Kategorie-Archiv: Internetgesellschaft

Tod-duerer

Das tote Pferd – Passwort

Wir reiten es immer noch und kein Ende. Alle sitzen wir auf dem alten faulenden Gaul, die Knochen pressen sich in unsere Eingeweide und es scheint noch nicht weh genug zu tun. Stinkende Gase umwehen unsere Nase und wir wollen es nicht begreifen. Leak um Leak zäumen wir, wie Leichenfledderer, die Gebeine des Hengstes und hoffen diesmal doch noch ein paar Meter weitergeschleppt zu werden. Dabei sind die einzigen Bewegungen wohl nur noch die Maden, wie sie genüsslich an den Knochen nagen.

Dieser tote Gaul ist unser heiß geliebtes Kennwort, unsere Authentifikation, Credentials, der Glaube an den sicheren Zugang zu einem Service im Internet. Die fauligen Gase sind die Hoffnungen, beim nächsten Super-GAU der Passwort-Veröffentlichungen vielleicht nicht betroffen zu sein. Die Maden symbolisieren die ewigen Versicherungen, mit einem noch längeren Kennwort ein für alle mal sicher zu sein.

Und doch sitzen wir nur auf einem toten Gaul.

So kann das nicht weiter gehen. Die Einschläge kommen immer näher, sie werden häufiger, sie werden heftiger.

Wo uns die NSA kaum gekratzt hat, wird offensichtlich, dass unsere Geheimschlüssel wohl nur einem unbekannt sind, uns selbst: Wenn wir wieder mal das aufgeschriebene Kennwort auf einem Spickzettel suchen. Alle anderen scheinen ja gigabytegroße Listen zu haben, wo sie alle erdenklichen Benutzernamen/Kennwort-Kombinationen nachschlagen können.

Und da fängt das Trauerspiel schon an.

Der Benutzername zu einem Dienst wird von vielen Anbietern strikt als E-Mail-Adresse erwartet. Nicht selten der einzigen E-Mail-Adresse die man bei diesem Dienst hinterlegen kann. Besonders bei Shops ist die Methode beliebt, weil man zugleich die Eindeutigkeit des Nutzers damit festsetzen will. Welch Schwachsinn, wo jeder Maildienst heute etliche Alias-Namen vergibt.

Da tummeln sich große Anbieter wie Amazon neben kleinsten Shop-Betreibern weltweit und fordern die Mail-Adresse als Benutzername.

Dabei ist es genau dann für viele Anwender verführerisch, das Kennwort zu recyceln, welches sie bei ihrem Web-Mail-Login auch benutzen. Speichert ein Shop die Kennwörter unverschlüsselt oder werden die Authentifizierungsdaten per Heartbleed ermittelt, kann man sehr schnell den Mail-Account ergattern und die Identität übernehmen.

 

Aber auch die Mail-Provider machen es nicht wirklich besser. So erlaubt es zum Beispiel GMX mit allen Alias-Mails eines Kontos sich am Web-Mailer anzumelden. Alle mit dem selben Kennwort.

Nutzt man also (sinnvollerweise) unterschiedliche Alias-Mails für die Shops (auch sehr nützlich, um Spam-Schleudern zu entdecken), dann wird man bei der Verwendung eines gemeinsamen Kennwortes auch nicht wirklich sicherer sein.

 

Und das ist natürlich böse: Ein Kennwort für viele verschiedene Internetdienste verwenden.

Aber auch das kann man den vielen Internetnutzern kaum verdenken, denn was soll man als Digital Native noch alles tun? Ich allein habe knapp 150 aktive Dienste, wo ich mich mit Benutzernamen/E-Mail und Kennwort ausweisen muss. Darunter sind Blogs, Foren, Shops, Mailinglisten, Social Media, Provider von Internetdiensten, Handy-Verträgen und DSL-Anschlüssen. Unter 20 Credentials wird heutzutage kaum noch jemand jonglieren können. Wer im IT-Bereich arbeitet, noch etwas OpenSource macht, sich in vielen Listen tummelt, wird locker bis an die 1000 Zugangsdaten verwalten müssen.

Eine veröffentlichte Liste an Benutzernamen/Kennwort-Kombinationen, amtlich geprüft vom BSI, gibt einem die angebliche Sicherheit noch am Unbill vorbeigekommen zu sein. Aber mit Heartbleed ist man auf verlorenem Posten. Heartblead und das Routerdesaster hat unserem stinkenden, verfaulten Gaul die letzte Sprengung gegeben.

Wir stehen vor einer Staubwolke und versuchen im Rauch noch ein Pferd zu erkennen und geben wieder stoisch neu ausgedachte Kennwörter in alle Webseiten ein, weil es nun mal keine Alternative gibt. Manche prüfen nicht mal vorab, ob die Webseite nicht weiterhin mit dem SSL-Fehler behaftet ist…

Und wer glaubte, seine hunderte geheimen Kennwörter seien bei Online-Kennwort-Diensten wie LastPass sicher, musste nun mit bedauern erfahren, dass nichts sicher ist. Außer der Schmerz der Ungewissenheit, was wirklich alles abgezogen wurde.

trenner

Es wird keine Rettung mehr geben. Wir können es uns einreden. Wir können unsere Kennwörter wöchentlich ändern. Aber aus der Falle kommen wir nicht mehr raus. Es müssen neue Konzepte her. Konzepte wie z.B. 2-Faktor-Authentifizierung als generelle Vorgabe für Shops und andere Internetdienste. Aber auch dann drohen Gefahren. Homogenisierung eines Zugangsworkflows führt letztendlich auch zu einem Flächenbrand, wenn nur ein kleiner Fehler eine Kompromittierung zur Folge hat. Die weite Verbreitung von OpenSSL hat das nur zu deutlich gemacht.

Trotzdem sind die Dienstleister nun endgültig in der Schuld. Die Gesetzgeber müssen Feuer machen. Die Entwickler müssen endlich ein Einsehen haben. Sicherheit darf kein Schlagwort sein, sondern ein ernstzunehmender Bestandteil von Softwareentwicklung. Auf keinen Fall ein unliebsamer Kostenfaktor.

Wir Nutzer müssen uns überlegen, ob wir jedem Trend hinterherrennen und unsere Daten überall abliefern müssen. Ist jeder kleine Internet-Shop wirklich vertrauenswürdig, weil wir dort 3 Euro sparen? Das sind harte Fragen, wenn man doch gegen Monopolisierung ist und nicht jeden Euro über Amazon oder ebay laufen lassen will.

Es muss sich was ändern. Ansonsten sterben wir an der übertragenen Blutvergiftung des toten Gauls. Und vielleicht wird man feststellen müssen, dass das Internet nicht einfach KlickiBunti ist.

GMX-Dead-Vintage

Wenn es nervt, dann verlasse es – Kundenservice mit Füßen abstrafen

  • Sechzehn Jahre und 165 Tage bin ich nun bei GMX.
  • Vierzehn Jahre und 186 Tage habe ich bei GMX ein Profi-Account.
  • Zehn Jahre und 329 Tage bin ich TopMail Kunde bei GMX.

Und nun wird eine Ära für mich zu Ende gehen. United Internet / GMX wird es nicht kratzen. Ich bin eine Nummer unter vielen, zwar ein Zahler aber was soll es. Das Geld was ich bezahle wird lieber in Werbung gepumpt die mir eintrichtern soll, dass ich tollen Service bei dem Unternehmen habe, anstatt mir tatsächlich Service zu bieten.

GMX war mal ein aufstrebendes kleines Unternehmen, was neben einer kurzen Mail-Adresse mir am Anfang die Möglichkeit gab damals vom nervenden AOL wegzukommen. Inzwischen ist aber GMX zu dem geworden, was ich damals an AOL gehasst hatte. Die arrogante Art allumfassend aufzutreten, alles anbieten zu wollen, Dienste zu integrieren die ich bezahlen aber nicht nutzen mochte und andere Dinge rauszuwerfen, die ich dringend brauchte.

Nerv-Liste

Hier mal eine lockere Zusammenstellung, was alles an GMX mich zur Weißglut bringt:

  • Wenn ich den WebMailer benutze, dann nervt mich das superumständliche Portal. Es sieht inzwischen mehr nach AOL-Hochglanzmagazin aus, als nach einem Online-Postfach
  • Damit ich mich anmelden kann, muss ich mich erst durch JavaScript gepuzzelte Animationen wühlen
    • Außer man kennt die “geheime” Hintertür des eigentlich nicht mehr unterstützten Logins: https://service.gmx.net/login
  • Extrem langsamer Zugriff auf MediaCenter
    • Den ich nicht nutze, auch nicht das Fotoalbum, nicht den WebSpace
  • Ich nutze auch die Frei-SMS nicht
  • Die alte “Web-Mailer” Oberfläche ist alt. Die neue Web-Mailer-Oberfläche ist eine Katastrophe an Bedienung.
  • Premium-Angebote im Mail-Account
  • Die alte Blacklist von GMX konnte ganze TLD killen. So konnte ich jegliche Mails auf *.br aus meinem Spam raushalten. Das funktioniert nicht mehr. 90% meines Spam-Aufkommens kommt aus *.br Domains.
  • Die Web-Oberfläche kann nicht nach Mail-Adressen sortieren. Man kann nicht mal die Mail-Adresse anzeigen. Es wird nur der Absender-Name (Frank Mustermann) angezeigt.
  • Die Lüge der sicheren Deutschland-Mail
  • Die nervende Aufforderung bis zur Nötigung zu De-Mail und gleichzeitig mir keine Möglichkeit der Authentifizierung zu geben
  • Die nötigenden FUD-Meldungen im Browser, um mich vor Ad-Blockern zu warnen (Hey, GMX: ICH ZAHLE FÜR DEN SERVICE!)
  • Die Sperrung meines Accounts, weil meine E-Mail-Adressen angeblich im BSI-Datenpool liegen. Ohne zu informieren, welche Mail-Adresse das sein soll.
  • HTML-Mails von GMX ohne eingebettete Bilder (Umfragen, Newsletter, usw)

Ich bezahle 4,99€ pro Monat, also 29,94€ für meine Halbjahresrechnungen was knapp 60€ im Jahr sind. Für jede Menge, was mich nervt, was ich nicht nutze. Für die Bevormundungen, die nicht mal korrekt erklärt werden. Ich werde mit Pseudo-Newsdiensten zugeballert, die auf unterstem Bild-Niveau agieren und werde auch noch angepampt, wenn ich eine AdBlocker verwende. Das mit ziemlich dreisten Lügen.

Wo ich mich nicht daran stören kann (obwohl einmal mein Postfach verschwunden war und aus einem Backup gerettet werden musste) ist die Verfügbarkeit. Nur wenige Störungen gab es in den vielen Jahren. Mehr in der Anfangszeit. Aber es gab mal einen E-Mail-Service, der nun nicht mehr existiert. Zwar kann ich als TopMailer mit Premium-Account eine Festnetznummer anrufen, aber da liege ich ggf. mal 3 bis 20 Minuten in der Warteschleife. Darf man also nur mit Flatrate machen…

trenner

Fazit

Es ist an der Zeit sich zu verabschieden, GMX. Ich habe als Abschiedsgeschenk noch bei der aktuellen Zufriedenheitsumfrage mitgemacht. Aber auch da wird nur allgemeines BlaBla abgefragt und man kann gerade mal sich über die viele Werbung beschweren.

Ich werde meinen Bezahl-Account kündigen und auf FreeMail wechseln (zumindest ist jetzt endlich möglich darüber auch verschlüsselt zu arbeiten). Ich werde mir einen neuen Anbieter suchen, überall meine neuen Mail-Adressen verbreiten und die GMX-Adressen weiterleiten. Alle meine Mails seit 1997 lagern sowieso auf meinem Heim-PC (weil ich schon immer per POP abhole und IMAP faktisch nicht nutze), somit habe ich geringen Umzugsstress.

Einzig muss ich die GMX-Mails aktiv nutzen, bis ich in allen Foren und Shops, meine Accountdaten angepasst oder gelöscht habe. Denn das erfordert ja häufig eine Bestätigungsmail. Und vielleicht in ein paar Monaten werde ich die Adressen mit den umfangreichsten Black-List-Filtern versehen und den Spam-Ordner nach 3 Tagen löschen lassen. Ganz entfernen werde ich meine Adressen nicht, weil ich nicht will, dass diese irgendwann von jemanden anders verwendet werden können. Dafür war ich zu lange mit dieser “Identität” im Netz.

 

GMX BSI

Mail geklaut? Wir wissen es nicht. BSI und die Provider haben es verkackt.

Es bleibt kaum ein Monat aus, wo man Meldungen sieht, dass erneut E-Mail-Adressen in riesigen Dateien gefunden wurden, die aus irgendwelchen Quellen abgezogen wurden.

Diesmal hat wieder eine Staatsanwaltschaft auf einem Rechner eine solche Datei mit Mails und (irgendwelchen) Zugangsinformationen gefunden. Das BSI hat knapp eine Woche später den Adresspool in seine Datenbank eingepflegt und bietet den altbekannten Prüftest auf seiner Seite an.

Es gibt ein Update weiter unten…

Meine Prüfung

Auch ich habe erneut meine Mail-Adressen (trotz einiger Bedenken) dort eingegeben, weil nicht nur ich damit hantiere, sondern auch meine Familie. Dabei gilt aber bei uns, dass wir spezielle Adressen für Shops haben und auf keinen Fall die gleichen Kennwörter verwenden.

Wie schon im Januar konnte ich mich gestern glücklich schätzen, dass ich bei meinen knapp 25 verwendeten E-Mails keine Warnung vom BSI erhalten habe. Die Freude währte nicht lange. Um halb acht trudelte eine letzte Mail von GMX in meinen Client ein, dass mein Konto gesperrt würde und ich diesen mit einer Kennwortänderung wieder zugänglich machen könne.

Sicherheitssperre Ihres Postfachs

Lieber GMX Nutzer,

mit diesem Sicherheitshinweis möchten wir Sie über einen Fall von Identitätsdiebstahl informieren, von dem auch Sie betroffen sind. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden Zugangsdaten für Online-Dienste gekapert. Die Datensätze enthalten E-Mail-Adresse und Passwort, dies bedeutet jedoch nicht, dass lediglich E-Mail-Konten betroffen sind. Mithilfe des vom BSI eingerichteten Sicherheitstest unterhttps://www.sicherheitstest.bsi.de/, können Sie dies noch einmal verifizieren.

Etwas fassungslos änderte ich mein Kennwort und versuchte erneut (diesmal nur von GMX) die Mail-Adressen beim BSI einzugeben. Ich habe erneut keine Antwort-Nachricht vom BSI bekommen, dass einer meiner Adressen im abgezogenen Datenpool existieren würde.

Die Unsicherheit

Damit ist für mich die gesamte Prüfung von den “Providern” wie auch vom BSI für die Katz. Wenn ich (vermeintliche?) False-Positive habe, die nur auf der Grundlage eines Zeichenkettenvergleichs von Mail-Adressen schon ausschlagen; wenn das für mich NICHT erkennbar ist bei wem das Problem sitzt, kann ich mich auf gar nichts verlassen.

Das BSI schickt keine Mails, wenn die E-Mail nicht betroffen ist und GMX informiert nicht, welche Adresse im Datenpool gefunden wurde. Das ist doch FUD vom feinsten.

Jetzt gibt eine Liste des Zweifels, was schief gelaufen sein kann:

  1. Das BSI hat ein Mailversendeproblem
  2. Das BSI kann die eigene Datenbank nicht korrekt prüfen
  3. GMX kann die von der BSI gestellten Daten nicht richtig prüfen
  4. GMX prüft gar nicht und verschickt Sperrmeldungen
  5. Ich habe auf mind. einer der Mailadressen ein Problem oder nicht
  6. GMX hat meine Kundennummer in der Datei gefunden (mit der man sich auch anmelden kann)
  7. GMX hat eine Mail im Pool gefunden, die ich schon bei GMX gelöscht habe.

Wenn Punkt 1 und 2 fehlgeschlagen sind, gibt es ein riesiges Problem. Denn nicht alle Mail-Provider erhalten Möglichkeit der separaten Prüfung. Wer also einen eigenen Mailserver betreibt oder bei einem kleineren Provider ist, würde nun anhand der fehlenden Bestätigung des BSI annehmen es würde kein Problem geben.

Bei Punkt 3, 4 und 5 hat man zumindest eine große Verunsicherung und wird natürlich (trotz Zweifel) sein Mailkonto mit neuem Kennwort versehen und die tausende von Empfehlungen durchackern. Ggf. nichts für wieder nichts.

Auf Punkt 6 wurde ich später Aufmerksam gemacht. Aber man kann kaum was dazu sagen, da nicht öffentlich bekannt ist wie die Daten aufgebaut sind. Zudem verwende ich die Kundennummer natürlich nicht als Benutzername in Online-Shops. Auch habe ich die Nummer nur zu Anfängen GMX mal genutzt – das ist schon wirklich mehr als 10 Jahre her. Das würde bedeuten, dass entweder GMX als Provider kompromittiert war oder einer meiner PCs (z.B. durch Auslesen meiner Mails, die ich von GMX erhalten hatte). Unabhängig davon, dass ich nie einen Trojaner oder Virus fand so lange ich bei GMX bin, spricht eines gegen diese Theorie: Meine anderen Mail-Accounts (über 10 an der Zahl) hätten ebenfalls (und das viel einfacher) abgezogen werden können. Nur zu denen bekam ich vom BSI ebenfalls keine Warnung (womit wir wieder beim Punkt 1 und 2 wären).

Punkt 7 wäre eventuell auch die Lösung zu dem Problem, dass das BSI mir nichts zustellt, zu dem ich nichts anfragen kann. Da GMX mir keine Info gibt, welche Adresse das ist, stehe ich da auf dem Schlauch.

UPDATE: Ich habe beim GMX Technik-Support angerufen und konnte bestätigen lassen, dass eine Adresse bei GMX als gelöscht markiert wurde. Diese Adresse habe ich am 10.12. letzten Jahres löschen lassen und wird damit 6 Monate zur Wiederverwendung gesperrt. Das Problem ist nur, dass ich diese beim BSI nicht testen kann…

trenner

Das eigentliche Problem ist die Geheimniskrämerei

Ich und vermutlich viele andere hängen nun in einem Informationsloch der Unwissenheit was nun wirklich passiert sein mag.

Weder die Staatsanwaltschaft in Verden, noch das BSI und auch nicht die großen Provider informieren wie die Struktur der Daten aufgebaut sind. Weder beispielsweise noch im tatsächlichen Fall der Kompromittierung. Wenn GMX nicht mal in dem Schreiben angibt, welche Mail-Adresse gefunden sein mag (oder meinetwegen die Kundennummer), dann habe ich persönlich keine Möglichkeit auch nur ansatzweise vernünftige Gegenmaßnahmen durchzuführen. Sogar die Änderung des Kennwortes ist nutzlos, wenn ich für den Mail-Abruf ein anderes verwende, als für irgendwelche Shop-Logins oder im Social Media.

Was alles passiert sein kann:

  1. Mail-Adresse mit Kennwort (Auth-Daten) wurden auf einer schlecht gehosteten Seite (Shop, Forum, Social Media, Mail-Provider) abgezogen
  2. Auth-Daten wurden von dubiosen Betreibern / Mitarbeitern verkauft/verschenkt
  3. Auth-Daten wurden per Brute-Force bei Diensten abgegriffen
  4. Auth-Daten wurden vom eigenen PC abgezogen (Trojaner, Logger, Browser-Hack, Mail-Client, Phishing)

Alle vier Punkte erfordern zunächst das Ändern der Authentifizierungsdaten, darauf hin aber sehr unterschiedliche Vorgehensweisen, um weitere Probleme zu verhindern. Gerade Punkt 4 kann noch viel schlimmeres bedeuten, als nur den illegalen Zugriff auf eigene Mail-Account-Daten. Ggf. ist noch viel mehr kompromittiert.

Bei Punkt 1 muss man wissen, wo das Problem aufgetaucht ist. Wenn man, wie ich, unterschiedliche Mailadressen für verschiedene Dienste und Personen nutzt, kann man so gezielt weitere Angriffe verhindern. Ist das vom BSI nicht gewollt?

Punkt 1 und 2 kann ja bei den Mail-Providern passiert sein. Diese erhalten nun vom BSI Zugriff auf die abgezogenen Mailadressen. Kann man erwarten, dass ein kommerziell geführtes Unternehmen seine Informationspolitik derart gestaltet, dass sie zugeben selbst die Ursache zu sein? Ich habe da meine großen Zweifel. Besonders wenn es um GMX oder Web.de geht, die in Vergangenheit selbst mit FUD-Mittel gearbeitet hatten.

trenner

Fazit

Das BSI geht mit den Mail-Providern eine unheilige Allianz der Sicherheitsexperten ein, die auf der Basis Security by Obscurity arbeiten. Denn sie versuchen den Bestand der abgezogenen Daten zu verheimlichen, um angeblich weiteren Missbrauch zu verhindern. Nur machen sie es damit schlimmer: Es wird eine schnelle Aufklärung der Quellen verhindert. Evtl. ursächliche Schuldige bei Mail-Hostern können verschleiern. Weitere vergangene Angriffe können nicht erkannt werden, weil man als Betroffener dumm gehalten wird.

Darüber hinaus scheint es ein massives handwerkliche Problem zu geben, wenn GMX die Konten seiner Nutzer auf einer Datenbasis sperrt, die angeblich auch das BSI hat. Nur erhält man unterschiedliche Ergebnisse, prüft man das selber.

UPDATE: Wenn es sich um meine einzige gelöschte Mail-Adresse handeln sollte, gibt es immer noch ein “handwerkliches” Problem. Denn diese lässt sich über die BSI Sicherheitsseite nicht testen, eine Warn-Mail würde bei mir nicht ankommen. GMX kann mir übrigens nicht mitteilen, welche Adresse tatsächlich der Trigger für die Sperre war. Laut Auskunft der Technik wird die problematische Adresse nicht gespeichert, nur der Hinweis weswegen gesperrt wurde: Der BSI-Datenpool. Soweit war ich auch schon.

Es bleibt ein sehr ungutes Gefühl, dass ein ganzes Sicherheitsministerium mit der Sache überfordert ist. Die Betroffenen (wenn sie es denn wissen) werden dabei allein gelassen.

bookmarks

Lesezeichen: Alvars Blog – Kippt der Europäische Gerichtshof die Vorratsdatenspeicherung?

Ich hoffe, dass der Europäische Gerichtshof in Luxemburg in seinem Urteil zur Vorratsdatenspeicherung ein paar wichtige Tatsachen klar stellt, die nicht nue der Generalanwalt verdrängt hat: Es gibt nicht die eine Vorratsdatenspeicherung! Die verschiedenen zu speichernden Daten greifen unterschiedlich tief in unser aller Grundrechte ein (Gutachten, PDF), und dies sollte vom Gesetzgeber beachtet werden. Die Speicherung von IP-Adressen ist relativ harmlos, stellt keine Totalüberwachung dar und ist zur Aufklärung typischer Internet-Delikte wichtig – während die Speicherung von Mobilfunk-Standortdaten umfangreiche Bewegungsprofile ermöglicht und zur Totalüberwachung genutzt werden kann.

Mehr in Alvars Blog…

Red Phone (Jimmy Carter)

Schadenfreude ist nicht angebracht – Diplomatengespräche online

Das Grinsen ist nicht einfach aus dem Gesicht zu wischen, wenn man heute morgen liest, wie eine unangenehme Veröffentlichung eines Telefongesprächmitschnitts das US-amerikanische Verhältnis zur EU auf den Punkt bringt.

Die bis dato wohl vielen unbekannte Victoria Nuland, inzwischen als Topdiplomatin bezeichnet, hatte sich in einem Gespräch mit, welches sie mit dem US-Botschafter, Geoffrey R. Pyattin der Ukraine führte, despektierlich über die EU geäußert.

Mit einem “Fuck the EU” tat sie die Rolle der Europäischen Union ab, die sie nicht in den Verhandlungen zwischen UNO und Ukraine sah. Das Video behandelt noch andere Telefonmitschnitte und man kann sich wirklich nicht dem Verdacht entziehen, dass da ein anderer Geheimdienst etwas Zwist sähen wollte:

Aber Schadenfreude ist nicht angebracht. Dieses Schlaglicht auf Befindlichkeiten US-amerikanischer Diplomaten ist nicht unerwartet, schließlich bläst der USA ein ähnlicher Wind auch von europäischen Vertretern entgegen. Bei Flurgesprächen wird man kaum andere Worte in den Mund nehmen, wenn man sich mal über die amerikanische Rolle echauffiert. Aber man darf nicht vergessen, dass diese Instrumentalisierung durch Geheimdienste genau das Problem aufzeigt, für was Überwachung eben gerne eingesetzt wird: Um zu denunzieren, Akzente zu setzen, auszuspielen und zu intrigieren. Neben dem angenehmen Effekt auch noch Wissen über gegnerische Positionen zu erlangen.

Klar ist das ein Spiegel für die Machenschaften der NSA, aber wenn man das so unreflektiert annimmt, ist man der Erfüllungsgehilfe der Veröffentlicher der Telefonmitschnitte. Denn darauf wird offensichtlich spekuliert: Man will EU und USA weiter entzweien mit dem Instrument des Abhörens, die der NSA gerade die größte Kritik beschert. Selbst Schuld mag man jetzt sagen, aber das maximal auf der Ebene der Geheimdienstarbeit, nicht im Sinne der Aussagen, die veröffentlicht wurden.

Trennt man das, bleibt nur eine Aussage einer Diplomatin zu ihrem Botschafter, die man allenfalls übertrieben gereizt bezeichnen kann. Ist ja auch eine Information für die Öffentlichkeit, denn mehr Offenbarungen erlangt man nicht.

Unabhängig vom Inhalt ist das einfach nur ein Coup eines Geheimdienstes, den man vermutlich in der russischen Föderation finden wird, der ein Stöckchen hinhalten möchte, über den die EU jetzt fein hüpfen soll. Eigentlich lohnt es sich nicht, sich darüber aufzuregen. Die ehemals veröffentlichten Diplomaten-Depeschen (Cablegate) haben ja all zu deutlich gezeugt, was für ein Tonfall vorherrscht. Jede Aufregung darüber ist in Prinzip nur Heuchelei oder Dummheit. Beides zusammen ist vermutlich auch nicht auszuschließen.

Betrachtet man aber die Intention der Veröffentlichung, muss man wieder sehen, was die totale Überwachung bedeuten kann. Auf diplomatischer Ebene ist sowas punktuell ein GAU. Auf privater Ebene wird das immer nur zu gern mit dem “Ich habe nichts zu verbergen” heruntergespielt. Aber man stelle sich vor, man regt sich in einer Mail, adressiert an einem guten Freund, über seinen Arbeitgeber auf. Dieser findet nun eine Kopie dieser bösen Aussage plötzlich in seinem Maileingang. Den eigenen Job ist man eventuell los und die Intention der Weiterleitung des Überwachers kann gewesen sein, die Firma zu destabilisieren oder zumindest Zwist zu sähen. Vielleicht sogar die Abwerbung der eigenen Person?  Alles Spekulation und jeder würde für sich sowas ausschließen, weil man sich kaum vorstellen kann, im Fokus solcher Intrigen zu stehen. Aber die angestrebte Totalüberwachung führt nun mal dazu, dass jeder Bestandteil der Kommunikation genutzt werden kann. Und “Bestandteil” ist da wörtlich gemeint, weil man ja dann auch beliebig aus dem Kontext reißen kann, wenn es den anvisierten Zielen dient.

Den Vorfall der veröffentlichten Telefongespräche sollte man nicht überbewerten. Aber die Überwachung damit relativeren, wenn man nun sagt: “Das ist ja witzig, jetzt schlagen wir die USA/NSA mit ihren eigenen Waffen”? Das führt nur zu einer Aufrüstungsspirale im Cyberkrieg zwischen den Nationen. Man kann sich schon jetzt vorstellen, dass sich die Großmächte neben der USA sehr wohl überlegen, wie der der NSA etwas entgegenzusetzen haben. Die Fehler des kalten Krieges lassen sich da nur zu leicht wiederholen.

Auf der Strecke bleiben die Menschen, die für solche Kriege instrumentalisiert werden. Irgendwas wird sich ja immer in den erspähten Informationen finden.

 

Monteverdi Ritorno

GEMA und YouTube, auf Umwegen zum Geld?

Ach die GEMA wieder. Es werden neue Claims gesucht, um die Einnahmen zu maximieren. Das aber mal wieder mit obskuren Begründungen.

Mir geht es nicht um die Frage, ob Geld fließen sollte, sondern warum Frau Goebel so eine Begründung wählt:

Goebel: “Wir sehen das wie die AKM. Einfache Hyperlinks sind keine relevante Nutzungshandlung. Ohne diese würde das Internet nicht funktionieren. Embedded Content, bei dem für den Nutzer nicht klar ist, dass die Datei von einer anderen Seite stammt, sollte hingegen lizenziert werden.”

Ich weiß nicht, wie Ihr das so seht. Aber gerade die Player von YouTube oder Vimeo sind so eindeutig gebrandet, dass jedem Internetnutzer mit ein paar Minuten Erfahrung klar ist, woher das Video gestreamt wird. Zudem gilt gerade YouTube als eines der bekanntesten Internetmarken neben Google, Twitter und Facebook.

YouTube GemaAuch wird man schon bei YouTube immer den GEMA-Hinweis in Erinnerung haben, der eben nicht ermöglichen soll entsprechend geschützten Content  “illegal” zu konsumieren.

Außerdem müsste doch die Abrechnung, gäbe es eine, doch direkt beim Streaminganbieter erfolgen. So waren immer die Verhandlungen zwischen Google und GEMA zu verstehen. Soll da doppelt abkassiert werden? Kann da differenziert werden?

Was soll also dieser Vorstoß?  Will sich die GEMA an kleinere Webseitenbetreiber halten, weil bei Google kein vorankommen zu sehen ist?

Es ist zu befürchten, dass es mit Video-Content in Zukunft in Deutschland nicht einfacher wird, wenn solche Aussagen getroffen werden.

HURT Concept Drawing

Privatsphäre – wie man es komplett falsch verstehen kann

Das die Strafanzeige gegen die Bundesregierung nicht ohne kommentatorische Folgen bleiben kann, war wohl abzusehen. Auch auf die wertkonservativen Blätter unserer Journaille  mussten wir nicht lange warten. Die Welt schickt Torsten Krauel ins Rennen, um dem CCC zu bescheinigen, er würde in Doppelmoral handeln.

Der Titel des Kommentars ist wunderschön polemisierend: Die verlogene Strafanzeige gegen Angela Merkel. Das alles unter der Kategorie “Debatte” angelegt, um mit merkwürdigen Gedankengängen vorzupreschen.

Richtig erkennt Krauel, wie sich das Internet zu Geheimdiensten verhält. Eine honigfarbene Goldgrube an Informationen, die die Bären vom Geheimdienst nur anlocken würden. Damit will er wohl die Unvermeidlichkeit unterstreichen, warum man alles abziehen muss, was einem zu Füßen geworfen wird. Sprich, das Internet hat wohl selbst Schuld, wenn es das ist was es ist.

Das Internet und die Geheimdienste verhalten sich zueinander ungefähr wie ein Lagerhaus voll Honig direkt vor einer Bärenhöhle. Welchem Verwerter, gleichgültig ob staatlich oder kommerziell, liefe da nicht das Wasser im Munde zusammen.

Ach nee, selbst erkannt hat er das nicht. Das hat er wohl vom CCC:

Informationen, sagte kürzlich die Sprecherin des Hacker-Vereins Chaos Computer Club, seien für die Weltwirtschaft und Weltpolitik das Erdöl des 21. Jahrhunderts.

Nach dieser kurzen Einleitung wird es krude:

Was steht in den ersten Sätzen der “Hacker-Ethik” des Chaos Clubs? “Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein. Alle Informationen müssen frei sein.” Das denkt die NSA schon lange. Oh, für sie gilt das nicht? “Öffentliche Daten nützen, private Daten schützen” lautet der letzte Satz der CCC-Ethik. Ach so. Und wer bestimmt in der Internetwelt, was öffentlich ist und was privat?

Der Beitragsverfasser stellt unmittelbar in Frage, was Öffentlichkeit bedeutet. Unschwer ist zu erkennen, dass durch die Einleitung seines Textes das Internet (was an allem Schuld ist) selbst die Öffentlichkeit sein soll, die keine Privatheit mehr erlaubt. Damit man gar keinen Zweifel hat, was an Informationen das Internet bietet und warum man alles einsehen muss, kommt Krauel mit

Kinderpornographie,

Die Frage, ob irgendwo auf der Welt Kinder kommerziell gequält werden und perverse Kunden diese Ware dann per Internet konsumieren, ist weniger wichtig als die deutsche Informationsfreiheit.

Terroristen,

Ebenso wenig wie die Netzsuche nach Terroristen?

und Steuersündern,

Oder nach Steuersündern?

um dann den Bogen wieder zur Öffentlichkeit zu finden:

Soll man den Dingen im Netz also lieber ihren Lauf lassen? Was, bitte, ist denn nun öffentlich und was privat?

Diese Fragestellung impliziert, dass eigentlich nur alles öffentlich sein kann, bis man alles rausgefiltert hat, was offensichtlich privat ist. Dann wird kategorisiert nach strafrechtlich relevant und legalem Handeln.

Das ist eine wunderschöne utopische Darstellung eines Algorithmus, wie man die Welt technisch in Schubladen stecken kann, um Böses vom Guten zu trennen. Da muss man die Frage stellen, ob die von Krauel dem CCC unterstellte Naivität nicht vielleicht im eigenen Kopf zu finden ist.

Zum einen erwartet er damit schon die Allmächtigkeit der Geheimdienste alles sehen zu können, um in der Lage zu sein gleichberechtigt zu kategorisieren. Aber das kann zum heutigen Stand hoffentlich noch verneint werden.

Zum anderen scheint er damit zu glauben, Gut und Böse ließe sich mit der vollständigen Durchforstung des Internets sauber trennen. Dabei sollte auch einen Journalisten der Welt bekannt sein, was und wie die Geheimdienste Daten sammeln. Sie filtern den Datenverkehr nach Stichwörtern, speichern Metadaten und ggf komplette Inhalte, für spätere Nachanalyse.

Was glaubt Krauel denn sonst? Jede Internetseite, jede Mail, jede SMS wird von gewissenhaften Leuten durchgelesen, um sicher sagen zu können: Liebesbrief, Terroristische Planung, Bild einer Katze, Video eines nackten Mädchens…?

Das geschieht nicht. Es wird nach intransparenten, nicht rechtsstaatlichen Kriterien das Internet gefiltert und kategorisiert. Nach unterschiedlichen moralischen und ethischen Vorstellungen die nicht immer deckungsgleich mit den Vorstellungen der Ausgespähten übereinstimmen und damit meine ich ganze Gesellschaften und Völker, nicht nur den kleinen Steuersünder. Dauerhaft gespeichert, aus dem Kontext gerissen, für spätere Verwendung – eventuell nach geänderten moralischen und ethischen Definitionen, wie sie zum Speicherzeitpunkt nicht existierten.

Hier geht es nicht um punktuelle Strafverfolgung, nicht mal um Rasterfahndung zur Aufspürung von konkreten Handlungen aufgrund eines Verdachtes. Die Geheimdienste wollen alles erfassen, um präventiv jeden Gedankengang zu bewerten, damit sie diese strafrechtlich auseinanderdividieren können. Damit gelangt jeder Mensch in den Fokus von Ermittlungen. Nur ein intransparentes Scoring  – ohne Einfluss von juristischen Schutzwällen – trennt die eigene Person von Gut und Böse. Nach Kriterien eines Dienstes, welches Geheimhaltung als oberste Priorität sieht und dabei kaum kontrolliert wird.

Hier wird nicht nur die informationelle Selbstbestimmung verletzt. Hier wird präventiv im Privaten geschnüffelt, um es dann erst aussortieren zu können. Dabei erfolgt das Aussortieren nicht durch Löschen der gewonnen Informationen, sondern es wird einfach erstmal archiviert. Man kann es vielleicht ja noch brauchen.

Über das Internet geht inzwischen alles aus unseren Lebensbereichen. Versicherungen, Homebanking, Telefongespräche, SMS, Finanztransaktionen, Aktienkäufe und Verkäufe, Opferberatung, Organisation von Gewerkschaften, Parteien und Demonstrationen, Billing von Offline-Einkäufen, Liebesbriefe, Onlineeinkäufe, Auktionen, Spendensammlungen, Whistleblowing, Rechtsberatung, Steuerzahlungen. Menschen mit Behinderungen suchen Kontakte, psychisch Kranke Hilfe, Einsame  nach einem Partner. Familien korrespondieren über Grenzen per Mail, Chat und Videokonferenz. Reisen werden geplant, gebucht und bezahlt – in Länder die heute sicher sind, in denen in zwei Jahren Diktatoren führen. Dann sind meine Daten plötzlich ganz anders zu bewerten. Menschen informieren sich nach Nachrichtensendungen über terroristische Länder und Gruppen oder über Namen von Widerstandskämpfern. Informieren sich über ihre medizinischen Probleme, schauen Pornos oder laden den Trailer eines Kinderfilms runter. Kinder dürfen die letzte Sesamstraße aus der Mediathek anschauen und gleichzeitig verfolgen viele Fernseher das Zappen eines Hausmannes beim Bügeln.

Was ist davon privat? Was ist öffentlich? Das Handeln und Interagieren der Personen wird deswegen nur automatisch öffentlich, weil sie das Internet benutzen? Teilweise nicht mal gewollt (SMS, Telefon, Fernsehen mit HbbTV)?

Ja, der CCC hat recht. Öffentliche Daten nützen, private Daten schützen. Auch vor Geheimdiensten. Da bringen auch polemische Konstrukte nichts, Terrorismus, Kinderpornografie oder Steuerhinterziehung heranzuziehen, um alles zu erlauben was technisch möglich ist. Denn die Technik, wie die Menschen dahinter, sind fehlbar. Wenn es auch noch von Diensten angewandt wird, die alles geheim halten wollen oder müssen, dann werden Fehler nie aufgedeckt.

Damit ist jeder Mensch der Willkür des Zufalls im System der Überwachung ausgesetzt. Ohne juristische Hilfe, ohne Chance der Rehabilitation ohne demokratische Prozesse.

Aber wenn dies das Ziel ist, was will man mit der Überwachung verteidigen? Den Rechtsstaat? Die Demokratie? Das gibt es doch nicht mehr, überlassen wir alles den Geheimdiensten.

bookmarks

Interview zum morgigen Forum in Rostock zu Snowden

Auf der Seite das-ist-rostock.de findet sich ein Interview mit Prof. Dr. Elizabeth Prommer, die Direktorin des Institutes für Medienforschung am Lehrstuhl für Kommunikations- und Medienwissenschaft der Uni Rostock ist. Zudem ist sie Prodekanin der Philosophischen Fakultät Rostock. Es geht um die Podiumsdiskussion zu Snowden und dem Ziel, ihm die Ehrendokterwürde zu verleihen.

Ein Ausschnitt aus dem Interview:

das-ist-rostock.de: Was antworten Sie, wenn Ihnen jemand vorwirft, dass das alles ein PR-Coup ist, um die Uni in Nordosten bundesweit ins Gespräch zu bringen?

Elizabeth Prommer: Denen sage ich, dass ausgerechnet Rostock gute Gründe für dieses Ehrendoktor-Verfahren hat. Und das nicht nur, weil wir die einzige philosophische Fakultät der Bundespublik sind, die in einem ehemaligen Stasi-Gebäude untergebracht ist und unsere Historiker auch die Stasi-U-Haft und das Rostocker Stasi-Dokumentationszentrum betreuen. In Rostock ist die wissenschaftliche Arbeit zu Fragen der Überwachung, des Rechtsstaates, des Totalitarismus besonders wichtig, hier liegt unser Schwerpunkt. Wir sind da besonders sensibel, auch weil wir Lehrer ausbilden für Englisch, für Deutsch, für Philosophie, für Geschichte und viele andere Fächer. Wir legen besonderen Wert darauf, kritische, mündige Lehrer auszubilden. Edward Snowden hat uns sehr deutlich gezeigt, was vorher nur geahnt und als Teufel an die Wand gemalt wurde. Durch ihn lernen wir derzeit das Ausmaß und die Methoden dieser Überwachung kennen.

Weiterlesen…

traffic-vintage

Das GLADII Gutachten, herzlich gelacht – Redtube

Als Thomas Stadler über die Veröffentlichung des GLADII-Gutachten berichtete, musste ich es mir gleich mal durchlesen. War nicht viel Arbeit und sorgte bei mir Gefühlsausbrüche zwischen Fassungslosigkeit und hysterischem Gelächter.

Ich selbst schreibe zwar keine Gutachten, aber immer wieder IT-bezogene Analysen von Soft- und Hardware wie auch Netzwerkstrukturen in mittelständischen Unternehmen. Darauf basieren dann Investitionsentscheidungen in vier bis sechsstelligen Größenordnungen. Wenn ich so ein “Gutachten” abliefern würde, müsste ich wohl in sehr kurzer Zeit am Hungertuch nagen.

Aber es scheint wohl ein dramatischer Unterschied zu existieren, ob ich ein Wirtschaftsunternehmen oder ein Gericht “berate”. Das macht mir aber wieder ein wenig Angst, nach dem ich diesen Einblick in die Gutachtertätigkeit nehmen durfte.

Das Gutachten

Das Gutachten beschreibt die Funktionstüchtigkeit der Software GLADII 1.1.3, der damit bescheinigt werden soll, Downloads bestimmter Dateien rechtssicher erfassen zu können.

Durchgeführt hat diese Untersuchung ein Dr. Frank Schorr, der über 18 Jahre Berufserfahrung als Patentanwalt und Physiker haben soll. Schorr arbeitet für die Rechtsanwaltskanzlei Diehl & Partner GbR in München.

Das Gutachten wurde von der itGuards Inc., Silicon Valley in Auftrag gegeben. Eine Homepage gibt es dazu wohl nicht und scheint eine sogenannte Briefkastenfirma zu sein.

Ziel

Das Ziel des Gutachtens ist nachzuweisen, dass die Software GLADII die Identität einer heruntergeladenen Datei korrekt zu erfassen, die Uhrzeit des Download-Starts zu protokollieren und die IP des Clientcomputers zu ermitteln, der den Download initiierte.

Schon diese Wortwahl im Gutachten scheint dem Auftraggeber geschuldet zu sein, einen bestimmten Eindruck eines technischen Vorgangs zu hinterlassen: Dem Download einer Datei.

Da aber alle Abmahnungen auf Ereignisse abzielen, wo Nutzer angeblich Videos im Browser betrachtet haben, geht es tatsächlich im das Streamen von Daten. Das bedeutet, dass auf dem Client nur zur Wiedergabe des Videos ein notwendiger Puffer zur Datenaufbereitung des Videobildes vorgehalten wird und nicht dauerhaft zu späteren Rekonstruktion oder Wiedergabe gespeichert wird.

Damit spiegelt, schon gleich zu Anfang, das Gutachten eine technische Fähigkeit vor, die tatsächlich nicht im Gutachten belegt wird und auch den Abmahnungen widerspricht. Es wird einfach der Begriff “Download” benutzt, ohne zwischen Streaming (wo nur ein Datenfenster auf dem Client vorgehalten wird) und der permanenten Dateispeicherung durch einen Download unterschieden wird.

Die Überprüfung

Der Gutachter überprüft die Software GLADII über mehrere simulierte Szenarien von angeblich rechtsverletzenden Tätigkeiten eines Nutzers. Dabei steht dem Gutachter nur ein Webinterface der GLADII Software zur Verfügung, die auf einem (nicht näher bestimmten) Server läuft.

Die Testszenarien wurden mittels drei URL aufgebaut:Porno-URL-AusGutachten

Im Gutachten wird dazu bemerkt:

Sämtliche der drei Medien-Dateien sind Videos, welche auf den Web-Seiten der Medien-Hoster angeboten werden. Durch Anklicken eines Angebots eines Medien-Hosters durch den Benutzer wird der Download zum Computer des Benutzers gestartet, und die Darstellung des Videos erfolgt durch den in dem Webbrowser des Computers integrierten Video-Player.

Diese Aussage ist ein bemerkenswertes Gemisch von technologischen Begriffen, um nicht komplett etwas Falsches zu sagen, aber doch den Eindruck des Downloads zu erwecken.

Zum einen wird genau der äußere Vorgang des Video-Streamings beschrieben aber doch von Download gesprochen. Bei einem Download geht man aber landläufig, wie juristisch, immer davon aus, dass eine dauerhafte Kopie auf dem Client verbleibt. Man muss sich nicht auf pornografisch orientierten Seiten tummeln, es genügt auch YouTube anzuschauen, um sofort zu wissen, dass es nicht stimmen kann, es handle sich um einen Download. Ein Video im Browser zu betrachten erstellt keine Kopie. Im Gegenteil, es wird explizit alles versucht, keine Daten permanent auf dem Client zu speichern.

Ab Punkt 6 im Gutachten wird die Testdurchführung beschrieben. Dabei werden ungeheuer wichtig erscheinende Dinge durchgeführt: Zum Beispiel wird die Uhrzeit mit der der Physikalisch Technischen Bundesanstalt bereitgestellten Zeit verglichen. Da scheint der Physiker im Gutachter durchzukommen. Die Tests wurden auch an zwei verschiedenen Tagen im Dezember 2012 durchgeführt. Es wurde auch nicht vergessen, mit welchem Browser man arbeitete.

Die Beschreibung der Testvorgänge sind aber leider nichts anderes als die Darstellung eines Nutzervorganges, ohne auf die technischen Hintergründe einzugehen. Es wird trefflich bemerkt, dass die GLADII Serversoftware punktgenau erkennen kann, wann im Test die Betrachtung der Videos beginnt, pausiert und beendet wird. Zudem wird die IP des Clients dazu ermittelt.

Nach den Tests, wurde mittels des Webinterfaces der GLADII Software eine Auswertung durchgeführt und festgestellt, dass alle Daten korrekt protokolliert wurden. Zudem können alle Auswertungen pro Clientzugriff gesondert ausgegeben  oder alle Daten auf einmal per CSV-Datei heruntergeladen werden.

Immer wieder beschreibt das Gutachten, es handle sich um Downloads, um nicht annähernd die Frage aufzuwerfen, ob es sich nicht doch um Streaming handeln könne.

Was offensichtlich geprüft wurde

Der Gutachter geht mit keiner Silbe darauf ein, welche Einschätzung er zu der verwendeten Technologie von GLADII habe. Die Software GLADII wird nicht geprüft. Es werden keine technischen Beschreibungen geliefert. Die einzige Erkenntnis aus dem Gutachten ist, dass man mit einem Web-Interface auf eine entfernt installierte Server-Software zugreifen kann.

Die obigen Testhoster für die Dateien unterscheiden sich von dem eigentlichen Hoster Redtube, bei dem tatsächlich abgemahnt wurde. Damit bewertet das Gutachten andere Hoster und die Wirksamkeit der Erfassung, als es später real zur Abmahnung eingesetzt wurde.

Das ist eine deutliche Schwäche im Gutachten, wenn man sich überlegt, dass Redtube vehement bestreitet mit itGuard zusammenzuarbeiten. Verständlich, denn man würde sich ja das eigene Werbegeschäft vermiesen, vergraulte man sich so seine Kunden. Auch die Abmahner behaupteten nie, mit Redtube zusammenzuarbeiten oder Protokolle der Server zu haben.

Es ist also nicht nachvollziehbar, ob die obigen Test-Hoster Protokolle zur Verfügung stellten, ob Scripte auf den Webservern der Hoster eingesetzt wurden, um Daten der Nutzer zu protokollieren oder ob schon da andere Techniken eingesetzt wurden, die man bei den eigentlichen Redtube-Abmahnungen vermutet: Zum Beispiel Skimmed Traffic.

Skimmed Traffic ist im Prinzip eine Umleitung eines Nutzer über einen weiteren Server im Internet, der dann in seiner Proxy-Funktion die Datenübertragung passiv protokolliert. Im Prinzip ist das ein Man-In-the-middle Angriff, der auch aktiv den Stream der Daten manipulieren könnte (Scripte einschleusen).

Zumindest reicht die Beobachter-Perspektive des Proxy-Servers, die IP-Adresse des Clients zu ermitteln und auch Zeiten zu erfassen. Genaue Analyse durch Pausieren der Video-Streams ist auch möglich, weil ja die Daten über den Proxy geleitet werden.

Nun muss man zwischen den Test des Gutachters und der reellen erfassten Streaming-Metadaten bei den Abmahnungen unterscheiden. Wurden über die im Gutachten getesteten URL schon der Traffic umgeleitet? Oder machte es man sich da einfacher, weil man mit den Hostern zusammen arbeitete?

Es gäbe noch die Möglichkeit, dass auf all den Hostern Werbung geschaltet wurde, die Java-Applets in Verbindung mit JavaScript verwendeten, um IP-Adressen und das Klickverhalten der Nutzer zu ermitteln. Das wäre aber schon recht aufwändig.

Egal wie man spekulieren mag. Der Gutachter hinterfragt die Art und Weise der Analyse und hervorgebrachten Daten überhaupt nicht. Er stellt nicht fest, dass GLADII mit dem Hostern zusammenarbeiten könnte (Web-Server Protokolle auszuwerten wäre am einfachsten) oder ob die Daten per eingeschleuste Scripte erfasst wurden. Gar nicht berücksichtigt im Test, ist die Möglichkeit des Traffic Skimming. Denn über diesen Weg war der Nutzer ursprünglich gar nicht auf Redtube, sondern wurde dort erst – über den Proxy – per Script hingeleitet. Der Gutachter selbst beschreibt ja, er habe im drei URL gearbeitet. Wurden diese umgeleitet? Bemerkte der Gutachter das? War die getestete Technologie anders, als bei den Redtube-Abmahnungen?

Fazit

Allein, dass man diese Fragen jetzt stellen kann, ohne eine Antwort zu erhalten macht das Gutachten komplett wertlos. Allein nur zu behaupten, durch Beobachtung würde GLADII funktionieren ist schon naiv. Zumal dem Gutachter die URL vorgegeben wurden. Da der Test nicht auf Redtube zu übertragen ist, kann es für die Abmahnungen nicht herangezogen werden.

Letztendlich sind die festgestellten Beobachtungen des Gutachters sowieso nur eine textliche Beschreibung, wie der Anwender den Video-Player des Browsers bedient hat. Der Gutachter kann nirgendwo darlegen, dass die Daten – im Sinne des technischen Begriffs Download – permanent auf die Festplatte des Clientrechner gespeichert wurden. Er beschreibt ja nicht mal, dass auf dem Anwalts-PC während des Tests vollständige Kopien der Videos verblieben sind.

Unter diesem Schluss, wirkt die Aussage von Dr. Frank Schorr schon skurril:

Die bei den Tests durchgeführten Aktionen beruhen technisch auf üblichen Internet-Technologien, welche beim Einsatz in dem verwendeten Test-Szenario keine Bedenken hinsichtlich etwaigen Gesetzesverstößen erkennen ließen.

Was noch zu beweisen wäre… Das Gutachten kann es auf jeden Fall nicht.

bookmarks

Lesezeichen: Benjamin Stöcker meint zur Bürgercloud

Bürgercloud?

Der Beitrag von Benjamin Stöcker geht auf den ominösen Wunsch der CSU ein, Wahlen im Internet durchzuführen und eine Bürgercloud einzurichten.

Wahlen über das Internet, mit diesem bahnbrechenden Vorschlag hat der Internetminister Bayerns, Markus Söder, den Spot auf sich gezogen. Nebenbei fiel aber auch immer wieder ein Schlagwort, dass im Populismusversuch Söders unterging: Die Bürgercloud.

Weiterlesen…