// ZEIT online, Prof. Dieter Grimm: "Aus der Balance"

Deswegen darf man auch nicht der Beschwichtigung trauen, wer sich nichts vorzuwerfen habe, habe auch nichts zu befürchten. Jeder muss befürchten, dass seine Kommunikation überwacht wird. Niemand kann sicher sein, dass ihm daraus keine unangenehmen Folgen erwachsen.

Das sagt nicht irgendwer, sondern Prof. Dieter Grimm, Richter am Bunderverfassungsgericht a.D. in einem sehr lesenswerten Artikel mit dem Titel “Aus der Balance”. Herr Prof. Grimm betrachtet die Probleme und den Nutzen von verschärften Sicherheitsgesetzen trotz der Kürze des Textes IMHO ziemlich ausgewogen. Lesebefehl! ;-)

// Musikalischer Scanner

Hammer. Überall Hardware mit Sound. Erst neulich die Sache mit der musikalischen HDD, jetzt dudeln Scanner sogar Mozart vor sich hin (MPEG Video).

HP hat für einige seiner SCSI-Scanjet Modelle einen Befehl namens Play Tune zur Verfügung gestellt (undokumentiert, versteht sich – alles was Spaß macht ist grundsätzlich undokumentiert *g*). Mehr über die Hintergründe findet sich unter http://www.ganjatron.net/misc/scanjet/, ein “Notensample” findet sich im HP Journal des Februars 1997. Ich müsste noch irgendwo einen ScanJet 5P haben, muss mal bei Gelegenheit ausprobieren, ob das da ebenso ohne größere Probleme klappt wie bei dem im Video zu sehenden ScanJet 4c. Falls ja, bau’ ich mir irgendwann was schönes draus… ist doch mal n’ netter Gag. Echt, solche Dinge liebe ich. :-D

(via)

// Es wird langsam Winter *brrrr*

Gerade mal die Nase aus dem Fenster gestreckt. Das aber nicht lange, scheißkalt! Laut der Wetterstation auf dem Karlsruher Rathaus hat mich meine Morgenmuffel-Nase auch nicht getrübt, ist es wirklich ekliges Wetter:

  • Zeitpunkt: Freitag, 16.11.2007, 07:13 Uhr
  • Lufttemperatur: -2,4 °C
  • Fühltemperatur: -11,9 °C
  • Luftdruck: 1010 hPa (1026 bezogen auf NN)
  • Luftfeuchtigkeit: 85 %
  • Niederschlag: 0,0 mm
  • Tagesniederschlag: 0,0 mm
  • Windstärke (Mittel): 3 Bft (18,4 kmh)
  • Windrichtung: Südost (135°)

Das mit der Fühltemperatur von -11,9 °C kommt IMHO zwar nicht ganz hin, es gibt aber einfach nichts widerlicheres als nass-kaltes Wetter *brrrrrr*.

// Die Sache mit den gespeicherten IP-Adressen...

Ich habe schon lange eingesehen, dass die meisten Mitmenschen keine Angst vor staatlicher Überwachung haben.1) Ich frage mich aber immer wieder, warum dies so ist. Gerät man zufällig unter falschen Verdacht, kapiert man vielleicht, wieso man Dinge wie die Unschuldsvermutung und sonstige rechtsstaatlichen Prinzipien eingeführt hat. Ist ja jetzt nicht gerade so, dass unsere Großväter und sonstige Vorfahren darauf erpicht waren, Kriminelle ungestraft davonkommen zu lassen. Gerne tut man aber heute so, als ob Grundrechte nur dazu dienen würden, Verbrecher statt Bürger zu schützen.
Das Problem dieses Sicherheitsirrsinns ist die Blindheit gegenüber Missbrauch. Da werden Dinge zu Beweisen, die eigentlich keine sind und deshalb Spekulation und Rechtsverdreherei Tür und Tor öffnen.

Ein perfektes Beispiel für mangelnde Aussagekraft: IP-Addressen

Die Vorratsdatenspeicherung ist in weniger als zwei Monaten Realität, somit rücken IP-Adressen und Zeitpunkte von Telefonaten direkt in die erste Reihe von “Beweisen”, die von Ermittlern wohl routinemäßig gecheckt werden wollen. Nur dumm, wenn dabei ein (logischer) Fehler passiert – obwohl Computer doch keine Fehler machen. Und Beamte sowieso nicht. ;-) Oder doch?

Aber es muss nicht so etwas Triviales wie ein Schreibfehler sein, denn der eigene Rechner ruft ggf. Seiten auf, die man gar nicht bewusst besucht. In den Log-Dateien taucht man aber trotzdem auf – und schon hängt man im Raster. Oder auch nicht. Einfach nur Zufall russisches Roulette.

Wie das passieren kann? Wenn man z.B. Browser-Plugins wie das beliebte FasterFox installiert, welches verlinkte Seiten bereits im Hintergrund vorauslädt, um sie bei einem wirklichen Aufruf schneller anzeigen zu können. Schon landet die IP-Adresse auf etlichen Servern, die man eigentlich gar nicht aktiv aufgerufen hat, aber der Rechner vor dem man sitzt.
Auch Frames, Overlays, Bilder oder andere Grafiken (z.B. src=http://andere-domain.example.com/grafik.gif) können von anderen Web-Seiten und Servern als der eigentlich besuchten stammen, ohne das man es merkt. Solche und andere Tricks, IP-Adressen gezielt in die Log-Dateien von Web-Angeboten zu schleusen werden schon von Online-Abo-Drückern etc. genutzt. Warum also nicht gezielt von Rufmördern? Oder Terroristen? Oder anderen Verbrechern, die am Legen von falschen Spuren interessiert sind? Die RAF hat schließlich auch gerne falsche Fahrgestellnummern in Fahrzeuge eingraviert, um Ermittler auf eine falsche Fährte zu locken.

Daher bleibt die Frage: Wovor schützt uns die geforderte, unreflektierte Überwachung eigentlich? IP-Adressen und andere Indizien verursachen schon heute zahlreiche falsche Hausdurchsuchungen und Ermittlungen mit all den negativen Folgen für den Leumund der Betroffenen, während sich die Kriminellen ins Fäustchen Lachen und hinter Diensten wie dem RBN verstecken. Wo führt das bitte hin? Ich sehe jedenfalls Gefahr. Nicht Schutz.

1)
“Ich habe doch nichts zu verbergen”

// "Festplatte tot musikalisch, bitte RMA"

…mit dieser Aufschrift lag vor einigen Tagen eine 300GB Maxtor HDD im Serverraum auf dem Tisch:

Defekte Maxtor HDD

Bevor ich aber defekte Ware per RMA zurückschicke, teste ich das Ganze natürlich nochmal selbst. Ich habe aber nicht damit gerechnet, dass der Zettel so wörtlich gemeint war. Aber lauscht selbst, ich hab es nämlich aufgenommen:

Unglaublich, oder? Ich wusste nichtmal, dass Festplatten einen wie auch immer gearteten Lautsprecher haben. Und ich meine wirklich die HDD, diese kam mit keinem Rechner in Berührung, sondern wurde alleine über das Netzteil von einem Sharkoon DriveLink mit Strom versorgt. Also nix mit BIOS → PC-Speaker oder Ähnliches. ;-)

Das richtig Gemeine ist aber, dass das Teil nach ca. acht Sekunden (welche man in der verlinkten MP3-File hören kann) für ungefähr zwei Minuten einfach kein Geräusch mehr von sich gibt, um wiederum für acht Sekunden zu piepen. Man fängt also an, alles abzusuchen und an alles zu denken, was da denn so piepen könnte. Und sucht sich natürlich in der Pause zwischen den Piepsern 'nen Wolf:

  • [Piepsen]
  • Check: Brennt der Server ab? – Nope :-D
  • Check: Brennt das Gebäude ab? – Nope :-D
  • [Unterbrechung durch erneutes Piepsen]
  • Check: Assi vor der Tür mit nem bescheuerten Klingelton? – Nope :-D
  • Check: Brennt der Server wirklich nicht ab? – Nope :-D
  • [Unterbrechung durch erneutes Piepsen]
  • Check: Alles untersuchen was in dem verdammten Raum ist…
  • [Gehe nicht über Los, ziehe keine Bescheinugung bezüglich der vollkommenen geistigen Gesundheit ein, und wiederhole das Spiel]

Ehrlich, hat 'ne Weile gedauert, bis ich das Geräusch der HDD zuordnen konnte. Dann war ich aber beruhigt und wirklich überrascht. Zumal man über Google etc. eigentlich immer nur lesen kann Festplatten piepen nicht, die haben ja keinen Lautsprecher. Denkste! :-D

// Adobe spart wohl am falschen Ende...

Irgendwie ging das an mir vorbei, was da Adobe vor rund einer Woche passiert ist: heise.de: Adobes Webserver sperrangelweit offen. Das CGI-Skript zum Download von Dateien hat einfach mal alles ausgeliefert, was man ihm über einen Parameter übergeben hat, z. B.:

  • http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version= ../../../../../../../../../etc/passwd%00
  • http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=../../../../../../../../../usr/local/apache/conf/ssl.key/www.adobe.com.key%00
  • http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version= ../../../../../../../../../usr/local/apache/conf/ssl.crt/www.adobe.com.crt%00

:-O :-O

Ich bin immer wieder erstaunt darüber, wie oft auch bei professionellen Anwendern über trivialste Fallstricke wie “../” gestolpert wird. Klar, Fehler können passieren. Ich meine aber, Adobe hat sicherlich genug Kleingeld um Leute zu engagieren, denen Fehler dieser Kategorie eigentlich nicht passieren sollten. Das Ganze hat IMHO neben der allgemeinen Belustigung aber noch etwas wirklich Positives: es ist ein gutes Beispiel, dass nicht immer PHP schuld ist, wenn Anfänger solche Fehler in Serie produzieren. Man schafft dies in jeder Sprache. Das Problem sitzt eindeutig vor dem Bildschirm.

// Für Verschlüsselung in den Knast - endgültiger Dammbruch in Großbritannien?

Seit dem 01. Oktober ist auf der Insel “Part III of the Regulation of Investigatory Powers Act 2000 (RIPA)” in Kraft getreten. RIPA ist ein Gesetz, das die Abhörbefugnisse von Sicherheitsbehörden massiv ausweitet. Darin enthalten ist auch “Section 49”.

Abschnitt 49 beschreibt u. a. die Pflicht des Bürgers, der Polizei auf Verlangen den Schlüssel bzw. das Passwort für verschlüsselte Daten zu übergeben, damit der Staat diese entschlüsselt kann. Dazu reicht es, dass die Entschlüsselung der Daten aus Sicht der Behörden folgende Vorteile versprechen:

  • Interesse der nationalen Sicherheit
  • Verhinderung oder Aufdeckung eines Verbrechens
  • :!: Interesse des wirtschaftlichen Wohlergehens des UK
  • um Behörden die effektive Durchführung einer gesetzlichen Handlung oder Pflicht zu ermöglichen

…also praktisch immer und überall. Vorallem “wirtschaftliches Wohlergehen des United Kingdom” als Begründung… Man muss als Ermittler lediglich einen Amtsträger mit dem Rang des Polizeipräsidenten[sic!], Zollpräsidenten, Brigadier oder Richter finden, der die Begründung nach den oben genannten Kriterien absegnet. Falls man das Passwort nicht herausrücken will oder kann,2) wird man deswegen bis zu zwei Jahre hinter Gitter wandern. In Fällen, in denen die Behörden eine Gefahr für die nationale Sicherheit vermuten sogar bis zu fünf Jahre.

Um es wirklich klarzumachen: Man wird schlimmstenfalls fünf Jahre ins Gefängnis geworfen, weil man ein Passwort vergessen hat oder es eben bewusst verschweigt.3) Zu allem Überfluss sind die Umstände ebenfalls ziemlich unklar, so werden evtl. Ereignisse, die schon Jahre zurückliegen dazu verwendet, um das Verlangen des Passworts zu gerade beschlagnahmten Daten zu begründen.

Was ist nur aus der Insel geworden, die bisher sogar gänzlich ohne Personalausweise auskam? Überall Kameras und jetzt auch noch das. Mir macht das zunehmend Angst, hoffentlich schlagen wir in DE nicht auch noch endgültig diese Richtung ein.

Achso, falls nun jemand nach England reisen muss könnte dies von Interesse sein: vom Abschnitt 49 sind “nur” Daten betroffen, die im UK gespeichert sind. Datenbestände auf “Durchreise” sind erstmal ausgenommen, der Palm, Blackberry und das Handy eines Touristen ist also vorerst “sicher”.

Und ich glaube auch nicht, dass Hidden Volumes das Problem lösen. Das kann funktionieren, muss aber nicht. Im Gegenteil, es könnte IMHO sogar schlecht sein wenn da gar kein Hidden Volume existiert, man einem aber nicht glaubt… würde dann vielleicht Gefängnis bedeuten! :-(

2)
weil man es z.B. wirklich vergessen hat
3)
vielleicht möchte man sein Recht auf Privatsphäre ja gerade vor dem Staat, einem Geheimdienst oder Beamten schützen?!

// Weltmeister 2007! Yeah!

Man kann nur sagen: wahnsinniges Spiel, was unsere Frauennationalmannschaft da abgeliefert hat. Fußball erster Klasse, hat wirklich Spaß gemacht das anzuschauen. Es war wirklich alles dabei, was Fußball interessant macht.
Sehr gute Einzelleistungen, ein gehaltener Elfmeter, schwache Phasen in denen man Sorgen hatte, starke Phasen, schnelles druckvolles Spiel der Brasilianerinnen nach unserem 1:0 und ein paar Fehlentscheidungen der Schiedsrichterin, über die man sich ärgern konnte – und letztendlich 2:0 gewonnen. Was will man mehr? Hammer! :-D

// Scream 4 - der Horror aus Karlsruhe?!

In Oberreuth rennt doch tatsächlich ein Witzbold(?) mit ner filmreifen Maske und einem langen schwarzen Mantel durch die Gegend. Sachen gibt's… :-O

// Unterschätze niemals die Kleinen...

Cyanide and Happiness, a daily webcomic
Cyanide & Happiness @ Explosm.net

An dieser Stelle einen lieben Gruß an Dominik und Roland. :-D

// Terahertz-Kameras

Heute las ich im heise-Forum eine Witzelei über “Röntgenkameras”. Das hat mir wieder in den Sinn gerufen, dass fast niemand um Terahertz-Strahlungsquellen weiß, die im Grunde genau dieses “röntgen” (im Sinne von “durchleuchten”) leisten, ohne Menschen dabei krebserregender Röntgenstrahlung auszusetzen.

In der Medizin hat diese Technik sicherlich großes, nützliches Potential, im Überwachungssektor macht mir so etwas hingegen Angst, wird einem doch die letzte Privatheit geraubt (z.B. zeichnen sich die Genitalien deutlich ab). Daher sollte die Technik zwar nicht verteufelt, aber politisch genau beobachtet werden. In Großbritannien wollte man diese “Röntgenkameras” bereits zur öffentlichen Überwachung einsetzten, bei uns wurde die Verwendung an Flughäfen diskutiert.4) Schon erstaunlich, wie bitter ernst so mancher Witz wird…

Noch ein kleiner, grober Hinweis zum Unterschied der Strahlung Röntgen liegen in etwa zwischen 2,5×1017Hz bis 6×1019 und sind ionisierend, daher krebserregend. Als Terahertzstrahlung versteht man normalerweise Strahlungsfrequenzen zwischen 3×109Hz bis 1013 Hz. Sie wirkt aufgrund der geringen Photonenenergie nicht ionisierend, weswegen sie nicht als krebserregend gilt. Zwischen Terahertz und Röntgen liegt also noch Infrarot, das sichtbare Licht und Ultraviolett.

4)
es erklang sogar das Wort “Nacktscanner” - mal sehen ob sich der Begriff durchsetzt

// USB Missile Launcher

Das Teil wäre doch echt mal schick: USB Missile Launcher - High-Powered Office Artillery Piece

Stelle mir gerade vor, in der Uni-Bib zu sitzen, die Büchermassen geschickt zu stapeln und dann ganz unaufällig diverse Mitmenschen aus Ihrem Mittagsschlaf zu bomben wecken :-D (da wird nämlich aufgrund des Mangels an geeigneten Plätzen zum lernen gerne mal geschlafen, um in der Klausurphase den Platz nicht abtreten zu müssen). Wär’ sicher ein heiden Spaß. *g*

// Ausufernde GEZ-Schnüffelei

In den letzten Tagen wurde mehrfach über die neuste Planung berichtet, den Rundfunkgebührenstaatsvertrag (RGebStV) anzupassen, um die Datenerhebungsbefugnisse der Gebühreneinzugszentrale (GEZ) massiv auszuweiten.

Was ist geplant?

Im dem Änderungsentwurf ist eine Datenerhebung ohne Kenntnis des Betroffenen bei nichtöffentlichen Stellen beschrieben, sofern die Daten Rückschlüsse auf die Gebührenpflicht zuzulassen. Im Klartext bedeutet dies IMHO, dass die GEZ beim Arbeitgeber, bei einer TV-Zeitschrift, einem Internetprovider, dem Kabelanbieter oder Ähnlichem in Zukunft Daten über eine Person abrufen können soll – ohne deren wissen.

Um welche Daten geht es?

Um recht sensible Dinge. Es ist dabei nicht darauf beschränkt, das beispielsweise ein Unternehmen wie TV-Spielfilm auf Nachfrage bestätigt, das Max Mustermann ein Abo hat, die geplanten Befugnisse gehen viel weiter. Folgende Daten sollen an die GEZ übermittelt werden:

  • Name (Vor- und Nachname, inkl. Titel)
  • Adresse/Anschrift
  • Geburtsdatum
  • :!: Berufs-, Branchen- bzw. Geschäftsbezeichnungen (z.B. “Entwicklungsleiter”)
  • :!: Zugehörigkeit zu einer bestimmten Personengruppe (z.B. “Student” etc.)

Wenn also ein Mitarbeiter der GEZ will, könnte er ohne meine Kenntnis sofort wissen, wo ich arbeite, ob ich arbeite und dank etwaiger akademischer Titel, der Bezeichnung der Arbeitsstelle und des Arbeitgebers ziemlich gut einschätzen, was ich verdiene. Oder eben, ob ich eher ein tolles Opfer abgebe sozial schwach bin. So interpretieren jedenfalls mehrere Landesbeauftragte für Datenschutz die Planung und so verstehe auch ich das bisher.

Weitere Kritikpunkte

Gegenüber heise.de bringt es Bitkom-Hauptgeschäftsführer Bernhard Rohlede auf den Punkt:

Das ist ein Schritt in die falsche Richtung. […] Die Ermächtigung ist bewusst wolkig formuliert.

Es ist zu befürchten, dass die GEZ neben seriösen Firmen auch auf zwielichtige Adresshändler zurückgreifen oder diese gar mit Daten versorgt, um im Gegenzug wiederum benötigte Daten zu bekommen. Bei allem ist auch noch zu bedenken, dass die GEZ keine Behörde ist, sondern lediglich eine ÖR-Verwaltungsgemeinschaft! Und als Sahnehäubchen mache man sich anschließend bewusst, für welche Dinge man wildfremden sensible Daten im Geheimen abrufen lassen soll: für Fernseh-, Radioprogramme sowie Websites!5)

Alles in allem ist höchste Vorsicht gefordert. Jetzt ist zwar der Medienaufschrei da, doch sowas wird gut und gerne irgendwann mal durchgewunken. Und jetzt kommt mir hoffentlich keiner mit “wir brauchen unabhängige Medien”-Bla bla – das hat nichts damit zu tun, dass der GEZ solche Schnüffelbefugnisse in einem freiheitlich-demokratischen Rechtsstaat einfach nicht zugestanden werden dürfen!

5)
Fehlt nur noch die Argumentation, dass die GEZ die neuen Befugnisse für den Kampf gegen den Terror benötigt. ;-)
I'm no native speaker (English)
Please let me know if you find any errors (I want to improve my English skills). Thank you!
QR Code: URL of current page
QR Code: URL of current page start (generated for current page)