Montag, 18. Mai 2020

Microsoft vs. Datenschutzbeauftragter



Corona-Zeit ist HomeOffice-Zeit! Das trifft zumindest für viele Berufsgruppen zu. Und so kommt es, daß sowohl in den Verwaltungen, als auch in vielen Unternehmen hastig eine Video-Conferencing-Lösung nachinstalliert wird. Universitäten halten Vorlesungen über die Tools, sogar Ministertreffen finden über die marktgängigen Videokonferenzlösungen statt.

Datensicherheit ist dabei das eine Problem: Erst kürzlich wurde bekannt, daß "zero-days"-Sicherheitslücken für das Tool "Zoom" für etwa 500.000,- $ im Netz zu haben sind. So konnte z.B. über eine Remote-Code-Execution-Schwachstelle aus der Ferne Schadcode ausgeführt werden und gleich der ganze Rechner via Zoom übernommen werden.

Nach der Datensicherheit kommt allerdings auch der Datenschutz, und dieser wird teilweise recht unterschiedlich bewertet. In einer aktuellen Handreichung (PDF) des Berliner Datenschutzbeauftragten wurden Risiken identifiziert und einige Hinweise und Empfehlungen gegeben. Dabei kamen die Programme des Office-Platzhirsches Microsoft nicht ganz so gut weg; es wurde v.a. vor dem Risiko des unberechtigten Mithörens und Aufzeichnens der Kommunikation gewarnt, die grundsätzliche Problematik amerikanischer Anbieter angesprochen und in diesem Zusammenhang sowohl Skype als auch Teams von Microsoft genannt. Einen klaren Verstoß gegen die DSGVO sah man allerdings gegenwärtig nur bei Zoom.
Man solle im Einzelfall prüfen, ob nicht auch eine klassische Telefonkonferenz ausreichend sei. Microsoft hat aufgrund dieses Dokuments eine Abmahnung gegen den Datenschutzbeauftragten ausgesprochen; die Darstellung sei technisch unkorrekt und geschäftsschädigend.
Ob der Datenschutzbeauftragte dem Begehren nachkommen will, ist derzeit noch unbekannt. Für seine Sichtweise sprechen immerhin auch die Feststellungen der Stiftung Warentest, die zuletzt ähnliche Bedenken äußerte. Allerdings: Im Test der Stiftung ist MS Teams trotzdem der Testsieger...


Links:
Golem News Artikel
Handreichung Berliner Datenschutzbeauftragter (Achtung, dieses Dokument kann sich verändert haben, je nachdem, ob auf die Abmahnung reagiert wurde)
Golem News Zero-Day-Lücken in Zoom
Heise News CT: Videoconferencing - ein Funktionsüberblick
Stifung Warentest

Freitag, 15. Mai 2020

Der bulletproof Cyberbunker an der Mosel

"Deutschland braucht mehr Rechenzentren!“, hört man gelegentlich. Damit sind solche Rechenzentren wie der „Cyberbunker“ von Traben-Trarbach an der Mosel allerdings offensichtlich nicht gemeint. Unter der Federführung eines Niederländers war dort in einem ehemaligen militärischen Objekt seit 2013 ein digitaler Knotenpunkt des sog. Darknets entstanden. Waffen- und Drogenhandel, Kinderpornografie - das sind nur einige der Geschäfte, die nach den Vorwürfen der Staatsanwaltschaft von dort aus abgewickelt worden sein sollen. 
Ende 2019 wurde der Bunker bei einer Razzia ausgehoben, über 400 Server sichergestellt.



Die 13-köpfige Betreibermannschaft des „Unternehmens“ sitzt seit dem in Untersuchungshaft. Mit den Inhalten hatte diese wenig zu tun, sie verstand sich als reiner technischer Dienstleister für anonymes, sicheres Hosting. Für die Staatsanwaltschaft wird es daher nun darauf ankommen nachzuweisen, ob die Betreiber von den Geschäften ihrer Kunden wußten und diese billigten. Bisher sieht es wohl „ganz gut“ aus, nach Angaben der Staatsanwaltschaft wurde bislang nicht eine einzige legale Seite auf den Servern gefunden. 
Nun allerdings hat sich der Initiator aus der Untersuchungshaft in einem Interview zu Wort gemeldet. Er behauptet, der Server sei auch für politisch Verfolgte und Whistleblower zum Einsatz gekommen, beispielsweise seien Wikileaks-Server dort gehostet worden. Diese seien möglicherweise das eigentliche Ziel der Razzia. 
Die Staatsanwaltschaft tritt diesen Behauptungen entgegen. Bislang seien keine Wikileaks-Inhalte gefunden worden; diese haben in dem Ermittlungsverfahren auch bisher keine Rolle gespielt. Es sei vielmehr tatsächlich um die bereits genannten Arten von Geschäften gegangen. 

Nachtrag:
Einen Plan der Bunkeranlagen hat Spiegel Online mittlerweile auf seine Website gestellt.

Nachtrag 2:
Damit hier keine Mißverständnisse aufkommen: Das Betreiben eines anonymisierenden, verschlüsselten Servers, der Tor-Technik für den Zugang nutzt, ist selbstverständlich keine Straftat sondern ggfs. sogar begrüßenswert.
Eine Straftat ist es allerdings dann, wenn hierdurch wissentlich Beihilfe zu einer anderen, strafbaren Handlung geleistet wird. Ob das so ist, ist Gegenstand des Ermittlungsverfahrens. Wenn allerdings bei 1.000en gehosteten Inhalten kein einzig legaler Inhalt gefunden wird, spricht jedenfalls einige Erfahrung dafür, daß der Betreiber seine Dienste gerade zweckgerichtet für solche Inhalte anbieten wollte.

Links:

Sonntag, 26. April 2020

Der Weg zur Corona App


Zwei Wege führen derzeit nach Rom. Besser gesagt, zur bundeseinheitlichen Tracing-App für Covid-19 Infektionen (PEPP-PT). Nachdem die App bereits seit Wochen in aller Munde ist und andere Länder wie China oder Südkorea auch bereits eigene Lösungen präsentiert haben, wird in Deutschland noch diskutiert: Da ist die Frage des technischen Datenschutzes, die ja in asiatischen Ländern eher keine so große Rolle spielt. „Privacy by design“ ist ein Grundsatz, der durch die DS-GVO eigentlich für jedes Projekt vorgegeben wird, aber nur selten konsequent verfolgt wird. 

Anders soll es nun bei der Corona-App werden. Zunächst ist es so, daß die App nicht über die Ortungsfunktionen des Smartphones arbeiten soll, also etwa über GPS, Auslesen von WLAN-Standorten oder Funkzellenabfrage. Sie basiert vielmehr auf Nahbereichskommunikation, also der dezentralen peer-to-peer Abfrage zwischen den Smartphones. Hier soll nicht etwa NFC genutzt werden - da wäre wohl die Reichweite etwas sehr gering - sondern BLE, also bluetooth low energy. Dieses Verfahren wird auch schon erfolgreich in der Werbewirtschaft für zahlreiche Apps genutzt, etwa im iBeacon-Standart oder bei Eddystone, der Google-eigenen Lösung. 
Diese Verfahren kennen prinzipiell nur drei Ortungsergebnisse, bezogen von einem Smartphone auf die BLE-Quelle (das „Beacon“): IMMEDIATE (innerhalb weniger Zentimeter), NEAR (innerhalb einige Meter) und FAR (mehr als 10 Meter entfernt). 
Wenn man sich nun vorstellt, daß das Handy eines Infizierten ein Beacon sendet und dieses „NEAR“ dem eigenen Handy vorbeiläuft, ohne jemals „IMMEDIATE“ zu kommen, kann man allerdings immer noch nicht genau entscheiden, ob eine Infektion wahrscheinlich oder unwahrscheinlich gewesen ist. Dieses Moment wird über den Zeitfaktor korrigiert: Wer längere Zeit „NEAR“ war, hat ein gleich hohes Risiko wie jemand, der kurze Zeit „IMMEDIATE“ war. Und wenn sich jemand gar längere Zeit „IMMEDIATE“ aufgehalten hat, ist die Ansteckungswahrscheinlichkeit sogar sehr hoch. 
Man muß sich vor Augen führen, daß eine solche App letztlich nur Wahrscheinlichkeiten berechnen kann. Diese könnten allerdings - wenn man es der App erlaubt, mittels KI zu lernen - zu ganz passablen Ergebnissen führen. 

Hinsichtliche des Datenschutzes kommt es nun auf die Datenbasis an: Hier ist die Bundesregierung heute von einer Präferenz des zentralen zum dezentralen System gewechselt. 
Beiden Systemen ist gemein, daß sie zunächst nur mit einem anonymen „Identifier“ arbeiten, in dem keine personenbezogenen Daten gespeichert werden. Diese IDs wechseln alle 24 Stunden. Ein Smartphone hält immer die letzten 14 dieser IDs vorrätig, da man nach bisherigem Wissen nach 14 Tagen nicht mehr ansteckend sein kann. Nähert sich nun ein anderes Smartphone mit einer Pepp-PT-App, tauschen beide ihre jeweiligen IDs aus und speichern sie verschlüsselt und lokal, also nicht in einer Cloud/Server. Wurde nun bei einem Nutzer eine Coronavirus-Infektion diagnostiziert, bittet erst dann der Arzt den Nutzer, seine Kontaktliste an den zentralen Server zu übertragen. Der sieht nur die IDs in der Liste und kann diese dann über die App warnen, dass sie Kontakt zu einer mittlerweile als infiziert erkannten Person hatten.
Die Identität der betreffenden Person wird dabei nicht offenbart. Allerdings könnte man diese natürlich leicht raten, wenn man z.B. an einem bestimmten Tag vormittags nur mit einer einzigen anderen Person Kontakt gehabt hat. 
Ob der Betroffene danach die „richtigen Maßnahmen“ einleitet, bleibt ihm überlassen: Anders als in Asien muß der Betreffende selbst entscheiden, ob er sich in Quarantäne begibt oder testen läßt. Standortdaten oder Bewegungsprofile werden bei der App generell nicht erhoben, da diese medizinisch irrelevant sind. Es handelt sich lediglich um einen „digitalen Zollstock mit Speicherfunktion“. 
Sowohl Apple, als auch Google, scheinen diesen dezentralen Ansatz stark zu favorisieren. Da man bei der API für die BLE-Technik sonst wohl nicht helfen will, ist die Antwort in Richtung „dezentral“ damit auch bereits gegeben. 
Möglicherweise bekommt Europa damit tatsächlich einen technischen Gegenentwurf zu all den asiatischen Tracing-Apps, die neben dem gläsernen Patienten auch gleich den gläsernen Nutzer implementieren. Mal sehen, ob sich dieser Entwurf auch in der Praxis bewährt. Ein Problem könnte die Tatsache sein, daß die benötigten Smartphones in der älteren Risikogruppe eher weniger verbreitet sind. 


(In diesem Artikel wurde die verwendete Technik etwas vereinfacht dargestellt. Strenggenommen werden nicht die IDs ausgetauscht, sondern ein aus diesen erst noch errechneter „Rolling Proximity Identifier“, der sich innerhalb weniger Minuten ändert. Ein Empfänger der Daten könnte also nicht einmal sehen, ob man 2 x mit derselben Person in Kontakt war. Außerdem strahlt BLE noch Metadaten aus, durch die eine Entschlüsselung der eigenen Schlüssel erst nach Empfang eines „positiven“ Schlüssel durch einen AEM-Key ermöglicht wird.)

Quelle: 
Golem News, Dezentrale Lösung
Spiegel online: Pepp-PT Warn-App 

Donnerstag, 9. April 2020

Betrugsverdacht - Coronahilfen in NRW ausgesetzt


Die aktuelle Episode der Corona-Krise zeigt einmal wieder, warum es keine gute Idee ist, Menschen zu sehr an die Benutzung von Suchmaschinen zu gewöhnen: 
Wie heute bekannt wurde, hat das Land NRW vorläufig die Auszahlung von Corona-Hilfen für Kleinunternehmen ausgesetzt, da sich gezeigt hat, daß durch mißbräuchliche „Fake-Seiten“ ein Teil der Beihilfen offenbar auf falsche Konten verschoben wurde. Und das funktioniert so:

Das Land hat ja bekanntlich am Freitag, den 27.03., ein Webformular freigeschaltet, mit dem kleine Unternehmen einen sog. „Billigkeitszuschuss“ (ugs. Corona-Soforthilfe) beantragen konnten. Hierzu mußten neben Steuernummer und verschiedenen Angaben über die Art des Unternehmens auch die IBAN für die Auszahlung des Geldes angegeben werden. Viele Menschen hatten auf die Freischaltung dieses Formulars dringend gewartet, welches unter der offiziellen Domain der Landesregierung (https://soforthilfe-corona.nrw.de) erreichbar war und ist. Es wird und wurde immer empfohlen, diese Adresse direkt in die Browser-URL-Zeile einzugeben und nicht den Weg über eine automatische Websuche zu gehen. 
Betrüger haben nun offenbar die Domain des Landes nachgebaut und durch aufwendige SEO-Optimierung erreicht, daß die Fake-Seite in Google noch vor der tatsächlichen Seite des Landes angezeigt wurde. Das hat zur Folge, daß ein Browser mit aktiver automatischer Websuche (heute Standart auf 95 % der Geräte) über die „Autocomplete-Funktion“ direkt auf die täuschend echt aussehende Fake-Seite geleitet hat - anstatt auf die des Landes. Hier haben nun Betrüger die Daten des Unternehmens abgegriffen und anschließend selbst einen Antrag auf Soforthilfe gestellt - lediglich mit dem Unterschied, daß statt der IBAN des Unternehmens eine eigene, fremde IBAN für ein unter falscher Identität eröffnetes Konto verwendet wurde. Für das betroffene Unternehmen hatte das zur Folge, daß über die - korrekt übermittelte - eMail ein Bewilligungsbescheid kam (wenn auch mit einiger Verzögerung bzw. teilweise doppelt), die Auszahlung des Geldes jedoch teilweise bis heute noch nicht erfolgt ist. 
Tatsächlich jedoch ist das Geld längst ausgezahlt, nur eben nicht auf das Konto des Unternehmens! Im Laufe dieser Woche ist die beschriebene Masche aufgefallen, da sich einige Unternehmen über die zögerliche Gewährung der Beihilfen gewundert haben und ihre Anträge teilweise doppelt gestellt haben. Das Land hat dann natürlich vor einer zweiten Bewilligung erst einmal den Verbleib des bereits gezahlten Geldes aufklären wollen. 
Es bleibt spannend zu sehen, ob das Land NRW den Verbleib der Gelder aufklären kann und ggfs. die Zahlungen doppelt vornehmen wird. 

Nachtrag:
Normalerweise läßt sich die verwendete IBAN im Bewilligungsbescheid kontrollieren.
Es ist zur Zeit noch unbekannt, ob die Betrüger auch irgend eine Form von "eMail-Proxy" verwendet haben, um in den als PDF versendeten Bescheiden die IBAN wieder zurück zu ändern. Technisch wäre dies ohne größere Probleme machbar, da bekanntlich die Absende-Adresse einer eMail keinen Anhaltpunkt für den tatsächlichen Versender bietet. 

Link:
Pressemitteilung 

Mittwoch, 25. März 2020

Coronakrise: IT-Freelancer und Liquiditätssicherung


Die aktuelle "Corona-Krise" hat durchaus unterschiedliche Auswirkungen auf die IT und die IT-beratenden Berufe. So läßt sich feststellen, daß alle Service- und Hotline-Anbieter aus dem Bereich "Remote Work, VPN und Collaboration-Lösungen" gerade zu Beginn der Krise eine stark erhöhte Nachfrage zu verzeichnen hatten. Alle Mittelständler wollten auf einen Schlag ihren Betrieb remote-work-fähig machen. VPN-Server mußten eingerichtet werden oder auf dutzenden Laptops die Zugänge eingerichtet und aktualisiert werden; das Collaboration-Tool-Projekt mußte plötzlich ausgerollt werden, da man in den vergangenen Jahren immer andere, wichtigere Themen bearbeitet hatte und die Provider meldeten Lastspitzen beim Videoconferencing-Traffic und der IP-Telefonie.

Anders sah es dagegen bei den IT-Projektarbeitern aus, wie Golem News berichtet. Hier werden gerade die Kollegen, die "frisch" als Externe mit Projekten betraut sind, aktuell gekündigt bzw. "on hold" gestellt. Diejenigen jedoch, die bereits seit Jahren für einen Auftraggeber arbeiten oder sogar mittlerweile in den Betrieb integriert sind, können sich über Aufträge nicht beklagen; im Gegenteil. Die Wirtschaft reagiert also eigentlich, wie es zu erwarten war: Risikominimierung durch Kostensenkung bei den Kräften, die man "schnell los werden" kann; dafür müssen die übrigen Arbeitnehmer die - durchaus vorhandene - Arbeit auffangen.

Einige Experten sagen daher auch einen Auftrags-Boom für Freelancer nach der Krise voraus. Die meisten Projekte sind nämlich nicht aufgehoben, sondern aufgeschoben.

Woher aber das Geld jetzt nehmen, wenn die Auftragslage dünn ist? Mein Kooperationspartner Michael Hölper (MHBiltrol) hat in einem kleinen "Liquiditätswegweiser" einen Überblick über die aktuellen Hilfs- und Förderprogramme zusammengestellt. Viele Programme sind allerdings noch so "frisch", daß der Wegweiser in den nächsten Tagen für weitere Informationen kontinuierlich upgedated werden wird.
Links:
Golem News
MHBiltrol

Montag, 23. März 2020

Home Office oder was?

Viele Arbeitnehmer - ob im IT-Sektor oder nicht - sind durch die Corona-Pandemie auf einmal ins Home Office komplimentiert worden. Viele Firmen möchten es vermeiden, daß aufgrund einer Infektion im Großraumbüro auf einmal die gesamte Belegschaft über mehrere Schichten oder Arbeitsgruppe ausfällt, da plötzlich alle gleichzeitig in Quarantäne geschickt werden müssen. So gibt es diverse Modelle, etwa das aus einer Arbeitsgruppe immer nur eine Person Präsenzdienst machen darf, während die übrigen von zu Haus zuarbeiten. Oder dahingehend, daß in mehreren halbtägigen Schichten gearbeitet wird, wobei die Schichten sich beim "Schichtwechsel" nicht begegnen sollen.

Der Ruf nach VPN-Servern, Collaboration-Tools, Videokonferenz-Programmen und Office-Chat-Lösungen ist dabei lauter als je zu vor; die üblichen Verdächtigen (Slack, Trello, Asana und MS Teams) haben bereits Sonderkonditionen für die nächsten 6 Monate eingeräumt.
Vor allem Microsoft nutzt die Gunst der Stunde, um die Unternehmen über MS Teams noch stärker in das MS Office Ökosystem einzubinden, gern in der 365-Abo-Version. Die Kombination aus Sharepoint Server, Gruppenchat und adhoc-Videokonferenz hat zwar noch so einige Macken, fairerweise muß man allerdings auch zugestehen, daß sich für manch komplexe Aufgaben - etwa das gruppenübergreifende, gleichzeitige Arbeiten an Pivot-Exceltabellen - kaum Alternativen bieten.

Fragen des Datenschutzes und der Datensicherheit sollten allerdings gerade bei der Arbeit im Home Office mit auf der Agenda stehen; der Beauftragte für Datenschutz und Informationsfreiheit Baden Würtemberg hat bereits ein entsprechendes Corona - "HomeOffice"-FAQ zusammen gestellt.

Bis dahin - für alle ITler und Technicker, die im Home Office dann doch zu viel Zeit übrig haben - vielleicht ist nun Zeit für das ein oder andere Make!-Projekt:

Das FLOPPOTRON spielt für Sie: "Take on me"!


Dienstag, 10. März 2020

Digitale Enteignung, Apple-Style


Zum Thema „digitale Enteignung“ und dem Risiko der streamenden Gesellschaft habe ich mich schon an mehrerer Stellen ausgelassen (hier, hier und hier). 
Genau so, wie der iPod ab 2001 nicht nur den Musikmarkt, sondern auch die Art des Medienkonsums veränderte - vom „Datenträger“-Konsum zum digitalen Vervielfältigungsstück - ändert sich gegenwärtig das Konsumverhalten vom digitalen Vervielfältigungsstück (Datei) hin zum gestreamten Inhalt, der mobil und cross-Plattform überall dort „genossen“ werden kann, wo Internet verfügbar ist. 
Klassischerweise bedient man sich dabei an einem Pool des jeweiligen Anbieters; Musikstücke oder Filme, die dieser nicht im Katalog hat, gibt es eben nicht. Dadurch wird der Markt weg von kleinen Content-Schöpfern, hin zu wenigen großen Anbietern verschoben, da diese den Streamingdiensten mehr Gewinn versprechen. 

Um nicht die Kunden mit „eigener“ Musik (und individuellem Geschmack...) zu verprellen, hat man in letzter Zeit häufiger die Option, beim Streaminganbieter die eigenen Inhalte (Musikdateien…) hochzuladen, um via Streaming mobil darauf zugreifen zu können. 
Eine interessante Erfahrung hierzu berichtete jetzt Thom Dunn von boingboing.net:
Er hatte eigene Musikdateien bei Apple iTunes Match hochgeladen und konnte diese auch für eine gewisse Zeit von dort streamen. Offenbar haben sich allerdings seitens Apple die Lizenzrechte ausgerechnet für diese Musikwerke geändert: Apple löschte ohne Vorwarnung eines der Alben, die Dunn selbst hochgeladen hatte - so daß es auf allen Geräten verschwunden war. Die AGB des Anbieters geben dies her.  
Hieran zeigt sich, daß der Streaminganbieter das Angebot nur als „Service“ oder „Zugriffsmöglichkeit“ sind, nicht aber als „Hosting“ oder die Bereitstellung von Speicherplatz. Es zeigt sich, daß es sich lohnen könnte, eigene Medien auch noch einmal auf eigenem Speicherplatz zu sichern - und das ein Streaminganbieter nicht mit einem Speicherplatz-Anbieter verwechselt werden sollte. 

Link:

Bericht auf WinFuture