Deutscher Bundestag
Stenografischer Bericht 132. Sitzung Berlin, Mittwoch, den 19. Oktober 2011
http://dipbt.bundestag.de/dip21/btp/17/17132.pdf

Burkhard Lischka (SPD):
Herr Staatssekretär, wie bewerten Sie denn die Aussage eines Beamten Ihres Hauses heute Morgen im Rechtsausschuss, dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei und vor allen Dingen keine Aussage darüber möglich sei, ob in der Software weitere Funktionen vorhanden sind, die nicht aktiviert wurden, oder ob solche Funktionen fehlen?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Diese Aussage – ich war ja heute, anders als Sie, im Innenausschuss dabei – ist so nicht gemacht worden. Das BKA hat klargestellt, dass selbstverständlich das BKA volle Kontrolle über die Anwendung der Software hat und deshalb das Ganze rechtmäßig abläuft.

Noch einmal: Das Ganze wird auch über eine revisionssichere Protokollierung festgehalten, damit im Nachhinein überprüft werden kann, ob unter Umständen etwas eingesetzt wurde, was vom Richter nicht angeordnet worden war.

Anwesend zu sein reicht aber offensichtlich nicht aus — zuhören und verstehen wäre auch ganz hilfreich.

Jerzy Montag (BÜNDNIS 90/DIE GRÜNEN):
Herr Staatssekretär, ich muss Ihnen vorhalten, dass genau das, was Sie jetzt bestreiten, uns der Vertreter Ihres Hauses im Rechtsausschuss gesagt hat: Erstens. Wir haben keinen Quellcode. Zweitens. Ohne den Quellcode ist eine vollständige Kontrolle nicht möglich.

Ich halte es, ehrlich gesagt, auch für putzig, dass Sie uns hier erklären, das Bundesinnenministerium und die Bundesbehörden könnten diese Trojaner vollständig prüfen; denn der Chaos Computer Club habe es ohne Quellcode auch gekonnt. Das ist eine Antwort mit Chuzpe, aber so kann man, finde ich, Abgeordnete nicht abspeisen. Der Chaos Computer Club hat ja selbst geschrieben, dass er nur eine oberflächliche Prüfung durchführen kann. Dass er dabei so viel herausgefunden hat – so hat er geschrieben –, ist nur deswegen möglich gewesen, weil dieser Trojaner so miserabel gebaut worden ist.

Deswegen in allem Ernst meine Frage an Sie: Halten Sie es für richtig, rechtsstaatlich und möglich, dass staatliche Behörden auf Bundesebene einer privaten Firma gegen Geld den Auftrag erteilen, eine solche Software zu entwickeln, sich aber damit begnügen, dass sie von der Firma keinen Quellcode bekommen und damit eine vollständige Prüfung aller möglicherweise versteckten Funktionalitäten gar nicht vornehmen können?

Dr. Ole Schröder, Parl. Staatssekretär beim Bundesminister des Innern:
Entscheidend ist, welche Software im konkreten Fall angewendet wird. Das ist der rechtsstaatliche Maßstab. Das wird durch eine revisionssichere Protokollierung sichergestellt.
(Jerzy Montag [BÜNDNIS 90/DIE GRÜNEN]: Das Verfassungsgericht sieht das ganz anders!)
Wenn der Richter anordnet, dass nur die entsprechende Telekommunikation überwacht werden darf, dann darf auch nur dieses Mittel angewendet werden, und das wird durch die revisionssichere Protokollierung sichergestellt.

Sie unterstellen hier den Beamten, dass sie rechtswidrig gehandelt haben, und Sie tun das, ohne dass Sie dafür Anhaltspunkte haben. Das ist nicht in Ordnung.

Mehrfach wurde von Parlamentariern nachgefragt, ob der Quellcode von Staatstrojanern vorliegt und mehrfach meinte der Parlamentarische Staatssekretär beim Bundesminister des Innern, Dr. Ole Schröder, dass es nicht nötig sei diesen zu kennen, da man ja die “revisionssichere Protokollierung” hätte, die besagt welche Software eingesetzt wird (allerdings ohne zu wissen was sie kann). Hier weiß der Herr Staatssekretär natürlich sehr viel mehr, als Beamte (des BMI, BKA oder BSI) die im Rechtsausschuss behaupten “dass ohne Kenntnis des Quellcodes keine komplette Prüfung der Software möglich sei”.

Das BKA und die LKAs beschäftigen so kompetente Reengineerer (das BSI hat jegliche Tätigkeiten im Bereich Staatstrojaner abgelehnt), dass die am Binärcode sofort sehen können, welche 0 und welche 1 was macht. Die Bugs in dem Staatstrojaner die der CCC seziert hat, wurden dabei wohl einfach übersehen — dies kann jeder 0 mal passieren. ;O)

Die Dummheit muss offensichtlich sehr fortgeschritten sein, um das Amt eines Staatssekretärs bekleiden zu können. Ein Hirn wäre da nur hinderlich, wenn wieder und wieder der Schwachsinn repetiert wird, welcher der Dienstherr gerne verbreitet haben möchte.


Einerseits halte ich Politiker (ab einer höheren Position) generell für korrumpiert, weil, wer an wichtigen Schaltstellen der Macht angelangt ist, hat dafür seine Seele verkauft, ist Kompromisse eingegangen, die ein moralisch einwandfreier Charakter nicht in Betracht zieht, aber andererseits hege ich doch auch eine gewisse Bewunderung, wenn ich sehe wie schwer es ist, ehrlich gegen Dummheit, Lüge und Vetternwirtschaft unter den Kollegen vorzugehen.


Update: 17:28 Uhr

Der Link zu der Auflistung zu den Videos aus der Mediathek des Bundestages zur Fragestunde:
http://forum.gleitz.info/showthread.php?25965-Artikel-zu-allgemeinen-Themen/page167

Die Landesbehörden haben völlig zu Recht darauf hingewiesen, dass sie die Grenzen dessen, was rechtlich zulässig ist, nicht überschritten haben.

“Landgericht: LKA Bayern setzt rechtswidrig Screenshot-Trojaner ein” (ijure.org)

Alle dreißig Sekunden, so Rechtsanwalt Schladt, hat die staatliche Überwachungs-Software ein Bildschirmfoto des Browser-Inhalts geschossen und die Screenshots heimlich über das Internet an die Ermittlungsbehörden übertragen – zu Unrecht, wie jetzt das Landgericht Landshut festgestellt hat

Die Anordnung, auf deren Grundlage der Trojaner installiert wurde:
http://ijure.org/wp/wp-content/uploads/2011/01/AG_Landhut_Anordnung-TKUe.pdf

Unzulässig sind die Durchsuchung eines Computers nach bestimmten auf diesem gespeicherten Daten sowie das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-over-IP betreffen. Auch das Abhören von Gesprächen, die außerhalb eines Telekommunikationsvorgangs im Sinne des § 100 a StPO erfolgen, ist unzulässig.

Der Beschluss, der den Rechtsbruch feststellt:
http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346-10.pdf

Es wird festgestellt, dass der Vollzug des Beschlusses des Amtsgerichts Landshut vom 02.04.2009 rechtswidrig war, soweit grafische Bildschirminhalte (Screenshots) kopiert und gespeichert wurden.

Was versteht das Männlein im Bundesinnenministerium daran nicht?

Die Überwachung von Voice-over-IP war erlaubt, aber alle 30 Sekunden einen Screenshot nachhause senden, definitiv nicht! Um dies zu verstehen muss man kein Jurist sein. Das Männlein ist aber Jurist, inkl. zweites juristisches Staatsexamen und Promotion an der Universität Augsburg zum Dr. jur. Ich glaube GuttenPlag sollte sich mal seine Arbeit genau ansehen. Wer einfache, leicht verständliche Sätze nicht kapiert, der kann unmöglich Jurist sein.

Das Männlein ist schlimmer und dümmer als Kanther, Schily und Schäuble zusammen. Das Männlein gehört gefeuert, mit Schimpf und Schande vom Hof getrieben, und dies ohne üppige Pensionsansprüche!

Kein Bundesinnenministers vor ihm, hat das Amt so unwürdig bekleidet wie er.

BMI-Männlein bitte geh, du bist einfach nur unerträglich.

Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.

Nicht nur wegen des “0zapftis” vermute ich, dass es sich um einen Landestrojaner handelt. In “Teurer Spaß mit Bayerntrojaner” hatte ich 2008 kurz über die bayerische Version eines Trojaners und DigiTask geschrieben. Das PDF welches der CCC damals veröffentlicht hatte, fand ich nun bei den Piraten wieder: http://wiki.piratenpartei.de/images/5/54/Bayern-skype-tkue.pdf

Mich wundert dieser Bruch des Grundgesetzes durch Staatsbedienstete in keinster Weise. Das was technisch möglich ist, wird auch umgesetzt. Die dilettantische Umsetzung wundert mich ebenfalls nicht. Gute Software kostet gutes Geld und das haben die Behörden nicht. Bin ich desillusioniert was das Vertrauen zum Staat angeht? Nein, auch dort arbeiten nur Menschen und mit deren Dummheit muss man immer rechnen, wie auch im täglichen privaten oder beruflichen Leben.

Auch wenn das BKA und das Bundesinnenministerium behaupten, der Trojaner wäre nicht von ihnen, so bin ich davon überzeugt, dass sie genau wissen was in Landeskriminalämtern zum Einsatz kommt und welche Süppchen die Landesinnenministerien im Verborgenen kochen.


Hier noch ein Video, welches relativ einfach erklärt, was dem CCC zugespielt wurde:

Wie erst jetzt bekannt wurde, ist das Mitgliedernetz der CDU schon im August 2009 Opfer eines Angriffs geworden.
(…)
Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden, erklärte ein CDU-Sprecher im Gespräch mit heise online.

“Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

Auch ich habe ab 2009 die CDU mehrfach auf verschiedene Sicherheitslücken hingewiesen, aber bisher habe ich nie eine Antwort bekommen. Wenn es mir wirklich wichtig wäre, dann hätte ich natürlich mehrfach zu jeder Lücke nachgehakt, aber bei den Konservativen, die die Asche weitertragen wollen und nicht das Feuer, mache ich da eine Ausnahme. Früher oder später werden auch sie die Lücken feststellen — auf die eine oder andere Art. :O)


“Volkswagen anfällig für Angriffe” (golem.de)

VW sei nur schlecht gegen Attacken über das Internet gesichert. (…) in die Produktion eingreifen, (…) vertrauliche Unterlagen etwa über künftige Automodelle entwenden.
(…)
Bisher war VW noch keinen Angriffen über das Internet ausgesetzt.

“Chef, is noch alles da, wir hatten noch nie Besuch von einem Hacker.”

Was glauben diese Ei-Tea-Spezial-Expert? Nur weil Daten nicht gelöscht wurden oder ein Angriff nicht an die große Glocke gehängt wurde, gab es keine Angriffe?

Wie dämlich muss man sein, um in solchen Firmen einen gut bezahlten Job zu bekommen? Tja, ich werde wohl nie reich werden. :O)


Um hier nicht einen falschen Eindruck zu verbreiten, solche Experten werkeln nicht nur in Organisationen und Firmen, die nicht direkt mit dem Internet ihr Geld verdienen.

“Neue Hacker-Gruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik” (gulli.com)

Vor zwei Monaten…

“Achtung! Phishing-Mails im Umlauf!” (kmelektronik.de)

Mittlerweile sind unsere Server wieder online und die entsprechende Sicherheitslücke wurde behoben. Unsere Recherchen haben bisher folgendes ergeben:

Am gestrigen Abend (21.06.2011) erhielten viele Kunden unseres Shops eine E-Mail mit dem Betreff „K&M Elektronik Gutschein“, die wie folgt aussah:

Ein Angreifer hatte sich damals Zugang zu E-Mail-Adressen und Namen der Kunden verschafft, um echt wirkende E-Mails versenden zu können. Es wurden per SQL-Injection auch im Shop selber Inhalte hinterlegt, was K&M in der Meldung natürlich verschwieg.

“Gezielter Angriff auf Kunden von K&M-Elektronik” (heise.de)

Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.

Und nun ist es wieder SQL-Injection, über die die Hacker ins System vordrangen, um alle Daten der Kunden, inkl. der Passworte, die natürlich im Klartext in der Datenbank gespeichert wurden, zu kopieren.

K&M hatte damals bereits einen Experten zum Schließen der Sicherheitslücken hinzugezogen. Über die Güte des Experten kann ich natürlich nichts sagen, aber wenn ich (aktuell noch immer) über eine einfache Google-Suche SQL-Fehlermeldungen finde und somit auch weitere potenzielle Lücken zu SQL-Injection… naja, evtl. auch ein Ei-Tea-Spezial-Experte?

JusProg, dessen Entwicklung durch Mitgliedsbeiträge des gleichnamigen Vereins (Mitglieder sind unter anderem der Bauer Verlag, Beate Uhse, Bild.de und Freenet; derzeit kommen noch ca. 30 Prozent der Mitglieder aus der Erotikbranche) finanziert wird…

Diese Screenshots wurden mit der FSK-Stufe “12″ gemacht:

Der Unterschied zwischen diesen beiden Seiten? Das Tittenblatt ist Mitglied in dem Verein und das Tittenmagazin zahlt wohl nicht einmal das monatliche Schutzgeld den monatlichen Beitrag von 450 Euro.

Der Playboy ist übrigens erst ab 18 Jahre freigeschaltet und die BILD ab 12 Jahre – ein Schelm wer Böses dabei denkt.


Mal unabhängig davon dass kein 12jähriger weder mit nackter Haut erschreckt, noch hinter dem Ofen hervorgelockt werden kann, ist dieser Filter technisch gesehen mal wieder 100% murks.

Die Ergebnisse der Bildersuche von Google werden erst einmal nicht gefiltert angezeigt, womit es relativ leicht ist Pron-Seiten zu finden, die dann gar nicht gefiltert werden. Wer meint seine Kinder mit einem Filter vor Pron schützen zu können… naja, der hat eh verloren und sollte mal einen Aufbaukurs zum Thema Medien und Smartphones machen.

ha.ckers.org ist für bis zu 16jährige gesperrt, aber ckers.org dürfen bereits 12jährige besuchen!? IT-Security ist also böse-böse. Was für ein Unsinniger Filter.


Viel schlimmer ist allerdings dieser Schwachsinn:

3.3.2 Internetverbindungen:

Sie können den Internet-Spaß Ihres Kindes auf das reine Surfen mit dem Webbrowser beschränken. Wählen Sie hierfür die Einstellung Nur http zulassen. Möchten Sie Ihrem Kind auch andere Programme – wie Chat, E-Mail Clients oder Filesharing – erlauben, wählen Sie bitte Alle zulassen.

Vorsicht:Ihr Kind ist mit dieser Einstellung nicht mehr optimal geschützt. Bitte beachten Sie auch, dass in dieser Einstellung https nicht geblockt wird. Https wird verwendet, um verschlüsselte Verbindungen aufzubauen.

Quelle: http://www.jugendschutzprogramm.de/anleitung.php

Ja! Richtig verstanden. Bis einschließlich zur FSK Stufe 16 ist https blockiert. Die Schrottler der Software haben dabei vergessen dass auch fragFINN.de Seiten anbietet, die, aus gutem Grunde, ihre Daten nur verschlüsselt übertragen. fragFINN ist in dem softigen Stück Schrott, die Seite, die angezeigt wird (FSK 6), wenn eine böse-böse-Seite blockiert wurde oder es wird zumindest ein Suchschlitz von und zu fragFINN angezeigt. Warum https nun böse-böse sein soll, bleibt das Geheimnis der Schrottler.

Wird der Schrott mit der Eingabe des Elternpasswortes beendet, während man im Kinder-Modus war, so werden die angesurften Seiten weiterhin blockiert — ergo, der Schrott läuft im Hintergrund weiter.

Das der Schrott nur für Windows zu haben ist, versteht sich von selber, dass er aber unter Windows 7 nicht läuft, ist weniger verständlich.


Die KJM sollte sich mal folgende Fragen stellen:

• Warum behandelt der Verein, der angeblich gemeinnützig sein soll, seine Mitglieder bei der Filterung der Inhalte bevorzugt? (Siehe oben: BILD vs. Playboy)
• Warum wird die Filterliste intransparent gepflegt?
• Ist eine Software unterstützungswürdig, die es nur für ein Betriebssystem gibt? (Laut EULA läuft der Schrott nur unter Windows XP und Vista.)

Wäre es nicht sehr viel sinnvoller ein Projekt anzustoßen, welches eine Open Source Lösung erarbeitet, die für Windows, OS-X und Linux verfügbar ist und deren Filterlisten transparent gepflegt werden?

Wir, das sind rund 20 Menschen aus dem Autorenteam und dem Umfeld von netzpolitik.org. Da ist alles dabei: Vom

• Politologen über den
• Informatikprofessor, bis hin zu
• Designern,
• Psychologen
• Juristen und
• NGO-Analysten.

Quelle: Digitale Gesellschaft: Jetzt in Deinem Land verfügbar (netzpolitik.org)

Also dann ist es doch eher

“Berliner Digitale Gesellschaft” oder noch genauer

“Beckedahl & Friends“.


Erst heißt es WIR SIND DIE DIGITALE GESELLSCHAFT! (digitalegesellschaft.de) und nun

5. “Digitale Gesellschaft” will den Alleinvertretungsanspruch haben, für Alle zu reden.

Das will “Digitale Gesellschaft e.V.” nicht (…)

Quelle: FAQ (digitalegesellschaft.de)

Kein Wunder! Denn 20 Menschen können sicher nicht 50 Mio. vertreten und für sie sprechen, schon gar nicht ohne auch nur einen kleinen Teil der nicht-Vereinsmitglieder zu fragen.

“Digitaler Kaiser” oder doch lieber “Kaiser der Digitalen”?

OK, ich höre schon auf. Die Namenswahl war also ein Griff ins Klo. Fertig.

Bei Netzpolitik.org kennt man zumindest einige der Autoren, man weiß wofür und wogegen sie stehen. Die Gründe für die Vereinsgründung von “Digitale Gesellschaft” lassen sich auf Netzpolitik.org übertragen?! Wenn nein, warum nicht? Wenn ja, warum nicht diese Konstruktion?

Netzpolitik.org muss sich nicht mehr erklären, in ca. 9700 Blogeinträgen findet man viele Antworten. Es steht für Netzpolitik, erhebt dabei nicht den Anspruch für alle 50 Mio. sprechen zu wollen.

Hat sich Markus schon einmal auf Netzpolitik.org darüber ausgelassen, dass er zu viele Einladungen von Politikern, NGOs, etc. bekommt und Unterstützung braucht? Wenn ja, warum fand er keine Helfer? Wenn nein, warum tat er dies nicht?

Hat Markus schon einmal auf Netzpolitik.org die Frage gestellt, ob irgendwer generell für das Design, für die Programmierung oder auch das Management von Kampagnen Mitverantwortung tragen möchte? Wenn ja, warum fand er keine Helfer? Wenn nein, warum tat er dies nicht?

Was spricht gegen Netzpolitik.org e.V.?

Das BSI hat in dem neuen Gremium die Federführung und stellt neben den Räumlichkeiten auch sechs der zehn Mitarbeiter, unter ihnen auch BSI-Präsident Michael Hange als Sprecher des Nationalen Cyber-Abwehrzentrums.

“Relevante Cyberangriffe kommen aus Militärbereich” (welt.de)

Die zehn Stellen, die jetzt das Cyberabwehrzentrum in Bonn erhält, reichen sicher nicht aus.

Ich denke die Gruppe-der-10 ist als Verbindung zu und in die einzelnen Behörden zu verstehen. Alleine das BSI beschäftigt 550 Mitarbeiter, die werden nun ja nicht arbeitslos, nur weil die 10 Männchen alles erledigen was im “Cyber-Raum” an Gefahren lauert. :O)


“Einbruch bei RSA: Der Flash Player war schuld” (heise.de)

Laut Uri Rivner, Leiter der Sparte “Consumer Identity Protection” gelang der Einbruch über eine Backdoor, die über infizierte Mails installiert wurde. Die Mails enthielten im Anhang eine Excel-Tabelle, in der wiederum eine präparierte Flash-Datei eingebettet war.

Was kann ein “Cyber-Abwehrzentrum” gegen menschliches Versagen unternehmen? Kaum etwas.


Das was ich bei meinen fast täglichen Hinweisen zu Sicherheitslücken, auch in Websites von Bund und Länder, erlebe, lässt mich zweifeln, dass ein Zentrum, egal wie groß und kompetent es sein mag, überhaupt eine Chance gegen Unwissenheit und Ignoranz hat. Die Lücken meiner Hinweise alleine sind meist nicht dazu geeignet eine Website oder gar den ganzen Server zu übernehmen, sie zeigen jedoch wie ungepflegt die Systeme sind und wie viel Inkompetenz im Spiel ist.

Was kann ein “Cyber-Abwehrzentrum” gegen so viel Dummheit und Inkompetenz unternehmen, wie die die bei der Bundesfinanzagentur vorgekommen ist? Kaum etwas. (Wenn Sicherheitsberater, BSI und Penetrationstester pennen…)


Die Angriffsvektoren sind fast unendlich, um ein System zu kompromittieren. Das Hauptsystem ist vielleicht gut gegen Zugriffe von Außen geschützt, aber wie sieht es mit den interne Zugriffen aus? Über welche Software erfolgt ein Zugriff aus dem LAN? Welche Mitarbeiter haben Zugriff und wie gut sind sie geschult? Können USB-Sticks angeschlossen werden, über die automatisch und unbemerkt Schadsoftware installiert wird? etc. etc. …


Eine SQL-Injection in einem alten vergessenen System kann am Ende dazu führen das Informationen abfließen, die vollkommen andere Systeme betrifft. Auch ohne schwere Sicherheitslücken gibt es Wege ein System erfolgreich anzugreifen. Begibt man sich z.B. auf die Suche nach SQL-Dumps, so findet man auch zum Teil mehrere Jahre alte Dateien, aber die Zugangsdaten die darin zu finden sind, funktionieren noch immer. Sind in dem Dump auch Benutzerdaten inkl. E-Mail-Adresse und Passwort enthalten, so bekommt der Angreifer auch meist einen Zugriff auf die E-Mail-Konten, da ja nicht nur der Admin der Website ein Schluri ist, sondern die User des Systems auch und ihre Passworte über viele Jahre hinweg nicht geändert haben.


Trotz “Cyber-Abwehrzentrum” sollte nun niemand auf die Idee kommen, dass dies ein Schutz wäre, so wie der Airback in Autos, der dazu verleitet schneller zu fahren.

Mit dem Add-on “Nightly Tester Tools” (addons.mozilla.org) lassen sich deaktivierte Add-ons wieder aktivieren, indem die “Addon-Kompatibilitäts-Prüfung” einfach abgeschaltet wird.

Ob die AusweisApp nach der Zwangsaktivierung wieder korrekt funktioniert kann ich leider noch nicht sagen — mein nPA ist in Arbeit. ;O)


Die erste Version 1.0.1 der AusweisApp installierte neben dem Add-on im Firefox auch eine Erweiterung im Internet Explorer. Mit der Nachfolgeversion 1.0.2 kam zusätzlich auch eine Erweiterung für Chrome, leider habe ich davon keinen Screenshot mehr. Die aktuelle Version 1.0.3 installiert wieder nur jeweils im Firefox und Internet Explorer eine Erweiterung.


Laut der Website von OpenLimit gibt es die AusweisApp ab dem 1. Dezember 2010 auch für OS-X, neben Windows und Linux:

Quelle: http://www.openlimit.com/de/wissen/personalausweis/ausweisapp.html

Äh… moment… was?

Jahrelange Pflege würde ich mal vermuten. ;O)

Ähnlich gut wird auch die AusweisApp bzw. das Add-on für den Firefox gepflegt. :O|


Man könnte nun argumentieren: Auch andere Add-ons wurden für den neuen Firefox noch nicht aktualisiert. Dabei sollte man aber nicht vergessen, dass die meisten Add-ons “nur” Hobbyprojekte sind. So wie OpenLimit hier geschlafen hat, könnte man meinen dass die AusweisApp auch nur ein Hobby ist. Die neue Version vom Firefox ist ja nicht über Nacht vom Himmel gefallen. Es gab mehrere Betas und Release Candidates vom Firefox 4.0, d.h. OpenLimit hatte genug Zeit das AusweisApp-Add-on zu testen, bzw. eine aktualisierte Version bereit zu stellen.


Im Moment ist die AusweisApp nur für Windows und den Internet Explorer zu haben — die denkbar unsicherste Kombination. Also noch immer: Finger weg! Mit spielen ja, aber mehr auch nicht!

A critical vulnerability exists in Adobe…

Letzte Woche Donnerstag haben böse hochspezialisierte Hacker die Finanzagentur des Bundes lahm gelegt, dass bis heute dort nicht einmal mehr ein Impressum zu finden ist… Die pösen Purschen waren allerdings eher auf das Hacken von Unkraut spezialisiert… Solche Möchtegerngärtner nennen sich selber “Webagentur”, in der Kriminalistik nennt man solche Leute auch Innentäter:
“Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin” (ccc.de)
Wer solche “Webagenturen” beauftragt, der braucht keine Hackerangriffe mehr zu fürchten…


Auch letzte Woche Donnerstag, da waren alle AKWs in Deutschland noch total super sicher. Ein paar Tage und drei Explosionen im japanischen AKW später — aber noch vor mehreren Landtagswahlen in Deutschland, sind nun auch unsere AKWs unsicher geworden und müssen erstmal für drei Monate, bzw. bis nach den Wahlen, vom Netz genommen und überprüft werden.

Geht das nur mir so? In den 70ern und 80ern des letzten Jahrhunderts hatte ich eher den Eindruck dass die Politiker wissen was sie tun. Haben sich die Jungs und Mädels damals einfach nur mehr Mühe beim Lügen gegeben oder waren sie wirklich kompetenter?

Die Inkompetenz der Spitzenpolitiker hat Methode, säßen dort Fachleute, dann würde es für die Wirtschaft nicht so flutschen.


Das was da in Japan abläuft ist wie aus einem schlechten Katastrophenfilm. Spätestens an der Stelle wo der Held, unter Einsatz seines Lebens, ein Notstromaggregat heranbringt, um die Kühlung der Brennstäbe wieder in Gang zu setzen und sich herausstellt dass das passende Kabel zum anschließen fehlt, würde ich den B-Film abschalten. Im realen Leben ist alles noch viel schlimmer, weil Millionen von Menschen direkt betroffen sind und weil die wirklich bösen Buben, die nur auf Profitmaximierung aus sind, am Ende des Films eben nicht sterben oder für immer weggesperrt werden.

RWE werde sich trotz der Katastrophe in Japan nicht von sich aus aus der Atomenergie zurückziehen, hob Grossmann hervor.

Letzer Satz von hier: “Merkel klemmt sieben Reaktoren ab – vorerst” (spiegel.de)

Welchen Podcast habe ich wohl gehört?

Amazon und natürlich alle die ebenfalls auf den Link geklickt haben, bzw. aufmerksam den Podcasts zuhörten, wissen welchen Podcast ich meine.


Worauf will ich hinaus?

Datensammlungen müssen nur groß genug sein, damit man in dem scheinbaren Chaos eine Struktur erkennen kann. Wer ständig in seinem Google- und/oder Facebook-Account eingeloggt ist, während er im Netz unterwegs ist, gibt viele Daten aus der Hand, die im einzelnen uninteressant erscheinen mögen, die aber in der Summe die Erstellung detaillierter Profile ermöglichen.

Das Beispiel von Amazon ist in sofern interessant, weil der Otto Normal gar nicht auf die Idee kommt, dass er ständig Spuren im Netz hinterlässt. Bei der iRasterfahndung, die unser neuer IM mit Hochdruck wieder einführen möchte, werden Datenbestände angehäuft, die alleine aufgrund der Menge dazu geeignet sind, unschuldige Personen in den Focus der Ermittlungsbehörden zu rücken. Die Befürworter der staatlichen Überwachung werden nun entgegnen, dass es nur bei einem begründeten Verdacht einen Zugriff auf die Datensammlung gibt, hierbei möchte ich nur auf den Soziologen Andrej Holm und der haarsträubenden Konstruktion eines Verdachts gegen ihn hinweisen, in deren Folge seine jahrelange Totalüberwachung legitimiert wurde.

Die wirklich gefährlichen Jungs wird man natürlich nicht mit der iRasterfahndung erkennen, da sie den Ermittlungsbehörden technisch weit voraus sind und ohne großen Aufwand ihre Spuren verwischen bzw. diese erst gar nicht hinterlassen. Der Terrorist ist auch nur als ein Vehikel anzusehen, um dem BLÖD-Leser und der “Ich habe doch nichts zu verbergen”-Fraktion weiszumachen, dass die vollkommene Sicherheit zu bekommen ist, wenn es auch eine vollkommene Überwachung gibt.

Die von uns legitimierten Politiker wollen nur unser Bestes — unsere Freiheit.

Ein sehr großes Problem digitaler Daten besteht auch darin, dass deren Unveränderbarkeit kaum gewährleistet ist und somit die Beweislast umgekehrt wird. Hierzu einen Auszug aus den “Teilnahmebedingungen” der Deutschen Rentenversicherung zur Nutzung des neuen Personalausweises:

Der Kunde trägt Sorge dafür, dass der Personalausweis nicht in den Besitz eines Dritten gelangt oder ein Dritter Kenntnis von dem Passwort/der PIN zum Schutz der elektronischen Identität vor unberechtigter Nutzung erlangt. Alle elektronischen Datenanforderungen gelten als vom Kunden ausgelöst. Eine missbräuchliche Verwendung durch einen Unbefugten gilt als vom Kunden ausgeführt, wenn das Zertifikat zum Zeitpunkt der Anforderung gültig war.

Quelle: https://www.eservice-drv.de/eServiceWeb/init.do?npa=true

Wurde ich z.B. Opfer eines Trojaners, “Fahnder – Massiver Eingriff” (spiegel.de), so muss ich beweisen, dass ich die mir zur Last gelegte Straftat nicht begangen habe, was i.d.R. fast unmöglich sein wird. Beamte der Ermittlungsbehörden sind auch nur Menschen und Menschen sind dumm, deshalb muss man auch bei ihnen davon ausgehen, dass sie aus Unwissenheit evtl. Schäden an meinem technischen Spielzeug verursachen. Also sollte man niemals Unbefugten, und hierzu gehören auch Beamte die für den Staat arbeiten, also angeblich auch für mich, Zugang zu Notebook, Handy & Co. gewähren. Ein Notebook sollte natürlich immer so gesichert sein, das auch der Verlust des Notebooks selber, keinen Verlust der darauf gespeicherten Daten bedeutet (Backup) und diese von Fremden auch nicht eingesehen oder verändert werden können (Festplattenverschlüsselung).