+++ EILMELDUNG +++

Der Europäische Gerichtshof hat die EU-Richtlinie zur Vorratsdatenspeicherung aufgehoben. Allerdings lässt das Urteil Spielraum für eine Neufassung der Richtlinie. Trotzdem ist es ein klares Signal an alle Sicherheitsesoteriker in der Großen Koalition.

Über eine halbe Million Verfassungsfeinde in NRW?

Ja, die Piraten gibt es noch, und zwischen #BomberGate und #KeinHandschlag machen sie sogar noch sinnvolle Politik. In NRW haben die Piraten beispielsweise gerade bei der Landesregierung angefragt, über wie viele Menschen der sogenannte „Verfassungsschutz“ Daten sammelt. Das Ergebnis: Über 532.685 Personen. Oder anders ausgedrückt: über mehr als 3% seiner Einwohner. Über eine halbe Million Verfassungsfeinde? Wohl kaum. Vielmehr laufen im Rahmen von sogenannten „Mitwirkungsangelegenheiten“ die Sicherheitsabfragen aller möglichen Behörden bei den Geheimdiensten zusammen und werden dort für mindestens fünf Jahre gespeichert. Nicht restlos aufgeklärt werden konnte zudem die Herkunft der Daten von 34.087 Personen und auf welcher Rechtsgrundlage diese erfasst wurden.

Ich möchte an dieser Stelle daher alle auffordern, regelmäßig ein sogenanntes Auskunftsersuchen an das für euch zuständige „Landesamt für Verfassungsschutz“ bzw. das „Bundesamt für Verfassungsschutz“ zu stellen. Die entsprechenden Vordrucke könnt ihr euch z. B. beim Generator von Datenschmutz erzeugen lassen.

Sicherlich hat die Auskunft, die ihr dann erhalten solltet, nur eine geringe Aussagekraft. Zum einen definiert das Bundesdatenschutzgesetz für unsere Spitzeldienste großzügige Ausnahmen und zum anderen muss man letztendlich ohnehin der Selbstauskunft des Geheimdienstes vertrauen. Mit dem Auskunftsersuchen ist jedoch eine eindeutige Aussage verbunden: nämlich, dass es uns nicht egal ist, ob und wenn ja welche Daten die Schlapphüte über uns speichern. Wir müssen zumindest den Anspruch aufrechterhalten, ihnen auf die Finger schauen zu können. Und zu guter Letzt verteuert es die ausufernde Speicherung an Daten über unbescholtene Bürger, wenn diese regelmäßig durchforstet werden müssen.

Protest gegen russische Aggression gegen die Ukraine

Hinweis: Als Protest gegen die russische Aggression gegen die Ukraine erscheint diese Seite ab sofort und bis auf Weiteres in den ukrainischen Nationalfarben.

Auf geht's: Anzeige gegen die Bundesregierung erstatten!

Der Chaos Computer Club (CCC) hat zusammen mit der Internationalen Liga für Menschenrechte und dem Verein Digitalcourage im Zusammenhang mit der NSA-Affäre Strafanzeige gegen mehrere Mitglieder der Bundesregierung sowie die Chefs der deutschen Geheimdienste erstattet. Dieser Anzeige könnt Ihr Euch anschließen und somit ein Zeichen gegen die Ohnmacht der stetig ausufernden geheimdienstlichen Überwachung setzen. Die Beteiligung ist kostenlos - wenngleich sich die federführenden Organisationen über eine Spende sehr freuen würden. Jede Person, die sich der Anzeige anschließt, erhöht den Druck auf die Bundesanwaltschaft, in der Angelegenheit endlich aktiv zu werden. Bitte beteiligt euch an der Strafanzeige und gebt diese Meldung an möglichst viele Freunde, Bekannte und Verwandte weiter!

Als wäre der BND-Neubau noch nicht teuer genug (knapp 200 Mio. über Budget) geworden: Die Schlapphüte lassen sich dort jetzt 60 Edelkiefern im Wert von rund einer Million Euro pflanzen.

Doch das ist nicht alles: Bereits im letzten Jahr wurde bekannt, dass der BND sich auf dem Hinterhof zwei Kunstpalmen für 314.000 Euro hat hinsetzen lassen.

Ein Polizist im NSU-Untersuchungsausschuss hat ausgesagt, dass seine Kollegen bewusst angegeben haben, dass sie sich an nichts erinnern könnten, um den heutigen Chef des LKA Thüringen zu decken. Dieser soll die Ermittlungen gegen den NSU hintertrieben haben, indem er Polizisten die Anweisung erteilte, bei einer Vernehmung, die zur Ergreifung Uwe Böhnhardts hätte führen können, ja nichts rauszubekommen. Das ist in dreierlei Hinsicht erschütternd. Erstens: Dass es selbst jetzt, nachdem das ganze Ausmaß der NSU-Verbrechen bekannt geworden sind, immer noch Polizisten gibt, denen Corpsgeist wichtiger als Aufklärung ist. Zweitens: Dass es in der Polizei offenbar einflussreiche Maulwürfe gibt, die – vermutlich zu Gunsten des „Verfassungsschutzes“ – Polizeiarbeit gezielt behindern. Und Drittens: Dass es solche Geschöpfe vermutlich bis zum LKA-Präsidenten bringen können. Mein geringes Restvertrauen in diesen Rechtsstaat ist jedenfalls ein weiteres Mal erschüttert worden.

Happy Birthday Chelsea!

Chelsea (Bradley) Manning ist heute 26 Jahre alt geworden. Auch wenn das angesichts seiner Inhaftierung etwas zynisch erscheinen mag, von dieser Stelle alles Gute! Vorbehaltlich einer noch möglichen Begnadigung wird Chelsea für seine Courage bis kurz vor seinem 60. Geburtstag in politischer Haft sitzen.

Nicht mehr ganz taufrisch ist die Meldung, dass in die Adobe-Systeme eingebrochen wurde und die verschlüsselten Passwörter von 150 Millionen Nutzer-IDs entwendet wurden. Zwei dieser Nutzer-IDs gehören vermutlich zu meiner Person, da ich sowohl privat als auch dienstlich Adobe-Produkte verwende, die eine Registrierung/Aktivierung erfordern.* Panik habe ich deshalb jedoch nicht. Beide Benutzerkonten verwenden lediglich individuelle bzw. arbeitgeberspezifische Passwörter, die nur bei Adobe Anwendung finden. Insofern sehe ich mich von diesem Artikel auf Heise Security bestätigt, wonach 123456 für derlei Zwecke ein akzeptables Passwort ist.

Ein richtiges Passwort belegt Speicher in unserem Gedächtnis und wir können uns nur wenige davon merken. Die setzen wir dann möglichst für Dinge ein, wo wir wirklich was zu beschützen haben. Das E-Mail-Konto, den Arbeitsplatz-PC und so weiter. Wenn ich aber für die Zwangsregistrierung zu irgendeinem Produkt oder den Download einer Informationsbroschüre ein Konto einrichten muss, das ich gar nicht will, dann darf sich die Firma nicht wundern, wenn ich dafür Wegwerf-Passwörter benutze. Genau das haben fast 2 Millionen Nutzer vermutlich getan und bei Adobe das Passwort 123456 benutzt. [...] Sorgen mache ich mir nicht um die Nutzer, die bei Adobe ein Wegwerf-Passwort eingesetzt haben. Die Gefahr, dass die das gleiche Passwort für ihr Online-Shopping oder ihr E-Mail-Konto verwenden, ist gering. Probleme haben vielmehr die, die eines ihrer kostbaren, schwer zu knackenden Passwörter an Adobe verschwendet haben. Denn die geben damit unter Umständen etwas preis, was ihre wichtigen Konten gefährdet.

Deshalb kann ich nur jedem raten, für solche Zwecke ausschließlich Wegwerfpasswörter zu verwenden. Dafür gibt es genügend Generatoren im Netz und in der Regel ist auch das Vergessen solcher Passwörter dank Zurücksetzen-Funktion kein Problem. Denn wir reden hier von Adobe, einem weltweit operierendem, börsennotierten Konzern mit Milliardenumsätzen. Laut Medienberichten waren die Passwörter mittels 3DES verschlüsselt und der dazugehörige geheime Schlüssel scheint ihnen aber anscheinend ebenfalls rausgetragen worden zu sein. Wenn es nicht mal denen gelingt es, ihre Systeme hinreichend abzudichten, dann mag man sich gar nicht ausmalen, wie es bei der kleinen Softwareklitsche von nebenan oder dem Mitgliedsbereich der Webseite des eigenen Sportvereins ausschaut. Die beste Lösung ist natürlich, sich – wann immer möglich – gar nicht erst irgendwo anzumelden.

* Die Nutzung der von mir verwendeten Adobe-Software wäre prinzipiell auch ohne Registrierung möglich gewesen. Allerdings lassen die Seriennummern bei Adobe üblicherweise nur zwei Aktivierungen zu. Für jede weitere Aktivierung ist es dann erforderlich, zunächst eine bestehende Installation innerhalb der Software zu deaktivieren. Vorausgesetzt man kann das noch. Bei einem Festplattencrash ist das selbstverständlich nicht mehr möglich. In diesem Fall geht muss man sich durch den Kunden-„Service“ von Adobe quälen. Hierfür musste ich mich seinerzeit registrieren. Ich empfinde das als unfreundlichen Akt, so mit seiner nicht gerade wenig zahlenden Kundschaft umzugehen.

Normalerweise ist Sport hier ja kein Thema. Trotzdem möchte ich die Entscheidung des DFB-Schiedsgerichtes, das „Phantomtor“ von Stefan Kießling gelten zu lassen und das Spiel zwischen Leverkusen und Hoffenheim nicht zu wiederholen kurz kommentieren. Entgegen vieler anderer Kommentatoren finde ich die Entscheidung des Sportgerichts richtig. Dies hat aber nicht allein damit zu tun, dass mir das gesamte „Projekt Hoppenheim“ missfällt. Der Grund ist der selbe, warum ich auch gegen die Einführung von Torlinientechnik bin. Wo sollte man denn da die Grenze ziehen? Auch ein nicht oder zu Unrecht gegebener Elfmeter kann ein Spiel entscheiden. So unfair und tragisch ein Ergebnis im Einzelfall sein mag: wir können unmöglich jedes strittige Spiel am Grünen Tisch entscheiden.

Warum ich für TrueCrypt spende

Die NSA-Affäre mag (bisher?) politisch weitestgehend folgenlos geblieben sein, weil „unsere“ Regierung ihren Amtseid verraten und sich lediglich durch vollumfängliches Versagen, Herunterspielen und Abwarten/Aussitzen hervorgetan hat. Für die Überwacher könnten die technischen Folgen aber unangenehm werden. Die Zahl derer, die ihre Kommunikation verschlüsseln, hat rapide zugenommen und mit ihnen die Kosten für die Totalüberwachung.

Ich selbst setze im Wesentlichen zwei Verschlüsselungssysteme ein: Zum einen ist das GnuPG zur Verschlüsselung von E-Mailverkehr. Zur Sicherung privater Daten verwende ich hingegen TrueCrypt. Hierbei handelt es sich um ein einfach zu bedienendes Programm, welches für Windows und Linux (und Mac) verfügbar ist und zahlreiche Verschlüsselungsmethoden anbietet.

Generell macht Verschlüsselung aber nur Sinn, wenn man dem verwendeten Cryptosystem auch vertrauen kann. Deshalb nehmen aktuell überall Programmierer die Verschlüsselungsalgorithmen ihrer Software genauer unter die Lupe. In einigen Fällen sind dabei schon (möglicherweise bewusst eingebaute) Schwachstellen identifiziert worden. Allerdings sind Verschlüsselungsalgorithmen heute derart komplex, dass der Ottonormalnutzer (mich eingeschlossen) deren Sicherheit nicht zuverlässig beurteilen oder gar überprüfen kann. Deshalb ist es wichtig, dass der Quellcode einer Verschlüsselungssoftware offen ist, damit dieser von unabhängigen Experten überprüft werden kann.

Für beides sammeln TrueCrypt-Nutzer gerade Spenden und haben hierfür bereits knapp 50.000 Dollar eingesammelt. Mit dem Geld soll zum einen der Quelltext noch einmal genau auf Schwachstellen untersucht werden. Auch von einem finanziellen Belohnungssystem für gefundene Fehler ist die Rede. Zum anderen aber soll der Build-Prozess – also das umwandeln des Quelltextes in ein ausführbares Programm – nachvollziehbarer und für jeden reproduzierbar gemacht werden. Zum aktuellen Zeitpunkt ist nämlich nicht ganz klar, in wie weit die zum Download angebotene Software wirklich ausschließlich auf dem offengelegten Quelltext basiert. Und zu guter Letzt soll die die bestehende Lizenz des Programms auf Kompatibilität mit großen Open-Source-Lizenzen wie der GNU General Public License überprüft werden. Dies wäre erforderlich, um das Programm in mehr Betriebssystem-Distributionen zu übernehmen und es einem größeren Nutzerkreis zugänglich zu machen, was wiederum dessen Sicherheit zu Gute käme.

All dies halte ich für wichtig und habe daher dafür gespendet. Mit meinem Beitrag möchte ich euch ermutigen, es mir gleich zu tun. Eine Spende halte ich selbst dann für sinnvoll, wenn ihr selbst TrueCrypt gar nicht einsetzt. Denn die Snowden-Enthüllungen haben gezeigt, dass wir alle – selbst die, die (irrtümlich) glauben „nichts zu verbergen“ zu haben – darauf angewiesen sind, dass es Leute gibt, die Informationen frei von staatlicher Überwachung austauschen können. Die Erkenntnis mag hart sein, aber besser wir gestehen uns ein, dass wir in einem „postdemokratischen System“ (Hans Magnus Enzensberger) leben, welches es erforderlich macht, dass sich der einzelne Bürger wieder vor „seinem“ Staat schützt.

Update: Der kanadische Informatikstudent Xavier de Carné de Carnavalet hat inzwischen nachgewiesen, dass die Binaries auf der TrueCrypt-Seite sich wirklich aus den veröffentlichten Sources erzeugen lassen. Somit ist zumindest klar, dass das Programm keine Hintertüren enthält, die sich nicht auch im Quelltext finden lassen würden.