Diese Woche: Deutschland überwacht Freunde, Snowden sollte nie nach Deutschland kommen, keine Wirtschaftsspionage in Deutschland, Online-Durchsuchung und Bundestrojaner klopfen an die Tür, fast alle Internet-Router sind angreifbar und vieles mehr …
NSA-Skandal
Die Geschichte wird immer Absurder. Wir erinnern uns noch an die Worte unserer Kanzlerin: „Ausspähen unter Freunden, das geht gar nicht“. Das Wort Freunde kann man ja äußerst flexibel auslegen. Ob privilegierte Partner wie die Türkei schon Freunde sind, darüber lässt sich schon streiten. Immerhin ist die Türkei NATO Verbündeter und wird trotzdem vom BND als Aufklärungsziel seit Jahren überwacht. Aber dass der BND auch die damalige Außenministerin Hillary Clinton und den aktuellen Außenminister John Kerry abgehört hat, da könnte man schon mal Frau Merkel fragen, ob das nicht doch zumindest politische Freunde sind (Spiegel).
Edward Snowden hat Wired ein längeres Interview gegeben. Darin enthüllte er die Existenz eines NSA-Programms namens Monstermind. Aufgabe von Monstermind ist es automatisiert Cyberattacken zu erkennen und auch automatisiert zurück zuschlagen. Das sieht Snowden als bedenklich an, weil Angreifer fast immer ihre Herkunft verschleiern: „Jemand kann beispielsweise in China sitzen und so tun, als gehe der Angriff von Russland aus. Und am Ende feuern wir dann auf ein russisches Krankenhaus zurück.“. Zudem wäre dieses Programm die „ultimative Bedrohung der Privatsphäre“, da sich die NSA dafür Zugriff auf den kompletten ausländischen Datenverkehr, der durch die USA fließt verschaffen müsste (Wired, golem).
Nach Meinung des Historikers Josef Foschepoth sollte Edward Snowden nie Deutschen Boden betreten. Die USA hat sich nach dem zweiten Weltkrieg zahlreiche Sonderrechte in Deutschland gesichert (etwa Artikel VII des Nato-Truppenstatuts von 1951). Daher gelte in Deutschland nicht nur Deutsches, sonder auch Amerikanisches Recht. So müsste Snowden als ehemaliger CIA- und NSA-Mitarbeiter sobald er in Deutschland ist unverzügliche einem Amtsgericht vorgeführt werden (golem).
Unsere Bundesregierung weiß übrigens nichts von Wirtschaftsspionage durch die NSA. Das geht aus einer Anfrage der Linken hervor (heise). Da hat sie wohl in der Vergangenheit nicht aufgepasst. So hat der ehemalige Technikchef der NSA William Binney (der auch vor dem NSA-Untersuchungsausschuss ausgesagt hat) schon gesagt, dass das gesamte Überwachungssystem Industriespionage im großen Stil begünstige. Auch die Enercon Geschichte ging vor einigen Jahren schon durch die Presse (Zeit). Und schon 2001 forderte das EU-Parlament in einer Resolution Firmen dazu auf sich gegen Spionage unter anderem aus den USA zu schützen (heise).
Unserer Bundesregierung ist klar geworden, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein kleines Glaubwürdigkeitsproblem hat. Dessen Dienstherr ist nämlich das Innenministerium, dem auch unter anderem der BND und das BKA untersteht. Und wie soll man da dem BSI glauben, dass es uns wirklich brauchbare Tipps zum Schutz vor diesen Instanzen geben wird. „Vor dem Hintergrund der Datenskandale der vergangenen Monate muss die Stärkung des BSI absolute Priorität haben“ so der Bundestagsabgeordnete Lars Klingbeil (SPD), „Konsequent wäre es, das BSI zu einer unabhängigen Bundesbehörde zu machen.“. Die CDU würde dagegen lieber ein unabhängiges Gremium bilden, dass dann kleine und Mittlere Unternehmen beraten könnte. Der Bürger könnte sich weiter ans BSI wenden. Danke CDU! (WinFuture)
Soziale Netzwerke
Facebook will in Zukunft für Anzeigenkunden den Weg derer Kunden vom ersten Klick bis zum Kauf komplett offen legen, und das über verschiedene mobile und stationäre Geräte hinweg (golem).
Sonstiges
Und schon wieder wieder bringt eine kleine Anfrage der Linken interessante Fakten ans Tageslicht. Das BKA hat mittlerweile eine Software zur unerkannten Online-Durchsuchung fertiggestellt (Durchsuchung eines Rechners von der Ferne). Dagegen ist die Software für die Quellen-TKÜ derzeit in der Entwicklungsphase (Überwachung der Kommunikation auf dem verwendeten Rechner oder Telefon). Danach müssten erste noch umfangreiche Tests durchgeführt werden und der Quellcode überprüft werden. „Ein konkreter Termin für die Einsatzbereitschaft kann derzeit noch nicht mit ausreichender Genauigkeit angegeben werden“, so das Innenministerium. Die Formulierung muss ich mir echt merken, wenn mich meine Chefs mal wieder nach nem Lieferdatum für eine in der Entwicklung befindliche Software fragen (golem).
Der Bund Deutscher Kriminalbeamter hat mal wieder Zugriff auf die durch Mautbrücken erhobenen Daten gefordert. Die erfassen rund um die Uhr alle Nummernschilder der darunter durchfahrenden Fahrzeuge. Dabei geht es um Zugriffe auf die Daten nach Freigabe durch einen Richter im Einzelfall (heise). Dafür führen sie zwei Fälle in den letzten 10 Jahren an, bei denen Ihnen die Daten bei der Fahndung geholfen hätten. Einzelfallprüfung? So ging das schon oft los, etwa bei Zugriff auf Verbindungsdaten oder Handyortung. Heute werde die viel tausendfach eingesetzt, alle einzelfallgeprüft.
Die Amerikanische Verbraucherschutzorganisation Center for Digital Democracy hat eine Beschwerde über bekannte US-Firmen wie Adobe, AOL oder Salesforce veröffentlicht, die sich nicht an das Safe-Harbour-Abkommen halten. In diesem verpflichten sich US-Firmen personenbezogene Daten von EU-Bürgern gemäß Europäischem Datenschutzrecht zu verarbeiten. Die Daten werden wohl von den 30 aufgeführten Firmen nicht anonymisiert umfassend ausgewertet, ohne das dafür eine Zustimmung der betroffenen EU-Büger vorliegt (WinFuture).
Auf allen Android Telefonen kann man mit Software ohne weitere Sicherheitsmaßnahmen auf den Lagesensor zugreifen. Diese Lagesensoren sind so empfindlich, dass sie die minimalen Lageveränderungen registrieren, die ein Telefon durch die Frequenzen der menschlichen Stimme erfährt. Und damit läßt sich ein Handy in eine super Wanze umfunktionieren, die ihren Besitzer abhört (heise).
Google versucht durch mehrere Maßnahmen das verschlüsselte Web-Protokoll HTTPS zu fördern. Web-Seiten die das verschlüsselte statt des unverschlüsselte HTTP Kommunikationsprotokolls verwenden werden in Zukunft bei der Google-Suche höher einsortiert werden.
Außerdem will man Seitenbetreiber ermöglichen sich für den Chrome Browser von Google in einer Liste eintragen zu können, sofern dieser nur das verschlüsselte Protokoll HTTPS anbietet (golem).
In Las Vegas findet zur Zeit die Hacker-Konferenz DefCon 22 statt. Da kam heraus, dass Angreifer Internet-Routern manipulierte Firmware unterschieben können. Dies geschieht über Sicherheitslücken in TR-069-Protokoll, über die die Internet Provider eigentlich Sicherheits-Updates in die Geräte einspielen können. In den verkauften Routern ist dieses Protokoll oft abschaltbar, in den von Internet-Anbietern verteilten Geräten ist das meist nicht der Fall (golem).
Von Craig Young gibt es eine kurze Anleitung wie man mit sechs Regeln die Sicherheit seines Heimnetzwerks verbessern kann. Aber gegen diese Lücken helfen die leider auch nicht.
Apropos Router und DefCon 22: Mit Portal gibt es ein ambitioniertes Projekt, dass das TOR Netzwerk fest in OpenWrt für mobile Router integrieren will (golem).
Dashcams sind kleine Kameras hinter der Frontscheibe von Autos die Ständig den Verkehr aufnehmen. Die Dinger werden auch in Deutschland immer beliebter als Beweismittel im Falle eines Unfalls. Dem hat jetzt das Verwaltungsgericht Ansbach einen Riegel vorgeschoben, da das Bundesdatenschutzgesetz die heimliche Aufnahme unbeteiligter verbietet. „Die Persönlichkeitsrechte der heimlich Gefilmten seien höher zu bewerten als das Interesse des Autofahrers, der eventuell einen Videobeweis für Unfälle erlangen wolle.“ (golem)
Tue was! 