Recht(s) & Links

Dienstag, 29. August 2023

Train-Phreaking

Als ich heute die übereinstimmenden Pressemeldungen bei Heise und im Spiegel las, mußte ich unwillkürlich an das Telephone-Phreaking der 70er und 80er denken. Hier wurde über das Senden spezieller Signaltöne durch Hacker eine kostenlose Benutzung analoger Telefonleitungen ermöglicht; die dafür benötigten Geräte wurden meist selbst gebaut und allgemein als "blue box" bezeichnet.

Dem "Internet Lore" entsprechend soll auch Steve Wozniak, der Mitgründer von Apple, in seiner Jugend ein "Phreaker" gewesen sein.

In Polen ist nun ein prinzipiell recht ähnlicher Angriff - der ebenfalls über das Versenden analoger Töne funktioniert - auf das nationale Schienennetz erfolgt. Offenbar ist es möglich, mit der wiederholten Übertragung von drei Tönen über eine analoge Radiofrequenz polnischen Zügen ein "Anhaltesignal" zu senden. Auf diese Weise wurden innerhalb kurzer Zeit etwa 25 Züge zum Stehen gebracht.

Außer entsprechender Verspätungen ist weiter kein Schaden entstanden; wer hinter den Attacken steckt - und ob diese dann in Zukunft "Train-Phreaking" genannt werden - ist noch unbekannt.

Quellen:

Spiegel Nachrichten

Heise News

Wikipedia

Donnerstag, 3. August 2023

Prank the Google Car!

Google ist gerade dabei, seinen Bilderbestand für Google Street View aufzufrischen; demzufolge fährt das Google-Auto auch gerade durchs Münsterland.

Neben der Diskussion, ob nun eine Kamera auf einem kleinen Mast auf dem Fahrzeugdach noch Aufnahmen im Rahmen der "Panoramafreiheit" macht und warum man eigentlich eine neue Ausnahme eintragen muß, wenn man sein Grundstück nicht veröffentlicht haben will (warum eigentlich nicht, es ist ja auch eine neue Datenerhebung...?) -

... bietet sich das Google Car alle mal für eine Menge Scherze an!

Das Google HQ auf der ABC-Straße in Hamburg hatte ja bei der ersten Befahrung seine Mitarbeiter "motiviert", dem Auto zuzujubeln - leider ist der Jubel im nun aktualisierten Bildmaterial ausgefallen.

Dafür gibt es mittlerweile eine ganze Reihe von Leuten, die unter dem Stichwort Google Street View Pranks auf das Auto warten und beispielsweise Botschaften oder gar nachgestellte Verbrechensszenen vor ihren Häusern platzieren, um diese dann später in der Google-Karte wiederzufinden.

Auch Superhelden sind teilweise am Strassenrand zu sehen...

Bei mir ist das Google-Auto leider schon gewesen, sonst hätte ich etwas Lustiges ins Fenster gehängt.

Montag, 24. Juli 2023

Schlüsselfertig

Ein bei Microsoft abhanden gekommener Masterschlüssel scheint nicht nur den Zugang zu einzelnen Exchange-Services zu ermöglichen, sondern tatsächlich zu großen Teilen der Microsoft Cloud (insbes. Teams, Sharepoint...). Dies war im Zusammenhang mit der Analyse von LOG-Dateien aufgefallen, aus denen sich Fremdzugriffe auf die elektronischen Postfächer europäischer Behörden ergaben.

Der Masterkey scheint zum Signieren eigener Zugangstoken nutzbar zu sein; Microsoft selbst hält sich mit genaueren Beschreibungen bisher eher zurück.

Einen genaueren Überblick findet man in den Heise-News.

Quelle: Heise-News

Freitag, 28. April 2023

10. Deutscher IT-Rechtstag in Berlin

Der 10. Deutsche IT-Rechtstag läuft seit gestern in Berlin; nach den virtuellen Corona-bedingten Fernteilnahmen bin ich dieses Jahr mal wieder persönlich vor Ort - und man muß sagen: Es lohnt sich!
Einen kleinen Überblick über Themen und Referenten finden Sie hier im Anschluß; viele Punkte werden sich direkt in die Rechtsberatung integrieren lassen.

10.000 Mandanten über Social Media gewinnen? - Christian Solmecke, Rechtsanwalt, WBS Rechtsanwälte, Köln
IT-Rechtsanwälte/-innen im Spiegel der Daten – Analyse des Fachgebiets mit Mitteln der Statistik - Stefan Grub, Cogens Executive Search, Frankfurt a. M.
Legal Tech – Chancen und Herausforderungen für den Rechtsmarkt - Lina Fredebeul, Vorstandsvorsitzende, recode.law, Köln
Green IT – Aktuelle Vorgaben für Energieeffizienz und Energieeinsparungen in IT-Abteilungen und Rechenzentren - Dr. Franziska Lietz, LL.M., Ritter Gent Collegen, Hannover
Wie viel weg ist weg genug? Löschen aus technischer und juristischer Sicht - Joerg Heidrich, Rechtsanwalt, Fachanwalt für IT-Recht, Justiziar Heise Medien, Hannover; Dr. Christoph Wegener, Berater für Informationssicherheit und Datenschutz, Inhaber wecon.it-consulting, Gevelsberg
Neues europäisches Datenrecht – Auswirkungen des Data Act-E auf die Vertragsgestaltung - Marieke Luise Merkle, Rechtsanwältin, Senior Associate, Mitglied der Practice Group Digital Business, Noerr PartGmbB, München
Agile SW-Projekte – was Rechtsanwälte/-innen wissen sollten - Dr. Sebastian Selka, Geschäftsführer, Symbiolab GmbH, Berlin
Die EVB-IT Cloud – Anwendung, Besonderheiten und Herausforderungen - Elke Bischof, Rechtsanwältin, Fachanwältin für Informationstechnologierecht, MAYBURG Rechtsanwaltsgesellschaft mbH, München
Abschied vom Trivialen – IT-Sicherheitsvereinbarungen state oft the art schließen - Karsten U. Bartels LL.M., Rechtsanwalt, Vorsitzender der AG IT-Recht (davit) im DAV, HK2 Rechtsanwälte, Berlin
Software in der Insolvenz – unter Berücksichtigung der aktuellen BGH-Rechtsprechung und der Aktualisierungspflicht gem. § 327f BGB - Dr. Alin Seegel, Rechtsanwältin, CSW Rechtsanwälte, München

Dienstag, 22. November 2022

Big Brother IoT is watching you!

Wie Spiegel Netzwelt berichtet, hat eine Frau aus Gelsenkirchen bei der Polizei Strafanzeige wegen "Verletzung der Vertraulichkeit des Wortes" erstattet, nachdem Bild- und Tonaufnahmen aus ihrer Wohnung im Internet auf Instagram aufgetaucht waren. Die Aufnahmen wurde offenbar von ihrem per WLAN fernzusteuernden Katzenfutterautomat gemacht, der über Kamera und Mikrofon verfügt, um auch aus dem Urlaub oder von der Arbeit aus nach dem Wohlergehen seines Haustigers zu schauen.

Ob in technischer Hinsicht das fragliche WLAN nicht oder schlecht abgesichert war, oder ob der Angreifer eine bekannte Sicherheitslücke der Software des Katzenfütterungsautomaten genutzt hat, ist gegenwärtig nicht bekannt.

Die Polizei nutzte die Gelegenheit, noch einmal auf die Wichtigkeit einer ordentlichen WLAN-Verschlüsselung hinzuweisen und empfiehlt, derartige IoT-Geräte grundsätzlich an wenig frequentierten Orten und nicht im Hör- und Sichtbereich des alltäglichen Lebens aufzustellen. Gerade der letztere Hinweis dürfte sich in kleineren Wohnungen nur schwierig realisieren lassen.

Links:

Bericht auf Spiegel Netzwelt

Pressebericht Polizei

Mittwoch, 10. August 2022

Webfonts verursachen mir "individuelles Unwohlsein"

Das jedenfalls ist (dramaturgisch zugespitzt) die Argumentation, mit der in einer Klage vor dem LG München Schmerzensgeld für den Besuch einer Webseite mit eingebundenen Google Webfonts - ohne vorheriges Erlaubnisbanner - verlangt und auch bewilligt wurde.

Hintergrund ist, daß bei Einbindung der Fonts vom amerikanischen Server die IP-Adresse des Webseitenbesuchers übermittelt wird und dieser damit durch Google identifizierbar wird. Dies stellt gegenwärtig eine unerlaubte Übertragung personenbezogener Daten in ein unsicheres Drittland dar.

Mit dieser Argumentationshilfe rollt gerade mal wieder eine Abmahnwelle, bei der nicht nur Anwaltskosten, sondern zusätzlich noch die ausgeurteilten 100,- € pro Fall von Webseitenbetreibern eingefordert werden, die Google-Fonts "einfach so" verwenden. Es besteht also Handlungsbedarf!

Zwei Dinge könnte man tun:

Entweder nimmt man die Web-Fonts in ein Erlaubnisbanner auf, das angezeigt wird, bevor die Webfonts geladen werden, oder man lädt die Fonts auf den lokalen Server, hostet sie selbst und entfernt jegliche Referenz an Google USA.

Letztere Variante ist natürlich technisch charmanter.

Nebenbei: Ob die Schlussfolgerung aus dem genannten Urteil wirklich so zwingend sind und nicht dem Datenschutz in Deutschland wieder mal einen Bärendienst erwiesen haben, ist eine Frage berechtigter akademischer Diskussion - ändert aber nichts an dem gegenwärtigen Handlungsbedarf, wenn die Abmahnung ins Haus geflattert ist oder unmittelbar bevor steht.