Die schwarz-grüne Koalition in Hessen hat offenbar eine Einigung im Streit um den Hessentrojaner erzielt. Demnach soll der hessische Verfassungsschutz über die geplante Änderung des Verfassungsschutzgesetzes keine Erlaubnis zum staatlichen Hacken bekommen, wohl aber die hessische Polizei (im HSOG). Damit wäre auch in Hessen die Erweiterung des Ermittlungsarsenals um Staatstrojaner ausgemacht.
In der Begründung, die von der hessischen Fraktionsspitze und den Landesvorsitzenden an die Grünen-Mitglieder geschickt wurde, [1] kann man nachlesen, dass heftig umstrittene Polizeigesetze in einigen anderen Bundesländern nun als Begründung herhalten müssen. Damit kommt ein Domino-Effekt in Gang: Was die eine Polizei darf, müssen alle anderen auch haben. Die Landesmitgliederversammlung der hessischen Grünen hatte demgegenüber explizit eine „friedliche Cybersicherheitsstrategie“ gefordert und sowohl die Staatstrojaner-Variante der „Online-Durchsuchung“ als auch der „Quellen-TKÜ“ abgelehnt.
Ignoriert wird bei dem gefundenen „Kompromiss“, dass sowohl gegen die Regelungen anderer Bundesländer als auch die im Bund Verfassungsbeschwerden vorliegen. In Hessen selbst kam in der parlamentarischen Anhörung mit Ausnahme der Polizeigewerkschaft keiner der Sachverständigen zu dem Schluss, dass die geplanten Regelungen verfassungsgemäß seien. Der Chaos Computer Club (CCC) hatte sich in seiner Stellungnahme [2] ebenfalls gegen Staatstrojaner positioniert.
Dirk Engling, Sprecher des CCC, sagt: „Wenn nun die Spionagegelüste der Polizeien die Integrität der IT-Systeme untergraben, ist dies keinen Deut besser, als wenn die Spionagesoftware der Geheimdienste dafür sorgt. Aufgabe des Staats wäre es stattdessen, die ohnehin stiefmütterlich behandelte Forschung an Softwaresicherheit zu unterstützen.“
Die nun um sich greifende Staatstrojaner-Welle bedeutet für den Steuerzahler, dass immer mehr staatliche Gelder investiert werden, um die IT-Sicherheit für Wirtschaft, Verwaltung und Privatpersonen absichtlich zu unterminieren. Schließlich muss auch die Spionagesoftware der Polizei Sicherheitslücken ausnutzen, um einen Staatstrojaner heimlich auf einem Computer oder Mobiltelefon von Verdächtigen oder Kontaktpersonen unterzubringen.
Vielleicht könnten die offenbar vom staatlichen Hacken nicht abzubringenden Unionschristen erstmal folgende Fragen beantworten:
Der CCC setzt sich mit Nachdruck gegen die um sich greifende Normalisierung der gesetzlichen Erlaubnis zum Einsatz von Staatstrojanern ein. Die Entwicklung, immer mehr staatlichen Stellen Spionagesoftware an die Hand zu geben, ist ein bedrohlicher Irrweg. Er ignoriert die Risiken, die mit der staatlichen Alimentierung einer Branche einhergehen, die mit der IT-Unsicherheit ihr Geschäft macht.
Der Brief wendet sich gegen eine Initiative der EU-Kommission, die zum Ziel hat, in der Europäischen Union eine Urheberrechtsreform durchzusetzen. Dabei sind sogenannte Upload-Filter für alle Plattformen mit nutzergenerierten Inhalten geplant. Sie sollen EU-weit vorgeschrieben werden.
Wir sprechen uns gegen Upload-Filter aus, weil wir eine weitere Verschärfung des Urheberrechts ablehnen, erst recht, wenn damit Overblocking schlicht vorprogrammiert wäre. Momentan sollen Upload-Filter als Gegenmaßnahme für Urheberrechtsverletzungen vorgesehen werden, aber wenn wir eines aus den vergangenen Jahren gelernt haben, ist es der Trend zur Ausweitung solcher Maßnahmen. Eine potentielle Zensurinfrastruktur gilt es jedoch von vorneherein zu verhindern.
Der Brief wurde versandt an:
Heiko Maas (SPD), Brigitte Zypries (SPD), Monika Grütters (CDU), Peter Altmaier (CDU), Axel Voss (CDU), Angelika Niebler (CSU) und Sylvia-Ivonne Kaufmann (SPD).
Wir Unterzeichnende, Vertreter der Zivilgesellschaft, der Wirtschaft und der Internetkultur, bitten Sie, die Aufweichung des Haftungsprivilegs und die verpflichtende Einführung von Upload-Filtern zu verhindern.
Wir unterstützen nachdrücklich das Anliegen im Entwurf zum Koalitionsvertrag zwischen CDU, CSU und SPD, in dem es heißt: „Eine Verpflichtung von Plattformen zum Einsatz von Upload-Filtern, um von Nutzern hochgeladene Inhalte nach urheberrechtsverletzenden Inhalten zu ‚filtern‘, lehnen wir als unverhältnismäßig ab.“
Davon unbeirrt schlägt die Europäische Kommission in ihrem Entwurf der Richtlinie über das Urheberrecht im digitalen Binnenmarkt (COM(2016) 593 final) vor, Plattformen, die Inhalte Dritter speichern, zu verpflichten, vermeintliche Urheberrechtsverletzungen mittels eines sogenannten Upload-Filters zu unterbinden, bevor die Inhalte auf die Plattform hochgeladen werden. Damit geht eine Umkehr der bewährten Haftungsprinzipien aus der E-Commerce-Richtlinie einher. Dies hätte gesellschaftlich und wirtschaftlich verheerende Folgen.
Die freie Entfaltung und Kreativität im Rahmen der Ausnahmen (Schrankenregelungen) des Urheberrechts sowie die Vielfalt von Inhalten insgesamt im Internet wären bedroht. Den Uploads der Nutzerinnen und Nutzern würde eine Zensurinfrastruktur vorgeschaltet.
Sollte die Betreiberhaftung in dieser Form ausgeweitet werden, werden klare Anreize gesetzt, um auch solche Inhalte zu blockieren, die rechtmäßig eingestellt wurden (Overblocking). Die Plattformen werden versuchen, ihr Haftungsrisiko zu minimieren, und nur noch ihnen bekannte und geprüfte Inhalte erlauben. Komplizierte Abwägungen, was erlaubt ist und was nicht, sei es Kritik, Satire oder Kunst, können automatisierte Filter nicht vornehmen. Wirksame Maßnahmen, die rechtmäßige Inhalte vor entsprechender Blockierung schützen, sind nicht vorgesehen. Damit werden nutzergenerierte Inhalte aus dem Internet verschwinden. Eine der Erfolgsformeln des Internets, das Teilen von Informationen und Inhalten, ist damit in Gefahr.
Gerade private und ehrenamtlich betriebene Plattformen, aber auch kleine und mittlere Online-Service-Unternehmen werden einem großen rechtlichen und wirtschaftlichen Risiko ausgesetzt, sofern sie den Upload von Inhalten nicht ganz unterlassen. Sie verschwinden vom oder schaffen es überhaupt nicht auf den Markt. Damit widerspricht die Europäische Kommission nicht nur ihrer eigenen Strategie zur Startup-Förderung. Auch die Bundesregierung stünde mit den Verlautbarungen im Koalitionsvertragsentwurf zur Startup-Förderung im Konflikt.
Wir fordern Sie daher auf, sich gegen die Aufweichung des Haftungsprivilegs von Plattformen für nutzergenerierte Inhalte und insbesondere gegen Upload-Filter einzusetzen.
Für Rückfragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
Bitkom e. V.
Verbraucherzentrale Bundesverband e. V. (vzbv)
Wikimedia Deutschland e. V.
Bundesverband Deutsche Startups e. V.
Bundesverband Digitale Wirtschaft e. V. (BVDW)
Bundesverband IT-Mittelstand e. V. (BITMi)
Bundesverband mittelständische Wirtschaft e. V. (BVMW)
Chaos Computer Club e. V. (CCC)
D64 – Zentrum für digitalen Fortschritt e. V.
Arbeitskreis gegen Internetsperren und Zensur (AK Zensur)
Deutscher Gründerverband e. V.
Digitale Gesellschaft e. V. (DigiGes)
eco – Verband der Internetwirtschaft e. V.
Jugendpresse Deutschland e. V.
Open Knowledge Foundation Deutschland e. V. (OKFN)
Links:
Am Donnerstag findet im Innenausschuss des Hessischen Landtags die Sachverständigenanhörung zum geplanten „Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen“ statt. Die Koalition aus CDU und Grünen möchte dem dortigen Landesamt für Verfassungsschutz die Nutzung von Spionagesoftware zum Einbruch in Computersysteme erlauben. Der Chaos Computer Club (CCC) hat eine Stellungnahme abgegeben und kritisiert darin den Gesetzesentwurf.
Der Anhörung vorausgegangen war die Informationskampagne hessentrojaner.de, mit der ein breites Bündnis aller hessischen CCC-Vertretungen und anderer Bürgerrechtsgruppen auf die strukturellen Gefahren beim Einsatz von Staatstrojanern aufmerksam machte.
„Staatliche Spionagesoftware wie der nun geplante Hessentrojaner nutzt Sicherheitslücken in alltäglicher Software“, erklärt Marco Holz vom CCC Darmstadt. „Das heißt im Klartext: Das Land Hessen schickt seinen Landesgeheimdienst auf den Schwarzmarkt oder zu fragwürdigen Trojaner-Anbietern, um mit Steuergeldern Sicherheitslücken in weit verbreiteten Programmen aufzukaufen und auszunutzen. Dabei nehmen sie billigend in Kauf, dass diese Lücken nicht geschlossen werden können“, so Marco Holz weiter.
Offenbar ist den hessischen schwarz-grünen Koalitionären entgangen, dass sie damit die ohnehin schon erheblichen Probleme in der IT-Sicherheit mit staatlichen Geldern befeuern. Während Wirtschaft, Behörden und hunderttausende Privatpersonen noch an den Folgen von „Wannacry“ laborieren, soll der hessische Geheimdienst auf Trojaner-Einkaufstour geschickt werden. Im Sommer letzten Jahres hatte dieser Erpressungstrojaner weltweit Millionen Windows-PCs angegriffen, wirtschaftliche Schäden in Milliardenhöhe verursacht und unter anderem in britischen Krankenhäusern den Betrieb lahmgelegt. Die von „Wannacry“ genutzte Sicherheitslücke war zuvor von der NSA absichtlich jahrelang geheimgehalten worden. Trotzdem hält es die hessische Landesregierung offenbar immer noch für eine gute Idee, für ihren Geheimdienst in Schadsoftware zu investieren.
„Wenn der Staat Spionagesoftware entwickeln lässt, untergräbt er strukturell die IT-Sicherheit. Schließlich setzt er hier mit Steuergeldern Anreize, Sicherheitslücken nicht zu schließen, um sie dauerhaft ausnutzen zu können. Kollateral- und Folgeschäden für Wirtschaft und Bevölkerung werden dabei schlicht ignoriert oder totgeschwiegen“, resümiert Marco Holz.
Zudem schränkt der hessische Gesetzesentwurf den ohnehin fragwürdigen Trojanereinsatz nur unzureichend ein. „Nicht einmal die vom Bundesverfassungsgericht gesetzten Schranken werden eingehalten“, kritisiert Dirk Engling vom CCC Berlin. „Die vom Gericht geforderte Zweckbeschränkung der Spionage-Maßnahmen ist schlicht nicht vorgesehen. Die Protokollierungspflichten sind lückenhaft, eine Einsicht in den Quellcode des Trojaners gar nicht erst geplant. Die einzigen vorgesehenen Kontrollinstanzen, das Amtsgericht Wiesbaden und das parlamentarische Kontrollgremium des Landtags, können ihren Aufgaben unter diesen Bedingungen nicht adäquat nachkommen.“
Auch aufgrund der schweren Eingriffe in die Privat- und Intimsphäre von Betroffenen und unbeteiligten Dritten sowie wegen des hohen Missbrauchspotentials von Staatstrojanern ist das hessische Vorhaben abzulehnen. Die Landesregierung bemüht denselben gefährlichen Trick, den „Quellen-TKÜ“-Trojaner rechtlich so zu fassen, als handele es sich um eine bloße Telefonverbindung. Dabei ist eine „Quellen-TKÜ“ technisch gesehen auch nur ein etwas eingeschränkter Trojaner und in keiner Weise mit dem Abhören von Telefonen gleichzusetzen.
Justus Hoffmann vom CCC Darmstadt zeigt sich trotzdem optimistisch: „Die schwarz-grüne Koalition hätte das Gesetz wohl gern im Schnelldurchlauf unbemerkt durch den Landtag gepeitscht. Der hessentrojaner.de-Kampagne und den zahlreichen Engagierten aus vielen verschiedenen Organisationen ist es zu verdanken, dass wir nun eine öffentliche Debatte über das staatliche Hacken durch Geheimdienste haben. Wir wollen dieses Gesetz stoppen, denn es schadet eindeutig mehr als es nützt.“
Begleitend zur Anhörung im Landtag am Donnerstag finden eine Podiumsdiskussion und eine Kundgebung statt. Die Anhörung beginnt am 8. Februar um 10 Uhr im Innenausschuss des Wiesbadener Landtags.
Am Abend werden wir auf Radio Darmstadt in der Sendung C-RadaR die Ergebnisse der Anhörung diskutieren.
Vodafone bietet einigen „Partnerunternehmen“ seit Oktober vier neue „Pass“-Kategorien (Chat, Social, Music, Video) an, die Kriterien dafür liegen allerdings nicht transparent vor. Die in diese „Pässe“ aufgenommenen Apps bekommen den Vorzug, dass die Nutzung nicht auf das Inklusivvolumen der Kunden angerechnet wird.
Faktisch entsteht dadurch die Situation, dass sowohl Vodafones Endkunden dafür bezahlen als auch Diensteanbieter als „Partner“ des Konzerns vertraglich gebunden werden. Nicht-kommerzielle Angebote, wie sie der Chaos Computer Club (CCC) beispielsweise unter media.ccc.de oder als Streaming-Dienst bei vielen seiner Veranstaltungen und Podcasts bereitstellt, haben dabei ein strukturelles Nachsehen und werden benachteiligt. Der CCC hat jedoch ein hohes Interesse daran, seine Inhalte gemäß seiner Satzung als frei zugängliches, einfach lizenzierbares und kostenloses Bildungsangebot möglichst vielen Menschen anzubieten.
Auch jenseits von strukturell benachteiligten Video- und Audioangeboten entstehen durch „Vodafone Pass“ ungewünschte Effekte: Die vier angebotenen Kategorien sind willkürlich gewählt und diskriminieren einige Dienste, die prinzipbedingt dezentral sind und in keinen „Pass“ aufgenommen werden können, weil es keinen einzelnen Anbieter gibt, mit dem Vodafone überhaupt einen Vertrag schließen könnte. Beispiele sind Dienste wie Jabber (XMPP) oder E-Mail.
Um „Partner“ von Vodafone zu werden, wird zudem eine App vorausgesetzt. Ein Video oder einen Stream ganz normal über den Browser sehen zu wollen, ist dabei nicht vorgesehen. Das benachteiligt zusätzlich alle Angebote, die über keine spezielle App verfügen, sondern ihre Dienste über das Web anbieten.
Für Verstöße gegen die Netzneutralität bei Zero-Rating-Angeboten können Strafen festgesetzt werden, allerdings erst, nachdem die Bundesnetzagentur etwaige Verstöße prüft und feststellt. Der CCC legt in seiner Stellungnahme dar, welche Nachteile in Fragen der Meinungsvielfalt durch Angebote wie „Vodafone Pass“ entstehen und warum gegen die Netzneutralität verstoßen wird.
Netzneutralität bezeichnet das Prinzip, dass Netzkonzerne einzelne Datentransport-Dienste nicht bevorzugen oder benachteiligen dürfen. Sie schützt Internetnutzer und Online-Dienste vor Diskriminierung durch Telekommunikationsunternehmen, die die Infrastruktur betreiben. Zero-Rating-Angebote missachten die EU-Verordnung (2015/2120), die Prinzipien der Netzneutralität und die Anforderung nach einer gleichberechtigten und nicht-diskriminierenden Behandlung des Datenverkehrs. Das gilt sowohl bei dem Telekom-Angebot „StreamOn“ als auch bei „Vodafone Pass“.
Links:
Stellungnahme des CCC an die Bundesnetzagentur zum Zero-Rating-Angebot „Vodafone Pass“
Gemeinsam mit der Free Software Foundation Europe (FSFE), weiteren Organisationen der Zivilgesellschaft und Juristen fordern wir, dass das besondere elektronische Anwaltspostfach (beA) Freie Software werden soll. [1]
Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar sein, doch zahlreiche bekannt gewordene Sicherheitslücken verhindern den geplanten Start des Dienstes. So wurde etwa die verschlüsselte Verbindung der Anwender nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, grundlegend gefährdet, da die Bundesrechtsanwaltskammer offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung zahlreicher längst veralteter und anfälliger Komponenten weitere Sicherheitslücken existieren.
Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht veröffentlicht wurde, ist die ganze Tragweite der fehlerhaften Programmierung erst Ende 2017 bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt. Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.
An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher auszuschließen, sollte die Bundesrechtsanwaltskammer nun die gesamte Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden.
Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, bereits frühzeitig potentielle Sicherheitslücken zu melden, damit diese behoben werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal erwiesen. Freie Software garantiert zudem die dringend nötige Herstellerunabhängigkeit.
Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für öffentliche digitale Dienste Standard sein sollte, zeigt die aktuelle FSFE-Kampagne Public Money, Public Code.
Ganz gleich, ob die Bundesrechtsanwaltskammer sich für eine komplette Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten.
Links:
[1] Das besondere elektronische Anwaltspostfach (beA) muss Freie Software werden
[2] Das besondere elektronische Anwaltspostfach (beA): http://bea.brak.de/
Statt an der Tankstelle werden Elektroautos an Ladesäulen geladen. Diese bieten zumeist einen Drehstromanschluss, über den die notwendigen Ladeleistungen erreicht werden. Im öffentlichen Raum werden Ladevorgänge von den Anbietern unter anderem über Ladekarten abgerechnet. Auf den Ladekarten ist eine Nummer gespeichert, anhand derer die Ladestation den Nutzer identifiziert. Leider ist diese Nummer komplett öffentlich und kann beliebig kopiert werden. Damit kann man recht leicht eine Ladekarte klonen.
„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, sagte CCC-Mitglied Mathias Dalheimer, der den Hack heute beim 34C3 erläutern wird. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“
Auch die Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend ist schlecht geschützt: Die Kartennummer wird auch hier – oft sogar ohne jegliche Verschlüsselung – direkt an den Anbieter übermittelt. Mit geringem technischen Aufwand kann man diese Kommunikation abfangen und so die Kartennummern von Kunden ernten. Aus diesen kann man dann entweder Ladekarten fälschen oder – in der Praxis wohl einfacher – gegenüber dem Ladenetzbetreiber Ladevorgänge simulieren. Damit kann ein Ladesäulenbetreiber seinen Umsatz sehr einfach in die Höhe treiben.
Auch die Ladestationen selbst sind unsicher. Die meisten Ladestationen erlauben das Ändern der Konfiguration sowie Firmwareupdates über einen USB-Stick. Da der Updatemechanismus beispielsweise bei KEBA-Ladestationen unsicher ist, kann beliebiger Code in die Ladestation eingeschleust werden. Darüber könnten Angreifer beispielsweise alle Ladevorgänge gratis machen oder aber wiederum die Kartennummern ernten und so Ladekartenkunden schädigen.
Kunden dürften es sehr schwer haben, einen Missbrauch nachzuweisen. Insbesondere beim Roaming, also beim Laden an einer Ladestation eines anderen Anbieters, wird ein Ladevorgang erst viel später abgerechnet. Es können dabei Wochen vergehen, bis der Missbrauch einer Ladekartennummer auffällt.
Die Ladenetzbetreiber haben die Schwachstellen zwar bestätigt, ziehen derzeit aber keine Konsequenzen. „New Motion“ teilte etwa mit, ihnen seien keine Betrugsfälle bekannt und dass die Kunden ihre Ladeabrechnung doch bitte selbst kontrollieren möchten. [0] Ein Wechsel zu einem geeigneten Zahlverfahren ist nicht abzusehen, so dass Kunden mit dieser Situation leben müssen.
Wir fordern:
Links:
[1] Sammlung der Erkenntnisse, weitere technische Details sowie Videos im Blog von Mathias Dahlheimer: https://schwarzladen.gonium.net/
[2] Elektroauto-Simulator: https://evsim.gonium.net
[3] Videos bei Youtube:
[4] Live-Streaming: Informationen zu Streams und Videos
Bilder:
Die hier angebotenen Bilder können frei verwendet werden:
Ladekarten von New Motion und Ladenetz
Ladestation von Hager, Oberseite
Ladestation von Hager, Unterseite
Im Zuge der Novelle des Hessischen Verfassungsschutz-Gesetzes planen CDU und Grüne auch die Einführung eines Staatstrojaners. Der entsprechende Gesetzesentwurf soll im Novemberplenum des Hessischen Landtages in erster Lesung behandelt werden. [1]
Der von den Fraktionen der CDU und Bündnis 90/Die Grünen im Hessischen Landtag vorgelegte „Gesetzesentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen“ [2] sieht eine Ausweitung der Befugnisse des Verfassungsschutzes vor, insbesondere den Einsatz von Staatstrojanern zur sog. Quellen-Telekommunikationsüberwachung („Quellen-TKÜ“) und zur Online-Durchsuchung. Mit der Informationsseite www.hessentrojaner.de möchten die hessischen Chaos Computer Clubs über die Funktionsweise und Gefahren von Staatstrojanern informieren.
„Eine solche Regelung gefährdet die Sicherheit Millionen vernetzter Geräte weltweit. Der Einsatz von Staatstrojaner setzt verwundbare Software in Smartphones oder Laptops voraus“, erklärt Markus Drenger vom CCC Darmstadt. „Verantwortungsbewusste Sicherheitspolitik zielt jedoch darauf ab, dass Sicherheitslücken schnellstmöglich geschlossen werden, damit diese nicht von Kriminellen ausgenutzt werden können. Mit einem Staatstrojaner hat der Staat jedoch ein Interesse daran, offene Hintertüren nicht zu schließen, um diese später selbst nutzen zu können. Wissen über Lücken vor Herstellern geheimzuhalten, um Sicherheitsupdates zu verhindern, schadet der IT-Sicherheit.“
Sicherheitslücken, wie sie für Staatstrojaner und andere Schadsoftware notwendig sind, werden aufgrund ihrer enormen Tragweite für teilweise sechs- bis siebenstellige Eurobeträge gehandelt. Da solche Lücken oft in weit verbreiteten Anwendungen klaffen, stellen sie ein enormes Gefährdungspotenzial für eine große Zahl von Geräten dar. „Hiervon sind auch kritische Infrastrukturen wie beispielsweise Krankenhäuser, Windparks oder Atomkraftwerke betroffen“, betont Magnus Frühling vom CCC Frankfurt. „Die Vergangenheit hat leider gezeigt, dass sogar finanziell und personell gut ausgestattete Behörden wie die NSA nicht in der Lage sind, die Geheimhaltung dieser Lücken sicherzustellen.“
Im Mai diesen Jahres erregte ein von Kriminellen verbreiteter Erpressungs-Trojaner namens „Wannacry“ weltweit Aufsehen, da er neben Privat-PCs auch Automobilkonzerne, Bahnunternehmen und Krankenhäuser lahmlegte. [3] Der geschätzte finanzielle Schaden betrug bis zu vier Milliarden Euro. [4] Die von Wannacry genutzte Lücke in Microsoft Windows war der NSA bereits seit Jahren bekannt.
„Anstatt die Sicherheitsmängel dem Hersteller Microsoft zu melden und so ein Sicherheitsupdate zu ermöglichen, hat der Geheimdienst diese jedoch zur Nutzung durch Staatstrojaner geheimgehalten“, schildert Marco Holz vom CCC Darmstadt das Problem. „Außerdem können auch repressive Regime im Ausland die von Steuergeldern in Deutschland finanzierten Hacking-Tools zum Ausspähen von Journalisten, Oppositionspolitikern und unterdrückten Minderheiten nutzen. Der Zweitverwertungsmarkt für Sicherheitslücken und Trojaner ist groß. Die Technologie-Zulieferer solcher Regierungen sitzen oft in Europa.“ [5]
Für Unternehmen stellen offene Sicherheitslücken auch unter dem Aspekt der Wirtschaftsspionage eine Gefahr dar. [6] Vor den Gefahren durch Sicherheitslücken für deren IT-Sicherheit warnte auch das hessische Wirtschaftsministerium bei der Vorstellung des hessischen IT-Sicherheitsleitfadens, der gemeinsam mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt erarbeitet wurde. [7]
Wir fordern die Abgeordneten im Hessischen Landtag vor diesem Hintergrund auf, dem Gesetzentwurf in der derzeitigen Form nicht zuzustimmen.
Unsere Forderungen:
Links:
[0] https://www.hessentrojaner.de/
[1] Dies wurde in der öffentlichen Sitzung der grünen Landesarbeitsgemeinschaft Medien und Netzpolitik am 26. Oktober vom Vorsitzenden der Grünen-Fraktion im Hessischen Landtag, Mathias Wagner, und dem innenpolitischen Sprecher der Fraktion, Jürgen Frömmrich, bekanntgegeben.
[2] http://www.gruene-hessen.de/landtag/files/2017/10/HSVG.pdf
[4] nach Angaben des Handelsblatts
[5] siehe zeit.de
[6] https://www.hessen.de/pressearchiv/pressemitteilung/sicherheitsluecken-schaden-betrieben-0
Kontakt:
info(at)chaos-darmstadt.de oder presse(at)ccc.de
Die drei Fälle „Big Brother Watch and Others v UK“, „10 Human Rights Organisations and Others v UK“ und „Bureau of Investigative Journalism and Alice Ross v UK“ werden nun vier Jahre nach Einreichung der Beschwerden beim EGMR mündlich verhandelt. [1]
Nachdem im Jahre 2013 Edward Snowdens Enthüllungen Einblicke in die staatlichen Massenüberwachungs- und Bespitzelungsprogramme gaben, die unter dem Namen TEMPORA und den US-Pendants PRISM und UPSTREAM tief in die Privatsphäre-Rechte von Bürgern eingreifen, entschlossen sich Big Brother Watch, English PEN, die Open Rights Group sowie Constanze Kurz, die Unrechtmäßigkeit höchstrichterlich feststellen zu lassen. [2]
In Frage steht die Rechtmäßigkeit der anlasslosen Überwachung und Sammlung persönlicher Daten durch die britischen Geheimdienste nach dem Gesetz Regulation of Investigatory Powers Act (RIPA). Die britischen RIPA-Überwachungsregularien waren ungerichtet in dem Sinne, dass wahllos und ohne jeden Verdacht oder Anhaltspunkt für irgendein Fehlverhalten persönliche Daten von EU-Bürgern angesammelt wurden, zudem faktisch unbefristet.
Dieses Überwachungssystem wird mit der Begründung angegriffen, dass es ohne ausreichende rechtliche Grundlage war, niemand dafür zur Rechenschaft gezogen wurde und keine adäquate Kontrolle über die Programme bestand, daher die Rechte der Bürger nach Artikel 8 der Europäischen Menschenrechtskonvention (Recht auf Achtung des Privat- und Familienlebens) verletzt wurden.
Das Bureau of Investigative Journalism reichte im Jahr 2014 eine Beschwerde beim EGMR ein, gefolgt von zehn Menschenrechtsorganisationen und weiteren Beschwerdeführern im Jahr 2015, nachdem durch das britische Investigatory Powers Tribunal ein Urteil ergangen war. Diese drei Fälle sind nun verbunden worden. Der Gerichtshof entschied sich ausnahmsweise für eine mündliche Anhörung.
Das Urteil über diese drei Beschwerden hat das Potential, Einfluss auf das derzeitige britische Überwachungssystem Investigatory Powers Act zu nehmen. Die rechtlichen Regelungen sind bereits vom Europäischen Gerichtshof (EuGH) in der Watson-Entscheidung scharf kritisiert worden. Ein positives Urteil über die EGMR-Beschwerden wird die britische Regierung zur Beschränkung der übermäßigen Überwachungsbefugnisse zwingen und dazu, eine bessere rechtliche Kontrolle und einen höheren Schutz für die Bürger zu verwirklichen, etwa nachträgliche Benachrichtigungen über Überwachungsmaßnahmen.
Links:
[1] Die mündliche Anhörung beim EGMR am 7. November 2017
[3] Schnellverfahren am Europäischen Gerichtshof für Menschenrechte wegen Geheimdienst-Spionage
Die 34. Ausgabe des Chaos Communication Congress (34C3) findet dieses Jahr in der Messe Leipzig statt. [1] Es werden rund 13.000 Teilnehmer erwartet. Bereits jetzt zeichnet sich im Einreichungssystem für Vorträge auf dem 34C3 [2] eine Rekordbeteiligung ab, ungewöhnlich früh haben mehrere hundert Interessenten ihre Vortragsidee vorgeschlagen. Bis Sonntag, 23:59 Uhr, ist das Einreichungssystem geöffnet.
Das Vortragsprogramm wartet dieses Jahr mit zwei Neuerungen auf: Neben den aus den letzten Jahren bekannten Vortragstracks „Art & Culture“, „Ethics, Politics & Science“, „Hardware“, „Science“ und „Security“ gibt es dieses Jahr einen neuen Track mit dem Namen „Resilience“, der sich mit Projekten und Ideen beschäftigt, die sich um Nachhaltigkeit im Spannungsfeld technischer und sozialer Entwicklungen dreht. Außerdem können Einreicher ihre eigenen Vorträge anhand leicht verständlicher Skalen bewerten, um Zuhörern zum Beispiel schon im Vorfeld zu vermitteln, ob sie Anfänger- oder Expertenniveau erwartet.
Am Donnerstag, den 19. Oktober, beginnt zudem die erste von drei Runden des freien Vorverkaufs für die Tickets des diesjährigen Congress. [3] Da der geschlossene Vorverkauf für die Community ähnlich guten Zulauf wie im letzten Jahr verzeichnet hat, deutet alles darauf hin, dass die Szene dem Chaos Computer Club beim Experiment in Leipzig die Treue hält. Nun kann jeder seine Eintrittskarte sichern. Tickets gibt es im Vorverkaufssystem, solange der Vorrat reicht. [4]
Links:
[0] Call for Participation (English), deutsche Version im Event-Blog
[1] 34C3 zieht nach Leipzig
[2] Frab für Einreichungen für den 34C3: https://frab.cccv.de/en/34c3/cfp
[3] Informationen zum Ticketkauf
[4] Vorverkaufssystem für den 34C3: https://tickets.events.ccc.de/34c3/
Am Donnerstag hatte der Chaos Computer Club (CCC) im Rahmen einer Recherche der Wochenzeitung Die Zeit einen 23-seitigen Bericht über zahlreiche Schwachstellen in der aktuellen Version 10 der Software „PC-Wahl“ veröffentlicht. [1] Diese Software wird bei der kommenden Bundestagswahl im Rahmen der Stimmenauswertung verwendet. Das Update des Herstellers vom 13. September 2017 war erfolglos, das größte Einfallstor für Angreifer ist nicht wirksam beseitigt.
CCC spendet Open-Source-Lösung
In einem öffentlichen Software-Repository stellt der CCC eine funktionierende Möglichkeit zur digitalen Signatur von „PC-Wahl“-Updates und Wahlergebnisdateien sowie zu deren automatischer Prüfung bereit. [4] Der Code kann sowohl für „PC-Wahl“ als auch beliebige andere Software-Projekte verwendet werden, um die dort beobachteten Anfängerfehler zu vermeiden.
Der CCC veröffentlicht weiterhin einen aktualisierten technischen Bericht, in dem auch die neuen Fehler dokumentiert werden. Neue Empfehlungen zur Behebung der Schwachstellen kommen darin allerdings nicht vor – es bleiben die alten Empfehlungen, welche bisher nicht oder nur unzureichend umgesetzt wurden.
„Durch unsere Veröffentlichung wollten wir den Hersteller dazu bewegen, sich endlich kompetenten Rat zu suchen. Resigniert stellen wir nun fest, dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen“, sagte Linus Neumann, Sprecher des CCC. „Daher spenden wir hiermit einen für PC-Wahl einfach zu übernehmenden Mechanismus für signierte Updates – als Open-Source-Software, wie es sich für hochkritische Wahlsoftware gehören sollte“, so Neumann weiter.
Festhalten an fehlerhaften Prinzipien
Wie die begleitetende Prüfung der neuen Versionen ergab, setzt der Hersteller auch in seinem dritten Behebungsversuch – trotz aller Warnungen – weiter auf die alten untauglichen Mechanismen: „Obfuscation“ und Geheimhaltung. Wenig überraschend konnten auch diese vermeintlichen Geheimnisse noch am gleichen Abend vom CCC durchschaut werden. [6]
Der Hersteller hat sein bisheriges Paketformat für Software-Updates beibehalten und bettet es nun in ein Code-signiertes „Hello-World-Programm“ ein. Der Installer öffnet dieses Programm lesend und extrahiert das herkömmliche Update-Paket aus dem Programm. Während der Mechanismus sehr simpel zu dechiffrieren ist, bleiben die technischen Beweggründe nicht nachvollziehbar.
Dadurch gelang es dem CCC erneut, eigenen Code per Software-Update einzuschleusen. Eine Demonstration ist als Screencast-Video verfügbar. [3] Der Angriff gelang bereits wenige Stunden nach Veröffentlichung des Updates und umgeht den inzwischen dritten Versuch des Herstellers, das Problem zu lösen. [6]
Abwälzen der Verantwortung auf die Nutzer
Aber nicht nur die technische Umsetzung ist mangelhaft. Linus Neumann erklärte: „Ohne nachvollziehbaren Grund wird die Prüfung der Signatur auf die Nutzer abgewälzt – eindeutig aber eine Aufgabe des Update-Programms! Hierzu wird eine unübersichtliche Anleitung zur Verfügung gestellt, die noch dazu unzureichende Handlungsanweisungen gibt.“ Die Nutzer werden angewiesen, auf umständliche Weise manuell zu prüfen, ob das Update signiert ist. Jedoch werden sie überhaupt nicht angeleitet, den sicherheitskritischen Teil der Signatur zu vergleichen: den kryptographischen Fingerabdruck. Durch dieses unsinnige und unzureichende Vorgehen wird die Maßnahme gänzlich überflüssig.
Forderung: Public Money, Public Code!
Nach dem Debakel um die handwerklich inadäquate und fehlerbehaftete Wahlauswertungssoftware sind vor der Bundestagwahl nun nur noch Scherben aufzufegen. Hastige Anweisungen zur manuellen unabhängigen Kontrolle von digital weitergeleiteten Ergebnissen mögen eine kurzfristige Lösung sein. Nach der Wahl aber muss ein grundsätzliches Umdenken stattfinden: Von öffentlicher Hand bezahlte Software soll künftig auch öffentlich einsehbar und überprüfbar sein – insbesondere bei der Wahlauswertung, aber auch darüber hinaus. [5]
Links:
[1] Software zur Auswertung der Bundestagswahl unsicher und angreifbar: https://ccc.de/de/updates/2017/pc-wahl
[3] erfolgreicher Angriff in einem Screencast-Video: PC-Wahl Update Demo II https://vimeo.com/234341640
[4] öffentliches Software-Repository RSA-Spende: https://github.com/devio/Walruss/tree/master/pcw_rsa_donation
[5] Offener Brief: Public Money? Public Code! https://ccc.de/de/updates/2017/public-money-public-code
[6] https://github.com/devio/Walruss/tree/master/attic#hold-my-beer
Die digitalen Dienste, die öffentliche Verwaltungen anbieten und benutzen, sind die kritische Infrastruktur demokratischer Nationen des 21. Jahrhunderts. Um Vertrauen in jene Systeme aufzubauen, die das Herzstück unserer digitalen Infrastruktur sind, müssen Behörden die volle Kontrolle über sie haben. Aufgrund restriktiver Softwarelizenzen ist dies jedoch selten der Fall.
Heute veröffentlichen 31 Organisationen einen offenen Brief, [1] in welchem sie Abgeordnete dazu aufrufen, für die rechtlichen Grundlagen zu sorgen, die es bei der Beschaffung von eigens für die öffentliche Hand entwickelter Software erfordern, dass diese unter einer Freie-Software- und Open-Source-Lizenz veröffentlicht werden muss.
Die Erstunterzeichner – darunter CCC, EDRi, Free Software Foundation Europe, KDE, Open Knowledge Foundation Deutschland, Wikimedia Deutschland und viele mehr – rufen sowohl einzelne Personen als auch Organisationen dazu auf, den offenen Brief zu unterzeichnen. Der offene Brief wird anschließend an die Kandidaten zur Bundestagswahl und, im Verlauf der nächsten Monate bis zur Europawahl 2019, an Europaabgeordnete und andere Abgeordnete aus EU-Mitgliedsstaaten versendet.
Öffentliche Einrichtungen geben jedes Jahr Millionen Euro für die Entwicklung von auf ihre Bedürfnisse zugeschnittene Software aus. Die öffentliche Auftragsvergabe hat einen großen Einfluss darauf, welche Unternehmen hierbei im Wettbewerb stehen können und welche Software letztendlich durch Steuergelder gefördert wird. Öffentliche Verwaltungen auf allen Ebenen haben häufig Schwierigkeiten, den Quellcode untereinander weiterzugeben, obwohl dieser komplett durch sie finanziert wurde. Auch sensible Bürgerdaten sind einem Risiko ausgesetzt, wenn unabhängige Dritte nicht die Möglichkeit haben, Code-Audits durchzuführen und den Code anderweitig auf Sicherheitslücken zu überprüfen.
Deshalb rufen die Unterzeichner Parlamentarier in ganz Europa dazu auf, die digitale öffentliche Infrastruktur zu modernisieren, um es so öffentlichen Verwaltungen, Unternehmen und Individuen zu erlauben, öffentlich finanzierte Software frei zu verwenden, zu verstehen, zu verteilen und zu verbessern. Dies schützt öffentliche Verwaltungen davor, an die Dienstleistungen einzelner Hersteller gebunden zu sein, und stellt sicher, dass der Quellcode verfügbar ist, so dass Hintertüren und Sicherheitslücken unabhängig von einem einzigen Dienstleister geschlossen werden können.
Links:
[1] Offener Brief
Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt.
Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht. [0] Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden. [1]
„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC.
Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.
„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter.
Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut „PC-Wahl“ zum Einsatz.
Die dokumentierten Angriffe haben das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion auf die Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels „PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.
Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte Allgemeinzustand der Software werfen die Frage auf, wie es um konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz ist, wurde von Sjoerd van der Hoorn und Sijmen Ruwhof in der in den Niederlanden verwendeten Version betrachtet – mit verheerenden Ergebnissen. [2]
„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“
Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“ auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software für die digitale Unterstützung bei demokratischen Wahlen fördert und nutzt. [3] Bevor sich die Wahlleiter in die Abhängigkeit von Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen dringend etwas ändern muss.
Ziel der Sicherheitsanalyse war es, vor allem die Sinne der Verantwortlichen zu schärfen. Eine plumpe Manipulation über die mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten Sensibilität unwahrscheinlicher geworden sein. Zumindest für die Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!
Der Chaos Computer Club fordert für den Einsatz von Auswertungssoftware bei Wahlen:
Links:
[0] Bericht: Analyse einer Wahlsoftware https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf
[1] Software-Repository: PC-Wahl Angriffstools https://github.com/devio/Walruss
[2] Sijmen Ruwhof: https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections
[3] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben erfolgreich Fördermittel für die Entwicklung von Open-Source-Software: https://prototypefund.de/
[4] Die Hörversion der Analyse bei Logbuch:Netzpolitik: https://logbuch-netzpolitik.de/lnp228-interessierte-buerger
[5] Der Artikel zur Geschichte der Analyse bei Zeit Online
Bebilderung:
Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version 10.
In Rheinland-Pfalz bietet die Landesregierung den Bürgern seit Oktober 2016 auf Grundlage eines Dialog-Papiers [0] einen „Digital-Dialog“ [1] an, um eine zukunftsfähige Digitalstrategie zu erarbeiten. Hierfür sind alle Ministerien aufgerufen, eigene Beteiligungsformate zu entwickeln und Veranstaltungen zu unterschiedlichen Themenfeldern durchzuführen.
Der Chaos Computer Club (CCC) hat sich gemäß seiner Expertise zum Thema „Verbraucher- und Datenschutz in der digitalen Welt“ zusammen mit mehr als zwanzig NGOs, Verbänden, Hochschulen und weiteren Akteuren aktiv bei der Arbeitsgruppe im zuständigen Ministerium für Familie, Frauen, Jugend, Integration und Verbraucherschutz beteiligt. In Diskussionsrunden, Workshops und bei der Einholung von Meinungsbildern wurden dabei Ideen für die Unterstützung von informierten und mündigen digitalen Bürgern eingebracht.
Die Landesregierung bietet bis zum 15. August 2017 eine Online-Beteiligungsplattform für den „Digital-Dialog“ an, bei der jeder Vorschläge machen kann. Zu deren Benutzung wollen wir aufrufen! Denn durch Kommentierung der sieben aufgeworfenen Fragen und durch Bewertung schon abgegebener Kommentare kann jeder an der Meinungsbildung der Landespolitik mitwirken.
„Wir begrüßen die Möglichkeit, aktiv an der Gestaltung der rheinland-pfälzischen Digitalpolitik teilzunehmen, fordern die Landesregierung jedoch gleichermaßen auf, den Dialog als das zu verstehen, was er sein sollte: ein Kanal, der gegenseitiges Zuhören ermöglicht. Die eingereichten Ideen und Vorschläge sollen praktisch und in transparenter Weise in die Politik der Regierung einfließen“, sagte Julian Heinrich, der für den CCC in der Arbeitsgruppe des Ministeriums aktiv beteiligt ist.
Der CCC wird nach Ende der Online-Beteiligung seine Forderungen zum Thema „Verbraucher- und Datenschutz in der digitalen Welt“ vorstellen und die weiteren Schritte seitens der rheinland-pfälzischen Landesregierung mit Spannung beobachten und begleiten. „Wir werden im Auge behalten, ob dieser ‚Digital-Dialog‘ und die abgegebenen Stellungnahmen und Kommentare tatsächliche Auswirkungen auf die Digitalpolitik der Landesregierung haben oder ob es sich wie in früheren Online-Beteiligungsversuchen nur um eine politische Nebelkerze handelt“, sagte Julian Heinrich weiter.
Denn ein gegenseitiger Online-Dialog wäre auch in anderen Bundesländern sowie auf Bundesebene ein wünschenswertes Mittel, um Menschen an der Gestaltung der Politik aktiv zu beteiligen und ihren Wünschen Gehör zu verschaffen. Wir verstehen den „Digital-Dialog“ in Rheinland-Pfalz als einen Test, wie transparent mit den Ergebnissen umgegangen wird und ob eine solche Online-Beteiligung tatsächlich Wirkung auf das politische Handeln der Landesregierung hat.
Links:
[0] Der rheinland-pfälzische Digital-Dialog (pdf)
[1] Online-Beteiligungsplattform: https://www.digital.rlp.de/digital/de/home
Der Web-Browser der surfenden Reisenden verrät durch eine seit dem Start der ICE-WLANs bestehende Sicherheitslücke diverse Informationen wie Zugnummer, Wagenklasse und genauen Standort an beliebige besuchte Internetseiten. [0] Zusätzlich werden die Einbuchungsdauer, der Datenverbrauch und die weltweit eindeutige MAC-Adresse des WLAN-Adapters übertragen, wodurch sich Hardwaregeräte wie Laptops, Mobiltelefone oder Tablets eindeutig identifizieren lassen – selbst bei eventuell eingeschaltetem VPN-Dienst. Dabei ist der Einsatz von in Browser integrierten Abwehrmechanismen gegen genau dieses Verhalten bereits seit Jahren gängige Praxis in der Webentwicklung. Es handelt sich also um ein trivial zu vermeidendes Problem.
Trotz anderslautender Stellungnahmen der Deutschen Bahn gegenüber der Presse [1], ist die Sicherheitslücke bisher nicht geschlossen worden: Ähnlich wie nach der ersten CCC-Analyse aus dem letzten Jahr [3] wurde eine Sofortkorrektur eingespielt. Als Resultat dieser beiden „Hotfixes“ wurden viele der kritischen Datenfelder über das untersuchte JSONP-Interface nicht mehr ausgeliefert. Jedoch wurde im Rahmen einer weiteren Überarbeitung seit dem letzten Jahr einerseits der erste Hotfix praktisch wieder zurückgerollt und zudem eine weitere – noch einfachere – Schnittstelle allen Webseiten geöffnet, die nun dieselben Daten bequem per AJAX-Zugriff abrufen können. [2]
Icomera gab – im Gegensatz zum Auftraggeber Deutsche Bahn – am 18. Juli an, dass gar kein Sicherheitsproblem bestehe. [4] Wörtlich heißt es in der Icomera-Stellungnahme:
„Following a thorough assessment of the hacker/passenger’s claims we have determined that there was no vulnerability. The hacker/passenger’s experience corresponds with behaviours expected from our system and the only data that was exposed was their own MAC address and basic identifiers and statistics of the Icomera hardware they were connected to.“ (Hervorhebung im Original)
Demnach hätte eine „sorgfältige Bewertung“ ergeben, dass es „keine Schwachstelle“ gäbe. Vielmehr sei das beschriebene Verhalten zu erwarten. Nur die eigene MAC-Adresse sowie einfache Identifikatoren und statistische Angaben würden exponiert. Diese Diskrepanz in den Stellungnahmen zwischen Auftraggeber und Auftragnehmer wirft Fragen zum Kundendatenschutz des Konzerns auf. Die Umsetzung des Dienstleisters erweckt den Eindruck, sie sei unter Unkenntnis der Web-Sicherheitsstandards der letzten zehn Jahre entstanden. Diese ermöglichen schon lange eine vollständige Implementierung der vom Portal angebotenen Funktionalität, ohne Daten an beliebige Dritte weiterzugeben.
Teil der neuen Digitalisierungsstrategie der Deutschen Bahn kann es nicht sein, Sicherheitslücken einfach in Kauf zu nehmen. Stattdessen sollte ein Teil der Millioneninvestitionen in geeignete Security-Audits investiert werden. Wer sich eine „Digitalisierungsoffensive“ auf die Fahnen schreibt, kann nicht den Datenschutz außen vor lassen.
Links:
[0] WLAN im ICE: Der Patch der Deutschen Bahn, der keiner war
[1] Pressebericht mit Statement der Bahn
[2] Chapter 3: Täglich grüßt das Murmeltier
[3] Was das neue Bahn-Wifi über seine Nutzer ausplaudert
[4] Icomera-Statement (pdf)
Eine konzeptuelle Sicherheitslücke erlaubt es Angreifern, hinterrücks Informationen wie den Standort, die MAC-Adresse von Endgeräten oder das genutzte Datenvolumen der Benutzer des WLANs im ICE zu sammeln. [0] Die Deutsche Bahn versprach im letzten Jahr dafür schnelle Abhilfe. Eine minimale Änderung, die vom Konzern als Behebung des Problems beim „WIFIonICE“ verkauft wurde, erweist sich jedoch als untauglich. Der von ihr beauftragte Dienstleister zeigte sich auch nach Monaten außer Stande, das Problem zu beheben.
Wer sich für die technischen Hintergründe interessiert und wissen will, wie genau die Bahn versucht hat, sich des Problems anzunehmen, und warum sie gescheitert ist, findet die Informationen beim CCC Hannover. [1]
Falk Garbsch, Sprecher des Chaos Computer Clubs, kommentiert: „Dass diese Sicherheitslücke bis heute noch besteht, ist ein peinliches Armutszeugnis. Die Bahn ist offensichtlich mit ihren eigenen Digitalisierungsstrategien vollends überfordert.“
Es bleibt wohl nur zu hoffen, dass die Bahn die Sicherheit bei ihren Zügen, Signalen und bei elektronischen Tickets besser im Griff hat.
Links:
[0] Ursprüngliche Sicherheitsanalyse: Was das neue Bahn-Wifi über seine Nutzer ausplaudert
[1] Neuer Proof of Concept: Die Bahn, ihr Wifi und die Amateure
StreamOn ist kein Modell für die Zukunft des Internets. Die pauschale Drosselung ganzer Diensteklassen widerspricht dem Grundgedanken der Netzneutralität und nimmt jeden Druck von der Telekom, künftig ins eigene Netz zu investieren.
„Mit diesem Schonprogramm für das Telekom-Netz wird nicht nur das Zwei-Klassen-Internet Realität, sondern auch der Wettbewerb um hohe Bandbreiten ausgebremst“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs.
Mit StreamOn wird die Videoqualität in billigen Tarifen auf das Qualitätsniveau von 1995 gedrosselt – und das in einer Zeit mit immer höher auflösenden Geräten und einer gesetzlich festgeschriebenen Endgerätefreiheit für alle Internetanschlüsse. Erreicht wird diese Qualitätsminderung durch eine Drosselung, die auch Dienste wie media.ccc.de betrifft, die nicht an StreamOn teilnehmen.
Um teilnehmende Dienste zu erkennen, analysiert die Telekom beim Surfen URLs und andere Merkmale, die Rückschlüsse auf das Nutzerverhalten zulassen. Dies ist technisch nur mittels Deep Packet Inspection zu bewerkstelligen. Diese Gefahrentechnologie hat die EU mit ihren Netzneutralitätsregeln explizit verboten. [1]
Als diese Regeln 2016 erlassen wurden, hatte die deutsche Bundesnetzagentur den Vorsitz der Europäischen Regulierungsbehörden BEREC. Sollte sich nun selbst die Bundesnetzagentur nicht an dieses Regelwerk halten, hat das auch für andere Regulierungsbehörden in Europa eine fatale Signalwirkung: Geltendes Recht würde schlichtweg nicht umgesetzt.
Sollte die Bundesnetzagentur StreamOn nicht in seine juristischen Grenzen weisen, werden andere Anbieter ähnliche Produkte auf den Markt bringen, die ebenfalls die Übertragungsqualität drosseln oder Diensteklassen diskriminieren. Dies würde zu einer willkürlichen Segmentierung des Internets führen.
Wir wollen mit unserem Angebot media.ccc.de [3] für unsere Inhalte eine Alternative zum de-facto-Monopolisten YouTube bieten und können das dank Netzneutralität zu erstaunlich niedrigen Kosten bewerkstelligen. Kleinere Anbieter als der CCC wären aber nicht in der Lage, mit jedem ISP einzelne Verträge abzuschließen, dessen Kunden sie erreichen wollen. Gleichzeitig wären kleinere ISPs nicht in der Lage, die Anmeldung von tausenden Streaming-Anbietern zu bearbeiten. Durch den StreamOn-Anmeldeprozess wird daher die Wahlfreiheit der Nutzer, der Wettbewerb zwischen Anbietern und letztlich auch die Innovationsfähigkeit des Internets gefährdet.
Sinnvoller wäre es, die Telekom würde ihren Kunden das kalkulierte Datenvolumen für StreamOn zur freien Verfügung stellen. Dies wäre auch eine Lösung für die im EU-Vergleich viel zu niedrigen inklusiven Datenvolumen in Deutschland. [2]
Um auch Deutschland endlich im einundzwanzigsten Jahrhundert ankommen zu lassen, muss die Bundesnetzagentur das Netzneutralitätsgesetz jedoch erst konsequent durchsetzen.
[1] epicenter.works: Stellungnahme an die Bundesnetzagentur im Verfahren zum StreamOn-Programm der Deutschen Telekom AG
Das Verwanzen von informationstechnischen Systemen ist ein aktiver Angriff gegen die betroffenen Computer. Das betrifft sowohl den Staatstrojaner in Form der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) als auch die sogenannte Online-Durchsuchung. Insbesondere die Quellen-TKÜ soll nun für den gesamten Straftatenkatalog des § 100a Abs. 2 StPO zugelassen werden. [1]
Diese geplante gesetzliche Erlaubnis bedeutet, dass solche Eingriffe in informationstechnische System zu einem alltäglichen Ermittlungsinstrument umdefiniert werden. Dies stellt eine erhebliche und strukturelle Gefahr für die IT-Sicherheit und damit letztlich für uns alle dar, wie die Stellungnahme des CCC belegt. [2]
Dass die Ausweitung der Nutzung von Staatstrojanern zwingend notwendig sei, um die Überwachung von Telekommunikation in verschlüsselter Form zu ermöglichen, ist zwar ein gern bemühter Mythos, erweist sich allerdings bei einem Realitätsabgleich als unsinnig: In den letzten Jahren wurden gesetzliche Vorhaben beschlossen, die Millionen Datensätze der Kommunikation ohne Anlass festhalten und zugänglich machen. Ermittler tappen nicht etwa im Dunkeln, sondern können auf eine nie dagewesene Fülle von Informationen bereits heute zugreifen.
Auf die ganze Litanei an Überwachungsprojekten in dieser Legislaturperiode nun noch die Normalisierung von staatlicher Schadsoftware draufzusetzen, ist ein gefährlicher Irrweg. Offenbar wurden auch aus dem aktuellen WannaCry-Vorfall keine Schlüsse gezogen. Die nun geplante zusätzliche Erlaubnis zum staatlichen Hacken ist abzulehnen.
Die Anhörung im Rechtsausschuss beginnt um 16 Uhr. [3]
Links:
[1] Neue Fassung der Strafprozessordnung (pdf) mit den geplanten Rechtsgrundlagen für Staatstrojaner
[2] Stellungnahme des CCC: Risiken für die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung (pdf)
[3] Anhörung im Rechtsausschuss des Bundestags
Das Samsung Galaxy S8 ist das erste große Flagschiff-Smartphone mit sogenannter Iriserkennung. Hersteller des biometrischen Erkennungssystems ist die Firma Princeton Identity Inc. Versprochen wird eine sichere Authentifizierung anhand der Iris: Das Telefon soll seine individuellen Besitzer – und zwar nur diese – anhand des einzigartigen Musters ihrer Regenbogenhaut erkennen.
Dieses Versprechen hält einem Test nicht stand: Mit einer einfach nachzubauenden Attrappe konnte dem Smartphone vorgetäuscht werden, das Auge des autorisierten Besitzers vor sich zu haben. Im Experiment hebt das Telefon daraufhin die Zugangssperre auf. Ein Video zeigt das Vorgehen. [0]
Um ein Telefon vor dem unbefugten Entsperren durch Fremde zu schützen, mag die Iriserkennung gerade noch ausreichen. Wer aber ein Foto des Besitzers erlangt, kann mit einfachen Mitteln das Telefon entsperren. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück,“ so Dirk Engling, Sprecher des CCC. Samsung plant die Integration der Iriserkennung in sein Bezahlsystem „Samsung Pay“. Dies ermöglicht es Angreifern nicht nur, Zugriff auf das Telefon, sondern auch auf die Geldbörse zu bekommen.
Die Technologie der Iriserkennung schickt sich gerade an, in den Massenmarkt einzutreten: bei Zutrittssystemen, auch an Flughäfen und Grenzen, in Mobiltelefonen, unvermeidlich auch in IoT-Geräten, sogar mit Bezahllösungen oder mit VR-Systemen gekoppelt. Biometrische Merkmale lösen das Sicherheitsversprechen aber nicht ein, mit dem sie beworben werden.
Schon bei Fingerabdruck-Erkennungssystemen konnte CCC-Mitglied und Biometrieforscher starbug zeigen, dass sie leicht überwunden werden können, als er mit einfachen Mitteln den entsprechenden Sensor des iPhones umging. [1] „Das Sicherheitsrisiko ist bei der Iris jedoch noch größer als bei Fingerabdrücken, da man das biometrische Merkmal viel exponierter zur Schau stellt. Im einfachsten Fall reicht schon ein hochaufgelöstes Bild aus dem Internet, um Bilder von Iriden zu erbeuten,“ sagte Dirk Engling weiter.
Auch wer keine Bilder von sich ins Internet stellt, kann leicht um seinen „Schlüssel“ für die Iriserkennung erleichtert werden: Brauchbare Bilder von Iriden kann ein Biometrie-Dieb am einfachsten mit einer Kamera im Nachtmodus oder mit ausgebautem Infrarot-Filter aufnehmen. In diesem normalerweise herausgefilterten Frequenzband sind auch die in sichtbarem Bereich schwer wahrzunehmenden Details dunkler Augen sehr gut zu erkennen. Starbug konnte nachweisen, dass man selbst mit einer handelsüblichen Spiegelreflexkamera mit 200-mm-Linse bis zu einer Entfernung von etwa fünf Metern ausreichend gute Bilder zum Überlisten von Iriserkennungssystemen anfertigen kann. [2]
Je nach Aufnahme müssen allenfalls Helligkeit und Kontrast angepasst werden. Sind alle Strukturen gut zu erkennen, kann das Irisbild mit einem handelsüblichen Drucker ausgedruckt werden. Die besten Ergebnisse erzielte starbug spaßigerweise mit Laserdruckern der Marke Samsung. Um die Attrappe der Wölbung eines echten Auges anzupassen, eignet sich eine über den Ausdruck aufgelegte Kontaktlinse: Damit wird dem biometrischen Erkennungssystem erfolgreich vorgegaukelt, es hätte eine echte Iris vor der Linse.
Das teuerste an dem Vorgehen zur Überwindung der Iriserkennung war mit Abstand der Kauf des Smartphones. Gerüchten zufolge soll sich übrigens das nächste iPhone per Iriserkennung freischalten lassen. Wir sagen dann Bescheid.
Links:
[0] Video erklärt das Vorgehen zur Überwindung der Iriserkennung (HD), weitere Videos in Deutsch und Englisch.
[1] Chaos Computer Club hackt Apple TouchID
[2] Vortragsvideo: Ich sehe, also bin ich … Du – Gefahren von Kameras für (biometrische) Authentifizierungsverfahren
Rückfragen bitte an presse(at)ccc.de und biometrie(at)ccc.de.
Im CCH hatte der jährliche Kongress des Chaos Computer Clubs (CCC) seit 2012 seine Heimat. Über die Jahre hat sich mit dem Team vor Ort eine enge und freundschaftliche Zusammenarbeit entwickelt. Leider zwingen die Bauarbeiten im CCH nun zum Umzug.
Die Suche nach einer neuen Location fiel nicht leicht: Die hohen Teilnehmerzahlen und besonderen Anforderungen an Technik, Säle, Workshop-Räume und Flächen zum Feiern und Flanieren bringen viele Kongresszentren an ihre Grenzen. Selbst das CCH hätte nicht mehr als die 12.000 Teilnehmer des 33C3 aufnehmen können. „Zwar wollen wir nicht um jeden Preis expandieren, aber die Erweiterung unseres Kulturraums war und ist uns ein wichtiges Anliegen. In den vergangenen Jahren war es schmerzlich, Interessenten an der Tür abweisen zu müssen“, sagte Dirk Engling, Sprecher des CCC.
Deswegen wird der 34C3 das Congress Center Leipzig und Teile der angrenzenden Messehallen nutzen. Der CCC ist zuversichtlich, mit dieser Location einerseits ein moderates Wachstum erreichen, gleichzeitig aber die einzigartige Atmosphäre der Veranstaltung bewahren zu können. „Für eine reibungslose Zusammenarbeit mit den Betreibern sind alle Weichen gestellt – nicht zuletzt blickt Leipzig auf eine 850-jährige Messe-Tradition zurück“, so Dirk Engling weiter.
Wie gewohnt werden am 27. Dezember die Tore für Teilnehmer öffnen. Trotz der Herausforderungen des Umzugs hat sich der CCC zum Ziel gesetzt, die Preise stabil zu halten – selbstverständlich ohne die Veranstaltung zu kommerzialisieren. Einerseits bietet die neue Location in Leipzig Platz für mehr Teilnehmer, andererseits wird die Veranstaltung noch mehr als in den letzten Jahren auf die Community setzen, die mit Supporter-Tickets anderen helfen kann, zu erschwinglichen Preisen teilzunehmen. Ziel ist wie in den letzten Jahren eine schwarze Null. Der Beginn des Vorverkaufs wird rechtzeitig im CCC-Events-Blog unter https://events.ccc.de/ angekündigt.
Die inhaltliche Planung für den 34C3 ist bereits angerollt, der Call for Participation folgt demnächst. Dirk Engling sagte: „Im Hackcenter werden die sogenannten Assemblies dieses Jahr vor allem thematisch und nicht regional organisiert, um so den interregionalen und internationalen Austausch noch weiter zu fördern. Und natürlich werden wir alle Energie darin stecken, die Atmosphäre der Messehallen so zu zähmen, wie unsere Teilnehmer dies aus 33 Jahren Congress-Geschichte kennen und lieben gelernt haben.“
„Chaos macht Schule“ [0] arbeitet seit mehr als zehn Jahren mit Kindern und Jugendlichen, mit Lehrern und mit Eltern. Einiges liegt im Argen, was die Bildungspolitik in Zusammenhang mit der Aneignung von Technik angeht. Die Mängel sollen benannt und unsere Lösungsideen vorgestellt werden.
Eine Langversion des Forderungskatalogs von „Chaos macht Schule“ ist unter [1] aufrufbar. Heute um 14 Uhr werden die Forderungen im Rahmen der re:publica in Berlin [2] präsentiert und zur Diskussion gestellt.
Zeitgemäße Bildung muss die digitale Mündigkeit der Schüler und Schülerinnen als ein zentrales Ziel anstreben. Mündige Menschen sollen die digitalen Werkzeuge verstehen und hinterfragen können. Statt nur die Bedienung der Computer zu lehren, muss daher der Fokus darauf liegen, die Maschinen zu beherrschen.
Digitale Mündigkeit muss über reines Anwendungswissen oder informatische Grundlagen wie das Programmieren hinausgehen. Schüler und Schülerinnen sollen keine bloßen Nutzer, sondern diejenigen werden, die ihre Maschinen wirklich kontrollieren.
Das bedeutet:
Die Themen der digitalisierten Lebenswelt müssen endlich fächerübergreifend und nicht in neu geschaffenen Fächern wie Medienkunde, Digitalkunde oder gar nur als Teil des Informatik-Unterrichts betrachtet werden. Vielmehr ist es sinnvoll, verschiedene Fächer einzubinden: zum Beispiel GPS-Technik in Erdkunde, Netzneutralität in Gemeinschaftskunde oder Übersetzungssoftware im Fremdsprachenunterricht.
Digitale Bildung erfordert vor allem die Stärkung unserer Lehrkräfte, aber auch die bessere technische Ausstattung von Schulen. Die Ausstattung ist nur ein Teil der Lösung, denn um die Technik sinnvoll nutzen zu können, müssen Computer im Unterricht und der mündige Umgang damit verpflichtende Themen jeder Aus- und Weiterbildung sein.
Schulen und deren Lehrkräfte verfügen nicht über genügend zeitliche und personelle Ressourcen, um die schon vorhandenen Computer angemessen zu administrieren. Informatiklehrer und Informatiklehrerinnen, die diese Tätigkeiten meist nebenher durchführen, sind in der Regel nicht für administrative Aufgaben ausgebildet. Schulen benötigen deshalb hauptamtliche Administratoren, um die Einbindung digitaler Technologien in jeden Unterricht sinnvoll zu bewerkstelligen.
Lehrer und Lehrerinnen müssen im Umgang mit digitalen Medien Vorbilder sein, etwa beim sorgsamen Umgang mit Passwörtern oder bei der Verarbeitung und Übertragung schülerbezogener Daten. Das Vermitteln von Wissen über IT-Sicherheit und der verantwortungsvollen Umgang mit Daten müssen künftig selbstverständlicher Teil der Schulbildung werden. Dazu gehört auch das vorbildhafte Verhalten der Bildungsinstitutionen selbst.
Zur kurzfristigen Umsetzung einer zeitgemäßen technischen Bildung müssen auch externe Experten eingebunden werden. In den letzten Jahren sind zahlreiche, teilweise ehrenamtliche Initiativen mit Fokus auf digitaler Bildung entstanden, die jedoch bereits an der eigenen Belastungsgrenze arbeiten. Sie leisten einen wichtigen Beitrag und müssen besser unterstützt werden. Beispielsweise Makerspaces oder externe Angebote zum Einstieg in die Programmierung können die digitale Bildungslandschaft bereichern, ohne einseitig auf die Bildungsangebote von Großkonzernen setzen zu müssen.
Links:
[1] Langversion der Forderungen
[2] Vorstellung der Forderungen im Rahmen der re:publica in Berlin
