Aus bekannten Gründen hat auch 2021 eine remote chaos experience (rC3) stattgefunden.
Im Vortrag Deine Software, die Sicherheitslücken und ich habe ich zusammen mit Karl und Lilith von zerforschung.org Tips zum Melden von Sicherheitslücken und zum Umgang mit solchen Meldungen gegeben.
Für alle, die den Congress vermissen, hat Helena den prototypischen jährlichen Congress-Bericht gebastelt.
Doch auch über die rC3 gab es “echte” Medienberichte, zum Beispiel in der Tagesschau und auf Tagesschau24.
Von article19 stammt das schön illustrierte Buch How the Internet Really Works Die deutsche Übersetzung Das Internet gehört uns allen ist nun im dpunkt-Verlag erschienen. ich durfte das Vorwort beisteuern.
Continue readingDer Chefredakteur der Berliner Zeitung am Sonntag wollte ein “Streitgespräch” über die Luca App mit mir anzetteln. Hier meine Antwort:
Continue readingSeit die vierte Welle nun in nie dagewesener Stärke durch die Ungeimpften rasiert, wird wieder über stärkere Einschränkungen für Ungeimpfte diskutiert. Damit steigt natürlich auch wieder die Nachfrage an “gefälschten” Impfpässen.
In diesem Beitrag möchte ich kurz darlegen,
Die technische Sicherheit der (digitalen) Impfpässe ist ungebrochen. Keine nicht berechtigte Stelle kann Impfausweise ausstellen, die einer ordnungsgemäßen Kontrolle standhalten würden. Allerdings gibt es zu viele zum Ausstellen berechtigte Stellen und so gut wie keine ordnungsgemäße Kontrolle. Beides ist gewissermaßen unvermeidbar und wahrscheinlich auch gut so:
Continue readingDisclaimer: Ich betreibe meinen WHO-Impfausweis als Panini-Sammelalbum meines Immunsystems. Ich strebe eine komplette Sammlung an und bin auf seltene Sticker besonders stolz.
Wenn es in Zeiten der Pandemie gesundheitliche Sicherheit und Zugang zu gesellschaftlicher Teilhabe zu verteilen gibt, fällt jede Scham. Eine befreundete Medizinerin wollte mir vor einigen Wochen gar nicht glauben, dass ich noch gar keinen Biontech-Shot hätte: “Also in unserem Freundeskreis längst durchgeimpft. Soll ich dir kurz ein Rezept ausstellen? Dann kannst du morgen direkt zu einer Kollegin von mir…”
“Unter der Hand” ist die Impfpriorisierung längst aufgelöst. Entsprechend verlangen jetzt auch wohlgenährte Menschen im besten Alter nach ihren Grundrechten und Freiheiten. Aber Grundrechte, die nur ein kleiner privilegierter Teil der Gesellschaft hat, sind keine.
Die deutsche “Impfkampagne” nahm gerade endlich Fahrt auf, da wurde schon die strategische Versemmelung offiziell beschlossen. Die Priorisierung wird bald vollständig aufgehoben. Jetzt sind ganz offiziell jene dran, die gute Beziehungen zu Ärztinnen pflegen, die mit automatischen Wählfunktionen die Hotlines und Praxis-Nummern blockieren, oder mit automatischen Skripten die Websites zur Terminvergabe belagern.
In einer solchen Zeit wird nun der Impfausweis als “Lösung” präsentiert.
Die Lösung aber, heißt Impfung. Für alle. So schnell es geht.
Dann brauchen wir auch keinen Impfpass mehr.
Für den CCC haben Matthias Marx und ich eine Sachverständigenauskunft zur Änderung des Infektionsschutzgesetzes verfasst: Impfnachweise beenden keine Pandemie. Hier gibt es eine Kurzzusammenfassung. Auszüge:
Solange nicht alle, die geimpft werden wollen, auch geimpft werden können, sind Impfausweise ein Mittel der gesellschaftlichen Spaltung. Als solche sind sie kein Teil der Lösung, sondern ein Teil des Problems. […]
„Die Diskussion um die Impfnachweise darf nicht davon ablenken, dass nicht der Impfnachweis, sondern die Impfung zurück in ein normales Leben hilft.“
Matthias Marx, CCC
In Anbetracht des abfahrenden Zuges, dass sich Impfnachweise nicht mehr verhindern lassen, haben wir gesellschaftliche und technische Mindestanforderungen formuliert.
Direkt nach der Einigung zum EU-Impfpass habe ich ZDFheute live ein Interview dazu gegeben:
Im Podcast Logbuch:Netzpolitik haben wir uns dem Thema ausführlicher gewidmet. Logbuch:Netzpolitik kann man hier kostenlos abonnieren.
Am Montag war ich kurzfristig als Sachverständiger in den Innenausschuss des deutschen Bundestags geladen, um zu einem Änderungsantrag von CDU/CSU/SPD Stellung zu nehmen. Seit dem erstem März war das meine dritte Ladung als Sachverständiger in diesem Jahr – die Legislaturperiode neigt sich mal wieder spürbar dem Ende zu.
Gemäß dem Änderungsantrag sollen die Länder zum einfachen Zugriff eigene Biometrie-Datenbanken mit den bei der Beantragung eines Passes eingereichten Bildern errichten dürfen:
Vor einer solch Inflationären Nutzung biometrischer Daten warnt der CCC seit Einführung der biometrischen Pässe. Damals™ wurde uns hoch und heilig zugesichert, dass solche Datenbanken nicht kommen würden. Eingeführt wurden sie dann 2017.
Die nun von der Regierungskoalition verlangte Änderung des Passgesetzes hat natürlich mit der Einführung der mobilen e-ID überhaupt nichts zu tun. Zum ursprünglichen Gesetzesentwurf gibt es eine gemeinsame Stellungnahme von CCC und FIfF.
Die Aufzeichnung der vollständigen Anhörung gibt es hier, eine Zusammenfassung auf bundestag.de. Unten ein Zusammenschnitt meiner Beiträge. Mir ist übrigens unklar, warum ich im Ausschuss nicht mit Video zu sehen war – ich hatte mich extra schick gemacht.
Hier geht es zur europäischen Bürgerinneninitiative “reclaim your face”
Am Mittwoch war ich mit anderen Sachverständigen im Bundestagssausschuss Digitale Agenda zum Fachgespräch zur “Sicherheit und Koordinierung der Nutzung von sogenannten Clustererkennungs-Apps.”
Geladen waren Ulrich Kelber (Bundesdatenschutzbeauftragter), Arne Schönbohm (BSI), Martin Fassunge (SAP), Martin Tschirsich (INÖG), Henning Tillmann (D64), Bianca Kastl (Gesundheitsamt Bodenseekreis/cron IT), Patrick Hennig (nexenio/lucaApp) und ich.
Als Vertreter des Chaos Computer Clubs habe ich eine kritische Haltung zum zentralisierten System Luca vertreten. Mitte April hat der CCC eine “Bundesnotbremse” für die Steuerfinanzierung des privatwirtschaftlichen Unternehmens gefordert.
In einem offenen Brief warnen 77 IT-Security-Expertinnen der deutschen Akademia vor dem zentralisierten Luca-System.
Neben den wichtigen Stellungnahmen von Arne Schönbohm und Ulrich Kelber fand ich vor allem die Erläuterungen von Binca Kastl bedeutsam: Durch Ihre Mitarbeit im Gesundheitsamt kennt sie den tatsächlichen Daten-Bedarf in der täglichen Arbeit. Sie war außerdem an der Entdeckung der Schwachstelle LucaTrack maßgeblich beteiligt.
Im Folgenden daher ein Zusammenschnitt der Einlassungen von Bianca Kastl und mir (zur vollständigen Aufzeichnung geht es hier entlang):
Letzte Woche habe ich mich mit Hajo Schumacher über den beklagenswerten Zustand der Digitalisierung in Deutschland unterhalten.
Heute durfte ich als Sachverständiger im Innenausschuss des Deutschen Bundestags zum geplanten Zweiten IT-Sicherheitsgesetz Stellung nehmen. Eine ausführliche schriftliche Stellungnahme habe ich zusammen mit Frank Rieger, Dirk Engling und Matthias Marx für den Chaos Computer Club formuliert:
Sicherheit gestalten statt Unsicherheit verwalten
(44 Seiten PDF, ~1MB Download)
Die Kritik im Einzelnen haben wir auch in einer Pressemitteilung des CCC zusammengefasst:
In der schriftlichen Stellungnahme führen wir vor allem aber auch aus, was Anforderungen an ein zeitgemäßes IT-Sicherheitsgesetz wären, und welche gegenteiligen Bestrebungen zurzeit vom BMI ausgehen.
Ein Video von der vollständigen Anhörung findet sich auf bundestag.de.
Dort findet sich auch der diskutierte Gesetzentwurf.
Insbesondere finden sich dort auch alle Stellungnahmen, darunter auch die der anderen geladenen Sachverständigen Sebastian Artz, Manuel Atug, Klaus Gärditz, Sven Herpig und Martin Schallbruch.
Zum besseren Überblick und zur Transparenz meiner Aussagen habe ich in folgenden Video meine Redebeiträge zusammengeschnitten:
Auch zum ersten IT-Sicherheitsgesetz habe ich im April 2015 den Chaos Computer Club vertreten – mit großer Freude.
Gestern habe ich auf eine Presseanfrage der Rheinischen Post geantwortet. Weil ich mich in dem daraus entstandenen Artikel und der Argenturmeldung nicht wirklich adäquat wiedergegeben fühle, veröffentliche ich meine Antworten für Interessierte im Volltext.
Die Wirksamkeit der App ist primär begrenzt durch die Anzahl der Nutzenden. Wenn nur 1/4 der Menschen die App nutzen, kann auch nur 1/4 der Infizierten ihre Kontakte warnen. Von den Kontakten nutzen aber wiederum nur 1/4 die App, so dass nur 1/16(!) der Risiko-Begegnungen überhaupt von der App abgedeckt werden.
Weitere Limitationen ergeben sich aus der Ungenauigkeit der Bluetooth-Messung. Hierbei ist jedoch festzuhalten, dass diese Messmethode genauer als jede andere zur Verfügung stehende Methode – insbesondere GPS – ist.
Das meiste Verbesserungspotenzial hat die App durch eine schnellere und einfachere Meldung. Die hohe Abbruchquote bei der Meldung ist das größte Manko der App.
Was die App braucht, sind an erster Stelle mehr Nutzerinnen. Wer nun wie Friedrich Merz oder Boris Palmer eine Vollüberwachung fordert, senkt das Vertrauen in die App und damit auch die Nutzungszahlen. Eine Vollüberwachung würde nicht besser funktionieren – erst recht nicht, wenn keiner mitmacht.
Continue readingBei “Anne Will” vom 13. Dezember 2020 stellte der Philosoph Julian Nida-Rümelin eine Reihe schwer haltbarer Tatsachenbehauptungen auf. Für eine informierte Debatte mitten in der zweiten Welle einer tödlichen Pandemie ist das fatal.
In der aktuellen Folge unseres Podcasts Logbuch:Netzpolitik haben wir die Journalistin Katharin Tai zu Gast, die sich gerade in Taiwan aufhält. Erstaunt stellten wir fest: Vieles, das in Deutschland medial als Tatsache rauf und runter gebetet wird, entspricht einfach nicht den Tatsachen: LNP374 Ein alter weißer Mann ist passiert.
Dies nahm ich zum Anlass, auch mal dem Rest der Behauptungen hinterher zu recherchieren, die Julian Nida-Rümelin in der Sendung aufgestellt hat.
Erste unsinnige Behauptung: “Allgemeine Maßnahmen” [wie ein Lockdown] seien “nicht sehr effektiv” und würden zum Teil das Infektionsgeschehen “in die Höhe” treiben, weil sich Familien in Ihren Wohnungen gegenseitig anstecken würden.
Tatsache ist: Allgemeine und kompromisslose Maßnahmen haben all jene Länder gemein, die erfolgreich mitunter seit Monaten zero covid feiern. Dieses Ziel wurde in keinem Land der Erde auf anderem Weg erreicht.
Anmerkung: Was natürlich nicht effektiv sind, sind halbherzige Maßnahmen, wie sie in Deutschland nun zweimal in Folge ergriffen wurden. Diese führen in der Tat zu einem gegenteiligen Effekt, wie mein Kollege Tim Pritlove kürzlich schön zusammenfasste. Das ist es aber nicht, was Philosoph Nida-Rümelin kritisiert.
Mir persönlich scheint inzwischen (leider) offensichtlich zu sein: Das einzige, was noch schlimmer ist als ein harter Lockdown, ist ein halbherziger Lockdown.
Zweite unsinnige Behauptung: In Südkorea, Taiwan und Japan gäbe es “ortsbasiertes Contact Tracking” [sic!] und dieses sei für den Erfolg verantwortlich. “Den Datenschutz” macht Nida-Rümelin dafür verantwortlich, dass Deutschland keine nachhaltige Strategie im Umgang mit der Pandemie habe.
In dieser Behauptung stecken so viele Fehlannahmen, dass es schwer ist, sie alle einzeln zu widerlegen. Beginnen wir daher mit einfach zu widerlegenden Fakten.
Tatsache ist: Taiwan nutzt gar keine Contact Tracing App, Japan nutzt die gleiche Corona-App wie Deutschland und auch Südkorea kann nicht als Beispiel herhalten.
Entgegen der Behauptung des Philosophen hat Taiwan keine GPS-basierte Contact Tracing-App. Noch besser: Taiwan hat GAR KEINE Contact Tracing App, sondern ein modernes System für das Management der Kontaktverfolgung bei den Gesundheitsämtern. Was Taiwan ansonsten tatsächlich hat, ist eine Überwachung der Quarantäne, in die sich Einreisende und Kontakte von Infizierten begeben müssen. Diese basiert jedoch nicht auf einer App und nicht auf GPS und hat auch mit Contact Tracing nichts zu tun.
In Taiwan wurden viele Maßnahmen probiert – eine Contact Tracing App ist dort heute nicht verbreitet und hat somit auch keinen Anteil am Erfolg.
Japan hat eine Bluetooth-basierte Contact Tracing App. Diese App funktioniert exakt genau so wie die deutsche Corona-Warn-App und nutzt exakt das gleiche Google/Apple-Exposure Notification Framework. Das Framework verbietet die Nutzung von Lokationsdaten.
Die Südkoreanische App dient ebenfalls der Quarantäne-Überwachung und nicht dem Contact Tracing. Sie hatte Ende Juli ein schweres Datenleck und Südkorea kämpft gerade mit der zweiten Welle. Einen Ausbruch im August hat Korea hingegen unter Kontrolle gebracht – mit einem Lockdown.
Auch dieser “Erfolg” kann also nicht als argumentative Grundlage dienen für das, was Nida-Rümelin behauptet.
Fazit: Die Tatsachenbehauptungen, auf die der Philosoph Julian Nida-Rühmelin seine Argumentation stützt, entbehren jedem Bezug zur Realität.
Ich gebe zu, dass auch ich diese Behauptungen zunächst nicht infrage gestellt habe, weil ich davon ausgegangen bin, dass die Redaktion der Sendung “Anne Will” ihre Gäste zumindest einem groben Fact– und Sanity-Check unterzöge.
Dritte unsinnige Behauptung: “Der Datenschutz”
Tatsache ist: In Deutschland sind die Gesundheitsämter überlastet. Zur Zeit haben wir täglich 30.000 neue Fälle und über 900 neue Tote. Anstrengungen zum Contact Tracing, egal welcher Art, werden in dieser Situation nicht mehr helfen können und wurden inzwischen vielerorts mehr oder weniger aufgegeben. Unsere Gesundheitsämter agieren mit Faxgeräten und dem RKI wurden 4 neue Stellen von 68 benötigten Stellen gewährt. Nach einem “Lockdown Light” befinden wir uns nun in einem “Lockdown Medium Rare”, der ebenfalls nicht geeignet sein wird, die Infektionszahlen in einen kontrollierbaren Bereich zu bringen.
Wir benötigen Maßnahmen, die 1. das allgemeine Infektionsgeschehen senken und 2. Menschen schneller alarmieren, damit sie nicht mehr Menschen anstecken. Vorschläge für das zweite Problem habe ich bereits an anderer Stelle gemacht und diese auch mehrmals wiederholt. Contact Tracing ist ein Luxus, den man sich leisten kann, wenn das Infektionsgeschehen so niedrig ist, dass zero covid erreichbar scheint. Der Weg dorthin ist bekannt und hat mit Datenschutz wenig zu tun.
Wer behaupten möchte, der Datenschutz sei an dieser Situation schuld, müsste diese Aussage belegen – auch wenn er nur ein Philosoph ist.
Allen, die sich hingegen wirklich dafür interessieren, wie Taiwan es tatsächlich geschafft hat, empfehle ich unser Gespräch mit Kathatin Tai: LNP374 Ein alter weißer Mann ist passiert.
Update: Ein kürzerer und prägnanterer Artikel zu diesem Thema wurde bei heise.de als Gastbeitrag veröffentlicht: Alle reden von Clustern – nur die Corona-App nicht.
Seit dem Launch der Corona-Warn-App sind bald 4 Monate vergangen. In dieser Zeit haben wir viel über das Virus gelernt. Dieses Wissen muss nun auch in der App ankommen.
Zur Erinnerung: Die App soll dabei helfen, Risiko-Kontakte zu erfassen. Als Risiko-Kontakt gilt für die App: Abstand weniger als 1,5m; Dauer länger als 15min.
Leider ist es aber bei diesem einen Entscheidungskriterium geblieben. Inzwischen wurde – ohne große Überraschung – eine Reihe von Situationen erforscht, in denen die App nicht zuverlässsig funktioniert.
Als Paradebeispiel kann hier der öffentliche Nahverkehr gelten: Die “Metallröhre”, in der die Menschen sitzen, führt zu allerhand Reflektionen und Signalstörungen – und schließlich zu keinerlei korrekten Alarmierungen. Update: An der Studie werden methodische Fehler bemängelt, aber auch eine korrekt funktionierende App würde der Bahn-Situation nicht vollkommen gerecht.
Das ist besonders verhängnisvoll, weil die App in genau solchen Situationen, in denen Fremde sich nah kommen und nicht in der Lage sind, sich später zu alarmieren, für zusätzliche Abdeckung sorgen soll.
So hat die Physik dem Bluetooth-Ansatz erwartbare und auch vorher schon bekannte Grenzen gesetzt. In der Gastronomie zum Beispiel gilt unter anderem deshalb die Pflicht zur manuellen Erfassung.
Doch selbst wenn die Abstandsmessung perfekt wäre, würde sie dem Stand der Wissenschaft nicht gerecht: Zwei gemeinsame Stunden in einem stickigen kleinen Kellerraum mit großzügigem Abstand von drei Metern sind riskanter zu bewerten, als dreißig Minuten an der frischen Luft, bei einem Abstand von 1,50m. Die App kann den Unterschied aber nicht feststellen.
Dieser Effekt wird besonders anschaulich, wenn wir uns eine alltägliche Konferenz-Situation mit 8 Personen in einem Raum vorstellen: Maximal 2 Anwesende werden im Risikobereich von 1,50m Entfernung sein können. Wären wir als Anwesende zufrieden, deshalb keine schnelle Warnung zu erhalten?
Mitglieder des CCC haben in verschiedenen digitalen Contact-Tracing-Lösungen für die Gastronomie Schwachstellen gefunden. Die Systeme wurden oft mit der heißen Nadel gestrickt und setzten auf zentrale Erfassung.
Als sinnvolle Alternative riet ich in dem Zusammenhang zur manuellen Erfassung per Zettel. Daraufhin meldete sich eine Vielzahl an Gastronominnen bei mir, die unter den Problemen des Ansatzes litten:
Mit anderen Worten: Das Zettel-System scheitert an den Anforderungen der Praxis.
Die beiden Beispiele Restaurantbesuch und Konferenz haben etwas gemeinsam: Sie bezeichnen die Zusammenkunft mehrerer Personen an einem Ort für einen Zeitraum. Welcher Ort das genau ist, und welche Personen genau anwesend waren, ist dabei unerheblich. Eine zentrale Erfassung verbietet sich also.
Die Corona-Warn-App kann bisher nur Abstände zwischen einzelnen Personen erfassen. Was fehlt, ist der Datentyp der Zusammenkunft. Letzte Woche habe ich einen datenschutzkonformen Ansatz dafür mit Tim Pritlove in unserem Podcast Logbuch:Netzpolitik umrissen. Nahezu zeitgleich haben Wouter Lueks, Seda Gürses, Michael Veale, Edouard Bugnion, Marcel Salathé und Carmela Troncoso ein Whitepaper veröffentlicht, das den Ansatz sauber ausformuliert.
Das System ist so simpel, wie datensparsam: Wie schon beim Contact Tracing gibt es keine zentrale Datensammlung darüber wer wen wann wo getroffen hat. Die Information, dass eine Person Teil einer Zusammenkunft war, wird ausschließlich auf ihrem eigenen Gerät gespeichert. Die Alarmierung erfolgt analog zum bisherigen Ansatz der CWA durch Veröffentlichung eines Codes, der für die restliche Öffentlichkeit ohne Aussage ist.
Im Folgenden spiele ich den Ablauf beispielhaft für ein konspiratives Meeting einer Gruppe von Wirecard-Managern durch – der Ablauf für ein Restaurant wäre analog.
In der Gastronomie könnte das Verfahren alternativ zur papierbasierten Erfassung angeboten werden. Demgegenüber hätte es nur Vorteile: eine schnelle Alarmierung ist möglich, eine zentrale Datensammlung wird vermieden, Besucherinnen müssen keine persönlichen Daten angeben. Die 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps gelten selbstverständlich weiterhin, sind nicht verhandelbar und können von diesem Ansatz bei sauberer Umsetzung erfüllt werden.
Weiterentwicklungen wie diese sollten bei einer 20-Mio-Euro-App nicht aus der Community kommen müssen, sondern aktiv von Telekom und SAP vorangetrieben werden.
Gamma/FinFisher stellt Staatstrojaner her – Schadsoftware, die von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Der Staat hackt seine Bürger – in Demokratien ist das ein heiß diskutiertes Thema. Zuletzt habe ich 2017 dazu als Sachverständiger im Rechtsausschuss des Bundestags Auskunft gegeben: Risiken für die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung.
In Diktaturen wird weniger diskutiert, sondern einfach gemacht. Entsprechend häufen sich seit Jahren die Hinweise, dass Gamma/FinFisher in Staaten den Schwerpunkt seiner Kundschaft hat, die nicht für ihre Demokratien bekannt sind: In Ländern wie Bahrain, Ätiopien, Ägypten, und Türkei wurde die Software eingesetzt – natürlich nicht gegen Kriminelle, sondern gegen politische und journalistische Opposition.
Wie kann es sein, dass ein deutsches Unternehmen “Cyberwaffen” an Diktaturen der Welt exportiert? Unterliegen solche Produkte keinen Exportbeschränkungen?
Doch. Natürlich tun sie das.
Und genau diese Exportbeschränkungen scheinen umgangen worden zu sein, als die Software im Sommer 2017 gegen die türkische Oppositionsbewegung eingesetzt wurde. Der Nachweis gestaltet sich aber schwierig: Die Exportrestriktionen galten erst ab dem 18. Juli 2015. Wurde die in der Türkei 2017 eingesetzte Schadsoftware vor oder nach diesem Datum geliefert? Und lässt sich überhaupt nachweisen, dass das Sample von FinFisher stammt?
Der Frage nach Herkunft und Lieferzeitpunkt haben Thorsten Schröder und ich uns letztes Jahr gewidmet. Durch die Analyse von insgesamt 28 FinFisher-Samples konnten wir eine Kontinuität aufzeigen, in die sich das Sample einfügt. Außerdem konnten wir das Herstellungsdatum bestimmen: Es liegt eindeutig nach dem Inkrafttreten der Exportrestriktionen. Ergänzend zu wichtigen Ergebnissen anderer Forscher wurde unsere Analyse Teil der Grundlage einer Strafanzeige gegen das Unternehmen.
Unsere Analyse “Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure” umfasst 60 Seiten. Die in dem Rahmen gebauten Tools und die Rohdaten (inklusive aller Samples) haben wir auf Github veröffentlicht. Auf dem 36C3 hat Thorsten die Ergebnisse in einem Vortrag präsentiert.
Nachdem die Strafanzeige gestellt war, passierte lange Zeit nichts. Doch gestern wurde bekannt, dass in der vergangenen Woche 15 Wohn- und Geschäftsräume im In- und Ausland vom Zollkriminalamt durchsucht wurden.
Wow!
Durchsuchungen in diesem Umfang finden nicht einfach mal so statt. Der Verdacht scheint sich also tatsächlich zu erhärten. Ein Firmengeflecht aus Briefkästen in Malaysia, Bulgarien, Pakistan und Dubai wird nun untersucht. Verwaltet werden die Unternehmen zentral aus München. Wer Exportrestriktionen umgehen will, könnte mit einem solchen Netzwerk ganz gut “Hütchen spielen.”
Zum jetzigen Zeitpunkt bleibt offen, ob der ominöse “Anwalt aus München” einen juristisch wasserdichten Weg gefunden hat, die gesetzlichen Vorgaben zu umgehen. Wenn das der Fall sein sollte, muss die Gesetzgeberin nachbessern.
Weil Software nicht materiell gebunden ist, lässt sie sich über das Internet leicht in alle Länder der Welt “liefern” – meine persönliche Vermutung ist, dass die Durchsuchungen den Nachweis liefern sollen, dass an den verschiedenen Standorten mit der gleichen Code-Basis agiert wird.
Dass Gamma/FinFisher ein äußerst zweifelhaftes Unternehmen ist, wird von niemandem mehr infrage gestellt – wahrscheinlich noch nicht einmal von den ebenfalls zweifelhaften Kundinnen.
Deutsche Strafverfolgungsbehörden wissen seit 2012, dass der Funktionsumfang der Software gegen deutsches Recht verstößt. Nun kommt auch noch der Verdacht der kriminellen Umgehung von Exportrestriktionen hinzu. Und erst vor wenigen Wochen wies Amnesty International erneut den Einsatz der Software in Ägypten nach – wie so oft, gegen Oppositionelle.
Dennoch: Das Bundeskriminalamt und die Berliner Polizei sind stolze Kundinnen des Unternehmens. Wann hört Deutschland endlich auf, dieses Unternehmen auch noch mit zu finanzieren, statt dem grundrechtswidrigen, rechtswidrigen und demokratiefeindlichen Treiben endlich ein Ende zu setzen?
Acknowledgements:
Dass wir überhaupt so viel über die Machenschaften des dunklen Geflechts mit Hauptquartier in München wissen, vielen internationalen Forscherinnen, Whistleblowern, Hackern und Journalistinnen zu verdanken:
Gestern hatte ich Gelegenheit im ARD Hauptstadtstudio zu erklären, warum die Bemühungen, Huawei aus deutschen 5G-Netzen heraus zu halten falsch begründet und nicht zielführend sind.
Für das Kunst- und Kulturmagazin “Flick Flack” habe ich erklärt, welche Bedeutung der Begriff “Trolling” für mich hat – und welche nicht.
Spoiler: Die landläufige Auffassung, dass Hass und Hetze im Netz diese Definition erfüllen, teile ich nicht. Hass und Hetze sind einfach nur Hass und Hetze.
Continue readingUpdates:
In der neuen Folge unseres Podcasts Logbuch:Netzpolitik habe ich unter anderem mit einer Reihe an Missverständnissen zu den Möglichkeiten und Grenzen sogenannter “Corona Apps” auseinander gesetzt.
Zur vollständigen Episode geht es hier: LNP339 Die Fantasie kennt keine Grenzen beim Setzen von Grenzen.
Logbuch:Netzpolitik ist werbefrei, kostenlos und kann überall abonniert werden, wo es Podcasts gibt.
In der aktuellen Folge von Computer und Kommunikation wird der technische Stand von Entwicklung und Diskussion sehr gut von Peter Welchering und Manfred Kloiber zusammengefasst:
Updates:
Über eine technisch gestützte Rückverfolgung von Corona-Infektionen werden zur Zeit verschiedene Debatten heiß geführt. Es begann mit der Weitergabe von Bewegungsdaten durch Mobilfunkanbieter an das Robert-Koch-Institut und natürlich ließen auch Gesetzesänderungen zum vollumfänglichen Location-Tracking nicht lang auf sich warten.
Im Folgenden erkläre ich, warum Location-Tracking völlig ungeeignet ist, und welche Methoden stattdessen zielführend sein könnten. Wichtig ist immer, Sinn und Ziel einer solchen App nicht aus den Augen zu verlieren:
Wenn bei einer Person zum Zeitpunkt t eine Infektion festgestellt wird, soll sie in der Lage sein, ihre Kontakte der letzen t–14 Tage darüber zu informieren. Nicht mehr, aber auch nicht weniger. Primäres Ziel sollte also sein, die Kontakte reliabel zu erfassen.
In der Debatte werden die Begriffe „Standortdaten“, „Bewegungsdaten“ und „Kontaktdaten“ wild gemischt. Zunächst müssen wir also klären, wovon überhaupt die Rede ist.
1. Standortdaten: Person x war zum Zeitpunkt t an Ort A
Problem 1: Die räumliche Auflösung via GPS ist ziemlich ungenau.
Ob sich zwei Personen nah genug gekommen sind, um einander zu infizieren, oder ob sie mehrere Meter voneinander entfernt waren, lässt sich anhand der Genauigkeit von GPS einfach nicht entscheiden – eine Unmenge an false positives wäre die Folge.
Problem 2: Da wir uns bewegen, entsteht natürlich eine sehr lange Liste für jede Person. Die Länge der Liste richtet sich dabei nach der Frequenz der Erfassung. Noch dazu sind die Daten personengebunden. Da wir uns zurzeit weitestgehend isolieren, wäre der größte Teil der erfassten Daten zudem noch absolut irrelevant!
Fazit: Standortdaten sind aufgrund ihrer Ungenauigkeit schlichtweg ungeeignet. Schon das allein disqualifiziert sie, so dass wir die immensen Datenschutz- und Grundrechtsverletzungen gar nicht erst zu diskutieren brauchen.
2. Bewegungsdaten: In Zeitraum Δt haben sich n Personen von Bereich A in Bereich B bewegt.
Bewegungsdaten sind also im Gegensatz zu Standortdaten räumlich und zeitlich geringer aufgelöst. Sie sollten darüber hinaus über mehrere Personen aggregiert sein, so das die Identifikation der Bewegungen einzelner nicht möglich sein sollte.
Anwendungszweck: Diese Art Daten eignen sich gut zur Messung der Effektivität von Maßnahmen zur Senkung der Mobilität.Das ist im weitesten Sinne das, was von den Mobilfunknetzen an das RKI gegeben wird – ein Anspruch also, für den es eine seit Jahren existierende Lösung gibt. Diese Lösung wurde kommerziell übrigens allen angeboten, die bereit sind, dafür zu bezahlen. Das RKI ist in der Reihe der Abnehmer vermutlich noch der am wenigsten problematische.
Problem 1: Je nach zeitlicher und räumlicher Auflösung sind diese Daten ggf. von einer böswilligen Anwenderin durchaus de-anonymisierbar.
Problem 2: Für das Identifizieren von Kontakten sind die Daten nicht geeignet.
3. Kontaktdaten: Person a und Person b hatten zum Zeitpunkt t für einen Zeitraum länger als Δt Kontakt.
Dies ist der einzige relevante Messwert, um den es hier wirklich gehen soll. Wo dieser Kontakt stattgefunden hat, oder an welchem Ort a und b davor und danach waren, ist absolut uninteressant. Wieso sollte das also überhaupt erfasst werden?
Halten wir fest: alles, was erfasst werden muss, sind Kontaktdaten.
Viele vorgeschlagene Konzepte sehen eine zentrale Speicherung von Standort- oder Bewegungsdaten vor. Hierbei würde eine Unmenge an irrelevanten Daten (kein Kontakt) gespeichert. Darüber hinaus ist eine zentrale Datenhaltung aus offensichtlichen Gründen abzulehnen: IANAL; aber nicht nur unterliegen wir hier dem Bereich der DSGVO, sondern auch den besonderen Anforderungen für sensible Gesundheitsdaten.
Die offensichtliche Anforderung ist also, sämtliche Daten dezentral und anonym vorzuhalten – und zwar auf eine Weise anonymisiert, die auch keine Deanonymisierung zulässt.
Es ergeben sich folgende Anforderungen:
Als Mitglied der Jury des Hackathons „Wir vs Virus“ hatte ich die Freude, eine Reihe von Einreichungen zu begutachten, die eine kluge Lösung gefunden haben, diese Anforderungen zu vereinen. Zur Veranschaulichung stark vereinfacht möchte ich sie hier einmal grob darstellen:
Trotzdem haben wir auf diese weise den Datensatz bester Qualität, weil genau nur unsere Kontakte aufgezeichnet wurden – jene Daten also, auf die es wirklich ankommt.
Diesen Anforderungen entsprechen folgende Einreichungen zum Hackathon „Wir vs. Virus“, die alle mittels Bluetooth ausgetauschte, zeitlich beschränkte Codes nutzen. Ich verlinke sie hier ohne Anspruch auf Vollständigkeit, weil ich nicht weiß ob ich alle Einreichungen zu diesem Thema reviewed habe:
Für Menschen ohne Smartphone würde sich mit leichten Abstrichen in eine QR-Code-Lösung anbieten, bei der die Privatsphäre der Personen zumindest gegenüber wohlmeinenden Kontakten sichergestellt werden könnte – natürlich fehlt dem QR-Code aber die Benachrichtigungsfunktion: Tracking Infection Awareness Alert (IAA)
Wir lernen also: Die Daten der höchsten Qualität und Aussagekraft lassen sich vollständig anonym und dezentral erfassen. Ein wunderschönes Beispiel, wie wir ohne zentralisierte Massenüberwachung sogar ein besseres Ergebnis bekommen – und dabei entspannt und frei weiterleben können, ohne der Corona-Krise gleich noch eine selbstverschuldete Grundrechtskrise folgen zu lassen.
Mein Lob, meine Anerkennung und mein Glückwunsch gilt den „Wir vs Virus“-Teams!
Natürlich muss aber auch angemerkt werden, dass nur minimale Änderungen ausreichen würden, die Anonymität oder Dezentralität zu zerstören. Beispielsweise, den Code nicht regelmäßig zu ändern, oder alle Codes immer zentral zu erfassen. Selbstverständlich kann so eine App ausschließlich auf freiwilliger Basis verbreitet werden. Wenn die hier skizzierten Anforderungen kompromisslos erfüllt sind, hätte ich aber keinerlei Bedenken, die App zu nutzen – und ich denke dass es vielen Menschen ähnlich ginge.
In den Tagesthemen konnte ich gestern diese Gedanken zum Teil ausführen:
Continue readingBeim 36C3 habe ich einen Vortrag über menschliche Faktoren der IT-Sicherheit gehalten:
Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?
Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.
Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit “out of scope” zu sehen.
Der Vortrag wurde aufgezeichnet und ist bei YouTube und auf media.ccc.de verfügbar:
Der Vortrag kann unter diesem Link anonym bewertet werden.
Ausführlicheres Feedback und Anregungen nehme ich auch gern direkt entgegen.
In den letzten Monaten haben Thorsten Schröder und ich endlich mal wieder ein kleines CCC-Projekt zusammen gemacht, das wir beim Congress endlich der Öffentlichkeit präsentieren konnten: Wir haben den Staatstrojaner Finspy in der Android-Version analysiert.
Anlass ist die Strafanzeige der Gesellschaft für Freiheitsrechte. Wie immer ist das Ganze ein bisschen eskaliert und am Ende haben wir nicht einen, sondern 28 Versionen des Staatstrojaners analysiert und die Samples natürlich auf Github veröffentlicht, um der Community weitere Analysen zu ermöglichen.
Der Fall ist politisch pikant, weil auch deutsche Strafverfolger FinSpy kaufen und einsetzen, während diese Schadsoftware aus völlig unerklärlichen Gründen immer wieder in autoritären Regimen beim Einsatz gegen demokratische Kräfte entdeckt wird. Die Zusammenhänge sind in diesem Tagesschau-Beitrag gut erklärt.
Es ist immer eine große Freude und Ehre, mit Thorsten zu arbeiten.
Ich freue mich, dass es sich gelohnt hat:
Pressespiegel (Auswahl)