Aktuelles
10.05.1998
Lauschangriff in Kraft
Nach einem Bericht der Zeitung "Der Tag" (ein Ableger des
Spiegel, der täglich in der ersten Klasse
des ICE verteilt wird und für Normalsterbliche via E-Mail zu beziehen ist)
vom achten Mai 98 tritt das Gesetz zum Großen Lauschangriff am 09.05.1998
in Kraft. "Nach der heutigen Veröffentlichung des Gesetzes im Bundesgesetzblatt
darf die Polizei Privatwohnungen zur Verbrechensbekämpfung abhören.
Voraussetzung dafür sind Ermittlungen wegen einer von rund 50
Straftaten wie Mord, Bandendiebstahl und Bestechlichkeit.
Der Lauschangriff muss von einem Landgericht angeordnet werden."
Zu Unrecht gespeichert
Laut den Nürnberger Nachrichten vom 7. Mai 98 sind mehr als
zehn Prozent der bayerischen Bevölkerung im Kriminalcomputer der Polizei
gespeichert. "Die Daten der Betroffenen bleiben häufig sogar dann noch
gespeichert, wenn der Tatverdacht längst entfallen ist, stellte der bayerische
Datenschutzbeauftragte Reinhard Vetter bei einer Überprüfung fest. Mit
insgesamt 1,3 Millionen erfassten Personen (10,8% der Bevölkerung) liegt
der Freistaat - was die Quote angeht - dicht hinter Berlin. In den anderen
Bundesländern werden nur fünf Prozent der Bürger registriert.
[...]
Der Landesdatenschutzbeauftragte stellte bei Stichproben fest, dass wahrscheinlich
mehr als zehn Prozent - immerhin über 100.000 Personen - zu Unrecht gespeichert
sind. [...] 'Datenspeicherung ist ein belastender Akt, der sich nachteilig für
die Betroffenen auswirken kann.' [...] Die Gespeicherten werden viel intensiver als
gewöhnlich etwa bei Verkehrskontrollen überprüft. Sie werden bei
Straftaten automatisch in den Kreis der Verdächtigen einbezogen. Oder aber die
Daten werden - etwa bei Überprüfung auf Zuverlässigkeit - an Behörden
weitergegeben. [...] Innenminister Beckstein reagierte inzwischen und kündigte
eine Änderung der aus dem Jahre 1983 stammenden Richtlinien an. [...] Der
SPD-Rechtsexperte Klaus Hahnzog: 'Jeder muss wissen, wann, wo und warum er im
Polizeicomputer ist.' Denn Datenschutz sei ein Grundrecht."
02.05.1998
PGP 5.5.3i erhältlich
Bereits seit einiger Zeit erhältlich ist die Version 5.5.3i bei
http://www.pgpi.com. Es handelt sich
dabei um die internationale Version von PGP 5.5 for Business Security
und unterstützt nun auch (wieder) wipe, conventional encryption
und die Erzeugung von RSA-Keys. Die i-Version ist für alle gedacht,
die PGP 5.5 legal außerhalb der Vereinigten Staaten einsetzen
möchten. Der Gebrauch für private (=nicht-kommerzielle) Zwecke
ist kostenlos. PGP unterliegt in den USA dem Kriegswaffenkontrollgesetz,
da starke Kryptographie den Status von Munition hat; solche Software
darf daher nicht exportiert werden. Dieses Beschränkungen wurden
umgangen, indem der Source-Code in Buchform ausgeführt wurde; in
Skandinavien wurde der Quelltext gescannt, korrekturgelesen und anschließend
in ein lauffähiges Programm kompiliert.
Mehr zu den 5.x-Versionen auf der Seite Sicherheitslücken
in PGP 5.0 und PGP 5.5?.
D2-Karte kopiert
Hackern des Chaos Computer Club (CCC) ist es Ende
April gelungen, eine D2-Karte für das Mobilfunknetz von Mannesmann zu
kopieren. Alles was dazu benötigt wird, ist ein "handelsüblicher PC,
ein Chipkarten-Leser für hundert bis zweihundert Mark" und zehn Stunden Zeit.
Wie Heise meldet, beruht der Angriff auf einem Designfehler des Algorithmus COMP128,
der lediglich von D2 verwendet wird;
D1 und e-plus
verwenden modifizierte Verfahren. Zum erfolgreichen kopieren ist allerdings auch
die PIN erforderlich.
pgpCA: 1.500 Anträge
Die pgpCA der Zeitschrift
c't hat auf der CeBIT 98 über 1.500
Zertifizierungsanträge entgegengenommen.
19.03.1998
Keine aktuelle Seite zur Krypto-Kampagne der c't
Ich schaff' es leider nicht mehr rechtzeitig zur CeBIT, einen Text zum Thema
Zertifizierungsstellen (CAs), Web of trust und speziell zur pgpCA der c't zu
schreiben. Wer dieses Jahr auf die CeBIT geht (*heul* ich bin verhindert) und
PGP verwendet, der sollte seinen Public Key auf Diskette mitnehmen oder vorher
an die pgpCA per E-Mail schicken und zu Hause ein Formular (gibt's auf den WWW-Seiten
der pgpCA oder auch am CeBIT-Stand) ausfüllen den Schlüssel betreffend.
Kann man sich dann korrekt ausweisen (Perso/Reisepass), dann wird man ein paar Tage
später eine Signatur der pgpCA unter seinen Schlüssel haben (kann dann
auch über Key-Server bezogen werden), deren Fingerprint mit der im Heft
abgedruckten Zeichenkette überprüft werden kann. Zweck: Ist die Signatur
der pgpCA korrekt, dann kann man davon ausgehen, das der Public Key wirklich zu
der Person gehört, die in der User-ID des Schlüssels genannt wird
und nicht irgendjemand, der sich dafür ausgibt (eine Schwachstelle von PGP).
Weitere Informationen auf der Homepage der pgpCA
http://www.heise.de/ct/pgpCA oder auf
dem CeBIT-Stand E34 in Halle 5 auf der CeBIT in Hannover (19.03. bis 25.03.1998).
Obacht: Gewinnspiel in der GameStar 4/98
Auf den Seiten 183 und 184 in oben genannter Ausgabe der Spiele-Zeitschrift GameStar
ist ein Gewinnspiel abgedruckt, gegen das ich Bedenken habe:
"...weil wir die GameStar-Leser kennenlernen möchten... bitten Sie deshalb,
diesen Fragebogen auszufüllen... Ihre Angaben werden selbstverständlich
streng vertraulich behandelt... Angabe einer Adresse ist nur notwendig, wenn Sie
an der Verlosung teilnehmen möchten." Ich bin kein Experte, aber ich glaube
rechtlich ist soweit alles ok (weiß jetzt aber nicht genau ob da nun ein
Hinweis stehen muss oder nicht der besagt, dass man auch einfach nur durch
einschicken am Gewinnspiel teilnehmen kann, also ohne den Fragebogen auszufüllen).
Was mich bei der Sache stört sind die Fragen, sechzehn an der Zahl:
- Wie häfig treiben Sie die folgenden Sportarten?
[22 Auflistungen, Vier-Punkte-Skala (intensiv, ab und zu selten, gar nicht); Fragen 1
und 12 bis 16: Mehrfachnennung erlaubt.]
- Welche Turnschuhmarke(n)...
[besitzen Sie, würden Sie kaufen, wäre Ihre Nr. 1; sechs Auflistungen,
einmal "andere"]
- Und welche Klamottenmarke(n)...
[Skala wie oben, 14 Auflistungen, einmal "andere"]
- Welche Fahrrad/Mountainbike-Marken besitzen Sie, welche finden Sie cool?
[Skala wie oben, neun Auflistungen, einmal "andere"]
- Welche alkoholfreien Getränke mögen Sie, und welche am liebsten?
[Sieben allgemein gehaltene Auflistungen ("Cola", "Energy-Drink"), Skala: "mag ich"
und "mag ich am liebsten"]
- Und welche alkoholhaltigen Getränke mögen Sie?
[Elf allgemein gehaltene Auflistungen, Skala wie Frage 5]
- Welche "Snackstations" sind für Sie Anlaufstellen?
[Sechs Auflistungen (z.B. "McDonald's", "Pizza Hut"...), einmal "andere"; Skala: "gehe ich
hin", "Lieblingssnackstelle"]
- Welche süßen Snacks sind Ihre liebsten?
[Elf Auflistungen, einmal "andere"; Skala wie Frage 5]
- Welche Automarke(n)...
["besitzen Sie", "würden Sie kaufen", "wäre Ihre Nr. 1", 21 Auflistungen,
einmal "andere"]
- Bei welcher Bank...
["besitzen Sie ein Konto", "würden Sie...", "wäre Nr. 1", sechs Auflistungen
(davon vier Direktbanken), einmal "andere"]
- Bei welchen Versicherungen...
["sind Sie versichert", "würden Sie...", "wäre Nr. 1", acht Auflistungen,
einmal "andere"]
- Wie häufig nutzen Sie...
[Skala jeweils wie bei Frage 1]
- Radio [Acht Auflistungen]
- Fernsehen [13 Auflistungen, einmal "andere"]
- Zeitschriften [Fünf allgemein gehaltene Auflistungen ("Computerz."),
einmal "andere"]
- Interessieren Sie sich für die Playstation?
["ja", "geht so", "nein"]
- Welche/s Firma/Marke/Unternehmen finden Sie
- am coolsten? [Freitext]
- am uncoolsten? [Freitext]
- Welche Zigaretten- bzw. Tabakmarke mögen Sie am liebsten?
[Freitext und "kein Raucher"]
- Wie alt sind Sie?
[Freitext]
Die gewinne sind ähnlich jugendlich/sportlich orientiert: Fünf Fleecepullis
(Marke), fünf Rucksäcke (Marke), fünf 200 DM-Sportschuhe (Marke),
zehn Jeans (Marke), 25 Sweatshirts (GameStar-Logo).
So, was ist jetzt meine Message?
Gewinnspiele, das ist bekannt, sind dazu da, Adressen von potentiellen Käufern
zu sammeln. Diese Adressen werden dann hausintern verwendet oder für teures Geld
an alle möglichen Firmen verkauft, die irgendwelche Produkte anzubieten haben.
Die Abfrage der Adresse ist die denkbar einfachste Form und sozusagen die kleinste
Informationsmenge. Das Attribut "Fortgeschritten" kann zum Beispiel obiges Gewinnspiel
für sich in Anspruch nehmen. Mit den Daten aus den 16 Fragen lassen sich bunte
Statistiken anfertigen ("Schaut mal was meine Tabellenkalkulation alles kann") oder,
gekoppelt mit der Adresse, genaueste Käuferprofile erstellen. Eine solche Adresse
("16 Jahre, trinkt am liebsten Cola, hat adida-Schuhe und s'Oliver-Klamotten usw.")
bringt natürlich mehr Kohle. Oder hat jemand geglaubt dass sich die GameStar-Redaktion
wirklich dafür interessiert, das Max Müller aus Hamburg am liebsten Opel
fährt??? GameStar kriegt noch eine Mail von mir, aber ohne 16 beantwortete Fragen.
Gegenangriff
- Man bringe folgenden Aufkleber am Brief/Fax mit an:
Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke
oder für die Markt und Meinungsforschung. (Par. 28, Abs. 3 Bundesdatenschutzgesetz)
Den Aufkleber gibt es beim Berliner Datenschutzbeauftragten
http://www.datenschutz-berlin.de,
aber handschriftlicher Text tut's natürlich auch.
- Wenn man in seine Adresse vielleicht noch einen kleinen Fehler einbaut (nicht
"Stefan" sondern "Stephan"), kann man auch sehen, welche Wege die eigene Adresse
geht, fragt man bei den Firmen an, von denen man Post mit der falschen Adresse
bekommt. Den gleichen Fehler kann man natürlich nur einmal machen, sonst
kann man schlecht zurückverfolgen/nachvollziehen, wer die Adresse zu erst
weitergegeben hat. Ich weiß aber nicht, ob das rechtlich einwandfrei ist, mit
(derart) falschen Angaben bei Preisausschreiben mitzumachen.
- Zur sogenannten "Robinson-Liste" habe ich jetzt keine Informationen bei der Hand, kann
ich aber noch nachliefern.
Das war's erst mal.
14.03.1998
Datenschutz in der neuen c't 6/98
Die neue c't ist raus und für Datenschützer (und Leute die daran
interessiert sind) gibt es einiges zu lesen), z.B. auf Seite 94:
- Nach 40 Tagen wurde ein DES-Chiffrat nach dem Ausprobieren
von 85% aller möglichen Schüssel gebrochen. Im
Distributed Net arbeiteten auf der
ganzen Welt verteilte Computer mit ihrer "überschüssigen" Rechenzeit.
- Sicherheitslücke im AOL-Messenger: Durch einen Bug ist es möglich
den Client-Rechner zum Absturz zu bringen. Mehr dazu auf unserer Seite
Sicherheitsrisiko Software.
- Die Global Internet Liberty Campaign hat die Ergebnisse ihrer Untersuchung
zu internationalen Kryptographie-Beschränkungen veröffentlicht:
http://www.gilc.org/crypto/crypto-survey.html.
- Laut Siemens hat der neue Krypto-Prozessor ("Pluto") keine Hintertür.
Die Behauptung, Pluto sei der deutsche Clipper-Chip ist laut
BSI (Bundesamt für Sicherheit in der
Informationstechnik) und Siemens nicht haltbar.
Mit dem Clipper wollte vor einigen Jahren die US-Regierung die obligatorische
Schlüsselhinterlegung (key escrow) erzwingen. Der vom BSI Mitte 1997 bei
Siemens in Auftrag gegebene Chip, vorrangig für den Behörden-internen
Einsatz gedacht, soll ab Ende 1999 zur Verfügung stehen. Siemens habe als
einzig mögliche deutsche Firma den Auftrag bekommen; ausländische Unternehmen
schieden aus "grundsätzlichen Erwägungen" aus. Siemens stünde auch
für künftige Clipper-Derivate nicht zur Verfügung.
- Der Passwortschutz bei Iomegas Zip-Disketten ist zu knacken. Um eine Zip-Disk
mit unbekanntem Passwort zu entsperren, sichert man ein anderes Medium mit einem bekannten
Passwort und lässt diese im Laufwerk, bis sich das Drive automatisch abschaltet.
Mit einer Büroklammer kann man nun per Notauswurf das Medium entnehmen und
das mit dem unbekanntem Kennwort einlegen. Die Iomega-Tools entsichern jetzt mit dem
bekannten Passwort das geschützte Medium. Um Schäden an Drive und Medien
zu vermeiden sollte man warten, bis sich das Laufwerk tatsächlich selbst abgeschaltet
hat. Iomega ist diese Sicherheitslücke bekannt; diesen Tip erhält man bei
der Iomega-Hotline.
c't-Krypto-Kampagne
Die Krypto-Kampagne der Zeitschrift c't - Magazin für Computer-Technik (Heise-Verlag)
geht weiter. Wer seinen Public Key auf Diskette (oder zuvor per E-Mail) beim Heise-Stand
auf der CeBIT abgibgt und auch ein amtliches Legitimationspapier (Personalausweis,
Reisepass) vorweisen kann, der bekommt eine Signatur der c't-pgpCA. Die Schlüssel
werden dann auch unterschrieben an einen Key-Server geschickt. Die Aktion ist
kostenlos.
Weitere Informationen:
- aktuelle c't 6/98, Seite 32
- http://www.heise.de/ct/pgpCA
- CeBIT Hannover, 19.03. bis 25.03.1998, Halle 5, Stand E34
- Evtl. auch in Kürze auf diesem Server (wenn nicht zur CeBIT, dann zumindest
über PGP und CAs allgemein).
BSI-Vorträge auf der CeBIT
Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) hält auf Grund der positiven Resonanz im
letzten Jahr einige Vorträge:
- Do, 19.03.98: Zertifizierung nach weltweit einheitlichen Prüfkriterien
zur Sicherheit von Informationstechnik
- Fr, 20.03.98: IT-Sicherheit: Von der Empfehlung über Tools in der Praxis
- Mo, 23.03.98: Sicherheit im Internet
- Di, 24.03.98: Client/Server und Sicherheit, Computer-Viren - eine ständige
Bedrohung
- Mi, 25.03.98: Gesetzkonforme Digitale Signatur
Die Vorträge werden abgehalten im Tagungs-Centrum Messe (TCM), Saal 13/14 jeweils
von 12 bis 14 Uhr.
Weitere Informationen:
Datenschützer auf der CeBIT
Im Internet werden personenbezogene Daten weitgehend ungeschützt übermittelt und
erfasst. Adressenhändler, Kreditkartenunternehmen und Auskunfteien siedeln sich
bevorzugt in Ländern mit laxen Datenschutzregelungen an. Bestehende Kontrollinstanzen
scheitern zwangsläufig an den nationalen Grenzen, allerdings ist Besserung zumindest
innerhalb der EU mit der
Europäischen
Datenschutzrichtlinie in Aussicht. Der
Niedersächsische Datenschutzbeauftragte
Dr. Gerhard Donsch veranstaltet zu diesem Thema auf der diesjährigen CeBIT eine
Podiumsdiskussion u.a. mit dem Bundesdatenschutzbeauftragten Dr. Joachim Jacob und
Dr. Ulf Brühmann von der Generaldirekten XV der Europäischen Kommission:
"Wo bleibt der Datenschutz bei der Globalisierung der Informationsmärkte?"
Weitere Informationen:
|