datenschutz

Aktuelles

10.05.1998
Lauschangriff in Kraft
Nach einem Bericht der Zeitung "Der Tag" (ein Ableger des Spiegel, der täglich in der ersten Klasse des ICE verteilt wird und für Normalsterbliche via E-Mail zu beziehen ist) vom achten Mai 98 tritt das Gesetz zum Großen Lauschangriff am 09.05.1998 in Kraft. "Nach der heutigen Veröffentlichung des Gesetzes im Bundesgesetzblatt darf die Polizei Privatwohnungen zur Verbrechensbekämpfung abhören. Voraussetzung dafür sind Ermittlungen wegen einer von rund 50 Straftaten wie Mord, Bandendiebstahl und Bestechlichkeit. Der Lauschangriff muss von einem Landgericht angeordnet werden."

Zu Unrecht gespeichert
Laut den Nürnberger Nachrichten vom 7. Mai 98 sind mehr als zehn Prozent der bayerischen Bevölkerung im Kriminalcomputer der Polizei gespeichert. "Die Daten der Betroffenen bleiben häufig sogar dann noch gespeichert, wenn der Tatverdacht längst entfallen ist, stellte der bayerische Datenschutzbeauftragte Reinhard Vetter bei einer Überprüfung fest. Mit insgesamt 1,3 Millionen erfassten Personen (10,8% der Bevölkerung) liegt der Freistaat - was die Quote angeht - dicht hinter Berlin. In den anderen Bundesländern werden nur fünf Prozent der Bürger registriert.
[...]
Der Landesdatenschutzbeauftragte stellte bei Stichproben fest, dass wahrscheinlich mehr als zehn Prozent - immerhin über 100.000 Personen - zu Unrecht gespeichert sind. [...] 'Datenspeicherung ist ein belastender Akt, der sich nachteilig für die Betroffenen auswirken kann.' [...] Die Gespeicherten werden viel intensiver als gewöhnlich etwa bei Verkehrskontrollen überprüft. Sie werden bei Straftaten automatisch in den Kreis der Verdächtigen einbezogen. Oder aber die Daten werden - etwa bei Überprüfung auf Zuverlässigkeit - an Behörden weitergegeben. [...] Innenminister Beckstein reagierte inzwischen und kündigte eine Änderung der aus dem Jahre 1983 stammenden Richtlinien an. [...] Der SPD-Rechtsexperte Klaus Hahnzog: 'Jeder muss wissen, wann, wo und warum er im Polizeicomputer ist.' Denn Datenschutz sei ein Grundrecht."


02.05.1998
PGP 5.5.3i erhältlich
Bereits seit einiger Zeit erhältlich ist die Version 5.5.3i bei http://www.pgpi.com. Es handelt sich dabei um die internationale Version von PGP 5.5 for Business Security und unterstützt nun auch (wieder) wipe, conventional encryption und die Erzeugung von RSA-Keys. Die i-Version ist für alle gedacht, die PGP 5.5 legal außerhalb der Vereinigten Staaten einsetzen möchten. Der Gebrauch für private (=nicht-kommerzielle) Zwecke ist kostenlos. PGP unterliegt in den USA dem Kriegswaffenkontrollgesetz, da starke Kryptographie den Status von Munition hat; solche Software darf daher nicht exportiert werden. Dieses Beschränkungen wurden umgangen, indem der Source-Code in Buchform ausgeführt wurde; in Skandinavien wurde der Quelltext gescannt, korrekturgelesen und anschließend in ein lauffähiges Programm kompiliert.
Mehr zu den 5.x-Versionen auf der Seite Sicherheitslücken in PGP 5.0 und PGP 5.5?.

D2-Karte kopiert
Hackern des Chaos Computer Club (CCC) ist es Ende April gelungen, eine D2-Karte für das Mobilfunknetz von Mannesmann zu kopieren. Alles was dazu benötigt wird, ist ein "handelsüblicher PC, ein Chipkarten-Leser für hundert bis zweihundert Mark" und zehn Stunden Zeit. Wie Heise meldet, beruht der Angriff auf einem Designfehler des Algorithmus COMP128, der lediglich von D2 verwendet wird; D1 und e-plus verwenden modifizierte Verfahren. Zum erfolgreichen kopieren ist allerdings auch die PIN erforderlich.

pgpCA: 1.500 Anträge
Die pgpCA der Zeitschrift c't hat auf der CeBIT 98 über 1.500 Zertifizierungsanträge entgegengenommen.


19.03.1998
Keine aktuelle Seite zur Krypto-Kampagne der c't
Ich schaff' es leider nicht mehr rechtzeitig zur CeBIT, einen Text zum Thema Zertifizierungsstellen (CAs), Web of trust und speziell zur pgpCA der c't zu schreiben. Wer dieses Jahr auf die CeBIT geht (*heul* ich bin verhindert) und PGP verwendet, der sollte seinen Public Key auf Diskette mitnehmen oder vorher an die pgpCA per E-Mail schicken und zu Hause ein Formular (gibt's auf den WWW-Seiten der pgpCA oder auch am CeBIT-Stand) ausfüllen den Schlüssel betreffend. Kann man sich dann korrekt ausweisen (Perso/Reisepass), dann wird man ein paar Tage später eine Signatur der pgpCA unter seinen Schlüssel haben (kann dann auch über Key-Server bezogen werden), deren Fingerprint mit der im Heft abgedruckten Zeichenkette überprüft werden kann. Zweck: Ist die Signatur der pgpCA korrekt, dann kann man davon ausgehen, das der Public Key wirklich zu der Person gehört, die in der User-ID des Schlüssels genannt wird und nicht irgendjemand, der sich dafür ausgibt (eine Schwachstelle von PGP). Weitere Informationen auf der Homepage der pgpCA http://www.heise.de/ct/pgpCA oder auf dem CeBIT-Stand E34 in Halle 5 auf der CeBIT in Hannover (19.03. bis 25.03.1998).

Obacht: Gewinnspiel in der GameStar 4/98
Auf den Seiten 183 und 184 in oben genannter Ausgabe der Spiele-Zeitschrift GameStar ist ein Gewinnspiel abgedruckt, gegen das ich Bedenken habe:
"...weil wir die GameStar-Leser kennenlernen möchten... bitten Sie deshalb, diesen Fragebogen auszufüllen... Ihre Angaben werden selbstverständlich streng vertraulich behandelt... Angabe einer Adresse ist nur notwendig, wenn Sie an der Verlosung teilnehmen möchten." Ich bin kein Experte, aber ich glaube rechtlich ist soweit alles ok (weiß jetzt aber nicht genau ob da nun ein Hinweis stehen muss oder nicht der besagt, dass man auch einfach nur durch einschicken am Gewinnspiel teilnehmen kann, also ohne den Fragebogen auszufüllen). Was mich bei der Sache stört sind die Fragen, sechzehn an der Zahl:

  1. Wie häfig treiben Sie die folgenden Sportarten?
    [22 Auflistungen, Vier-Punkte-Skala (intensiv, ab und zu selten, gar nicht); Fragen 1 und 12 bis 16: Mehrfachnennung erlaubt.]
  2. Welche Turnschuhmarke(n)...
    [besitzen Sie, würden Sie kaufen, wäre Ihre Nr. 1; sechs Auflistungen, einmal "andere"]
  3. Und welche Klamottenmarke(n)...
    [Skala wie oben, 14 Auflistungen, einmal "andere"]
  4. Welche Fahrrad/Mountainbike-Marken besitzen Sie, welche finden Sie cool?
    [Skala wie oben, neun Auflistungen, einmal "andere"]
  5. Welche alkoholfreien Getränke mögen Sie, und welche am liebsten?
    [Sieben allgemein gehaltene Auflistungen ("Cola", "Energy-Drink"), Skala: "mag ich" und "mag ich am liebsten"]
  6. Und welche alkoholhaltigen Getränke mögen Sie?
    [Elf allgemein gehaltene Auflistungen, Skala wie Frage 5]
  7. Welche "Snackstations" sind für Sie Anlaufstellen?
    [Sechs Auflistungen (z.B. "McDonald's", "Pizza Hut"...), einmal "andere"; Skala: "gehe ich hin", "Lieblingssnackstelle"]
  8. Welche süßen Snacks sind Ihre liebsten?
    [Elf Auflistungen, einmal "andere"; Skala wie Frage 5]
  9. Welche Automarke(n)...
    ["besitzen Sie", "würden Sie kaufen", "wäre Ihre Nr. 1", 21 Auflistungen, einmal "andere"]
  10. Bei welcher Bank...
    ["besitzen Sie ein Konto", "würden Sie...", "wäre Nr. 1", sechs Auflistungen (davon vier Direktbanken), einmal "andere"]
  11. Bei welchen Versicherungen...
    ["sind Sie versichert", "würden Sie...", "wäre Nr. 1", acht Auflistungen, einmal "andere"]
  12. Wie häufig nutzen Sie...
    [Skala jeweils wie bei Frage 1]
    • Radio [Acht Auflistungen]
    • Fernsehen [13 Auflistungen, einmal "andere"]
    • Zeitschriften [Fünf allgemein gehaltene Auflistungen ("Computerz."), einmal "andere"]
  13. Interessieren Sie sich für die Playstation?
    ["ja", "geht so", "nein"]
  14. Welche/s Firma/Marke/Unternehmen finden Sie
    • am coolsten? [Freitext]
    • am uncoolsten? [Freitext]
  15. Welche Zigaretten- bzw. Tabakmarke mögen Sie am liebsten?
    [Freitext und "kein Raucher"]
  16. Wie alt sind Sie?
    [Freitext]

    Die gewinne sind ähnlich jugendlich/sportlich orientiert: Fünf Fleecepullis (Marke), fünf Rucksäcke (Marke), fünf 200 DM-Sportschuhe (Marke), zehn Jeans (Marke), 25 Sweatshirts (GameStar-Logo).
    So, was ist jetzt meine Message?
    Gewinnspiele, das ist bekannt, sind dazu da, Adressen von potentiellen Käufern zu sammeln. Diese Adressen werden dann hausintern verwendet oder für teures Geld an alle möglichen Firmen verkauft, die irgendwelche Produkte anzubieten haben. Die Abfrage der Adresse ist die denkbar einfachste Form und sozusagen die kleinste Informationsmenge. Das Attribut "Fortgeschritten" kann zum Beispiel obiges Gewinnspiel für sich in Anspruch nehmen. Mit den Daten aus den 16 Fragen lassen sich bunte Statistiken anfertigen ("Schaut mal was meine Tabellenkalkulation alles kann") oder, gekoppelt mit der Adresse, genaueste Käuferprofile erstellen. Eine solche Adresse ("16 Jahre, trinkt am liebsten Cola, hat adida-Schuhe und s'Oliver-Klamotten usw.") bringt natürlich mehr Kohle. Oder hat jemand geglaubt dass sich die GameStar-Redaktion wirklich dafür interessiert, das Max Müller aus Hamburg am liebsten Opel fährt??? GameStar kriegt noch eine Mail von mir, aber ohne 16 beantwortete Fragen.
    Gegenangriff

    • Man bringe folgenden Aufkleber am Brief/Fax mit an:
      Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt und Meinungsforschung. (Par. 28, Abs. 3 Bundesdatenschutzgesetz)
      Den Aufkleber gibt es beim Berliner Datenschutzbeauftragten http://www.datenschutz-berlin.de, aber handschriftlicher Text tut's natürlich auch.
    • Wenn man in seine Adresse vielleicht noch einen kleinen Fehler einbaut (nicht "Stefan" sondern "Stephan"), kann man auch sehen, welche Wege die eigene Adresse geht, fragt man bei den Firmen an, von denen man Post mit der falschen Adresse bekommt. Den gleichen Fehler kann man natürlich nur einmal machen, sonst kann man schlecht zurückverfolgen/nachvollziehen, wer die Adresse zu erst weitergegeben hat. Ich weiß aber nicht, ob das rechtlich einwandfrei ist, mit (derart) falschen Angaben bei Preisausschreiben mitzumachen.
    • Zur sogenannten "Robinson-Liste" habe ich jetzt keine Informationen bei der Hand, kann ich aber noch nachliefern.
    Das war's erst mal.



    14.03.1998
    Datenschutz in der neuen c't 6/98
    Die neue c't ist raus und für Datenschützer (und Leute die daran interessiert sind) gibt es einiges zu lesen), z.B. auf Seite 94:
    • Nach 40 Tagen wurde ein DES-Chiffrat nach dem Ausprobieren von 85% aller möglichen Schüssel gebrochen. Im Distributed Net arbeiteten auf der ganzen Welt verteilte Computer mit ihrer "überschüssigen" Rechenzeit.
    • Sicherheitslücke im AOL-Messenger: Durch einen Bug ist es möglich den Client-Rechner zum Absturz zu bringen. Mehr dazu auf unserer Seite Sicherheitsrisiko Software.
    • Die Global Internet Liberty Campaign hat die Ergebnisse ihrer Untersuchung zu internationalen Kryptographie-Beschränkungen veröffentlicht: http://www.gilc.org/crypto/crypto-survey.html.
    • Laut Siemens hat der neue Krypto-Prozessor ("Pluto") keine Hintertür. Die Behauptung, Pluto sei der deutsche Clipper-Chip ist laut BSI (Bundesamt für Sicherheit in der Informationstechnik) und Siemens nicht haltbar. Mit dem Clipper wollte vor einigen Jahren die US-Regierung die obligatorische Schlüsselhinterlegung (key escrow) erzwingen. Der vom BSI Mitte 1997 bei Siemens in Auftrag gegebene Chip, vorrangig für den Behörden-internen Einsatz gedacht, soll ab Ende 1999 zur Verfügung stehen. Siemens habe als einzig mögliche deutsche Firma den Auftrag bekommen; ausländische Unternehmen schieden aus "grundsätzlichen Erwägungen" aus. Siemens stünde auch für künftige Clipper-Derivate nicht zur Verfügung.
    • Der Passwortschutz bei Iomegas Zip-Disketten ist zu knacken. Um eine Zip-Disk mit unbekanntem Passwort zu entsperren, sichert man ein anderes Medium mit einem bekannten Passwort und lässt diese im Laufwerk, bis sich das Drive automatisch abschaltet. Mit einer Büroklammer kann man nun per Notauswurf das Medium entnehmen und das mit dem unbekanntem Kennwort einlegen. Die Iomega-Tools entsichern jetzt mit dem bekannten Passwort das geschützte Medium. Um Schäden an Drive und Medien zu vermeiden sollte man warten, bis sich das Laufwerk tatsächlich selbst abgeschaltet hat. Iomega ist diese Sicherheitslücke bekannt; diesen Tip erhält man bei der Iomega-Hotline.

    c't-Krypto-Kampagne
    Die Krypto-Kampagne der Zeitschrift c't - Magazin für Computer-Technik (Heise-Verlag) geht weiter. Wer seinen Public Key auf Diskette (oder zuvor per E-Mail) beim Heise-Stand auf der CeBIT abgibgt und auch ein amtliches Legitimationspapier (Personalausweis, Reisepass) vorweisen kann, der bekommt eine Signatur der c't-pgpCA. Die Schlüssel werden dann auch unterschrieben an einen Key-Server geschickt. Die Aktion ist kostenlos.
    Weitere Informationen:

    • aktuelle c't 6/98, Seite 32
    • http://www.heise.de/ct/pgpCA
    • CeBIT Hannover, 19.03. bis 25.03.1998, Halle 5, Stand E34
    • Evtl. auch in Kürze auf diesem Server (wenn nicht zur CeBIT, dann zumindest über PGP und CAs allgemein).

    BSI-Vorträge auf der CeBIT
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält auf Grund der positiven Resonanz im letzten Jahr einige Vorträge:

    • Do, 19.03.98: Zertifizierung nach weltweit einheitlichen Prüfkriterien zur Sicherheit von Informationstechnik
    • Fr, 20.03.98: IT-Sicherheit: Von der Empfehlung über Tools in der Praxis
    • Mo, 23.03.98: Sicherheit im Internet
    • Di, 24.03.98: Client/Server und Sicherheit, Computer-Viren - eine ständige Bedrohung
    • Mi, 25.03.98: Gesetzkonforme Digitale Signatur

    Die Vorträge werden abgehalten im Tagungs-Centrum Messe (TCM), Saal 13/14 jeweils von 12 bis 14 Uhr.
    Weitere Informationen:
    • aktuelle c't 6/98, Seite 33
    • http://www.bsi.bund.de
    • CeBIT Hannover, 19.03. bis 25.03.1998, Halle 23, Stand D36

    Datenschützer auf der CeBIT
    Im Internet werden personenbezogene Daten weitgehend ungeschützt übermittelt und erfasst. Adressenhändler, Kreditkartenunternehmen und Auskunfteien siedeln sich bevorzugt in Ländern mit laxen Datenschutzregelungen an. Bestehende Kontrollinstanzen scheitern zwangsläufig an den nationalen Grenzen, allerdings ist Besserung zumindest innerhalb der EU mit der Europäischen Datenschutzrichtlinie in Aussicht. Der Niedersächsische Datenschutzbeauftragte Dr. Gerhard Donsch veranstaltet zu diesem Thema auf der diesjährigen CeBIT eine Podiumsdiskussion u.a. mit dem Bundesdatenschutzbeauftragten Dr. Joachim Jacob und Dr. Ulf Brühmann von der Generaldirekten XV der Europäischen Kommission: "Wo bleibt der Datenschutz bei der Globalisierung der Informationsmärkte?"
    Weitere Informationen:


© 1996 - 1998, FEN - Inhaltsbereich Datenschutz. Verbesserungsvorschläge an: datenschutz@fen-net.de Letzte Änderung: 10.05.1998
FEN