrigens auch einmal nach Berlin einladen könnten, um aus erster Hand etwas über weltweite Internetüberwachung und die Konsequenzen für die Bundesrepublik zu erfahren. Herr Snowden könnten Ihnen dann zeigen, wie man eine TOR-Node aufsetzt oder auch einfach, wie man TOR richtig nutzt – nur für den Fall, dass Sie Ihrer Bundestagsverwaltung nicht mehr uneingeschränkt vertrauen.

Mit freundlichen Grüßen nach Berlin!
Ulrich Greveler

]]>
http://www.scilogs.de/datentyp/bundestag-tor-websurfing/feed/ 3 wissenslogs
Twittert mehr Agentur-Falschmeldungen!http://www.scilogs.de/datentyp/twittert-mehr-falschmeldungen/?utm_source=rss&utm_medium=rss&utm_campaign=twittert-mehr-falschmeldungen http://www.scilogs.de/datentyp/twittert-mehr-falschmeldungen/#comments Tue, 22 Apr 2014 16:19:29 +0000 http://www.scilogs.de/datentyp/?p=58 ... weiter]]> Eine Entschärfung gefährlicher Algorithmen könnte die Folge sein

 

„Zwei Explosionen im Weißen Haus; Obama verletzt.“ war der Inhalt des Tweets der Presseagentur Associated Press (AP), der viele Menschen am 24. April 2013 in Aufregung versetzte. Die Meldung einer Nachrichtenagentur wird naturgemäß ernster genommen als ein an einer Bushaltestelle schnell verfasster Tweet eines kaum bekannten Users. Es handelt sich bei @AP zudem um einen „Verified Account“, was bedeutet, dass Twitter zusichert, dass das Konto tatsächlich der Presseagentur gehört und nicht einfach jemand in ihrem Namen twittert. Tatsächlich aber war die Meldung frei erfunden. Jemand hatte das Passwort für den Account herausgefunden und sich die Doppelexplosion ausgedacht; eine gewisse Kreativität hat der Täter bewiesen: Zwei Explosionen klingen authentischer als eine einzige. Viele sind darauf für einige Minuten reingefallen; ein kleines Beben an der Börse war die Folge.

Ein Jahr ist dieses Ereignis nun her. Welche Lehren wurden gezogen? Im Nachgang zum „AP-Twitter-Hack“ wurde Kritik laut. Die Kritik richtete sich an AP, denn eine Agentur von Weltrang sollte darauf achten, dass ihre Passwörter nicht Dritten in die Hände fallen. Aber auch Twitter geriet unter Druck, denn der Zugang zu den Konten wurde für alle Kunden ohne eine sogenannte Zwei-Faktor-Authentisierung gestaltet. Wenn die Nutzer neben ihrem Twitter-Passwort noch ein zusätzliches Token verwenden (z. B. eine Chipkarte), fiele es Hackern schwerer, Konten zu übernehmen und Falschmeldungen zu verbreiten.

Ungeeignete Sicherheitstipps

Twitter geriet in die Defensive und versuchte zunächst, mit fragwürden Sicherheitshinweisen an seine Nutzer, Boden gut zu machen. Wichtige Accounts sollten von dedizierten Rechnern aus betrieben werden. Wenn AP-Mitarbeiter Zugriff auf das Twitterkonto haben, müssten sie stets einen weiteren Rechner mit sich führen, da der Twitter-Rechner zum Websurfen oder Emailen verboten ist. Niemand erwartete aber, dass praxisferne Sicherheitsmaßnahmen sich durchsetzten. Zu durchschaubar war der Versuch, den schwarzen Peter an den Kunden weiterzugeben.

Mittlerweile ist die Zwei-Faktor-Authentisierung für Twitter implementiert; frei erfundene Agentur-„Meldungen“ werden – wenn die Kunden die Funktion nutzen – seltener werden. Infolge entwickelt sich aber eine noch größere Gefahr, für die man Twitter nicht verantwortlich machen darf: Die nächste Falschmeldung ist noch glaubwürdiger, die Folgen möglicherweise umso gravierender! Wir befinden uns ein Jahr nach der folgenschweren Falschmeldung in einer trügerischen Ruhephase – und es droht ein neuer Sturm.

Denn seien wir fair: Nicht Twitter oder AP hatte Schuld daran, dass die Börsen erbebten. Es sind vielmehr diejenigen, die auf erfundene Meldungen hereinfielen und diese ungeprüft verwendeten! Wenn ein einziger falscher Tweet kurzzeitig 200 Milliarden Dollar an Börsenwert vernichtete, sagt das einiges über die Naivität oder Fahrlässigkeit der Marktteilnehmer aus. Um letztere sollte man sich Sorgen machen, nicht über die Glaubwürdigkeit einzelner Tweets.

Für eine Nachricht braucht es mindestens zwei voneinander unabhängige Quellen.

Den Grundsatz, mehrere Quellen für Nachrichten heranzuziehen, beherrscht jeder Journalist, und auch in der Wissenschaft ist es etablierter Standard, Behauptungen zu belegen. Eine Aussage muss bis hin zur primären Quelle zurückverfolgbar und damit überprüfbar sein. Je „erstaunlicher“ eine Behauptung ist, desto belastbarer sollten die (voneinander unabhängigen) Quellen sein. Ein Tweet einer Presseagentur ist aber keine Nachricht. Und – mit Verlaub – ein entwichenes Passwort ist auch noch kein Hack. Vielleicht hatte der Nachrichtenfälscher einfach einem Journalisten bei der Passworteingabe über die Schulter geschaut.

Wir sollten vielmehr damit rechnen, dass tatsächlich einmal ernstzunehmende Hacks gelingen, z. B. dass ein Angreifer mehr als ein Agenturkonto gleichzeitig kontrolliert oder eine Sicherheitslücke bei Twitter findet, die es ermöglicht, scheinbar unabhängige Quellen für eine Nachricht zu erzeugen. Wir können dann nur hoffen, dass verantwortungsvolle Marktteilnehmer nicht allein diese Tweets als Quelle heranziehen sondern auch darauf achten, andere Wege der Überprüfung in Betracht ziehen.

Wenn es automatische Orders aufgrund einzelner Tweets gibt, sollten sich diejenigen schämen, die solche Mechanismen anwenden

Tatsächlich gibt es aber Hinweise, dass einzelne institutionelle Anleger Algorithmen einsetzen, die aus Tweets automatische Verkaufsorders ableiten. Veröffentlichte Tweets werden dabei kontinuierlich nach Stichworten durchsucht, die auf Ereignisse hindeuten, die Kurse beeinflussen werden. Aufkommende Krisensituationen deuten beispielsweise auf einen kurzfristigen Abschwung auf den Aktienmärkten hin. Dann gewinnt der, der als erstes verkauft; Sekundenbruchteile können entscheiden. Die darauf folgenden Verkäufe werden bereits zu niedrigeren Preisen abgewickelt, daher führten die vermeintlichen Explosionen im Weißen Haus zu deutlichen Kursabschlägen in kürzester Zeit.

Diese Algorithmen sind gefährlich! Sie sind geeignet, die Stabilität der Finanzmärkte zu schwächen und Milliardenwerte zu vernichten. Schuld an der Misere sind aber nicht unvorsichtige Twitterer. Vielmehr sind es Anleger und Händler, die leichtfertig agieren und mehr als das eigene Kapital aufs Spiel setzen. Verantwortungslose Teilnehmer, die die Kontrolle an Rechner übergeben, verstärken erst die Anreize für Hacker, über falsche Tweets gezielte Kursmanipulationen zu betreiben und davon zu profitieren.

Eine Lösung könnte darin bestehen, automatische Orderausführungen ganz zu verbieten. Eine solche Einschränkung wäre angesichts der global aufgestellten Finanzmärkte nicht nur politisch kaum durchsetzbar. Zu groß ist die Versuchung zu mogeln und über beschleunigte, mindestens halbautomatische Prozesse einen Vorteil zu erzielen. Eine umfassende Kontrolle der Marktteilnehmer ist kaum vorstellbar.

Alternative Lösung: Agenturen sollten mehr falsche Tweets verbreiten nicht weniger!

Die Alternative zur starken Regulierung ist einfacher umsetzbar, wenn vielleicht auch schwieriger zu vermitteln. Wir brauchen mehr Falschmeldungen! Wenn es in zunehmendem Maße Fehlinformationen gäbe, wäre die Gefahr geringer, dass es zu überschießenden Reaktionen an den Finanzmärkten kommt. Wir würden uns daran gewöhnen und die übliche Frist abwarten, die bis zum Dementi vergeht. Die anfälligen Algorithmen müssten entschärft werden; Panikreaktionen würden vermieden. Eine Immunisierung gegenüber Falschmeldungen hätte zur Folge, dass die Wirkung gefälschter Nachrichten verpuffte. Diese einfache Idee einmal weitergesponnen: Wenn jede Nachrichtenagentur einen von hundert Tweets an einen talentierten Hoax-Autor verlosen würde, gäbe es nicht nur mehr unterhaltsame Falschmeldungen in den Wirtschaftsnachrichten. Das Bewusstsein, dass eine Meldung noch keine Nachricht ist, würde bei allen Lesern gefördert werden. Institutionelle Anleger, die um diesen Umstände wissen, wären gezwungen, ihre automatischen Plattformen zu entschärfen und verhängnisvolle Entscheidungen zu deautomatisieren. Eine behutsame Einführung falscher Meldungen könnte sich darauf beschränken, nur solche Meldungen zu erfinden, die von Menschen leicht als Unsinn erkannt werden, von Algorithmen aber verarbeitet werden. Das wäre aber keine dauerhafte Lösung, denn Algorithmen werden ständig verbessert, und die Immunisierung gegenüber Fehlinformationen sollte möglichst auch bei leichtsinnigen Händlern einsetzen.

Die Hoffnung, dass angesehene Nachrichtenagenturen nun gelegentlich eine Meldung vom Postillon übernehmen, ist jedoch verfrüht. Überzeugungsarbeit wäre nötig. Aber warten wir auf den nächsten Incident: Wenn die Zwei-Faktor-Authentisierung und weitere Sicherheitsmaßnahmen in den Agenturen eine Ruhephase bewirken und dann die nächste gelungene Falschmeldung eine weltweite Finanzkrise auslöst (das soll jetzt bitte keine Prognose sein!), könnte ein Umdenken einsetzen. Gerecht wäre es, wenn die Zocker, die automatische Handelssysteme mit Tweets füttern, dann die größten Verluste erleiden.

]]>
http://www.scilogs.de/datentyp/twittert-mehr-falschmeldungen/feed/ 2 wissenslogs
NSA benötigt Milliarden-Etat, weil Verschlüsselung sicher ist!http://www.scilogs.de/datentyp/nsa-ben-tigt-milliarden-etat-weil-verschl-sselung-sicher-ist/?utm_source=rss&utm_medium=rss&utm_campaign=nsa-ben-tigt-milliarden-etat-weil-verschl-sselung-sicher-ist http://www.scilogs.de/datentyp/nsa-ben-tigt-milliarden-etat-weil-verschl-sselung-sicher-ist/#comments Sun, 08 Sep 2013 21:20:13 +0000 http://www.scilogs.de/datentyp/nsa-ben-tigt-milliarden-etat-weil-verschl-sselung-sicher-ist/ ... weiter]]> Erleben wir bald einen Software-Antiamerikanismus, den die US-Regierung zu verantworten hat?

 

Aktuelle Meldungen nach den Enthüllungen von Edward Snowden verunsichern die Bevölkerung. Tenor: Wenn die NSA nun auch etablierte Verschlüsselungsstandards wie SSL und VPN-Netzwerke „geknackt“ hat und auf Betriebssysteme von PCs und Telefonen Zugriff hat, verbleibe keine Überwachungslücke mehr und wir seien den Überwachern hilflos ausgeliefert. Daher bringe es nichts, Mails oder Festplatten zu verschlüsseln, irgendwie schaffen sie es ja doch, an unsere Daten zu kommen.

Die NSA kann keine Verschlüsselung brechen. Deswegen werden Umwege gegangen und Betriebssysteme, Hard- und Software kompromittiert.

Tatsächlich ist das Gegenteil der Fall! Die letzten von der NY-Times und dem britischen Guardian veröffentlichten Enthüllungen zeigen, dass starke Verschlüsselungsalgorithmen, die heute jedem zur Verfügung stehen, das wesentliche Problem der NSA schlechthin darstellen. Die Sicherheitsbehörde betreibt enorme Aufwände, um an die Inhalte verschlüsselter Kommunikation zu gelangen. Gängige Algorithmen sind beispielsweise der Verschlüsselungsstandard AES, der einen wichtigen Baustein bei der Etablierung vertraulicher Kommunikation darstellt. Dieser Algorithmus, der durch ein aufwändiges, öffentliches Findungsverfahren ermittelt und bereits vor seiner Standardisierung jahrelang wissenschaftlich untersucht wurde, kann nach heutigem Wissensstand weder durch mathematische Methoden noch durch geballte Rechenpower von Regierungen gebrochen werden. Aus diesem Grunde müssen die Überwachungsspezialisten aufwändige Umwege gehen. Der Ansatz ist dabei der folgende: Verschlüsselung wird durch Software oder Hardware realisiert, die vor dem Versenden oder nach dem Empfang der Nachricht tätig wird, damit die Kommunikationspartner die Nachricht lesen können. Je nach verwendetem Protokoll wird eine Information auch mehrfach während der Übertragung ver- und entschlüsselt, um das Zusammenspiel verschiedener Technologien zu ermöglichen. Gelingt es dem Überwacher, eine Komponente zu kompromittieren, die Zugang zur unverschlüsselten Nachricht hat, kann er die Information lesen, ohne dass der Algorithmus selbst gebrochen werden musste. Den gleichen Erfolg erzielt er, wenn er für eine fehlerhafte Implementierung des Algorithmus sorgt, d. h. die Software die Schutzwirkung selbst wieder aufhebt, oder er Implementierungsfehler entdeckt und diese nicht offen legt.

Welche Befehle die CPU ausführt, können wir über den Blick auf das Display nicht nachprüfen.

Die Anwender haben tatsächlich schlechte Karten, wenn sie sich davon überzeugen möchten, dass die eingesetzte Software eine Kommunikationsüberwachung wirksam verhindert. Installierte Programme nehmen wir zunächst nur als Icons wahr, d. h. wir vertrauen implizit darauf, dass der Doppelklick tatsächlich die Software startet, die wir verwenden wollen. Anschließend sehen wir eine grafische Oberfläche, d. h. Dialogboxen, Fenster und Menüs, die dem gewohnten Look-and-Feel eines Mailprogramms, eines Browsers oder anderen Softwarehelfern entsprechen. Wir haben aber keine Möglichkeit über unsere fünf Sinne festzustellen, ob die Software nicht verändert oder sogar vollständig ausgetauscht wurde. Es ist nicht schwierig, ein Programm zu schreiben, das ein anderes Programm Pixel-genau nachbildet und im entscheidenden Moment etwas völlig anderes tut. Welche Befehle die CPU des PCs ausführt, können wir über den Blick auf das Display aber nicht nachprüfen.

Es existieren Sicherheitsmechanismen, die uns dabei unterstützen, die Authentizität von Software zu überprüfen und Veränderungen zu bemerken. Wenn der Hersteller die Software digital signiert hat und unser Betriebssystem den öffentlichen Signaturschlüssel des Herstellers kennt, können wir sicherstellen, dass wir tatsächlich das korrekte Programm installieren und nicht eine manipulierte oder nachgebildete Version. Derartige Mechanismen sind heute Standard und werden beispielsweise bei der Installation von Gerätetreibern genutzt, die nach der Anschaffung neuer Hardware installiert werden. Die Wirksamkeit setzt aber eine Vertrauensbeziehung voraus: Der Hersteller liefert uns nur Software aus, die keine (ihm bekannten) Sicherheitslücken enthält und das Betriebssystem, die Systemsoftware und darunter liegender Hardware ist vertrauenswürdig und hebt den Schutz nicht durch eigene Hintertüren auf. Und genau hier setzte die NSA an: Hersteller wurden genötigt, Schwachstellen auszuliefern, die eine Kommunikationsüberwachung ermöglichen; Sicherheitslücken in Betriebssystemen wurden ermittelt und geheim gehalten, oder es wurden Hintertüren vorsätzlich eingebracht, um Zugang zu den Endgeräten wie PCs und Smartphones zu erhalten. Der Aufwand für die Überwacher ist hoch, weil für eine Vielzahl von Softwareprodukten und auszuliefernden Versionen die Kompromittierung erfolgen muss; der gesamte Markt an Betriebssystemen, Softwareprodukten und frei verfügbaren Werkzeugen muss ständig beobachtet werden, um einen wesentlichen und andauernden Überwachungserfolg zu erzielen. Eine volle Abdeckung wird dabei nicht erreicht, es verbleiben stets eine Vielzahl von Systemen und Produkten, die sich einer Überwachung entziehen: Snowden selbst lieferte hier ein Beispiel und nutzte das bei Endanwendern leider kaum verbreitete und quelloffene Werkzeug GPG, um Informationen wirksam zu verschlüsseln, die er Journalisten zukommen ließ.

Eine Besonderheit spielt die US-Softwareindustrie, die den Markt in den Bereichen PC-Betriebssystemen, Officesoftware, Smartphonebetriebssystemen, Internetbrowsern und Netzwerkkomponenten  dominiert. Da wesentliche technologische Bausteine der digitalen Kommunikation dem kommerziellen Erfolg von US-Unternehmen zu verdanken sind, ist bis heute die US-Industrie führend bei Produktion und Weiterentwicklung von Kommunikationstechnologien. US-Behörden sitzen daher an der Quelle und können über Unternehmen, die in den Vereinigten Staaten beheimat sind oder Produktionsstätten betreiben, Einfluss auf die Überwachbarkeit der globalen IT-Landschaft nehmen.

Die US-Softwareindustrie steht vor einem Scherbenhaufen.

Für die derzeitige Vorgehensweise der NSA gibt es trotz der recht kurzen Geschichte der Datenfernübertragung bereits ein historisches Vorbild: In den Neunzigern wurde der US-Softwareindustrie auferlegt, nur geschwächte Verschlüsselungsverfahren mit ihren Softwareprodukten international auszuliefern (Krypto-Exportkontrolle), um eine Entschlüsselung von gesicherten Daten mit erträglichem Rechenaufwand zu ermöglichen. Da verbreitete Softwareprodukte wie Webbrowser und Mailprogramme aus den USA exportiert wurden und es oft keine Alternativen gab, erwies sich diese gesetzlich verankerte Vorgabe zunächst als erfolgreich und führte weltweit dazu, dass Internetnutzer ihre Daten nur schwach schützten, obwohl der PC technisch in der Lage war, einen starken Schutz zu bieten. Gleichzeitig erhielt jedoch eine neuer Industriezweig starken Rückenwind, der außerhalb der USA hergestellte Sicherheitsprodukte auf den Markt brachte oder kostenlos zum Download anbot, die die Exportrestriktionen wieder aufhoben. Nachdem der politische Druck seitens Bürgerrechtler und Kongressabgeordneter größer wurde und auch die amerikanische Softwareindustrie befürchtete, wesentliche Marktanteile aufgrund der Exportkontrolle zu verlieren, wurden die Export-Bestimmungen schließlich zur Jahrtausendwende in weiten Teilen aufgehoben [1].

Was die NSA heute tut, ist also eine Fortsetzung dessen, was in den Neunzigern bereits erfolgreich versucht wurde: Software wird in der Implementierungsphase vorsätzlich „beschädigt“, um die Vertraulichkeit der Kommunikation aufzuheben. Der wesentliche Unterschied ist heute die Heimlichtuerei. Während die Anwender in den Neunzigern wussten, welche Schwächung für bestimmte Browserfunktionen implementiert waren und die Auswirkung auf die eigene Kommunikation aufgrund dokumentierter Schwächungen einschätzen konnten, steht die US-Softwareindustrie nun vor einem Scherbenhaufen: Die verunsicherten Anwender wissen nun, dass massiv in die Sicherheitsfunktionalität eingegriffen wurde und dass eine erschreckende Unbekümmertheit staatlicher Stellen bei der Manipulaton von Softwareentwicklungsprozessen in US-Firmen herrschte.

Fragen Sie Ihren Arzt, Rechtsanwalt oder Steuerberater, ob er amerikanische Software einsetzt!

Ob Softwarehäuser zum Einbau von Hintertüren überwiegend gezwungen wurden [2] oder sich aus einer patriotischen Pflicht heraus zum Handeln aufgefordert sahen, wird noch aufzuklären sein. Das Ergebnis ist aber dasselbe: Anwender aus aller Welt können amerikanischer Software nicht mehr trauen; sie müssen davon ausgehen, dass diese in ihrer Sicherheitsfunktionalität vorsätzlich beschnitten ist. Die Konsequenzen werden erst langsam sichtbar werden, wenn erst einmal die Aufregung über die Snowden-Enthüllungen vorüber ist: Besorgte Europäer werden ihren Arzt, Rechtsanwalt oder Steuerberater fragen, ob dieser amerikanische Software zur Verarbeitung vertraulicher Daten einsetzt und um die Hintertüren weiß. Sicherheitslücken stehen nicht nur exklusiv der NSA zur Verfügung sondern können potentiell auch von nicht im staatlichen Auftrag handelnden Kriminellen genutzt werden. Deutsche Gerichte werden entscheiden müssen, ob die fortgesetzte Nutzung von US-Software nicht bereits eine fahrlässige Verletzung der Schweigepflicht impliziert. Die gleiche Frage wird man inländischen Behörden und Unternehmen stellen, die besonders schutzwürdige Daten verarbeiten. Ist es noch zumutbar, Behördenanfragen zu beantworten, wenn der kommunale Sachbearbeiter die sensiblen Informationen über seinen Windows-Arbeitsplatz-PC eintippt? Der Schaden für die US-Softwareindustrie kann derzeit kaum bemessen werden. Die amerikanische Regierung hat einen Software-Antiamerikanismus heraufbeschworen, der sich nicht auf wenige politische Aktivisten beschränken sondern breite Schichten der Gesellschaft und große Bereiche des Wirtschaftslebens erfassen wird. Sollten sich auch deutsche Unternehmen den Wünschen amerikanischer Behörden gebeugt und ohne gesetzliche Grundlage in Deutschland Hintertüren in Software eingebaut haben, werden sie sich unangenehmen Fragen und auch Schadenersatzforderungen stellen müssen.

Quelloffene Software führt in Richtung Technologietransparanz, die Überwachungsspezialisten Kopfschmerzen bereitet.

Eine wichtige Rolle wird zukünftig Open-Source-Software spielen, die jedem Interessierten Einblick in den Quellcode gewährt und die Überprüfung der Software auf Hintertüren sowie die Erweiterung um Sicherheitsfunktionen erheblich erleichtert. Es treten zwar auch im Open-Source-Umfeld Implementierungsfehler auf, die jahrelang unentdeckt bleiben und die Software verwundbar machen, und auch eine Manipulation von Standards, bevor diese in Software gegossen wird, ist denkbar. Trotzdem stellt quelloffene Software einen wichtigen Schritt in Richtung Technologietransparanz dar, der Überwachungsspezialisten Kopfschmerzen bereitet. Zukünftig wird man noch genauer hinsehen, woher der offene Quellcode kommt und wer die Entwicklung vorangetrieben hat. Ein Vorteil von quelloffener Software ist zudem, dass man mit geringem Aufwand verdächtige Komponenten von Grund auf neu erstellen oder gegen Bestandteile aus anderen Projekten austauschen kann. Dies könnte zukünftig einige Bibliotheksfunktionen betreffen, die von US-Softwarehäusern bereitgestellt wurden.

 

Quellen:

[1]: Neue Exportregelung des US-Handelsministeriums ab Januar 2000:  http://epic.org/crypto/export_controls/regs_1_00.html

[2]: “In some cases, companies say they were coerced by the government into handing over their master encryption keys or building in a back door.” (NY Times vom 06.09.2013)
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?hp&_r=1& 

 

]]>
http://www.scilogs.de/datentyp/nsa-ben-tigt-milliarden-etat-weil-verschl-sselung-sicher-ist/feed/ 16 wissenslogs
Wenn Straftaten nach Videoüberwachung ansteigen …http://www.scilogs.de/datentyp/wenn-straftaten-nach-video-berwachung-ansteigen/?utm_source=rss&utm_medium=rss&utm_campaign=wenn-straftaten-nach-video-berwachung-ansteigen http://www.scilogs.de/datentyp/wenn-straftaten-nach-video-berwachung-ansteigen/#comments Wed, 26 Dec 2012 19:37:03 +0000 http://www.scilogs.de/datentyp/wenn-straftaten-nach-video-berwachung-ansteigen/ ... weiter]]> Wenn Straftaten nach Videoüberwachung ansteigen …
Über den Nutzen der bildlichen Überwachung des öffentlichen Raumes

Kameras gehören mittlerweile zum gewohnten Stadtbild; die Überwachung des öffentlichen Raumes wird zur Selbstverständlichkeit. Nach dem versuchten Bombenanschlag auf den Bonner Hauptbahnhof will die Deutsche Bahn die Sicherheitsvorkehrungen verschärfen. Konzernchef Grube sagte der "Bild am Sonntag", er wolle mehr Video-Aufzeichnungen an Bahnhöfen [1]. 

Die Forderung von Grube ist verständlich. Der Tatort in Bonn wurde nicht flächendeckend videoüberwacht oder die Bilder wurden nicht gespeichert, es konnten nur schemenhafte Aufnahmen der Täter sichergestellt werden, die in einem Burger-Restaurant in der Nähe aufgezeichnet wurden. Das Unternehmen Bahn wirkte blamiert, weil es den Ermittlern nicht mit eigenem Videomaterial helfen konnte. Der Bundesgrenzschutz sah ebenfalls schlecht aus, weil er keine eigenen Kameras betrieb sondern sich auf die Videoüberwachung der Bahn verlassen hatte.

Piktogramm Videokamera

Die nach dem gescheiterten Anschlag erneut angestoßene Debatte verläuft nach üblichem Muster: Sicherheitspolitiker (so lassen sie sich gerne öffentlich bezeichnen) fordern eine Ausweitung der Videoüberwachung, um Straftaten aufklären zu können und potentielle Straftäter abzuschrecken. Datenschützer verweisen auf die vorhandenen rechtlichen Möglichkeiten zur Überwachung des öffentlichen Raumes und lehnen eine Ausweitung ab. Eindimensionale Diskussionen ersetzen jedoch keine politische Debatte. Die Frage, wie weit die Videoüberwachung des öffentlichen Raumes gehen sollte, ist vielschichtiger. Es gibt einige technische Entwicklungen aus jüngerer Zeit, deren Berücksichtigung die Debatte bereichern könnte, zudem wäre es hilfreich, eine Bestandsaufnahme belastbarer Erkenntnisse durchzuführen: Was wissen wir heute über die Wirksamkeit von Videoüberwachung, welche unbeantworteten Fragen sollten untersucht werden?

Videoüberwachung ist nicht gleich Videoüberwachung!

Zunächst ist hier zwischen Technologien und Überwachungsabsichten zu unterscheiden: Closed Circuit Television (CCTV) sind Videoüberwachungsanlagen, die Bilder auf eine begrenzte Zahl entfernter Monitore übertragen. Solche Monitore sind oft in Pförtnerbüros oder Alarmzentralen aufgestellt. Im Vordergrund steht hier nicht die Aufzeichnung der Bildinformation sondern die Möglichkeit, Livebilder einzusehen und in Gefahrensituationen schnell reagieren zu können. Die Bildübertragung und Aufzeichnung kann hier noch analog (und oft in eher schlechter Qualität) erfolgen, moderne Anlagen übertragen die Bilder digital und bieten zusätzliche Funktionen wie z. B. Bewegungserkennung oder motorgesteuerte Ausrichtung und das „Hineinzoomen“ über ein fernsteuerbares Objektiv, so dass die Monitore möglichst die Orte zeigen, bei denen verdächtige Aktivität herrscht. Die Systeme sind generell zur Kriminalprävention und zur Aktivierung von Einsatzkräften bestimmt, sie können ein Sicherheitsgefühl verstärken, wenn die überwachten Personen den Eindruck gewinnen, dass Sicherheitskräfte im Notfall etwas bemerken und rasch zum Einsatz kommen. Die Akzeptanz der Videoüberwachung öffentlicher Räume ist in der Bevölkerung recht hoch. 

Videoüberwachung mit digitaler Aufzeichnung findet jedoch oft ohne gleichzeitiges Monitoring des Bildmaterials statt. Die Bildinformation wird dann nur übertragen und zentral gespeichert, ein Anschauen auf einem Monitor findet nicht oder höchstens zufällig statt, weil ausreichendes Personal nicht bereitgestellt wird. Das Ziel einer solchen Überwachung (sofern es überhaupt klar definiert wird) ist dann in der erleichterten Täteridentifizierung und Strafverfolgung anzusiedeln. Eine Kriminalprävention findet hierbei indirekt statt, sofern die potentiellen Täter eine Identifizierung fürchten bzw. nicht über die Natur der Anlage orientiert sind und sich beobachtet fühlen. Die abschreckende Wirkung der Videoüberwachung ist jedoch schwierig zu messen, weil Verdrängungsaspekte berücksichtigt werden müssen und nicht jede Form der Kriminalität von äußeren Umständen beeinflusst wird. Die Tatsache, dass verstörende Videoaufnahmen von Gewalttätern gezeigt werden, die gegen den Kopf von am Boden liegenden Personen treten, ist eher als Beleg anzusehen, dass stark betrunkene Gewalttäter sich hier irrational verhalten und das Entdeckungsrisiko ihrer Tat nicht abwägen. Im Bereich von Diebstählen in Kaufhäusern zeigt die Videoüberwachung eine gewisse Wirkung, kann aber diese Form der Kriminalität nicht wesentlich zurückdrängen.

Tatsächliche und mutmaßliche Erfolge der Videoüberwachung

Parkhausdelikte: Der kriminalpräventive Effekt von Videoüberwachung in Parkhäusern ist mehrfach nachgewiesen worden (offen blieb jedoch in der Regel die Frage der Verdrängung der Kriminalität in andere Parkhäuser). Insbesondere wenn die Videoüberwachung mit weiteren Maßnahmen kombiniert wurde (verbesserte Beleuchtung, personelle Ausstattung), konnte die Zahl der Diebstähle aus PKWs deutlich reduziert werden. Die Ergebnisse stammen überwiegend aus Großbritannien; eine Übertragung auf deutsche Verhältnisse erscheint bei dieser Deliktart aber sinnvoll. 

Diebstähle und Körperverletzung: Deutsche Studien anlässlich von Pilotprojekten zeigen gewisse Erfolge bei der Prävention von Fahrraddiebstählen [2], eine Wirkung bei Körperverletzung  entzieht sich der Nachweisbarkeit. Unabhängige Studien mit hoher Datenqualität sind eher die Ausnahme [3], oft können nur dürre Zahlenwerke (Vorher-Nachher-Statistik ohne Vergleichswerte und ohne Signifikanzaussagen) oder anekdotische Fallberichte (wie die Festnahme der Kofferbomber 2006) der Polizeibehörden, die die Überwachungsmaßnahme selbst initiiert haben, herangezogen werden, teilweise mit überraschenden Ergebnissen: Die Innenbehörde der Stadt Hamburg ermittelte einen Anstieg (!) von 75% bei Körperverletzungsdelikten im videoüberwachten Teil der Reeperbahn über einen Zeitraum von drei Jahren nach Beginn der Überwachung. Hier zeigen sich methodische Herausforderungen: Die Videoüberwachung kann dazu führen, dass mehr Straftaten erfasst werden, wodurch eine kriminalpräventive Wirkung (sofern vorhanden) statistisch aufgehoben wird. Die öffentlichkeitswirksame Bekanntgabe der Videoüberwachung in Problembezirken führt bereits vor dem eigentlichen Beginn der technischen Maßnahme zur Verlagerung, weswegen Vergleichswerte schwierig zu bestimmen sind. [4] 

Drogen: Ein deutlicher Rückgang wurde bei der untersuchten Reeperbahn-Maßnahme im Bereich der Betäubungsmitteldelikte verzeichnet, ähnliche Ergebnisse liegen aus den Vereinigten Staaten vor; eine positive Wirkung auf den Drogenkonsum und –Handel, die über die Verlagerung auf Seitenstraßen hinausgeht, ist jedoch kaum anzunehmen. Über den tatsächlichen Nutzen der Überwachung kann daher nur gemutmaßt werden, was Sicherheitspolitiker jedoch nicht an einer positiven öffentlichen Bewertung der Maßnahme hindert.

"Angst-Räume": Die Beseitigung von Angst-Räumen in Stadtgebieten (z. B. dunkle Unterführungen, Tiefbahnhöfe) kann mit gut sichtbarer Videoüberwachung in Verbindung mit anderen Maßnahmen (Notrufknöpfe, Müllbeseitigung, Beleuchtung, Streifengänge) gelingen und die Nutzung öffentlicher Infrastruktur erhöhen. Inwieweit hier die Videoüberwachung selbst einen wesentlichen Anteil zur Sicherheit (oder zum Sicherheitsgefühl) beiträgt oder einfach "dazu gehört", bleibt festzustellen.

Kosteneffizienz: In Großbritannien konnte gemäß einem internen Report der Sicherheitsbehörden im Jahre 2008 nur eine (!) aufgeklärte Straftat pro tausend Kameras in der Londoner City verzeichnet werden. [5] Hier drängt sich die Frage auf, ob eine Investition in personelle Ressourcen (z. B. uniformierte Sicherheitskräfte in den überwachten Bereichen) nicht effizienter ist, wenn die Investitions- und Wartungskosten von tausend Kameras die Finanzierung einer Polizistenstelle überschreiten und wir mit begrenztem Optimismus davon ausgehen, dass ein Streifenpolizist pro Jahr mehr als eine Straftat verhindert bzw. aufklärt.

PKS_Abb
Abb. 1 Diebstahlstatistik (Quelle: Poliz. Kriminalstatistik, 2011)

Sicherheitsgefühl: Eine weitere Schwierigkeit bei der Feststellung des Nutzens liegt im glücklichen Umstand begründet, dass die polizeiliche Kriminalstatistik seit Jahren einen Rückgang bei den Delikten Mord / Totschlag, Raub, schwere Körperverletzung, Ladendiebstahl, Fahrzeugdiebstahl und Sachbeschädigung aufweist. [6] Eine Ausweitung der Videoüberwachung ist daher eher einem ansteigenden Unsicherheitsgefühl in der Bevölkerung geschuldet als tatsächlich vorhandenen Bedrohungen (siehe Abb. 1). Eine Wirksamkeit der Überwachung sollte daher fokussiert auf eine Verstärkung des Sicherheitsgefühls hin bewertet werden, denn eine präventive Wirkung wird angesichts der Kriminalstatistik nicht benötigt. Leider weisen jedoch diesbezügliche Untersuchungsergebnisse darauf hin, dass Menschen sich zum Teil unsicherer fühlen, wenn sie videoüberwacht werden, weil sie eine offensichtlich videoüberwachte Gegend als gefährlich ansehen. Spektakuläre Aufzeichnungen von schweren Körperverletzungen führen unweigerlich zu einem starken Anstieg des Unsicherheitsgefühls, wodurch ein Regelkreis begründet wird, der als simples Erklärungsmodell für die überbordende Ausweitung der Videoüberwachung in Großbritannien und in den USA herangezogen werden kann (siehe Abb. 2), aber mangels verlässlicher Daten auch nicht als erwiesen gilt.

Regelkreis
Abb. 2: Regelkreis

Eingriffe in Datenschutz aufgrund der Videoüberwachung

Die Überwachung des öffentlichen Raumes durch Private (z. B. Parkhäuser, Banken) ist im Bundesdatenschutzgesetz geregelt. Das Bundespolizeigesetz erlaubt es zudem der Bundespolizei, Bahnhöfe, Bahnsteige und Gleisanlagen zu überwachen, wobei in erster Linie auf eine Speicherung der Bilder (für bis zu 30 Tage) abgezielt wird. Öffentliche Plätze in Städten können durch Polizeibehörden überwacht werden, sofern die Bundesländer entsprechende polizeigesetzliche Regelungen getroffen haben.

Die Ansicht, dass Videoüberwachung auf Plätzen und Bahnhöfen grundsätzlich "erlaubt" ist oder von der Mehrheit der Bevölkerung akzeptiert wird, sollte jedoch nicht außer Acht lassen, dass die Qualität der Überwachung und damit der Eingriff in die Privatsphäre sehr unterschiedlich sein können. Hochauflösende Kamerabilder, die algorithmisch ausgewertet werden, bieten tiefe Einblicke, wie aktuelle Forschungs- und Pilotprojekte aufzeigen:

  • Automatische Gesichtserkennung und damit eine Verfolgung von Personen über mehrere überwachte Bereiche hinweg
  • Erkennung von Nummernschildern oder Barcodes / QR-Codes mit einem automatischen Abgleich von Datenbanken während der Videoüberwachung
  • Ablesen von Buchstaben auf Zeitungen, getragenen Büchern, Displays (z. B. SMS, E-Mail auf Notebooks oder Smartphones)
  • Tastatureingaben auf Notebooks und Smartphones (Texte, gewählte Nummern)
  • Mustererkennung in Bezug auf personenbezogene Daten, z. B. Täterbeschreibung oder Rasterung gemäß phänotypischer Merkmale; Alter, Geschlecht, Kopfbedeckung
  • Algorithmenbasierte Bewertung menschlichen Verhaltens: z. B. aggressiv, "normal", rennend, sitzend, Erkennung von potentiellen Gefährdern (z. B. Verdacht auf Ladendiebstahl aufgrund ungewöhnlichen Bewegungsverhaltens im Geschäft)
  • Kombination mit anderen Datenquellen (z. B. Mobilfunk, GPS) zur lückenlosen Überwachung von (verdächtigen) Personen

Nicht für jede dieser möglichen Auswertungen des Bildmaterials existiert eine rechtliche Grundlage oder eine gerichtlich festgestellte Bewertung der Rechtmäßigkeit. Für den Einzelnen ist es oft ohnehin nicht nachvollziehbar oder überprüfbar, welche Qualität die ihn betreffenden Aufnahmen haben und welchen Speicherfristen und Auswertungsalgorithmen diese unterworfen werden – falls er überhaupt die Kameraüberwachung am jeweiligen Aufenthaltsort bemerkt. 

Eine Ausweitung der Videoüberwachung besteht also nicht nur aus den demonstrativen Maßnahmen, wie beispielsweise auf bisher nicht überwachten Plätzen gut sichtbare Kameras zu installieren; der Eingriff in die Privatsphäre kann viel dramatischer sein, wenn vorhandene Kamerasysteme unbemerkt von der Öffentlichkeit modernisiert werden und die Überwachungszentrale informationstechnisch aufgerüstet wird. Eine langfristige Speicherung hochaufgelöster Bilder in Verbindung mit Mustererkennung und Datenabgleichen wird einen informierten Datenschützer stärker interessieren als die Frage, ob alte analoge Videobänder in der Überwachungszentrale regelmäßig überspielt werden. 

Stellt sich die Videoüberwachung von Parkhäusern auch hierzulande als wirkungsvolles Instrument der Kriminalprävention heraus, sollten Datenschützer darauf drängen, dass die moderne Anlage keine Kennzeichen erfasst bzw. die erfassten Nummernschilder als solche über die Algorithmen erkennt und die darin codierten Daten gezielt unleserlich macht, bevor die Bildinformation gespeichert wird. Gleiches gilt für die Überwachung von Angst-Räumen: Die Kameras müssen keine ins Handy getippten Nummern oder die URL-Zeile im Browser aufzeichnen; diese Informationen können vor einer Archivierung der Bilder entfernt werden. Eine datenschutzfreundliche Kameratechnologie könnte ein sinnvoller Kompromiss sein, der das bloße Tauziehen zwischen Polizei und Datenschützern um mehr oder weniger Kameras im öffentlichen Raum beendet. Es ist zudem zu prüfen, ob die Auswertung hochauflösender Bilder und der Abgleich mit Datenbanken grundsätzlich unter Richtervorbehalt stehen sollte.

Was ist zu erforschen?

Sollte es nun tatsächlich zu einer Ausweitung der Videoüberwachung kommen, wäre es an der Zeit, dass Sicherheitsbehörden und Datenschützer gemeinsam die Ziele der Maßnahmen formulieren und die Zielerreichung unabhängig und wissenschaftlich untersucht wird.

Wünschenswert wäre eine Feststellung, wie sich Videoüberwachung im Bereich der Kriminalitätsbekämpfung präventiv oder forensisch auswirkt, wie methodische Schwierigkeiten bei der Datenerhebung gelöst werden können und welche Einschränkungen der informationellen Selbstbestimmung im täglichen Einsatz erfolgen. Eine einfache Frageliste bei Wirksamkeitsuntersuchungen von Videoüberwachungsmaßnahmen wäre die folgende:

  • Wirkt sich die Maßnahme präventiv aus (bei welchen Deliktarten)?
  • Findet eine Verdrängung statt; ist die Wirkung nachhaltig?
  • Erhöht die Maßnahme die Aufklärungsquote (bei welchen Deliktarten)?
  • Wie hoch sind die Kosten pro aufgeklärter oder verhinderter Straftat?
  • Verbessert die Maßnahme das Sicherheitsgefühl der betroffenen Bevölkerung?
  • Welche Eingriffe in die Privatsphäre bewirkt oder erlaubt die Maßnahme?
  • Werden Datenschutzanforderungen durchgesetzt oder gibt es Verletzungen datenschutzrechtlicher Bestimmungen im "laufenden Betrieb"?

Eine unabhängige Auswertung einer Maßnahme muss auch keinen Interessenskonflikt der Beteiligten verstärken. Ganz im Gegenteil: Ergibt sich beispielsweise, dass eine Überwachungsmaßnahme weder präventiv wirkt noch die Aufklärung von Straftaten erleichtert und das Sicherheitsgefühl der Überwachten zudem auch noch senkt, könnten sich Sicherheitspolitiker und Datenschützer rasch einigen, dass die Kameras wieder entfernt werden und der oben aufgezeigte Regelkreis unterbrochen wird. Der Schutz der Bevölkerung ist letztlich das gemeinsame Anliegen beider Parteien.

 

Quellen:
[1] Deutschlandradio, Sonntag, 23. Dezember 2012 16:00 Uhr, http://www.dradio.de/nachrichten/2012122316/6/
[2] Stolpe, Konsequenzen aus dem Pilotprojekt Videoüberwachung im Land Brandenburg, S. 248. Januar 2006.
[3] Kett-Straub, Dient die Technoprävention der Vermeidung von Kriminalität? ZStW 123 (2011) Heft 1
[4] Unterrichtung der Bürgerschaft über die Videoüberwachung der Reeperbahn, Stadt Hamburg, Juli 2010. 
[5] 1,000 cameras 'solve one crime', BBC-News. Online: 18:27, Monday, 24 August 2009 19:27 UK http://news.bbc.co.uk/2/hi/uk_news/england/london/8219022.stm
[6] Polizeiliche Kriminalstatistik 2011, Bundesrepublik Deutschland Berichtsjahr 2011

]]>
http://www.scilogs.de/datentyp/wenn-straftaten-nach-video-berwachung-ansteigen/feed/ 19 wissenslogs
Unfähig zum Suchen?http://www.scilogs.de/datentyp/unf-hig-zum-suchen/?utm_source=rss&utm_medium=rss&utm_campaign=unf-hig-zum-suchen http://www.scilogs.de/datentyp/unf-hig-zum-suchen/#comments Thu, 30 Aug 2012 09:25:05 +0000 http://www.scilogs.de/datentyp/unf-hig-zum-suchen/ ... weiter]]> Droht uns nun "Digitale Demenz" nach Manfred Spitzer oder muss man gleich Informatiker sein, um noch in der Welt bestehen zu können?

Die Uhr zeigte 17.49h. Der Redaktionsschluss um 18.00h nahte und der Volontär wurde nun sichtlich nervös. Ist der Jaguar die schnellste Katze der Welt oder gibt es schnellere? Der Artikel musste raus, und die Anekdote mit der schnellsten Katze war wichtig für den Aufhänger. Die Google-Suche zum Faktencheck gestaltete sich aber schwierig, denn Geschwindigkeiten werden auch für die berühmten Automobile ermittelt, die nach der Riesenkatze benannt sind. Wie sucht man aber richtig, wenn man sich in diesem Moment so gar nicht für schnelle Autos interessiert?!

Kompetenz an den Tasten

"Technisch gestützte Ver- und Bearbeitung von Informationen nimmt in der modernen Lebenswelt eine wichtige Stellung ein." So steht es beispielhaft in den Leitgedanken zum Kompetenzerwerb Gymnasium des Kultusministeriums Baden-Württemberg. Es dürfte allgemeiner Konsens unter Lehrern wie Eltern (in allen Bundesländern) sein: Die Fähigkeit zur elektronischen Informationsbeschaffung ist eine wichtige Kompetenz in der heutigen Lebens- und Arbeitswelt. Aber wie sieht es mit der Kenntnis des Aufbaus und der Funktionsweise der nützlichen Computersysteme aus: Müssen alle Menschen programmieren können, um Computer optimal für sich zu nutzen, muss ein Schulabgänger wissen, was ein abstrakter Datentyp ist oder wieviele Bytes ein Petabyte umfasst?

Spitzers "Digitale Demenz"

Computer gehörten ohnehin nicht ins Klassenzimmer, weil sie mehr schaden als nützen, und die ständig verfügbare Internetsuche führe zur Digitalen Demenz, so einige der griffigen Thesen von Manfred Spitzer, der mit seinem aktuellen Bestseller [1] für hitzige Debatten sorgt. In der gestrigen Sendung ZDF log in äußerte er gar, dass für das Googeln gar keine Medienkompetenz nötig sei und gerade jungen Leuten das Faktenwissen über Dinge abhanden komme. Er bekäme zudem jeden Tag E-Mails mit Schüleranfragen, die für Referate recherchierten und - anstatt sich selbst Wissen anzueignen - einfach Experten fragten.

Spitzer verwechselt hier aber hilfreiche Zugangserleichterungen mit Kompetenzverlust auf Seiten der Nutzer. Tatsächlich sind Suchmaschinen heutzutage kinderleicht zu bedienen und jeder Internetnutzer findet wohl den Wikipedia-Artikel, der den Suchbegriff in der Überschrift führt. Aber das war beim Brockhaus nicht anders, und ob die Schüler früher aus dem gedruckten Lexikon abschrieben oder heute aus Wikipedia copy&pasten, ist wohl kaum einen Aufschrei wert.

Medienkompetenz zeigt sich aber dann, wenn man die Suchergebnisse bewertet, filtert und nach Qualität gewichtet. Dies ist eine Kompetenz, die Schüler, die im Brockhaus recherchieren, nie trainieren! Wer aber einmal falschen Informationen im Netz aufgesessen ist und dies auch noch mit einer schlechten Note im Referat bezahlt, der hat mehr gelernt als Spitzer es öffentlich eingestehen mag. Mit dem Eintippen von Suchwörtern ist es zudem oft nicht getan; es werden weitere Fähigkeiten benötigt: Die Informationstechnik an sich muss beherrscht werden, um im digitalen Zeitalter mithalten zu können. Dies ist die eigentliche Herausforderung für Bildungseinrichtungen, die bei Spitzers Tiraden gegen googelnde Schüler völlig unberücksichtigt bleibt. Wenn sich tatsächlich täglich Schüler mit ihren Referaten an ihn wenden, zeigt es gerade, dass diese die Suchmaschine nicht richtig bedienen können - sonst wüssten sie die Antwort oder hätten zumindest erfahren, dass Spitzer auf solche Mails ohnehin nur mit Aphorismen-Textbausteinen reagiert, wie er im ZDF bereitwillig erzählte.

Dafür gibt es Experten

Der notwendige Umfang und die Tiefe der Informatik-Ausbildung in Schule, Berufsausbildung oder Studium sind umstritten. Jeder soll seinen Computer, Internetdienste und elektronische Begleiter beherrschen, aber gleich selbst Software entwickeln: Das sollten wir doch den Experten überlassen! Schließlich fahren wir auch ein Auto, ohne Unterschiede zwischen Otto- und Dieselmotor erklären zu können, so eine häufig anzutreffende Sichtweise.

Nerds gewinnen Macht

Der amerikanische Publizist Douglas Rushkoff ist anderer Ansicht [2]: Entweder wir kontrollieren die Technologie - oder sie kontrolliert uns. In der Informationsgesellschaft hat sich der Einflussbereich derjenigen, die Funktionsweisen der Informationstechnologie durchschauen, dramatisch vergrößert. Wer an der Steuerung unserer Gesellschaft mitwirken will, muss programmieren können: Programmierkenntnisse gehören zur Basisbildung, vergleichbar der Alphabetisierung in früheren (analogen) Zeiten, so Rushkoff.

Mut zum Coden!

Programmieren lernen kann jeder; ein Leistungskurs Mathematik schadet aber sicherlich nicht wie wir bei Programmierkursen an Hochschulen oft feststellen können. Das Webangebot Codeacademy zeigt Anfängern (ohne Vorkenntnisse), wie Spiele, Webauftritte oder Apps programmiert werden können. Der persönliche Lernfortschritt wird über Balken visualisiert, die über soziale Netzwerke geteilt werden können. So kann man auch allein vor dem Rechner das Gruppengefühl gemeinsamen Erfolges erleben und sich - sofern Rushkoffs Einschätzung stimmt - in das Schaltzentrum der Informationsgesellschaft vorarbeiten.

Suchwerkzeuge suchen

Aber wann könnte es im Alltag hilfreich sein, die Technik etwas besser zu beherrschen als Kollegen oder Freunde? Kann ich besser googeln, nur weil ich programmieren kann? Die Antwort auf diese rhetorische Frage könnte tatsächlich "ja" lauten, auch wenn dies selbst vielen IT-Profis kaum bewusst ist. Wer beispielsweise nach dem Namen des Vereins sucht, den ein Herr Ware kurz nach dem zweiten Weltkrieg gegründet hat, wird mit den Suchbegriffen "ware verein weltkrieg" nicht weit kommen. Such-Profis geben eher "ware 1945..1949" ein und finden Lancelot Ware (Mitgründer von Mensa International) unter den ersten Treffern.

Der Kompetenzunterschied liegt hier u. a. im Wissen, dass Suchmaschinen mit Zahlenintervallen gut zurechtkommen; die praktische Syntax hat man dann schnell herausgefunden (denn auswendig wissen muss man auch diese dank Suchmaschine nicht; auch digitale Demenz wäre demnach kein Zugangshemmnis).

"Vom Nordpol zum Südpol"

Weiteres Beispiel: Wer nach einer Textzeile sucht und sich nur an ähnliche Begriffe erinnert, kann dies der Suchmaschine mitteilen: So liefert "~flugzeug grüßt ~stern" durchaus Hans Albers' Refrain-Zeile "Flieger, grüß mir die Sonne" unter den Google-Treffern. Die Tilde gehört zu den sogenannten Operatoren dieser Suchmaschine, d. h. es wird nicht nach dem Zeichen gesucht sondern dieses wird interpretiert, hier: Synonyme des folgenden Wortes sollen mitgesucht werden. These: Wer programmieren kann, kommt schneller auf die Idee, dass es solche Funktionen gibt – und der Umgang mit Operatorsonderzeichen ist für den Programmierer ohnehin keine Zugangsschwelle.

Elektronische Reporter

Für Journalisten, die auf fundierte und aktuelle  Recherchetechniken angewiesen sind, gibt es zugeschnittene Weiterbildungen, die den richtigen Umgang mit Suchmaschinen aber auch die Überprüfung elektronisch ermittelter Informationen thematisieren. So bietet die Journalistenakademie in Stuttgart einen Kurs "Internetrecherche für Journalisten" an, damit diese - auch ohne Programmierkenntnisse - das vollständige Rüstzeug zur Online-Recherche erhalten. Ein neues Genre ist dabei der Datenjournalist, der sich die professionelle Analyse von elektronischen Datenbeständen für journalistische Zwecke zur Hauptaufgabe gemacht hat und seinen festen Platz in den Redaktionen der Qualitätsmedien hat. [3]

Suchwerkzeuge suchen

Die Suche nach dem "Jaguar" hätte der eingangs genannte Volontär übrigens mit einem ausschließenden Operator einschränken können. Wer über die Zeichenkette "jaguar -motor -modell" sucht, findet bereits deutlich weniger Fahrzeuge und mehr Katzen als mit "jaguar". Aber technische Kenntnisse sind nicht alles, Medienkompetenz geht viele Wege: Eine direkte Suche nach "schnellste Katze" hätte dem Volontär sofort geliefert, was er so spät nicht mehr finden wollte: den Geparden.

 

Referenzen:

[1] Manfred Spitzer: Digitale Demenz, Droemer, 2012

[2] Douglas Rushkoff: Program or be Programmed. TEN COMMANDS FOR A DIGITAL AGE, 2010

[3] Lorenz Matzat: Data Driven Journalism: Versuch einer Definition. Open Data Network, 13. April 2010.

Hinweis: Teile des Textes wurden für einen Artikel des Autors im MinD-Mag (Aug. 2012) verwendet.

 

]]>
http://www.scilogs.de/datentyp/unf-hig-zum-suchen/feed/ 28 wissenslogs
Europa im Dunkeln – Können uns Hacker zukünftig den Strom abschalten?http://www.scilogs.de/datentyp/smart-grid-sicherheit/?utm_source=rss&utm_medium=rss&utm_campaign=smart-grid-sicherheit http://www.scilogs.de/datentyp/smart-grid-sicherheit/#comments Sat, 07 Apr 2012 17:49:44 +0000 http://www.scilogs.de/datentyp/smart-grid-sicherheit/ ... weiter]]> Europa im Dunkeln - Können uns Hacker zukünftig den Strom abschalten?

Zukünftige Stromnetze werden sogenannte Smart Grids darstellen. Diese vereinen Konzepte der Energietechnik mit denen der Informationstechnik und schaffen so ein intelligentes Netz, das beispielsweise elektrische Verbraucher steuert, um Lastspitzen zu dämpfen bzw. kurzfristig überschüssige Energie abzunehmen. Dies soll eine verbesserte Stabilität und Effizienz des Energienetzes bewirken; Kraftwerkskapazitäten, die nicht zuletzt aufgrund des Ausstiegs aus der Atomenergie eine knappe Ressource darstellen, werden besser ausgenutzt und die Integration von dezentraler Stromerzeugung über erneuerbare Energien (Wind-, Wasserkraft) wird verbessert. Soweit die Theorie. Bisher gibt es noch kein flächendeckendes Smart Grid; die Energieversorger und Netzbetreiber haben zunächst Pilotprojekte initiiert, um das Zusammenwirken der Komponenten zu testen und Erfahrungen zu gewinnen: Smart Meter im Haushalt ersetzen alte analoge Stromzähler, steuerbare Verbraucher können Waschmaschinen sein, die erst dann anlaufen, wenn es für das Netz günstig ist; Übertragung und Aggregation der gewonnen Daten erlauben eine bedarfsgerechte Energieerzeugung. Standards und Vorschriften für das Smart Grid sind noch in der Phase der Ausarbeitung bzw. Diskussion. Da Stromnetze supranationale Zusammenschaltungen regionaler Netze darstellen, die von unterschiedlichen Betreibern geplant und aufgebaut werden, gibt es ohnehin keine mächtige zentrale Instanz, die den Netzausbau steuert, Technologien festlegt und Vorausplanungen im Rahmen eins Top-Down-Entwurfs vornimmt. Das Netz wächst vielmehr organisch und wird regionalen Anforderungen angepasst.

Die Integration von IT-Systemen in das Stromnetz in Verbindung mit dem Aufbau einer Kommunikationsinfrastruktur für diese Komponenten schafft eine neue Angriffsfläche: Sicherheitslücken in den IT-Systemen, wie wir sie von Internetservern kennen, gefährden nicht nur die Integrität der Daten in diesen Systemen (Stromverbrauchsdaten könnten verfälscht werden), sie können auch dazu führen, dass ein Angriff über das Datennetz ein Versagen des Energienetzes und damit einen flächigen Stromausfall verursacht.  Ein plötzlicher Ausfall eines Netzsegmentes kann sich zudem kaskadierend auf benachbarte Segmente auswirken: Der Stromausfall überschreitet dann auch nationale Grenzen und breitet sich im Extremfall bis zu den europäischen Küsten aus: 2006 führte die Abschaltung einer Stromleitung in Niedersachsen zu Stromausfällen, die sich bis nach Italien und Spanien fortpflanzten. Angriffe auf Smart Grids können aus der Ferne über Computernetze erfolgen und eine Vielzahl weit voneinander entfernten Komponenten gleichzeitig betreffen; brachiale Sabotagemethoden wie das Umsägen von Strommasten oder die Zerstörung ganzer Umspannwerke gehören dann der Vergangenheit an.

MastBildquelle: Robert Lawton, Creative Commons ShareAlike 2.5

Stromnetze stellen eine kritische Infrastruktur dar. Wirtschaft und Gesellschaft sind in hohem Maße von einer funktionierenden Stromversorgung abhängig. Ein regionaler Stromausfall über mehrere Stunden führt bereits zu bedeutenden wirtschaftlichen Schäden. Sollte der Strom einmal für Tage oder gar Wochen im ganzen Land ausfallen, wäre dies ein Katastrophenfall, da dann auch andere kritische Infrastrukturen versagten, die nur kurzzeitig ohne elektrischen Strom betrieben werden können: Ohne Strom keine Heizung, keine Treibstoffe für die Motoren, kein Internet oder Telefonnetz, kein Wassernetz, keine medizinische Versorgung, kein Zahlungsverkehr oder Versorgung mit Lebensmitteln. Eine Horrorvision!

Kritische Infrastrukturen bedürfen eines besonderen Schutzes. Die Energieversorger und Netzbetreiber sind daher verpflichtet, eine Verletzlichkeit  des Energienetzes gegenüber gezielten Angriffen (Sabotage, Terroranschläge) zu minimieren und bekannt gewordene Sicherheitslücken zu schließen. Trotz der erheblichen Auswirkungen, die eine Sabotage des Stromnetzes mit sich bringen würde, spielte die Frage der Sicherheit und Verlässlichkeit von Smart Grids bei der Weiterentwicklung der Stromnetze auch international nur eine untergeordnete Rolle [1]. Die Anforderung, in kurzer Zeit Komponenten zu entwickeln und die eigene Infrastruktur aufzubauen, wirkt sich hier negativ aus: Es fehlt die Zeit, komplexe Angriffsszenarien zu erforschen und Gegenmaßnahmen vorzubereiten. Das Netz wächst und verändert sich schneller als die darauf bezogenen Sicherheitskonzepte.

Dass mit der Schaffung verwundbarer Smart Grids ein zukünftiges Aktionsfeld für Sabotage und Terrorismus geschaffen wird, dringt nun langsam in das Bewusstsein von Politik und Öffentlichkeit. Es wurden Forschungsprogramme aufgelegt, die Schutzlücken aufzeigen und eine Entwicklung sicherer Infrastrukturkomponenten befördern sollen (z. B. das Rahmenprogramm "Forschung für die zivile Sicherheit" der Bundesregierung). Es bleibt jedoch unklar, ob der Wissenstransfer zur Industrie hier rechtzeitig erfolgen kann, denn der Netzausbau wie auch der Umbau zum Smart Grid erfolgt gleichzeitig mit der Initiierung der Sicherheitsforschung. Nachträglich hektisch eingepflegte Reparaturen des Smart Grids sind jedoch weniger effektiv als die Berücksichtigung von Sicherheitskonzepten während der Ausbauphase.

Möglicherweise sorgt eine aktuelle Buchveröffentlichung des Schriftstellers Marc Elsberg für eine stärkere Wahrnehmung der Problematik außerhalb der Fachöffentlichkeit. Elsberg hat nicht etwa ein Sachbuch geschrieben, das die potentielle Verwundbarkeit von Stromnetzen allgemeinverständlich beschreibt. Nein - das Buch (Blackout - Morgen ist es zu spät, 2012) ist vielmehr ein Thriller, der eine denkbare Vorgehensweise der Angreifer und die Auswirkungen des Netzversagens auf Politik und Bevölkerung plastisch darstellt. Ich hatte kürzlich Gelegenheit, mit dem Autor und Dr. Thomas Petermann (Institut für Technikfolgenabschätzung beim deutschen Bundestag) in einer vom Verlag organisierten Podiumsdiskussion die zugrundliegenden technologischen und Sicherheitsfragen zu diskutieren. Ich musste konstatieren, dass Marc Elsberg die technischen Hintergründe sorgfältig recherchiert und auch plausible Angriffsszenarien in die Fiktion eingearbeitet hat. Man wünscht sich, dass ein Energiemanager oder energiepolitischer Sprecher einer Fraktion, der lange technische Berichte nicht mehr lesen mag, den Thriller zur Hand nimmt, um einen Eindruck zu gewinnen, was ein erfolgreicher Angriff auf ein Smart Grid zur Folge haben könnte.

Natürlich sollten wir nicht in Panik verfallen. Ein Netzversagen mit Stromausfall allein – egal ob durch Terroristen oder durch einen Unfall ausgelöst – stellt noch keine Katastrophe dar, denn die Energieversorger sind in der Lage, das Netz nach kurzer Zeit wieder hochzufahren. Ein bedeutender wirtschaftlicher Schaden ist nicht mit einer humanitären Katastrophe gleichzusetzen. Einem terroristischen Angreifer müsste es vielmehr gelingen, die Informations- und Steuerungssysteme zu sabotieren, die beim Anfahren des Netzes benötigt werden und gleichzeitig einen Stromausfall zu provozieren – oder wenigstens so lange unentdeckt zu bleiben, bis "zufällig" ein Stromausfall auftritt. Die sogenannten SCADA-Systeme [2] zur Steuerung unterliegen jedoch einem besonderen Schutz. Es erscheint fast abwegig, dass ein komplexer Angriff auf solche Systeme, der gezielt die Informationen für das Wiederanfahren verfälscht und tagelang oder gar wochenlang für einen Stromausfall sorgt, Erfolg hätte. Das Phänomen "Stuxnet", ein Computerwurm, der 2010 die SCADA-Systeme zur Urananreicherung in iranischen Anlagen infiltrierte und der Bedienmannschaft langfristig einen ordnungsgemäßen Ablauf der Prozesse erfolgreich vorgaukelte, zeigt jedoch, dass dies mit hohem Aufwand möglich ist. Die katastrophalen Folgen werden in Elsbergs Roman anschaulich beschrieben, aber er ist zum Glück nur eine Fiktion. Noch gibt es kein Smart Grid in Europa, d. h. es gibt auch kein unsicheres Smart Grid.

 

Referenzen:

[1] Claudia Eckert, Christoph Krauß: Sicherheit im Smart Grid. Datenschutz und Datensicherheit, 8/2011. Abschnitt 3, erster Absatz.

[2] Supervisory Control and Data Acquisition Systems: http://www.cpni.gov.uk/advice/infosec/business-systems/scada/

EDIT: Tippfehler korrigiert. (08.04. 13:24h)

 

 

 

]]>
http://www.scilogs.de/datentyp/smart-grid-sicherheit/feed/ 3 wissenslogs
Unscharfe Attacke auf das Smartphonehttp://www.scilogs.de/datentyp/unscharfe-attacke-auf-das-smartphone/?utm_source=rss&utm_medium=rss&utm_campaign=unscharfe-attacke-auf-das-smartphone http://www.scilogs.de/datentyp/unscharfe-attacke-auf-das-smartphone/#comments Tue, 14 Feb 2012 14:23:09 +0000 http://www.scilogs.de/datentyp/unscharfe-attacke-auf-das-smartphone/ ... weiter]]> Mit der Fuzzing-Technik können bisher unerkannte Softwarefehler identifiziert werden

Die Handykamera erfasst die Grafik und liest diese ohne weitere Rückfrage ein. Dann passiert es: Anstatt einer erfolgreichen Erkennung oder Ausgabe einer Fehlermeldung stürzt die App einfach ab! Das Smartphone-Betriebssystem bestätigt den Fehler bei der Ausführung der Software. Der Handybesitzer ist aber nicht verärgert sondern erfreut, denn genau das wollte er erreichen. Ein Fehler in einer aktuellen Software, die Millionen von Menschen mit sich herumtragen, wurde gefunden - und das war auch das Ziel des Praktikums zur Vorlesung Security an der Fachhochschule Münster.

Wenn Programme falsche Eingaben erhalten, erwarten die Benutzer die Ausgabe einer Fehlermeldung. Die Meldung sollte den Fehler möglichst genau beschreiben, um den Benutzer bei der Korrektur zu unterstützen. Da komplexe Software aber erfahrungsgemäß nicht fehlerfrei ist, gibt es Ausnahmen. Die Software verschluckt sich an der Eingabe und gerät in einen undefinierten Zustand, was oft zum Absturz des Programms führt. In schlimmeren Fällen ergeben sich sogar Sicherheitslücken, die gezielt ausgenutzt werden können.

In einem Praktikum sollten Studierende daher zum Ende des Wintersemesters 11/12  die Softwarebibliothek ZXing testen und Fehler finden, die bisher noch niemand identifiziert hatte. Diese Bibliothek ist Grundlage für das Erkennen von QR-Codes oder Barcodes mithilfe von Android-Smartphones; sie wird also von vielen Handybesitzern genutzt, ohne dass dies den meisten bewusst wäre. Falls diese Bibliothek tatsächlich schwerwiegende Fehler enthielte, wäre die Sicherheit von Smartphones beim Einlesen von manipulierten QR-Codes gefährdet. (Der Hintergrund wurde bereits in einem anderen Blogpost beleuchtet.)

Das spezielle Testverfahren für Software, das hier eingesetzt wurde, heißt Fuzzing (engl. fuzzy: unscharf). Mithilfe von Werkzeugen werden viele zufällige Eingaben erzeugt, in der Hoffnung vorhandene Fehler schrotschussartig zu erwischen. Die zu testende Software wird als Black Box angesehen, d. h. der interne Aufbau ist nicht bekannt bzw. wird nicht im Detail berücksichtigt.

Fuzzing wurde bereits 1988 von Barton Miller an der Universität von Wisconsin entwickelt oder – besser gesagt – entdeckt, denn ein zufälliges Ereignis spielte hier eine Rolle. Miller wählte sich während eines Gewitters per 1200-Baud-Modem in das Computernetz der Hochschule ein. Die Verbindung wurde immer wieder durch starkes Rauschen auf der Telefonleitung gestört, d. h. die Kommandos, die er per Tastatureingabe übertrug, wurden teilweise mit zufälligen Zeichen ergänzt oder überschrieben. Zur Überraschung Millers führte dies aber nicht nur zu Fehlermeldungen der Programme, die falsche Eingaben erhielten, sondern auch zu einer Reihe von Programmabstürzen. Betroffen waren Unix-Utilities, d. h. Hilfsprogramme, die täglich genutzt werden und als stabil und gut getestet angesehen wurden. Offenbar bewirkten aber zufällige Eingaben Fehlerzustände, die von den Programmieren und Testern zuvor nicht gefunden worden waren.

Miller ging der Sache auf den Grund und entwickelte gemeinsam mit Studierenden eine Testsoftware, die den Effekt gezielt ausnutzte und mit der alle gängigen Utilities getestet wurden. Fast ein Drittel der Unix-Utilities erwies sich als anfällig, so dass viele Programmierfehler aufgedeckt und korrigiert werden konnten. Die Veröffentlichung dieses Ergebnisses sorgte dafür, dass Fuzzing zu einer etablierten Testmethode wurde.

Beim praktischen Einsatz von Fuzzing ist es jedoch nicht ausreichend, zufällige Zeichenfolgen oder – wie im Fall von QR-Codes – verrauschte Pixelmuster zu erzeugen und abzuwarten, wann ein Programm bei der Eingabe abstürzt. Die zu testende Software erwartet die Eingabe in einem vorgegebenen Format: Eine spezielle Syntax wird vorausgesetzt. Bei zufälligen Eingaben ist es unwahrscheinlich oder sogar praktisch ausgeschlossen, dass diese eine korrekte Syntax aufweisen. Die Überprüfung der Syntax ist aber nur eine Funktion der Software unter vielen; der Test wäre also ineffizient. Beim fortgeschrittenen Fuzzing ist daher darauf zu achten, dass die Eingaben sorgfältig konstruiert werden: Zufällige Elemente werden auf eine Weise eingefügt, dass Nebenbedingungen (wie korrekte Syntax) nicht verletzt werden.

Die Studierenden (des Master-Studiengangs Informationstechnik) mussten sich daher mit der Spezifikation der QR-Codes vertraut machen und eine geeignete Strategie entwickeln, um zufällige Eingaben zu erzeugen, die eine Ähnlichkeit zu korrekten Eingaben aufweisen, um möglichst viele Programmfunktion beim Testen abzudecken. Die Gesamtgruppe (15 Studierende, zwei Betreuer) wurde daher in zwei Teilgruppen aufgeteilt, die verschiedene Fuzzing-Strategien verfolgte. Jede Teilgruppe  zerfiel ihrerseits in drei Teilkompetenzen, so dass studentische Experten für die Smartphone-Simulation, die Fuzzing-Steuerung und die QR-Code-Generierung in beiden Teilgruppen vorhanden waren. Es kam daher auf Arbeitsteilung und funktionierendes Teamwork an, und das gelang erfolgreich. In nur zwei Nachmittagen wurde ein funktionsfähiger und vielseitiger Testaufbau im Hochschullabor entwickelt – und es wurden sofort „echte“ Fehler gefunden!

altaltaltalt

Picture credits: fuzzing team members T Biermann, R Böing, S Brinkhaus, M Dankel, U Greveler, A Jordan, A Kaiser, A Kuhn, D Löhr, S Möstel, W Rickert, M Ruffer, D Sondermann, P Steffan, M Wellmeyer, M Wesker, M Wilmes. Münster University of Applied Sciences.

Die Leser können es selbst ausprobieren. Scannen Sie eines der obigen Bilder mithilfe einer Android-App ein, die QR-Codes versteht. Aber Vorsicht: Sie tun dies auf eigene Gefahr! Wenn beim Absturz der App noch nicht gespeicherte Daten verloren gehen, übernehmen wir keine Verantwortung. Das ZXing-Entwicklerteam wurde übrigens bereits einige Stunden vor Erscheinen dieses Beitrags informiert. Der Fehler wurde umgehend beseitigt, was sich aber erst im nächsten Release der Systemsoftware bemerkbar machen wird. Eine unmittelbare Sicherheitsrelevanz haben die gefundenen Fehler nach erster Analyse nicht, sieht man einmal davon ab, dass Abstürze von Apps, die QR-Codes ohne weitere Interaktion mit dem Nutzer analysieren, die Verfügbarkeit des Smartphones mindern.



]]>
http://www.scilogs.de/datentyp/unscharfe-attacke-auf-das-smartphone/feed/ 0 wissenslogs
Wenn Journalisten Informanten enttarnenhttp://www.scilogs.de/datentyp/wenn-journalisten-informanten-enttarnen/?utm_source=rss&utm_medium=rss&utm_campaign=wenn-journalisten-informanten-enttarnen http://www.scilogs.de/datentyp/wenn-journalisten-informanten-enttarnen/#comments Sun, 01 Jan 2012 21:04:53 +0000 http://www.scilogs.de/datentyp/wenn-journalisten-informanten-enttarnen/ ... weiter]]> Für Whistleblower stellt das Internet eine praktische Möglichkeit dar, anonym mit Journalisten Kontakt aufnehmen zu können.  Vorbei ist die Zeit der Umschläge, die bei Nacht und Nebel heimlich in Briefkästen gesteckt werden. Informationen können zeitnah übermittelt und Nachfragen beantwortet werden, ohne die eigene Identität preiszugeben. Aber ist es Aufgabe von Journalisten, unvorsichtige Informanten selbst zu enttarnen, nur weil sie persönlich mit ihnen sprechen wollen und dann Quellenschutz gewähren können? Ein Fall aus Remseck am Neckar zeigt beispielhaft, in welche ethische Grauzone sich investigativ tätige Journalisten begeben können.

Peinliche Falschmeldungen

Internetrecherchen gehören zum Handwerkszeug von Journalisten. Der geübte Umgang mit Suchmaschinen und die Fähigkeit, Informationen aus dem Internet überprüfen zu können, stellen eine wichtige Basis für die Recherche dar. Fehlinformationen verbreiten sich rasch im Netz; die Anzahl der Treffer bei Google sagt nichts darüber aus, ob es mehrere unabhängige Quellen für eine Information gibt: Immer wieder kommt es vor, dass Agenturen Falschmeldungen verbreiten: Das Bluewater-Debakel im September 2009 zeigte, dass ein telefonisch mitgeteiltes Breaking-News-Ereignis (Terroranschlag in amerikanischer Kleinstadt) in Verbindung mit einer gefälschten Webseite (erfundener lokaler TV-Sender) ausreicht, um Medien wie dpa und heute.de zu täuschen. Der angebliche Anschlag entpuppte sich als PR-Aktion des Regisseurs Jan Henrik Stahlberg, der auf seinen neuen Film „Short Cut to Hollywood“ aufmerksam machen wollte.

Im Juni 2011 wurde über das Schicksal der syrischen Bloggerin Amina Abdallah Arraf berichtet, die als „Gay Girl in Damascus“ bloggte und wegen ihrer Homosexualität auf offener Straße angegriffen und entführt wurde. Arraf wurde zu einer Ikone des Aufstandes in Syrien. Erste Zweifel an der Story wurden von der New York Times angemeldet. Schließlich stellte sich heraus, dass die berichtenden Medien allein das Blog als Quelle nutzten; niemand stand in direktem Kontakt mit der Bloggerin und überprüfte ihre Identität. Das Blog wurde jedoch von einem 40-jährigen Doktoranden aus Edinburgh betrieben, der die Existenz Arrafs frei erfunden hatte. Aufgeflogen war er schließlich, nachdem eine nichts ahnende in London lebende Kroatin auf einem Foto erkannt wurde, das laut Blog die syrische Bloggerin zeigen sollte.

Sorgfaltspflicht

Die Beispiele zeigen: Die Sorgfaltspflicht der Journalisten erfordert eine eingehende Recherche. Informationen sind „mit der nach den Umständen gebotenen Sorgfalt auf ihren Wahrheitsgehalt zu prüfen“ (Pressekodex). Bei Angaben, die per Mail eingehen oder von Blogs stammen, ist dies jedoch oft keineswegs trivial. Auch wenn wir einen Blogger persönlich kennen und ihm als Quelle vertrauen, können wir nicht wissen, ob das sensationelle Blogpost vielleicht auf einen Dritten zurückzuführen ist, der an das Passwort gelangt ist. Ein Anruf könnte hier Zweifel zerstreuen, aber oft ist die berichtende Person nicht persönlich bekannt, weil sie anonym in Erscheinung tritt. Eine telefonische Kontaktaufnahme ist dann nicht möglich.

Wie geht man also mit anonymen Hinweisen um, die per E-Mail eintreffen? Der sogenannte Mailheader (Kopfdaten, die vom Mailprogramm in der Regel nicht angezeigt werden) liefert oft Hinweise, die bei der ersten Beurteilung der Information helfen können. Hier betreten wir einen Grenzbereich zwischen Informatik und journalistischer Recherchetechnik. Eine Auswertung der Kopfdaten kann – ohne dass der Absender dies bemerkte – bereits Anhaltspunkte dafür geben, wo der Absender sich aufhielt bzw. in welcher Firma und Abteilung er arbeitet, welche Software er benutzte, ob er technisch in der Lage ist, seine Identität in ausreichender Weise zu verbergen, wann die Mail tatsächlich versandt wurde, etc. Bei Anhängen sind oft weitere detaillierte Auswertungen möglich, die Angaben über den Absender oder Sachverhalte hervor bringen, die diesem selbst nicht bekannt waren (z. B. gelöscht geglaubte Informationen aus zugespielten Dokumenten oder Zuordnungen von Bildern zu einer Digitalkamera).

Skandal in Remseck

In der Stadt Remseck am Neckar spielte sich 2009 ein Ärgernis um überwachte E-Mails im Rathaus ab. Ein leitender Mitarbeiter wurde entlassen, nachdem er entgegen einer Dienstanweisung den Behördenrechner für private Post nutzte. Die Dienstanweisung hatte er abgezeichnet; sie sah nach Angabe der Behördenleitung vor, dass eine Protokollierung der Mailkommunikation stattfindet, um das Verbot zu überwachen.  Diese Überwachung war aber nach Einschätzung des Landesdatenschutzbeauftragten in Baden-Württemberg nicht ausreichend klar geregelt, um zulässig zu sein. Zudem hatte der Personalrat an der Dienstanweisung nicht mitgewirkt. Nachdem überregional über die Mail-Überwachung im Remsecker Rathaus berichtet worden war, wurde nach Rücksprache mit dem Landesdatenschutzbeauftragten die Dienstanweisung zurückgenommen. Der entlassene Mitarbeiter erhielt vor Gericht jedoch nur eine Abfindung gegen Aufhebung des Arbeitsvertrages, da er nachweislich pflichtwidrig gehandelt hatte.

Anonymer Tipp per E-Mail

Den Stein ins Rollen brachte eine anonyme E-Mail an einen Journalisten. Die E-Mail beschrieb technische Details der Mailüberwachung. Die hinzugezogene Tübinger Journalistin Pia Grund-Ludwig ging dem Hinweis nach und beschrieb nach weiteren Recherchen in einem Beitrag für den Deutschlandfunk die Praxis der Mailüberwachung. Der Vorgang wurde vom Journalisten Peter Welchering begleitet, der ebenfalls für den Deutschlandfunk tätig ist und in Remseck lebt. In einem Beitrag für journalist 11/2011 (online publiziert am 21.12.2011) stellt er nun rückblickend die spannenden Geschehnisse rund um die Aufdeckung des Skandals um die Mailüberwachung dar.

Tippgeber und Quellenschutz

Tippgeber mit Insiderwissen sind eine wichtige Informationsquelle für investigative Journalisten. Daher umfasst die Pressefreiheit auch den Quellenschutz: ein Schweigerecht des Journalisten, dessen Berufsethos es verbietet, Quellen preiszugeben. Bei anonymen Hinweisen an die Presse steht ein Journalist vor der Herausforderung, die Qualität der Information zu bewerten. Es fällt leichter, wenn der direkte Kontakt mit dem Informanten gegeben ist. So kann recherchiert werden, ob dieser vertrauenswürdig ist und welche Motivation hinter der Presseinformation steckt. Zudem werden die Kontaktaufnahme und Rückfragen während der Recherche vereinfacht, was Fehler bei der Berichterstattung vermeidet.

Rechercheteam enttarnt Informanten

Im Mailüberwachungsfall von Remseck hat das Rechercheteam um die Journalistin Grund-Ludwig den anonymen Informanten kurzerhand identifiziert. Wie von Welchering in einem Rechercheprotokoll beschrieben wird, hatte der anonyme Informant zwar zu Verschleierungszwecken ein ausländisches Mailpostfach verwendet, aber unvorsichtigerweise einen Server eines Rechenzentrums in der Nähe Remsecks zur Übermittlung der Mail genutzt, dessen IP-Adresse auf einfache Weise zurückverfolgt werden kann. Ein Anruf (!) beim Administrator dieses Rechenzentrums ergab die Auskunft, welche Abteilung hinter der IP-Adresse steckte. Weitere Gespräche mit Mitarbeitern führten schließlich zum Outing des Informanten gegenüber den hartnäckig recherchierenden Journalisten.

Die Vorgehensweise des Rechercheteams beim Enttarnen des Informanten ist hier kritisch zu bewerten. Es gibt dabei zwei wesentliche Aspekte.

  • Der aufzudeckende Skandal betrifft die Mailüberwachung in einem Rathaus, dessen Leiter die Mitarbeiter schriftlich auf die praktizierte Überwachung (jedoch in unzureichender Weise) hinwies. Eine Überprüfung der Mitarbeiter eines Rechenzentrums mithilfe eines mitteilsamen Administrators stellt ebenfalls einen Eingriff in den Arbeitnehmerdatenschutz seitens der Journalisten dar, wodurch die Verhältnismäßigkeit bei der Wahl der Recherchemittel zumindest fraglich ist. Keinesfalls darf nun eine Mailüberwachung im Umfeld des Informanten stattfinden, um diesen aufzuspüren (was auch hier nicht geschehen ist).
  • Die persönliche Ansprache mehrerer Mitarbeiter des Rechenzentrums erfordert höchstes Geschick, um neben der Informationsgewinnung noch den Quellenschutz zu gewährleisten. Die Kollegen des Informanten dürfen nicht wissen, dass einer von ihnen der Remsecker Tippgeber ist. (Im hier beschriebenen Fall ist diese Gratwanderung gelungen. Ich konnte vor der Erstellung dieses Beitrags ein Gespräch mit einem Mitglied des Rechercheteams führen und mich von der Sorgfalt bei der Ansprache überzeugen.)

Wie weit darf die Recherche gehen?

Welchering weist auf das ethische Dilemma, in dem investigative Journalisten sich beim Überprüfen der Quelle bewegen, hin:

Deshalb müssen nicht nur investigativ arbeitende Journalisten genau bedenken, was sie tun. Wer feststellt, dass Aminas Blog-Einträge nicht von einem Computer in Damaskus abgesandt wurden, sondern von einem Server in Edinburgh, hat die journalistische Pflicht (...) um ein persönliches Treffen oder weitere Kommunikation zu bitten, um die Identität Aminas klären zu können. Er hat aber überhaupt kein Recht, den Mailverkehr von Amina zu überwachen.

Im Rechercheprotokoll zum Fall Remseck heißt es jedoch:

 Mit einem Anruf beim Administrator dieses Rechenzentrums konnte das Rechercheteam die Abteilung ausfindig machen (…). An dieser Stelle entschied sich das Rechercheteam für den streng legalen Weg, verzichtete also bewusst auf die technisch mögliche, aber rechtlich zweifelhafte Überwachung des Ports, über den die Mail damals versandt worden war.

Dem letzten Satz kann nur zugestimmt werden, denn eine Überwachung ausgehender Mails mithilfe des Administrators eines Rechenzentrums (erwähnt wird das Tool Wireshark, das Netzwerkpakete und damit auch Mailinhalte aufzeichnet) wäre ein Eingriff in das Fernmeldegeheimnis und würde mit Freiheitsstrafe bis zu fünf Jahren bestraft. Die Entscheidung des Rechercheteams „für den streng legalen Weg“ war daher selbstverständlich.

Journalist als Ermittler?

Welchering nennt in einem Blogpost vom 30.12.11 das Vorgehen des Rechercheteams „ein feines Stück investigative Recherche“ und stellt klar: „Die Journalisten mussten ihren anonymen Informanten identifizieren.“ Diese Haltung kann höchstens im Einzelfall gerechtfertigt sein (z. B. wenn es keine Möglichkeit gibt, den Tippgeber zu erreichen, dieser aber dringend informiert werden soll), man muss sie aber nicht teilen und ich möchte das Vorgehen daher allgemein in Frage stellen, auch wenn hier die mit hoher technischer Kompetenz durchgeführte Recherche zum Erfolg führte und der Quellenschutz gewahrt blieb. Der Informant war offensichtlich nicht in der Lage, einen technisch geeigneten Weg der anonymen Kommunikation zu finden. Das Internet bietet jedoch Dienste, die anonyme Kommunikation ermöglichen. Die Journalisten hätten den Informanten warnen und auf zuverlässige Anonymisierungstechnik verweisen können, da dieser offensichtlich seine Identität nicht aufdecken wollte. Eine weitere Vorgehensweise, über die Ermittlung der IP-Adresse hinaus, Mitarbeiter eines Rechenzentrums zu befragen und entsprechende Aufmerksamkeit zu erregen, sollte in diesen Fällen nicht üblich werden, auch wenn es generell nützlich für den investigativen Journalisten ist, seine Informanten zu kennen. Der Quellenschutz würde aufgeweicht, wenn die Recherche bekannt wird und ein Zusammenhang zu einem Tipp an die Presse hergestellt wird. Zudem stellt die Auskunftsfreudigkeit des Administrators, der bereitwillig Angaben über interne Zuordnungen von Netzen und Personen macht, einen kleinen Skandal für sich da.

Ein persönliches Treffen mit dem Informanten erleichtert zwar die Beurteilung der Glaubwürdigkeit; es darf aber nicht um jeden Preis erzwungen werden, insbesondere nicht gegen den Willen des Informanten. Der nun aufgerollte Fall könnte zudem abschreckend auf Whistleblower wirken, die zukünftig vielleicht zögern, bevor sie mit Journalisten Kontakt aufnehmen. Wer sich – aus welchen Gründen auch immer – nicht persönlich zu erkennen geben will, muss nun fürchten, dass Journalisten, die nicht so behutsam recherchieren wie das Team von Grund-Ludwig, alles daran setzen werden, ihren Informanten zu identifizieren. Wenn bei der aufwändigen Identifikation bereits so viel Staub aufgewirbelt wird, dass der Informant um die Aufhebung seiner Anonymität gegenüber Dritten besorgt sein muss, wird dem Quellenschutz geschadet.

Wie gibt man anonyme Tipps?

Was können – vom Fall Remseck abgesehen – nun Journalisten tun, die einen anonymen Hinweis per Mail erhalten und sich vorbildlich verhalten, d. h. ihre Informanten umfassend schützen wollen? Die Antwort kann hier nur sein: Unvorsichtige Whistleblower sind zu informieren, nicht in erster Linie zu identifizieren! Die Technologie, mit der Hinweisgeber auf sichere anonyme Weise mit der Presse oder auch mit Behörden kommunizieren können, sind sogenannte Remailer und das Prinzip der Pseudonymisierung (in Abgrenzung zur Anonymisierung, die keine weitere Kommunikation ermöglicht). Das Prinzip geht auf Ideen von David Chaum zurück, der 1981 erstmals Mixe (Nachrichtenvermittler zwischen den kommunizierenden Parteien) beschrieb, die eine Kommunikation ohne Aufdeckung einer oder beider Parteien ermöglicht. Prinzip: Der Nutzer schickt seine E-Mail an einen Remailer (ein Mix-Rechner im Internet). Dieser entfernt alle Kopfdaten, die Rückschlüsse auf den Absender zulassen könnten. Wenn die E-Mail mehrere Remailer durchlaufen hat, landet sie schließlich beim Empfänger. Sofern mindestens einer der Mixe vertrauenswürdig ist, bleibt der Absender verborgen. Die Verwendung von Remailern ist leider nicht ohne technische Kenntnisse möglich, insbesondere sind erläuternde Webseiten und die benötigte Software oft hoffnungslos veraltet. Das Prinzip der Mixe wird auch beim anonymen Websurfen (z. B. über das TOR-Netzwerk) angewandt. Hierbei wird die IP-Adresse (eine Art Identität des Rechners im Internet, die beispielsweise zu den Vorratsdaten gehört) gegenüber dem Webserver verschleiert. Für diese Anwendung existieren aktuelle Softwarepakete und die Nutzung ist kinderleicht! In Verbindung mit Web-basierten Maildienstleistern  kann das TOR-Netzwerk ersatzweise zur Pseudonymisierung verwendet werden.

Handreichung an Journalisten (Vorschlag)

Abschließend ein Formbrief, den investigative Journalisten gerne kopieren, verändern und nutzen dürfen, wenn sie in eine ähnliche Lage geraten und einen (mehr oder weniger) anonymen Hinweis per E-Mail erhalten haben. Ich betrachte diesen als Diskussionsvorschlag. Für Feedback sowohl von Journalisten als auch Kollegen aus der Informatik bin ich dankbar; ich erstelle dann gerne eine aktualisierte Version des Formbriefs und stelle auch diese hier im Blog zur Verfügung.

Falls für einen Hinweis an den Tippgeber kein Rückkanal zur Verfügung steht (bei anonymen Mails ist das nicht selten der Fall), kann ein solcher Brief auch „öffentlich zugestellt“ werden, z. B. als Blogpost, wenn Sie davon ausgehen, dass der Tippgeber Ihr Blog liest und es ein wirklich wichtiger Hinweis ist.

 

Ein Brief an Informanten

Liebe/r unbekannte/r Informant/in,

ich danke Ihnen für die Information vom (…) in Bezug auf (…). Für meine journalistische Arbeit sind solche Insider-Tipps von essentieller Wichtigkeit. 

Da ich viele anonyme Hinweise erhalte und diese oft aus durchsichtiger Motivation heraus versandt werden oder schlicht zu unklar sind, um eine weitere Recherche zu rechtfertigen, gehe ich dem Großteil dieser Hinweise nicht weiter nach. Ich bitte Sie vielmehr, sich persönlich unter (…) an mich zu wenden. Wenn ich Sie kennengelernt und ein persönliches Gespräch mit Ihnen geführt habe, kann ich die Qualität Ihrer Hinweise einschätzen und entsprechend handeln. Selbstverständlich sichere ich Ihnen umfassenden Quellenschutz zu: Ich werde unter keinen Umständen Ihre Identität gegen Ihren Willen preisgeben. Der Quellenschutz gehört zu den Grundsätzen der Pressefreifreiheit und stellt die Wächterfunktion der Presse sicher; ich kann daher auch nicht von einem Gericht zur Aufdeckung Ihrer Identität gezwungen werden. 

Sollten Sie sich trotzdem entscheiden, weiterhin anonym bleiben zu wollen, möchte ich Sie jedoch davor warnen, den bisherigen Weg der Kontaktaufnahme weiterzuverfolgen. Ihre E-Mail ist unverschlüsselt und weist sogenannte Header-Daten auf, die eine Identifizierung des Absenders oder zumindest eine Einschränkung des infrage kommenden Personenkreises möglich erscheinen lassen. Sie sollten daher nicht mehr auf diese Weise kommunizieren, wenn Sie Ihre Identität verbergen möchten, weder mit Journalisten, noch mit Behörden oder anderen Mailempfängern.

Es gibt sichere Dienste für eine pseudonyme E-Mail-Nutzung. Sie verfügen mit diesen über eine adressierbare Absenderadresse, können also Rückfragen beantworten und die Kommunikation mit beliebigen Empfängern fortsetzen, ohne Ihre Identität preisgeben zu müssen. Sie finden Hinweise dazu unter den URLs

Sollten Sie sogenannte Remailer-Dienste, die einen gewissen technischen Sachverstand voraussetzen, nicht nutzen können, sei Ihnen als minimale Vorsichtsmaßnahme angeraten, nur Web-basierte Postfächer (z. B. Yahoo!Mail) zu verwenden, dort fiktive Angaben zu Ihrer Person zu machen und Ihre IP-Adresse bei jeder Nutzung des Servers zu verbergen. Dies kann mithilfe eines einfach zu installierenden Tor-Browser-Bundles für Windows oder Mac, runterzuladen von

erreicht werden. Beachten Sie aber: Ohne eine Verschlüsselung der Mails müssen Sie befürchten, dass der Inhalt nicht nur dem Empfänger bekannt wird. Lediglich Ihre Identität bleibt verborgen.

Über eine persönliche Kontaktaufnahme ohne verborgene Identität würde ich mich jedoch sehr freuen!

Mit freundlichem Gruß (…)

]]>
http://www.scilogs.de/datentyp/wenn-journalisten-informanten-enttarnen/feed/ 3 wissenslogs