Bisher hatte ich mir das Thema Datenbrief (ccc.de) noch nicht genauer angeschaut, allerdings dachte ich mir schon — wenn die Schwarz-Geld-Clique das gut findet, dann ist daran etwas krumm, wie die Hinterbeine eines Hundes.


Am 2. März schrieb der Blogfürst in “Vom Unsinn eines “Datenbriefes”” (blogfuerst.de):

Ich weiß nicht mehr genau wer die Idee eines sogenannten “Datenbriefes” hatte, der jährlich von allen Unternehmen an alle ihre Kunden verschickt werden soll. Ich weiß nur, dass es ein Unionschrist war.

Nicht so ganz, die Idee ist schon ein paar Jahre alt und kommt vom CCC selber:
“Der Chaos Computer Club (CCC) verlangt mehr Transparenz im Umgang mit den persönlichen Daten deutscher Bürger.” (computerwoche.de / 27.12.2008)

Ein jährlicher “Datenbrief”, der jedem Bürger per Infopost zugestellt werden solle und ihn über die Verwendung seiner Daten aufkläre, beschließt die Forderungen der Hacker.

Es ist natürlich durchaus möglich dass auch CCC-Mitglieder ein Parteibuch von der CDU oder CSU haben. ;O)

WELT ONLINE weiß dazu mehr:

Der Chaos Computer Club (…) vertritt eine wertkonservative Bewegung.

Quelle: “Kurze Geschichte der Privatsphäre” (welt.de)


Die Rückkehr der Datenleichen. (pflaumensaft.wordpress.com)
Hier nur der Teaser — auf jeden Fall lesens- und nachdenkenswert:

Wie der Chaos Computer Club längst tote und begrabene Daten wieder zum Leben erwecken will und auch die Politik die Schaufel auspackt um längst verstorbene Datenleichen wieder auszugraben. Warum diese Idee das Zeug dazu hat im datenschutzrechtlichen äquivalent zu Tschernobyl zu enden und ein eklatanter Verstoß gegen das Recht auf Informationelle Selbstbestimmung ist:

Chaos Computer Club gegen Intimssphäre (blogfuerst.de)

Dieses Szenario ist keineswegs extrem oder selten. Ich frage mich nur, ob der CCC so viel Rückgrat besitzt, sich öffentlich einzugestehen, dass der Datenbrief ein Fehler war. Aufgrund der Tatsache, dass gar zwei Bundesminister diese Idee “erwägenswert” fanden, bezweifle ich jedoch, dass dies geschieht. Ist doch der CCC mittlerweile fest als IT-Lobby-Organisation etabliert. Und wer in der Öffentlichkeit steht, neigt eher weniger dazu Selbstkritik zu üben. (Hervorhebung von mir.)

Pflaumensaft hat, im Gegensatz zum CCC, das Datenbrief-Szenario einmal zu Ende gedacht und dem Blogfürst kann ich auch nur beipflichten. Auch ich glaube der CCC hat sich in die Idee verrannt und will nun (in Politikermanier) bei dem einmal gesagten stur festhalten, wobei jegliche Kritik als Majestätsbeleidigung aufgefasst wird.


Fehler zuzugeben ist kein Zeichen von Schwäche, sondern eher eines von Stärke und einem gesunden Selbstbewusstsein — dem Bewusstsein fehlbar zu sein, mit dem Willen aus Fehlern zu lernen.

“Microsoft: Gefahr für alle Surfer” (pcwelt.de)

Microsoft und andere Computerexperten warnen vor einem ernsten Sicherheitsloch im Internet. Die Bedrohung geht vom sogenannten “cross-site-scripting” aus. Betroffen sind Programme aller Hersteller, da das Problem nicht aus den Anwendungen, sondern aus bestimmten Internet-Standards resultiert.
(…)
Das Problem kann nur durch massive Anstrengungen der Web-Designer unter Kontrolle gebracht werden, sagte dazu ein Sprecher des CERT Coordination Center der Carnegie Mellon Universität. Riediger vom deutschen CERT rät den Anwendern, aktive Inhalte abzuschalten.

“aktive Inhalte abzuschalten” – das wird für den Besucher gar nicht so leicht, denn viele, sehr viele Websites funktionierten ohne JavaScript gar nicht mehr.


Die Meldung ist schon etwas älter… vom 4. Februar… 2000.


Mehr als 10 Jahre ist der Artikel alt und was hat sich geändert?

Die Angriffsmöglichkeiten die Cyberkriminellen zur Verfügung stehen haben sich um ein vielfaches erhöht. Heute findet man kaum noch Websites die ohne dynamische Inhalte daherkommen. Gibt es z.B. eine Sicherheitslücke in einem Content Management System, so sind gleich, je nach Verbreitung, tausende Seiten betroffen, was i.d.R. von den Kriminellen auch sehr schnell ausgenutzt wird.

Die Softwareentwickler und die vielen Websitefrickler, die sich “Webdesigner” nennen und in “Webagenturen” arbeiten, habe kaum bis gar nichts dazugelernt. In neu aufgesetzten Websites und in neuer Software (z.B. CMS) finden sich zu Hauf Sicherheitslücken, bei denen man sieht, da wurden wieder grundlegende Regeln für sichere Anwendungen missachtet.

Ich glaube wir brauchen endlich Standards an die sich Entwickler halten müssen, bevor sie tausendfach ihre Software verteilen, wobei ich jetzt nicht den kleinen Privatfrickler meine, sondern Firmen die mit ihrer Arbeit Geld verdienen. Und wir brauchen Standards wie diese Firmen mit gemeldeten Sicherheitslücken umgehen müssen, in welchem Zeitrahmen – nachprüfbar – gehandelt wurde.

Auch ein Websitebetreiber der Hinweise zu Sicherheitslücken bekommt muss handeln und zwar nachprüfbar. Es kann nicht sein das gemeldete Lücken aus Kostengründen oder Desinteresse ungefixt bleiben und man sich einfach darauf verlässt dass der der den Hinweis gegeben hat schon nichts veröffentlichen wird und kriminelle Hacker die Lücken nicht finden und ausnutzen werden.

Auch in Websites die aktuell 600.000 Besucher pro Tag haben gibt es eklatante Sicherheitslücken, von denen die Betreiber wissen, wo aber nicht gehandelt wird – 600.000 potenzielle Opfer von Cyberkriminellen – täglich – über eine Website! Wer Sicherheitslücken vorsätzlich nicht schließt, sollte haftbar gemacht werden können.

Verstößt jemand gegen den Datenschutz, so gibt es in jedem Bundesland eine Stelle an die man sich wenden kann. Um vorsätzlich ungefixte Lücken kümmert sich niemand, da muss der Handlanger der Cyberkriminellen keine Strafen befürchten – im Gegenteil, der Hinweisgeber wird sogar noch mit Klagen bedroht, um ihn mundtot zu machen.

Mir fällt es schwer hier den Gesetzgeber zum Handeln aufzurufen – aber eine Selbstkontrolle oder Selbstverpflichtung gibt es zu dem Thema leider bisher nicht.


Zu dem Thema noch zwei Links:
“Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken” (heise.de)

Tim Stanley, CISO bei der Fluglinie Continental Airlines, fand als Kunde der beiden Softwarehersteller deutliche Worte: “Es ist mir egal, in welchem Verhältnis Hacker und Hersteller zueinander stehen. Ich zahle direkt und indirekt die Arbeit von beiden und will, dass die Lücken so schnell wie möglich geschlossen werden.”

Und für die die Lücken finden und nicht wissen wie sie damit umgehen sollen:
“CR152 – Responsible Disclosure – Wie man als Hacker am Leben bleibt” (chaosradio.ccc.de)