Montag, 30. November 2020

Das amerikanische Huawei

Erinnern Sie sich an den „Telekommunikations-Notstand“? Mit dieser bislang unbewiesenen Anschuldigung wegen angeblicher Spionage-Hintertüren gegen Huawei sollte eine Beteiligung der chinesischen Firma am Netzausbau in Europa unterbunden werden; letztlich wurde sogar das Smartphone-Geschäft von Huawei massiv geschädigt, da die Zulieferung und Kooperation mit und von amerikanischen Anbietern faktisch unterbunden wurde. 

Man könnte das Ganze als staatlich verordneten (Wirtschafts-) Boykott bewerten. 


Nun kam kürzlich heraus, daß sich in den Routern der amerikanischen Firma Juniper Networks - welche verschiedentlich beim 5G-Netzausbau im Einsatz sind - eine NSA-Hintertür in der Software befindet, welche sowohl von der NSA, aber auch von „Dritten“ (Malware-Produzenten) bereits ausgenutzt worden ist. 

Hier reden wir also nicht über „Verdachtsfälle“ mit hätte oder könnte, sondern von tatsächlich bereits ausgenutzten Sicherheitslücken in bereits eingesetzten Systemen. 


Folgerichtig müßte je nun gegen Juniper Networks ebenfalls der "Telekommunikations-Notstand“ ausgerufen werden, die betreffende Hardware rückstandslos aus europäischen Netzen entfernt und die Firma bei der weiteren Vergabe von Aufträgen ausgeschlossen werden. 


Das IT-News-Magazin GOLEM.de fragte daher bei einigen Politikern (fast aller Parteien), die sie als „Transatlantiker“ ausgemacht hatten, nach, ob denn nun entsprechende Maßnahmen zu erwarten wären oder wie man hierzu Stellung nehme. 


Bislang - einen Monat später - gibt es offenbar immer noch keine Stellungnahme dazu. 

Wer am lautesten „Betrug!“ ruft, sollte doch normalerweise aufpassen, daß er selbst in dieser Hinsicht sich nichts vorzuwerfen hat… 


Quellen: 

Huawei-Gegner schweigen zu Juniper-Hintertüren

Das Klappern der Juniper-Hintertüren im deutschen 5G-Netz 

Freitag, 20. November 2020

Neue Betrugsmasche in Corona-Zeiten!



Stellen Sie sich vor, Sie finden folgende Stellenanzeige im Web:

„Attraktiver Nebenverdienst bis zu 2.500 € im Monat, leichte Tätigkeit von zu Hause aus; ein Monat Einarbeitungszeit. Melden Sie sich bei der Global Import GmbH!“



Das Ganze wirkt auf den ersten Blick durchaus seriös und glaubwürdig; Ihnen wird ein Arbeitsvertrag angeboten, in dem auch die Probezeit festgehalten ist und Sie entschließen sich, die Stelle anzunehmen. Man sagt ihnen, dass sie für verschiedene Bereiche eines Import- und Export-Unternehmens tätig werden sollen; dazu gehören leichte Bürotätigkeiten und sie müssen auch Zahlungen überwachen und teilweise Zahlungen weiterleiten. Um sie in dieses Aufgabenfeld einzuarbeiten, meldet sich schon am nächsten Tag per WhatsApp Chat ihr sogenannter „Supervisor“ bei Ihnen und erklärt, dass die Zahlung eines deutschen Kunden kurz bevor stünde, die zum litauischen Tochterunternehmen der GmbH weitergeleitet werden müsste. Damit man für sie während der Probezeit kein eigenes Geschäftskonto aufmachen müsse, könnten sie diese eine Zahlung ruhig über ihr Privatkonto abwickeln – man „würde ihnen da insoweit vertrauen!“. Nachdem Sie Ihre Kontoverbindung genannt haben, kommt tatsächlich drei Tage später bereits die Zahlung von 4.300,- € von einem Herren aus München bei Ihnen an. Diese Zahlung leiten sie auftragsgemäß an eine litauische Kontoverbindung. Weitere 2 Tage später erklärt Ihnen Ihr Supervisor, dass Sie nun üben würden, eingegangene Zahlungen per Bitcoin-Transaktion weiterzuleiten. Dazu werde man Sie durch den Prozess führen, eine „bitcoin-wallet“ zu eröffnen und Sie sollen später die erhaltenen Gelder dann auf ein Ihnen genanntes Bitcoin-Wallet überweisen. Per Teamviewer und Chat führt man Sie durch den Prozess der Eröffnung einer Bitcoin-Wallet, deren Nummer und Zugangsdaten selbstverständlich von Ihrem Supervisor notiert werden. Kurze Zeit später erhalten Sie wiederum eine Zahlung von 2.800,- €, diesmal von einem Herrn aus Berlin. Diese verwandeln Sie über eine Bitcoin-Börse in Bitcoins und machen dann eine Bitcoin-Transaktion auf eine Ihnen genannte Bitcoin-Wallet, die angeblich der GlobalImport GmbH gehört. Nach dieser Transaktionen reißt auf seltsame Weise der Kontakt zu ihren Supervisor ab; er meldet sich nicht mehr per WhatsApp und auch unter den Ihnen angegebenen Telefonnummern ist im Augenblick niemand zu erreichen. Nun ja, Sie befinden sich ja noch in der Probezeit Ihres Arbeitsverhältnisses, haben bisher also auch noch keinen Lohn für ihre Tätigkeit kassiert. Sie hoffen, dass der Arbeitsvertrag noch zustande kommen wird.

Bereits zwei Tage später meldet sich aber nicht die Firma Global Import GmbH bei Ihnen, sondern zum einen die Staatsanwaltschaft, zweitens ihre Hausbank und drittens zwei aufgebrachte ebay-Kunden, die angeblich durch Sie um Ihre Bezahlung geprellt worden sind. Die Staatsanwaltschaft wirft ihnen vor, bei einem Dreiecksbetrug mitgewirkt zu haben, bei dem Gelder für nicht gelieferte ebay-Waren in hohem Umfang an ausländische Firmen transferiert worden sind. Ihre Hausbank wirft ihnen Beteiligung an einem Geldwäsche-Tatbestand vor und sperrt sämtliche ihrer Konten. Und die aufgebrachten ebay-Kunden wollen wahlweise eine teure Einbauküche oder ein gebrauchtes Motorrad von Ihnen geliefert haben, was sie angeblich bei ebay bei Ihnen gekauft haben und für dass sie den Kaufpreis auf Ihr Konto überwiesen haben.



Was ist nun passiert? Sie werden es sich vielleicht bereits denken:

Die Firma Global Import GmbH gibt es überhaupt nicht. Aber wer schaut schon bei der Annahme einer Stellenanzeige im Firmenregister nach. Die Hinterleute dieser Betrugsmasche sitzen möglicherweise tatsächlich in Osteuropa, vielleicht aber auch in Deutschland, so genau kann man das nicht sagen. Klar ist, dass sie nicht so heißen, wie der Supervisor sich Ihnen gegenüber benannt hat. Der Arbeitsvertrag ist selbstverständlich nur vorgespielt, niemand hat die Absicht, Ihnen Geld zu zahlen oder Sie für die Firma entgeltlich arbeiten zu lassen. Die Betrüger haben dagegen mehrere „Mitarbeiter“, die sie auf ähnlichem Wege in Internet-Stellenportalen angeworben haben, für sich arbeiten lassen. Deren private Kontodaten nutzen sie, um Gelder, die sie durch ebay-Betrügereien ergaunert haben, zu waschen. Dazu wird Ihre deutsche Kontoverbindung mit einem unauffälligen deutschen Namen in Zusammenhang gebracht und unter dieser Bezeichnung Waren bei eBay zum Kauf angeboten. In Ihrem Falle war es eben die genannte Einbauküche und das Motorrad. Die gutgläubigen ebay-Kunden, die sich tatsächlich auf die Bezahlung via Vorkasse bzw. Überweisung eingelassen haben, waren nun der Meinung, bei Ihnen ein Motorrad oder eine Einbauküche zu kaufen, obwohl Sie von dieser Transaktion überhaupt nichts wussten. Das eingehende Geld haben Sie an eine litauische Bankverbindung überwiesen, die mit einem gestohlenen Personalausweis eröffnet wurde, und auf eine Bitcoin Wallet überwiesen, die sich nicht zurückverfolgen lässt, da sie technisch wie Bargeld zu betrachten ist.

Dafür haben Sie nun die Scherereien, dass Sie die Staatsanwaltschaft überzeugen müssen, nichts von der Betrugsmasche gewusst zu haben, sowie das Problem, dass Ihre Hausbank nicht ohne Weiteres während des laufenden Ermittlungsverfahrens Ihre Konten wieder freigeben wird.



Wir müssen davon ausgehen, dass diese Masche augenblicklich weit verbreitet ist, da wir innerhalb einer Woche mehrfach einen vergleichbaren Sachverhalt vorliegen hatten.

Freitag, 13. November 2020

Alltagshack

Der Definition nach ist ein "Hack" ein "einfallsreicher Kniff, bei dem durch spielerischen Umgang mit Technik auf ungewöhnliche Weise ein Problem gelöst wird". 

So gesehen ist das nachfolgende Video ein Paradebeispiel für Hacking: Die Filmmusik von Harry Potter, instumentiert für Waschmaschine und Trockner!


Und da soll noch jemand sagen, die Corona-Zeit zu Hause würde die Kreativität nicht beflügeln... ;-)

Donnerstag, 6. August 2020

Covid-19 macht Software sicherer…

Covid-19 macht Software sicherer? Was soll denn der Unsinn, werden Sie jetzt fragen. Naja, indirekt stimmt die Aussage aber: 

Nach Auswertung von Statistiken aus Microsofts „Bug-Bounty-Program“, also der Initiative, gegen Belohnung Sicherheitslücken in der Software zu melden, hat sich eine deutliche Zunahme derartiger Meldungen bei gleichzeitig deutlicher Erhöhung der Auszahlungen gezeigt. Die Werte liegen für den Zeitraum der letzten 12 Monate ungefähr beim dreifachen des vorherigen Zeitraumes. Auch die Anzahl an Fehlern, die mit einzelnen Patches behoben wurde, hat sich deutlich erhöht. Allein im Juli wurden 120 Fehler - davon 18 kritische - mit Patches behoben. Eine Auswertung der vergleichbaren Programme von Apple und Google liegt mir zwar nicht vor, dürfte aber ähnlich aussehen. 

Viele Programmierer, die entweder als Selbständige ohne Aufträge zu Hause sitzen und sich langweilen, oder vom Arbeitgeber in Kurzarbeit geschickt wurden, suchen sich nun eben andere sinnvolle Betätigungen. Immerhin 13.700.000,- $ hat Microsoft im letzten Jahr für solche Meldungen ausgeschüttet; das Finden eines entsprechenden Bugs kann also durchaus auch lukrativ sein. 



Links:

Golem News

Microsoft SRC Blog 

Donnerstag, 16. Juli 2020

Privacy Shield vom EUGH gekippt

Der österreichische Jurist und Aktivist Max Schrems hat einen erneuten Sieg vor dem EUGH davongetragen: Nachdem bereits das vorherige Datenschutzabkommen "Safe Harbour" 2015 für unwirksam erklärt worden war, hat nun die Nachfolgeregelung "Privacy Shield" dasselbe Schicksal ereilt.
Alle Übermittlungen von personenbezogenen Daten in die USA, die (nur) auf diesem Abkommen beruhen, müssen nun überdacht und überarbeitet werden.
Es gibt nach wie vor eine Möglichkeit, personenbezogene Daten legal in die USA zu übermitteln: Sog. "Standartvertragsklauseln" ermöglichen in Einzelfällen die Datenübertragung. Allerdings werden jetzt wohl über kurz oder lang sämtliche Datenschutzerklärungen geändert werden müssen, in denen eine Datenübermittlung nur aufgrund des "privacy shields" geregelt wird.
Schrems hatte bereits die Entscheidung von 2015 in Bezug auf Facebook erwirkt; er hatte von der irischen Datenschutzbehörde verlangt, zu unterbinden, daß Facebook Ireland seine Daten an den Mutterkonzern in den USA übermitteln darf. Dort würden diese Daten nicht angemessen gegen US-Überwachungsmaßnahmen gesichert, wie bereits die allseits bekannten Enthüllungen von Edward Snowden gezeigt hätten. Facebook USA sei verpfichtet, der NSA oder auch dem FBI Zugang zu sämtlichen Daten zu gewähren, ohne daß Betroffenen hiergegen eine wirksame Rechtsschutzmöglichkeit zur Verfügung stünde.

Dieses Manko hatte "Privacy Shield" eigentlich korrigieren wollen, indem der Mechanismus einer "Ombudsperson" in den Vorgang eingebaut wurde. Dem hat der EUGH nun aber eine Absage erteilt. In der Presseerklärung heißt es, daß der "...Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d.h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Quellen / Links:
Spiegel Netzwelt
Golem News 
Presseerklärung des EUGH

Mittwoch, 15. Juli 2020

Das große Jubiläum - das keiner feiert...


Gestern vor 25 Jahren ging eine Erfindung aus Erlangen um die Welt, die den Medienkonsum weltweit für immer verändern sollte und Folgeerfindungen ermöglichte wie tragbare Medienabspieler, Streaming, over-the-air-Dienste und vieles mehr.
Die Rede ist natürlich vom "Audio Codec der Moving Pictures Experts Group, layer III" - gemeinhin als MP3 bekannt.
Dieser verlustbehaftete Kompressionsalgorithmus machte sich psychoakustische Effekte zu nutze; das heißt, die Experten verlagerten den "Verlust" bei der Komprimierung weitgehend in einen Bereich, der für das menschliche Ohr unhörbar (oder schlecht hörbar) ist. Natürlich bleibt ein Verlust ein Verlust; gerade im HighEnd-Bereich und bei entsprechendem Equipment kann man einen Unterschied zu CDs oder gar SACDs schon hören. Trotzdem leitete die Erfindung von MP3 viele Bewegungen in der Computerbranche ein: Erstmals konnte man Musik per Modem oder ISDN durchs Internet schicken; der iPod machte das Unternehmen Apple überhaupt erst richtig erfolgreich und Plattformen wie Napster, eDonkey und Gnutella leiteten die Tauschbörsen-Ära (und die Abmahnindustrie bei den Rechtsanwälten) ein. Winamp wurde zur meistbenutzten Windows-Software.
Alles in allem kann man sagen: Vielen Dank, Fraunhofer-Institut; herzlichen Glückwunsch, MP3 - it really whips the Llamas ass!

Quelle: Spiegel Netzwelt 

Dienstag, 14. Juli 2020

Gerichtliche Schlappe für Tesla droht...

Wer einen Tesla, z.B. das "Model 3", erwirbt, kann für diesen das "Funktionspaket für autonomes Fahren (Autopilot)" mit erwerben. Dieses verspricht "volles Potential für autonomes Fahren" und zählt eine ganze Reihe von Autonomie-Features aus, die in naher Zukunft verfügbar sein werden.
Immerhin mit € 7.500,- läßt Tesla sich das bisher bezahlen. Nun ist "volle Autonomie" bei Kraftfahrzeugen ein großes Wort: Nach der allgemeinen Definition gibt es fünf Autonomiestufen, von denen erst die fünfte tatsächlich volle Autonomie im eigentlichen Wortsinne ermöglicht. Gegenwärtige Fahrzeuge schaffen bestenfalls die Stufe 2 oder 3; der Gesetzgeber arbeitet gerade daran, die rechtlichen Voraussetzungen für Stufe 3 zu schaffen.
Die Wettbewerbszentrale hat Tesla daher vor dem Landgericht München I wegen unlauteren Wettbewerbs durch irreführende Werbung verklagt: Volle Fahrautonomie sei noch Jahre entfernt, auch wenn die Werbung etwas anderes suggeriere. Teslas Anwälte sehen das natürlich anders: Technisch sei die Vollautonomie bereits in greifbarer Nähe, es läge hauptsächlich noch an rechtlichen Gegebenheiten.
Das Landgericht München I hat in einer ersten Verhandlung klar gemacht, daß es die wettbewerbsrechtlichen Anforderungen für eine solche Werbung eher streng sieht. Es könnte daher sein, daß die Wettbewerbszentrale mit ihrer Argumentation durchdringen wird.

Quelle: Manager Magazin

Update

Einer Mitteilung des Gerichts zufolge wurde der Klage gegen Tesla nun "vollumfänglich stattgegeben". Die Aussagen Teslas stellten "irreführende geschäftliche Handlungen" dar. Die Begriffe und Formulierungen erweckten bei Durchschnittsverbrauchern eine Vorstellung, die mit den tatsächlichen Verhältnissen nicht in Einklang stehe. Daran ändern auch mittlerweile eingefügte Hinweise am Schluss der Webseite nichts.

Quelle: Golem News

Freitag, 10. Juli 2020

Captain Future, home office edition

Heute mal was Lustiges zum Wochenende:
Das Mundschutz-Krankorchester Virenfeld (ex. Rundfunktanzorchester Ehrenfeld) spielt für Sie: Captain Future! (Corona-Homeoffice-Edition feat. Phil Fuldner)



Donnerstag, 9. Juli 2020

Keine Herausgabe von IPs bei Urheberrechtsverletzungen?


Eine interessante Entscheidung hat der EUGH zur einer Vorlagefrage in einem Rechtsstreit zwischen dem Constantin Filmverleih und youtube getroffen. 
Demnach ist youtube nicht verpflichtet, IP Adressen an die Rechteinhaber heraus zu geben, wenn es keine anderen Identifizierungsmöglichkeiten gibt. In der einschlägigen EU-Richtlinie 2004/48 heißt es, es seien die „Adressen“ von Urheberrechtsverletzern heraus zu geben. Das beziehe sich auf die Postanschrift, stellte der EuGH klar. Wenn eine solche nicht vorliege, bestehe keine Verpflichtung, andere Angaben herauszugeben, die stattdessen vorliegen. 
Der EUGH sagte aber auch, einzelne Nationalstaaten könnten hiervon abweichende Regelungen schaffen und ein weitergehendes Auskunftsrecht für den Rechteinhaber regeln. Aus EU-Recht ergebe sich eine entsprechende Pflicht aber eben nicht. 

Im deutschen Recht ist bisher in § 101 UrhR geregelt, daß die Auskunft „Name und Anschrift“ umfassen muß. Wenn diese allerdings nur „unter Verwendung von Verkehrsdaten“ erteilt werden kann, ist eine vorherige richterliche Anordnung über die Zulässigkeit der Verwendung erforderlich. Was das nun für den vorliegenden Fall bedeutet, ist noch unklar. Genau genommen bräuchte man dann ja zwei richterliche Anordnungen: Eine gegen youtube, um zunächst die IP zu ermitteln. Dann eine zweite gegen den Telekommunikationsanbieter, um die IP-Nummer in eine Postanschrift aufzulösen. 

Quelle: Golem-News 

Montag, 18. Mai 2020

Microsoft vs. Datenschutzbeauftragter



Corona-Zeit ist HomeOffice-Zeit! Das trifft zumindest für viele Berufsgruppen zu. Und so kommt es, daß sowohl in den Verwaltungen, als auch in vielen Unternehmen hastig eine Video-Conferencing-Lösung nachinstalliert wird. Universitäten halten Vorlesungen über die Tools, sogar Ministertreffen finden über die marktgängigen Videokonferenzlösungen statt.

Datensicherheit ist dabei das eine Problem: Erst kürzlich wurde bekannt, daß "zero-days"-Sicherheitslücken für das Tool "Zoom" für etwa 500.000,- $ im Netz zu haben sind. So konnte z.B. über eine Remote-Code-Execution-Schwachstelle aus der Ferne Schadcode ausgeführt werden und gleich der ganze Rechner via Zoom übernommen werden.

Nach der Datensicherheit kommt allerdings auch der Datenschutz, und dieser wird teilweise recht unterschiedlich bewertet. In einer aktuellen Handreichung (PDF) des Berliner Datenschutzbeauftragten wurden Risiken identifiziert und einige Hinweise und Empfehlungen gegeben. Dabei kamen die Programme des Office-Platzhirsches Microsoft nicht ganz so gut weg; es wurde v.a. vor dem Risiko des unberechtigten Mithörens und Aufzeichnens der Kommunikation gewarnt, die grundsätzliche Problematik amerikanischer Anbieter angesprochen und in diesem Zusammenhang sowohl Skype als auch Teams von Microsoft genannt. Einen klaren Verstoß gegen die DSGVO sah man allerdings gegenwärtig nur bei Zoom.
Man solle im Einzelfall prüfen, ob nicht auch eine klassische Telefonkonferenz ausreichend sei. Microsoft hat aufgrund dieses Dokuments eine Abmahnung gegen den Datenschutzbeauftragten ausgesprochen; die Darstellung sei technisch unkorrekt und geschäftsschädigend.
Ob der Datenschutzbeauftragte dem Begehren nachkommen will, ist derzeit noch unbekannt. Für seine Sichtweise sprechen immerhin auch die Feststellungen der Stiftung Warentest, die zuletzt ähnliche Bedenken äußerte. Allerdings: Im Test der Stiftung ist MS Teams trotzdem der Testsieger...


Links:
Golem News Artikel
Handreichung Berliner Datenschutzbeauftragter (Achtung, dieses Dokument kann sich verändert haben, je nachdem, ob auf die Abmahnung reagiert wurde)
Golem News Zero-Day-Lücken in Zoom
Heise News CT: Videoconferencing - ein Funktionsüberblick
Stifung Warentest

Freitag, 15. Mai 2020

Der bulletproof Cyberbunker an der Mosel

"Deutschland braucht mehr Rechenzentren!“, hört man gelegentlich. Damit sind solche Rechenzentren wie der „Cyberbunker“ von Traben-Trarbach an der Mosel allerdings offensichtlich nicht gemeint. Unter der Federführung eines Niederländers war dort in einem ehemaligen militärischen Objekt seit 2013 ein digitaler Knotenpunkt des sog. Darknets entstanden. Waffen- und Drogenhandel, Kinderpornografie - das sind nur einige der Geschäfte, die nach den Vorwürfen der Staatsanwaltschaft von dort aus abgewickelt worden sein sollen. 
Ende 2019 wurde der Bunker bei einer Razzia ausgehoben, über 400 Server sichergestellt.



Die 13-köpfige Betreibermannschaft des „Unternehmens“ sitzt seit dem in Untersuchungshaft. Mit den Inhalten hatte diese wenig zu tun, sie verstand sich als reiner technischer Dienstleister für anonymes, sicheres Hosting. Für die Staatsanwaltschaft wird es daher nun darauf ankommen nachzuweisen, ob die Betreiber von den Geschäften ihrer Kunden wußten und diese billigten. Bisher sieht es wohl „ganz gut“ aus, nach Angaben der Staatsanwaltschaft wurde bislang nicht eine einzige legale Seite auf den Servern gefunden. 
Nun allerdings hat sich der Initiator aus der Untersuchungshaft in einem Interview zu Wort gemeldet. Er behauptet, der Server sei auch für politisch Verfolgte und Whistleblower zum Einsatz gekommen, beispielsweise seien Wikileaks-Server dort gehostet worden. Diese seien möglicherweise das eigentliche Ziel der Razzia. 
Die Staatsanwaltschaft tritt diesen Behauptungen entgegen. Bislang seien keine Wikileaks-Inhalte gefunden worden; diese haben in dem Ermittlungsverfahren auch bisher keine Rolle gespielt. Es sei vielmehr tatsächlich um die bereits genannten Arten von Geschäften gegangen. 

Nachtrag:
Einen Plan der Bunkeranlagen hat Spiegel Online mittlerweile auf seine Website gestellt.

Nachtrag 2:
Damit hier keine Mißverständnisse aufkommen: Das Betreiben eines anonymisierenden, verschlüsselten Servers, der Tor-Technik für den Zugang nutzt, ist selbstverständlich keine Straftat sondern ggfs. sogar begrüßenswert.
Eine Straftat ist es allerdings dann, wenn hierdurch wissentlich Beihilfe zu einer anderen, strafbaren Handlung geleistet wird. Ob das so ist, ist Gegenstand des Ermittlungsverfahrens. Wenn allerdings bei 1.000en gehosteten Inhalten kein einzig legaler Inhalt gefunden wird, spricht jedenfalls einige Erfahrung dafür, daß der Betreiber seine Dienste gerade zweckgerichtet für solche Inhalte anbieten wollte.

Links:

Sonntag, 26. April 2020

Der Weg zur Corona App


Zwei Wege führen derzeit nach Rom. Besser gesagt, zur bundeseinheitlichen Tracing-App für Covid-19 Infektionen (PEPP-PT). Nachdem die App bereits seit Wochen in aller Munde ist und andere Länder wie China oder Südkorea auch bereits eigene Lösungen präsentiert haben, wird in Deutschland noch diskutiert: Da ist die Frage des technischen Datenschutzes, die ja in asiatischen Ländern eher keine so große Rolle spielt. „Privacy by design“ ist ein Grundsatz, der durch die DS-GVO eigentlich für jedes Projekt vorgegeben wird, aber nur selten konsequent verfolgt wird. 

Anders soll es nun bei der Corona-App werden. Zunächst ist es so, daß die App nicht über die Ortungsfunktionen des Smartphones arbeiten soll, also etwa über GPS, Auslesen von WLAN-Standorten oder Funkzellenabfrage. Sie basiert vielmehr auf Nahbereichskommunikation, also der dezentralen peer-to-peer Abfrage zwischen den Smartphones. Hier soll nicht etwa NFC genutzt werden - da wäre wohl die Reichweite etwas sehr gering - sondern BLE, also bluetooth low energy. Dieses Verfahren wird auch schon erfolgreich in der Werbewirtschaft für zahlreiche Apps genutzt, etwa im iBeacon-Standart oder bei Eddystone, der Google-eigenen Lösung. 
Diese Verfahren kennen prinzipiell nur drei Ortungsergebnisse, bezogen von einem Smartphone auf die BLE-Quelle (das „Beacon“): IMMEDIATE (innerhalb weniger Zentimeter), NEAR (innerhalb einige Meter) und FAR (mehr als 10 Meter entfernt). 
Wenn man sich nun vorstellt, daß das Handy eines Infizierten ein Beacon sendet und dieses „NEAR“ dem eigenen Handy vorbeiläuft, ohne jemals „IMMEDIATE“ zu kommen, kann man allerdings immer noch nicht genau entscheiden, ob eine Infektion wahrscheinlich oder unwahrscheinlich gewesen ist. Dieses Moment wird über den Zeitfaktor korrigiert: Wer längere Zeit „NEAR“ war, hat ein gleich hohes Risiko wie jemand, der kurze Zeit „IMMEDIATE“ war. Und wenn sich jemand gar längere Zeit „IMMEDIATE“ aufgehalten hat, ist die Ansteckungswahrscheinlichkeit sogar sehr hoch. 
Man muß sich vor Augen führen, daß eine solche App letztlich nur Wahrscheinlichkeiten berechnen kann. Diese könnten allerdings - wenn man es der App erlaubt, mittels KI zu lernen - zu ganz passablen Ergebnissen führen. 

Hinsichtliche des Datenschutzes kommt es nun auf die Datenbasis an: Hier ist die Bundesregierung heute von einer Präferenz des zentralen zum dezentralen System gewechselt. 
Beiden Systemen ist gemein, daß sie zunächst nur mit einem anonymen „Identifier“ arbeiten, in dem keine personenbezogenen Daten gespeichert werden. Diese IDs wechseln alle 24 Stunden. Ein Smartphone hält immer die letzten 14 dieser IDs vorrätig, da man nach bisherigem Wissen nach 14 Tagen nicht mehr ansteckend sein kann. Nähert sich nun ein anderes Smartphone mit einer Pepp-PT-App, tauschen beide ihre jeweiligen IDs aus und speichern sie verschlüsselt und lokal, also nicht in einer Cloud/Server. Wurde nun bei einem Nutzer eine Coronavirus-Infektion diagnostiziert, bittet erst dann der Arzt den Nutzer, seine Kontaktliste an den zentralen Server zu übertragen. Der sieht nur die IDs in der Liste und kann diese dann über die App warnen, dass sie Kontakt zu einer mittlerweile als infiziert erkannten Person hatten.
Die Identität der betreffenden Person wird dabei nicht offenbart. Allerdings könnte man diese natürlich leicht raten, wenn man z.B. an einem bestimmten Tag vormittags nur mit einer einzigen anderen Person Kontakt gehabt hat. 
Ob der Betroffene danach die „richtigen Maßnahmen“ einleitet, bleibt ihm überlassen: Anders als in Asien muß der Betreffende selbst entscheiden, ob er sich in Quarantäne begibt oder testen läßt. Standortdaten oder Bewegungsprofile werden bei der App generell nicht erhoben, da diese medizinisch irrelevant sind. Es handelt sich lediglich um einen „digitalen Zollstock mit Speicherfunktion“. 
Sowohl Apple, als auch Google, scheinen diesen dezentralen Ansatz stark zu favorisieren. Da man bei der API für die BLE-Technik sonst wohl nicht helfen will, ist die Antwort in Richtung „dezentral“ damit auch bereits gegeben. 
Möglicherweise bekommt Europa damit tatsächlich einen technischen Gegenentwurf zu all den asiatischen Tracing-Apps, die neben dem gläsernen Patienten auch gleich den gläsernen Nutzer implementieren. Mal sehen, ob sich dieser Entwurf auch in der Praxis bewährt. Ein Problem könnte die Tatsache sein, daß die benötigten Smartphones in der älteren Risikogruppe eher weniger verbreitet sind. 


(In diesem Artikel wurde die verwendete Technik etwas vereinfacht dargestellt. Strenggenommen werden nicht die IDs ausgetauscht, sondern ein aus diesen erst noch errechneter „Rolling Proximity Identifier“, der sich innerhalb weniger Minuten ändert. Ein Empfänger der Daten könnte also nicht einmal sehen, ob man 2 x mit derselben Person in Kontakt war. Außerdem strahlt BLE noch Metadaten aus, durch die eine Entschlüsselung der eigenen Schlüssel erst nach Empfang eines „positiven“ Schlüssel durch einen AEM-Key ermöglicht wird.)

Quelle: 
Golem News, Dezentrale Lösung
Spiegel online: Pepp-PT Warn-App 

Donnerstag, 9. April 2020

Betrugsverdacht - Coronahilfen in NRW ausgesetzt


Die aktuelle Episode der Corona-Krise zeigt einmal wieder, warum es keine gute Idee ist, Menschen zu sehr an die Benutzung von Suchmaschinen zu gewöhnen: 
Wie heute bekannt wurde, hat das Land NRW vorläufig die Auszahlung von Corona-Hilfen für Kleinunternehmen ausgesetzt, da sich gezeigt hat, daß durch mißbräuchliche „Fake-Seiten“ ein Teil der Beihilfen offenbar auf falsche Konten verschoben wurde. Und das funktioniert so:

Das Land hat ja bekanntlich am Freitag, den 27.03., ein Webformular freigeschaltet, mit dem kleine Unternehmen einen sog. „Billigkeitszuschuss“ (ugs. Corona-Soforthilfe) beantragen konnten. Hierzu mußten neben Steuernummer und verschiedenen Angaben über die Art des Unternehmens auch die IBAN für die Auszahlung des Geldes angegeben werden. Viele Menschen hatten auf die Freischaltung dieses Formulars dringend gewartet, welches unter der offiziellen Domain der Landesregierung (https://soforthilfe-corona.nrw.de) erreichbar war und ist. Es wird und wurde immer empfohlen, diese Adresse direkt in die Browser-URL-Zeile einzugeben und nicht den Weg über eine automatische Websuche zu gehen. 
Betrüger haben nun offenbar die Domain des Landes nachgebaut und durch aufwendige SEO-Optimierung erreicht, daß die Fake-Seite in Google noch vor der tatsächlichen Seite des Landes angezeigt wurde. Das hat zur Folge, daß ein Browser mit aktiver automatischer Websuche (heute Standart auf 95 % der Geräte) über die „Autocomplete-Funktion“ direkt auf die täuschend echt aussehende Fake-Seite geleitet hat - anstatt auf die des Landes. Hier haben nun Betrüger die Daten des Unternehmens abgegriffen und anschließend selbst einen Antrag auf Soforthilfe gestellt - lediglich mit dem Unterschied, daß statt der IBAN des Unternehmens eine eigene, fremde IBAN für ein unter falscher Identität eröffnetes Konto verwendet wurde. Für das betroffene Unternehmen hatte das zur Folge, daß über die - korrekt übermittelte - eMail ein Bewilligungsbescheid kam (wenn auch mit einiger Verzögerung bzw. teilweise doppelt), die Auszahlung des Geldes jedoch teilweise bis heute noch nicht erfolgt ist. 
Tatsächlich jedoch ist das Geld längst ausgezahlt, nur eben nicht auf das Konto des Unternehmens! Im Laufe dieser Woche ist die beschriebene Masche aufgefallen, da sich einige Unternehmen über die zögerliche Gewährung der Beihilfen gewundert haben und ihre Anträge teilweise doppelt gestellt haben. Das Land hat dann natürlich vor einer zweiten Bewilligung erst einmal den Verbleib des bereits gezahlten Geldes aufklären wollen. 
Es bleibt spannend zu sehen, ob das Land NRW den Verbleib der Gelder aufklären kann und ggfs. die Zahlungen doppelt vornehmen wird. 

Nachtrag:
Normalerweise läßt sich die verwendete IBAN im Bewilligungsbescheid kontrollieren.
Es ist zur Zeit noch unbekannt, ob die Betrüger auch irgend eine Form von "eMail-Proxy" verwendet haben, um in den als PDF versendeten Bescheiden die IBAN wieder zurück zu ändern. Technisch wäre dies ohne größere Probleme machbar, da bekanntlich die Absende-Adresse einer eMail keinen Anhaltpunkt für den tatsächlichen Versender bietet. 

Link:
Pressemitteilung 

Mittwoch, 25. März 2020

Coronakrise: IT-Freelancer und Liquiditätssicherung


Die aktuelle "Corona-Krise" hat durchaus unterschiedliche Auswirkungen auf die IT und die IT-beratenden Berufe. So läßt sich feststellen, daß alle Service- und Hotline-Anbieter aus dem Bereich "Remote Work, VPN und Collaboration-Lösungen" gerade zu Beginn der Krise eine stark erhöhte Nachfrage zu verzeichnen hatten. Alle Mittelständler wollten auf einen Schlag ihren Betrieb remote-work-fähig machen. VPN-Server mußten eingerichtet werden oder auf dutzenden Laptops die Zugänge eingerichtet und aktualisiert werden; das Collaboration-Tool-Projekt mußte plötzlich ausgerollt werden, da man in den vergangenen Jahren immer andere, wichtigere Themen bearbeitet hatte und die Provider meldeten Lastspitzen beim Videoconferencing-Traffic und der IP-Telefonie.

Anders sah es dagegen bei den IT-Projektarbeitern aus, wie Golem News berichtet. Hier werden gerade die Kollegen, die "frisch" als Externe mit Projekten betraut sind, aktuell gekündigt bzw. "on hold" gestellt. Diejenigen jedoch, die bereits seit Jahren für einen Auftraggeber arbeiten oder sogar mittlerweile in den Betrieb integriert sind, können sich über Aufträge nicht beklagen; im Gegenteil. Die Wirtschaft reagiert also eigentlich, wie es zu erwarten war: Risikominimierung durch Kostensenkung bei den Kräften, die man "schnell los werden" kann; dafür müssen die übrigen Arbeitnehmer die - durchaus vorhandene - Arbeit auffangen.

Einige Experten sagen daher auch einen Auftrags-Boom für Freelancer nach der Krise voraus. Die meisten Projekte sind nämlich nicht aufgehoben, sondern aufgeschoben.

Woher aber das Geld jetzt nehmen, wenn die Auftragslage dünn ist? Mein Kooperationspartner Michael Hölper (MHBiltrol) hat in einem kleinen "Liquiditätswegweiser" einen Überblick über die aktuellen Hilfs- und Förderprogramme zusammengestellt. Viele Programme sind allerdings noch so "frisch", daß der Wegweiser in den nächsten Tagen für weitere Informationen kontinuierlich upgedated werden wird.
Links:
Golem News
MHBiltrol

Montag, 23. März 2020

Home Office oder was?

Viele Arbeitnehmer - ob im IT-Sektor oder nicht - sind durch die Corona-Pandemie auf einmal ins Home Office komplimentiert worden. Viele Firmen möchten es vermeiden, daß aufgrund einer Infektion im Großraumbüro auf einmal die gesamte Belegschaft über mehrere Schichten oder Arbeitsgruppe ausfällt, da plötzlich alle gleichzeitig in Quarantäne geschickt werden müssen. So gibt es diverse Modelle, etwa das aus einer Arbeitsgruppe immer nur eine Person Präsenzdienst machen darf, während die übrigen von zu Haus zuarbeiten. Oder dahingehend, daß in mehreren halbtägigen Schichten gearbeitet wird, wobei die Schichten sich beim "Schichtwechsel" nicht begegnen sollen.

Der Ruf nach VPN-Servern, Collaboration-Tools, Videokonferenz-Programmen und Office-Chat-Lösungen ist dabei lauter als je zu vor; die üblichen Verdächtigen (Slack, Trello, Asana und MS Teams) haben bereits Sonderkonditionen für die nächsten 6 Monate eingeräumt.
Vor allem Microsoft nutzt die Gunst der Stunde, um die Unternehmen über MS Teams noch stärker in das MS Office Ökosystem einzubinden, gern in der 365-Abo-Version. Die Kombination aus Sharepoint Server, Gruppenchat und adhoc-Videokonferenz hat zwar noch so einige Macken, fairerweise muß man allerdings auch zugestehen, daß sich für manch komplexe Aufgaben - etwa das gruppenübergreifende, gleichzeitige Arbeiten an Pivot-Exceltabellen - kaum Alternativen bieten.

Fragen des Datenschutzes und der Datensicherheit sollten allerdings gerade bei der Arbeit im Home Office mit auf der Agenda stehen; der Beauftragte für Datenschutz und Informationsfreiheit Baden Würtemberg hat bereits ein entsprechendes Corona - "HomeOffice"-FAQ zusammen gestellt.

Bis dahin - für alle ITler und Technicker, die im Home Office dann doch zu viel Zeit übrig haben - vielleicht ist nun Zeit für das ein oder andere Make!-Projekt:

Das FLOPPOTRON spielt für Sie: "Take on me"!


Dienstag, 10. März 2020

Digitale Enteignung, Apple-Style


Zum Thema „digitale Enteignung“ und dem Risiko der streamenden Gesellschaft habe ich mich schon an mehrerer Stellen ausgelassen (hier, hier und hier). 
Genau so, wie der iPod ab 2001 nicht nur den Musikmarkt, sondern auch die Art des Medienkonsums veränderte - vom „Datenträger“-Konsum zum digitalen Vervielfältigungsstück - ändert sich gegenwärtig das Konsumverhalten vom digitalen Vervielfältigungsstück (Datei) hin zum gestreamten Inhalt, der mobil und cross-Plattform überall dort „genossen“ werden kann, wo Internet verfügbar ist. 
Klassischerweise bedient man sich dabei an einem Pool des jeweiligen Anbieters; Musikstücke oder Filme, die dieser nicht im Katalog hat, gibt es eben nicht. Dadurch wird der Markt weg von kleinen Content-Schöpfern, hin zu wenigen großen Anbietern verschoben, da diese den Streamingdiensten mehr Gewinn versprechen. 

Um nicht die Kunden mit „eigener“ Musik (und individuellem Geschmack...) zu verprellen, hat man in letzter Zeit häufiger die Option, beim Streaminganbieter die eigenen Inhalte (Musikdateien…) hochzuladen, um via Streaming mobil darauf zugreifen zu können. 
Eine interessante Erfahrung hierzu berichtete jetzt Thom Dunn von boingboing.net:
Er hatte eigene Musikdateien bei Apple iTunes Match hochgeladen und konnte diese auch für eine gewisse Zeit von dort streamen. Offenbar haben sich allerdings seitens Apple die Lizenzrechte ausgerechnet für diese Musikwerke geändert: Apple löschte ohne Vorwarnung eines der Alben, die Dunn selbst hochgeladen hatte - so daß es auf allen Geräten verschwunden war. Die AGB des Anbieters geben dies her.  
Hieran zeigt sich, daß der Streaminganbieter das Angebot nur als „Service“ oder „Zugriffsmöglichkeit“ sind, nicht aber als „Hosting“ oder die Bereitstellung von Speicherplatz. Es zeigt sich, daß es sich lohnen könnte, eigene Medien auch noch einmal auf eigenem Speicherplatz zu sichern - und das ein Streaminganbieter nicht mit einem Speicherplatz-Anbieter verwechselt werden sollte. 

Link:

Bericht auf WinFuture 

Montag, 10. Februar 2020

Am Rechtsstaat vorbei ein Exempel statuieren?



Ich muß schon sagen, ich war etwas geschockt, als ich jetzt die Stellungnahme des schweizerischen Rechtsprofessors Nils Melzer nicht nur vom Hörensagen erfahren habe, sondern ihn im Live Interview zur Behandlung von Julian Assange gehört habe. Man kann über Herrn Assange denken was man will; ihn sympatisch finden oder nicht - was nicht geht, ist, das ein Rechtsstaat jahrelang systematisch falsche Beweise und Zeugenaussagen lanciert, um einen nicht bestehenden Auslieferungsgrund gegen eine Person zu konstruieren. Ob und wer alles an dieser Sache mitgewirkt hat, ist zur Zeit noch unübersichtlich. Klar ist jedoch, daß Herrn Assange in den USA erhebliche - und nach unserem Rechtsverständnis unangemessene - Bestrafungen erwarten würde, wenn er vor das Sondergericht „espionage court“ in Alexandria, Virginia, gestellt würde. Bis zu 175 Jahre könnte der Geheimnisverrat als Strafmaß nach sich ziehen - dabei könnte Assange sich auf das journalistische Privileg berufen und hat die Geheimnisse ja nichtmals selbst ausspioniert, sondern lediglich veröffentlicht. Das wird dort jedoch vermutlich keine Rolle spielen. 
Wenn der Rechtsstaat sich mißbrauchen läßt, um für eine Regierung ein „Exempel zu statuieren“, hat er sich im gleichen Augenblick entwaffnen lassen. 

Quellen:
Republik - Ausführlicher Hergang
Heise News
WikiLeaks - das originale „Collateral Murder“ Video, das durch Assange bekannt wurde

Sonntag, 9. Februar 2020

Huawei und die USA


Bei der Bestückung der 5G-Sendetechnik gibt es z.Zt. bekanntlich einen Diskurs zwischen den USA und europäischen Staaten. Seitens der USA wird versucht, die Europäer von der Verwendung der (technisch führenden) Huawei-Technik abzuhalten, da diese die Gefahr chinesischer Staatsspionage in die Netze bringen würde. Beweise hierfür liegen allerdings bisher nicht vor, auch technische Experten halten dieses Risiko für überschaubar. 
Ein anderer Blickwinkel macht das Ansinnen der Amerikaner jedoch deutlich plausibler: Bekanntermaßen haben die 5-eyes-Staaten ein recht erfolgreiches System bei konventioneller Netzwerktechniken entwickelt, um Hubs und Switches vor Auslieferung mit zusätzlicher Hardware zu versehen, die ein Ausspähen des Netztraffics erleichtern. Dieser Zugriff fehlt bei der chinesischen Hardware weitestgehend. Man kann daher auch annehmen, das nicht die Sorge vor chinesischer Spionage, sondern die Sorge vor dem Fehlen eigener Spionage die „Gefährdungslage“ darstellt, die in den Diskussionen zur Zeit bemüht wird. 




Gehört mir mein Auto?


Letzte Woche habe ich unter dem Titel „Gehört mir mein Smartphone“ über die Implikationen der amerikanischen „right to repair“-Debatte berichtet, die auch für Deutschland interessant ist. Gerade bei gekauften Waren ist der nachträgliche Eingriff in die Funktionalität rechtlich schwierig. 

Nun wurde bekannt, daß Tesla bei mehreren gebraucht verkauften Autos nachträglich den Autopilot wieder deaktiviert hat. Die ungefähr 8.000,- $ teure Option, genannt FSD (Full SelfDriving Capability), kann - wenn das Auto hardwaremäßig ausreichend ausgestattet ist - per Software aktiviert werden. Offenbar war dies in der Vergangenheit auch bei einigen Fahrzeugen passiert, bei denen das Feature nicht von vorn herein vom Erstkäufer bezahlt worden ist. Hier hat Tesla nun im Rahmen eines Software-Updates die Funktion wieder abgeschaltet. Sehr zur Verwunderung eines neuen Käufers, der das Fahrzeug unter anderen wegen dieser Funktion erworben hatte. 

Da das Fahrzeug bereits ausgeliefert war und die Funkton rein in Software realisiert ist, würde sich in Deutschland die Frage des Erschöpfungsgrundsatzes stellen. Das Recht des Herstellers erschöpft sich an dem konkreten Vervielfältigungsstück - auch wenn dieses auf dem Flash-Speicher eines Autos aufgespielt ist. Ausweg wäre, wenn die Software nicht mitverkauft wäre - eine Argumentation, die deutsche Gerichte sicher nicht mitgehen würden. 


Quelle: Heise News

Donnerstag, 23. Januar 2020

Do I own my phone? - Gehört mir mein Smartphone?


Diese intelligente Frage stellte Senator Marko Liias während der öffentlichen Anhörung zum amerikanischen Gesetzesvorhaben „SB 5799“, gemeinhin bekannt als „Right to repair“ (Recht auf Reparatur/ Recht, zu reparieren). 
Im Kern geht es darum, daß gesetzlich verhindert werden soll, Herstellern zu ermöglichen, ein verkauftes Gerät so zu gestalten, daß es faktisch nicht repariert werden kann - sei es durch rechtliche Beschränkungen, durch angebliche Sicherheitsvorkehrungen, künstliches Zurückhalten von Ersatzteilen oder Beschränkung der Gewährleistung, obwohl die Reparatur durch qualifiziertes (aber nicht autorisiertes) Personal vorgenommen wird. 
Dankenswerterweise hat der bekannte Tech-Youtuber Louis Rossmann die Ereignisse auf seinem Kanal festgehalten, da er selbst als sachkundiger Bürger ein Testimonial vor dem Senat abgelegt hat. 
In dem folgenden Video befindet sich die fragliche Aussage an Position 00:12 und wird von Mr. Rossmann kommentiert. 


In der folgenden Lobbyisten-Antwort von Mr Charlie Brown (sic!) wird klar, daß es eigentlich an vernünftigen, rechtlich belastbaren Argumenten für die Position gegen dieses Gesetz fehlt. Es lohnt sich, die übrigen Statements des Hearings auf dem Channel von Rossmann ebenfalls zu verfolgen. Überhaupt hat Rossmann einen sehr guten Tech-Repair Channel.


Rossmanns Statements befinden sich an Position 15:10.

Schon in meinem Video von 2017 zum Thema „Digitale Assistenten, die digitale Enteignung und das Zeitalter des Mitverdienens“ gehe ich in der zweiten Hälfte auf die Problematik der „digitalen Enteignung“ ein. 

Ein anderes Thema - wenn auch inhaltlich nahe verwandt - wurde durch eine Meldung auf Golem Tech News bekannt: Das „HP Ink Abo“ ist ein neuer Service von Hewlett Packard, bei dem Käufer der günstigeren Tintenstrahldrucker die Möglichkeit haben, ein „Tintenabo“ abzuschließen. Für einen fixen Betrag bekommt man - je nach Druckaufkommen - die benötigten Druckerpatronen frei Haus geliefert. Man selbst muß keine Tintenpatronen mehr kaufen. 
Ein Nutzer hat nun festgestellt, daß HP sich allerdings vorbehält, die Patronen lahmzulegen, wenn man das Abo kündigt. Hat man also im Rahmen des Abos eine neue Patrone geliefert bekommen und kündigt kurz danach das Abo, hört diese Patrone sofort auf zu funktionieren, da sie per Internet in der Firmware des Druckers als „gesperrt“ gekennzeichnet wird. Sie kann sehr wahrscheinlich auch in einem anderen HP-Drucker nicht mehr genutzt werden. Man ist dann also gezwungen, die volle Patrone wegzuwerfen und eine neue zu kaufen - oder erneut das Tintenabo bei HP anzuschließen. 
Nach deutschem Recht wirft diese Vorgehensweise einige sachenrechtliche Fragen auf: Da die Patrone mit dem ursprünglichen Kauf übereignet wurde und in das Eigentum des Käufers übergegangen ist, müßte sie schon durch das Tintenabo wirksam „rück-übereignet“ werden, da sich ja sonst HP an fremdem Eigentum zu schaffen machen würde. Das könnte Sachbeschädigung sein. Andererseits ist mir jedenfalls zur Zeit unklar, ob die „Sperre“ eine Funktion in der Firmware der Druckers oder der Patrone ist. Beides wäre möglich und würde möglicherweise zu unterschiedlicher Betrachtung führen. 

Links:
Rossmann-Video zu „Do I own my phone?“
Rossmann-Video zum ganzen Hearing
Gesetzesentwurf SB5799 
Golem-News zu Instant Ink 


Mittwoch, 8. Januar 2020

Heute verstirbt für Sie: Der Hash!





Ein Hashwert ist eine tolle Sache: Prinzipiell muß man es sich wie einen digitalen Fingerabdruck vorstellen, so etwas ähnliches wie eine einmalige Quersumme, mit der ein bestimmter Wert, ein Wort, ein Bild, ein Text - identifiziert werden kann, ohne das eigentliche „Objekt“ vorliegen zu haben. Beispiel Passwort auf einer Internetplattform: Nach heutigem Standart speichert der Betreiber nicht das Passwort selbst (welches dann von einem bösen Hacker aus der Passwortdatenbank gestohlen werden könnte), sondern nur desssen Hashwert. Anhand des Hashwertes ist es möglich, auch ohne das Passwort zu überprüfen, ob der Mensch vor dem Rechner das richtige Passwort eingetippt hat, denn es ist - so bisher die Theorie - gänzlich unwahrscheinlich, daß zwei verschiedene Passwörter zum selben Hashwert führen. So wie ein Fingerabdruck nicht zwei Menschen zugeordnet werden kann. Oder? Tja, was schon in der Natur nur eingeschränkt stimmt, passt leider in der digitalen Welt auch nicht 100%-ig. Genau wie es in der Natur durch Zufall vorkommen kann, daß zwei Menschen Fingerabdrücke besitzen, die auf einem Abdrucksensor dieselben oder beinahe identische „Minuziendaten“ (so nennt man die digital gewonnenen, in mathematische Form gebrachten Erkennungsmerkmale des Fingerabdrucks) produzieren, so bestand schon lange der Verdacht, daß man auch durch entsprechend angepaßte Dateien denselben Hashwert produzieren könnte. Bereits in 2005 wurde dies für den verbreiteten Algorithmus SHA-1 nachgewiesen; hierzu mußten jedoch spezielle, vorberechnete Dateien verwendet werden, so daß die Nutzbarkeit nicht besonders hoch war. 
Nun haben zwei Forscher eine Methode entwickelt, mit der man zwei beliebige PDF-Dateien mit praktikablem Rechenaufwand durch berechnete Daten „auffüllen“ kann, so daß sie denselben Hashwert nach SHA-1 erzeugen. 
Damit ist ein vorausgesetzter Nutzen von Hashes - jedenfalls nach SHA-1 - verloren. Man könnte SHA-1 - Hashes somit als „tot“ bezeichnen. 
Es bleibt abzuwarten, ob ähnliche Kunststücke auch noch für Hashes nach anderen Algorithmen gelingen - von SHA-1 sollte einstweilen abgeraten werden! 

Quelle: Golem News