<?xml version="1.0" encoding="UTF-8"?>
<feed xml:base="https://www.ccc.de" xmlns="http://www.w3.org/2005/Atom">
  <title>Chaos Computer Club Updates</title>
  <link href="https://www.ccc.de/"/>
  <link href="https://www.ccc.de/rss/updates" rel="self"/>
  <updated>2018-12-01T13:35:38+01:00</updated>
  <author>
    <name>Chaos Computer Club e.V.</name>
  </author>
  <id>https://www.ccc.de/rss/updates</id>
  <entry>
    <title>Refreshing Memories: Die Vorfreude auf den 35C3 kann beginnen</title>
    <link href="https://www.ccc.de/de/updates/2018/35c3-vorfreude" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/815</id>
    <updated>2018-12-01T13:44:39+01:00</updated>
    <published>2018-12-01T13:35:38+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Auch unser solidarisches Ticketkonzept hat funktioniert: Drei Viertel der Besucher haben freiwillig mehr bezahlt, um den Congress erst zu ermöglichen. [1] Damit ist auch das inklusive ÖPNV-Ticket für Leipzig finanziert, jetzt können die Trams für alle Besucher rollen. Bevor in wenigen Tagen der Fahrplan veröffentlicht wird, kann bereits Einblick in die diesjährige Programmbreite genommen werden. Und wer sich beeilt, kann bis Sonntagmittag noch beim Halfnarp mitmachen. [3]</p>
<h3>Motto des 35C3: Refreshing Memories</h3>
<p>Mit unserem Congress-Kalender „35C3 Memory Lane“, der am 1. Dezember beginnend bis zum 35C3 laufen wird, wollen wir schon mal ein paar angenehme Erinnerungen an vergangene Jahre wecken: Im CCC-Event-Blog [2] werden von heute an jeden Tag denkwürdige, besonders lehrreiche, humorvolle, zeitlose oder einfach sehenswerte und manchmal etwas in Vergessenheit geratene Vorträge erscheinen. Wir hoffen, uns gemeinsam in Erinnerung zu rufen, worauf wir uns eigentlich am Jahresende freuen: Die kalendarische Fundgrube soll die Vorfreude wecken.</p>
<p>Was diese filmischen Erinnerungen allerdings nicht transportieren können, ist das schwer beschreibbare Gefühl der Teilnehmer und vor allem der tausenden Freiwilligen, die gemeinsam einen der größten Freiräume schaffen, um sich und anderen Erfahrungsaustausch, gemeinsames Basteln und Forschen zu ermöglichen. Der Congress soll dabei explizit ein Gegenentwurf zu kommerziellen Veranstaltungen sein.</p>
<p>Mit dem 35C3 sollen die Erinnerungen an die Congresse der letzten Jahre wiederaufleben, indem wir in beängstigenden Zeiten von Wissenschafts- und Wahrheitsfeindlichkeit und Populismus eine Kultur der Weltoffenheit und Fakten zelebrieren. Unser Archiv an Daten, Erinnerung und Aufzeichnungen wird am Leben gehalten durch das stete Wiederauffrischen des Speichers in den Computern und Köpfen der Teilnehmer und Interessierten live und am Stream.</p>
<p>Um Wissen zum Leben erwecken zu können und neuen Generationen zu vermitteln, öffnen wir wieder die Arme für den Nachwuchs: Familien sind explizit willkommen, es gibt einen großen Kidsspace zum Entdecken, Toben, Hacken und Bällebaden. Am 28. Dezember übernehmen Junghacker (nebst Begleitung) die Veranstaltung, [4] die Chaospatinnen [5] geben uneingeweihten Erstbesuchern eine helfende Hand im unüberschaubaren Chaos des 35C3. Ein deutlicher Anteil der Vorträge im diesjährigen Programm richtet sich außerdem an Einsteiger, so dass auch die zukünftigen Experten Anschluss an die Welt der Hacker finden.</p>
<p><strong>Links</strong>:</p>
<p>[1] <a href="https://tickets.events.ccc.de/35c3/intro/">https://tickets.events.ccc.de/35c3/intro/</a></p>
<p>[2] <a href="https://events.ccc.de/tag/35c3-kalender/">https://events.ccc.de/tag/35c3-kalender/</a></p>
<p>[3] <a href="https://events.ccc.de/2018/11/22/fahrplan-nach-euren-wunschen-lets-do-the-halfnarp-agaaaaain/">Halfnarp</a></p>
<p>[4] <a href="https://events.ccc.de/2018/11/25/einladung-zum-junghackertag-auf-dem-35c3/">Einladung zum Junghackertag</a></p>
<p>[5] <a href="https://events.ccc.de/2018/11/08/chaospatinnen-on-35c3/">Chaospatinnen</a></p>
<p> </p></div>
    </content>
  </entry>
  <entry>
    <title>CCC und OpenWrt: Technische Richtlinie des BSI zu sicheren Routern unzureichend</title>
    <link href="https://www.ccc.de/de/updates/2018/risikorouter" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/814</id>
    <updated>2018-11-19T09:08:51+01:00</updated>
    <published>2018-11-19T09:08:51+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat die freiwillige technische Richtlinie TR-03148 „Sichere Breitband-Router“ veröffentlicht. Nach dieser sollte dem Nutzer eigentlich ein Mindestmaß an IT-Sicherheit zugesichert werden. Die tatsächliche Regelung bietet aber nur soviel Sicherheit, wie es den Herstellern gefällt – sofern sie sich entscheiden, der Richtlinie zu entsprechen. [1]</p>
<p>Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren Mehrwert für den Verbraucher als sicher.</p>
<p>Dabei hätte insbesondere mit Blick auf die unlängst beobachteten massenhaften Angriffe auf WLAN-Router wichtiger Handlungsbedarf bestanden. So war im Jahr 2016 ein Großteil der Geräte der Deutschen Telekom AG von Problemen betroffen, die aus purem Glück „nur“ einen Ausfall der Router zur Folge hatten. [4] Auch im Lichte der Sicherheitslücken wie „Heartbleed“, „Sambacry“ und „BCMUPnP“ ist nicht ersichtlich, wie die nun veröffentlichte Richtlinie diesen Problemen sinnvoll entgegenwirken könnte.</p>
<p>An den zahlreichen Kommentarrunden und Sitzungen nahmen auch Vertreter des Chaos Computer Clubs (CCC) sowie Entwickler der freien Linux-Distribution für WLAN-Router OpenWrt [2] teil, um das Schlimmste zu verhinden. Die ebenfalls geladenen Lobbygruppen – insbesondere der Verband Deutscher Kabelnetzbetreiber ANGA – versuchten mit bemerkenswertem Aufwand, das Ziel der Richtlinie zu sabotieren: Selbst grundlegende und realistisch von der Industrie umsetzbare Anforderungen, die vom CCC und OpenWrt wohlbegründet eingebracht wurden, gerieten in den Sitzungen durch die Lobbygruppen unter heftigen Beschuss.</p>
<p>Dabei sollten die minimalen von OpenWrt und CCC eingebrachten und nicht berücksichtigten zwei Kernforderungen schon mit gesundem Menschenverstand eingängig sein. Wir fordern weiterhin:</p>
<p>1. Es dürfen nur noch Geräte verkauft werden, die ein für den Kunden transparentes, vor dem Erwerb des Gerätes einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Router laufenden Software haben. Und dies soll mit besonderem Augenmerk auf die verpflichtende Korrektur von bis zum Ablaufdatum bekanntwerdenden Sicherheitslücken geschehen.</p>
<p>2. Um auch nach Ende der Produktpflege durch den Hersteller ein Gerät sicher weiterbetreiben zu können, muss dem Verbraucher die Möglichkeit garantiert werden, alternative Software – wie z. B. OpenWrt – auf seine Router einzuspielen.</p>
<p>Mit einer Verpflichtung der Hersteller auf diese beiden Kernprinzipien hätte zum einen jeder Nutzer die Möglichkeit der Abschätzung, wie lange der jeweilige Router sinnvoll und vergleichsweise sicher eingesetzt werden kann. Zum anderen gäbe es die Möglichkeit zur Selbsthilfe, indem sichere, freie Firmware eingesetzt werden kann, wenn der Hersteller versagt.</p>
<p>„Dass die Richtlinie keine Freiheit zur Installation eigener, sicherer Firmware wie OpenWrt vorschreibt, lässt deutliche Zweifel an der Ernsthaftigkeit des Willens der Bundesregierung beim Thema IT-Sicherheit aufkommen. Es kann doch nicht darum gehen, es den Herstellern so bequem wie möglich zu machen, sondern das Ziel der IT-Sicherheit muss im Blick bleiben“, fasste Hauke Mehrtens vom OpenWrt-Projekt zusammen.</p>
<p>Statt dafür zu sorgen, dass Marktmechanismen für die Verbesserung der Sicherheitssituation freigesetzt werden, können sich die Hersteller nun weiter davor drücken, die echten Lebenszeit-Kosten ihrer Geräte sauber zu kalkulieren. Zwar heißt es in der Richtlinie, dass der Hersteller verpflichtet ist, Angaben zur Dauer der Verfügbarkeit von kritischen Sicherheitsupdates zu machen. Leider müssen diese Angaben nicht wie gefordert in standardisierter Weise schon auf der Verpackung oder in der Werbung gemacht werden. Deshalb stehen sie für die Geräteauswahl beim Kauf in der Regel nicht zur Verfügung.</p>
<p>„Für jede Glühlampe oder Waschmaschine ist eine für Verbraucher einfach zu verstehende Ampel-Darstellung für den Ressourcenverbrauch vorgeschrieben, dabei können diese nicht einmal das halbe Internet lahmlegen. Statt dem Verbraucher ein wichtiges Differenzierungskriterium an die Hand zu geben, um Produkte seriös und nachhaltig arbeitender Hersteller schon im Laden zu erkennen, wird weiterhin unsicheren Plastikroutern der massenhafte Einzug in heimische und betriebliche Netzwerke geebnet, nur diesmal mit BSI-Siegel – künftige Angriffe auf kritische Infrastruktur inbegriffen“, sagte Mirko Vogt vom CCC.</p>
<h3>Links</h3>
<ul>
<li>[1] <a href="https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html">https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html</a></li>
<li>[2] <a href="https://www.openwrt.org">https://www.openwrt.org</a></li>
<li>[4] <a href="https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html">https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Schlecht-programmierte-Schadsoftware-verhinderte-schlimmere-Folgen-3506909.html</a></li>
<li>[5] <a href="https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html">https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Forderungen für gemeinwohlorientierte und datenschutzfreundliche Digitalpolitik</title>
    <link href="https://www.ccc.de/de/updates/2018/bitsundbaeume" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/813</id>
    <updated>2018-11-19T19:09:09+01:00</updated>
    <published>2018-11-18T17:37:12+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Die Organisationen Bund für Umwelt und Naturschutz Deutschland (BUND), Brot für die Welt, Deutscher Naturschutzring (DNR), Germanwatch, Konzeptwerk Neue Ökonomie, zusammen mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), der Open Knowledge Foundation Deutschland (OKF) sowie der Technischen Universität Berlin und dem Institut für ökologische Wirtschaftsforschung (IÖW) stellen folgende Forderungen:</p>
<h3>Sozial-ökologische Zielsetzung bei Gestaltung der Digitalisierung</h3>
<p>Die Gestaltung der Digitalisierung soll dem Gemeinwohl dienen. Sie darf nicht einseitig auf die Förderung einer wirtschafts- und wachstumspolitischen Agenda abzielen, sondern muss auf sozial-, umwelt-, entwicklungs- und friedenspolitische Ziele ausgerichtet sein. Die Digitalisierung soll zu einer nachhaltigen Energie-, Verkehrs-, Agrar- oder Ressourcenwende beitragen und konkrete Beiträge zur umfassenden Gewährleistung der Menschenrechte, der Klimaschutzziele und zur Beendigung von Hunger und Armut leisten. Eine nachhaltige Digitalisierung in unserem Sinne setzt auf sinnvolle, menschenwürdige Arbeit, soziale Gerechtigkeit und suffiziente Lebensstile.</p>
<h3>Demokratie</h3>
<p>Basis einer gerechten Gesellschaft sind demokratische Entscheidungen: Die Digitalisierung muss in sich demokratischer gestaltet werden und gleichzeitig demokratische Prozesse unterstützen, statt diesen entgegenzuwirken. Dafür muss sie konsequent darauf ausgerichtet werden, emanzipatorische Potenziale, dezentrale Teilhabe, offene Innovationen und zivilgesellschaftliches Engagement zu fördern.</p>
<h3>Datenschutz und Kontrolle von Monopolen</h3>
<p>Datenschutz, Manipulationsfreiheit und informationelle Selbstbestimmung sollen als Grundlage von freien, demokratischen, friedlichen und langfristig souveränen Gesellschaften national und global vorangetrieben werden. Es müssen Rahmenbedingungen zur Kontrolle digitaler Monopole geschaffen werden, damit sich im Norden und globalen Süden eine eigene, selbstbestimmte digitale Wirtschaft entwickeln kann. Bestehende Monopole von Betreiberinnen kommerzieller Plattformen müssen gebrochen werden, indem beispielsweise eine definierte Schnittstelle zum Austausch zwischen Social-Media-Diensten verpflichtend eingeführt wird.</p>
<h3>Bildung</h3>
<p>Politische Regulierung muss darauf zielen, auch Informationen und Bildungsangebote zu Technik und Wirkungsweisen als einen Teil des öffentlichen Gemeinguts zu begreifen, sie müssen elementarer Bestandteil des öffentlichen Wissens sein. Ein kritischer und emanzipatorischer Umgang mit digitaler Technik soll Teil von digitaler Bildung sein, dazu gehört auch der kompetente Umgang mit Falschinformationen und Hassrede in digitalen Medien.</p>
<h3>Entwicklungs- und handelspolitische Aspekte</h3>
<p>Länder des globalen Südens müssen die Möglichkeit haben, eine eigene auf die lokalen und nationalen Bedürfnisse ausgerichtete Digitalisierung zu entwickeln. Alle Gesellschaften sollen gleichen Anteil an Nutzen und Kosten der Digitalisierung haben können. Die negativen Seiten wie menschenunwürdige Arbeitsbedingungen, Umweltverschmutzung, Gesundheitsschäden und Elektroschrott dürfen nicht einseitig auf den globalen Süden abgewälzt werden.</p>
<p>Bilaterale und multilaterale Handelsabkommen dürfen keine Verbote und Einschränkungen in den Bereichen Besteuerung (Taxation), Offenlegung des Quellcodes (Open Source) und Ort der Datenverarbeitung (Localisation) enthalten.</p>
<p>Die Technologie-Branche muss verpflichtet werden, in Fragen der Ressourcenschonung und Nachhaltigkeit die Prinzipien menschenrechtlicher und ökologischer Sorgfaltspflichten in den Abbau- und Produktionsländern konsequent anzuwenden.</p>
<h3>IT-Sicherheit</h3>
<p>Mangelhafte Software hat negative Folgen für deren Nutzerinnen, die Sicherheit ihrer Daten und die digitale Infrastruktur insgesamt. Es bedarf einer Softwarehaftung, damit Software-Hersteller die Verantwortung für die entstehenden Risiken (z. B. Sicherheitslücken) tragen, statt die Qualität ihrer Software dem Profit zu unterwerfen. IT-Sicherheit ist die Grundlage einer nachhaltigen digitalen Gesellschaft.</p>
<h3>Langlebigkeit von Software und Hardware</h3>
<p>Software muss selbstbestimmt nutzbar sein, reparierbar sein und langfristig instand gehalten werden können, so wie es Open-Source-Software bereits verwirklicht. Hersteller müssen daher beispielsweise Sicherheitsupdates für die Hardware-Lebensdauer von Geräten bereitstellen und nach Ende des Supports den Quellcode als Open-Source-Variante freigeben, statt „Software Locks“ einzubauen.</p>
<p>Elektronische Geräte müssen reparierbar und recyclebar sein – geplante Obsoleszenz darf es nicht geben. Dafür müssen Garantiefristen massiv ausgeweitet werden; Hersteller müssen Ersatzteile, Reparaturwerkzeug und Know-How für alle anbieten und langfristig vorhalten. Dies soll unterstützt werden durch eine stärkere finanzielle Förderung offener Werkstätten bzw. Repair-Cafés und gemeinwohlorientierter Forschung und Produktentwicklung. Öffentliches Forschungsgeld darf es nur für Open-Source-Produkte geben.</p>
<h3>Links</h3>
<ul>
<li>[0] Webseite der Veranstaltung Bits &amp; Bäume: <a href="https://bits-und-baeume.org/">https://bits-und-baeume.org/</a></li>
<li>[1] <a href="https://media.ccc.de/c/bub2018">Aufzeichnungen von der Veranstaltung Bits &amp; Bäume 2018</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Sicher sein und sich sicher fühlen auf dem Chaos Communication Congress</title>
    <link href="https://www.ccc.de/de/updates/2018/sicherer-congress" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/812</id>
    <updated>2018-11-16T10:47:58+01:00</updated>
    <published>2018-11-16T10:47:51+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><h3>Wir stellen vor: help.ccc.de</h3>
<p>Eine der größten Herausforderungen war es, das engmaschige Netz sozialer Unterstützung und Begleitung mitwachsen zu lassen und sicherzustellen, dass sich alle zu Hause, willkommen und sicher fühlen. Wir sind einfach nicht mehr im bcc in Berlin, wo alle einander über zwei Ecken kannten.</p>
<p>Während CERT, Security und Awareness-Team ohne große Probleme mitgewachsen sind und zu jeder Zeit im Einsatz waren, stellten wir fest, dass ein wachsender Teil der Gäste und auch der Aktiven über die verschiedenen Teams, die im Hintergrund für Sicherheit und ein gutes Gefühl sorgen, schlicht nicht Bescheid wussten und daher deren Hilfsangebote nicht wahrnehmen konnten.</p>
<p>Über die letzten Jahre haben wir die verschiedenen Teams in einer Serie von Blogposts (siehe unten) vorgestellt. Leider fanden diese Blogposts nicht die Verbreitung, auf die wir gehofft hatten. Daher haben wir nun einen zentralen Anlaufpunkt über eine Webseite eingerichtet, auf der sich alle Teams mit ihren Zielen und Herangehensweisen und natürlich auch ihren Kontaktmöglichkeiten vorstellen.</p>
<p>Bitte nehmt euch die Zeit und informiert euch auf <a href="https://help.ccc.de/">help.ccc.de</a>, welche Teams bereitstehen, um euch zu unterstützen.</p>
<h3>Schiedsstelle</h3>
<p>Hauptziel der Teams Security und Awareness ist die Vermeidung und Deeskalation potenzieller Konflikte, um den Congress für alle so angenehm wie möglich zu machen. Bei Verstoß gegen unsere Prinzipien waren wir schon immer bereit, einzugreifen und notfalls Menschen von der Veranstaltung zu entfernen. In den wenigen Fällen, wenn dies nötig wurde, haben wir dies auch schnell und entschieden getan.</p>
<p>In sehr seltenen Fällen ist an uns der Wunsch herangetragen worden, eine andere Person für Vorfälle vom Besuch auszuschließen, die sich nicht auf unserer Veranstaltung zugetragen hatten – zum Beispiel Monate vorher oder außerhalb unseres Geländes. Diese Fälle wurden von unterschiedlichen Teams nach bestem Wissen und Gewissen behandelt. Allerdings mussten wir feststellen, dass wir für diese Fälle keine angemessenen Prozesse und Strukturen gebildet hatten, um sie mit gleichbleibender Gründlichkeit und Ruhe neben der zeitaufwendigen Veranstaltungsorganisation zu behandeln.</p>
<p>Deshalb haben wir nun ein eigenes Team nominiert, das sich solchen Fällen mit ungeteilter Aufmerksamkeit, Genauigkeit und Diskretion widmen kann: Die neu eingerichtete Schiedsstelle hat zum Ziel, dass sich alle auf der Veranstaltung sicher fühlen können. Die Schiedsstelle ist berechtigt, bei Verstößen gegen unsere Prinzipien Sanktionen zu verhängen.</p>
<p>Die Mitglieder der Schiedsstelle werden vom Vorstand des CCC berufen. Es handelt sich um Personen, die das Vertrauen der Community genießen und Erfahrung mit der Lösung schwerwiegender Konflikte haben. Sie werden von Expertinnen in verschiedenen Bereichen wie Psychologie, Psychiatrie, Mediation und systemischer Beratung unterstützt.</p>
<p>Bitte nimm dir bei Interesse die Zeit, <a href="https://help.ccc.de/arbitration/index.html">dich über Ziele, Selbstauffassung und Verfahrensordnung der Schiedsstelle zu informieren.</a></p>
<h3>Unsere Prinzipien</h3>
<p>Wir würden diese Gelegenheit gern nutzen, um jene Prinzipien zu wiederholen und zu betonen, die die Grundlage der einzigartigen Atmosphäre und Offenheit sind, die wir auf unseren Veranstaltungen pflegen wollen. Wir möchten alle ermutigen, sich diese selbstverständlichen Voraussetzungen in Erinnerung zu rufen, um eine angenehme und einladende Atmosphäre für alle Aktiven und Gäste zu schaffen.</p>
<p>Den Werten von Humanismus, Aufklärung, Antifaschismus und den Prinzipien der Hackerethik verpflichtet, wollen wir allen – ungeachtet von Alter, Geschlecht, sexueller Orientierung, Herkunft oder Äußerem – angenehme, sichere, offene und spaßorientierte Veranstaltungen bieten. Wer sich weigert, diese Werte mit uns und allen anderen zu teilen, ist schlicht und einfach nicht willkommen.</p>
<p>Wir sind nicht bereit, Sexismus, Rassismus, Belästigung oder Diskriminierungen auf unseren Veranstaltungen zu tolerieren. Wenn du Derartiges auf unseren Veranstaltungen siehst, mach bitte den Mund auf, unterstütze die Menschen, die solchem Verhalten ausgesetzt waren und ermutige andere, es auch zu tun. Du kannst dir der Unterstützung durch unsere Teams Awareness, CERT und Security sicher sein.</p>
<p>Eine ausführliche Erklärung <a href="https://help.ccc.de/principles.html">dieser Prinzipien findest du hier.</a></p>
<h3>Links</h3>
<ul>
<li><a href="https://events.ccc.de/2017/12/22/the-chaos-emergency-response-team-cert/">Das CERT stellt sich vor</a></li>
<li><a href="https://events.ccc.de/2017/12/24/the-34c3-awareness-team/">Das Team Awareness stellt sich vor</a></li>
<li><a href="https://events.ccc.de/2017/11/26/a-galactic-congress-welcomes-all-lifeforms/">Der CCC präsentiert seine Prinzipien des Zusammenlebens und das Team Security</a></li>
<li><a href="https://events.ccc.de/2017/11/19/chaospatinnen-on-34c3/">Die Chaospatinnen stellen sich vor</a></li>
<li><a href="/de/updates/2005/unvereinbarkeitserklaerung">Der CCC bezieht Position zu Rassismus und inakzeptablem Umgang</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Bundesrat-Initiative: Freifunk-Initiativen als gemeinnützig anerkennen</title>
    <link href="https://www.ccc.de/de/updates/2018/freifunka" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/811</id>
    <updated>2018-11-14T08:57:14+01:00</updated>
    <published>2018-11-14T08:57:14+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>In der Anhörung im schleswig-holsteinischen Landtag wird ein Gesetzesvorhaben zur Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen [1] beraten. Anlass sind zwei Anträge der Jamaika-Koalition [2] und der SPD [3] mit dem Ziel, einen entsprechenden Gesetzesantrag in den Bundesrat einzubringen. Der Förderverein Freie Netze e. V. und der Chaos Computer Club (CCC) [5], aber auch sämtliche anderen vom Landtag Angehörten äußerten sich positiv zum geplanten Gesetzesvorhaben zur der Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen.</p>
<h3>Was ist Freifunk?</h3>
<p>Freifunk ist ein Projekt, über das Menschen aus der Zivilbevölkerung ein stadtweites drahtloses Datennetz mittels WLAN aufbauen, welches von allen kostenfrei und unlimitiert genutzt werden kann. Das Netz soll die freie Kommunikation innerhalb der ganzen Stadt und durch Richtfunk-Verbindungen zu anderen Städten auch überregional ermöglichen. Freifunk-Vereine verfolgen dabei kein kommerzielles Interesse. Sie engagieren sich ehrenamtlich mit dem Ziel der Demokratisierung der Kommunikationsmedien und der Förderung lokaler Sozialstrukturen.</p>
<p>Auch <a href="/de/regional">Erfahrungsaustauschkreise und Chaostreffs des CCC</a> beteiligen sich an diesen Initiativen durch Vermittlung von Wissen über freie WLAN-Netze und den Aufbau freier Kommunikationsnetze. Interessierten bietet sich so die Möglichkeit, sich auszuprobieren oder mehr über die Funktionsweise von Kommunikationsnetzen zu erfahren.</p>
<h3>Historie</h3>
<p>Die angestrebte Bundesratsinitiative des schleswig-holsteinischen Landtags ist nicht der erste Versuch, die Anerkennung der Gemeinnützigkeit von Freifunk zu ermöglichen. Im vergangenen Jahr gab es bereits eine erfolgreiche Bundesratsinitiative aus Nordrhein-Westfalen. Nach der Übersendung des Gesetzentwurfs an den Bundestag fiel dieser jedoch leider aufgrund der kurzen Zeitspanne bis zur Neuwahl des Bundestags dem Diskontinuitätsprinzip zum Opfer und wurde daher nicht weiter behandelt. In den nachfolgenden Koalitionsverhandlungen war Freifunk Thema – die Anerkennung der Gemeinnützigkeit von Freifunk findet sich auch im Koalitionsvertrag wieder.</p>
<p>In Hessen und in Bayern haben sich im <a href="https://digital-o-mat.de/">Digital-O-Mat</a> zu den Landtagswahlen im Oktober alle Parteien mit Ausnahme der CSU, die sich neutral positioniert hat, und der AfD, die sich negativ positioniert hat, für eine Anerkennung der Gemeinnützigkeit von Freifunk ausgesprochen. Zudem fasste auch der Ministerrat des Landes Rheinland-Pfalz in der vergangenen Woche, am Dienstag, den 6. November, einen entsprechenden Beschluss, nachdem auch das Land Rheinland-Pfalz gemeinsam mit anderen Ländern einen Gesetzesantrag in den Bundesrat einbringen wird. [6]</p>
<h3>Warum die Gemeinnützigkeit von Freifunk wichtig ist</h3>
<p>Freifunk-Initiativen wirken der digitalen Spaltung entgegen und ermöglichen sozial gerechten Zugang zu Informationen im Netz. Auch in unzähligen Unterkünften für Geflüchtete haben Freifunkerinnen und Freifunker WLAN-Netze aufgebaut und so durch ihr ehrenamtliches Engagement zur Integration beigetragen. Zudem steigern viele Projekte die Attraktivität von Innenstädten durch kostenlosen WLAN-Zugang, oft in direkter Zusammenarbeit mit Kommunen. Durch die Weiterbildung von Interessierten und die Vermittlung von praktischem Wissen über Sicherheit, Aufbau und Funktionsweise von Funknetzwerken wird der Erwerb von Medien- und Technikkompetenz gefördert und der selbstbestimmte Umgang mit Technik ermöglicht. Auch der Chaos Computer Club stützt sich im Rahmen des Projektes „Chaos macht Schule“ auf die Arbeit der Freifunkerinnen und Freifunker.</p>
<p>Chaos macht Schule ist eine seit etwa 2007 bestehende Initiative mehrerer Erfa-Kreise des CCC, die mit verschiedenen Bildungsinstitutionen zusammenarbeiten. Ziel des Projekts ist es, Schüler, Eltern und Lehrer in den Bereichen Medienkompetenz und Technikverständnis zu stärken. Die Funktionsweise von freien Datennetzwerken wird hier mit Hilfe der frei zugänglichen Infrastruktur der Freifunk-Initiativen im Rahmen von Workshops an Schulen vermittelt.</p>
<p>„Digitale Mündigkeit der Bevölkerung kann nur durch praktische Erfahrungen im Umgang mit unserer allgegenwärtig genutzten Kommunikationstechnik vollständig erreicht werden. Da Freifunk-Netze in vielen Punkten sehr ähnlich aufgebaut sind wie das Internet und die gleichen Technologien nutzen, stellen sie ein ideales Experimentierfeld für Interessierte zum Erlernen dieser Technik dar“, erklärt Marco Holz vom CCC Darmstadt.</p>
<p>Trotz des zweifelsfreien Nutzens für die Allgemeinheit – Freifunk-Netze stehen immer der Allgemeinheit zur Verfügung und können ohne Kosten, Registrierung oder Limitierung genutzt werden – besteht aktuell eine unklare Rechtslage zur Einstufung der Gemeinnützigkeit von Freifunk-Vereinen. Die regional sehr unterschiedlichen Handhabungen erschweren die Zusammenarbeit der Vereine untereinander.</p>
<p>„Freifunk-Vereine in ganz Deutschland fordern die Gleichstellung ihres Engagements mit dem klassischen Ehrenamt. Aus unserer Sicht unterscheidet sich das digitale Ehrenamt nur dadurch, dass es eben Strom benötigt. Freifunkas setzen sich aktiv für Gemeinwohl und Teilhabe ein“, so Monic Meisel, Mitbegründerin der Freifunk-Initiative und Vorstand im Förderverein Freie Netzwerke e. V.</p>
<h3>Links</h3>
<ul>
<li>[1] <a href="http://www.landtag.ltsh.de/export/sites/ltsh/infothek/wahl19/aussch/wirtschaft/einladung/2018/19-021_11-18.pdf">Einladung zur 21. Sitzung des Wirtschaftsausschusses am Mittwoch, 14. November 2018, 10:00 Uhr, im Sitzungszimmer 142 des Landtags Schleswig-Holstein</a></li>
<li>[2] <a href="https://www.landtag.ltsh.de/infothek/wahl19/drucks/00700/drucksache-19-00757.pdf">Antrag der Fraktionen von CDU, Bündnis90/Die Grünen und FDP: „Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen“</a></li>
<a href="https://www.landtag.ltsh.de/infothek/wahl19/drucks/00700/drucksache-19-00757.pdf"> </a>
<li>[3] <a href="https://www.landtag.ltsh.de/infothek/wahl19/drucks/00700/drucksache-19-00757.pdf"/><a href="https://www.landtag.ltsh.de/infothek/wahl19/drucks/00700/drucksache-19-00757.pdf">Alternativantrag der Fraktion der SPD zu „Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen“ (Drs. 19/757): „Anerkennung der Gemeinnützigkeit von Freifunk-Initiativen weiter voran bringen“</a></li>
<li>[5] <a href="/system/uploads/275/original/Stellungnahme-CCC-Gemeinnützigkeit-Freifunk.pdf">Stellungnahme des Chaos Computer Clubs im Wirtschaftsausschuss des Landtags Schleswig-Holstein</a></li>
<li>[6] <a href="https://fm.rlp.de/de/presse/detail/news/detail/News/rheinland-pfalz-unterstuetzt-freifunk-initiativen/">Rheinland-Pfalz unterstützt Freifunk-Initiativen, Ministerium der Finanzen Rheinland Pfalz</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Vorverkauf des 35. Chaos Communication Congress startet</title>
    <link href="https://www.ccc.de/de/updates/2018/vorverkauf-35c3" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/810</id>
    <updated>2018-11-05T22:26:00+01:00</updated>
    <published>2018-11-05T21:47:21+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Wie schon im letzten Jahr ist der garantiert funklochfreie Chaos Communication Congress zu Gast auf der Leipziger Messe, wo dank einer zusätzlichen Halle mehr Raum für Vortragssäle, Bühnen, Assemblies, Kunst-Installationen, Workshops und Projekte bereitsteht. Es werden rund zehn Prozent mehr Teilnehmer als im vorigen Jahr Platz finden, ermöglicht durch über zweitausend „Engel“, den freiwilligen Helfern des Congress.</p>
<h2>Öffentlicher Vorverkauf</h2>
<p>Die Veranstaltung ist nicht auf Gewinn angelegt, kommerzfrei und wird seit Jahren im Solidarprinzip finanziert. In diesem Jahr können alle Teilnehmer die eigens auf Nachtzeiten verlängerte 35C3-Tram und alle Leipziger Nahverkehrsmittel mit ihrem Ticket benutzen. Dadurch wird die Veranstaltung allerdings teurer. Um aber niemanden auszuschließen, wird das Standard-Ticket zu einem Preis angeboten, der die Kosten nicht deckt. Nur wenn Teilnehmer sich nach ihren Möglichkeiten an den Kosten beteiligen und freiwillig die teureren Unterstützer-Tickets erwerben, kann sich der Congress finanzieren. Alle Infos zum Vorverkauf und zu den Preisen gibt es im Events-Blog des CCC unter [1].</p>
<h2>All creatures welcome</h2>
<p>Der 35C3 schließt an die Kultur der offenen Arme aus den letzten Jahren an. Der an den Nachwuchs gerichtete Kidsspace, der „Jungerhackertag“ und das Chaospatinnen-Programm zur Einführung von Congress-Neulingen wird in diesem Jahr ergänzt durch einen extra ausgewiesenen Grundlagen-Schwerpunkt im kuratierten Vortragsprogramm. Damit sollen mehr Teilnehmer an ihnen noch unbekannte technische Themengebiete herangeführt und Zusammenhänge verständlich und ohne nötiges Vorwissen erklärt werden. Inzwischen ist der Congress in vielen Bundesländern zudem als Bildungsurlaub anerkannt. [2]</p>
<p>Außerhalb des offiziellen Programms wird es Workshops, weitere thematisch breit aufgestellte Bühnen, spontane Bastel- und Hack-Sessions und buchstäblich tausende Experten zum Anfassen geben – Vorbeikommen lohnt also auf jeden Fall. Trotzdem wird der 35C3 für alle, die es nicht nach Leipzig schaffen, durch eine eigens gebaute redundante Anbindung ans Internet von 500 Gbit pro Sekunde das komplette Vortragsprogramm live streamen.</p>
<h2>Links</h2>
<ul>
<li>[1] <a href="https://events.ccc.de/2018/10/10/35c3-tickets-presale/">https://events.ccc.de/2018/10/10/35c3-tickets-presale/</a> </li>
<li>[2] <a href="https://events.ccc.de/2018/11/03/35c3-bildungsurlaub-stand-2018-11-03/">https://events.ccc.de/2018/11/03/35c3-bildungsurlaub-stand-2018-11-03/</a> </li>
</ul>
<h2>Hinweise für die Presse</h2>
<p>Für journalistische Berichterstattung vom 35. Chaos Communication Congress in Bild, Ton und Schrift bitten wir Angehörige der Presse, zeitnah eine Akkreditierung anzumelden.</p>
<p>Bitte senden Sie formlos ihren Namen sowie das Medium, auf dem Sie veröffentlichen werden, und ob Ihre Arbeit Bild- bzw. Videoproduktion beinhaltet an press-accreditation@cccv.de. Bitte beachten Sie, dass Akkreditierungsanfragen an andere Adressen Gefahr laufen, unterzugehen. Die Akkreditierungsphase läuft bis zum 15. Dezember 2018. Gern beantworten wir etwaige Anfragen per E-Mail und freuen uns, Sie auf dem 35C3 willkommen zu heißen.</p>
<p>Der Chaos Communcation Congress ist die größte europäische Hackerkonferenz und -party mit einer 35-jährigen Geschichte. Die Veranstaltung wird vom Chaos Computer Club organisiert, aber von mehr als zweitausend ehrenamtlichen Helfern in hunderten von selbstorganisierten Gruppen ermöglicht, bietet ein rund einhundertfünfzig-stündiges live gestreamtes und übersetztes Vortragsprogramm, ein werbefreies Areal für hunderte „Assemblies“ genannte Bereiche für diverse Interessengruppen, einen eigenen Kidsspace und viel Raum für Wissens- und Erfahrungsaustausch.</p></div>
    </content>
  </entry>
  <entry>
    <title>Biometrische Videoüberwachung: Der Südkreuz-Versuch war kein Erfolg</title>
    <link href="https://www.ccc.de/de/updates/2018/debakel-am-suedkreuz" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/809</id>
    <updated>2018-10-13T10:59:09+02:00</updated>
    <published>2018-10-13T10:46:09+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Diese Woche hat die Bundespolizei den bereits im September erstellten Abschlussbericht [1] zur biometrischen Gesichtserkennung am Berliner Bahnhof Südkreuz veröffentlicht. Zu den Kosten des monatelangen Versuchs sind keine Angaben enthalten. Eine zeitgleich bekanntgegebene Meldung preist die Ergebnisse der drei erprobten Systeme als „erfolgreich“ und spricht von einem „enormen Mehrwert“ der Biometriesoftware für die Polizei.</p>
<p>Jedoch zeigen die wenigen Zahlen aus dem Bericht, dass die getesteten Systeme – anders als behauptet – keine akzeptablen Ergebnisse erbrachten. Zudem erweist sich, dass die Ergebnisse manipuliert wurden, um sie nicht ganz so desaströs aussehen zu lassen.</p>
<p>Der Chaos Computer Club (CCC) fordert im Lichte dieses Debakels, das unnütze und teure Sicherheitstheater unverzüglich einzustellen. Die Gesichter aller Passanten sind keine biometrische Ressource zum Scannen nach Belieben.</p>
<p>Die biometrische Videoüberwachung ist mit zahlreichen technischen Problemen behaftet und erweist sich erneut als untauglich. Aber das weit größere Problem für jeden Passanten, dessen Gesicht gescannt wird, liegt in der Technologie selbst: Menschen werden nicht wie mit anderen Videosystemen einfach nur beobachtet, sondern während der Überwachung durch ihre Körpermerkmale identifiziert. Werden solche Systeme ausgebaut, stehen wir vor einer anlasslosen biometrischen Personenüberwachung im öffentlichen Raum, die mit der heutigen Videoüberwachung technisch nicht vergleichbar ist.</p>
<p> </p>
<h3/>
<h3>Angaben zu durchschnittlichen Ergebnissen</h3>
<p>Das Innenministerium betont die angeblich hohe Anzahl an Treffern: Die Trefferrate gibt laut dem Bericht die Wahrscheinlichkeit an, mit der eine Person von einem getesteten System korrekt identifiziert wird. Über die angegebene Trefferrate von durchschnittlich achtzig Prozent zeigen sich das Innenministerium und die Autoren des Abschlussberichts hocherfreut. Faktisch werden bei einer solchen Rate allerdings von zehn gesuchten Personen eben nur acht korrekt identifiziert.</p>
<p>Doch selbst die in der Pressemitteilung besonders hervorgehobene durchschnittliche Erkennungsrate von achtzig Prozent hat in Wahrheit keines der getesteten Systeme erreicht, sondern ist eine absichtlich positiv verfälschende Zahl. Sie berechnet sich laut dem Abschlussbericht aus den Erkennungsraten aller drei erprobten Systeme.</p>
<p>Praktisch hieße das für die Situation am Bahnhof, dass nicht der beste Anbieter für die biometrische Erkennung zum Einsatz käme, sondern alle drei Systeme zusammen eingesetzt werden müssten, um diesen durchschnittlichen Wert zu erreichen. Eine solche Trefferrate des „logischen Gesamtsystems“ existiert nämlich nur, wenn alle drei getesteten Systeme die vorbeilaufenden Menschen erfassen und jeweils softwareseitig auswerten. Bei keinem der getesteten Anbieter wurde diese imaginäre durchschnittliche Zahl in Wahrheit gemessen. Tatsächlich ist das durchschnittliche Ergebnis des Versuchs für das beste der drei Testsysteme die peinliche Zahl von 68,5 Prozent, die in der ersten Testphase erreicht wurde. Damit ist die biometrische Technik zu unausgereift für den praktischen Einsatz.</p>
<p>Erwartungsgemäß ändert auch die Positionierung der Kamera das Ergebnis für die Trefferquoten: Am schlechtesten schnitt dabei die Eingangskamera am Bahnhof ab, bei der die schwächsten Trefferleistungen gemessen wurden. Selbst das beste der drei getesteten Systeme kommt hier nur auf eine Trefferquote von 65,8 Prozent. Tagsüber konnte wegen Gegenlichts sogar auch beim besten der Systeme nur sechzig Prozent erreicht werden. Der schlechteste der drei Biometrieanbieter wies am Eingang des Bahnhofs sogar nur eine Trefferrate von 18,9 Prozent (tagsüber zwölf Prozent) aus und ist damit glatt durchgefallen.</p>
<p>Für den geplanten Abgleich mit polizeilichen Datenbanken sind solche Erkennungsraten völlig unbrauchbar. Sie als Erfolg verkaufen zu wollen, ist schlicht unredlich. Insgesamt hält die Bundespolizei dennoch zwei der getesteten Systeme für den „praktischen polizeilichen Einsatz“ geeignet und sieht selbst für das überdurchschnittlich schlechte dritte Testsystem noch ein „hohes Potenzial“.</p>
<p> </p>
<h3/>
<h3>Wissenschaftliche Standards missachtet</h3>
<p>Die zugrundeliegenden Bilder der Gesichter waren in der Phase zu Beginn des Tests von ausgesprochen hoher Qualität, was die Ergebnisse zugunsten der getesteten Systeme verzerrt. Denn die freiwilligen Probanden wurden in hoher Auflösung und mit guter Beleuchtung fotographiert, so dass die erfassten Gesichter in der ersten Testphase optimal für den Vergleich mit den Livebildern vorlagen.</p>
<p>Der Abschlussbericht weist solche Verzerrungen nicht etwa aus, sondern beschönigt das Vorgehen noch. Generell kann die gesamte Auswertung nicht als wissenschaftlich angesehen, sondern muss als PR-Bericht verstanden werden. Vielleicht dauerte es deshalb so lange, die bereits am 31. Juli beendeten Tests herauszuputzen, um sie erst im Oktober im Abschlussbericht darzustellen.</p>
<p>Die Wissenschaftlichkeit des Versuchs steht aber auch aus anderen Gründen bereits konzeptuell in Zweifel: Die Repräsentativität der Probanden war nicht gegeben, so dass kein aussagekräftiges Abbild der Bevölkerung (Alter, Geschlecht, Ethnie) oder des gesuchten Personenkreises getestet wurde. Zudem war die Anzahl der freiwilligen Tester mit 312 Menschen zu gering bemessen, sie nahm in der zweiten Testphase außerdem noch signifikant ab und verringerte sich auf nur 201 Personen.</p>
<p><em>„Eine gründliche Untersuchung der realen Erkennungsleistungen der biometrischen Systeme hat mit dem Test am Bahnhof Südkreuz wenig gemeinsam. Wenn ein System der biometrischen Personenüberwachung aber tatsächlich eingesetzt werden sollte, genügen solche Versuche ohnehin nicht. Dann müsste man besser vorher darüber sprechen, ob es gesellschaftlich wünschenswert und überhaupt rechtlich möglich ist, von jedem Vorbeilaufenden biometrische Merkmale zu verarbeiten“</em>, sagte Dirk Engling, Sprecher des CCC.</p>
<p> </p>
<h3/>
<h3>Die zweite Versuchsphase</h3>
<p>Besonders dreist ist das Vorgehen, mit der zweiten Testphase die Ergebnisse nochmals absichtlich zu schönen. Der damalige Innenminister Thomas de Maizière hatte bei einem Besuch seines Vorzeigeprojektes noch angekündigt, dass in einer zweiten Phase des ursprünglich auf sechs Monate angelegten Versuchs realitätsnähere Bilder benutzt werden würden. In Wahrheit wurden in dem dann verlängerten Test unter dem Vorwand, angeblich Fahndungsfotos zu verwenden, tatsächlich von den getesteten Systemen selbst aufgezeichnete Gesichtsbilder benutzt. Diese Bilder hatten im ersten Versuchsteil bereits zu guten Ergebnissen geführt. Zudem wurde nunmehr nicht nur ein Referenzbild in den Datenbanken hinterlegt, sondern gleich mehrere der zuvor aufgezeichneten Fotos der Probanden aus den Überwachungskameras verwendet.</p>
<p>Damit wurden nicht nur absichtlich und unzulässig die Erkennungraten manipuliert, vielmehr sind mit einem solchen Testvorgehen Rückschlüsse auf reale Szenarien in einem Bahnhof gar nicht mehr möglich. Schließlich hat es nichts mehr mit der Wirklichkeit zu tun, wenn die biometrischen Systeme Vergleiche von vorher als gut klassifizierten Gesichtsbildern vornehmen, die am gleichen Ort entstanden sind. So müssten in der Realität Fotos der Verdächtigen an allen Bahnhöfen mit allen dort verbauten Kameras angefertigt werden – eine vollkommmen unsinnige und erneut die Ergebnisse verfälschende Testannahme. Wenn solche Versuchsmethoden als Begründung für eine künftige Gesetzgebung zum flächendeckenden Einsatz herhalten sollten, sind sie nicht aussagekräftig für eine reale Verwendung.</p>
<p> </p>
<h3/>
<h3>Die Falscherkennungsrate</h3>
<p>Weiterhin sind die Zahlen zur Falscherkennungsrate (FAR) deutlich geschönt. So werden hier nicht etwa alle durch die Kamera erfassten Gesichter der Menschen analysiert, sondern ausweislich des Berichtes nur diejenigen, die zufälligerweise zu dem Zeitpunkt aufgenommen wurden, wenn eine der Testpersonen neben ihnen auf der Rolltreppe stand oder im Bahnhof ging und damit das System durch den Transponder aktivierte. Die realen Zahlen der fälschlichen Erkennung liegen also nochmals um ein Vielfaches höher als der in dem Bericht ausgegebene Wert. Zugleich bleibt auch diese Verzerrung des Ergebnisses im Bericht selbst unkommentiert.</p>
<p>Für das „logische Gesamtsystem“ liegt die so ausgewiesene FAR durchschnittlich bei 0,67 Prozent. Bei einer durchschnittlichen Anzahl von etwa 90.000 Reisenden pro Tag am Bahnhof Südkreuz hieße ein solcher Wert, dass täglich 600 Passanten und mehr fälschlich ins Visier der biometrischen Installation gerieten.</p>
<p>Weiterhin werfen die im Versuch verwendeten Verfahren Fragen auf, die in dem Bericht nicht adressiert werden. Wieso wurden beispielsweise aus den 41.000 gespeicherten Transponder-Events nur 6.000 ausgewählt? Was waren die Kriterien? Und warum werden nicht in allen Diagrammen im Abschlussbericht die gleichen Datenpunkte verwendet? So gibt es beispielsweise für den November nur einen Punkt im Diagramm für die Falscherkennungsrate, aber ganze neun für die Trefferrate. Hier liegt der Verdacht nahe, dass durch die Auswahl bestimmter Ereignisse Fehlerkennungen unter den Tisch gekehrt werden sollten. Auch Differenzen in den Erkennungsraten zwischen aufeinanderfolgenden Tagen von im Schnitt zehn Prozent (maximal fünfzig Prozent) sollten die Herausgeber und die Leser der Studien stutzig machen.</p>
<p> </p>
<h3/>
<h3>Bedeutung der Zahlen in der Praxis</h3>
<p>Würde dieses System tatsächlich so in Betrieb genommen, würde die FAR noch weiter darunter leiden, dass die Zahl der Fahndungen mehr als nur die 200 gespeicherten Vergleichsbilder wie in Testphase 2 erzeugt. Laut Beispiel aus dem Bericht soll in der Praxis mit mindestens 600 Bildern verglichen werden. Entsprechend stiege die FAR nochmals.</p>
<p>Doch selbst wenn die Systeme nur vier unbescholtene Bürger pro Kamera und Stunde fälschlich als Verbrecher erkennen und die Beamten diese dann von Hand aussondern müssen, kann man sich leicht vorstellen, was passiert, wenn nach monatelangem händischen Aussieben dann doch mal ein einzelner Verbrecher durchs Bild huscht und erkannt wird. Wie aufmerksam ein durchschnittlicher PC-Anwender die hunderste Sicherheitswarnung für Webseiten wegklickt, dürfte ein Gefühl für die Auswirkungen einer solchen Flut von Falscherkennungsmeldungen geben.</p>
<p>Der einzige Lichtblick im Bericht ist die Beschreibung, wie man sich am besten gegen die biometrische Rasterfahndung schützen kann: Man drehe einfach das eigene Gesicht um mehr als 15 Grad von der Kamera weg. Damit ist eigentlich alles gesagt, was die Sinnhaftigkeit und Einsatztauglichkeit solcher Systeme angeht.</p>
<p> </p>
<h3/>
<h3>Links</h3>
<p>[1] <a href="https://www.bundespolizei.de/Web/DE/04Aktuelles/01Meldungen/2018/10/181011_abschlussbericht_gesichtserkennung_down.pdf;jsessionid=B00C5E4B9341D9F8733EF8508A6D9C46.2_cid324?__blob=publicationFile&amp;v=1">Abschlussbericht der Bundespolizei</a> (pdf)</p></div>
    </content>
  </entry>
  <entry>
    <title>Chaos Computer Club fordert strikt defensive Cyber-Sicherheitsstrategie</title>
    <link href="https://www.ccc.de/de/updates/2018/defensive-cyber-strategie" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/808</id>
    <updated>2018-08-29T11:51:25+02:00</updated>
    <published>2018-08-29T11:51:25+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Faktisch stellt die Bundesregierung mit dem heute angekündigten Vorhaben die Weichen für eine stärkere Ausrichtung hin zu einer offensiven Cyber-Strategie. Der Chaos Computer Club (CCC) fordert hingegen eine strikt defensive Ausrichtung. Angesichts der Erfahrungen anderer Länder und auch im Lichte des Bundestagshacks kann die staatliche Entwicklung von Sicherheitslücken für den Gebrauch durch Militärs und Geheimdienste nicht Bestandteil einer nachhaltigen Sicherheitsarchitektur sein. Erinnert sei nur an den ETERNALBLUE-Exploit der NSA, der die Grundlage für die verheerenden Trojaner Wannacry und NotPetya bildete, die bisher nicht dagewesene Schäden weltweit verursachten.</p>
<p>Der Wunsch der deutschen Geheimdienste, mit NSA und GCHQ „auf Augenhöhe“ mitzucybern, darf nicht Maßstab einer Strategie für Sicherheit im digitalen Raum sein. Stattdessen müssen die für die Agentur eingeplanten Ressourcen ausschließlich für defensive Forschung verwendet werden. Dazu gehört, die Softwarequalität grundlegend zu verbessern und die an Universitäten erforschten und entwickelten Technologien für sichere digitale Systeme schnellstmöglich breit in die industrielle Praxis zu bringen.</p>
<p>Eine sinnvolle Strategie für eine sichere digitale Welt für Bürger und Wirtschaft erfordert, unabhängige zivile Organisationen und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu stärken, und gerade keine weitere Militarisierung und Vergeheimdienstlichung des Themas. „Wenn die Bundeswehr und die Geheimdienste den Ton bei der Agentur angeben, wird der Schwerpunkt auf Cyber-Offensiv-Waffen liegen“, sagte CCC-Sprecher Frank Rieger. „Dies ist das falsche Signal und wird die desolate Situation in der IT-Sicherheit verschlechtern und nicht verbessern.“</p>
<p>Ob ein „Zurückhacken“ und offensive digitale Angriffe, zumal durch das deutsche Militär, überhaupt mit geltendem deutschen Recht und dem Völkerrecht vereinbar ist, steht ohnehin in Zweifel. [1] Darüber kann auch die euphemistische Verbrämung des Vorhabens durch die irreführende Namensgebung der Agentur nicht hinwegtäuschen. Dass offenbar militärische, geheimdienstliche und polizeiliche Interessen weiter vermengt werden, wenn die Agentur diese aus gutem Grund rechtlich getrennten Bereiche bedient, ist nicht akzeptabel.</p>
<h4>Links:</h4>
<p>[1] Rechtliche Bewertung der Wissenschaftlichen Dienste des Bundestags zum „Zurückhacken“: <a href="https://www.bundestag.de/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf">https://www.bundestag.de/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf</a></p></div>
    </content>
  </entry>
  <entry>
    <title>Staatstrojaner in Niedersachsen: Stellungnahme des CCC zum Polizeigesetz</title>
    <link href="https://www.ccc.de/de/updates/2018/staatstrojaner-in-niedersachsen-stellungnahme-des-ccc-zum-polizeigesetz" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/807</id>
    <updated>2018-08-09T00:12:12+02:00</updated>
    <published>2018-08-08T09:32:17+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Wie in mehreren anderen Bundesländern plant auch die niedersächsische Landesregierung eine drastische Ausweitung polizeilicher Befugnisse. Neben neuen Regelungen für den erweiterten Einsatz von Fußfesseln und für heimliche Videoaufzeichnungen im öffentlichen Raum steht auch die Freigabe des Staatstrojaners für die Polizei auf dem Plan. In dieser und der nächsten Woche finden drei öffentliche Anhörungen im Innenausschuss statt. [1] Der Chaos Computer Club (CCC) veröffentlicht seine Stellungnahme. [2]</p>
<p>Bereits mit dem Koalitionsvertrag hat die niedersächsische Landesregierung die Ausweitung bzw. Einführung von verschiedenen neuen Überwachungsinstrumenten angekündigt: CDU und SPD planen die Einführung von Bodycams, Fußfesseln, verdeckter Audio- und Videoüberwachung und staatlichem Hacking auch in Niedersachsen. Schon vier Werktage nach der Veröffentlichung des entsprechenden Gesetzentwurfes fand die erste öffentliche Lesung statt. Ganz nach dem Vorbild der bayerischen und <a href="/de/updates/2018/stellungnahme-hessentrojaner">hessischen Landesregierung</a> versuchte die schwarz-rote Koalition auch in Niedersachsen das entsprechende Gesetz ohne viel öffentlichen Wirbel durchzudrücken. In Anbetracht der weitreichenden Eingriffe in Grundrechte ist der Entwurf jedoch mehr als fragwürdig.</p>
<p>So sieht er eine verdeckte akustische und optische Bespitzelung im öffentlichen Raum vor, verzichtet aber auf einen klar abgesteckten rechtlichen Rahmen. Schlimmer noch: Von der Überwachung Betroffene müssen im Nachgang nicht einmal darüber informiert werden.</p>
<div id="magicdomid1677" class="ace-line">Beim  Staatstrojaner folgt Niedersachsen dem fatalen Trend, immer mehr  staatliches Hacken zuzulassen. „Sowohl die Spionagesoftware für laufende  Kommunikation als auch das im Beamtendeutsch ‚Online-Durchsuchung‘  getaufte Hacken ohne nennenswerte Grenzen sollen gesetzlich erlaubt  werden. Während man versucht, dem behördlichen Hacking möglichst wenig  Hürden aufzuerlegen, werden verfassungsrechtliche Grenzen bis zur  Unkenntlichkeit aufgeweicht“, sagt Falk Garbsch, Sprecher des CCC. „Denn  der vom Bundesverfassungsgericht klar und mehrfach betonte Kernbereich  der privaten Lebensgestaltung wird nur soweit geschützt, wie der Wunsch  nach staatlichem Hacking es eben zulässt.“
<p><strong>Save the date!</strong> Seitdem die Pläne der Landesregierung bekannt wurden, das neue Polizeigesetz einzuführen, hat sich in Niedersachsen das <a href="https://niedersachsentrojaner.de/">#noNPOG-Bündnis</a> gegründet. Für den <strong>8. September</strong> ist eine Großdemonstration in Hannover angemeldet. Wir rufen zur Teilnahme auf, denn Niedersachsen darf schließlich nicht Bayern werden.</p>
<p><br/>[1] Termine:</p>
<ul>
<li> Donnerstag, 9. August: 10.25 Uhr bis 17 Uhr (Raum 1105),</li>
<li> Freitag, 10. August: 9.30 Uhr bis 13 Uhr (Raum 1105),</li>
<li> Donnerstag, 16. August: 10.15 Uhr bis 11.40 Uhr (Raum 1305),</li>
<li>jeweils im Erweiterungsgebäude des Niedersächsischen Landtags.</li>
</ul>
<p>[2] <a href="/system/uploads/264/original/ccc-staatstrojaner-niedersachsen.pdf">Stellungnahme als PDF</a></p>
<p><br/> Demo: <a href="https://nonpog.de/demo/">https://nonpog.de/demo/</a></p>
</div></div>
    </content>
  </entry>
  <entry>
    <title>Unrechtmäßige Hausdurchsuchung: Polizei reitet erneut beim Chaos Computer Club ein</title>
    <link href="https://www.ccc.de/de/updates/2018/unrechtmaige-hausdurchsuchung-polizei-reitet-erneut-beim-chaos-computer-club-ein" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/806</id>
    <updated>2018-07-07T05:50:12+02:00</updated>
    <published>2018-07-07T05:50:12+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Am Abend des 4. Juli 2018 wurde das Kulturzentrum „Langer August“ in Dortmund von bewaffneten Einsatzkräften der Polizei gestürmt und für mehrere Stunden im Rahmen einer Hausdurchsuchung abgeriegelt. Ziel der Maßnahme war offenbar die Beschlagnahme eines Servers des <a href="https://www.wissenschaftsladen-dortmund.de/2018/07/05/tag-der-offenen-tueren-schwer-bewaffnete-einbrecher-besetzen-den-langen-august-und-entwenden-server-aus-dem-wila-sic/">Dortmunder Wissenschaftsladens</a>, welcher sich im dritten Stock des Hauses befindet. Der Server wurde von einem gemeinnützigen Verein aus Rostock betrieben, der seinerseits Webspace für Projekte zu Verfügung stellt. Es handelt sich also lediglich um Server-Housing durch den Dortmunder Wissenschaftsladen.</p>
<p>Im Kulturzentrum „Langer August“ ist auch der Chaostreff Dortmund (CTDO [0]) des Chaos Computer Clubs ansässig, dessen Mitglieder für mehrere Stunden in ihren Räumen festgehalten wurden, während diese von bewaffneten Polizeibeamten durchsucht wurden. Die Anwesenden im CTDO waren keine Zeugen und schon gar keine Beschuldigten einer Straftat.</p>
<p>Den anwesenden Mitgliedern wurde dennoch jegliche elektronische Kommunikation unterbunden und die Verwendung von Telefonen und Rechnern untersagt. Einzelne Räume des CTDO wurden durchsucht, auch ohne dass unseren Mitgliedern die Gelegenheit gegeben wurde, das Vorgehen der Polizisten zu bezeugen. Darüber hinaus wurden die Personalausweise der Anwesenden für die Dauer der Durchsuchung eingezogen und ihre Personalien aufgenommen.</p>
<p>„Wir wurden behandelt wie Straftäter, obwohl uns rein gar nichts vorgeworfen wird. Die Polizei marschierte in unsere Räume mit dem Wissen, dass der Durchsuchungsbeschluss sie gar nicht umfasste“, sagte Tim Windelschmidt, Mitglied im CTDO und bei der Durchsuchung anwesend.</p>
<p>Der später auf Verlangen vorgezeigte Durchsuchungsbeschluss bezog sich explizit auf die <a href="https://www.heise.de/newsticker/meldung/Polizei-Grosseinsatz-wegen-Server-Kritik-an-Hausdurchsuchung-in-Dortmund-4100194.html]">Räume des Wissenschaftsladens</a> und nicht auf die des CTDO. Das Anfertigen einer Kopie des Beschlusses wurde auch auf mehrfache Nachfrage verwehrt. Unterdessen hat der Wissenschaftsladen <a href="https://nextcloud.free.de/s/SaBddaTrzmaeycN">die Beschlüsse veröffentlicht</a>.</p>
<p>Erst nach Eintreffen eines technischen Sachverständigen haben die Polizeibeamten eingesehen, dass keine Notwendigkeit bestand, die Server-Racks des CTDO zu zerlegen. Sie beschränkten sich darauf, Fotos von Teilen der technischen Infrastruktur anzufertigen – ohne Nachfrage, Erlaubnis oder rechtliche Befugnis.</p>
<p>Unsere Mitglieder wurden für mehr als zwei Stunden in den Räumen des CTDO festgehalten, während der Rest des Hauses durchsucht und unter Zuhilfenahme der Feuerwehr gewaltsam in den Serverraum des Wissenschaftsladens eingebrochen wurde. Schon dieses stundenlange Festhalten unserer Mitglieder und die Durchsuchung unserer Räumlichkeiten ohne Durchsuchungsbeschluss und teilweise ohne Zeugen ist unverhältnismäßig. Zusätzlich galt ohne jede Grundlage ein Kommunikationsverbot. Besonders dreist sind aber vom Einsatzleiter des LKA mündlich vorgebrachte Einschüchterungsversuche und offene Drohungen gegen unsere Mitglieder.</p>
<p>Obwohl keinem der Mitglieder irgendeine Straftat zur Last gelegt wurde und auch keiner von ihnen als Zeuge gilt, drohte ihnen der Einsatzleiter mit dem Eintrag in nicht näher benannte polizeiliche Dateien, die den Verlust der Berufs und weitere nicht spezifizierte „ernste Konsequenzen“ nach sich ziehen könnten.</p>
<p>„Wer als leitender Polizist mit solchen Drohungen gegenüber Unbeteiligten hervortritt, während sich die eigenen Beamten wissentlich über die Grenzen des richterlichen Beschlusses hinwegsetzen, beschädigt sich und den Ruf seiner Behörde“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs (CCC).</p>
<p>Als Verfechter freier und dezentraler Kommunikationsstrukturen solidarisiert sich der CCC mit dem Wissenschaftsladen Dortmund und dem Projekt „free.de“. Das unverhältnismäßige Vorgehen der Polizei zeigt sich insbesondere am unnötig gewaltsamen Eindringen in die Räume des Wissenschaftsladens Dortmund, aber auch in unsere Vereinsräume sowie durch die Abwesenheit von unabhängigen Zeugen während der Durchsuchungsmaßnahmen. Im Wissenschaftsladen Dortmund wurde zusätzlich Mitgliedern und deren Anwältin der Zutritt verwehrt. Die Durchsuchungen betrafen auch viele weitere Vereine und Initiativen, die im Haus ansässig sind. Dazu gehört auch das „Bündnis gegen Rechts“, die zusätzlich von Beschlagnahmungen betroffen sind.</p>
<p>Der CCC ruft zu Spenden <a href="http://www.free.de/spenden/">für free.de und den Wissenschaftsladen</a> auf, um die fünf zerstörten Türen ersetzen und die Kosten der rechtlichen Gegenwehr bezahlen zu können.</p>
<p>Der ungebetene „Besuch“ der Polizei im „Langen August“ kam wenige Tage nach den Durchsuchungen bei den Zwiebelfreunden in Augsburg, Jena, Berlin und Dresden. [2] Auch hier wurden polizeiliche Befugnisse in unverhältnismäßiger Weise auf Zeugen und völlig Unbeteiligte ausgeweitet.</p>
<p>Wir rufen daher dazu auf, bei der heutigen Demo in Düsseldorf (#NoPolGNRW) ein Zeichen zu setzen. [1] Die geplante Verschärfung der Polizeigesetze in Nordrhein-Westfalen und anderen Bundesländern geht uns alle an, die überzogenen Maßnahmen und die Überschreitungen des Erlaubten wie im Falle des „Langen August“ können morgen schon zum legalisierten Alltag werden. Wir brauchen keine verschärften neuen Polizeigesetze, sondern eher Nachschulungen bei den Verantwortlichen, wenn nicht einmal mehr das Gebot der Verhältnismäßigkeit zu gelten scheint.</p>
<h3>Links</h3>
<ul>
<li>[0] <a title="Chaostreff Dortmund" href="https://www.chaostreff-dortmund.de/">https://www.chaostreff-dortmund.de/</a></li>
<li>[1] <a title="Demo gegen das Polizeigesetz NRW am 7. Juli" href="https://www.no-polizeigesetz-nrw.de/demo-7-7/">Demoaufruf, am Samstag, 7. Juli, gegen das Polizeigesetz in NRW</a></li>
<li>[2] <a title="Durchsuchungen in Augsburg" href="/de/updates/2018/hausdurchsuchungen-bei-vereinsvorstanden-der-zwiebelfreunde-und-im-openlab-augsburg">Meldung des CCC zu Hausdurchsuchungen bei Vereinsvorständen der „Zwiebelfreunde“ und im „OpenLab“ Augsburg</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Hausdurchsuchungen bei Vereinsvorständen der „Zwiebelfreunde“ und im „OpenLab“ Augsburg</title>
    <link href="https://www.ccc.de/de/updates/2018/hausdurchsuchungen-bei-vereinsvorstanden-der-zwiebelfreunde-und-im-openlab-augsburg" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/805</id>
    <updated>2018-07-04T10:44:38+02:00</updated>
    <published>2018-07-04T10:12:30+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Der Verein Zwiebelfreunde setzt sich seit sieben Jahren für technische Lösungen zur Anonymisierung ein und schult Menschen im Umgang mit Anonymisierungstechniken. Er betreibt unter <a title="Tor Servers Homepage" href="https://torservers.net/">TorServers.net</a> Relays der Anonymisierungssoftware Tor und hilft Betreibern technisch und juristisch. Daneben unterstützt der Verein andere Organisationen beim Sammeln von Spenden. Ins Visier polizeilicher Maßnahmen gerieten die Vereinsvorstände nun nicht etwa als Verdächtige, sondern als Zeugen.</p>
<p>Der Hintergrund der Durchsuchungen und Beschlagnahmungen am 20. Juni mutet abenteuerlich an: Es gab eine anonyme Webseite im Internet, die zu Protesten gegen den AfD-Parteitag in Augsburg aufgerufen hatte. Die unbekannten Betreiber dieser Webseite verwendeten eine beim alternativen E-Mail-Provider Riseup registrierte Mail-Adresse. [1] Für Spenden an <a title="Riseup Homepage" href="https://riseup.net/">riseup.net</a> wiederum existiert beim Verein Zwiebelfreunde eine Bankverbindung für ein Spendenkonto.</p>
<p>Riseup hat seinen Sitz in den Vereinigten Staaten und bietet im Grunde eine coole und kommerzfreie Alternative zu Gmail an. Wegen der sonst rar gewordenen strikten Datenschutz-Richtlinien wird er weltweit von einer Vielzahl von NGOs und Graswurzelbewegungen verwendet.</p>
<p>Das hat sich jedoch nicht bis nach Bayern zur Polizei herumgesprochen. Die Generalstaatsanwaltschaft München ging wohl irrig davon aus, dass jeder, der irgendwie auch nur entfernt mit Riseup in Verbindung steht, Angaben über jedes einzelne registrierte E-Mailkonto machen könne – auch zu den Betreibern einer mutmaßlich rechtswidrigen Internetseite. [2] Den ermittelnden Beamten vor Ort war offensichtlich bereits klar, wie schwach und haltlos konstruiert diese Verbindung ist. Das räumten sie gegenüber den Zeugen auch ein, zogen aber die Durchsuchungen und Beschlagnahmungen dennoch durch.</p>
<p>Mit der gleichen an den Haaren herbeigezogenen Begründung hätte jede Durchsuchung bei beliebigen Personen zu Hause stattfinden können, wenn die anonyme Seite von Menschen mit Gmail-Adressen betrieben worden wäre. Die für einen offenkundig unsinnigen Zusammenhang lediglich als Zeugen geführten Betroffenen mussten Eingriffe in ihre Privatsphären über sich und ihre Familien ergehen lassen, die in jeder Hinsicht unverhältnismäßig sind. Ohne den Versuch einer Befragung der Zeugen wurden unmittelbar die privaten Wohnungen der Vorstände des Vereins durchsucht.</p>
<p>Dabei wurde eine Vielzahl an informationstechnischen Geräten und zahlreiche Speichermedien beschlagnahmt. Betroffen von den Durchsuchungen und Beschlagnahmungen waren zudem vollkommen unbeteiligte Familienangehörige der Vereinsvorstände – die allesamt keiner Straftat beschuldigt waren. Von den Beschlagnahmungen betroffen sind außerdem unbeteiligte Firmen und sensible Daten unbeteiligter Projekte der Zwiebelfreunde, beispielsweise der Linux-Distribution Tails. Eine Herausgabe der beschlagnahmten Hardware wird bisher bei einigen Betroffenen verweigert.</p>
<p>„Der Fall zeigt plastisch, wie leicht komplett unbescholtene Bürger mitsamt ihrer Familien durch eine konstruierte Indizienkette zum Opfer schwerer Grundrechtseingriffe werden können. Auf der Basis einer so offensichtlich unhaltbaren Argumentation als Zeuge mit völlig überzogenen Maßnahmen behelligt zu werden, ist mehr als fragwürdig. Die Verschärfung der bayerischen Polizei-Gesetze in den letzten Jahren führt offenbar dazu, dass sich die Verantwortlichen an das Gebot der Verhältnismäßigkeit von Eingriffen nicht mehr gebunden fühlen“, sagte Frank Rieger, Sprecher des Chaos Computer Clubs (CCC).</p>
<p>Nochmal zum Mitmeißeln: Aus dem Vorhandensein einer E-Mailadresse bei einem großen freien Anbieter auf einer Webseite haben die Strafverfolger gefolgert, dass ein deutscher Verein in engem Zusammenhang mit den Aufrufen stehen müsse, der nichts weiter tut, als Spenden für diesen Anbieter abzuwickeln. Obwohl der Zwiebelfreunde-Verein offensichtlich mit dem Betrieb des Providers nichts zu tun hat, wurde er trotzdem en passant verdächtig. Dass die Durchsuchungen und Beschlagnahmungen angeordnet wurden, offenbart entweder hochgradige kriminalistische Inkompetenz oder bösen Willen bei den bayerischen Ermittlungsbehörden.</p>
<p>Wer die Zwiebelfreunde bei geplanten rechtlichen Schritten wegen der Herausgabe, einem Verwertungsverbot der beschlagnahmten Unterlagen und der Feststellung der Unverhältnismäßigkeit unterstützen möchte – und sich noch traut, auf entsprechende Konten zu spenden –, kann dies hier tun: <a title="Homepage des Vereins Zwiebelfreunde" href="https://www.zwiebelfreunde.de/">https://www.zwiebelfreunde.de/</a>.</p>
<h3>Durchsuchung des OpenLab in Augsburg</h3>
<p>Im Zuge der Durchsuchungen bei den Vereinsvorständen in Augsburg, Jena, Dresden und Berlin weitete die Polizei die Maßnahmen eigenmächtig auf Räume aus, die auch von Mitgliedern des Chaos Computer Clubs (CCC) genutzt werden: das Augsburger OpenLab. Hier trafen die Beamten auf die Lebensrealität von Hackern: Arbeitsmittel zum Platinenätzen, Reinigen und Haarefärben. Weil die Polizisten dann noch eine Zeichnung auf einem Whiteboard des Hackerspaces großzügig als Bombenbauanleitung interpretierten, beschuldigten sie zufällig anwesende Mitglieder des Hackerspaces, sie würden ein Sprengstoffattentat vorbereiten. Drei Personen nahm die Polizei fest und durchsuchte danach den Hackerspace ohne einen Durchsuchungsbeschluss und ohne jegliche Zeugen.</p>
<p>Sie beschlagnahmte Gegenstände aus dem OpenLab und öffnete mit Gewalt verschlossene Schränke, in denen sich auch Mitgliederdaten und Kontoauszüge befanden. Es ist davon auszugehen, dass Kopien gemacht wurden und in die Privatsphäre von Mitgliedern und Spendern beider Vereine eingegriffen wurde.</p>
<p>Sowohl die initiale Verdachtsgewinnung gegen die Vorstände der Zwiebelfreunde als auch die nachfolgende Verdächtigung in Richtung Sprengstoff sind entweder inkompetent oder böswillig. Der schwerwiegende Verdacht der „Vorbereitung eines Sprengstoffattentats“ bedroht den Betrieb jedes Labors und jedes Hackerspaces dramatisch – das familienfreundliche OpenLab ist so gut wie täglich für Besucher geöffnet. Wenn nun schon die schlichte Auseinandersetzung mit chemischen Grundkenntnissen als Verdachtsmoment gilt, so muss bald jeder Schüler sein Chemiebuch gut vor den Augen neugieriger Polizisten verstecken.</p>
<p>Wer mehr über die polizeiliche Rollkommando-Aktion erfahren möchte, kann am Freitag bei <a href="https://logbuch-netzpolitik.de/">logbuch-netzpolitik.de</a> reinhören. Einer der Betroffenen wird über die Vorkommnisse berichten. Der Podcast wird um 18 Uhr online sein.</p>
<h3>Links:</h3>
<ul>
<li>[1] <a href="https://riseup.net/">https://riseup.net</a></li>
<li>[2] <a href="https://augsburgfuerkrawalltouristen.noblogs.org/impressum/">AfD-Protestseite</a></li>
<li>[3] <a href="https://www.zwiebelfreunde.de/">https://www.zwiebelfreunde.de</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Europaweite Upload-Filter stärken nur die Macht von Google und Facebook</title>
    <link href="https://www.ccc.de/de/updates/2018/europaweite-upload-filter-starken-nur-die-macht-von-google-und-facebook" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/804</id>
    <updated>2018-07-03T09:27:51+02:00</updated>
    <published>2018-07-03T09:27:51+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><h2>Worum geht es?</h2>
<p>Unter der Federführung des Berichterstatters Axel Voss (CDU) hat sich der Rechtsausschuss des EU-Parlaments vergangene Woche auf das <a href="http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fTEXT%2bREPORT%2bA8-2018-0245%2b0%2bDOC%2bXML%2bV0%2f%2fEN&amp;language=EN">Erzwingen von sogenannten Upload-Filtern geeinigt</a>. Der Entwurf soll diese Woche Donnerstag in der Plenarsitzung des EU-Parlaments abgesegnet werden. Ein weiterer gefährlicher Teil der Vorlage ist die Einführung eines europaweiten Leistungsschutzrechts für Presseverlage.</p>
<h2>Warum ist das gefährlich?</h2>
<h3>Upload-Filter (Artikel 13)</h3>
<p>Mit den verpflichtenden Upload-Filtern soll schon vor einer Veröffentlichung im Internet verhindert werden, dass dadurch Urheberrechte Dritter verletzt werden. Was in der Theorie simpel klingen mag, erfordert in der Praxis eine immens große, ständig aktualisierte Datenbank sämtlicher Text-, Audio- und Video-Ausschnitte, für die Verwertungsrechte geltend gemacht werden. Hinzu kommt ein enormer Aufwand für „smarte“ Algorithmen, die auch Abwandlungen und Modifikationen des Originals erkennen sollen.</p>
<p>Für den Großteil kleinerer Anbieter ist dieser Aufwand schlichtweg nicht zu leisten. Das erkennt selbst Axel Voss und empfiehlt daher, die Dienste größerer Plattformen in Anspruch zu nehmen. Wie das funktioniert, sehen wir bereits bei eingebetteten Videos, Kartenausschnitten, Captchas und sogar Webfonts: Was auf kleineren Webseiten zu sehen ist, bestimmen die Großen, die robuster erscheinende Infrastruktur und eine gut ausgestattete Rechtsabteilung bereithalten können.</p>
<p>Für die datenhungrigen Dauerwerbe-Plattformen wären die Filter also ein Geschenk des Himmels: Ihnen würden die wenigen verbliebenen Konkurrenten aus Angst vor der Rechtsunsicherheit schon in den Upload-Formularen sämtliche hochzuladenden Inhalte zur Kontrolle weiterleiten. Ein Leben ohne Google und Facebook würde damit unmöglich.</p>
<p>„Den marktbeherrschenden Plattformen sämtliche Inhalte der Konkurrenz frei Haus zur Kontrolle und Zensur zu liefern, wäre genau das Gegenteil einer Einschränkung der marktbeherrschenden Stellung von Google und Facebook. Es wäre eine endgültige und grundlose Kapitulation“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs (CCC).</p>
<p>Doch selbst mit fast unbegrenzten Ressourcen ist die Filter-Aufgabe kaum zu stemmen: So unterhalten Werbeplattformen wie die Google-Marke Youtube sowie Facebook bereits derartige Zensur-Infrastrukturen, die regelmäßig durch Fehlentscheidungen zu hausgemachten Skandalen führen. Dass dadurch die Kunstfreiheit, aber auch die Pressefreiheit betroffen sind, wird immer wieder kritisiert. Selbst die Software der Marktführer kann Zitate, Remixe, Berichterstattung, Satire oder Kunst nicht zuverlässig von rechtsverletzenden Inhalten unterscheiden.</p>
<p>Die Idee einer vorgelagerten Zensur ist für sich schon problematisch: Da die vorgeschlagenen Erkennungsalgorithmen grundsätzlich fehlerbehaftet sind, werden die global operierenden Werber Inhalte aufgrund sogenannter „false positives“ übereifrig entsorgen, schon allein um Streitfälle zu vermeiden. Hinzu kommt ein Missbrauch durch die Rechteverwerter, dem nicht selten <a href="https://www.derstandard.de/story/2000075640783/youtube-loescht-video-gegen-germanys-next-topmodel">Aktivisten</a> oder gar <a href="https://twitter.com/EFF/status/1012006350396612608">Eltern und ihre Säuglinge</a> zum Opfer fallen. Eine Kompensation für ihre verletzten Rechte erhalten die Betroffenen in der Regel nicht.</p>
<h3>Leistungsschutzrecht für Presseverlage (Artikel 11)</h3>
<p>Über die Plattform „Google News“ lassen sich aktuelle Nachrichten finden. Mit dem 2013 in Deutschland eingeführten „<a href="https://de.wikipedia.org/wiki/Leistungsschutzrecht_für_Presseverleger">Leistungsschutzrecht für Presseverlage</a>“ sollte Google gezwungen werden, die jeweiligen Online-Publikationen für die Verwendung der Titel- und Teaser-Texte in den Artikel-Links zu kompensieren. „Mit der gleichen Logik könnte ein Restaurantbesitzer von Taxifahrern Geld verlangen, die ihm Gäste bringen“, <a href="https://www.tagesspiegel.de/medien/lobby-power-gegen-die-suchmaschine-die-google-neurose-der-verleger/6726592-all.html">stellte der Journalist Mario Sixtus schon 2012 fest</a>.</p>
<p>Erwartungsgemäß geriet die deutsche Version des Leistungsschutzrechts zur Farce: Medienhäuser einigten sich mit Google umgehend auf den Verzicht der Geltendmachung des Leistungsschutzrechts, um auch weiterhin kostenlos von Google verlinkt zu werden. Kleinere, weniger bedeutende Plattformen hatten das Nachsehen und litten fortan unter der neu geschaffenen Rechtsunsicherheit. In Spanien wurde <a href="https://support.google.com/news/answer/6140047?hl=es">„Google News“ kurzerhand abgeschaltet</a>, die Online-Publikationen müssen seither dauerhaft auf die Verlinkungen verzichten. Fazit: weitgehender Flurschaden, kein einziger Cent für die Verlage, schon gar nicht für die Urheber der Texte.</p>
<p>„Das Leistungsschutzrecht für Presseverlage war eine Blamage mit Ansage und Anlauf – und ist es noch. Statt die Fehler der Vergangenheit einzusehen, sollen diese nun noch einmal gemacht werden – nur noch größer!", sagte Linus Neumann, Sprecher des CCC.</p>
<h2>Widerstand der Zivilgesellschaft</h2>
<p>Der internationale Widerstand gegen die unsinnigen Artikel der EU-Urheberrechtsreform bündelt sich in der Kampagne „<a href="https://saveyourinternet.eu">Save Your Internet</a>“. Sie bietet Unterstützung beim direkten Ansprechen der notorisch als „fern“ wahrgenommenen EU-Parlamentarierinnen. Der CCC unterstützt den Aufruf und fordert die Zivilgesellschaft auf, von den vielfältigen Protestmöglichkeiten Gebrauch zu machen.  „Natürlich erwarten wir alle freudig Horst Seehofers Vorrundenaus – aber die Wartezeit lässt sich sinnvoll nutzen!“, sagte Linus Neumann, Sprecher des CCC.</p>
<h2>Links</h2>
<ul>
<li><a href="https://saveyourinternet.eu">Kampagne: Save Your Internet"</a></li>
<li><a href="https://juliareda.eu/2018/06/article-11-13-vote/">Erläuterungen im Detail</a></li>
<li><a href="https://logbuch-netzpolitik.de/lnp259-stell-dir-vor-es-ist-standard-und-keiner-macht-mit">Podcast mit EU-Parlamentarierin Julia Reda</a> zu Upload-Filtern und Leistungsschutzrecht</li>
<li><a title="Offener Brief Upload-Filter" href="/de/updates/2018/upload-filter">Offener Brief des CCC zu Upload-Filtern</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Kein Hessentrojaner für den Geheimdienst, aber für die Polizei</title>
    <link href="https://www.ccc.de/de/updates/2018/hessentrojaner-polizei" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/802</id>
    <updated>2018-05-26T08:47:22+02:00</updated>
    <published>2018-05-26T00:48:00+02:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Die schwarz-grüne Koalition in Hessen hat offenbar eine Einigung im Streit um den Hessentrojaner erzielt. Demnach soll der hessische Verfassungsschutz über die geplante Änderung des Verfassungsschutzgesetzes keine Erlaubnis zum staatlichen Hacken bekommen, wohl aber die hessische Polizei (im HSOG). Damit wäre auch in Hessen die Erweiterung des Ermittlungsarsenals um Staatstrojaner ausgemacht.</p>
<p>In der Begründung, die von der hessischen Fraktionsspitze und den Landesvorsitzenden an die Grünen-Mitglieder geschickt wurde, [1] kann man nachlesen, dass heftig umstrittene Polizeigesetze in einigen anderen Bundesländern nun als Begründung herhalten müssen. Damit kommt ein Domino-Effekt in Gang: Was die eine Polizei darf, müssen alle anderen auch haben. Die Landesmitgliederversammlung der hessischen Grünen hatte demgegenüber explizit eine „friedliche Cybersicherheitsstrategie“ gefordert und sowohl die Staatstrojaner-Variante der „Online-Durchsuchung“ als auch der „Quellen-TKÜ“ abgelehnt.</p>
<p>Ignoriert wird bei dem gefundenen „Kompromiss“, dass sowohl gegen die Regelungen anderer Bundesländer als auch die im Bund Verfassungsbeschwerden vorliegen. In Hessen selbst kam in der parlamentarischen Anhörung mit Ausnahme der Polizeigewerkschaft keiner  der Sachverständigen zu dem Schluss, dass die geplanten Regelungen verfassungsgemäß seien. Der Chaos Computer Club (CCC) hatte sich in seiner Stellungnahme [2] ebenfalls gegen Staatstrojaner positioniert.</p>
<p>Dirk Engling, Sprecher des CCC, sagt: „Wenn nun die Spionagegelüste der Polizeien die Integrität der IT-Systeme untergraben, ist dies keinen Deut besser, als wenn die Spionagesoftware der Geheimdienste dafür sorgt. Aufgabe des Staats wäre es stattdessen, die ohnehin stiefmütterlich behandelte Forschung an Softwaresicherheit zu unterstützen.“</p>
<p>Die nun um sich greifende Staatstrojaner-Welle bedeutet für den Steuerzahler, dass immer mehr staatliche Gelder investiert werden, um die IT-Sicherheit für Wirtschaft, Verwaltung und Privatpersonen absichtlich zu unterminieren. Schließlich muss auch die Spionagesoftware der Polizei Sicherheitslücken ausnutzen, um einen Staatstrojaner heimlich auf einem Computer oder Mobiltelefon von Verdächtigen oder Kontaktpersonen unterzubringen.</p>
<p>Vielleicht könnten die offenbar vom staatlichen Hacken nicht abzubringenden Unionschristen erstmal folgende Fragen beantworten:</p>
<ul>
<li>Wer darf den Quellcode des Hessentrojaners einsehen?</li>
<li>Wie soll das justizielle Kontrollsystem mit staatlicher Spionagesoftware umgehen?</li>
<li>Wer programmiert den hessischen Trojaner und woher kommen die IT-Sicherheitslücken? Wie lange sollen sie wissentlich offengehalten werden, bis man sich bequemt, den betroffenen Herstellern und Nutzern Bescheid zu sagen?</li>
<li>Soll eine Art Bieterwettstreit entstehen, in dem die einzelnen Bundesländer und der Bund die auf dem Graumarkt erhältlichen Lücken immer teurer machen?</li>
<li>Wie kann ein Verdächtiger, dessen Computer oder Mobiltelefon gehackt wurde, oder dessen Strafverteidiger oder die betroffenen Richter nachvollziehen, was genau die Schadsoftware auf dem informationstechnischen System getan hat?</li>
</ul>
<p>Der CCC setzt sich mit Nachdruck gegen die um sich greifende Normalisierung der gesetzlichen Erlaubnis zum Einsatz von Staatstrojanern ein. Die Entwicklung, immer mehr staatlichen Stellen Spionagesoftware an die Hand zu geben, ist ein bedrohlicher Irrweg. Er ignoriert die Risiken, die mit der staatlichen Alimentierung einer Branche einhergehen, die mit der IT-Unsicherheit ihr Geschäft macht.</p>
<h3>Links:</h3>
<ul>
<li>[1] <a title="Brief der Fraktionsspitze" href="/system/uploads/257/original/Gruene-VerfSchG.pdf">Brief der hessischen grünen Fraktionsspitze an die Mitglieder</a></li>
<li>[2] <a title="Stellungnahme des CCC zum Hessentrojaner" href="https://ccc.de/system/uploads/252/original/CCC-staatstrojaner-hessen.pdf">Stellungnahme des CCC zum Hessentrojaner</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Offener Brief: Europäische Upload-Filter-Regelung verhindern</title>
    <link href="https://www.ccc.de/de/updates/2018/upload-filter" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/799</id>
    <updated>2018-02-28T11:16:44+01:00</updated>
    <published>2018-02-28T00:19:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Der Brief wendet sich gegen eine Initiative der EU-Kommission, die zum Ziel hat, in der Europäischen Union eine Urheberrechtsreform durchzusetzen. Dabei sind sogenannte Upload-Filter für alle Plattformen mit nutzergenerierten Inhalten geplant. Sie sollen EU-weit vorgeschrieben werden.</p>
<p>Wir sprechen uns gegen Upload-Filter aus, weil wir eine weitere Verschärfung des Urheberrechts ablehnen, erst recht, wenn damit Overblocking schlicht vorprogrammiert wäre. Momentan sollen Upload-Filter als Gegenmaßnahme für Urheberrechtsverletzungen vorgesehen werden, aber wenn wir eines aus den vergangenen Jahren gelernt haben, ist es der Trend zur Ausweitung solcher Maßnahmen. Eine potentielle Zensurinfrastruktur gilt es jedoch von vorneherein zu verhindern.</p>
<p>Der Brief wurde versandt an:</p>
<p>Heiko Maas (SPD), Brigitte Zypries (SPD), Monika Grütters (CDU), Peter Altmaier (CDU), Axel Voss (CDU), Angelika Niebler (CSU) und Sylvia-Ivonne Kaufmann (SPD).</p>
<h3>Wortlaut des Offenen Briefes</h3>
<p>Wir Unterzeichnende, Vertreter der Zivilgesellschaft, der Wirtschaft und der Internetkultur, bitten Sie, die Aufweichung des Haftungsprivilegs und die verpflichtende Einführung von Upload-Filtern zu verhindern.</p>
<p>Wir unterstützen nachdrücklich das Anliegen im Entwurf zum Koalitionsvertrag zwischen CDU, CSU und SPD, in dem es heißt: „Eine Verpflichtung von Plattformen zum Einsatz von Upload-Filtern, um von Nutzern hochgeladene Inhalte nach urheberrechtsverletzenden Inhalten zu ‚filtern‘, lehnen wir als unverhältnismäßig ab.“</p>
<p>Davon unbeirrt schlägt die Europäische Kommission in ihrem Entwurf der Richtlinie über das Urheberrecht im digitalen Binnenmarkt (COM(2016) 593 final) vor, Plattformen, die Inhalte Dritter speichern, zu verpflichten, vermeintliche Urheberrechtsverletzungen mittels eines sogenannten Upload-Filters zu unterbinden, bevor die Inhalte auf die Plattform hochgeladen werden. Damit geht eine Umkehr der bewährten Haftungsprinzipien aus der E-Commerce-Richtlinie einher. Dies hätte gesellschaftlich und wirtschaftlich verheerende Folgen.</p>
<p>Die freie Entfaltung und Kreativität im Rahmen der Ausnahmen (Schrankenregelungen) des Urheberrechts sowie die Vielfalt von Inhalten insgesamt im Internet wären bedroht. Den Uploads der Nutzerinnen und Nutzern würde eine Zensurinfrastruktur vorgeschaltet.</p>
<p>Sollte die Betreiberhaftung in dieser Form ausgeweitet werden, werden klare Anreize gesetzt, um auch solche Inhalte zu blockieren, die rechtmäßig eingestellt wurden (Overblocking). Die Plattformen werden versuchen, ihr Haftungsrisiko zu minimieren, und nur noch ihnen bekannte und geprüfte Inhalte erlauben. Komplizierte Abwägungen, was erlaubt ist und was nicht, sei es Kritik, Satire oder Kunst, können automatisierte Filter nicht vornehmen. Wirksame Maßnahmen, die rechtmäßige Inhalte vor entsprechender Blockierung schützen, sind nicht vorgesehen. Damit werden nutzergenerierte Inhalte aus dem Internet verschwinden. Eine der Erfolgsformeln des Internets, das Teilen von Informationen und Inhalten, ist damit in Gefahr.</p>
<p>Gerade private und ehrenamtlich betriebene Plattformen, aber auch kleine und mittlere Online-Service-Unternehmen werden einem großen rechtlichen und wirtschaftlichen Risiko ausgesetzt, sofern sie den Upload von Inhalten nicht ganz unterlassen. Sie verschwinden vom oder schaffen es überhaupt nicht auf den Markt. Damit widerspricht die Europäische Kommission nicht nur ihrer eigenen Strategie zur Startup-Förderung. Auch die Bundesregierung stünde mit den Verlautbarungen im Koalitionsvertragsentwurf zur Startup-Förderung im Konflikt.</p>
<p>Wir fordern Sie daher auf, sich gegen die Aufweichung des Haftungsprivilegs von Plattformen für nutzergenerierte Inhalte und insbesondere gegen Upload-Filter einzusetzen.</p>
<p>Für Rückfragen stehen wir Ihnen gerne zur Verfügung.</p>
<p>Mit freundlichen Grüßen</p>
<p>Bitkom e. V.<br/>Verbraucherzentrale Bundesverband e. V. (vzbv)<br/>Wikimedia Deutschland e. V.<br/>Bundesverband Deutsche Startups e. V.<br/>Bundesverband Digitale Wirtschaft e. V. (BVDW)<br/>Bundesverband IT-Mittelstand e. V. (BITMi)<br/>Bundesverband mittelständische Wirtschaft e. V. (BVMW)<br/>Chaos Computer Club e. V. (CCC)<br/>D64 – Zentrum für digitalen Fortschritt e. V.<br/>Arbeitskreis gegen Internetsperren und Zensur (AK Zensur)<br/>Deutscher Gründerverband e. V.<br/>Digitale Gesellschaft e. V. (DigiGes)<br/>eco – Verband der Internetwirtschaft e. V.<br/>Jugendpresse Deutschland e. V.<br/>Open Knowledge Foundation Deutschland e. V. (OKFN)</p>
<p><strong> Links</strong>:</p>
<p><a href="https://ccc.de/system/uploads/254/original/UploadFilter_Voss.pdf">Offener Brief als pdf</a></p></div>
    </content>
  </entry>
  <entry>
    <title>CCC-Stellungnahme: Kein Hessentrojaner für den Geheimdienst</title>
    <link href="https://www.ccc.de/de/updates/2018/stellungnahme-hessentrojaner" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/798</id>
    <updated>2018-02-06T09:37:56+01:00</updated>
    <published>2018-02-06T01:56:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Am Donnerstag findet im Innenausschuss des Hessischen Landtags die Sachverständigenanhörung zum geplanten „Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen“ statt. Die Koalition aus CDU und Grünen möchte dem dortigen Landesamt für Verfassungsschutz die Nutzung von Spionagesoftware zum Einbruch in Computersysteme erlauben. Der Chaos Computer Club (CCC) hat eine Stellungnahme abgegeben und kritisiert darin den Gesetzesentwurf.</p>
<p>Der Anhörung vorausgegangen war die Informationskampagne <a title="Informationskampagne zum Hessentrojaner" href="https://www.hessentrojaner.de/">hessentrojaner.de</a>, mit der ein breites Bündnis aller hessischen CCC-Vertretungen und anderer Bürgerrechtsgruppen auf die strukturellen Gefahren beim Einsatz von Staatstrojanern aufmerksam machte.</p>
<p>„Staatliche Spionagesoftware wie der nun geplante Hessentrojaner nutzt Sicherheitslücken in alltäglicher Software“, erklärt Marco Holz vom CCC Darmstadt. „Das heißt im Klartext: Das Land Hessen schickt seinen Landesgeheimdienst auf den Schwarzmarkt oder zu fragwürdigen Trojaner-Anbietern, um mit Steuergeldern Sicherheitslücken in weit verbreiteten Programmen aufzukaufen und auszunutzen. Dabei nehmen sie billigend in Kauf, dass diese Lücken nicht geschlossen werden können“, so Marco Holz weiter.</p>
<p>Offenbar ist den hessischen schwarz-grünen Koalitionären entgangen, dass sie damit die ohnehin schon erheblichen Probleme in der IT-Sicherheit mit staatlichen Geldern befeuern. Während Wirtschaft, Behörden und hunderttausende Privatpersonen noch an den Folgen von „Wannacry“ laborieren, soll der hessische Geheimdienst auf Trojaner-Einkaufstour geschickt werden. Im Sommer letzten Jahres hatte dieser Erpressungstrojaner weltweit Millionen Windows-PCs angegriffen, wirtschaftliche Schäden in Milliardenhöhe verursacht und unter anderem in britischen Krankenhäusern den Betrieb lahmgelegt. Die von „Wannacry“ genutzte Sicherheitslücke war zuvor von der NSA absichtlich jahrelang geheimgehalten worden. Trotzdem hält es die hessische Landesregierung offenbar immer noch für eine gute Idee, für ihren Geheimdienst in Schadsoftware zu investieren.</p>
<p>„Wenn der Staat Spionagesoftware entwickeln lässt, untergräbt er strukturell die IT-Sicherheit. Schließlich setzt er hier mit Steuergeldern Anreize, Sicherheitslücken nicht zu schließen, um sie dauerhaft ausnutzen zu können. Kollateral- und Folgeschäden für Wirtschaft und Bevölkerung werden dabei schlicht ignoriert oder totgeschwiegen“, resümiert Marco Holz.</p>
<p>Zudem schränkt der hessische Gesetzesentwurf den ohnehin fragwürdigen Trojanereinsatz nur unzureichend ein. „Nicht einmal die vom Bundesverfassungsgericht gesetzten Schranken werden eingehalten“, kritisiert Dirk Engling vom CCC Berlin. „Die vom Gericht geforderte Zweckbeschränkung der Spionage-Maßnahmen ist schlicht nicht vorgesehen. Die Protokollierungspflichten sind lückenhaft, eine Einsicht in den Quellcode des Trojaners gar nicht erst geplant. Die einzigen vorgesehenen Kontrollinstanzen, das Amtsgericht Wiesbaden und das parlamentarische Kontrollgremium des Landtags, können ihren Aufgaben unter diesen Bedingungen nicht adäquat nachkommen.“</p>
<p>Auch aufgrund der schweren Eingriffe in die Privat- und Intimsphäre von Betroffenen und unbeteiligten Dritten sowie wegen des hohen Missbrauchspotentials von Staatstrojanern ist das hessische Vorhaben abzulehnen. Die Landesregierung bemüht denselben gefährlichen Trick, den „Quellen-TKÜ“-Trojaner rechtlich so zu fassen, als handele es sich um eine bloße Telefonverbindung. Dabei ist eine „Quellen-TKÜ“ technisch gesehen auch nur ein etwas eingeschränkter Trojaner und in keiner Weise mit dem Abhören von Telefonen gleichzusetzen.</p>
<p>Justus Hoffmann vom CCC Darmstadt zeigt sich trotzdem optimistisch: „Die schwarz-grüne Koalition hätte das Gesetz wohl gern im Schnelldurchlauf unbemerkt durch den Landtag gepeitscht. Der hessentrojaner.de-Kampagne und den zahlreichen Engagierten aus vielen verschiedenen Organisationen ist es zu verdanken, dass wir nun eine öffentliche Debatte über das staatliche Hacken durch Geheimdienste haben. Wir wollen dieses Gesetz stoppen, denn es schadet eindeutig mehr als es nützt.“</p>
<p>Begleitend zur Anhörung im Landtag am Donnerstag finden eine Podiumsdiskussion und eine Kundgebung statt. Die Anhörung beginnt am 8. Februar um 10 Uhr im Innenausschuss des Wiesbadener Landtags.</p>
<p>Am Abend werden wir auf Radio Darmstadt in der Sendung C-RadaR die Ergebnisse der Anhörung diskutieren.</p>
<h3>Links:</h3>
<ul>
<li><a title="Stellungnahme des Chaos Computer Clubs zum Hessentrojaner als PDF" href="https://ccc.de/system/uploads/252/original/CCC-staatstrojaner-hessen.pdf">Stellungnahme als PDF</a></li>
<li><a title="Informationsseite zum Hessentrojaner" href="https://www.hessentrojaner.de/">Mehr Informationen zum geplanten Hessentrojaner</a></li>
<li><a title="Podiumsdiskussion zum Hessentrojaner" href="https://www.hessentrojaner.de/aufruf/">Einladung zur Podiumsdiskussion am Vorabend und Aufruf zur Kundgebung am Donnerstag</a></li>
<li><a title="Radio C-RadaR" href="https://www.c-radar.de/">Radio C-RadaR</a>, <a title="Live-Stream C-RadaR" href="https://stream.c-radar.de/">Live-Stream des C-RadaR</a> oder <a title="Live-Stream des C-RadaR, Alternative" href="http://stream.radiodarmstadt.de/popup/radar-play.html">Alternative</a></li>
</ul></div>
    </content>
  </entry>
  <entry>
    <title>Netzneutralität: Stellungnahme zum Zero-Rating-Angebot „Vodafone Pass“</title>
    <link href="https://www.ccc.de/de/updates/2018/vodafonepass" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/797</id>
    <updated>2018-01-22T08:16:33+01:00</updated>
    <published>2018-01-21T22:46:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Vodafone bietet einigen „Partnerunternehmen“ seit Oktober vier neue „Pass“-Kategorien (Chat, Social, Music, Video) an, die Kriterien dafür liegen allerdings nicht transparent vor. Die in diese „Pässe“ aufgenommenen Apps bekommen den Vorzug, dass die Nutzung nicht auf das Inklusivvolumen der Kunden angerechnet wird.</p>
<p>Faktisch entsteht dadurch die Situation, dass sowohl Vodafones Endkunden dafür bezahlen als auch Diensteanbieter als „Partner“ des Konzerns vertraglich gebunden werden. Nicht-kommerzielle Angebote, wie sie der Chaos Computer Club (CCC) beispielsweise unter <a href="https://media.ccc.de/">media.ccc.de</a> oder als Streaming-Dienst bei vielen seiner Veranstaltungen und Podcasts bereitstellt, haben dabei ein strukturelles Nachsehen und werden benachteiligt. Der CCC hat jedoch ein hohes Interesse daran, seine Inhalte gemäß seiner Satzung als frei zugängliches, einfach lizenzierbares und kostenloses Bildungsangebot möglichst vielen Menschen anzubieten.</p>
<p>Auch jenseits von strukturell benachteiligten Video- und Audioangeboten entstehen durch „Vodafone Pass“ ungewünschte Effekte: Die vier angebotenen Kategorien sind willkürlich gewählt und diskriminieren einige Dienste, die prinzipbedingt dezentral sind und in keinen „Pass“ aufgenommen werden können, weil es keinen einzelnen Anbieter gibt, mit dem Vodafone überhaupt einen Vertrag schließen könnte. Beispiele sind Dienste wie Jabber (XMPP) oder E-Mail.</p>
<p>Um „Partner“ von Vodafone zu werden, wird zudem eine App vorausgesetzt. Ein Video oder einen Stream ganz normal über den Browser sehen zu wollen, ist dabei nicht vorgesehen. Das benachteiligt zusätzlich alle Angebote, die über keine spezielle App verfügen, sondern ihre Dienste über das Web anbieten.</p>
<p>Für Verstöße gegen die Netzneutralität bei Zero-Rating-Angeboten können Strafen festgesetzt werden, allerdings erst, nachdem die Bundesnetzagentur etwaige Verstöße prüft und feststellt. Der CCC legt in seiner Stellungnahme dar, welche Nachteile in Fragen der Meinungsvielfalt durch Angebote wie „Vodafone Pass“ entstehen und warum gegen die Netzneutralität verstoßen wird.</p>
<p>Netzneutralität bezeichnet das Prinzip, dass Netzkonzerne einzelne Datentransport-Dienste nicht bevorzugen oder benachteiligen dürfen. Sie schützt Internetnutzer und Online-Dienste vor Diskriminierung durch Telekommunikationsunternehmen, die die Infrastruktur betreiben. Zero-Rating-Angebote missachten die EU-Verordnung (2015/2120), die Prinzipien der Netzneutralität und die Anforderung nach einer gleichberechtigten und nicht-diskriminierenden Behandlung des Datenverkehrs. Das gilt sowohl bei dem Telekom-Angebot „StreamOn“ als auch bei „Vodafone Pass“.</p>
<p><strong>Links</strong>:</p>
<p><a href="/system/uploads/250/original/CCC-netzneutralitaet-vodafone.pdf">Stellungnahme des CCC  an die Bundesnetzagentur zum Zero-Rating-Angebot „Vodafone Pass“</a></p></div>
    </content>
  </entry>
  <entry>
    <title>Besonderes elektronisches Anwaltspostfach muss Freie Software werden</title>
    <link href="https://www.ccc.de/de/updates/2018/bea" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/796</id>
    <updated>2018-01-19T10:18:51+01:00</updated>
    <published>2018-01-19T00:01:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Gemeinsam mit der Free Software Foundation Europe (FSFE), weiteren Organisationen der Zivilgesellschaft und Juristen fordern wir, dass das besondere elektronische Anwaltspostfach (beA) Freie Software werden soll. <a href="https://fsfe.org/campaigns/publiccode/bea">[1]</a></p>
<p>Zahlreiche Skandale und ein fragwürdiges Sicherheitsverständnis prägen das Projekt, das sich schon seit einigen Jahren in Entwicklung befindet. Eigentlich müssen Rechtsanwälte seit dem 1. Januar 2018 über diese Software erreichbar sein, doch zahlreiche <a href="https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html">bekannt gewordene Sicherheitslücken</a> verhindern den geplanten Start des Dienstes. So wurde etwa die verschlüsselte Verbindung der Anwender nicht nur über das beA, sondern auch zu sämtlichen anderen Webseiten ausgehebelt. Vor allem aber ist die Ende-zu-Ende-Verschlüsselung, eigentlich Hauptmerkmal der Software, grundlegend gefährdet, da die Bundesrechtsanwaltskammer offenbar Zugang zu allen privaten Schlüsseln und damit den eigentlich vertraulichen Nachrichten ihrer Rechtsanwälte hat. Es steht zu befürchten, dass durch die ebenfalls öffentlich gewordene Implementierung zahlreicher längst veralteter und anfälliger Komponenten weitere Sicherheitslücken existieren.</p>
<p>Obwohl bereits 2015 eine Sicherheitsprüfung durch eine beauftragte Firma stattgefunden hat, dessen Reichweite und Ergebnis allerdings bis heute nicht veröffentlicht wurde, ist die ganze Tragweite der fehlerhaften Programmierung erst Ende 2017 bekannt geworden. Damit hat das Projekt, das die Rechtsanwälte bisher etwa 38 Millionen Euro kostet, bereits jetzt sein Vertrauen verspielt. Angesichts der zahlreichen Fehler ist die Vertraulichkeit der gesendeten Nachrichten nicht mehr zu gewährleisten – und das, wo die Nutzung der Software ab 2022 für den gesamten Dokumentenverkehr mit Gerichten Pflicht wird.</p>
<h3>Freie Software als Grundlage für die Zukunft</h3>
<p>An den zahlreichen Problemen des besonderen elektronischen Anwaltspostfachs besteht kein Zweifel. Doch anstatt weiter ihre Mitglieder im Unklaren zu lassen und unabhängige Sicherheitsforscher auszuschließen, sollte die Bundesrechtsanwaltskammer nun die gesamte Software unter einer Freie-Software- und Open-Source-Lizenz veröffentlichen und den weiteren Entwicklungsprozess transparent machen. Nur dadurch kann das erschütterte Vertrauen der Nutzer, also aller Rechtsanwälte, Behörden und Gerichte, langsam wiederhergestellt werden.</p>
<p>Die Offenlegung des Programmcodes ermöglicht unabhängigen IT-Experten, bereits frühzeitig potentielle Sicherheitslücken zu melden, damit diese behoben werden; dass eine Geheimhaltung des Quellcodes und der in Auftrag gegebenen Audits nicht zum gewünschten Ergebnis führen, hat sich nun ein weiteres Mal erwiesen. Freie Software garantiert zudem die dringend nötige Herstellerunabhängigkeit.</p>
<p>Ohnehin ist fraglich, warum nicht von Anfang an auf bereits verfügbare Softwarekomponenten gesetzt wurde, die unter einer Freie-Software-Lizenz verfügbar sind. Für verschlüsselte E-Mails existiert beispielsweise das etablierte und vielfach geprüfte GnuPG, welches sich nahtlos in Mailingprogramme wie Thunderbird einbinden lässt. Spezielle Anforderung wie etwa die verschlüsselte Weiterleitung an Vertretungen und Assistenzen könnten auf dieser Basis ebenfalls als Freie Software veröffentlicht werden und dieselben Vorteile der Transparenz genießen. Warum Freie Software generell für öffentliche digitale Dienste Standard sein sollte, zeigt die aktuelle FSFE-Kampagne <a href="https://publiccode.eu/de">Public Money, Public Code</a>.</p>
<p>Ganz gleich, ob die Bundesrechtsanwaltskammer sich für eine komplette Neuentwicklung der Software oder erhebliche Verbesserungen der jetzigen Lösung entscheidet, die Veröffentlichung unter einer freien Lizenz ist unumgänglich, um das Projekt überhaupt noch zu retten und die Sicherheitserwartungen zu gewährleisten.</p>
<p> </p>
<p><strong>Links</strong>:</p>
<p>[1] <a href="https://fsfe.org/campaigns/publiccode/bea">Das besondere elektronische Anwaltspostfach (beA) muss Freie Software werden</a></p>
<p>[2] Das besondere elektronische Anwaltspostfach (beA):  <a href="http://bea.brak.de/">http://bea.brak.de/</a></p>
<p>[3] <a href="/de/updates/2017/public-money-public-code">Offener Brief: Public Money? Public Code!</a></p></div>
    </content>
  </entry>
  <entry>
    <title>Chaos Computer Club hackt Ladesäulen</title>
    <link href="https://www.ccc.de/de/updates/2017/e-motor" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/794</id>
    <updated>2017-12-27T08:19:45+01:00</updated>
    <published>2017-12-27T01:43:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Statt an der Tankstelle werden Elektroautos an Ladesäulen geladen. Diese bieten zumeist einen Drehstromanschluss, über den die notwendigen Ladeleistungen erreicht werden. Im öffentlichen Raum werden Ladevorgänge von den Anbietern unter anderem über Ladekarten abgerechnet. Auf den Ladekarten ist eine Nummer gespeichert, anhand derer die Ladestation den Nutzer identifiziert. Leider ist diese Nummer komplett öffentlich und kann beliebig kopiert werden. Damit kann man recht leicht eine Ladekarte klonen.</p>
<p>„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, sagte CCC-Mitglied Mathias Dalheimer, der den Hack heute beim 34C3 erläutern wird. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“</p>
<p>Auch die Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend ist schlecht geschützt: Die Kartennummer wird auch hier – oft sogar ohne jegliche Verschlüsselung – direkt an den Anbieter übermittelt. Mit geringem technischen Aufwand kann man diese Kommunikation abfangen und so die Kartennummern von Kunden ernten. Aus diesen kann man dann entweder Ladekarten fälschen oder – in der Praxis wohl einfacher – gegenüber dem Ladenetzbetreiber Ladevorgänge simulieren. Damit kann ein Ladesäulenbetreiber seinen Umsatz sehr einfach in die Höhe treiben.</p>
<p>Auch die Ladestationen selbst sind unsicher. Die meisten Ladestationen erlauben das Ändern der Konfiguration sowie Firmwareupdates über einen USB-Stick. Da der Updatemechanismus beispielsweise bei KEBA-Ladestationen unsicher ist, kann beliebiger Code in die Ladestation eingeschleust werden. Darüber könnten Angreifer beispielsweise alle Ladevorgänge gratis machen oder aber wiederum die Kartennummern ernten und so Ladekartenkunden schädigen.</p>
<p>Kunden dürften es sehr schwer haben, einen Missbrauch nachzuweisen. Insbesondere beim Roaming, also beim Laden an einer Ladestation eines anderen Anbieters, wird ein Ladevorgang erst viel später abgerechnet. Es können dabei Wochen vergehen, bis der Missbrauch einer Ladekartennummer auffällt.</p>
<p>Die Ladenetzbetreiber haben die Schwachstellen zwar bestätigt, ziehen derzeit aber keine Konsequenzen. „New Motion“ teilte etwa mit, ihnen seien keine Betrugsfälle bekannt und dass die Kunden ihre Ladeabrechnung doch bitte selbst kontrollieren möchten. [0] Ein Wechsel zu einem geeigneten Zahlverfahren ist nicht abzusehen, so dass Kunden mit dieser Situation leben müssen.</p>
<p>Wir fordern:</p>
<ul>
<li>Die Sicherheit von Ladesäulen muss endlich auf den Stand der Technik gebracht werden.</li>
<li>Ladenetzbetreiber müssen ihren Kunden sichere Bezahlmöglichkeiten bieten.</li>
<li>Die Abrechnungsdaten müssen nicht nur innerhalb eines Ladeverbundes, sondern auch beim Roaming zwischen verschiedenen Anbietern geschützt werden.</li>
</ul>
<p> </p>
<p><strong>Links</strong>:</p>
<p>[0] <a href="https://www.goingelectric.de/forum/oeffentliche-ladeinfrastruktur/ladekarten-sind-unsicher-wie-man-auf-fremde-rechnung-laedt-t27590-50.html#p628169">Reaktion von „New Motion“</a></p>
<p>[1] Sammlung der Erkenntnisse, weitere technische Details sowie Videos im Blog von Mathias Dahlheimer: <a href="https://schwarzladen.gonium.net/">https://schwarzladen.gonium.net/</a></p>
<p>[2] Elektroauto-Simulator: <a href="https://evsim.gonium.net/">https://evsim.gonium.net</a></p>
<p>[3] Videos bei Youtube:</p>
<p><a href="https://youtu.be/0-AjgT8oqt8">https://youtu.be/0-AjgT8oqt8</a></p>
<p><a href="https://youtu.be/HWfHfctN66U">https://youtu.be/HWfHfctN66U</a></p>
<p><a href="https://youtu.be/nL3cDfzAIC0">https://youtu.be/nL3cDfzAIC0</a></p>
<p><a href="https://youtu.be/pUEp3uWAWqY">https://youtu.be/pUEp3uWAWqY</a></p>
<p>[4] Live-Streaming: <a href="https://events.ccc.de/congress/2017/wiki/index.php/Static:Streams">Informationen zu Streams und Videos</a></p>
<p><strong>Bilder</strong>:</p>
<p>Die hier angebotenen Bilder können frei verwendet werden:</p>
<p><a href="https://ccc.de/system/uploads/246/original/MiniGratisLaden.gif">Mini-Gratis-Laden als gif</a></p>
<p><a href="https://ccc.de/system/uploads/239/original/Analyse_der_Ladestationen.jpg">Analyse der Ladestationen</a></p>
<p><a href="https://ccc.de/system/uploads/240/original/Elektroauto-Simulator9.jpg">Elektroauto-Simulator</a></p>
<p><a href="https://ccc.de/system/uploads/241/original/Ladekarten_von_NewMotion_und_Ladenetz.jpg">Ladekarten von New Motion und Ladenetz</a></p>
<p><a href="https://ccc.de/system/uploads/242/original/Ladesäule_in_Kaiserslautern9.jpg">Ladesäule</a></p>
<p><a href="https://ccc.de/system/uploads/243/original/Ladestation_von_Hager_Oberseite.jpg">Ladestation von Hager, Oberseite</a></p>
<p><a href="https://ccc.de/system/uploads/244/original/Ladestation_von_Hager_unterseite9.jpg">Ladestation von Hager, Unterseite</a></p>
<p><a href="https://ccc.de/system/uploads/245/original/Ladestation_von_Hager.jpg">Ladestation von Hager</a></p>
<p><a href="https://ccc.de/system/uploads/247/original/NFC-Karten-Analysewerkzeuge9.jpg">NFC-Karten-Analysewerkzeuge</a></p>
<p><a href="https://ccc.de/system/uploads/248/original/USB-Port_in_der_Hager-Ladestation.jpg">USB-Port in der Hager-Ladestation</a></p>
<p><a href="https://ccc.de/system/uploads/249/original/USB-Stick_bei_Manipulation_der_Ladestation.jpg">USB-Stick bei Manipulation der Ladestation</a></p></div>
    </content>
  </entry>
  <entry>
    <title>Geplanter Staatstrojaner in Hessen gefährdet IT-Sicherheit weltweit</title>
    <link href="https://www.ccc.de/de/updates/2017/hessentrojaner" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/793</id>
    <updated>2017-11-07T07:26:16+01:00</updated>
    <published>2017-11-06T18:22:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Im Zuge der Novelle des Hessischen Verfassungsschutz-Gesetzes planen CDU und Grüne auch die Einführung eines Staatstrojaners. Der entsprechende Gesetzesentwurf soll im Novemberplenum des Hessischen Landtages in erster Lesung behandelt werden. [1]</p>
<p>Der von den Fraktionen der CDU und Bündnis 90/Die Grünen im Hessischen Landtag vorgelegte „Gesetzesentwurf zur Neuausrichtung des Verfassungsschutzes in Hessen“ [2] sieht eine Ausweitung der Befugnisse des Verfassungsschutzes vor, insbesondere den Einsatz von Staatstrojanern zur sog. Quellen-Telekommunikationsüberwachung („Quellen-TKÜ“) und zur Online-Durchsuchung. Mit der Informationsseite <a href="https://www.hessentrojaner.de/">www.hessentrojaner.de</a> möchten die hessischen Chaos Computer Clubs über die Funktionsweise und Gefahren von Staatstrojanern informieren.</p>
<p>„Eine solche Regelung gefährdet die Sicherheit Millionen vernetzter Geräte weltweit. Der Einsatz von Staatstrojaner setzt verwundbare Software in Smartphones oder Laptops voraus“, erklärt Markus Drenger vom CCC Darmstadt. „Verantwortungsbewusste Sicherheitspolitik zielt jedoch darauf ab, dass Sicherheitslücken schnellstmöglich geschlossen werden, damit diese nicht von Kriminellen ausgenutzt werden können. Mit einem Staatstrojaner hat der Staat jedoch ein Interesse daran, offene Hintertüren nicht zu schließen, um diese später selbst nutzen zu können. Wissen über Lücken vor Herstellern geheimzuhalten, um Sicherheitsupdates zu verhindern, schadet der IT-Sicherheit.“</p>
<p>Sicherheitslücken, wie sie für Staatstrojaner und andere Schadsoftware notwendig sind, werden aufgrund ihrer enormen Tragweite für teilweise sechs- bis siebenstellige Eurobeträge gehandelt. Da solche Lücken oft in weit verbreiteten Anwendungen klaffen, stellen sie ein enormes Gefährdungspotenzial für eine große Zahl von Geräten dar. „Hiervon sind auch kritische Infrastrukturen wie beispielsweise Krankenhäuser, Windparks oder Atomkraftwerke betroffen“, betont Magnus Frühling vom CCC Frankfurt. „Die Vergangenheit hat leider gezeigt, dass sogar finanziell und personell gut ausgestattete Behörden wie die NSA nicht in der Lage sind, die Geheimhaltung dieser Lücken sicherzustellen.“</p>
<p>Im Mai diesen Jahres erregte ein von Kriminellen verbreiteter Erpressungs-Trojaner namens „Wannacry“ weltweit Aufsehen, da er neben Privat-PCs auch Automobilkonzerne, Bahnunternehmen und Krankenhäuser lahmlegte. [3] Der geschätzte finanzielle Schaden betrug bis zu vier Milliarden Euro. [4] Die von Wannacry genutzte Lücke in Microsoft Windows war der NSA bereits seit Jahren bekannt.</p>
<p>„Anstatt die Sicherheitsmängel dem Hersteller Microsoft zu melden und so ein Sicherheitsupdate zu ermöglichen, hat der Geheimdienst diese jedoch zur Nutzung durch Staatstrojaner geheimgehalten“, schildert Marco Holz vom CCC Darmstadt das Problem. „Außerdem können auch repressive Regime im Ausland die von Steuergeldern in Deutschland finanzierten Hacking-Tools zum Ausspähen von Journalisten, Oppositionspolitikern und unterdrückten Minderheiten nutzen. Der Zweitverwertungsmarkt für Sicherheitslücken und Trojaner ist groß. Die Technologie-Zulieferer solcher Regierungen sitzen oft in Europa.“ [5]</p>
<p>Für Unternehmen stellen offene Sicherheitslücken auch unter dem Aspekt der Wirtschaftsspionage eine Gefahr dar. [6] Vor den Gefahren durch Sicherheitslücken für deren IT-Sicherheit warnte auch das hessische Wirtschaftsministerium bei der Vorstellung des hessischen IT-Sicherheitsleitfadens, der gemeinsam mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt erarbeitet wurde. [7]</p>
<p>Wir fordern die Abgeordneten im Hessischen Landtag vor diesem Hintergrund auf, dem Gesetzentwurf in der derzeitigen Form nicht zuzustimmen.</p>
<p>Unsere Forderungen:</p>
<ul>
<li>Sicherheit wahren – Kein Staatstrojaner für Hessen!</li>
<li>Meldepflicht für entdeckte Sicherheitslücken</li>
<li>Sicherheitslücken gefährden alle – Handel verbieten!</li>
</ul>
<p><strong>Links</strong>:</p>
<p>[0] <a href="https://www.hessentrojaner.de/">https://www.hessentrojaner.de/</a></p>
<p>[1] Dies wurde in der öffentlichen Sitzung der grünen Landesarbeitsgemeinschaft Medien und Netzpolitik am 26. Oktober vom Vorsitzenden der Grünen-Fraktion im Hessischen Landtag, Mathias Wagner, und dem innenpolitischen Sprecher der Fraktion, Jürgen Frömmrich, bekanntgegeben.</p>
<p>[2] <a href="http://www.gruene-hessen.de/landtag/files/2017/10/HSVG.pdf">http://www.gruene-hessen.de/landtag/files/2017/10/HSVG.pdf</a></p>
<p>[3] <a href="http://faktenfinder.tagesschau.de/wanna-cry-cyberangriff-101.html">Tagesschau-Faktenfinder</a></p>
<p>[4] nach <a href="https://www.handelsblatt.com/finanzen/geldpolitik/globale-cyber-attacke-so-viel-verdienten-die-wannacry-erpresser/19830290.html">Angaben des Handelsblatts</a></p>
<p>[5] siehe <a href="http://www.zeit.de/digital/datenschutz/2017-02/ueberwachung-technik-exporte-europa-kontrolle-versagt">zeit.de</a></p>
<p>[6] <a href="https://www.hessen.de/pressearchiv/pressemitteilung/sicherheitsluecken-schaden-betrieben-0">https://www.hessen.de/pressearchiv/pressemitteilung/sicherheitsluecken-schaden-betrieben-0</a></p>
<p>[7] <a href="https://wirtschaft.hessen.de/sites/default/files/media/hmwvl/leitfaden_vertraulichkeitsschutz_durch_verschluesselung.pdf">https://wirtschaft.hessen.de/sites/default/files/media/hmwvl/leitfaden_vertraulichkeitsschutz_durch_verschluesselung.pdf</a></p>
<p><strong>Kontakt</strong>:</p>
<p>info(at)chaos-darmstadt.de oder presse(at)ccc.de</p></div>
    </content>
  </entry>
  <entry>
    <title>Gegen Massenüberwachung: Anhörung beim Europäischen Menschenrechtsgerichtshof</title>
    <link href="https://www.ccc.de/de/updates/2017/egmr-hearing" type="text/html" rel="alternate"/>
    <id>https://www.ccc.de/de/792</id>
    <updated>2017-11-06T11:36:55+01:00</updated>
    <published>2017-11-06T01:43:00+01:00</published>
    <content type="xhtml">
      <div xmlns="http://www.w3.org/1999/xhtml"><p>Die drei Fälle „<em>Big Brother Watch and Others v UK</em>“, „<em>10 Human Rights Organisations and Others v UK</em>“ und „<em>Bureau of Investigative Journalism and Alice Ross v UK</em>“ werden nun vier Jahre nach Einreichung der Beschwerden beim EGMR mündlich verhandelt. [1]</p>
<p>Nachdem im Jahre 2013 Edward Snowdens Enthüllungen Einblicke in die staatlichen Massenüberwachungs- und Bespitzelungsprogramme gaben, die unter dem Namen TEMPORA und den US-Pendants PRISM und UPSTREAM tief in die Privatsphäre-Rechte von Bürgern eingreifen, entschlossen sich Big Brother Watch, English PEN, die Open Rights Group sowie Constanze Kurz, die Unrechtmäßigkeit höchstrichterlich feststellen zu lassen. [2]</p>
<p>In Frage steht die Rechtmäßigkeit der anlasslosen Überwachung und Sammlung persönlicher Daten durch die britischen Geheimdienste nach dem Gesetz Regulation of Investigatory Powers Act (RIPA). Die britischen RIPA-Überwachungsregularien waren ungerichtet in dem Sinne, dass wahllos und ohne jeden Verdacht oder Anhaltspunkt für irgendein Fehlverhalten persönliche Daten von EU-Bürgern angesammelt wurden, zudem faktisch unbefristet.</p>
<p>Dieses Überwachungssystem wird mit der Begründung angegriffen, dass es ohne ausreichende rechtliche Grundlage war, niemand dafür zur Rechenschaft gezogen wurde und keine adäquate Kontrolle über die Programme bestand, daher die Rechte der Bürger nach Artikel 8 der Europäischen Menschenrechtskonvention (Recht auf Achtung des Privat- und Familienlebens) verletzt wurden.</p>
<p>Das Bureau of Investigative Journalism reichte im Jahr 2014 eine Beschwerde beim EGMR ein, gefolgt von zehn Menschenrechtsorganisationen und weiteren Beschwerdeführern im Jahr 2015, nachdem durch das britische Investigatory Powers Tribunal ein Urteil ergangen war. Diese drei Fälle sind nun verbunden worden. Der Gerichtshof entschied sich ausnahmsweise für eine mündliche Anhörung.</p>
<p>Das Urteil über diese drei Beschwerden hat das Potential, Einfluss auf das derzeitige britische Überwachungssystem Investigatory Powers Act zu nehmen. Die rechtlichen Regelungen sind bereits vom Europäischen Gerichtshof (EuGH) in der Watson-Entscheidung scharf kritisiert worden. Ein positives Urteil über die EGMR-Beschwerden wird die britische Regierung zur Beschränkung der übermäßigen Überwachungsbefugnisse zwingen und dazu, eine bessere rechtliche Kontrolle und einen höheren Schutz für die Bürger zu verwirklichen, etwa nachträgliche Benachrichtigungen über Überwachungsmaßnahmen.</p>
<p><strong>Links:</strong></p>
<p><strong>[1] Die mündliche Anhörung beim EGMR am <a href="http://www.echr.coe.int/Pages/home.aspx?p=hearings/calendar&amp;c=#n1353927184398_pointer">7. November 2017</a></strong></p>
<p><strong> </strong></p>
<p><strong>[2] <a href="https://www.privacynotprism.org.uk/">privacynotprism.org.uk/</a></strong></p>
<p>[3] <a href="http://www.ccc.de/de/updates/2014/gchq-egmr">Schnellverfahren am Europäischen Gerichtshof für Menschenrechte wegen Geheimdienst-Spionage</a></p></div>
    </content>
  </entry>
</feed>
