Donnerstag, 6. August 2020

Covid-19 macht Software sicherer…

Covid-19 macht Software sicherer? Was soll denn der Unsinn, werden Sie jetzt fragen. Naja, indirekt stimmt die Aussage aber: 

Nach Auswertung von Statistiken aus Microsofts „Bug-Bounty-Program“, also der Initiative, gegen Belohnung Sicherheitslücken in der Software zu melden, hat sich eine deutliche Zunahme derartiger Meldungen bei gleichzeitig deutlicher Erhöhung der Auszahlungen gezeigt. Die Werte liegen für den Zeitraum der letzten 12 Monate ungefähr beim dreifachen des vorherigen Zeitraumes. Auch die Anzahl an Fehlern, die mit einzelnen Patches behoben wurde, hat sich deutlich erhöht. Allein im Juli wurden 120 Fehler - davon 18 kritische - mit Patches behoben. Eine Auswertung der vergleichbaren Programme von Apple und Google liegt mir zwar nicht vor, dürfte aber ähnlich aussehen. 

Viele Programmierer, die entweder als Selbständige ohne Aufträge zu Hause sitzen und sich langweilen, oder vom Arbeitgeber in Kurzarbeit geschickt wurden, suchen sich nun eben andere sinnvolle Betätigungen. Immerhin 13.700.000,- $ hat Microsoft im letzten Jahr für solche Meldungen ausgeschüttet; das Finden eines entsprechenden Bugs kann also durchaus auch lukrativ sein. 



Links:

Golem News

Microsoft SRC Blog 

Donnerstag, 16. Juli 2020

Privacy Shield vom EUGH gekippt

Der österreichische Jurist und Aktivist Max Schrems hat einen erneuten Sieg vor dem EUGH davongetragen: Nachdem bereits das vorherige Datenschutzabkommen "Safe Harbour" 2015 für unwirksam erklärt worden war, hat nun die Nachfolgeregelung "Privacy Shield" dasselbe Schicksal ereilt.
Alle Übermittlungen von personenbezogenen Daten in die USA, die (nur) auf diesem Abkommen beruhen, müssen nun überdacht und überarbeitet werden.
Es gibt nach wie vor eine Möglichkeit, personenbezogene Daten legal in die USA zu übermitteln: Sog. "Standartvertragsklauseln" ermöglichen in Einzelfällen die Datenübertragung. Allerdings werden jetzt wohl über kurz oder lang sämtliche Datenschutzerklärungen geändert werden müssen, in denen eine Datenübermittlung nur aufgrund des "privacy shields" geregelt wird.
Schrems hatte bereits die Entscheidung von 2015 in Bezug auf Facebook erwirkt; er hatte von der irischen Datenschutzbehörde verlangt, zu unterbinden, daß Facebook Ireland seine Daten an den Mutterkonzern in den USA übermitteln darf. Dort würden diese Daten nicht angemessen gegen US-Überwachungsmaßnahmen gesichert, wie bereits die allseits bekannten Enthüllungen von Edward Snowden gezeigt hätten. Facebook USA sei verpfichtet, der NSA oder auch dem FBI Zugang zu sämtlichen Daten zu gewähren, ohne daß Betroffenen hiergegen eine wirksame Rechtsschutzmöglichkeit zur Verfügung stünde.

Dieses Manko hatte "Privacy Shield" eigentlich korrigieren wollen, indem der Mechanismus einer "Ombudsperson" in den Vorgang eingebaut wurde. Dem hat der EUGH nun aber eine Absage erteilt. In der Presseerklärung heißt es, daß der "...Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d.h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Quellen / Links:
Spiegel Netzwelt
Golem News 
Presseerklärung des EUGH

Mittwoch, 15. Juli 2020

Das große Jubiläum - das keiner feiert...


Gestern vor 25 Jahren ging eine Erfindung aus Erlangen um die Welt, die den Medienkonsum weltweit für immer verändern sollte und Folgeerfindungen ermöglichte wie tragbare Medienabspieler, Streaming, over-the-air-Dienste und vieles mehr.
Die Rede ist natürlich vom "Audio Codec der Moving Pictures Experts Group, layer III" - gemeinhin als MP3 bekannt.
Dieser verlustbehaftete Kompressionsalgorithmus machte sich psychoakustische Effekte zu nutze; das heißt, die Experten verlagerten den "Verlust" bei der Komprimierung weitgehend in einen Bereich, der für das menschliche Ohr unhörbar (oder schlecht hörbar) ist. Natürlich bleibt ein Verlust ein Verlust; gerade im HighEnd-Bereich und bei entsprechendem Equipment kann man einen Unterschied zu CDs oder gar SACDs schon hören. Trotzdem leitete die Erfindung von MP3 viele Bewegungen in der Computerbranche ein: Erstmals konnte man Musik per Modem oder ISDN durchs Internet schicken; der iPod machte das Unternehmen Apple überhaupt erst richtig erfolgreich und Plattformen wie Napster, eDonkey und Gnutella leiteten die Tauschbörsen-Ära (und die Abmahnindustrie bei den Rechtsanwälten) ein. Winamp wurde zur meistbenutzten Windows-Software.
Alles in allem kann man sagen: Vielen Dank, Fraunhofer-Institut; herzlichen Glückwunsch, MP3 - it really whips the Llamas ass!

Quelle: Spiegel Netzwelt 

Dienstag, 14. Juli 2020

Gerichtliche Schlappe für Tesla droht...

Wer einen Tesla, z.B. das "Model 3", erwirbt, kann für diesen das "Funktionspaket für autonomes Fahren (Autopilot)" mit erwerben. Dieses verspricht "volles Potential für autonomes Fahren" und zählt eine ganze Reihe von Autonomie-Features aus, die in naher Zukunft verfügbar sein werden.
Immerhin mit € 7.500,- läßt Tesla sich das bisher bezahlen. Nun ist "volle Autonomie" bei Kraftfahrzeugen ein großes Wort: Nach der allgemeinen Definition gibt es fünf Autonomiestufen, von denen erst die fünfte tatsächlich volle Autonomie im eigentlichen Wortsinne ermöglicht. Gegenwärtige Fahrzeuge schaffen bestenfalls die Stufe 2 oder 3; der Gesetzgeber arbeitet gerade daran, die rechtlichen Voraussetzungen für Stufe 3 zu schaffen.
Die Wettbewerbszentrale hat Tesla daher vor dem Landgericht München I wegen unlauteren Wettbewerbs durch irreführende Werbung verklagt: Volle Fahrautonomie sei noch Jahre entfernt, auch wenn die Werbung etwas anderes suggeriere. Teslas Anwälte sehen das natürlich anders: Technisch sei die Vollautonomie bereits in greifbarer Nähe, es läge hauptsächlich noch an rechtlichen Gegebenheiten.
Das Landgericht München I hat in einer ersten Verhandlung klar gemacht, daß es die wettbewerbsrechtlichen Anforderungen für eine solche Werbung eher streng sieht. Es könnte daher sein, daß die Wettbewerbszentrale mit ihrer Argumentation durchdringen wird.

Quelle: Manager Magazin

Update

Einer Mitteilung des Gerichts zufolge wurde der Klage gegen Tesla nun "vollumfänglich stattgegeben". Die Aussagen Teslas stellten "irreführende geschäftliche Handlungen" dar. Die Begriffe und Formulierungen erweckten bei Durchschnittsverbrauchern eine Vorstellung, die mit den tatsächlichen Verhältnissen nicht in Einklang stehe. Daran ändern auch mittlerweile eingefügte Hinweise am Schluss der Webseite nichts.

Quelle: Golem News

Freitag, 10. Juli 2020

Captain Future, home office edition

Heute mal was Lustiges zum Wochenende:
Das Mundschutz-Krankorchester Virenfeld (ex. Rundfunktanzorchester Ehrenfeld) spielt für Sie: Captain Future! (Corona-Homeoffice-Edition feat. Phil Fuldner)



Donnerstag, 9. Juli 2020

Keine Herausgabe von IPs bei Urheberrechtsverletzungen?


Eine interessante Entscheidung hat der EUGH zur einer Vorlagefrage in einem Rechtsstreit zwischen dem Constantin Filmverleih und youtube getroffen. 
Demnach ist youtube nicht verpflichtet, IP Adressen an die Rechteinhaber heraus zu geben, wenn es keine anderen Identifizierungsmöglichkeiten gibt. In der einschlägigen EU-Richtlinie 2004/48 heißt es, es seien die „Adressen“ von Urheberrechtsverletzern heraus zu geben. Das beziehe sich auf die Postanschrift, stellte der EuGH klar. Wenn eine solche nicht vorliege, bestehe keine Verpflichtung, andere Angaben herauszugeben, die stattdessen vorliegen. 
Der EUGH sagte aber auch, einzelne Nationalstaaten könnten hiervon abweichende Regelungen schaffen und ein weitergehendes Auskunftsrecht für den Rechteinhaber regeln. Aus EU-Recht ergebe sich eine entsprechende Pflicht aber eben nicht. 

Im deutschen Recht ist bisher in § 101 UrhR geregelt, daß die Auskunft „Name und Anschrift“ umfassen muß. Wenn diese allerdings nur „unter Verwendung von Verkehrsdaten“ erteilt werden kann, ist eine vorherige richterliche Anordnung über die Zulässigkeit der Verwendung erforderlich. Was das nun für den vorliegenden Fall bedeutet, ist noch unklar. Genau genommen bräuchte man dann ja zwei richterliche Anordnungen: Eine gegen youtube, um zunächst die IP zu ermitteln. Dann eine zweite gegen den Telekommunikationsanbieter, um die IP-Nummer in eine Postanschrift aufzulösen. 

Quelle: Golem-News 

Montag, 18. Mai 2020

Microsoft vs. Datenschutzbeauftragter



Corona-Zeit ist HomeOffice-Zeit! Das trifft zumindest für viele Berufsgruppen zu. Und so kommt es, daß sowohl in den Verwaltungen, als auch in vielen Unternehmen hastig eine Video-Conferencing-Lösung nachinstalliert wird. Universitäten halten Vorlesungen über die Tools, sogar Ministertreffen finden über die marktgängigen Videokonferenzlösungen statt.

Datensicherheit ist dabei das eine Problem: Erst kürzlich wurde bekannt, daß "zero-days"-Sicherheitslücken für das Tool "Zoom" für etwa 500.000,- $ im Netz zu haben sind. So konnte z.B. über eine Remote-Code-Execution-Schwachstelle aus der Ferne Schadcode ausgeführt werden und gleich der ganze Rechner via Zoom übernommen werden.

Nach der Datensicherheit kommt allerdings auch der Datenschutz, und dieser wird teilweise recht unterschiedlich bewertet. In einer aktuellen Handreichung (PDF) des Berliner Datenschutzbeauftragten wurden Risiken identifiziert und einige Hinweise und Empfehlungen gegeben. Dabei kamen die Programme des Office-Platzhirsches Microsoft nicht ganz so gut weg; es wurde v.a. vor dem Risiko des unberechtigten Mithörens und Aufzeichnens der Kommunikation gewarnt, die grundsätzliche Problematik amerikanischer Anbieter angesprochen und in diesem Zusammenhang sowohl Skype als auch Teams von Microsoft genannt. Einen klaren Verstoß gegen die DSGVO sah man allerdings gegenwärtig nur bei Zoom.
Man solle im Einzelfall prüfen, ob nicht auch eine klassische Telefonkonferenz ausreichend sei. Microsoft hat aufgrund dieses Dokuments eine Abmahnung gegen den Datenschutzbeauftragten ausgesprochen; die Darstellung sei technisch unkorrekt und geschäftsschädigend.
Ob der Datenschutzbeauftragte dem Begehren nachkommen will, ist derzeit noch unbekannt. Für seine Sichtweise sprechen immerhin auch die Feststellungen der Stiftung Warentest, die zuletzt ähnliche Bedenken äußerte. Allerdings: Im Test der Stiftung ist MS Teams trotzdem der Testsieger...


Links:
Golem News Artikel
Handreichung Berliner Datenschutzbeauftragter (Achtung, dieses Dokument kann sich verändert haben, je nachdem, ob auf die Abmahnung reagiert wurde)
Golem News Zero-Day-Lücken in Zoom
Heise News CT: Videoconferencing - ein Funktionsüberblick
Stifung Warentest